DSGVO-konforme Terminbuchung: Was Beratungsstellen beachten müssen

25. April 2026 · 6 Min. Lesezeit · Von Catarina Günther

Jedes Mal, wenn ein Mandant einen Termin bucht, werden personenbezogene Daten verarbeitet: Name, E-Mail, Telefonnummer, manchmal sogar steuerlich relevante Angaben. Für Lohnsteuerhilfevereine gelten dabei besonders strenge Anforderungen.

Welche Daten werden bei der Terminbuchung verarbeitet?

Vor- und Nachname
E-Mail-Adresse und/oder Telefonnummer
Gewünschter Termintyp (verrät Art der Beratung)
Bei Neumitgliedern: Angaben zur Befugnisprüfung (Einkunftsarten)
IP-Adresse und Zeitstempel (technisch bedingt)

Achtung: Bereits die Information, dass jemand einen Termin bei einem Lohnsteuerhilfeverein bucht, kann als steuerlich sensibles Datum gewertet werden. Die Verarbeitung erfordert besondere Sorgfalt.

Die 5 DSGVO-Pflichten bei der Terminbuchung

1. Rechtsgrundlage (Art. 6 DSGVO)

Die Verarbeitung stützt sich auf Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) – der Termin ist Teil der Mitgliedschaftsleistung. Für Neumitglieder greift Art. 6 Abs. 1 lit. a (Einwilligung), da noch kein Vertragsverhältnis besteht.

2. Informationspflicht (Art. 13 DSGVO)

Bei der Buchung muss der Mandant informiert werden über: Verantwortlichen, Zweck der Verarbeitung, Speicherdauer, Rechte (Auskunft, Löschung, Widerspruch). Dies geschieht idealerweise durch einen Datenschutzhinweis direkt im Buchungsformular.

3. Auftragsverarbeitung (Art. 28 DSGVO)

Wenn Sie ein externes Buchungssystem nutzen, verarbeitet der Anbieter Daten in Ihrem Auftrag. Sie benötigen einen Auftragsverarbeitungsvertrag (AVV). Ohne AVV ist die Nutzung rechtswidrig.

        Checkliste AVV: Gegenstand und Dauer der Verarbeitung, Art der Daten, Kategorien betroffener Personen, technische und organisatorische Maßnahmen (TOMs), Unterauftragnehmer, Löschkonzept.
      

4. Technische Maßnahmen (Art. 32 DSGVO)

Verschlüsselung: SSL/TLS für die Übertragung, Verschlüsselung at rest
Serverstandort: EU, idealerweise Deutschland
Zugriffskontrollen: Nur berechtigte Personen sehen Mandantendaten
Backup & Wiederherstellung: Regelmäßige Sicherungen
Löschkonzept: Automatische Löschung nach Zweckerfüllung

5. Einwilligung bei Erinnerungen (Art. 7 DSGVO)

Terminerinnerungen per E-Mail oder SMS sind keine reine Vertragserfüllung – sie erfordern eine separate Einwilligung. Diese muss freiwillig, informiert und widerrufbar sein.

Häufige Fehler in der Praxis

Kein AVV mit dem Buchungstool-Anbieter – häufigster Verstoß
US-Server ohne Angemessenheitsbeschluss – nach Schrems II problematisch
Fehlende Datenschutzerklärung im Buchungsformular
Keine Löschfristen definiert – Daten bleiben ewig gespeichert
Excel-Listen mit Mandantendaten auf privaten Geräten

So setzen Sie es richtig um

Ein DSGVO-konformes Buchungssystem sollte folgende Eigenschaften mitbringen:

Server in Deutschland
AVV als Standard-Bestandteil
Integrierte Datenschutzzustimmung bei jeder Buchung
Automatische Löschung abgelaufener Termine
Verschlüsselung aller Daten
Kein Tracking, keine Weitergabe an Dritte

Zeit Arena® ist DSGVO-konform by Design

Server in Deutschland, AVV inklusive, Datenschutzzustimmung bei jeder Buchung, keine Daten an Dritte.

Mehr erfahren