Coachseite.

Ratgeber · 7 Min. Lesezeit

DSGVO-konforme Klientenverwaltung im Coaching

Als Coach sammelst du mehr personenbezogene Daten, als dir im Alltag bewusst ist: Namen, E-Mail-Adressen, Telefonnummern, Termine, Notizen aus Sitzungen, Rechnungsdaten. Sobald du diese Daten speicherst — egal ob in einer Excel-Tabelle, im Mailpostfach oder in einer Software — bist du dafür verantwortlich. Die Datenschutz-Grundverordnung (DSGVO) gilt auch für Einzelunternehmer:innen und kleine Praxen, ohne Ausnahme.

Die gute Nachricht: DSGVO-Konformität ist keine Geheimwissenschaft. Wenn du fünf Bausteine sauber aufsetzt, bist du auf der sicheren Seite. Dieser Ratgeber geht sie der Reihe nach durch und zeigt, wo dir eine digitale Klientenakte die Arbeit abnimmt.

Baustein 1: Die richtige Rechtsgrundlage

Du darfst Klientendaten nicht einfach speichern, weil es praktisch ist — du brauchst eine Rechtsgrundlage nach Art. 6 DSGVO. Im Coaching sind drei davon relevant:

  • Vertragserfüllung (Art. 6 Abs. 1 lit. b): Für alles, was du brauchst, um den Coaching-Vertrag zu erfüllen — Termine vereinbaren, Sitzungen durchführen, abrechnen. Dafür brauchst du keine separate Einwilligung. Der Name und die Kontaktdaten deiner Klient:innen fallen hierunter.
  • Berechtigtes Interesse (Art. 6 Abs. 1 lit. f): Etwa für die Sicherheit deiner Systeme oder eine schlanke, datensparsame Reichweitenmessung deiner Website.
  • Einwilligung (Art. 6 Abs. 1 lit. a): Notwendig für alles, was über die reine Leistungserbringung hinausgeht — allen voran Newsletter und Marketing. Hier brauchst du eine aktive, dokumentierte Zustimmung, idealerweise per Double-Opt-in.

Ein häufiger Fehler ist die Einwilligungs-Checkbox an der falschen Stelle. Für ein Kontakt- oder Buchungsformular brauchst du keine Pflicht-Checkbox — die Verarbeitung stützt sich auf den (anbahnenden) Vertrag. Ein klarer Datenschutzhinweis mit Link zur Datenschutzerklärung am Absende-Button reicht. Eine echte Einwilligungs-Checkbox gehört nur dorthin, wo es um Newsletter oder Marketing geht.

Ein Sonderfall: Gesundheitsdaten

Sobald du mit Gesundheits-, Diagnose- oder Therapiedaten arbeitest, gelten die strengeren Regeln für besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO. Klassisches Business-, Karriere- oder Persönlichkeitscoaching fällt in der Regel nicht darunter — Heilkunde und Psychotherapie hingegen schon. Wenn dein Angebot in diesen Bereich reicht, brauchst du zusätzliche Schutzmaßnahmen und solltest gezielt prüfen, ob deine Werkzeuge dafür überhaupt vorgesehen sind. Allgemeine Coaching-Software ist es in der Regel nicht — auch Coachseite ist ausdrücklich für Coaching, Beratung und Training gedacht und nicht für Therapie, Heilkunde oder die Verarbeitung von Gesundheitsdaten nach Art. 9 DSGVO.

Baustein 2: Der Auftragsverarbeitungsvertrag (AVV)

Sobald du einen externen Dienstleister einsetzt, der in deinem Auftrag Klientendaten verarbeitet — also praktisch jedes Tool, jede Cloud, jeden Mailanbieter — brauchst du mit ihm einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Ohne AVV ist die Datenweitergabe an den Dienstleister formal rechtswidrig, selbst wenn der Anbieter technisch sauber arbeitet.

Worauf du beim AVV achten solltest:

  • Er muss vor der ersten Datenverarbeitung vorliegen, nicht irgendwann später.
  • Er sollte die Verarbeitungszwecke, technisch-organisatorischen Maßnahmen (TOM) und etwaige Unterauftragsverarbeiter benennen.
  • Du bleibst der Verantwortliche, der Anbieter ist nur Auftragsverarbeiter. Diese Rollenverteilung solltest du verstehen, denn die Pflicht zur Auskunft und Löschung gegenüber deinen Klient:innen liegt bei dir.

In der Praxis ist der AVV oft die größte Hürde, weil er hinterhergeschickt, ausgedruckt und unterschrieben werden muss. Moderne Software löst das per Klick: Bei Coachseite schließt du den AVV nach Art. 28 direkt im Konto ab — mit eingefrorenem Vertragstext, damit du jederzeit nachweisen kannst, welche Fassung zu welchem Zeitpunkt galt.

Baustein 3: Hosting in Deutschland bzw. der EU

Wo deine Klientendaten physisch gespeichert werden, ist datenschutzrechtlich entscheidend. Bei Anbietern mit Servern in den USA oder unter Kontrolle US-amerikanischer Konzerne stellt sich immer die Frage des Drittlandtransfers — ein Thema, das durch wechselnde Rechtsprechung dauerhaft unsicher bleibt.

Du machst dir das Leben deutlich leichter, wenn du auf Anbieter setzt, die ausschließlich in Deutschland oder der EU hosten. Dann entfällt die gesamte Drittland-Problematik. Frag im Zweifel konkret nach:

  • In welchem Land stehen die Server?
  • Wer ist Betreiber des Rechenzentrums?
  • Gibt es Unterauftragsverarbeiter außerhalb der EU?

Coachseite ist eine Coaching- und Terminsoftware aus Deutschland und hostet ausschließlich in Deutschland — Klientendaten verlassen die deutsche Infrastruktur nicht. Das Gleiche gilt für die integrierten Video-Calls, die selbst gehostet auf EU-Servern laufen und nicht aufgezeichnet werden.

Baustein 4: Das Löschkonzept

Die DSGVO verlangt Datensparsamkeit und Speicherbegrenzung: Du darfst Daten nur so lange aufbewahren, wie du sie für den jeweiligen Zweck brauchst — oder solange gesetzliche Aufbewahrungsfristen es verlangen (etwa zehn Jahre für Rechnungen nach Steuerrecht). Danach müssen sie weg.

Ein praxistaugliches Löschkonzept beantwortet drei Fragen:

  • Welche Datenarten speicherst du (Kontaktdaten, Sitzungsnotizen, Rechnungen, Newsletter-Anmeldungen)?
  • Wie lange brauchst du jede Art — und welche gesetzliche Frist greift?
  • Wer löscht wann — manuell oder automatisiert?

Dazu kommt das Auskunfts- und Löschrecht deiner Klient:innen: Fragt jemand seine Daten an oder fordert die Löschung, musst du das zeitnah umsetzen können. Das gelingt nur, wenn alle Daten einer Person an einem Ort liegen und nicht über fünf Tools, drei Postfächer und einen Aktenordner verstreut sind. Genau hier zeigt sich der Wert einer zentralen Klientenakte: Export und Löschung werden zu einer Aktion statt zu einer Suchaktion.

Baustein 5: Verschlüsselung und Zugriffsschutz

Verschlüsselung ist eine der wichtigsten technisch-organisatorischen Maßnahmen. Relevant sind zwei Ebenen:

  • Transportverschlüsselung (in transit): HTTPS für jede Verbindung, damit Daten unterwegs nicht mitgelesen werden können. Das ist heute Standard, aber prüfbar.
  • Verschlüsselung im Ruhezustand (at rest): Daten und Backups, die verschlüsselt auf dem Server liegen — damit sie selbst bei einem unbefugten Zugriff auf die Festplatte nicht im Klartext stehen.

Dazu gehören saubere Zugriffsrechte (nur du und ausdrücklich Berechtigte sehen die Daten), starke Authentifizierung und regelmäßige, verschlüsselte Backups. Frag deinen Anbieter, ob diese Maßnahmen umgesetzt sind und ob sie in den technisch-organisatorischen Maßnahmen des AVV dokumentiert werden.

Wie eine digitale Klientenakte das zusammenführt

Die fünf Bausteine sind kein theoretisches Pflichtprogramm — sie werden vor allem dann mühsam, wenn deine Daten in Werkzeugen liegen, die nie für Datenschutz im Coaching gedacht waren. Eine Tabelle kennt keine Löschfrist, ein Mailpostfach keinen AVV, eine ausländische Cloud kein deutsches Hosting.

Eine digitale Klientenakte bündelt Kontaktdaten, Termine, Notizen und Dokumente einer Person an einem Ort — DSGVO-konform aufgesetzt. Damit erfüllst du Auskunfts- und Löschpflichten an einer einzigen Stelle, statt durch verstreute Systeme zu suchen.

Coachseite ist als Komplettlösung dafür gebaut: eigene Website mit Baukasten, eigener Domain und White-Label, Online-Buchung, Klientenakte, selbst gehostete Video-Calls, Veranstaltungen mit Anmeldung, Online-Kurse mit Video, Quiz und Zertifikaten, Newsletter mit Double-Opt-in, Blog, Bewertungen und eine cookielose Besucherstatistik — alles mit Hosting in Deutschland und AVV nach Art. 28 per Klick. Wichtig zu wissen: Coachseite ist kein Zahlungsdienstleister. Deine Klient:innen können online buchen, eine Bezahlung läuft aber nicht über die Plattform — die Abrechnung machst du selbst über deine eigene Rechnung.

Wenn du wissen möchtest, wie sich deine Klientenverwaltung sauber und DSGVO-konform aufstellen lässt, schauen wir uns das gern gemeinsam an. Coachseite ist auf Einladung zugänglich — es gibt keine Selbstregistrierung; frag einfach ein unverbindliches Kennenlerngespräch an. Anschließend kannst du 14 Tage kostenlos und ohne Zahlungsdaten testen, ob es zu deiner Arbeitsweise passt.

Passende Funktionen

Klientenverwaltung Daten-Tresor DSGVO & Hosting in Deutschland

Für deine Zielgruppe

Paar- und Familienberatung Supervisor:innen

Weiterlesen

Coaching-Website selbst erstellen: Schritt-für-Schritt-Anleitung

Lesen →

Online-Buchung für Coaches: So richtest du sie richtig ein

Lesen →

Online-Kurse verkaufen als Coach: Der Praxis-Leitfaden

Lesen →

Der erste Schritt

Klingt nach deinem Setup? Lern uns kennen.

Unverbindliches Kennenlernen, danach 14 Tage kostenlos testen — ohne Zahlungsdaten. Das persönliche Onboarding ist in der Startphase inklusive.

Marius Noah
Du sprichst direkt mit Marius & Noah
Gespräch anfragen Preise ansehen
  • 14 Tage kostenlos
  • keine Zahlungsdaten nötig
  • Hosting in Deutschland
  • DSGVO-konform