Seit dem 25. Mai 2018 ist es Pflicht: Die Datenschutzverordnung DSGVO der EU. Was heisst dies nun für die Schweizer Gastronomie? Unterliegen auch wir in der EU-Oase Schweiz den Europäischen Verordnungen? Hierzu eine kurze Übersicht.
1. Wann unterliege ich der DSGVO?
Generell unterliegen dieser Verordnung alle, die in irgendeiner Form personenbezogene Daten benutzen. Die bekannteste Art einer Datensammlung ist der Newsletter, die viele gastronomische Betriebe benutzen, um News oder das Mittagsmenu zu versenden.
Jedoch ist dies nur ein Teil davon. Auch wer eine Facebookseite, einen Twitter- oder Instagram Account betreibt, werden Daten von Personen, die die entsprechende Seite liken, gesammelt. Selbst die Bezahlung mit Kreditkarten sammelt Daten der Kunden.
Man kann also davon ausgehen, dass praktisch JEDES Restaurant der DSGVO unterliegt und entsprechend reagieren muss. Auch in der Schweiz!
2. Gastronomie – Newsletter
Was auf jeden Fall benötigt wird, ist eine ausdrückliche Bewilligung der Personen, die den Newsletter erhalten. Ohne diese ist es schlicht gegen das Gesetz, Werbemails zu verschicken.
Generell muss der Gast beim Anmelden zumindest den Hinweis erhalten, dass er/sie sich mit dem Ausfüllen des Formulars mit den Datenschutzgrundverordnung einverstanden erklärt. Am besten eine Checkbox einfügen, mit welcher man dies mit einem Hacken bestätigt. Auf die Anmeldung sollte dann ein Email ausgelöst werden, mit welchem man die Anmeldung bestätigen muss.
Auch muss auf jedem Newsletter zwingend ein Link hinterlegt sein, mit welchem man sich sofort und einfach von der Liste löschen kann. Dieser Hinweis gehört auch bereits auf das Anmeldeformular.
Aber was nun, wenn man den Newsletter schon seit Jahren verschickt und die Daten erhoben hat, als es noch keine Verordnung gibt? Muss man die Einwilligung der Empfänger nachholen? JA, muss man! Sollte man das noch nicht gemacht haben, wird es höchste Zeit dazu! Ein „Gewohnheitsrecht“ besteht hierbei nicht. Generieren Sie also entweder einen speziellen Newsletter, bei welchem die Gäste erneut den Datenschutzerklärungen zustimmen oder integrieren Sie dies im nächsten Newsletter.
3. Welche Daten soll man verlangen?
Generell gilt: So wenig wie nötig! Je nach Art der Kommunikation reicht schon die schlichte Email-Adresse. Will man den Newsletter personalisieren, die Gäste als mit Namen oder Vornamen ansprechen, benötigt man diese natürlich auch. Wollen Sie Ihren Gästen zum Geburtstag gratulieren und zu einem Apero einladen, braucht man auch dieses.
Nur: Verlangen Sie nicht zuviel! Nehmen Sie sich selber als Beispiel und beobachten Sie, welche Daten Sie selber zu geben bereit sind. Auch kann man Daten auch nach der Anmeldung noch vervollständigen.
Der MfG-Tipp: Name, Vorname und Email ist ausreichend und bestimmt nicht zuviel verlangt.
4. Wer ist verantwortlich?
Eigentlich sollte man meinen, dass die Stelle, die den Newsletter verschickt, verantwortlich ist. Arbeitet man also mit einer Marketingagentur zusammen, die alle Aktivitäten übernimmt, müsste diese doch auch verantwortlich sein. Ist aber NICHT so!
Zur Verantwortung gezogen wird immer der Inhaber des Geschäfts, egal, ob Gastronomie oder nicht. Selbst wenn man einen Datenschutzbeauftragten hat, kann man diesen nicht zur Verantwortung ziehen. Nutzt man regelmässig Online-Marketing, ist eine Prüfung der Datenschutzverordnung auf der Webseite durch einen Fachanwalt bestimmt nicht falsch.
Sollte man sich nicht an die Regeln halten, so können empfindliche Strafen folgen. Diese wurden von der EU mit bis zu 20 Millionen Euro oder bis zu 4% vom Jahresumsatz bestimmt.
5. Rechte der User / Abonnenten
Viele und verschiedene. Die wichtigsten dabei sind:
Recht auf Auskunft (Artikel 15):
Unternehmen müssen jederzeit Information darüber geben, welche Daten von einer Person vorhanden sind und müssen diese aushändigen können.
Recht auf Berichtigung (Artikel 16):
Sollten Daten nicht wahrheitsgetreu gespeichert sein, muss eine Berichtigung erfolgen.
Recht auf Löschung (Artikel 17):
Personendaten müssen gelöscht werden können, sollte dies von einer betroffenen Person gefordert werden. Die Löschung muss auch sichergestellt werden, wenn Personendaten bei Dritten gespeichert sind (Backups, Weitergegebene Daten).
Recht auf Datenportabilität (Artikel 20):
Erfasste Daten müssen in einer Form herausgegeben werden, die eine Weiterverarbeitung in einem anderen System zulässt.
6. Tracking und Cookies
Wichtig ist auch der Hinweis darauf, dass man Cookies oder Software zum Verfolgen von Aktivitäten der Besucher verwendet. Dieser Hinweis packt man am besten direkt in das Anmeldeformular und stellt auch den Link zu den Datenschutzbestimmungen auf der Webseite zur Verfügung.
Die Anbieter solcher Tracking-Software, aber auch Google, Facebook und so weiter haben eigene Bestimmungen, auf welche man in der eigenen Bestimmungen verweisen kann.
Wenn man Cookies verwendet, muss dies klar auf der Seite ersichtlich sein. Dazu findet man diverse Plugins, die meistens kostenlos zur Verfügung gestellt werden. Natürlich kommt es darauf an, mit wem man die Webseite erstellt hat.
7. Abschliessend
Keine Angst! Nach wie vor ist es möglich, seine Gäste auf dem Laufenden zu halten und neue Gäste übers Web zu finden. Die Gesetze sind weder unmöglich einzuhalten noch sonderlich schwer umzusetzen.
HINWEIS: Dieser Blog wurde mit dem Hintergrund verschiedener Quellen erstellt. Über die Richtigkeit und Aktualität wird KEINE Garantie übernommen, sondern er gibt einen knappen Einblick über die wirklich wichtigen Punkte. In der untenstehenden Link-Sammlung wird direkt auf die offiziellen Seiten verwiesen.
Wer sich nicht sicher ist, ob man den Verordnungen entspricht, kann sich gerne von MfG ein erstes Feedback holen.
