Welche Daten stecken in einem Servicebericht?
Ein typischer Servicebericht enthält: Name und Adresse des Kunden, den Namen des Ansprechpartners, Datum und Uhrzeit des Einsatzes, eine Beschreibung der ausgeführten Arbeiten sowie die Unterschrift des Kunden. Das sind personenbezogene Daten nach Art. 4 DSGVO – Daten, die eine natürliche Person identifizierbar machen.
Kritischer wird es bei Fotos. Wer während eines Einsatzes Fotos macht – etwa vor dem Einbau einer Heizungsanlage, nach der Reparatur einer Leitung, oder zum Nachweis des Zustands einer Wohnung – kann dabei auch Bereiche des Privatlebens erfassen. Fotos aus Privaträumen sind besonders schutzwürdig, weil sie Rückschlüsse auf die Lebensumstände der betroffenen Person erlauben.
Auch die Unterschrift selbst ist ein personenbezogenes Datum. Und wenn Berichte per E-Mail versendet werden, sind Empfängeradressen und Sendezeitpunkte ebenfalls Teil der Verarbeitung. Die Menge der verarbeiteten Daten ist also größer, als sie auf den ersten Blick erscheint.
Wichtig: Die DSGVO gilt nicht nur für digitale Daten. Auch Papierberichte mit Kundendaten unterliegen den Datenschutzanforderungen – Aufbewahrung, Zugang und Löschung müssen auch dort geregelt sein. Der Vorteil digitaler Systeme ist, dass Löschfristen und Zugriffsrechte automatisiert werden können.
Warum das für Handwerksbetriebe relevant ist
Die DSGVO gilt seit Mai 2018 in Deutschland unmittelbar – ohne Ausnahme für Kleinbetriebe. Auch ein Einmannbetrieb, der täglich fünf Serviceberichte erstellt, verarbeitet personenbezogene Daten und ist daran gebunden. Die Pflichten sind je nach Betriebsgröße unterschiedlich ausgepragt, aber nicht abwählbar.
Verstösse können zu Bussgeldern, Abmahnungen oder Schadenersatzansprüchen führen. Das sind abstrakte Risiken – aber das konkrete Risiko ist das Kundenvertrauen. Wer als Handwerker Fotos von Privaträumen macht und nicht erklären kann, wo diese Daten gespeichert sind und wann sie gelöscht werden, hat ein Problem – spätestens dann, wenn ein Kunde danach fragt.
Gleichzeitig ist der Aufwand für ein grundsolides Setup überschaubar. Die meisten Pflichten sind mit wenigen Massnahmen erfüllbar: Daten in der EU speichern, einen Auftragsverarbeitungsvertrag mit dem Softwareanbieter abschliessen, Löschfristen definieren und einhalten. Das ist kein IT-Projekt – das sind Organisationsentscheidungen.
Ein weiterer Aspekt: Wenn du Software einsetzt, die Kundendaten verarbeitet – also fast jede App für Serviceberichte –, bist du Verantwortlicher im Sinne der DSGVO. Der Anbieter der Software ist Auftragsverarbeiter. Zwischen beiden muss ein Auftragsverarbeitungsvertrag (AVV) bestehen. Ohne AVV fehlt die datenschutzrechtliche Grundlage für die Datenverarbeitung durch den Anbieter.
Was Betriebe konkret prüfen und tun sollten
Erstens: Serverstandort prüfen. Wo liegen die Daten deiner Kunden? Innerhalb der EU gelten DSGVO-Anforderungen unmittelbar. Ausserhalb der EU – insbesondere in den USA – gibt es besondere Übermittlungsvoraussetzungen. Ein Anbieter, dessen Rechenzentrum in Frankfurt steht, ist hier klar einfacher zu bewerten als einer mit US-Servern.
Zweitens: Auftragsverarbeitungsvertrag abschliessen. Jeder Anbieter, der für dich Kundendaten verarbeitet, muss mit dir einen AVV abgeschlossen haben. Gute Anbieter stellen diesen Vertrag im Konto bereit oder auf Anfrage. Wenn ein Anbieter keinen AVV anbietet, ist das ein klares Warnsignal.
Drittens: Löschfristen definieren. Serviceberichte enthalten personenbezogene Daten, die nicht unbegrenzt gespeichert werden dürfen – ausser es gibt einen rechtlichen Grund dafür (z. B. Aufbewahrungspflichten nach Steuerrecht). Was nach Ablauf der Aufbewahrungsfrist löschbar ist, sollte auch tatsächlich gelöscht werden.
Viertens: Informationspflicht beachten. Kunden haben ein Recht darauf, zu erfahren, wie ihre Daten verarbeitet werden. Eine knappe Datenschutzinformation – was wird gespeichert, wie lange, wo – erfullt diese Pflicht. Das muss kein langes Dokument sein, aber es muss existieren. Für rechtsverbindliche Einschätzung sollte ein Fachanwalt hinzugezogen werden.
Fotos in Serviceberichten: besondere Vorsicht
Fotos aus Privaträumen – eine Kueche, ein Badezimmer, ein Wohnzimmer – gehen über blasse Adressdaten hinaus. Sie können den Lebensstandard, persönliche Gegenstände oder Gewohnheiten der betroffenen Person abbilden. Das macht sie aus Datenschutzsicht heikel.
Wer solche Fotos für die Dokumentation benötigt – und das ist bei vielen Einsätzen berechtigt –, sollte sicherstellen, dass die Fotos nur zum Zweck der Dokumentation genutzt werden, nicht für Marketing oder Veröffentlichung. Und dass die Speicherung auf das Notwendige begrenzt ist.
In der Praxis bedeutet das: Fotos in der App sollten nicht automatisch in der allgemeinen Fotogalerie des Smartphones landen. Sie sollten im System des Anbieters gespeichert sein – zugreifbar nur für den Betrieb, nicht für Dritte. Und nach Ablauf der Aufbewahrungsfrist gelöscht werden.
Ein Hinweis an den Kunden vor dem Erstellen von Fotos ist nicht nur datenschutzrechtlich sinnvoll – er ist auch ein Zeichen von Professionalität. 'Ich mache jetzt Fotos für die Dokumentation' kostet drei Sekunden und verhindert Missverständnisse.
Wie Fieldo mit dem Thema Datenschutz umgeht
Fieldo speichert alle Daten auf Servern innerhalb der Europäischen Union. Das vereinfacht die datenschutzrechtliche Bewertung erheblich, weil die DSGVO dort unmittelbar gilt und keine besonderen Übermittlungsvoraussetzungen erfullt werden müssen.
Mit jedem Betrieb, der Fieldo nutzt, kann ein Auftragsverarbeitungsvertrag abgeschlossen werden. Dieser ist im System abrufbar. Wer den AVV für seine Datenschutzdokumentation benötigt, findet ihn dort oder kann ihn auf Anfrage erhalten.
Fotos, die in Berichten hinterlegt sind, sind nur für den jeweiligen Betrieb zugänglich – nicht für andere Nutzer, nicht für Dritte, nicht für Marketingzwecke. Löschfristen lassen sich im System konfigurieren.
Dieser Abschnitt ist sachliche Information, kein Rechtsrat. Ob das Setup deines Betriebs insgesamt DSGVO-konform ist, hängt von weiteren Faktoren ab, die ein Fachanwalt oder Datenschutzbeauftragter beurteilen sollte.
AVV bei Service-Software: was er enthalten muss
Welche Klauseln ein Auftragsverarbeitungsvertrag für Handwerker-Apps haben muss und wie du prüfst, ob dein AVV vollständig ist.
Datenschutz als Wettbewerbsvorteil: eine andere Perspektive
Datenschutz wird häufig als Last betrachtet. Eine andere Sichtweise: Betriebe, die ihren Kunden erklären können, wo deren Daten liegen, wie lange sie gespeichert werden und wer Zugriff hat, wirken professioneller – besonders bei Gewerbe- und Firmenkunden, die selbst DSGVO-pflichtig sind.
Ein Hausverwaltungsunternehmen, das mit einem Handwerksbetrieb zusammenarbeitet, ist selbst Verantwortlicher für die Daten seiner Mieter. Wenn der Handwerker Fotos aus Mieterwohnungen in einer App speichert, die auf US-Servern läuft und keinen AVV anbietet, ist das für die Hausverwaltung ein Problem. Wer hier mit sauberem Setup punkten kann, hat einen echten Vorteil.
Das gilt auch für öffentliche Auftraggeber und Kommunen, die bei der Vergabe zunehmend auf Datenschutzstandards achten. Ein Betrieb, der einen AVV vorweisen kann und EU-Hosting nutzt, räumt Hürden aus dem Weg, an denen andere Bewerber scheitern.
Der Aufwand für diesen Vorteil ist gering: EU-Hosting, AVV, Löschfristen, kurze Datenschutzinfo. Das sind keine Grossbaustellen – das sind Entscheidungen, die einmal getroffen und dann gepflegt werden.
DSGVO-Checkliste für Handwerksbetriebe mit digitalen Serviceberichten
- Serverstandort des Software-Anbieters innerhalb der EU geprüft und dokumentiert
- Auftragsverarbeitungsvertrag (AVV) mit dem Software-Anbieter abgeschlossen und abgelegt
- Löschfristen für Serviceberichte und Fotos definiert und im System konfiguriert
- Datenschutzinformation für Kunden vorhanden (was wird verarbeitet, wie lange, wo)
- Fotos werden nur zur Dokumentation genutzt, nicht für Marketing oder Dritte
- Zugriff auf Kundendaten intern auf notwendige Personen beschränkt
- Techniker sind informiert, welche Daten sie erheben und wie sie damit umgehen
- Bei Fragen oder Beschwerden ist klar, wer im Betrieb Ansprechpartner für Datenschutz ist
Für wen Fieldo beim Thema Datenschutz passt
Fieldo läuft auf EU-Servern, stellt einen AVV bereit und gibt Betrieben die Kontrolle über Löschfristen und Datenzugriff. Das vereinfacht das DSGVO-Setup erheblich.
Ob dein Betrieb insgesamt DSGVO-konform aufgestellt ist, sollte ein Fachanwalt oder Datenschutzbeauftragter beurteilen – Fieldo ist ein Baustein, kein Rundum-Schutz.
Fieldo passt, wenn …
- Betriebe, die Serviceberichte mit Kundendaten digital erfassen und speichern
- Handwerker, die Fotos aus Privaträumen oder Gewerbeobjekten dokumentieren
- Betriebe mit Gewerbe- oder Firmenkunden, die DSGVO-Standards voraussetzen
- Teams, die heute noch keine klare Lösung für AVV und Serverstandort haben
- Betriebe, die öffentliche Auftraggeber beliefern und Datenschutz nachweisen müssen
Ein anderes Tool passt besser, wenn …
- Betriebe, die nur gelegentlich nicht-personenbezogene Technologiedaten erfassen
- Betriebe mit eigenem On-Premise-System, das Datenschutz intern abdeckt
- Betriebe, die keinen Aussendienst haben und keine Kundendaten digital erfassen
Häufige Fragen
Gilt die DSGVO auch für kleine Handwerksbetriebe?+
Ja. Die DSGVO gilt für jeden Betrieb, der personenbezogene Daten verarbeitet – unabhängig von Größe oder Branche. Ein Einmannbetrieb, der Serviceberichte mit Kundendaten erstellt, ist daran gebunden.
Brauche ich einen Auftragsverarbeitungsvertrag mit meinem App-Anbieter?+
Ja. Wenn eine App Kundendaten für dich verarbeitet, ist der Anbieter Auftragsverarbeiter und ein AVV ist Pflicht. Gute Anbieter stellen ihn bereit. Fehlt der AVV, fehlt die datenschutzrechtliche Grundlage für die Datenverarbeitung.
Darf ich Fotos aus Kundenwohnungen machen?+
Für die Dokumentation von Arbeiten ja – wenn die Fotos nur zu diesem Zweck genutzt werden, sicher gespeichert sind und nach Ablauf der Aufbewahrungsfrist gelöscht werden. Fotos ohne Bezug zur Leistung solltest du vermeiden. Für rechtsverbindliche Einschätzung bitte einen Fachanwalt hinzuziehen.
Wie lange darf ich Serviceberichte speichern?+
Handels- und steuerrechtliche Aufbewahrungspflichten können eine Speicherung von bis zu zehn Jahren erfordern. Nach Ablauf der Fristen müssen Daten gelöscht werden, wenn kein anderer Grund für die Speicherung besteht. Für genaue Fristen bitte Steuerberater oder Fachanwalt konsultieren.
Was ist, wenn ein Kunde fragt, welche Daten ich über ihn gespeichert habe?+
Das ist ein Auskunftsersuchen nach Art. 15 DSGVO. Du bist verpflichtet, innerhalb von einem Monat zu antworten und die gespeicherten Daten mitzuteilen. Mit einem digitalen System, das nach Kunde sucht, ist diese Auskunft in der Regel schnell zusammenzustellen.
Spielt es eine Rolle, ob mein Softwareanbieter in den USA sitzt?+
Ja. Daten auf US-Servern können dem US-Cloud Act unterliegen, der US-Behörden unter bestimmten Voraussetzungen Zugriff ermöglichen kann. Für den Transfer in die USA sind besondere datenschutzrechtliche Voraussetzungen zu erfullen. EU-Hosting vereinfacht die Bewertung erheblich.
Brauche ich einen Datenschutzbeauftragten als Handwerksbetrieb?+
In der Regel nicht – die Pflicht zur Benennung eines Datenschutzbeauftragten greift ab bestimmten Schwellenwerten. Für eine verbindliche Einschätzung solltest du einen Fachanwalt hinzuziehen.
Jetzt selbst ausprobieren.
Kostenfrei starten, ersten Kunden anlegen und den ersten digitalen Bericht mit Foto, Unterschrift und PDF erstellen.