All guides

    Kundenkartei für Friseure: DSGVO-konform und praxistauglich

    dsgvokundenkarteirecht
    Read in English

    Keine Rechtsberatung. Dieser Text ist ein praxisnaher Überblick aus dem Salon-Alltag, keine juristische Stellungnahme. Daten- und Steuerrecht ändern sich und unterscheiden sich je nach Land. Für verbindliche Auskünfte sprich mit einer Rechtsanwältin oder einem Steuerberater. Dieser Text bezieht sich auf die DSGVO und deutsche Aufbewahrungsfristen. In Österreich und der Schweiz gelten teils andere Fristen.

    Fast jeder kleine Salon führt eine Kundenkartei. Auf Papier in einem Ordner hinter dem Empfang. In einer Excel-Tabelle auf dem privaten Laptop. In den WhatsApp-Chats auf dem Salon-Handy. Und in den Köpfen von zwei Mitarbeiter:innen, die seit Jahren dabei sind. Alles davon ist Verarbeitung personenbezogener Daten. Alles davon fällt unter die DSGVO. Und fast immer ist mindestens eine dieser Quellen nicht sauber.

    Die gute Nachricht: Die DSGVO ist für einen Salon mit einem Stuhl bis fünf Mitarbeitenden machbar. Du brauchst keine Anwaltskanzlei. Du brauchst sechs Regeln, die du verstehst, eine Datenstruktur, die zu deinem Salon passt, und eine ehrliche Antwort auf die Frage, was du wirklich brauchst und was nur über die Jahre dazu gekommen ist.

    Was als personenbezogene Daten zählt

    Mehr, als die meisten Salons denken. Schon ein Vorname plus die Information "kommt freitags um 14:00 zur Balayage" reicht aus, um eine Person zu identifizieren. Heißt also: alles davon ist personenbezogen und braucht eine Rechtsgrundlage.

    • Name, Telefonnummer, E-Mail, Adresse.
    • Terminhistorie inklusive Behandlung, Dauer und Preis.
    • Foto vor und nach der Behandlung, auch wenn es nur auf dem Salon-Handy liegt.
    • Notizen zur Haarstruktur, Allergien, Vorbehandlungen, Hautempfindlichkeit. Allergien und Hautempfindlichkeit können unter Art. 9 DSGVO (besondere Kategorien) fallen und brauchen besondere Sorgfalt.
    • Zahlungsdaten, auch wenn nur Stripe oder ein Kartenleser sie speichert.
    • Kommunikationsverlauf in WhatsApp, SMS oder per E-Mail.

    Auch eine handschriftliche Karteikarte mit Anna Müller, 0151..., letzte Tönung 6/3, Allergie auf PPD ist personenbezogen. Papier ist kein Schlupfloch.

    Sechs Regeln, mehr brauchst du nicht

    1. Rechtsgrundlage pro Datentyp. Für jede Information, die du speicherst, muss eine der sechs Rechtsgrundlagen aus Art. 6 DSGVO greifen. Für einen Salon sind in der Praxis drei relevant: Vertragserfüllung (Buchung, Bezahlung, Termin), berechtigtes Interesse (kurze Notiz zur letzten Tönung) und Einwilligung (Marketing-Nachrichten, Vorher-Nachher-Foto auf Instagram).
    2. Zweckbindung. Daten, die du für Buchung und Behandlung erhebst, darfst du nicht ohne weiteres für Werbung verwenden. Wer einmal einen Schnitttermin hatte, ist nicht automatisch in deinem Newsletter.
    3. Speicherbegrenzung. Daten löschen, wenn der Zweck weg ist. Faustregel siehe unten.
    4. Auskunftsrecht. Wenn jemand fragt, was du über ihn gespeichert hast, hast du einen Monat Zeit, das zu beantworten. In einer Form, die er verstehen kann.
    5. Recht auf Löschung. Auf Anfrage löscht du alle Daten, die du nicht aus gesetzlichen Gründen aufbewahren musst. Auch hier ein Monat.
    6. Technische und organisatorische Maßnahmen. Du sorgst dafür, dass die Daten nicht in falsche Hände geraten. Passwort auf dem Salon-Handy. Bildschirmsperre am Empfang. Kein Excel auf einem privaten Laptop.

    Aufbewahrungsfristen, die wirklich gelten

    Die häufigste Frage. Klare Antworten:

    • Rechnungen und Zahlungsbelege: 10 Jahre. Steuerrechtliche Pflicht aus §147 AO. Geht der DSGVO-Löschung vor.
    • Allgemeine Kundenkartei (Name, Kontakt, Terminhistorie): So lange aktive Geschäftsbeziehung. Ein bis drei Jahre nach dem letzten Termin ist Standard. Danach löschen oder anonymisieren.
    • Behandlungsnotizen, Allergien, Vorbehandlungen: So lange die Person Kundin ist. Wenn sie zwei Jahre nicht mehr kommt, ist die medizinisch- sicherheitsrelevante Notiz nicht mehr nötig. Löschen.
    • Vorher-Nachher-Fotos: Nur mit ausdrücklicher Einwilligung speichern. Bei Widerruf umgehend löschen. Keine Frist nach oben.
    • WhatsApp-Verlauf: Heikel. Strenggenommen löschst du, sobald die Kommunikation nicht mehr nötig ist. Praxis: einmal im Quartal alte Chats archivieren oder löschen.

    Wo Salons sich regelmäßig verheben

    Vier Stellen, die in einer DSGVO-Prüfung als Erstes auffallen:

    • Excel auf dem privaten Laptop. Wenn die Salon-Daten auf einem Rechner liegen, der auch privat genutzt wird, gemeinsam mit Familienmitgliedern oder ohne Verschlüsselung, ist das ein Verstoß. Entweder ein eigener Salon- Rechner mit Passwort und Festplattenverschlüsselung, oder ein Salon-Tool mit sauberer Trennung.
    • Foto-Mediathek auf dem Salon-Handy. Hunderte Vorher-Nachher- Bilder mit Gesichtern, vermischt mit Familienfotos, automatisch in die iCloud synchronisiert. Genau das willst du nicht. Trenne Salon-Fotos in ein eigenes Album, deaktiviere die automatische Cloud-Synchronisation für dieses Album, oder nutze eine App, die die Fotos pro Kundin sortiert.
    • WhatsApp-Gruppe als Kundenstamm. Eine Gruppe für Stammkund:innen ist nicht nur taktisch falsch, sie ist auch rechtlich problematisch. Jede:r Teilnehmer:in sieht die Nummern aller anderen. Ohne ausdrückliche Einwilligung ist das ein Verstoß. Broadcast-Listen sind die saubere Alternative.
    • Alte Karteikarten im Schrank. Papierordner mit Kund:innen, die seit fünf Jahren nicht mehr da waren. Personenbezogene Daten ohne Zweck. Einmal im Jahr aussortieren und schreddern. Nicht in den normalen Papiermüll werfen.

    Die saubere Einwilligung

    Bei der ersten Buchung, einmal, klar formuliert. Ein einzelner Satz auf dem Buchungsformular, am Empfang oder im ersten WhatsApp-Kontakt. Drei separate Häkchen, nicht eines, das alles abdeckt:

    • Ich bin einverstanden, dass mein Salon meine Termin- und Behandlungsdaten speichert, damit ich künftige Termine vorbereiten kann. (Vertragserfüllung, bräuchte streng genommen keine Einwilligung, ist aber Transparenz und schadet nicht.)
    • Ich bin einverstanden, dass mein Salon mir Erinnerungen und Bewertungs-Anfragen per WhatsApp schickt.
    • Ich bin einverstanden, dass mein Salon mein Vorher-Nachher-Foto in seinen sozialen Netzwerken nutzen darf, mit Vornamen oder anonym, nach meiner Wahl.

    Die Einwilligung dokumentierst du. Datum, Uhrzeit, welche Häkchen gesetzt waren. Wenn jemand widerruft, hältst du dich am selben Tag daran und schreibst es in den Datensatz.

    Was du bei einer Auskunfts- oder Löschanfrage tust

    Sie kommt selten, aber wenn sie kommt, hast du einen Monat. Zwei Listen am Empfang oder im Tool reichen aus:

    • Auskunft: Welche Daten du hast (Name, Kontakt, Termine, Notizen, Fotos, Einwilligungen) und woher sie stammen. In einer Form, die nicht nach Datenbank-Export aussieht.
    • Löschung: Alles löschen, was nicht steuerrechtlich aufbewahrt werden muss. Rechnungen bleiben zehn Jahre, anonymisiert auf den Kontakt. Alles andere weg. Dann kurze Bestätigungsmail an die Person.

    Die schnelle Checkliste

    • Ein Tool oder ein Salon-Rechner für alle Kundendaten. Kein privater Laptop.
    • Salon-Handy mit Passwort und Bildschirmsperre.
    • Vorher-Nachher-Fotos in einem eigenen Album, ohne Auto-Cloud.
    • Broadcast-Listen statt Gruppen.
    • Drei getrennte Einwilligungen bei der ersten Buchung, dokumentiert.
    • Einmal im Jahr alte Kund:innen aussortieren. Papier schreddern, Daten löschen.
    • Eine kurze interne Routine, was du bei einer Auskunfts- oder Löschanfrage tust.
    • Auftragsverarbeitungsvertrag (AVV) mit jedem Tool, das deine Kundendaten verarbeitet. Auf Anfrage bekommst du den von uns per E-Mail.

    Wie Salonist dabei hilft

    Salonist nimmt dir den ersten Punkt der Liste ab: Kundendaten liegen nicht auf deinem privaten Laptop und nicht in einer geteilten Excel-Tabelle, sondern in einer Datenbank mit klarer Trennung pro Salon. Notizen pro Termin lassen sich einzeln bearbeiten und einzeln löschen, ohne den Rest der Kundenhistorie zu verlieren. Das hilft, wenn eine Kundin um Löschung einer einzelnen Information bittet, nicht um Löschung des ganzen Datensatzes. Einen unterzeichneten AVV bekommst du auf Anfrage per E-Mail.

    Was wir noch bauen: einen Ein-Klick-Export und eine Ein-Klick-Löschung im Salon-Bereich (die Funktion auf der Datenbank-Seite existiert, der Button noch nicht), sowie eine Einwilligungs-Übersicht pro Kundin direkt im Kundendatensatz. Bis das fertig ist, läuft eine Löschanfrage über uns per E-Mail.