Wie dem aktuellen Tätigkeitsbericht zum Datenschutz der Landesbeauftragten für den Datenschutz Niedersachsen (LfD Niedersachsen) für das Jahr 2022 zu entnehmen ist, war in einem Fitnessstudio die Teilnahme an dortigen Kursen nur bei Verwendung eines bestimmten kabellosen Fitnesstrackers inklusive zugehöriger App möglich. Diese Daten von den Teilnehmenden wurden sodann vor Ort in Echtzeit beim Training ausgewertet.
Für die Datenverarbeitung Verantwortlicher war gemäß der Nutzungsbedingungen bzw. vertraglichen Konstellation sowie auf Grund der technischen Steuerungsmöglichkeiten nicht der Hersteller des Systems, sondern der Fitnessstudiobetreiber. Dieser hatte damit seinerseits die Rechtmäßigkeit der Datenverarbeitung sicherzustellen und nachzuweisen.
Die damalige LfD Niedersachsen, Barbara Thiel, wurde nach Beschwerden von betroffenen Personen aus dem Fitnessstudio auf diesen Umstand hingewiesen und beanstandete dieses Vorgehen nach ihrer Prüfung.
Hierzu wird im Tätigkeitsbericht näher ausgeführt:
„Mit den Messutensilien sollen während des Trainings in Echtzeit Leistungsdaten von Clubmitgliedern in Form der Herzfrequenz, der Intensität und des Kalorienverbrauches erfasst werden, die dann automatisch über eine Cloudanwendung zum Hersteller hochgeladen und dort gespeichert werden. Die Teilnehmer haben die Möglichkeit, ihre Daten über die App einzusehen, um ihre Trainingsfortschritte zu verfolgen.“ (Quelle: TB 2022, S. 148)
Bei diesen Informationen, die praktisch live beim Training bei der Person direkt erhoben worden sind, handele es sich um Gesundheitsdaten nach Art. 9 Abs. 1 DSGVO, da diese Aussagen zur Gesundheit der betroffenen Person treffen. Demnach richtet sich die Rechtsgrundlage für die Verarbeitung dieser personenbezogenen Daten nach Art. 9 Abs. 2 DSGVO, weshalb im Kontext der Datenverarbeitung beim Einsatz in einem privatwirtschaftlichen Fitnessstudio lediglich die ausdrückliche Einwilligung gem. Art. 9 Abs. 2 lit. a) DSGVO in Betracht kommt.
Die Freiwilligkeit der Einwilligung
Zum Kern der Einwilligung in eine Datenverarbeitung auf Basis der DSGVO gehört die Freiwilligkeit bei deren Erteilung, d. h. sie muss aus freien Stücken erklärt werden und jederzeit widerrufen werden können. Die Freiwilligkeit ist allerdings dann anzuzweifeln, wenn die Nutzung des Systems erforderlich für die Teilnahme am Kurs ist bzw. es an Alternativen mangelt.
Doch gerade so verhielt es sich offenkundig hier, indem das Fitnessstudio die Nutzung des Fitnesstrackers für die Kursteilnahme und das Training voraussetzte. Dadurch bestand keine echte Wahlmöglichkeit, sofern die Personen in diesem, vermutlich kostenpflichtigen Fitnessstudio bleiben und den Kurs besuchen wollten.
Die LfD schrieb hierzu:
„Derartige Daten dürfen daher nach Art. 7 Abs. 1 DS-GVO nur mit informierter und freiwillig erteilter Einwilligung der Betroffenen und nur für festgelegte Zwecke verarbeitet werden. Die Wirksamkeit der eingeholten Einwilligungen steht in Zweifel, wenn der Erwerb der für die Datenerfassung und Wiedergabe benötigten Produkte für die Nutzung von Trainingsangeboten als verbindlich erklärt wird, ohne dass dies für die Erfüllung der Dienstleistungsverträge mit den Studios erforderlich wäre.“
Im Ergebnis fehlte es der Aufsichtsbehörde bereits an einer Rechtsgrundlage der Verarbeitung der sensiblen Daten der betroffenen Personen. Aus diesem Grund untersagte sie dem Betreiber des Fitnessstudios die Datenverarbeitung. Gegen diese Maßnahme erhob der Betreiber Klage, deren Entscheidung offenbar noch aussteht.
Es wird sich zeigen, ob das Gericht der Ansicht der Aufsichtsbehörde folgt.
Einschätzung
Die Argumentation der niedersächsischen Aufsichtsbehörde ist schlüssig. Es wäre allerdings auch vertretbar, die generelle Teilnahme an diesem Kurs im Fitnessstudio angesichts des Marktes an entsprechenden Sportangeboten für freiwillig zu befinden – ebenso auch gerade diesen Einsatz des Fitnesstrackers mit entsprechender Auswertung der Daten beim Training als Teil des individuellen, professionellen Sportprogramms zu betrachten, so dass diese Methode einen echten Mehrwert gegenüber den üblichen Angeboten bietet. Allerdings könnte in diesem Kontext nur die Verarbeitung der Gesundheitsdaten auf die Einwilligung der betroffenen Personen gestützt werden und nicht auf die Basis der Vertragserfüllung. Sie müsste also freiwillig und aktiv, ausdrücklich nachweisbar erklärt werden. In diesem Fall dürften aber die Zweifel an der Freiwilligkeit bei hinreichend transparenten Datenschutzhinweisen und einer guten Aufklärung schwinden und vieles für die Rechtmäßigkeit sprechen.