Als Coach, insbesondere im Bereich Mindset, Persönlichkeitsentwicklung und Fitness, hast du Zugang zu einer Menge sensibler persönlicher Daten deiner Coachees. DAs Thema Datenschutz beim Coaching solltest du also nicht auf die leichte Schulter nehmen. Ich erkläre dir in diesem Artikel, worauf es ankommt.

Datenschutzerklärung auf Webseite reicht nicht aus

Als Coach hast du mit hoher Wahrscheinlichkeit eine Webseite. Die Webseite hat wahrscheinlich auch eine Datenschutzerklärung. Eine Datenschutzerklärung auf deiner Webseite allein reicht aber nicht. Datenschutz ist mehr als nur die Datenschutzerklärung auf der Webseite. Aber mach dir keine Sorgen. Du bist nicht allein. Viele Unternehmen und Selbstständige denken, dass das Thema Datenschutz mit einer ordentlichen Datenschutzerklärung auf der Webseite erledigt ist. Dem ist nicht so.

Datenschutzhinweise für das eigentliche Coaching

Neben einer Datenschutzerklärung auf deiner Webseite benötigst du auch noch entsprechende Datenschutz Hinweise für die Verarbeitung von personenbezogenen Daten im Coaching. Diese könntest du theoretisch mit auf die Webseite packen. Das hat den Vorteil, dass du bestimmte Pflicht angaben, wie den Verantwortlichen, die Rechte der betroffenen Personen usw. nicht doppelt aufzählen musst. Auf der Webseite solltest du dann entsprechend darauf hinweisen, wie du die Daten verarbeitet, ob du diese gegebenenfalls an Dritte weitergibst oder wie lange die Daten speicherst. Die Pflichtinformationen, über die du deine Coachees informieren musst, findest du in Art. 13 und 14 DSGVO.

Datenschutz im Coaching fast nie ohne Einwilligung.

Wenn du im Coaching hochsensible Daten deiner Kunden verarbeitest, geht das fast nie ohne eine Einwilligung (Art. 9 DSGVO). Hochsensible Daten oder besser Daten besonderer Kategorien sind Daten aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen. Ebenfalls gehören biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person dazu. Gerade als Fitness- oder Mindset-Coach kommst du fast immer mit solchen Daten in Berührung, sei es das Gewichts-Tracking deines Coachee oder Gespräche über z. B. psychische Themen, mit denen dein Coachee sich beschäftigt.

Es gibt zwar Ausnahmen, die die Verarbeitung solcher sensiblen Daten auch ohne Einwilligung zulassen. Zulässig ist es z. B. wenn die Verarbeitung zum Zwecke der Gesundheitsvorsorge erforderlich ist und von Fachpersonal durchgeführt wird, das dem Berufsgeheimnis unterliegt. Diese Ausnahmen wirst du aber in vielen Fällen nicht erfüllen, sodass du um die Einwilligung nicht herumkommst.

Die Einwilligung muss informiert sein. Das heiß, du musst sehr detailliert darüber aufklären, was du mit den Daten machst. Deine Coachee sollte alle Risiken kennen, die mit der Verarbeitung einhergehen. Je mehr Informationen du lieferst, desto besser ist es.

Außerdem muss die Einwilligung freiwillig sein. Das bedeutet, dass die Einwilligung ohne jeden Zwang erfolgen muss. Letztlich kann die Einwilligung jederzeit widerrufen werden. In diesem Fall darfst du die Verarbeitung der sensiblen Daten nicht fortführen. Das ist natürlich in der Praxis ein Dilemma. Einerseits hast du einen Vertrag mit deiner Coachee, in dem es oft um genau solche Daten geht, andererseits darfst du diese Daten dann nicht weiter vereinbaren. Einen ausführlichen Beitrag zum Thema die Einwilligung im Sinne der DSGVO findest du ebenfalls hier in unserem Blog.

Dokumentation/Rechenschaftspflicht

Ganz unabhängig von den speziellen Themen für dich als Coach musst du selbst verständlich auch die anderen Voraussetzungen einer rechtmäßigen Datenverarbeitung beachten. Ein zentraler Punkt ist da die Dokumentation und Rechenschaftspflicht. Dabei musst du als Verantwortlicher nachweisen können, dass die Grundsätze für die Verarbeitung personenbezogener Daten eingehalten werden (Rechenschaftspflicht). Diese Grundsätze sind nach Art. 5 Abs. 1 DSGVO Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung und Integrität und Vertraulichkeit.

Verzeichnis der Verarbeitungstätigkeiten

Ein zentraler Punkt, gerade im Hinblick auf die Dokumentation und Rechenschaftspflicht, ist das Verzeichnis der Verarbeitungstätigkeiten. In diesem Verzeichnis musst du alle Tätigkeiten auflisten, bei denen du personenbezogene Daten verarbeitest. In das Verzeichnis musst du für jede Tätigkeit mindestens die Zwecke der Verarbeitung aufnehmen und eine Beschreibung der Kategorien der betroffenen Personen und der Kategorien personenbezogener Daten. Außerdem müssen die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, benannt werden. Dazu gehören auch Empfänger in Drittländern oder internationalen Organisationen, inklusive der genauen Benennung des Drittlands und der Organisation. Zusätzlich musst du die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien angeben und wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen.

Datensicherheit

Die technischen und organisatorischen Maßnahmen zum Schutz der Daten sind aus Sicht des Datenschutzes wichtig. Aber diesen Punkt solltest du schon Eigennutz nicht unterschätzen. Dabei geht es nicht nur um Firewalls und Schutz vor Hackern. Datensicherheit beginnt bereits an der Eingangstür deines Bürogebäudes: Wer kommt rein, welche Sicherheitsmaßnahmen gibt es usw.?

Verfügbarkeit der Daten

Eng mit der Datensicherheit im Sinne von Schutz vor Attacken steht die Verfügbarkeit von Daten. Die beste Firewall nützt dir nichts, wenn dein Serverraum abbrennt und du keine ordentliche Backup-Strategie hast. Stell dir nur mal vor, dass ein potenzieller Kunde dich anschreibt, du die E-Mail aufmachst und ein paar Stunden später ist dein komplettes System verschlüsselt. Das wäre wahrscheinlich weniger vorteilhaft für dein Business. Eine ordentliche Backup-Strategie kann hier helfen. Aufwand wirst du trotzdem haben, aber wenigstens sind deine (Kunden)Daten nicht verloren.

Datenschutzbeauftragter

Einen Datenschutzbeauftragten benötigst du normalerweise erst, wenn in deinem Unternehmen 20 Personen oder mehr regelmäßig personenbezogene Daten verarbeiten. Gerade als Selbstständiger benötigst du also wahrscheinlich noch keinen Datenschutzbeauftragten. Wenn du einmal doch einen Datenschutzbeauftragten benennen musst, stellst du dir wahrscheinlich die Frage, ob es ein externer Datenschutzbeauftragter sein muss, oder ob du einfach einen Mitarbeiter benennen kannst. Hierzu haben wir uns in einem andere Artikel mal ein paar Gedanken gemacht: interner Datenschutzbeauftragter? – 10 Gründe für einen externen Datenschutzbeauftragten.

Datenschutz-Folgenabschätzung

Wenn du umfangreich sensible Daten verarbeitest, solltest du prüfen, ob du eine sogenannte Datenschutz-Folgenabschätzung durchführen musst. Eine Orientierungshilfe, wann eine solche Abschätzung notwendig ist, liefert eine Blacklist, wie die auf der Seite des LFD Niedersachsen. Die Blacklist ist aber nur eine erste Orientierung, kann hingegen schon eine ganz Einschätzung ermöglichen, in welche Richtung es geht.

Auskunftsanfragen

Jede betroffene Person hat das Recht vom Verantwortlichen im Sinne des Datenschutzes Auskunft darüber zu verlangen, ob und gegebenenfalls welche personenbezogene Daten verarbeitet werden. (Art. 15 DSGVO). Solche Auskunftsanfragen nehmen in der Praxis immer mehr zu. Die Gefahr dabei ist, dass du eine unzureichende Auskunft erteilt ist. In diesem Fall drohen Abmahnung. Schaut man sich Meldungen zu dem Thema an, findet man Einzel Person, die so viele Auskunftsanfragen gestellt haben, dass man hier schon fast von einem Geschäftsmodell ausgehen muss. Solltest du eine Auskunftsanfrage von einem Kunden oder auch von einem unbekannten Dritten bekommen, solltest du diese auch keinesfalls ignorieren und wirklich ernst nehmen. Du hast zwar eine Frist von 30 Tagen, doch die sind im Zweifel sehr schnell vorbei.

Auftragsverarbeitung

Wenn du für dein Coaching mit Dritten zusammen arbeitest und an diese entsprechende personenbezogene Daten übermittelst, liegt in der Regel eine so genannte Auftragsverarbeitung vor. Das ist zum Beispiel der Fall, wenn du für das Erfolgs-Tracking deiner Kunden eine entsprechende App nutzt. In diesem Fall benötigst du einen so genannten Vertrag zur Auftragsverarbeitung mit dem entsprechenden Drittanbieter. Das Ganze ist natürlich nicht nur auf ringt. Jede Verarbeitung personenbezogener Daten an einen Dritten überträgst kann eine Auftragsverarbeitung sein.

Bußgelder und Schadensersatz

Solltest du deine Datenschutzprozesse nicht sauber gestalten, drohen möglicherweise Bußgelder oder Schadensersatz von betroffenen Personen. Die maximalen Bußgelder in Höhe von bis zu 20 Millionen € oder 5 % des weltweiten Konzern-Jahres-Umsatz drohen dir vermutlich nicht. Das sind Obergrenzen mit denen du nicht ernsthaft rechnen musst. Allerdings können gerade Bußgelder schnell eine empfindliche Höhe erreichen, je nachdem, was alles schief gelaufen ist. Außerdem kann ein einzelner Datenschutzverstoß durchaus auch eine ganze Kettenreaktion auslösen. Gerade wenn die zuständige Datenschutz-Aufsichtsbehörde feststellt, dass der Verstoß nicht lediglich ein fahrlässiger Einzelfall war, sondern hier ganze Prozesse nicht richtig funktionieren, wird diese schnell hellhörig. Das kann gegebenenfalls eine umfassende Kontrolle deines Unternehmens nachsichziehen.

Fazit

Das Thema Datenschutz im Coaching solltest du nicht auf die leichte Schulter nehmen. Die Datenschutzerklärung auf deiner Webseite ist wichtig, aber nur ein kleiner Baustein im gesamten Prozess. Gerade wenn du sensible Daten als Personal-Trainer oder im Bereich Mindset verarbeitest, wirst du fast nie um eine vernünftige Einwilligung herumkommen.