DSGVO für Bestatter: Welche Daten dürfen wie gespeichert werden?
Die DSGVO gilt für Angehörigendaten, nicht für Daten Verstorbener — aber was bedeutet das konkret für den Bestattungsbetrieb? Dieser Leitfaden erklärt Pflichten, Auftragsverarbeitung und die häufigsten Fehler.
1. DSGVO und Verstorbene: Was gilt, was nicht
Kernregel (Erwägungsgrund 27 DSGVO): Die DSGVO schützt ausschließlich lebende natürliche Personen. Daten Verstorbener — Name, Sterbedatum, Todesursache — fallen grundsätzlich nicht unter die DSGVO.
Das klingt einfach, ist es aber nicht: In der Praxis verarbeiten Bestatter neben den Daten des Verstorbenen vor allem Daten der Angehörigen und Auftraggeber — und diese sind lebende Personen mit vollem DSGVO-Schutz.
Zusätzlich können landesrechtliche Regelungen und der postmortale Persönlichkeitsschutz (zivilrechtlich) auch nach dem Tod Schutzrechte begründen — insbesondere bei der Weitergabe von Sterbedaten an Dritte.
2. Angehörigendaten: Volle DSGVO-Pflicht
Sobald ein Bestatter die Kontaktdaten der Auftraggeber, Erben oder zahlenden Angehörigen erfasst, verarbeitet er personenbezogene Daten im Sinne der DSGVO. Für diese Daten gelten alle Pflichten:
- Informationspflicht nach Art. 13 DSGVO (Datenschutzhinweis beim Erstgespräch)
- Rechtsgrundlage benennen (Art. 6 Abs. 1 — meist lit. b für Vertragserfüllung)
- Datenlöschfristen einhalten (handelsrechtlich 10 Jahre für Rechnungen)
- Betroffenenrechte erfüllen (Auskunft, Berichtigung, Löschung auf Antrag)
- Technische und organisatorische Maßnahmen (TOM) implementieren
3. Auftragsverarbeitung nach Art. 28 DSGVO
Sobald ein Bestatter eine Cloud-Software einsetzt, die Kundendaten verarbeitet, liegt eine Auftragsverarbeitung vor. Der Bestatter ist Verantwortlicher, der Software-Anbieter ist Auftragsverarbeiter — und es muss zwingend ein AV-Vertrag nach Art. 28 DSGVO abgeschlossen werden.
Mindestinhalt des AV-Vertrags:
- Gegenstand, Dauer und Zweck der Verarbeitung
- Art der personenbezogenen Daten und Kategorien betroffener Personen
- Pflicht zur Vertraulichkeit aller Mitarbeiter des Auftragsverarbeiters
- Technische und organisatorische Sicherheitsmaßnahmen (Art. 32 DSGVO)
- Liste der eingesetzten Unterauftragnehmer (Subunternehmer)
- Recht des Verantwortlichen auf Auditierung
- Löschung oder Rückgabe der Daten nach Vertragsende
Achtung: Ein fehlender AV-Vertrag ist ein eigenständiger DSGVO-Verstoß — unabhängig davon, ob tatsächlich Datenpannen aufgetreten sind. Bußgelder bis 10 Mio. € oder 2 % des weltweiten Jahresumsatzes sind möglich (Art. 83 Abs. 4 DSGVO).
4. Datenlöschfristen im Bestattungswesen
| Datenkategorie | Aufbewahrungsfrist | Rechtsgrundlage |
|---|---|---|
| Rechnungen, Buchungsbelege | 10 Jahre | § 257 HGB, § 147 AO |
| Handelskorrespondenz | 6 Jahre | § 257 HGB |
| Angebote (angenommen) | 6 Jahre | § 257 HGB |
| Angebote (abgelehnt) | 3 Jahre (Verjährung) | § 195 BGB |
| Personalunterlagen | 10 Jahre nach Austritt | Sozialversicherungsrecht |
| Übrige Kundendaten | Nach Zweckerfüllung | Art. 5 Abs. 1 lit. e DSGVO |
5. Die 5 häufigsten DSGVO-Fehler im Bestattungsbetrieb
Kein AV-Vertrag mit dem Software-Anbieter
Besonders häufig bei Cloud-Anwendungen oder E-Mail-Diensten. Eigenständiger Verstoß, unabhängig von konkreten Datenpannen.
Fehlende Datenschutzhinweise im Erstgespräch
Angehörige müssen beim ersten Kontakt über die Datenverarbeitung informiert werden (Art. 13 DSGVO). Ein kurzer schriftlicher Hinweis genügt.
Unbegrenzte Datenspeicherung ohne Löschkonzept
Kundendaten aus den 1990er Jahren noch in der Software — ohne Prüfung, ob eine Rechtsgrundlage noch besteht.
Weitergabe von Sterbedaten an Dritte ohne Rechtsgrundlage
Informationen über Todesfälle an Zeitungen, Gedenkbuch-Anbieter oder andere Dienstleister ohne Einwilligung der Angehörigen.
Kein Verarbeitungsverzeichnis (Art. 30 DSGVO)
Jedes Unternehmen, das personenbezogene Daten verarbeitet, muss ein Verzeichnis aller Verarbeitungstätigkeiten führen.
6. DSGVO-Compliance-Checkliste für Bestatter
- AV-Vertrag mit Software-Anbieter abgeschlossen
- Datenschutzhinweis für Angehörige erstellt und im Erstgespräch ausgehändigt
- Verarbeitungsverzeichnis nach Art. 30 DSGVO geführt
- Löschkonzept mit Fristen je Datenkategorie vorhanden
- Technische und organisatorische Maßnahmen (TOM) dokumentiert
- Mitarbeiter auf Vertraulichkeit verpflichtet
- Datenschutzbeauftragter benannt (falls erforderlich)
- Meldeverfahren bei Datenpannen (Art. 33 DSGVO) bekannt und geübt
7. Wie PietätPilot DSGVO-Compliance technisch umsetzt
PietätPilot schließt automatisch einen AV-Vertrag nach Art. 28 DSGVO ab — Hosting ausschließlich in Deutschland, SSL-Verschlüsselung Ende-zu-Ende, konfigurierbare Datenlöschfristen.
- AV-Vertrag nach Art. 28 DSGVO automatisch inklusive
- Hosting ausschließlich in deutschen Rechenzentren
- SSL-Verschlüsselung aller Daten
- Konfigurierbare Datenlöschfristen je Datenkategorie
- Verarbeitungsverzeichnis-Export auf Anfrage
Häufige Fragen
Gilt die DSGVO auch für Daten von Verstorbenen?
Nein. Gemäß Erwägungsgrund 27 der DSGVO schützt die Verordnung ausschließlich lebende natürliche Personen. Daten Verstorbener fallen nicht unter die DSGVO — können aber durch landesrechtliche Regelungen oder postmortalen Persönlichkeitsschutz geschützt sein.
Was muss ein AV-Vertrag nach Art. 28 DSGVO mit einem Software-Anbieter enthalten?
Mindestinhalt nach Art. 28 Abs. 3 DSGVO: Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, Art der personenbezogenen Daten, Kategorien betroffener Personen, Pflichten und Rechte des Verantwortlichen sowie Unterauftragnehmerliste.
Wie lange dürfen Bestatter Kundendaten aufbewahren?
Rechnungsunterlagen und buchhalterisch relevante Unterlagen: 10 Jahre (§ 257 HGB, § 147 AO). Allgemeine Korrespondenz: 6 Jahre. Personenbezogene Daten ohne gesetzliche Aufbewahrungspflicht: Löschung nach Zweckerfüllung, spätestens nach 3 Jahren.
Muss ein Bestatter einen Datenschutzbeauftragten benennen?
Ja, wenn dauerhaft mindestens 20 Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (§ 38 BDSG). Für kleine Bestattungsbetriebe mit wenigen Mitarbeitern gilt diese Pflicht häufig nicht — ein externer DSB ist aber empfehlenswert.
Verwandte Themen