DSGVO-konformer Datenschutz: Leitfaden für Handwerk & Gewerbe

Kleine Betriebe, Handwerksbetriebe und Gewerbetreibende stehen vor einer Herausforderung, die auf den ersten Blick wenig mit ihrer eigentlichen Arbeit zu tun hat: dem Datenschutz nach der Datenschutz-Grundverordnung. DSGVO, Handwerk und Datenschutz klingen wie ein unwahrscheinliches Trio, doch die Realität ist eindeutig. Wer Kundendaten speichert, Mitarbeiter beschäftigt oder eine Webseite betreibt, unterliegt denselben gesetzlichen Pflichten wie ein Großunternehmen. Verstöße werden auch bei kleinen Betrieben geahndet, und Unwissenheit schützt vor Bußgeldern nicht. Gleichzeitig ist DSGVO-konformer Datenschutz im Handwerk kein unüberwindbares Hindernis. Mit einer klaren Struktur, den richtigen Prozessen und etwas Grundwissen lässt sich der gesetzliche Rahmen gut einhalten. Dieser Leitfaden zeigt, welche Pflichten konkret gelten, wo die häufigsten Fehler passieren und wie Betriebe ihren Datenschutz Schritt für Schritt in Ordnung bringen.

TL;DR — Das Wichtigste in Kürze

  • Handwerks- und Gewerbebetriebe sind vollständig an die DSGVO gebunden, unabhängig von ihrer Größe.
  • Kundendaten, Mitarbeiterdaten und digitale Kommunikation müssen datenschutzkonform verarbeitet und gespeichert werden.
  • Eine Datenschutzerklärung auf der Webseite ist Pflicht, ebenso wie ein internes Verarbeitungsverzeichnis.
  • Alte Datenträger müssen sicher und nachweisbar vernichtet werden, um Datenlecks zu verhindern.
  • Verstöße können empfindliche Bußgelder nach sich ziehen, die auch kleine Betriebe hart treffen.

Was die DSGVO für Handwerk und Gewerbe konkret bedeutet

Die DSGVO gilt seit 2018 europaweit und macht keine Ausnahme für kleine Unternehmen. Auch ein Malerbetrieb mit drei Mitarbeitern oder eine Schreinerei mit Direktkundschaft verarbeitet personenbezogene Daten: Namen, Adressen, Telefonnummern, Kontodaten für Rechnungen, vielleicht sogar Fotos von Baustellen, auf denen Personen zu sehen sind. All das fällt unter den Schutzbereich der Verordnung.

Welche Daten im Handwerk typischerweise anfallen

In einem typischen Handwerksbetrieb entstehen personenbezogene Daten an mehreren Stellen gleichzeitig. Kundendaten werden bei der Auftragsannahme erhoben, Mitarbeiterdaten bei der Einstellung, und Lieferantendaten fließen durch die kaufmännische Verwaltung. Dazu kommen digitale Kommunikationswege: E-Mails, Messenger-Nachrichten, manchmal auch Kundenbewertungsportale, über die Rückmeldungen eingehen.

Besonders oft unterschätzt werden Fotos. Wer Baustellen fotografiert, um seinen Betrieb auf Social Media oder der eigenen Webseite zu präsentieren, muss sicherstellen, dass dabei keine erkennbaren Personen abgebildet sind oder dass eine Einwilligung vorliegt. Gleiches gilt für Videoüberwachung im Betrieb oder auf dem Betriebsgelände.

Verarbeitungsverzeichnis: Pflicht oder Kür?

Artikel 30 der DSGVO verpflichtet Unternehmen dazu, ein sogenanntes Verarbeitungsverzeichnis zu führen. Darin wird dokumentiert, welche Daten zu welchem Zweck verarbeitet werden, wer darauf Zugriff hat und wie lange sie gespeichert bleiben. Für Betriebe mit weniger als 250 Mitarbeitern gilt diese Pflicht nur eingeschränkt, nämlich dann, wenn die Datenverarbeitung nicht nur gelegentlich stattfindet, besondere Kategorien von Daten verarbeitet werden oder die Verarbeitung ein Risiko für die Betroffenen darstellt.

In der Praxis bedeutet das: Fast jeder Handwerksbetrieb ist verpflichtet, ein solches Verzeichnis zu führen, weil Kundendaten regelmäßig verarbeitet werden. Ein einfaches Tabellendokument mit den relevanten Angaben reicht dabei aus.

Datenschutzerklärung, Einwilligung und technische Maßnahmen

Wer eine Webseite betreibt, kommt an einer Datenschutzerklärung nicht vorbei. Sie informiert Besucher darüber, welche Daten beim Besuch der Seite erhoben werden, zu welchem Zweck und auf welcher Rechtsgrundlage. Fehlt sie oder ist sie veraltet, drohen Abmahnungen, die in der Vergangenheit auch kleine Betriebe empfindlich getroffen haben.

Was in die Datenschutzerklärung gehört

Eine vollständige Datenschutzerklärung nennt mindestens folgende Punkte: den Namen und die Kontaktdaten des Verantwortlichen, Angaben zum eingesetzten Webhosting, Informationen über Cookies und Tracking-Tools, Hinweise zur Nutzung von Kontaktformularen sowie die Rechte der Nutzer, also das Recht auf Auskunft, Berichtigung und Löschung. Wer ein Kontaktformular einsetzt oder Newsletter verschickt, muss außerdem eine aktive Einwilligung einholen, die dokumentiert und widerrufbar ist.

Viele Betriebe aktualisieren ihre Datenschutzerklärung einmalig und vergessen sie danach. Das ist riskant, denn jede neue Funktion auf der Webseite, jedes neue Tool oder jeder Dienstleister, der Daten verarbeitet, erfordert eine Anpassung.

Technische und organisatorische Maßnahmen im Alltag

Die DSGVO fordert sogenannte technische und organisatorische Maßnahmen (TOM), um personenbezogene Daten zu schützen. Für Handwerksbetriebe bedeutet das konkret: Passwortschutz auf allen Geräten, regelmäßige Software-Updates, verschlüsselte E-Mail-Kommunikation bei sensiblen Inhalten und eine klare Regelung, wer auf welche Daten zugreifen darf.

Besonders relevant ist der Umgang mit alten Geräten. Wer einen alten PC, ein Tablet oder ein Notebook aus dem Betrieb ausscheidet, muss sicherstellen, dass darauf gespeicherte Daten nicht in falsche Hände geraten. Einfaches Löschen oder das Zurücksetzen auf Werkseinstellungen reicht dafür rechtlich nicht aus. Für eine rechtssichere Lösung empfiehlt sich die professionelle Festplattenvernichtung, die eine nachweisliche und vollständige Vernichtung der Datenträger gewährleistet.

Mitarbeiterdatenschutz: Unterschätzte Pflichten im Betrieb

Der Schutz von Mitarbeiterdaten ist im Handwerk oft das Thema, das am wenigsten Beachtung findet. Dabei entstehen gerade hier Risiken, die sowohl arbeitsrechtliche als auch datenschutzrechtliche Konsequenzen haben können.

Was bei der Verarbeitung von Mitarbeiterdaten gilt

Lohnabrechnungen, Krankmeldungen, Bewerbungsunterlagen und Arbeitszeiterfassungen enthalten sensible personenbezogene Daten. Für ihre Verarbeitung braucht der Betrieb entweder eine gesetzliche Grundlage oder die Einwilligung der betroffenen Person. In den meisten Fällen erlaubt das Bundesdatenschutzgesetz die Verarbeitung, solange sie zur Erfüllung des Arbeitsvertrags notwendig ist.

Problematisch wird es, wenn Mitarbeiterdaten länger als nötig aufbewahrt, ohne Zugriffsbeschränkung gespeichert oder an Dritte weitergegeben werden. Bewerbungsunterlagen abgelehnter Kandidaten dürfen beispielsweise nur für einen begrenzten Zeitraum aufbewahrt werden, danach müssen sie sicher vernichtet werden.

Umgang mit Krankmeldungen und Gesundheitsdaten

Gesundheitsdaten zählen laut DSGVO zu den besonderen Kategorien personenbezogener Daten und genießen einen erhöhten Schutz. Ein Arbeitgeber darf zwar wissen, dass ein Mitarbeiter krank ist und wie lange die Abwesenheit voraussichtlich dauert, er darf aber nicht die Diagnose erfragen oder speichern. Krankmeldungen sollten getrennt von anderen Personalakten aufbewahrt und nach Ablauf der gesetzlichen Aufbewahrungsfristen sicher vernichtet werden.

Häufige Fehler und wie Betriebe sie vermeiden

Datenschutzverstöße entstehen im Handwerk selten aus Böswilligkeit, sondern aus Unwissenheit oder Nachlässigkeit. Die folgende Übersicht zeigt typische Schwachstellen und wie sie sich beheben lassen.

Die häufigsten Datenschutzmängel im Überblick

Fehler Risiko Lösung
Fehlende oder veraltete Datenschutzerklärung Abmahnung, Bußgeld Regelmäßige Prüfung und Aktualisierung
Kein Verarbeitungsverzeichnis Bußgeld bei Prüfung Einfaches Dokument anlegen und pflegen
Unverschlüsselte E-Mails mit Kundendaten Datenleck, Haftung Verschlüsselung einrichten oder sichere Plattformen nutzen
Alte Datenträger nicht sicher vernichtet Datenschutzverletzung meldepflichtig Professionelle Vernichtung beauftragen
Kein Passwortschutz auf Betriebsgeräten Unbefugter Zugriff Starke Passwörter, Bildschirmsperre aktivieren
Fotos mit erkennbaren Personen ohne Einwilligung Abmahnung, Unterlassungsklage Einwilligung einholen oder Personen unkenntlich machen

Wann ein Datenschutzbeauftragter Pflicht ist

Nicht jeder Betrieb braucht einen betrieblichen Datenschutzbeauftragten. Die Pflicht besteht laut deutschem Recht, wenn mindestens 20 Personen regelmäßig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Für die meisten kleinen Handwerksbetriebe gilt diese Schwelle nicht.

Dennoch empfiehlt sich auch ohne Pflicht eine Anlaufstelle für Datenschutzfragen, sei es ein externer Dienstleister, der Steuerberater mit entsprechender Kenntnis oder ein dedizierter Mitarbeiter, der das Thema betreut. Datenschutz funktioniert dauerhaft nur dann, wenn er klar verantwortet wird.

Aufbewahrungsfristen und Datenlöschung im Handwerk

Datenschutz bedeutet nicht nur, Daten zu schützen, sondern auch, sie rechtzeitig zu löschen. Die DSGVO schreibt das Prinzip der Speicherbegrenzung vor: Daten dürfen nur so lange aufbewahrt werden, wie es der ursprüngliche Zweck erfordert.

Welche Fristen für Handwerksbetriebe gelten

Für Geschäftsunterlagen gelten steuerrechtliche Aufbewahrungsfristen, die dem Datenschutz vorgehen. Rechnungen, Verträge und buchungsrelevante Belege müssen in der Regel zehn Jahre aufbewahrt werden. Geschäftsbriefe und vergleichbare Unterlagen unterliegen einer Frist von sechs Jahren. Erst nach Ablauf dieser Fristen sind die Daten zu löschen oder sicher zu vernichten.

Die folgende Übersicht gibt einen Überblick über gängige Fristen:

Dokumentenart Aufbewahrungsfrist
Rechnungen und Buchungsbelege 10 Jahre
Handels- und Geschäftsbriefe 6 Jahre
Bewerbungsunterlagen (abgelehnte Kandidaten) 6 Monate nach Absage
Krankmeldungen Bis Lohnsteuerprüfung, max. 6 Jahre
Kundendaten ohne laufende Geschäftsbeziehung Nach Abschluss des Vorgangs, soweit keine andere Pflicht greift

Sichere Datenlöschung und Vernichtung von Unterlagen

Das Löschen digitaler Daten und das Vernichten von Papierdokumenten sind gleichrangige Pflichten. Papierunterlagen mit personenbezogenen Inhalten gehören in einen Aktenvernichter mit mindestens Sicherheitsstufe P-4 oder werden durch einen zertifizierten Dienstleister entsorgt. Bei digitalen Datenträgern reicht das einfache Löschen oder Formatieren nicht aus, da Daten mit entsprechender Software wiederhergestellt werden können.

Häufig gestellte Fragen

Gilt die DSGVO auch für Soloselbstständige im Handwerk?

Ja. Auch wer allein arbeitet und Kundendaten auf dem eigenen Laptop oder Smartphone speichert, unterliegt der DSGVO. Die Pflichten gelten unabhängig von der Betriebsgröße, sobald personenbezogene Daten von Dritten verarbeitet werden. In der Praxis sind die Anforderungen für Soloselbstständige überschaubar, aber sie existieren.

Was passiert bei einem Datenschutzverstoß im Handwerksbetrieb?

Datenschutzbehörden können Bußgelder verhängen, die sich nach Schwere des Verstoßes, Vorsatz oder Fahrlässigkeit sowie der wirtschaftlichen Lage des Betriebs richten. Daneben drohen Abmahnungen durch Mitbewerber oder Verbraucherverbände sowie zivilrechtliche Ansprüche betroffener Personen. Wichtig: Bestimmte Datenpannen müssen innerhalb von 72 Stunden bei der zuständigen Datenschutzbehörde gemeldet werden.

Müssen Handwerksbetriebe Auftragsverarbeitungsverträge abschließen?

Wenn ein Betrieb externe Dienstleister einsetzt, die personenbezogene Daten im Auftrag verarbeiten, zum Beispiel einen Cloud-Anbieter für die Buchhaltungssoftware oder ein externes Lohnbüro, ist ein Auftragsverarbeitungsvertrag nach Artikel 28 DSGVO Pflicht. Dieser Vertrag regelt, wie der Dienstleister die Daten schützt und welche Weisungen er dabei befolgen muss. Fehlt er, liegt ein Datenschutzverstoß vor.