DSGVO für Gebäudereiniger: Auftragsverarbeitung, Objektfotos & Mitarbeiterdaten
Datenschutz klingt nach Bürokratie für Großkonzerne – dabei berührt die DSGVO den Reinigungsalltag an mehreren konkreten Stellen: Reinigungskräfte bewegen sich in fremden Büros mit sichtbaren Personendaten, Betriebe fotografieren Objekte für Nachweise, und jede Firma verarbeitet die sensiblen Daten ihrer eigenen Mitarbeitenden. Dieser Leitfaden ordnet die realen Berührungspunkte pragmatisch: Wann ein Datenschutzbeauftragter Pflicht ist, wann ein Auftragsverarbeitungs-Vertrag nötig wird, was bei Objektfotos zu beachten ist und wie man im Ernstfall die 72-Stunden-Meldefrist einhält.
Das Wichtigste in 30 Sekunden
Die DSGVO trifft einen Reinigungsbetrieb an drei praktischen Fronten – nicht als abstrakte Bürokratie, sondern konkret:
- Eigene Mitarbeiter- und Kundendaten: Sie sind „Verantwortlicher" für die Daten Ihrer Beschäftigten und Auftraggeber – mit Rechtsgrundlage, Verarbeitungsverzeichnis und technischem Schutz.
- Datenschutzbeauftragter (DSB): Pflicht in der Regel ab 20 Personen, die ständig mit automatisierter Datenverarbeitung beschäftigt sind (§ 38 BDSG) – zusätzlich unabhängig von der Zahl, wenn eine Datenschutz-Folgenabschätzung nötig ist.
- Im Kundenobjekt: Reinigungskräfte sehen fremde Daten. Die klassische Unterhaltsreinigung ist meist kein Auftragsverarbeiter – hier genügt eine Verpflichtung auf Vertraulichkeit. Übernehmen Sie aber gezielt Aufgaben mit Personenbezug (z. B. Aktenvernichtung / Entsorgung von Unterlagen mit Personendaten), wird ein AV-Vertrag nach Art. 28 DSGVO nötig.
Und wenn doch etwas schiefgeht: Eine meldepflichtige Datenpanne ist möglichst binnen 72 Stunden nach Bekanntwerden an die Aufsichtsbehörde zu melden (Art. 33 DSGVO). Dieser Leitfaden macht aus diesen Regeln eine handhabbare Checkliste.
Front 1: Ihre eigenen Daten – Sie sind „Verantwortlicher"
Jeder Betrieb, der Menschen beschäftigt und Kunden hat, verarbeitet personenbezogene Daten und ist damit Verantwortlicher im Sinne der DSGVO. Die Grundpflichten gelten unabhängig von der Betriebsgröße:
- Rechtsgrundlage für jede Verarbeitung (meist Vertrag/Arbeitsverhältnis, gesetzliche Pflicht oder berechtigtes Interesse; Einwilligung nur wo nötig).
- Verzeichnis von Verarbeitungstätigkeiten (VVT): eine strukturierte Übersicht, welche Daten Sie zu welchem Zweck verarbeiten. Auch kleine Betriebe kommen um ein VVT in der Praxis kaum herum.
- Technische und organisatorische Maßnahmen (TOM, Art. 32): Zugriffsschutz, Verschlüsselung sensibler Daten, abgestufte Rechte.
- Betroffenenrechte: Auskunft, Berichtigung, Löschung (Art. 15–17) müssen Sie bedienen können.
Die konkreten Fristen und Löschregeln für Personalunterlagen behandelt der Schwester-Artikel Digitale Personalakte DSGVO-konform.
Front 2: Brauchen Sie einen Datenschutzbeauftragten?
Diese Frage stellt sich jeder wachsende Reinigungsbetrieb. Die deutsche Regel steht in § 38 BDSG:
- Ab 20 Personen, die im Betrieb ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, muss ein Datenschutzbeauftragter benannt werden. „Personen" meint dabei nicht nur Festangestellte in Vollzeit – es zählt, wer regelmäßig mit datenverarbeitenden Systemen (z. B. Dienstplan-, Lohn-, Zeiterfassungssoftware) arbeitet.
- Unabhängig von der Zahl ist ein DSB Pflicht, wenn Verarbeitungen durchgeführt werden, die einer Datenschutz-Folgenabschätzung unterliegen, oder wenn Daten geschäftsmäßig zum Zweck der Übermittlung verarbeitet werden.
Hinweis zum Rechtsstand: Über eine Anhebung bzw. Änderung der 20-Personen-Schwelle wird politisch diskutiert. Maßgeblich ist der jeweils geltende Gesetzesstand – dieser Artikel gibt den aktuellen Stand (20 Personen) wieder; vor einer Entscheidung im Einzelfall den aktuellen Stand prüfen.
Wichtig: In der Reinigung arbeiten oft weniger als 20 Personen ständig an der Datenverarbeitung, selbst wenn insgesamt viel mehr Menschen beschäftigt sind (die putzende Kraft verarbeitet keine Daten am System). Ob die Schwelle erreicht ist, hängt also davon ab, wer tatsächlich mit den Systemen arbeitet – nicht an der reinen Mitarbeiterzahl.
→ Ob Sie einen DSB brauchen, prüft der Rechner „Datenschutzbeauftragter-Pflicht".
Front 3: Im Kundenobjekt – AV-Vertrag oder Vertraulichkeit?
Hier herrscht die größte Verwirrung, weil beide Positionen kursieren. Die saubere Abgrenzung:
Der Regelfall (Unterhaltsreinigung) ist keine Auftragsverarbeitung. Wer Büros reinigt und dabei zwangsläufig Namensschilder an Türen oder Unterlagen auf Schreibtischen sehen kann, verarbeitet diese Daten nicht im Auftrag – der Datenzugang ist nur ein Nebeneffekt der Reinigung. Hier ist kein AV-Vertrag nach Art. 28 nötig. Richtig und ausreichend ist eine Verpflichtung der Reinigungskräfte auf Vertraulichkeit und eine klare Anweisung, fremde Unterlagen nicht zu lesen, zu kopieren oder mitzunehmen.
Der Ausnahmefall ist Auftragsverarbeitung. Sobald Sie gezielt eine Aufgabe mit Personenbezug übernehmen, kippt die Einordnung – klassisches Beispiel: Sie entsorgen oder vernichten Papierabfall/Akten mit personenbezogenen Daten für den Auftraggeber. Dann verarbeiten Sie Daten in dessen Auftrag → ein AV-Vertrag nach Art. 28 DSGVO ist Pflicht.
| Situation im Objekt | Einordnung | Was nötig ist |
|---|---|---|
| Büros reinigen, Namensschilder/Unterlagen nur sichtbar | keine Auftragsverarbeitung | Verpflichtung auf Vertraulichkeit der Kräfte |
| Akten-/Datenträgervernichtung, Entsorgung von Unterlagen mit Personendaten | Auftragsverarbeitung | AV-Vertrag nach Art. 28 DSGVO |
| Zugang zu IT-/Serverräumen mit Datenzugriff | je nach Ausgestaltung | Vertraulichkeit, ggf. AV – im Einzelfall prüfen |
Für Sie als Auftragnehmer heißt das doppelt: Ihre Kräfte gehören auf Vertraulichkeit verpflichtet (das erwartet auch Ihr Auftraggeber), und für datenbezogene Sonderleistungen brauchen Sie einen AV-Vertrag.
Front 4: Objektfotos – der unterschätzte Datenschutz-Fall
Fotos vom Objekt sind in der Reinigung Alltag: Leistungsnachweis, Reklamationsdokumentation, Vorher-Nachher. Datenschutzrechtlich sind sie heikel, sobald sie personenbezogene Daten enthalten:
- Personen im Bild (Mitarbeitende, Besucher) machen das Foto personenbezogen – hier braucht es eine Rechtsgrundlage bzw. Datenminimierung (keine Personen aufs Bild).
- Sichtbare Unterlagen, Bildschirme, Namensschilder, Kennzeichen können ebenfalls Personendaten offenlegen.
- EXIF-Metadaten: Smartphone-Fotos speichern oft Standort, Zeit, Gerät in den Metadaten – Informationen, die man selten mit dem Foto teilen möchte.
Gute Praxis: nur fotografieren, was für den Nachweis nötig ist; Personen und lesbare Unterlagen vermeiden oder unkenntlich machen; Metadaten im Griff behalten; Fotos zugriffsgeschützt und nur so lange wie nötig speichern.
Front 5: Die Datenpanne – 72 Stunden
Trotz aller Vorsicht kann etwas passieren: ein verlorenes Diensthandy mit Objektdaten, eine Fehl-E-Mail mit Personallisten, ein gestohlener Laptop. Dann greift Art. 33 DSGVO:
- Eine meldepflichtige Verletzung ist unverzüglich und möglichst binnen 72 Stunden, nachdem sie bekannt wurde, der Aufsichtsbehörde zu melden – es sei denn, die Verletzung führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten der Betroffenen.
- Die Frist beginnt zu laufen, sobald irgendjemand im Betrieb von den wesentlichen Tatsachen der Panne Kenntnis erlangt.
- Bei hohem Risiko für die Betroffenen sind zusätzlich die betroffenen Personen zu benachrichtigen (Art. 34 DSGVO).
- Jede Panne ist intern zu dokumentieren – auch die, die Sie nicht melden (mit Begründung, warum nicht).
72 Stunden sind schnell vorbei. Deshalb hilft ein vorbereiteter Prozess: Wer meldet, an wen, mit welchen Angaben.
→ Ob und wie zu melden ist, strukturiert der Rechner „Datenpanne-Meldepflicht".
Wie CERTISCAN beim Datenschutz unterstützt
CERTISCAN ist eine modulare Compliance- und Betriebsplattform für Gebäudereinigung, Handwerk und KMU. Datenschutz ist dabei kein Zusatzmodul, sondern in die Plattform eingebaut:
- Sensible Daten verschlüsselt: Besonders schützenswerte Felder (z. B. Steuer-ID, IBAN, SV-Nummer) werden verschlüsselt gespeichert (AES-256-GCM), statt offen in Tabellen zu liegen.
- Manipulationssicherer Audit-Trail: Sicherheitsrelevante Aktionen laufen in einen WORM-Audit-Trail (wer/wann/was) – wichtig für die Nachweisbarkeit gegenüber der Aufsichtsbehörde.
- Abgestufte Rollen und Rechte: Zugriff auf Personendaten ist rollenbasiert; nicht jeder sieht alles.
- Löschpfade: Für ausgeschiedene Mitarbeitende gibt es einen echten Löschpfad, der laufende Aufbewahrungspflichten berücksichtigt (fail-closed).
- Fotos mit Personenbezug: Wo die Plattform Foto-Nachweise besonders schützt – etwa bei Hinweisgeber-Meldungen – werden EXIF-Metadaten beim Upload entfernt. Für allgemeine Objektfotos bleibt der bewusste Umgang (nur Nötiges fotografieren, keine Personen) Sache des Betriebs.
Ehrlich eingeordnet: CERTISCAN liefert technische Bausteine (Verschlüsselung, Audit-Trail, Rechte, Löschpfade, Compliance-Rechner). Die organisatorischen Pflichten – VVT führen, Kräfte auf Vertraulichkeit verpflichten, AV-Verträge schließen, DSB benennen, Meldeprozess üben – bleiben Aufgabe des Betriebs, idealerweise mit Datenschutzberatung. Für die abschließende rechtliche Bewertung ziehen Sie eine fachkundige Beratung hinzu.
Not legal advice – provided without warranty. Amounts, deadlines and thresholds may change; consult a professional if in doubt.