10 Punkte die dein Betrieb erfüllen muss. Die meisten tun es nicht.

1. Verarbeitungsverzeichnis führen

Pflicht nach Art. 30 DSGVO — auch für Kleinbetriebe. Dokumentiere: Welche Daten (Kundennamen, Adressen, Fotos), Zweck (Auftragsabwicklung), Rechtsgrundlage (Vertrag), Speicherdauer (10 Jahre für Rechnungen, 6 Jahre für Geschäftsbriefe), Empfänger (Steuerberater, Buchhaltungssoftware). Eine einfache Tabelle reicht. SignPilot generiert die Übersicht automatisch.

2. Auftragsverarbeitungsverträge (AVV)

Mit jedem Cloud-Dienst der deine Kundendaten verarbeitet brauchst du einen AVV nach Art. 28 DSGVO. Das betrifft: Branchensoftware (SignPilot stellt einen AVV), Buchhaltung (sevDesk, Lexoffice — haben AVVs), E-Mail (Brevo, Gmail), Hosting (Hetzner). Fordere den AVV aktiv an — die meisten Anbieter haben ihn auf der Website.

3. Datenschutzerklärung auf der Website

Nicht "Wir nehmen Datenschutz ernst" — konkret: Welche Cookies (nur technisch notwendige?), welche Analytics (keine?), welche Drittanbieter (Hetzner, Brevo), Kontaktdaten des Verantwortlichen. Bei Mitarbeitern ab 20: Datenschutzbeauftragten benennen.

4. Server in der EU

Kundendaten auf US-Servern sind nach Schrems-II problematisch. Auch mit dem EU-US Data Privacy Framework gibt es Restrisiken. Sicherste Lösung: Server in Deutschland. SignPilot: Hetzner Falkenstein (Sachsen), ISO 27001, TÜV-geprüft. Kein Datentransfer in Drittländer.

5. Löschfristen definieren

Steuerrechtlich: 10 Jahre für Rechnungen, Geschäftsbücher, Bilanzen. 6 Jahre für Geschäftsbriefe (inkl. Angebote). Nach Ablauf: löschen. Fotos von Baustellen: nach Projektabschluss + Gewährleistungsfrist (meist 2 Jahre) löschen. Bewerberdaten: 6 Monate nach Absage.

6. Verschlüsselung

Übertragung: TLS 1.2 oder höher (besser 1.3). Speicherung: AES-256. Passwörter: bcrypt oder Argon2 (nicht MD5, nicht SHA1). API-Keys: verschlüsselt speichern, nicht im Klartext. SignPilot: TLS 1.3, AES-256, bcrypt, JWT mit Refresh-Token-Rotation.

7. Zugriffskontrolle

Wer sieht welche Daten? Nicht jeder Monteur braucht Zugriff auf alle Kundenrechnungen. Rollen-System: Admin (alles), Büro (Kunden, Angebote, Rechnungen), Monteur (eigene Jobs, Zeiterfassung). SignPilot hat ein Permission Catalog mit granularen Berechtigungen pro Rolle.

8. Fotos nur in verwalteten Apps

Wenn Monteure Baustellenfotos auf dem privaten Handy machen, liegen Kundendaten (Adressen, Fassaden) auf nicht-verwalteten Geräten. Lösung: Fotos direkt in der SignPilot-App aufnehmen. Sie werden verschlüsselt hochgeladen und nicht auf dem Gerät gespeichert. Oder: Mobile Device Management (MDM) für Firmen-Smartphones.

9. WhatsApp durch professionelle Tools ersetzen

WhatsApp Business ohne API ist für Geschäftskommunikation problematisch: Kontaktdaten werden an Meta übertragen, Metadaten werden verarbeitet, kein AVV ohne Business-API möglich. Für Freigaben: SignPilot Kunden-Portal (digitale Freigabe mit Zeitstempel und IP-Logging). Für Team-Kommunikation: Job-Chat in SignPilot oder Slack/Teams mit AVV.

10. Datenschutz-Folgenabschätzung bei Geofencing

Wenn du GPS-Tracking für Monteure nutzt (SignPilot Team-Management mit Geofencing), ist eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO ratsam. Dokumentiere: Zweck (Arbeitszeiterfassung, Tourenplanung), Rechtsgrundlage (berechtigtes Interesse oder Betriebsvereinbarung), Schutzmaßnahmen (Tracking nur während Arbeitszeit, keine Privatfahrten). Mitarbeiter müssen informiert werden und der Betriebsrat (wenn vorhanden) muss zustimmen.