Für den werblichen Kontakt zu Ihren Kunden auf elektronischem Wege (Email, SMS, Messenger usw.) und für die Veröffentlichung von Bildern, die erkennbare Personen darstellen, brauchen Sie immer eine Einwilligungserklärung der betreffenden Personen. Aber auch für die Erhebung von Gesundheitsdaten (Allergien, Haar- und Kopfhaut-Zustand, Schwangerschaft etc.), die sich eigentlich durch eine andere Rechtsgrundlage rechtfertigt, macht eine Einwilligung unter Umständen Sinn.
Für die Wirksamkeit einer Einwilligungserklärung bedarf es zwar nicht mehr zwingend der Schriftform, aber wie wollten Sie das Vorliegen einer Einwilligung im Bedarfsfalle dann nachweisen? Die Schriftform – ob elektronisch oder auf Papier – wird also empfohlen. Viele weitere Dinge für eine rechtsgültige Einwilligungserklärung beim Friseur sind zu beachten:
Einwilligungserklärung ja? Dann aber richtig!
Ein Beitrag von Guido Scheffler,
Friseurunternehmer seit 1996,
Fachautor für Management und Marketing im Friseurhandwerk,
Gesetzliche Vorgaben für die Einwilligungserklärung
Eine Einwilligung muss freiwillig erfolgen. Erfolgt die Abgabe der Einwilligungserklärung unter dem Druck, dass Sie den Kunden sonst nicht bedienen, dann ist die Einwilligung nicht rechtmäßig und damit unwirksam! Desweiteren muss die Einwilligungserklärung bestimmte Inhalte haben:
Sie als Verantwortlicher müssen darin Ihre Identität offenlegen (Name bzw. Firma).
Es muss dargelegt werden, welche Daten erhoben werden (z.B. Adressdaten, Telefonnummer, Behandlungsdaten, Gesundheitsdaten, Email-Adresse usw…).
Der Zweck der Datenverarbeitung muss eindeutig genannt werden (z.B. Werbung, Weitergabe an Dritte und/oder Auftragsverarbeiter).
Sie müssen auf das Widerrufsrecht hinweisen. Dabei muss angegeben werden, an welche Adresse (Anschrift, Email-Adresse) der Widerruf zu richten ist und in welcher Form (z.B. Textform).
Der Text der Einwilligungserklärung muss verständlich und in klarer, einfacher Sprache formuliert sein. Die einwilligende Person muss in der Lage sein, zu verstehen, was genau mit ihren Daten passiert. Die Einwilligungserklärung muss zudem aktiv erfolgen. Vorangekreuzte Felder, welche von der einwilligenden Person einfach nur hingenommen werden, stellen keine „aktive“ Erklärung dar und sind deshalb unzulässig.
Vorteile in der Einwilligungserklärung hervorheben
Oftmals haben Kunden das Gefühl, mit solchen Formularen „überrumpelt“ zu werden, und verweigern die Einwilligung. Besonders wichtig ist deshalb eine kundenfreundliche Formulierung der Einwilligungserklärung und wiederum die Schulung der Mitarbeiter. Die Kunden sollen schließlich verstehen, warum es nötig ist, die Einwilligung zu erteilen.
Heben Sie deshalb immer die Vorteile für den Kunden hervor, die er hat, wenn er Ihnen seine Einwilligung für die verschiedenen Zwecke der Datenverarbeitung erteilt. Ein Beispiel für eine solche Einwilligungserklärung stellen wir Ihnen als Mustervorlage zur Verfügung. Diese Vorlage können unsere Mitglieder einfach downloaden und für ihre eigenen Zwecke anpassen.
Die gesetzlichen Vorschriften geben keine feste zeitliche Gültigkeitsdauer von Einwilligungen vor. Bisher war es in der Praxis so, dass eine Einwilligung bis auf Widerruf gültig war. Wir gehen davon aus, das dies auch in Zukunft so sein wird. Welchen Sinn sollte sonst eine Einwilligung haben? Allerdings führt der Zentralverband des Deutschen Handwerks (ZDH) in seinem Leitfaden „Das neue Datenschutzrecht“ folgendes aus:
„Obwohl die gesetzlichen Vorschriften keine zeitliche Geltungsdauer vorsehen, wird in der Praxis davon ausgegangen, dass erklärte Einwilligungen nicht unbeschränkt gültig sind. Eine Einwilligung kann nur herangezogen werden, solange derjenige, der eingewilligt hat, vernünftiger Weise mit einer Verarbeitung seiner Daten rechnen muss. Dies kann je nach Fall unterschiedlich sein. Wer seine Einwilligung zum Erhalt von Werbung zu den regelmäßigen Sonderaktionen seines Optikers erklärt hat, muss nicht damit rechnen, dass er nach mehreren Jahren erstmals oder erneut Werbung erhält. Anders verhält es sich bei Werbung für Autos, die für gewöhnlich in längeren Zeitabständen erfolgt.“ (Quelle: ZDH Leitfaden „Das neue Datenschutzrecht – Was Betriebe zu beachten haben“ Stand 23.05.2018)
Entsprechende Passagen finden wir im Gesetzestext der DSGVO allerdings nur im Zusammenhang mit der Datenverarbeitung auf Rechtsgrundlage einer Interessenabwägung. Wenn wir also OHNE Einwilligung des Kunden die Daten verwenden, so ist dies nicht unbegrenzt möglich:
„Insbesondere dann, wenn personenbezogene Daten in Situationen verarbeitet werden, in denen eine betroffene Person vernünftigerweise nicht mit einer weiteren Verarbeitung rechnen muss, könnten die Interessen und Grundrechte der betroffenen Person das Interesse des Verantwortlichen überwiegen.“ (Zitat: Erwägungsgrund 47 zur DSGVO)
Hat sich der ZDH in dieser Aussage vielleicht geirrt? Auch wir wissen es nicht genau. Wahrscheinlich bezieht sich der ZDH hier auf die bisherige Rechtsprechung. Schließlich gab es in der Vergangenheit auch Urteile, die in Ausnahmen auch den „Verfall“ einer Einwilligung bescheinigten (z.B. LG München I Urteil vom 8. April 2010, Az. 17 HK O 138/10).
Die Daten von länger ausgebliebenen Kunden müssen gelöscht werden!
Auch wir können leider nicht voraussehen, wo genau eines Tages die rechtlich bestätigte Gültigkeitsdauer der Einwilligung von den Kunden eines Friseursalons liegen wird. Wird die Einwilligung vielleicht nur ein Jahr, oder tatsächlich bis auf Widerruf gelten?
Fakt ist: Wenn ein Kunde nach 1, 2 oder 3 Jahren nicht mehr in Ihren Salon kommt, dann haben Sie ihn doch eh verloren. Vielleicht ist er umgezogen, krank geworden, verstorben oder … ist zufrieden bei Ihrem Konkurrenten. ;) Wie auch immer. Die Chance, eine solchen Kunden durch Werbezusendung zurückzuerobern ist äußerst gering und den Aufwand nicht wert. Das Risiko, damit die Datenschutzrechte des Kunden zu verletzen ist dagegen relativ hoch.
Vernünftige Friseure entscheiden sich dazu, über Jahre ausgebliebene Kunden selbständig aus der Verteilerliste ihres Salon-Marketings zu löschen. Dann sind Verstöße gar nicht erst möglich. Zu diesem Zwecke wäre es praktisch, wenn Ihre Salon-Software eine automatisierte Funktion für dieses „Recht auf Vergessenwerden“ Ihrer Kunden bieten würde.
Beim Löschen der Kunden dürfen nur jene Datenkategorien gelöscht werden, die nicht für die Buchhaltung weiterhin speicherpflichtig sind! Die für die Buchhaltung relevanten Daten müssen hingegen für 10 Jahre verfügbar bleiben. Der Zugriff auf die „vergessenen“ Kunden über die Kundenverwaltung darf nicht mehr möglich sein. Die Kundendaten dürfen auch nicht mehr für Marketingaktionen (egal ob elektronisch oder physisch) verwendet werden können – auch nicht „aus Versehen“! Bei einer Softwarelösung dürfen die Daten also nur noch im „unsichtbaren Hintergrund“ gespeichert bleiben. Der Zugang zu den Daten darf nur noch für die buchhalterische Datenverarbeitung möglich sein.
Einwilligungserklärung von Minderjährigen beim Erziehungsberechtigten einholen!
Wenn es um die Einwilligung zur Direktwerbung oder zur Erfassung von Gesundheitsdaten bei Kindern geht, sind die neuen Vorschriften sogar umso strenger. Hier muss ein Erziehungsberechtigter dazu vorher seine ausdrückliche Einwilligung erteilt haben.
Diese Einwilligung müssen Sie wiederum nachweisen können. Dazu benötigen Sie also die Unterschrift einer entsprechenden Einwilligungserklärung durch den Erziehungsberechtigten.
Laut EU-DSGVO dürfen die Jugendlichen erst ab 16 Jahren selbst eine Einwilligungserklärung abgeben. Geschäftsfähig sind sie in Deutschland jedoch erst ab dem 18. Lebensjahr. Das ist rechtlich ein bislang ungeklärter Widerspruch. Wer sicher gehen will, holt also selbst von einem 17jähigen Kunden noch die schriftliche Einwilligung der Eltern ein.
Bei Verstößen drohen Schadensersatz-Forderungen!
Für den Fall, dass bei Mitarbeitern oder Kunden ein materieller oder ein immaterieller Schaden durch eine Datenschutzverletzung entsteht, drohen uns Friseuren horrende Schadenersatzforderungen.
Ein materieller Schaden ist ein in Geld bezifferbarer Schaden. Bei Datenschutzverletzungen entsteht ein materieller Schaden aber eher selten. Ein immaterieller Schaden hingegen entsteht sehr häufig durch Verletzung des Datenschutzes. Das ist ein Schaden, der sich nicht direkt in Geldeswert aufwiegen lässt (z.B. durch Rufschädigung).
Der Geldwert eines solchen immateriellen Schadens würde sich in der Höhe der Schadenersatzsumme niederschlagen, die Sie als Saloninhaber zum Beispiel in Form von „Schmerzensgeld“ an den Geschädigten zu zahlen hätten. Achtung! Erfahrungsgemäß geht es dabei meist um mehrere Tausend Euro!
Durch Datenschutzverletzung kann schnell ein Schaden entstehen.
In der Praxis kann ein solcher immaterieller Schaden recht schnell entstehen. Hier einige Beispiele:
Das Foto einer Mitarbeiterin wurde auf der Salon-Homepage veröffentlicht, obwohl diese ihr Einverständnis hierfür noch nicht erteilt hatte. Der Saloninhaber haftet für den immateriellen Schaden, welcher der Mitarbeiterin entstanden ist.
Eine Kundin hat in Ihrer Gegenwart die mündliche Einwilligung zur Veröffentlichung eines Frisuren-Fotos auf Facebook erteilt, kann (oder will) sich aber später daran nicht mehr erinnern. Aufgrund des fehlenden Nachweises können Sie nun von der Kundin kräftig „über den Tisch gezogen“ werden. Der Saloninhaber haftet für den immateriellen Schaden, welcher der Kundin entstanden ist.
Die private Telefonnummer eines Kunden wird an einen anderen Kunden weitergegeben, ohne dass dessen vorherige Einwilligung vorlag. Der Saloninhaber haftet für den immateriellen Schaden, der dem Kunden entstanden ist.
Eine Mitarbeiterin verlässt das Unternehmen und schreibt sich vorher noch die Daten ihrer 50 besten Kunden aus der Kartei ab, um diese dann im neuen Salon gleich zur Verfügung zu haben. Die Einwilligung der 50 Kunden zur Datenübertragung lag nicht vor. Die Mitarbeiterin musste auch nie eine entsprechende Belehrung unterschreiben, dass ein solches Verhalten gegen den Datenschutz verstoßen würde. Der Saloninhaber haftet für den immateriellen Schaden, der den 50 Kunden entstanden ist.
und so weiter…
In all diesen Beispielen würde das grundrechtlich geschützte Persönlichkeitsrecht der betroffenen Personen verletzt werden. Sie als Unternehmer stehen in der Pflicht, derartige Schäden zu vermeiden, oder eben (im Schadensfall) dafür gerade zu stehen.
Wirklich neu ist das Ganze nicht. Auch bisher waren die Unternehmen für immaterielle Schäden durch Datenschutzverletzungen verantwortlich und mussten dafür aufkommen. Diese Rechtsverletzung brachte dem klagenden Mitarbeiter oder Kunden aber lediglich ein paar hundert Euro an Schadensersatz. Ein Lacher gegenüber dem, was wir Unternehmer von nun an zu erwarten haben, wenn Mitarbeiter oder Kunden wegen eines Datenschutzverstoßes gegen uns vorgehen.
Vorsicht! Abmahn-Anwälte könnten die DSGVO nutzen.
Dabei muss die Klage nicht einmal von einem tatsächlich geschädigten Mitarbeiter oder Kunden ausgehen. Die Aussicht auf einen hohen Streitwert könnte sogenannte „Abmahn-Kanzleien“ oder auch Verbraucherschutzverbände auf den Plan rufen. Die werden das bestehende Unwissen über die DSGVO ausnutzen, um sich damit eine neue Verdienstquelle bei uns Friseuren zu erschließen.
Solche „Profi-Abmahner“ könnten selbständig Datenschutzverstöße in den Friseurunternehmen aufspüren und diese entsprechend abmahnen. Das Schnüffeln nach derartigen Verstößen gestaltet sich dabei leider recht einfach: Beispielsweise durch Testkunden, oder eben durch den simplen Blick auf Ihre Website, die hoffentlich eine DSGVO-konforme Datenschutzerklärung und ein gültiges Impressum enthält?
Neben den Abmahnkosten müssten Sie dann zusätzlich mit hohen Anwalts- und Prozesskosten rechnen. Natürlich können Sie sich dagegen wehren, indem Sie der Abmahnung widersprechen und es bis vors Gericht kommen lassen.
Spätestens vor dem Richter müssen Sie jedoch nachweisen können, dass Sie sich eingehend mit dem Datenschutz im eigenen Unternehmen auseinandergesetzt haben, dass Sie Regeln für die Beurteilung und Umsetzung eines umfassenden Datenschutzes in Ihrem Salon erstellt und in der Praxis umgesetzt haben.
Dies müssen Sie unbedingt schriftlich dokumentieren! Das geschieht mittels eines sogenannten „Verzeichnisses der Datenverarbeitungstätigkeiten“. Damit Sie es leichter haben, ein solches Verzeichnis für Ihren Salon zu erstellen, halten wir auch hierfür wieder ein Beispiel als veränderbare Datei für Sie zum Download bereit.
Friseur-Unternehmer.de
Ein Beitrag von Guido Scheffler,
