Neues Datenschutzgesetz: Was Sie wissen sollten

Wichtige Informationen für Fitnessanbieter zum neuen Datenschutzgesetz!

Mit der Einführung des totalrevidierten schweizerischen Datenschutzgesetzes (DSG) am 1. September 2023 stehen Fitnessbetreiber vor neuen Herausforderungen im Umgang mit personenbezogenen Daten. Das Gesetz bringt einige wichtige Änderungen mit sich, die Fitnesscenter beachten müssen, um den Datenschutz zu gewährleisten und rechtliche Anforderungen zu erfüllen. Hier sind einige praktische Tipps, die Fitnesscenter im Zusammenhang mit dem neuen DSG berücksichtigen sollten:

1. Geltungsbereich des DSG

Das überarbeitete DSG schützt nur noch die Daten natürlicher Personen und nicht mehr die von juristischen Personen.

2. Erhöhte Informationspflicht

Fitnesscenter müssen ihren Kund:innen genau mitteilen, wie ihre personenbezogenen Daten verwendet werden. Dies schliesst die explizite Offenlegung von Daten für andere Zwecke ein, als sie bei einem Fitnesscenter-Besuch erwartet werden, wie beispielsweise die Weitergabe an Dritte zu Werbezwecken oder die Verwendung für interne Werbezwecke. Es ist ratsam, diese Informationen schriftlich mitzuteilen und nachweisbar die Einwilligung der Kunden einzuholen, beispielsweise im Rahmen des Eintrittsformulars.

3. Website und Datenschutzerklärung

Fitnesscenter müssen auf ihrer Website eine Datenschutzerklärung bereitstellen, die sagt, in welche Personendatenbearbeitungen der Webseitenbesucher durch Besuch der Webseite einwilligt, inkl. Cookies, Drittdienste wie Google-Analytics, Einbindung soziale Medien, Nutzung von Daten zu Werbezwecken, etc.

4. Schutz von Gesundheitsdaten

Gesundheitsdaten von Kunden (z. B. Gesundheitsfragebögen) und Mitarbeiterdaten (z. B. Personaldossiers) sind besonders schützenswert und müssen vor unbefugtem Zugriff oder versehentlicher Veröffentlichung geschützt werden. Dies erfordert Massnahmen wie die sichere Aufbewahrung und den Zugang nur mit Passwort.

5. IT-Sicherheit

Die Sicherheit von IT-Systemen, die personenbezogene Daten enthalten, hat höchste Priorität. Dies erfordert aktuelle Sicherheitsmassnahmen wie Antivirensoftware, Firewalls und regelmässige Systemupdates.

6. Datenbereinigung

Alte Personendatenbestände: Ungeachtet ob auf Papier oder digital vorhanden sind Personendatenbestände, die nicht mehr benötigt werden (z.B. Daten von ehem. Kund:innen oder ehem. Mitarbeiter:innen) zu vernichten, in der Regel nach Ablauf der gesetzlichen Aufbewahrungspflicht für Geschäftsunterlagen von 10 Jahren.

7. Opt-Out-Möglichkeit

Kund:innen müssen die Möglichkeit haben, ihre Einwilligung zu Datenbearbeitungen zu widerrufen. Falls er z.B. in die Nutzung seiner Daten für den Versand eines Newsletters oder von Werbung eingewilligt hat, muss er dies jederzeit wieder abbestellen können. Generell stehen dem Kunden erweiterte Rechte (Auskunfts-, Löschungsrecht, etc.) zu.

8. Datenschutz-Folgenabschätzung (DFA)

Aus derzeitiger Sicht swiss active besteht mangels eines hohen Bearbeitungsrisikos keine generelle Pflicht für Fitnesscenter, eine sogenannte Datenschutz-Folgenabschätzung (DFA) durchzuführen (siehe auch DFA-Merkblatt EDÖB vom August 2023).

Für weitere Informationen und Ressourcen zum Thema Datenschutz im Fitnesscenter, können Sie die Website des Eidgenössischen Datenschutzbeauftragten (EDÖB) besuchen. Bei Fragen oder Bedarf an Expertenunterstützung steht Ihnen Qualitop gerne zur Verfügung.

Quellenangaben:
– Patrick Degen, Fürsprecher, schluepdegen.ch