Keine Angst vor der neuen Datenschutzgrundverordnung (DSGVO)

Am 25. Mai 2018 tritt die neue Datenschutzgrundverordnung (DSGVO) der Europäischen Union in Kraft. Diese regelt, wie Unternehmen und Betriebe den Umgang mit personenbezogenen Daten zu pflegen haben und welche Rechte Nutzer bzw. Kunden haben.

 

💡 Warum es wichtig ist Daten zu schützen und gleichzeitig zu wissen wie Klaus seinen Kaffee trinkt.

Wer sein Geschäft erfolgsorientiert führen möchte, ist aber auf gute Daten angewiesen. Nur so kann man beispielsweise optimalen Service bieten oder entsprechende Strategien und Maßnahmen planen. Das Missachten der neuen DSGVO-Regeln kann einem allerdings teuer zu stehen kommen. Dennoch braucht man keine Angst vor der neuen Verordnung haben. Denn das Schöne ist, der richtige Umgang mit personenbezogenen Daten ist im Grunde gar nicht so schwer und war bisher auch schon gesetzlich geregelt.

💡 Doch erstmal Schritt für Schritt 😉

Datenschutz im Allgemeinen umfasst drei Ebenen: die Datenerhebung, Datenverarbeitung (zum Beispiel das Speichern, Verändern, Übermitteln, Sperren oder Löschen von Daten) – sowie die Nutzung von personenbezogenen Daten.

Doch was sind überhaupt personenbezogene Daten? Hierunter fallen z.B. Name, Anschrift, E-Mail Adresse oder Geburtstag eines Kunden, aber auch Standortdaten oder IP-Adressen zählen zu personenbezogenen Daten – sprich sämtliche Daten, mit denen man eine Person eindeutig identifizieren kann.

💡 Welche Änderungen bringt die DSGVO mit sich?

Die bisherigen Grundprinzipien des Datenschutzes, die im Bundesdatenschutzgesetz verankert sind, bleiben bestehen. Somit ist jede Art von Datenverarbeitung nur dann zulässig, wenn entweder eine gesetzliche Erlaubnis vorliegt, oder die betroffene Person mit der Datenverarbeitung einverstanden ist.

➡️ Datenübertragbarkeit und Recht auf Löschung

Des Weiteren stärkt die EU die Rechte der Nutzer bzw. Kunden. Diese haben nun ein Recht auf Löschung der eigenen Daten sowie Recht auf Datenübertragbarkeit. Personenbezogene Daten gehören demnach dem Kunden und nicht dem Unternehmen.

➡️ Informationspflicht und Auskunftsrecht

Außerdem unterliegt ein Unternehmen der Informationspflicht sowie dem Auskunftsrecht. Das heißt, dass Kunden in Zukunft leichteren Zugang zu ihren Daten bekommen sollen und über deren Nutzung informiert werden müssen. Somit hat jeder Nutzer das Recht zu erfahren, welche Daten ein Unternehmen über ihn gesammelt hat und wie diese weiterverarbeitet werden.

Generell werden durch die neue Datenschutzgrundverordnung die Rechte der Kunden gestärkt und die Pflichten der Verantwortlichen erhöht.

💡 Betrifft mich die Datenschutzgrundverordnung überhaupt?

Ja – grundsätzlich ist erst mal jedes Unternehmen in der EU betroffen. Besonders Salons und Studios hängen von Informationen Ihrer Kunden ab um den Service zu optimieren – z.B. Farbmischungen, Allergien, gekaufte Produkte und Leistungen der Vergangenheit etc. Außerdem werden oft Vorher-/ Nachher Bilder in sozialen Medien gepostet, was auch unter die DSGVO fällt. Übrigens – es geht nicht nur um Kundendaten – sondern z.B. auch um die Daten der Mitarbeiter.

💡 Vorlagen und Muster

✔️ Muster Verarbeitungsverzeichnis hier
✔️ Muster Einwilligungserklärung für Eure Kunden hier 
✔️ Muster Informationserteilung hier
✔️ Muster Auskunft Kunde hier
✔️ Muster zur Verschwiegenheitsvereinbarung mit Mitarbeitern hier
✔️ Datenschutzerklärung für die eigene Webseite erstellen z.B. hier

Es gibt auch einige Vorlagen als Word-Dokument auf der Seite der Handwerkskammer Mittelfranken.

Selbstverständlich müssen die Vorlagen noch auf das eigene Unternehmen angepasst werden. Auch bei der Einwilligungserklärung muss man abwägen: Unsere Recherchen haben ergeben (Landesschutzbeauftrage Bayern), dass man nur dann eine Einwilligung benötigt, wenn man mehr Daten erhebt als für die Dienstleistung notwendig wären wie z.B. Hobbies. Allerdings – auf der sicheren Seite ist man mit Einwilligung, da man vielleicht auch Bilder, etc. zukünftig ablegen möchte…

💡 Datenschutzbeauftragter – muss oder kann?

Unternehmen, die mehr als neun Mitarbeiter beschäftigen, die ständig personenbezogenen Daten verarbeiten, brauchen einen internen oder externen Datenschutzbeauftragten (gemäß § 38 BDSG (neu).

Im Zuge unserer Recherchen haben wir von mehreren Quellen, wie z.B. dem bayerischen Landesamt für Datenschutzaufsicht, die Auskunft erhalten, dass ein Datenschutzbeauftragter beispielsweise bei Friseuren nicht notwendig sei. In dieser Branche stehe die handwerkliche Dienstleistung im Vordergrund und nicht die Verarbeitung von personenbezogenen Daten. Hier gilt: Das kann sich von Bundesland zu Bundesland unterscheiden und sollte individuell geprüft werden. Ein guter Ansprechpartner sind hierfür die Landesämter für Datenschutz.

💡 Benötigt man eine extra Einwilligung von Kunden zum Zwecke der Direktwerbung?

Interessanter Weise sind ausdrückliche Regelungen zur Werbung in den DSGVO nicht enthalten. Es geht eher darum, ob das Unternehmen ein berechtigtes Interesse hat, dem jeweiligen Kunden Direktwerbung zu senden. Der sogenannte Erwägungsgrund 47 der DSGVO gibt vor,  dass genau dieses Interesse einer Verarbeitung zum Zwecke der Direktwerbung ein berechtigtes Interesse des Verantwortlichen darstellt.

Was heißt das nun? Wenn die E-Mail Adresse in Zusammenhang mit dem Verkauf eines Produkts oder einer Dienstleistung erhalten wurde, dann darf das Unternehmen diese für eigene, ähnliche Produkte oder Dienstleistungen für Direktwerbung verwenden – also z.B. Angebote per E-Mail an Bestandskunden, Terminerinnerungen, etc. versenden. Auch ohne extra Einwilligung.

Fazit: Man benötigt nach unseren Recherchen keine extra Einwilligung zum Zwecke der Direktwerbung an Bestandskunden, solange man nicht für z.B. andere Unternehmen wirbt. Man muss die Kunden allerdings vorab informieren, dass man das macht und dass die Kunden dem jederzeit widersprechen können (z.B. E-Mail Abmelden Links).

💡 Sanktionen und Strafen bei Missachtung

Was passiert, wenn ich die neuen Gesetze nicht einhalte? Der Bußgeldrahmen wurde für Datenschutz-Verstöße deutlich erhöht. Es können Beträge von bis zu 20 Millionen Euro gefordert werden oder bis zu 4 % des Jahresumsatzes eines Unternehmens.

Auch wenn die Strafen hoch erscheinen, gibt es keinen Grund Kundendaten nicht mehr zu erheben. Diese Daten sind essentiell, um ein Unternehmen erfolgreich zu führen. Zu wissen, wie Kunde Klaus seinen Kaffee gerne trinkt – oder welche Produkte er gerne nutzt, führt zu positiven Erlebnissen im Geschäft und letztendlich zu einer langfristigen Kundenbindung. Ein Kundenmanagement-System, wie es in studiolution enthalten ist, kann dabei helfen. Befasst man sich erst einmal sorgfältig mit sämtlichen Änderungen und Neuerungen der DSGVO, so braucht man auch keine Angst vor den Prüfbehörden zu haben.

Im Übrigen „stechen“ die GoBs (Grundsätze ordnungsgemäßer Buchführung) mit seinen Aufbewahrungspflichten den Datenschutz: Beispielsweise sind erfasste Kunden (=Vertragspartner) nach dem BFH-Urteil vom 12. Mai 1966, BStBl III S. 372 aufzubewahren.

💡 Was machen wir bei Head-on Solutions?

Mit studiolution/ studiobookr nehmen wir den Datenschutz schon immer sehr ernst – und nicht erst seit den DSGVO. Außerdem haben wir bereits vor Monaten damit angefangen, sämtliche Richtlinien und Pflichten ordnungsgemäß umzusetzen.

Konkret haben wir bereits einige Dinge auf studiobookr.com umgesetzt wie z.B. Cookie Hinweise oder eine extra Bestätigung der Datenschutzerklärung bei Online Buchung. Außerdem kommen in den nächsten zwei Wochen unter anderem noch ein aktualisierter Vertrag zur Auftragsverarbeitung (wichtig: unterschrieben bei uns bis 25.5.18 vorliegend), Abmeldelinks von Service E-Mails, extra Impressumsfeld auf der Onlinebuchungsseite sowie eine neue Datenschutzerklärung und AGBs nach DSGVO und noch einige Dinge mehr.

🚨 Wichtiger Hinweis und wen kann ich fragen

Der vorliegende Beitrag stellt weder eine Rechtsberatung dar – noch ersetzt er die Beratung durch einen fachkundigen Rechtsanwalt, bei der die Besonderheiten des Einzelfalls berücksichtigt werden können. Bitte informiert Euch über die DSGVO und holt Euch fachkundigen Rat ein bei z.B. den jeweiligen Landesämtern für Datenschutz (beispielsweise in Bayern) oder eben bei fachkundigen Anwälten bzw. Datenschützern. Auch manche Innungen oder Handwerkskammern können weiter helfen.

————————————————————–

💡 Hilfreiche weiterführende Links:

Nächster Beitrag
Neues Update: Das DSGVO-Löschkonzept