DSGVO für Werbetechniker: Was du wissen musst, bevor der Brief kommt.

DSGVO klingt nach Großkonzern-Problem. Ist es nicht. Die Datenschutz-Grundverordnung gilt für jeden Betrieb der personenbezogene Daten verarbeitet — und das tust du. Kundennamen, Adressen, E-Mails, Telefonnummern, Fotos von Fassaden (auf denen manchmal Personen zu sehen sind), Rechnungsdaten. All das sind personenbezogene Daten.

Ein Bußgeld von 20.000 Euro für einen Drei-Mann-Betrieb? Passiert selten — aber die Abmahnwelle kommt über Anwälte die Webseiten scannen. Und wenn ein unzufriedener Kunde sich bei der Landesdatenschutzbehörde beschwert, musst du nachweisen dass du die Regeln einhältst.

Was die DSGVO von dir verlangt

1. Verarbeitungsverzeichnis

Du musst dokumentieren welche Daten du verarbeitest, warum, wie lange, und wer Zugriff hat. Klingt aufwändig — ist es aber nicht. Eine einfache Tabelle reicht: "Kundendaten — Auftragsabwicklung — 10 Jahre (Aufbewahrungspflicht) — Geschäftsführer + Büro". SignPilot generiert diese Übersicht automatisch aus deinen Einstellungen.

2. Auftragsverarbeitungsvertrag (AVV)

Mit jedem Cloud-Anbieter der deine Daten verarbeitet brauchst du einen AVV. Das gilt für deine Buchhaltungssoftware, dein E-Mail-Tool, deine Website-Hosting und natürlich deine Branchensoftware. SignPilot stellt einen AVV bereit — frag bei deinen anderen Anbietern nach.

3. Datenschutzerklärung

Auf deiner Website und in deinen AGBs muss stehen welche Daten du erhebst und was du damit machst. Nicht "wir nehmen Datenschutz ernst" — konkret: Welche Cookies, welche Analytics, welche Drittanbieter.

4. Server-Standort

Hier wird es für viele Werbetechniker kritisch. Wenn du shopVOX nutzt (US-Server), Trello (US-Server), Google Drive (weltweit verteilt) oder Dropbox (US-Server), dann liegen deine Kundendaten in den USA. Seit dem Schrems-II-Urteil des EuGH ist der Datentransfer in die USA rechtlich problematisch — selbst mit dem neuen EU-US Data Privacy Framework gibt es Unsicherheiten.

Die sicherste Lösung: Europäische Server. SignPilot läuft auf Hetzner in Falkenstein (Sachsen). ISO 27001 zertifiziert, TÜV-geprüft. Kein Datentransfer in Drittländer.

5. Verschlüsselung

Daten müssen verschlüsselt übertragen (TLS) und gespeichert (AES-256) werden. Passwörter müssen gehasht sein (bcrypt, nicht MD5). SignPilot: TLS 1.3 für alle Verbindungen, AES-256 für gespeicherte Daten, bcrypt für Passwörter, JWT mit Refresh-Token-Rotation für die Authentifizierung.

6. Löschfristen

Du darfst Daten nicht ewig speichern. Handelsrechtliche Aufbewahrungspflicht: 10 Jahre für Rechnungen und Geschäftsbriefe, 6 Jahre für sonstige Unterlagen. Danach muss gelöscht werden. Fotos von Fassaden: nach Projektabschluss löschen, es sei denn der Kunde stimmt einer längeren Speicherung zu.

7. Betroffenenrechte

Dein Kunde hat das Recht auf Auskunft (welche Daten hast du?), Berichtigung (Adresse ändern), Löschung (alles löschen) und Datenportabilität (Daten exportieren). Du musst innerhalb von 30 Tagen antworten. In SignPilot: Kunden-Profil → Alle Daten exportieren oder Kunden-Profil → Löschen.

Die häufigsten Fehler in Werbetechnik-Betrieben

WhatsApp für Geschäftskommunikation: WhatsApp teilt Metadaten mit Meta (Facebook). Telefonnummern deiner Kunden werden an US-Server übertragen. Für Geschäftskommunikation ist WhatsApp ohne Business-API und AVV nicht DSGVO-konform. Alternative: SignPilot Kunden-Portal mit digitaler Freigabe und Zeitstempel.

Fotos auf dem privaten Smartphone: Wenn dein Monteur Fotos von der Baustelle auf seinem privaten Handy macht, liegen Kundendaten auf einem nicht-verwalteten Gerät. Lösung: Fotos direkt in der SignPilot-App aufnehmen — sie werden verschlüsselt auf den Server hochgeladen und nie auf dem Gerät gespeichert.

Keine Tracking-Dokumentation: Google Analytics, Facebook Pixel, HubSpot — jedes Tool das Besucherverhalten trackt braucht eine Einwilligung (Cookie-Banner) und eine Dokumentation. SignPilot: Kein Google Analytics, keine Tracking-Pixel, keine Cookies die nicht technisch notwendig sind.

Checkliste: 10 Punkte

1. Verarbeitungsverzeichnis erstellen. 2. AVV mit allen Cloud-Anbietern abschließen. 3. Datenschutzerklärung auf der Website. 4. Server in der EU. 5. Löschfristen definieren. 6. Verschlüsselung überprüfen. 7. Zugriffskontrolle (wer sieht was). 8. Fotos nur in verwalteten Apps. 9. WhatsApp durch professionelle Tools ersetzen. 10. Folgenabschätzung bei Geofencing und GPS-Tracking.

Fazit

DSGVO ist kein Hexenwerk. Mit der richtigen Software ist das meiste automatisch erledigt: Verschlüsselung, Server-Standort, Löschfristen, Zugriffskontrollen. Der größte Hebel: Weg von US-Tools und WhatsApp, hin zu einer europäischen Branchenlösung die DSGVO nicht als Feature vermarktet sondern als Standard lebt.