Kurz gefasst
Fitnessstudios verarbeiten mehr persönliche Daten als die meisten anderen KMU — Gesundheitsinformationen, Fotos, Zahlungen. Fünf Dinge, die du im Griff haben musst: Rechtsgrundlagen, Speicherung, Einwilligungen, Datenverarbeitungsverträge und Benutzerrechte.
Hinweis: dieser Artikel ist eine praktische Einführung, keine Rechtsberatung. Lasse konkrete Bewertungen von einem Anwalt oder der Datenschutzbehörde validieren.
Was verlangt die DSGVO von einem Fitnessstudio?
Fünf Bereiche müssen geregelt sein:
- Rechtsgrundlage für jeden Datentyp, den du verarbeitest
- Klare Aufbewahrungsfristen dokumentiert
- Explizite Einwilligung für Marketing und Gesundheitsinformationen
- Datenverarbeitungsvertrag mit allen externen Dienstleistern
- System zur Verwaltung von Benutzerrechten (Auskunft, Löschung, Export)
1. Welche Daten verarbeitest du eigentlich?
Beginne mit einer Datenkartierung. Schreibe auf, welche Daten du sammelst, wo sie gespeichert sind, wer Zugriff hat und wie lange sie aufbewahrt werden. Typische Kategorien in einem Fitnessstudio:
Gewöhnliche personenbezogene Daten (Name, Adresse, Telefon, E-Mail). Gesundheitsinformationen, falls ihr Verletzungen, Allergien oder Gesundheitsformulare erfasst — das ist eine besondere Kategorie die explizite Einwilligung erfordert. Fotos vom Studio oder von Kursen, falls sie identifizierbar sind. Zahlungsdaten. Zugriffsdaten aus Zutrittskontrollsystemen.
2. Was ist deine Rechtsgrundlage für die Verarbeitung?
Jeder Datentyp braucht eine Rechtsgrundlage. Die vier relevantesten für Fitnessstudios sind:
Vertragserfüllung: du darfst Daten verarbeiten, die zur Erfüllung des Vertrags notwendig sind — z.B. Zahlung, Buchung, Zugang.
Einwilligung: erforderlich für Marketing, Fotos, die du veröffentlichst, und besondere Kategorien wie Gesundheitsdaten.
Berechtigtes Interesse: kann Sicherheit und Betrugsprävention abdecken — erfordert aber eine dokumentierbare Interessenabwägung.
Gesetzliche Verpflichtung: Buchhaltung, Steuern, Geldwäsche usw.
3. Wie lange darfst du daten speichern?
Löschfristen müssen konkret und dokumentiert sein. Nicht "bis auf weiteres". Typische Beispiele: Buchhaltungsmaterialien 5 Jahre, gewöhnliche Mitgliedsdaten nach Beendigung 6-12 Monate (falls nicht andere Bestimmungen längere Aufbewahrung erfordern), Marketing-Einwilligungen bis Widerruf.
Wichtig ist nicht, dass die Frist überall gleich ist — wichtig ist, dass du dich positioniert hast und deine Entscheidung begründen kannst.
4. Datenverarbeitungsverträge
Jedes Mal, wenn ein externer Dienstleister personenbezogene Daten in deinem Auftrag verarbeitet — Buchungssystem, E-Mail-Anbieter, Zahlungsgateway — muss es einen Datenverarbeitungsvertrag (DV) geben. Das ist eine gesetzliche Anforderung, keine Formalität.
Ein guter DV beschreibt konkret, welche Daten verarbeitet werden, wofür, wie lange, und welche Sicherheitsmaßnahmen gelten.
5. Rechte der Mitglieder
Jedes Mitglied hat das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenportabilität und Widerspruch. Du musst auf solche Anfragen innerhalb von 30 Tagen reagieren.
Praktisch bedeutet das: du musst wissen, wo Daten gespeichert sind, du musst sie in einem lesbaren Format extrahieren können, und du musst sie löschen können, ohne dass Kopien zurückbleiben. Das ist schwierig, wenn Daten in Excel, Mailboxen und Notizzetteln verstreut sind. Es ist trivial, wenn alles in einem System liegt.
Nächste Schritte
Lese unsere Datenschutzerklärung als Beispiel für die Struktur. Oder buche eine Demo und sehe, wie FitnessBooking es einfacher macht, Rechte und Aufbewahrung einzuhalten.
GDPR-konforme Buchung von Tag eins
Buche eine Demo und sieh, wie FitnessBooking mit GDPR im Hinterkopf entwickelt wurde.
