CERTISCAN
SolutionsModulesToolsKnowledgeBlogPricingAbout
Log inTry free
CERTISCAN
SolutionsModulesToolsKnowledgeBlogPricingAbout
Log inTry free
Knowledge/DSGVO für Gebäudereiniger: Auftragsverarbeitung, Objektfotos & Mitarbeiterdaten
Guide

DSGVO für Gebäudereiniger: Auftragsverarbeitung, Objektfotos & Mitarbeiterdaten

Datenschutz klingt nach Bürokratie für Großkonzerne – dabei berührt die DSGVO den Reinigungsalltag an mehreren konkreten Stellen: Reinigungskräfte bewegen sich in fremden Büros mit sichtbaren Personendaten, Betriebe fotografieren Objekte für Nachweise, und jede Firma verarbeitet die sensiblen Daten ihrer eigenen Mitarbeitenden. Dieser Leitfaden ordnet die realen Berührungspunkte pragmatisch: Wann ein Datenschutzbeauftragter Pflicht ist, wann ein Auftragsverarbeitungs-Vertrag nötig wird, was bei Objektfotos zu beachten ist und wie man im Ernstfall die 72-Stunden-Meldefrist einhält.

CSChristoph Schulz12 min readUpdated: Jul 12, 2026
Start freeOpen calculator→
DSGVOAES-256WORM-AUDITXRECHNUNGCSRD
Contents
  1. 01Das Wichtigste in 30 Sekunden
  2. 02Front 1: Ihre eigenen Daten – Sie sind „Verantwortlicher"
  3. 03Front 2: Brauchen Sie einen Datenschutzbeauftragten?
  4. 04Front 3: Im Kundenobjekt – AV-Vertrag oder Vertraulichkeit?
  5. 05Front 4: Objektfotos – der unterschätzte Datenschutz-Fall
  6. 06Front 5: Die Datenpanne – 72 Stunden
  7. 07Wie CERTISCAN beim Datenschutz unterstützt

Das Wichtigste in 30 Sekunden

Die DSGVO trifft einen Reinigungsbetrieb an drei praktischen Fronten – nicht als abstrakte Bürokratie, sondern konkret:

  • Eigene Mitarbeiter- und Kundendaten: Sie sind „Verantwortlicher" für die Daten Ihrer Beschäftigten und Auftraggeber – mit Rechtsgrundlage, Verarbeitungsverzeichnis und technischem Schutz.
  • Datenschutzbeauftragter (DSB): Pflicht in der Regel ab 20 Personen, die ständig mit automatisierter Datenverarbeitung beschäftigt sind (§ 38 BDSG) – zusätzlich unabhängig von der Zahl, wenn eine Datenschutz-Folgenabschätzung nötig ist.
  • Im Kundenobjekt: Reinigungskräfte sehen fremde Daten. Die klassische Unterhaltsreinigung ist meist kein Auftragsverarbeiter – hier genügt eine Verpflichtung auf Vertraulichkeit. Übernehmen Sie aber gezielt Aufgaben mit Personenbezug (z. B. Aktenvernichtung / Entsorgung von Unterlagen mit Personendaten), wird ein AV-Vertrag nach Art. 28 DSGVO nötig.

Und wenn doch etwas schiefgeht: Eine meldepflichtige Datenpanne ist möglichst binnen 72 Stunden nach Bekanntwerden an die Aufsichtsbehörde zu melden (Art. 33 DSGVO). Dieser Leitfaden macht aus diesen Regeln eine handhabbare Checkliste.

Front 1: Ihre eigenen Daten – Sie sind „Verantwortlicher"

Jeder Betrieb, der Menschen beschäftigt und Kunden hat, verarbeitet personenbezogene Daten und ist damit Verantwortlicher im Sinne der DSGVO. Die Grundpflichten gelten unabhängig von der Betriebsgröße:

  • Rechtsgrundlage für jede Verarbeitung (meist Vertrag/Arbeitsverhältnis, gesetzliche Pflicht oder berechtigtes Interesse; Einwilligung nur wo nötig).
  • Verzeichnis von Verarbeitungstätigkeiten (VVT): eine strukturierte Übersicht, welche Daten Sie zu welchem Zweck verarbeiten. Auch kleine Betriebe kommen um ein VVT in der Praxis kaum herum.
  • Technische und organisatorische Maßnahmen (TOM, Art. 32): Zugriffsschutz, Verschlüsselung sensibler Daten, abgestufte Rechte.
  • Betroffenenrechte: Auskunft, Berichtigung, Löschung (Art. 15–17) müssen Sie bedienen können.

Die konkreten Fristen und Löschregeln für Personalunterlagen behandelt der Schwester-Artikel Digitale Personalakte DSGVO-konform.

Front 2: Brauchen Sie einen Datenschutzbeauftragten?

Diese Frage stellt sich jeder wachsende Reinigungsbetrieb. Die deutsche Regel steht in § 38 BDSG:

  • Ab 20 Personen, die im Betrieb ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, muss ein Datenschutzbeauftragter benannt werden. „Personen" meint dabei nicht nur Festangestellte in Vollzeit – es zählt, wer regelmäßig mit datenverarbeitenden Systemen (z. B. Dienstplan-, Lohn-, Zeiterfassungssoftware) arbeitet.
  • Unabhängig von der Zahl ist ein DSB Pflicht, wenn Verarbeitungen durchgeführt werden, die einer Datenschutz-Folgenabschätzung unterliegen, oder wenn Daten geschäftsmäßig zum Zweck der Übermittlung verarbeitet werden.

Hinweis zum Rechtsstand: Über eine Anhebung bzw. Änderung der 20-Personen-Schwelle wird politisch diskutiert. Maßgeblich ist der jeweils geltende Gesetzesstand – dieser Artikel gibt den aktuellen Stand (20 Personen) wieder; vor einer Entscheidung im Einzelfall den aktuellen Stand prüfen.

Wichtig: In der Reinigung arbeiten oft weniger als 20 Personen ständig an der Datenverarbeitung, selbst wenn insgesamt viel mehr Menschen beschäftigt sind (die putzende Kraft verarbeitet keine Daten am System). Ob die Schwelle erreicht ist, hängt also davon ab, wer tatsächlich mit den Systemen arbeitet – nicht an der reinen Mitarbeiterzahl.

→ Ob Sie einen DSB brauchen, prüft der Rechner „Datenschutzbeauftragter-Pflicht".

Front 3: Im Kundenobjekt – AV-Vertrag oder Vertraulichkeit?

Hier herrscht die größte Verwirrung, weil beide Positionen kursieren. Die saubere Abgrenzung:

Der Regelfall (Unterhaltsreinigung) ist keine Auftragsverarbeitung. Wer Büros reinigt und dabei zwangsläufig Namensschilder an Türen oder Unterlagen auf Schreibtischen sehen kann, verarbeitet diese Daten nicht im Auftrag – der Datenzugang ist nur ein Nebeneffekt der Reinigung. Hier ist kein AV-Vertrag nach Art. 28 nötig. Richtig und ausreichend ist eine Verpflichtung der Reinigungskräfte auf Vertraulichkeit und eine klare Anweisung, fremde Unterlagen nicht zu lesen, zu kopieren oder mitzunehmen.

Der Ausnahmefall ist Auftragsverarbeitung. Sobald Sie gezielt eine Aufgabe mit Personenbezug übernehmen, kippt die Einordnung – klassisches Beispiel: Sie entsorgen oder vernichten Papierabfall/Akten mit personenbezogenen Daten für den Auftraggeber. Dann verarbeiten Sie Daten in dessen Auftrag → ein AV-Vertrag nach Art. 28 DSGVO ist Pflicht.

Situation im ObjektEinordnungWas nötig ist
Büros reinigen, Namensschilder/Unterlagen nur sichtbarkeine AuftragsverarbeitungVerpflichtung auf Vertraulichkeit der Kräfte
Akten-/Datenträgervernichtung, Entsorgung von Unterlagen mit PersonendatenAuftragsverarbeitungAV-Vertrag nach Art. 28 DSGVO
Zugang zu IT-/Serverräumen mit Datenzugriffje nach AusgestaltungVertraulichkeit, ggf. AV – im Einzelfall prüfen

Für Sie als Auftragnehmer heißt das doppelt: Ihre Kräfte gehören auf Vertraulichkeit verpflichtet (das erwartet auch Ihr Auftraggeber), und für datenbezogene Sonderleistungen brauchen Sie einen AV-Vertrag.

Front 4: Objektfotos – der unterschätzte Datenschutz-Fall

Fotos vom Objekt sind in der Reinigung Alltag: Leistungsnachweis, Reklamationsdokumentation, Vorher-Nachher. Datenschutzrechtlich sind sie heikel, sobald sie personenbezogene Daten enthalten:

  • Personen im Bild (Mitarbeitende, Besucher) machen das Foto personenbezogen – hier braucht es eine Rechtsgrundlage bzw. Datenminimierung (keine Personen aufs Bild).
  • Sichtbare Unterlagen, Bildschirme, Namensschilder, Kennzeichen können ebenfalls Personendaten offenlegen.
  • EXIF-Metadaten: Smartphone-Fotos speichern oft Standort, Zeit, Gerät in den Metadaten – Informationen, die man selten mit dem Foto teilen möchte.

Gute Praxis: nur fotografieren, was für den Nachweis nötig ist; Personen und lesbare Unterlagen vermeiden oder unkenntlich machen; Metadaten im Griff behalten; Fotos zugriffsgeschützt und nur so lange wie nötig speichern.

Front 5: Die Datenpanne – 72 Stunden

Trotz aller Vorsicht kann etwas passieren: ein verlorenes Diensthandy mit Objektdaten, eine Fehl-E-Mail mit Personallisten, ein gestohlener Laptop. Dann greift Art. 33 DSGVO:

  • Eine meldepflichtige Verletzung ist unverzüglich und möglichst binnen 72 Stunden, nachdem sie bekannt wurde, der Aufsichtsbehörde zu melden – es sei denn, die Verletzung führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten der Betroffenen.
  • Die Frist beginnt zu laufen, sobald irgendjemand im Betrieb von den wesentlichen Tatsachen der Panne Kenntnis erlangt.
  • Bei hohem Risiko für die Betroffenen sind zusätzlich die betroffenen Personen zu benachrichtigen (Art. 34 DSGVO).
  • Jede Panne ist intern zu dokumentieren – auch die, die Sie nicht melden (mit Begründung, warum nicht).

72 Stunden sind schnell vorbei. Deshalb hilft ein vorbereiteter Prozess: Wer meldet, an wen, mit welchen Angaben.

→ Ob und wie zu melden ist, strukturiert der Rechner „Datenpanne-Meldepflicht".

Wie CERTISCAN beim Datenschutz unterstützt

CERTISCAN ist eine modulare Compliance- und Betriebsplattform für Gebäudereinigung, Handwerk und KMU. Datenschutz ist dabei kein Zusatzmodul, sondern in die Plattform eingebaut:

  • Sensible Daten verschlüsselt: Besonders schützenswerte Felder (z. B. Steuer-ID, IBAN, SV-Nummer) werden verschlüsselt gespeichert (AES-256-GCM), statt offen in Tabellen zu liegen.
  • Manipulationssicherer Audit-Trail: Sicherheitsrelevante Aktionen laufen in einen WORM-Audit-Trail (wer/wann/was) – wichtig für die Nachweisbarkeit gegenüber der Aufsichtsbehörde.
  • Abgestufte Rollen und Rechte: Zugriff auf Personendaten ist rollenbasiert; nicht jeder sieht alles.
  • Löschpfade: Für ausgeschiedene Mitarbeitende gibt es einen echten Löschpfad, der laufende Aufbewahrungspflichten berücksichtigt (fail-closed).
  • Fotos mit Personenbezug: Wo die Plattform Foto-Nachweise besonders schützt – etwa bei Hinweisgeber-Meldungen – werden EXIF-Metadaten beim Upload entfernt. Für allgemeine Objektfotos bleibt der bewusste Umgang (nur Nötiges fotografieren, keine Personen) Sache des Betriebs.

Ehrlich eingeordnet: CERTISCAN liefert technische Bausteine (Verschlüsselung, Audit-Trail, Rechte, Löschpfade, Compliance-Rechner). Die organisatorischen Pflichten – VVT führen, Kräfte auf Vertraulichkeit verpflichten, AV-Verträge schließen, DSB benennen, Meldeprozess üben – bleiben Aufgabe des Betriebs, idealerweise mit Datenschutzberatung. Für die abschließende rechtliche Bewertung ziehen Sie eine fachkundige Beratung hinzu.

Not legal advice – provided without warranty. Amounts, deadlines and thresholds may change; consult a professional if in doubt.

Contents
  1. 01Das Wichtigste in 30 Sekunden
  2. 02Front 1: Ihre eigenen Daten – Sie sind „Verantwortlicher"
  3. 03Front 2: Brauchen Sie einen Datenschutzbeauftragten?
  4. 04Front 3: Im Kundenobjekt – AV-Vertrag oder Vertraulichkeit?
  5. 05Front 4: Objektfotos – der unterschätzte Datenschutz-Fall
  6. 06Front 5: Die Datenpanne – 72 Stunden
  7. 07Wie CERTISCAN beim Datenschutz unterstützt

Frequently asked questions

Braucht ein Reinigungsbetrieb einen Datenschutzbeauftragten?
In der Regel ab 20 Personen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (§ 38 BDSG). Entscheidend ist, wer tatsächlich an datenverarbeitenden Systemen arbeitet, nicht die reine Gesamtmitarbeiterzahl. Unabhängig von der Zahl ist ein DSB nötig, wenn eine Datenschutz-Folgenabschätzung erforderlich ist. Über eine Anhebung der Schwelle wird politisch diskutiert; maßgeblich ist der geltende Gesetzesstand.
Muss ein Auftraggeber mit der Reinigungsfirma einen AV-Vertrag schließen?
Nicht im Regelfall. Die klassische Unterhaltsreinigung, bei der Kräfte fremde Daten nur zwangsläufig sehen, ist keine Auftragsverarbeitung; hier genügt eine Verpflichtung auf Vertraulichkeit. Ein AV-Vertrag nach Art. 28 DSGVO wird nötig, wenn die Reinigungsfirma gezielt Aufgaben mit Personenbezug übernimmt, etwa die Vernichtung oder Entsorgung von Unterlagen mit personenbezogenen Daten.
Müssen Reinigungskräfte auf Vertraulichkeit verpflichtet werden?
Ja, das ist die richtige und in der Regel ausreichende Maßnahme, weil die Kräfte im Objekt zwangsläufig fremde Daten sehen können. Sie sollten schriftlich auf Vertraulichkeit verpflichtet und angewiesen werden, fremde Unterlagen nicht zu lesen, zu kopieren oder mitzunehmen. Auftraggeber erwarten diese Verpflichtung regelmäßig.
Was ist bei Objektfotos datenschutzrechtlich zu beachten?
Fotos werden zu personenbezogenen Daten, sobald Personen, lesbare Unterlagen, Bildschirme oder Kennzeichen darauf erkennbar sind. Zusätzlich speichern Smartphone-Fotos oft Standort- und Zeitdaten in den Metadaten. Gute Praxis ist Datenminimierung: nur das Nötige fotografieren, Personen vermeiden oder unkenntlich machen, Fotos zugriffsgeschützt und nur so lange wie nötig speichern.
Wie schnell muss ich eine Datenpanne melden?
Eine meldepflichtige Datenpanne ist unverzüglich und möglichst binnen 72 Stunden nach Bekanntwerden an die Aufsichtsbehörde zu melden (Art. 33 DSGVO), außer sie führt voraussichtlich nicht zu einem Risiko für die Betroffenen. Bei hohem Risiko sind zusätzlich die Betroffenen zu benachrichtigen (Art. 34). Die Frist beginnt, sobald irgendjemand im Betrieb von den wesentlichen Tatsachen erfährt.
Gilt die DSGVO auch für sehr kleine Reinigungsbetriebe?
Ja. Die Grundpflichten der DSGVO gelten unabhängig von der Betriebsgröße, sobald personenbezogene Daten verarbeitet werden – und das tut jeder Betrieb mit Beschäftigten und Kunden. Größenabhängig ist nur einzelnes, etwa die Pflicht zur Benennung eines Datenschutzbeauftragten ab der 20-Personen-Schwelle.

More guides

Digitale Personalakte DSGVO-konform: Aufbewahrung, Löschfristen, VerschlüsselungCompliance-Pflichten Gebäudereinigung 2026: Die komplette Checkliste

Related glossary terms

Compliance & AuditAudit-Trail

Related calculators

Datenschutz & IT-SicherheitDatenschutzbeauftragter: Ab wann Pflicht?Datenschutz & IT-SicherheitDatenpanne: Muss ich melden? (72 Stunden)
Compliance without the paperwork
Certiscan maps ISO standards, DGUV V3 and audits digitally – in one app.
Start free
CERTISCAN

Compliance & operations in one app. Made & hosted in Germany.

Product
SolutionsModulesToolsKnowledgeGlossaryTrust CenterPricingBlog
Company
AboutContact
Legal
PrivacyImprintTermsDPAAccessibility
© 2026 CERTISCAN · Christoph Schulz · Siegen
AES-256 · DSGVO · WORM-Audit