test

Die DSGVO definiert ‘personenbezogene Daten’ als “alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind”

Für dich und deinen Salon bedeutet das (unter anderem):

    • Name
    • Geburtsdatum
    • Adresse/E-Mail Adresse
    • Telefonnummer (Mobil und Festnetz)
    • Fotos
    • Versicherungsinformationen
    • Medizinische Informationen
    • IP Adresse
    • etc.

Die DSGVO unterscheidet zwei Hauptparteien im Datenschutz – der Datenverantwortliche und der Datenverarbeiter. Als Salon bist du der Verantwortliche. Du sammelst die Daten und entscheidest wie sie genutzt werden, ob für Styles, Farben, Behandlungen, Marketing, Verkauf, Sonderangebote, etc. Mit anderen Worten, du triffst die Entscheidungen darüber, wie mit den personenbezogenen Daten deiner Kunden umgegangen wird. Phorest Salonsoftware hingegen ist z.B. der Verarbeiter, da wir quasi das Werkzeug sind mit dem du deine Entscheidungen umsetzt. Salons, die unsere Software nutzen, tun dies um personenbezogene Daten zu sammeln und zu verarbeiten – deshalb ist es so wichtig eine DSGVO-konforme Software-Lösung zu verwenden.

Nehmen wir nun einmal den Fall der Daten deines Personals als Beispiel, auch da bist du der Datenverantwortliche, aber der Datenverarbeiter wäre z.B. deine Buchhaltungssoftware oder dein Steuerberater (oder beides).  Das ist auch der Grund, warum der Gebrauch einer DSGVO-konformen Salonsoftware dich nicht automatisch selbst 100% DSGVO-konform macht. Du musst dich über die DSGVO-Konformität aller dritten Parteien, denen du die Daten deiner Kunden anvertraust, informieren und versichern.

Letztes Beispiel, verwendest du noch Stift und Papier für dein Adressbuch oder Terminkalender bist du gleichzeitig Datenverantwortlicher UND Datenverarbeiter und trägst die gesamte Verantwortung.

Die DSGVO identifiziert 6 rechtmäßige Gründe zur Datenverarbeitung von denen mindestens eine erfüllt sein muss:

“Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

  • Einwilligung der betroffenen Person zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke
  • Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen auf Anfrage der betroffenen Person
  • Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
  • Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
  • Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt,
  • Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Einwilligung und Einverständnis sind absolute Schlüsselwörter in der neuen Datenschutz-Grundverordnung. Mit der neuen Richtlinie möchte die EU die Verbraucherrechte der EU-Bürger verstärken und den Umgang mit Daten regulieren. Daher verlangt die DSGVO für rechtmäßige Gründe zur Datenverarbeitung und setzt für Einwilligung ganz besonders hohe Standards.  Du musst deinen Kunden vollständig aufklären welche Informationen über ihn du sammelst, warum, wofür, und wie du damit umgehen willst. Du musst ihnen außerdem eine echte Wahl geben deine Anfrage abzulehnen und sie müssen ihr Einverständnis freiwillig und aktiv geben. Das heißt ab jetzt darfst du die Kreuzchen an der Einverständniserklärung nicht mehr vorab ankreuzen, z.B.. Du musst außerdem nachweisen können, wie und wann du ihr Einverständnis bekommen hast – mit einer Unterschrift des Kunden als Beweis.

Du solltest die Einverständniserklärungen regelmäßig aktualisieren und berichtigen.

Definition der DSGVO: “Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist”

Nach der DSGVO müsst ihr das Prinzip der Datensparsamkeit anwenden. Das bedeutet erstens, dass ihr nur Daten erfragen und speichern dürft, die ihr auch wirklich braucht und zweitens, dass ihr diese Daten nur so lange speichert, wie ihr sie tatsächlich braucht. Danach müsst ihr sie vernichten – DSGVO-konform.

Für Salons, die keine Software benutzen, bedeutet das, dass ihr alle Papiere mit den betroffenen Daten vernichten müsst. Leider gibt es auch da Vorgaben, wie das zu tun ist, also erkundigt ihr euch besser schnell! Für Salons mit einer Software, versichert euch, dass es in eurer Software eine Funktion gibt die Datenspeicherfristen einzustellen oder aber zumindest leicht zu erkennen ist, ab wann ein Kunde nicht mehr in den rechtmäßigen Rahmen fällt und zu seine Daten zu löschen sind.

In der Phorest Salonsoftware kannst du selbst einstellen wie lange du vorhast die Daten deiner Kunden zu speichern. Manchmal gibt es Vorgaben z.B. von Versicherungen darüber wie lange ihr die Daten behalten müsst. Diese Vorgabe hat Vorrang vor dem Recht auf Vergessenwerden des Kunden.

Die sogenannte Datenspur oder Audit-Trail, ist eine Protokollaufzeichnung, die genau nachweist, wann sich wer mit den Daten auseinandergesetzt hat. Ab dem 25.05.2018 musst du für jede personenbezogene Information, die du sammelst, unter anderem folgende Dinge nachweisen können:

  • Welche Information erfragst du? (Es muss klar ersichtlich sein, wonach du den Kunden fragst)
  • Warum erfragst du sie? (d.h. Du musst einen Zweck angeben können, der glaubwürdig und zweckmäßig ist)
  • Warum musst du die Information speichern?
  • Wie lange hast du vor, die Informationen zu speichern und warum?
  • Was hast du mit den Informationen vor? (d.h. Wie willst du sie verarbeiten?
  • Wer hat die Informationen gesammelt? (Welcher Mitarbeiter)
  • Wann wurde die Information gesammelt?
  • Hat der Kunde sein Einverständnis gegeben?
  • Wer hatte Zugriff auf diese Daten? (Mitarbeiter, Datenverarbeiter, etc.)
  • Was hast du mit den Daten gemacht? (Hast du z.B. E-Mails geschickt? Dann musst du zeigen können wie viele und welche und wann du sie geschickt hast
  • Wer hat wann auf die Daten zugegriffen und warum?
  • Etc. etc. etc.

 

Eine Datenspur zu erstellen ist besonders schwierig, wenn du noch mit Stift und Papier arbeitest. Du musst genaue Protokolle führen und von Mitarbeitern unterschreiben lassen. Eine Software-Lösung mit PIN-Nummern würde dir da enorm helfen. Übrigens, im Falle eines Subject Access Requests (einer Zugriffsanfrage von einer betroffenen Person),  musst du alle diese Daten ebenfalls heraussuchen. Das bedeutet für “Stift und Papier”-Salons, dass ihr alle Terminbücher und Notizzettel raussuchen müsst, sowie die Rechtfertigungen von jeder Interaktion.

Die Phorest Salonsoftware macht das automatisch für euch, alle Transaktionen und Interaktionen werden genau festgehalten, mit Angabe des Mitarbeiters, digitaler Unterschrift des Kunden und Zeitpunkt der Interaktion.

Mehrere Dinge können jetzt passieren. Je nachdem ob ihr die Verstöße freiwillig meldet, ob ihr nachweisen könnt, dass es sich um ein Versehen handelt und ihr ansonsten gut vorbereitet und ausgerüstet seid, und welche Art von Daten bzw welches Datenvolumen betroffen ist,  wird die zuständige Aufsichtsbehörde entscheiden, ob ihr eine Warnung, Mahnung oder Strafe bekommt.

Nehmen wir mal an z.B. jemand meldet euch bei einer Behörde, jetzt könnt ihr hoffentlich nachweisen, dass ihr alles euch Mögliche getan habt, beispielsweise: euer Personal ist geschult, eure Daten werden sicher aufbewahrt, ihr benutzt PIN-Nummern, habt die Einverständniserklärungen eurer Kunden zur Datenaufbewahrung und -Verarbeitung, ihr habt eine Mappe mit Informationen zum Datenschutz, habt eine DSGVO-konforme Datenschutzerklärung und klare Protokolle in denen ihr alles nachweisen könnt. Wenn die Behörde sieht, dass ihr außer dem kleineren Verstoß, alles getan habt um euch vorzubereiten und konform zu werden, kommt ihr wahrscheinlich mit einer Warnung oder Mahnung davon.

Jede Behörde wird abwägen wie schwerwiegend der Verstoß ist und ob ihr ansonsten guten Willen zeigt, etc. Grundsätzlich ist es natürlich schwierig jetzt schon vorherzusagen, wie Gerichte damit umgehen werden, deshalb raten wir dazu, dass sich alle so gut wie möglich vorbereiten.

Wende ich immer an die Aufsichtsbehörde, die für deine Hauptniederlassung (solltest du mehrer Salons besitzen) zuständig ist.

 

Datenschutz-Aufsichtsbehörde Bundesrepublik Deutschland

Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
Husarenstraße 30
53117 Bonn

Telefon: +49 (0)228-997799-0
E-Mail: poststelle@bfdi.bund.de
Homepage: https://www.bfdi.bund.de/

 

Datenschutz-Aufsichtsbehörde beispielhaft für NRW in Deutschland

Landesbeauftragte für Datenschutz und Informationsfreiheit
Nordrhein-Westfalen
Kavalleriestraße 2-4
40213 Düsseldorf

Telefon: 0211/38424-0
Telefax: 0211/38424-10
E-Mail: poststelle@ldi.nrw.de
Homepage: http://www.ldi.nrw.de

Die Adressen der anderen Landesvertretungen findet ihr hier !

 

Datenschutz-Aufsichtsbehörde in Österreich

Österreichische Datenschutzbehörde

Frau Dr. Andrea Jelinek – Leiterin der Behörde
Wickenburggasse 8
A – 1080 Wien

Telefon: + 43 1 52 152-0
E-Mail: dsk@dsk.gv.at
Homepage: http://dsb.gv.at

Datenschutz-Aufsichtsbehörde in der Schweiz

Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)
Adrian Lobsiger
Feldeggweg 1
3003 Bern
Schweiz

Telefon: + 41 31 322 43 95
Telefax: + 41 31 325 99 96
E-Mail: info@edoeb.admin.ch
Homepage: http://www.edoeb.admin.ch