R
Resovu
Zurück zum Blog

DSGVO für Salons: Was Sie 2026 erfüllen müssen

Ein praktischer DSGVO-Leitfaden für Friseure, Fitnessstudios, Massagetherapeuten und andere Dienstleister.

Resovu6. März 2026

Der Schutz personenbezogener Daten ist nicht nur eine bürokratische Pflicht – er ist die Grundlage des Vertrauens zwischen Ihnen und Ihren Kunden. Salons, Fitnessstudios, Wellnesscenter und andere Dienstleistungsanbieter arbeiten täglich mit sensiblen Daten: Namen, Telefonnummern, E-Mails, Gesundheitsinformationen, Zahlungsdaten. Die Datenschutz-Grundverordnung (DSGVO) legt klare Regeln fest, wie mit diesen Daten umzugehen ist. In diesem Artikel erklären wir Ihnen, was Sie 2026 genau erfüllen müssen und wie Ihnen Ihr Buchungssystem dabei helfen kann.

Welche personenbezogenen Daten Salons erheben

Vielleicht ist Ihnen nicht bewusst, aber als Dienstleistungsanbieter verarbeiten Sie eine überraschend große Menge personenbezogener Daten. Dazu gehören:

  • Identifikationsdaten – Vorname, Nachname, Geburtsdatum
  • Kontaktdaten – Telefon, E-Mail, Adresse
  • Buchungsdaten – Besuchshistorie, bevorzugte Dienstleistungen, bevorzugtes Personal
  • Gesundheitsinformationen – Allergien, Kontraindikationen, gesundheitliche Einschränkungen (insbesondere bei kosmetischen und Wellness-Dienstleistungen)
  • Zahlungsdaten – Kartennummern (falls Sie diese speichern), Zahlungshistorie
  • Marketingpräferenzen – Einwilligung zum Newsletter, Kommunikationskanäle
  • Fotografien – Vorher/Nachher-Aufnahmen bei kosmetischen Behandlungen

Jede dieser Kategorien unterliegt spezifischen DSGVO-Regeln. Gesundheitsdaten gelten als besondere Datenkategorie mit strengerem Schutzregime.

Rechtsgrundlagen der Verarbeitung

Die DSGVO verlangt, dass Sie für jede Art der Verarbeitung eine gültige Rechtsgrundlage haben. Für Salons sind diese drei am relevantesten:

Vertragserfüllung

Wenn ein Kunde eine Buchung vornimmt, schließt er einen Vertrag über die Erbringung einer Dienstleistung mit Ihnen. Für dessen Erfüllung benötigen Sie seinen Namen, Kontakt und Informationen über die gewählte Dienstleistung. Für diese Verarbeitung brauchen Sie keine besondere Einwilligung – sie ist für die Erfüllung dessen notwendig, worum der Kunde Sie gebeten hat.

Berechtigtes Interesse

Einige Verarbeitungen können Sie mit einem berechtigten Interesse begründen, zum Beispiel das Versenden von Terminerinnerungen oder die Aufbewahrung der Besuchshistorie zur Verbesserung der Dienstleistungen. Sie müssen jedoch eine sogenannte Interessenabwägung durchführen – Ihr Interesse darf die Rechte des Kunden nicht überwiegen.

Einwilligung

Für Marketingkommunikation (Newsletter, Aktionsangebote, Geburtstagsrabatte) benötigen Sie die ausdrückliche Einwilligung des Kunden. Diese muss freiwillig, spezifisch, informiert und eindeutig sein. Vorangekreuzte Kontrollkästchen sind keine gültige Einwilligung.

Einwilligungsverwaltung

Die Dokumentation von Einwilligungen ist einer der Bereiche, in denen Salons am häufigsten Fehler machen. Für jede Einwilligung müssen Sie festhalten:

  • Wer die Einwilligung erteilt hat (Identifikation des Kunden)
  • Wann die Einwilligung erteilt wurde (Datum und Uhrzeit)
  • Wozu der Kunde zugestimmt hat (genauer Wortlaut)
  • Auf welche Weise die Einwilligung erteilt wurde (Online-Formular, Papierdokument)

Der Kunde hat das Recht, seine Einwilligung jederzeit zu widerrufen, und Sie müssen einen Mechanismus haben, um dies zu ermöglichen und zu dokumentieren. Der Widerruf der Einwilligung muss genauso einfach sein wie deren Erteilung.

Aufbewahrungsfristen

Die DSGVO verbietet die Aufbewahrung personenbezogener Daten über den für den Erhebungszweck erforderlichen Zeitraum hinaus. Legen Sie eine klare Aufbewahrungsrichtlinie fest:

  • Aktive Kunden – Daten werden für die Dauer der Geschäftsbeziehung aufbewahrt
  • Inaktive Kunden – empfohlene Aufbewahrungsfrist von 2–3 Jahren ab dem letzten Besuch
  • Buchhaltungsunterlagen – gesetzliche Aufbewahrungspflicht von 5–10 Jahren
  • Gesundheitsdaten – für den zur sicheren Erbringung der Dienstleistungen erforderlichen Zeitraum, danach löschen
  • Marketingeinwilligungen – bis zum Widerruf durch den Kunden

Nach Ablauf der Aufbewahrungsfrist müssen Sie die Daten sicher löschen oder anonymisieren.

Rechte der Kunden nach der DSGVO

Ihre Kunden haben nach der DSGVO eine Reihe von Rechten, auf die Sie innerhalb von 30 Tagen reagieren müssen:

  • Recht auf Auskunft – der Kunde kann eine Kopie aller Daten anfordern, die Sie über ihn führen
  • Recht auf Berichtigung – der Kunde kann die Korrektur ungenauer Daten verlangen
  • Recht auf Löschung – das sogenannte Recht auf Vergessenwerden, wenn kein Grund für die weitere Aufbewahrung besteht
  • Recht auf Datenübertragbarkeit – der Kunde kann den Export seiner Daten in einem maschinenlesbaren Format verlangen
  • Widerspruchsrecht – insbesondere gegen die Verarbeitung für Direktmarketing

Wie Resovu Ihnen bei der DSGVO hilft

Resovu wurde von Anfang an mit Blick auf DSGVO-Konformität entwickelt. Das System bietet eine Reihe von Funktionen, die Ihnen die Einhaltung der Vorschriften erleichtern:

  • Automatische Einwilligungsverwaltung – bei der Buchung sieht der Kunde die genauen Verarbeitungsbedingungen und stimmt ihnen zu, alles wird protokolliert
  • Einstellbare Aufbewahrungsfristen – definieren Sie, nach welcher Inaktivitätsdauer Daten automatisch anonymisiert werden sollen
  • Datenexport für Kunden – auf Anfrage generieren Sie eine vollständige Übersicht der Kundendaten
  • Recht auf Löschung – Möglichkeit, alle Kundendaten mit einem Klick zu löschen oder zu anonymisieren
  • Datenverschlüsselung – alle Daten sind bei der Übertragung und im Speicher verschlüsselt
  • Audit-Log – Aufzeichnung darüber, wer, wann und wie mit den Daten umgegangen ist

Dank dieser Funktionen müssen Sie keine komplizierten Tabellen und Papierdokumentationen führen. Resovu kümmert sich um die technische Seite der DSGVO, während Sie sich auf Ihre Kunden konzentrieren können.

Häufig gestellte Fragen

Muss ein kleiner Salon mit einem Mitarbeiter die DSGVO einhalten? Ja. Die DSGVO gilt für alle Einrichtungen, die personenbezogene Daten natürlicher Personen verarbeiten, unabhängig von der Unternehmensgröße. Auch ein Einzelunternehmer mit einem Stuhl muss eine Rechtsgrundlage für die Datenverarbeitung haben, Kunden informieren und ihre Daten schützen.

Droht mir ein Bußgeld bei Nichteinhaltung der DSGVO? Ja. Die Aufsichtsbehörde kann Bußgelder von bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes verhängen. In der Praxis verhängen Aufsichtsbehörden bei kleinen Unternehmen niedrigere Bußgelder, aber auch einige tausend Euro können empfindlich sein. Zudem riskieren Sie den Verlust des Kundenvertrauens.

Kann ich Kunden Geburtstagsrabatte ohne Einwilligung senden? Nein. Ein Geburtstagsangebot ist eine Form des Direktmarketings und erfordert die ausdrückliche Einwilligung des Kunden. Ohne Einwilligung dürfen Sie nur Kommunikation senden, die direkt mit der erbrachten Dienstleistung zusammenhängt, wie Buchungsbestätigungen und Terminerinnerungen.

Wie lange darf ich Kundenfotos (Vorher/Nachher) aufbewahren? Fotografien sind personenbezogene Daten und für deren Aufnahme und Speicherung benötigen Sie eine ausdrückliche Einwilligung. Wir empfehlen, sie maximal für die Dauer der aktiven Kundenbeziehung plus 1 Jahr aufzubewahren. Für die Verwendung in sozialen Netzwerken oder auf der Website benötigen Sie eine gesonderte Einwilligung.

Muss ich einen Datenschutzbeauftragten (DSB) haben? Die meisten Salons und kleineren Studios müssen keinen DSB haben. Die Pflicht betrifft vor allem Einrichtungen, deren Kerntätigkeit in der umfangreichen Verarbeitung besonderer Datenkategorien besteht. Dennoch ist es ratsam, eine Person zu haben, die die DSGVO im Unternehmen überwacht und die Einhaltung der Regeln sicherstellt.

Bereit für eine effizientere Verwaltung?

Testen Sie Resovu kostenlos und überzeugen Sie sich selbst.

Kostenlos testen
DSGVO für Salons: Was Sie 2026 erfüllen müssen | Resovu