DSGVO im Friseursalon: Kundendaten richtig verwalten 2025 | 3A Concepts

DSGVO im Friseursalon: Buchungsdaten, Kundenkartei und Datenschutz

Was die Datenschutz-Grundverordnung für Ihren Salon konkret bedeutet – und wie Sie die häufigsten Fehler von Anfang an vermeiden.

Die DSGVO gilt seit Mai 2018 – und dennoch machen viele Friseursalons noch immer grundlegende Fehler im Umgang mit Kundendaten. Das Bußgeldrisiko ist real: Die deutschen Datenschutzbehörden haben zwischen 2019 und 2024 auch kleinere Betriebe mit empfindlichen Geldbußen belegt. Gleichzeitig ist datenschutzkonformes Arbeiten keine Hexerei – es erfordert vor allem klare Prozesse und etwas Aufmerksamkeit beim Einsatz von Software und bei der Kommunikation mit Kunden.

Dieser Artikel erklärt, welche Daten in einem Friseursalon typischerweise anfallen, was die DSGVO dazu sagt – und wie Sie sich mit wenig Aufwand rechtskonform aufstellen.

Welche Daten erfasst ein Friseursalon typischerweise?

Im Alltag eines Salons entstehen mehr personenbezogene Daten als die meisten Inhaber realisieren:

  • Kontaktdaten: Name, Telefonnummer, E-Mail-Adresse – für Terminbuchungen, Erinnerungen und Rückfragen. Gehören zur Standardkategorie personenbezogener Daten.
  • Buchungshistorie: Welche Behandlungen der Kunde wann gebucht hat, wie oft er kommt, was er ausgibt. Ermöglicht personalisierte Beratung, ist aber schutzwürdig.
  • Haarfarb-Protokolle und Rezepturen: Welche Farbmischungen wurden verwendet, in welchem Verhältnis, mit welchem Ergebnis. Für viele Salons unverzichtbar – aber ebenfalls personenbezogen.
  • Gesundheitsbezogene Informationen (BESONDERS SCHUTZWÜRDIG): Allergien gegen Haarfarbstoffe, Hauterkrankungen, Schwangerschaft (relevant für Chemikalien), Unverträglichkeiten gegen bestimmte Pflegestoffe. Diese Daten fallen unter Artikel 9 DSGVO (besondere Kategorien personenbezogener Daten) und unterliegen strengeren Anforderungen.
  • Zahlungsdaten: Kartenzahlungsdaten dürfen nicht selbst gespeichert werden – das ist Aufgabe des Zahlungsdienstleisters (SumUp, Square etc.). Rechnungsbeträge und Zahlungsbelege sind Buchhaltungsdaten, keine Zahlungsdaten im DSGVO-Sinne.
  • Fotos (Vorher-Nachher): Bilder von Kunden sind personenbezogene Daten. Wenn sie zusätzlich auf Social Media veröffentlicht werden, ist eine gesonderte Einwilligung erforderlich.
Allergiedaten, Unverträglichkeiten und andere gesundheitsbezogene Informationen sind nach Art. 9 DSGVO "besondere Kategorien personenbezogener Daten". Ihre Verarbeitung ist grundsätzlich verboten – außer Sie haben eine ausdrückliche, informierte Einwilligung des Kunden. Eine mündliche Aussage reicht nicht. Es muss dokumentiert sein.

Gesundheitsdaten besonders absichern

Wenn Sie in Ihrer Kundenkartei Allergien oder Unverträglichkeiten speichern – was aus Sicherheitsgründen absolut sinnvoll ist – dann brauchen Sie:

  • Eine schriftliche oder elektronische Einwilligung des Kunden, die explizit auf die Speicherung dieser Gesundheitsinformationen hinweist
  • Eine klare Aussage, zu welchem Zweck die Daten gespeichert werden (Sicherheit bei der Behandlung)
  • Das Recht des Kunden, diese Einwilligung jederzeit zu widerrufen
  • Einen sicheren Speicherort (nicht auf einem ungeschützten Papierzettel am Bedienplatz)
Praxislösung: Erstellen Sie ein kurzes "Kunden-Ersterfassungsformular" für Neukunden, das Name, Kontaktdaten, eventuelle Allergien und die Einwilligung zur Datenspeicherung kombiniert. Digital ist es komfortabler – in Buchungssoftware (Shore, Treatwell, Phorest) ist das in der Regel integriert.

Buchungssoftware: Was bei der Wahl zu beachten ist

Die meisten Salons nutzen heute eine digitale Buchungssoftware. Was viele nicht wissen: Als Saloninhaber sind Sie "Verantwortlicher" im Sinne der DSGVO, der Softwareanbieter ist "Auftragsverarbeiter". Das hat rechtliche Konsequenzen:

  • Serverstandort EU: Die Kundendaten müssen auf Servern innerhalb der EU (oder in einem Land mit angemessenem Datenschutzniveau) gespeichert werden. US-Anbieter ohne EU-Datenschutzabkommen sind problematisch.
  • Auftragsverarbeitungsvertrag (AVV): Sie müssen mit dem Softwareanbieter einen AVV abgeschlossen haben. Seriöse Anbieter stellen diesen auf Anfrage zur Verfügung oder schließen ihn automatisch beim Vertragsabschluss ein.
  • Löschfristen: Die Software muss es ermöglichen, Kundendaten nach Ende der Aufbewahrungsfrist zu löschen. Überprüfen Sie, ob Sie Daten wirklich löschen können – oder ob "löschen" nur "ausblenden" bedeutet.
  • Zugriffskontrolle: Nicht jeder Mitarbeiter sollte Zugriff auf alle Kundendaten haben. Gute Buchungssoftware bietet Rechtemanagement.

Datenschutzerklärung: Pflicht auf Website und Buchungsformular

Sobald Sie eine Website betreiben, eine Buchungsfunktion anbieten oder Kontaktformulare nutzen, sind Sie nach Art. 13 DSGVO verpflichtet, Besucher über die Datenverarbeitung zu informieren. Eine Datenschutzerklärung ist Pflicht.

Was diese enthalten muss:

  • Name und Kontaktdaten des Verantwortlichen (also: Sie und Ihr Salon)
  • Welche Daten zu welchem Zweck erhoben werden
  • Auf welcher Rechtsgrundlage (Einwilligung, Vertragserfüllung etc.)
  • Wie lange die Daten gespeichert werden
  • Rechte der betroffenen Person (Auskunft, Berichtigung, Löschung)
  • Ob Daten an Dritte (z.B. Buchungsplattform, Zahlungsdienstleister) übermittelt werden

Aufbewahrungspflichten: Was wie lange aufbewahrt werden muss

Datenart Aufbewahrungspflicht Rechtsgrundlage
Buchungsbelege, Rechnungen 10 Jahre § 147 AO (Abgabenordnung)
Kundenkartei (Farb-Protokolle etc.) Keine gesetzliche Pflicht Eigene Entscheidung, empfohlen 3–5 Jahre
Einwilligungserklärungen So lange wie die Daten genutzt werden + Nachweiszeitraum DSGVO Art. 7 Abs. 1
Mitarbeiterunterlagen 6–10 Jahre je nach Typ § 147 AO, Sozialversicherungsrecht
Fotos von Kunden (Social Media) Einwilligung jederzeit widerrufbar → dann löschen DSGVO Art. 7 Abs. 3

Fotos von Kunden: Was erlaubt ist

Vorher-Nachher-Fotos für Social Media oder die Website sind ein mächtiges Marketinginstrument. Aber: Personen sind auf Fotos identifizierbar – das sind personenbezogene Daten. Ohne Einwilligung dürfen Sie Kundenfotos weder speichern noch veröffentlichen.

  • Einwilligung muss vor dem Fotografieren eingeholt werden
  • Sie muss freiwillig sein – der Kunden darf keine Nachteile haben, wenn er ablehnt
  • Sie muss den genauen Zweck nennen (z.B. "Veröffentlichung auf Instagram und unserer Website")
  • Der Kunde kann sie jederzeit widerrufen – dann müssen die Fotos gelöscht werden
Tipp: Erstellen Sie einen einfachen Fotoeinwilligungs-Zettel oder nutzen Sie die Einwilligungsfunktion Ihrer Buchungssoftware. Viele Kunden stimmen gerne zu – wenn man sie höflich fragt.

Was tun bei einer Datenpanne?

Wenn personenbezogene Daten unbeabsichtigt offengelegt, verloren oder durch Dritte abgerufen werden (Einbruch mit Diebstahl der Kundenkartei, Hacking der Software, versehentliche E-Mail an falschen Empfänger), gilt eine strenge Meldepflicht:

  • 72-Stunden-Frist: Meldung an die zuständige Datenschutzbehörde innerhalb von 72 Stunden nach Bekanntwerden (Art. 33 DSGVO)
  • Inhalt der Meldung: Art der Panne, betroffene Datenkategorien, Anzahl betroffener Personen, wahrscheinliche Folgen, ergriffene Gegenmaßnahmen
  • Benachrichtigung Betroffener: Wenn die Panne voraussichtlich ein hohes Risiko für die Rechte der Kunden darstellt, müssen auch die Kunden informiert werden (Art. 34 DSGVO)
"Hoffentlich merkt das keiner" ist keine DSGVO-Strategie. Die Meldepflicht gilt auch dann, wenn die Datenpanne vermutlich keine schweren Folgen hat. Das Nicht-Melden ist selbst ein Verstoß und kann gesondert geahndet werden.

DSGVO-Compliance-Checkliste für Friseursalons (10 Punkte)

  • Datenschutzerklärung auf der Website vorhanden und aktuell
  • Einwilligungsformular für Kundendaten (inkl. Gesundheitsdaten) erstellt
  • Auftragsverarbeitungsvertrag mit Buchungssoftware-Anbieter abgeschlossen
  • Serverstandort der Software innerhalb der EU oder vergleichbares Schutzniveau
  • Zugriffskontrolle auf Kundendaten (nicht jeder Mitarbeiter sieht alles)
  • Einwilligung für Kundenfotos vorhanden und dokumentiert
  • Aufbewahrungsfristen definiert und technisch umgesetzt (Löschroutine)
  • Informationspflicht im Buchungsformular umgesetzt (wer nutzt die Daten, wofür)
  • Prozess für Datenpannen definiert (72-Stunden-Meldepflicht bekannt)
  • Mitarbeiter auf Datenschutzgrundsätze hingewiesen (kurze Unterweisung)
Professionelle Salonplanung – mit durchdachtem Empfangsbereich

Ein sauber gestalteter Empfangsbereich schafft Vertrauen – auch im Umgang mit Kundendaten. 3A Concepts plant Ihren Salon von Anfang an professionell.

Salonplanung anfragen