DSGVO oder “Immer Ärger mit dem Ex!”

Zugegeben, das Thema Datenschutz kann wirklich niemand mehr hören. Außerdem: Die Welt dreht sich offensichtlich auch dann weiter, wenn man alles lässt, wie bisher. Denn bis die Datenschutzbehörden das erste Tattoo/Piercing-Studio überprüfen, wird wohl noch viel Wasser den Rhein runter fließen.

Nun, das stimmt nicht ganz. Denn das größte Risiko für eine plötzliche Prüfung durch die Behörden (eben auch Datenschutz), ist ein verärgerter Ex-Mitarbeiter oder Ex-Kunde (dessen Anzahlung man z.B. einbehalten hat). Da genügt u.U. ein Anruf und schon hat man einen Datenschutzbeauftragten im Studio stehen. Dem einen oder anderen Kollegen ist das bereits genau so passiert. Und die Strafen haben sich erheblich verschärft: bis zu 20 Mio. € oder 4% des Jahresumsatzes, der höhere Betrag ist entscheiden, also faktisch nach oben offen.

Gerüchte sind keine Lösung

Daher greifen wir dieses leidige Thema nochmals auf, um auf ein paar hartnäckige Gerüchte einzugehen, die in der Branche kursieren:

  • Wenn man weniger als drei Merkmale von einem Kunden speichert (z.B. Vorname und Handynr. oder Email-Adresse), muss man die neue DSGVO nicht beachten.
  • Die DSGVO gilt nur für elektronisch gespeicherte Daten, nicht für Papier.
  • Wenn man die Daten an verschiedenen Orten ablegt (teils elektronisch, teils auf Papier), ist alles in Ordnung.

Alle Informationen, die Rückschlüsse zulassen

Nun, all diese Punkte sind leider falsch. Vielmehr gilt: Jede Information, die Rückschlüsse auf einer Person zulassen, egal in welcher Form (elektronisch, Papier, in Stein gemeißelt, …), unterliegt der DSGVO.

  • Eine Handynr., Email- oder FB/IG-Adresse ist eindeutig und lässt immer Rückschlüsse auf eine Person zu.
  • Ein Termin mit einem Vornamen und Angaben zu einem bestimmten Tattoo lässt ebenfalls Rückschlüsse auf eine Person zu.
  • Ebenso ein Foto von einem Tattoo.

Sensible Daten

Hinzu kommt, dass ihr mit den Risikofaktoren aus der Einverständniserklärung (EVE) sehr sensible Kundendaten speichert, und zwar egal, ob ihr ein System oder Papier dafür verwendet. Und nicht zuletzt: Die Kunden, die euch diese sensiblen Daten anvertrauen, verlassen sich darauf, dass diese auch entsprechend sensibel behandelt werden. Sie wären zurecht verärgert, wenn diese einfach irgendwo offen herumliegen.

2(!) Datenschutzvereinbarungen

Die Kundendaten und insbesondere deren EVE mit den Risikofaktoren müssen zu jeder Zeit verschlossen oder unter Aufsicht sein und dürfen zu keiner Zeit offen herumliegen. Also: Der praktische Termin-Ordner für eure Gast-Tätowierer, der auch mal offen am Arbeitsplatz liegt, wenn der Artist auf Toilette oder eine rauchen ist, ist ein absolutes No-Go!

Zudem müsst ihr den Kunden ausführlich darüber informieren, welche Daten ihr erhebt, zu welchem Zweck, wie lang und was mit denen passiert. Ihr müsst seine Daten stets aktuell halten und auf seinen Wunsch hin löschen. In all das muss der Kunde schriftlich einwilligen.

Die DSGVO schreibt in eurem konkreten Fall folgende Dinge vor:

  • Eine Datenschutzvereinbarung für die Kundendaten in eurem Studio (Nicht zu verwechseln mit der DS-Vereinbarung auf euerer Website – ihr braucht eine separate.)
  • Von jedem Kunden eine unterschriebene Einwilligung in diese Datenschutzvereinbarung
  • Ein Verarbeitungs-Verzeichnis (VV) für alle personenbezogenen Daten (Kunden und auch Mitarbeiter!).
  • Außerdem wird bei der Arbeit mit besonders schützenswerten Daten (dazu gehören die Gesundheitsinformationen aus den Risikofaktoren) eine schriftliche Risikofolgenabschätzung (RFA) verlangt.
  • Auch die schriftliche Verschwiegenheitsverpflichtung in Arbeits- und Platzmietverträgen darf nicht fehlen.
  • Einen Auftragsdatenverarbeitungsvertrag (AVV) mit allen Dienstleistern, die Zugriff auf eure Kundendaten haben (s.u.).

Kostenlose elektronische Kalender i.d.R. nicht zulässig!

Wenn ihr irgendwelche Informationen über den Kunden (es reicht bereits dessen Termin) in einem System speichert (Google, iCal, etc.), benötigt ihr vom Anbieter des Systems einen sog. DSGVO-konformen Auftragsverarbeitungsvertrag. Diese gibt es nicht für die kostenlosen Versionen der bekannten Kalender iCal und Google. Verwendet ihr diese für eure Termine, verstoßt ihr automatisch gegen die DSGVO (ja, auch wenn ihr nur den Vornamen des Kunden dort eintragt!).

Also: bevor ihr Ärger mit dem Ex bekommt, kümmert euch d’rum! Es ist nicht wirklich schwer. Am einfachsten geht es natürlich mit unserem Sorglospaket Verträge und kisscal: Da habt ihr automatisch alles dabei, was ihr für die DSGVO benötigt.

Euer
DSGVO oder

Share on facebook
Facebook
Share on twitter
Twitter
Share on whatsapp
WhatsApp
Share on print
Drucken
Share on email
E-Mail

Dein Kontakt - zu uns!

Kontaktformular

    Mit der Nutzung dieses Formulars erklärst Du Dich mit der Speicherung und Verarbeitung Deiner Daten durch unsere Website einverstanden.

    Weitere Informationen findest Du in der Datenschutzerklärung

    Weitere Informationen zum Info Letter gibt es hier!
  • Dieses Feld dient zur Validierung und sollte nicht verändert werden.