Handwerker-Software Vergleich Logo

DSGVO im Handwerksbetrieb: Pflichten, Prozesse, Praxis-Checkliste

15. Januar 2026
Fachredaktion
5-9 Min. Lesezeit

Datenschutz im Handwerk richtig umsetzen: Rechtsgrundlagen, Verzeichnis von Verarbeitungstaetigkeiten, AV-Vertraege, TOMs und Loeschkonzept.

Datenschutz im Handwerk: Keine Nebensache mehr

Schnellüberblick

  • DSGVO betrifft Kunden-, Mitarbeiter- und Baustellendaten in jedem Betrieb.
  • Kernpflichten: VVT, AV-Vertraege, TOMs und Loeschkonzept.
  • Betroffenenrechte und Meldefristen muessen organisatorisch abgebildet werden.

Kernaussagen

  • Datenschutz ist Prozess, nicht einmalige Checkliste.
  • Ohne AV-Vertrag ist Cloud-Nutzung rechtlich riskant.
  • Datenminimierung reduziert Risiken und Aufwand spuerbar.

Entitäten & Begriffe

  • DSGVO
  • BDSG
  • VVT
  • AV-Vertrag
  • TOMs
  • DSFA

Weiterführende Artikel

Kundendaten, Mitarbeiterdaten, Wartungsvertraege, Baustellenfotos, Chatverlaeufe – Handwerksbetriebe verarbeiten taeglich personenbezogene Daten. Damit gelten die Regeln der DSGVO und des BDSG. Der Irrtum "wir sind zu klein" fuehrt in der Praxis zu Abmahnungen, Kundenbeschwerden und teuren Nachbesserungen.

Das Ziel dieses Leitfadens: Ein praktischer Mindeststandard, der im Alltag funktioniert und auch bei Rueckfragen der Aufsichtsbehoerde standhaelt.

Welche Daten sind im Handwerk besonders sensibel?

  • Kundendaten: Name, Adresse, Telefonnummer, E-Mail
  • Auftragsdaten: Leistungsumfang, Preise, Termine, Baustellenadressen
  • Mitarbeiterdaten: Arbeitszeiten, Krankmeldungen, Qualifikationen
  • Fotos und Videos: Baustellen, Wohnungen, technische Anlagen
  • Zahlungsdaten: Bankverbindungen, SEPA-Mandate

Wichtig: Auch scheinbar harmlose Daten (z.B. Adressen) unterliegen dem Datenschutz.

Die Rechtsgrundlagen verstehen (Artikel 6 DSGVO)

Datenverarbeitung ist nur erlaubt, wenn eine Rechtsgrundlage vorliegt. Im Handwerksbetrieb sind die wichtigsten:

  • Vertragserfuellung: Ohne Daten keine Angebotserstellung oder Rechnungsstellung.
  • Rechtliche Pflicht: Steuerliche Aufbewahrungspflichten, Arbeitsrecht.
  • Berechtigtes Interesse: z.B. Kundenpflege, Forderungsmanagement.
  • Einwilligung: z.B. Newsletter oder Marketing.

Praxis-Tipp: Verlassen Sie sich nicht auf Einwilligungen, wenn eine Verarbeitung ohnehin vertraglich erforderlich ist.

Pflicht 1: Verzeichnis von Verarbeitungstaetigkeiten (VVT)

Das VVT ist das Herzstueck der DSGVO-Dokumentation. Es beschreibt, welche Daten zu welchem Zweck verarbeitet werden.

Ein schlankes VVT umfasst typischerweise:

  • Angebots- und Auftragsabwicklung
  • Rechnungsstellung und Buchhaltung
  • Personalverwaltung
  • Wartungs- und Servicevertraege
  • Marketing (z.B. Mailings)

Ohne VVT fehlt die Grundlage fuer fast alle weiteren Datenschutzprozesse.

Pflicht 2: Auftragsverarbeitung (AV-Vertraege)

Sobald ein externer Dienstleister Daten im Auftrag verarbeitet, brauchen Sie einen AV-Vertrag. Typische Beispiele:

  • Cloud-ERP oder Handwerkersoftware
  • E-Mail-Hosting
  • Buchhaltungs- oder Lohnabrechnungssysteme
  • Telefon- oder Terminservice

Wichtig: Ein AV-Vertrag ist kein optionaler Anhang. Ohne ihn ist die Verarbeitung unzulaessig.

Pflicht 3: Technische und organisatorische Massnahmen (TOMs)

Die DSGVO verlangt angemessene Sicherheitsmassnahmen. In der Praxis muessen diese dokumentiert sein, z.B.:

  • Zugriffskontrollen und Rollen
  • Zwei-Faktor-Authentifizierung fuer Admin-Zugaenge
  • Verschluesselung von Backups
  • Regelmaessige Updates und Patch-Management
  • Schulung der Mitarbeitenden

Die Massnahmen muessen zum Risiko passen. Ein Betrieb mit 10 Mitarbeitenden hat andere Anforderungen als ein Konzern – aber gar nichts ist keine Option.

Pflicht 4: Informationspflichten gegenueber Kunden

Kunden muessen wissen, welche Daten verarbeitet werden. Das betrifft:

  • Datenschutzhinweise auf der Website
  • Hinweise in Formularen (Kontakt, Terminvereinbarung)
  • Informationen bei telefonischer Datenerfassung

Praxis-Tipp: Verwenden Sie klare, kurze Texte. Der Datenschutzhinweis muss lesbar sein, nicht nur rechtlich korrekt.

Pflicht 5: Loeschkonzept

Daten duerfen nicht unbegrenzt gespeichert werden. Ein Loeschkonzept definiert:

  • Welche Daten wie lange gespeichert werden
  • Wann geloescht oder anonymisiert wird
  • Welche gesetzlichen Fristen gelten (z.B. Aufbewahrungspflichten)

Ein Loeschkonzept muss nicht automatisiert sein, aber nachvollziehbar.

Datenschutz im Alltag: Was wirklich funktioniert

  • Zentrale Systeme: Keine Dateninseln in privaten Postfaechern.
  • Standardisierte Ablage: Einheitliche Ordner- und Dokumentenlogik.
  • Klare Rollen: Wer darf Kundendaten exportieren oder loeschen?
  • Dokumentierte Prozesse: Kurze, praxisnahe Richtlinien reichen oft aus.

DSGVO-Checkliste fuer Handwerksbetriebe

  • VVT vorhanden und aktuell?
  • AV-Vertraege mit Software- und Hosting-Anbietern abgeschlossen?
  • Datenschutzhinweise auf Website, Formularen, E-Mails?
  • TOMs definiert und umgesetzt?
  • Loeschkonzept dokumentiert?
  • Mitarbeiter geschult?

Betroffenenrechte: Auskunft, Loeschung, Berichtigung

Kunden und Mitarbeiter haben Rechte auf Auskunft, Berichtigung und Loeschung. Das ist in der Praxis kein Randthema, sondern Pflicht.

  • Auskunft: Welche Daten werden gespeichert, woher stammen sie, wozu werden sie genutzt?
  • Berichtigung: Falsche Daten muessen korrigiert werden.
  • Loeschung: Daten muessen geloescht werden, sobald keine Rechtsgrundlage mehr besteht.

Ein klarer Prozess spart Zeit: Wer beantwortet Anfragen, welche Vorlagen werden genutzt, und wie werden Fristen eingehalten?

Datenpannen melden: Die 72-Stunden-Regel

Wenn personenbezogene Daten unrechtmaessig offengelegt werden (z.B. Verlust eines Laptops, gehacktes E-Mail-Konto), besteht Meldepflicht. In der Regel muss die Aufsichtsbehoerde innerhalb von 72 Stunden informiert werden.

Ein simples Notfallblatt reicht oft schon: Wer informiert wen, und welche Daten sind betroffen?

Datenschutz-Folgenabschaetzung (DSFA): Wann sie erforderlich ist

Eine DSFA ist erforderlich, wenn ein hohes Risiko fuer Betroffene besteht. Beispiele:

  • systematische Videoaufnahmen auf Baustellen
  • dauerhafte Standortueberwachung von Mitarbeitenden
  • umfangreiche Profilbildung oder automatisierte Entscheidungen

Fuer viele Standardprozesse im Handwerk ist keine DSFA noetig, aber bei sensiblen Projekten kann sie Pflicht sein.

Auftragsverarbeitung in der Praxis

Wenn ein Dienstleister Daten fuer Sie verarbeitet, brauchen Sie klare Regeln:

  • Was wird verarbeitet?
  • Wo liegen die Daten?
  • Wie erfolgt die Loeschung?
  • Welche Subdienstleister werden genutzt?

Ein AV-Vertrag muss nicht kompliziert sein, aber vollständig.

Datenschutz auf der Baustelle

Baustellenfotos und Dokumentationen sind wichtig, aber sensible Daten. Achten Sie darauf:

  • Fotos nur fuer den Projektzweck speichern
  • keine privaten Details ohne Notwendigkeit erfassen
  • klare Regeln, wer Fotos aufnehmen und speichern darf

Ein kurzer Leitfaden fuer Teams spart spaeter Diskussionen.

Datenminimierung: Weniger ist oft sicherer

Ein einfacher, aber wirksamer DSGVO-Grundsatz: Nur Daten erfassen, die wirklich gebraucht werden.

Beispiele im Handwerk:

  • Fuer Angebotserstellung reicht oft Name, Adresse, Telefonnummer.
  • Geburtsdaten sind selten notwendig.
  • Standortdaten von Fahrzeugen nur erfassen, wenn ein legitimer Zweck vorliegt.

Weniger Daten bedeuten weniger Risiko und weniger Verwaltungsaufwand.

Rollen und Verantwortlichkeiten im Betrieb

Datenschutz funktioniert nur, wenn Zuständigkeiten klar sind:

  • Wer ist interner Ansprechpartner?
  • Wer beantwortet Auskunftsanfragen?
  • Wer verwaltet AV-Vertraege?

Eine klare Zuordnung verhindert Chaos im Ernstfall.

Einwilligungen: Wann sie sinnvoll sind

Einwilligungen sind vor allem bei Marketing wichtig. Sie sollten:

  • aktiv erteilt werden
  • dokumentiert sein
  • jederzeit widerrufbar sein

Fuers Tagesgeschaeft sind Einwilligungen oft nicht erforderlich, weil der Vertrag die Rechtsgrundlage bildet.

Datenschutz bei der Softwareauswahl

Nicht jede Software passt zu den Datenschutzanforderungen. Pruefen Sie bei der Auswahl:

  • Wo werden Daten gespeichert (EU/DE)?
  • Gibt es klare Auftragsverarbeitungsvertraege?
  • Welche Subdienstleister sind beteiligt?
  • Gibt es Rollen- und Rechtekonzepte?

Eine Datenschutzpruefung vor der Einfuehrung spart spaeter viel Aufwand.

Minimal-Set an Dokumenten

Die meisten Betriebe kommen mit einem schlanken Set aus:

  • Verzeichnis von Verarbeitungstaetigkeiten
  • Muster fuer AV-Vertraege
  • Datenschutzhinweise (Website, Formulare)
  • Loeschkonzept

Dieses Set ist handhabbar und deckt die wichtigsten Pflichten ab.

Mitarbeiterschulung: Der unterschätzte Faktor

Viele Datenschutzprobleme entstehen nicht durch Technik, sondern durch Unsicherheit im Team. Eine kurze Schulung pro Jahr reicht oft aus, um typische Fehler zu vermeiden:

  • Umgang mit E-Mails und Anhängen
  • Weitergabe von Kundendaten
  • Fotografieren auf Baustellen

Eine dokumentierte Schulung zeigt zudem, dass der Betrieb Verantwortung uebernimmt.

Praxisbeispiel: DSGVO im Kleinbetrieb

Ein Betrieb mit acht Mitarbeitenden erfasst Kundendaten zentral im ERP. Er nutzt ein kurzes VVT, einen AV-Vertrag mit dem Cloud-Anbieter und ein Loeschkonzept mit jaehrlicher Pruefung. Ergebnis: wenig Aufwand, aber klare Compliance.

Häufig gestellte Fragen (FAQ)

Brauchen kleine Handwerksbetriebe wirklich ein VVT?

Ja. Das VVT ist Grundpflicht nach DSGVO und gilt auch fuer kleine Betriebe.

Muss ich fuer jede Software einen AV-Vertrag haben?

Wenn der Anbieter personenbezogene Daten verarbeitet, ja. Dazu gehoeren Cloud-ERP, E-Mail-Hosting oder Terminservices.

Duerfen Baustellenfotos gespeichert werden?

Ja, wenn sie fuer die Auftragserfuellung notwendig sind. Fotos sollten zweckgebunden gespeichert und nicht unnoetig geteilt werden.

Wie gehe ich mit Kundenanfragen zur Datenauskunft um?

Sie muessen innerhalb der gesetzlichen Frist Auskunft geben koennen. Ein klarer Prozess spart hier viel Zeit.

Muss ich einen Datenschutzbeauftragten benennen?

Das haengt von Groesse und Taetigkeit ab. Viele Handwerksbetriebe brauchen keinen eigenen Datenschutzbeauftragten, sollten aber eine verantwortliche Ansprechperson benennen.

Wie lange darf ich Kundendaten nach Auftragsende speichern?

Solange gesetzliche Aufbewahrungspflichten bestehen oder berechtigte Interessen vorliegen. Nach Ablauf der Fristen sollten Daten geloescht oder anonymisiert werden.