Häufig gestellte Fragen zur Datenschutz-Grundverordnung

Wenn Sie in Ihrem Betrieb Kundendaten verarbeiten, müssen Sie die Regeln zur Einhaltung der Datenschutzpflicht kennen und einhalten. Im Zuge der Datenschutz-Grundverordnung haben wir einige Antworten auf häufige Fragen zusammengestellt, welche Ihnen als Friseur, Kosmetikerin, EMS-Sportstudio oder anderem Dienstleister mit Kundenterminen Orientierungshilfe bieten können.

Wer ist von den neuen Datenschutzregelungen betroffen?

Wenn Sie personenbezogene Daten wie Namen, Adressen, Telefonnummern oder E-Mail-Adressen Ihrer Kunden verarbeiten, sind Sie von den Regelungen betroffen. Für Dienstleistungsunternehmen mit Kundenterminen trifft dies also in dem meisten Fällen zu. Das Verarbeiten dieser Daten ist nicht ungesetzlich. Wichtig ist jedoch, dass Sie als Friseur oder Kosmetikerin wichtige Voraussetzungen erfüllen – andernfalls drohen strenge Strafen.

Wir schützen Ihre Daten und die Daten Ihrer Kunden gewissenhaft und gesetzeskonform. Auch unterstützen wir Sie durch sinnvolle technische Maßnahmen bei der Umsetzung der gesetzlichen Regelungen. Unsere Tipps für Belbo-Nutzer finden Sie in den kursiven Absätzen unter jeder Frage. Dennoch können unsere Maßnahmen und Hinweise nur einen Teil Ihrer geschäftlichen Prozesse berücksichtigen. Bitte informieren Sie sich ausführlich über die neue Datenschutz-Grundverordnung und stellen Sie sicher, dass die Daten Ihrer Kunden und Mitarbeiter in Ihrem Unternehmen korrekt verarbeitet werden.

Was ist die Informationspflicht?

Sie sind gesetzlich dazu verpflichtet, Ihre Kunden darüber zu informieren, dass Sie ihre Daten verarbeiten. Darüber hinaus müssen Sie Ihre Kunden über die Dauer, die Rechtsgrundlage und den Zweck der Speicherung informieren. Auch Name und Kontaktdaten es Verantwortlichen und gegebenenfalls Ihres Datenschutzbeauftragten sollten Sie Ihren Kunden im Falle einer Datenverarbeitung mitteilen. Darüber hinaus sollte der Kunden über seine Rechte (unter anderem zur Abfrage oder Löschung der Daten sowie zur Möglichkeit der Beschwerde bei der zuständigen Aufsichtsbehörde) informiert werden.

Konkret heißt dies, dass Sie bereits bei der Datenerhebung – also zum Beispiel während des Terminfindungsgesprächs – all diese Informationen vermitteln müssen. Inwieweit diese strenge Auslegung ein im Alltag umsetzbarer Weg ist und wie er zukünftig rechtlich gehandhabt wird, ist zur Zeit schwer zu beurteilen. Bitte beachten Sie, dass wir Sie nur auf die Thematik aufmerksam machen, aber nicht rechtsverbindlich beraten können.
Mit dem Onlinebuchungssystem von Belbo wird der Kunde automatisch per E-Mail über die Speicherung und alle weiteren erforderlichen Sachverhalte informiert. Dies geschieht automatisch, wenn Sie während der Termineintragung im Kalender die E-Mail-Adresse des Kunden angeben und natürlich bei der Onlinebuchung durch Ihre Kunden. Sollte der Kunde keinen E-Mail-Kontakt angeben wollen oder können, ist es möglich, eine schriftliche Vorlage für den Kunden im Geschäft bereitzuhalten. Dieses und zahlreiche weitere Musterdokumente finden Sie zum Beispiel bei der Handwerkskammer Hannover.

Welche Rechte haben meine Kunden?

Ihre Kunden haben das Recht, alle über sie gespeicherten Daten einzusehen oder auch löschen zu lassen. Als Verarbeiter dieser Daten müssen Sie die gesetzlich festgelegte Frist einhalten, um dem Kunden seinen diesbezüglichen Wunsch zu erfüllen. Wenn Sie die Daten nicht bereitstellen oder löschen, drohen harte Strafen.

Belbo bietet Ihren Kunden die Möglichkeit, diese Daten auf sicherem Weg selbstständig abzufragen oder zu löschen, ohne, dass Sie sich darum kümmern müssen. Damit erfüllen Sie die gesetzlichen Pflichten ganz automatisch. Sollten Sie Daten speichern, welche unter das Berufsgeheimnis fallen, können Sie die entsprechenden Datenfelder jedoch vor der Abfrage verbergen. Dazu gehören im Friseurhandwerk zum Beispiel Farbrezepturen. Mehr zum Thema Betriebsgeheimnis im Rahmen der DSGVO für Friseure und Kosmetik finden Sie im Belbo Handbuch.

Wie verträgt sich der Löschungswunsch eines Kunden mit meinen Aufwahrungspflichten?

Aus steuerlichen Gründen sind Sie zur Aufbewahrung Ihrer Daten für bis zu 10 Jahre verpflichtet. Dies gilt ebenfalls, Wenn Sie neben dem Belbo Kalender und der Onlinebuchung auch das Belbo Kassensystem nutzen. Zur Aufbewahrungspflicht gehören neben Ihren Terminbüchern auch Ihre Finanzdaten.

Kunden, welche die Löschung der eigenen Daten bei Ihnen wünschen, werden DSGVO-konform aus der Kundendatenbank entfernt. Daten, welche zur Aufbewahrungspflicht gehören, bleiben aber an den relevanten Stellen erhalten – zum Beispiel in Ihren Abschlüssen.

Muss ich eine Datenschutzerklärung haben?

Sie sind verpflichtet, Ihnen Kunden eine Datenschutzerklärung zur Verfügung zu stellen, in welcher Sie Ihre Kunden ausführlich zur Verarbeitung von Daten in Ihrem Unternehmen informieren. Diese Datenschutzerklärung muss auf all Ihren Web- udnd Social-Media-Seiten gut auffindbar verlinkt sein. Ein Muster hierfür sowie zahlreiche weitere Dokumente finden Sie zum Beispiel bei der Handwerkskammer Hannover. Auch für Ihre Onlinebuchung benötigen Sie eine Datenschutzerklärung, welche Ihre Kunden bei der Onlinebuchung mit oder ohne Registrierung zur Kenntnis nehmen müssen, bevor sie Termine buchen können.

Um die Datenschutzerklärung Ihrer Onlinebuchung korrekt zu gestalten, können Sie den Datenschutz-Assistenten nutzen, welcher über die Datenschutzeinstellungen Ihres Belbo-Kalenders erreichbar ist. Wenn Sie hier die von Ihnen genutzten Funktionen angeben, werden automatisch korrekte Datenschutzerbestimmungen für Ihre Onlinebuchungsseite erstellt. Darüber hinaus können Sie eigene Freitexte hinzufügen.

Gebe ich Kundendaten an Dritte weiter, wenn ich einen Onlinekalender nutze?

Wenn Sie bei der Verarbeitung von Daten eine Terminbuchungs- oder Kassensoftware nutzen, geben Sie die Daten in der Regel an einen Drittanbieter weiter. Dies müssen Sie Ihren Kunden mitteilen und Sorge dafür tragen, dass auch Drittanbieter und eventuelle Unterauftragnehmer DSGVO-konform arbeiten.

Die Belbo Business Software GmbH mit Sitz in Berlin ist an die Einhaltung der gesetzlichen Bestimmungen gebunden. Alle von uns mit Daten betraute Unterauftragnehmer sind ebenfalls zur Einhaltung der gesetzlichen Bestimmungen gemäß DSGVO verpflichtet oder verfügen über eine Zertifizierung gemäß des "Privacy Shield" Übereinkommens. Wenn Sie selbst weitere Dienste Dritter nutzen, können Sie diese den Datenschutzbestimmungen Ihrer Onlinebuchung hinzufügen, um Ihre Kunden darüber zu informieren.

Brauche ich einen Datenschutzbeauftragten für mein Unternehmen?

Sind in Ihrem Betrieb nur neun oder weniger Mitarbeiter mit der Verarbeitung personenbezogener Daten beschäftigt, braucht ein Unternehmen in der Regel keinen Datenschutzbeauftragten. Dies ist für die meisten Friseure, Kosmetikinstitute und Sportstudios der Fall, wenn die Gesamtzahl der Mitarbeiter unter 10 liegt. Wichtig ist in dem Zusammenhang die Folgenabschätzung. Bitte informieren Sie sich daher sorgfältig, ob Ihre Branche gegebenenfalls eine Ausnahme bildet und Sie dennoch einen Datenschutzbeauftragten benötigen.

Wenn Sie einen Datenschutzbeauftragten benennen, können Sie dessen Daten im Belbo-System eintragen. Er wird an den wichtigen Stellen in der Datenschutzerklärung und in den Nachrichten im Zusammenhang mit der Informationspficht genannt.

Kann ich nach wie vor Newsletter an meine Kunden versenden?

Sie können Ihre Kunden weiterhin mit Newslettern auf Ihre Angebote und Aktionen aufmerksam machen. Sie sind jedoch verpflichtet, das gegebene Einverständnis des Kunden nachzuweisen. Eine rein mündliche Absprache ist zwar nicht ungesetzlich, kann aber im Nachhinein nicht mehr nachgewiesen werden und reicht daher im Streitfall nicht aus. Ihre Kunden müssen ihre Zustimmung aus diesem Grund schriftlich erteilen. Diese können Sie in Papierform mit Unterschrift einholen, oder ganz einfach in digitaler Form per E-Mail.

Wenn Sie die Belbo-Marketingfunktionen wie Newsletter, Geburtstagsglückwünsche oder Bewertungsanfragen nutzen, werden ausschließlich diejenigen Kunden angeschrieben, für die eine rechtlich korrekte Einverständniserklärung eingeholt ist. So gehen Sie sicher, dass Kunden, welche den Erhalt dieser Nachrichten nicht wünschen, auch niemals versehentlich Nachrichten mit werblichem Inhalt empfangen können. Wie Sie einsehen können, ob ein bestimmter Kunde dem Empfang zugestimmt hat, erfahren Sie hier.

Ich bin nicht sicher, ob alle meine bisherigen Erlaubnisabfragen rechtssicher sind.

Um auch in Zukunft sicherzustellen, dass Ihre Kampagnen nur Kunden erreichen, welche den Erhalt werblicher Nachrichten wünsche, sollten Sie nur die Kontaktdaten nutzen, welche nachweislich vom Kunden für den Empfang von Newslettern freigegeben wurden.

Wenn Sie sich unsicher sind, ob alle bislang von Ihnen gesammelten Marketingfreigaben den gesetzlichen Bestimmungen entsprechen, können Sie mit Hilfe des Einrichtungsassistenten in Ihrem Belbo-Kalender die Zustimmung erneut abfragen.

Was passiert, wenn ich widerrechtlich Marketingkampagnen durchführe, z.B. mit Altkunden, deren Freigabe ich nicht schriftlich habe?

Mit Inkrafttreten der DSGVO werden Rechtsverstöße deutlich härter geahndet, als bislang. Laut Art. 83 DSGVO sind für schwere Rechtsverstöße Bußgelder bis zu 4 % des Jahresumsatzes eines Unternehmens, beziehungsweise 20 Mio. Euro, zulässig, wobei der jeweils höhere Wert gilt.

Die Belbo Marketingfunktionen können zukünftig nur noch an Kunden mit korrekter Marketingfreigabe verschickt werden. Sollten Sie jedoch regelmäßig Ihre Kundendaten exportieren, um diese in einem anderen Marketingdienst weiterzuverwenden, müssen Sie genau darauf achten, dass die rechtlichen Bedingungen für den Versand erfüllt sind.

Ich habe Daten über meine Kunden gesammelt, welche diese lieber nicht sehen sollten. Was mache ich nun?

Ihre Kunden können bei der Datenabfrage künftig alle Informationen einsehen, welche Sie über sie speichern und verarbeiten. Wenn Sie in Ihren Kundenkarteien bislang Daten hinterlegt haben, welche Ihrer Meinung nach nicht durch den Kunden eingesehen werden sollten, müssen Sie diese entfernen. Dazu können zum Beispiel Hinweise zur Pünktlichkeit oder zu anderen Eigenschaften des Kunden gehören, welche Sie Ihren Kollegen für den Umgang mit einem Kunden mitteilen wollen. Bitte beachten Sie, dass Ihre Kunden auch bislang schon das Recht auf Anforderung der eigenen Daten hatten.

Wenn Sie Daten sammeln, welche unter das Betriebsgeheimnis fallen, können Sie jedoch die Abfrage durch den Kunden verhindern. Je nach Branche fallen unterschiedliche Daten unter das Betriebsgeheimnis. Diese Datenfelder dürfen nur Informationen enthalten, die den Kunden nicht eindeutig identifizieren und leistungsbezogen sind. Beispiele dafür sind: Farbrezepturen (Friseur), Maschinenkonfigurationen und Resultate der Hautbildanalyse (Kosmetik) oder Stromstärken (EMS-Sport). Wir können nur wenige Beispiele geben und empfehlen Ihnen, sich sorgfältig über die möglichen Betriebsgeheimnisse Ihrer Branche zu informieren. Im Export werden diese Felder erwähnt, aber deren Inhalt wird nicht angezeigt.

Wie kann ich sichergehen, dass meine Mitarbeiter die Daten nicht missbräuchlich verwenden?

In Ihrem Unternehmen arbeiten mitunter viele verschiedene Mitarbeiter mit den Daten der Kunden. Stellen Sie sicher, dass jeder, der in Ihrem Unternehmen Zugang zu Kundendaten hat, auch mit den Regeln der Datenschutz-Grundverordnung vertraut ist. Um sicher zu gehen, dass Ihre Mitarbeiter die Daten Ihrer Kunden gewissenhaft verarbeiten, können Sie sie eine Verschwiegenheitsverpflichtung unterschreiben lassen. Ein Muster hierfür stellt zum Beispiel die IHK Aachen zur Verfügung.

Im Belbo-Kalender haben Sie die Möglichkeit, jedem Login verschiedene Rechte zu geben oder zu entziehen. Wenn Sie das recht "Kundendatenbank" entziehen, können Ihre Mitarbeiter zwar Termine eintragen und die Namen der Kunden des Tages einsehen, jedoch nicht auf die gesamte Kundendatenbank zugreifen oder diese exportieren.

Was ist mit den Daten meiner Mitarbeiter?

Auch Ihre Mitarbeiter haben ein Recht auf Datenschutz. Stellen Sie daher sicher, dass Sie die Daten Ihrer Mitarbeiter ebenfalls regelgerecht verwenden. Dazu gehört zum Beispiel die Verwendung von Mitarbeiterfotos und -namen auf Ihrer Website oder in der Onlinebuchung, die nur nach ausdrücklicher Zustimmung durch den betroffenen Mitarbeiter erfolgen darf. Lassen Sie sich hierzu am besten eine Einwilligungserklärung unterschreiben.

Im Mitarbeiterprofil Ihres Kalenders können Sie die Fotos Ihrer Mitarbeiter hochladen, um Kunden und Kollegen die Terminbuchung zu erleichtern. Hat ein Mitarbeiter dem nicht ausdrücklich zugestimmt, sollten Sie das Foto entfernen. Sie können es zum Beispiel durch einen Avatar ersetzen, also ein dem Mitarbeiter ähnliches Comic-Bild, welches Sie kostenfrei im Internet erstellen können.
Im Mitarbeiterprofil bei Belbo wird zwischen Mitarbeitername und Anzeigename unterschieden. Auch, wenn Sie in der Mitarbeiterakte den korrekten Namen vergeben, können Sie einen anderen Anzeigenamen wählen, welcher Kunden und Kollegen bei der Buchung gezeigt wird. Dies kann zum Beispiel der Vorname oder ein Spitzname sein, um den vollen Namen der Mitarbeiterin zu schützen.

Welche Nachrichten sind werblich und verlangen die explizite Zustimmung durch den Kunden?

Informationen, welche keinen direkt werblichen, sondern rein informativen Inhalt haben, können auch ohne die vorherige Zustimmung versendet werden. Dazu gehören neben Terminerinnerungen und -bestätigungen auch Informationen über geänderte Öffnungszeiten und Adress- sowie Umzugsinformationen. Achten Sie bei solchen Schreiben unbedingt darauf, keine werblichen Ergänzungen hinzuzufügen, wie zum Beispiel Sonderangebote im Rahmen einer Neueröffnung. Auch wenn Ihre Kunden dem Empfang dieser Nachrichten nicht zustimmen müssen, ist es erforderlich, dass sie die Möglichkeit haben, sich davon abzumelden.

Saisonale Nachrichten wie Weihnachts-, Neujahrs- und Geburtstagsglückwünsche sowie Reaktivierungs-Mails oder Bewertungsanfragen fallen jedoch unter werbliche Nachrichten benötigen eine explizite Werbeeinwilligung.

Die in Belbo verfügbaren Marketingfunktionen werden ausschließlich an die Kunden geschickt, welche ausdrücklich dem Erhalt von werblichen Informationen zugestimmt haben. Bei der Verwendung von Newslettern, automatischen Geburtstags-Mails, Bewertungsaufforderungen oder Reaktivierungsangeboten für Kunden, welche lange nicht bei Ihnen waren, können Sie also sicher sein, dass nur Kunden mit rechtssicherer Marketingfreigabe auch angeschrieben werden. In jeder dieser Nachrichten hat der Kunde im Fuß der E-Mail die Möglichkeit, sich abzumelden.

Kann ich weiterhin SMS mit werblichem Inhalt versenden?

Auch SMS-Nachrichten an Ihre Kunden sind zukünftig weiterhin erlaubt, wenn die Erlaubnis des Kunden vorliegt. Jedoch ist es – für werbliche und nichtwerbliche Nachrichten gleichermaßen – erforderlich, dass Kunden sich von den Nachrichten auf einfachem Wege abmelden können.

Auch über Belbo gesendete SMS-Kampagnen enthalten in Zukunft einen Link, um sich austragen zu können. Da jede SMS nur 160 Zeichen enthalten darf bedeutet dies, dass Ihnen voraussichtlich circa 30 Zeichen weniger zur Verfügung stehen und die Kampagne entsprechend teurer werden kann oder der Inhalt sehr begrenzt ist.
Werbenachrichten werden in Zukunft nur durch aktives Akzeptieren des Kunden möglich sein: Für Kunden ohne E-Mail-Adresse wird daher in Zukunft SMS-Kampagnen nur durch schriftliches Einverständnis in Papierform möglich sein.
Für Kunden ohne E-Mail-Adresse stellen wir ab dem 25.05. ein Formular zum Ausdrucken bereit, welches vom Kunden unterschrieben werden muss. Der Scan kann im jeweiligen Kundenprofil hochgeladen werden. Erst dann kann der Kunde Werbe-SMS erhalten.

Welche Daten meiner Kunden darf ich zukünftig verarbeiten?

Unter dem Prinzip der Datensparsamkeit sind Sie verpflichtet nur solche Daten zu erheben, welche für die Ausführung Ihrer Dienstleistung nötig sind. Neben den Grunddaten des Kunden, welche Name und Kontaktdaten beinhalten, sind dies je nach Branche aber auch weitere Daten Ihrer Kunden. In der Friseurbranche spielen Farbrezepturen eine Rolle, in der Kosmetikbranche können das Resultate der Hautanalyse sein und im EMS-Sport Daten wie Westengrößen oder Stromstärken. Auch wenn das Sammeln gesundheitlicher Daten in den DSGVO kritisch gesehen wird, werden in manchen Branchen etwaige Allergien oder das Tragen von Kontaktlinsen dokumentiert, um dem Mitarbeiter die optimale Betreuung des Kunden zu ermöglichen. Stellen Sie sicher, dass Sie Ihre Kunden über die Verarbeitung dieser Daten informieren und erkundigen Sie sich gewissenhaft, welche Daten Sie erheben dürfen. Dazu gehört, dass diese Daten nicht zu den unter Art. 9 Abs. 1 DSGVO untersagten Daten gehören. Dazu gehören Informationen wie etwa die ethnische Herkunft oder die sexuelle Orientierung des Kunden.

In Belbo können Sie eigene Kundenfelder und Terminfelder anlegen, um genau die Daten erheben zu können, welche Sie für Ihre Dienstleistungen benötigen. Prüfen Sie diese Datenfelder sorgfältig auf ihre Notwendigkeit. Sie haben für jedes der Felder die Möglichkeit, es als Pflichtfeld bei der Registrierung zu definieren. Stellen Sie auch hier sicher, dass Sie nur solche Daten als Pflichtfeld festlegen, welche unbedingt notwendig sind, um bei Ihnen einen Termin zu erhalten. Die Abfrage unnötiger Pflichtdaten ist untersagt.

Benötige ich einen Datenverarbeitungsvertrag?

Wenn Sie eine Cloud-Software zur Terminplanung oder Kundenverwaltung nutzen, verarbeitet der Anbieter dieses Dienstes in Ihrem Auftrag Daten. In diesem Falle müssen Sie mit dem Anbieter einen Vertrag schließen und Ihre Kunden darauf aufmerksam machen, dass und von wem die Daten in Ihrem Auftrag verarbeitet werden.

Die Firma Belbo Business Software GmbH verarbeitet Daten im Auftrag ihrer Kunden. Dies sind Nutzer der Verwaltungs- und Kassensoftware. In den Kontoeinstellungen Ihres Belbo-Systems finden Sie den aktualisierten Auftragsdatenverarbeitungsvertrag, welchen Sie uns auf elektronischem Wege erteilen müssen. Dies können übrigens nur Nutzer mit dem Vertragsrecht. In den Datenschutzbedingungen der Onlinebuchung und im Rahmen der Informationspflicht werden Ihre Kunden über die Auftragsdatenverarbeitung durch Belbo informiert.

Was ist ein Verzeichnis von Verarbeitungstätigkeiten und warum sollte ich eins haben?

Das Verzeichnis von Verarbeitungstätigkeiten dient als Grundlage, Ihren Nachweispflichten im Rahmen der Datenschutz-Grundverordnung nachzukommen. Jedes Unternehmen, welches Daten verarbeitet, muss dieses anlegen. Dabei handelt es sich um eine Auflistung der verarbeiteten Datentypen und wie von der Verarbeitung betroffene Personen (also Ihre Kunden und Mitarbeiter) über die Verarbeitung informiert werden. Darüber hinaus muss über den Zweck, die Art und Dauer sowie die gesetzliche Grundlage der Speicherung dargelegt werden.

Bitte beachten Sie, dass wir Sie nur auf Thema aufmerksam machen, Ihnen aber keine verbindlichen Hinweise zur Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten geben können. Ein Muster hierfür sowie zahlreiche weitere Dokumente finden Sie zum Beispiel bei der Handwerkskammer Hannover.

Überzeugen Sie sich selbst

Jetzt kostenlos testen ›