Umsetzung der DS-GVO in NRW

Datenschutz für Friseure, Beautysalons, Nageldesigner und Co. in NRW

Beinahe jeder von uns geht regelmäßig zum Friseur, viele auch zu Schönheitsbehandlungen oder zur Fuß- bzw. Nagelpflege. Die Anbieter dieser Dienstleistung müssen zur Ausübung Ihrer Tätigkeit aus verschiedenen Gründen personenbezogene Daten verarbeiten.

Datenschutzberater.NRW möchte Ihnen erste wichtige Schritte mit auf den Weg geben, wie Sie die Datenschutzgrundverordnung (DS-GVO) und das Bundesdatenschutzgesetz (BDSG) umsetzen können.

Kundendateien – analog und digital

Ob ein Unternehmen, ein Dienstleister, Schulen oder andere Institutionen personenbezogene Daten analog oder digital verarbeiten, ist im Datenschutz nicht wichtig. Sobald personenbezogene Daten in irgendeiner Form regelmäßig verarbeitet werden, greifen die gesetzlichen Vorgaben.

Das bedeutet jeder, der personenbezogene Daten verarbeitet, muss sich die Frage stellen, welche Daten er erheben darf und in welchem Umfang. Außerdem setzt die DS-GVO ein bestimmtes Maß von Dokumentationen und Sicherheitsmaßnahmen voraus, die die Daten vor dem Zugriff unbefugter Dritte schütz.

Welche Kundendaten dürfen erfasst werden? – Wann braucht der Friseur eine Einwilligung des Kunden

An erster Stelle gilt wie immer im Datenschutz das sogenannte „Verbot mit Erlaubnisvorbehalt“. Grundsätzlich ist es nämlich verboten, die sogenannten personenbezogenen Daten eines Betroffenen zu verarbeiten. Was sind personenbezogene Daten nach DS-GVO für Unternehmen in NRW? Lesen Sie dazu unseren Blogartikel.

Diese dürfen nur dann verarbeitet werden, wenn Sie zum Beispiel für eine Vertragserfüllung oder bestimmte gesetzliche Vorgaben unbedingt notwendig sind. Hierbei sollten jeder Frisör, jeder Schönheitssalon und jedes Nagelstudio nur jene Daten erfassen, die auch unbedingt dafür notwendig sind.

Prüfen Sie also, ob Sie die Daten aus bestimmten rechtlichen Grundlagen verarbeiten können. Darüber hinaus kann der Betroffene Ihnen das Einverständnis geben, welche personenbezogenen Daten verarbeitet werden dürfen. In allen Fällen ist eine mögliche Zweckbindung zu beachten, das bedeutet die Daten dürfen nur für den Zweck, für den sie erhoben wurden, auch genutzt werden.

Einwilligung contra notwendige Daten zur Vertragserfüllung

Es muss also immer im Einzelnen geprüft werden, welche Daten verarbeitet werden dürfen und auf welcher rechtlichen Grundlage (gesetzliche Vorgaben, berechtigtes Interesse oder Einverständniserklärung des Betroffenen).

Bei der Überprüfung, welche Daten Sie verarbeiten dürfen und zu welchen Sie eine Einwilligung brauchen, sollten Sie dabei nicht nur an die Kundendaten denken. Auch die Daten der Mitarbeiter, IP-Adressen von Interessenten, die auf Ihrer Homepage zu Analysezwecken erfasst werden, Aufnahmen der Videoüberwachung (die Besonderheiten hierbei lesen Sie in unserem Blog) und andere Daten, die Sie verarbeiten, unterliegen den Vorgaben der DS-GVO.

Achtung: Vor allem bei der Veröffentlichung von Fotos auf Ihrer Salon-Homepage, auf denen man den Betroffenen erkennen könnte, benötigen Sie eine Einwilligungserklärung. Das gilt auch für Bilder, die Sie in Ihrem Salon ausstellen.

Besonderheit Registrierungspflicht in Corona-Zeit

In der Corona-Zeit sind Dienstleister bestimmter Branchen dazu verpflichtet, die Daten der Kunden zwecks Rückverfolgung der Infektionsketten zu erfassen. Dazu zählen auch Dienstleister wie Friseure, Nagelstudios oder Beautysalons in NRW.

Worauf Sie bei der Registrierungspflicht achten müssen, können Sie in unserem Blog lesen.

Datenschutz beim Friseur nach DS-GVO in NRW umsetzen

Wie jeder andere Unternehmer auch, so muss der Saloninhaber, welche die personenbezogenen Daten verarbeitet, u.a. folgende grundsätzliche Vorgaben erfüllen:

  • Einhaltung der Betroffenenrechte (Recht auf Information, Recht auf Löschung usw.)
  • Führen des Verzeichnisses von Verarbeitungstätigkeiten (VVT)
  • Erstellung und Umsetzung der technischen und organisatorischen Maßnahmen (TOMs)
  • Schriftliche Verpflichtungserklärung der Mitarbeiter zur Einhaltung der Datenschutzvorgaben im Unternehmen
  • Verarbeiten Sie z.B. Gesundheitsdaten (personenbezogene Daten besonderer Kategorien), muss eine Schwellwertanalyse und eine Datenschutzfolgenabschätzung durchgeführt werden
  • Auftragsdatenverarbeitung: Erstellung von ADV-Verträgen

Das Ziel aller Maßnahmen ist ein Datenschutzmanagementsystem, welchen den Datenschutz im Salon sicherstellen kann und diesen auch ausreichend dokumentiert. Dieses sollte regelmäßig angepasst und überprüft werden.

Terminbuchungen über die Homepage oder Buchungsplattformen

Gerade bei dem wachsenden Angebot von online Buchungsmöglichkeiten. Sollte jeder Unternehmer die genutzten Tools oder Plattformen gerade im Datenschutz auf den Prüfstand stellen. Überprüfen Sie hierbei auch, wohin die Daten bei einem möglichen Fremdanbieter gesendet werden und welche ADV-Verträge Sie nutzen müssen.

Datenpannen vermeiden – Datenschutz im Alltag

Ziel des Datenschutzes ist es unter anderem, die personenbezogenen Daten des Betroffenen vor dem unbefugten Zugriff Dritter zu schützen. Daher sollten auch die Abläufe in einem Salon darauf hin untersucht werden. Neben den Vorgaben der DS-GVO, was grundsätzlich die Datenverarbeitung betrifft, also z.B. welche Daten dürfen in einem Friseursalon in NRW verarbeitet werden, spielt der sichere Umgang mit den Daten eine große Rolle.

Die Daten müssen unzugänglich und nicht für andere Einsehbar aufbewahrt werden. Achten Sie daher darauf, Einwilligungen oder andere Dokumente mit personenbezogenen Daten nicht lesbar liegen zu lassen. Die Papiere sollten unzugänglich aufbewahrt und ein PC mit einem Kennwort geschützt und nicht einsehbar sein.

Geben Sie Daten nicht an Dritte weiter, wenn keine Rechtsgrundlage besteht.

Der externe Datenschutzberater als Unterstützung

Um Datenpannen zu vermeiden oder um den Datenschutz in Ihrem Friseur-, Beautysalon oder Ihrem Nagelstudio beurteilen zu lassen, macht es Sinn, einen Datenschutzberater hinzuzuziehen.

Einige Unternehmen müssen nach bestimmten gesetzlichen Vorgaben einen (externen) Datenschutzbeauftragten berufen. Dieser weist den Verantwortlichen des Unternehmens auf mögliche Schwachstellen im Datenschutz hin und unterstützt bei der Umsetzung der Vorgaben von DS-GVO und BDSG.

Datenschutzberater.NRW kann Sie darüber hinaus in folgenden Themen unterstützen:

Wir betreuen bereits erfolgreich Mandanten im Bereich Köln, Düsseldorf, Bonn und ganz NRW und stellen einen externen Datenschutzberater (TÜV), der durch eine Datenschutzfachkraft (TÜV) und ein Team aus Datenschutz, IT und Steuerrecht unterstützt wird.

Gerne erstellen wir Ihnen ein individuelles Angebot damit Sie den Datenschutz praxisnah umsetzen können.

Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie die Vorgaben der DS-GVO für NRW eingehalten haben, dann lassen Sie sich von uns professionell beraten. Weitere Handlungsempfehlungen für KMU in NRW finden Sie hier.

Umsetzung der DS-GVO im Friseursalon