Datenschutz im Handwerksbetrieb: was Hamburger Betriebe brauchen

Inhalt in Kürze

• Die DSGVO gilt für jeden Handwerksbetrieb ab dem ersten Kundendatensatz — ein eigener Datenschutzbeauftragter ist aber erst ab 20 Personen mit automatisierter Datenverarbeitung Pflicht (§ 38 BDSG).
• Die größten Praxis-Baustellen im Handwerk: Kundendaten in der Branchensoftware, Baustellen- und Referenzfotos, WhatsApp mit Kunden, Fahrzeug-Ortung im Außendienst und Bewerberdaten.
• WhatsApp auf dem privaten Handy ist betrieblich heikel — das ganze Adressbuch wandert zu Meta und ein Auftragsverarbeitungsvertrag fehlt.
• Mit einem schlanken Fahrplan — VVT light, AVV mit Software und Steuerberater, Datenschutzerklärung, Foto-Einwilligungen und sicherer IT — ist ein Handwerksbetrieb in wenigen Schritten DSGVO-konform.

Stand: Mai 2026 · Autor: Nils Oehmichen · Lesezeit: 9 Minuten

„Wir sind doch nur ein Handwerksbetrieb — was soll uns beim Datenschutz schon passieren?” Diesen Satz hören wir bei Hamburger SHK-, Elektro-, Bau- und KFZ-Betrieben fast wöchentlich. Die ehrliche Antwort: Die DSGVO interessiert es nicht, ob Sie Heizungen montieren oder Software verkaufen. Sobald Sie einen Kundennamen mit Adresse speichern, fallen Sie darunter. Die gute Nachricht ist: Für einen Handwerksbetrieb sind die wirklich relevanten Pflichten überschaubar — wenn man weiß, welche das sind.

Datenschutz im Handwerksbetrieb: Bin ich überhaupt betroffen?

Ja. Und zwar ab dem ersten Datensatz. Die DSGVO greift, sobald Sie personenbezogene Daten verarbeiten — und ein Kundenname mit Telefonnummer auf einem Angebot ist genau das. Es gibt keine Bagatellgrenze für kleine Betriebe.

Was viele verwechseln: Die DSGVO-Pflicht und die DSB-Pflicht sind zwei verschiedene Dinge.

• DSGVO-konform arbeiten müssen Sie immer — egal ob Ein-Mann-Betrieb oder Tischlerei mit 12 Gesellen.
• Einen eigenen Datenschutzbeauftragten müssen Sie erst benennen, wenn Sie nach § 38 BDSG in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen (Quelle: dsgvo-gesetz.de).

„Automatisierte Verarbeitung” heißt: Wer am PC, Tablet oder Smartphone mit Kunden-, Lieferanten- oder Mitarbeiterdaten arbeitet. Im Handwerk zählen also auch die Monteure mit dem Tablet auf der Baustelle und die Büroangestellte mit der Branchensoftware mit. Ein Bauunternehmen mit 25 Beschäftigten, die alle digital erfassen oder Aufträge abrufen, ist damit schnell über der Schwelle.

Die sechs Handwerks-Themen, die wirklich zählen

Datenschutz im Handwerk ist kein Aktenordner-Marathon. In der Praxis konzentrieren sich die Risiken auf eine Handvoll konkreter Stellen. Das sind die sechs, die wir bei Hamburger Mandanten immer zuerst prüfen.

1. Kundendaten: Angebote, Rechnungen, Wartungsverträge

Name, Adresse, Telefonnummer, manchmal die Bankverbindung und Notizen zum Objekt — das ist der Kern jedes Handwerksbetriebs. Rechtsgrundlage ist hier meist die Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) oder ein berechtigtes Interesse (lit. f). Eine Einwilligung brauchen Sie dafür in der Regel nicht — das Angebot zu kalkulieren ist ja gerade der Zweck.

Wichtig wird die Löschfrist: Rechnungen unterliegen der steuerlichen Aufbewahrung, aber alte Anfragen, die nie zum Auftrag wurden, dürfen nicht ewig liegen bleiben.

2. Handwerker-Software → Auftragsverarbeitungsvertrag

Fast jeder Betrieb nutzt heute eine Branchen- oder Handwerker-Software für Angebote, Aufmaß und Rechnung — oft in der Cloud. Sobald ein Anbieter in Ihrem Auftrag Kundendaten speichert, brauchen Sie einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO. Das gilt für die Software genauso wie für den Steuerberater, den Cloud-Speicher oder das E-Mail-Hosting.

3. Mitarbeiterdaten

Lohnabrechnung, Krankmeldungen, Führerschein-Kontrolle beim Fahrer, Arbeitszeiterfassung — das ist Beschäftigtendatenschutz. Hier gilt: nur erheben, was Sie für das Arbeitsverhältnis wirklich brauchen, und sicher aufbewahren. Personalakten gehören nicht offen ins gemeinsame Laufwerk.

4. Baustellen- und Referenzfotos

Ein Klassiker im Handwerk. Das Foto für die eigene Baudokumentation ist meist unproblematisch. Kritisch wird es, sobald Sie es öffentlich zeigen — auf der Website, bei Instagram oder im Flyer.

Dann brauchen Sie eine Rechtsgrundlage. Sind Personen erkennbar oder zeigen Sie fremdes Eigentum bzw. Privaträume, ist die saubere Lösung eine schriftliche Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO — zusätzlich gilt das Recht am eigenen Bild. Die Handwerkskammern weisen ausdrücklich darauf hin, dass erkennbare Personen auf Referenzfotos eine Einwilligung erfordern (Quelle: handwerk.com).

5. WhatsApp mit Kunden

Schnell, beliebt — und datenschutzrechtlich die heikelste Stelle. Dazu gleich ein eigener Abschnitt.

6. Fahrzeug-Ortung und Bewerbungen

GPS-Ortung der Servicefahrzeuge ist Beschäftigtendatenschutz pur: zulässig zur Disposition und Diebstahlsicherung, aber nicht zur lückenlosen Verhaltenskontrolle der Monteure. Klare Regelung und Information sind Pflicht. Und Bewerberdaten: nach einer Absage löschen — die übliche Frist liegt bei rund sechs Monaten, danach raus.

WhatsApp im Handwerk: warum das so heikel ist

Der Kunde schickt schnell ein Foto vom kaputten Boiler, der Monteur antwortet mit dem Termin — über WhatsApp läuft das in Sekunden. Genau deshalb ist es so verbreitet. Und genau deshalb so riskant.

Das Problem ist nicht der Chat selbst, sondern was im Hintergrund passiert: Die normale WhatsApp-App liest das gesamte Adressbuch des Geräts aus und überträgt es an Meta — also auch die Kontaktdaten von Kunden, die dem nie zugestimmt haben. Auf einem privaten Handy ohne Trennung von Beruflichem und Privatem ist das datenschutzrechtlich kaum haltbar. Mehrere Datenschutzexperten bewerten die Nutzung der Standard-App im Unternehmen als unzulässig (Quelle: Deutsche Handwerks Zeitung).

Das heißt nicht, dass Sie auf schnelle Kommunikation verzichten müssen. Pragmatische Wege:

• WhatsApp Business mit getrenntem Gerät. Eigenes Firmenhandy oder Firmen-Account, getrennt vom Privaten, Kunden vorab informieren.
• DSGVO-freundliche Messenger. Signal oder Threema speichern keine Adressbücher zentral und sind für 1:1-Kommunikation deutlich unkritischer.
• Kunden-Chat in der Handwerker-Software. Viele Branchenlösungen haben einen integrierten Chat — Daten bleiben im System, mit AVV abgedeckt.
• Transparenz schaffen. Wer Messenger nutzt, informiert in der Datenschutzerklärung und holt — wo nötig — die Einwilligung ein.

Der pragmatische Minimal-Fahrplan für Hamburger Betriebe

Sie müssen nicht alles auf einmal machen. Ein Handwerksbetrieb wird mit diesen sechs Schritten DSGVO-fit — der Reihe nach abgearbeitet, an einem ruhigen Bürotag.

1. Schritt 1 — VVT light: Ein schlankes Verzeichnis der Verarbeitungstätigkeiten anlegen. Wer verarbeitet welche Daten womit? Kundenverwaltung, Lohn, Website, WhatsApp. Vorlage und Vorgehen in unserem VVT-Muster-Leitfaden.
2. Schritt 2 — AVV einsammeln: Mit jedem Dienstleister, der Ihre Kundendaten verarbeitet, einen AVV abschließen: Branchensoftware, Steuerberater, Cloud, E-Mail-Hoster.
3. Schritt 3 — Datenschutzerklärung: Eine rechtssichere Datenschutzerklärung auf die Website, die Kontaktformular, Cookies und Messenger abdeckt.
4. Schritt 4 — Mitarbeiter verpflichten: Alle Beschäftigten auf das Datengeheimnis verpflichten und einmal pro Jahr kurz schulen — das ist Nachweispflicht.
5. Schritt 5 — Foto-Einwilligungen: Eine Einwilligungsvorlage für Referenz- und Baustellenfotos griffbereit haben und vom Kunden unterschreiben lassen, bevor das Bild online geht.
6. Schritt 6 — Sichere IT: Geräteverschlüsselung, Backups, getrennte Konten, Mehr-Faktor-Login fürs Cloud-System. Technik ist die halbe Miete.

AVV-Checkliste für die Branchen-Software

Der häufigste Lückenpunkt im Handwerk ist der fehlende oder unvollständige AVV mit der Software. Bevor Sie einen unterschreiben, prüfen Sie diese Punkte:

• Gegenstand und Dauer. Welche Daten, zu welchem Zweck, wie lange — konkret benannt, nicht nur „Vertragsdaten".
• Serverstandort. Liegen die Daten in der EU? Bei US-Anbietern: ist das Data Privacy Framework abgedeckt?
• Subunternehmer. Setzt der Anbieter weitere Dienstleister ein und sind die gelistet?
• TOMs. Sind technische und organisatorische Maßnahmen (Verschlüsselung, Zugriffskontrolle) beschrieben?
• Löschung nach Vertragsende. Werden Ihre Daten zurückgegeben oder gelöscht, wenn Sie kündigen?

Klingt nach viel — ist aber in 20 Minuten pro Dienstleister erledigt, wenn man weiß, wonach man sucht.

Aus der Praxis

Viele Unternehmer denken, ich bin doch zu klein für das ganze Thema Datenschutz. Wir haben Mandanten mit drei, vier, fünf Mitarbeitern — die arbeiten für große Kunden mit enormen Ansprüchen an den Datenschutz.

Nils OehmichenExterner Datenschutzbeauftragter bei frag.hugo

Genau das ist der Punkt: Der Hamburger SHK-Betrieb mit acht Mann, der für eine Wohnungsbaugesellschaft arbeitet, bekommt deren Mieterdaten in die Hand. Der Elektriker, der auf einer Industriebaustelle in Harburg montiert, unterschreibt eine Datenschutzvereinbarung des Generalunternehmers. Klein heißt nicht ungefährlich — es heißt nur, dass man es pragmatisch lösen sollte.

Fazit: Ihr nächster Schritt

Datenschutz im Handwerksbetrieb ist kein Hexenwerk. Die Pflicht greift ab dem ersten Kundendatensatz, ein eigener DSB wird erst ab 20 Personen fällig — und die wirklich relevanten Themen passen auf einen Bierdeckel: Kundendaten, Software-AVV, Fotos, WhatsApp, Mitarbeiter, sichere IT. Wer den Minimal-Fahrplan einmal abarbeitet, ist auf der sicheren Seite, ohne den Betrieb lahmzulegen.

Mehr zur Datenschutz-Begleitung für Betriebe in Ihrem Bezirk: Datenschutz in Wandsbek, Datenschutz in Bergedorf oder direkt unser Festpreis-Angebot.

Häufige Fragen (FAQ)

Braucht ein kleiner Handwerksbetrieb einen Datenschutzbeauftragten?

Die DSGVO gilt ab dem ersten Kundendatensatz für jeden Betrieb. Ein eigener Datenschutzbeauftragter ist nach § 38 BDSG aber erst Pflicht, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Die meisten Hamburger Handwerksbetriebe liegen darunter — DSGVO-konform arbeiten müssen sie trotzdem.

Darf ich als Handwerker WhatsApp für die Kundenkommunikation nutzen?

Die normale WhatsApp-App auf dem privaten Handy ist im Betrieb datenschutzrechtlich kritisch, weil das gesamte Adressbuch an Meta übertragen wird und Sie keinen Auftragsverarbeitungsvertrag haben. Praktikabler sind WhatsApp Business mit getrenntem Geräte- und Datenkonzept oder DSGVO-konforme Alternativen wie Signal oder eine Handwerker-Software mit eigenem Kunden-Chat.

Brauche ich für Baustellen- und Referenzfotos eine Einwilligung?

Für das Foto selbst zur Baudokumentation in der Regel nicht. Sobald Sie ein Foto aber öffentlich zeigen — auf Website, Social Media oder im Flyer — und darauf Personen erkennbar sind oder fremdes Eigentum/Privaträume gezeigt werden, brauchen Sie eine schriftliche Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO und dem Recht am eigenen Bild.

Was ist ein AVV und brauche ich den als Handwerksbetrieb?

Ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO regelt, was ein externer Dienstleister mit Ihren Kundendaten tun darf. Den brauchen Sie mit jedem Anbieter, der in Ihrem Auftrag personenbezogene Daten verarbeitet — etwa Ihre Handwerker-Software, der Steuerberater, ein Cloud-Speicher oder der Newsletter-Versand.

Ist die Handwerkskammer Hamburg meine Datenschutz-Aufsichtsbehörde?

Nein. Die Handwerkskammer Hamburg gibt allgemeine Hilfestellung, ist aber keine Aufsichtsbehörde. Zuständig für Datenschutz in Hamburg ist der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) in der Ludwig-Erhard-Straße 22. Dort landen Beschwerden und Datenpannen-Meldungen.

Recherche-Stand: verifiziert am 6. Juni 2026 über dsgvo-gesetz.de (§ 38 BDSG), handwerk.com (Referenzfotos), Deutsche Handwerks Zeitung (WhatsApp Business) und hwk-hamburg.de (Handwerkskammer Hamburg).