Generic selectors
Exact matches only
Search in title
Search in content
Search in posts
Search in pages
Filter by Categories
Allgemein
search icon
mail

eyemail

mehr erfahren
mail

Eyepage

mehr erfahren
mail

Eyeplan

mehr erfahren

UPDATE 15.05.: DSGVO: Die wichtigsten Infos für Augenoptiker

08.05.2018

blog

UPDATE 15. Mai 2018

Am 10. Mai hat der Zentralverband des Deutschen Handwerks (ZDH) auf seiner Homepage eine interessante Information zur Bestellung eines Datenschutzbeauftragten veröffentlicht, die wir Ihnen nicht vorenthalten möchten. Es geht dabei um die Bestellung des Datenschutzbeauftragten. Der ZDH legt das neue Datenschutzgesetz so aus, dass nur Betriebe mit 10 oder mehr Mitarbeitern, – und jetzt kommt die wichtige Information – die regelmäßig mit der automatisierten Verarbeitung personenbezogener Daten zu tun haben, einen Datenschutzbeauftragten bestellen müssen. Der ZDH schreibt in seiner Veröffentlichung weiter, dass darunter nur Mitarbeiter fallen, deren Kerntätigkeit die Verarbeitung von Daten ist, also z.B. die Lohnbuchhaltung. Explizit ausgeklammert werden „normale“ Mitarbeiter, die nur zur Erfüllung Ihrer Tätigkeit (z.B. Verkauf oder Anpassung von Brillen) Daten erheben oder verarbeiten, deren Kerntätigkeit aber NICHT die Verarbeitung von Daten ist, sondern z.B. der Verkauf von Brillen. Wenn dem so sein sollte, dann würde das bedeuten, dass so gut wie kein Augenoptiker einen Datenschutzbeauftragten benötigt. Ob das wirklich so ist, wird sich zeigen …

DSGVO: Die wichtigsten Infos für Augenoptiker

Abgesehen vom 15. Juli 2018 (WM-Finale in Moskau) gibt es wahrscheinlich kein anderes Datum als den 25. Mai 2018, das die Augenoptik im Moment derart umtreibt. Die Stimmung in der Branche schwankt bei der Nennung dieses Datums zwischen stoischer Gelassenheit und hysterischer Panik. Ja, Sie haben es richtig erkannt, es geht um die neue europaweite Datenschutzgrundverordnung (DSGVO).

 

Aber was ist denn jetzt eigentlich Sache? Und vor allem: Wie wirkt sich das neue Gesetz auf Sie als Unternehmer und Augenoptiker aus?

 

Vorweg noch ein wichtiger Hinweis: Alle folgenden Informationen stellen eine Sammlung und Bewertung vieler öffentlicher Quellen aus dem Internet sowie persönlicher Gespräche mit Experten dar. Es handelt sich hierbei weder um eine Rechtsberatung noch um eine individuelle Empfehlung. Wir übernehmen trotz sorgfältiger Recherche keine Haftung für den Inhalt der folgenden Informationen.

Okay, dröseln wir das aktuelle Gesetz einfach mal der Reihe nach auf. Dabei unterscheiden wir insgesamt drei Punkte:

  1. Verhältnis zwischen Augenoptiker und Kunden
  2. Interne Prozesse im Unternehmen
  3. Verhältnis zwischen Augenoptiker und externen Dienstleistern

 

WARUM DATENSCHUTZ?

Zu Beginn möchten wir Ihnen noch einmal den tieferen Sinn der DSGVO erläutern. Denn bei allem Schatten, das dieses Gesetz auf Sie als Unternehmer wirft, gibt es für die Verbraucher aber auch viel Licht. Zumindest vermeintlich. Der Grund, warum sich die EU schon seit vielen Jahren mit dem Thema Datenschutz beschäftigt, ist eigentlich ganz einfach. Daten, insbesondere persönliche, werden in der digitalen Welt immer wichtiger (Zitat: „Daten sind das Rohöl des 21. Jahrhunderts“). Je mehr Daten von einer einzelnen Person verfügbar sind, desto gläserner und damit auch wertvoller wird der Einzelne z.B. für Produktempfehlungen. Und da immer mehr Daten (ob man es will oder nicht) von jeder einzelnen Person jeden Tag gesammelt werden, ist es grundsätzlich ein sinnvolles Ziel der EU, dies zu regeln. Denn bislang gab es zwar schon auf nationaler Ebene viele Datenschutzvereinbarungen, um aber gegen internationale Konzerne ein relevantes und starkes Gesetz zu haben, macht es absolut Sinn, gemeinsame Regeln aufzustellen.

Jetzt werden Sie sagen: „Regeln und Gesetze hin oder her. Die bei Facebook, Amazon, Payback und Google machen doch eh, was sie wollen!“ Die Antwort ist ganz einfach: Ja und nein. Natürlich sind alle großen Anbieter genauso der DSGVO unterworfen wie Sie als Augenoptiker oder wir als Werbeagentur. Der entscheidende Unterschied sind aber die Allgemeinen Geschäftsbedingungen (AGB). Wenn Sie sich z.B. die AGB von PayBack bis zum Schluss durchlesen, können Sie eigentlich fast nur zu der Entscheidung kommen, sofort Ihre PayBack-Karte zu verbrennen. Denn mit der Teilnahme an PayBack akzeptieren Sie auch deren AGB und erlauben damit PayBack ohne weiteres Nachfragen, mit Ihren Daten mehr oder weniger zu machen, was PayBack will. Oder einfach gesagt: völliger Datenkontrollverlust. Und dennoch zücken jeden Tag mehrere Millionen Deutsche ihre PayBack-Karte, sammeln mit größter Freude Punkte und „finanzieren“ das PayBack-System mit ihren persönlichen Daten. Das ist übrigens bei allen anderen Vorteilskarten, kostenlosen Online-Diensten, Google, … ganz genauso.

Fazit: Es ist also höchste Zeit, die vermeintlich mündigen Bürger für dieses Thema zu sensibilisieren und Unternehmen, die es mit dem Datenschutz bisher vielleicht nicht ganz so genau genommen haben, an die kurze Leine zu nehmen. Inwieweit Letzteres gelingt, wird man in den kommenden Monaten und Jahren sehen.

Jetzt aber zurück zur Augenoptik und der Frage, wie Sie sich die neue GSGVO konkret auf Sie als Unternehmer auswirkt.

 

  1. DAS „VERHÄLTNIS“ ZWISCHEN DEM AUGENOPTIKER UND DEM KUNDEN

Fangen wir der Reihe nach an: Ein Kunde kommt zu Ihnen ins Geschäft, füllt einen Anamnesebogen aus, Sie führen eine Refraktion durch, notieren seine Kontaktdaten und verkaufen eine oder im besten Fall auch mehrere Brillen. Bei allen Schritten erfassen Sie Daten, Daten, Daten: von der Frage nach dem Geburtsdatum über den Bluthochdruck bis hin zur Telefonnummer, dem Augenabstand oder der Bankverbindung. Das haben Sie bisher auch schon gemacht und daran ändert sich grundsätzlich auch nichts. Sie dürfen den Kunden auch weiterhin nach seinem Blutalkoholspiegel fragen, wenn Sie das für wichtig erachten. Neu ist aber, dass Sie diese Daten nicht mehr uneingeschränkt speichern und verarbeiten dürfen und dass der Endkunde zu jedem Zeitpunkt ein Recht auf Auskunft und auch ein Recht auf Löschung hat.

Hier mal ein praktisches Beispiel: Sie haben dem Kunden vor 2 Jahren eine Brille verkauft und dieser Kunde kommt jetzt zu Ihnen ins Geschäft und möchte seine PD wissen. Sie riechen natürlich schon den Braten und Ihre Vermutung wird auch ganz offiziell bestätigt. Bisher konnten Sie sagen, dass Sie ihm diese Information nicht geben. Ab dem 25.5. hat der Kunde ein verbrieftes Recht, dass Sie ihm alle Daten (also wirklich alle!) aushändigen müssen. Schluck! Ob und wie oft das in der Praxis dann tatsächlich vorkommen wird, sei mal dahingestellt.

Neben dem Recht auf Auskunft und Löschung, das jeder einzelne Kunde hat, stellt sich auch die Frage nach der Verwendung dieser Daten z.B. für Werbezwecke. In diesem Bereich hat sich – wenn man es grob betrachtet – fast nichts geändert. Denn nach wie vor dürfen Sie Ihren Kunden – auch ohne Unterschrift – (Werbe-)Briefe schreiben. Voraussetzung dafür ist, dass die Selektion, auf der die Empfängergruppe basiert, a) so grob ist, dass man auf den Einzelnen keine Rückschlüsse ziehen kann, und b) keine medizinischen Daten oder das exakte Geburtsdatum (Alter ist in Ordnung) für die Selektion verwendet wird. Sie dürfen also alle Kunden postalisch anschreiben, die z.B. zwischen Mai 2016 und April 2017 bei Ihnen eine Brille erworben haben und zwischen 35 und 65 Jahre alt sind. Hingegen ist es nicht erlaubt, diese Selektion z.B. auch noch mit Refraktionsdaten zu verfeinern, also z.B. nur Kunden für eine neue Tageskontaktlinse anzuschreiben, die innerhalb deren Lieferbereich liegen.

Grundsätzlich verboten ist und bleibt aber Werbung per E-Mail, WhatsApp und Telefon ohne schriftliche Einwilligung. Eine einzige Ausnahme ist die Informierung des Kunden über den Status seines Auftrags. Sie dürfen Ihren Kunden also auch ohne Unterschrift mitteilen, dass z.B. seine Brille fertig ist, da dies zur Erfüllung des Auftrags notwendig ist.

Grundsätzlich empfehlen wir aber dringend, dass Sie von allen Ihren Kunden das Einverständnis zur Verarbeitung ihrer Daten einholen, denn E-Mail-Marketing oder das noch genauere Selektieren von Zielgruppen wird immer wichtiger. So sparen Sie langfristig Kosten und machen die postalische oder elektronische Direktwerbung effektiver.

Unser Tipp: Nutzen Sie dafür, wenn möglich, die elektronischen Möglichkeiten Ihres Softwareanbieters und keine Papierzettel. Dies macht die Verwaltung und spätere Nachvollziehbarkeit um Welten einfacher. Die meisten großen Softwareanbieter stellen hier Unterschriften-Pads oder andere digitale Lösungen zur Verfügung.

 

  1. INTERNE PROZESSE IN IHREM UNTERNEHMEN

Ihr Kunde hat also sein Einverständnis gegeben oder eben nicht und die Daten sind bei Ihnen im System. Als Unternehmer haben Sie damit die Verantwortung übernommen, diese Daten sicher zu speichern und nur im rechtlich zulässigen Rahmen zu verarbeiten. Was heißt das konkret?

a) Server. Die Daten Ihrer Kunden sind in der Regel auf einem Server gesichert. Dass ein solcher Server nicht einfach so in der Werkstatt rumsteht und theoretisch jeder Mitarbeiter oder Fremder diesen einfach unter den Arm klemmen und mit nach Hause nehmen könnte, ist eigentlich selbstverständlich. Die Praxis sieht aber meist genauso aus. Und wenn Sie jetzt sagen, das ist aber so abstrakt, das kommt sicher nicht vor, dann überzeugt Sie vielleicht das folgende Argument. Stellen Sie sich vor, einer Ihrer Mitarbeiter möchte gerne nächste Woche frei haben, Sie genehmigen ihm diesen Urlaub nicht. Der Mitarbeiter rastest aus und kippt im Affekt einfach ein Glas Wasser in den Server. Allein schon deshalb sollte ein Server abgeschlossen in einem Raum oder einem Schrank stehen, zu dem nur wenige Personen Zugriff haben.

b) Computer-Arbeitsplätze. Vielleicht arbeiten Sie am Beratungstisch mit einem Computer. Hier sollten Sie sicherstellen, dass kein anderer Kunde Einblick in persönliche Daten hat. Es sollte sich also immer gleich ein Bildschirmschoner mit Passwort-Schutz aktivieren, sobald Sie nicht mehr am Platz sitzen, und der Monitor sollte so gedreht werden, dass möglichst kein anderer auf den Bildschirm sehen kann. Dass das Passwort zum Entsperren nicht „User“, „Passwort“ oder „Brille“ sein sollte, versteht sich von selbst, wobei hier die Praxis das Gegenteil zeigt.

c) Software. Halten Sie Ihre Software stets aktuell, verwenden Sie eine aktuelle Version Ihres Betriebssystems (Windows 98 ist im Jahr 2018 definitiv keine gute Idee mehr!) und ganz wichtig: Nutzen Sie auf allen Ihren Geräten einen hochwertigen (kostenpflichtigen) Virenscanner. Am besten, Sie lassen sich hier von Ihrem IT-Systemhaus beraten, auch wenn es regelmäßig Kosten für Wartung und Updates verursacht. Denn Ihr Unternehmenswert hängt nicht an den Brillenbühnen, sondern in einer Datenbank, die es zu schützen gilt! Und fast noch wichtiger: Backups, Backups, Backups. Der beste Platz für ein Backup ist nicht die Schreibtisch-Schublade neben dem Server im Büro, sondern entweder ein Tresor, ein Bankschließfach oder zur Not auch ein Versteck bei Ihnen zu Hause.

d) Mitarbeiter. Alle Mitarbeiter müssen darüber informiert werden, was Sie mit den Daten der Kunden machen dürfen und was nicht. Diese Einweisung hat schriftlich zu erfolgen, denn nur auf den gesunden Menschenverstand, getreu dem Motto – „das macht man nicht!“, kann und sollte man sich nicht verlassen. Auch sollten die Mitarbeiter unterschreiben, dass Sie mit allen Daten, die sie erfassen oder zu denen sie Zugang erhalten, vertrauensvoll umgehen und keinen Dritten darüber berichten, auch wenn die Information noch so „heiß“ ist.

e) Prozesse. Das wahrscheinlich Aufwendigste ist die Erfassung und Dokumentation aller Prozesse innerhalb Ihres Unternehmens. Wer hat Zugriff zu den Daten, wie lange werden diese Daten gespeichert, was passiert mit den Daten, … Auf alle diese Fragen müssen Sie im Fall der Fälle, also z.B. wenn dies ein Kunde wissen möchte (Auskunftspflicht!), eine Antwort parat haben. Und zwar keine spontane, sondern eine im Vorfeld (!) dokumentierte!

f) Datenschutz-Beauftragter. Vor ein paar Tagen ging ein großer Jubel durch die Branche. Bisher war klar, dass alle Unternehmen mit 10 oder mehr Mitarbeitern einen Datenschutzbeauftragten haben müssen. Nebulös war aber bisher, ob auch kleinere Unternehmen mit weniger als 10 Mitarbeitern einen Datenschutzbeauftragten benötigen. Die Antwort jetzt: Nein, es wird bei kleinen Betrieben unter 10 Mitarbeitern kein Datenschutzbeauftragter benötigt. Jetzt ist die große Frage, ob das gut oder schlecht ist. Ja, es ist gut, weil man sich vielleicht ein paar Euros für einen externen Datenschutzbeauftragten spart, aber nein es ist nicht gut, weil man sich jetzt um alles selbst kümmern darf / muss.

Und für alle, die 10 oder mehr Mitarbeiter haben stellt sich die Frage: Interner oder externer Datenschutzbeauftragter. Die Antwort ist hier auch ganz klar: extern! Natürlich erledigt ein externer Datenschutzbeauftragter seine Arbeit nicht kostenlos (würden Sie ja auch nicht). Ein interner kostet aber zunächst auch Geld, da Sie einen Mitarbeiter auf eine Fortbildung schicken dürfen und – viel „schlimmer“ – ein interner Datenschutzbeauftragter den gleichen Kündigungsschutz wie z.B. ein Betriebsrat genießt. Wer jetzt auf die Idee kommt, sich als Chef oder den eigenen Ehepartner als Datenschutzbeauftragten zu ernennen, dem sei gesagt, dass dies auf Grund des offensichtlichen Interessenkonflikts nicht möglich ist.

Fazit: Es macht nicht nur auf Grund der aktuellen DSGVO-Thematik Sinn, sich mit dem Thema Datenschutz zu beschäftigen. Und trotz der vielen (Dokumentations-)Arbeit, die jetzt auf Sie zukommt, sollten Sie immer auch die positiven Aspekte erkennen.

 

  1. DAS „VERHÄLTNIS“ ZWISCHEN AUGENOPTIKER UND EXTERNEN DIENSTLEISTERN“

Als letzten Punkt beleuchten wir noch das Verhältnis zu externen Dienstleistern wie  z.B. einem Lettershop, der für Sie Briefe versendet, Ihrem Software-Anbieter oder auch Ihrem Glaslieferanten. Aber der Reihe nach:

Grundsätzlich muss man zwischen einer Datenschutzvereinbarung (DV) und einer Vereinbarung zur Auftragsdatenverarbeitung (ADV) unterscheiden. Eine Datenschutzvereinbarung ist immer dann notwendig, wenn ein Dritter Zugriff auf Ihre Daten erhält, diese aber nicht verarbeitet. Eine ADV ist immer dann notwendig, wenn der Dritte die Daten auch tatsächlich verarbeitet.

Also: Mit einem Lettershop, dem Sie Ihre Daten zur Verfügung stellen, damit dieser ein Mailing für Sie versendet, müssen Sie immer eine ADV vereinbaren. Der Grund hierfür ist, dass zum einen die Daten tatsächlich verarbeitet werden, da schließlich Adressen auf Briefe gedruckt werden, und zum anderen die Verarbeitung der Daten auch der Kern der Dienstleistung ist.

Anders sieht das bei Ihrem Softwareanbieter aus. Ihr Software-Anbieter erhält z.B. durch die Fernwartung grundsätzlich Zugriff auf die Daten Ihrer Kunden, verarbeitet diese aber nicht. Dennoch müssen Sie mit dem Softwareanbieter im Vorfeld schriftlich regeln, dass er mit diesem Wissen nicht hausieren gehen darf und er dies wiederum auch allen seinen Mitarbeitern entsprechend kommuniziert hat.

Ähnliches gilt auch für Ihren Brillenglas-Lieferanten. Hier ist eine Datenschutzvereinbarung aus unserer Sicht ebenfalls notwendig, auch wenn die Meinungen hier differieren. Denn auch dieser erhält von Ihnen personenbezogene Daten, wie z.B. die Dioptrienwerte oder die Kommission. Auch hier zählt – wie beim Softwareanbieter auch – die Verarbeitung der personenbezogenen Daten nicht zu den Kernaufgaben des Lieferanten, da dieser den Namen des Kunden ggf. „nur“ als Kommission auf einen Lieferschein druckt, die Kerntätigkeit aber die Produktion von Brillengläsern ist.

Und dann gibt es da noch eine kleine Spezialität für DSVGO-Fans: Denn streng genommen müssen Sie auch mir Ihrer Reinigungskraft eine ADV abschließen. Klingt komisch, ist aber tatsächlich so. Denn wenn Ihre Reinigungskraft z.B. die Papierkörbe entleert, führt Sie strenggenommen – eine Verarbeitung von Daten aus, nämlich deren Vernichtung.

Fazit: Alle Dienstleister werden bis spätestens Mitte Mai eine Vorlage einer ADV oder einer DV haben, die Sie abrufen können. Einmal durchlesen, unterschreiben und fertig!

 

ABSCHLIESSENDES FAZIT

Man kann über die DSVGO denken, wie man möchte, und ja, sie ist eine Belastung für alle Unternehmen. Fakt ist aber auch, dass der Schutz der Daten Ihrer Kunden eine essenziell wichtige Aufgabe ist. Denn damit geht das Vertrauen der Kunden in Sie und Ihr Unternehmen einher. Daher unsere Empfehlung: Auch wenn ein Grillabend mit Freunden oder meinetwegen eine komplizierte Refraktion mehr Spaß macht als das Lesen und Ausfüllen von DSGVO-Dokumenten: Es ist wirklich wichtig, glauben Sie mir! Und das nicht nur, weil astronomisch hohe Busgelder drohen, sondern weil es um Ihr Unternehmen geht. Sehen Sie die DSVGO nicht als Last, sondern als Chance, in Zukunft weiterhin das Vertrauen Ihrer Kunden zu erhalten!

Ob und wie sich die DSGVO in der Praxis auf Augenoptiker auswirkt und – viel spannender – was passiert, wenn man sich nicht an die Regeln hält, werden wir erst wissen, wenn die ersten Kolleginnen oder Kollegen in das „Fahndungsraster“ der jeweiligen Landesbehörden für Datenschutz gelangen.

In diesem Sinne schon mal vielen Dank an den oder die Erste(n)!

Kategorien


Beliebteste Beiträge

MIT KONTAKTLINSEN VERDIENT MAN DOCH SOWIESO KEIN GELD!

Nachdem sich jetzt die DSGVO-Wogen geglättet, um nicht zu sagen „in Luft aufgelöst“ haben, ist es wieder an der weiterlesen

13.06.2018

UPDATE 15.05.: DSGVO: Die wichtigsten Infos für Augenoptiker

UPDATE 15. Mai 2018 Am 10. Mai hat der Zentralverband des Deutschen Handwerks (ZDH) auf seiner Homepage eine weiterlesen

08.05.2018

Ist jetzt der perfekte Augenblick für einen Facebook-Ausstieg?

IST JETZT DER PERFEKTE AUGENBLICK FÜR EINEN FACEBOOK-AUSSTIEG? In den letzten Wochen haben uns viele Anrufe von weiterlesen

12.04.2018


Tags

to.eyes GmbH hat 4,65 von 5 Sternen | 62 Bewertungen auf ProvenExpert.com