Was ihr als Tätowierer zur DSGVO wissen müsst

Wie in meinem ersten Artikel zur DSGVO beschrieben, kommen ab dem 25.05. neue Gesetzeslagen auf uns zu. Zugegeben, mein erster Artikel war übereilt und panisch runtergetippt. Es ging mir jedoch darum, alle für das Thema zu sensibilisieren, die es bislang ignoriert haben. Dieser Beitrag wird strukturierter und gibt euch eine Übersicht über die wichtigsten Verhaltensregeln zur DSGVO.

Warnung! Dieser Artikel ist stinklangweilig, bürokratisch, voll mit Gesetzestexten und hat fast keine Bilder! Wer bis zum Ende durchhält und sich die wichtigsten Passagen rauskopiert, ist gut auf die kommende DSGVO vorbereitet.

DSGVO – Datenschtzgrundverordnung

Die DSGVO ist ein Gesetz zum Schutz von Verbraucherdaten, welches eigentlich schon seit zwei Jahren in Kraft ist. Ab dem Stichtag 25.05. ist es jedoch verpflichtend für jedes Unternehmen und jeden Selbstständigen anzuwenden.
Ja, wir haben alle etwas zu spät angefangen, uns mit dieser Thematik auseinander zu setzen. Aber wenn wir mal ehrlich sind, hört man ständig mit einem Ohr von irgendwelchen neuen Gesetzen und in 99% aller Fälle berührt es das eigene Leben in keiner Form. Deswegen mache ich mir keine Vorwürfe und habe einfach die üble Kröte geschluckt, mich für teuer Geld bei einem Anwalt umfassend auf den letzten Drücker zu informieren.

Bitte nehmt die DSGVO nicht auf die leichte Schulter

Um es mit den Worten meines Anwalts zu sagen: „Die Abmahnanwälte scharren schon mit den Hufen. Seit Monaten bereiten sie sich auf den 25. Mai vor, denn ab diesem Tag ist für sie Erntezeit.“
Das wirklich Üble an der ganzen Geschichte ist nämlich gar nicht der relativ große Arbeitsaufwand, den jeder von uns betreiben muss, um die DSGVO umzusetzen. Richtig übel ist es, dass es Anwälte gibt, die sich nur darauf spezialisiert haben, Websites zu finden, die den Datenschutz nach DSGVO nicht umgesetzt haben. Das machen sie nicht händisch, sie lassen Roboter-Software automatisiert über tausende Websites laufen, die jeden finden, der keine Datenschutzerklärung auf seiner Seite hat.

Was droht bei einer Abmahnung?

Hat ein Abmahnanwalt eine fehlerhafte Website gefunden, braucht er nur noch ein Konkurrenzunternehmen (vielleicht aus der direkten Nachbarschaft) welches bereit ist, gemeinsam mit ihm das andere Unternehmen abzumahnen. Für die abmahnenden Parteien springen da leicht hohe vierstellige Summen raus, die der Abgemahnte zu zahlen hat und die sich der Anwalt und das Konkurrenzunternehmen dann brüderlich teilen. Das ist ein widerliches Verhalten, aber schlechte Menschen, die sich rücksichtslos an anderen bereichern, gibt es leider zuhauf.

Deswegen braucht ihr auf eurer Seite eine angepasste Datenschutzerklärung

Ich bin kein Risiko eingegangen und habe meine Datenschutzerklärung selbst geschrieben, damit sie zu 100% auf mein Angebot auf meinen Websites passt. Im Nachfolgenden stelle ich sie euch zur Verfügung, ihr könnt sie kopieren und für eure Zwecke verwenden. Nehmt euch eine Viertelstunde Zeit, um sie zu überarbeiten, euren Namen einzusetzen und Passagen zu streichen, die auf eure Website nicht zutreffen oder etwas zu ergänzen.

Meine Datenschutzerklärung

Datenschutz
1. Verantwortlicher für die Verarbeitung von Daten nach DSGVO
Verantwortlich für den Datenschutz und die Datenverarbeitung ist die Inhaberin der Homepage Esther Bühmann, Inhaberin bei Zum Buntspecht Tätowierungen Gevelsberg.
Dörnenstraße 13
58285 Gevelsberg
Erreichbar unter esther(at)zumbuntspecht.de
Alle weiteren Angaben findest Du im Impressum auf dieser Seite.

in diesem Abschnitt müsst ihr natürlich eure Daten eintragen. Wenn du keine Angestellten hast, bist du automatisch der Datenschutzbeauftragte deines Unternehmens. Wenn du mehr als 9 Angestellte hast, musst du einen Datenschutzbeauftragten benennen. Bitte bedenke, dass der Datenschutzbeauftragte Kündigungsschutz genießt.

2. Welche Daten werden erhoben, welchem Zweck dienen sie und wie werden sie gespeichert
a) Besuch der Homepage
Beim Aufrufen von www.zumbuntspecht.de und blog.zumbuntspecht.de werden durch deinen Browser automatisch Informationen an den Server meiner Seiten gesendet. Diese Daten werden temporär in einer Logfile gespeichert. Diese Daten werden dabei erfasst und automatisch gelöscht:
• IP-Adresse deines Endgeräts,
• Datum und Uhrzeit,
• Zeitzonendifferenz zur Greenwich Mean Time (GMT),
• Welche Seite du angefragt hast,
• Zugriffsstatus/HTTP-Statuscode,
• Name und URL der abgerufenen Datei,
• Website, von der aus der Zugriff erfolgt (Referer-URL),
• verwendeter Browser und ggf. das Betriebssystem deines Rechners sowie der Name deines Access-Providers,
• Sprache und Version der Browsersoftware.
Und dafür brauche ich bzw. braucht mein Server diese Daten:
• Gewährleistung eines Verbindungsaufbaus der Websites,
• Gewährleistung der Nutzung meiner Websites,
• Auswertung der Systemsicherheit und -Stabilität
• sowie
 zu weiteren administrativen Zwecken.
Nach Art. 6 Abs. 1 DSGVO habe ich das Recht auf diese Datennutzung. Ich kann dadurch keine Rückschlüsse auf deine Person ziehen.

Auch in diesem Abschnitt musst du die Angabe der Websites ändern.

b) Kontaktaufnahme über mein Kontaktformular
Für alle Fragen kannst du mein Kontaktformular nutzen. Hierfür ist die Angabe einer gültigen Emailadresse notwendig. Ansonsten könnte ich deine Frage nicht beantworten. Außerdem muss ich alle Daten speichern, die für eine Beantwortung deiner Anfrage wichtig sind. Das könnte deine Telefonnummer sein, dein Name, deine Emailadresse und Kalenderdaten zur Terminvereinbarung. Die Datenverarbeitung zum Zwecke der Kontaktaufnahme mit mir erfolgt nach Art. 6 Abs. 1 S. DSGVO auf Grundlage deiner freiwillig erteilten Einwilligung.
Beim Benutzen meines Kontaktformulars speichert mein Hoster deine IP-Adresse temporär, um ein Senden deiner Email möglich zu machen. Deine IP-Adresse ist für mich nicht einsehbar.
Unverschlüsselte Emails sind immer ein Risiko und können zu ungewolltem Datenverlust führen.

Wenn du kein Kontaktformular hast, kannst du diesen Absatz löschen.

3. Weitergabe von Daten an Dritte
Ich gebe im Normalfall keine Daten an Dritte weiter. Es kann jedoch erforderlich werden, wenn:
Du es nach §20 DSGVO wünschst oder die Weitergabe nach Art. 6 Abs. 1 S. DSGVO zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist (wir einen Rechtsstreit haben) und kein Grund zur Annahme besteht, dass du ein überwiegendes schutzwürdiges Interesse an der Nichtweitergabe deiner Daten hast.

Diesen Absatz kannst du so übernehmen. Es sei denn, du gibst Daten an Dritte weiter, dann musst du erklären warum, an wen und welche Sicherheitsmaßnahmen ergriffen werden.

4. Cookies
Ich benutze Cookies. Das sind kleine Dateien, die dein Browser herstellt und auf deinem Gerät speichert. Der Cookie enthält Informationen, wie du meine Seite nutzt, jedoch nicht, wer du bist. Über einen Cookie kann ich keine Rückschlüsse auf deine Identität ziehen. Cookies erstellen Statistiken, wer wie oft meine Seite benutzt hat und helfen mir dabei, den Besuch durch Auswertung dieser Statistiken angenehmer und interessanter zu gestalten. Cookies werden nach einiger Zeit automatisch wieder gelöscht. 
Die durch Cookies verarbeiteten Daten sind für die genannten Zwecke zur Wahrung meiner berechtigten Interessen nach Art. 6 Abs. 1 S. DSGVO notwendig. Die meisten Browser akzeptieren Cookies automatisch. Die vollständige Deaktivierung von Cookies kann dazu führen, dass du nicht alle Funktionen meiner Websites nutzen kannst.

Diesen Absatz kannst du so übernehmen, wenn du Cookies benutzt.

5. Analyse-Tools
Tracking-Tools
Die im Folgenden aufgeführten Tracking-Maßnahmen dienen, wie die Cookies, einer Optimierung meiner Seiten und helfen mir, das Nutzerverhalten zu analysieren und für die Qualität der Seiten zu nutzen.
Cookies
(siehe Ziffer 4)
Google Analytics
Zur Optimierung meiner Seiten benutze ich Google Analytics. Google Analytics funktioniert so, wie die unter Ziffer 4 beschriebenen Cookies und dient zur Erstellung einer Statistik deines Nutzerverhaltens. In naher Zukunft werde ich ein Plugin installieren, mit dessen Hilfe du einen Opt-Out Cookie erzeugen kannst, um die Erfassung deiner Daten durch Google Analytics optional zu verhindern.
Deine Daten werden von Google Analytics an einen Server in den USA gesendet und dort temporär gespeichert. Die IP-Adressen europäischer Nutzer werden von Google Analytics maskiert und anonymisiert, sodass kein Rückschluss auf deine Identität gezogen werden kann. Google nutzt deine Daten zu Marktanalysen und gibt sie gegebenenfalls an Dritte weiter.

Dieser Absatz ist noch etwas schwammig. Google Analytics ist datenschutzrechtlich in Deutschland bedenklich. Deswegen musst du einen Datenverarbeitungsvertrag mit Google Analytics schließen, um es nach DSGVO weiter verwenden zu dürfen. Google Analytics stellt diesen Vertrag vorgefertigt im Internet zur Verfügung, er muss allerdings über den Postweg nach Irland und zurück gehen. Deswegen überlege ich, den Absatz raus zu nehmen und Google Analytics zu deaktivieren, bis der Vertrag zurück gekommen ist.

6. Social Media Plug-ins und ausgehende Links
Ich setze auf meinen Websites auf Grundlage des Art. 6 Abs. 1 S. DSGVO ein Social Plug-in Button des sozialen Netzwerks Instagram ein, um Werbung für mein Unternehmen zu machen. Der Zweck ist als berechtigtes Interesse im Sinne der DSGVO anzusehen. Das Plug-in zeigt eine Vorschau meines Instagram-Feeds. Durch klicken auf die Vorschau wirst du auf Instagram weiter geleitet. Die Verantwortung für den Datenschutz liegt beim Anbieter des Plug-In.
Instagram und Facebook
Ich benutze auch Plug-Ins, die dich direkt auf Facebook oder Instagram weiterleiten. Diese erkennst du an den kleinen Logos in Form der bekannten bunten Kamera und des blauen „f“ von Facebook.
Benutzt du den Link durch Klicken auf das Logo, wird eine direkte Verbindung zum jeweiligen sozialen Netzwerk aufgebaut. Dadurch erhalten Instagram und Facebook die Information, dass dein Browser meine Seite aufgerufen hat, auch wenn du kein Instagram- oder Facebook-Profil besitzt. Diese Information (einschließlich deiner IP-Adresse) wird von deinem Browser direkt an einen Server von Instagram oder Facebook in die USA weitergeleitet und dort gespeichert. Bist du bei dem sozialen Netzwerk eingeloggt, können diese den Besuch meiner Website deinem Account unmittelbar zuordnen.
Weitere Informationen hierzu findest du auch in den Datenschutzerklärungen von Instagram und Facebook.

Dieser Absatz ist selbsterklärend, du kannst ihn übernehmen, falls du das Plug-In auch benutzt.

Ausgehende Links
Da ich nur Verantwortung für den Datenschutz auf meinen Webseites übernehmen kann, habe ich ein Plug-In installiert, welches dir einen externen Link anzeigt. Alle Links, die zu anderen Seiten führen auf denen andere Betreiber für den Datenschutz verantwortlich sind, sind mit einem kleinen nach oben zeigenden Pfeil gekennzeichnet und öffnen sich in einem neuen Fenster.

Diesen Absatz habe ich mir selbst ausgedacht, um keine Probleme mit ausgehenden Links zu bekommen, die auf Seiten verweisen, die sich nicht an die DSGVO halten. Wenn du den Absatz übernehmen willst, musst du deine Website so einstellen, dass ausgehende Links mit dem bekannten Pfeil nach rechts oben gekennzeichnet werden.

6. Betroffenenrechte
Du hast das Recht
• gemäß Art. 15 DSGVO Auskunft über deine von mir verarbeiteten personenbezogenen Daten zu verlangen.
• gemäß Art. 16 DSGVO unverzüglich die Berichtigung unrichtiger oder Vervollständigung deiner bei mir gespeicherten personenbezogenen Daten zu verlangen;
• gemäß Art. 17 DSGVO die Löschung deiner bei mir gespeicherten personenbezogenen Daten zu verlangen, soweit nicht die Verarbeitung zur Ausübung des Rechts auf freie Meinungsäußerung und Information, zur Erfüllung einer rechtlichen Verpflichtung, Verteidigung von Rechtsansprüchen erforderlich ist;
• gemäß Art. 18 DSGVO die Einschränkung der Verarbeitung deiner personenbezogenen Daten zu verlangen, soweit die Richtigkeit der Daten von dir angezweifelt wird, die Verarbeitung unrechtmäßig ist, du aber deren Löschung ablehnst und ich die Daten nicht mehr benötige, du jedoch diese zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigst oder du gemäß Art. 21 DSGVO Widerspruch gegen die Verarbeitung eingelegt hast;
• gemäß Art. 20 DSGVO deine personenbezogenen Daten, die du mir bereitgestellt hast, in einem gängigen und maschinenlesebaren Format zu erhalten oder die Übermittlung an einen anderen Verantwortlichen zu verlangen;
• gemäß Art. 7 Abs. 3 DSGVO deine einmal erteilte Einwilligung jederzeit mir gegenüber zu widerrufen. Dies hat zur Folge, dass ich die Datenverarbeitung, die auf dieser Einwilligung beruhte, für die Zukunft nicht mehr fortführen darf
• gemäß Art. 77 DSGVO sich bei einer Aufsichtsbehörde zu beschweren.

Diesen Absatz solltest du 1:1 übernehmen.

6. Widerspruchsrecht
Sofern deine personenbezogenen Daten auf Grundlage von berechtigten Interessen gemäß Art. 6 Abs. 1 S.DSGVO verarbeitet werden, hast du das Recht, gemäß Art. 21 DSGVO Widerspruch gegen die Verarbeitung deiner personenbezogenen Daten einzulegen, soweit dafür Gründe vorliegen, die sich aus deiner besonderen Situation ergeben. Möchtest du von deinem Widerrufs- oder Widerspruchsrecht Gebrauch machen, genügt eine E-Mail an esther(at)zumbuntspecht.de

..ebenso diesen, aber ändere bitte meine Mailadresse in deine um 😉

7. Aktualität und Änderung dieser Datenschutzerklärung
Diese Datenschutzerklärung ist aktuell gültig und hat den Stand Mai 2018.

Good to know

Wie oben schon angedeutet, ist es ratsam Google Analytics für deine Seite zu deaktivieren, bis ein Datenverarbeitungsvertrag mit Google Analytics geschlossen wurde.
Social Plugins, auf denen ein Produkt auf deiner Seite direkt geliked werden kann, sind inzwischen verboten, du solltest sie deaktivieren.
Die Datenschutzerklärung muss, genau wie das Impressum, nach spätestens zwei Klicks auf deiner Seite zu finden sein. Meine findet man nach einem Klick, der Link findet sich ganz unten auf der Seite unter dem Reiter „Impressum“.

Es ist nicht ratsam, die Datenschutzerklärung mit in das Impressum zu schreiben.
Solltest du es bis zum 25.05. nicht geschafft haben, eine Datenschutzerklärung auf deiner Website unterzubringen, NIMM SIE VORERST OFFLINE!

Der analoge Kram
Im Sinne der DSGVO müssen jedoch nicht nur die Websites sicher sein, auch Daten, die wir analog oder offline im Tattoostudio verarbeiten unterliegen besonderen Schutzmaßnahmen und Regeln.
Aufklärung des Kunden nach DSGVO
Ab dem 25.05. sind wir verpflichtet, den Kunden darüber aufzuklären, welche Daten wir erheben, was wir mit ihnen machen, wie wir sie speichern, wie lange wir sie speichern und was seine Rechte sind. Neben der normalen Einwilligungserklärung in eine freiwillige Körperverletzung in Form einer Tätowierung, kommt nun auch die Datenschutzaufklärung hinzu. Diese sollte analog (nicht einscannen und wegschmeißen!!!) im Tattoostudio jederzeit auffindbar sein. Für meine Zwecke habe ich sie selbst formuliert. Auch in diesem Fall, kannst du sie dir kopieren und für dein Tattoostudio umschreiben:

Hinweise zur Datenverarbeitung für den Kunden

1)
Verantwortlich und Ansprechpartner für alle bei Zum Buntspecht Tätowierungen erhobenen Daten ist
Esther Rühmann
Dörnenstraße 13
58285 Gevelsberg
esther(at)zumbuntspecht.de

2)
Folgende Daten werden bei Zum Buntspecht Tätowierungen erhoben:
Name, Vorname,
Anschrift, Geburtsdatum,
Emailadresse, Telefonnummer
gesundheitsbezogene Daten zur körperlichen Verfassung (Schwangerschaft, Stillzeit, Hauterkrankungen, Allergien, Immunerkrankungen)

3)
Die erhobenen Daten stellen die Qualität und Legitimation der Arbeit sicher und dienen zur Kontaktaufnahme und Terminfindung, sowie zur Planung und Ausführung der Tätowierung.
Das berechtigte Interesse der Speicherung durch Zum Buntspecht Tätowierungen liegt bei beiden Vertragsparteien.

4)
Die Daten werden in keinem Fall an Dritte weiter gegeben, außer der Kunde wünscht eine Datenübertragung gemäß §20 DSGVO.

5)
Der Kunde ist gemäß §15 DSGVO jederzeit berechtigt, die eigenen persönlichen Daten, die bei Zum Buntspecht Tätowierungen gespeichert sind, einzusehen.
Außerdem ist der Kunde gemäß §16 DSGVO jederzeit berechtigt die Berichtigung fehlerhafter Daten zu verlangen.
Nach §18 DSGVO kann der Kunde jederzeit eine eingeschränkte Verarbeitung seiner Daten verlangen.
Gemäß §17 DSGVO kann der Kunde jederzeit die Löschung und Sperrung einzelner personenbezogener Daten verlangen.
Zum Buntspecht Tätowierungen hat ein berechtigtes Interesse einzelne personenbezogene Daten für den Fall eines Rechtsstreits zu speichern. Zum Buntspecht Tätowierungen ist außerdem gesetzlich verpflichtet, personenbezogene Daten für das zuständige Finanzamt 10 Jahre zu speichern.
Der Kunde hat nach §20 DSGVO das Recht auf Datenübertragbarkeit. Relevante Daten werden auf Wunsch an ein anderes Tattoostudio weiter geleitet.
Nach §77 DSGVO kann der Kunde jederzeit eine Beschwerde bei der Datenschutzaufsichtspflichtbehörde einreichen.

6)
Der Kunde hat das Recht, der Verarbeitung seiner Daten durch Zum Buntspecht Tätowierungen nicht zuzustimmen. Da unsere Dienstleistung jedoch auf die Erhebung und Verarbeitung oben genannter personenbezogener Daten angewiesen ist, würde eine Nichtunterzeichnung eine Inanspruchnahme der Dienstleistung durch einen Tätowierer bei Zum Buntspecht Tätowierungen ausschließen.

Hiermit versichert der Unterzeichnende der Erhebung und Verarbeitung seiner Daten durch Zum Buntspecht Tätowierungen zuzustimmen und über seine Rechte belehrt worden zu sein.

……………………………………
Datum und Unterschrift

Artikel 5 beschäftigt sich mit §17 der DSGVO, danach darf ein Kunde jederzeit die Löschung sämtlicher Daten verlangen. Es erklärt sich von selbst, dass das für Tätowierer nicht umsetzbar ist, da wir verpflichtet sind, die Einwilligung in eine Körperverletzung für den Fall eines Rechtsstreits zu archivieren. Dies ist laut Gesetz ein berechtigtes Interesse des Tattoostudios und bildet deswegen eine Ausnahme der DSGVO.

Artikel 6 ist in diesem Fall besonders wichtig. Sollte ein Kunde die Einwilligung verweigern, können wir unsere Dienstleistung nicht ausüben und er muss unverrichteter Dinge gehen.

Fotos und personenbezogene Daten

Fotos von Tätowierungen können als personenbezogene Daten gelten. Leider ist die Rechtslage schwammig, was das angeht. Solange kein Gesicht zu erkennen ist, gilt eine Person auf normalen Fotos als nicht identifizierbar. Tätowierungen werden jedoch immer persönlicher und in neuen Urteilen könnte es heißen, dass man über eine individuelle und persönliche Tätowierung auch ohne Abbildung des Gesichts eine Person identifizieren kann.
Deswegen sollten wir uns auf jeden Fall noch eine Fotogenehmigung beim Kunden einholen. Auch für diesen Fall habe ich etwas ausgearbeitet. Mein Anwalt wies mich darauf hin, dass dieses Papier noch etwas schwammig sei, zu diesem Zeitpunkt jedoch keine sichere Variante formuliert werden kann, da es noch keine Präzedensfälle gibt.

Einwilligung zur Anfertigung und Veröffentlichung von Fotos durch Zum Buntspecht Tätowierungen

Der Kunde erklärt sich damit einverstanden, dass bei Zum Buntspecht Tätowierungen Fotos von ihm und seiner Tätowierung angefertigt, verarbeitet und gespeichert werden.
Des Weiteren darf Zum Buntspecht Tätowierungen Fotos von ihm und seinen Tätowierungen, die bei Zum Buntspecht Tätowierungen entstanden sind, auf der Internetseite, auf Facebook und auf Instagram verwenden zu Werbezwecken verwenden. Zum Buntspecht Tätowierungen darf die Fotos von Tätowierungen ebenfalls auf dem zum Blog gehörigen Unternehmen blog.zumbuntspecht.de verwenden, um die Qualität der Beiträge zu erhöhen.

Widerruf der Einwilligung
Der Kunde kann die Einwilligung jederzeit mit Wirkung auf die Zukunft widerrufen. Durch den Widerruf der Einwilligung wird jedoch die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.

……………………
Datum und Unterschrift

Die Sache mit der Speicherung

Sollten Fotos von Tätowierungen in Zukunft als personenbezogene Daten gelten, dürften wir diese streng genommen nicht mehr auf unserer Kamera oder Smartphone abspeichern, da sie dort nicht besonders geschützt sind. Hier lasse ich aber vorerst die Kirche im Dorf. Wir müssen abwarten, welche Urteile gesprochen werden, um sicher zu gehen, wie und ob wir unseren Beruf in Zukunft noch ausüben und bewerben können. Das hat mir auch der Anwalt so bestätigt.

Speicherung analoger Daten

Die Einwilligungserklärung, Anamnesebögen, die Aufklärung zum Datenschutz und die Einwilligung in die Anfertigung von Fotos müssen analog aufbewahrt werden. Ebenso Rechnungen, die auch Daten des Kunden enthalten. Nach DSGVO müssen diese Papiere in Zukunft auch analog gesichert aufbewahrt werden. Ja, die Gerüchte sind wahr, wir brauchen alle einen abschließbaren Aktenschrank, auf den nur Menschen Zugriff haben, die mit dem Datenschutz im Unternehmen beauftragt sind. Streng genommen gehört auch ein analoger Papierkalender dazu, denn dieser enthält mit Namen und Telefonnummern ebenfalls personenbezogene Daten.
Auch dieser Teil des Gesetzes ist nur bedingt umsetzbar. Wer einen Online-Kalender führt und diesen von mehreren, teils mobilen Geräten benutzt, kann diese kaum im Aktenschrank abschließen.

Und wenn etwas verloren geht?

Problematisch ist hier der Aspekt der Pauschalentschädigung. Sollte ein Handy verloren gehen oder geklaut werden auf dem massenhaft Kundendaten (z.B. Emails) gespeichert sind, dann sind theoretisch alle Kunden von einem Datendiebstahl betroffen und der Tätowierer haftet mit einer Schadenersatzpauschale pro Kopf. Kaum einer von uns ist danach nicht insolvent.
Mein Anwalt riet mir dazu, eine Versicherung zu suchen, die gegen Datendiebstahl und Datenverlust versichert. Soweit bin ich allerdings noch nicht. Fragt mal nach, falls ihr eine Berufshaftpflichtversicherung habt, ob ein Datenklau mit der Police abgedeckt ist.

Daten und Dritte Beteiligte nach DSGVO

Natürlich geben wir als Tätowierer keine Daten an Dritte weiter.. Wirklich? Die wenigsten kommen heute noch ohne Steuerberater aus und dieser sichtet eure Rechnungen und Kalender und diese enthalten Kundendaten. Es ist also wichtig, mit dem Steuerberater einen Datenverarbeitungsvertrag auszuarbeiten. Fragt mal euren Steuerberater, die meisten sollten in den letzten Monaten schon hunderte solcher Verträge in der Hand gehabt haben.
Ebenso verhält es sich mit eurem Website-Anbieter, in meinem Fall ist das Strato. Auch mit ihm muss ein solcher Vertrag geschlossen werden.

Wenn der Datenschutzbeauftragte kommt

… hat euch wahrscheinlich jemand angeschissen. Sollte der Supergau eintreten, dann denkt die Regierung sich noch ein System aus, bei dem die Sicherung der Daten pauschal geprüft wird im Zuge einer Betriebsprüfung oder der regelmäßigen Prüfung durch das Gesundheitsamt. Sicher ist das noch nicht, aber möglich ist alles. Deswegen möchte ich noch darauf hinweisen, dass wir verpflichtet sind, ein Datensicherungsverzeichnis anzulegen. Dieses gibt Auskunft darüber wo, wie und welche Daten gespeichert werden. Wahrscheinlich handelt es sich hierbei um eine genormte Übersicht, die für den Datenschutzbeauftragten leicht zu verstehen ist. Das habe ich noch nicht ganz durchschaut. Aber dazu mehr in einem weiteren Artikel, wenn es wieder heißt:

Alle Angaben ohne Gewähr

In der vergangenen Woche habe ich mich bestimmt 15-20 Stunden mit der DSGVO beschäftigt, habe Podcasts gehört, mit einem Anwalt gesprochen, mit selbstständigen Freunden gesprochen und das Internet durchforstet. Trotzdem übernehme ich keine Gewähr für die Vollständigkeit und Richtigkeit meiner Ausführungen. Ich tue das nur, um andere zu unterstützen, die vielleicht nicht so viel Energie und Motivation haben, sich mit diesem Thema zu befassen. Jeder Selbstständige, der durch eine Abmahnung nach DSGVO insolvent geht, ist meiner Meinung nach einer zuviel.
Deswegen, falls euch in meinem Artikel Fehler auffallen, ihr noch Dinge ergänzen wollt oder fragen habt, schreibt mir einen Kommentar unter den Artikel oder eine Email. Wie ich mit euren Daten dann umgehe, habt ihr ja jetzt zur Genüge erfahren 😉

Zum Schluss nochmal eine To-Do-Liste

• Datenschutz-Erklärung auf die Homepage
• Datenschutzbeauftragten bestimmen
• Homepage nach Plugin-Ins und Angeboten untersuchen, die nicht datenschutzkonform sind (Analytics, Sharing/Like Plug-Ins, …)
• Verarbeitungsverträge mit allen, die Daten deiner Kunden verarbeiten (Steuerberater, Google, Hoster,…)
• Analoge Datenschutzerklärung für Kunden
• Fotoeinwilligung für Kunden
• Verschließbarer Aktenschrank für Dokumente
• Datenverzeichnis anlegen
• evtl. Datendiebstahl-Versicherung abschließen