Datenschutz – einmal schlecht gemacht.

Jetzt war ich in der letzten Woche beim Friseur und musste feststellen, dass ich dort nur bedient werde, wenn ich auch meine Kontaktdaten hinterlasse. Gut, das ist jetzt nicht so schlimm. Wahrscheinlich hat der Friseur meine Kontaktdaten sowieso, aber hier wurde ja jetzt auch meine Anwesenheit im Salon protokolliert. Auch nicht so schlimm. Jedenfalls habe ich da nichts zu verbergen. Dass ich in der Liste aber auch die Kontaktdaten der gesamten Damenwelt – naja, sagen wir eines Teils davon – lesen konnte, fand ich jetzt schon nicht mehr ganz so toll. Gut, Schwamm drüber. Ich habe das wie die meisten Menschen erstmal so hingenommen. Allerdings wäre ich kein Datenschützer, wenn ich mir nicht im Nachgang das Ganze mal im Detail angesehen hätte. Und das Ergebnis war ernüchternd. Gehen wir also mal im Detail vor.

In NRW gilt die CoronaSchVO. Hinter dem kaum auszusprechenden Wort verbirgt sich die “Verordnung zum Schutz vor Neuinfizierungen mit dem Coronavirus SARS-CoV-2” oder auch Corona-Schutzverordnung. In den Hygieneregeln als Anlage zur Verordnung steht für die Friseure gleich an erster Stelle:

Kundenkontaktdaten sowie Zeitpunkt des Betretens und Verlassens der Friseursalons bzw. Geschäftsräume sind nach Einholen des Einverständnisses zur Ermöglichung einer Kontaktpersonennachverfolgung zu dokumentieren.

Und hier liegt mal wieder der Pfeffer im Hase oder so. Wir müssen diesen Satz wirklich genau lesen und auseinandernehmen. Zunächst mal sticht hervor, dass bestimmte Kundendaten zur Ermöglichung einer Kontaktpersonennachverfolgung zu dokumentieren sind. Gut. Entscheidend ist aber dieser kleine Einschub “nach Einholen des Einverständnisses”. Jetzt dreht sich der Logiker erstmal im Kreis. Ich soll mit diesem Satz dazu verpflichtet werden, etwas zu tun, für das ich zunächst das Einverständnis des Betroffenen einholen muss. Da das Einverständnis nach DSGVO aber eine freiwillige Geschichte ist, gibt es offensichtlich keine rechtliche Handhabe, mich als Kunde zu der Erteilung des Einverständnisses zu zwingen.

Nehmen wir also an, ich verweigerte meine Zustimmung zur Datenerhebung. Was dann? Die obige Vorschrift ist keine “Kann”- sondern eine “Soll”-Bestimmung, da es am Schluss heißt “zu dokumentieren”, also es ist “zu dokumentieren”. Doch ohne eine Einwilligung des Kunden geht das nicht. Die Erwähnung einer Einwilligung im Text wäre zudem sinnfrei, wenn die Erhebung auch ohne sie ging. Ergo muss die Datenerhebung unterbleiben, wenn ich als Kunde keine Einwilligung erteile. Nach dem gesagten bleibt als Rechtsgrundlage nur Art 6 Abs 1 Lit a DSGVO, also die Einwilligung in Verbindung mit Art 6 Abs 1 Lit c DSGVO, der rechtlichen Verpflichtung.

Fun-Fact am Rande: Ich bin bei dem Hinweis auf die Eintragung in der Liste nie auf die Notwendigkeit einer freiwilligen Einwilligung hingewiesen worden. Hmpf. Gut. Wiedermal Schwamm drüber.

Ärgerlich ist jedoch die Position des Zentralverbands des Friseurhandwerks. In einem Flyer, der offensichtlich den Friseurbetrieben zum Aushang bereitgestellt wird, schreibt der Verband, dass eine Bedienung im Betrieb ohne Hinterlassen der Kontaktdaten nicht möglich ist. Damit ist die Freiwilligkeit dahin und zudem würde ich behaupten, dass dies gegen das in der DSGVO verankerte Kopplungsverbot verstößt, da die Erfüllung eines Vertrags nicht von der Einwilligung in eine Datenverarbeitung abhängig gemacht werden darf, die für die Vertragserfüllung unerheblich ist. Im Übrigen findet sich in den Hygienerichtlinien kein Hinweis darauf, dass eine Verweigerung der Einwilligung zum Ausschluss der Behandlung/Bedienung führt.

Lesen wir den Satz aus der Hygieneregel nochmal, jetzt aber richtig. Zunächst gibt es hier eine rechtliche Verpflichtung, eine Handlung auszuführen. Das ist unstreitig. Diese Handlung besteht aus zwei Schritten:

  1. Einholung einer Zustimmung zur Datenverarbeitung
  2. Erheben der Kontaktdaten usw. unter der Voraussetzung, dass eine Einwilligung erteilt wurde.

Jeder Betrieb ist zur Durchführung dieser beiden Schritte verpflichtet. Dass die Datenerhebung unter dem Vorbehalt der Einwilligung steht, wird aus dem Text nicht sofort deutlich, ergibt sich aber mittelbar aus den Regeln der DSGVO zum Umgang mit Einwilligungen. Eine Pflicht des Kunden zur Abgabe der Einwilligung steht also weder in der Verordnung noch wäre das im Einklang zur DSGVO.

Unabhängig von alledem, verlangt die DSGVO nach Art 13 eine Datenschutzerklärung gegenüber dem Betroffenen, die über die Datenverarbeitung aufklärt. In dieser sollte in jedem Fall eine gültige Rechtsgrundlage stehen und wie lange die Daten aufbewahrt und unter welchen Bedingungen sie weitergegeben werden. Im übrigen ist die Rechtsgrundlage nicht Art 6 Abs 1 Lit f DSGVO, wie der Friseurverband ausführt, sondern eben Art 6 Abs 1 Lit a DSGVO (Einwilligung) in Verbindung mit Art 6 Abs 1 Lit c DSGVO (Rechtliche Verpflichtung)

Also, liebe Friseure und Friseurinnen, bastelt Euch ein schönes Formblatt, auf dem eine hübsche Datenschutzerklärung steht, die über den Sinn und Zweck der Datenerhebung aufklärt, die sagt, wie lange Ihr die Daten speichern müsst, an wen Ihr die Daten unter welchen Umständen herausgebt und dass ich die Einwilligung auch jederzeit widerrufen kann. Und zum Schluss bitte auch nicht das Beschwerderecht bei der Datenschutzaufsicht vergessen 😉 Dann dürft Ihr auch weiterhin gerne meine Kontaktdaten haben 🙂