Anmelden

DSGVO für Beauty-Salons: Welche Kundendaten darfst du speichern, und wie lange?

Ein durchschnittlicher Salon verarbeitet mehr personenbezogene Daten, als der Inhaber sich bewusst macht: Name, Adresse, Telefon, E-Mail, Behandlungshistorie, Zahlungsdaten, manchmal Vorher-Nachher-Fotos und bei Hautbehandlungen oder Injektionen auch Gesundheitsdaten wie Allergien, Medikamente und Schwangerschaft. Die DSGVO gilt für jeden Salon - auch für das Einzelunternehmen mit einem Heft voller Kundennummern. Bußgelder für kleine Betriebe sind selten, aber eine Beschwerde bei der Datenschutzbehörde, ein verärgerter ehemaliger Kunde, der seine Daten anfordert, oder eine Datenpanne (ein gestohlener Laptop, eine falsch verschickte Mailing) ist realistischer, als du denkst - und kostet dich dann deutlich mehr Zeit, als es vorab gut zu regeln. Dieser Leitfaden übersetzt die DSGVO in das, was ein Salon konkret tun muss: welche Daten du speichern darfst, wie lange, wann du eine Einwilligung brauchst und wann nicht, und wie du Gesundheitsnotizen sicher ablegst. Kein juristisches Fachchinesisch - Praxis, Aufbewahrungsfristen und Beispieltexte. (Dies ist keine Rechtsberatung; bei konkreten Zweifeln wende dich an einen Datenschutzanwalt oder informiere dich bei der zuständigen Datenschutzbehörde.)

Welche Kundendaten darf ein Salon speichern?

Bei der DSGVO geht es um zwei Prinzipien: Du brauchst eine gültige Rechtsgrundlage, um Daten zu verarbeiten, und du verarbeitest nicht mehr als nötig (Datenminimierung). Für einen Salon ist die Rechtsgrundlage für die meisten Daten einfach: die "Erfüllung des Vertrags" - du kannst keinen Termin planen, keine Behandlung durchführen und keine Rechnung verschicken ohne Name, Kontaktdaten und Behandlungshistorie. Das ist also ohne gesonderte Einwilligung zulässig. Konkret darfst du standardmäßig speichern: Name, Adresse, Telefonnummer, E-Mail-Adresse, Geburtsdatum (für Geburtstagsaktionen oder die Altersprüfung bei bestimmten Behandlungen), Behandlungshistorie, vereinbarte Termine, No-Show-Historie, Zahlungs- und Rechnungsdaten sowie interne Notizen, die für die Behandlung relevant sind ("Kundin möchte immer dieselbe Stylistin", "letztes Mal Farbe zu dunkel"). Was du nicht ohne Weiteres darfst: eine Kopie eines Ausweisdokuments, die Steuer-ID oder Daten, die nichts mit der Behandlung zu tun haben. Faustregel: Wenn du ein Datum nicht damit erklären kannst, dass "ich das brauche, um diesen Kunden gut zu behandeln oder korrekt abzurechnen", lösche es oder hole dir ausdrücklich die Einwilligung dafür. In Salonnare steht im Standard-Kundenprofil nur das, was ein Salon tatsächlich braucht; alles darüber hinaus ist eine bewusste Entscheidung.

Besondere Kategorien personenbezogener Daten: Allergien, Medikamente, Hauterkrankungen, Schwangerschaft

Hier wird es ernst. Daten über die Gesundheit einer Person sind "besondere Kategorien personenbezogener Daten" (Artikel 9 DSGVO), und die darfst du grundsätzlich nicht verarbeiten - es sei denn, du hast die ausdrückliche Einwilligung des Kunden. Für Kosmetikinstitute, Hauttherapeutinnen und alle, die mit chemischen Produkten, Nadeln, Lasern oder Injektionen arbeiten, ist das kein Randfall: eine Allergie gegen einen Inhaltsstoff, die Einnahme von Blutverdünnern, eine Hauterkrankung oder eine Schwangerschaft sind behandlungsrelevant und zugleich Gesundheitsdaten. Was du regeln musst: (1) Hole die ausdrückliche Einwilligung ein, bevor du diese Daten notierst - vorzugsweise über ein Häkchen oder eine Unterschrift auf einem Anamnesebogen, in dem steht, wofür du sie verwendest; (2) bewahre sie getrennt von den gewöhnlichen Kundendaten auf, nicht als lose Anmerkung in einem allgemeinen Notizfeld; (3) beschränke den Kreis der Personen, die sie einsehen können, auf die Mitarbeitenden, die die Behandlung durchführen; (4) bewahre sie so kurz wie möglich auf und lösche sie, wenn der Kunde nicht mehr kommt; (5) sorge dafür, dass der Kunde die Einwilligung widerrufen kann. Salonnare hat dafür einen separaten verschlüsselten "Health-Vault": Gesundheitsnotizen liegen AES-256-verschlüsselt, getrennt von den normalen Kundennotizen, mit einem Zugriffsprotokoll, einer Einwilligungsregistrierung pro Kunde und einer automatischen Löschfrist. Eine gewöhnliche "Notiz beim Kunden" ist dafür ausdrücklich nicht der richtige Ort.

Wie lange darfst du Kundendaten speichern?

Die DSGVO nennt keine festen Fristen - die Regel lautet "nicht länger als notwendig". In der Praxis verwendest du je nach Art der Daten unterschiedliche Fristen. Für einen aktiven Kunden: solange die Kundenbeziehung besteht. Für einen Kunden, der nicht mehr kommt: eine angemessene Frist - viele Salons entscheiden sich für 1 bis 2 Jahre nach dem letzten Kontakt und schicken davor noch eine "Wir vermissen dich"-Mail. Für Rechnungen und Zahlungsdaten gilt eine gesetzliche Aufbewahrungspflicht von in Deutschland in der Regel 10 Jahren (steuerliche Buchführung) - die darfst und musst du also länger aufbewahren als den Rest, aber verwende sie in dieser Zeit nur noch für die Buchhaltung, nicht für Marketing. Für Gesundheitsnotizen: so kurz wie möglich, und auf jeden Fall löschen, sobald der Kunde nicht mehr kommt. Für die Einwilligung zu Marketing (Newsletter-Liste): bis sich der Kunde abmeldet. Für Vorher-Nachher-Fotos: bis der Kunde die Einwilligung widerruft, und nicht länger als für den Zweck nötig, für den du sie erstellt hast. Praktisch: setze dir einmal im Jahr eine Erinnerung, deinen Kundenbestand zu bereinigen - inaktive Kunden anonymisieren oder löschen, alte Gesundheitsnotizen entfernen. Salonnare erledigt das teilweise automatisch: der Health-Vault hat einen Aufbewahrungs-Job, der abgelaufene Gesundheitsnotizen nach einer eingestellten Frist aufräumt.

Einwilligung: Wann brauchst du sie, und wie hältst du sie fest?

Ein häufiger Fehler ist die Annahme, dass man für alles eine Einwilligung braucht - und ein zweiter Fehler ist die Annahme, dass man nie eine Einwilligung braucht. Die Wahrheit liegt dazwischen. Du brauchst keine gesonderte Einwilligung für: das Planen von Terminen, das Versenden von Terminbestätigungen und -erinnerungen, das Führen der Behandlungshistorie und das Versenden einer Rechnung. Das fällt alles unter "Erfüllung des Vertrags". Du brauchst sehr wohl eine ausdrückliche Einwilligung für: das Notieren von Gesundheitsdaten, das Erstellen und Speichern von Vorher-Nachher-Fotos, das Verwenden von Fotos auf deiner Website oder in sozialen Medien (mit erkennbarem Kunden) und das Versenden von Marketing-Mailings oder eines Newsletters. Die Einwilligung muss freiwillig, spezifisch, informiert und unmissverständlich sein - also kein vorausgefülltes Häkchen, kein "mit der Buchung stimmst du allen unseren Mailings zu", und der Kunde muss sie genauso leicht widerrufen wie erteilen können. Wie hältst du sie fest: ein Anamnesebogen (Papier oder digital) mit gesonderten Häkchen pro Zweck oder ein Double-Opt-in für deinen Newsletter. Bewahre auf, was der Kunde angekreuzt hat, wann, und welche Version des Textes galt. Salonnare protokolliert die Einwilligung zu Gesundheitsnotizen mit Zeitstempel und bewahrt die Consent-Events auf, sodass du bei einer Anfrage oder Beschwerde nachweisen kannst, was der Kunde genau erlaubt hat.

Auftragsverarbeitungsvertrag, Unterauftragsverarbeiter und Datenpannen

Sobald du Software verwendest, in der Kundendaten stehen - ein Buchungssystem, ein E-Mail-Tool für deinen Newsletter, einen Zahlungsdienstleister, eine Buchhaltungssoftware - gibst du Daten an einen "Auftragsverarbeiter" weiter, und dann brauchst du einen Auftragsverarbeitungsvertrag (AVV), in dem steht, was diese Partei mit den Daten darf und was nicht. Ein anständiger Anbieter hat den standardmäßig parat; frag danach, wenn du ihn nicht findest. Dasselbe gilt für die Parteien, die dein Anbieter wiederum einschaltet (Unterauftragsverarbeiter: Hosting, E-Mail-Zustellung, SMS) - die gehören auf eine Liste, die du einsehen kannst. Dann zu Datenpannen: Wenn personenbezogene Daten in falsche Hände geraten (können) - ein gestohlener oder verlorener Laptop bzw. ein Telefon ohne Verschlüsselung, eine Mailing versehentlich mit allen Adressen im CC-Feld, ein gehacktes Konto, ein Ordner mit Anamnesebögen, der aus deinem Auto verschwindet - ist das eine Datenpanne. Bei einem Risiko für die Betroffenen musst du sie innerhalb von 72 Stunden bei der Datenschutzbehörde melden, und bei hohem Risiko auch die Kunden selbst informieren. Führe deshalb ein kurzes "Datenpannen-Register" (was, wann, was getan), verwende Bildschirmsperre und Verschlüsselung auf Geräten und verschicke Mailings über BCC oder ein richtiges Mail-Tool. Salonnare verschlüsselt sensible Daten, protokolliert Zugriffe auf den Health-Vault und liefert standardmäßig einen Auftragsverarbeitungsvertrag plus eine aktuelle Unterauftragsverarbeiter-Liste - das erspart dir den wichtigsten Papierkram.

Rechte deiner Kunden: Auskunft, Berichtigung und Löschung

Deine Kunden haben Rechte, auf die du reagieren können musst - meistens innerhalb eines Monats. Die drei, die dir in einem Salon am häufigsten begegnen: (1) Auskunft - der Kunde darf fragen, welche Daten du über ihn hast und wofür du sie verwendest. Du gibst dann eine Übersicht: Profildaten, Termine, Behandlungshistorie, etwaige Gesundheitsnotizen, Rechnungen und welche Einwilligungen erteilt wurden. (2) Berichtigung - stimmen Daten nicht, dann passt du sie an. (3) Löschung ("Recht auf Vergessenwerden") - der Kunde darf die Löschung verlangen, und die musst du grundsätzlich gewähren, außer bei Daten, die du gesetzlich aufbewahren musst (Rechnungen: in Deutschland in der Regel 10 Jahre) - dafür erklärst du, dass du diese Zeile nicht löschst, aber die weitere Nutzung stoppst und den Rest entfernst. Daneben gibt es das Recht auf Datenübertragbarkeit (Daten in einem lesbaren Format mitnehmen) und das Recht, der Verarbeitung zu Marketingzwecken zu widersprechen - Letzteres regelst du einfach mit einem funktionierenden Abmeldelink. Praktisch: lege fest, wer in deinem Salon solche Anfragen bearbeitet, und wie. Salonnare hat einen integrierten DSGVO-Export, der auf Anfrage alle Daten eines Kunden in einer Datei zusammenstellt (Profil, Termine, Behandlungen, Rechnungen, Gesundheitsnotizen, Consent-Historie), sodass eine Auskunftsanfrage keine halbe Tagesarbeit ist.

Praktische DSGVO-Checkliste für deinen Salon

Zehn Dinge, die du diese Woche abhaken kannst: (1) Inventarisiere, welche Kundendaten du sammelst und warum - streiche, was du nicht brauchst. (2) Lege Gesundheitsnotizen (Allergie, Medikamente, Haut, Schwangerschaft) getrennt von gewöhnlichen Notizen ab, mit ausdrücklicher Einwilligung und beschränktem Zugriff. (3) Erstelle einen Anamnesebogen mit gesonderten Häkchen pro Zweck (Behandlung, Gesundheitsdaten, Fotos, Newsletter). (4) Lege Aufbewahrungsfristen fest: aktiver Kunde = laufend, inaktiv = 1-2 Jahre, Rechnungen = in der Regel 10 Jahre, Gesundheitsnotizen = so kurz wie möglich. (5) Setze dir einmal im Jahr eine Erinnerung, deinen Kundenbestand zu bereinigen. (6) Fordere Auftragsverarbeitungsverträge bei deinem Buchungssystem, Mail-Tool, Zahlungsdienstleister und Buchhalter an. (7) Sorge dafür, dass alle deine Geräte eine Bildschirmsperre und eine Festplattenverschlüsselung haben. (8) Verschicke Mailings über BCC oder ein richtiges Mail-Tool mit Abmeldelink, niemals mit Adressen im CC. (9) Erstelle einen kurzen Plan für Datenpannen: wer meldet, innerhalb von 72 Stunden, bei der Datenschutzbehörde. (10) Lege fest, wer Auskunfts- und Löschanfragen bearbeitet. Ein gutes Buchungssystem erledigt die Hälfte dieser Liste für dich - Verschlüsselung, getrennte Speicherung von Gesundheitsdaten, Consent-Logging, DSGVO-Export, ein Auftragsverarbeitungsvertrag. Die andere Hälfte ist einfach ein Nachmittag Arbeit und danach einmal im Jahr Pflege.

Salonnare regelt die DSGVO-Technik für dich

Verschlüsselter Health-Vault für Gesundheitsnotizen, Einwilligungsregistrierung, DSGVO-Export pro Kunde, integrierte Aufbewahrungsfristen und ein Auftragsverarbeitungsvertrag plus Unterauftragsverarbeiter-Liste standardmäßig inbegriffen. Du machst die Anamnesebögen und die jährliche Bereinigungsrunde; Salonnare macht den Rest.

Salonnare kostenlos testen

Häufige Fragen zur DSGVO für Salons

Gilt die DSGVO auch für ein kleines Einzelunternehmen als Salon?

Ja. Die DSGVO kennt keine Untergrenze hinsichtlich der Größe - ob du nun einen Stuhl oder zehn Filialen hast, du verarbeitest personenbezogene Daten und damit gilt das Gesetz. Was sehr wohl skaliert, ist, wie streng die Aufsicht ist und wie viel du dokumentieren musst: ein kleiner Salon muss keinen Datenschutzbeauftragten benennen und kein umfangreiches Verarbeitungsverzeichnis führen, aber die Grundlagen (gültige Rechtsgrundlage, Datenminimierung, Sicherheit, Kundenrechte, Gesundheitsdaten getrennt und mit Einwilligung) gelten für alle.

Muss ich einen Datenschutzbeauftragten (DSB) benennen?

Mit hoher Wahrscheinlichkeit nicht. Ein DSB ist verpflichtend für Behörden und für Organisationen, die in großem Umfang besondere Kategorien personenbezogener Daten verarbeiten oder Menschen systematisch überwachen. Ein gewöhnlicher Salon fällt nicht darunter, auch nicht, wenn du Gesundheitsnotizen führst - "großer Umfang" bedeutet so etwas wie ein Krankenhaus oder eine Versicherung, nicht ein Salon mit ein paar hundert Kunden. (Hinweis: In Deutschland gibt es zusätzlich eine Schwelle nach Mitarbeiterzahl - prüfe das im Zweifel.) Sinnvoll ist auf jeden Fall: benenne intern eine Person, die die DSGVO-Themen im Blick behält.

Darf ich Vorher-Nachher-Fotos von Kunden auf Instagram stellen?

Nur mit Einwilligung des Kunden, und diese Einwilligung muss spezifisch für diesen Zweck sein. "Darf ich ein Foto für deine Akte machen" ist etwas anderes als "darf ich dieses Foto auf Instagram und meiner Website veröffentlichen". Frage gesondert, halte fest, was der Kunde erlaubt hat, und respektiere es, wenn jemand die Einwilligung später widerruft (Foto offline nehmen). Bei erkennbaren Minderjährigen brauchst du die Einwilligung der Eltern. Anonyme Nahaufnahmen ohne Gesicht sind eine sicherere Wahl für deinen Feed.

Wie lange muss ich Rechnungen von Kunden aufbewahren?

In Deutschland in der Regel zehn Jahre - das ist die steuerliche Aufbewahrungspflicht für deine Buchführung, und die geht über das DSGVO-Prinzip "so kurz wie möglich" hinaus. In diesen zehn Jahren verwendest du diese Daten nur noch für die Buchhaltung und das Finanzamt, nicht mehr für Marketing oder Kundenkontakt. Nach Ablauf der Frist löschst oder anonymisierst du sie. Andere Kundendaten (Profil, Behandlungshistorie) musst du nicht so lange aufbewahren - dafür gilt eine deutlich kürzere, "angemessene" Frist von üblicherweise 1 bis 2 Jahren nach dem letzten Besuch.

Was muss ich tun, wenn es eine Datenpanne gibt?

Beurteile zuerst das Risiko für die Kunden. Besteht eine Möglichkeit von Schaden (Identitätsbetrug, Offenlegung sensibler Daten, Reputationsschaden), dann meldest du es innerhalb von 72 Stunden nach Entdeckung bei der zuständigen Datenschutzbehörde über deren Meldeformular. Bei hohem Risiko informierst du auch die betroffenen Kunden selbst, in verständlicher Sprache. Dokumentiere immer, was passiert ist, wann, welche Daten betroffen waren und welche Maßnahmen du ergriffen hast - auch wenn du entscheidest, dass eine Meldung nicht nötig ist. Verschlüsselung hilft enorm: Daten auf einem gestohlenen Gerät, das gut verschlüsselt ist, stellen meistens keine meldepflichtige Datenpanne dar.