Recht · 8 Min. Lesezeit

DSGVO bei Solo-Selbstständigen: Was du wirklich beachten musst

Du bist kein Konzern mit 200 Mitarbeitern. Trotzdem gilt die DSGVO auch für dich. Hier die realistische Pflichtliste, mit der du in zwei Stunden auf der sicheren Seite bist.

ES

Emre Sakalli

Gründer von DemandHub

Disclaimer vorweg: ich bin kein Anwalt. Was du hier liest, ist meine persönliche Recherche und Praxis-Erfahrung. Im Zweifel frag einen externen Datenschutzbeauftragten oder Anwalt für IT-Recht. Aber für 90 % aller Solo-Selbstständigen gilt: die DSGVO ist machbar, wenn du strukturiert rangehst.

Die schlechte Nachricht: Solo-Selbstständige sind nicht von der DSGVO ausgenommen. Die gute Nachricht: die Hauptpflichten sind übersichtlich und einmal aufgesetzt selten zu pflegen.

Die drei Säulen, die du brauchst

Säule 1: Auftragsverarbeitungsverträge (AVV)

Nach Art. 28 DSGVO musst du mit jedem Dienstleister, der für dich Kundendaten verarbeitet, einen Auftragsverarbeitungsvertrag (AVV) abschließen. Das gilt schon, wenn der Dienstleister nur den Datenzugriff hätte. Konkret heißt das, du brauchst einen AVV mit:

  • deinem E-Mail-Provider (z.B. Google Workspace, Outlook 365)
  • deinem Cloud-Speicher (Dropbox, iCloud, Google Drive)
  • deiner Rechnungssoftware (DemandHub, sevDesk, Lexware Office)
  • deinem Website-Hoster (Strato, IONOS, Hetzner)
  • deinem Newsletter-Tool (Mailchimp, CleverReach)
  • jedem CRM, das Kundendaten speichert

Praktisch musst du den AVV nicht selbst schreiben. Jeder seriöse Anbieter stellt dir einen fertigen AVV zur Verfügung, oft per Klick im Account abrufbar oder als PDF in der Datenschutzerklärung verlinkt. Bei DemandHub findest du den AVV auf der Datenschutzseite. Du speicherst die unterzeichnete Version, das war's.

Warnung: Bußgeld bei fehlendem AVV

Aufsichtsbehörden können bei fehlendem AVV Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes verhängen. Für Solo-Selbstständige in der Realität deutlich weniger, aber 5-stellig ist drin. Das ist die häufigste Strafe, die ich in DSGVO-Verfahren gesehen habe.

Säule 2: Verzeichnis von Verarbeitungstätigkeiten (VVT)

Nach Art. 30 DSGVO musst du ein internes Verzeichnis führen, was du mit welchen personenbezogenen Daten machst. Die Ausnahme für „weniger als 250 Mitarbeiter" greift für Solo-Selbstständige fast nie, weil du Kundendaten nicht nur gelegentlich verarbeitest. Sobald du regelmäßig Kunden hast und Rechnungen schreibst, brauchst du ein VVT.

Das VVT ist eine simple Liste mit ungefähr diesen Spalten:

  • Verarbeitungstätigkeit (z.B. „Rechnungsstellung", „E-Mail-Korrespondenz")
  • Zweck (z.B. „Erfüllung Vertrag", „Buchhaltungspflicht")
  • Rechtsgrundlage (Art. 6 Abs. 1 DSGVO)
  • Datenkategorien (Name, Adresse, E-Mail, ggf. Bankdaten)
  • Betroffene Personen (Kunden, Lieferanten, Interessenten)
  • Empfänger (Steuerberater, Buchhaltungssoftware)
  • Speicherdauer (z.B. 10 Jahre bei Rechnungen)
  • Technisch-organisatorische Maßnahmen

Du findest fertige Excel-Vorlagen für 0 € auf den Webseiten der Landesdatenschutzbeauftragten. Einmal ausfüllen, fertig. Bei Änderungen aktualisieren (alle paar Monate prüfen).

Säule 3: Datenpannen-Meldung (Art. 33)

Wenn dir Daten abhandenkommen oder unbefugt zugänglich werden (gehackt, falsche Mail verschickt, USB-Stick verloren), hast du 72 Stunden Zeit, das deiner zuständigen Landesdatenschutzbehörde zu melden. Ausnahme: wenn kein Risiko für betroffene Personen besteht.

Was du brauchst: einen kurzen Notfall-Plan, in dem steht, wen du wann anrufst. Konkret: die Behörde deines Bundeslands (Liste auf bfdi.bund.de), per Online-Formular. Plus eine kurze Doku der Panne für dein VVT.

Was du nicht brauchst

Drei Dinge, die viele Selbstständige fälschlich für Pflicht halten:

  1. Externer Datenschutzbeauftragter: erst ab 20 Mitarbeitern, die regelmäßig Daten verarbeiten, oder bei besonderen Datenkategorien (Gesundheit, Religion). Solo-Selbstständige brauchen keinen.
  2. Datenschutz-Folgenabschätzung: nur bei Risiko-Verarbeitungen wie Tracking, Profiling, Gesundheitsdaten. Normales Rechnungsschreiben ist keine.
  3. Eigene Server in der EU: Cloud-Anbieter mit EU-Region und entsprechendem AVV sind okay. DemandHub nutzt zum Beispiel Supabase in der EU-Region.

Praxis-Plan: 2 Stunden zur DSGVO-Compliance

Hier ein realistischer Stundenplan, wie du in einem Nachmittag fertig bist:

  1. 20 Minuten: Liste aller Tools machen, die Kundendaten sehen. E-Mail, Cloud, CRM, Website, Newsletter, Rechnungstool.
  2. 40 Minuten: AVV bei jedem Anbieter abrufen, herunterladen, in einem Ordner „Datenschutz/AVV" sammeln. Wenn ein Anbieter keinen anbietet, wechseln.
  3. 40 Minuten: VVT mit Vorlage befüllen, eine Zeile pro Tätigkeit. Speichern.
  4. 10 Minuten: Notfall-Plan schreiben: „Bei Datenpanne anrufen: [Behörde Bundesland], Telefon X, E-Mail Y."
  5. 10 Minuten: Datenschutzerklärung auf deiner Website prüfen (mit eRecht24 oder eines anderen Generators erstellen, falls noch nicht vorhanden).

Wenn du eine ordentliche Rechnungssoftware nutzt, ist Schritt 2 für das wichtigste Tool schon erledigt. Mehr zu den Tools im CRM-Vergleich.

Take-away

DSGVO als Solo-Selbstständiger heißt: AVV mit jedem Cloud-Anbieter unterzeichnen und ablegen, ein Verzeichnis von Verarbeitungstätigkeiten anlegen, und eine kleine Notfall-Routine für Datenpannen haben. Mehr ist es nicht. In zwei Stunden bist du auf der sicheren Seite, und danach ist es eine Stunde im Quartal, in der du das VVT prüfst und neue AVVs nachträgst. Wer das nicht macht, riskiert vermeidbare Bußgelder. Wer es macht, kann nachts ruhiger schlafen.

Verwandte Artikel: Build-in-public Story über meine eigenen DSGVO-Lektionen.

DSGVO-konform, EU-Daten, AVV im Account

DemandHub speichert Daten in der EU (Supabase EU-Region, DPF-zertifiziert), bietet Row Level Security auf Datenbank-Ebene und stellt dir den AVV direkt im Account zur Verfügung.

Zur Preisseite