Fitnessstudios verarbeiten täglich personenbezogene Daten: Gesundheitsfragebögen, Körpermaße, Trainingsvideos. In Graz (Steiermark) überprüft die DSB schwerpunktmäßig Videoüberwachung (§ 12 DSG) + Gesundheitsdaten. Diese Kombination macht Ihre Website zum Top-Risiko für Fitnessstudios vor Ort.
In Graz (Steiermark) konkurrieren Fitnessstudios in einem Markt mit ~22k Unternehmen. Grazer Betriebe konkurrieren nicht nur untereinander, sondern auch mit Angeboten aus Maribor/Slowenien — der Preisdruck aus dem Süden ist seit 2023 spürbar. Wer in diesem Wettbewerb digital sichtbar sein will, muss gleichzeitig rechtssicher agieren — sonst wird aus dem Marketing-Euro schnell Abmahn-Kosten. Die Datenschutzbehörde (DSB) in Wien hat 2024 vermehrt Steiermark-Betriebe geprüft, besonders im Segment Fitnessstudios.
Diese fünf Treffer sind bei Stichproben in Steiermark am häufigsten:
1. Google Analytics/GA4 ohne Consent Mode v2 — geschätzt 74 % der Fitnessstudios in Graz betroffen. TKG 2021 § 165 verlangt vor dem Speichern von Cookies ausdrückliche Einwilligung. Viele Fitnessstudios in Graz haben Consent Mode v1 (vor 2024) oder gar keinen. DSB-Bescheide in Steiermark: bis 2.000 EUR pro Verstoß, dazu Nachbesserungsauflage mit Frist.
2. Datenschutzerklärung veraltet oder generisch — geschätzt 45 % der Fitnessstudios in Graz betroffen. Viele Fitnessstudios in Graz nutzen DSE-Generatoren von 2020 — ohne DSB als Aufsichtsbehörde zu nennen, ohne TKG-2021-Bezug, ohne Aktualisierung seit GA4-Umstellung. Art. 13/14 DSGVO verlangt konkret-individuelle Angaben zu Empfängern und Rechtsgrundlagen.
3. WhatsApp-Kommunikation ohne Hinweis — geschätzt 54 % der Fitnessstudios in Graz betroffen. WhatsApp als Buchungs- und Kundenkanal ist in Österreich populärer als in DE, aber DSB-Guidance 2024 verlangt: Hinweis in DSE, separate Einwilligung, keine sensiblen Daten über WhatsApp. Besonders kritisch bei Gesundheitsfragebögen, Körpermaße, Trainingsvideos.
4. Cookie-Banner ohne echte Ablehnungsfunktion — geschätzt 55 % der Fitnessstudios in Graz betroffen. Alle-akzeptieren prominent, Ablehnen versteckt — das ist nach TKG 2021 keine wirksame Einwilligung mehr. Die DSB hat 2024 in mehreren Fällen festgestellt, dass solche Banner rechtsunwirksam sind — alle Cookies gelten als ohne Rechtsgrundlage gesetzt.
5. Videoüberwachung ohne § 12 DSG-Hinweis — geschätzt 73 % der Fitnessstudios in Graz betroffen. Kameras im Warte- oder Behandlungsbereich? § 12 DSG 2018 verlangt Kennzeichnung, Zweckbindung und Verzeichnis Art. 30 DSGVO. Für Fitnessstudios in Graz häufig übersehen — besonders bei Smart-Türklingeln und Zutrittssystemen.
Unser kostenloser DSGVO-Check scannt Ihre Website auf alle genannten Punkte plus: SSL-Verschlüsselung, Cookie-Banner-Wirksamkeit nach TKG 2021, Google-Fonts-Einbindung, DSE-Vollständigkeit nach Art. 13/14 DSGVO, Impressum § 5 ECG (österreichische Variante, nicht § 5 TMG!), Drittanbieter-Ressourcen, Consent-Mode-v2-Konfiguration. Ergebnis: Score 0-100 mit priorisierter Maßnahmenliste — zugeschnitten auf Fitnessstudios in Graz.
Score unter 50: akute Lücken — priorisiert Cookie-Banner (TKG 2021 § 165) und Google Fonts (OGH-relevant, auch in AT) beheben. Score 50-75: Basis steht, Feinschliff fehlt — typisch AVV-Lücken bei Magicline, Fitogram, eversports und Werbe-Einwilligungen. Score 75+: überdurchschnittlich konform für Fitnessstudios in Graz, nur Detailoptimierung nötig.
Durchschnittlicher Score in Graz nach Stichprobe Q4/2024: 48/100. Non-Compliance-Quote für Fitnessstudios: 73 %.
Der Wirtschaftskammer-Standort in Steiermark bietet eine Mustervorlage für Datenschutzerklärungen — aber nur als Baseline. Für Fitnessstudios mit Gesundheitsfragebögen, Körpermaße, Trainingsvideos reicht das nicht, weil Art. 9 DSGVO ausdrückliche Einwilligung verlangt.
Spezifisch für Graz: Kleinunternehmer-Grenze 35.000 EUR (DSG zum Vergleich: DE 22.000 EUR) — viele Fitnessstudios fallen unter Kleinunternehmer-Regelung und unterschätzen daher DSGVO-Pflichten. Das schützt nicht.
Im Vergleich zu DE: Die Abmahnsummen in AT liegen typischerweise bei 200–2.000 EUR (tendenziell niedriger als DE, aber steigend), dafür ist die Nachbesserungsfrist mit 14 Tagen knapp.
Gerichtlich bestätigt: OGH 6 Ob 35/21x — immaterieller Schadenersatz nach Art. 82 DSGVO ist auch in AT durchsetzbar, Einzelfallsummen 500–1.200 EUR pro Betroffene:r.
TKG 2021 § 165 verlangt aktive Einwilligung vor dem Setzen nicht-notwendiger Cookies. Vorher war Opt-Out teilweise noch tolerierbar — jetzt nicht mehr. Für Fitnessstudios heißt das: Cookie-Banner mit gleichberechtigter Ablehn-Funktion, keine Cookies vor Klick. Die DSB prüft das seit Q2 2024 verstärkt.
Die DSGVO gilt EU-weit und ist direkt anwendbares Recht. DSG 2018 ist das nationale Begleitgesetz in AT — regelt Punkte wie Behördenzuständigkeit, Beschäftigtendatenschutz, Videoüberwachung (§ 12 DSG) und Sanktionen. Für Fitnessstudios wichtig: § 12 DSG für Kameras, § 4 DSG für Altersgrenzen bei Einwilligung.
In Österreich ist bundesweit die Datenschutzbehörde (DSB) in Wien zuständig — unabhängig vom Bundesland. Adresse: Hohenstaufengasse 3, 1010 Wien. Keine Landesbehörden wie in DE. Das vereinfacht die Kontaktaufnahme, bündelt aber auch die Prüftätigkeit.
Der typische Rahmen für Fitnessstudios liegt bei 200–2.000 EUR pro Verstoß. DSB-Bußgelder können höher ausfallen (bis zu 4 % des Jahresumsatzes), werden aber bei KMU selten voll ausgeschöpft. Abmahnungen durch SUW oder Konkurrenten sind häufiger als DSB-Strafen.
Sensible Datenkategorien bei Fitnessstudios: Gesundheitsfragebögen, Körpermaße, Trainingsvideos. Art. 9 DSGVO greift bei Gesundheits- und biometrischen Daten — dann ist ausdrückliche Einwilligung (Opt-in mit klarer Zweckerläuterung) Pflicht, nicht Soft-Opt-in. In Steiermark hat die DSB wiederholt betont, dass Fitnessstudios ein „gelebtes Verarbeitungsverzeichnis" (Art. 30 DSGVO) vorweisen müssen — nicht nur ein Word-Dokument in der Schublade.
Praxis-Checkliste für Graz-er Fitnessstudios (Reihenfolge = Abmahn-Häufigkeit 2024/2025):
1. Cookie-Banner prüfen: Ablehn-Button gleichberechtigt? TKG 2021 § 165 erfüllt?
2. Google Fonts lokal einbinden statt fonts.googleapis.com.
3. AVVs für Magicline, Fitogram, eversports prüfen/abschließen (Art. 28 DSGVO).
4. DSE aktualisieren: DSB als Aufsicht nennen, TKG 2021 erwähnen, GA4 beschreiben.
5. Verzeichnis Art. 30 DSGVO anlegen (DSB verlangt das bei Prüfungen).
6. Einwilligungs-Formulare bei Gesundheitsfragebögen, Körpermaße, Trainingsvideos rechtssicher formulieren.
Kostenloser DSGVO-Check in 60 Sekunden — inklusive DSG 2018 & TKG 2021. Keine Anmeldung.
DSGVO-Check starten →Betriebs-Inhaber in Graz? Digital Check Graz → | Enterprise: Website + DSGVO ab 499€ →
Hinweis: Die bereitgestellten Informationen dienen ausschließlich zu Informationszwecken und stellen keine Rechts-, Steuer- oder Finanzberatung dar. Alle Angaben ohne Gewähr. Verbindliche Auskünfte: DSB Österreich.