DSGVO für Friseure und Kosmetik: was du wirklich brauchst
DSGVO ohne Panik: was du wirklich tun musst als Friseur oder Kosmetiker um konform zu sein. Hinweis, Einwilligung, Kundenkarten, Vorher/Nachher-Fotos, Cookies. Praktische Checkliste.
"DSGVO" ist das Wort das jeden Salonbetreiber zusammenzucken lässt. Sie erzählen dir von €20 Millionen Bußgeldern, verkaufen €1000-Beratungen, bieten "DSGVO-konforme" Software für €200/Monat. Die Realität ist viel einfacher — und viel günstiger.
Dieser Ratgeber erklärt was du wirklich brauchst als Friseur oder Kosmetiker DSGVO-konform zu sein, ohne unnötige Ausgaben.
Haftungsausschluss: dieser Artikel ist informativ, keine Rechtsberatung. Bei komplexen Situationen Privacy-Anwalt oder zertifizierten Datenschutzbeauftragten konsultieren.
Was ist DSGVO (in 30 Sekunden)
Die DSGVO (EU-Verordnung 2016/679, in Kraft seit 25. Mai 2018) ist das europäische Gesetz zum Schutz personenbezogener Daten. Gilt für jeden der Daten von EU-Bewohnern verarbeitet.
"Daten verarbeiten" beinhaltet auch nur die Notiz einer Kunden-Telefonnummer um anzurufen falls verspätet. Ja, du unterliegst der DSGVO. Nein, keine Panik.
Die 6 tatsächlichen Pflichten (nicht 600)
1. Datenschutzhinweis für Kunden
Wenn ein Kunde dir Daten gibt (Name, Telefon, E-Mail, Fotos), musst du erklären:
- Wer du bist (Verantwortlicher)
- Welche Daten du sammelst (Personalien + Kontakt + Behandlungshistorie)
- Warum (Termin-Verwaltung, Rechnung, Kontakt)
- Wie lange aufbewahrt (typisch: Vertragsdauer + 10 Jahre für Steuerzwecke)
- An wen weitergegeben (z.B. ZenBookr als Auftragsverarbeiter, Steuerberater, Stripe für Zahlungen)
- Ihre Rechte (Auskunft, Berichtigung, Löschung, Portabilität)
Wie konform werden: gedruckte A4-Seite im Salon ausgehängt + PDF-Version für ersten Besuch. Kosten: null. Mit ZenBookr ist der Hinweis in unserer Datenschutzerklärung enthalten.
2. Rechtsgrundlage für jede Verarbeitung
DSGVO Art. 6 verlangt "Rechtsgrundlage". Für Friseur/Kosmetiker die 4 relevanten Grundlagen:
- Vertragserfüllung (Art. 6.1.b) — Daten für gebuchten Service nötig. Beispiel: Name + Telefon zur Terminbestätigung.
- Rechtliche Verpflichtung (Art. 6.1.c) — Steuerdaten (Steuernummer für Rechnungen).
- Berechtigtes Interesse (Art. 6.1.f) — operative nicht-werbliche Mitteilungen (z.B. "dein Termin bestätigt für morgen 10 Uhr").
- Explizite Einwilligung (Art. 6.1.a) — Werbe-Newsletter, Fotos auf Social Media veröffentlicht.
Häufige Falle: der Newsletter "wir senden nur Sonderangebote" benötigt explizite Opt-in-Einwilligung, jederzeit widerrufbar.
3. Explizite Einwilligung für sensitive Daten (Art. 9)
Gesundheitsdaten sind "besondere Kategorie" Art. 9 DSGVO — benötigen separate explizite Einwilligung:
- Allergien gegen Produkte / Färbemittel
- Narben, Hautläsionen
- Schwangerschaft (relevant für Produktauswahl)
- Vorher/Nachher-Fotos die Hautzustände zeigen
Praktische Lösung: zweite unterzeichnete Einwilligungserklärung, separat vom allgemeinen Hinweis. Beispiel: "Ich willige in die Verarbeitung meiner Daten zu Allergien und Hautzuständen ein." Ja/Nein.
4. Vorher/Nachher-Fotos: doppelte Einwilligung
Vorher/Nachher-Behandlungsfotos sind personenbezogene Daten (Art. 4 DSGVO) und potentiell sensitive Daten.
Fotos benötigen separate schriftliche Einwilligung mit zwei Dimensionen:
- Einwilligung zum Fotografieren für interne Kundenkarte (immer)
- Einwilligung zur Veröffentlichung auf Salon-Social-Media (optional, separat)
Kunde muss sagen können "ja zur Karte, nein zu Social Media".
5. Datensicherheit (Art. 32)
Du musst Daten mit "risikoadäquaten Maßnahmen" schützen:
- Starkes Passwort am Salon-PC (kein "1234" oder "admin")
- Bildschirm der nach 5 Min Inaktivität sperrt
- Regelmäßige Backups (Cloud oder verschlüsselte externe Festplatte)
- Papier-Ablage (falls vorhanden) abgeschlossen
- Aktualisierte Verwaltungssoftware (z.B. ZenBookr auto-update)
6. Kundenrechte
Kunden haben jederzeit Recht zu fragen:
- Auskunft: "Zeige mir alle Daten über mich." Innerhalb 30 Tagen antworten.
- Berichtigung: "Ändere meine Telefonnummer." Sofort.
- Löschung (Recht auf Vergessenwerden): "Lösche alles über mich." Du musst, außer Daten für Steuerverpflichtungen (10 Jahre).
- Portabilität: "Exportiere meine Daten in lesbarem Format (CSV/PDF)." In 30 Tagen.
- Widerspruch: "Sende mir keine Werbung mehr."
Was du NICHT tun musst (Mythen entlarvt)
Mythos 1: "Du brauchst einen Datenschutzbeauftragten (DSB)"
Falsch für 99% der Friseure/Kosmetik. DSB nur Pflicht wenn:
- Du Daten "in großem Umfang" verarbeitest (über ~50.000 Kunden)
- Öffentliche Verwaltung
- Sensitive Daten als Kernaktivität
Salon mit 500 aktiven Kunden braucht KEINEN DSB. In Deutschland: Pflicht erst ab 20 Personen die ständig mit Datenverarbeitung beschäftigt sind (§38 BDSG).
Mythos 2: "Du brauchst ein Verarbeitungsverzeichnis"
Verarbeitungsverzeichnis (Art. 30 DSGVO) nur Pflicht für Organisationen mit 250+ Mitarbeitern, außer riskante/sensitive systematische Verarbeitungen.
Mythos 3: "Du musst für DSGVO-Siegel zahlen"
Kein offizielles "DSGVO-Siegel" existiert. Wer eines verkauft ist Betrug.
Cookie-Banner: die Web-Falle
Mit Website oder Verwaltungssoftware mit öffentlichen Seiten brauchst du konformes Cookie-Banner.
Deutsche Regeln (§25 TTDSG + DSGVO) verlangen:
- Banner bei erstem Besuch
- Explizites Opt-in für nicht-technische Cookies (Analytics, Marketing)
- "Akzeptieren" und "Ablehnen" Buttons mit gleichem visuellem Gewicht
- Möglichkeit Präferenzen jederzeit zu ändern
ZenBookr beinhaltet vorkonfiguriertes konformes Cookie-Banner.
Was ZenBookr für deine Compliance tut
- Signierbares Art. 28 DSGVO AVV in-app — siehe unser Standard-AVV
- EU-Server (Firebase europe-west1, Belgien)
- Verschlüsselung in Transit (TLS 1.3) + at rest (AES-256)
- Tägliche automatische Backups
- Vorkonfigurierter Datenschutzhinweis für deine Kunden
- Konformes Cookie-Banner in öffentlichen Marktplatz-Seiten
- CSV-Export / komplette Löschung in 2 Klicks
Salon DSGVO-Checkliste — drucken und nutzen
- ☐ Datenschutzhinweis vorbereitet (1 A4-Seite)
- ☐ Allergien/sensitive Daten Einwilligungsformular (separat)
- ☐ Vorher/Nachher-Fotos Einwilligungsformular (mit Karte vs Social Media Dimensionen)
- ☐ Verwaltungssoftware mit signierbarem Art. 28 DSGVO AVV
- ☐ Software-Server in EU
- ☐ Starkes Passwort + Bildschirm-Auto-Sperre
- ☐ Regelmäßige Backup-Kundendaten
- ☐ Papier-Ablage (falls vorhanden) abgeschlossen
- ☐ Cookie-Banner auf Website (falls anwendbar)
- ☐ Newsletter nur mit explizitem Opt-in
- ☐ Social-Fotos nur mit separater schriftlicher Einwilligung
- ☐ Verfahren für Auskunfts-/Löschungs-Anfragen (in 30 Tagen)
- ☐ Datenpanne-Meldeverfahren (bei Diebstahl/Leak: Aufsichtsbehörde in 72h benachrichtigen)
TL;DR: Datenschutzhinweis + explizite Einwilligung (separat für sensitive Daten und Fotos) + seriöse Software mit AVV + vernünftige Sicherheit = du bist gut. Keine €1.500 für "DSB-Beratung" wenn du Solo-Salon bist.
Ressourcen
- Bundesbeauftragte für den Datenschutz (BfDI)
- GDPR.eu (offizielle EU-Site)
- Unsere Datenschutzerklärung (Beispiel)
- Unser Art. 28 AVV
ZenBookr Team
Unabhängiges italienisches Team aus Entwicklern und Designern mit Wellness-Fokus.
Verwandte Artikel
Selbstständigkeit für Wellness-Profis in Deutschland: Ratgeber 2026
Friseur, Kosmetik, Masseur, Personal Trainer in Deutschland: Gewerbeanmeldung, Meisterzwang, Kleinunternehmerregelung, Versicherungen, mobile Dienste — ohne Juristendeutsch.
Salon-Software auswählen: Ratgeber 2026
Welche Kriterien bei der Wahl deiner Verwaltungssoftware bewerten: Preise, Provisionen, Marktplatz, DSGVO, Kundenkarten. Vergleich der 4 Hauptplattformen und Schlüsselfragen an Anbieter.
Willkommen im ZenBookr-Blog — Ressourcen für Wellness-Profis
Was du im ZenBookr-Blog findest: praktische Anleitungen, ehrliche Vergleiche, einfach erklärte Vorschriften, operative Best Practices für Friseure, Kosmetik, Spas, PTs, Masseure.