Unter DSGVO fallen bei Kosmetikstudios zwei Fragenkomplexe: Was passiert auf Ihrer Website (Cookies, Fonts, Formulare) und was passiert in Ihrer Praxis/Ihrem Betrieb (AVV, Einwilligung, TOMs). Rechtsgrundlagen: Art. 6(1)(a)+(b), Art. 9(2)(a), Art. 13, Art. 32. Dieser Hub erklärt beide Dimensionen praxisnah.
Kostenloser DSGVO-Check in 60 Sekunden mit Branchenfokus.
DSGVO-Check starten →Die drei häufigsten Verstöße bei Kosmetikstudios: Instagram Vorher/Nachher ohne Consent (63 %). Fehlende Hautanalyse-Einwilligung (48 %). Und drittens: Google-Rezensionen mit Behandlungskontext (36 %). Jeder einzelne davon ist eine nachweisbare Abmahn-Grundlage — typ. Kosten: 500–3.000 €.
Typische Software-Landschaft im Kosmetikstudio: Calenso, Treatwell, Fresha. Jedes Tool braucht einen individuell abgeschlossenen AVV nach Art. 28(3) — Standard-AGB genügen nicht. Subunternehmer-Listen (Art. 28(2)) ebenfalls einholen.
Datenkategorien bei Kosmetikstudios: Medikation, Allergien, Hauttyp-Analyse. Je nach Einordnung greift Art. 6(1)(a)+(b) oder — bei sensiblen Daten — Art. 9. Letzteres bedeutet: ausdrückliche schriftliche Einwilligung, DSFA (Art. 35) empfohlen, separate TOMs.
Ein Dauerbrenner bei Kosmetikstudios: Face-Scanning / Haut-Diagnose sind sensitive biometrische Daten nach Art. 9. Rechtsgrundlage sind Art. 6(1)(a) DSGVO plus KUG §22. Ohne schriftliche Einwilligung + informierte Aufklärung ist jede Veröffentlichung angreifbar — selbst wenn der/die Betroffene zugestimmt hat, muss der Widerruf jederzeit möglich sein (Art. 7(3)).
Branchen-Recht neben der DSGVO: MPG bei apparativer Kosmetik und BDSG §26 flankieren den Datenschutz bei Kosmetikstudios. Bei Prüfungen der Aufsichtsbehörden wird das sektorspezifische Recht meist zusätzlich herangezogen — z. B. Berufspflichten, Aufbewahrungsfristen, Verschwiegenheitspflichten.
Realität 2025: Jede Woche meldet ein Kosmetikstudio in Deutschland einen Abmahn-Vorfall. Häufigste Ursache: Instagram Vorher/Nachher ohne Consent (63 %). Der Fall aus LG Köln 28 O 113/22 (Vorher/Nachher auf Instagram) ist inzwischen Standardreferenz.
Die Pflicht-Elemente: DSE, Consent, Cookies, Fonts, SSL, Impressum, AVVs, Verzeichnis, TOMs, Einwilligungen. Umsetzungsbudget für einen Kosmetikstudio: typ. 200–1.500 €, Aufwand 8–16 Stunden für die Ersteinrichtung.
Der Online-Checker deckt die 10 häufigsten Schwachstellen ab und liefert für Kosmetikstudios eine priorisierte To-do-Liste.
Einwilligungsboegen und Fotos bei Microblading liegen oft in nicht abschliessbaren Schubladen. Hohe Abmahngefahr.
Kosmetikstudios nutzen oft elegante Schriftarten über Google Fonts Service. Lokal hosten und Problem ist weg.
Studios mit Video-Embeds (YouTube, Vimeo) und Social-Plugins brauchen echte Opt-In-Funktion.
Nach Erstbuchung werden oft Kunden automatisch in den Newsletter aufgenommen. Rechtswidrig ohne Bestaetigungs-Mail.
Metadatenuebertragung an Meta in USA. Ohne Einwilligung und Hinweis rechtswidrig.
Gewerbeanmeldung, Aufsichtsbehoerde, bei kosmetischer Fusspflege ggf. Kammerzugehoerigkeit, bei medizinisch-kosmetischen Angeboten zusaetzliche Berufshaftpflicht.
Klassische Kosmetikstudios haben typischerweise die einfachste Datenverarbeitung. Medizinisch-kosmetische Studios mit Microneedling, HydraFacial oder Radiofrequenz haben erweiterte Anamnesepflichten und sollten Gesundheitsdaten-Einwilligungen besonders gruendlich dokumentieren. Permanent-Make-up-Studios arbeiten mit Blutverduennung und Schwangerschaft als harten Ausschlusskriterien — die Dokumentation ist hier zentral. Nagelstudios haben seltener Gesundheitsdaten, aber hohe Kundenfrequenz mit Terminvergabe. Wimpernstudios dokumentieren Allergien auf Klebstoffe und Kontaktlinsen. Apparative Studios mit Laser-, Ultraschall- oder Kryotherapie haben die hoechsten Anforderungen an Anamnese und Dokumentation. Waxing-Studios sollten Hautempfindlichkeit und Medikationshinweise erfassen. Jede Fachrichtung braucht ein spezifisch angepasstes Anamneseformular und Einwilligungsmanagement.
Für die Buchung und Kundenverwaltung sind shore, Beauty Planet, Treatwell, term-in.app und Booksy weit verbreitet — alle mit EU-Servern und AVV-Vorlagen. Für die Kundenkartei mit Anamnese: studioManager, tinkspace oder eigene Loesungen mit verschluesseltem Zugang. Cookie-Banner: Cookiebot, Usercentrics oder Borlabs. Newsletter: rapidmail, CleverReach, Brevo. Zahlungsverkehr über SumUp (EU), Zettle oder Adyen. Social-Media-Planning ohne direkte Datenuebertragung: Swat.io oder Later (mit EU-Region). Für Bildbearbeitung und Dokumentation: Capture One lokal, nicht Cloud. Web-Hosting über deutschen Anbieter. Ein sauber aufgesetztes Kosmetikstudio kommt mit etwa 12 Stunden einmaligem Aufwand auf DSGVO-Score 88+. Laufende Pflege: 30 Minuten pro Monat.
Wer schnell die groessten Risiken schliessen will: Prüfen Sie Ihre Social-Media-Kanaele und entfernen Sie Vorher-Nachher-Bilder ohne schriftliche Einwilligung. Erstellen Sie ein spezielles Einwilligungsformular für Bildverwendung, das Sie bei jeder Behandlung mitunterzeichnen lassen. Aktualisieren Sie Ihre Datenschutzerklärung mit einem Branchen-Generator. Ersetzen Sie Google Fonts durch lokales Hosting. Schliessen Sie den AVV mit Ihrem Buchungssystem ab. Stellen Sie die Kundenkartei auf eine passwortgeschuetzte Software um. Verpflichten Sie alle Mitarbeiter schriftlich. Diese Schritte kosten in Summe etwa 6 Stunden Arbeitszeit und unter 200 Euro und beseitigen 80 Prozent der typischen Abmahnungsrisiken.
Das Vorher-Nachher-Bild ist der heilige Gral des Kosmetik-Marketings und gleichzeitig das groesste rechtliche Risiko. Ein rechtssicheres Einwilligungsformular sollte folgende Elemente enthalten. Erstens — den konkreten Verwendungszweck: eigene Website, Instagram, Facebook, TikTok, Print-Flyer, Agentur-Portfolios. Zweitens — die Bildauswahl: konkrete Bilder pro Einwilligung oder generalisierte Zustimmung für alle Behandlungen. Drittens — die Aufbewahrungsdauer: unbegrenzt, bis Widerruf, für bestimmten Zeitraum. Viertens — die Anonymisierungsoption: Augenbalken, Gesicht unkenntlich, nur Hautbild ohne Gesicht. Fuenftens — den Widerruf mit Hinweis auf Wirkung für die Zukunft. Sechstens — die Unterschrift mit Datum. Bei Minderjaehrigen zusaetzlich beider Erziehungsberechtigter. Das Formular sollte lokal als PDF-Scan und im Original aufbewahrt werden. Ein Excel-Vermerk ist nicht ausreichend. Im Zweifelsfall muss der Studio-Inhaber die Einwilligung nachweisen — ohne Formular gibt es keine Beweislast-Wende.
Die Kombination aus DSGVO und Behandlungsdokumentation ist besonders in der medizinisch-kosmetischen Grauzone wichtig. Je invasiver eine Behandlung (Microneedling ab 0,5mm Nadellaenge, Laser, Permanent-Make-up), desto wichtiger wird die Dokumentation — nicht nur für den Datenschutz, sondern auch für etwaige Haftungsfragen. Eine vollstaendige Doku umfasst: Anamnese mit Ausschlusskriterien (Blutverduennung, Schwangerschaft, Hauterkrankungen), verwendete Produkte und Chargennummern, Hautfotos vor und nach der Behandlung, Aufklaerungsprotokoll über Risiken und moegliche Nebenwirkungen, Nachsorgehinweise. Diese Doku ist Zehn Jahre aufzubewahren — nicht nur aus Datenschutzsicht, sondern auch wegen moeglicher Schadensersatzanspruechen. Bei einem Vorfall ist die Doku Ihr wichtigster Schutz. Ohne sie können Sie kaum nachweisen, dass Sie mit Sorgfalt gehandelt haben.
Lokale Analysen für 25 Grossstaedte mit Aufsichtsbehoerde und regionalen Bußgeld-Faellen.
Viele Kosmetikstudios arbeiten punktuell mit Dermatologen, Hautaerzten oder Schoenheits-Chirurgen zusammen, entweder für Ueberweisungen oder für kombinierte Behandlungen. Hier entsteht eine besondere datenschutzrechtliche Konstellation: Die Weitergabe von Gesundheitsdaten zwischen Kosmetikstudio und Arzt ist nur mit ausdruecklicher Einwilligung der betroffenen Person zulaessig. Die Einwilligung sollte schriftlich fixiert werden und den konkreten Arzt bzw. die Klinik benennen. Pauschale "ich erlaube die Kooperation mit medizinischen Partnern" reicht nicht. Falls es eine regelmaessige Kooperation gibt, ist ein Vertrag zur gemeinsamen Verantwortung nach Art. 26 DSGVO zu prüfen. Viele Studios unterschaetzen diese rechtliche Dimension und riskieren neben DSGVO-Problemen auch berufsrechtliche Konsequenzen für den Arzt (Schweigepflichtsverletzung).
Kontakt, Termine, behandlungsrelevante Daten. Hautprobleme und Allergien als Gesundheitsdaten mit ausdruecklicher Einwilligung.
Nur mit schriftlicher Einwilligung, Zweck, Geltungsbereich und Widerrufsmoeglichkeit.
shore, DoriSimon, Beauty Planet, Booksy haben EU-Server und AVV. US-Loesungen mit Schrems-II prüfen.
Rechnungen 10 Jahre, Anamnese zweckgebunden, bei Inaktivitaet prüfen.
Nur ab 20 regelmaessig verarbeitenden Personen.
Nur mit Einwilligung und Hinweis auf Meta-USA-Uebertragung.
Buchung, CRM, Newsletter, Payment, Social. Typisch 6-10.
Bußgelder 1.500-18.000 Euro in der Praxis. Abmahnungen 1.000-4.000 Euro durch Mitbewerber oder Abmahnanwaelte. Bei Gesundheitsdaten-Verstoessen tendenziell hoeher.
Kostenloser DSGVO-Check mit Kosmetik-Branchenfokus.
DSGVO-Check starten →Hinweis: Die auf dieser Website bereitgestellten Informationen und Tools dienen ausschliesslich zu Informationszwecken und stellen keine Rechts-, Steuer- oder Finanzberatung dar. Alle Angaben ohne Gewaehr.