Datenschutzfallen bei Kooperationen mit Fitnessstudios

/in , ,

Es ist gängige Praxis, dass Firmen zur Motivation der Mitarbeiter Kooperationen mit anderen Firmen eingehen. Damit verbunden sind dann Leistungen, die der Mitarbeiter günstiger, gesponsert oder sogar komplett umsonst wahrnehmen kann.

Eine populäre Kooperation ist z.B. die Zusammenarbeit mit einem Fitness- oder Gesundheitsstudio.

Dabei wird i.d.R. zwischen dem Unternehmen und dem Fitnessstudio ein Vertrag über die Nutzung von Kursen oder Geräten im Studio geschlossen und die finanziellen Konditionen für die Mitarbeiter geregelt.

Meist steht dann in einem solchen Vertrag, dass das Unternehmen die Daten aller Mitarbeiter übermittelt. In manchen Verträgen ist sogar festgelegt, dass der Austritt von Mitarbeitern an das Studio gemeldet werden muss.

Vorsicht Fallen

Und hier liegt schon das erste Problem: Diese Übermittlung ist auf Basis eines solchen geschlossenen Vertrages gar nicht zulässig.

Eine Übermittlung ist nur zulässig, wenn der Mitarbeiter für diesen Fall seine Zustimmung erteilt hat. Da diese Dinge selten in Arbeitsverträgen zu finden sind, kann man auch nicht so ohne weiteres auf diese verweisen.

Darüber hinaus würden auch Mitarbeiter gemeldet werden, die den Service gar nicht nutzen werden, d.h. es existiert in diesen Fällen gar keine Zweckbindung für die Datenübermittlung.

Theoretisch dürften die Daten nur übermittelt werden, wenn jeder Einzelne seine schriftliche Zustimmung erteilt hat. In dieser Zustimmung müsste auch Zweck genau spezifiziert sein.

Und hier beginnt das nächste Problem, denn viele Fitnessstudios legen auf Basis diese Informationen direkt die Mitarbeiter als Kunden in ihren Systemen an.

Unter dem Gesichtspunkt dass bereits die Weitergabe der Daten im Kontext einer Auftragsdatenverarbeitungsvertrages zu sehen ist, würde das Fitnessstudio nun auf Basis der vom Unternehmen initiierten Datenanlage mit der Erfassung von Gesundheitsdaten (Fitness-Tracker, Gesundheitstest, Trainingsfortschritt, etc.) beginnen. Und plötzlich befindet sich das Ganze im Bereich der Regeln für den Schutz besonders sensibler Daten (§3 Abs. 9 BDSG, Artikel 9 DSGVO).

Im Falle eines Widerspruchs der Einwilligung müsste das Unternehmen darüber hinaus sicherstellen, dass sämtliche Daten in diesem Kontext auch im Fitnessstudio gelöscht würden, was in der Praxis kaum verifizierbar ist.

Außer Betracht lassen wir in diesen Fällen die Beteiligung von Betriebsrat oder den Abschluss von Betriebsvereinbarungen.

Daher sollte ein Unternehmen auf keinen Fall nur die „Gute Tat“ für die Mitarbeiter weollen, sondern in der Abwicklung auf jeden Fall den Schutz der personenbezogenen Daten und das Risiko für das Unternehmen im Auge behalten. Sonst kann das Ganze nach hinten losgehen.

Eine mögliche Lösung

Daher empfehlen wir, im Beispiel für die Fitnessstudio-Kooperation auf folgende Punkte zu achten:

  • Eine Verpflichtung zur Weitergabe von personenbezogenen Daten in einer woe oben beschriebenen allgemeinen Form gehört nicht in einen Kooperationsvertrag.
  • Jeder Mitarbeiter sollte sich selbständig im Fitnessstudio melden und dort die üblichen vertraglichen Regelungen abschließen. Die Daten, die das Fitnessstudio erfasst obliegen somit in der Verantwortung des Fitnessstudios und der vertraglichen Vereinbarung mit dem Kunden.
  • Mit dem Mitarbeiter wird eine Vereinbarung abgeschlossen, dass das Unternehmen dem Fitnessstudio Auskunft darüber geben kann, ob der Mitarbeiter im Unternehmen beschäftigt ist. Somit ist klar geregelt, was zu welchem Zweck weitergegeben wird. Damit kann das Fitnessstudio bei positiver Bestätigung den Mitarbeiter in einen günstigeren Firmentariuf einstufen.

Dieser Fall kann ebenso bei anderen Kooperationen auftreten (z.B. Kantinennutzung, Fahrzeugpool, etc.). Gehen Sie als Unternehmen auf Nummer sicher und lassen vor Vertragsabschluss dessen Inhalte und die operative Umsetzung auf jeden Fall durch einen Datenschutzberater oder -beauftragten prüfen.