Digitalisierung

Datenschutz in Zeiten von Corona und Digitalisierung – Pflicht oder Kür?

Online-Kurse über Zoom, die Möglichkeit, Mitgliedschaften online abzuschließen, oder ein eigener Online-Shop sind mittlerweile Standard-Angebote in den Fitnessclubs. Doch was müssen Studiobetreiber bei diesen digitalen Angeboten hinsichtlich des Datenschutzes beachten?

Das Wichtigste in Kürze:

  • Für die datenschutzkonforme Gestaltung der eigenen  Online-Kurse und Teammeetings, sollte ein Anbieter gewählt werden, der sowohl seinen Firmensitz als auch seine Infrastruktur in der EU hat.
  • Mitglieder und Mitarbeiter könnten Lücken im Datenschutz  als Druckmittel einzusetzen, um sofort aus gültigen Verträgen zu kommen oder sonstige Interessen durchzusetzen.
  • Datenschutz und  IT-Sicherheit sind beides Bereiche, die sich in einem sehr schnellen Wandel befinden. Deshalb ist hier eine regelmäßige Überprüfung und Anpassung notwendig.

Der Markt gibt es in Zeiten von Corona vor und das größte Wachstum erleben aktuell digitale Anbieter bzw. digitale Geschäftsmodelle. Der Kunde von heute spiegelt das in seinem Anspruch gegenüber den Fitnessstudios wider und die Erwartungshaltung, digitale Angebote nutzen zu können, steigt. So wurde der Kursraum kurzerhand zum Filmstudio umfunktioniert, Meetings mit Mitarbeitern digital über Zoom oder Microsoft Teams abgehalten, Vorträge für Mitglieder wurden online gestreamt und oftmals im Nachgang als Aufzeichnung bereitgestellt.

Aber nicht nur das Kundenerlebnis wurde in der Fitnessbranche digitaler gestaltet, auch viele Abläufe wurden digitalisiert, um an Effizienz zu gewinnen. Die Kreativität kannte keine Grenzen und Mitarbeiter haben sich auf einmal als digitale Projektmanager neu erfinden müssen. Der Blick auf die Daten scheint verschwunden zu sein und das Thema findet sich oftmals im Hintergrund wieder.

Nehmen wir das Beispiel des Messenger-Anbieters WhatsApp – war da nicht etwas? Innerhalb kürzester Zeit wechselten viele Menschen zu Threema, Signal oder ähnlichen Anbietern. Aber warum nur? Da ist es auf einmal wieder, das böse Wort „Datenschutz“. Auch die Fitnessbranche wurde diesbezüglich in Corona-Zeiten immer wieder von Mitgliedern gegängelt, wenn es um Kompensationen für die Zeit der Schließung ging oder Kunden schnell ihre Mitgliedschaft kündigen wollten, und das am besten ohne irgendwelche Fristen einhalten zu müssen.

Dieser Artikel betrachtet die verschiedenen Bereiche der digitalen Angebote, die in der Branche in der Zwischenzeit entstanden sind, durch die Brille des Datenschutzes. Ziel ist es nicht, lästigen Mehraufwand für Studiobetreiber zu erzeugen, sondern vielmehr einen Standard zu empfehlen, um spätere Diskussionen und Auseinandersetzungen mit Mitgliedern zu vermeiden. Von diesen gab es in den letzten Wochen und Monaten einige, auf die im Artikel ebenfalls eingegangen wird.

Wer seine Online-Kurse und Teammeetings auch zukünftig datenschutzkonform gestalten möchte, der sollte sich einen Anbieter suchen, der sowohl seinen Firmensitz als auch seine Infrastruktur in der EU hat (Bildquelle: ©steph photographies - stock.adobe.com)

Rückgewinnung von ehemaligen Mitgliedern

Beginnen wir mit dem Thema der Mitgliederrückgewinnung. Hier stellt sich oft die Frage, ob ehemalige Mitglieder kontaktiert werden dürfen. Der Gesetzgeber unterscheidet diesbezüglich die unterschiedlichen Kommunikationsarten. Für eine Kontaktaufnahme
via Telefon, E-Mail oder Fax benötigen Clubbetreiber eine Einwilligung der Person, die sie kontaktieren möchten. Am besten natürlich schriftlich.

Ein Werbe- oder Angebotsschreiben, das per Post verschickt wird, ist auch ohne vorherige Einwilligung möglich. Hier muss allerdings beachtet werden, dass der Empfänger jederzeit verfügen kann, dass er keine weiteren Schreiben erhalten möchte. In jeder guten Mitgliederverwaltungssoftware sollten also die verschiedenen Kommunikationswege einzeln aufgeführt sein, damit eine saubere Filterung der Datensätze erfolgen kann. Es empfiehlt sich bereits beim Abschluss der Mitgliedschaft darauf zu achten, dass die entsprechenden Einwilligungen eingeholt und in der Studiosoftware hinterlegt werden.

Zwei Punkte, die es letztendlich oftmals gar nicht möglich machen, ehemalige Mitglieder telefonisch oder per E-Mail zu kontaktieren, sind die Speicherdauer bzw. Löschfristen der notwendigen Daten. Nach Beendigung der Mitgliedschaft müssen zeitnah alle personenbezogenen Daten gelöscht werden, die nicht steuerrelevant sind. Hier gelten die Grundsätze der Datensparsamkeit und vor allem der Zweckbindung.

Der Zweck für die Speicherung von Telefonnummer und E-Mail-Adresse fällt im Regelfall dann weg, wenn keine Geschäftsbeziehung mehr zwischen den Parteien besteht. Die Unzulässigkeit von E-Mail-Werbung ohne vorherige Einwilligung wurde erst im Januar
2021 durch das Bundesverfassungsgericht bestätigt. Laut DSGVO hat jeder Geschädigte, dem ein materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Schadensersatz gegen den Verantwortlichen.

Über die genauen Voraussetzungen und die Höhe des Schadenersatzes muss nun der Europäische Gerichtshof entscheiden. Neben den Vorschriften der DSGVO ist in diesem Zusammenhang auch § 7 UWG zu beachten, der unzumutbare Belästigungen von Marktteilnehmern regelt.

Am 25. Juni 2020 hat der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg gegen die AOK Baden-Württemberg ein Bußgeld in Höhe von mehr als 1,2 Millionen Euro verhängt. Die AOK hatte zuvor die Adressen von ca. 500 Teilnehmern eines Gewinnspiels zu Werbezwecken verwendet, ohne dass diese zuvor eingewilligt hatten, dass ihre Kontaktdaten zu Werbezwecken verwendet werden dürfen.

Online-Kurse per Videokonferenz

Viele Studios haben seit Beginn der Pandemie ihre vorherigen Präsenzangebote online angeboten. Die Trainer haben live aus dem Kursraum gestreamt und die Teilnehmer konnten bequem von zu Hause via Notebook, Tablet oder TV an den Kursen teilnehmen. Bei der Wahl der richtigen Technik steckt hier der Teufel im Detail. Wichtigste Punkte sind hier natürlich gute Bild- und Tonqualität sowie eine schnelle und stabile Internetverbindung.

Aber auch die Auswahl der richtigen Software bzw. des richtigen Streaminganbieters ist hier wichtig. Aus Datenschutzsicht sind dabei die Kandidaten, die einem als Erstes in den Sinn kommen, meist nicht die beste Wahl. Der Markt wird auch hierbei von amerikanischen Anbietern wie Microsoft, Zoom oder Citrix dominiert. Bei einigen dieser Anbieter ist es zwar möglich auszuwählen, dass Daten nur innerhalb des EU-Raumes verarbeitet werden, doch Tests haben gezeigt, dass vor allem bei rechenintensiven Prozessen wie Videokonferenzen auch Server außerhalb dieses Raumes eingesetzt werden.

Aber selbst wenn alle Daten im EU-Raum verbleiben, haben laut Cloud Act, einem US-amerikanischen Gesetz, seit März 2018 US-Behörden auch Zugriff auf Server, die sich im Ausland befinden. Und das auch dann, wenn dieser Zugriff gegen lokales Recht verstößt. Wer seine Online-Kurse und Teammeetings auch zukünftig datenschutzkonform gestalten möchte, der sollte sich einen Anbieter suchen, der sowohl seinen Firmensitz als auch seine Infrastruktur in der EU hat.

Werbung via Facebook, Instagram und Co.

Immer wieder taucht die Frage auf, ob Follower und Abonnenten von Firmenprofilen zu Werbezwecken kontaktiert werden dürfen. Grundsätzlich bedarf es auch hier einer expliziten Einwilligung des Empfängers. Follower dürfen also nicht gezielt, z. B. per Messenger, zu Werbezwecken angeschrieben werden. Anders verhält es sich mit Werbenachrichten, die im eigenen Firmenaccount veröffentlicht werden und die dann im Feed der Follower auftauchen. Das ist selbstverständlich zulässig.

Gleiches gilt für bezahlte Werbemaßnahmen, die beim Betreiber der Social-Media-Plattform gebucht werden. Letztendlich finanzieren sich diese Plattformen ja über Werbung und die Auswertung und kommerzielle Verwertung des Nutzungsverhaltens der User.

Auch schon vor der Pandemie haben Mitglieder immer wieder versucht, den Datenschutz bzw. dessen fehlende Umsetzung als Druckmittel einzusetzen, um sofort aus gültigen Verträgen zu kommen (Bildquelle: ©steph photographies - stock.adobe.com)

Der Datenschutz als Druckmittel

Auch schon vor der Pandemie und den damit verbundenen Schließungen bzw. dem eingeschränkten Betrieb von Sport- und Freizeitanlagen haben findige Mitglieder immer wieder versucht, den Datenschutz bzw. dessen fehlende Umsetzung als Druckmittel einzusetzen, um sofort aus gültigen Verträgen zu kommen oder sonstige Interessen durchzusetzen. Gleiches gilt für unzufriedene oder ehemalige Mitarbeiter oder für den direkten Mitbewerber. Wer sich hier nicht gut aufstellt, macht sich angreifbar.

Fast schon inflationär wird vom Anspruch auf Auskunft über die beim Verantwortlichen (in unserem Fall der Betreiber der Fitnessanlage) gespeicherten personenbezogenen Daten Gebrauch gemacht. So verlangen z. B. in Arbeitsrechtsangelegenheiten gekündigte Mitarbeiter Auskunft über ihre in der Personalakte oder Personalsoftware gespeicherten Daten. Viele Unternehmen sind logistisch und technisch gar nicht in der Lage, diese Informationen bereitzustellen, oder halten im schlimmsten Fall sogar Informationen vor, die gar nicht gespeichert werden dürfen bzw. bei denen die Löschfristen nicht eingehalten wurden.

So können ehemalige Mitarbeiter Abfindungen in die Höhe treiben. Mittlerweile gibt es hierzu zahlreiche vorgefertigte Texte, die schnell per Copy & Paste zu einem Schreiben zusammengesetzt werden können. Häufig drohen die Anfragenden in diesem Zusammenhang auch mit einer Meldung bei der zuständigen Aufsichtsbehörde. In der Vergangenheit haben die Behörden derartige Anzeigen auch tatsächlich zum Anlass genommen, um das betroffene Unternehmen vor Ort zu prüfen.

Beim Verdacht auf strukturelle Probleme in einer Branche können sich solche Audits auch auf weitere Unternehmen ausdehnen, die mit dem ursprünglichen Fall nicht ursächlich zusammenhängen.

Datenschutz-Status in der Fitnessbranche

Viele Betreiber von Fitness- und Freizeitanlagen haben sich zur Einführung der Datenschutzgrundverordnung mit dem Thema Datenschutz beschäftigt und auch einiges auf den Weg gebracht. Ein Hauptgrund waren sicherlich die damals angekündigten extrem hohen Bußgelder. Seitdem das Thema in den Medien nicht mehr so viel Beachtung findet, sind allerdings viele Prozesse wieder eingeschlafen oder erst gar nicht umgesetzt worden.

Sowohl Datenschutz als auch IT-Sicherheit sind beides Bereiche, die sich in einem sehr schnellen Wandel befinden. Was gestern noch gut und sicher war, das kann morgen schon anfällig für Angriffe sein oder nicht mehr der geltenden Rechtsprechung entsprechen. Deshalb sind hier regelmäßige Überprüfung und Anpassung notwendig.

Bildquelle: ©lars zahner/EyeEm - stock.adobe.com

 

Der Autor

  • Oliver Dauphin

    Oliver Dauphin betreut als externer Datenschutzbeauftragter und Auditor Unternehmen in der Gesundheitsbranche und insbesondere Fitnessstudios. Er unterstützt viele Fitnessstudiobetreiber bei datenschutzrechtlichen Mitgliederanfragen auch in Zeiten von Corona.

     

Magazin

BODYMEDIA Fitness 4-2021E-Book lesen

BODYMEDIA Fitness 4-2021

Mehr erfahren