Warum die DSGVO im Spa so wichtig ist
Spas speichern Daten, die besonderen Schutz brauchen. Allergien, Hautkrankheiten oder Schwangerschaft. Das sind Daten zur Gesundheit. Und die DSGVO ist da sehr streng. Genau hier wird es ernst.
Solche Daten gehören zu einer strengen Klasse. Man darf sie nicht einfach nutzen. Es gibt nur wenige Gründe, die das erlauben. Im Spa ist es meist die klare Zustimmung des Gastes. Mehr braucht es nicht.
Doch viele Betriebe wissen das nicht. Ein Bogen auf Papier, der im Ordner liegt. Ein klares Risiko. Fehlende Löschfristen und unklare Rechte machen es schlimmer. Leider ist das oft der Fall.
Die Strafen sind hart. Art. 83 der DSGVO sieht bis zu 20 Millionen Euro vor. Oder 4 % vom Umsatz im Jahr. Auch kleine Summen im fünfstelligen Bereich sind bei solchen Daten möglich. Das trifft auch kleine Betriebe.
Aber es geht nicht nur um Geld. Schutz schafft Vertrauen. Gäste teilen private Daten. Sie wollen, dass man gut damit umgeht. Wer das zeigt, bindet Gäste langfristig. Das hilft dem Geschäft.
Die Behörden prüfen mehr. Allein 2025 gab es in Deutschland über 1.200 Strafen wegen Fehlern beim Schutz von Daten. Der Bereich Gesundheit wird oft geprüft. Wer früh handelt, ist sicher. Und hat einen Vorteil am Markt. Ganz klar.
Die 6 wichtigsten DSGVO-Pflichten
1. Die Rechts-Basis klären
Jede Nutzung von Daten braucht einen Grund. Für Buchungen reicht der Vertrag: Name, E-Mail, Telefon. Der Termin ist ja ein Vertrag. So weit, so gut.
Für Daten zur Gesundheit brauchen Sie mehr. Sie brauchen die klare Zustimmung des Gastes. Diese muss frei, klar und für den genauen Zweck gegeben sein. Ein kurzer Satz auf dem Formular reicht nicht. Der Zweck muss klar benannt sein.
Trennen Sie die Zustimmung zur Behandlung von der Zustimmung zur Nutzung der Daten. Das sind zwei getrennte Akte. Beide müssen Sie einzeln und prüfbar festhalten. So ist es sicher.
2. Den Anamnesebogen richtig machen
Der Bogen ist das heikelste Dokument im Spa. Er enthält Daten zur Gesundheit. Digital ist hier besser als Papier. Das ist klar.
Fragen Sie nur, was Sie für die Behandlung brauchen. Nicht den ganzen Status der Gesundheit, wenn nur eine Massage gebucht ist. Weniger Daten ist besser. Das gilt hier besonders streng.
Speichern Sie Daten aus dem Bogen getrennt von den normalen Daten des Gastes. Nur wer den Gast auch behandelt, darf sie sehen. Ein klares Rollen-System für den Zugriff ist hier ein Muss. Genau richtig.
3. Fristen für die Löschung festlegen
Daten dürfen nicht für immer bleiben. Doch welche Fristen gelten im Spa? Das hängt von der Art der Daten ab. Hier ein Überblick.
Daten aus Buchungen müssen laut HGB 10 Jahre bleiben. Daten aus dem Bogen dagegen nur so lange, wie die Behandlung es braucht. Nach dem letzten Besuch raten Experten zu maximal drei Jahren. Das ist die Faustregel.
Daten aus dem Marketing (wie Newsletter) bleiben, solange die Zustimmung gilt. Nach einem Widerruf müssen Sie sie sofort löschen. Machen Sie eine Tabelle mit allen Fristen. Prüfen Sie diese alle drei Monate. So bleiben Sie sicher.
4. Rechte der Gäste sichern
Ihre Gäste haben viele Rechte. Auskunft, Korrektur, Löschung und mehr. Auf jedes müssen Sie in einem Monat reagieren. Das ist Pflicht.
Das klingt nach viel Arbeit. Und das ist es auch, wenn Daten in Excel, Akten und vielen Tools verteilt sind. Eine volle Auskunft wird dann schwer. Moderne Spa-Software bündelt alle Daten an einem Ort. Per Klick. Das spart viel Zeit.
Besonders wichtig: das Recht auf Löschung. Gäste können fordern, dass alle Daten weg sind. Alle Kopien, Backups und Links. Können Sie das belegen? Ein System, das das von allein macht, ist Gold wert. Genau so.
5. Verträge mit Partnern schließen
Nutzen Sie Dienste, die Zugang zu Daten haben? Dann brauchen Sie einen AVV. Ein Vertrag über die Nutzung der Daten. Das gilt für Ihre Software, Ihr Mail-Tool und Ihren Cloud-Speicher. Für alle.
Der AVV regelt, was der Partner mit den Daten tun darf. Er muss Schutz nachweisen. Er darf die Daten nicht für sich nutzen. Und er muss Sie bei Problemen sofort informieren. So sind die Regeln.
Prüfen Sie alle Verträge. Fehlende AVVs sind einer der häufigsten Fehler. Gute Anbieter stellen den AVV von sich aus bereit. Ein gutes Zeichen.
Bei Anbietern im Ausland wird es komplexer. Wenn Ihr Cloud-Dienst Daten außerhalb der EU speichert, brauchen Sie extra Schutz. Achten Sie bei der Wahl Ihrer Software auf Hosting in der EU. Am besten in Deutschland. Das ist am sichersten.
6. Technik und Abläufe festhalten
Art. 32 der DSGVO verlangt, dass Sie Ihre Schutz-Maßnahmen festhalten. Das umfasst Technik und auch Abläufe im Team. Beides ist wichtig.
Technik meint: Schutz, Zugangs-Kontrolle, Firewalls und Backups. Im Team meint es: Schulungen, klare Rollen und Notfallpläne. Beides gehört zusammen. Technik allein reicht nicht. Ohne geschultes Team bringt das beste System nichts. So ist das.
Für Spas besonders wichtig: Wer hat Zugang zum System? Sind die Passwörter stark? Gibt es zwei Faktoren beim Login? Wird der Bildschirm am Empfang gesperrt, wenn keiner da ist? All das gehört in Ihre Unterlagen. Ganz klar.
DSGVO-Checkliste für Ihr Spa
Prüfen Sie diese zehn Punkte. Jeder offene Punkt ist ein Risiko. Los geht es.
- Liste aller Abläufe: Haben Sie eine Liste aller Abläufe, bei denen Sie Daten nutzen? Die ist Pflicht.
- Klare Zustimmung: Holen Sie für Daten zur Gesundheit eine eigene, klare Zustimmung ein?
- Bogen: Fragen Sie nur, was für die Behandlung nötig ist? Nicht mehr.
- Info zum Schutz: Ist Ihre Info zum Schutz aktuell und deckt sie alles ab?
- Löschplan: Gibt es einen Plan mit Fristen für jede Art von Daten?
- AVV-Verträge: Haben alle Partner mit Zugang zu Daten einen AVV?
- Zugangs-Schutz: Sehen nur die richtigen Leute die Daten der Gäste?
- Schulung: Wird Ihr Team regelmäßig geschult? Das ist Pflicht.
- Notfall-Plan: Gibt es einen Ablauf für Probleme mit Daten, der in 72 Stunden greift?
- Anfragen: Können Sie Anfragen der Gäste in einem Monat voll klären?
Sind mehr als drei Punkte offen? Dann ist es Zeit zu handeln. Fangen Sie mit Punkt 1, 2 und 5 an. Das ist die Basis. Ganz klar.
Tipp: Gehen Sie die Liste mit dem Team durch. Jeder sollte die Regeln kennen. Schulungen müssen nicht lang sein. Oft reicht ein kurzer Workshop pro Quartal. Das hält das Wissen frisch. Ganz einfach.
Die digitale Umstellung des Spas macht vieles leichter. Was vorher von Hand lief, läuft nun von allein. Fehler werden seltener. Das hilft.
Häufige Fehler im Alltag
Selbst gute Absichten gehen oft schief. Diese Fehler sehen wir immer wieder. Ganz typisch.
Ein Häkchen für alles: Daten, Newsletter, Weitergabe: alles in einem. Das ist unwirksam. Jeder Zweck braucht seine eigene Zustimmung. So ist die Regel.
Offene Ordner am Empfang: Der Bogen liegt offen im Regal. Jeder kann ihn lesen. Das darf nicht sein. Daten zur Gesundheit müssen geschützt sein. Immer.
Keine Löschung bei Abgang: Wenn jemand das Team verlässt, müssen die Zugänge sofort weg sein. Auch lokal gespeicherte Daten und Passwörter. Das wird oft vergessen.
Kein Verzeichnis: Viele denken, das sei nur für große Firmen. Falsch. Wer regelmäßig Daten zur Gesundheit nutzt, braucht ein Verzeichnis. Immer. Keine Ausnahme.
Alte Info zum Datenschutz: Cookie-Banner: ja. Aber die Info wurde zuletzt 2019 geprüft? Das reicht nicht. Sie muss alle Abläufe zeigen. Prüfen Sie sie alle sechs Monate. Pflicht.
Daten auf privaten Geräten: Kontakte auf dem privaten Handy. Fotos vom Bogen. Chat mit Gästen über WhatsApp. Das sind klare Verstöße. Klare Regeln und Technik sind hier ein Muss. Genau so.
Keine Folgenprüfung: Bei regelmäßiger Nutzung von Daten zur Gesundheit kann eine DSFA nötig sein. Sprechen Sie mit Ihrem Berater. Im Zweifel: lieber machen als lassen. Das ist der sichere Weg.
Wie Spa-Software beim Schutz hilft
DSGVO per Hand ist möglich. Aber aufwändig und fehleranfällig. Moderne Software macht vieles von allein. Das spart Zeit und senkt Risiken. Ganz klar.
Hotel Pilot bietet unter anderem: Löschfristen, die von allein laufen. Rollen und Rechte, die genau passen. Starker Schutz für alle Daten. Und ein Verzeichnis zum Export.
Der digitale Bogen zeigt nur Felder, die für die Behandlung nötig sind. Die Zustimmung wird digital mit Zeitstempel festgehalten. Bei einer Lösch-Anfrage findet das System alle Daten von allein. Über alle Module. Das geht schnell. So einfach.
Besonders wertvoll ist die Log-Funktion. Jede Änderung wird festgehalten: wer, wann, was. Bei einer Prüfung zeigen Sie alles lückenlos. Das geht mit Papier nicht. Punkt.
Auch die Gäste-Verwaltung hilft. Gäste können über ein Portal ihre Daten sehen, ändern oder die Löschung bitten. Das macht die Arbeit leichter. Das hilft wirklich.
Für Hotels, die KI nutzen, gibt es Extras. Tipps und Vorschläge der KI müssen klar benannt sein. Hotel Pilot sorgt dafür, dass alles im Verzeichnis steht. Und dass Gäste Bescheid wissen. So läuft es.
Das ersetzt keinen Berater. Aber es senkt den Aufwand stark. Fehler werden seltener. Schutz wird vom Kraftakt zum Alltag. Genau so soll es sein.
Sie wollen Ihr Spa DSGVO-sicher machen? Buchen Sie eine gratis Demo und sehen Sie, wie Hotel Pilot Schutz und Spa-Arbeit vereint. In 30 Minuten.