DSGVO für Handwerksbetriebe — Der praktische Leitfaden

DSGVO für Handwerksbetriebe — Der praktische Leitfaden

DSGVO einfach erklärt: Was Handwerksbetriebe wirklich beachten müssen. Checkliste, häufige Fehler und konkrete Maßnahmen.

Ratgeber18. Februar 2026

DSGVO für Handwerksbetriebe — Der praktische Leitfaden

Die Datenschutz-Grundverordnung (DSGVO) gilt seit Mai 2018 — und betrifft jeden Handwerksbetrieb, egal ob Ein-Mann-Betrieb oder Firma mit 20 Mitarbeitern. Trotzdem herrscht in vielen Werkstätten noch Unsicherheit: Was muss ich wirklich tun? Wo lauern Abmahnfallen? Und was passiert, wenn ich nichts mache?

Dieser Leitfaden erklärt die DSGVO speziell für Handwerksbetriebe — ohne Juristendeutsch, dafür mit konkreten Maßnahmen und einer Checkliste zum Abhaken.

Welche Daten sammelt ein Handwerksbetrieb überhaupt?

Viele Handwerker denken: „Ich bin doch kein Tech-Unternehmen, was hat Datenschutz mit mir zu tun?" Die Antwort: mehr als du denkst. Im normalen Tagesgeschäft verarbeitest du eine Menge personenbezogener Daten:

Kundendaten

  • Namen, Adressen, Telefonnummern und E-Mail-Adressen
  • Bankverbindungen und Zahlungsinformationen
  • Fotos von Baustellen, auf denen Personen oder Privaträume erkennbar sind
  • Schlüssel-Listen oder Zugangscodes zu Kundenobjekten
  • Kommunikation per WhatsApp, E-Mail oder Messenger

Mitarbeiterdaten

  • Personalakten mit Geburtsdatum, Steuer-ID, Sozialversicherungsnummer
  • Arbeitszeiterfassung und Urlaubsübersichten
  • Krankmeldungen und Gesundheitsdaten
  • GPS-Daten bei Fahrzeugortung oder digitaler Zeiterfassung
  • Fotos für Firmenausweise oder die Website

Lieferanten und Subunternehmer

  • Ansprechpartner mit Kontaktdaten
  • Vertragsdaten und Konditionen
  • Bonitätsinformationen

All diese Daten fallen unter die DSGVO. Du brauchst für jede Verarbeitung eine Rechtsgrundlage — und musst dokumentieren, was du tust.

Die 7 wichtigsten Pflichten für Handwerksbetriebe

1. Verarbeitungsverzeichnis führen

Jeder Betrieb muss ein sogenanntes Verzeichnis von Verarbeitungstätigkeiten (VVT) führen. Klingt bürokratisch, ist aber im Kern eine einfache Tabelle:

  • Welche Daten verarbeitest du? (z. B. Kundenadressen)
  • Warum? (z. B. Rechnungsstellung)
  • Rechtsgrundlage? (z. B. Vertragserfüllung nach Art. 6 Abs. 1 lit. b DSGVO)
  • Wer hat Zugriff? (z. B. Bürokraft, Steuerberater)
  • Wie lange speicherst du sie? (z. B. 10 Jahre wegen Aufbewahrungspflicht)
  • Welche Schutzmaßnahmen gibt es? (z. B. Passwortschutz, Verschlüsselung)

Praxis-Tipp: Lade dir eine kostenlose Vorlage von der Handwerkskammer herunter. Die meisten Kammern bieten branchenspezifische Muster an. Einmal ausgefüllt, musst du es nur bei Änderungen aktualisieren.

2. Datenschutzerklärung auf der Website

Wenn du eine Website hast — und sei es nur eine einfache Firmenseite — brauchst du eine Datenschutzerklärung. Diese muss unter anderem enthalten:

  • Wer du bist (verantwortliche Stelle)
  • Welche Daten die Website erhebt (Cookies, Kontaktformular, Analytics)
  • Rechtsgrundlagen der Verarbeitung
  • Speicherdauer
  • Rechte der Betroffenen (Auskunft, Löschung, Widerspruch)

Achtung: Generatoren wie der von der Kanzlei Dr. Schwenke oder eRecht24 sind ein guter Startpunkt. Aber prüfe, ob alle deine konkreten Verarbeitungen abgedeckt sind — besonders wenn du Tools wie Google Analytics, Facebook-Pixel oder Buchungsformulare nutzt.

3. Auftragsverarbeitungsverträge (AVV) abschließen

Wenn du Dienstleister einsetzt, die in deinem Auftrag personenbezogene Daten verarbeiten, brauchst du einen AVV. Das betrifft typischerweise:

  • Deinen Steuerberater (wenn er Lohnabrechnungen macht)
  • Cloud-Dienste (Buchhaltungssoftware, Zeiterfassung, E-Mail-Hosting)
  • IT-Dienstleister (die Zugriff auf deine Systeme haben)
  • Newsletter-Tools (Mailchimp, CleverReach & Co.)

Die meisten professionellen Anbieter stellen fertige AVVs bereit, die du nur unterschreiben musst. Sammle diese in einem Ordner — digital oder physisch.

4. Einwilligungen korrekt einholen

Nicht jede Datenverarbeitung braucht eine Einwilligung. Für die Vertragserfüllung (Rechnung schreiben, Auftrag abwickeln) brauchst du keine gesonderte Erlaubnis. Aber für diese Fälle schon:

  • Fotos von Mitarbeitern für die Website oder Social Media
  • Newsletter-Versand an Kunden
  • GPS-Tracking von Firmenfahrzeugen (Mitarbeiter müssen zustimmen)
  • Fotos von Kundenräumen, die du für Referenzen nutzen willst
  • WhatsApp-Kommunikation mit Kunden (datenschutzrechtlich heikel)

Eine Einwilligung muss freiwillig, informiert und widerrufbar sein. Am besten schriftlich oder digital dokumentiert.

5. Rechte der Betroffenen gewährleisten

Kunden und Mitarbeiter haben das Recht auf:

  • Auskunft: Welche Daten hast du über mich?
  • Berichtigung: Falsche Daten müssen korrigiert werden.
  • Löschung: Daten müssen gelöscht werden, wenn kein Grund mehr für die Speicherung besteht.
  • Datenportabilität: Auf Wunsch musst du Daten in einem gängigen Format herausgeben.

Wichtig: Auf eine Anfrage musst du innerhalb eines Monats reagieren. Richte einen einfachen Prozess ein — auch wenn solche Anfragen selten kommen.

6. Datensicherheit gewährleisten

Die DSGVO verlangt „technische und organisatorische Maßnahmen" (TOMs). Für Handwerksbetriebe heißt das konkret:

  • Passwörter: Sichere Passwörter für alle Systeme, kein „123456" oder „Werkstatt2020"
  • Zugriffsrechte: Nicht jeder Mitarbeiter braucht Zugriff auf alle Kundendaten
  • Backups: Regelmäßige Datensicherung — mindestens wöchentlich
  • Verschlüsselung: Laptop und Handy mit Passwort/PIN schützen
  • Entsorgung: Alte Festplatten und USB-Sticks sicher löschen, Papier schreddern
  • Updates: Betriebssystem und Software immer aktuell halten

7. Datenschutzverletzungen melden

Wenn personenbezogene Daten verloren gehen, gestohlen oder unbefugt weitergegeben werden, musst du das innerhalb von 72 Stunden der zuständigen Datenschutzbehörde melden. Das gilt zum Beispiel, wenn:

  • Ein Laptop mit Kundendaten gestohlen wird
  • Du versehentlich eine E-Mail mit Kundenliste an den falschen Empfänger schickst
  • Ein Hacker auf dein E-Mail-Konto zugreift

Die 5 häufigsten DSGVO-Fehler im Handwerk

Fehler 1: „Ich bin zu klein für Datenschutz"

Falsch. Die DSGVO gilt für jeden Betrieb, der personenbezogene Daten verarbeitet — also für jeden. Es gibt keine Ausnahme für Kleinbetriebe. Allerdings sind die Anforderungen verhältnismäßig: Ein Zwei-Mann-Betrieb muss keinen Datenschutzbeauftragten benennen (erst ab 20 Personen, die regelmäßig mit Daten arbeiten).

Fehler 2: WhatsApp für Kundenkommunikation ohne Nachdenken

WhatsApp gleicht automatisch das Adressbuch ab und überträgt Kontaktdaten an Meta-Server in den USA. Das ist datenschutzrechtlich problematisch. Besser: WhatsApp Business mit separatem Diensthandy nutzen oder auf Alternativen wie Signal oder Threema setzen. Mindestens brauchst du einen Hinweis in deiner Datenschutzerklärung.

Fehler 3: Fotos auf Social Media ohne Einwilligung

Du postest ein Bild von der Baustelle auf Instagram — und im Hintergrund ist der Kunde erkennbar, oder man sieht in seine Privaträume. Das kann teuer werden. Hol dir vorher eine schriftliche Einwilligung, oder achte darauf, dass keine Personen und keine identifizierbaren Innenräume zu sehen sind.

Fehler 4: Alte Kundendaten nie löschen

„Lösch ich nie, man weiß ja nie." — Diesen Satz hört man oft. Aber die DSGVO verlangt Datensparsamkeit. Kundendaten, die du nicht mehr brauchst und für die keine Aufbewahrungspflicht besteht, musst du löschen. Rechnungsdaten musst du 10 Jahre aufbewahren — aber die private Handynummer des Kunden nach Auftragsabschluss nicht unbedingt.

Fehler 5: Kein Verarbeitungsverzeichnis

Das VVT ist die Grundlage für alles. Ohne dieses Dokument kannst du bei einer Prüfung nicht nachweisen, dass du dich an die Regeln hältst. Die gute Nachricht: Für einen kleinen Handwerksbetrieb passt das oft auf zwei bis drei DIN-A4-Seiten.

Brauche ich einen Datenschutzbeauftragten?

Ein Datenschutzbeauftragter ist Pflicht, wenn mindestens 20 Personen ständig mit automatisierter Verarbeitung personenbezogener Daten beschäftigt sind. Für die meisten Handwerksbetriebe trifft das nicht zu.

Aber Achtung: Wenn du besondere Datenkategorien verarbeitest (z. B. Gesundheitsdaten in größerem Umfang), kann die Pflicht auch bei weniger Personen greifen. Im Zweifel: bei der Handwerkskammer nachfragen.

Auch ohne Pflicht kann ein externer Datenschutzbeauftragter sinnvoll sein — er übernimmt die Dokumentation und hält dich auf dem Laufenden. Kostet meist zwischen 100 und 300 Euro pro Monat.

DSGVO-Checkliste für Handwerksbetriebe

Hier die wichtigsten Punkte zum Abhaken:

  • Verarbeitungsverzeichnis erstellt und aktuell
  • Datenschutzerklärung auf der Website vorhanden und vollständig
  • Impressum auf der Website korrekt
  • Cookie-Banner mit Opt-in für nicht-essenzielle Cookies
  • Auftragsverarbeitungsverträge mit allen Dienstleistern abgeschlossen
  • Einwilligungen für Fotos (Mitarbeiter + Kunden) dokumentiert
  • Sichere Passwörter für alle Systeme und Geräte
  • Regelmäßige Datensicherung eingerichtet
  • Prozess für Auskunftsanfragen definiert
  • Löschkonzept: Wann werden welche Daten gelöscht?
  • Mitarbeiter über Datenschutz-Grundregeln informiert
  • Meldeprozess für Datenpannen bekannt

Was passiert bei Verstößen?

Theoretisch sind Bußgelder von bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes möglich. In der Praxis sind die Strafen für kleine Betriebe deutlich geringer — aber immer noch schmerzhaft. Bußgelder im niedrigen fünfstelligen Bereich sind keine Seltenheit.

Noch häufiger als Behördenstrafen sind Abmahnungen durch Wettbewerber oder spezialisierte Anwälte. Eine fehlende oder fehlerhafte Datenschutzerklärung auf der Website ist ein beliebtes Abmahnziel.

Fazit: Datenschutz ist machbar

Die DSGVO ist kein Hexenwerk — auch nicht für Handwerksbetriebe. Die meisten Maßnahmen sind einmalige Aufgaben, die du an einem ruhigen Nachmittag erledigen kannst. Einmal eingerichtet, läuft es weitgehend im Hintergrund.

Die wichtigsten drei Schritte für den Anfang:

  1. Verarbeitungsverzeichnis erstellen (Vorlage von der Handwerkskammer holen)
  2. Datenschutzerklärung auf der Website prüfen und aktualisieren
  3. AVVs mit deinen wichtigsten Dienstleistern abschließen

Damit hast du die größten Baustellen abgedeckt und bist für eine mögliche Prüfung deutlich besser aufgestellt als die meisten Betriebe.

Tipp: Viele Handwerkskammern bieten kostenlose Erstberatungen zum Thema Datenschutz an. Nutze dieses Angebot — es lohnt sich.

#dsgvo #datenschutz #handwerk #leitfaden #recht

War dieser Artikel hilfreich?

Werkstatt-Ratgeber Newsletter

2x monatlich, kein Spam, jederzeit abbestellbar

Hat dir dieser Artikel geholfen? Erhalte neue Vergleiche, Ratgeber und saisonale Praxis-Tipps direkt in dein Postfach.

WR

Werkstatt-Ratgeber Redaktion

Fachredaktion — geprüft und aktualisiert

Geprüft am 18. Februar 2026

Ähnliche Artikel

Zeiterfassung wechseln: So überzeugst du dein Team
Ratgeber17. April 2026

Zeiterfassung wechseln: So überzeugst du dein Team

Digitale Zeiterfassung einführen, ohne dass dein Team rebelliert. Change-Management-Tipps für Handwerksbetriebe.

7 Min. Lesezeit
Von Zettel zu Digital: Der Wechsel-Guide für Handwerker
Ratgeber16. April 2026

Von Zettel zu Digital: Der Wechsel-Guide für Handwerker

Schritt-für-Schritt-Anleitung für den Umstieg von Papier auf digitale Zeiterfassung. In 4 Wochen zum laufenden System.

8 Min. Lesezeit
Handwerker-Rechnung: Pflichtangaben und häufige Fehler
Ratgeber12. April 2026

Handwerker-Rechnung: Pflichtangaben und häufige Fehler

Alle Pflichtangaben auf Handwerkerrechnungen nach §14 UStG, Kleinbetragsrechnungen, Reverse-Charge und die 10 häufigsten Fehler.

8 Min. Lesezeit

Quelle: werkstatt-ratgeber.de/ratgeber/dsgvo-handwerksbetrieb-leitfaden