DSGVO-Checkliste für Studios & Trainerschulen
Am 25. Mai 2018 war es soweit. Die EU-Datenschautzgrundverordnung (DSGVO) trat nach einer zweijährigen Übergangsfrist in Kraft. Du wirst wahrscheinlich schon mitbekommen haben, dass damit eine Menge neuer Regeln kamen. Diese gilt es nun unbedingt zu beachten. In diesem Artikel findest Du daher eine praktische DSGVO-Checkliste für dein Studio oder Trainerschule.
Was ist die DSGVO überhaupt?
DSGVO steht für Datenschutzgrundverordnung und ist eine von der EU beschlossene Verordnung. Sie soll den Datenschutz in Europa grundlegend neu regeln. Zu diesem Zweck beinhaltet sie eine EU-einheitliche Regelung für das Erfassen, Verarbeiten und Speichern von personenbezogenen Daten. Umgesetzt werden soll der Grundsatz der Datenminimierung beziehungsweise Datensparsamkeit, um Verbraucher zu schützen.
Darunter fallen beispielsweise
- Name
- Adresse
- Telefonnummer
- E-Mail-Adresse
- IP-Adresse
Nationale Gesetze, die bisher bestanden, sind wirkungslos und jedes Unternehmen in der Europäischen Union ist verpflichtet, die DSGVO einzuhalten. Umgesetzt werden soll der Grundsatz der Datenminimierung beziehungsweise Datensparsamkeit, um Verbraucher zu schützen.
Warum ist die DSGVO ernstzunehmen?
Die DSGVO ist ernst zu nehmen, da sie für ausnahmslos jedes Unternehmen in der EU gilt. Dabei spielt es keine Rolle, wie groß das Unternehmen ist. Selbst ein kleines Studio, das als GbR angemeldet ist, muss sich an die neuen Datenschutzregelungen halten.
Darüber hinaus sind die Strafen bei Nichteinhaltung viel, viel höher, als es bisher der Fall war. Bußgelder können sich nun auf bis zu 20 Millionen Euro beziehungsweise 4% des Jahresumsatzes belaufen.
Natürlich wird bei einem ersten Vergehen nicht gleich eine Strafe in dieser Höhe anfallen. Aber auch einige Tausend Euro schmerzen jedes Studio und jede Trainerschule. Und die DSGVO lädt geradezu zu einer neuen Abmahnwelle ein.
Um Dir eine Abmahnung zu ersparen, haben wir Dir hier eine DSGVO-Checkliste mit den wichtigsten fünf Schritten zur Umsetzung der DSGVO zusammengestellt.
1. Schritt: Dokumentation deiner Datenerfassung und -verarbeitung
Im ersten Schritt geht es darum, sich zwei Stunden Zeit zu nehmen und Folgendes zu überlegen: Welche personenbezogenen Daten von Kunden, Mitarbeitern und Lieferanten fragst Du ab und wie verwaltetst du sie?
Um Dir diesen Prozess zu vereinfachen, haben wir Dir eine Excel-Datei erstellt.
Hier kannst du Dir die Excel-Vorlage kostenlos herunterladen:
In der Excel-Datei gehen wir mit Dir alle Prozesse von der ersten Kontaktaufnahme deiner Interessenten bis hin zu einem gekündigten Kunden durch. So stellst Du sicher, dass Du keine Prozesse vergisst, bei denen persönliche Daten im Spiel sind.
- Überlege anhand der „Journey“ deiner Kunden – von erster Kontakaufnahme, über regelmäßiger Teilnehmer bis hin zu einem verlorenen Kunden – welche Daten Du erfasst und wie, beziehungsweise wielange Du sie speicherst
- Für jeden Schritt, bei dem Du personenbezogenen Daten von deinen Teilnehmern erfasst, solltest Du folgende Fragen beantworten:
– Welche Daten erhebst Du?
– Wie erhebst du die Daten?
– Zu welchem Zweck erhebst Du die Daten?
– Wo speicherst Du sie?
– Welche Programme sind konkret im Einsatz?
– An welche Dritte werden die Daten weitergeleitet (zum Beispiel an einen deiner Übungsleiter)?
– Wann werden die Daten wieder gelöscht?
Versuche also nur so viele personenbezogenen Daten zu erheben, wie wirklich notwendig. Notwendig bedeutet, dass Du einen guten Grund haben musst, warum Du gewisse persönliche Daten hältst.
Besonders vorsichtig solltest Du mit sensiblen personenbezogenen Daten sein. Darunter fallen vor allem Daten zu seiner Gesundheit (Allergien, Krankheiten, Beschwerden). Hier gelten nämlich strengere Regelungen.
2. Schritt: Überprüfe die Einwilligungen deiner Kunden
Nun hast Du alle Prozesse dokumentiert, in denen Du personenbezogene Daten erfasst, verarbeitest oder speicherst. Jetzt geht es darum, die Prozesse auf ihre DSGVO-Konformität zu überprüfen.
Du musst also umfassend darüber aufklären, welche Daten erhoben werden, wie Du sie nutzt und verarbeitest. In einem Satz: Du musst Transparenz schaffen. Gleichzeitig müssen die Prozesse so gestaltet sein, dass Diebstahl, Missbrauch oder Sabotage von Daten nicht möglich ist.
Ein Beispiel: Das neue Kopplungsverbot. Stelle sicher, dass Du für alle Punkte wie Anmeldung, Newsletter oder Cookies eine separate Einwilligung einholst. Dafür arbeitest Du am besten mit Checkboxes. Untenstehend siehst Du ein richtiges und ein falsches Beispiel:
3. Schritt: Überprüfe deine Programme & Tools
Was man schnell übersehen kann: Auch die Online-Tools, die auf unseren Webseiten integriert sind oder die wir zur Verarbeitung von Daten eingesetzen, kommen mit persönlichen Daten in Kontakt. Tools wie Google Analytics erfassen beispielsweise IP-Adressen deiner Webseitenbesucher. Kontaktformular-Plugins speichern sogar Namen und E-Mail-Adressen.
Da es sich hier um eine Art Datenweitergabe an Dritte handelt, musst Du folgende drei Dinge sicherstellen:
- Die Tools & Programme, die Du nutzt, gehen verantwortungsvoll mit den persönlichen Daten deiner Webseitenbesucher um
- Du musst deine Webseitenbesucher mit deiner Datenschutzerklärung über die Nutzung dieser Programme & Tools informieren
- Du musst sogenannte Verträge zur Auftragsdatenverarbeitung von den Betreibern dieser Tools und Programme einholen. Mit diesen Verträgen sicherst Du Dich rechtlich ab, dass die Daten deiner Kunden und Besucher nur für DSGVO-konforme Zwecke genutzt werden.
4. Schritt: Datenschutzerklärung auf der Webseite aktualisieren
Im nächsten Schritt geht es nun darum, deine neue Datenschutzkonformität auch nach außen zu kommunizieren.
Nur mit einer aktuellen und DSGVO-konformen Datenschutzerklärung, vermeidest du kostenspielige Abmahnungen.
Der sicherste Schritt ist natürlich, die Datenschutzerklärung vom Anwalt deines Vertrauens anfertigen zu lassen. Eine kostengünstigere Alternative ist, sich die Datenschutzerklärung über einen Datenschutz-Generator generieren zu lassen.
Vergleiche die Punkte des Datenschutzerklärung-Generators mit deiner Excel-Liste. Solltest Du über den Generator gewisse Vorgänge oder verwendete Programme nicht aufnehmen können, musst Du diese manuell ergänzen.
Du kannst Dir gerne unsere Datenschutzerklärung ansehen und vielleicht den ein oder anderen Teil für Dich übernehmen. Dies gilt besonders für Tools wie Google Analytics, Facebook Pixel oder Mailchimp.
5. Schritt: Sei bereit für mögliche Anfragen
Es sollte Dich nicht überraschen, in Zukunft mehr Anfragen bezüglich Datenschutz zu erhalten.
Diese Anfragen können zum einen von deinen Kunden kommen, da mehr und mehr Leute bewusster mit ihren persönlichen Daten umgehen. Zum anderen kann eine Anfrage von der Datenschutzbehörde an Dich gehen.
Mögliche Anfragen deiner Kunden:
- Welche Daten hast Du von mir?
Laut Art. 15 Abs. 1 DSGVO haben deine Kunden das Recht, von Dir zu erfahren, welche personenbezogenen Daten Du von Ihnen hältst. Ebenso wie beispielsweise den Zweck, weitere Empfänger und die Löschungsfrist. - Lösche meine Daten!
Gemäß Art. 17 DSGVO hat jede Person ein „Recht auf Vergessenwerden“. Dies bedeutet, dass deine Kunden ein Recht darauf haben, dass Du alle Daten, die Du von ihnen besitzt, löschst. - weitere Beispiele möglicher Anfragen: Widerspruchsrecht (z. B. Newsletter), Datenberichtigung, Datenmitnahme
Auf eine Anfrage der Datenschutzbehörde bist Du am besten vorbereitet, wenn du auf Basis der angesprochenen Excel-Datei ein Verzeichnis von Verarbeitungstätigkeiten und gegebenenfalls eine Datenschutz-Folgenabschätzung erstellst.
Generell gilt, dass Du auf Anfragen unverzüglich, spätestens innerhalb von einem Monat, antworten solltest.
Wenn du unseren Tipp zur Dokumentation deiner Prozesse via Excel-Datei beachtest, wirst Du bei möglichen Anfragen nicht überrumpelt. Du kannst schnell und fehlerfrei auf mögliche Anfragen reagieren.
Zusammenfassung
Die Anpassung an die Richtlinien der Datenschutzgrundverordnung ist zwingend und kann bei Nichtbefolgung zu hohen Mahngebühren führen. Damit Dir das nicht widerfährt, gehst Du am besten folgende fünf Schritte unserer DSGVO-Checkliste durch. So wirst Du bestens gerüstet sein und die Daten deiner Kunden optimal schützen.
1. Dokumentiere deine Datenerfassung, -verarbeitung und -löschung. Nutze dazu gerne das von uns bereitgestellte Excel-Dokument
2.Überprüfe die Einwilligungen deiner Kunden zu z.B. deinem Newsletter, Datenschutz, Kursanmeldung, AGB usw. Entkoppel alle voneinander, sodass jede Einwilligung seperat bestätigt werden muss.
3.Überprüfe, ob Du Daten an Dritte weitergibst und stelle sicher, dass auch sie DGSVO-konform mit den Daten deiner Kunden umgehen.
4. Bringe deine Datenschutzerklärung auf den neusten Stand. Dabei helfen kann Dir ein Datenschutzerklärungs-Generator. Aber Vorsicht: Vergewissere Dich, dass er alle wichtigen Punkte abdeckt. Ergänze sonst manuell.
5. Bereite Dich auf Anfragen von deinen Kunden oder der Datenschutzbehörde vor. Hast Du alle unsere Punkte beachtet, bist Du auf der sicheren Seite und kannst entspannt in die Zukunft blicken.
Du hast eine Frage zur DSGVO? Melde dich gerne über das Kontaktformular und wir geben Dir individuelle Tipps.