DSGVO-Konformität klingt nach Bürokratie – ist aber für Tattoostudios schlicht Pflicht. Wer Kundendaten sammelt und verarbeitet, muss wissen, welche Regeln gelten. Dieser Leitfaden erklärt es ohne Juristenkauderwelsch.
Warum DSGVO auch dein Tattoostudio betrifft
Jedes Tattoostudio, das Kundendaten erfasst – Namen, E-Mail-Adressen, Telefonnummern, Gesundheitsinformationen (Allergien, Hautprobleme), Fotos – verarbeitet personenbezogene Daten im Sinne der DSGVO. Das gilt für Studios jeder Größe, also auch für Einzelkünstler.
Die DSGVO gilt in Deutschland seit Mai 2018. Verstöße können mit Bußgeldern von bis zu 20 Millionen Euro oder 4 % des globalen Jahresumsatzes belegt werden. Für kleine Studios ist das in der Praxis selten, aber die Grundregeln solltest du kennen.
Welche Daten verarbeiten Tattoostudios?
Mach dir klar, welche Daten du überhaupt sammelst:
- Kontaktdaten: Name, E-Mail, Telefonnummer, Adresse
- Gesundheitsdaten: Allergien, Vorerkrankungen, Medikamente (besonders sensibel – zählen zu den „besonderen Kategorien" nach Art. 9 DSGVO)
- Fotos: Tattoo-Fotos mit erkennbaren Körperstellen oder Gesicht
- Zahlungsdaten: Wenn du Kartenzahlungen verarbeitest
- Kommunikationsdaten: E-Mail-Verläufe, Chat-Nachrichten
Die wichtigsten DSGVO-Pflichten für Tattoostudios
1. Rechtsgrundlage für die Verarbeitung
Du brauchst für jede Verarbeitung von Kundendaten eine rechtliche Grundlage. Für Tattoostudios sind das meist:
- Vertragserfüllung (Art. 6 Abs. 1 lit. b): Daten, die du zur Durchführung des Tattoo-Termins brauchst
- Einwilligung (Art. 6 Abs. 1 lit. a): Für alles darüber hinaus – z. B. Newsletter, Fotos für Social Media
- Gesetzliche Verpflichtung (Art. 6 Abs. 1 lit. c): Steuerliche Aufzeichnungspflichten
2. Datenschutzerklärung
Du brauchst eine Datenschutzerklärung auf deiner Website, in der du erklärst, welche Daten du erhebst, zu welchem Zweck, auf welcher Rechtsgrundlage und wie lange du sie aufbewahrst. Vorlagen findest du beim Datenschutzbeauftragten deines Bundeslandes oder über einschlägige Generatoren.
3. Einwilligung für Fotos
Du willst Tattoo-Fotos auf Instagram posten? Dann brauchst du die schriftliche Einwilligung des Kunden. Darin muss stehen: für welchen Zweck (Social Media), auf welchen Plattformen und wie der Kunde die Einwilligung widerrufen kann. Hol dir diese Einwilligung am besten direkt beim Termin – als Teil deines Anmeldeformulars.
4. Gesundheitsdaten besonders schützen
Informationen über Allergien, Hauterkrankungen oder Medikamente sind nach Art. 9 DSGVO „besondere Kategorien personenbezogener Daten". Für deren Verarbeitung brauchst du eine ausdrückliche Einwilligung oder einen anderen zulässigen Grund. Diese Daten müssen besonders gesichert werden – kein offener Papierzettel, keine unverschlüsselten E-Mails.
5. Datensicherheit gewährleisten
Kundendaten müssen sicher gespeichert werden. Das bedeutet konkret:
- Kein WhatsApp für die Speicherung von Kundendaten (US-Server, Meta-Datenzugriff)
- Software muss mindestens Passwortschutz und HTTPS bieten
- Bei Cloud-Software: Server sollten in der EU (idealerweise in Deutschland) stehen
- Zugänge auf Mitarbeiter beschränken, die sie wirklich brauchen
6. Auskunftspflicht
Kunden haben das Recht, zu erfahren, welche Daten du über sie gespeichert hast (Auskunftsrecht), diese zu korrigieren (Berichtigungsrecht) oder löschen zu lassen (Recht auf Vergessenwerden). Du musst innerhalb von 30 Tagen auf solche Anfragen antworten können.
7. Aufbewahrungsfristen beachten
Nicht alle Daten dürfen beliebig lange gespeichert werden:
- Buchungsunterlagen und Rechnungen: 10 Jahre (steuerrechtliche Pflicht)
- Kundenkontaktdaten ohne laufende Geschäftsbeziehung: sollten nach angemessener Zeit gelöscht werden
- Einwilligungen (z. B. für Fotos): solange die Einwilligung gilt
FAQ: DSGVO für Tattoostudios
Brauche ich einen Datenschutzbeauftragten?
Als Soloselbstständiger oder Kleinstbetrieb in der Regel nicht. Ein betrieblicher Datenschutzbeauftragter wird erst ab 20 Personen, die regelmäßig Daten verarbeiten, Pflicht.
Darf ich WhatsApp für die Kundenkommunikation nutzen?
Für informellen Austausch mit einwilligenden Kunden rechtlich grenzwertig, aber praktisch weit verbreitet. Für die strukturierte Datenspeicherung (Kontaktdaten, Buchungsinfos, Gesundheitsdaten) solltest du auf datenschutzkonforme Lösungen mit EU-Servern setzen.
Was passiert, wenn ich einen Datenschutzvorfall habe?
Wenn Kundendaten versehentlich veröffentlicht, gestohlen oder verloren gehen, musst du das innerhalb von 72 Stunden der zuständigen Datenschutzbehörde melden. Bei hohem Risiko für Betroffene musst du auch diese informieren.
StudioFlow wurde DSGVO-konform entwickelt, läuft auf deutschen Servern und speichert alle Kundendaten sicher – ohne WhatsApp-Chaos, ohne US-Cloud-Risiko. Zur Datenschutzerklärung von StudioFlow oder kostenlos in der Beta testen.