Müssen Kunden im Friseursalon nun eine Einwilligung zur Datenverarbeitung abgeben oder nicht? Müssen wir Friseure unsere Kunden zur Unterschrift einer Einwilligungserklärung gemäß Datenschutz-Grundverordnung (DSGVO) bringen? An dieser Frage scheiden sich derzeit die Geister. In teilweise hitzig geführten Diskussionen streiten Saloninhaber in den einschlägigen Facebook-Gruppen um ein „Ja“ oder „Nein“.
Viele meinen, dass sie die neue DSGVO in ihren Salons nur dann rechtssicher umsetzen könnten, wenn sie von all ihren Kunden schriftliche Einwilligungen zur Datenverarbeitung einholen würden. Mittlerweile hat sich aber die Erkenntnis gefestigt, dass es wohl an bestimmten Bedingungen hängt, ob der Friseur seine Kunden um eine Einwilligung anbetteln muss, oder ob er es bleiben lassen kann. Das ist auch richtig, aber niemand scheint genau zu wissen warum.
Mit diesem Beitrag werden wir Licht ins Dunkel bringen. Wir haben für Sie die DSGVO in „leicht verdauliche“ Stücke zerlegt und entsprechend der Erfordernisse von Friseursalons einmal grundlegend beleuchtet. Beginnen wir mit der wichtigsten Frage zum richtigen Verständnis des Gesetzes:
Einwilligung zur Datenverarbeitung beim Friseur meist überflüssig, manchmal gefährlich!
Ein Beitrag von Guido Scheffler,
Friseurunternehmer seit 1996,
Fachautor für Management und Marketing im Friseurhandwerk,
Die DSGVO gilt grundsätzlich nur für Unternehmen, die mit „personenbezogenen Daten natürlicher Personen“ umgehen. Aber was sind denn überhaupt solche „personenbezogene Daten“? Haben wir so etwas überhaupt im Friseursalon?
Ja, haben wir. Das sind nämlich ganz einfach die Angaben unserer Kunden und Mitarbeiter, mit denen wir Friseure seit jeher ganz selbstverständlich arbeiten. Wir brauchen diese Daten, um unseren „Job“ gut machen zu können.
Bei unseren Kunden sind das Daten wie Name, Geburtsdatum, Adresse, Telefonnummer, sowie Termine und Behandlungsnotizen. Bei unseren Mitarbeitern kommen noch weitere hinzu: Sozialversicherungsnummer, Religionszugehörigkeit (wegen evtl. Kirchensteuer), Familienstand, Lohnsteuerklasse usw…
Ob diese Daten nun handschriftlich in einer Kartei aufgezeichnet oder elektronisch verarbeitet werden, ist dabei nicht von Bedeutung. Auch Fotoaufnahmen oder Videos, auf denen unsere Kunden oder Mitarbeiter erkannt werden können, gehören zu diesen schutzwürdigen Daten.
Selbst die IP-Adressen der Besucher unserer Salon-Homepage zählen zu den personenbezogenen Daten. Über die IP-Adresse kann eine Person im Internet nämlich eindeutig identifiziert werden. Ob uns selbst diese Person bekannt ist oder nicht, ist unerheblich.
Wir Friseure arbeiten also alle mit personenbezogenen Daten und unterliegen deshalb ausnahmslos diesem neuen Gesetz. Das gilt für die Friseurkette mit tausenden Mitarbeitern genauso wie für den kleinsten Einzelsalon oder den Mobilfriseur.
Wann ist der Umgang mit personenbezogenen Daten im Friseursalon überhaupt erlaubt?
Im Datenschutzrecht haben wir es mit dem sogenannten Prinzip des „Verbots mit Erlaubnisvorbehalt“ zu tun. Das heißt: Grundsätzlich darf KEIN Unternehmen mit personenbezogenen Daten umgehen, wenn es nicht dazu berechtigt ist!
Diese Berechtigung muss sich entweder auf die ausdrückliche Einwilligung der betroffenen Personen stützen oder sich automatisch aufgrund einer anderen Rechtsgrundlage ergeben. Im Friseursalon kommen für die Berechtigung zur Datenverarbeitung hauptsächlich folgende Rechtgrundlagen in Betracht:
Entweder die Daten sind zur Vertragserfüllung gegenüber den betreffenden Personen unbedingt nötig, oder
die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, oder
es liegt ein „berechtigtes Interesse“ des Salons vor, welches die Datenschutzinteressen der betreffenden Personen überwiegt, oder
die betreffende Person hat eine ausdrückliche Einwilligungserklärung zur Verarbeitung ihrer Daten zu bestimmten Zwecken abgegeben.
Rechtsgrundlagen zur Datenverarbeitung ohne Einwilligung:
Wir Friseure benötigen die Daten unserer Kunden, um ihnen die bestmöglichen Vertragserfüllung bieten zu können und um unserer steuerlichen Aufzeichnungspflicht nachzukommen. In solchen Fällen besteht eine Berechtigung zur Datenverarbeitung auch OHNE Einwilligung!
Mit „Vertragserfüllung“ ist die Erstellung der Frisur und der begleitende Service an einem zu vereinbarenden Termin gemeint. Sie kommt als Rechtsgrundlage infrage für z.B. die Verarbeitung des Kundennamens, seiner Telefonnummer, seiner Behandlungsnotizen (Farbrezepturen, Hinweise zum Schnitt usw…), seiner persönlichen Vorlieben während seines Besuches (Lieblingszeitschriften, Getränkevorlieben usw…). Diese Kunden-Daten dürfen wir laut DSGVO OHNE Einwilligung verarbeiten.
Auch die Daten unserer Mitarbeiter dürfen wir Friseure zumeist OHNE ausdrückliche Einwilligung verarbeiten. Schließlich benötigen wir diese Daten zur Vertragserfüllung gegenüber unseren Mitarbeitern. Neben Namen und Adressen der Mitarbeiter betrifft dies auch z.B. die Sozialversicherungsnummer, die Religionszugehörigkeit, den Familienstand, die Lohnsteuerklasse, die Kontoverbindung, Gesundheitsdaten und vieles mehr.
Merke:
Kunden- und Mitarbeiterdaten, die wir zur Vertragserfüllung benötigen, dürfen wir laut DSGVO OHNE Einwilligung verarbeiten.
Das bedeutet, für jede einzelne Einnahme ist zu erfassen:
Was ist verkauft worden? (Bezeichnung der Dienstleistung oder des verkauften Produktes)
Zu welchem Preis ist verkauft worden? (Einzelpreis mit jeweiligem Umsatzsteuersatz und Umsatzsteuerbetrag, eventuelle Rabatte und deren Gründe)
Wieviel ist verkauft worden? (jeweilige Menge der Einzelpositionen)
Wie ist verkauft worden? (Zahlungsart bar oder unbar)
Wann ist verkauft worden? (Datum und genaue Uhrzeit)
An wen ist verkauft worden? (Name und Adresse des Kunden – ersatzweise Name und Telefonnummer – mindestens aber der Name)
Das verlangt das Finanzamt! Wer glaubt, für uns Friseure gäbe es eine Ausnahme von der Einzelaufzeichnungspflicht, der irrt sich! (Siehe Urteil des Finanzgerichtes Köln, vom 09.05.2017 – 5 K 727/15 Randziffer 61 bis 64) Die Ausnahmeregelung für den Verkauf von „Waren von geringem Wert an viele verschiedene nicht bekannte und nicht feststellbare Personen“ trifft auf uns Friseure nicht zu. So begründen das die Betriebsprüfer des Finanzamtes:
Friseure verkaufen größtenteils Dienstleistungen und keine „Waren“ wie in der Ausnahmeregelung ausdrücklich benannt.
Die Hauptklientel der meisten Salons besteht aus Stammkunden, deren Identität sehr wohl „bekannt“ oder zumindest „feststellbar“ ist.
Das heißt also:
Wir Friseure sind aufgrund steuerlicher Gesetzgebung dazu verpflichtet, die Identität jedes einzelnen Kunden zu erfassen. Somit brauchen wir für die Verarbeitung des Namens, der Adresse und der Telefonnummer unserer Kunden keine Einwilligungserklärung.
Die wohl schwammigste Formulierung innerhalb der neuen DSGVO ist der Art. 6 DSGVO Absatz 1 f. Die Verarbeitung ist demnach auch ohne Einwilligung rechtmäßig, im Falle dass „die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen…“.
Hä? Da schweben erstmal große Fragezeichen über unseren Figaro-Köpfen. Natürlich haben wir als Friseure ein „berechtigtes Interesse“ an den Daten unserer Kunden. Schließlich wollen wir unsere Kunden gern mit Direktwerbung an unseren Salon binden (z.B. mit Geburtstagskarten, Gutscheinaktionen, Sonderangeboten usw.).
Aber überwiegen diese Interessen unseres Salons das Schutzinteresse der Grundrechte des Kunden? Wie soll das im Einzelfall gemessen werden? Nach welchen Kriterien für ein „Überwiegen“ der Rechte des Kunden gegenüber den Interessen des Salons sollen wir das im Einzelfall entscheiden?
Dazu sagt die DSGVO selbst leider nichts. Aber in den „Erwägungsgründen“, die zur richtigen Deutung des Gesetzes mitgeliefert wurden, findet sich der folgende, sehr interessante Satz:
„Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden.“ (Erwägungsgrund 47 zur DSGVO)
Wohlgemerkt „KANN“ nicht „MUSS“. Trotzdem stützt sich der Zentralverband des Deutschen Handwerks (ZDH) offenbar auf diesen Erwägungsgrund und meint:
„Die Datennutzung zur Direktwerbung ist zulässig. Allerdings dürfen Betroffene der Werbung jederzeit widersprechen (Art. 21 Absatz 2 DSGVO). Für Werbung per E-Mail ist weiterhin eine Einwilligung erforderlich.“ (Zitat aus ZDH Leitfaden „Das neue Datenschutzrecht“)
Auch das Bayerische Landesamt für Datenschutzaufsicht ist dieser Meinung und führt in seiner Broschüre zur neuen DSGVO sogar ein passendes Beispiel an:
„Der Verkäufer eines Autos darf deshalb die Daten des Käufers nur für den Zweck des Autoverkaufs verwenden und die sich daran anschließenden Maßnahmen der Kundenbindung (Werbung), die sich auf den Autokauf bzw. die Nutzung des gekauften Fahrzeugs beziehen (z.B. Angebote für Winterreifen, TÜV-Aktion, Rabatt auf Klimaanlagenservice).“ (Zitat aus „Erste Hilfe zur Datenschutzgrundverordnung“ ISBN 978-3-406-71662-1)
Für unseren Umgang mit den Daten im Salonalltag dürften diese Aussagen folgendes bedeuten:
Wir Friseure dürfen die aus einem anderen Rechtsgrund ohne Einwilligung erfassten Daten unserer Kunden auch zu Zwecken der Direktwerbung bezüglich unserer Friseur-Dienstleistung verwenden. Eine Einwilligung des Kunden ist dafür nicht zwingend erforderlich. Nur für andere Zwecke verwenden, unangemessen lang aufbewahren, einfach so an Dritte weitergeben, oder für elektronische Direktwerbung verwenden dürfen wir diese Daten ohne Einwilligung nicht.
Auch die Datenweitergabe an Dritte ist meist ohne Einwilligung möglich.
„Wer gibt die Daten seiner Mitarbeiter und Kunden schon an Dritte weiter?“ denken Sie vielleicht jetzt. Aber ich bin mir ziemlich sicher, dass auch Sie das tun! Bestimmt haben auch Sie externe Dienstleister, die für Sie mit personenbezogenen Daten aus Ihrem Salon arbeiten. Hier einige Beispiele:
Erledigt vielleicht ein externer EDV-Dienstleister Ihre laufende Finanz- oder Lohnbuchhaltung?
Nutzen Sie eventuell ein Cloud-basiertes Kassensystem im Salon?
Analysieren Sie den Erfolg Ihrer Salon-Homepage mit GoogleAnalytics?
Haben Sie vielleicht einen Email-Dienstleister, über den Sie Newsletter an Ihre Salonkunden versenden?
Nehmen Sie die Dienste eines Computer-Fachmanns in Anspruch, der für Sie die geschäftlichen Computer repariert oder wartet und dabei auf die Salondaten zugreifen könnte?
usw…
Derartige Unternehmen, die in Ihrem Auftrag mit personenbezogenen Daten arbeiten, werden „Auftragsverarbeiter“ oder „Auftragsdatenverarbeiter“ genannt. Sicher gibt es auch bei Ihnen eine solche Kooperationen mit Dienstleistern, die personenbezogene Daten von Ihnen erhalten, um für Sie bestimmte Aufgaben zu erledigen.
Wichtiger Hinweis: Berufsgeheimnisträger wie Steuerberater, Rechtsanwälte, externe Betriebsärzte, Sicherheitsbeauftragte oder Banken gelten nicht als Auftragsverarbeiter. Sie sind eigenständig für Ihren Datenschutz verantwortlich, auch dann, wenn Sie in Ihrem Auftrag handeln. Mit derartigen Unternehmen brauchen Sie keinen Vertrag zur Auftragsverarbeitung schließen. Mit allen anderen externen Datenverarbeitern Ihres Friseursalons müssen Sie unbedingt einen „Vertrag zur Auftragsverarbeitung“ abschließen!
(Informationsquelle: „Kurzpapier Nr. 13“ Anhang B der Datenschutzkonferenz DSK)
Durch den Vertragsschluss sind Sie aber keineswegs aus der Verantwortung entlassen. Im Gegenteil: Sie verpflichten sich dazu, die Verantwortung für den Datenschutz selbst in der Hand zu behalten, indem Sie sich Kontrollrechte sichern. Die Datenschutzkonferenz sagt dazu:
„Nach Art. 29 DSGVO ist der aufgrund eines Auftrages tätige Dienstleister weisungsgebunden. Er führt daher die Verarbeitung für den Auftraggeber nicht als Dritter i. S. d. Art. 4 Nr. 10 DSGVO durch. Es besteht vielmehr zwischen dem den Auftrag erteilenden Verantwortlichen und seinem Auftragsverarbeiter ein „Innenverhältnis“. Die Verarbeitung durch den Auftragsverarbeiter wird deshalb grundsätzlich dem Verantwortlichen zugerechnet“ (Zitat aus „Kurzpapier Nr. 13“ der Datenschutzkonferenz DSK)
Dieser „Verantwortliche“ sind Sie als Saloninhaber. Das heißt: Sie haften mit für die Fehler, die Ihr externer Dienstleister macht. Deshalb sollten Sie dessen Arbeit grundsätzlich hinterfragen. Die Datenschützer vom BayLDA sagen dazu:
„Wer einen Auftragsverarbeiter einschalten möchte, muss vorher prüfen, ob dieser hinreichende Garantien dafür bietet, dass die Verarbeitung im Einklang mit den datenschutzrechtlichen Vorschriften erfolgt. Alleine der günstige Preis darf nicht das entscheidende Kriterium sein. Wer einen Auftragsverarbeiter einschaltet, muss sich bewusst sein, dass er auch für dessen Fehlverhalten haftet.“ (Zitat aus „Erste Hilfe zur Datenschutzgrundverordnung“ ISBN 978-3-406-71662-1)
Vertrag zur Auftragsdatenverarbeitung erspart die Einwilligung zur Datenweitergabe.
Wenn Sie nun die Auftragsverarbeiter Ihres Vertrauens gefunden und mit jedem einen Vertrag zur Auftrags(daten)verarbeitung (AV- oder ADV-Vertrag) geschlossen haben, dann brauchen Sie für die Datenweitergabe an diese Unternehmen keine Einwilligung Ihrer Kunden oder Mitarbeiter einholen. Die Datenschützer aus Bayern bestätigen das:
„Bei einer ‚richtigen Auftragsdatenverarbeitung‘ besteht für das Unternehmen eine gewisse Privilegierung, weil es die personenbezogenen Daten seiner Kunden oder Mitarbeiter weitergeben darf, ohne dass dafür eine ausdrückliche Einwilligung oder sonstige gesetzliche Grundlage vorliegen muss.“ (Zitat aus „Erste Hilfe zur Datenschutzgrundverordnung“ ISBN 978-3-406-71662-1)
In der Regel haben die Anbieter eigene AV-Verträge vorbereitet, die sie Ihnen auf Anfrage zukommen lassen. Treten Sie diesbezüglich einfach in Kontakt mit Ihren Auftragsverarbeitern!
Wenn Sie mit allen externen Dienstleistern (außer Geheimnisträgern), die in Ihrem Auftrag Daten verarbeiten, einen Vertrag zur Auftragsverarbeitung geschlossen haben, brauchen Sie für die Datenweitergabe keine Einwilligung der betroffenen Personen (Kunden, Mitarbeiter).
Ein Rest-Risiko bleibt bestehen – selbst mit Einwilligung.
Sie sehen: Es ist eine ganze Menge auf legalem Wege möglich, ohne eine Einwilligung einholen zu müssen. Aber Sie müssen ab sofort vorsichtiger sein: Sollte Ihnen im Einzelfall nachgewiesen werden können, dass Sie oder Ihre Mitarbeiter Daten erfasst, verarbeitet oder gespeichert haben, für die keine Rechtsgrundlage und keine Einwilligung vorlag, dann kann es teuer werden!
Beispielsweise dürfen in der Kundenkartei keine Gesprächsnotizen über persönliche Informationen des Kunden gemacht werden ohne dessen ausdrückliche Einwilligung. Die Informationen, dass sich Frau Müller von Ihrem Mann trennen will, dass Herr Schmidt einen nagelneuen Mercedes fährt und Frau Lüdenscheid Ihre Sonntagsbrötchen bei Aldi kauft, haben keinerlei Rechtgrundlage. Solche Daten dürfen Sie niemals erfassen ohne Einwilligung – auch nicht aus Versehen!
Um auf „Nummer Sicher“ zu gehen, empfehlen manche Juristen, von jedem Kunden eine Einwilligungserklärung einzuholen. Doch wer lässt sich schon eine Einwilligung für „persönliche Lebensinformationen“ von seinen Kunden geben? Also haben solche Dinge einfach nichts in der Kartei zu suchen – Egal ob mit oder ohne Einwilligung! Darüber müssen Sie Ihre Mitarbeiter belehren!
Die Einwilligung schützt Sie nicht davor, Fehler zu machen! Dennoch ist das Einholen der Einwilligung von jedem Kunden zweifelsohne der bessere Weg, der sogar zusätzliche Vorteile bietet. So kann im Zuge der Einwilligung zur Aufnahme der Kundendaten auch gleich die Einwilligung zur Speicherung und Veröffentlichung von Frisuren-Fotos von den Kunden mit eingeholt werden. Dafür ist nämlich IMMER eine Einwilligung erforderlich:
Wenn Sie Fotos oder Videos Ihrer Mitarbeiter oder Kunden auf Ihrer Salon-Webseite, auf Facebook, Instagram oder sonst wo im Internet veröffentlichen wollen, benötigen Sie immer die ausdrückliche Einwilligung von den dargestellten Personen. Dies betrifft Aufnahmen, auf denen die Personen potenziell erkennbar – also identifizierbar – sind.
Beachten Sie dabei unbedingt, dass Erkennbarkeit sich nicht auf das Gesicht beschränkt. Menschen sind meist auch durch andere Körpermerkmale als nur das Gesicht eindeutig erkennbar. Körperform, Kopfform, Ohrenform, Hautmerkmale wie Leberflecken, Muttermale, Tattoos und viele weitere Merkmale sowie die Kombination solcher Merkmale machen Menschen für andere Menschen erkennbar. Sogar getragene Kleidungs- oder Schmuckstücke ermöglichen im Zusammenspiel mit anderen Merkmalen die eindeutige Identifikation. Im eigenen Salon holen wir uns deshalb IMMER eine schriftliche Einwilligung ein bevor wir Aufnahmen machen, selbst wenn die Kundin nur von hinten aufgenommen wird.
Was ist mit älteren Aufnahmen? Zur Sicherheit sollten Sie alle bereits vorhandenen Fotos und Videos, auf denen Mitarbeiter oder Kunden als Person erkennbar sind, von all Ihren Internetauftritten oder Drucksachen entfernen, wenn Sie für die Veröffentlichung keine Einwilligung eingeholt hatten! Oftmals kommt es nämlich zum Streit um die Rechtmäßigkeit, wenn Mitarbeiter oder Kunden den Salon im Unfrieden verlassen. Diese gelten im Sinne der neuen DSGVO als „Betroffene“ und können Ihnen richtig „einen Strick daraus drehen“, wenn Sie keine Einwilligungen für die Veröffentlichungen eingeholt haben!
Elektronische Direktwerbung per Email, SMS, Messenger
Dasselbe trifft zu, wenn Sie Ihren Kunden Angebote, Gutscheine, Einladungen oder Geburtstagsgrüße auf elektronischem Wege zukommen lassen wollen. Solche Art der elektronischen Nachrichten fallen NICHT unter eine der in Art. 6 DSGVO Abs 1 lit a) bis f) genannten Rechtsgrundlagen. Sie gelten aus rechtlicher Sicht in den meisten Fällen als Direktwerbung. Für den werblichen Versand von Emails, SMS oder Messenger-Nachrichten brauchen Sie aber immer eine schriftliche Einwilligung!
Können Sie im Falle einer Abmahnung, oder einer behördlichen Beschwerdeprüfung nicht nachweisen, dass Ihnen eine Einwilligungserklärung der betroffenen Person vorliegt, dann haben Sie ein echtes Problem! Sie sollten diese Einwilligungen zum elektronischen Werbekontakt also unbedingt schriftlich von ihren Kunden einholen.
Verarbeitung umfassender Gesundheitsdaten Ihrer Kunden
Wir Friseure müssen zuweilen gewisse Gesundheitsdaten unserer Kunden aufzeichnen. Und das nicht nur, um bestmögliche Vertragserfüllung zu gewährleisten, sondern auch, um unsere Kunden vor eventuellen gesundheitlichen Schäden zu bewahren.
Nach Artikel 6 Abs. 1 d DSGVO sollte die Verarbeitung von Gesundheitsdaten unserer Kunden eigentlich ohne Einwilligung möglich sein. Schließlich benötigen wir diese Angaben, „um lebenswichtige Interessen der betroffenen Person zu schützen“ – nämlich ihre Gesundheit.
Allerdings sind diese Daten als „sensible Daten“ einzustufen und somit besonders schutzwürdig (Art. 9 DSGVO Abs 1 und § 22 BDSG (neu)). Deshalb dürfen eigentlich nur Personen, die von berufswegen einer Geheimhaltung unterliegen (z.B. ärztliches Personal), Gesundheitsdaten ohne Einwilligung erfassen.
Allerdings ist hier wohl der Umfang der in einem Friseursalon erfassten Gesundheitsdaten entscheidend. In der Regel ist er derart gering, dass man beinahe gar nicht von „Gesundheitsdaten“ sprechen kann. Wir registrieren (wenn überhaupt) ja lediglich die Bezeichnungen eventueller Gesundheitsrisiken unserer Kunden. Aber auch dies könnte wieder eine Frage des Ermessens werden, die erst im Zuge zukünftiger Rechtsprechung endgültig geklärt wird.
Besondere Vorsicht ist geboten, wenn wir Dinge notieren, die im Gespräch mit dem Friseur zwar genannt werden, aber für die Vertragserfüllung oder den gesundheitlichen Schutz keine Relevanz haben. Sie dürfen schließlich nicht alles Mögliche als Daten erfassen, nur weil der Kunde auf dem Stuhl es Ihnen freiwillig erzählt hat! Die Daten müssen vielmehr IMMER dem in Ihrer Datenschutz-Information genannten Zweck dienen. Hier sollten Sie also die Gesundheitsdaten und deren Umfang unbedingt erwähnen.
Wenn Sie rechtlich 100%-ig sicher gehen wollen, dann lassen Sie sich vor der Erfassung von Gesundheitsdaten Ihrer Kunden eine Einwilligungserklärung zu diesem Zweck unterschreiben. Legen Sie Ihren Kunden dann eine entsprechende Einwilligungserklärung zur Unterschrift vor, bevor Sie oder Ihre Mitarbeiter den Haar- und Kopfhaut-Zustand, Allergien, das Bestehen einer Schwangerschaft usw. als Behandlungsnotiz eintragen!
Übrigens: Wenn eine Person aus körperlichen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu geben (z.B. bei demenzkranken oder sehr alten Kunden, die mit ihrem Betreuer in Ihren Salon kommen, oder die Sie als Friseur im Altersheim besuchen), darf auf die Einwilligung zur Verarbeitung von Gesundheitsdaten verzichtet werden (Art. 9 DSGVO Abs 2 c).
Eine Einwilligung Ihrer Kunden und Mitarbeiter in die Datenverarbeitung kann Ihnen also Sicherheitsvorteile bieten. Aber lassen Sie sich nicht gleich eine Einwilligung für „Alles“ geben! Warum nicht? Das erkläre ich Ihnen jetzt:
Nehmen wir mal an: Sie wollen eine umfassende Einwilligung von Ihren Kunden einholen. Dabei wollen Sie total auf „Nummer sicher“ gehen. Deshalb beinhaltet Ihr Einwilligungs-Formular sicherheitshalber auch alle Verarbeitungszwecke, für die Sie aufgrund der oben genannten Rechtsgrundlagen ohnehin zur Datenverarbeitung berechtigt sind.
Beispielsweise holen Sie sich die Einwilligung Ihrer Kunden zur Verwendung des Namens und der Adresse „zum Zwecke der ordnungsgemäßen Buchführung“ ein. Nun verweigert Ihnen ein Kunden aber seine Unterschrift. Und das ändert alles!
Im Falle der Verweigerung der Einwilligung oder eines Widerrufes können Sie sich nachträglich nicht mehr darauf berufen, dass Sie aufgrund der bestehenden Rechtsgrundlagen so wie so zur Verarbeitung dieser Daten berechtigt sind.
Der Kunde hat Ihnen seine Einwilligung nicht erteilt bzw. Ihnen seine Einwilligung entzogen, weil er meinte, die Datenverarbeitung damit verhindern zu können. Diesen Anschein haben Sie ja schließlich in der Einwilligungserklärung erweckt, als Sie ihn über die Freiwilligkeit seiner Einwilligung und über sein Widerrufsrecht belehrt haben.
Es ist rechtlich sehr problematisch, den Kunden erst um seine Einwilligung zu bitten, wenn Sie bereits zu diesem Zeitpunkt beabsichtigen, trotzdem gegen den Willen des Kunden zu handeln, falls dieser Ihnen seine Einwilligung nicht erteilt oder entzieht. Dieser falsche Anschein verstößt gegen den Grundsatz von „Treu und Glauben“ und natürlich auch gegen das Gebot der Transparenz, das in der DSGVO einen hohen Stellenwert hat.
Sie dürfen also nun keinerlei Daten des betreffenden Kunden mehr zu den in der Einwilligung genannten Zwecken verarbeiten! Damit stecken in einer rechtlichen Zwickmühle, weil Sie eigentlich von Gesetzeswegen dazu verpflichtet sind, bestimmte Daten Ihrer Kunden zu erfassen (z.B. zum Zweck der ordnungsgemäßen Buchführung). Weil es so also nicht geht, raten wir folgendes:
Lassen Sie sich nur für solche Verarbeitungszwecke eine Einwilligung erteilen, für die nicht ohnehin eine Rechtsgrundlage besteht! Wenn überhaupt eine Einwilligung nötig ist, dann bitte nur für die Verarbeitung von Fotos oder Videos, die Direktwerbung per Email oder SMS, sowie für die Verarbeitung von Gesundheitsdaten Ihrer Kunden.
Informationspflicht mit der Einwilligung nachweislich erfüllen
Auch wenn Sie eine Einwilligung einholen, müssen Sie immer Ihrer Informationspflicht nachkommen. Das schöne daran: Wenn Sie Ihre Kunden ohnehin eine Einwilligung unterschreiben lassen, dann können die doch im gleichen Zuge auch gleich bestätigen, dass Sie sie über die Datenverarbeitung aufgeklärt und sie über ihre Rechte informiert haben. Somit hätten Sie auch darüber gleich einen schriftlichen Nachweis.
Sie könnten dieser Pflicht zwar auch über einen entsprechenden Aushang im Salon nachkommen, aber der müsste dann wirklich unübersehbar auffällig platziert werden. Und Sie müssten jeden Kunden bitten, sich den Aushang tatsächlich durchzulesen! Einen Nachweis, dass Sie es getan haben, gibt es aber in diesem Falle nicht. Warum dann also nicht gleich eine Information mit Einwilligung unterschreiben lassen? Eine Vorlage dafür bieten wir unseren Mitgliedern zum Download an.
Wenn Sie als Friseur die Einwilligung zum elektronischen Kontakt zu Ihren Kunden (Email, SMS) sowieso einholen müssten, oder wenn Sie für Frisurenbilder im Internet ohnehin die Einwilligung bräuchten, dann bietet es sich doch an, auch gleich eine Bestätigung für den Erhalt der verpflichtenden Information einzuholen.
Dabei ist es besonders wichtig, dass Sie als Chef Ihren Mitarbeitern eine Argumentationshilfe an die Hand geben und Ihnen einen zielführenden Wortlaut vorgeben. So reduzieren Sie die Anzahl der Kunden, die Ihnen die Einwilligung ganz oder teilweise verweigern.
Auch der Wortlaut der zu unterschreibenden Einwilligungserklärung sollte einfach verständlich, freundlich und trotzdem rechtlich korrekt formuliert sein. Das Dokument muss zudem die gesetzlich geforderten Inhalte haben, um auch tatsächlich als Einwilligung zu gelten.
Um Ihnen die Erstellung eines eigenen Formulars zu erleichtern, halten wir für Sie eine beispielhafte Einwilligungserklärung als Vorlage zum Download bereit. Diese können Sie dann einfach bearbeiten und für Ihre eigenen Zwecke anpassen.
Lesen Sie aber bitte unbedingt auch unseren Beitrag „Die rechtskonforme Einwilligungserklärung der Kunden in Ihrem Friseursalon“, damit Sie dabei keinen Fehler machen. Und vergessen Sie auch nicht, die anderen Beiträge unserer DSGVO-Reihe zu lesen! Denn allein mit der Einwilligung haben Sie der DSGVO noch nicht Genüge getan:
Friseur-Unternehmer.de
Ein Beitrag von Guido Scheffler,
