Aktualisiert 8 Min. Lesezeit

DSGVO für Fitnessstudios — ein praktischer Leitfaden ohne Panik

Ein bodenständiger Leitfaden zur DSGVO für kleine Fitnessstudios. Was als personenbezogene Daten zählt, was Ihre Software übernimmt und was Sie selbst dokumentieren müssen.

Eine kurze Anmerkung, bevor wir beginnen. Dies ist eine praktische Anleitung, keine Rechtsberatung. Wenn eine Frage echte Bedeutung für Ihr Geschäft hat, sprechen Sie mit einem auf Datenschutz spezialisierten Anwalt. Wir schreiben dies, damit Sie wissen, welche Fragen es wert sind, gestellt zu werden.

Die DSGVO gilt seit Mai 2018, und die meisten Studio-Inhaber, mit denen wir sprechen, haben eine vage Vorstellung davon, was sie von ihnen verlangt, aber nur wenige haben ein klares Bild. Das ist nachvollziehbar — die Verordnung ist lang, die Leitlinien der Aufsichtsbehörden sind manchmal inkonsistent, und das meiste, was online darüber geschrieben wird, ist entweder anwaltlich-vorsichtig oder marketing-alarmistisch.

Dieser Text ist die ruhige Mitte. Es ist eine praktische Erklärung für Sie, der Sie ein Yogastudio, eine CrossFit-Box, ein Pilates-Reformer-Studio oder ein kleines Fitnessstudio führen und wissen wollen: Was bedeutet die DSGVO eigentlich für mich, was übernimmt meine Buchungssoftware, und worum muss ich mich selbst kümmern?

Zwei Anmerkungen vorab. Erstens sind die Regeln in der gesamten EU und im Vereinigten Königreich weitgehend gleich — die UK GDPR ist eine direkte Kopie der EU-DSGVO mit ausgetauschten Ländernamen, und die praktischen Pflichten für ein kleines Studio sind im Wesentlichen identisch. Zweitens — und das werden wir mehr als einmal sagen — ist dies keine Rechtsberatung. Es ist ein Versuch, die beweglichen Teile zu entmystifizieren, damit Sie wissen, welche Fragen es wert sind, gestellt zu werden, wenn etwas wichtig wird.

DSGVO in einem Absatz

Die DSGVO ist eine Verordnung, die besagt: Wenn Sie personenbezogene Daten von Personen in der EU oder im Vereinigten Königreich erheben, müssen Sie einen guten Grund dafür haben, Sie müssen ehrlich gegenüber den Betroffenen sein, wofür Sie diese verwenden, Sie müssen sie sicher aufbewahren, Sie müssen sie löschen, wenn Sie sie nicht mehr brauchen, und Sie müssen den Betroffenen die Möglichkeit geben, ihre eigenen Daten auf Anfrage einzusehen, zu korrigieren oder zu entfernen. Das ist das Rückgrat. Fast alles andere sind Details, die an einem dieser fünf Punkte hängen.

Was als personenbezogene Daten in einem Studio zählt

Personenbezogene Daten sind alles, was eine lebende Person direkt oder indirekt identifizieren kann. In einem typischen Studio umfasst das:

  • Namen, E-Mail-Adressen, Telefonnummern, Postanschriften
  • Geburtsdatum, Profilbilder, Notfallkontaktdaten
  • Buchungshistorie und Anwesenheitslisten
  • Mitgliedschaftsstatus, Guthaben auf Klippkarten, Kaufhistorie
  • Zahlungsmetadaten (letzte 4 Stellen der Karte, Rechnungsadresse — vollständige Kartennummern dürfen niemals auf Ihren Servern liegen; das ist Aufgabe des Zahlungsdienstleisters)
  • Gesundheitsangaben aus Aufnahmeformularen, Verletzungshinweise, Schwangerschaftsstatus
  • Fotos und Videos aus Kursen, in denen Teilnehmer erkennbar sind
  • IP-Adressen und Login-Zeitstempel in Ihrer Software

Zwei davon — Gesundheitsdaten und je nach Kontext Fotos — fallen in eine strengere Kategorie, die besondere Kategorien personenbezogener Daten genannt wird. Darauf kommen wir zurück.

Die Aufteilung: Software versus Sie

Die DSGVO führt zwei Rollen ein: Verantwortlicher und Auftragsverarbeiter. Der Verantwortliche entscheidet, welche Daten erhoben werden und warum. Der Auftragsverarbeiter verarbeitet die Daten nach den Weisungen des Verantwortlichen. Für ein Studio, das eine Buchungssoftware nutzt, ist das Studio der Verantwortliche und die Software der Auftragsverarbeiter. Diese Unterscheidung ist wichtig, weil sich die Verantwortlichkeiten entlang dieser Linie aufteilen.

Grob gesagt sollte Ihre Buchungsplattform die technische Seite übernehmen: Verschlüsselung im Ruhezustand und bei der Übertragung, Zugangskontrollen, sichere Backups, Audit-Logging und die Pflicht, Sie umgehend zu informieren, wenn auf ihrer Seite eine Datenpanne auftritt. Bei Class Booking ist dies in einem Auftragsverarbeitungsvertrag (AVV) festgehalten, den wir mit jedem einzelnen Studio unterzeichnen.

Sie übernehmen die redaktionelle Seite: zu entscheiden, welche Daten Sie überhaupt erheben, eine Rechtsgrundlage für die Erhebung zu haben, Marketing-Einwilligungen auf die richtige Weise einzuholen, festzulegen, wie lange Daten aufbewahrt werden, und der Mensch zu sein, der antwortet, wenn ein Mitglied einen Auskunftsantrag stellt. Die Software kann all das erleichtern — Exporte, Aufbewahrungsregeln, Audit-Logs — aber sie kann die Entscheidungen nicht für Sie treffen.

Was Sie tatsächlich schriftlich festhalten müssen

Für ein kleines Studio ist die Dokumentationslast geringer, als die meisten befürchten. Vier Dinge sind grob gesagt schriftlich festzuhalten:

  • Eine einfache Datenschutzerklärung auf Ihrer Website. Klare Sprache, eine Seite, die abdeckt, was Sie erheben, warum, mit wem Sie es teilen (Ihre Buchungssoftware, Ihr Zahlungsdienstleister, Ihr E-Mail-Tool), wie lange Sie es aufbewahren und wie ein Mitglied seine Rechte ausüben kann.
  • Ein Verzeichnis von Verarbeitungstätigkeiten. Ein kurzes internes Dokument, das die Datenkategorien auflistet, die Sie speichern, warum Sie sie speichern und wo sie liegen. Für ein Studio ist das in der Regel eine Seite. Vorlagen sind frei verfügbar bei den Aufsichtsbehörden in der EU und im Vereinigten Königreich.
  • Ein einfacher Notfallplan für Datenpannen. Eine halbe Seite reicht. Wer wird in welcher Reihenfolge benachrichtigt, wer entscheidet, ob die Aufsichtsbehörde informiert wird, wer verfasst die Nachricht an betroffene Mitglieder. Der Punkt ist, dass Sie diese Entscheidungen in Ruhe im Voraus getroffen haben, nicht in der Situation selbst.
  • Dokumentation der Marketing-Einwilligung. Wann ein Mitglied das Häkchen bei “Schicken Sie mir Angebote per E-Mail” gesetzt hat, wann es sich abgemeldet hat und welcher Wortlaut der Einwilligung zugrunde lag. Die meisten modernen E-Mail-Tools und Buchungsplattformen speichern das automatisch; wenn Ihre das nicht tut, ist das ein Warnsignal.

“Der Sinn eines Notfallplans ist, dass Sie die Entscheidungen in Ruhe im Voraus getroffen haben, nicht in der Situation selbst.”

Besondere Kategorien personenbezogener Daten: Gesundheitsformulare

Gesundheitsdaten, die über Aufnahmeformulare erhoben werden — Verletzungen, Schwangerschaft, Krankheiten, Medikamente — werden strenger behandelt als gewöhnliche personenbezogene Daten. Artikel 9 der DSGVO nennt dies besondere Kategorien personenbezogener Daten, und die Verarbeitung erfordert in der Regel eine ausdrückliche und spezifische Einwilligung zusätzlich zur normalen Rechtsgrundlage.

In der Praxis bedeutet das ein paar Dinge. Erheben Sie nur, was Sie wirklich brauchen, um sicher unterrichten zu können. Ein Reformer-Pilates-Studio muss wahrscheinlich über kürzlich erfolgte Operationen Bescheid wissen; ein Drop-in-Vinyasa-Kurs braucht wahrscheinlich keine vollständige Krankengeschichte. Beschränken Sie den Zugriff auf die Trainer, die die Informationen tatsächlich für den Kurs benötigen, den sie unterrichten, nicht auf das gesamte Team. Und überprüfen und löschen Sie Daten, wenn sie nicht mehr relevant sind — eine Rückenverletzung, die jemand vor drei Jahren angegeben hat und die längst verheilt ist, sollte nicht mehr in der Akte stehen.

Auskunftsanträge in der Praxis

Jedes Mitglied hat das Recht, eine Kopie der personenbezogenen Daten, die Sie über es speichern, in einem portablen Format anzufordern. Es hat auch das Recht auf Berichtigung und in vielen Fällen das Recht auf Löschung. Das sind die Rechte, denen die meisten Studios gelegentlich begegnen — meist nachdem ein Mitglied gekündigt hat, nach einer angespannten Beziehung oder einfach aus Neugier.

Die Antwortfrist beträgt in der Regel einen Monat ab dem Datum der Anfrage. Die Antwort sollte alle der Person zugeordneten personenbezogenen Daten umfassen — Profildetails, Buchungshistorie, Zahlungsmetadaten, Nachrichten, alles, was sie Ihnen gegeben hat oder was Sie über sie generiert haben. Bei Class Booking bieten wir einen Ein-Klick-DSGVO-Export, der ein strukturiertes Paket erzeugt, das zur Weiterleitung bereit ist.

Eines sei zu bedenken: Das Recht auf Löschung ist nicht absolut. Sie dürfen Aufzeichnungen in der Regel behalten, zu deren Aufbewahrung Sie gesetzlich verpflichtet sind — zum Beispiel Rechnungen aus steuerlichen Gründen — auch wenn das Mitglied Sie bittet, alles zu löschen. Was Sie nicht dürfen, ist, ihre Daten aus Marketing- oder operativen Bequemlichkeitsgründen zu behalten, nachdem sie Sie gebeten haben, damit aufzuhören.

Marketing-E-Mails

Drei Regeln decken das meiste ab, was ein kleines Studio über Marketing-E-Mails wissen muss. Opt-in, niemals Opt-out — keine vorangekreuzten Kästchen bei der Anmeldung. Jede Marketing-Nachricht sollte einen funktionierenden Ein-Klick-Abmeldelink haben. Transaktionsnachrichten, die mit einer bestehenden Buchung oder einem Kauf verbunden sind (Buchungsbestätigungen, Quittungen, Stundenplanänderungen), fallen in eine andere Kategorie und benötigen keine separate Marketing-Einwilligung.

Die Grenze zwischen Transaktion und Marketing kann verschwimmen — eine “Sie haben länger nicht gebucht, hier sind 20% Rabatt”-E-Mail ist Marketing, auch wenn sie über Ihre Buchungsplattform versendet wird. Im Zweifel behandeln Sie sie als Marketing und prüfen Sie, ob der Empfänger zugestimmt hat.

Typische Fehler

Vier Muster, die wir immer wieder sehen, wenn wir mit Studios sprechen, die von älteren Systemen wechseln:

  • Weiterleitung von Mitgliederdaten per E-Mail oder WhatsApp. Ein neuer Trainer muss wissen, wer zum Kurs von morgen kommt, also exportiert der Inhaber eine Liste in eine Tabelle und schickt sie per E-Mail. Diese Tabelle liegt nun in zwei Postfächern, möglicherweise für immer, ohne Audit-Spur und ohne Möglichkeit, sie zurückzuziehen. Die Lösung ist, dem Trainer ein Konto im Buchungssystem mit Zugang auf Kursebene zu geben, damit er die Liste dort sehen kann.
  • Ehemalige Mitglieder für immer aufzubewahren. “Sie kommen vielleicht zurück” ist keine Rechtsgrundlage für die Aufbewahrung. Setzen Sie eine sinnvolle Inaktivitätsgrenze (zwölf Monate, vierundzwanzig Monate — was zu Ihrem Geschäft und Ihren steuerlichen Pflichten passt), und lassen Sie Ihr Buchungssystem Konten, die diese Grenze überschreiten, entweder anonymisieren oder löschen.
  • Fotos von Kursen ohne Einwilligung. Ein Mitarbeiter-Instagram mit dem heutigen Kurs, auf dem alle Gesichter sichtbar sind, ist eine Veröffentlichung personenbezogener Daten. Holen Sie entweder eine Einwilligung ein (ein Häkchen bei der Anmeldung, regelmäßig erneuert) oder fotografieren Sie so, dass keine Einzelpersonen identifizierbar sind.
  • Daten mit Trainern teilen, die diese nicht haben sollten. Ein freiberuflicher Trainer, der einen Kurs vertritt, braucht keinen Zugang zu Ihrer gesamten Mitgliederliste, Zahlungshistorie oder Gesundheitsangaben von Personen, die er nie treffen wird. Verwenden Sie rollenbasierten Zugriff. Die meisten modernen Buchungsplattformen haben das eingebaut.

Wo Class Booking hilft

Wir sind Auftragsverarbeiter, nicht Verantwortlicher, sodass die meisten redaktionellen Entscheidungen weiterhin bei Ihnen liegen. Aber das technische Gerüst ist eingebaut:

  • EU-Datenspeicherung. Server in der EU, standardmäßig keine Übertragungen in Drittländer.
  • Ein Audit-Log darüber, wer wann und woher worauf zugegriffen hat.
  • Ein-Klick-DSGVO-Export von allem, was mit einem Mitglied verbunden ist.
  • Datenlöschung auf Anfrage, mit Aufbewahrungsausnahmen für gesetzlich vorgeschriebene Aufzeichnungen.
  • Rollenbasierter Zugriff, sodass Trainer nur die Kurse und Mitglieder sehen, die sie benötigen.
  • Ein unterzeichneter Auftragsverarbeitungsvertrag (AVV) plus eine öffentliche Liste von Unterauftragsverarbeitern, damit Sie wissen, wer sonst noch Ihre Daten berührt.
  • Verfahren zur Meldung von Datenpannen, dokumentiert im AVV.

Nichts davon ist heroisch. Es ist das, was ein moderner Auftragsverarbeiter liefern soll. Aber wir erwähnen es ausdrücklich, weil einige ältere Plattformen das immer noch nicht tun, und Klarheit darüber, wo die Linien verlaufen, ist Teil dessen, was die Verantwortlichen-Seite der Arbeit handhabbar macht.

Eine kurze abschließende Anmerkung

Die DSGVO ist weniger mysteriös, als sie oft dargestellt wird. Haben Sie einen guten Grund für die Daten, die Sie erheben. Sagen Sie den Menschen, wofür Sie sie verwenden. Halten Sie sie sicher. Löschen Sie sie, wenn Sie fertig sind. Lassen Sie die Menschen ihre eigenen Daten einsehen und entfernen, wenn sie darum bitten. Die Dokumentation besteht aus einer einseitigen Datenschutzerklärung, einem einseitigen Verarbeitungsverzeichnis, einem einseitigen Notfallplan und einem Protokoll der Marketing-Einwilligungen. Das ist im Wesentlichen alles.

Und — zum dritten Mal, weil es wiederholt werden muss — wenn eine konkrete Frage für Ihr Geschäft Bedeutung hat, sprechen Sie mit einem auf Datenschutz spezialisierten Anwalt. Wir können das Gerüst zum Funktionieren bringen; die redaktionellen Entscheidungen bleiben Ihre.