DSGVO im Handwerk: Was Betriebe wissen müssen

DSGVO klingt schlimmer als es ist

Datenschutz-Grundverordnung. Allein das Wort klingt nach Anwalt, Bußgeld und Ärger. Und ja — wenn du es komplett ignorierst, kann es teuer werden. Aber die Realität ist: Die meisten Handwerksbetriebe brauchen keine Datenschutz-Abteilung. Sie brauchen ein paar grundlegende Dinge, die einmal sauber aufgesetzt werden.

Dieser Artikel ist keine Rechtsberatung. Ich bin IT-Berater, kein Anwalt. Aber ich sehe in jedem Betrieb dieselben Baustellen — und die meisten davon sind in ein paar Stunden erledigt.

Die 5 wichtigsten Pflichten

Das sind die Dinge, die du als Handwerksbetrieb auf dem Schirm haben musst. Nicht alles auf einmal — aber keins davon darfst du ignorieren.

1. Datenschutzerklärung auf der Website

Jede Website braucht eine Datenschutzerklärung. Kein Kopierschutz-Text von 2018, sondern eine aktuelle Erklärung, die beschreibt:

• Welche Daten du erhebst (Kontaktformular, Analytics, Cookies)
• Warum du sie erhebst (Vertragsanbahnung, berechtigtes Interesse)
• Wie lange du sie speicherst
• An wen du sie weitergibst (Hoster, E-Mail-Dienst, Newsletter-Tool)

Tipp: Es gibt seriöse Generatoren wie den von der Kanzlei Dr. Schwenke oder eRecht24. Die kosten nicht viel und liefern eine solide Basis. Lass es einmal machen und halte es aktuell.

2. Verarbeitungsverzeichnis

Klingt bürokratisch, ist aber im Kern eine einfache Tabelle: Welche personenbezogenen Daten verarbeitest du, warum, wie lange, und wer hat Zugriff?

Beispiel für einen Handwerksbetrieb:

• Kundendaten (Name, Adresse, Telefon) — Zweck: Auftragsabwicklung — Löschfrist: 10 Jahre nach Abschluss (steuerliche Aufbewahrungspflicht)
• Mitarbeiterdaten (Name, Adresse, Bankverbindung) — Zweck: Lohnabrechnung — Löschfrist: 6 Jahre nach Austritt
• Website-Besucher (IP-Adresse, Browser) — Zweck: technischer Betrieb — Löschfrist: 7 Tage

Das Verarbeitungsverzeichnis muss existieren. Es muss nicht veröffentlicht werden, aber du musst es vorzeigen können, wenn die Aufsichtsbehörde fragt.

3. Auftragsverarbeitungsverträge (AVVs)

Wenn ein externer Dienstleister Zugriff auf personenbezogene Daten deiner Kunden hat, brauchst du einen AVV. Das betrifft:

• Deinen Website-Hoster
• Deinen E-Mail-Anbieter
• Deinen Cloud-Speicher (Google Drive, Dropbox, etc.)
• Deine Buchhaltungssoftware (Lexoffice, sevDesk, etc.)
• Jedes Tool, das Kundendaten verarbeitet

Die meisten seriösen Anbieter bieten AVVs als Download an. Du musst sie abschließen — auch wenn es nur ein Klick ist.

4. Auskunftspflicht

Jeder Kunde kann dich fragen: „Welche Daten habt ihr von mir?“ Und du musst innerhalb von 30 Tagen antworten können. Vollständig. Kostenlos.

In der Praxis passiert das selten. Aber wenn es passiert, musst du liefern können. Das heißt: Du musst wissen, wo überall Kundendaten liegen. Im CRM, in der Buchhaltung, in der E-Mail, auf dem Handy des Monteurs, in der WhatsApp-Gruppe.

5. Löschfristen

Daten, die du nicht mehr brauchst, musst du löschen. Klingt einfach, ist es in der Praxis nicht, weil verschiedene Daten verschiedene Fristen haben:

• Rechnungen: 10 Jahre (steuerlich)
• Angebote: 6 Jahre (handelsrechtlich)
• Bewerbungen: 6 Monate nach Absage
• Anfragen ohne Auftrag: Spätestens nach 3 Jahren

Mein Rat: Setz dir einen jährlichen Termin, an dem du aufräumst. Alte Kundendaten ohne aktiven Auftrag — raus. Bewerbungen aus 2022 — raus. Das muss nicht automatisiert sein. Ein Nachmittag im Jahr reicht.

Typische Stolperfallen im Handwerk

Die DSGVO-Theorie kennt jetzt jeder. Hier sind die Dinge, die in der Praxis schiefgehen — und die ich in fast jedem Betrieb sehe:

Fotos von Baustellen

Vorher-Nachher-Bilder für die Website oder Instagram? Super fürs Marketing. Aber: Wenn Personen erkennbar sind, brauchst du eine Einwilligung. Wenn der Kunde auf dem Foto zu sehen ist — fragen. Wenn Nachbarn im Hintergrund erkennbar sind — fragen oder Bild beschneiden.

Auch KFZ-Kennzeichen auf Baustellenfotos sind personenbezogene Daten. Klingt übertrieben, ist aber so.

Kundendaten auf dem Handy

Der Monteur hat Kundennummern, Adressen und Telefonnummern auf seinem privaten Handy gespeichert. WhatsApp synchronisiert das Adressbuch in die Cloud. Das ist ein DSGVO-Problem.

Lösung: Firmenhandys mit separatem Adressbuch. Oder: Ein CRM-System, das per Browser erreichbar ist, statt Kundendaten im Handy-Kontakt.

WhatsApp-Gruppen

Die Team-Kommunikation läuft über WhatsApp. Kundenadressen werden in die Gruppe gepostet. Baustellenfotos mit Kundendaten geteilt. Das ist bequem — und datenschutzrechtlich eine Katastrophe.

WhatsApp teilt Metadaten mit Meta (Facebook). Für betriebliche Kommunikation mit Kundendaten ist das nicht DSGVO-konform. Alternativen: Signal (gut, kostenlos, keine Cloud-Sync), Threema Work (kostenpflichtig, aber für Betriebe gemacht), oder ein einfaches Ticket-System.

Der gute alte Ordner im Regal

Papierakten sind auch Datenverarbeitung. Der Ordner mit Kundenaufträgen aus 2014? Wenn kein laufender Auftrag und keine steuerliche Pflicht mehr besteht — muss weg. Nicht in den Müll, sondern geschreddert oder bei einem zertifizierten Entsorger.

Die 10-Punkte-Checkliste: Was du morgen erledigen kannst

Kein Anwalt nötig. Kein externes Audit. Diese Dinge kannst du selbst angehen:

1. Datenschutzerklärung prüfen: Ist sie aktuell? Sind alle Tools aufgeführt, die du nutzt?
2. Cookie-Banner prüfen: Werden Cookies erst nach Zustimmung gesetzt? Gibt es eine echte Auswahl (nicht nur „OK“)?
3. Impressum vorhanden? Pflichtangaben: Name, Adresse, Telefon, E-Mail, Handelsregister/HWK-Nummer.
4. AVVs checken: Hast du mit deinem Hoster, E-Mail-Anbieter und Cloud-Dienst einen AVV abgeschlossen?
5. Verarbeitungsverzeichnis erstellen: Eine einfache Tabelle. Welche Daten, warum, wie lange, wer hat Zugriff.
6. WhatsApp-Nutzung überdenken: Werden Kundendaten per WhatsApp geteilt? Wenn ja: Alternative suchen.
7. Passwörter prüfen: Nutzt du überall dasselbe Passwort? Gibt es einen Passwort-Manager?
8. Baustellenfotos-Prozess: Werden Einwilligungen eingeholt, bevor Fotos veröffentlicht werden?
9. Alte Daten aufräumen: Bewerbungen, Anfragen ohne Auftrag, abgelaufene Kundendaten — weg damit.
10. Backup prüfen: Werden Daten regelmäßig gesichert? Wo liegt das Backup? Wer hat Zugriff?

Faustformel: Wenn du diese 10 Punkte sauber hast, bist du besser aufgestellt als 80% der Handwerksbetriebe in Deutschland. Perfekt? Nein. Aber solide.

Tools, die helfen

Du brauchst keine teure Datenschutz-Software. Aber ein paar Dinge erleichtern das Leben:

• Datenschutzgenerator (Dr. Schwenke, eRecht24) — für die Datenschutzerklärung
• Selbst gehostete Tools: n8n, Cal.com, Nextcloud — deine Daten, dein Server, keine US-Cloud
• Passwort-Manager (Bitwarden, 1Password) — ein Passwort pro Dienst, verschlüsselt gespeichert
• Signal oder Threema Work — für betriebliche Kommunikation statt WhatsApp
• Verschlüsselter Cloud-Speicher (Nextcloud, Cryptomator + beliebige Cloud) — für Kundendaten und Belege

Der handwerk.ki-Ansatz

Wenn ich für einen Betrieb Automatisierungen baue, ist Datenschutz kein Nachgedanke. Es ist Teil der Architektur:

• n8n läuft auf deinem Server — nicht in der Cloud eines US-Anbieters
• Daten bleiben beim Kunden — ich baue die Workflows, aber deine Daten sehe ich nur, wenn du mir Zugang gibst
• Keine unnötigen Drittanbieter — jedes Tool, das ich einsetze, hat einen Zweck. Kein „nice to have“ auf Kosten deiner Datensicherheit
• Dokumentation gehört dazu — welche Daten fließen wo durch? Das dokumentiere ich mit

Mehr dazu auf unserer Datensicherheits-Seite.

Wann du doch einen Anwalt brauchst

Dieser Artikel deckt die Basics ab. Einen Anwalt brauchst du, wenn:

• Du mehr als 20 Mitarbeiter hast (dann brauchst du einen Datenschutzbeauftragten)
• Du besonders sensible Daten verarbeitest (Gesundheitsdaten, Minderjährige)
• Du eine Datenpanne hattest (Kundendaten abgeflossen, Laptop gestohlen)
• Du in regulierten Branchen arbeitest (Medizintechnik, Kritische Infrastruktur)

Für einen normalen Handwerksbetrieb mit 3-20 Mitarbeitern reichen die Basics aber in 95% der Fälle.