Braucht ein Personaltrainer einen Datenschutzbeauftragten?

TP.experts News   •   06. August 2018

Als Personal Trainer hat man immer Kontakt mit personenbezogenen Daten sowie Daten der sensiblen Art. Die meisten Trainer arbeiten mit Erfassungsbögen und Dokumentationen auf denen Daten zum Gesundheitszustand, Körpergröße und auch Gewicht verarbeitet werden. In diesem Fall liegt die Frage nah: braucht ein Personal Trainer einen Datenschutzbeauftragten?

Die weitläufige Definition zu diesem Sachverhalt sagt, wenn 10 Personen regelmäßig mit personenbezogenen Daten arbeiten oder sobald die erste Person eines Unternehmens regelmäßig und umfangreich sensible Daten verarbeitet, besteht die Pflicht zur Bestellung eines Datenschutzbeauftragten.  Die meisten Personal Trainer, vor allem hier in Mitteldeutschland sind Alleinkämpfer und finanziell nicht in der Lage einen externen Datenschutzbeauftragten zu bestellen, da die Kosten nicht im Verhältnis zu erwirtschafteten Gewinn des Unternehmers stehen. Diese drohende Unverhältnismäßigkeit sollte in unseren Augen auch dem Gesetzgeber klar sein, weshalb wir davon ausgegangen sind, dass diese Pflicht für einzelne, freiberufliche Personal Trainer nicht greift.

Also Anfrage stellen!

Um dies möglichst rechtsicher zu klären, bedarf es einer Anfrage beim zuständigen Landesbeauftragten für den Datenschutz und die Informationsfreiheit. Und da dies die Meisten da draußen nicht, haben wir uns dem Thema angenommen und diese Frage gestellt. Wir wollten konkret wissen, ob es sich bei den einzelnen Mandaten für das Personal Training um eine umfangreiche Verarbeitung von sensiblen und personenbezogenen Daten handelt und ob daraus die Pflicht eine Bestellung herzuleiten ist. Denn folgende Voraussetzungen sind erfüllt:

  • regelmäßige Verarbeitung von personenbezogenen und sensiblen Daten

  • Dokumentation von Sicherung von sensiblen Daten

  • die Verwendung der Daten ist fester Bestandteil der Kerntätigkeit (Controlling & Zielsetzung)

Die Anfrage wurde bereits zur Einführung der DSGVO – Datenschutz Grundverordnung gestellt. Mittlerweile liegt uns auch eine Antwort des Landesbeauftragten inklusive einer ausführlichen Begründung bei. Das Dokument könnt ihr hier einsehen: Antwort Landesbeauftragter. Die daraus zu entnehmender Antwort lautet erst einmal:

Der Personal Trainer muss keinen Datenschutzbeauftragten bestellen!

Zur Begründung: Da die einzelnen freiberuflichen Personal Trainer Alleinkämpfer sind, geht der Gesetzgeber hier nicht von einer “umfangreichen” Verarbeitung von sensiblen oder personenbezogenen Daten aus. Auch ist es wichtig, dass die Verarbeitung der Daten ein fester Bestandteil des Kerngeschäftes der Trainer sein muss. Auch wenn bei jedem Mandanten eines Trainers Daten erhoben werden und diese regelmäßig kontrolliert und dokumentiert werden, geht man davon aus, dass die Erfassung der Daten dennoch nicht zum Kerngeschäft des Personaltrainings zählen.

Des Weiteren wird aber empfohlen, dass jeder Trainer nachweist, im Rahmen einer DSFA (Datenschutz-Folgenabschätzung) dies zu dokumentieren und die Dokumentation im Zweifelsfall nachweisen zu können. Hierbei soll sichergestellt, dass vor allem genutzte Technologien zur Verarbeitung der Daten auch ihre Sicherheit im Rahmen der DSGVO gewährleisten können.