Im gestrigen Blogartikel habe ich dir erklärt, was die neue Datenschutz-Grundverordnung beinhaltet und warum sie auch dich betrifft.

Teil 1: Was ist die DSGVO und betrifft sie mich als Inhaberin eines Beauty Studios?

Heute erkläre ich dir im Teil 2, wie ich Schritt für Schritt die notwendigen Maßnahmen umsetze.

 

 

1. Schritt: Einverständniserklärung

Wichtig zu merken ist, dass keine personenbezogenen Daten verarbeitet werden dürfen!

Was sind personenbezogene Daten?
Beispielsweise: Name, Adresse, Bankdaten, E-Mail, Geburtsdatum

Besonders sensible Daten:
Angaben zum Gesundheitszustand

Verarbeiten bedeutet:
dass du sie zum Beispiel in deiner Kundenkartei speicherst
ein Newsletter an die E-Mail-Adresse deiner Kunden sendest
Terminbuchungen online oder telefonisch anbietest
Fotos von Kunden auf Social Media oder Websites veröffentlichst

Es ist nur erlaubt, wenn diese Daten zwingend erforderlich für die Auftragserfüllung verwendet werden.

Wir können zum Beispiel keine Termine vereinbaren, ohne die Kontaktdaten zu nutzen. Ware aus unserem Onlineshop können wir nicht verschicken, wenn wir die Adresse nicht wissen. Bestimmte Behandlungen können wir nicht durchführen, wenn wir über Allergien oder die aktuelle Einnahme
von Medikamenten der Kundin Bescheid wissen.

Diese Daten dürfen wir nur mit Einwilligung unserer Kunden verwenden!

Jede Kundin wird also im ersten Schritt eine Einverständniserklärung von uns erhalten. In dieser erklären wir, warum wir bestimmte personenbezogene Daten erheben, was mit diesen Daten passiert und welche Rechte die Kundin hat, z.B. das Recht auf Löschung. Wir bitten die Kundin diese Einverständniserklärung zu unterschreiben.

 

2. Schritt: Formulare

Es gilt immer der Grundsatz des Minimums. Das bedeutet: So wenig wie möglich, so viel wie nötig! Also fragen wir auch nur das Notwendigste ab.
Daher überprüfen wir alle Formulare, die die Kundin bei uns ausfüllt. Beispielsweise können das Anamnesebögen in Papierform oder Kontaktformulare auf der Website sein. Alle Informationen, die wir nicht unbedingt benötigen, wie z.B. das Geburtsdatum, fragen wir nicht mehr ab. Oder wir markieren, dass es keine Pflichtangabe ist. Auch teilen wir mit, zu welchem Zweck diese Daten gespeichert werden.

Handschriftliche Einverständniserklärungen, Anamnesebögen usw. sollten sicher geschützt werden, z.B. in einem abschließbaren Schrank.

 

3. Schritt: Website, E-Mail, Computer und WhatsApp

Jeder Unternehmer benötigt eine Datenschutzerklärung auf seiner Website.
Mit der neuen DSGVO sollte diese aktuell überarbeitet werden. Du kannst dafür einen Generator wie E-Recht24 verwenden.
Deine Datenschutzerklärung solltest du in einem extra Menüpunkt gut sichtbar auf deiner Website platzieren. In dieser steht drin, welche Daten über deine Website und zu welchem Zweck erhoben werden und was mit den Daten passiert. Transparenz ist in diesem Falle besonders wichtig.

Deine Website muss sicher sein. Ansonsten wird sie meist auch schlecht bei Google gerankt. Das bedeutet, dass es eine sichere Verschlüsselung der Kommunikation zwischen Webservern und Webbrowsern geben muss. Das ist dann das sogenannte SSL-Zertifikat. Wenn deine Website ein Baukastenprinzip ist, wie Jimdo oder über STRATO, bringt es dieses Zertifikat meist schon mit. Ist deine Seite über andere Anbieter, wie beispielsweise WordPress, dann solltest du das überprüfen.

Wenn du deiner Kundin per E-Mail Werbung oder News schicken möchtest, benötigst du die explizite Zustimmung der Kundin. Das geschieht durch ein Double-Optin Verfahren. (Kunde bestätigt ein zweites Mal, dass er auch wirklich den Newsletter von dir erhalten möchte.)
Wenn deine Kundin dich per E-Mail anschreibt, dann dient dies zur Auftragserfüllung und du benötigst keine extra Einwilligung der Kundin.

Für die Versendung von Newsletter solltest du nur professionelle Anbieter verwenden, denn in jeder Mail muss ein Abmeldelink sein, damit man die Einwilligung zur Zusendung der Newsletter widerrufen kann. Außerdem, muss in jeder Mail ein Impressum stehen. Professionelle Anbieter machen das automatisch. (Achte darauf, dass diese Anbieter ihren Sitz in der EU haben! Für Datenübermittlung außerhalb der europäischen Union gibt es nochmals strengere Richtlinien.)

Dein Zugang zum Computer muss mit einem Passwort, welches du regelmäßig wechselst, eine gewisse Länge hat und aus Groß- und Kleinbuchstaben und Zahlen besteht, geschützt sein!
Genauso sollte deine digitale Kundenkartei geschützt werden. Bei Mitarbeiterwechsel sollten auch die Passwörter gewechselt werden. Überlege dir auch was passiert, wenn du plötzlich nicht mehr auf deine Daten zugreifen kannst.

Dein Computer sollte eine Firewall besitzen (schützt vor Zugriff von außen), sowie immer die aktuelle Software und über aktuelle Sicherheitsupdates verfügen. Außerdem solltest du dir darüber Gedanken machen, wo das Backup deiner digitalen Kundendaten gespeichert wird.

Es liegt in deinem Ermessen zu sagen, wo siehst du das größte Risiko für personenbezogene Daten und wie schützt du diese.

In bestimmten Apps, wie z.B. WhatsApp, werden die personenbezogen Daten nicht ausreichend geschützt. Das Problem daran ist, dass man bei Installation oder Updates WhatsApp Zugriff auf die gesamte Kontaktliste erlaubt. Somit können Kontaktdaten weitergeben werden von Kunden, die sich nicht mit der Nutzung einverstanden erklärt haben.
Die Lösung wäre in meinen Augen ein separates Handy mit eigener SIM-Karte zu verwenden und nur Kontakte zu speichern, die sich mit der Nutzung einverstanden erklärt haben. Außerdem muss auch mit WhatsApp eine Auftragsvereinbarung geschlossen werden. Im nächsten Blogartikel mehr dazu.

 

Im morgigen Blogartikel erzähle ich dir von Schritt 4 bis 9. Es geht u.a. um das Thema Datenschutzbeauftragte, Auftragsvereinbarung und das Verzeichnis von Verarbeitungstätigkeiten.