DSGVO im Handwerk: 6 typische Fallen + Lösungen

Veröffentlicht: 26. April 2026 · Letzte Aktualisierung: 2. Mai 2026· Kategorie: DSGVO

Praxis-Hinweis: Dieser Artikel ist praxisorientierte Compliance-Dokumentation, keine Rechtsberatung. Wir sind Compliance-Spezialist, keine Anwaltskanzlei. Für rechtsverbindliche Auskünfte konsultieren Sie eine zugelassene Rechtsanwältin oder einen Rechtsanwalt.

TL;DR

6 DSGVO-Fallen im Handwerk: Kunden-Daten, Baustellen-Fotos, Subunternehmer-Datenfluss, Newsletter, Mitarbeiter-Tracking, Berichte
Foto-Recht: Art. 6 DSGVO + KunstUrhG bei abgebildeten Personen
Baustellen: § 26 BDSG für Mitarbeiter-Überwachung beachten
Subunternehmer: AVV oder gemeinsame Verantwortlichkeit klären
VVT Pflicht ab 1 MA (250-MA-Schwelle in Praxis nutzlos)

Hauptartikel: Hauptartikel: Verarbeitungsverzeichnis erstellen — der vollständige Pillar-Artikel zum Thema.

1. Kunden-Daten in Excel-Listen

Praxis: Adress-Listen + Termine in Excel. Lösung: VVT eintragen, Zugriff einschränken, Löschungs-Plan.

2. Mitarbeiter-Tracking via GPS-Fahrzeug

Pflicht: § 26 BDSG-Voraussetzungen + Betriebsrats-Mitbestimmung + DSFA bei Hochrisiko.

3. Baustellen-Fotos (Personen erkennbar)

Personen-Bilder = personenbezogene Daten. Lösung: Pixelung oder schriftliche Einwilligung.

4. Subunternehmer-AVV

Bei Daten-Weitergabe (z.B. Steuerberater, IT, Buchhaltung): AVV nach Art. 28 DSGVO.

5. WhatsApp-Kommunikation mit Kunden

WhatsApp = US-Anbieter, Drittland. Lösung: WhatsApp Business + Einwilligung in AGB ODER EU-Alternativen (Threema Work, Element).

6. Bewerber-Daten via E-Mail

Pflicht: Datenschutzerklärung im Bewerbungsformular, 6-Monate-Pflichtlöschung, ggf. Talent-Pool-Einwilligung.

Zusammenfassung

Kernpunkte dieses Artikels:

Handwerk und Baugewerbe konzentrieren das DSGVO-Risiko auf fünf alltägliche Werkzeuge: Excel-Kundenlisten, Fahrzeug-GPS, Baustellen-Fotos, Subunternehmer-Datenfluss und WhatsApp.
GPS-Tracking braucht Betriebsvereinbarung nach § 26 BDSG plus Privacy-by-Design — pauschale Dauerüberwachung ist nicht zulässig (BAG 1 ABR 51/15).
Baustellen-Fotos mit erkennbaren Personen erfordern Einwilligung oder Anonymisierung — Art. 6 Abs. 1 lit. f greift bei Bestandsfotos selten.
Subunternehmer brauchen einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO — gilt auch für Ein-Mann-Subunternehmer.

Aufsichtsbehörden akzeptieren angemessene praktische Maßnahmen, sofern Dokumentation vorliegt — kurze dokumentierte Controls schlagen perfekte technische Lösungen ohne Nachweis.

Häufig gestellte Fragen

Wer ist DSB-pflichtig?

Ab 20 MA mit automatisierter Verarbeitung. Im Handwerk: meist alle ab 20 MA.

Externer DSB sinnvoll?

Bei 20-50 MA ja. Externer DSB 3-8k EUR/Jahr, deutlich günstiger als Vollzeit-DSB.

Quellen

Verordnung (EU) 2016/679 (DSGVO) — deutscher Volltext, EUR-Lex (Stand: 02.05.2026, geltend seit 25.05.2018)
Bundesdatenschutzgesetz (BDSG) — gesetze-im-internet.de (Stand: laufend, BMJ-Servicestelle)
Europäische Kommission — Datenschutz-Hauptseite (Stand: laufend)
Europäische Kommission — Digital Omnibus Pressemitteilung (Stand: 02.05.2026, Trilog laufend)

Werkzeuge & Selbsttests

DSGVO-Checkliste 30 Pruefpunkte fuer Datenschutz-Compliance im KMU. Bussgeld-Rechner Berechnen Sie das potenzielle Bussgeld-Risiko fuer Ihr Unternehmen. DSGVO Self-Assessment Strukturierter Selbsttest mit Reifegrad-Score und Massnahmen-Roadmap. Cookie-Banner-Audit TDDG/DSGVO-Pruefung Ihres Cookie-Banners mit konkreten Korrektur-Hinweisen.