Datenschutz im Sportbereich

Die EU-Datenschutz-Grundverordnung (DSGVO) hat letztlich für alle Unternehmen zu besonderen und vor allem neuen Herausforderungen geführt.

Das klar erklärte Ziel war und ist die Vereinheitlichung des Umgangs mit personenbezogenen Daten auf europäischer Ebene.

Dabei trifft die DSGVO jedoch nicht nur die großen multinationalen Wirtschaftsunternehmen.

Gerade Unternehmen im Sportbereich, insbesondere Fitnessstudios, und auch Sportvereine trifft die DSGVO durchaus hart und stellt diese vor einige Herausforderungen. So besitzen etwa gerade Sportvereine kaum entsprechende Vertreter (oder Mitarbeiter), die sich mit diesem Thema intensiv auseinandersetzen können oder aufgrund eines Ehrenamts wollen. Vielen Fitnessstudios ist darüber hinaus selten ausreichend bewusst, dass sie teilweise Gesundheitsdaten und damit besonders sensible und schützenswerte Daten verarbeiten.

Wir wollen hier einen Einblick in die Herausforderungen geben und Ansätze zur Bewältigung aufzeigen.

Grundlagen und Herausforderungen

Die Erfahrung hat gezeigt, dass man gerade zu Beginn der Geltung der DSGVO im Sportbereich häufiger mit Aussagen konfroniert wurde, wonach die DSGVO doch ohnehin nur für größere Unternehmen gelte oder man als Fitnessstudio keine Zeit oder Kapazitäten habe, um sich um Belange des Datenschutzes zu kümmern.

Diese Auffassung hat sich zwischenzeitlich zwar geändert. Häufig ist gerade Fitnessstudiobetreibern allerdings weiterhin nur selten bewusst, dass ihr Unternehmen neben Vertragsdaten auch besonders schützenswerte personenbezogene Daten, nämlich Gesundheitsdaten, verarbeitet. Das beginnt bereits bei der Anamnese im Studio, wenn etwa Körpergröße, Gewicht oder Körperfett gemessen und möglicherweise über die Dauer einer Mitgliedschaft fortlaufend aufgezeichnet werden. Studios, die Reha-Sport anbieten, kommen darüber hinaus etwa in Kontakt mit medizinischen Diagnosen und Krankheitsbildern betroffener Personen.

Gerade Fitnessstudios, die Gesundheitsdaten verarbeiten, sind erheblich gefordert die Anforderungen an eine rechtmäßige Verarbeitung personenbezogener Daten umzusetzen und letztlich auch nachweisen zu können.

Der besondere Schutz von Gesundheitsdaten als sensible personenbezogene Daten ist in Art. 9 DSGVO geregelt. Dieser lautet in Absatz 1:

„Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.“

Nun mag man meinen, die Verarbeitung solcher Daten sei generell und stets verboten. Die DSGVO folgt hierbei jedoch dem sogenannten Prinzip des „Verbots mit Erlaubnisvorbehalt“, d.h. die Verarbeitung solcher Daten ist tatsächlich grundsätzlich verboten, soweit sie nicht ausnahmsweise erlaubt ist.

Das klingt zunächst sehr kompliziert, wird jedoch verständlicher in Kenntnis des Art. 9 Absatz 2 DSGVO, der die Ausnahmen von dem grundsätzlichen Verbot aufzählt, wenn er beginnt mit:

„Absatz 1 gilt nicht in folgenden Fällen:“

Besonders relevante Ausnahmen sind dabei die informierte Einwilligung der von der Datenverarbeitung betroffenen Person sowie die Verarbeitung zum Zwecke der Gesundheitsvorsorge, der medizinischen Diagnostik oder der Versorgung und Behandlung im Gesundheitsbereich aufgrund eines Vertrags mit einer Person eines Gesundheitsberufs.

Da Fitnessstudios und ihre Mitarbeiter im Regelfall keine Personen eines Gesundheitsberufs sind, ist hier die Erlaubnis der Verarbeitung aufgrund einer Einwilligung der betroffenen Person besonders wichtig.

Doch welche Daten und Informationen über eine betroffene Person zählen überhaupt als Gesundheitsdaten?

Zunächst ist sollte daher innerhalb des Fitnessstudios geklärt werden, ob Gesundheitsdaten verarbeitet werden. Die DSGVO definiert den Begriff in Art. 14 Nr. 15. Hiernach sind Gesundheitsdaten

„Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen;“

Gesundheitsdaten sind daher sehr weitreichende Informationen über die Gesundheit und den körperlichen und geistigen Zustand einer betroffenen Person.

Dies stellt auch Erwägungsgrund 35 der DSGVO klar:

„Zu den personenbezogenen Gesundheitsdaten sollten alle Daten zählen, die sich auf den Gesundheitszustand einer betroffenen Person beziehen und aus denen Informationen über den früheren, gegenwärtigen und künftigen körperlichen oder geistigen Gesundheitszustand der betroffenen Person hervorgehen. Dazu gehören auch Informationen über die natürliche Person, die im Zuge der Anmeldung für sowie der Erbringung von Gesundheitsdienstleistungen im Sinne der Richtlinie 2011/24/EU des Europäischen Parlaments und des Rates für die natürliche Person erhoben werden, Nummern, Symbole oder Kennzeichen, die einer natürlichen Person zugeteilt wurden, um diese natürliche Person für gesundheitliche Zwecke eindeutig zu identifizieren, Informationen, die von der Prüfung oder Untersuchung eines Körperteils oder einer körpereigenen Substanz, auch aus genetischen Daten und biologischen Proben, abgeleitet wurden, und Informationen etwa über Krankheiten, Behinderungen, Krankheitsrisiken, Vorerkrankungen, klinische Behandlungen oder den physiologischen oder biomedizinischen Zustand der betroffenen Person unabhängig von der Herkunft der Daten, ob sie nun von einem Arzt oder sonstigem Angehörigen eines Gesundheitsberufes, einem Krankenhaus, einem Medizinprodukt oder einem In-Vitro-Diagnostikum stammen.“

Gesundheitsdaten sind daher neben medizinischen Daten, Diagnosen, Krankheitsbildern eben auch das Körpergewicht, die Körpergröße sowie etwa das Ergebnis einer (wenngleich evtl. groben) Messung der Zusammensetzung des Körpers, wie Körperfett, Muskelmasse, Knochenanteil.

Insbesondere letzteres spielt in vielen Fitnessstudios eine Rolle im Rahmen der Erstellung von Trainings- und Ernährungsplänen.

Digitalisierung und Datenübermittlung

Datenschutz im FitnesstudioDie besonderen Herausforderungen an den Datenschutz im Sport, gerade in Fitnessstudios, bestehen dabei etwa in der fortschreitenden Digitalisierung.

Darüber hinaus halten immer mehr „smarte“ Trainingsgeräte Einzug in die Studios, die eine Vielzahl von Daten über den trainierenden Sportler erheben und ggf. auch speichern.

Software zur Studio- und Mitgliederverwaltung wird darüber hinaus immer häufiger online und cloud-basiert genutzt.

Als Herausforderung stellt sich teilweise auch die Größe der Flächen dar und die damit fehlende oder eingeschränkte Möglichkeit von Diskretionszonen. So verfügen einige Studios über sogenannte „Analyse-Center“ oder „Analyse-Stationen“ auf der Trainingsfläche. Letztlich handelt es sich hierbei um PC’s, die mit dem Studio-Netzwerk verbunden sind. Diese werden – meist stehend – gemeinsam mit dem Kunden bedient, dessen physiologische Daten eingegeben, Trainings- oder Ernährungspläne erstellt. Die Praxis hat gezeigt, dass sich der Bediener nicht selten von der Station entfernt, etwa um dem Kunden eine Übung zu zeigen, und so Daten von anderen Kunden eingesehen werden können.

Wenngleich schließlich einige Studios zunehmend nur mit festangestellten Mitarbeitern arbeiten, so ist es weiterhin durchaus üblich selbständige Trainer einzusetzen, die etwa das Kursangebot des Studios abdecken und in verschiedenen Fitnessstudios tätig sind und teilweise selbst Mitgliederdaten verarbeiten.

Exkurs: Datenschutz im Verein

Datenschutz im VereinZwar kommt auch bei Sportvereinen durchaus eine Verarbeitung von Gesundheitsdaten in Frage, die höhere Anforderungen an den Vereinsdatenschutz stellt. Dies könnte etwa zutreffen im Fall des Angebots von Rehasportkursen oder vergleichbaren Kursen der Gesundheitsförderung. In der Praxis verarbeiten allerdings nur wenige Vereine tatsächlich Gesundheitsdaten.

Die Herausforderungen bestehen hier vielmehr zumeist in der Umsetzung eines Basis-Datenschutzes, wie etwa der Datenschutzerklärung auf der Vereinswebseite, der Erfüllung von Informationspflichten gegenüber Mitgliedern oder auch die Umsetzung von Maßnahmen der IT-Sicherheit.

Letzteres liegt daran, dass die überwiegende Zahl der Vereine nicht über eine gesonderte Geschäftsstelle verfügt, sondern diese meistens in den privaten Räumlichkeiten eines Vorstands/Vertreters oder Mitglieds liegt. Dennoch sind auch Vereine inzwischen gut vernetzt und viele Aufgaben werden nur noch digital ausgeführt.

Viele Sportvereine und deren Vertreter sind hinsichtlich des Datenschutzes jedoch derart verunsichert, dass sie sich im Hinblick auf etwaige Bußgelder kaum mehr trauen überhaupt Daten zu verarbeiten. Dies führt soweit, dass mit Hinweis auf datenschutzrechtliche Gründe Veranstaltungen abgesagt werden oder grundsätzliche Fotografieverbote verhängt werden.

Die am häufigsten auftauchende Frage betrifft jedoch Mitgliederlisten und deren Übermittlung an Mitglieder.

Diese Frage ist letztlich zweigeteilt zu betrachten. Geht es um die interne Verwaltung von Mitgliedern in Listen durch Vereinsvertreter, so ist diese zweifellos erlaubt. Aus rechtlicher Sicht stellt die Mitgliedschaft in einem Verein ein Vertragsverhältnis zwischen Mitglied und Verein dar. Dieser Vertrag wird durch Aufnahmeantrag des Mitglieds (= rechtlich das Angebot auf Abschluss des Vertrags) und Annahme des Antrags geschlossen. Die DSGVO gibt dem Verein eine Rechtsgrundlage für die interne Verarbeitung der Mitgliedsdaten an die Hand, die für die Durchführung der Mitgliedschaft erforderlich sind. Dies betrifft die allgemeine Verwaltung und das Speichern von Adressen, jedoch auch die Verwaltung von SEPA-Mandanten und der Einzug von Mitgliedsbeiträgen. Eine gesonderte Einwilligung jedes einzelnen Mitglieds ist hier nicht notwendig.

Anders stellt sich die Situation dar, wenn es um die in der Vergangenheit häufig geübte Praxis geht den Mitgliedern ein Mal jährlich oder häufiger eine Liste mit allen Vereinsmitgliedern und deren Daten (wie Name, Anschrift, E-Mail-Adresse, Geburtstag) zuzusenden. Hier muss nach dem Vereinszweck differenziert werden. Besteht dieser gerade darin, Kontakte zu pflegen, so kann die Übermittlung auch ohne Einwilligung erfolgen. Das ist zumeist etwa bei Alumni-Vereinen und ähnlichen Zusammenschlüssen der Fall.

Ist dies jedoch nicht der Vereinszweck, sondern besteht dieser etwa bei Sportvereinen in der gemeinsamen Ausübung und der Förderung von Sport, so muss die Einwilligung der Mitglieder eingeholt werden. Willigt ein Mitglied nicht in die Veröffentlichung und Versendung seiner personenbezogenen Daten im Rahmen von Mitgliederlisten ein, so ist dieses Mitglied von der Liste zu entfernen. Darüber ist die Widerruflichkeit von Einwilligungen zu beachten. Widerruft also ein Mitglied die erteilte Einwilligung, so ist dieses Mitglied bei zukünftigen Versendungen einer Mitgliederliste vorab von dieser zu entfernen.

Zu beachten ist auch, dass eine Einwilligung nicht dadurch erfolgt – wie teilweise angenommen -, dass sich niemand über die Versendung der Liste mit seinen enthaltenen Daten beschwert. Durch dieses „Nichtstun“ wird keine Einwilligung erteilt.

Exkurs: eHealth/mHealth: Fitness-Tracker, Smart Watches, Gesundheits-Apps

Datenschutz Fitness-Tracker

In wenigen Fällen stellen auch Fitnessstudios selbst ihren Kunden Fitness-Tracker oder Fitness-Apps für ihr Training zur Verfügung und werten diese Daten aus.

Überweigend verfügen Kunden jedoch über eigene Geräte und Apps aus dem sogenannten eHealth und mHealth Bereich und setzen diese im Alltag und Training ein, um das Training und auch körperliche Faktoren nachverfolgen und analysieren zu können.

Soweit das Fitnessstudio nicht auf diese Daten zugreift und diese selbst verarbeitet, spielt diese Datenverarbeitung im Rahmen des Datenschutzkonzepts eines Fitnessstudio keine Rolle.

Auswirkungen

Insbesondere wenn Gesundheitsdaten und damit besonders schützenswerte personenbezogene Daten verarbeitet werden, können Datenschutzverstöße oder Datenpannen für betroffene Personen zu erheblichen negativen Auswirkungen und Schäden führen.

Für verantwortliche Stellen erheblich können gerade auch etwaige Bußgelder sein, die die jeweils zuständige Aufsichtsbehörde bei entsprechend gravierenden Verstößen gegen den Datenschutz verhängen könnten.

Insgesamt gelten für verantwortliche Stellen bei der Verarbeitung von Gesundheitsdaten hohe Datenschutzanforderungen. Verantwortliche und Mitarbeiter sollten insoweit in besonderem Maße für die Belange des Datenschutzes sensibilisiert sein. Betroffene Personen müssen zutreffend über die Datenverarbeitung informiert werden, ggf. sind Einwilligungen von diesen einzuholen.

Auch abseits der Verarbeitung von Gesundheitsdaten sind Fitnessstudios jedoch gut beraten den Datenschutz ernst zu nehmen.

Vermeiden Sie teure Fehler!

Der Weg zu einem DSGVO-konformen Datenschutz im Sportbereich

Fitnessstudio Datenschutz1. Verträge, Formulare und Mitgliederinformationen

Prüfen Sie Ihre verwendeten Unterlagen. Informieren Sie Ihre Kunden/Mitglieder datenschutzkonform über die Datenverarbeitung in Ihrem Studio. Passen Sie Ihre Unterlagen und Formblätter ggf. an.

2. Einwilligungen

Halten Sie Einwilligungen vor, soweit Sie Gesundheitsdaten verarbeiten.

3. Maßnahmen der Datensicherheit

Prüfen Sie die in Ihrem Studio eingesetzten Maßnahmen der Datensicherheit.

Die DSGVO verfolgt ganz klar einen sogenannten „riskobasierten Ansatz“, d.h. die einzusetzenden Maßnahmen im Hinblick auf den Datenschutz müssen sich an dem Risiko für die Rechte und Freiheiten der von der Datenverarbeitung betroffenen Personen orientieren.

Um dieses Risiko einschätzen zu können und zu klären, ob die angewendeten Maßnahmen ausreichend sind, muss zunächst die Datenverarbeitung und ihre Zwecke beschrieben werden.

Hier hat sich letztlich die Bearbeitung in 4 Phasen etabliert, die wir auch in der Beratung unserer Kunden aus dem Gesundheitswesen durchlaufen:

a. Beschreibung der durchgeführten Datenverarbeitungen und ihr Zweck

Es wird geprüft und beschrieben auf welche Weise Daten verarbeitet werden und zu welchem Zweck. Hier spielt der Umfang der Datenverarbeitung ebenso eine Rolle, wie die technische Umsetzung.

b. Prüfung der Erforderlichkeit einzelner Verarbeitungsvorgänge sowie ihrer Verhältnismäßigkeit

Bereits das alte Bundesdatenschutzgesetz enthielt in § 3a den Grundsatz der Datensparsamkeit. Die Begrifflichkeit hat sich etwa geändert, die DSGVO spricht in Art. 5 Absatz 1 Buchstabe c) nunmehr von einem Grundsatz der Datenminimierung. Gemeint ist jedoch wie bereits zuvor, dass Daten einerseits dem Zweck nach angemessen verarbeitet werden sowie auf das für den Zweck notwendige Maß beschränkt werden. Das heißt letztlich nichts anderes, als dass nur die Daten verarbeitet werden sollen (und dürfen), die auch tatsächlich benötigt werden.

Es ist daher zu prüfen, ob einzelne Verarbeitungsvorgänge in ihrem Umfang erforderlich und angemessen sind unter Berücksichtigung des damit verfolgten Zwecks. Insbesondere sollten sich Mitarbeiter und Mitarbeiterinnen durchaus die Frage stellen, ob einzelne erhobene Daten, insbesondere aber nicht ausschließlich Gesundheitsdaten, im Rahmen ihrer täglichen Arbeit tatsächlich erforderlich sind oder ob auf die Erhebung und Speicherung einzelner Datenkategorien ggf. sogar ohne Auswirkungen verzichtet werden kann.

c. Einschätzung des Risikos und Überprüfung der angewendeten Maßnahmen

Nach Beschreibung der Verarbeitungen und Überprüfung der Erforderlichkeit können die Risiken für die Rechte und Freiheiten der betroffenen Personen bewertet werden. Hierbei bewegt man sich in einer sogenannten Risikomatrix aus der Schwere des möglichen Schadens und der Eintrittswahrscheinlich eines solchen Schadens.

Hiernach müssen die angewendeten Maßnahmen zum Datenschutz anhand des Risikos überprüft werden.

d. Änderung bestehender oder Planung neuer Maßnahmen

Ergibt die Prüfung, dass die derzeit angewendeten Maßnahmen nicht ausreichen, so sind diese abzuändern und/oder neue Maßnahmen zu planen.

Profitieren Sie von unserer Erfahrung!

Wir verfügen über eine Spezialisierung und umfangreiche Erfahrung im Bereich des Datenschutzes im Sportbereich.

Geschäftsführer und Datenschutzbeauftragter DSB-TÜV Christoph Schmitt betreut und berät etwa Fitnessstudios und Vereine.

Wir unterstützen Sie bei der Analyse und Prüfung Ihrer vorhandenen Datenschutzsituation und der Umsetzung eines DSGVO-konformen Datenschutzkonzepts.

Nehmen Sie Kontakt mit uns auf! Gerne besprechen wir gemeinsam mit Ihnen den Bedarf Ihrer Einrichtung und machen Ihnen ein Angebot hinsichtlich einer Datenschutzberatung bis hin zur Übernahme des Amts des externen Datenschutzbeauftragten.