Datenschutz-Grundverordnung (EU-DSGVO) für Friseure

Die neue Datenschutz-Grundverordnung (EU- DSVGO) gilt seit Mai 2018 – das müssen Sie beachten!

Seit dem 25. Mai 2018 gilt für alle Unternehmen, die personenbezogene Daten verarbeiten oder speichern, die neue EU Datenschutz-Grundverordnung (EU-DSGVO).

Was sind personenbezogene Daten?

Darunter versteht man z.B.

Name
Geburtsdatum
Adresse
E-Mailadresse
aber auch Fotos oder Videoaufnahmen, auf denen die Person zu erkennen ist

Dabei ist es egal, ob die Speicherung der Daten automatisch läuft (also mit dem Computer) oder händisch z.B. in einem Karteikartensystem. Besonders sensible Daten sind alle Daten zu Religion, Gesundheit, Sexualität, usw. - für sie gilt nochmals ein verstärkter Schutz.

Wieso betrifft mich das als Friseur-UnternehmerIn?

Für Sie wird die neue Datenschutz-Grundverordnung dann relevant, wenn Sie:

Online-Terminreservierung anbieten
Mitarbeiter anstellen
Kundenlisten führen
E-Mail Newsletter versenden
Frisuren-Bilder im Internet veröffentlichen
Geburtstags-Gutscheine verschenken
und und und - also eigentlich immer!

Hinter all diesen alltäglichen Dingen versteckt sich eine "Speicherung der personenbezogenen Daten"! Seit der neuen Datenschutz-Grundverordnung müssen Ihre Kunden und Mitarbeiter aktiv zustimmen, dass ihr Daten gespeichert und verarbeitet werden dürfen. Diese aktive Zustimmung nennt man auch "opt in".

Achtung! Auch die Daten der Mitarbeiter fallen unter die neue Datenschutz-Grundverordnung.

Kundendaten

Die DSGVO besagt, dass die Speicherung der Daten "zweckmäßig" sein muss. Die Daten dürfen nur so lange gespeichert werden, bis der Zweck erfüllt ist.

Beispiel Online-Terminreservierung

Es dürfen nur jene Daten abgefragt werden, die für den Zweck (also z.B. für einen Termin in Ihrem Salon) notwendig sind. Wurde der Zweck erfüllt, also war der Kunde in Ihrem Salon und hat seinen Haarschnitt bekommen, so müssen Sie danach alle Daten des Kunden löschen. Wenn Sie die Daten in Ihrer Kundenkartei anlegen möchten, brauchen Sie eine aktive Zustimmung. Das kann im Salon passieren oder im Voraus mit einem "Häkchen" bei dem Online-Formular zur Terminvereinbarung.

Datenschutzbestimmungen online

Online müssen Sie immer zusätzlich auf Ihre Datenschutzbestimmungen verlinken. In diesen definieren Sie, wofür Sie die Daten speichern, wie sie verwendet werden und wie lange. Darin muss auch stehen, wenn Sie Cookies speichern, Webseiten-Statistiken führen, also z.B. Google Analytics, usw. Aber das Thema Datenschutzbestimmung&Webseiten ist sehr umfangreich und führt hier zu weit.

Beispiel von unserer jokira-Friseurjobbörse

Wenn Sie auch die E-Mailadresse für künftige Newsletter (=Werbung) speichern möchten, brauchen Sie eine Zustimmung z.B. mit Häkchen oder Unterschrift im Salon. Werbung und Datenschutz sind ein heikles Thema: Vorerst nur so viel: Sie dürfen NICHT einfach die bestehenden Kundendaten nehmen und ihnen Werbung schicken.

So sieht das z.B. bei der Online-Terminreservierung über Treatwell aus:

Technische Standards der Datensicherung

Ein Online Reservierungssystem muss den technischen Standards der Datensicherung entsprechen. Bei Online-Formularen ist das zum Beispiel eine SSL-Verschlüsselung. Sie müssen auch Ihren PC sichern, um die gespeicherten Daten zu schützen: Ein Virenschutz und ein Passwort sind ein Muss.

Sensible Daten

Holen Sie sich nochmals eine Bestätigung, dass Sie auch sensible Daten speichern dürfen. Dazu zählen z.B. Gesundheitsdaten wie Zustand der Kopfhaut, Allergien, Schwangerschaft,... Mitarbeiterdaten sind sehr oft "sensibel", da gesetzliche Feiertage an die Religion gebunden sind und Schwangerschaft, Krankheiten etc gemeldet werden müssen. Diese Daten dürfen Sie nicht mehr einfach per Mail verschicken - sie müssen immer verschlüsselt sein.

Technische und organisatorische Maßnahmen ("TOMs")

Unter diesem Wortungetümern verstecken sich Fragen wie:

Wo werden die Daten gesichert?
Ist die Datenbank abgesichert?
Wo steht der Computer?
Wer hat Zugriff auf die Daten?
Werden die Kundenkarteikarten sicher aufbewahrt?

Sie müssen dokumentieren, wie sie die Sicherheit der Daten bewerkstelligen. Im Falle einer Kontrolle muss man diese Informationen darlegen können. Es gilt, dass nur jene Mitarbeiter, die zur "Zweckerfüllung", also für den Termin mit dem Kunden bestimmte Informationen (z.B. Allergien) benötigen, Zugriff auf diese Daten bekommen. Nicht jeder Mitarbeiter sollte einfach so alle Daten jedes Kunden herausfinden können.

Mitarbeiterdaten

Es dürfen nur jene Mitarbeiter-Daten gespeichert werden, die man des Gesetzes wegen speichern muss und nur die Geschäftsführung bzw. die Personalverantwortlichen dürfen Zugriff auf diese Mitarbeiterdaten haben. Steht z.B. ein Computer an der Rezeption und jeder Mitarbeiter kann sich über den Krankenstand eines anderen Mitarbeiters informieren, so ist das sehr kritisch.

Vorher Nachher Frisuren

Bildmaterial, auf dem die Person zu erkennen ist, ist auch durch die DSGVO geschützt. Aber Achtung: Oft sind Kunden (und Mitarbeiter!!) auch zu erkennen, wenn das Gesicht nicht erkennbar ist. Eine auffällige Bluse - eine besondere Haarfarbe - ein sehr individueller Schnitt reichen hier schon aus um genau zu wissen, wer auf dem Bild ist.

Es gibt schon die ersten Klagen von Kunden, bei denen der Friseur nur verlieren kann. Also unbedingt auch hier eine Unterschrift holen, dass Ihr die Bilder ins Internet stellen dürft.

Fazit

In jedem Fall empfehlen wir Ihnen, sich damit auseinanderzusetzen, wo und inwieweit Sie personenbezogene Daten speichern. Kontaktieren Sie hierfür Ihre Innungen, Ihren Anwalt oder die Industrie- und Handelskammer. Sollten Sie umfangreiches Datenmaterial verwalten, dann kann ein Datenschutzbeauftragter bestellt werden. Wir raten nicht dazu, die neuen Bestimmungen zu ignorieren, denn im Extremfall drohen Strafen bis zu € 20 Millionen.

Quelle: Ing. Mag. Dr. Vincenz Leichtfried, Gründer von 123PIA.com und Umsetzungsberater für die DSVGO (LV7.ms / 123PIA.com)