Im ersten Teil habe ich dir erklärt, was die DSGVO ist und ob sie dich betrifft.
Was ist die DSGVO und betrifft sie mich als Inhaberin eines Beauty Studios?

Im zweiten Teil habe ich dir erklärt, wie ich in Schritt 1 bis 3 mein Studio darauf vorbereite.
Teil 2 DSGVO: So bereite ich mein Studio darauf vor – Schritt 1 bis 3

Heute, im dritten Teil, erkläre ich dir Schritt 4 bis 9 😊

 

 

4. Schritt: Datenschutzbeauftragten

Benötige ich einen Datenschutzbeauftragten?
Wenn, wenn 10 Personen mit dem direkten automatisierten Verarbeiten von personenbezogenen Daten beschäftigt sind, brauchst du einen Datenschutzbeauftragten. Wenn du ein großes Studio mit vielen Mitarbeitern hast, solltest du überprüfen, ob du einen Datenschutzbeauftragten beauftragen musst.

Allerdings arbeiten die meisten Studios mit sensiblen Gesundheitsdaten. In diesem Fall ist ein Datenschutzbeauftragter notwendig. Diesen kann man extern dafür beauftragen. Es kann aber kann ein Mitarbeiter aus dem Studio sein. Nur sollte sich der Beauftragte gut mir den fachlichen Themen auskennen. Dieser Mitarbeiter genießt dann umfassenden Kündigungsschutz.

 

5. Schritt: Auftragsvereinbarung abschließen

Eine Auftragsvereinbarung wird immer dann benötigt, wenn ich Daten weitergebe. Also, wenn ein anderes Unternehmen Zugriff auf personenbezogene Daten meiner Kunden oder Mitarbeiter bekommt. Denn ich als Auftraggeber habe die Verantwortung für die Daten, die ich weitergebe. Ich bleibe die Hauptverantwortliche für den Datenschutz.

Beispielsweise gebe ich personenbezogene Daten von Mitarbeitern an ein externes Unternehmen für die Lohnabrechnung weiter. In diesem Fall benötige ich mit ihm eine schriftliche Auftragsvereinbarung.

Oder meine Kunden buchen online einen Termin über meine Terminsoftware. Dann benötige ich mit dem Anbieter der Software eine schriftliche Auftragsvereinbarung, da der Softwareanbieter auf die Daten meiner Kunden Zugriff erhält.

Diese Vereinbarungen sollten angefordert werden und in einem DSGVO-Ordner abgelegt werden. Diese können auch elektronisch abgespeichert werden.

Wichtig ist auch:
Die Behörde und auch der Betroffene selbst müssen prinzipiell bei jeder Schutzverletzung von personenbezogenen Daten benachrichtigt werden. Dies muss unverzüglich, spätestens innerhalb von 72 Stunden nach Kenntnisnahme, ausgelöst werden.

Das bedeutet, wenn beispielsweise dein Ipad mit den Kundendaten gestohlen wird, musst du diesen Sachverhalt allen betroffenen Kunden und der Datenschutzbehörde innerhalb von 3 Tagen mitteilen.

 

6. Schritt: Verzeichnis von Verarbeitungstätigkeiten

Jedes Unternehmen muss ein „Verzeichnis von Verarbeitungstätigkeiten“ führen.
Das kann ganz unkompliziert in einer einfachen Excel-Tabelle erfolgen.

Diese Tabelle muss enthalten:
– welche Daten im Studio erhoben werden
– aus welchem Grund
– welche Programme verwendet werden
– wie lange die Daten gespeichert werden
– an wen sie weitergegeben werden.

Die Liste kann jedes Studio für sich selber erheben, sollte jedoch gepflegt und regelmäßig aktualisiert werden.

Aber: absolute Sicherheit ist niemals möglich. Aber im schlimmsten Fall eines Datenlecks, kann diese Liste der Datenschutzbehörde unverzüglich vorgelegt werden. So sind wir rechtlich abgesichert und zeigen, dass wir alle Anstrengungen unternommen haben, damit kein Datenleck entsteht. Denn nur so besteht die Chance, dass kein Bußgeld gezahlt werden muss.

Alle Sicherheitsmaßnahmen sollten im wirtschaftlich vertretbaren Rahmen erfolgen.

 

7. Schritt: Prozesse festlegen und Maßnahmen dokumentieren

Prozesse festlegen:
Wie werden Kunden, Mitarbeiter und Bewerber über die Verarbeitung der Daten informiert?
Wie ist der Ablauf, wenn ein Kunde möchte, dass seine Daten gelöscht werden?
Wie ist der Prozess, falls diese Daten in falsche Hände geraten?

Maßnahmen dokumentieren:
Wie werden die Daten der Kunden geschützt? (Beispiel: Firewall, Passwort mit bestimmter Länge und Aufbau mit Sonderzeichen, abschließbarer Schrank (nur bestimmte Mitarbeiter haben Zugriff).
Begründung notieren, warum wir ein berechtigtes Interesse an Gesundheitsdaten haben (Beispiel: warum wir nach Allergien fragen, bevor wir eine Wimpernverlängerung durchführen).
Welches Seminar hat der Datenschutzbeauftragte besucht?
Welche Verträge wurden mit Dienstleistern vereinbart?

Es ist auch möglich, gerade bei sensiblen Gesundheitsdaten, ein extra Verzeichnis zu erstellen, wie hoch die aktuelle Bedrohung ist, wie stark die Verwundbarkeit und wie sich dieses Risiko auf die betroffene Person auswirkt .

 

8. Schritt : Auskunftserklärung

Unsere Kunden haben das Recht, von uns darüber Auskunft zu erhalten, welche personenbezogenen Daten über sie gespeichert und verarbeitet werden.

Der Kunde hat das Recht, Auskunft zu erhalten über:
– Verarbeitungszwecke
– geplante Speicherdauer
– Datenherkunft
– an wen wir die Daten weitergeben

Außerdem müssen in dieser Auskunft Hinweise stehen, welche Rechte die Betroffenen zur Berichtigung oder Löschung ihrer Daten haben.
Auch, muss enthalten sein, dass sie ein Beschwerderecht bei der Aufsichtsbehörde haben.

Sofern keine personenbezogenen Daten verarbeitet werden, sind wir als Unternehmer verpflichtet, eine negative Erklärung abzugeben.

Sobald der Kunde diese Anfrage stellt, ist die Auskunft unverzüglich – spätestens nach einem Monat – zu erteilen. Also ist es gut, wenn wir darauf vorbereitet sind!

 

9. Schritt: Mitarbeiter

Auch Mitarbeiter haben natürlich das Recht zu erfragen, welche Daten über sie im Unternehmen gespeichert sind. Auch Mitarbeitern muss innerhalb von 4 Wochen darüber Auskunft gegeben werden.

Andersherum müssen auch die Mitarbeiter selbst vertraulich mit den Kundendaten umgehen. Ich lasse meine Mitarbeiter eine Vertraulichkeitsvereinbarung unterschreiben. Darin geht es um den Schutz der personenbezogenen Kundendaten, unserer Geschäftsprozesse und um diesbezügliche wichtige Belehrungen. Alle Mitarbeiter müssen gegen Unterschrift schriftlich über die Bewahrung des Datengeheimnis belehrt werden.

 

So, das waren die – in meinen Augen – wichtigsten Schritte.
Noch ganz wichtig: zu allem was ich hier geschrieben habe, besteht keine Rechtsverbindlichkeit. Ich habe mich in letzter Zeit viel damit beschäftigt und hoffe, diese Artikelserie hilft dem einen oder anderen bei der Umsetzung der DSGVO. Natürlich kann jeder sich mit den einzelnen Punkten noch detaillierter beschäftigen.

Die neue Datenschutz-Grundverordnung besteht aus 80 Seiten und gilt schon seit zwei Jahren. Aber es gab eine Übergangsfrist und diese endet am 25.05.2018. Bis dahin muss einfach jeder sein kleines oder großes Unternehmen fit für die DSGVO gemacht haben. Denn bei Datenschutzverletzungen wurden hohe Strafzahlungen angekündigt.

Wo fängst du nun an?
Fange bei den Maßnahmen an, die von anderen „gesehen“ werden. Also beispielsweise kann jeder sehen, ob deine Website DSGVO-konform ist.

Ich wünsche dir viel Erfolg bei der Umsetzung!