„Datenschutzbeauftragter! Geht’s noch!?“, waren bestimmt auch Ihre ersten Gedanken als Sie von diesem Passus in der neuen DSGVO erfuhren, stimmt’s? Deshalb die gute Nachricht zuerst:
Die meisten Friseursalons hierzulande werden KEINEN Datenschutzbeauftragten benennen müssen. Betroffen sind nämlich nur Unternehmen, in denen 20 und mehr Personen ständig automatisiert mit personenbezogenen Daten umgehen. (§ 38 BDSG (neu) Abs. 1)
Das heißt: Erst wenn es in Ihrem Unternehmen mehr als 19 Personen gibt, deren Aufgabe es ist, mittels elektronischer Geräte Zugriff auf die Daten von Menschen (Kunden, Mitarbeiter) zu haben, ist ein Datenschutzbeauftragter zu benennen. Dabei zählt jede Person (Inhaber, Vollzeitkraft, Teilzeitkraft, Azubi, Handlanger usw.) mit Datenzugriff als eine ganze Person.
Personen, die keinerlei Datenzugriff haben (z.B. Ihre Putzkraft), brauchen Sie nicht einzubeziehen. Auch Friseurgesellen/Azubis, die nicht zur Rezeptionstätigkeit befugt sind, brauchen Sie nicht mitzählen.
Wenn bei Ihnen nachweislich nur bis zu 19 Personen Kundendaten erheben, verarbeiten und speichern dürfen, brauchen Sie keinen Datenschutzbeauftragten zu benennen.
Wenn Sie jetzt sagen können: „Puh, Schwein gehabt! Ich brauche keinen Datenschutzbeauftragten benennen.“, dann können Sie diesen Beitrag überspringen. Lesen Sie bitte weiter ab „Die Datenverarbeitung im Friseursalon muss sicher sein!“!
Wenn Sie jedoch aufgrund der Personenanzahl zur Benennung eines Datenschutzbeauftragten verpflichtet sind, dann lesen Sie bitte hier weiter! Schließlich müssen Sie bei der Auswahl eines geeigneten Mitarbeiters einiges bedenken…
Teile diesen Beitrag:
Ein Beitrag von Guido Scheffler,
Friseurunternehmer seit 1996,
Fachautor für Management und Marketing im Friseurhandwerk,
Einzige Option zur Einsparung des Datenschutzbeauftragten
In einem Salon, in dem mehr als 19 Personen regelmäßig mit Kundendaten in Kontakt kommen, gibt es nur eine einzige Möglichkeit, die Bestellung eines Datenschutzbeauftragten zu vermeiden:
Diese Möglichkeit liegt darin, den Datenzugriff im Salon auf „Rezeptionisten“ zu beschränken. Dies muss aber auch tatsächlich und nachweislich geschehen. Kein anderer Mitarbeiter als die zur Rezeptions-Tätigkeit bestimmten hat dann das Recht, am Computer herumzufummeln.
Niemand, der nicht ausdrücklich dazu befugt ist, darf dann schnell mal eben Termine vergeben oder abkassieren, die letzte Farb-Rezeptur nachschauen, Kundendaten korrigieren, Telefonnummern raussuchen oder ähnliches! Das ist Tabu!
An den Computer dürfen dann generell nur noch diejenigen Mitarbeiter, die ausdrücklich zur Rezeptions-Tätigkeit berechtigt und damit beauftragt sind. Idealerweise schützt dann ein Passwort-System vor unberechtigtem Zugriff. Diese Befugnisse müssen zudem nachweislich (eindeutig und schriftlich) festgehalten sein.
Das heißt zum Einen: Es muss im Verzeichnis der Verarbeitungstätigkeiten drin stehen, wer berechtigt und beauftragt ist zur Datenverarbeitung und wer nicht! Dieses Verzeichnis hat übrigens JEDER Salon zu führen, egal ob und wie viele Mitarbeiter Sie beschäftigten! Eine vorausgefüllte Muster-Vorlage finden unsere Mitglieder auf der Seite „DSGVO Download für Friseure: Vorlagen, Muster, Formulare, Beispiele, Dokumente“.
Zum Zweiten bedeutet „nachweislich“, dass die Mitarbeiter dazu regelmäßig belehrt werden müssen. Die Belehrungen müssen ebenfalls schriftlich dokumentiert und durch Unterschrift von den Mitarbeitern bestätigt werden!
Bei einer Prüfung durch die Aufsichtsbehörde oder im Falle einer Datenschutzverletzung müssen Sie diese Dokumentationen sofort vorlegen können. Wenn Sie dann erst beginnen, diese zu erstellen, ist es definitiv zu spät für Sie! Dazu erfahren Sie mehr in unserem Beitrag „Datenschutz beim Friseur: Nicht ohne Dokumentation!“.
Eine andere Möglichkeit, die Pflicht zur Bestellung eines Datenschutzbeauftragten zu umgehen, ohne die Bestimmungen der DSGVO (EU-Datenschutz-Grundverordnung) und des BDSG (Bundesdatenschutzgesetz) zu verletzen, sehe ich derzeit nicht.
Was Sie unbedingt wissen müssen: Der Datenschutzbeauftragte genießt besonderen Kündigungsschutz. Er ist quasi unkündbar. Das regelt das Bundesdatenschutzgesetz. Es sei denn, Sie haben ihn freiwillig und nicht aufgrund der vorgenannten Personenanzahl benannt.
Wenn Sie den Datenschutzbeauftragten kündigen wollen, dann müssen Sie ihn zunächst von seiner Funktion abberufen. Doch selbst nach dieser Abberufung steht er immer noch ein ganzes Jahr unter Kündigungsschutz.
Eine Ausnahme gibt es nur bei der fristlosen Kündigung aus wichtigem Grund. Hierbei muss dann aber zwingend ein zur Kündigung berechtigender Grund vorliegen. Das ist rechtlich gesehen nicht immer ganz einfach umsetzbar.
Deshalb sollten Sie nur einen solchen Mitarbeiter zum Datenschutzbeauftragten benennen, der Ihr höchstes Vertrauen genießt. Zudem sollte es ein Mitarbeiter sein, dessen Umsatzhöhe sich seit Langem für Ihren Salon rentiert. Sie wollen sicher keinen Mitarbeiter, der nicht einmal seinen eigenen Lohn erarbeitet, unkündbar machen, oder?
Im Falle eines finanziellen Engpasses im Unternehmen würden Sie diesen unrentablen Mitarbeiter nicht los werden können. Eventuell wären Sie sogar gezwungen, rentabler arbeitende Mitarbeiter an seiner Stelle zu entlassen.
Andererseits sollte der zu benennende Mitarbeiter nicht bereits so sehr durch seinen eigenen Kundenkreis ausgelastet sein, dass er gar keine Zeit mehr hätte, um als Datenschutzbeauftragter zu fungieren. Die richtige Auswahl gestaltet sich also etwas „tricky“, zumal die Aufgaben des Datenschutzbeauftragten auch nicht ganz ohne sind!
Die Ausbildung zum Datenschutzbeauftragten kostet derzeit (Stand 2021 zwischen 1000 und 3000 Euro. Zusätzlich könnten auch noch diverse Fortbildungsschulungen erforderlich werden.
Leider ist es nicht erlaubt, sich als Saloninhaber selbst zum Datenschutzbeauftragten zu bestellen, weil sich daraus ein Interessenkonflikt ergeben würde. Sie können entweder einen Mitarbeiter benennen oder den Posten des Datenschutzbeauftragten extern vergeben.
Interne Bestellung eines Datenschutzbeauftragten
Der mit dem Datenschutz beauftragte Mitarbeiter muss entsprechend geschult werden. Schließlich soll er Ihnen, als dem verantwortlichen Unternehmer, und Ihren Mitarbeitern beratend zur Seite stehen. Die Verantwortung für den Datenschutz bleibt trotzdem ganz bei Ihnen als Saloninhaber.
Der Datenschutzbeauftragte soll die Datenschutzvorschriften überblicken und überwachen können. Er soll in der Lage sein, im Falle von offenen Fragen oder bei eventuellen Verstößen mit Ihnen und der Aufsichtsbehörde zusammenzuarbeiten.
Er soll von Verstößen betroffene Personen beraten. Und er muss alle Halbjahre eine mindestens zweistündige Schulung all Ihrer Mitarbeiter durchführen.
Damit sollte klar sein, dass Sie nicht einfach irgendwen benennen können, nur um Ihrer Pflicht nachzukommen. Ein Datenschutzbeauftragter muss das Potenzial haben, selbständig zu verstehen, was er zu lernen und zu tun hat.
Der mit dem Datenschutz beauftragte Mitarbeiter ist zwar unkündbar, er selbst darf aber jederzeit kündigen. In solch einem Falle wäre nicht nur der Datenschutzbeauftragte sondern auch die Kohle für seine Ausbildung weg. Ein anderer Mitarbeiter müsste dann wiederum kostenpflichtig ausgebildet werden. Friseursalons stellt dieses Scenario vor eine schier unlösbare Aufgabe.
Externe Bestellung eines Datenschutzbeauftragten
Die Lösung wäre dann die Bestellung eines externen Datenschutzbeauftragten. Dies kann jedoch noch teurer sein als die interne Beauftragung eines eigenen Mitarbeiters. Die Kosten dafür sind sicherlich von seinem Arbeitsaufwand abhängig, der beim Friseur im Regelfall wohl nicht sonderlich hoch sein sollte.
Was ein externer Datenschutzbeauftragter in einem Friseursalon genau kostet, vermag ich noch nicht zu sagen. Ich kenne noch keinen Fall, in dem ein Friseur einen externen Datenschutzbeauftragten bestellt hätte. Bleibt abzuwarten, ob Verbände, Innungen oder die Handwerkskammern reagieren, um ihren Mitgliedern eigene Datenschutzbeauftragte für geringere Kosten zu stellen.
Die DSGVO sieht vor, dass Sie die Benennung des Datenschutzbeauftragten an die zuständige Aufsichtsbehörde melden müssen. Seine Kontaktdaten müssen (zumindest im Internet) veröffentlicht werden. Behörden und Abmahnkanzleien kämen Ihnen also schnell auf die Schliche, sollten Sie trotz vorliegender Verpflichtung keinen Datenschutzbeauftragten benennen.
Wir stellen Ihnen ein beispielhaftes Schriftstück für die Benennung eines Datenschutzbeauftragten in Ihrem Salon zum Download zur Verfügung, damit Sie dies auch wieder ganz einfach für Ihren Salon anpassen können.
Doch mit dem Datenschutzbeauftragten enden die Überraschungen noch nicht, die die neue DSGVO für uns Friseure bereithält. Lesen Sie bitte alle Teile unserer DSGVO-Beitragsreihe, um sich umfassend zu informieren:
Friseur-Unternehmer.de
Ein Beitrag von Guido Scheffler,
