Datenschutz – einmal schlecht gemacht.

Jetzt war ich in der letzten Woche beim Friseur und musste feststellen, dass ich dort nur bedient werde, wenn ich auch meine Kontaktdaten hinterlasse. Gut, das ist jetzt nicht so schlimm. Wahrscheinlich hat der Friseur meine Kontaktdaten sowieso, aber hier wurde ja jetzt auch meine Anwesenheit im Salon protokolliert. Auch nicht so schlimm. Jedenfalls habe ich da nichts zu verbergen. Dass ich in der Liste aber auch die Kontaktdaten der gesamten Damenwelt – naja, sagen wir eines Teils davon – lesen konnte, fand ich jetzt schon nicht mehr ganz so toll. Gut, Schwamm drüber. Ich habe das wie die meisten Menschen erstmal so hingenommen. Allerdings wäre ich kein Datenschützer, wenn ich mir nicht im Nachgang das Ganze mal im Detail angesehen hätte. Und das Ergebnis war ernüchternd. Gehen wir also mal im Detail vor.

In NRW gilt die CoronaSchVO. Hinter dem kaum auszusprechenden Wort verbirgt sich die “Verordnung zum Schutz vor Neuinfizierungen mit dem Coronavirus SARS-CoV-2” oder auch Corona-Schutzverordnung. In den Hygieneregeln als Anlage zur Verordnung steht für die Friseure gleich an erster Stelle:

Kundenkontaktdaten sowie Zeitpunkt des Betretens und Verlassens der Friseursalons bzw. Geschäftsräume sind nach Einholen des Einverständnisses zur Ermöglichung einer Kontaktpersonennachverfolgung zu dokumentieren.

Und hier liegt mal wieder der Pfeffer im Hase oder so. Wir müssen diesen Satz wirklich genau lesen und auseinandernehmen. Zunächst mal sticht hervor, dass bestimmte Kundendaten zur Ermöglichung einer Kontaktpersonennachverfolgung zu dokumentieren sind. Gut. Entscheidend ist aber dieser kleine Einschub “nach Einholen des Einverständnisses”. Jetzt dreht sich der Logiker erstmal im Kreis. Ich soll mit diesem Satz dazu verpflichtet werden, etwas zu tun, für das ich zunächst das Einverständnis des Betroffenen einholen muss. Da das Einverständnis nach DSGVO aber eine freiwillige Geschichte ist, gibt es offensichtlich keine rechtliche Handhabe, mich als Kunde zu der Erteilung des Einverständnisses zu zwingen.

Nehmen wir also an, ich verweigerte meine Zustimmung zur Datenerhebung. Was dann? Die obige Vorschrift ist keine “Kann”- sondern eine “Soll”-Bestimmung, da es am Schluss heißt “zu dokumentieren”, also es ist “zu dokumentieren”. Doch ohne eine Einwilligung des Kunden geht das nicht. Die Erwähnung einer Einwilligung im Text wäre zudem sinnfrei, wenn die Erhebung auch ohne sie ging. Ergo muss die Datenerhebung unterbleiben, wenn ich als Kunde keine Einwilligung erteile. Nach dem gesagten bleibt als Rechtsgrundlage nur Art 6 Abs 1 Lit a DSGVO, also die Einwilligung in Verbindung mit Art 6 Abs 1 Lit c DSGVO, der rechtlichen Verpflichtung.

Fun-Fact am Rande: Ich bin bei dem Hinweis auf die Eintragung in der Liste nie auf die Notwendigkeit einer freiwilligen Einwilligung hingewiesen worden. Hmpf. Gut. Wiedermal Schwamm drüber.

Ärgerlich ist jedoch die Position des Zentralverbands des Friseurhandwerks. In einem Flyer, der offensichtlich den Friseurbetrieben zum Aushang bereitgestellt wird, schreibt der Verband, dass eine Bedienung im Betrieb ohne Hinterlassen der Kontaktdaten nicht möglich ist. Damit ist die Freiwilligkeit dahin und zudem würde ich behaupten, dass dies gegen das in der DSGVO verankerte Kopplungsverbot verstößt, da die Erfüllung eines Vertrags nicht von der Einwilligung in eine Datenverarbeitung abhängig gemacht werden darf, die für die Vertragserfüllung unerheblich ist. Im Übrigen findet sich in den Hygienerichtlinien kein Hinweis darauf, dass eine Verweigerung der Einwilligung zum Ausschluss der Behandlung/Bedienung führt.

Lesen wir den Satz aus der Hygieneregel nochmal, jetzt aber richtig. Zunächst gibt es hier eine rechtliche Verpflichtung, eine Handlung auszuführen. Das ist unstreitig. Diese Handlung besteht aus zwei Schritten:

  1. Einholung einer Zustimmung zur Datenverarbeitung
  2. Erheben der Kontaktdaten usw. unter der Voraussetzung, dass eine Einwilligung erteilt wurde.

Jeder Betrieb ist zur Durchführung dieser beiden Schritte verpflichtet. Dass die Datenerhebung unter dem Vorbehalt der Einwilligung steht, wird aus dem Text nicht sofort deutlich, ergibt sich aber mittelbar aus den Regeln der DSGVO zum Umgang mit Einwilligungen. Eine Pflicht des Kunden zur Abgabe der Einwilligung steht also weder in der Verordnung noch wäre das im Einklang zur DSGVO.

Unabhängig von alledem, verlangt die DSGVO nach Art 13 eine Datenschutzerklärung gegenüber dem Betroffenen, die über die Datenverarbeitung aufklärt. In dieser sollte in jedem Fall eine gültige Rechtsgrundlage stehen und wie lange die Daten aufbewahrt und unter welchen Bedingungen sie weitergegeben werden. Im übrigen ist die Rechtsgrundlage nicht Art 6 Abs 1 Lit f DSGVO, wie der Friseurverband ausführt, sondern eben Art 6 Abs 1 Lit a DSGVO (Einwilligung) in Verbindung mit Art 6 Abs 1 Lit c DSGVO (Rechtliche Verpflichtung)

Also, liebe Friseure und Friseurinnen, bastelt Euch ein schönes Formblatt, auf dem eine hübsche Datenschutzerklärung steht, die über den Sinn und Zweck der Datenerhebung aufklärt, die sagt, wie lange Ihr die Daten speichern müsst, an wen Ihr die Daten unter welchen Umständen herausgebt und dass ich die Einwilligung auch jederzeit widerrufen kann. Und zum Schluss bitte auch nicht das Beschwerderecht bei der Datenschutzaufsicht vergessen 😉 Dann dürft Ihr auch weiterhin gerne meine Kontaktdaten haben 🙂

Andere Artikel

Daten sind das neue Gold

Vertraust Du Deine Wertsachen einfach fremden Leuten an? Heute ist die Nutzung von Diensten oder Software über das Internet nichts ungewöhnliches mehr. Du kannst damit jede Menge Zeit und auch Geld sparen. Du musst weder für die Infrastruktur noch für

Weiterlesen »

Wie wirst Du in 15 Jahren leben?

Unsere Lebensbedingungen ändern sich. Wie wirst Du in 15 Jahren leben? 4 Beispiele für die hybride Welt von Morgen. Mein Leben findet heute schon digital-hybrid statt. Dieser Trend wird sich fortsetzen, beschleunigen, verfestigen. Das rein “analoge” Leben gibt es dann

Weiterlesen »

Motorrad oder Laufrad?

Wer von Euch fährt mit seinem Motorrad als wäre es nur ein Laufrad? Vermutlich keiner! Aber warum tut Ihr das dann bei anderen Dingen? Mit seinem Motorrad zu fahren als ob es nur ein Laufrad wäre, ist ja nur mäßig

Weiterlesen »

Sind Eure MitarbeiterInnen eigentlich informiert?

“Das wissen die doch! Das sind doch keine Geheimnisse!” Der respektvolle Umgang mit den Kolleginnen und Kollegen ist für Dich als UnternehmerIn selbstverständlich. Du bezahlst ein vernünftiges Gehalt und schaffst auch sonst eine angenehme und produktive Arbeitsumgebung. Dazu gehört auch,

Weiterlesen »

Wenn Projekte über Daten stolpern

In dieser Woche habe ich ein Thema mitgebracht, dass alle Projektleiter in mittleren und größeren, insbesondere auch in internationalen Projekten interessieren könnte. Dabei geht es nicht speziell um IT sondern um alle möglichen Projekte, vom Hausbau, über Bahnhöfe, Flughäfen oder

Weiterlesen »

2022 wird ein spannendes Jahr!

🔸2022 wird ein spannendes Jahr. Während ich mich in den letzten Monaten doch sehr auf den Datenschutz konzentriert habe, werde ich im neuen Jahr meinen fachlichen Radius wieder etwas weiter ziehen. 🔸Datenschutz wird weiterhin ein großer fachlicher Schwerpunkt bleiben, genauso

Weiterlesen »

Immer gut informiert mit unserem Newsletter

Wenn Sie über die neuesten Entwicklungen rund um die rechtskonforme Verarbeitung von Daten informiert werden wollen, möchte ich Ihnen meinen Newsletter gerne ans Herz legen. In Abständen von vier bis sechs Wochen werden Sie von mir auf dem Laufenden gehalten.