Brauche ich als kleiner Salon wirklich einen AVV?

Ja. Sobald du Kundendaten (Name, Telefon, E-Mail) in einer externen Software speicherst, brauchst du nach DSGVO Art. 28 einen Auftragsverarbeitungsvertrag (AVV) mit dem Anbieter. Das gilt für Friseure, Beauty-Studios, Heilpraktiker — unabhängig von der Salongröße. Ohne AVV verstößt du formell gegen die DSGVO und riskierst Bußgelder.

Was ist Schrems II und betrifft mich das?

Schrems II ist ein EuGH-Urteil von 2020, das den Datentransfer in die USA juristisch erschwert hat. Wenn deine Buchungssoftware in den USA gehostet wird, trägst du als Tenant die Verantwortung für eine Risikobewertung. Einfacher: ein Anbieter mit deutschem oder EU-Hosting.

Reicht ein Cookie-Banner für DSGVO-Konformität?

Nein, ein Cookie-Banner ist nur ein Baustein. Du brauchst zusätzlich: AVV mit deinen Tool-Anbietern, Datenschutzerklärung mit Auflistung aller Datenverarbeitungen, technische Maßnahmen (HTTPS, Verschlüsselung), Recht auf Löschung umsetzbar (Art. 17), und ein Verzeichnis von Verarbeitungstätigkeiten (VVT).

Stand: 2. Mai 2026 · 9 Min. Lesezeit · DSGVO & Datenschutz

DSGVO-konforme Termin-Software: worauf Salonbesitzer achten müssen

Wenn du in deinem Salon ein Online-Buchungstool einsetzt, verarbeitest du personenbezogene Daten — Name, Telefonnummer, E-Mail, manchmal Allergien oder Behandlungs-Notizen. Die DSGVO macht da keine Ausnahmen für kleine Betriebe. Ein Bußgeld kostet bis zu 20.000 € oder 4 % vom Jahresumsatz, und die Behörden werden auch im Salon-Bereich aktiver. Hier kommt die ehrliche Checkliste, was deine Termin-Software erfüllen muss — und was nur Marketing-Geschwafel der Anbieter ist.

Warum ist die DSGVO für deinen Salon relevant?

Du bist nach DSGVO der „Verantwortliche" für die Daten deiner Kunden, der Software-Anbieter ist dein „Auftragsverarbeiter". Egal wie perfekt der Anbieter ist — wenn etwas schiefgeht, haftest du gegenüber deinen Kunden und der Datenschutzbehörde. Das macht die Tool-Auswahl zu mehr als einer Feature-Frage.

Drei reale Fallgruppen, die wir in den letzten Monaten gesehen haben:

Salon nutzt seit 5 Jahren ein US-Tool, hat nie einen AVV abgeschlossen — Kundin fragt schriftlich nach DSGVO Art. 15 (Auskunft) und der Salon weiß nicht, was das Tool eigentlich speichert.
Friseur nutzt Excel + WhatsApp für Kundendaten. Mitarbeiter wechselt, nimmt das Handy mit — Datenpanne, meldepflichtig binnen 72 h.
Beauty-Studio importiert die Kundendaten aus dem alten Tool ohne Einwilligungs-Check. Newsletter-Versand an alle → DSGVO-Beschwerde.

Die DSGVO-Checkliste für Termin-Software

1. Auftragsverarbeitungsvertrag (AVV) — Pflicht

Der AVV ist der wichtigste Vertrag zwischen dir und dem Software-Anbieter. Er regelt wer die Daten wie verarbeitet, welche Sicherheitsmaßnahmen gelten, was bei einer Panne passiert. Ohne AVV verstößt du gegen DSGVO Art. 28 — auch wenn das Tool selbst sauber ist.

Wo finde ich den AVV? Ein guter Anbieter stellt ihn proaktiv im Onboarding zur Verfügung. Bei Bookflow musst du den AVV bei der Registrierung akzeptieren — Click-Wrap mit Versionierung, IP-Logging und Hash-Sicherung. Bei anderen Anbietern muss man den AVV oft erst auf Anfrage anfordern.

Was muss drinstehen? Datenverarbeitungs-Zweck (Terminbuchung, Reminder), Art der Daten (Stammdaten, Termininformationen), Subunternehmer (Hoster, Mail-Provider, SMS-Gateway), Verfahren bei Löschung, technische und organisatorische Maßnahmen (TOM).

2. EU- oder deutsches Hosting

Seit dem Schrems-II-Urteil 2020 ist Datentransfer in die USA juristisch komplex. Die Standardvertragsklauseln (SCC) der EU-Kommission helfen, aber du als Tenant musst eine Risikobewertung machen — bei den meisten Salons ist das unverhältnismäßiger Aufwand. Einfacher: Anbieter mit Hosting in der EU wählen.

Wo gehostet wird, steht meistens in der Datenschutzerklärung des Anbieters oder im AVV. Drei Kategorien helfen bei der Einordnung:

Deutsches Hosting: aus DSGVO-Sicht der einfachste Fall — kein Drittlandtransfer, keine zusätzlichen Maßnahmen nötig. Bookflow läuft bei p-7.net in Deutschland.
EU-Hosting (z.B. Niederlande, Irland): grundsätzlich unproblematisch, solange der Anbieter klar dokumentiert, dass keine Daten in Drittländer abfließen.
US-Hosting (oft AWS, Google Cloud, Azure US-Regionen): Schrems-II- relevant. Die Anbieter setzen i.d.R. Standardvertragsklauseln + Transfer Impact Assessment ein. Du als Tenant musst eigene Risikobewertung machen — bei sensiblen Branchen (Heilpraktiker, Beauty mit Gesundheitsdaten) eher zu vermeiden.

3. Cookie-Consent — Banner UND Funktion

Wenn deine Buchungsseite Tracking-Cookies setzt (Google Analytics, Facebook-Pixel, Smartsupp etc.), brauchst du ein Cookie-Consent-Banner, das vor dem Setzen der Cookies um Einwilligung fragt. Reine Notwendige-Cookies (Session, CSRF) sind ohne Einwilligung erlaubt — Marketing-Cookies nicht.

Bookflow liefert ein Standard-Cookie-Banner mit (deutsch, mit Granular-Auswahl). Wichtig: das Banner darf den Inhalt nicht so verdecken, dass „Ablehnen" schwerer zu klicken ist als „Akzeptieren" — sonst ist die Einwilligung formell ungültig (BGH-Urteil).

4. Datenschutzerklärung — vollständig und aktuell

Auf deiner Salon-Website (und im Buchungs-Wizard) muss eine Datenschutzerklärung stehen, die alle Datenverarbeitungen konkret auflistet:

Welche Daten werden erhoben (Name, E-Mail, Telefon, Notiz)?
Zu welchem Zweck (Terminverwaltung, Erinnerung, Service-Verbesserung)?
Wer ist Empfänger (Bookflow als Auftragsverarbeiter, SMS-Gateway, Mail-Provider)?
Wie lange werden die Daten gespeichert (typisch: 3-10 Jahre nach letztem Kontakt)?
Welche Rechte haben Kunden (Auskunft, Löschung, Widerruf)?
Wer ist Datenschutzbeauftragter (DSB) — wenn du keinen brauchst, nenne den Geschäftsführer als Ansprechpartner.

Bei Bookflow gibt es einen Datenschutz-Generator-Hinweis im Onboarding: du bekommst eine vorgefertigte Vorlage, die du auf deinen Salon anpasst. Ohne juristische Beratung trotzdem nicht rechtssicher — aber besser als gar nichts und die meisten Salons sind damit auf der sicheren Seite.

5. Recht auf Löschung (Art. 17 DSGVO) — technisch umsetzbar

Wenn ein Kunde sich abmelden will, musst du seine Daten aus dem System löschen können. Klingt trivial, aber viele Tools machen das schwer:

Viele US-basierte Tools: Daten bleiben in der Cloud, Löschung nur über Support-Ticket möglich, Bestätigung dauert teils Tage.
Bookflow: Self-Service-Button im Customer-Portal — Kunde löscht selbst, du bekommst die Bestätigung sofort.
Excel + WhatsApp als Workaround: Löschen ist möglich, aber Backups, Archive, Mitarbeiter-Handys vergisst man oft.

Plus: bei Buchhaltung musst du Kundendaten für Rechnungen 10 Jahre aufbewahren (HGB § 257). Einfach „alles löschen" geht also nicht — du brauchst eine Trennung zwischen Kunden-Stammdaten (löschbar) und Rechnungs-Belegen (steuerlich verpflichtet).

6. Verschlüsselung — HTTPS und Datenbank

Selbsterklärend in 2026, aber wir checken trotzdem: Buchungs-URL muss HTTPS sein (https:// in der Adresszeile, kein „nicht sicher" im Browser). Datenbank des Anbieters muss verschlüsselt sein („encryption at rest") — steht im AVV.

Bei Bookflow läuft alles über HTTPS (TLS 1.2+, HSTS-Header), Datenbank-Backups sind verschlüsselt. Bei US-Tools meist auch — aber siehe Punkt 2 (Schrems II).

7. Verzeichnis von Verarbeitungstätigkeiten (VVT)

DSGVO Art. 30 verlangt von dir als Verantwortlichem ein Verzeichnis aller Datenverarbeitungs-Tätigkeiten (VVT). Das ist eine Excel-Tabelle mit: Verarbeitung („Online-Terminbuchung"), Zweck, Datenkategorien, Empfänger, Löschfristen, technische Maßnahmen.

Klingt aufwendig, ist aber für einen Salon mit 3-5 Software-Tools an einem Nachmittag erstellt. Vorlagen kostenlos beim BfDI, beim BVDW oder bei den Landesbeauftragten. Bookflow stellt eine Vorlage im Help-Bereich bereit, die du nur befüllen musst.

Häufige DSGVO-Fehler im Salon-Alltag

WhatsApp für Termin-Bestätigung

WhatsApp-Business in der EU ist offiziell DSGVO-konform — aber nur wenn du den Business-AVV von Meta unterschreibst und keine Daten an die Nicht-Business-App durchsickern lässt. In der Praxis: WhatsApp ist kein Buchungstool und sollte es nicht sein. Nutze stattdessen die SMS- oder E-Mail-Reminder deiner Buchungssoftware.

Notizbuch mit Kundennamen + Allergie

„Sara, allergisch gegen Wasserstoffperoxid" im Spiral-Notizbuch ist juristisch problematisch (Gesundheitsdaten = besondere Kategorie nach Art. 9 DSGVO, nur mit ausdrücklicher Einwilligung verarbeitbar). Im Buchungstool als „interne Notiz" ist es OK, wenn der Kunde es selbst eingegeben hat oder du eine Einwilligung dokumentiert hast.

Newsletter an alle Kunden ohne Opt-In

Häufiger Fehler beim Tool-Wechsel: Kunden-CSV importieren, dann Marketing-Mail verschicken. Funktioniert juristisch nicht — du brauchst die aktive Einwilligung jedes Kunden zur Werbeansprache. Beim Wechsel: die alte Einwilligung mit-importieren oder neu opt-in fragen.

Datenpanne — was ist meldepflichtig?

Wenn personenbezogene Daten unbeabsichtigt offen liegen (Datenbank-Leak, E-Mail-Liste an falschen Empfänger), musst du das innerhalb von 72 Stunden der zuständigen Datenschutzbehörde melden — und je nach Risiko auch den betroffenen Kunden. Vergessen wird gerne: das gilt auch wenn dein Software-Anbieter die Panne hat. Der Anbieter informiert dich → du informierst die Behörde.

Checkliste vor der Tool-Auswahl

Folgende Punkte solltest du vor der Vertragsunterschrift abhaken:

☐ AVV vorhanden und vor Vertragsabschluss zur Verfügung gestellt

☐ Hosting in Deutschland oder EU (steht im AVV oder der Datenschutzerklärung)

☐ HTTPS auf allen Seiten, inkl. Buchungs-Wizard

☐ Cookie-Consent vorhanden (mit „Ablehnen"-Option gleichwertig sichtbar)

☐ Datenschutzerklärung-Vorlage mitgeliefert oder klar dokumentiert

☐ Recht auf Löschung — Self-Service oder einfacher Support-Weg

☐ Subunternehmer (SMS-Gateway, Mail, Hoster) im AVV gelistet

☐ Datenbank-Verschlüsselung (encryption at rest) zugesagt

☐ Datenexport-Funktion (CSV) für Kunden-Auskunft

☐ Logging von Zugriffen — wer hat wann was gesehen?

Was Bookflow konkret tut

Wir bauen Bookflow als Salonbesitzer für Salonbesitzer — das heißt, DSGVO-Themen sind keine Compliance-Pflicht, sondern Teil des Produkts. Was wir konkret abdecken:

AVV im Onboarding: Click-Wrap mit Versionierung, jeder Tenant akzeptiert vor dem ersten echten Termin.
Hosting in Deutschland: p-7.net, deutscher ISO-27001-zertifizierter Hoster, kein Datentransfer außerhalb der EU.
Customer-Portal mit Self-Service: Kunden loggen sich per Magic-Link ein, sehen ihre Termine, können löschen / verschieben / widerrufen.
Cookie-Consent standardmäßig mit-bereitgestellt, granular, kein Dark Pattern.
Encryption at rest auf der Datenbank, TLS 1.2+ in transit, HSTS für 1 Jahr.
SMS- und Mail-Subunternehmer sind alle EU-basiert (Vonage Holland, p-7-SMTP Deutschland) und im AVV gelistet.
Datenexport (CSV) für Kunden- und Buchungs-Daten — Auskunfts-Anfragen in 5 Minuten beantwortbar.

Fazit

DSGVO im Salon ist kein Hexenwerk, aber auch nicht „macht der Anbieter schon". Du als Salonbesitzer trägst die Verantwortung — wähle ein Tool, das dir die meiste Arbeit abnimmt: AVV out-of-the-box, EU-Hosting, Self-Service-Funktionen für deine Kunden, Vorlagen für Datenschutzerklärung und VVT.

Wenn du heute startest, ist Bookflow Free der schnellste Weg in DSGVO-Konformität ohne juristisches Konsil — alle Punkte oben sind ab Tag 1 abgedeckt, der Aufpreis für den Pro-Plan (35 €/Monat) bringt SMS-Reminder und zusätzliche Mitarbeiter, ändert aber nichts am Datenschutz-Setup.

Bookflow kostenlos ausprobieren — DSGVO-konform aus Deutschland.

Free-Plan, AVV im Onboarding, deutsches Hosting. In 5 Minuten online.

Kostenlos starten →