Es ist sehr wichtig zu verstehen, dass wir bei Phorest unser Bestes tun, um sicherzustellen, dass die von dir verwendete Software zu 100 % DSGVO-konform ist. Es gibt jedoch einige Dinge, zu denen wir keinen Rat geben können, da wir keine offiziellen DSGVO-Beauftragten sind. Aus diesem Grund können wir lediglich allgemeine Ratschläge zu diesem Gesetz geben.
Was sind "personenbezogene Daten"?
DSGVO definiert personenbezogene Daten als:
"Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person ("betroffene Person") beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind".
Für Dich und Deinen Salon bedeutet das:
-
Name
- Geburtstag
- Adresse/ E-Mail-Adresse
- Telefonnummer
- Lichtbild
- Informationen zur Versicherung
- Medizinische Informationen
Was ist ein Datenverantwortlicher (Data Controller)? Was ist ein Datenverarbeiter (Data Processor)?
Die DSGVO nennt zwei Hauptverantwortliche für den Datenschutz - den für die Datenverantwortlichen und den Datenverarbeiter. Als Salon bist du der Datenverantwortliche. Du erhebst die Daten und entscheidest, wie diese Daten erhoben werden und wie sie für Frisuren, Farben, Behandlungen, Marketing, Verkaufsaktionen usw. verwendet werden sollen. Mit anderen Worten: Du triffst Entscheidungen darüber, wie die personenbezogenen Daten deiner Kunden erfasst und verwendet werden sollen.
Die Phorest Salon Software ist ein Datenverarbeiter, da sie ein Werkzeug ist, das dir dabei helfen kann, dies zu tun. Salons, die unsere Software nutzen, verarbeiten und sammeln damit personenbezogene Daten - deshalb ist es so wichtig, eine DSGVO-konforme Softwarelösung zu haben!
Im Falle der Daten deiner Mitarbeiter bist du zum Beispiel immer noch der für die Datenverarbeitung Verantwortliche, aber dein Buchhalter oder deine Buchhaltungssoftware wäre der Datenverarbeiter. Das ist auch der Grund, warum die einfache Verwendung einer DSGVO-konformen Software dich nicht automatisch zu 100 % DSGVO-konform macht. Dies ist auch der Grund, warum wir dich nicht zur allgemeinen Einhaltung der DSGVO beraten können. Du musst überlegen, wie du und alle beteiligten Dritten mit personenbezogenen Daten umgehen.
Was ist eine Einwilligung?
Die Einwilligung ist das wichtigste Stichwort dieser neuen Rechtsvorschrift. Es geht darum, die Rechte der Verbraucher zu schützen und zu stärken und sie dafür zu sensibilisieren, was Unternehmen mit ihren personenbezogenen Daten tun. Die DSGVO setzt sehr hohe Standards für die Einwilligung, da sie eine rechtmäßige Grundlage für die Verarbeitung von Daten ist. Deine Kunden müssen umfassend informiert sein und wissen, welche Daten du erhebst, warum du sie erhebst und wofür du sie verwenden werdest.
Kunden müssen auch die Möglichkeit haben, sich aktiv zu beteiligen. Keine vorgefertigten Kontrollkästchen mehr, um beispielsweise die Zustimmung zum Marketing zu erhalten. Du musst präzise und klar sein. Die Einwilligung muss freiwillig erteilt werden, und du musst aufzeichnen, wann und wie die Einwilligung erteilt wurde. Du solltest die Zustimmung gegebenenfalls überprüfen und aktualisieren. Weitere Informationen findest du hier.
Was ist eine "Datenspeicherfrist"?
Nach der DSGVO muss die Datenminimierung angewendet werden, d. h. es müssen so wenig Daten wie möglich erfasst und nur so lange gespeichert werden, wie sie unbedingt benötigt werden oder wie es gesetzlich vorgeschrieben ist. Für verschiedene Datensätze gelten unterschiedliche gesetzliche Aufbewahrungsfristen. Erkundige dich zum Beispiel bei deiner Versicherung, wie lange du die medizinischen Daten des Kunden speichern solltest. Personaldaten sind ein weiteres Beispiel für personenbezogene Daten, die du für einen bestimmten Zeitraum aufbewahren musst - selbst wenn die betreffende Person einen Antrag auf "Vergessenwerden" und Löschung aller ihrer Daten stellt.
Mit dieser Schritt-für-Schritt-Anleitung kannst du in deinem Phorest-System bestimmte Datenaufbewahrungsfristen festlegen.
Was ist ein "Audit Trail" (Prüfpfad) und warum brauche ich einen?
In einem Audit Trail wird jede Maßnahme, die im Zusammenhang mit personenbezogenen Daten getroffen wird, von Anfang bis Ende festgehalten. Von dem Moment an, in dem jemand in deinem Salon die personenbezogenen Daten eines Kunden erfasst, bis zu dem Moment, in dem der Kunde dich bittet, sie zu löschen, muss jede Handlung und jeder Vorgang nachgewiesen und belegt werden, wobei im Einzelnen dargelegt werden muss, welcher Mitarbeiter zu welchem Zeitpunkt beteiligt war, was die Gründe für die Verarbeitung waren und ob der Kunde zugestimmt hat.
Wenn du keine Software verwendest, könnte es schwierig sein, nachzuweisen, wann ein Mitarbeiter auf die Daten eines Kunden zugegriffen hat, es sei denn, du hast irgendwo ein Protokoll, in dem jeder alles sorgfältig aufschreibt und unterschreibt. Selbst wenn du eine Software verwendest, solltest du sicherstellen, dass deine Software DSGVO-konform ist und zum Beispiel PIN-Nummern verwendet und automatisch einen genauen Nachweis über alle Aktionen und Transaktionen in Bezug auf die Daten deiner Kunden führt. (Keine Sorge - wir haben dafür gesorgt, dass Phorest dies tut!)
Du musst einen Audit-Trail bereitstellen, falls du geprüft wirst oder ein Kunde oder ein Mitarbeiter einen Antrag auf Zugang stellt. Dies ist ein wichtiger Teil der DSGVO-Compliance.
Was passiert, wenn mein Salon nicht DSGVO-konform ist?
-
Wenn du nicht DSGVO-konform bist, kann einiges passieren. Das hängt von den Umständen und der Schwere des Verstoßes ab. Wenn du zeigen kannst, dass du dein Bestes tust, um DSGVO-konform zu sein, kommen die Behörden, die deinen Fall untersuchen und dein Unternehmen und deine Prozesse prüfen, vielleicht mit einer weniger strengen Reaktion davon. Wohlwollen kann viel bewirken!
-
Die Kosten für die Nichteinhaltung haben 4 Stufen: Eine Verwarnung, ein Verweis, eine Aussetzung der gesamten Datenverarbeitung und schließlich eine Geldstrafe, die bis zu 4 % des weltweiten Jahresumsatzes oder 20 Millionen Euro betragen kann.
-
Wie du siehst - es ist wichtig, sich so gut wie möglich vorzubereiten!
Reicht es aus, die Kunden mündlich um ihre Zustimmung zu bitten?
Ja, die mündliche Einwilligung der Kunden ist ausreichend. Wenn du einen schriftlichen Nachweis möchtest, kannst du unsere Beratungsformulare oder die neue Smart Client Card verwenden, die der Kunde ausfüllen muss. Dadurch wird die Kundenkartei automatisch aktualisiert.
Welche Informationen kann ich über einen Kunden speichern?
Du kannst alle Informationen speichern, die du brauchst und die mit den Behandlungen des Kunden zusammenhängen. Du solltest dir darüber im Klaren sein, welche Art von Informationen unangemessen sind. Das Geburtsdatum eines Kunden ist zum Beispiel in Ordnung, da du sein Alter für bestimmte Behandlungen bestätigen musst. Die Angabe des Berufs ist jedoch je nach Art der Behandlung möglicherweise nicht angebracht. In den Konsultationsformularen darfst du keine Fragen stellen, die nicht mit der Behandlung zusammenhängen (Du würdest z.B. nicht nach der Blutgruppe in einem Beratungsformular für einen Patch-Test fragen).
Was ist mit den Kartendaten meines Kunden?
Die Kartendaten deiner Kunden werden für Online-Buchungen aufbewahrt, damit du im Falle eines Nicht-Erscheinens Gebühren erheben kannst. Sie werden von einem Unternehmen namens Stripe gespeichert. Wenn die Kunden verlangen, dass diese Daten aus dem System gelöscht werden, kannst du uns einfach fragen und wir können sie für dich löschen.
Welche Behörde ist für den Datenschutz zuständig?
Wenn du weitere Informationen darüber suchst, wie du die Vorschriften einhalten kannst, bist du bei diesen Stellen an der richtigen Adresse:
Deutschland:
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
Graurheindorfer Str. 153
53117 Bonn
Telefon: +49(0)228 997799-0
E-Mail: poststelle@bfdi.bund.de
Österreich:
Österreichische Datenschutzbehörde
Barichgasse 40-42
1030 Wien
Telefon: +43 1 52 152-0
E-Mail: dsb@dsb.gv.at
Schweiz:
Telefon: +41 43 259 39 99
Postfach 8090 Zürich
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
Feldeggweg 1
CH - 3003 Bern
Telefon: +41 58 462 43 95