EU-Datenschutz-Grundverordnung

Thema ernst nehmen und cool bleiben

Am 25. Mai tritt die neue EU-Datenschutzgrundverordnung (DSGVO) in Kraft. Danach gelten besondere Regeln, wie Unternehmen mit personenbezogenen Daten umgehen und sie aufbewahren müssen. Was das nun für Salonbesitzer bedeutet, wurde jüngst auf dem Unternehmertag von La Biosthétique erläutert.

Bei Irene Dangel (La Biosthétique) sind viele Fragen zur DSGVO aufgeschlagen. >< Foto: La Biosthétique Paris

Rechtsanwalt Dr. Klemens Werner klärte die Fragen der Friseure. >< Foto: La Biosthétique Paris

Irene Dangel (La Biosthétique) und Rechtsanwalt Dr. Klemens Werner. >< Foto: La Biosthétique Paris

Mehr Business-News? Newsletter anmelden!

Während des Unternehmertags stellte Irene Dangel (Head of Consulting & Services, La Biosthétique) gemeinsam mit Dr. Klemens Werner (geschäftsführender Gesellschafter Rechtsanwalt Vogel GmbH) das umfangreiche Maßnahmen-Paket aus Informationen und Checklisten vor, mit dem La Biosthétique-Kunden für die Novelle gerüstet sind. Für TOP HAIR stand Anwalt Dr. Werner Rede und Antwort und erläuterte die anstehenden Neuerungen. Sein Rat: „Nehmen Sie das Thema ernst, aber brechen Sie nicht in Hektik aus.“ Die wichtigsten Fragen und ihre Antworten bekommen Sie hier:

TOP HAIR: Braucht ein Salon jetzt einen Datenschutzbeauftragten?
Dr. Werner:
Im Regelfall nicht. In Art. 37 DSGVO ist nicht geregelt, ab welcher Anzahl von Mitarbeitern ein Datenschutzbeauftragter zu bestellen ist. Und deshalb greift das neue Bundesdatenschutzgesetz. Danach benötigt man einen Datenschutzbeauftragten, wenn mehr als zehn Mitarbeiter ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Der angestellte Friseur schneidet Haare und sitzt nicht ständig am Computer. Bei einem Friseursalon üblicher Größe arbeiten vielleicht ein oder zwei Mitarbeiter ständig am Computer. Daher müssen in der Friseurbranche allenfalls große Ketten einen Datenschutzbeauftragten bestellen.

TOP HAIR: Benötige ich eine schriftliche Einverständniserklärung zur Speicherung von Kundendaten?
Dr. Werner: Soweit Sie die Kundendaten ausschließlich zu Zwecken speichern, welche für Ihren Dienstleistungsvertrag mit dem Kunden unerlässlich sind (z.B. Abrechnungsbelege bei Zahlung auf Rechnung), braucht es keine Einverständniserklärung. Dies dürfte aber die große Ausnahme sein. Vielmehr geht der Zweck der Speicherung häufig darüber hinaus (z.B. Marketing und Kundenbindung). Die Antwort lautet daher: Ja! Und diese Einverständniserklärung sollten Sie so lange aufbewahren, wie Sie mit dem Kunden zusammenarbeiten, da Art. 7 DSGVO verlangt, dass der Friseur nachweisen kann, dass der Kunde eingewilligt hat.

TOP HAIR: Benötige ich eine Einverständniserklärung nur von Neukunden oder gilt das auch für Stammkunden?
Dr. Werner: Sofern noch keine Einverständniserklärung vorhanden ist und Sie die bereits gespeicherten Kundendaten weiterverwenden, d.h. verarbeiten möchten, muss auch der Altkunde eine Einverständniserklärung unterschreiben.

TOP HAIR: Gibt es Formalien, die bei solch einer Einverständniserklärung einzuhalten sind?
Dr. Werner: Grundsätzlich gibt es für die in der Friseurbranche verarbeiteten Daten keine Form-Erfordernisse. Allerdings sollte der Friseurunternehmer nachweisen können, dass der Kunde oder die Kundin in die Verarbeitung der personenbezogenen Daten eingewilligt hat. Der Friseurunternehmer kann entweder die unterschriebenen Einverständniserklärungen als Original aufheben. Oder er speichert das Dokument in gescannter Form.

TOP HAIR: Was ist, wenn der Kunde die Einverständniserklärung nicht unterschreibt?
Dr. Werner:
Reden Sie mit ihm und erklären Sie nochmals die Notwendigkeit. Wenn er dann immer noch nicht unterschreibt, sollten Sie ihn bitte trotzdem bedienen. Andernfalls verstoßen Sie gegen Art. 7 Abs. 4 DSGVO (sog. Kopplungsverbot). Und ein Verstoß gegen dieses Kopplungsverbot kann ein Bußgeld der Behörde auslösen, falls der Kunde sich beschwert.

TOP HAIR: Darf der Kunde verlangen, dass er Einsicht in alle über ihn gespeicherten Daten erhält?
Dr. Werner:
Grundsätzlich darf der Kunde einmal verlangen, dass der Friseurunternehmer eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung stellt. Für weitere Kopien darf der Friseurunternehmer ein angemessenes Entgelt verlangen. Und Geschäftsgeheimnisse, also beispielsweise die genaue Zusammensetzung einer Tönung, müssen Sie natürlich als Friseurunternehmer dem Kunden nicht verraten.

TOP HAIR: Muss dabei eine bestimmte Form beachtet werden?
Dr. Werner:
Nein. Empfehlenswert ist es, dem Kunden eine Kopie der neuen Einverständniserklärung zur Verfügung zu stellen und alle gespeicherten personenbezogenen Daten ausgedruckt vorzulegen.

TOP HAIR: Was ist das Verarbeitungsverzeichnis und braucht ein Friseursalon das?
Dr. Werner: Friseurunternehmer gehen allerdings regelmäßig - wie jeder Handwerksbetrieb - mit Kunden- und Mitarbeiterdaten um und müssen daher – unabhängig von ihrer Angestelltenanzahl – ein vom Umfang her überschaubares Verzeichnis ihrer Verarbeitungstätigkeiten führen. Ein solches Verarbeitungsverzeichnis gibt darüber Auskunft, wie ein Friseurunternehmer personenbezogene Daten verarbeitet. Ein Beispiel für ein Verarbeitungsverzeichnisse in einem Handwerksbetrieb findet sich unter: www.lda.bayern.de/media/muster3handwerksbetriebverzeichnis.pdf

Anhand eines Verarbeitungsverzeichnisses kann die Behörde überprüfen, ob ein Friseurunternehmer sich mit dem Thema Datenschutz beschäftigt hat, welche Daten er verarbeitet und wie diese vor unbefugtem Zugriff gesichert werden können. Das Verarbeitungsverzeichnis ist der Behörde auf Anfrage zur Verfügung zu stellen, Art. 30 Abs. 4 DSGVO.

TOP HAIR: Muss ich meine Mitarbeiter über die datenschutzrechtlichen Neuerungen informieren?
Dr. Werner:
Sie sollten auch Ihre Mitarbeiter für das Thema Datenschutz, das sowieso in aller Munde ist, sensibilisieren. Und natürlich verarbeiten Sie auch personenbezogene Daten Ihrer Angestellten. Daher müssen Sie auch Ihre Mitarbeiter über ihre Rechte nach Art. 13 DSGVO informieren. Am besten machen Sie das schriftlich.

TOP HAIR: Unser Salon hat einen Newsletter – was muss ich jetzt tun?
Dr. Werner:
Wenn es sich um einen Newsletter handelt, den man über den Internetauftritt Ihres Friseurunternehmens abonnieren kann, sollten Sie Ihre Hinweise zum Datenschutz an die Erfordernisse der DSGVO anpassen. Sie müssen dem Besteller des Newsletters beispielsweise mitteilen, dass Sie seine personenbezogenen Daten verarbeiten. Vielleicht hat die Agentur, die Ihren Webauftritt entwickelt hat, diese Änderungen bereits für Sie vornehmen lassen. Fragen Sie am besten dort nach!

TOP HAIR: Worauf muss ich bei meinem Internetauftritt achten?
Dr. Werner:
In der Regel überarbeitet der Anbieter die Datenschutzrichtlinien Ihrer Seite. Sollten Sie nichts von ihm hören, gehen Sie am besten aktiv auf ihn zu.

TOP HAIR: Darf ich jetzt keine Fotos mehr von Kunden auf Instagram stellen?
Dr. Werner:
Das ist völlig unproblematisch, wenn der Kunde auf dem Bild nicht zu erkennen ist, also etwa nur die Haarpracht von hinten gezeigt wird. Erkennt man den Kunden schon, sollten Sie sich die Veröffentlichung auf Instagram kurz schriftlich bestätigen lassen und diese Bestätigung dann abheften.

TOP HAIR: Wie sieht das alles bei Jugendlichen aus?
Dr. Werner: Ab 16 Jahren dürfen die Jugendlichen selbst eine Einverständniserklärung abgeben. Das Problem ist: Geschäftsfähig sind sie jedoch erst mit 18 Jahren. Deshalb ist im Zweifel dazu zu raten, dass Sie auch das schriftliche Einverständnis der Eltern einholen.

TOP HAIR: Jetzt heißt es ja Datenschutzverordnung. Ist das also gar kein richtiges Gesetz, sondern eine Handlungsempfehlung, ohne dass Verstöße geahndet werden?
Dr. Werner: Auch wenn die DSGVO „nur“ eine Verordnung ist, gilt sie unmittelbar. Das heißt, die Verstöße müssen von den Behörden geahndet werden. Es handelt sich nicht lediglich um eine Handlungsempfehlung.

TOP HAIR: Wie hoch können die Strafen ausfallen, wenn ich mich nicht daran halte?
Dr. Werner: Die Sanktionen sind in Art. 83 Abs. 4 und 5 geregelt. Danach kommen Geldbußen zwischen 10 und 20 Mio. Euro in Frage. Aber keine Angst, diese hohen Geldbußen werden nur bei wiederholten Verstößen verhängt und kommen nur bei großen Unternehmen in Betracht. Im Bereich von Handwerksunternehmen werden die Sanktionen deutlich geringer ausfallen. Aber z.B. auch 1.000 Euro können wehtun. Warum also ein Risiko eingehen?

TOP HAIR: Wie verhalte ich mich im Falle einer Abmahnung?
Dr. Werner: Das lässt sich nur schwer pauschal beantworten. Im Grundsatz sollte jeder Friseurunternehmer die DSGVO ernst nehmen und sich ein wenig damit beschäftigen, um Abmahnungen zu vermeiden. Sollte es dennoch zu einer Abmahnung kommen, sollte erst einmal überprüft werden, ob der erhobene Vorwurf berechtigt ist. Ggf. sollte das Fehlverhalten abgestellt werden. Erfahrungsgemäß kann man leider selten in einem persönlichen Gespräch mit dem Anwalt der Gegenseite erreichen, dass die Abmahnung nicht weiterverfolgt wird – ein Versuch schadet aber nicht. Im Zweifel würde ich dazu raten, einen eigenen Anwalt zu beauftragen, der mit der Gegenseite verhandelt, auch wenn das Geld kostet.