Datenschutz im Handwerk: 7 typische Fallstricke — und wie Sie sie vermeiden

Adressen, Telefonnummern, Auftragsdetails landen häufig in geteilten Excel-Tabellen oder werden über private WhatsApp-Gruppen koordiniert. Das ist schnell, aber rechtlich problematisch: Excel-Tabellen sind selten zugriffsbeschränkt, WhatsApp läuft über Meta-Server (Drittlandtransfer) und ohne dokumentierte Rechtsgrundlage.

Lösung: Ein einfaches CRM- oder Branchen-Tool (z.B. ToolTime, Streit V.1, openHandwerk) mit zugriffsbeschränkten Nutzerprofilen — und WhatsApp Business nur mit dokumentierter Einwilligung der Kunden.

Bewerbungen kommen per E-Mail, werden im Postfach abgelegt — und bleiben dort jahrelang. Das ist eine doppelte Verletzung: keine Zugriffsbeschränkung (jeder im Mail-System sieht sie) und keine Löschung nach Abschluss des Bewerbungsverfahrens. Standardpraxis im Handwerk, aber gegen Art. 5 (1) e DSGVO ("Speicherbegrenzung").

Lösung: Bewerbungs-Postfach getrennt einrichten, Zugriff nur Geschäftsführung & HR. Nach Absage oder Einstellung: 6 Monate Aufbewahrungsfrist (zur Verteidigung gegen Gleichbehandlungs-Klagen), danach Löschung. Schriftlich dokumentieren.

Foto vom abgeschlossenen Bad für Instagram. Im Spiegel: der Auftraggeber. Auf der Hausbaustelle: Nachbarskinder im Garten. Solche Aufnahmen sind personenbezogene Daten und brauchen eine Rechtsgrundlage — eine Einwilligung oder berechtigtes Interesse mit Interessenabwägung.

Lösung: Vor Veröffentlichung gezielt prüfen, wer erkennbar ist. Im Zweifel verpixeln oder ausschneiden. Bei geplanten Referenzfotos: kurze schriftliche Einwilligung des Auftraggebers (zwei Sätze auf dem Auftragsformular reichen).

Sie geben Kundendaten an einen Subunternehmer (Elektriker, Bodenleger, Gerüstbauer). Damit wird er zum Auftragsverarbeiter nach Art. 28 DSGVO — und braucht einen schriftlichen Auftragsverarbeitungsvertrag (AVV). Ohne AVV ist die Datenweitergabe rechtswidrig — auch wenn der Sub die Daten zur Auftragserfüllung braucht.

Lösung: Standard-AVV-Vorlage (z. B. von der WKO) erstellen und mit jedem regelmäßigen Subunternehmer abschließen. Bei einmaliger Tätigkeit reicht meist eine kurze Datenschutz-Klausel im Werkvertrag.

Der Polier ruft Kunden vom eigenen Handy an, speichert Adressen im persönlichen Kontaktbuch, fotografiert Schäden mit der privaten Kamera-App. Wenn er das Handy verliert oder den Job wechselt, sind die Daten unkontrolliert verteilt. Im Bußgeldfall: Sie haften für die mangelnde organisatorische Sicherheit.

Lösung: Entweder Diensthandys ausgeben (sauber) oder eine schriftliche Bring-Your-Own-Device-Richtlinie mit verpflichtender App-Trennung (z.B. via Microsoft Intune) und Löschpflicht beim Austritt.

Anfragen kommen zunehmend über Direktnachrichten in Instagram oder Facebook. Praktisch — aber Sie können die Konversation nicht in Ihr CRM exportieren, nicht nach Kategorie suchen, nicht im DSAR-Fall (Auskunftsanfrage) sauber liefern. Plus: Daten landen unkontrolliert auf Meta-Servern in den USA.

Lösung: In der Bio einen klaren Hinweis setzen: "Anfragen bitte per Mail an info@…". Über DMs eintreffende Anfragen aktiv in Ihr Mail-/CRM-System überführen, dann dort weiterbearbeiten. Den Übergang dokumentieren.

Lohnzettel, Krankenstandsmeldungen, Bewerbungsunterlagen, Verträge — alles im Dropbox-Ordner "HR" oder im Microsoft-OneDrive der Geschäftsführung. Häufig: keine Zwei-Faktor-Authentifizierung, keine Verschlüsselung, kein dokumentiertes Berechtigungskonzept.

Lösung: 2FA aktivieren (Pflicht). Sensitive Ordner mit getrennten Zugriffsrechten anlegen. Verschlüsselung "at rest" prüfen (bei Microsoft 365 Business standardmäßig aktiv). Berechtigungskonzept dokumentieren — wer darf was.