Digitalisierung in der Schwimmschule – DSGVO EU-Datenschutzverordnung – Update

Am 25. Mai 2018 tritt die neue EU Datenschutzverordnung in Kraft.

Für uns Schwimmschulen bedeutet das, dass wir unsere Prozesse der Kundendatenverarbeitung auf den Prüfstand stellen, und sicher stellen müssen, dass wir Ende Mai gut aufgestellt sind.

Betroffen sind unsere Kundendatenbanken, unsere Webseiten, unsere Newsletter, unsere evtl. Cloudspeicher, kurz: alle Orte an denen wir kundenbezogene Daten sammeln.

In diesem Artikel möchte ich meine Recherche-Ergebnisse zum Thema mit Euch teilen, die ich nach bestem Wissen und Gewissen zusammengestellt habe. Keinesfalls soll dies eine Rechtsberatung ersetzen, sondern lediglich eine Hilfestellung sein damit Ihr als Schwimmschulbetreiber Ansatzpunkte findet was noch zu tun ist. Ich lehne also jegliche Haftung ab.

Nun aber los…

Welche Bereiche sind betroffen?

Grundsätzlich sind alle Bereiche Eurer Schwimmschule betroffen, die etwas mit der Verarbeitung personenbezogener Daten zu tun haben. Dies sind die Kundenverwaltungssysteme, die Webseiten, Newsletter und Speicher auf denen wir personenbezogene Daten sammeln, aber auch die Verwaltung Eurer Kursleiter und Mitarbeiter.

Eigene Verwaltung

Jedes Unternehmen mit mehr als 9 Mitarbeitern braucht einen Datenschutzbeauftragten. Dies darf nicht der Inhaber, IT-Verantwortliche oder Geschäftsführer sein. Jedes Unternehmen braucht ein Verzeichnis der einzelnen Schritte der Kundendatenverarbeitung. Man muss also ganz genau aufschreiben, welche Daten wann von wem, wo und zu welchem Zweck gespeichert werden und was damit dann passiert.

Ich schätze dies wird eine der umfangreichsten Aufgaben sein, die wir noch zu erledigen haben.

Ganz wichtig: Am dem 25.5. hat jeder Kunde das Recht von uns Auskunft darüber zu erhalten welche Daten von ihm wie und wo gespeichert sind. Wir können uns dieser Auskunft nicht verweigern. Allein deshalb sollten wir gute Antworten auf Fragen dieser Art haben. Denn es kann ja leicht mal passieren, dass man einen verärgerten Kunden hat der einem durch eine solche Anfrage Schwierigkeiten machen will – und kann.

Kundendatenbank

Wer beispielsweise seine Kundendatenbank zu Hause auf dem Rechner führt, muss sicherstellen, dass diese dem aktuellen Stand der Technik entspricht, von außen nicht für fremde Personen zugänglich ist, und verschlüsselt abgespeichert wird, damit z.B. bei einem Einbruch und Diebstahl des Rechners die Daten nicht im Klartext vorliegen. Selbiges gilt für Backupmedien. Ein USB-Stick auf dem die Datenbank gesichert wird, muss also ebenfalls verschlüsselt werden. Speichert man Daten auf einem Cloud Server, so muss mit dem Anbieter ein Vertrag zur Auftragsdatenverarbeitung geschlossen werden, der DSGVO Konform sein muss. Große Anbieter wie z.B. Google, deren Server teilweise in den USA stehen, haben da momentan noch etwas nachzuarbeiten und haben geänderte Auftragsdatenverarbeitungsverträge angekündigt.

Der Bereich Kundendaten ist sicherlich der sensibelste Bereich. Wer also noch eine sehr alte Datenbank benutzt, seine Daten z.B. in der Dropbox speichert oder seine Kundendaten in einer Excel Liste im Klartext führt, der sollte sich schleunigst nach einer sicheren und DSGVO-konformen Alternative umschauen.

Schwimmhalle

Wie haltet Ihr die Daten Eurer Kursteilnehmer in der Schwimmhalle vor? Gibt es Listen im Klartext die Ihr ausdruckt? Wo und wie lagern diese Listen? Was genau steht auf diesen Listen? Wenn Ihr z.B. Kinder mit besonderen Krankheiten oder Behinderungen in den Kursen habt und dies auf solchen Listen vermerkt ist, dann sind das sofort sensible Gesundheitsinformationen, die wieder einem besonderen Schutz unterliegen.

Wir haben die Daten z.B. verschlüsselt auf einem iPad, das nur mit Zugangscode zu öffnen ist. Wie löst Ihr dieses Problem bei Euch?

Website

Auf der Website muss das Impressum und die Datenschutzerklärung an die neuen Bestimmungen angepasst werden. Dafür gibt es gute Generatoren im Internet. Ich habe z.B. diesen hier benutzt:

https://www.e-recht24.de

Es lohnt sich, einen kostenpflichtigen Account dort zu machen, denn es gibt wirklich detaillierte Hilfestellungen auf der Seite.

Weiterhin muss die Website SSL verschlüsselt werden, wenn Kontaktformulare und Newsletterformulare (also Formulare auf denen Benutzer ihre Email Adressen eingeben) angeboten werden. Da Google SSL verschlüsselte Seite im Ranking bevorzugt (man landet also weiter oben in den Suchergebnissen) macht es ohnehin Sinn seine Website zu verschlüsseln. Dafür muss man sich ein Zertifikat bei seinem Webseiten Anbieter kaufen und dieses dann in die Website einbinden. Danach muss man noch einige Einstellungen innerhalb der Website machen (Links, 301-Weiterleitungen in der -ht-acces Datei etc.). Wenn man technisch versiert ist, dann ist das innerhalb von 2-3 Stunden Arbeit erledigt. Wenn man nicht weiß was das zu bedeuten hat, dann sollte man sich einen IT-Experten zu Rate ziehen der das erledigt.

Sollten auf der Website Facebook-Like Buttons etc. eingebunden sein, dann sollte man diese entfernen, denn Dienste wie Facebook sammeln Daten von Website-Besuchern ohne dass diese das merken. Dies ist zukünftig verboten. Was man machen kann ist aber, einen selbst erstellten Button benutzen, über den man auf seine Facebook Seite verlinkt. Wenn man das so macht, dann sollte das in Ordnung gehen.

Benutzt man einen Newsletter, dann muss das Eintragen auf diesem durch ein Double Opt In Formular erfolgen. Jeder Newsletter-Empfänger muss das persönlich machen. Man darf zukünftig auf gar keinen Fall Email Adressen einfach per Hand in einen Newsletter eintragen und dann dort Werbung und Marketing hinschicken. Wer dies tut, riskiert eine Abmahnung.

Fazit

Mein persönliches Fazit ist, dass wer seine Hausaufgaben macht und die öffentlich einsehbaren Bereiche auf Stand bringt, mindestens vor Abmahnanwälten sicher sein sollte.

Veraltete Buchungssysteme, Excel-Listen etc. zur Kundenverwaltung gehören auf den Müllhaufen, denn Sie stellen ein erhebliches Sicherheitsrisiko für die persönlichen Daten Eurer Kunden dar.