EazyBooking
AnmeldenJetzt starten
recht9 min read

DSGVO für Dienstleister mit Online-Terminbuchung: der praktische Leitfaden

Welche Kundendaten darfst du speichern, welche Rechtsgrundlage gilt und wann brauchst du einen AVV? DSGVO für Terminbuchung verständlich erklärt.

DSGVO für Dienstleister mit Online-Terminbuchung: der praktische Leitfaden

Wichtiger Hinweis vorab: Dieser Artikel ist eine allgemeine, sorgfältig recherchierte Orientierung — keine Rechtsberatung. Rechtslage und Rechtsprechung ändern sich, und jeder Einzelfall ist anders. Im Zweifel hol dir die Einschätzung einer Anwältin oder eines Anwalts für dein konkretes Geschäft.

Sobald du Termine online entgegennimmst, verarbeitest du personenbezogene Daten — Name, Telefonnummer, E-Mail, manchmal Gesundheitsangaben. Damit fällst du unter die Datenschutz-Grundverordnung (DSGVO). Das klingt nach Bürokratie und Abmahnangst, ist in der Praxis aber überschaubar, wenn du ein paar Grundregeln kennst.

Dieser Leitfaden erklärt ohne Juristendeutsch, welche Daten du erheben darfst, auf welcher Rechtsgrundlage, wann du einen Vertrag mit deinem Buchungstool brauchst und wie du mit Aufbewahrung, Löschung und Auskunftsanfragen umgehst. Ziel: ein sauberer, abmahnsicherer Buchungsbetrieb ohne Panik.

Welche Kundendaten du verarbeitest

Bei einer Online-Terminbuchung fallen typischerweise diese Daten an:

Datenkategorie Beispiele Sensibilität
Stammdaten Name, E-Mail, Telefonnummer normal
Termindaten gebuchte Leistung, Datum, Uhrzeit normal
Zahlungsdaten Anzahlung, Zahlungsstatus erhöht
Gesundheitsdaten Vorerkrankungen, Allergien (Heilberufe, Kosmetik) besonders sensibel (Art. 9 DSGVO)

Der wichtigste Grundsatz heißt Datenminimierung: Erhebe nur, was du für den Termin tatsächlich brauchst. Eine Friseur:in braucht keine Geburtsdaten, eine Physiotherapie-Praxis dagegen ggf. Gesundheitsangaben. Bei besonders sensiblen Daten (Art. 9) gelten höhere Anforderungen — hier brauchst du in der Regel eine ausdrückliche Einwilligung oder eine spezielle Rechtsgrundlage.

Ein guter Test für jedes Feld in deinem Buchungsformular: Frag dich „Brauche ich diese Angabe wirklich, um den Termin durchzuführen oder die Kund:in zu kontaktieren?" Wenn die Antwort nein lautet, lass das Feld weg oder mach es optional. Pflicht-Geburtsdatum, Pflicht-Adresse oder ausführliche Freitext-Felder ohne klaren Zweck sind die häufigsten Datenschutz-Sünden im Buchungsformular — und gleichzeitig ein Conversion-Killer, weil jedes zusätzliche Pflichtfeld Buchungsabbrüche produziert. Datenschutz und gute Conversion ziehen hier am selben Strang.

Die Rechtsgrundlage: Artikel 6 DSGVO

Jede Datenverarbeitung braucht einen rechtlichen Grund. Für Dienstleister sind drei relevant:

  • Art. 6 Abs. 1 lit. b — Vertragserfüllung. Das ist dein Hauptgrund. Um einen Termin durchzuführen, musst du Name und Kontaktdaten verarbeiten. Dafür brauchst du keine separate Einwilligung — die Verarbeitung ist zur Erfüllung des Buchungsvertrags erforderlich.
  • Art. 6 Abs. 1 lit. c — gesetzliche Pflicht. Rechnungsdaten musst du z.B. nach Steuerrecht aufbewahren, ganz unabhängig vom Kundenwunsch.
  • Art. 6 Abs. 1 lit. a — Einwilligung. Nötig für alles, was über die Terminabwicklung hinausgeht: Newsletter, Marketing-Mails, Werbung. Diese Einwilligung muss freiwillig, informiert und widerrufbar sein.

Faustregel: Was für den Termin gebraucht wird, läuft über die Vertragserfüllung (lit. b) — dafür reicht eine Information in der Datenschutzerklärung. Alles für Werbung braucht eine separate, aktive Einwilligung (lit. a).

Der AVV: Vertrag mit deinem Buchungstool

Wenn du ein Online-Buchungstool nutzt, speichert dieser Anbieter Kundendaten in deinem Auftrag. Damit ist er ein Auftragsverarbeiter im Sinne von Art. 28 DSGVO — und du brauchst mit ihm einen Auftragsverarbeitungsvertrag (AVV).

Der AVV regelt unter anderem:

  • dass der Anbieter die Daten nur nach deinen Weisungen verarbeitet,
  • welche technischen und organisatorischen Schutzmaßnahmen gelten,
  • ob und welche Subunternehmer eingesetzt werden,
  • was bei einer Datenpanne passiert,
  • dass die Daten am Ende gelöscht oder zurückgegeben werden.

Seriöse Anbieter stellen einen fertigen AVV bereit, den du mit wenigen Klicks abschließt. Wichtig: Ohne AVV ist die Nutzung des Tools datenschutzwidrig — das ist einer der häufigsten Fehler bei Dienstleistern. Prüfe vor der Tool-Auswahl, ob ein AVV angeboten wird und ob er sauber ausgestaltet ist.

Denk dabei nicht nur an dein Buchungstool: Ein AVV ist mit jedem Dienstleister nötig, der in deinem Auftrag personenbezogene Daten verarbeitet. Das betrifft typischerweise auch deinen E-Mail-Versand-Dienst (für Bestätigungen und Erinnerungen), einen eventuellen Newsletter-Anbieter und gegebenenfalls deinen Zahlungsdienstleister. Mach dir einmal eine kurze Liste aller Tools, durch die Kundendaten laufen — und hak bei jedem ab, ob ein AVV vorliegt. Diese kleine Bestandsaufnahme erspart dir im Ernstfall viel Ärger.

EU-Server: warum der Standort zählt

Werden Daten außerhalb der EU verarbeitet — etwa auf US-Servern —, wird es kompliziert. Für solche Drittlandtransfers brauchst du zusätzliche Garantien (z.B. Standardvertragsklauseln), und die Rechtslage ist nach diversen Gerichtsurteilen unsicher geblieben.

Der einfachste Weg, dieser Komplexität auszuweichen: ein Anbieter, der ausschließlich auf EU-Servern hostet. Dann findet die gesamte Verarbeitung im DSGVO-Raum statt, du brauchst keine Drittlandgarantien und reduzierst dein Risiko erheblich. EazyBooking speichert Kundendaten auf EU-Servern — das ist bei der Tool-Auswahl ein Kriterium, das du aktiv prüfen solltest.

Aufbewahrung und Löschung

Daten dürfen nicht ewig gespeichert werden. Es gilt der Grundsatz der Speicherbegrenzung: Sobald der Zweck wegfällt, müssen die Daten gelöscht werden — es sei denn, gesetzliche Aufbewahrungspflichten greifen.

Datentyp Richtwert Aufbewahrung
Termin-/Stammdaten ohne weitere Bindung nach Abschluss zeitnah löschen
Rechnungs- und Buchungsbelege gesetzliche Fristen (mehrere Jahre, steuerrechtlich)
Einwilligungsnachweise (Marketing) bis Widerruf + angemessene Nachweisdauer
Gesundheitsdaten (Heilberufe) je nach berufsrechtlicher Dokumentationspflicht

Praktisch heißt das: Lege ein einfaches Löschkonzept an — welche Daten löschst du wann? Viele Buchungstools können inaktive Kundendaten nach einer definierten Frist automatisch anonymisieren oder löschen. Das nimmt dir die manuelle Arbeit ab.

Achte dabei auf einen wichtigen Punkt: Aufbewahrungspflicht und Aufbewahrungsrecht sind nicht dasselbe. Rechnungsbelege musst du aufbewahren, auch wenn die Kund:in eine Löschung verlangt — hier geht die gesetzliche Pflicht vor. Reine Termin- und Kontaktdaten dagegen darfst du nicht „für alle Fälle" unbegrenzt behalten. Ein sauberes Löschkonzept trennt diese beiden Welten klar und schützt dich vor beiden Fehlern: dem zu frühen Löschen steuerrelevanter Belege und dem zu langen Horten nicht mehr benötigter Daten.

Das Auskunftsrecht (und die anderen Betroffenenrechte)

Kund:innen haben nach DSGVO mehrere Rechte, die du erfüllen musst:

  • Auskunft (Art. 15): Welche Daten hast du über mich gespeichert?
  • Berichtigung (Art. 16): Falsche Daten korrigieren.
  • Löschung (Art. 17): „Recht auf Vergessenwerden" — soweit keine Aufbewahrungspflicht entgegensteht.
  • Datenübertragbarkeit (Art. 20): Daten in einem gängigen Format herausgeben.

In der Praxis bedeutet das: Wenn eine Kund:in fragt „Welche Daten habt ihr über mich?", musst du das innerhalb eines Monats beantworten. Ein gutes Buchungssystem hilft, weil alle Kundendaten an einem Ort liegen und du sie auf Knopfdruck exportieren oder löschen kannst — statt sie aus E-Mails, Zetteln und Kalendern zusammensuchen zu müssen.

Wichtig ist auch der Datenschutzhinweis (Art. 13 DSGVO): Schon bei der Erhebung — also direkt im Buchungsformular — musst du transparent darüber informieren, wer du bist, zu welchem Zweck du die Daten verarbeitest, auf welcher Rechtsgrundlage, wie lange du sie speicherst und welche Rechte die Kund:in hat. In der Praxis erfüllst du das mit einer verlinkten Datenschutzerklärung, die im Buchungsablauf gut sichtbar ist. Diese Information ist keine Einwilligung — du brauchst dafür kein Häkchen —, aber sie ist Pflicht, und ihr Fehlen ist ein häufiger Abmahngrund.

Datenpannen: der Notfallplan

Sollte es doch einmal zu einer Datenpanne kommen — etwa ein gehackter Account oder eine versehentlich falsch versendete Kundenliste —, gilt eine Meldepflicht binnen 72 Stunden an die zuständige Aufsichtsbehörde (Art. 33 DSGVO), sofern ein Risiko für die Betroffenen besteht. Bei hohem Risiko musst du zusätzlich die betroffenen Kund:innen informieren. Du brauchst dafür keinen ausgefeilten Krisenplan, aber du solltest wissen, wer deine Aufsichtsbehörde ist und dass die Uhr im Ernstfall schnell tickt. Ein Anbieter mit klaren Sicherheitsstandards und einer Meldekette im AVV nimmt dir hier viel Last ab.

Einwilligung für Marketing-Mails

Ein besonders sensibler Punkt: Du darfst Kund:innen nicht einfach so Newsletter oder Werbe-Mails schicken, nur weil sie einmal einen Termin gebucht haben. Dafür brauchst du eine separate, aktive Einwilligung (Art. 6 Abs. 1 lit. a DSGVO, ergänzt durch das UWG für Werbung).

Konkret:

  • Die Einwilligung muss freiwillig sein — sie darf keine Bedingung für die Buchung sein.
  • Sie muss aktiv erteilt werden — ein vorausgefülltes Häkchen ist unzulässig.
  • Sie muss getrennt von den Buchungs-AGB stehen.
  • Sie muss jederzeit widerrufbar sein (Abmeldelink in jeder Mail).

Eine wichtige Ausnahme regelt § 7 UWG: Bestandskund:innen darfst du unter engen Voraussetzungen Werbung für ähnliche eigene Leistungen schicken — aber auch hier mit klarem Widerspruchshinweis. Im Zweifel ist die saubere Einwilligung der sichere Weg.

Eine praktische Klarstellung, die oft Verwirrung stiftet: Terminerinnerungen und Bestätigungen sind keine Werbung. Eine Mail oder SMS, die an einen bevorstehenden Termin erinnert, dient der Vertragserfüllung und braucht keine Marketing-Einwilligung. Erst wenn du diese Nachricht mit Angeboten, Rabattaktionen oder „Buch gleich deinen nächsten Termin"-Werbung anreicherst, wird daraus Werbung — und dann gelten die Einwilligungsregeln. Halte Vertragskommunikation und Marketing also sauber getrennt, dann bist du auf der sicheren Seite.

Faustregel: Terminbestätigungen und Erinnerungen sind Vertragskommunikation und brauchen keine Einwilligung. Werbung, Angebote und Newsletter brauchen immer eine separate, aktive Einwilligung.

Deine DSGVO-Checkliste

  1. Datenschutzerklärung auf Website und im Buchungsablauf hinterlegen.
  2. Nur nötige Daten erheben (Datenminimierung).
  3. AVV mit dem Buchungsanbieter abschließen.
  4. EU-Server des Anbieters prüfen.
  5. Löschkonzept definieren und möglichst automatisieren.
  6. Marketing-Einwilligung getrennt und aktiv einholen.
  7. Auskunfts- und Löschanfragen in unter einem Monat beantworten können.

Häufige Fragen (FAQ)

Brauche ich eine Einwilligung, um einen Termin zu speichern?

Nein. Die Verarbeitung der Termin- und Kontaktdaten läuft über die Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO). Du musst nur transparent darüber informieren — eine separate Einwilligung ist nur für Marketing nötig.

Was ist ein AVV und brauche ich den wirklich?

Ein Auftragsverarbeitungsvertrag (Art. 28 DSGVO) regelt, wie dein Buchungstool die Daten in deinem Auftrag verarbeitet. Sobald ein externer Anbieter Kundendaten für dich speichert, brauchst du ihn — sonst ist die Nutzung datenschutzwidrig. Seriöse Anbieter stellen ihn bereit.

Spielt es eine Rolle, wo die Server stehen?

Ja. Bei Servern außerhalb der EU brauchst du zusätzliche Garantien für den Datentransfer, und die Rechtslage ist unsicher. Ein Anbieter mit EU-Servern vermeidet diese Komplexität komplett.

Wie lange darf ich Kundendaten aufbewahren?

So lange der Zweck besteht. Termindaten ohne weitere Bindung solltest du nach Abschluss zeitnah löschen, Rechnungsbelege unterliegen gesetzlichen Aufbewahrungsfristen von mehreren Jahren. Ein Löschkonzept hilft, den Überblick zu behalten.

Darf ich Bestandskund:innen einfach Werbung schicken?

Nur eingeschränkt. § 7 UWG erlaubt unter engen Voraussetzungen Werbung für ähnliche eigene Leistungen an Bestandskund:innen — mit klarem Widerspruchshinweis. Für Newsletter allgemein brauchst du eine separate, aktive Einwilligung. Der sichere Weg ist immer das aktive Opt-in.

Was mache ich bei einer Auskunftsanfrage?

Du musst innerhalb eines Monats Auskunft geben, welche Daten du gespeichert hast. Ein zentrales Buchungssystem erleichtert das enorm, weil du die Daten exportieren kannst, statt sie aus verschiedenen Quellen zusammenzusuchen.

Nächste Schritte

DSGVO-Konformität ist für Dienstleister machbar: nur nötige Daten erheben, einen AVV mit dem Anbieter abschließen, auf EU-Server achten, ein Löschkonzept pflegen und Marketing sauber per Opt-in trennen. Ein gutes Buchungstool erledigt viele dieser Punkte automatisch — und nimmt dir den Großteil der Sorge ab.

ET

Autor

EazyBooking Team

Wir bauen EazyBooking — eine Online-Terminbuchung für Service-Businesses in der DACH-Region. Hosted in Frankfurt, DSGVO-konform, ohne Provision.

Verwandte Themen

DSGVO DienstleisterDSGVO TerminbuchungAuftragsverarbeitungsvertrag AVVKundendaten speichern DSGVODSGVO Rechtsgrundlage Art 6Datenschutz Online-BuchungEinwilligung Marketing E-Mail

Bereit für die nächste Stufe?

Optimieren Sie Ihr Buchungssystem mit EazyBooking - Jetzt 14 Tage kostenlos testen

Kostenlos starten

Ähnliche Artikel

recht10 min read

Stornobedingungen für Dienstleister rechtssicher formulieren (Vorlage 2026)

Welche Fristen, gestaffelten Gebühren und Klauseln gehören in deine Stornobedingungen? Muster-Formulierungen, AGB-Einbindung und die rechtlichen Grenzen.

recht7 min read

No-Show-Gebühren: Was 2026 rechtlich erlaubt ist und wie du sie sauber einführst

Dürfen Dienstleister Ausfallgebühren verlangen? Was rechtlich gilt, wie hoch die Gebühr sein darf und wie du sie rechtssicher in deine Buchung einbaust.

preise5 min read

Fresha Kosten 2026: Warum „kostenlos" nicht kostenlos ist

Fresha Kosten 2026 transparent: free + ~20 % Marketplace-Provision + Payment-Gebühren erklärt — und ab wann eine provisionsfreie Pauschale günstiger ist.