EU-DATENSCHUTZGRUNDVERORDNUNG (DSGVO)

Die EU-Datenschutzgrundverordnung stellt für viele Friseur- und Kosmetikunternehmen eine Herausforderung dar. Wir beantworten Ihnen die häufigsten Fragen.

Seit dem 25.05.2018 gilt die EU-Datenschutzgrundverordnung (DSGVO). Dies stellt alle Unternehmen vor zusätzliche Herausforderungen. Wir möchten Ihnen die häufigsten Fragen hierzu beantworten:

Brauche ich einen Datenschutzbeauftragten?
Wenn Sie personenbezogene Daten automatisiert verarbeiten und mehr als 9 Personen damit ständig beschäftigt sind, dann müssen Sie einen Datenschutzbeauftragten bestellen. Dies kann sowohl jemand aus Ihrem Unternehmen sein, der nötige Fachkenntnis durch eine entsprechende Prüfung erworben hat und nicht im Interessenkonflikt steht oder ein externer Datenschutzbeauftragter.

Muss ich mir von den Kunden eine Einwilligung zur Datenverarbeitung einholen?
Ja. Sie brauchen von Ihren Kunden eine Einwilligung, dass Sie die Daten erheben und verarbeiten dürfen. Da sowohl die erhobenen und verarbeiteten Daten aber bei jedem Unternehmen sehr unterschiedlich sein können (Name, Adresse, verschiedene Telefonnummern, Gesundheitsdaten, Fotos der Kunden, Termindaten usw.), als auch die Verfahrensweisen mit Datensicherheit sowie der berechtigten Personen sehr individuell sind, muss jede Vorlage entsprechend den eigenen Bedürfnissen erstellt und anschließend rechtssicher von z. B. einem Anwalt abgenommen werden. Für Musterformulare und Leitfäden wenden Sie sich am besten an die Datenschutzbehörde Ihres Bundeslandes. Die Kontaktdaten finden Sie unter www.bfdi.bund.de/DE/Infothek/Anschriften_Links/anschriften_links-node.html

Sobald Ihnen die Einwilligung Ihrer Kunden vorliegt, können Sie in der aktuellen COMCASH-Version die entsprechende Kundenkartei mit der Option "Einwilligung (DSGVO) liegt vor" kennzeichnen. So können Sie stets nachvollziehen, von welchen Kunden Sie die Einwilligung noch benötigen.

Was muss ich tun, wenn ein Kunde sein Recht auf Löschung wahrnimmt oder seine Einwilligung zur Datenverarbeitung widerruft?
Wenn Sie einen entsprechenden Antrag eines Kunden auf Löschung seiner Daten bekommen, müssen Sie seine Kundenkartei aus COMCASH löschen. Dazu wählen Sie den entsprechenden Kunden in Ihrer Kundenkartei aus und klicken auf "Löschen". Alle steuerrelevanten Daten wie z. B. die Kassenbons unterliegen der Aufbewahrungsfrist seitens des Finanzamts. Diese sind der DSGVO übergeordnet und bleiben deshalb auch bei Löschung einer Kundenkartei stets erhalten.

In der aktuellen COMCASH-Version steht Ihnen zusätzlich die Funktion "Löschen und pseudonymisieren" zur Verfügung. Diese Funktion ersetzt den Namen des gelöschten Kunden auch in der Historie und den Auswertungen wie z. B. in den Bereichen "Kassenbons zeigen" oder "Umsätze/Kassenbons". Der Kundenname wird an diesen Stellen durch einen Text ersetzt, den Sie frei definieren können (z. B. "gelöschter Kunde").

Gibt es in COMCAH eine Löschfunktion, so dass die Kunden, die z. B. länger als 12 Monate nicht zur Behandlung im Geschäft waren, gelöscht werden können?
Ja. Sie können in COMCASH in der Kundenkartei über Suchen > Markieren einen Suchfilter auf den letzten Besuch setzen. Wenn Sie dann die Suche starten, bekommen Sie eine Liste mit den entsprechenden Kunden, die seit der eingegebenen Zeit nicht mehr bei Ihnen waren und diese können Sie dann löschen.

Zusätzlich können Sie in COMCASH auch alle Bewegungsdaten (Kassenbons, Belege usw.) nach Ablauf der gesetzlichen Aufbewahrungsfrist löschen. Hierzu nehmen Sie bitte Kontakt mit unseren Supportmitarbeitern auf, da diese Funktion ohne entsprechende Einweisung bzw. bei falscher Anwendung zu ungewünschtem Datenverlust führen kann (Support-Hotline: 09001 266 42 47).

Wie kann ich COMCASH oder meinen PC vor unbefugtem Zugriff schützen?
Hierfür gibt es verschiedene Möglichkeiten. Zum einen können Sie in COMCASH den Passwortschutz für diverse Programmteile oder das Starten von COMCASH aktivieren. Gehen Sie hierzu in den Bereich Büro > Einstellungen > Sicherheit > Passwörter. Dort können Sie die zu schützenden Bereiche auswählen und dann jedem Mitarbeiter entsprechende Berechtigungen zuweisen. Außerdem haben Sie die Möglichkeit die Kasse komplett zu sperren (Kasse > Spezial > Kasse sperren). Entsperren kann jeder Mitarbeiter, dessen Passwort in den Einstellungen auch die Funktion „Kasse sperren“ enthält. Alternativ können Sie aber auch z. B. einen Bildschirmschoner mit Passwortschutz in Windows aktivieren, welcher sich z. B. nach einer Minute ohne Aktivität selbst einschaltet oder Sie würden Windows mit der Tastenkombination „Windows + L“ sperren, sobald Sie den PC verlassen.

Was wird COMCASH in Bezug auf die DSVGO in Zukunft an Funktionen hinzufügen?
Mit der aktuellsten Build der COMCASH 4.0 Version lässt sich bereits datenschutzkonform arbeiten. Um COMCASH wie gewohnt mit zielgerichteten Funktionen zu verbessern, werden wir die Rückmeldungen unserer Kunden in Bezug auf die Umsetzung der DSVGO mit COMCASH auswerten und daraus entsprechend neue Funktionen erarbeiten, die Ihnen die Umsetzung noch weiter vereinfachen werden. Diese neuen Funktionen werden wir dann in Updates/Upgrades zur Verfügung stellen.

Was muss ich beachten, wenn ich Terminbuch.de nutze?
Terminbuch.de hat bereits eine allgemeine Datenschutzerklärung für Kunden, die sich online registrieren. Allerdings werden auch Kundendaten von COMCASH an Ihr Terminbuch.de übertragen, wenn im Salon Termine für diese Kunden gebucht werden. Außerdem besteht die Möglichkeit, Kundendaten auch ohne Termin per Option in der Kundenkartei zu übertragen, damit diese dann auch für Terminbuchungen genutzt werden können. Es ist deshalb wichtig, dass Sie in Ihrer Einwilligungserklärung diesen Punkt mit aufnehmen und von jedem Kunden diese Erlaubnis einholen. Zusätzlich stellen wir Ihnen auf Anfrage einen Auftragsverarbeitungsvertrag zur Verfügung. Hierfür wenden Sie sich bitte an datenschutz@remove-this.comhair.de (hier klicken).

Muss ich mit COMHAIR einen Auftragsverarbeitungsvertrag schließen?
Grundsätzlich liegen alle Ihre personenbezogenen Daten in COMCASH lokal auf Ihrem PC. Somit hat niemand unmittelbar Zugriff auf Ihre Daten und es ist auch kein Auftragsverarbeitungsvertrag nötig. Bei Fragen zur Soft- und Hardware über unsere Hotline kann es jedoch nötig sein, dass Sie unseren Supportmitarbeitern den Zugriff per Fernwartung gewähren. Aber selbst in diesem Fall sind sich die Juristen aktuell uneins, ob ein entsprechender Vertrag geschlossen werden muss. Einige haben die Auffassung, dass mit jedem Dienstleister, der direkt oder nur theoretischen Zugriff auf personenbezogene Daten hat, ein Auftragsverarbeitungsvertrag geschlossen werden muss. Andere wiederum sehen die Wartung von Soft- und Hardwaresystemen als zulässige Verarbeitung von personenbezogenen Daten, da sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist und keine Interessen, Grundrechte und Grundfreiheiten der betroffenen Personen überwiegen (vgl. Art. 6, Abs. 1f DSVGO). Damit Sie auch in diesem Punkt auf der sicheren Seite sind, stellen wir Ihnen vorsorglich einen entsprechenden Auftragsverarbeitungsvertrag zur Verfügung. Hierfür wenden Sie sich bitte an datenschutz@remove-this.comhair.de (hier klicken).

Was muss ich beachten, wenn ich Dropbox nutze?
Dropbox hat seinen Firmensitz in den USA, somit liegt ein Datentransfer in ein Drittland vor, was ab dem 25.05.2018 nur unter bestimmten Bedingungen zulässig ist. Zum Thema Dropbox können wir nur auf den Anbieter verweisen. Informationen dazu finden Sie direkt auf der Website von Dropbox. Nach aktueller Aussage des Unternehmens werden alle Voraussetzungen bis zum Stichtag erfüllt sein.

Wie verhält sich die DSVGO in Bezug auf meine Mitarbeiter?
Ihre Mitarbeiter sollten entsprechend über den ordnungsgemäßen Umgang mit personenbezogenen Daten aufgeklärt werden. Außerdem sollten Sie sich eine Verschwiegenheitserklärung der Mitarbeiter unterschreiben lassen. Auch hierzu finden Sie entsprechende Vorlagen/Muster auf den Webseiten der Datenschutzbehörden zum Download. Diese müssen Sie dann entsprechend Ihren Bedürfnissen anpassen und sollten diese im Anschluss noch einmal rechtssicher von z. B. einem Anwalt abnehmen lassen.

Was ist ein Verfahrensverzeichnis?
Das Verfahrensverzeichnis, das bereits aus dem Bundesdatenschutzgesetz (BDSG) bekannt war, wird in der DSGVO "Verzeichnis von Verarbeitungstätigkeiten" genannt. Unter den Verarbeitungstätigkeiten im Sinne des Datenschutzes versteht man alle Vorgänge im Unternehmen, die personenbezogene Daten verarbeiten. Also alle Vorgänge, bei denen Sie, Ihre Mitarbeiter oder Kollegen mit Informationen in Kontakt kommen, hinter denen reale Personen stehen. Diese Verfahren werden im Verfahrensverzeichnis beschrieben. Dieses Verzeichnis kann von Unternehmen zu Unternehmen unterschiedlich lang sein, aber jedes Unternehmen muss dieses Verzeichnis erstellen. Entsprechende Vorlagen und Leitfäden können auf den Webseiten der Aufsichtsbehörden heruntergeladen werden.

Was muss ich in Bezug auf meine Website beachten?
Wenn Sie eine Website betreiben und darauf z. B. ein Kontaktformular haben, dann müssen Sie eine entsprechende Datenschutzerklärung auf Ihrer Website platzieren und diese mit dem Kontaktformular vom Kunden bestätigen lassen. Hierzu wenden Sie sich an den Betreiber Ihrer Website und ggf. zusätzlich an einen Anwalt, um Rechtssicherheit zu haben.

Wichtiger Hinweis: Bitte beachten Sie, dass dieser Newsletter keine Rechtsberatung darstellt, sondern lediglich Empfehlungen, sowie allgemeine Informationen enthält. Ihren individuellen Handlungsbedarf zum Thema Datenschutz sollten Sie mit einem Anwalt oder einem Datenschutzbeauftragten ermitteln.

Sie haben noch Fragen?
Sie erreichen unseren Datenschutzbeauftragten per E-Mail unter datenschutz@remove-this.comhair.de (hier klicken) oder über unsere Support-Hotline unter 09001 266 42 47.

Die EU-Datenschutzgrundverordnung stellt für viele Friseur- und Kosmetikunternehmen eine Herausforderung dar. Wir beantworten Ihnen die häufigsten Fragen.

Seit dem 25.05.2018 gilt die EU-Datenschutzgrundverordnung (DSGVO). Dies stellt alle Unternehmen vor zusätzliche Herausforderungen. Wir möchten Ihnen die häufigsten Fragen hierzu beantworten:

Brauche ich einen Datenschutzbeauftragten?
Wenn Sie personenbezogene Daten automatisiert verarbeiten und mehr als 9 Personen damit ständig beschäftigt sind, dann müssen Sie einen Datenschutzbeauftragten bestellen. Dies kann sowohl jemand aus Ihrem Unternehmen sein, der nötige Fachkenntnis durch eine entsprechende Prüfung erworben hat und nicht im Interessenkonflikt steht oder ein externer Datenschutzbeauftragter.

Muss ich mir von den Kunden eine Einwilligung zur Datenverarbeitung einholen?
Ja. Sie brauchen von Ihren Kunden eine Einwilligung, dass Sie die Daten erheben und verarbeiten dürfen. Da sowohl die erhobenen und verarbeiteten Daten aber bei jedem Unternehmen sehr unterschiedlich sein können (Name, Adresse, verschiedene Telefonnummern, Gesundheitsdaten, Fotos der Kunden, Termindaten usw.), als auch die Verfahrensweisen mit Datensicherheit sowie der berechtigten Personen sehr individuell sind, muss jede Vorlage entsprechend den eigenen Bedürfnissen erstellt und anschließend rechtssicher von z. B. einem Anwalt abgenommen werden. Für Musterformulare und Leitfäden wenden Sie sich am besten an die Datenschutzbehörde Ihres Bundeslandes. Die Kontaktdaten finden Sie unter www.bfdi.bund.de/DE/Infothek/Anschriften_Links/anschriften_links-node.html

Sobald Ihnen die Einwilligung Ihrer Kunden vorliegt, können Sie in der aktuellen COMCASH-Version die entsprechende Kundenkartei mit der Option "Einwilligung (DSGVO) liegt vor" kennzeichnen. So können Sie stets nachvollziehen, von welchen Kunden Sie die Einwilligung noch benötigen.

Was muss ich tun, wenn ein Kunde sein Recht auf Löschung wahrnimmt oder seine Einwilligung zur Datenverarbeitung widerruft?
Wenn Sie einen entsprechenden Antrag eines Kunden auf Löschung seiner Daten bekommen, müssen Sie seine Kundenkartei aus COMCASH löschen. Dazu wählen Sie den entsprechenden Kunden in Ihrer Kundenkartei aus und klicken auf "Löschen". Alle steuerrelevanten Daten wie z. B. die Kassenbons unterliegen der Aufbewahrungsfrist seitens des Finanzamts. Diese sind der DSGVO übergeordnet und bleiben deshalb auch bei Löschung einer Kundenkartei stets erhalten.

In der aktuellen COMCASH-Version steht Ihnen zusätzlich die Funktion "Löschen und pseudonymisieren" zur Verfügung. Diese Funktion ersetzt den Namen des gelöschten Kunden auch in der Historie und den Auswertungen wie z. B. in den Bereichen "Kassenbons zeigen" oder "Umsätze/Kassenbons". Der Kundenname wird an diesen Stellen durch einen Text ersetzt, den Sie frei definieren können (z. B. "gelöschter Kunde").

Gibt es in COMCAH eine Löschfunktion, so dass die Kunden, die z. B. länger als 12 Monate nicht zur Behandlung im Geschäft waren, gelöscht werden können?
Ja. Sie können in COMCASH in der Kundenkartei über Suchen > Markieren einen Suchfilter auf den letzten Besuch setzen. Wenn Sie dann die Suche starten, bekommen Sie eine Liste mit den entsprechenden Kunden, die seit der eingegebenen Zeit nicht mehr bei Ihnen waren und diese können Sie dann löschen.

Zusätzlich können Sie in COMCASH auch alle Bewegungsdaten (Kassenbons, Belege usw.) nach Ablauf der gesetzlichen Aufbewahrungsfrist löschen. Hierzu nehmen Sie bitte Kontakt mit unseren Supportmitarbeitern auf, da diese Funktion ohne entsprechende Einweisung bzw. bei falscher Anwendung zu ungewünschtem Datenverlust führen kann (Support-Hotline: 09001 266 42 47).

Wie kann ich COMCASH oder meinen PC vor unbefugtem Zugriff schützen?
Hierfür gibt es verschiedene Möglichkeiten. Zum einen können Sie in COMCASH den Passwortschutz für diverse Programmteile oder das Starten von COMCASH aktivieren. Gehen Sie hierzu in den Bereich Büro > Einstellungen > Sicherheit > Passwörter. Dort können Sie die zu schützenden Bereiche auswählen und dann jedem Mitarbeiter entsprechende Berechtigungen zuweisen. Außerdem haben Sie die Möglichkeit die Kasse komplett zu sperren (Kasse > Spezial > Kasse sperren). Entsperren kann jeder Mitarbeiter, dessen Passwort in den Einstellungen auch die Funktion „Kasse sperren“ enthält. Alternativ können Sie aber auch z. B. einen Bildschirmschoner mit Passwortschutz in Windows aktivieren, welcher sich z. B. nach einer Minute ohne Aktivität selbst einschaltet oder Sie würden Windows mit der Tastenkombination „Windows + L“ sperren, sobald Sie den PC verlassen.

Was wird COMCASH in Bezug auf die DSVGO in Zukunft an Funktionen hinzufügen?
Mit der aktuellsten Build der COMCASH 4.0 Version lässt sich bereits datenschutzkonform arbeiten. Um COMCASH wie gewohnt mit zielgerichteten Funktionen zu verbessern, werden wir die Rückmeldungen unserer Kunden in Bezug auf die Umsetzung der DSVGO mit COMCASH auswerten und daraus entsprechend neue Funktionen erarbeiten, die Ihnen die Umsetzung noch weiter vereinfachen werden. Diese neuen Funktionen werden wir dann in Updates/Upgrades zur Verfügung stellen.

Was muss ich beachten, wenn ich Terminbuch.de nutze?
Terminbuch.de hat bereits eine allgemeine Datenschutzerklärung für Kunden, die sich online registrieren. Allerdings werden auch Kundendaten von COMCASH an Ihr Terminbuch.de übertragen, wenn im Salon Termine für diese Kunden gebucht werden. Außerdem besteht die Möglichkeit, Kundendaten auch ohne Termin per Option in der Kundenkartei zu übertragen, damit diese dann auch für Terminbuchungen genutzt werden können. Es ist deshalb wichtig, dass Sie in Ihrer Einwilligungserklärung diesen Punkt mit aufnehmen und von jedem Kunden diese Erlaubnis einholen. Zusätzlich stellen wir Ihnen auf Anfrage einen Auftragsverarbeitungsvertrag zur Verfügung. Hierfür wenden Sie sich bitte an datenschutz@remove-this.comhair.de (hier klicken).

Muss ich mit COMHAIR einen Auftragsverarbeitungsvertrag schließen?
Grundsätzlich liegen alle Ihre personenbezogenen Daten in COMCASH lokal auf Ihrem PC. Somit hat niemand unmittelbar Zugriff auf Ihre Daten und es ist auch kein Auftragsverarbeitungsvertrag nötig. Bei Fragen zur Soft- und Hardware über unsere Hotline kann es jedoch nötig sein, dass Sie unseren Supportmitarbeitern den Zugriff per Fernwartung gewähren. Aber selbst in diesem Fall sind sich die Juristen aktuell uneins, ob ein entsprechender Vertrag geschlossen werden muss. Einige haben die Auffassung, dass mit jedem Dienstleister, der direkt oder nur theoretischen Zugriff auf personenbezogene Daten hat, ein Auftragsverarbeitungsvertrag geschlossen werden muss. Andere wiederum sehen die Wartung von Soft- und Hardwaresystemen als zulässige Verarbeitung von personenbezogenen Daten, da sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist und keine Interessen, Grundrechte und Grundfreiheiten der betroffenen Personen überwiegen (vgl. Art. 6, Abs. 1f DSVGO). Damit Sie auch in diesem Punkt auf der sicheren Seite sind, stellen wir Ihnen vorsorglich einen entsprechenden Auftragsverarbeitungsvertrag zur Verfügung. Hierfür wenden Sie sich bitte an datenschutz@remove-this.comhair.de (hier klicken).

Was muss ich beachten, wenn ich Dropbox nutze?
Dropbox hat seinen Firmensitz in den USA, somit liegt ein Datentransfer in ein Drittland vor, was ab dem 25.05.2018 nur unter bestimmten Bedingungen zulässig ist. Zum Thema Dropbox können wir nur auf den Anbieter verweisen. Informationen dazu finden Sie direkt auf der Website von Dropbox. Nach aktueller Aussage des Unternehmens werden alle Voraussetzungen bis zum Stichtag erfüllt sein.

Wie verhält sich die DSVGO in Bezug auf meine Mitarbeiter?
Ihre Mitarbeiter sollten entsprechend über den ordnungsgemäßen Umgang mit personenbezogenen Daten aufgeklärt werden. Außerdem sollten Sie sich eine Verschwiegenheitserklärung der Mitarbeiter unterschreiben lassen. Auch hierzu finden Sie entsprechende Vorlagen/Muster auf den Webseiten der Datenschutzbehörden zum Download. Diese müssen Sie dann entsprechend Ihren Bedürfnissen anpassen und sollten diese im Anschluss noch einmal rechtssicher von z. B. einem Anwalt abnehmen lassen.

Was ist ein Verfahrensverzeichnis?
Das Verfahrensverzeichnis, das bereits aus dem Bundesdatenschutzgesetz (BDSG) bekannt war, wird in der DSGVO "Verzeichnis von Verarbeitungstätigkeiten" genannt. Unter den Verarbeitungstätigkeiten im Sinne des Datenschutzes versteht man alle Vorgänge im Unternehmen, die personenbezogene Daten verarbeiten. Also alle Vorgänge, bei denen Sie, Ihre Mitarbeiter oder Kollegen mit Informationen in Kontakt kommen, hinter denen reale Personen stehen. Diese Verfahren werden im Verfahrensverzeichnis beschrieben. Dieses Verzeichnis kann von Unternehmen zu Unternehmen unterschiedlich lang sein, aber jedes Unternehmen muss dieses Verzeichnis erstellen. Entsprechende Vorlagen und Leitfäden können auf den Webseiten der Aufsichtsbehörden heruntergeladen werden.

Was muss ich in Bezug auf meine Website beachten?
Wenn Sie eine Website betreiben und darauf z. B. ein Kontaktformular haben, dann müssen Sie eine entsprechende Datenschutzerklärung auf Ihrer Website platzieren und diese mit dem Kontaktformular vom Kunden bestätigen lassen. Hierzu wenden Sie sich an den Betreiber Ihrer Website und ggf. zusätzlich an einen Anwalt, um Rechtssicherheit zu haben.

Wichtiger Hinweis: Bitte beachten Sie, dass dieser Newsletter keine Rechtsberatung darstellt, sondern lediglich Empfehlungen, sowie allgemeine Informationen enthält. Ihren individuellen Handlungsbedarf zum Thema Datenschutz sollten Sie mit einem Anwalt oder einem Datenschutzbeauftragten ermitteln.

Sie haben noch Fragen?
Sie erreichen unseren Datenschutzbeauftragten per E-Mail unter datenschutz@remove-this.comhair.de (hier klicken) oder über unsere Support-Hotline unter 09001 266 42 47.