Fluch oder Segen? Friseurunternehmer Peter Gress über die neue Datenschutz-Grundverordnung (DSGVO)

Doch zunächst eine kurze Zusammenfassung, worum es bei der DSGVO eigentlich geht und warum sie auch Friseurbetriebe betrifft: Die DSGVO gilt für alle Unternehmen, auch Handwerksbetriebe, innerhalb der EU und für alle, die personenbezogene Daten von EU-Bürgern erfassen und verarbeiten (im Friseurbetrieb: Kundendaten wie Name, Adresse, Geburtsdatum, Email, Telefonnummer, digitale oder im Karteikastensystem erfasste Infos z. B. zu Kopfhaut- und Haarbeschaffenheit, Behandlungskonzepte und Produktverkäufe, vorher-nachher-Fotos, Videoaufnahmen für Social Media-Kanäle, Online-Terminreservierungen etc.)

Mit der Reform, die am 25. Mai 2018 in Kraft treten wird, ist gewährleistet, dass in allen EU-Mitgliedsstaaten nun einheitliche Datenschutzregeln gelten. Alle Unternehmen – auch Handwerksbetriebe wie Friseursalons – müssen daher sicherstellen, dass sie bis zu diesem Tag die erforderlichen Anpassungen vornehmen. Denn ab diesem Datum heißt es:

Niemals Daten speichern und nutzen ohne Einwilligungserklärung! Wichtig ist, dass die Kunden künftig ausdrücklich der Datenerfassung, Verarbeitung und Speicherung zustimmen (digital oder per Handunterschrift). Achtung! Diese Einwilligungserklärungen sind nicht ewig gültig, sondern gelten nur so lange, wie derjenige, der seine Einwilligung erteilt hat, mit einer Verarbeitung seiner Daten rechnen muss, sprich so lange sie den Zweck erfüllen.

Verarbeitungsverzeichnis anlegen Jedes Unternehmen, das Kunden- und/oder Mitarbeiterdaten erfasst, verarbeitet und speichert, muss ein Verarbeitungsverzeichnis anlegen. In dieser Tabelle wird aufgelistet, welche Daten wann, wie und warum erhoben wurden, wer auf die Daten zugreifen kann und wie die Einwilligung der Datenbezogenen erfolgt. Für dieses Verarbeitungsverzeichnis gibt es Vorlagen (siehe Downloadlink am Ende des Interviews mit Peter Gress).

Alle Datenverarbeitungs-Prozesse in eurem Betrieb dokumentieren! Zur eigenen Sicherheit solltet Ihr in euren Betrieben ab sofort alle mit Datenverarbeitung verbundenen Prozesse sofern nötig optimieren, aber vor allem dokumentieren. Was macht ihr, wenn eure Kunden umgehend auf das Löschen ihrer Daten bestehen? Wer hat Zugriff auf welche Daten? Was ist in einer Krisensituation zu tun, z. B. bei einem Hackerangriff müsst ihr innerhalb von 72 Stunden die zuständige Landesdatenschutzbehörde informieren. Wie reagieren eure Mitarbeiter, wenn Kunden nach ihren Daten fragen, wer hat wann euren Virenschutz installiert, usw. Bitte denkt dran, dass ihr im Falle einer Datenschutz-Erklärung lückenlos alles dokumentieren müsst, um teuren Bußgeldern zu entkommen.

Notwendige technische Voraussetzungen schaffen! Eure Kunden haben das Recht, dass ihre Daten auf Wunsch umgehend an eine andere Stelle transportiert werden. Daher solltet ihr dafür sorgen, dass die technischen Voraussetzungen hierzu gegeben sind. Achtet bei der Wahl eurer Online-Reservierungssysteme und eurer EDV im Allgemeinen darauf, dass sie im ausreichenden Maße eine Datensicherung ermöglichen. Ein Virenschutzprogramm ist in diesem Zusammenhang natürlich auch ein absolutes Must-Have!

Peter Gress: „Keine Panik vor der DSGVO!“

Peter Gress leitet seit Jahrzehnten einen erfolgreichen Salon im schwäbischen Esslingen. Seit einiger Zeit bietet der Experte in Sachen Digitalisierung auch Kennzahlen-Seminare an und gibt sein Erfolgswissen an seine Kolleginnen und Kollegen weiter (www.petergress.de). Gress weiß, wovon er spricht, wenn es darum geht, einen Friseurbetrieb erfolgreich zu entwickeln. Kein Wunder, hat der clevere Salonunternehmer sich und seinen Betrieb bereits perfekt für den 25.5.2018 gerüstet.   

Herr Gress, was halten Sie von der neuen DSGVO, die am 25.5. in Kraft tritt und auch Handwerksbetriebe wie Ihren betrifft? Auf den ersten Blick ist die DSGVO ein bürokratisches Monster, das viele Fragen aufwirft, eine Menge Verwirrung stiftet und viel Aufwand bedeutet. Ich sehe aber auch einen Vorteil darin, denn wir alle haben uns daran gewöhnt, dass wir unsere Daten in alle möglichen Kanäle verteilen, von denen wir nicht wissen, wo sie enden. Bedenklich ist der lockere Umgang mit Daten, wenn wie bei dem Facebook-Datenklau 87 Millionen Nutzerdaten für Ziele missbraucht werden, für die ich meine Daten freiwillig niemals hergeben würde. Wir wollen gerne alle Vorteile einer digitalen Gesellschaft nutzen und geben dafür bereitwillig unsere Daten weg. Die DSGVO zwingt uns, darüber nachzudenken, ob das gut ist. Und so langsam zieht bei mir auch eine positive Grundstimmung ein, denn es fallen ja nicht nur wir Kleinunternehmer unter die Fuchtel der neuen Verordnung, sondern auch die großen Datensammler wie Facebook, Google, Apple. Jetzt kann sich die Politik beweisen, ob sie es auch mit den Schwergewichten ernst meint, oder nur auf den Füßen der „Kleinen“ steht.

Als Experte in Sachen digitaler Salon ist Datenschutz doch sicherlich schon lange ein Thema bei Ihnen. Wird sich in Ihrem Salon durch die neuen Richtlinien denn tatsächlich so viel ändern? Als ersten Schritt haben wir 2017 unsere Webseite mit dem https-Protokoll sicher gemacht. Das hat nicht nur den Vorteil der Sicherheit, sondern auch für das Ranking der Webseite bei Google. Webseiten ohne Sicherheits-Protokoll werden „weggerankt“, sie werden nicht mehr gefunden. Seit 1.1.2018 nehmen wir Kunden nur noch über das Double Opt-in Verfahren in unseren E-Mail Verteiler auf, wo der Abonnent dem Erhalt von Unternehmensinformationen zusätzlich in einem zweiten Schritt zustimmen muss. Damit sind wir auch hier auf der sicheren Seite. Ab 25.5.2018 können sich Kunden nur noch mit der Zustimmung zur Datenspeicherung online anmelden, indem sie ein Häkchen setzen. Kunden die gelöscht werden wollen, löschen wir. Wenn mit ihrem Namen Umsätze verbunden sind, fallen diese Kunden in einen „Pool der Unsichtbaren“ und sind damit unserem Zugriff entzogen. Sie sind aber trotzdem noch vorhanden und werden nach zehn Jahren automatisch gelöscht. In dieser Zeit der Aufbewahrungspflicht kann das Finanzamt aber bei einer Außenprüfung auf der Basis der GDPdU noch auf diese gelöschten Daten zugreifen. So sind die Kunden etwaigen Postsendungen, E-Mail Newsletterversand und verunfallten Telefonaten entzogen, sind aber in der Kassenrolle immer noch enthalten. Im täglichen Ablauf wird sich nicht viel ändern, die Ansprache an die Kunden wird aber formeller werden müssen.

Wie haben Sie sich und Ihren Betrieb im Vorfeld gerüstet? Welche Maßnahmen waren nötig, damit Sie auch nach dem 25.5. noch ruhig schlafen können? Wer hat Sie dabei beraten und unterstützt? Unsere Lieferanten wie e-cut (Software), pixel-id (Webdesign & E-Mail Newsletter), unser Rechtsanwalt und unser Steuerberater bereiten soweit alles vor, damit wir wenige Probleme mit der Umsetzung haben. Einzig unsere Drucksachen wie der Neukundenfragebogen, die Umgestaltung des Impressums der Webseite und die neuen AGBs machen Arbeit, aber die Rahmenbedingungen sind geklärt, da sollte nichts anbrennen. Wer viel digital arbeitet und eventuell Zahlungsdaten auf der Webseite sammelt, einen Shop betreibt oder Daten über WeTransfer verschickt oder in Dropbox, iCloud, Trello, Evernote etc. Daten speichert, muss sich aber noch tiefer in die Materie einarbeiten. Dazu sollte der/die Unternehmer/in zur Sicherheit auf jeden Fall den Rechtsanwalt konsultieren. Wie schulen Sie Ihre Mitarbeiter auf die neue Verordnung? Ich habe meinen Mitarbeitern die DSGVO am 24. April 2018 vorgestellt, damit sie einen ersten Eindruck bekommen. Wenn unser Rechtsanwalt das Go gegeben hat, gehen wir in die finale Kommunikation mit unseren Mitarbeitern. Wenn wir im Hintergrund sauber arbeiten, dann sollten die Mitarbeiter vorne leichtes Spiel haben. Die Informationen zur Speicherung und Löschung der Daten werden wir sehr genau durchgehen, denn hier lauern die übelsten Fallstricke. Wie immer in heiklen Fällen, so bspw. mit der Kassennachschau, erstellen und verteilen wir eine detaillierte Kommunikationsanleitung an unser Team.

Haben Sie schon Reaktionen von Seiten Ihrer Kunden? Die Kunden scheint es nicht zu berühren, den meisten sagt die DSGVO nichts, bzw. sie haben keine Vorstellung davon, wie sie das im Alltag berührt. Die Menschen beschäftigen sich damit nicht sehr, so mein Eindruck.

Worauf sollten Salonunternehmer bei der neuen Verordnung besonders achten?  Wenn Daten digital gespeichert werden, sollten sie sich schlau machen, wie die Löschung von mit Umsatz verknüpften Kundendaten vonstatten geht, denn hier widersprechen sich zwei Verordnungen. Der Kunde darf die Löschung seiner Daten verlangen, aber das Finanzamt lässt die Löschung nicht zu, wenn Umsatz damit verknüpft ist. Des Weiteren muss man bei der Anlage von Neukunden in der Kartei (händisch oder digital) explizit darauf hinweisen, für welche Zwecke die Daten gesammelt werden. Wenn diese Frage seitens eines Kunden kommt, sollte man darauf vorbereitet sein. Das Impressum der Webseite checken und vom Webmaster anpassen lassen, sowie einen Hinweis für Cookies auf der Webseite platzieren. Hierzu gibt es diese Links (siehe unten), die mir sehr geholfen haben, um einen Überblick zu bekommen und die richtigen Fragen zu stellen.

Was raten Sie Ihren Kolleginnen und Kollegen, die sich bisher noch nicht mit dem Thema DSGVO auseinandergesetzt haben? Keine Panik, Informationen lesen und sich ganz speziell mit dem Webmaster absprechen, damit erst mal die Webseite mit dem Impressum bombensicher vor Abmahnungen geschützt ist. Wer keinen Webmaster beschäftigt und seine Webseite über Jimdo, Wix etc. selber gebaut hat, muss sich bei seinem Anbieter erkundigen, was die in petto haben. Wir sichern erst mal alles nach außen ab, und kümmern uns dann in aller Ruhe um die interne Feinabstimmung.

Wertvolle Links für Friseure

Hier könnt ihr euch alle Informationen herunterladen, die speziell für Friseure zum Thema Datenschutzgrundverordnung (DSGVO) wichtig sind.

Besonders empfehlenswert der Leitfaden des Zentralverbands des Deutschen Handwerks mit Checklisten und Musterformularen. Hier gehts zum Download.  Insbesondere die Ausführungen – Dokumentationspflichten/Verzeichnis der Verarbeitungstätigkeiten – Einwilligungserklärung – Informationspflichten/Informationserteilung an die Kunden bieten für Betriebe wichtige Hilfestellungen.

Auf der Internetseite der Handwerkskammer Region Stuttgart gibt es verschiedene Informationen sowie zusätzliche Links wie zum Beispiel auf die Hinweise des bayrischen Landesamtes für Datenschutz für verschiedene Berufsbranchen. (Hier der Link). Und vor Inkrafttreten der DSGVO bietet die HWK Stuttgart auch noch ein Webinar an.