Einleitung: Warum DSGVO jeden Handelsvertreter betrifft
Als Handelsvertreter verarbeiten Sie jeden Tag personenbezogene Daten: Namen von Ansprechpartnern, Telefonnummern, E-Mail-Adressen, Besuchsnotizen, teilweise sogar Informationen über persönliche Vorlieben Ihrer Gesprächspartner. Das kann unter die Datenschutz-Grundverordnung (DSGVO) fallen. Welche Rolle und welche Pflichten Sie konkret haben, hängt von Auftrag, Vertrag und Datenverarbeitung ab.
Viele Handelsvertreter unterschätzen Datenschutz, weil sie sich als „kleine Selbstständige“ nicht angesprochen fühlen. Das ist riskant. Dieser Guide ist aber keine Rechtsberatung, sondern eine praktische Orientierung für typische Außendienst-Situationen.
Dieser Guide zeigt in klarer Sprache, welche DSGVO-Themen im Außendienst häufig relevant werden, welche Fragen Sie klären sollten und wo typische Fallstricke liegen.
Das Wichtigste in Kürze
- 1.Sobald Sie personenbezogene Daten verarbeiten, sollten Sie DSGVO-Rolle und Rechtsgrundlage klären.
- 2.Sieben Grundsätze bestimmen Ihren Umgang mit personenbezogenen Daten.
- 3.Ein kurzer Basischeck hilft, die größten organisatorischen Lücken zu sehen.
- 4.Bei Datenpannen haben Sie nur 72 Stunden zur Meldung an die Aufsichtsbehörde.
- 5.Bußgelder und Folgen hängen vom Einzelfall ab.
Kostenlose Fragenliste für Datenschutzprüfung
CSV-Liste mit Fragen, die Sie mit Ihrem Fachberater, Auftraggeber oder Datenschutzkontakt klären können.
Sind Sie überhaupt DSGVO-pflichtig?
Die kurze Antwort: Ja. Wenn Sie eines der folgenden Dinge tun, unterliegen Sie der DSGVO:
- Sie speichern Namen, Telefonnummern oder E-Mail-Adressen von Kunden oder Ansprechpartnern.
- Sie führen Besuchsberichte, die Personen namentlich erwähnen.
- Sie erhalten Kundenlisten oder Kontaktdaten von Ihren Auftraggebern.
- Sie nutzen ein CRM-Tool, eine Excel-Tabelle oder auch nur ein Notizbuch mit personenbezogenen Informationen.
DSGVO Art. 4 Nr. 7 - Verantwortlicher
Wichtige DSGVO-Themen für Handelsvertreter
Die DSGVO basiert auf sieben Grundsätzen, die in Artikel 5 verankert sind. Jeder dieser Grundsätze hat konkrete Auswirkungen auf Ihren Arbeitsalltag.
1. Rechtmäßigkeit - Brauchen Sie eine Rechtsgrundlage?
Jede Verarbeitung personenbezogener Daten braucht eine Rechtsgrundlage nach Artikel 6 DSGVO. Für Handelsvertreter kommen vor allem drei in Frage:
| Rechtsgrundlage | Wann sie greift | Beispiel |
|---|---|---|
| Art. 6 Abs. 1 lit. b - Vertragserfüllung | Datenverarbeitung ist nötig, um einen Vertrag zu erfüllen | Sie speichern Lieferadressen, um Bestellungen abzuwickeln |
| Art. 6 Abs. 1 lit. f - Berechtigtes Interesse | Sie haben ein legitimes geschäftliches Interesse, das die Interessen der betroffenen Person nicht überwiegt | Sie notieren sich den Namen des Einkaufsleiters für Folgebesuche |
| Art. 6 Abs. 1 lit. a - Einwilligung | Die betroffene Person hat aktiv zugestimmt | Sie schicken einem Ansprechpartner einen Newsletter |
Praxis-Tipp: Rechtsgrundlage dokumentieren
2. Zweckbindung - Daten nur für den festgelegten Zweck nutzen
Daten, die Sie für Auftraggeber A erheben, dürfen Sie nicht für Auftraggeber B verwenden. Das klingt selbstverständlich, wird aber im Alltag häufig verletzt - zum Beispiel, wenn eine Kundenliste von Auftraggeber A genutzt wird, um Produkte von Auftraggeber B anzubieten.
Die Zweckbindung überschneidet sich hier stark mit der Geheimhaltungspflicht nach HGB §90. Beide Vorschriften schützen dasselbe Prinzip aus unterschiedlicher Perspektive: §90 aus handelsrechtlicher, die DSGVO aus datenschutzrechtlicher Sicht.
3. Datenminimierung - Nur erheben, was Sie wirklich brauchen
Sammeln Sie keine „Nice-to-have“-Informationen. Fragen Sie sich bei jedem Datenfeld: Brauche ich das wirklich für meine Arbeit? Wenn die Antwort „Nein“ oder „Vielleicht irgendwann“ lautet, lassen Sie es weg.
Typische Verstöße gegen die Datenminimierung
4. Richtigkeit - Daten aktuell halten
Sie sind verpflichtet, personenbezogene Daten sachlich richtig und auf dem neuesten Stand zu halten. In der Praxis bedeutet das:
- Aktualisieren Sie Kontaktdaten bei jedem Besuch, wenn sich etwas geändert hat
- Löschen oder korrigieren Sie veraltete Ansprechpartner- Informationen
- Führen Sie regelmäßig eine Datenbereinigung durch (mindestens einmal pro Quartal)
5. Speicherbegrenzung - Löschen, wenn der Zweck erfüllt ist
Daten dürfen nicht länger gespeichert werden, als es für den ursprünglichen Zweck notwendig ist. Das bedeutet konkret:
- Wenn ein Vertragsverhältnis mit einem Auftraggeber endet, müssen Sie die damit verbundenen Kundendaten löschen oder zurückgeben (Frist: in der Regel zeitnah, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen).
- Besuchsberichte und Gesprächsnotizen, die keinem aktiven Geschäftszweck mehr dienen, sollten nach einer angemessenen Frist gelöscht werden.
- Achtung: Steuerrechtliche Aufbewahrungspflichten (in der Regel 7 Jahre in Österreich, 10 Jahre in Deutschland) können die Speicherdauer verlängern. Dokumentieren Sie, warum Sie Daten über den ursprünglichen Zweck hinaus aufbewahren.
6. Integrität und Vertraulichkeit - Daten schützen
Sie müssen angemessene technische und organisatorische Maßnahmen treffen, um personenbezogene Daten vor unbefugtem Zugriff, Verlust oder Zerstörung zu schützen.
Minimale Schutzmaßnahmen für Handelsvertreter
- Passwortschutz auf allen Geräten (Smartphone, Laptop, Tablet)
- Automatische Bildschirmsperre nach maximal 2 Minuten Inaktivität
- Verschlüsselung der Festplatte bzw. des Gerätespeichers
- Sichere Passwörter (mindestens 12 Zeichen, einzigartig pro Dienst)
- Zwei-Faktor-Authentifizierung, wo verfügbar
- Regelmäßige Software-Updates (Betriebssystem, Apps)
- Verschlüsselte Backups
- Keine unverschlüsselten USB-Sticks mit Kundendaten
7. Rechenschaftspflicht - Nachweisen, dass Sie compliant sind
Die DSGVO verlangt nicht nur, dass Sie die Regeln einhalten - Sie müssen es auch nachweisen können. Das ist die sogenannte Rechenschaftspflicht (Accountability).
Minimale Dokumentation, die Sie vorhalten sollten:
- Verzeichnis der Verarbeitungstätigkeiten (Art. 30): Eine Aufstellung aller Datenverarbeitungen, die Sie durchführen. Klingt bürokratisch, kann aber auf einer einzigen A4-Seite erfolgen.
- Datenschutzhinweis: Ein kurzer Text, der beschreibt, welche Daten Sie erheben und warum. Diesen sollten Sie in Ihrer E-Mail-Signatur verlinken.
- Technische und organisatorische Maßnahmen (TOMs): Eine Beschreibung der Schutzmaßnahmen, die Sie getroffen haben (Passwortschutz, Verschlüsselung, etc.).
Auftragsverarbeitung (AVV): Brauchen Sie das?
Wenn Ihr Auftraggeber Ihnen Kundendaten zur Bearbeitung bereitstellt, sind Sie möglicherweise ein „Auftragsverarbeiter“ im Sinne der DSGVO. In diesem Fall müssen Sie und Ihr Auftraggeber einen Auftragsverarbeitungsvertrag (AVV) abschließen.
Wann ist ein AVV nötig?
| Situation | AVV nötig? |
|---|---|
| Auftraggeber stellt Ihnen Kundenlisten mit Kontaktdaten zur Verfügung | Ja |
| Sie erheben selbstständig Daten bei Kunden und berichten an den Auftraggeber | Kommt auf die Vereinbarung an - klären Sie das im Einzelfall |
| Sie sind eigenverantwortlich tätig und entscheiden selbst über Mittel und Zwecke | Eher nein - Sie sind dann selbst Verantwortlicher |
Praxis-Tipp: AVV proaktiv ansprechen
Informationspflichten: Was Sie Kunden sagen müssen
Wenn Sie personenbezogene Daten erheben - sei es beim Erstbesuch, bei einem Telefonat oder per E-Mail - müssen Sie die betroffene Person darüber informieren.
Was muss die Information enthalten?
- Wer Sie sind (Name, Kontaktdaten)
- Welche Daten Sie erheben
- Warum Sie die Daten erheben (Zweck)
- Auf welcher Rechtsgrundlage (z. B. berechtigtes Interesse)
- Wie lange Sie die Daten speichern
- Welche Rechte die betroffene Person hat
Wie in der Praxis umsetzen?
Sie müssen nicht bei jedem Handschlag einen Datenschutzhinweis überreichen. Pragmatische Lösungen:
- E-Mail-Signatur: Fügen Sie einen kurzen Datenschutzhinweis oder einen Link zu Ihrem Datenschutz-Dokument in Ihre E-Mail-Signatur ein.
- Visitenkarte/Website: Verweisen Sie auf Ihre Datenschutzerklärung auf Ihrer Website oder einem kurzen Info-Blatt.
- Erstbesuch: Erwähnen Sie kurz, dass Sie Kontaktdaten zum Zweck der Geschäftsbeziehung speichern und wo weitere Infos zu finden sind.
Betroffenenrechte: Was tun, wenn ein Kunde fragt?
Jede Person, deren Daten Sie verarbeiten, hat nach der DSGVO bestimmte Rechte. Die drei wichtigsten für Ihren Alltag:
Auskunftsrecht (Artikel 15)
Ein Kunde kann verlangen, dass Sie ihm mitteilen, welche Daten Sie über ihn gespeichert haben. Sie müssen innerhalb eines Monats antworten. Das umfasst: welche Daten, woher, zu welchem Zweck, an wen weitergegeben, wie lange gespeichert.
Recht auf Löschung (Artikel 17)
Das „Recht auf Vergessenwerden“: Ein Kunde kann verlangen, dass Sie alle seine personenbezogenen Daten löschen. Ausnahmen bestehen bei gesetzlichen Aufbewahrungspflichten (z. B. steuerrechtlich) oder laufenden Vertragsverhältnissen.
Recht auf Datenübertragbarkeit (Artikel 20)
Ein Kunde kann verlangen, dass Sie ihm seine Daten in einem gängigen, maschinenlesbaren Format zur Verfügung stellen. In der Praxis bedeutet das: CSV-Export oder ähnliches.
Was tun, wenn eine Anfrage kommt?
Identität prüfen
Stellen Sie sicher, dass die anfragende Person tatsächlich die betroffene Person ist.Frist notieren
Sie haben einen Monat ab Eingang der Anfrage.Alle Systeme durchsuchen
Prüfen Sie CRM, E-Mail, Notizen, Adressbuch - überall, wo personenbezogene Daten liegen könnten.Vollständig antworten
Liefern Sie alle angeforderten Informationen in verständlicher Form.Dokumentieren
Halten Sie fest, wann die Anfrage kam und wie Sie reagiert haben.
Datenpannen: Der 72-Stunden-Countdown
Eine Datenpanne liegt vor, wenn personenbezogene Daten unbefugt offengelegt, verändert, gelöscht oder verloren werden. Typische Szenarien für Handelsvertreter:
- Laptop oder Smartphone wird gestohlen (mit Kundendaten darauf)
- E-Mail mit Kundendaten an den falschen Empfänger gesendet
- Unverschlüsselter USB-Stick mit Kundenliste geht verloren
- Cloud-Account wird gehackt
DSGVO Art. 33 - Meldepflicht
Was müssen Sie tun?
Panne dokumentieren
Was ist passiert, welche Daten sind betroffen, wie viele Personen? Sofort festhalten.Aufsichtsbehörde melden
Innerhalb von 72 Stunden nach Bekanntwerden, wenn ein Risiko für Betroffene besteht.Betroffene benachrichtigen
Unverzüglich, wenn ein hohes Risiko für die betroffenen Personen besteht.Auftraggeber informieren
Falls dessen Daten betroffen sind, gemäß AVV-Vereinbarung.Schaden begrenzen
Sofort Maßnahmen ergreifen: Passwörter ändern, Geräte sperren, Zugriffe widerrufen.
Bußgelder: Was wirklich droht
Die DSGVO sieht hohe Bußgeldrahmen vor. Was im Einzelfall droht, hängt von Art, Schwere, Dauer, Vorsatz, Schutzmaßnahmen und weiteren Umständen ab.
Für kleine Handelsvertretungen sind vor allem diese Risikofelder wichtig:
| Risikofeld | Warum es problematisch werden kann |
|---|---|
| Fehlende Übersicht | Sie wissen nicht, welche Daten Sie warum verarbeiten |
| Fehlende Information | Betroffene wissen nicht, was mit ihren Daten passiert |
| Datenpanne | Sie reagieren zu spät oder ohne klaren Ablauf |
| Betroffenenrechte | Auskunft, Löschung oder Berichtigung bleiben unbeantwortet |
Oft schlimmer als das Bußgeld
Datenschutz-Basischeck: die wichtigsten Punkte
Sie müssen kein Datenschutzexperte werden, um die größten Risiken zu erkennen. Diese pragmatische Checkliste ersetzt keine rechtliche Prüfung, bringt aber Ordnung in die wichtigsten Grundlagen:
Sofort umsetzen (10 Minuten)
- Bildschirmsperre auf Smartphone und Laptop aktivieren (max. 2 Minuten Timeout)
- Passwort-Check: Sichere, einzigartige Passwörter verwenden - ggf. Passwort-Manager installieren
- Zwei-Faktor-Authentifizierung für E-Mail und Cloud-Dienste aktivieren
- Geräte-Verschlüsselung prüfen (bei modernen Smartphones standardmäßig aktiviert, bei Laptops manuell einschalten)
Diese Woche erledigen (15 Minuten)
- Verarbeitungsverzeichnis erstellen (eine A4-Seite: Welche Daten verarbeite ich, warum, auf welcher Rechtsgrundlage, wie lange?)
- Datenschutzhinweis in die E-Mail-Signatur aufnehmen
- Prüfen, ob mit Ihren Auftraggebern ein AVV besteht (falls erforderlich)
Diesen Monat erledigen (5 Minuten)
- Notfallplan für Datenpannen erstellen (Wer wird informiert? Welche Behörde ist zuständig? Welche Fristen gelten?)
- Alte Daten bereinigen: Gibt es Kundendaten, die keinen Zweck mehr erfüllen?
- Software prüfen: Bietet Ihr aktuelles Tool die nötige Datensicherheit?
Häufige DSGVO-Fehler im Außendienst
Aus der Praxis: Diese Datenschutzprobleme tauchen im Außendienst besonders häufig auf.
- WhatsApp-Gruppen mit Kundennamen: WhatsApp überträgt Telefonbuch-Daten an Meta-Server - ein Datenschutzproblem, wenn Kundenkontakte im Adressbuch gespeichert sind.
- Fotos im Markt ohne Einwilligung: Wenn auf Regalfotos Personen erkennbar sind, brauchen Sie deren Einwilligung.
- CC statt BCC: Wenn Sie eine E-Mail an mehrere Kunden senden und alle Adressen im CC-Feld stehen, geben Sie die E-Mail-Adressen aller Empfänger an alle weiter.
- Kein Passwortschutz auf dem Diensthandy: Wenn Ihr Smartphone im Auto liegen bleibt und nicht gesperrt ist, haben Unbefugte sofort Zugriff auf alle Kundendaten.
- Alte Daten nie löschen: Kundendaten aus Vertragsverhältnissen, die seit Jahren beendet sind, ohne Rechtsgrundlage weiter zu speichern.
- Private und geschäftliche Daten vermischen: Geschäftskontakte im privaten Telefonbuch, ohne Trennung.
Der häufigste Fehler
Zusammenfassung
Die DSGVO ist kein bürokratisches Monster, das Ihnen die Arbeit unmöglich macht. Es ist ein Regelwerk, das Ihre Kunden und deren Daten schützt - und das letztlich auch Ihre eigene Professionalität und Vertrauenswürdigkeit stärkt.
Die wichtigsten Punkte im Überblick:
- Sobald Sie personenbezogene Daten verarbeiten, müssen Rolle, Rechtsgrundlage und Pflichten geprüft werden.
- Jede Datenverarbeitung braucht eine Rechtsgrundlage. Welche passt, hängt vom konkreten Vorgang ab.
- Erheben Sie nur Daten, die Sie tatsächlich brauchen, und halten Sie diese aktuell.
- Schützen Sie Daten mit angemessenen technischen Maßnahmen (Passwort, Verschlüsselung, Updates).
- Dokumentieren Sie Ihre Maßnahmen - die Rechenschaftspflicht erfordert Nachweise.
- Seien Sie auf Betroffenenanfragen und Datenpannen vorbereitet.
- Prüfen Sie, ob Sie mit Ihren Auftraggebern einen AVV benötigen.
Wie die richtige Software hilft
Viele der DSGVO-Anforderungen - Datenminimierung, Speicherbegrenzung, Integrität, Auskunftsrechte - lassen sich mit der richtigen Software deutlich einfacher umsetzen als mit manuellen Prozessen.
FieldProFlow wurde für den deutschen Außendienst entwickelt und unterstützt saubere Datenorganisation: auftraggeberbezogene Trennung, nutzerbezogene Datenbankzugriffe und strukturierte Exporte helfen im Alltag. Ob Ihr gesamtes Setup datenschutzrechtlich passt, hängt zusätzlich von Verträgen, Prozessen und Ihrer konkreten Nutzung ab.
FieldProFlow: Datenschutz sauberer organisieren
Auftraggeberbezogene Trennung, Row Level Security und strukturierte Exporte helfen, Daten sauberer zu verwalten. Die rechtliche Bewertung hängt vom konkreten Setup ab.
Mehr erfahrenWenn eine Auskunftsanfrage kommt, können Sie die relevanten Daten pro Auftraggeber sauber exportieren - als PDF-Besuchsbericht oder als CSV-Datei. Und wenn ein Vertragsverhältnis endet, lassen sich die zugehörigen Daten gezielt entfernen, ohne andere Auftraggeber- Daten zu berühren.
Testen Sie FieldProFlow kostenlos und sehen Sie selbst, wie Datenschutz und Produktivität im Außendienst zusammenpassen.