- Sportstudios: Über EDV-System und Chipkarte werden fleißig Daten gesammelt - Vera Kriebel, 5.12.2011
In fast jedem Sportstudio bekommt man als Mitgliedsausweis eine Chipkarte. Das ist soweit auch ganz in Ordnung. Problematisch ist nur, dass über diese Karte auch laufend persönliche Daten und Aktivitäten der Mitglieder gespeichert werden. Und dazu gehören ja immerhin normalerweise auch Kontodaten, an die Kriminelle recht einfach über das Sportstudio kommen können.
Datensammlungen in Fitnessstudios: Unbedarft oder kriminell?
Im Fitnessstudio selbst findet man das nicht weiter schlimm: "Wieso? Wir speichern doch gar nichts.", "Das ist doch normal", "Das bleibt hier drinnen.", "Das machen alle so.", "Das kommt nicht nach draußen." So oder so ähnlich lauten die Antworten.
Aber auch wenn die Fitnessstudio-Betreiber ahnungslos tun und harmlos dazu - illegal ist es in fast allen Fällen trotzdem.
Fitnesscenter-Datensammlung: Diese Daten speichern sie
Gespeichert werden zunächst einmal Daten wie Alter, Name, Adresse, Foto, häufig auch Krankheitsvorgeschichte und - ganz wichtig - Kontodaten - all diese Daten landen im Normalfall in dem IT-System der Fitnesscenter, nicht auf der Karte. Dort wird im Regelfall nur die Mitgliedsnummer gespeichert, aber die reicht ja, um ein Mitglied namentlich zweifelsfrei zu identifizieren.
Bei jedem Besuch, bei jedem Ein- und Auschecken wird nun die Mitgliedskarte durch den Scanner gezogen - und diese Anwesenheitszeiten unter den persönlichen Daten abgespeichert. Und genau hier fängt es im Regelfall an, illegal zu werden.
Unüberschaubar: Die Membercard und das IT-System
Das fängt schon mit dem Foto des Mitglieds an: Im NRW-Datenschutzbericht (Seite 82) heißt es dazu, dass für "die Einlasskontrolle" keine zentrale "Speicherung der Bilder im Datenverarbeitungssystem des Studios" notwendig ist. "Ausreichend ist vielmehr der Abgleich mit dem Foto in einem Ausweis."
Selbstverständlich darf das Fitnesscenter schauen, ob die Karte noch gültig ist oder ob derjenige, der sie einreicht, auch tatsächlich Besitzer der Chipkarte und das Mitglied ist - nur es darf all dies nicht personenbezogen speichern, auswerten und miteinander verknüpfen. Vor allem darf es aber nicht die Daten weitergeben an andere. Dazu später mehr.
Personenbezogene Datenspeicherung - Nur mit Zustimmung!
Wenn eine Firma persönliche, einer bestimmten Person zugeordneten (im Rechtsdeutsch: personenbezogene) Daten speichert, darf sie dies nämlich nur, wenn sie einen echten, wichtigen Grund nachweisen kann und wenn man als Kunde dazu seine ausdrückliche schriftliche Zustimmung gibt.
Es reicht nicht, dass sich irgendwo im Kleingedruckten auf der Rückseite des Fitnesscenter-Vertrags eine entsprechende Klausel dazu findet. Es muss - wie man dies inzwischen bei allen anderen Kauf-Verträgen auch kennt - einen gesonderten Absatz dazu geben und eine gesonderte Unterschrift. Außerdem muss es den deutlichen Hinweis geben, dass man diese Zustimmung zur Daten-Speicherung auch widerrufen kann: das heißt, man kann auch nachträglich beschließen, dass das Fitnesscenter die eigenen persönlichen Daten nicht mehr speichern darf.
Datenschutzerklärung - nicht bei Fitnesscentern
Nur diese so genannte Datenschutzerklärung gibt es bei keinem dem Autor bekannten Fitnesscenter, mit Ausnahme von Kieser.
Kieser fragt löblicherweise ausdrücklich die Zustimmung des neuen Kunden ab, allerdings wird teilweise - abhängig vom örtlichen Betreiber - sehr säuerlich reagiert, wenn man nicht bereit ist, der Datenspeicherung zuzustimmen beziehungsweise sie weiterhin zuzulassen.
Fitnesscenter-Datensammlung: Unsensibler Umgang mit sensiblen Daten
Nun mag ja mancher sagen, es ist ja eigentlich nicht weiter schlimm, wenn das Fitnessstudio meine Daten speichert. Was sollen sie schon damit tun? Nun: sie weiterverkaufen natürlich. Man hat wichtige Gesundheitsdaten einer Person, man hat die Bankverbindung, man hat sogar Informationen darüber, wie diese Person ihre Freizeit nutzt und an welchen Tagen sie sich dem Sport widmet … Das sind Daten, nach denen sich die Adressbroker "die Finger ablecken".
Aber selbst wenn man den Fitnessecenter-Betreibern Glauben schenkt, die auf Nachfrage mit argloser Miene versichern, dass sie niemals auch nur an so etwas denken würden - weitere Nachfragen bringen erschreckende Unkenntnis nicht nur hinsichtlich der Datenschutz-Rechtslage seitens der Betreiber zutage:
Sicherheitslücke Sportstudio
Oft sind sie nämlich Franchisenehmer oder sie haben die Datenverarbeitungs-Software zur Mitgliederverwaltung gemietet, oft haben sie eine völlig ungeschützte Anbindung an den IT-Dienstleister, der ihnen das System zur Verfügung stellt - und ob dieser nachts nur Software-Updates fährt, ob er nur die Datenbank des Sportstudios in einem Backup sichert - oder ob er sie für sich kopiert und weiterverkauft, das - best case - können die in IT-Dingen unbedarften Fitnesscenter gar nicht abschätzen, sofern sie - worst case - an diesem Deal nicht auch noch beteiligt sind.
Fitnesscenter und Datenschutz: Was kann man tun?
Was kann man dagegen unternehmen? Leider wenig. Bedauerlicherweise ist die Verbraucherzentrale für dieses Thema nicht zuständig, auch der Landes- oder Bundes-Datenschutzbeauftragte kann nicht tätig werden. Nachfragen bei Anwälten ergaben, dass Abmahnungen der Fitnesscenter nicht möglich sind, da dies nur Wettbewerber machen können (und der Kunde ist im Regelfall kein Fitnesscenter-Betreiber, der dadurch Wettbewerbsnachteile hat).
Und eigene Erfahrungen zeigen, dass der jenige, der protestiert oder sich ernsthaft diesem Datensammeln verweigert, im Zweifelsfall gekündigt wird. Da es aber fast keine Alternativen, also Studios ohne ungebetene Datenspeicherung gibt, muss derjenige, der ein Sportcenter nutzen möchte (oder aus gesundheitlichen Gründen muss), gezwungenermaßen stillhalten. Und/oder privat klagen.
Natürlich ist das alles harmlos verglichen mit dem, was Konzerne wie Facebook oder Google über uns systematisch ausspionieren, sammeln und (glücklicherweise meist bisher völlig falsch) auswerten. Ein außerordentlich hübsches Video hierzu bestätigt allgemeine Erfahrungen: Google-Ads verknüpft beispielsweise das Thema PS3-Sicherheitslücken semantisch mit (Zahn)Lücken und damit mit Implantatwerbung ...)
Das sollte aber für sorglos datensammelnde Fitnessstudios keine Entschuldigung bieten!
Bitte beachten Sie, dass Suite101-Artikel niemals fachlichen Rat – zum Beispiel durch einen Anwalt – ersetzen können.
(In Kooperation mit Vera Kriebel)
Klaus Lohmann - Ich bin seit Ende der Achtziger in der IT-Branche tätig, seit 1999 als selbstständiger IT-Berater. Vor allem in den ...
