Aufgrund der aktuellen Wichtigkeit haben wir die relevantesten Infos rund um den DSGVO-konformen Einsatz von appointman in deinem Unternehmen aufgelistet.
Bei Fragen und Feedback zu appointman und DSGVO schreibe uns gern eine E-Mail unter: datenschutz@appointman.net. Wir sammeln die Punkte für unsere FAQ Seite und für weitere News, können hier aber keine individuelle Beratung geben.
Viel Spaß beim Durcharbeiten
dein appointman Team
DISCLAIMER:
Es gibt aktuell noch keine Rechtsprechungen für die DSGVO Themen, da diese noch nicht in Kraft getreten ist. Wir können daher keine Haftung für die Infos und Hinweise übernehmen. Ebenfalls dürfen wir keine Rechtsberatung geben. Nach wie vor sind viele Punkte in der DSGVO weiträumig interpretierbar, so dass erst die Praxis zeigen wird, wie diese von Gerichten interpretiert werden.
1. Jedes Formular muss die Datenschutzerklärung akzeptieren
Was bedeutet das für meinen appointman Account?
Auch da wo es stand heute noch keine Datenschutzzustimmung bei uns gibt, wird es in Zukunft zwangsweise eine Checkbox geben. Immer dann, wenn dein Kunde Zugangsdaten für appointman bekommt, wird es notwendig sein, dass dein Kunde sowohl deine eigenen, wie auch unsere Datenschutzerklärungen und AGBs akzeptiert.
Insgesamt betrifft die Datenschutzzustimmung mindestens folgende appointman Formulare: Probetraining, Drop-In, Shop-Kauf, Registrierung, Buchung von Terminen, Buchung von Workshops und Freischaltungsanfragen.
Was bedeutet das für meine Website?
Hast du ein Kontaktformular?
- Dann brauchst du in dem Formular ebenfalls eine Checkbox für die Zustimmung zu deiner eigenen Datenschutzerklärung.
- Du benötigst ein SSL Zertifikat (https://) für die sichere Übertragung der Daten.
- Deine Datenschutzerklärung muss einen Hinweis bzgl. Übermittlung von Daten an appointman enthalten.
Was sollte ich tun?
- Datenschutzerklärung erstellen (z.B. mit eRecht24 oder ähnlichen Anbietern) und in appointman unter Einstellungen > Stammdaten hinterlegen.
- appointman in deine Datenschutzerklärung aufnehmen: https://intercom.help/appointman/faq/sicherheit/zusatz-fur-eigene-datenschutzerklarung
- Kontaktformulare auf deiner Website erweitern (ggf. an deinen Webmaster wenden)
- SSL Zertifikat für deine Website einrichten (ggf. an deinen Webmaster wenden)
2. ADV: Auftragsdatenverarbeitungsvereinbarung abschließen
In den nächsten Wochen (rechtzeitig noch vor dem 25.5.18) werden wir euch unsere DSGVO-konforme Auftragsdatenverarbeitungsvereinbarung zur Verfügung stellen und euch aktiv darüber informieren.
Was sollte ich tun?
Sobald unsere aktualisierte ADV zur Verfügung steht, solltest du diese mit uns abschließen! (ausdrucken, lesen/verstehen, unterschreiben, zurückschicken/-mailen, fertig.)
3. Kundendaten löschen, sobald Erfassungszweck erfüllt
Ist der Erfassungszweck erfüllt und es gibt keine weiteren gesetzlichen Aufbewahrungspflichten, so müssen personenbezogene Daten komplett gelöscht/anonymisiert werden.
Inwieweit gesetzliche Aufbewahrungspflichten gelten, muss im Zweifel für jeden Einzelfall von dir geprüft werden. Dies gilt natürlich nicht nur für Daten die du in appointman gespeichert hast sondern für alle Daten des Kunden. Dies können z.B. Telefonbucheinträge auf deinem iPhone sein, handschriftliche Notizen, Excel Tabellen, Word Anschreiben oder Teilnehmerlisten die vor Ort ausgefüllt wurden.
Ein Grund einen Kunden zu löschen bzw. anonymisieren könnte z.B. ein Kunde mit einer aufgebrauchten 10er-Karte sein, der seit 3 Monaten nicht mehr gebucht hat. Auch hier gilt individuell zu prüfen welcher Zeitraum angemessen ist. Ohne explizite Einwilligung (am besten schriftlich) ist es laut DSGVO nicht angemessen, die Daten des Kunden weiter zu speichern.
Ein anderer Grund könnte sein, dass der Kunde die Löschung seiner Daten explizit bei dir anfragt. Solange du darlegen kannst, dass du die Daten z.B. für eine Vertragserfüllung benötigst ist eine Löschung eventuell nicht erforderlich. Kann dies allerdings nicht dargelegt werden, so kommst du um eine Löschung vermutlich nicht herum. Auch hier raten wir dir im Zweifel einen Anwalt zur Beratung zu kontaktieren und dies für dein Unternehmen und dein Business Modell individuell prüfen zu lassen.
Was sollte ich tun?
Mach dir Gedanken über deine Daten:
- Was und vor allem wo speicherst du Daten über deine Kunden?
- Führst du z.B. Anwesenheitslisten oder hast du seine Kontaktdaten in deinem iPhone gespeichert?
- Führst du einen Google Kalender oder einen handschriftlichen Kalender?
- Hast du vielleicht noch einen Datenexport in deinem Download Ordner liegen?
In appointman werden wir dir die notwendigen Tools zur Verfügung stellen, um Kundendaten möglichst einfach zu löschen. Etwas schwieriger ist es sicherlich alle anderen Stellen zu identifizieren, wo du Daten über den Kunden gespeichert hast. Mache dir daher schon im Vorfeld Gedanken, wo überall personalisierte Daten gespeichert sind und lege ein Vorgehen zur Löschung fest.
4. Einsicht über die gespeicherten Daten geben
Dein Kunde hat das Recht die über ihn von dir gespeicherten Daten einzusehen. Nach der Anfrage deines Kunden hast du 30 Tage Zeit ihm diese Information zu übermitteln.
Hierzu gehören natürlich auch alle Daten, die du über ihn in appointman gespeichert hast. Kursbuchungen, Termine, Bemerkungen, Adressdaten, No-Shows eben alles was einem Kunden zugeordnet werden kann.
Auch hier gilt wieder, dass die DSGVO sich nicht auf Daten beschränkt die in elektronischen System gespeichert sind. Auch handschriftliche Notizen, handschriftliche Teilnehmerlisten, Kontakte in deinem Telefonbuch oder Google Kalender Einträge können Beispiele sein, wo du Daten über den Kunden gespeichert haben könntest.
Was bedeutet das für meinen appointman Account?
Wir stellen dir die entsprechende Option zur Verfügungen die Daten auf einfachem Wege deinem Kunden bereitzustellen.
Was sollte ich jetzt tun?
Möglicherweise Kommentare löschen, die dein Kunde nicht wissen sollte.
5. Empfehlung: Medizinische Daten NICHT speichern!
In der DSGVO ist geregelt, dass Unternehmen ab 10 Personen die sich regelmäßig mit der Datenverarbeitung beschäftigten einen Datenschutzbeauftragten benötigen. Dabei ist davon auszugehen, dass z.B. die Pflege von Terminen oder das Abhaken von Teilnehmerlisten schon als eine regelmäßige Datenverarbeitung angesehen werden könnte. Aus unserer Sicht wird es schwierig bei Unternehmen mit 10 oder mehr Mitarbeitern glaubhaft darzulegen, dass sich nicht alle Mitarbeiter mit Datenverarbeitung beschäftigen. Wir empfehlen daher hier genau zu prüfen ob ein Datenschutzbeauftragter erforderlich ist.
Von dieser Regelung gibt es allerdings auch Ausnahmen für Unternehmen mit weniger als 10 Mitarbeitern, was sicherlich auf einen Großteil der appointman Nutzer zutreffen wird. In der DSGVO ist geregelt, dass Unternehmen mit weniger als 10 Mitarbeitern, deren Kerntätigkeit, die Verarbeitung von medizinischen Daten ist, ebenfalls einen Datenschutzbeauftragten benötigen.
Wir gehen aktuell davon aus, dass zumindest einige Kunden die Anmerkungs-Funktion für solche Daten nutzen. Zum Beispiel in der Form, dass Vorerkrankungen wie Bandscheibenvorfall oder Körperfett Werte notiert werden. Erst die Praxis wird zeigen, wie Gerichte “Kerntätigkeit” interpretieren. Wenn du aber auf Nummer sicher gehen willst, speicherst du solche Informationen besser nicht ab. Dies gilt wiederum nicht nur für appointman, sondern auch für Excel Listen, handschriftliche Notizen oder ähnliches.
Wenn es doch zwingend erforderlich ist, diese Daten vom Kunden zu erfassen, so hole dir unbedingt die schriftliche Einwilligung des Kunden zur Speicherung seiner medizinischen Daten ein. Wir empfehlen hier entsprechende Formulare mit einem Anwalt zu erarbeiten. Weiterhin solltest du einen zertifizierten Datenschutzbeauftragten ernennen, um auf der sicheren Seite zu sein.
Was sollte ich jetzt tun?
Du hast keinen zertifizierten Datenschutzbeauftragten?
Dann solltest du keine medizinischen Daten über deine Kunden speichern oder dich von einem Anwalt beraten lassen, welche Möglichkeiten für dein Unternehmen angemessen sind.
6. Opt-Ins für E-Mails & Co.
Um dich und deine Kunden zu schützen führen wir mit dem 25.5.2018 das sogenannte Double-OptIn Verfahren ein. Dies bedeutet, dass Kunden die sich z.B. registrieren oder ein Probetraining buchen, nach der Buchung eine E-Mail mit einem Link bekommen, wo sie diese E-Mail Adresse bestätigen müssen. Damit bist du auf der sicheren Seite, dass die E-Mail Adresse des Kunden auch wirklich ihm gehört und du ihn darüber kontaktieren darfst. Somit wird Missbrauch von fremden E-Mail Adressen verhindert.
Wir sind uns darüber bewusst, dass dies zu einem zusätzlichen Schritt bei den Kunden führt und viele auch Probleme durch falsche Spam Einstellungen haben. Um hier mit den europäischen Datenschutzrichtlinien konform zu sein, ist dieser Schritt allerdings unumgänglich und dient vor allem auch dich als Unternehmen vor Abmahnungen oder Strafen bei unrechtmäßiger Kontaktierung zu schützen.
Bei einer Änderung deiner AGBs oder Datenschutzerklärung wird dein Kunde demnächst übrigens ebenfalls automatisch zur Akzeptierung der neuen Version bei der nächsten Buchung verpflichtet.
Was sollte ich jetzt tun?
- appointman stellt zum 25.5. sicher, dass die Opt-Ins überall abgefragt werden wo nötig.
- Solltest du Kunden außerhalb von appointman per E-Mail, Telefon, WhatsApp oder SMS kontaktieren wollen, so hole dir unbedingt die schriftliche Einwilligung hierfür.
- Weiterhin hinterlege bitte unter Einstellungen -> Stammdaten deine AGB und Datenschutzerklärung, damit wir diese dem Kunden anzeigen und akzeptieren lassen können.
7. Transparenz über Datenspeicherung und Zugriff
Wie bereits weiter oben erwähnt haben die Kunden das Recht zu erfahren, welche Daten du über sie speicherst. Hierzu gehört zudem auch, wo du diese Daten speicherst und wer Zugriff auf die Daten hat. Um dieser Anforderung nachzukommen empfehlen wir dir, deine Datenschutzerklärung DSGVO konform zu machen.
Dies bedeutet eben auch neben dem Abschluss einer ADV mit appointman, appointman sowie alle anderen Tools, in deiner Datenschutzerklärung aufzuführen. appointman hosted die Daten in einem sicheren und zertifizierten Datencenter in Frankfurt.
Eventuell nutzt du zusätzlich Tools, die Daten in anderen Ländern außerhalb der EU speichern. Hier gilt es dann wieder individuell zu prüfen, ob du mit der Nutzung dieser Tools noch DSGVO-konform bist und dies den Kunden transparent zu machen. Auch der Steuerberater oder deine Bank sind Unternehmen, wo du personenbezogene Daten hin überträgst. Wir empfehlen daher auch hier eine ADV abzuschließen.
Um Kunden transparent zu machen, dass bei der Online Buchung appointman zur Datenspeicherung verwendet wird, führen wir spätestens ab dem 25.5.2018 eine “Wir nutzen appointman” Kennzeichung unter allen Buchungsformularen ein.
Was sollte ich jetzt tun?
- Prüfe alle Systemen und Firmen, zu denen du personenbezogene Daten übermittelst. Mache dir den Datenfluss bewusst und schließe mit den entsprechenden Firmen ADVs ab.
- Überarbeite deine Datenschutzerklärung und hinterlege diese auch in appointman unter Einstellungen -> Stammdaten.
8. Mitarbeiter
Solltest du Mitarbeiter beschäftigen empfehlen wir sicherzustellen, dass diese über ausreichend Informationen zum Umgang mit personenbezogener Daten verfügen. Dies kann z.B. durch Schulungen etc. erfolgen.
Weiterhin empfehlen wir eine Verschwiegenheitserklärung mit deinen Mitarbeitern abzuschließen.
Für appointman empfehlen wir dir keine Nutzerzugänge zu teilen, sondern jedem Mitarbeiter einen individuellen Zugang mit individuellen Rechten zu erstellen. Hierdurch ist z.B. sichergestellt, dass Änderungen an Daten eindeutig einer Person zugeordnet werden können. Das Rechtemanagement in appointman bauen wir zusätzlich weiter aus.
Was sollte ich jetzt tun?
Prüfe ob deine Mitarbeiter ausreichend auf die kommende DSGVO vorbereitet sind und erstelle für alle Systeme personalisierte Zugänge.
FRAGEN ODER FEEDBACK:
Bei Fragen und Feedback zu appointman und DSGVO schreibe uns gern eine E-Mail unter: datenschutz@appointman.net. Wir sammeln die Punkte für unsere FAQ Seite und für weitere News, können hier aber keine individuelle Beratung geben.