Buchungssystem und Kundendaten (DSGVO)

Jede Salonbuchung sind personenbezogene Daten: ein Name, eine Telefonnummer, eine E-Mail, manchmal eine Notiz zu einer Allergie oder einer gesundheitlichen Frage. Sobald Sie diese Informationen speichern, gelten Sie nach DSGVO als Verantwortlicher — egal ob Sie einen Papierkalender, eine Excel-Tabelle oder ein modernes Buchungssystem führen.

Die gute Nachricht: DSGVO-Konformität braucht keine Heerscharen von Anwälten. Sie läuft auf eine Handvoll klarer Grundsätze hinaus und darauf, ein Werkzeug zu wählen, das die meisten Pflichten automatisch übernimmt. Diese Anleitung zeigt, was ein Salon wirklich braucht.

Warum es wichtig ist

Ein Datenleck oder Missbrauch ist nicht nur das Risiko eines Bußgelds der Behörde. Der größere Preis ist verlorenes Vertrauen — und in einer Branche, in der Kunden sensible Details zu Aussehen, Gesundheit und Kontakt teilen, ist Vertrauen das Wertvollste, das Sie haben.

Die DSGVO macht zudem keine Ausnahme nach Größe. Auch ein Ein-Personen-Nagelstudio verarbeitet Namen, Telefonnummern und Besuchshistorie. Die Regeln gelten für die Kette wie für den einzelnen gemieteten Stuhl gleichermaßen.

Welche Daten ein Salon tatsächlich erhebt

Bevor Sie etwas ändern, erstellen Sie eine einfache Bestandsaufnahme. Ein typischer Salon arbeitet mit:

• Identifikationsdaten — Name, Telefon, E-Mail.
• Betriebsdaten — Buchungshistorie, Lieblingsleistungen, Mitarbeiternotizen.
• Sensible Daten — Allergien, Hautprobleme, Schwangerschaft. Diese Kategorie unterliegt strengeren Regeln.
• Zahlungsdaten — wenn Sie eine Kasse oder Zahlungen per QR-Code nutzen, läuft ein Teil über einen Zahlungsdienstleister.

Die goldene Regel: Erheben Sie nur, was Sie wirklich zur Leistungserbringung brauchen. Ein Geburtsdatum „für die Statistik" ist genau das Feld, das Ihnen später Ärger macht.

Rechtsgrundlage: Einwilligung ist nicht immer nötig

Ein verbreiteter Irrtum ist, dass Sie für alles eine unterschriebene Einwilligung brauchen. Für die Buchung selbst und ihre Erinnerungen genügt die Vertragserfüllung — der Kunde hat eine Leistung bestellt, also ist die Kontaktaufnahme logisch. Eine Einwilligung brauchen Sie zusätzlich nur, wo Sie weitergehen:

1. Marketing — Newsletter, Rabatt-SMS, Geburtstagsgrüße.
2. Sensible Daten — Gesundheitsnotizen nur mit ausdrücklicher Einwilligung speichern.
3. Vorher-/Nachher-Fotos — besonders, wenn Sie sie in sozialen Medien teilen wollen.

Die Einwilligung muss freiwillig, konkret und leicht widerrufbar sein. Ein vorangekreuztes „Ich stimme allem zu"-Kästchen hält nicht stand.

Was ein gutes Buchungssystem für Sie übernimmt

Hier entscheidet sich, ob die DSGVO zum Albtraum oder zur Randnotiz wird. Ein gutes Online-Buchungssystem sollte bieten:

• Verschlüsselte Speicherung der Daten und sicheren, eingeloggten Zugriff.
• Getrennte Einwilligungen für Buchung und für Marketing.
• Recht auf Löschung — einen Kunden und seine Daten in wenigen Klicks löschen.
• Datenexport, falls ein Kunde seine Informationen anfordert.
• Rollen und Berechtigungen, damit eine Aushilfe keine sensiblen Notizen sieht.

Kann ein Werkzeug das nicht, tragen Sie die Verantwortung selbst. Bei der Wahl lohnt es, einen Vergleich von Buchungssystemen auch nach Sicherheit zu lesen, nicht nur nach Preis.

Der Auftragsverarbeitungsvertrag und wo die Daten liegen

Vertrauen Sie Daten einem Cloud-Dienst an, wird dieser zum Auftragsverarbeiter, und Sie brauchen einen Auftragsverarbeitungsvertrag (AVV). Ein seriöser Anbieter hat ihn bereit, und Sie schließen ihn bei der Anmeldung ab. Fragen Sie auch, wo die Daten physisch liegen — ein Server in der EU ist eine deutlich einfachere Lage als eine Übermittlung außerhalb Europas.

Denken Sie auch an Ihre Salon-Website: Das Buchungsformular darauf muss auf Ihre Datenschutzerklärung verlinken und die Einwilligung transparent einholen.

Häufige Fehler, die Sie vermeiden sollten

• Ein gemeinsamer Login für das ganze Team — niemand kann nachvollziehen, wer Daten angefasst hat.
• Eine Speicherdauer „für immer" — löschen Sie alte, inaktive Kontakte, statt sie jahrelang zu halten.
• Excel auf dem Desktop — eine unverschlüsselte Kundendatei auf einem geteilten Rechner ist ein Leck, das nur auf seinen Tag wartet.
• Marketing ohne Einwilligung — Massen-SMS an die ganze Datenbank ohne Opt-in sind ein klassischer Verstoß.
• Keine Erklärung auf der Website — eine fehlende Datenschutzerklärung fällt jedem Audit zuerst auf.

Viele dieser Fehler stammen aus Behelfslösungen; mehr dazu in unserer Übersicht der häufigsten Fehler von Salons bei Buchungen.

Eine kurze Zusammenfassung

Für einen Salon ist die DSGVO keine Juristensprache, sondern Ordnung: zu wissen, welche Daten Sie halten, warum Sie sie halten und wie Sie sie auf Anfrage löschen würden. Ein Werkzeug, das um Datenschutz herum gebaut ist, übernimmt das meiste davon. Beginnen Sie, indem Sie ein kostenloses YourSalon-Konto erstellen und sehen, wie eine Buchung mit von Anfang an geregelter Einwilligung und Sicherheit aussieht — was enthalten ist, vergleichen Sie auf der Preisseite.