FachBlog

DSGVO – whaaaaat? Das sollte die Spa-Branche bei der Datenschutzverordnung beachten

Der Medienhype rund um die Datenschutzgrundverordnung (DSGVO) erreicht seinen Peak am 25. Mai 2018. Einen kurzen und knappen Streifzug durch die neue Verordnung liefert heute Günther Pöllabauer vom Softwareunternehmen TAC | The Assistant Company.

5 vor 12: am 25.05 tritt die Datenschutzgrundverordnung (DSGVO) in Kraft. Foto: Fotolia/Robert Kneschke

Fünf vor zwölf: am 25.5. tritt die Datenschutzgrundverordnung (DSGVO) in Kraft. Foto: Fotolia/Robert Kneschke

Am 25.5. ist es so weit. Nach einer zweijährigen Übergangsfrist tritt die Datenschutzgrundverordnung (DSGVO) in Kraft. Die wesentlichen Punkte sind aber noch immer nicht bei allen Beteiligten angekommen. Die generell gute Idee: Das Datenschutzrecht aus 1995 wird aktualisiert und die Rechte der eigenen Daten jedes EU-Bürgers werden gestärkt. Leider sind die Regelungen der DSGVO sehr allgemein gehalten und selbst Experten können oft nur vermuten, was zukünftig erlaubt ist. Juristen sind der Meinung, dass diese Rechtsunsicherheit die Gerichte noch länger beschäftigen wird und Streitfälle letztlich beim Gerichtshof landen werden. Und das wird Jahre dauern.

Für wen gilt die DSGVO?

Für alle, die Zweifel haben, ob die DSGVO für sie zutrifft oder nicht, sei kurz gesagt:

Jedes Unternehmen, welches personenbezogene Daten verarbeitet, fällt in den Bereich der neuen Verordnung.

„Personenbezogen“ meint hier alle Daten, die sich direkt oder indirekt auf eine identifizierbare Person rückschließen lassen. So z.B. Name, Geschlecht, Hautfarbe, Autokennzeichen oder IP-Adressen. „Verarbeitet“ werden diese Daten dann, wenn sie erhoben, gespeichert, abgefragt, transferiert oder gelöscht werden. In diese Definition fallen also so ziemlich alle Betriebe: vom Blogger über den Betreiber kleiner Webseiten bis hin zu internationalen Hotels, Spas, Ärzten und Krankenhäusern. Zu beachten gilt es, dass die Datenschützer einen kritischeren Blick haben, falls mit Gesundheitsdaten gearbeitet wird. In diesem Fall sollte sich der Verantwortliche praktikable Prozesse überlegen, wie die Daten verarbeitet werden können.

Das Datenschutzgesetz ist generell ein Verbotsgesetz. Personenbezogene Daten zu verarbeiten, ist also grundsätzlich verboten und nur bei Ausnahmen erlaubt. Solche Ausnahmen sind unter anderem aktive Vertragsverhältnisse (wie bei Kauf- und Dienstverträgen oder Bestellungen im Onlineshop) sowie eine klare Zustimmung der Kunden. Die Zustimmung zur Datenverarbeitung kann online durch entsprechende Checkboxen (Achtung: bitte keineswegs vorab anklicken!) erteilt werden.

Selbstverständlich müssen Website-User auch jederzeit die Möglichkeit haben, diese Zustimmung zu widerrufen. Zusätzlich zum Impressum ist es wichtig, eine DSGVO-konforme Datenschutzerklärung zugängig zu machen. Ein minimaler Schritt ist es also, die Website in puncto DSGVO „fit“ zu machen, um sich gegenüber Abmahnungen von Mitbewerbern oder Abmahnvereinen abzusichern. Dazu gibt es mittlerweile sogar Online-Generatoren, die die Besonderheiten der neuen Verordnung berücksichtigen, wie z.B. www.datenschutz-generator.de. In jedem Fall ist eine individuelle Abklärung mit dem spezialisierten Anwalt zu empfehlen.

Rechte für den Kunden

Werden von Kunden also Daten berechtigterweise gespeichert, haben diese eine Reihe von Rechten, die der Betrieb einhalten muss. Sonst könnte es gut sein, dass die Datenschutzbehörde vor der Tür steht, um zu mahnen oder im schlimmsten Fall sogar dementsprechend zu strafen. Hier sind exemplarisch ein paar dieser Rechte aufgelistet:

  • Das Recht auf Auskunft
    Will ein Gast wissen, welche Daten über ihn gespeichert werden, hat er jederzeit das Recht darauf. Das Ziel ist eine transparente Verarbeitung von personenbezogenen Daten und gleichzeitig die Rechtmäßigkeit der Verarbeitung vom Unternehmer zu gewährleisten.
  • Das Recht auf Berichtigung
    Betroffene Personen haben ebenfalls das Recht, ihre Daten jederzeit zu berichtigen oder zu vervollständigen. Dies ist für jeden, der schon einmal online geshoppt hat, nachvollziehbar. Werden Namen falsch oder unvollständig geschrieben, stellt dies ein großes Ärgernis dar.
  • Das Recht auf Löschung
    Neu in der Verordnung ist, dass Kunden das dezidierte Recht haben, eine Löschung der Daten vom verarbeitenden Betrieb, innerhalb einer angemessenen Frist (lt. gängiger Meinung vier Wochen), anzufordern. Die Herausforderung hier ist, einen durchgängigen Informationsfluss zu installieren, damit Daten auch tatsächlich gelöscht werden. Unternehmen können dies mit der Einrichtung einer eigenen E-Mail-Adresse lösen und diese in der Datenschutzerklärung an Kunden kommunizieren. Von dieser grundsätzlichen Löschpflicht gibt es jedoch Ausnahmen, wenn zum Beispiel rechtliche Verpflichtungen des Verantwortlichen zur Verarbeitung bestehen.
  • Recht auf Datenübertragbarkeit
    Dieses Recht wurde eingeführt, damit ein Betroffener seine Profildaten bei einem Dienst exportiert und bei einem vergleichbaren Dienst wieder importieren kann. Hier hatte der Gesetzgeber offenbar vor allem Facebook im Visier. Der Export aus dem verwendeten System muss in einem strukturierten, gängigen und maschinenlesbaren Format möglich sein. Aufwändig kann es für den Verantwortlichen der Daten werden, wenn der Betroffene verlangt, dass die Daten direkt an einen anderen Verantwortlichen übermittelt werden sollen. In diesem Bereich besteht eine erhebliche Rechtsunsicherheit, da zahlreiche praxisrelevante Fragen noch ungeklärt sind.

DSGVO bietet Chancen für Spas und andere Betriebe

Als Spa-Softwarehersteller haben wir die Löschung von Gastdaten implementiert und stellen diese unseren Kunden zur Verfügung. Dabei werden gastspezifische Daten entkoppelt, relevante Daten wie Rechnungen bleiben natürlich im System gespeichert. Alle personenbezogenen Daten im Gastprofil wie Name, Geburtsdatum, Kommentare etc. werden gelöscht. Wichtig zu wissen ist, dass Daten endgültig gelöscht werden und diese auch über die TAC Software nicht mehr reproduziert werden können. Die Termine, die dieser Gast hatte und die dazugehörigen Ressourcen werden pseudonymisiert, damit Spa-Manager weiterhin Daten auswerten können. Auf Wunsch kann jeder Spa-Administrator für einzelne Gäste einen Datenauszug erstellen.

Auch wenn es auf den ersten Blick vielleicht nicht so aussieht, ist abschließend anzumerken, dass die DSGVO neben dem hohen Aufwand für die Implementierung auch viele Chancen für Spas und weitere Betriebe bietet. Das Vertrauen der Gäste mit dem Umgang der Daten wird gestärkt und die nötige Transparenz gegenüber Dritten erhöht. Aus meiner Sicht sind keine dramatischen Änderungen des Konsumentenverhaltens zu erwarten. Wir werden weiterhin Produkte und Dienstleistungen online im Webshop oder offline vor Ort kaufen und unsere Daten den Unternehmen zur Verfügung stellen. Jeder Gast möchte schließlich aus der Masse heraustreten und ein exzellentes Service genießen. Dazu braucht auch der kleinste Unternehmer Daten, die ihm genau das ermöglichen.

Die Information in diesem Artikel ist keine Rechtsauskunft. Der Autor übernimmt keinerlei Haftung für die oben genannten Informationen. Bei Unklarheiten empfiehlt sich, eine professionelle Rechtsberatung in Anspruch zu nehmen.