So ganz neu ist die DSGVO (Datenschutzgrundverordnung) nicht. Bereits seit dem 25. Mai 2016 trat sie in Kraft. Bis zum 25. Mai 2018 gab es eine Übergangsregelung um allen Unternehmen die Möglichkeit zu geben, diese Verordnung umzusetzen.
Diese DSGVO gilt für alle Unternehmen in der europäischen Union. Die Bußgelder sind drastisch: Verstöße werden mit bis zu 20 Millionen €uro oder 4 % des Jahresumsatzes geahndet. Pro Verstoß!
HINWEIS und Haftungsausschluss:
wir weisen ausdrücklich darauf hin, dass friseur-news nicht dafür garantieren kann, dass Unternehmen, welche die hier aufgeführten Maßnahmen übernehmen, die Datenschutzvorschriften zu 100 % einhalten. Wir bieten lediglich nach gründlicher Recherche Tipps und Hinweise zur DSGVO an, die wir zu Informationszwecken anbieten.
GRUNDSÄTZLICH
Die Nutzung von Daten ist nur erlaubt, wenn
a) eine gesetzliche Vorschrift sie erlaubt
b) die Person, deren Daten verarbeitet werden sollen in die Nutzung von Daten einwilligt.
HINWEIS:
die Aussage, das für jede Datenverarbeitung eine Einwilligung eingeholt werden muss ist irreführend. Nachweisbar sein muss ein sogenannter Legitimationstatbestand. Hier angeführt unter a).
Dazu zählen auch Daten, die zur Erfüllung einer rechtlichen Verpflichtung der verarbeitenden Stelle erforderlich sind. So sind Sie als Unternehmen verpflichtet, verschiedene geschäftliche Unterlagen für bis zu 10 Jahren aufzubewahren. Auch die „Einzelaufzeichnungspflicht“ bei der Kassenführung ist eine solche rechtliche Vorschrift. Hier brauchen Sie für eine entsprechende Datenverarbeitung natürlich auch keine Einwilligung.
Keine Frage: können Sie eine Solche vorlegen, sind Sie immer auch der sicheren Seite!
Beruht die Datenerhebung aber auf einer Einwilligung – hier unter b), müssen Sie nachweisen, dass die betroffene Person in die Verarbeitung ihrer Daten eingewilligt hat.
Zu a) die gesetzliche Erlaubnis
Gemäß Art. 6 DSGVO ist die Datenverarbeitung auch ohne Einwilligung zulässig, wenn diese Daten
- zur Erfüllung eines Vertrages erforderlich sind (zum Beispiel Adresse um einen Auftrag vor Ort auszuführen oder eine Lieferung zu tätigen)
- Zur Bearbeitung vorvertraglicher Maßnahmen (zum Beispiel die E-Mail-Adresse um den Kunden eine erbetene Nachricht zu senden)
- Zur Wahrung von berechtigten Interessen des Handwerksbetriebes (die Interessen des Betriebes dürfen die Interessen der betroffenen Person nicht überwiegen)
Zu b) Einwilligung
Diese Einwilligung ist nur dann rechtmäßig, wenn sie freiwillig erfolgt. Jede Form von Druck oder Zwang führt zur Unwirksamkeit. Einwilligungen müssen nicht zwingend schriftlich erklärt werden. Eine mündliche Einwilligung ist gleichermaßen wirksam. Empfohlen wird allerdings aus Beweis und Dokumentationsgründen die schriftliche Form zu bevorzugen.
Hierbei sind Mindestanforderungen zu beachten:
- das datenverarbeitende Unternehmen muss seine Identität klar offenlegen
- es muss genau mitgeteilt werden, welche Daten erfasst werden
- es muss der Zweck genannt werden, für welchen die Daten benötigt/verarbeitet werden
- es muss ein Hinweis auf das Widerrufsrecht enthalten sein.
Hierbei ist anzugeben in welcher Form und an welche Adresse der Widerruf zu richten ist.
DATENSCHUTZBEAUFTRAGTE
Wie bereits vorher auch muss jedes Unternehmen, das mindestens 10 Personen beschäftigt, einen Datenschutzbeauftragten bestellen. Bei der Anzahl der Personen kommt es allein auf die Personen an, die mit der Datenverarbeitung ständig tätig sind, unabhängig davon ob Vollzeit- oder Teilzeitmitarbeiter oder Student oder freier Mitarbeiter.
WERBUNG
Eine Datennutzung zur Direktwerbung (zum Beispiel Brief) ist zulässig.
Die Empfänger dürfen allerdings jederzeit widersprechen.
Für Werbung per E-Mail ist weiterhin eine Einwilligung erforderlich!
Siehe auch: Datenschutz bei Werbung
PERSONENBEZOGENE DATEN
Von der Verordnung betroffen sind vor allen Dingen personenbezogene Daten.
Beim Friseur sind das alle Informationen ,die sich auf die Person beziehen, wie Name Adresse Geburtsdatum. Ganz besonders aber auch medizinische Informationen (Allergien und Unverträglichkeiten) Telefonnummern, E-Mail-Adressen oder Fotos.
Personenbezogene Daten von Mitarbeitern/Arbeitnehmern:
eine Verarbeitung ist zulässig, wenn es:
- zur Durchführung oder Beendigung eines Beschäftigungsverhältnisses erforderlich ist
(für Lohnunterlagen, Arbeitszeiten, Lohnbuchführung)
- wenn diese zur Ausübung einer Interessenvertretung der Beschäftigten erforderlich sind
(zum Beispiel Übermittlung der Daten an einen Betriebsrat)
- Personenbezogene Daten müssen besonders sensibel gehandhabt werden.
- Mitarbeiter müssen unbedingt verstehen, dass eine falsche Handhabung dieser Daten sehr teuer werden kann. Einzelverstöße werden mit 4 % des Jahresumsatzes geahndet.
- Für Unternehmen ist die Vornahme einer Verpflichtung der Mitarbeiter zum Datenschutz nach § 5 BDSG eine gesetzliche Pflicht.
Siehe auch: Datenschutzverpflichtung der Mitarbeiter
Das Unternehmen muss selber beweisen, dass es rechtlich dazu befugt ist, diese personenbezogenen Daten der Kunden zu sammeln.
Das Unternehmen muss in der Lage sein, genau aufzulisten, welche persönlichen Informationen erfasst werden.
Es muss ein rechtmäßiger Grund vorgelegt werden können, warum diese Abfrage erfolgt (zum Beispiel Frage nach Allergien).
Das Unternehmen muss nachweisen, dass alle Prozesse zur Datenerfassung DSGVO konform sind.
Für alle diese Fragen sollte man im Fall einer Prüfung die richtige Antwort haben.
Aber auch in anderer Form:
- warum wurden die Daten gespeichert
- wie ist man an diese Daten gekommen
- wer hat Zugang zu diesen Daten
- wo sind diese Daten abgelegt
- wie sind diese Daten gesichert
- welche Personen haben Zugriff auf diese Daten
Mit Inkrafttreten der DSGVO am 25. Mai 2018 sind die Unternehmen verpflichtet ein „Verzeichnis für Verarbeitungstätigkeiten“ zu führen. Hierbei handelt es sich um eine strukturierte Übersicht der gesamten Datenverarbeitung.
Damit soll sich die Aufsichtsbehörde einen Überblick vom Datenschutzniveau des jeweiligen Unternehmens verschaffen können. Bei Prüfungen muss das Verzeichnis ggfs. der Aufsichtsbehörde vorgelegt werden.
Siehe auch: Verzeichnis der Verarbeitungstätigkeiten
MANAGENT NACHWEIS
Es muss ein Nachweis geführt werden, dass die Vorgaben der DSGVO eingehalten werden.
Hierunter ist eine Sammlung aller Dokumentationen, Richtlinien und Maßnahmen, die dazu dienen, dass die Vorgaben der DSGVO eingehalten werden, zu verstehen. Wichtig ist hierbei, dass die definierten Prozesse auch im Unternehmen implementiert und gelebt werden.
Siehe auch: Datenschutz-Konzept
FOTOS
Personenbezogene Daten von Kunden sind Name, Geburtsdatum, Adresse, aber auch Fotos oder Videoaufnahmen, auf welchen die Person erkennbar sind. Vorher-Nachher-Fotos von Veränderungen der KundInnen, die auf Social Media geteilt werden, gehören dazu.
ONLINE TERMINIERUNG
Auch hier müssen Sie erklären was mit den Daten passiert. Wie und was beim Anbieter zwischengespeichert wird, wie der Weg dieser Daten im Salon vom Empfang bis zur Löschung vorgegeben ist.
WICHTIGE BEGRIFFE
Kupplungsverbot
Sie dürfen nur Daten fordern, die notwendig sind, um bestimmte Leistungen zu erbringen.
Datenschutz – Folgenabschätzung
Sensible Daten über persönliche Aspekte, politische Meinungen oder sonstigen private Dinge unterliegen besonderen Schutz. Hier muss die Verarbeitung in Hinblick auf Folgen und Risiken abgeschätzt werden.
Informationspflichten
Personen, von denen Daten erhoben werden, müssen umfangreicher als bisher darüber informiert werden wann, wie und wer ihre Daten wo speichert und welche Rechte sie damit verbinden
Recht auf vergessen werden
(Löschung) Kunden haben das Recht zur Löschung von Daten, insbesondere dann, wenn deren Speicherung nicht mehr notwendig ist oder wenn sie ihre Einwilligung widerrufen haben.
Recht auf Daten-Übertragbarkeit
Kunden haben das Recht, dass ihre Daten ohne Verzögerung an eine von Ihnen gewünschte andere Adresse übermittelt werden. Unternehmen müssen daher technisch in der Lage sein, dieses zu realisieren.
Rechenschaftspflicht
auf Anforderung müssen die Verantwortlichen des Unternehmens nachweisen können, dass sie alle Datenschutzregeln einhalten.
Zugriffsanfrage
Kunden können eine Kopie ihrer Daten fordern. Diese Informationen müssten innerhalb von 30 Tagen kostenlos an die anfragende Person übermittelt werden.
Auch hierbei sind Mindestanforderungen zu beachten:
enthalten sein müsse:
- alle persönlichen Daten, Kontaktdaten
- Begründung warum diese Daten aufbewahrt werden
- alle Aktivitäten für die diese Daten verwendet werden
- alle Namen der Personen die diese Daten ebenfalls erhalten haben
- Antwort auf die Frage wie diese Daten erhoben wurden
- eine Kopie der Einwilligungserklärung
- seit wann die Daten vorhanden sind beziehungsweise
- wie lange beabsichtigt ist die Daten zu halten