Warum viele Handwerker der Cloud misstrauen (und ob sie recht haben)
Laut einer Bitkom-Studie von 2025 haben 96 % der Handwerksbetriebe Bedenken bei der Datensicherheit digitaler Werkzeuge. 81 % finden, dass digitale Lösungen für ihren Betrieb überdimensioniert sind. Die erste Zahl zeigt ein echtes Problem. Die zweite zeigt, dass viele Betriebe das Vertrauen verloren haben. Nicht in Technik generell, sondern in Anbieter, die nicht erklären, was mit den Daten passiert.
Das Misstrauen ist berechtigt. Viele Handwerker-Apps übertragen Daten an Cloud-Server von Amazon (AWS), Google oder Microsoft, oft in den USA oder mit US-Tochterfirmen als Unterauftragsverarbeiter. Was das für die DSGVO bedeutet, bleibt meistens unklar. Und wer fragt schon nach einem Auftragsverarbeitungsvertrag, wenn er abends um acht noch schnell ein Angebot rausschicken will?
Du musst kein Datenschutz-Experte sein, um die richtigen Fragen zu stellen. Es reicht, wenn du weißt, welche Fragen das sind.
96 % der Handwerker haben Bedenken bei der Datensicherheit von Cloud-Werkzeugen (Bitkom 2025). Das kommt nicht aus Unwissen, sondern aus Erfahrung.
Wenn du dich fragst, warum Bürokratie im Handwerk so oft als Digitalisierungsbremse genannt wird: Datenschutz-Unsicherheit ist einer der Hauptgründe. Betriebe wollen nicht ins Risiko gehen. Verständlich.
DSGVO-Checkliste: 7 Fragen an jeden Software-Anbieter
Bevor du ein neues Werkzeug einführst, stell diese sieben Fragen. Jeder seriöse Anbieter beantwortet sie offen. Wer ausweicht, hat etwas zu verbergen.
- Wo stehen die Server? Deutschland oder EU ist Pflicht. USA ist problematisch, auch wenn der Anbieter „EU-Datenschutz" verspricht.
- Gibt es einen Auftragsverarbeitungsvertrag (AV-Vertrag)? Ohne AV-Vertrag ist die Nutzung einer Cloud-Software für Kundendaten nicht DSGVO-konform. Punkt.
- Welche Verschlüsselung wird eingesetzt? Mindeststandard: TLS 1.2 für die Übertragung, AES-256 für gespeicherte Daten.
- Was passiert mit Sprachaufnahmen? Werden sie in die Cloud übertragen? An welchen Dienst? Werden sie gespeichert oder nach der Verarbeitung gelöscht?
- Was passiert mit meinen Daten, wenn ich kündige? Du musst deine Daten exportieren können. Und es muss klar geregelt sein, wann der Anbieter löscht.
- Wer hat Zugriff auf meine Daten? Nur du? Auch Support-Mitarbeiter? Auch Unterauftragsverarbeiter in Drittländern?
- Gibt es ein Löschkonzept? Die DSGVO verlangt, dass personenbezogene Daten gelöscht werden, wenn der Zweck entfällt. Ohne Löschkonzept verstößt der Anbieter gegen geltendes Recht.
Speichere diese Checkliste ab und schick sie an jeden Anbieter, den du in Betracht ziehst. Die Antworten sagen mehr als jede Werbeseite.
Wo stehen die Server? Datenschutz-Vergleich der wichtigsten Handwerker-Apps
Die meisten Handwerker-Apps werben mit „Datenschutz" und „DSGVO". Die Details unterscheiden sich aber erheblich. Besonders bei Sprachdaten gibt es große Unterschiede: Manche Apps übertragen jedes gesprochene Wort in die Cloud. Andere verarbeiten Sprache direkt auf dem Gerät, ohne dass Audio jemals dein Handy verlässt.
| App | Serverstandort | Sprachdaten | Preis |
|---|---|---|---|
| VoiceDok | Frankfurt + Schweden (EU) EU | On-Device (bleibt auf dem Gerät) Lokal | ab €14,99/Mo (Gründerpreis) |
| Plancraft | Cloud EU EU | Cloud-Verarbeitung | €74,90/Mo |
| HERO | Deutschland (TÜV-geprüft) DE | Cloud-Verarbeitung | ab €49/Mo |
| ToolTime | Cloud Deutschland DE | Cloud-Verarbeitung | €89/Mo |
| Das Programm | Cloud Deutschland DE | Cloud-Verarbeitung | k.A. |
Was auffällt: Beim Serverstandort sind die meisten Anbieter inzwischen in der EU oder Deutschland — das ist gut. Aber bei der Frage, was mit Sprachdaten passiert, steht VoiceDok allein. Bei allen anderen Anbietern wird Audio zur Verarbeitung in die Cloud geschickt. Bei VoiceDok bleibt die Sprache auf deinem Gerät.
Die vergessene Frage: Was passiert mit deinen Sprachdaten?
Wenn du ein Angebot per Sprache diktierst, ist das etwas anderes als eine Textdatei hochzuladen. Eine Sprachaufnahme enthält persönliche Merkmale: Stimmklang, Sprechweise, Hintergrundgeräusche. Und sie enthält Kundendaten: Namen, Adressen, Auftragsdetails. Beides zusammen macht Sprachdaten zu einem sensiblen Thema unter der DSGVO.
Die meisten Apps mit Sprachfunktion senden dein Audio an einen Cloud-Dienst, häufig Google Speech, Amazon Transcribe oder Microsoft Azure Speech. Der Dienst wandelt die Sprache in Text um und schickt das Ergebnis zurück. Das funktioniert. Aber es bedeutet: Deine Stimme wird übertragen, verarbeitet, und du weißt nicht immer, ob und wie lange sie gespeichert wird.
VoiceDok geht einen anderen Weg. Die Spracherkennung läuft vollständig auf deinem Gerät — On-Device. Dein Audio verlässt nie dein Handy. Nur der fertige Text wird an EU-Server übermittelt, um das Dokument zu erstellen. VoiceDok erkennt Hochdeutsch und gängige Fachbegriffe aus dem Handwerk.
Frag bei jeder App mit Diktierfunktion: Wird mein Audio in die Cloud übertragen? Wenn ja, an welchen Dienst, in welchem Land, und wie lange wird es gespeichert? Ohne klare Antwort: Finger weg.
Wie das in der Praxis aussieht, zeigen die Artikel zu Angeboten per Sprache und Zeiterfassung per Sprache.
On-Device vs. Cloud-Verarbeitung: Was ist sicherer für Handwerker?
Zwei Wege, gleiche Ausgangslage:
Cloud-Verarbeitung: Du sprichst ins Handy. Das Audio geht übers Internet an einen Server, oft bei Google, Amazon oder Microsoft, teilweise in den USA. Dort wird es in Text umgewandelt und das Ergebnis kommt zurück. Das Audio wurde übertragen, und du musst darauf vertrauen, dass der Anbieter es danach löscht.
On-Device-Verarbeitung: Du sprichst ins Handy. Die Erkennung läuft direkt auf dem Gerät. Kein Audio verlässt dein Handy. Der Text entsteht lokal. Erst der fertige Text geht verschlüsselt an EU-Server, um dein Dokument zu erzeugen.
Nebenbei: On-Device hat noch einen praktischen Vorteil. Auf der Baustelle, wo das Netz oft schlecht ist, funktioniert die Erkennung trotzdem. Dein Handy erledigt die Arbeit allein.
On-Device bedeutet: Auch bei schlechtem Empfang auf der Baustelle funktioniert die Spracherkennung. Kein Warten auf Cloud-Antworten, der Text steht sofort.
Auftragsverarbeitung, Löschkonzept, Backup: Die wichtigsten DSGVO-Pflichten
Sobald du Cloud-Werkzeuge für Kundendaten nutzt, gelten DSGVO-Pflichten, auch für Zwei-Mann-Betriebe. Die drei wichtigsten:
1. Auftragsverarbeitungsvertrag (AV-Vertrag)
Wenn ein externer Dienst Daten deiner Kunden verarbeitet (und das tut jede Cloud-Software), brauchst du einen AV-Vertrag nach Art. 28 DSGVO. Der Vertrag regelt, was der Anbieter mit den Daten tun darf und welche Sicherheitsmaßnahmen er treffen muss. Ohne AV-Vertrag riskierst du ein Bußgeld. VoiceDok stellt einen AV-Vertrag bereit (Datenschutz-Seite).
2. Verarbeitungsverzeichnis
Du musst dokumentieren, welche personenbezogenen Daten du verarbeitest, warum, und mit welchen Werkzeugen. Das klingt aufwändig, ist für einen kleinen Betrieb aber in einer halben Stunde erledigt. Im Kern: eine Tabelle mit den Spalten „Welche Daten?", „Warum?", „Welches Werkzeug?", „Wie lange gespeichert?".
3. Technisch-organisatorische Maßnahmen (TOMs)
TOMs beschreiben, wie du Daten schützt: Passwortschutz, Verschlüsselung, Zugriffsbeschränkung, Backup. Als Handwerker reicht es oft, wenn dein Werkzeug das abdeckt. Prüfe, ob dein Anbieter TOMs dokumentiert hat. Bei einer Betriebsprüfung wirst du danach gefragt.
Bei einer Betriebsprüfung musst du den AV-Vertrag, dein Verarbeitungsverzeichnis und die TOMs vorlegen können. Das gilt auch für Zwei-Mann-Betriebe. Wer das nicht hat, riskiert Bußgelder.
Übrigens: Auch bei der E-Rechnung spielt Datenschutz eine Rolle. Rechnungen mit Kundendaten müssen GoBD-konform und DSGVO-konform archiviert werden. Die Anforderungen überschneiden sich stärker, als viele denken.
Häufige Fragen
Datenschutz bei Handwerker-Software: die häufigsten Fragen.
Das hängt vom Anbieter ab. Entscheidend sind drei Dinge: Serverstandort (idealerweise Deutschland oder EU), ein gültiger Auftragsverarbeitungsvertrag (AV-Vertrag nach Art. 28 DSGVO), und aktuelle Verschlüsselungsstandards (TLS 1.2+, AES-256).
Achte besonders darauf, dass keine Daten in die USA übertragen werden, auch nicht über Unterauftragsverarbeiter. Viele Anbieter nutzen US-Dienste im Hintergrund, ohne das offensichtlich zu machen.
Idealerweise in Deutschland oder der EU. Damit fallen deine Daten unter die DSGVO und das europäische Datenschutzrecht — ohne Umwege über US-Gesetze wie den CLOUD Act.
VoiceDok nutzt Server in Frankfurt (Datenbank) und Schweden (Dokumenterstellung) — beides innerhalb der EU. Kein US-Anbieter, kein Datentransfer in Drittländer.
Bei den meisten Apps wird das Audio in die Cloud übertragen — an Dienste wie Google Speech, Amazon Transcribe oder Microsoft Azure Speech. Dort wird es in Text umgewandelt. Ob und wie lange das Audio gespeichert wird, ist nicht immer klar.
Bei VoiceDok bleibt die Sprache auf dem Gerät — On-Device Spracherkennung, keine Cloud-Übertragung. Nur der fertige Text wird verschlüsselt an EU-Server geschickt, um das Dokument zu erstellen.
Drei Dokumente sind entscheidend:
- Auftragsverarbeitungsvertrag (AV-Vertrag) mit jedem Softwareanbieter, der Kundendaten verarbeitet.
- Verarbeitungsverzeichnis — eine Übersicht, welche Daten du warum und mit welchen Werkzeugen verarbeitest.
- Technisch-organisatorische Maßnahmen (TOMs) — wie du Daten schützt: Verschlüsselung, Zugriffsrechte, Backup-Strategie.
Das gilt für jeden Betrieb, unabhängig von der Größe. Auch Ein-Mann-Betriebe sind nicht ausgenommen.
Komplett ohne Cloud ist bei den meisten modernen Werkzeugen nicht möglich — irgendwo müssen Dokumente gespeichert und synchronisiert werden. Aber der entscheidende Unterschied liegt darin, was in die Cloud geht.
VoiceDok verarbeitet Sprache vollständig auf dem Gerät. Nur die fertigen Dokumente werden auf EU-Servern gespeichert — verschlüsselt und DSGVO-konform. Deine Stimme verlässt nie dein Handy.