DSGVO im Handwerk: Pflichten & Checkliste 2026

Das VVT ist die Grundlage Ihrer DSGVO-Compliance. Darin dokumentieren Sie, welche personenbezogenen Daten Sie zu welchem Zweck, auf welcher Rechtsgrundlage und wie lange verarbeiten.

Was gehört ins VVT?

• Kundendaten (Name, Adresse, Telefon, E-Mail)
• Mitarbeiterdaten (Lohnabrechnung, Zeiterfassung, Krankmeldungen)
• Bewerberdaten
• Lieferanten- und Subunternehmerdaten
• Bilder und Videos von Baustellen (wenn Personen erkennbar sind)

Das VVT muss schriftlich oder digital vorliegen und der Datenschutzbehörde auf Anfrage sofort vorgelegt werden können. Kostenlose Vorlagen bietet der ZDH (Zentralverband des Deutschen Handwerks) auf seiner Website an.

Haben Sie eine Website? Dann ist eine Datenschutzerklärung Pflicht – auch wenn Sie nur 2 Mitarbeiter haben. Fehlt sie, drohen Abmahnungen und Bußgelder.

Was muss die Datenschutzerklärung enthalten?

• Name und Kontaktdaten des Verantwortlichen (Sie als Betriebsinhaber)
• Welche Daten gesammelt werden (z. B. Kontaktformular, Google Analytics, Cookies)
• Zu welchem Zweck und auf welcher Rechtsgrundlage
• Wie lange die Daten gespeichert werden
• Rechte der Betroffenen (Auskunft, Löschung, Berichtigung)

Wichtig: Wenn Sie Google Maps, Google Analytics, Instagram-Feeds oder ähnliche Drittdienste einbinden, müssen diese explizit in der Datenschutzerklärung erwähnt werden. Nutzen Sie einen kostenlosen Generator wie den des Anwalts Dr. Schwenke für eine rechtssichere Vorlage.

Jedes Mal, wenn ein externer Dienstleister für Sie personenbezogene Daten verarbeitet, brauchen Sie einen Auftragsverarbeitungsvertrag (AVV). Das gilt für:

• Cloud-Software und Apps (Handwerkersoftware, Zeiterfassungs-Apps)
• Ihren Webhosting-Anbieter
• E-Mail-Dienstleister
• Lohnbuchhaltungssoftware oder Ihren Steuerberater
• Google (Analytics, Maps, Ads)

Die meisten seriösen Softwareanbieter stellen AVVs automatisch bereit oder verlinken sie in ihren AGBs. Prüfen Sie Ihre aktuellen Software-Abonnements: Liegt ein AVV vor? Falls nicht, kontaktieren Sie den Anbieter.

Alle Mitarbeiter, die mit personenbezogenen Daten arbeiten, müssen schriftlich auf die Einhaltung des Datenschutzes verpflichtet werden. Das ist eine der am häufigsten vergessenen DSGVO-Pflichten im Handwerk.

Was muss die Verpflichtung enthalten?

• Erklärung, welche Daten der Mitarbeiter verarbeitet
• Hinweis auf die Schweigepflicht gegenüber Dritten
• Hinweis auf Konsequenzen bei Verstößen
• Unterschrift des Mitarbeiters

Eine kurze Schulung (30–60 Minuten) zum Datenschutz im Betriebsalltag ist zusätzlich empfehlenswert. Kostenlose Schulungsmaterialien gibt es bei den Handwerkskammern.

Die Grundregel der DSGVO heißt Datensparsamkeit: Speichern Sie nur die Daten, die Sie wirklich brauchen. Ohne ausdrückliche Einwilligung dürfen Sie nur Daten erheben, die zur Vertragserfüllung notwendig sind.

Ohne Einwilligung erlaubt (zur Vertragserfüllung):

• Name, Adresse, Telefonnummer, E-Mail (für die Auftragsabwicklung)
• Bankdaten (für die Zahlung)
• Auftragsdokumentation (Fotos ohne erkennbare Personen)

Nur mit Einwilligung erlaubt:

• Newsletter-Versand
• Fotos mit erkennbaren Personen für Werbezwecke
• Gesundheitsdaten von Mitarbeitern
• Weitergabe von Kundendaten an Subunternehmer

Daten dürfen nicht ewig gespeichert werden. Das DSGVO-Prinzip der Speicherbegrenzung schreibt vor, dass Daten nur so lange gespeichert werden dürfen, wie es notwendig ist.

Typische Aufbewahrungsfristen im Handwerk:

• Steuerlich relevante Unterlagen (Rechnungen, Verträge): 10 Jahre (§ 147 AO)
• Geschäftsbriefe, E-Mails mit Geschäftsinhalt: 6 Jahre
• Bewerberdaten bei Ablehnung: 6 Monate
• Kundendaten nach Auftragsende: 6 Monate bis 2 Jahre (je nach Gewährleistungsansprüchen)

Erstellen Sie ein einfaches Löschkonzept: Wann werden welche Daten gelöscht? Legen Sie konkrete Zeitpunkte oder Ereignisse fest (z. B. „6 Monate nach Rechnungsbegleichung“).

Wenn personenbezogene Daten unbefugt weitergegeben, gestohlen oder vernichtet werden, müssen Sie das innerhalb von 72 Stunden der zuständigen Datenschutzbehörde melden.

Wann ist eine Datenpanne meldepflichtig?

• Laptop oder Smartphone mit Kundendaten gestohlen
• E-Mail mit Kundendaten an falschen Empfänger geschickt
• Hackerangriff auf Ihre IT-Systeme
• Papierakte mit Kundendaten verloren

Die Meldung erfolgt online beim zuständigen Landesamt für Datenschutzaufsicht (LDA). Zum Zeitpunkt der Meldung müssen Sie nicht alle Details kennen – melden Sie den bekannten Sachverhalt und aktualisieren Sie die Meldung bei weiteren Erkenntnissen.

Nicht jeder Betrieb braucht einen Datenschutzbeauftragten (DSB). Die Pflicht besteht in Deutschland, wenn mindestens 20 Mitarbeiter regelmäßig mit personenbezogenen Daten arbeiten (§ 38 BDSG).

Wichtig: Dabei zählen alle Mitarbeiter, die personenbezogene Daten verarbeiten – also fast alle. Ein Elektriker, der auf der Baustelle Kundendaten in einer App einträgt, zählt dazu.

Hat Ihr Betrieb weniger als 20 Mitarbeiter? Dann ist kein DSB Pflicht, aber empfehlenswert. Für Betriebe ab 20 Mitarbeitern gilt: Den DSB können Sie intern benennen oder extern beauftragen. Externe DSBs kosten je nach Aufwand zwischen 50 und 200 € monatlich – deutlich günstiger als ein Bußgeld.