Datenschutz im Schönheitssalon

Datenschutz im Schönheitssalon

Für die eine Person ist es ein Ort der Entspannung, wo man tatsächlich mal an nichts denken muss und einfach nur entspannt. Für die andere Person ist es der Ort, wo man sich über das Leben und Alles ungeniert echauffieren und aus dem Nähkästchen plaudern kann: der Schönheitssalon. An den Datenschutz im Schönheitssalon denken dabei womöglich die wenigsten Personen, scheinbar in so manchen Fällen auch nicht die Verantwortlichen.

Nun mag die Verarbeitung personenbezogener Daten im Schönheitssalon nicht so umfangreich sein wie in einem Rechenzentrum. Ein paar Einzelheiten der DSGVO muss ein Schönheitssalonbetreiber dennoch beachten.

Führen des Terminkalenders

In einem Schönheitssalon ist der Terminkalender wohl eines der wichtigsten Hilfsmittel überhaupt. Darin zu finden sind auf jeden Fall die Namen der Kunden mit zumeist einer Telefonnummer für den Fall kurzfristiger Änderungen, die Art der gewünschten Behandlung, der zugeordnete Mitarbeiter und etwaige gesundheitliche Besonderheiten. Möglicherweise denken Sie jetzt das, was wir denken: Wir befinden uns somit im Anwendungsbereich der DSGVO.

Datenschutzinformation

Das bedeutet, dass der Schönheitssalonbetreiber eine Datenschutzinformation gemäß Art. 13 DSGVO bereitstellen muss. Sofern es sich nicht um einen 1-Personen-Betrieb handelt, sollte es auch schon für die Beschäftigten eine Datenschutzinformation geben. Des Weiteren ist davon auszugehen, dass es auch eine solche für Geschäftspartner bzw. externe Personen gibt, um auch diese zur Verarbeitung ihrer personenbezogenen Daten im Zuge der Vertragsanbahnung und -abwicklung zu informieren.

Nutzung digitaler Dienste

Etwaige Bestellungen werden mit hoher Wahrscheinlichkeit über das Internet vorgenommen. Möglicherweise besteht auch die Möglichkeit für Kunden, Termine online zu buchen.

Auftragsverarbeitung oder gemeinsame Verantwortlichkeit

Das bedeutet, dass für gewöhnlich ein Auftragsverarbeitungsvertrag gemäß Art. 28 Abs. 3 DSGVO mit dem technischen Dienstleister, dem Online-Dienstanbieter etc. abzuschließen ist. Möchte der Anbieter von beispielsweise dem Online-Terminbuchungsdienst die erfassten personenbezogenen Daten für eigene, andere Zwecke nutzen, ist zu prüfen, ob möglicherweise eine gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO vorliegt und ein Vertrag zur Regelung der Pflichten aller Parteien abzuschließen ist.

Richtlinien zum Datenschutz und zur -sicherheit

Natürlich sollte es auch Richtlinien zur beispielsweise Passworterstellung (mehr dazu hier) geben und den Mitarbeitern zur Verfügung stehen, zumindest sofern es zum Einsatz elektronischer Geräte und digitaler Dienste in der Firma kommt. Des Weiteren sind Richtlinien zum angemessenen Umgang mit personenbezogenen Daten wichtig. Bei einem Schönheitssalon kommt es hierbei speziell darauf an, den physischen Terminkalender nicht offen, für andere Kunden bzw. sonstige unbefugte Personen einsehbar, liegen zu lassen.

Technische und organisatorische Maßnahmen

Damit haben wir organisatorische Maßnahmen angesprochen, nämlich die personenbezogenen Daten vor einem unbefugten Einsehen und möglicherweise Weiterverwenden zu schützen. Am Ende des Tages empfiehlt es sich zusätzlich, den physischen Terminkalender und sonstige auf Papier festgehaltene personenbezogene Daten wegzuschließen.

Bei elektronischen Geräten ist es natürlich eine Pflicht, starke Passwörter zu verwenden und sie natürlich bei Nichtnutzung zu sperren, um auch digital eine unbefugte Verarbeitung der Daten zu vermeiden.

Es muss einen ständig aktuell gehaltenen Virenschutz auf den elektronischen Geräten geben.

Gespräche im Schönheitssalon

Kommen wir aber nun zu dem Teil des Schönheitssalonbesuches, während dessen oftmals die wohl interessantesten und somit privatesten Details ausgetauscht werden: die Gespräche während der Behandlung, also beispielsweise während des Haare-Schneidens, der Maniküre etc.

„Haushaltsausnahme“

Wir könnten argumentieren, dass diese Gespräche nicht in den Bereich der DSGVO fallen, da wir sie generell als Gespräche privater Natur auffassen. Den privaten Bereich verlassen würden diese Informationen und u. U. auch personenbezogene Daten, wenn der Schönheitssalonbetreiber oder ein Mitarbeiter sich Notizen dazu macht und diese aufbewahrt, beispielsweise in einer Kundendatei. – Dies wäre übrigens auch der Fall, sofern diese Informationen an andere Kunden oder Kollegen weitergegeben werden. – So mancher Verantwortlicher argumentiert, die Aufbewahrung dieser Informationen zu benötigen, um bei einem nächsten Termin daran anknüpfen zu können. In solch einem Fall wären wir definitiv raus aus der „Haushaltsausnahme“. Wir gehen sogar soweit, zu sagen, dass das, was die Kunden im Rahmen der Behandlung erzählen, nicht in einem privaten Rahmen erzählen, sondern die Information und Daten von den Mitarbeitern im Rahmen ihrer beruflichen Tätigkeit wahrgenommen werden. Damit fallen sie in den Schutzbereich der DSGVO.

Rechtsgrundlagen

Nimmt der Schönheitssalonbetreiber diese Daten in eine Kundendatei auf, benötigt er eine Rechtsgrundlage, um sie verarbeiten zu dürfen. – Ohne zu sehr ins Detail zu gehen, wäre hier das berechtigte Interesse nach Art. 6 Abs. 1 lit. f) DSGVO des Schönheitssalonbetreibers, diese Daten zum Anknüpfen an zukünftigen Gesprächen zu nutzen, mit dem des Kunden, dass die in diesem Fall zumeist privaten Informationen eben nicht notiert und somit gespeichert werden, abzuwägen. – Um diese Informationen in Zukunft nutzen zu können, wird der Schönheitssalonbetreiber oder ggf. sein Mitarbeiter sich diese Informationen merken müssen. Eine Ausnahme wäre, es läge eine Einwilligung gemäß Artt. 6 Abs. 1 lit. a) und ggf. 9 Abs. 2 lit. a) i. V. m. 7 DSGVO des Kunden zur Speicherung solcher Informationen vor. Diese Einwilligung wäre vom Betreiber einzuholen.

Fazit

So unwahrscheinlich es uns erscheint, auch im Schönheitssalon ist der Datenschutz präsent.

Gern können wir auch in dieser Branche der Dienstleistungen bei u. a. der Erstellung der notwendigen Datenschutzdokumentation und bei der Umsetzung der Maßnahmen (z. B. Verzeichnis von Verarbeitungstätigkeiten, Richtlinien zur Umsetzung von Betroffenenanfragen, Sensibilisierung zum Thema Datenschutz, Erstellung der Vertraulichkeitsverpflichtung etc.) unterstützen und beraten. Kontaktieren Sie uns für ein unverbindliches Angebot.

E-Mail

Schreiben Sie uns eine E-Mail.

Kontakt

Kontaktieren Sie uns.