Papierlose Einverständniserklärung – aber richtig!

Wer ist schon Tätowierer oder Piercer geworden, um sich dann täglich mit jeder Menge Papierkram herumzuschlagen? Im Zeitalter von Handy, iPad und Co liegt es natürlich nahe, den ganzen Kram einfach elektronisch zu machen. Die papierlose Einverständniserklärung hat aber mitunter einige Tücken.

Zwei Dinge vorab:

  1. Die Probleme und Auflagen, die wir hier aufzeigen, stammen nicht von uns. Die waren schon vor uns da. Bitte verurteilt nicht den Boten, der kann nichts dafür.
  2. Es ist Licht am Ende des Tunnels. Natürlich bieten wir für all die Probleme auch Lösungen an.

Wozu überhaupt das Ganze?

Grundsätzlich brauchen wir in unserer Branche eigentlich garkeinen Papierkram, da unsere Verträge und Vereinbarungen nicht formgebunden sind. Es würde also sogar rein mündliche Vereinbarungen genügen.

Das Problem entsteht erst, wenn es zum Streit kommt. Denn dann hat man ggf. vor Gericht das Problem der Nachweisbarkeit. Also: Habe ich meinen Kunden korrekt aufgeklärt? Hat er in das Tattoo/Piercing eingewilligt (Körperverletzung)? Haben die Erziehungsberechtigten eingewilligt? Aus diesem Grund gibt es die Formulare und die Unterschriften. Denn so ein Streit kann schnell 5-stellig werden. Kommen klinische Behandlungen hinzu auch schon mal 6-stellig.

Das Studio haftet mit

Wir erinnern hier auch nochmal an unseren letzten Infoletter. Der Studio-Inhaber haftet in der Regel auch für evtl. formelle Versäumnisse der vermeintlich unabhängigen Artists. Es lohnt sich also, sowohl für den Artist, als auch das Studio, diesem Thema ein wenig Aufmerksamkeit zu schenken.

Die Beweiswürdigung vor Gericht

Der Vorteil von Verträgen mit händischen Unterschriften ist, dass ein Gericht diese als Beweismittel würdigen MUSS. Denn im Zweifelsfall kann ein gerichtlich bestellter Sachverständiger die Echtheit einer Unterschrift bestätigen.

Bei einfachen Emails oder auch Kopien von unterschriebenen Verträgen geht dies nicht. Dann spricht man von der freien Beweiswürdigung durch das Gericht. Der Richter entscheidet also nach eigenem Ermessen, ob er ein Beweisstück akzeptiert und wie er es bewertet.

Die gute Nachricht: Seit Einführung der sog. eIDAS Norm 2016 sind auch elektronische Unterschriften als Beweismittel zugelassen. Sie müssen dann jedoch den Anforderungen der „fortgeschrittenen elektronischen Signatur“ genügen.

Digitale Unterschriften

Und das ist, wer hätte es anders erwartet, nicht trivial. Schließlich ist Europa in erster Linie eine Bürokratie. Damit eine digitale Unterschrift den Anforderungen der eIDAS für fortgeschrittene elektronische Signaturen erfüllt, müssen alle nachfolgenden Kriterien (und weitere!) erfüllt sein.

Mit nun einiger Erfahrung in diesem Thema müssen wir allerding zugeben, dass jeder einzelne Punkt dieser Kriterien Sinn macht:

  • Alleinige Kontrolle
    Die Signatur muss unter alleiniger Kontrolle des Unterzeichners liegen. Es muss also ausgeschlossen sein, dass eine digitale Unterschrift aus einem Dokument in ein anderes übertragen werden kann (Copy&Past).
  • Identifizierbarkeit
    Anhand der digitalen Unterschrift muss der Unterzeichner eindeutig identifiziert werden können. Eine Email eines bestimmten Absenders genügt hier z.B. nicht. Geeignet sind hingegen sog. Zertifikats-Schlüssel (z.B. gekoppelt mit den neuen Personalausweisen) oder eindeutige biometrische Daten.
  • Metadaten
    Außer der Signatur müssen weitere elektronische Erstellungsdaten, sog. Metadaten, erfasst und gespeichert werden. Dazu gehört z.B. Ort, Datum und Zeit. Diese Meta-Daten dürfen nicht manipulierbar sein (z.B. durch Ändern der Datums-Einstellung am Gerät).
  • Unveränderbar
    Nachdem ein Dokument mit einer elektronischen Signatur versehen wurde, müssen beide unveränderbar sein. Das trifft z.B. auf eingescannte Dokumente nicht zu.
  • Überprüfbar
    Eine Prüfung der obigen Kriterien durch einen gerichtlich bestellten Sachverständigen muss möglich sein.

Und natürlich muss die Verarbeitung und Ablage solcher Dokumente (inkl. Gesundheitsdaten!) datenschutzkonform erfolgen (DSGVO). Ihr wollt schließlich auch nicht, dass eure Krankengeschichte von eurem Arzt per Email durch die Weltgeschickte geschickt wird:

  • Ende zu Ende verschlüsselt
    Die Übertragung der Daten muss Ende-zu-Ende verschlüsselt erfolgen. Emails erfüllen dieses Kriterium z.B. nicht. Denn eine evtl. Verschlüsselung findet erst bei eurem Email-Provider statt. Der Versand von eurem Rechner zu eurem Provider erfolgt unverschlüsselt.
  • AVV gemäß DSGVO
    Der (Cloud)-Dienstleister muss die Erfüllung der DSGVO-Auflagen zur Speicherung sensibler Personendaten in Form eines Auftragsverarbeitungsvertrages (AVV) schriftlich bestätigen.
  • RZ-Standort
    Die Daten dürfen zu keinem Zeitpunkt außerhalb der EU gespeichert werden. Das Rechenzentrum (RZ) darf sich also z.B. nicht in den USA befinden.

Die Ablage

Der Vollständigkeit halber sei hier noch ein Kleiner Punkt erwähnt. Im Laufe der Jahre kommen eine große Menge an Dokumenten zusammen. Wie legt man diese so ab, dass man genau das erforderliche Dokument auch nach zwei, drei Jahren noch wiederfindet? Namen ändern sich (Heirat), Termine werden verschoben.

Mal ehrlich: Wer von euch traut sich zu, auch nur 500 digitale Dokumente pro Jahr konsequent so abzulegen, dass ihr jedes einzelne jederzeit wiederfindet? Und selbst wenn ihr das hinbekommt, trifft das auch auf die anderen Artists in eurem Studio zu, für die ihr evtl. mit haftet?

Ohne eine funktionierende Ablage, könnt ihr euch eigentlich die ganze Arbeit mit den Formularen sparen.

Der Praxischeck

OK, soviel zur Theorie. Überprüfen wir vor diesem Hintergrund nun mal ein paar gängige Alternativen zur elektronischen Ablage von Einverständniserklärungen…

Verträge online per Klick bestätigen

Ganz hipp: Der Kunde muss auf eurer Website in die AGB, Datenschutzvereinbarung sowie Einverständniserklärung einwilligen (z.B. mit Checkbox), bevor er einen Termin buchen oder bestätigen kann.

Hier sind folgende Kriterien nicht erfüllt:

  • Alleinige Kontrolle
  • Identifizierbarkeit
  • Unveränderbar
  • Überprüfbar
  • Ablage ggf. nicht gelöst

Im Streitfall könnte sogar der Studio-Inhaber so eine Einverständniserklärung nachträglich türken. Dies ließe sich nur ausschließen, wenn der Website-Provider ein von der Bundesnetzagentur zertifizierter Vertrauensdienstanbieter ist. Und selbst dann kann immer noch die Tochter oder die Frau diese Terminbestätigung erledigt haben.

Dazu kommt, dass so eine Einverständniserklärung grundsätzlich angefochten werden kann, da wichtige Bestandteile der Vereinbarung im sog. Kleingedruckten verborgen werden (verlinkte Dokumente). In den Hygieneverordnungen für „Piercing- und Tattoo-,Kosmetik- und Fußpflegeeinrichtungen“ der meisten Bundesländer (Stand April 2007) steht zudem ausdrücklich:

„Eine Aufklärung und Beratung des Kunden über mögliche Gesundheitsgefahren beim Tätowieren und Piercen […] ist vor jeder Behandlung durchzuführen und schriftlich zu dokumentieren.“

Das heiß, der Vorgang der Aufklärung ist zu dokumentieren. Also: Hat der Kunde Allergien? Welche? Nimmt er Medikamente? Welche? Welche individuellen Risiken ergeben sich daraus für ihn? Wie wird damit umgegangen? Wie lange hat die Aufklärung gedauert? Eine Checkbox genügt hier nicht.

Einscannen und ab in die Cloud?

Mal ganz ehrlich: Man hat eine ordentliche Unterschrift unter einer (hoffentlich) ordentlichen Einverständniserklärung. Dann stellt man sich abends an den Scanner, scannt den ganzen Papierkram ein, legt diesen (hoffentlich) halbwegs ordentlich ab, so dass man bei den 1000en Dokumenten auch noch was wiederfindet und verzichtet damit auf die Rechtssicherheit der Unterschrift im Streitfall? Denn folgende Kriterien sind hier (ggf.) nicht erfüllt:

  • Alleinige Kontrolle
  • Identifizierbarkeit
  • Metadaten
  • Unveränderbar
  • Überprüfbar
  • Ablage nicht gelöst
  • AVV gemäß DSGVO?
  • RZ-Standort?

Eine so eingescannte Unterschrift kann man mit etwas Geschick in jedes beliebige Dokument übertragen.

Praktische PDFs mit Unterschrift auf dem iPad?

Aber es gibt da ja auch noch die iPads mit der praktischen Unterschrifts-Funktion von Apple. Die müsste doch eigentlich OK sein, oder? Nein. Denn diese Funktion ist dafür gedacht, dass man seine eigene Unterschrift in PDF-Dokumente setzt und diese dann weiterleitet. Beim Erstellen einer solchen Unterschrift wird diese unabhängig vom Dokument auf dem iPad gespeichert und kann in beliebige andere Dokumente eingebettet werden. Folgende Kriterien sind hier also nicht erfüllt:

  • Alleinige Kontrolle
  • Metadaten
  • Unveränderbar
  • Ablage nicht gelöst
  • AVV gemäß DSGVO
  • RZ-Standort

Ich würde definitiv niemals so eine Unterschrift auf einem fremden iPad abgeben. Ich speichere meine Unterschrift nicht einmal auf meinem eigenen iPad, denn die hat auch nichts in der Apple Cloud verloren. Und sollte einmal ein Datenschutzbeauftragter davon Wind bekommen, kann es teuer für euch werden.

Wie sieht eine echte Lösung aus?

Eigentlich ganz einfach:

  • Alle Vereinbarungen und Formulare werden von vornherein elektronisch ausgefüllt und abgeschlossen, ohne Umweg über die Papierform.
  • Die Unterzeichnung erfolgt mit einer fortgeschrittenen elektronischen Signatur nach eIDAS Norm. Natürlich ohne irgendeine lokale Speicherung solcher Signaturen.
  • Das Signaturverfahren ist von einem gerichtlich vereidigten Sachverständigen geprüft.
  • Die Dokumente werden zusammen mit den Signaturen verschlüsselt, und zwar so, dass nur ein Notar die Signaturen entschlüsselt kann.
  • Die signierten Dokumente werden voll automatisch an einen DSGVO-konformen Cloud-Anbieter in der EU übertragen – natürlich Ende-zu-Ende verschlüsselt.
  • Das Dokument wird automatisch mit dem Kunden, Termin und Artist verknüpft.
  • Alle Daten werden täglich automatisch gesichert und durch gespiegelte Rechenzentren vor Verlust gesichert.

Genau daran haben wir die letzten 10 Monate für euch gearbeitet. Das Ergebnis könnt ihr euch hier ansehen (inkl. kurzes Demo-Video).

Euer,
Papierlose Einverständniserklärung – aber richtig! - kisscal.tattoo

Share on facebook
Facebook
Share on twitter
Twitter
Share on whatsapp
WhatsApp
Share on print
Drucken
Share on email
E-Mail

Dein Kontakt - zu uns!

Kontaktformular

    Mit der Nutzung dieses Formulars erklärst Du Dich mit der Speicherung und Verarbeitung Deiner Daten durch unsere Website einverstanden.

    Weitere Informationen findest Du in der Datenschutzerklärung

    Weitere Informationen zum Info Letter gibt es hier!
  • Dieses Feld dient zur Validierung und sollte nicht verändert werden.