Nun ist es also soweit und die DSGVO (Datenschutzgrundverordnung) stürzt uns in Arbeit und Unsicherheit, und leider kostet sie uns auch Geld. Was müssen Trainer und Therapeuten wissen und beachten, wenn sie Daten ihrer Klienten erheben und speichern, welche Konsequenzen hat die neue Verordnung für die Homepage? Lesen Sie, was Sie als Tierberufler beachten müssen.
Nun ist es also soweit und die DSGVO (Datenschutzgrundverordnung) stürzt uns in Arbeit und Unsicherheit, und leider kostet sie uns auch Geld. Was müssen Trainer und Therapeuten wissen und beachten, wenn sie Daten ihrer Klienten erheben und speichern, welche Konsequenzen hat die neue Verordnung für die Homepage.
Wer das europäische Datenschutzgesetz mit der sperrigen Bezeichnung Datenschutzgrundverordnung, kurz DSGVO bisher als juristisches Fachthema und lange überfällige Notbremse für den Datenvertrieb durch Großunternehmen beiseitegeschoben hat, ist gut beraten, sich nun doch über die DSGVO zu infomieren.zu informieren. Die Zeit drängt und zeitnahes Handeln ist angesagt. Denn die DSGVO betrifft uns nahezu alle. Beginnend zum 25. Mai 2018 entfalten die Regelungen dieser EU Verordnung auch unmittelbare Geltung in der Bundesrepublik Deutschland.Noch unklar ist allerdings, inwieweit die neue Datenschutzverordnung auch das Kunsturhebergesetz(KUG) , das in Deutschland bislang die Produktion und die Verbreitung von Fotos regelte, durch die neue Verordnung ungültig wird.
Im Grunde ist die Verordnung kein „böses Gespenst“, sondern beruht auf dem Gedanken des erweiterten Datenschutzes für jeden Einzelnen. Es ist die Anpassung der bisherigen nationalen Datenschutzbestimmungen von 1995 an die seither erheblich veränderten aktuellen technischen Möglichkeiten, insbesondere im Internet.
Die Betroffenen, also diejenigen deren Daten erhoben werden, erhalten gestärkte Rechte zur Auskunft, Löschung und Korrektur der über sie abgespeicherter Daten und insgesamt gelten die Prinzipien der Datenminimierung und der Datenzweckgebundenheit. Es dürfen nur so viele Daten wie zwingend zur Erreichung des Vertragszweckes erforderlich sind erhoben werden und nur für die erhobenen Zwecke genutzt werden. Eine Stärkung der informationellen Selbstbestimmung.
Warum macht uns die DSGVO trotzdem Sorgen? Weil sie auch für uns kleine Unternehmer und Betreiber von Webseiten mitunter erhebliche technische und tatsächliche Änderungsanforderungen, damit Arbeitsanfall und in den meisten Fällen auch Kosten im Gepäck hat. Teurer wird es allerdings, sich nicht darum zu kümmern: Verstöße gegen die Bestimmungen der DSGVO können mit Geldbußen bis zu 20 Mio. € oder vier Prozent des weltweit erzielten Jahresumsatzes geahndet werden.
Im Folgenden richten wir das Augenmerk auf jene Bereiche, die für Tiertrainer, Tierverhaltensberater und andere Tierberufler von Bedeutung sein können. Allerdings mit dem Hinweis, dass dieser Artikel vor allem sensibilisieren soll. Er ist – darauf weisen wir ausdrücklich hin – keinesfalls eine gezielte Analyse der speziellen Gegebenheiten für den Einzelnen und ersetzt auch keine rechtliche Beratung. Zu vielschichtig und individuell sind die Erfordernisse. Betroffen ist nicht allein die Gestaltung der Homepage, sondern sämtliche Datenverarbeitungsvorgänge und begleitende Technik im Geschäftsbereich. Und auch einen anderen Wunsch kann dieser Artikel leider nicht erfüllen, er kann aus den genannten Gründen nicht sämtliche Datenschutzanforderungen auf sämtliche Betriebe zugeschnitten auflisten oder eine Vorlage für einen Disclaimer liefern. Es hilft nichts: So fremd und sperrig Ihnen als Tierberufler die Materie auch sein mag, Sie müssen sich damit beschäftigen.
Die DSGVO und die tägliche Arbeit
In der alltäglichen Arbeit fallen diverse Daten an: Daten der Kunden, der Tiere und – sofern vorhanden – der Beschäftigten.
Die DSGVO spricht hier von personenbezogenen Daten und meint damit solche Informationen, die sich auf eine natürliche Person beziehen / beziehbar sind und so Rückschlüsse auf Person / Persönlichkeit erlauben. Etwa der Name, die Adresse, die IP Adresse des Computers, das Geschlecht, die Telefonverbindung usw. Besondere personenbezogene Daten umfassen zusätzlich Informationen über die ethnische und kulturelle Herkunft, politische, religiöse und philosophische Überzeugungen, Gesundheit, Sexualität und Gewerkschaftszugehörigkeit. Sie sind besonders schützenswert.
Schon die Aufnahme eines Neukunden und damit die Aufnahme seiner Daten (Name, Adresse, Hundehalterhaftpflichtversicherung, Kontaktdaten des Tierarztes, Steuernummer) in die Kundenkartei zum Zwecke der Vertragsdurchführung stellen damit einen datenschutzrechtlich relevanten Vorgang dar. Die DGSVO sieht vor, dass das Speichern und Verarbeiten von personenbezogenen Daten künftig nur unter Zustimmung des Betroffenen zulässig ist. Soweit dies auch bisher schon galt, kommen nun erhebliche Dokumentationspflichten hinzu. Die Einwilligung des Betroffenen in die Datenverarbeitung ist auf Anforderung nachzuweisen.
- Soll also ein Newsletter, eine Terminerinnerung oder ähnliches an den Tierbesitzer versendet werden, benötigt der Trainer hierzu dessen ausdrückliche Einwilligung, die nun der Dokumentation bedarf.
Umzusetzen ist dies beispielsweise dadurch, dass dem Neukunden bei der Anmeldung ein Formular ausgehändigt wird, in welches er seine Daten und die Daten seiner Tiere einträgt, dabei zugleich über die Datenschutzgrundsätze des Tierberufler informiert wird und die Möglichkeit bekommt, bestimmten Formen der Kontaktaufnahme und ggf. der Weitergabe seiner Daten an zwecks Forderungseinzug zuzustimmen. Wichtig ist hierbei, dass der Kunde seine Einwilligung aktiv erklären muss, daher sind vorangekreuzte Kästchen (egal ob auf Papier oder elektronisch) nicht ausreichend.
Zudem ist zukünftig von den meisten Geschäftstätigen ein Verzeichnis von Verarbeitungstätigkeiten als Grundlage für eine strukturierte Datenschutzdokumentation zu führen. In diesem Verzeichnis sind sämtliche Verarbeitungstätigkeiten aufzuführen:
- wer wird erfasst,
- zu welchem Zweck ,
- welche Daten,
- wohin werden sie ggf. (Einwilligung!) weitergeben.
Zu der Frage, wie ein solches Verzeichnis konkret aussehen hat, soll an dieser Stelle auf einschlägige Informationsschriften verwiesen werden. Sehr empfehlenswert aus Sicht der Verfasserin etwa: „Erste Hilfe zur Datenschutz-Grundverordnung für Unternehmen und Vereine“ (Beck-Verlag)oder Internetinformationen der oder der IHK.
Aus alledem ergibt sich für uns Tierberufler (wie für die anderen Berufszweige) also in erster Linie eine erhöhte Dokumentationspflicht. Es ist ein „Datenschutzordner“ anzulegen. In diesen Ordner gehört dann u.a das Verarbeitungsverzeichnis, die Einwilligungen der Kunden zur konkreten Datenspeicherung und Datenverarbeitung, die Belehrungen der Mitarbeiter zur Vertraulichkeit (soweit sie mit Daten der Kunden in Kontakt kommen) und andere etwaige Erfordernisse. Der Order kann in Papierform oder elektronisch angelegt werden.
Das Stichwort „elektronisch“ führt im Hinblick auf die technische Datensicherheit zu den nächsten Herausforderungen, die hier auch nur angedeutet werden können. Die Sicherheit der gespeicherten Daten ist auch technisch zu gewährleisten. Die Daten sind vor Zugriffen Dritter zu schützen. Gibt es Backups im Büro? Wie findet die Datensicherheit statt? Vorsicht ist auch bei der Speicherung von Daten in einer Cloud oder bei einem Dienstleister außerhalb der EU geboten. Verbreitet bei Selbständigen ist zudem die Nutzung eines Smartphones sowohl beruflich als auch privat. Sind auf dem Mobilgerät Apps wie Facebook und WhatsApp installiert, werden dadurch automatisch Kundendaten übertragen. Da viele Kunden jedoch auch über diese Kanäle kontaktiert werden möchten, kann mittels einer Einwilligungserklärung dieser Weg beschritten werden. Ungeklärt ist bislang allerdings das Problem, dass niemand so genau weiß, welche Daten diese Apps erheben und speichern, so dass es unmöglich ist, die Auskunftsansprüche unseres Kunden zu erfüllen. Auch eine vollständige Löschung, wie sie die DSGVO vorschreibt, ist nicht möglich. Wer sichergehen möchte, sollte daher berufliche und private Nutzung strikt trennen bzw. den Apps keinen Zugriff auf die Kontakte gewähren. Ein weites Feld…
Die DSGVO und Ihre Homepage
Betroffen von der DSGVO ist natürlich auch die Homepage, wenn hier personenbezogene Daten erhoben werden, beispielsweise über ein Kontaktformular, bei online- Buchungsmöglichkeiten für Seminare oder Trainingsstunden oder für einen online-Einkauf. Dann muss die Homepage Homepage an die neue Verordnung angepasst werden:
- Verschlüsselung der Homepage
Homepages, auf denen personenbezogene Daten erhoben werden, müssen künftig grundsätzlich verschlüsselt sein, besonders wenn Sie mit Kontaktformular oder Newslettern arbeiten. Verschlüsselte Seiten erkennt man daran, dass die URL mit „https“ (statt nur http) anfängt. Dazu wird ein sogenanntes Verschlüsselungszertifikat benötigt, das relativ einfach über den Administrator der Homepage zu erwerben ist. Die Kosten dafür liegen bei etwa 3-7 € pro Monat, je nach Umfang und Anbieter.
- Aktualisierung der Datenschutzerklärung und Ihrer Formulare
Mit der Datenschutzgrundverordnung verändern sich die Anforderungen an die Datenschutzerklärung. Sie muss gesondert vom Impressum sein und die hinzugekommenen Informationspflichten umfassen. Alle Dienste und Plug-ins, die Sie auf der Seite verwenden und die dafür sorgen, dass Daten einer dritten Partei zugänglich gemacht werden, müssen in der Datenschutzerklärung aufgeführt werden. Lassen Sie sich beraten oder verwenden einen der im Internet erhältlichen und gängigen Datenschutzerklärungsgeneratoren (unter Quellangabe).
Überprüfen Sie, ob in Ihren Formularen nur die nötigsten Daten erhoben werden (für Newsletter reicht beispielsweise nur die Email Adresse) und weisen Sie darauf hin, dass alle weiteren Angaben freiwillig sind. Wichtig ist auch, dass Sie für jeden Zweck, für den Sie Daten benötigen, eine separate Einwilligung haben. Wenn Sie zum Beispiel einem Kunden, der mit Ihnen online einen Termin vereinbart hat, auch Ihren Newsletter schicken wollen, dann brauchen Sie dafür eine zusätzliche Einwilligung.
- Cookies
Cookies sind kleine Dateien, die Daten lokal auf dem Gerät speichern. Sie dienen dazu, den Nutzer wiederzuerkennen und ihm das Surfen auf der Website zu erleichtern. In Bezug auf Cookies ist die rechtliche Lage nach Inkrafttreten der Datenschutzgrundverordnung noch unklar. Um Abmahnungen zu vermeiden, sollte man von den Websitenutzern beim ersten Aufruf der Seite in der so genannten Cookie-Warnung die Einwilligung einholen. Der Text der Cookie-Warnung sollte so konkret wie möglich sagen, um welche Daten es geht, wofür diese genutzt werden und an wen sie gegebenenfalls weitergegeben werden.
Die meisten Website-Betreiber nutzen Cookies, Dienste wie Google Analytics und Social Media Plugins. Diese stellen alle erhöhte Informations-, und Datenschutzanforderungen (Anonymisierung bei Google Analytics). Sprechen Sie mit Ihrem Webadministrator und passen Technik und Datenschutzerklärung an.
Fazit
Es gibt viel zu tun. Packen wir es also an!Scheuen Sie sich nicht, fachkundige Hilfe zu suchen. Das Datenschutzrecht und dessen konkrete Umsetzung in der Praxis ist ein komplexer Bereich, der für den diesbezüglichen Laien kaum zu bewältigen ist. Sowohl interne Betriebsabläufe als auch der Außenauftritt müssen auf den Prüfstand. Lieber etwas Hilfe holen und die eigne Zeit für den Beruf am Hund nutzen, als zu verzweifeln und später unnötig Opfer von Abmahnungen und Bußgeldern werden.
