DSGVO klingt nach Großkonzern-Problem. Ist es nicht. Die Datenschutz-Grundverordnung gilt für jeden Betrieb der personenbezogene Daten verarbeitet — und das tust du. Kundennamen, Adressen, E-Mails, Telefonnummern, Fotos von Fassaden (auf denen manchmal Personen zu sehen sind), Rechnungsdaten. All das sind personenbezogene Daten im Sinne der DSGVO. Ich habe in meinem Betrieb K-Werbetechnik in Homburg an der Saar genau dieselbe Frage durcharbeiten müssen: Was muss ein Werbetechniker mit 5 Mitarbeitern tatsächlich tun? Nicht was ein Datenschutzberater dir sagt der pro Stunde 200 Euro berechnet — was wirklich notwendig ist, was die häufigsten Fallstricke sind, und wie du dich mit minimalem Aufwand sauber aufstellst. DSGVO-Features in PlotonIQ: Funktionsübersicht →

Ein Bußgeld von 20.000 Euro für einen Drei-Mann-Betrieb? Passiert selten — aber die Abmahnwelle kommt über Anwälte die Webseiten scannen. Und wenn ein unzufriedener Kunde sich bei der Landesdatenschutzbehörde beschwert, musst du nachweisen dass du die Regeln einhältst. Der Nachweis ist das eigentliche Problem: Nicht das Einhalten, sondern das Dokumentieren.

Was die DSGVO von dir verlangt

1. Verarbeitungsverzeichnis

Du musst dokumentieren welche Daten du verarbeitest, warum, wie lange, und wer Zugriff hat. Klingt aufwändig — ist es aber nicht. Eine einfache Tabelle reicht: „Kundendaten — Auftragsabwicklung — 10 Jahre (Aufbewahrungspflicht) — Geschäftsführer + Büro“. Gesetzlich vorgeschrieben ab 250 Mitarbeitern, aber die Datenschutzbehörden empfehlen es ab Betriebsgröße 1 — weil du im Beschwerdefall nachweisen musst was du verarbeitest. PlotonIQ generiert diese Übersicht automatisch aus deinen Einstellungen.

2. Auftragsverarbeitungsvertrag (AVV)

Mit jedem Cloud-Anbieter der deine Daten verarbeitet brauchst du einen AVV. Das gilt für deine Buchhaltungssoftware, dein E-Mail-Tool, dein Website-Hosting und natürlich deine Branchensoftware. PlotonIQ stellt einen AVV bereit — frag bei deinen anderen Anbietern nach. Besonders kritisch: viele kleine Tools — Calendly, Notion, Trello — haben keine DSGVO-konformen AVVs oder liegen auf US-Servern ohne angemessenes Schutzniveau.

3. Datenschutzerklärung

Auf deiner Website und in deinen AGBs muss stehen welche Daten du erhebst und was du damit machst. Nicht „wir nehmen Datenschutz ernst“ — konkret: Welche Cookies, welche Analytics, welche Drittanbieter. Ein Google Fonts Einbindung ohne Datenschutzerklärung war Gegenstand von Abmahnwellen im Jahr 2022 — da reichte der Umstand dass die Nutzer-IP an Google übertragen wird.

4. Server-Standort

Hier wird es für viele Werbetechniker kritisch. Wenn du anderen Systemen nutzt (US-Server), Trello (US-Server), Google Drive (weltweit verteilt) oder Dropbox (US-Server), dann liegen deine Kundendaten in den USA. Seit dem Schrems-II-Urteil des EuGH ist der Datentransfer in die USA rechtlich problematisch — selbst mit dem neuen EU-US Data Privacy Framework gibt es Unsicherheiten weil US-Geheimdienste nach US-Recht Zugriff auf Daten amerikanischer Unternehmen verlangen können, unabhängig vom Serverstandort.

Die sicherste Lösung: Europäische Server. PlotonIQ läuft auf Hetzner in Falkenstein (Sachsen). ISO 27001 zertifiziert, TÜV-geprüft. Kein Datentransfer in Drittländer.

5. Verschlüsselung

Daten müssen verschlüsselt übertragen (TLS) und gespeichert (AES-256) werden. Passwörter müssen gehasht sein (bcrypt, nicht MD5). PlotonIQ: TLS 1.3 für alle Verbindungen, AES-256 für gespeicherte Daten, bcrypt für Passwörter, JWT mit Refresh-Token-Rotation für die Authentifizierung. Das ist der technische Mindeststandard den die DSGVO „angemessene Sicherheitsmaßnahmen“ nennt.

6. Löschfristen

Du darfst Daten nicht ewig speichern. Handelsrechtliche Aufbewahrungspflicht: 10 Jahre für Rechnungen und Geschäftsbriefe, 6 Jahre für sonstige Unterlagen. Danach muss gelöscht werden. Fotos von Fassaden: nach Projektabschluss löschen, es sei denn der Kunde stimmt einer längeren Speicherung zu (z.B. für dein Portfolio — dann separate Einwilligung einholen).

7. Betroffenenrechte

Dein Kunde hat das Recht auf Auskunft (welche Daten hast du?), Berichtigung (Adresse ändern), Löschung (alles löschen) und Datenportabilität (Daten exportieren). Du musst innerhalb von 30 Tagen antworten. In PlotonIQ: Kunden-Profil → Alle Daten exportieren oder Kunden-Profil → Löschen. Das System protokolliert den Vorgang automatisch als Nachweis.

Die häufigsten Fehler in Werbetechnik-Betrieben

WhatsApp für Geschäftskommunikation: WhatsApp teilt Metadaten mit Meta (Facebook). Telefonnummern deiner Kunden werden an US-Server übertragen. Für Geschäftskommunikation ist WhatsApp ohne Business-API und AVV nicht DSGVO-konform. Das ist nicht theoretisch — 2023 hat die irische Datenschutzbehörde WhatsApp mit einer Geldstrafe von 225 Millionen Euro belegt. Als kleiner Betrieb fällst du nicht in diese Größenordnung, aber das rechtliche Risiko bleibt. Alternative: PlotonIQ Kunden-Portal mit digitaler Freigabe und Zeitstempel. Der Kunde gibt online frei, du siehst es sofort im System — kein WhatsApp, kein Datentransfer in die USA.

Fotos auf dem privaten Smartphone: Wenn dein Monteur Fotos von der Baustelle auf seinem privaten Handy macht, liegen Kundendaten auf einem nicht-verwalteten Gerät. Bei Verlust oder Diebstahl hast du eine Datenpanne die du innerhalb von 72 Stunden der Datenschutzbehörde melden musst. Lösung: Fotos direkt in der PlotonIQ-App aufnehmen — sie werden verschlüsselt auf den Server hochgeladen und nie auf dem Gerät gespeichert.

Keine Tracking-Dokumentation: Google Analytics, Facebook Pixel, HubSpot — jedes Tool das Besucherverhalten trackt braucht eine Einwilligung (Cookie-Banner) und eine Dokumentation. PlotonIQ: Kein Google Analytics, keine Tracking-Pixel, keine Cookies die nicht technisch notwendig sind.

Keine Zugriffskontrolle: Wenn alle Mitarbeiter alle Kundendaten sehen können, verstößt das gegen das Prinzip der Datensparsamkeit. Dein Lehrling braucht keinen Zugriff auf Rechnungsdaten. PlotonIQ hat Rollenmanagement: Monteur sieht Auftragsdetails, kein CRM, keine Finanzdaten.

Praxisbeispiel: Datenpanne und was du dann tust

Szenario: Dein Monteur verliert sein Smartphone auf der Baustelle. Auf dem Telefon sind 23 Baustellen-Fotos von Kundenfassaden, dazu sein WhatsApp-Verlauf mit dir — darin Kundennamen und Adressen.

Was jetzt? Innerhalb von 72 Stunden musst du die Datenpanne der zuständigen Landesdatenschutzbehörde melden, wenn ein Risiko für Betroffene besteht. Du musst benennen: Was war betroffen (Namen, Fotos), wie viele Personen (23 Baustellen-Kunden), welche Maßnahmen du ergriffen hast (Gerät remote löschen wenn MDM vorhanden, Kunden informieren), und wie du ähnliche Vorkommnisse künftig verhinderst.

Mit PlotonIQ: Fotos werden nie auf dem Gerät gespeichert, sofort verschlüsselt hochgeladen. Kein Datenverlust durch verlorenes Smartphone. Die Datenpanne findet gar nicht erst statt.

Checkliste: 10 Punkte für DSGVO-Konformität

  • 1. Verarbeitungsverzeichnis erstellen — eine Tabelle reicht, PlotonIQ generiert sie automatisch.
  • 2. AVV mit allen Cloud-Anbietern abschließen — Buchhaltung, E-Mail, Website-Hosting, Branchensoftware.
  • 3. Datenschutzerklärung auf der Website — konkret, nicht allgemein. Anwalt prüfen lassen.
  • 4. Server in der EU — Hetzner, IONOS, Strato: alle in Deutschland. Keine US-Tools für Kundendaten.
  • 5. Löschfristen definieren — 10 Jahre für Rechnungen, danach löschen. PlotonIQ automatisiert das.
  • 6. Verschlüsselung überprüfen — TLS für Transport, AES-256 für gespeicherte Daten.
  • 7. Zugriffskontrolle einrichten — wer sieht was? Rollenmanagement statt „alles für alle“.
  • 8. Fotos nur in verwalteten Apps — keine privaten Handys für Baustellenfotos.
  • 9. WhatsApp durch professionelle Tools ersetzen — Kunden-Portal mit digitaler Freigabe.
  • 10. Folgenabschätzung bei Geofencing und GPS-Tracking — Mitarbeiterortung erfordert Betriebsvereinbarung oder Einwilligung.

Häufige Fragen

Brauche ich einen Datenschutzbeauftragten?

Als Betrieb unter 20 Mitarbeitern die regelmäßig mit persönlichen Daten umgehen: gesetzlich nicht verpflichtend, aber empfohlen wenn du sensible Daten verarbeitest. Für einen typischen Werbetechnik-Betrieb reicht ein externer Berater der einmalig prüft und ein Update-Retainer von 2–4 Stunden pro Jahr.

Darf ich Fotos von Fassaden mit Personen verwenden?

Für den internen Auftragsablauf: ja. Für dein Portfolio oder Social Media: nur wenn Personen nicht erkennbar sind oder du eine ausdrückliche Einwilligung hast. Abstandsaufnahmen wo Personen unter 5 Pixel groß sind: in der Regel unproblematisch.

Was ist mit Zeiterfassung und GPS-Tracking meiner Monteure?

Zeiterfassung ist arbeitsrechtlich erlaubt und datenschutzrechtlich unproblematisch wenn die Mitarbeiter informiert werden. GPS-Tracking (Standortprotokollierung während der Arbeitszeit) ist zulässig mit informierter Einwilligung oder Betriebsvereinbarung. PlotonIQ nutzt Geofencing (Betreten/Verlassen eines Gebiets) statt kontinuierlichem GPS-Tracking — datenschutzrechtlich weniger invasiv.

Muss ich WhatsApp komplett verbieten?

Für die Geschäftskommunikation mit Kunden: ja, wenn keine Business-API mit AVV vorhanden ist. Private Nutzung auf Firmengeräten: Betriebsvereinbarung empfohlen. Die pragmatische Lösung: PlotonIQ-Kunden-Portal für Freigaben, E-Mail für Dokumente, WhatsApp nur noch für private Absprachen im Team.

Fazit

DSGVO ist kein Hexenwerk. Mit der richtigen Software ist das meiste automatisch erledigt: Verschlüsselung, Server-Standort, Löschfristen, Zugriffskontrollen. Der größte Hebel: Weg von US-Tools und WhatsApp, hin zu einer europäischen Branchenlösung die DSGVO nicht als Feature vermarktet sondern als Standard lebt. In PlotonIQ ist Datenschutz Architekturentscheidung, nicht Featureflag. Fang mit den 10 Punkten auf der Checkliste an — die meisten sind in einem Nachmittag erledigt. Beta-Zugang sichern →