In einem Satz. Ein Handwerksbetrieb wird DSGVO-konform, indem er ein Verzeichnis der Verarbeitungstätigkeiten führt, für Kundendaten und Angebote klare Rechtsgrundlagen dokumentiert, AVV mit Steuerberater und Cloud-Diensten schließt, Baustellenfotos nur mit Einwilligung von Personen veröffentlicht und gesetzliche Aufbewahrungsfristen (10 Jahre für Rechnungen) einhält - ein Aufwand von wenigen Stunden für die meisten Betriebe unter 20 Beschäftigten.
Was muss ein Handwerksbetrieb für DSGVO-Konformität tun? Kurz: jede Verarbeitung personenbezogener Daten - vom ersten Kontaktformular über den Kostenvoranschlag bis zur Schlussrechnung - braucht eine Rechtsgrundlage, muss im Art.-30-Verzeichnis stehen und nach festen Fristen gelöscht werden. Für die grundlegenden Kammer- und Innungsfragen ergänzt dieser Text unseren Leitfaden DSGVO Handwerk Deutschland; hier geht es um die operative Praxis im kleinen Betrieb. Einen allgemeinen Einstieg bietet unsere DSGVO-Checkliste.
Wichtige Punkte
- Auch der Ein-Mann-Betrieb unterliegt vollständig der DSGVO.
- Kein DSB nötig bei unter 20 Personen mit automatisierter Verarbeitung - aber Verzeichnis ist Pflicht.
- Baustellenfotos: Sachaufnahmen frei, Personen nur mit Einwilligung.
- WhatsApp-Nutzung ist der häufigste Praxis-Verstoß.
- Rechnungsdaten 10 Jahre aufbewahren (HGB, AO), dann löschen.
1. Welche Daten ein Handwerksbetrieb verarbeitet
Schon der kleinste Betrieb verarbeitet mehr personenbezogene Daten, als der Inhaber meist annimmt: Name, Adresse, Telefonnummer und E-Mail des Kunden, Angebots- und Rechnungsdaten, Zahlungsinformationen, Fotos von Objekten und Baustellen, Zugangscodes zu Wohnungen, sowie sämtliche Beschäftigtendaten. Jede dieser Kategorien braucht eine Rechtsgrundlage nach Art. 6 DSGVO.
2. Rechtsgrundlagen pro Verarbeitung
| Verarbeitung | Rechtsgrundlage |
|---|---|
| Angebot / Kostenvoranschlag | Art. 6 Abs. 1 lit. b (vorvertraglich) |
| Auftragsabwicklung | Art. 6 Abs. 1 lit. b |
| Rechnung und Buchhaltung | Art. 6 Abs. 1 lit. c (HGB, AO) |
| Gewährleistungsdokumentation | Art. 6 Abs. 1 lit. f |
| Baustellenfoto (Sachaufnahme) | Art. 6 Abs. 1 lit. f |
| Baustellenfoto mit Personen | Art. 6 Abs. 1 lit. a (Einwilligung) |
| Werbung / Newsletter | Art. 6 Abs. 1 lit. a |
| Mitarbeiterdaten | § 26 BDSG |
Wer Werbung auf ein berechtigtes Interesse stützen will, muss die Interessenabwägung dokumentieren - bei E-Mail-Werbung greift zusätzlich § 7 UWG mit dem Erfordernis der Einwilligung.
3. Angebote und Kostenvoranschläge
Der Kostenvoranschlag ist eine vorvertragliche Maßnahme (Art. 6 Abs. 1 lit. b). Damit dürfen die Kontaktdaten für die Angebotsphase gespeichert werden. Kommt kein Auftrag zustande, ist die Datengrundlage aber begrenzt: Nicht angenommene Angebote sollten nach einer angemessenen Nachfrist (üblich: 6 bis 12 Monate) gelöscht werden, sofern keine steuerliche Aufbewahrungspflicht besteht. Grundlage ist der Grundsatz der Speicherbegrenzung.
4. Baustellenfotos - der Dauerbrenner
Fotos von der Baustelle sind für Referenzen, Social Media und Gewährleistung wertvoll, aber datenschutzrechtlich heikel:
- Reine Sachaufnahmen (Bauteile, Rohbau, Installation ohne Personen): berechtigtes Interesse, kein Personenbezug.
- Fotos mit erkennbaren Mitarbeitern: § 26 BDSG plus separate Einwilligung; das Kunsturhebergesetz (§ 22 KunstUrhG) verlangt zusätzlich Einwilligung zur Veröffentlichung.
- Fotos mit Kunden oder Anwohnern: Einwilligung erforderlich.
- Innenaufnahmen von Wohnungen: besonders sensibel, weil sie Rückschlüsse auf die Lebensverhältnisse zulassen - nur mit ausdrücklicher Zustimmung des Bewohners.
Ein einfaches Einwilligungsformular auf der Baustelle löst das Problem. Muster zu Einwilligungen finden Sie unter Einwilligung DSGVO Beispiele.
5. WhatsApp und Messenger
Die Nutzung von WhatsApp Business zur Kundenkommunikation ist im Handwerk verbreitet und zugleich der häufigste Verstoß: Die App überträgt Adressbuchdaten an einen US-Anbieter. Datenschutzkonform wird der Einsatz nur, wenn Kontakte nicht ungefiltert synchronisiert werden, Kunden über die Nutzung informiert werden und ein Alternativkanal angeboten wird. Sicherer sind europäische Messenger oder E-Mail. Bei US-Diensten ist ein Transfer-Impact-Assessment nötig - siehe DSGVO für US-Unternehmen.
6. Auftragsverarbeitung: Steuerberater, Cloud, Handwerkersoftware
Ein Auftragsverarbeitungsvertrag nach Art. 28 ist mit jedem Dienstleister nötig, der in Ihrem Auftrag personenbezogene Daten verarbeitet:
- Steuerberater und Lohnbüro (Standard-AVV der Steuerberaterkammer),
- Cloud-Speicher und Handwerkersoftware (HERO, openHandwerk, MeisterTask),
- E-Mail- und Newsletter-Dienste,
- IT-Dienstleister mit Fernwartung.
Prüfen Sie bei jedem Tool: Liegt ein AVV vor? Stehen die Server in der EU? Gibt es ein Backup- und Löschkonzept?
7. Aufbewahrungsfristen
| Datenart | Frist | Grundlage |
|---|---|---|
| Rechnungen, Buchungsbelege | 10 Jahre | § 147 AO, § 257 HGB |
| Angebote / Handelsbriefe | 6 Jahre | § 257 HGB |
| Nicht angenommene Angebote | 6-12 Monate | Speicherbegrenzung |
| Gewährleistungsdokumentation | bis Ablauf Gewährleistung (i.d.R. 5 Jahre bei Bauleistungen) | § 634a BGB |
| Bewerberdaten | 6 Monate nach Absage | AGG-Klagefrist |
| Lohnunterlagen | 6 Jahre | § 41 EStG |
Nach Fristablauf besteht eine Löschpflicht nach Art. 17 DSGVO, soweit keine weitere Rechtsgrundlage greift.
8. Mitarbeiterdaten im kleinen Betrieb
Auch mit zwei Gesellen gelten die Regeln des Beschäftigtendatenschutzes nach § 26 BDSG. Die Personalakte - ob Papier oder digital - ist streng zugriffsbeschränkt. Bewerberdaten werden nach 6 Monaten gelöscht (AGG-Klagefrist), sofern keine Aufnahme in einen Bewerberpool mit Einwilligung erfolgt. GPS-Ortung von Firmenfahrzeugen ist nur zur Disposition und nicht zur heimlichen Verhaltenskontrolle zulässig; eine dauerhafte Bewegungsüberwachung der Beschäftigten ist unzulässig.
9. Website und Kontaktformular
Auch die schlichteste Handwerker-Website braucht eine Datenschutzerklärung und ein Impressum. Ein Kontaktformular darf nur Pflichtfelder als solche kennzeichnen. Werden Tracking-Cookies oder Google-Dienste (Maps, Fonts, Analytics) eingesetzt, ist ein Cookie-Banner mit echter Ablehnoption nötig - Details unter TTDSG Cookie-Banner. Google Fonts sollten lokal eingebunden werden.
10. Echte Bußgelder - was den Sektor betrifft
Direkte Sanktionen gegen kleine Handwerksbetriebe sind selten und bewegen sich meist im vierstelligen Bereich, meist nach Beschwerden. Aussagekräftig sind aber die großen Fälle, deren Muster auch für KMU gelten:
| Jahr | Behörde | Fall (Sektor) | Sanktion | Lehre für Betriebe |
|---|---|---|---|---|
| 2020 | HmbBfDI | H&M (Beschäftigte) | 35.300.000 € | keine exzessiven Mitarbeiterprofile |
| 2021 | LfDI BW | Notebooksbilliger (Handel) | 10.400.000 € | keine dauerhafte Videoüberwachung |
| 2019 | BlnBDI | Deutsche Wohnen (Immobilien) | 14.500.000 € | Löschfristen einhalten |
Das Muster ist klar: Sanktioniert werden systematische, jahrelang aufgebaute Verstöße - fehlende Löschung, Überwachung, unzulässige Profile. Genau diese Fehler sind auch im kleinen Betrieb vermeidbar.
11. Häufige Fehler
- Kein Art.-30-Verzeichnis, weil “wir sind ja klein”.
- WhatsApp mit vollständiger Adressbuch-Synchronisierung.
- Baustellenfotos mit Personen ungefragt auf Instagram.
- Alte Angebote und Kundendaten werden nie gelöscht.
- Kein AVV mit Steuerberater und Cloud-Software.
- Verlorenes Firmenhandy ohne Verschlüsselung - potenzielle Datenpanne.
12. Tool-Unterstützung
Legiscope stellt handwerksgerechte Vorlagen für das Verarbeitungsverzeichnis, AVV, Foto-Einwilligung und Datenschutzerklärung bereit und führt kleine Betriebe Schritt für Schritt durch die Umsetzung - ohne Juristendeutsch.
13. Datenpanne: typische Szenarien im Handwerk
Die häufigste Datenpanne im Handwerk ist das verlorene oder gestohlene Firmengerät mit Kundendaten - Tablet auf der Baustelle, Smartphone im Firmenwagen, Notebook aus dem Büroeinbruch. Weitere Klassiker: eine Fehlversand-Rechnung an den falschen Kunden, ein gehacktes E-Mail-Postfach oder ein Ransomware-Befall der Handwerkersoftware. Ab Kenntnis der Panne läuft die 72-Stunden-Frist zur Meldung an die Landesdatenschutzbehörde nach Art. 33 DSGVO, sofern ein Risiko für die Betroffenen besteht. Ist das Gerät verschlüsselt, sinkt das Risiko oft so weit, dass keine Meldepflicht entsteht. Praktische Vorsorge: Geräteverschlüsselung aktivieren, Fernlöschung einrichten, ein kurzes Notfall-Merkblatt vorhalten. Die Meldewege sind unter Datenpanne melden beschrieben.
14. Umsetzung in fünf Schritten
- Bestandsaufnahme: Welche Daten fallen an (Angebot, Auftrag, Rechnung, Fotos, Personal)? Welche Tools und Dienstleister sind beteiligt?
- Verzeichnis anlegen: Verarbeitungstätigkeiten nach Art. 30 in einer einfachen Tabelle dokumentieren - Innungs- oder Kammervorlagen als Basis nutzen.
- Rechtsgrundlagen und Verträge: AVV mit Steuerberater, Cloud-Software und IT-Dienstleister schließen; Foto-Einwilligungen einführen.
- Löschkonzept: Fristen aus der Tabelle in Kalender-Erinnerungen übersetzen (Angebote nach 6-12 Monaten, Rechnungen nach 10 Jahren).
- Sicherheit und Routine: Geräteverschlüsselung, Passwortmanager, Datenschutzerklärung auf der Website - danach jährliche Kurzprüfung.
Mit diesem Ablauf ist ein typischer Betrieb in wenigen Stunden solide aufgestellt. Wer unsicher ist, ob eine Datenschutz-Folgenabschätzung nötig ist: Im klassischen Handwerk ohne systematische Überwachung ist sie in der Regel nicht erforderlich.
Fazit
Datenschutz im Handwerk ist überschaubar, wenn man ihn einmal sauber aufsetzt: Verzeichnis anlegen, Rechtsgrundlagen dokumentieren, AVV schließen, Löschfristen definieren und Foto-Einwilligungen nutzen. Die größten Praxisrisiken sind WhatsApp und ungefragte Baustellenfotos - beides mit wenig Aufwand lösbar. Wer zusätzlich ein Ladengeschäft betreibt, findet die Themen im Leitfaden Einzelhandel; vergleichbar pragmatisch lässt sich Datenschutz in Vereinen umsetzen.
FAQ
Brauche ich als Handwerker einen Datenschutzbeauftragten?
Nur, wenn mindestens 20 Personen ständig mit automatisierter Datenverarbeitung beschäftigt sind (§ 38 BDSG). Die meisten Handwerksbetriebe liegen darunter und brauchen keinen DSB - alle übrigen DSGVO-Pflichten gelten aber trotzdem.
Darf ich Baustellenfotos auf Instagram posten?
Reine Sachaufnahmen ohne Personen ja. Sobald Mitarbeiter, Kunden oder Anwohner erkennbar sind, brauchen Sie deren Einwilligung; für die Veröffentlichung gilt zusätzlich § 22 KunstUrhG.
Ist WhatsApp im Handwerk erlaubt?
Nur eingeschränkt. Die vollständige Synchronisierung des Adressbuchs überträgt Daten Dritter an einen US-Anbieter. Datenschutzkonform wird der Einsatz nur mit Einschränkung der Kontaktfreigabe, Information der Kunden und einem Alternativkanal.
Wie lange muss ich Kundendaten aufbewahren?
Rechnungs- und Buchungsbelege 10 Jahre (AO, HGB), Angebote und Handelsbriefe 6 Jahre. Nicht auftragsrelevante Kontaktdaten sollten nach 6 bis 12 Monaten gelöscht werden.
Was passiert bei einem verlorenen Firmenhandy?
Sind Kundendaten betroffen, prüfen Sie die 72-Stunden-Meldepflicht an die Landesdatenschutzbehörde. Mit Geräteverschlüsselung sinkt das Risiko so weit, dass oft keine hohe Gefahr besteht.
Rechtsstand und Behördeninformationen: BfDI und die Datenschutzkonferenz (DSK); Gesetzestexte unter gesetze-im-internet.de/bdsg_2018.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial