ZWEIJAHREDSGVO -EINEBILANZ - BEDEUTUNG DES DATENSCHUTZES FÜR DIE FITNESSBRANCHE - BARTH DATENSCHUTZ
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
MANAGEMENT DATENSCHUTZ
Zwei Jahre DSGVO
Bedeutung des Datenschutzes für die Fitnessbranche
Z
um einen gab es zahlreiche Akteu- das Zeugen-Jehovas-Urteil ist dieser Be- ren, wird diese im Einzelfall auch tätig.
re, die mit der DSGVO-Einführung griff nun sehr weit gefasst – selbst Notiz- So durfte ich 2019 einen Kunden über-
ein Geschäft witterten. Und mit zettel fallen unter die DSGVO. nehmen, dessen Videoüberwachung im
„Angstmachen“ und „Panikverbreiten“ Ein weiterer Punkt: Die Aufsichtsbe- Studio hätte deinstalliert werden sollen.
funktionierte dieses Neugeschäft ganz hörden wurden schlicht von den Bera- Mit guten Argumenten konnten wir die
gut. Zum anderen mussten sich die Auf- tungsanfragen der Betroffenen und Ver- gesamte Videoüberwachung, etwas mo-
sichtsbehörden innerhalb Deutschlands antwortlichen überrannt, sodass Kon- difiziert, auch weiterhin betreiben. Bei
erst einmal orientieren und einheitliche trolltätigkeiten schlicht auf ein Mini- einem anderen Kunden war der Erlass
Vorgehensweisen erarbeiten. Hinzu mum heruntergefahren wurden. Und der Aufsichtsbehörde bereits erteilt und
kam, dass es zu auslegungsfähigen Arti- wenn kontrolliert wurde, waren es meist wir konnten hier zumindest die komplet-
keln in der DSGVO noch keinerlei Recht- nur öffentliche Stellen wie Behörden te Deinstallation noch vermeiden.
sprechung gab. Urteile zur DSGVO kom- und datengetriebene Branchen. Die Fit- „Videoüberwachung im Fitnessclub“
men erst nach und nach. Und selbst Ur- ness- und Gesundheitsbranche stand war also bereits ein Thema und wird ver-
teile schaffen nicht immer Klarheit, z. B. bisher noch nicht im Fokus der Auf- mutlich auch 2020 und 2021 ein Dauer-
Foto: Thomas - stock.adobe.com
haben die Urteile zu Facebook-Fansei- sichtsbehörde. Eine Aussage, ob sich brenner sein. Wenn Sie also bereits eine
ten, das Zeugen-Jehovas-Urteil oder das dies ändert, wäre reine Spekulation. Videoüberwachung durchführen oder
Urteil zum Thema „Tracking-Tools“ auf planen: Sprechen Sie das Vorgehen eng
Webseiten viele noch zusätzlich verwirrt. Prüfung bei konkreten mit Ihrem Datenschutzbeauftragten
Nur die wenigsten wissen, was sie nun Beschwerden oder einem Datenschutzberater ab. Der
konkret tun müssen, um bußgeldsicher Wenn sich allerdings Betroffene konkret Betrieb einer Videoüberwachung muss
diese Dienste nutzen zu können. Durch bei der Datenschutzaufsicht beschwe- gut begründet und dokumentiert sein,
54 l body LIFE 05 I 2020 www.facebook.com/bodylife
DATENSCHUTZ MANAGEMENT
zügige Beantwortung ihrer Fragen inner- hörde bei Ihnen im Club steht, ist ver-
halb von 30 Tagen. schwindend gering. Wahrscheinlicher ist
es, dass Sie Post von Ihrer Behörde be-
Gesetzesanpassung 2019 kommen. Das BayLDA (Bayrisches Lan-
Die Welt ging damals Im November 2019 kam es zu einer wich- desamt für Datenschutzaufsicht) hat in
nicht unter. Auch nach tigen Gesetzesanpassung, die auch für der Vergangenheit schon KMU ange-
die Fitnessbranche bedeutend ist. Im schrieben und gezielt nach den Daten-
dem 25. Mai 2018 drehte
Rahmen des Zweiten Datenschutz-An- schutzmaßnahmen gefragt.
sie sich weiter. Es kam
passungs- und Umsetzungsgesetzes EU Aufgrund der mit der DSGVO einge-
weder zu einer Abmahn- (2. DSAnpUG-EU) wurde durch den Bun- führten Rechenschaftspflicht müssen
welle, noch wurden die destag beschlossen, dass Verantwortli- Sie als Clubbetreiber liefern können.
Betreiber von Fitness- che zukünftig erst ab 20 Mitarbeitern, die Das heißt, Sie müssen der Aufsichtsbe-
clubs zur Zahlung von ständig mit der automatisierten Verar- hörde nachweisen können, dass Sie zum
horrenden Bußgeldern beitung personenbezogener Daten be- Beispiel die Grundsätze der Datenverar-
„verdonnert“. Woran liegt schäftigt sind, einen Datenschutzbeauf- beitung erfüllen oder geeignete Prozes-
tragten zu benennen haben. Die bisheri- se für Betroffenenanfragen oder den
es, dass es rund um das
ge Grenze von 10 Personen ist damit seit Umgang bei einer Datenschutzpanne
Thema „Datenschutz“ dem 26. November 2019 passé. In der eingeführt haben.
doch ganz anders kam Praxis heißt das, dass die meisten Fit-
als befürchtet? nessclubs nicht verpflichtet sind, einen Ihre digitale Visitenkarte
Datenschutzbeauftragten (egal ob intern Ihr Internetauftritt ist Ihre digitale Visi-
oder extern) zu benennen. Aber: keine tenkarte. Kunden, Wettbewerber und
voreiligen Schlüsse! Als Clubbetreiber Aufsichtsbehörden können mit einfa-
können Sie jetzt auf der einen Seite ju- chen Mitteln feststellen, wie ernst Sie es
– eine Bilanz
sonst ist sie ganz schnell unrechtmäßig beln, auf der anderen Seite müssen Sie mit Datenschutz und IT-Sicherheit mei-
und muss womöglich außer Betrieb ge- sich aber bewusst sein, dass die Vorga- nen. Dabei geht es nicht nur um Ihre Da-
nommen werden. ben der DSGVO trotzdem vollumfänglich tenschutzerklärung und ein Cookie-Ban-
gelten. Sie müssen sich das Wissen nun ner, sondern auch um grundlegende
Datenschutzrechte als eben selbst erarbeiten und können nicht Einstellungen, damit Ihre Website nicht
„Waffe“ mehr auf die Beratung und Unterstüt- zur Spam-Schleuder wird. Zum Safer-In-
Die Verbraucher, also Ihre Mitglieder, zung eines fachkundigen Datenschutz- ternet-Day 2019 wurden durch das Bay
haben ihre Betroffenenrechte, vor allem beauftragten zurückgreifen. LDA insgesamt 40 Websites von Unter-
das Recht auf Auskunft und Löschung, Lösungen speziell für Fitnessclubs nehmen überprüft. Alle 40 Seiten wur-
als Druckmittel entdeckt, um ihre Forde- und Gesundheitseinrichtungen, die kei- den beanstandet.
rungen durchzusetzen. Wenn Sie als Ver- nen Datenschutzbeauftragten benöti-
antwortlicher einen guten Prozess für gen, gibt es. Wenn Sie als Clubbetreiber Checkliste für Clubbetreiber
Betroffenenanfragen implementiert ha- das Thema „Datenschutz und Daten- Technische und organisatorische Maß-
ben, sind Betroffenenanfragen zwar Ar- schutzmanagement“ kostengünstig und nahmen, die Sie als Clubbetreiber auf
beitsaufwand, aber ansonsten kein Risi- ressourcenschonend umsetzen wollen, jeden Fall umsetzen sollen, können Sie
ko. Sollten Sie hier allerdings nicht gut informieren Sie sich z. B. bei „Daten- mithilfe der Checkliste für Fitnessstu-
aufgestellt sein, kommen Sie schnell in schutz365 Fitness&Gesundheit“. Infor- dios & Vereine auf der Seite https://qrco.
die Gefahr eines Rechtsverstoßes. Denn mationen dazu finden Sie auf der Websi- de/checkfitness überprüfen. Schauen
wenn Sie nicht innerhalb von 30 Tagen te oder durch Scannen des QR-Codes Sie, welche Themen auch bei Ihnen im
auf eine Auskunftsanfrage reagieren, unter diesem Artikel. Studio umgesetzt werden müssen.
kann es sehr unangenehm und im Die folgenden Maßnahmen sollten
schlechtesten Fall auch teuer werden. Was erwartet eine Aufsichts- Sie idealerweise schon vor zwei Jahren
Nehmen Sie die Anfragen Ihrer Mitglie- behörde von Ihnen? umgesetzt haben – wenn nicht, dann
der, vor allem Ihrer Ex-Mitglieder, ernst Die Wahrscheinlichkeit, dass unange- sollten Sie diese schnellstmöglich ange-
und sorgen Sie für eine vollständige und meldet die Datenschutz-Aufsichtsbe- hen. Wenn Sie Unterstützung benötigen,
www.bodylife.com body LIFE 05 I 2020 l 55
MANAGEMENT DATENSCHUTZ
Schritt-für-Schritt-Umsetzung
Wenn Sie heute nach Begriffen wie
„DSGVO“ oder „Datenschutzumsetzung“
googeln, finden Sie Unmengen an Infor-
mationen, die sich teilweise auch noch
widersprechen. Ohne fachkundiges Wis-
sen werden Sie sich in der Fülle der In-
formationen nicht zurechtfinden. Im
günstigsten Fall vergeuden Sie nur Ihre
Zeit – im ungünstigsten Fall verlieren Sie
viel Geld bei der Umsetzung von Maß-
nahmen, die völlig am Ziel vorbeischie-
ßen oder grundsätzlich überhaupt nicht
notwendig sind. Arbeiten Sie sich Schritt
für Schritt vor. Versuchen Sie nicht, alles
auf einmal umzusetzen.
Fazit
Als Clubbetreiber sind Sie für die Ein-
haltung des Datenschutzes verantwort-
Betreiber sollten überlegen, wie sie in ihrem Studio die DSGVO-Richtlinien am praktikabelsten lich. Wenn Sie weniger als 20 Mitarbeiter
umsetzen können beschäftigen, besteht keine Pflicht für
Sie, einen Datenschutzbeauftragten zu
benennen. Überlegen Sie sich, wie Sie
die Anforderungen, die Ihnen die DSG-
suchen Sie sich einen Datenschutzbera- Verträge vorliegen. Das gilt auch für VO stellt, praktikabel umsetzen können.
ter, der nicht nur die Branche kennt, son- gemeinsame Verantwortliche, z. B. Fa- Es gibt Unterstützungsmöglichkeiten,
dern auch einen lösungsorientierten cebook, wenn Sie eine Facebook-Fan- die Ihnen dabei helfen, vor allem wenn
Beratungsansatz verfolgt. Mit einer fal- seite betreiben. Ihnen die fachkundige Beratung eines
schen Beratung können Datenschutz 5. Halten Sie Ihr IT-System aktuell und Datenschutzbeauftragten fehlt. Gehen
und IT-Sicherheit sehr teuer werden und sicher. Prüfen Sie die Sicherheitsein- Sie bei der Umsetzung Schritt für Schritt
etablierte Prozesse werden plötzlich pra- stellungen Ihrer Betriebssysteme, die vor und vermeiden Sie teuren Aktionis-
xisfern und umständlich. Einstellungen von Ihren Browsern mus. Ihr Bauchgefühl und Ihr gesunder
Was Sie im Datenschutz auf jeden Fall und Routern. Stellen Sie sicher, dass Menschenverstand sind gute Ratgeber.
umsetzen sollten: Sie sensible Gesundheitsdaten von Abschließend ein Tipp von mir: Wenn
1. Sensibilisieren Sie Ihre Mitarbeiter Mitgliedern ausschließlich mit ver- Sie eine Datenverarbeitung durchfüh-
bezüglich des Datenschutzes und der schlüsselter E-Mail verschicken. ren, versetzen Sie sich in die Lage Ihres
Vertraulichkeit und lassen Sie sich 6. Implementieren Sie Prozesse für die Mitglieds. Wollten Sie, dass mit Ihren
das unterschreiben. Beantwortung von Betroffenenanfra- Daten so umgegangen würde? Wenn Sie
2. Überprüfen Sie Ihre Website auf DSG- gen und den Umgang mit Daten- das innerlich verneinen, führen Sie die
VO-Konformität. Ihre digitale Visiten- schutzpannen. Verarbeitung nicht durch! Achim Barth
karte muss den gesetzlichen Anforde-
rungen entsprechen.
3. Dokumentieren Sie alle Verfahren im
Fotos und Abb.: peterschreiber.media - stock.adobe.com; Achim Barth
Club, in denen personenbezogene Da-
ten verarbeitet werden. Prüfen Sie, ob
es für die Verarbeitung eine Notwen-
digkeit gibt und wie lange Sie die Da-
ten speichern wollen, wo die Daten
gespeichert sind und wer darauf zu-
greifen kann.
4. Erstellen Sie eine Übersicht, an wel- Achim Barth ist Geschäftsführer
che externen Stellen Sie personenbe- der Barth Datenschutz GmbH,
zertifizierter Datenschutzbeauf-
zogene Daten weitergeben. Danach tragter (GDDcert EU, UDISzert)
prüfen Sie, ob es für die Weitergabe und fachkundiger IT-Sicherheits-
eine Rechtsgrundlage gibt. Bei Auf- beauftragter (UDIS). Er berät lö-
sungs- und kundenorientiert Verantwortliche
tragsverarbeitern, z. B. einem
im Gesundheitswesen und in der Fitness-
Cloud-Dienstleister, müssen Sie si- branche zu Datenschutzthemen.
cherstellen, dass die notwendigen
56 l body LIFE 05 I 2020 www.facebook.com/bodylifeSie können auch lesen
