Ab Mai 2018 ist es so weit: Die neue Datenschutz-Grundverordnung (DSVGO) tritt in Kraft! Wir klären auf, was Sie als FriseurIn wissen müssen… Ab dem 25. Mai 2018 gibt es für alle Unternehmen, die personenbezogene Daten verarbeiten oder speichern, wesentliche Neuerungen, um den Richtlinien der neuen Datenschutz-Grundverordnung (DSGVO) zu entsprechen.
Was genau sind personenbezogene Daten?
Unter personenbezogenen Daten von natürlichen Personen versteht man Name, Geburtsdatum, Adresse, aber auch Fotos oder Videoaufnahmen, die die Person zu erkennen geben. Dabei ist es egal, ob die Speicherung der Daten ganz oder teilweise automatisiert, also mit dem Computer erfolgt oder manuell mit einem Dateisystem, z.B. Karteikartensystem passiert.
Inwiefern betrifft mich das denn als FriseurunternehmerIn?
Für Sie wird die neue Datenschutz-Grundverordnung dann relevant, wenn Sie:
- Online-Terminreservierung anbieten
- Kundendateien führen (handgeschriebene oder elektronische)
- E-Mail Newsletter an Ihre KundInnen versenden
- Geburtstags-Gutscheine verschenken
Für diese Anwendungen haben Sie personenbezogene Daten, wie Name, Anschrift, Telefonnummer, E-Mail-Adresse, Geburtsdatum oder anderes Ihrer KundInnen gespeichert.
Auch Vorher-Nachher-Fotos vom Umstyling der KundInnen, die Sie auf Social Media teilen, gehören hier dazu.
Die neue Datenschutz-Grundverordnung sieht die aktive Zustimmung der KundInnen zur Datenspeicherung und -verarbeitung vor (Opt-In).
Beispiel von imSalon:
Aktive Zustimmung der KundInnen zur Datenspeicherung und -verarbeitung vor (Opt-In).
Achtung! Auch die Daten der Mitarbeiter fallen unter die neue Datenschutz-Grundverordnung.
Wie kann ich vorgehen, um die Daten rechtskonform zu verarbeiten und zu speichern?
1. Kundendaten
Grundsätzlich macht es keinen Unterschied, ob man die Daten in digitaler Form oder auf Papier ablegt. Die Rechtsgrundlage sieht vor, dass die Speicherung der Daten zweckmäßig erfolgt, das heißt die Daten dürfen auch nur so lange gespeichert werden, bis der Zweck erfüllt ist.
Beispiel Online-Terminreservierung:
Es dürfen nur jene Daten abgefragt werden, die für eine Vertragserfüllung, also für einen Termin in Ihrem Salon notwendig sind. Wurde der Zweck erfüllt, also war der Kunde in Ihrem Salon und hat seinen Haarschnitt bekommen, so sind danach auch jegliche Daten des Kunden zu löschen. Außer Sie speichern die Daten, weil sie diese in Ihrer Kundendatenbank anlegen möchten, dann bedarf dies aber der eindeutigen Zustimmung des Kunden, auch für zukünftige Terminvereinbarungen.
Zustimmung der KundInnen (Das Häkchen)
Es muss ein Häkchen zum Schluss jeder Online-Reservierung gemacht werden, mit dem der Kunde zustimmt, dass seine Daten für Ihre Kundendatei gespeichert werden dürfen.
Zusätzlich müssen Sie auf die Datenschutzbestimmungen verlinken. In diesen definieren Sie, wofür Sie die Daten speichern und für wie lange.
Beispiel von unserer jokira-Friseurjobbörse:
Zustimmung der KundInnen (Das Häkchen) – Beispiel jokira-Friseurjobbörse
Möchten Sie noch weitergehen und die E-Mail-Adresse für künftige Newsletter speichern, so bedarf dies einer weiteren ausdrücklichen Zustimmung in Form einer zweiten Checkbox, die explizit angekreuzt werden muss, um Ihnen den Versand eines E-Mail-Newsletters zu erlauben.
So sieht das z.B. bei der Online-Terminreservierung über Treatwell aus:
Online-Terminreservierung über Treatwell
Technische Standards der Datensicherung
Wichtig ist auf jeden Fall, dass ein Online Reservierungssystem den technischen Standards der Datensicherung entspricht, bei Online-Formularen ist das zum Beispiel eine SSL-Verschlüsselung. Tipp: Ein Virenschutzprogramm muss die Sicherung der IT garantieren.
Sensible Daten
Haben Sie gesundheitsbezogene Daten gespeichert, so handelt es sich dabei um sensible Daten. Beispiele hierfür wären der Zustand der Kopfhaut, etwaige Allergien, Schwangerschaft etc. Nur mit Einwilligung des Kunden dürfen diese sensiblen Daten in der Kundendatenbank gespeichert werden, z.B. für zukünftige Dienstleistungen. Auch hier gilt: Füllen die KundInnen ein Formular im Salon aus, muss auf dem Formular ein Kästchen zum Ankreuzen mit der schriftlichen Bestätigung dafür vorhanden sein.
Zugriff auf Kundendaten
Fragen wie: „Wo werden die Daten gesichert? Ist die Datenbank abgesichert? Wo steht der Server? Wer hat Zugriff auf die Daten? Werden die Kundenkarteikarten sicher aufbewahrt?“ müssen geklärt und eigenverantwortlich dokumentiert werden, um für die Sicherheit der Daten zu sorgen. Im Falle einer Kontrolle muss man all jene Informationen darlegen können. Es gilt, dass nur jene Mitarbeiter, die zur Vertragserfüllung, also für den Termin mit dem Kunden bestimmte Informationen (z.B. Allergien) benötigen, Zugriff auf diese Daten bekommen. Nicht jeder Mitarbeiter sollte einfach so alle Daten jedes Kunden herausfinden können.
2. Mitarbeiterdaten
Genauso vorsichtig müssen Sie mit den Daten Ihrer Mitarbeiter umgehen. Es dürfen nur jene Daten gespeichert werden, die man des Gesetzes wegen speichern muss und nur die Geschäftsführung bzw. die Personalverantwortlichen dürfen Zugriff auf diese Mitarbeiterdaten haben. Steht z.B. ein Computer an der Rezeption und jeder Mitarbeiter kann sich über den Krankenstand eines anderen Mitarbeiters informieren, so ist das kritisch. Ein Mitarbeiter muss nur wissen, dass ein anderer Mitarbeiter nicht da ist, aber er sollte sich nicht über den Grund, beispielsweise den gesundheitlichen Zustand, informieren können.
In jedem Fall empfehlen wir Ihnen, sich damit auseinanderzusetzen, wo und inwieweit Sie personenbezogene Daten Ihrer KundInnen speichern und wie Sie in Zukunft mit der Datenverarbeitung vorgehen. Kontaktieren Sie hierfür Ihre Innungen, Ihren Anwalt oder die Wirtschaftskammer. Sollten Sie umfangreiches Datenmaterial verwalten, dann kann ein Datenschutzbeauftragter bestellt werden. Wir raten nicht dazu, die neuen Bestimmungen zu ignorieren, denn im Extremfall drohen Strafen bis zu € 20 Millionen.
Quelle: Ing. Mag. Dr. Vincenz Leichtfried, Gründer von 123PIA.com und Umsetzungsberater für die DSVGO (LV7.ms / 123PIA.com)
Fotocredits:
Titelbild: Fotolia #32858751 | Urheber: babimu
Screenshot: Treatwell Homepage
Februar 2018