Zurück zum Blog
Steuern & Recht

DSGVO für Freiberufler 2026: Datenschutz-Pflichten, Website & Bußgelder vermeiden

19. Februar 202615 Min.

DSGVO für Freiberufler: Warum das Thema so wichtig ist

Die Datenschutz-Grundverordnung (DSGVO) gilt seit Mai 2018 — und betrifft jeden Freiberufler in Deutschland. Egal ob Webdesigner, Texter, Berater oder Coach: Sobald du personenbezogene Daten verarbeitest (und das tust du — spätestens bei der Rechnungsstellung), musst du die DSGVO einhalten.

Das Thema wird oft als lästige Bürokratie abgetan. Die Realität: Abmahnungen und Bußgelder treffen auch Solo-Selbständige. Und die Abmahnwelle ist real: Rechtsanwälte verschicken regelmäßig kostenpflichtige Abmahnungen wegen fehlerhafter Datenschutzerklärungen, fehlender Cookie-Banner oder unerlaubter Einbindung von Google Fonts.

In diesem Artikel zeigen wir dir alle DSGVO-Pflichten, die du als Freiberufler kennen musst — praxisnah, verständlich und mit einer interaktiven Checkliste zum Abhaken.

Was dich in diesem Artikel erwartet

  • Welche DSGVO-Pflichten für Freiberufler gelten
  • Wie du deine Website rechtssicher gestaltest
  • Was ein AV-Vertrag ist und warum du ihn brauchst
  • Wie du Rechnungs- und Kundendaten DSGVO-konform speicherst
  • Welche Dokumentationspflichten bestehen
  • Was bei Verstößen droht

DSGVO-Grundlagen: Was Freiberufler wissen müssen

Was sind personenbezogene Daten?

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. Als Freiberufler verarbeitest du diese permanent:

  • Kundendaten: Name, Adresse, E-Mail, Telefonnummer
  • Rechnungsdaten: Leistungsbeschreibung, Zahlungsinformationen, Steuernummer
  • Projektdaten: Arbeitszeiten, Kommunikationsverläufe, Briefings
  • Website-Daten: IP-Adressen, Cookies, Kontaktformular-Eingaben
  • Newsletter: E-Mail-Adressen, Anmeldezeitpunkt, Einwilligung

Die sechs DSGVO-Grundsätze

Die DSGVO basiert auf sechs Grundsätzen (Art. 5 DSGVO), die du als Freiberufler verinnerlichen solltest:

1. Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz

Du brauchst immer eine Rechtsgrundlage für die Datenverarbeitung — und musst die Betroffenen darüber informieren.

2. Zweckbindung

Daten dürfen nur für den Zweck verarbeitet werden, für den sie erhoben wurden. Kundendaten aus einer Rechnung darfst du nicht einfach für einen Newsletter verwenden.

3. Datenminimierung

Erhebe nur die Daten, die du tatsächlich brauchst. Kein "nice to have" — nur "need to have".

4. Richtigkeit

Daten müssen aktuell und korrekt sein. Veraltete Daten müssen korrigiert oder gelöscht werden.

5. Speicherbegrenzung

Daten dürfen nur so lange gespeichert werden, wie der Zweck es erfordert — oder eine gesetzliche Aufbewahrungspflicht besteht.

6. Integrität und Vertraulichkeit

Du musst angemessene technische und organisatorische Maßnahmen zum Schutz der Daten treffen.

Rechtsgrundlagen für die Datenverarbeitung

Als Freiberufler stützt du dich typischerweise auf drei Rechtsgrundlagen:

RechtsgrundlageAnwendungsfallBeispiel
Art. 6 Abs. 1 lit. b (Vertragserfüllung)Daten zur AuftragsabwicklungKundenadresse für Rechnung
Art. 6 Abs. 1 lit. c (rechtliche Verpflichtung)Gesetzliche AufbewahrungspflichtenRechnungen 10 Jahre aufbewahren
Art. 6 Abs. 1 lit. f (berechtigtes Interesse)Geschäftliche KommunikationAntwort auf Anfrage
Art. 6 Abs. 1 lit. a (Einwilligung)Freiwillige DatenverarbeitungNewsletter-Anmeldung

Deine DSGVO-Checkliste als Freiberufler

Bevor wir in die Details gehen — hier unsere interaktive Checkliste. Hake ab, was du bereits umgesetzt hast:

✅ DSGVO-Checkliste für Freiberufler

Prüfe, ob du die wichtigsten DSGVO-Anforderungen erfüllst. Klicke auf jeden Punkt, den du bereits umgesetzt hast.

Fortschritt0/15 (0%)

Website

Verträge

Dokumentation

Kundenkontakt

Website & Online-Auftritt DSGVO-konform gestalten

1. Impressum — Pflicht nach §5 TMG

Das Impressum ist technisch kein DSGVO-Thema, sondern folgt aus dem Telemediengesetz (TMG). Aber es gehört zur rechtssicheren Website dazu. Pflichtangaben für Freiberufler:

  • Vollständiger Name (Vor- und Nachname)
  • Anschrift (Straße, Hausnummer, PLZ, Ort) — kein Postfach!
  • E-Mail-Adresse
  • Telefonnummer (empfohlen)
  • Berufsbezeichnung und Staat, in dem sie verliehen wurde
  • Zuständige Kammer (falls Kammerberuf)
  • Umsatzsteuer-ID (falls vorhanden)

Häufiger Fehler: Das Impressum muss von jeder Unterseite mit maximal zwei Klicks erreichbar sein. Ein Impressum nur auf der Startseite reicht nicht.

2. Datenschutzerklärung — Das Herzstück

Die Datenschutzerklärung muss vollständig, verständlich und aktuell sein. Sie muss informieren über:

  • Wer verarbeitet die Daten (Verantwortlicher)
  • Welche Daten werden erhoben
  • Zu welchem Zweck
  • Auf welcher Rechtsgrundlage
  • Wie lange werden Daten gespeichert
  • Welche Rechte haben Betroffene
  • Ob Daten an Dritte weitergegeben werden

Tipp: Nutze einen DSE-Generator wie den von eRecht24, Datenschutz-Generator.de oder RA Dr. Schwenke. Eine generische Vorlage reicht nicht — die Erklärung muss zu deiner tatsächlichen Datenverarbeitung passen.

Was muss alles in der Datenschutzerklärung stehen?

Gehe Punkt für Punkt durch, welche Dienste du nutzt:

  • Hosting: Wo liegt deine Website? (z.B. Vercel, Hetzner, IONOS)
  • Kontaktformular: Welche Daten werden erhoben? Wo gespeichert?
  • Analytics: Google Analytics, Matomo, PostHog, Plausible?
  • Newsletter: Mailchimp, Brevo, CleverReach?
  • Social Media: Eingebettete Posts, Share-Buttons, Pixel?
  • Schriftarten: Google Fonts lokal oder extern eingebunden?
  • CDN: Cloudflare, Bunny, Vercel Edge?
  • Maps: Google Maps, OpenStreetMap eingebettet?
  • Videos: YouTube, Vimeo eingebettet?
  • Zahlungsanbieter: Stripe, PayPal?

3. Cookie-Consent-Banner — Opt-in ist Pflicht

Seit dem TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz, seit Dezember 2021) und der DSGVO gilt: Tracking-Cookies nur mit ausdrücklicher Einwilligung.

Was bedeutet das konkret?

  • Technisch notwendige Cookies (Session, Warenkorb): Kein Consent nötig
  • Analyse-Cookies (Google Analytics, PostHog): Opt-in erforderlich
  • Marketing-Cookies (Facebook Pixel, Retargeting): Opt-in erforderlich

Anforderungen an den Cookie-Banner:

  • Gleichwertige Buttons für "Akzeptieren" und "Ablehnen" (nicht versteckt!)
  • Keine vorausgewählten Checkboxen
  • Kein Cookie-Wall ("Cookies akzeptieren oder Seite verlassen" ist unzulässig)
  • Möglichkeit, die Einwilligung jederzeit zu widerrufen
  • Dokumentation der Einwilligungen (Nachweispflicht)

Empfehlung für Freiberufler: Cookiebot, Borlabs Cookie oder — besonders datenschutzfreundlich — eine selbst gehostete Lösung wie Klaro. Oder noch besser: Verwende ein datenschutzfreundliches Analysetool wie Plausible oder Fathom, das keine Cookies setzt.

4. Google Fonts lokal einbinden

Die Einbindung von Google Fonts über die Google-Server ist eines der häufigsten Abmahnrisiken. Bei jedem Seitenaufruf wird die IP-Adresse des Besuchers an Google in die USA übertragen — ohne Einwilligung ein DSGVO-Verstoß.

Lösung: Lade die Fonts herunter und binde sie lokal ein. Bei Next.js (wie time2invoice es nutzt) geht das besonders einfach mit next/font.

5. Kontaktformular absichern

Jedes Kontaktformular muss:

  • Einen Datenschutzhinweis enthalten (Link zur Datenschutzerklärung)
  • Nur die notwendigsten Felder haben (Name + E-Mail reichen oft)
  • Die Daten verschlüsselt übertragen (HTTPS)
  • Die Eingaben nur so lange speichern, wie nötig

Auftragsverarbeitung: AV-Verträge richtig abschließen

Was ist ein AV-Vertrag?

Ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO ist nötig, wenn ein Dienstleister in deinem Auftrag personenbezogene Daten verarbeitet. Als Freiberufler brauchst du AV-Verträge mit:

  • Hosting-Anbieter (Vercel, Hetzner, Strato etc.)
  • E-Mail-Provider (Gmail for Business, Postmark, Resend)
  • Cloud-Speicher (Google Drive, Dropbox, iCloud)
  • Buchhaltungssoftware (time2invoice, sevDesk, lexoffice)
  • Newsletter-Tool (Mailchimp, Brevo)
  • CRM/Projektmanagement (Notion, Asana, Trello)
  • Video-Konferenz (Zoom, Google Meet, Teams)

Wie bekommst du einen AV-Vertrag?

Die meisten professionellen Anbieter haben einen Standard-AV-Vertrag (auch DPA — Data Processing Agreement), den du in deren Datenschutz-Einstellungen oder AGBs findest. Oft reicht ein Klick zur Aktivierung.

Checklist für den AV-Vertrag:

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten
  • Kategorien betroffener Personen
  • Rechte und Pflichten des Verantwortlichen
  • Technisch-organisatorische Maßnahmen (TOMs)
  • Regelung zur Unterauftragsverarbeitung

AV-Vertrag bei US-Diensten

Seit dem EU-US Data Privacy Framework (Juli 2023) ist der Datentransfer in die USA wieder einfacher — vorausgesetzt, der US-Anbieter ist zertifiziert. Prüfe dies auf der Data Privacy Framework-Website.

Kundendaten und Rechnungen DSGVO-konform verwalten

Welche Kundendaten darfst du speichern?

Du darfst alle Daten speichern, die für die Vertragserfüllung (Auftragsabwicklung) oder eine gesetzliche Pflicht (Rechnungsstellung, Buchführung) notwendig sind:

  • Name und Adresse (Pflichtangabe auf Rechnungen nach §14 UStG)
  • Steuernummer / USt-IdNr. des Kunden
  • Kontaktdaten für die Kommunikation
  • Leistungsbeschreibung und Arbeitszeiten
  • Zahlungsinformationen

Aufbewahrungsfristen beachten

Die DSGVO sagt: Löschen, sobald der Zweck entfällt. Aber steuerrechtliche Aufbewahrungspflichten gehen vor:

DokumententypAufbewahrungsfrist
Rechnungen (ausgestellt und empfangen)10 Jahre
Buchungsbelege10 Jahre
Geschäftsbriefe (empfangen/gesendet)6 Jahre
Verträge (nach Vertragsende)6 Jahre
Angebote (nicht angenommen)Löschen nach 6 Monaten

Mehr dazu in unserem Artikel über Aufbewahrungspflichten für Freiberufler.

Löschkonzept erstellen

Erstelle ein einfaches Löschkonzept, das festhält:

  • Welche Datenkategorien existieren
  • Welche Aufbewahrungsfristen gelten
  • Wann und wie gelöscht wird
  • Wer verantwortlich ist

Dokumentationspflichten: VVT und TOMs

Verzeichnis von Verarbeitungstätigkeiten (VVT)

Nach Art. 30 DSGVO musst du ein Verzeichnis aller Verarbeitungstätigkeiten führen. Ja, auch als Ein-Personen-Unternehmen. Die Ausnahme für Unternehmen mit weniger als 250 Mitarbeitern greift nicht, wenn du regelmäßig personenbezogene Daten verarbeitest — und das tust du als Freiberufler bei jeder Rechnung.

Dein VVT muss enthalten:

  • Name und Kontaktdaten des Verantwortlichen
  • Zwecke der Verarbeitung
  • Kategorien betroffener Personen und Daten
  • Empfänger der Daten
  • Drittlandtransfers
  • Löschfristen
  • Technisch-organisatorische Maßnahmen

Praxis-Tipp: Ein einfaches Spreadsheet reicht. Du brauchst keine teure Software dafür. Beschreibe deine 5-10 wichtigsten Verarbeitungstätigkeiten (z.B. "Rechnungsstellung", "Website-Betrieb", "E-Mail-Kommunikation", "Projektmanagement").

Technisch-organisatorische Maßnahmen (TOMs)

TOMs sind die konkreten Schutzmaßnahmen für personenbezogene Daten. Als Freiberufler solltest du mindestens dokumentieren:

Technische Maßnahmen:

  • Verschlüsselung (HTTPS, E-Mail-Verschlüsselung)
  • Passwortschutz und Passwort-Manager
  • Regelmäßige Backups
  • Aktuelle Software und Betriebssysteme
  • Virenschutz / Firewall
  • Festplattenverschlüsselung (FileVault, BitLocker)

Organisatorische Maßnahmen:

  • Zugangsregelung (wer hat Zugriff auf welche Daten?)
  • Vertraulichkeit (Clean-Desk-Policy, Bildschirmsperre)
  • Schulung (du selbst — Datenschutz-Awareness)
  • Notfallplan bei Datenpannen

Betroffenenrechte: Was du als Freiberufler beachten musst

Die DSGVO gibt betroffenen Personen umfangreiche Rechte. Du musst in der Lage sein, diese innerhalb von einem Monat zu erfüllen:

Auskunftsrecht (Art. 15)

Jeder kann von dir Auskunft verlangen, ob und welche Daten du über ihn gespeichert hast. Du musst eine vollständige Kopie aller Daten bereitstellen — kostenfrei.

Recht auf Berichtigung (Art. 16)

Falsche Daten müssen unverzüglich korrigiert werden.

Recht auf Löschung (Art. 17)

Das berühmte "Recht auf Vergessenwerden". Du musst Daten löschen, wenn:

  • Der Zweck entfallen ist
  • Die Einwilligung widerrufen wurde
  • Die Verarbeitung unrechtmäßig war

Aber: Gesetzliche Aufbewahrungspflichten gehen vor! Rechnungsdaten kannst du nicht vor Ablauf der 10 Jahre löschen.

Recht auf Datenübertragbarkeit (Art. 20)

Betroffene können ihre Daten in einem maschinenlesbaren Format (z.B. CSV, JSON) anfordern.

Widerspruchsrecht (Art. 21)

Gegen Verarbeitung auf Basis von "berechtigtem Interesse" kann jederzeit Widerspruch eingelegt werden.

Was passiert bei DSGVO-Verstößen?

Bußgelder

Die DSGVO sieht Bußgelder von bis zu 20 Millionen Euro oder 4% des Jahresumsatzes vor. In der Praxis fallen Bußgelder für Freiberufler und Kleinunternehmer deutlich geringer aus — aber sie existieren:

  • Fehlende Datenschutzerklärung: 500 - 10.000 Euro
  • Fehlender AV-Vertrag: 1.000 - 5.000 Euro
  • Google Fonts extern eingebunden: 100 - 150 Euro pro Besucher (Abmahnung)
  • Fehlender Cookie-Consent: 500 - 5.000 Euro
  • Datenpanne nicht gemeldet: 1.000 - 10.000 Euro

Abmahnungen

Neben Bußgeldern durch die Datenschutzbehörden gibt es wettbewerbsrechtliche Abmahnungen durch Anwälte oder Mitbewerber. Typische Kosten: 800 - 3.000 Euro pro Abmahnung (Anwaltskosten + Unterlassungserklärung).

Datenpannen melden (Art. 33 & 34)

Wenn personenbezogene Daten verloren gehen, gestohlen oder unbefugt offengelegt werden, musst du:

  1. Die Datenschutzbehörde innerhalb von 72 Stunden informieren
  2. Bei hohem Risiko auch die betroffenen Personen informieren
  3. Den Vorfall dokumentieren

Beispiele für Datenpannen:

  • Laptop mit Kundendaten gestohlen
  • Versehentlich Kundenliste per CC statt BCC verschickt
  • Cloud-Speicher ohne Passwortschutz öffentlich zugänglich

DSGVO und Rechnungssoftware

Worauf du bei der Tool-Wahl achten solltest

Deine Rechnungssoftware verarbeitet sensible Kundendaten. Achte bei der Auswahl auf:

  • Serverstandort: EU/Deutschland bevorzugen
  • AV-Vertrag: Muss vorhanden und abschließbar sein
  • Verschlüsselung: Daten in Transit und at Rest
  • Zugriffsrechte: Wer hat Zugriff auf die Daten?
  • Löschfunktion: Können Daten nach Ablauf der Aufbewahrungsfrist gelöscht werden?
  • Export: Datenübertragbarkeit für Betroffenenanfragen

time2invoice erfüllt alle diese Anforderungen: Hosting in Deutschland, AV-Vertrag inklusive, Ende-zu-Ende-Verschlüsselung und granulare Zugriffskontrollen. Mehr dazu in unserem Rechnungsprogramm-Guide.

GoBD und DSGVO — kein Widerspruch

Die GoBD (Grundsätze ordnungsmäßiger Buchführung) verlangen eine unveränderbare, vollständige Aufbewahrung von Belegen. Die DSGVO verlangt Datensparsamkeit und Löschung. Das klingt widersprüchlich — ist es aber nicht:

  • Solange die gesetzliche Aufbewahrungspflicht läuft (6-10 Jahre), darfst und musst du die Daten speichern
  • Danach muss gelöscht werden
  • Daten, die nicht aufbewahrungspflichtig sind (z.B. nicht angenommene Angebote), müssen zeitnah gelöscht werden

Alles zur GoBD-konformen Buchhaltung.

Praxis-Tipps: DSGVO mit minimalem Aufwand umsetzen

1. Nutze datenschutzfreundliche Tools

  • Analytics: Plausible, Fathom oder selbst gehostetes Matomo statt Google Analytics
  • Fonts: Immer lokal einbinden, nie von Google-Servern laden
  • E-Mail: Europäischer Anbieter (Mailbox.org, Posteo) oder DSGVO-konformer US-Dienst
  • Cloud: Europäischer Anbieter oder verschlüsselt (Tresorit, Boxcryptor)

2. Einmal richtig aufsetzen

Die DSGVO erfordert keine tägliche Arbeit. Investiere einmal einen Tag:

  1. Datenschutzerklärung erstellen (Generator + individuelle Anpassung)
  2. Cookie-Banner einrichten
  3. AV-Verträge abschließen (bei den meisten Tools ein Klick)
  4. VVT erstellen (einfaches Spreadsheet)
  5. TOMs dokumentieren (eine DIN-A4-Seite reicht)

3. Regelmäßig prüfen (1x pro Quartal)

  • Neue Tools hinzugefügt? → AV-Vertrag abschließen, DSE aktualisieren
  • Alte Daten löschbar? → Löschkonzept durchgehen
  • Datenpanne passiert? → Dokumentieren und ggf. melden
  • Änderungen an der Website? → Cookie-Banner und DSE prüfen

FAQ: DSGVO für Freiberufler

Brauche ich einen Datenschutzbeauftragten?

Als Solo-Freiberufler in der Regel nein. Die Pflicht zur Benennung eines DSB greift erst, wenn mindestens 20 Personen regelmäßig mit automatisierter Datenverarbeitung beschäftigt sind, oder wenn die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Datenkategorien besteht.

Muss ich wirklich ein VVT führen?

Technisch gibt es eine Ausnahme für Unternehmen unter 250 Mitarbeitern — aber nur, wenn die Verarbeitung "nicht nur gelegentlich" erfolgt. Da du als Freiberufler regelmäßig Rechnungen schreibst und Kundendaten verarbeitest, solltest du ein VVT führen. Es schützt dich auch bei Prüfungen.

Darf ich WhatsApp geschäftlich nutzen?

Problematisch. WhatsApp (Meta) überträgt Kontaktdaten (auch von Nicht-Nutzern) an Server in den USA. Für geschäftliche Kommunikation besser: Signal, Threema Work oder eine professionelle Messaging-Lösung.

Was mache ich bei einer Datenschutz-Auskunftsanfrage?

Innerhalb von einem Monat antworten. Sammle alle Daten, die du über die Person gespeichert hast (Rechnungen, E-Mails, Projektdaten, CRM-Einträge) und stelle eine vollständige Übersicht zusammen. Die Auskunft muss kostenfrei und in verständlicher Form erfolgen.

Gilt die DSGVO auch für Bestandskunden von vor 2018?

Ja. Die DSGVO gilt für alle personenbezogenen Daten, unabhängig davon, wann sie erhoben wurden. Für Bestandsdaten brauchst du aber keine neue Einwilligung, wenn die ursprüngliche Erhebung rechtmäßig war und du die Daten im gleichen Zweck weiterverarbeitest.

Hinweis: Dieser Artikel dient der allgemeinen Information und ersetzt keine Rechtsberatung. Datenschutzrecht entwickelt sich ständig weiter — bei konkreten Fragen konsultiere einen auf Datenschutzrecht spezialisierten Anwalt.

T2

time2invoice Redaktion

Das Redaktionsteam von time2invoice schreibt über Steuern, Buchhaltung und Tools für Freiberufler und Kleinunternehmer in Deutschland.

Steuern & RechtBuchhaltungFreiberuflerKleinunternehmer

Zuletzt aktualisiert: 19. Februar 2026

Bleib auf dem Laufenden

Steuertipps und Updates direkt in dein Postfach

Kostenlos und jederzeit abbestellbar

Ähnliche Artikel

Buchhaltung

GoBD-konforme Buchhaltung: Der komplette Guide für Freiberufler 2026

GoBD einfach erklärt: Alle Anforderungen an deine Buchhaltung, die wichtigsten Regeln zur Archivierung und wie du als Freiberufler GoBD-konform arbeitest.

15 Min.
Buchhaltung

Aufbewahrungspflichten Freiberufler 2026: Fristen, Regeln und Tipps

Aufbewahrungspflichten für Rechnungen und Belege als Freiberufler 2026: 6 vs. 10 Jahre Fristen, GoBD-Regeln und Tipps zur digitalen Archivierung.

14 Min.
Gründung & Recht

Scheinselbständigkeit vermeiden: Der Freelancer-Guide 2026

Scheinselbständigkeit erkennen und vermeiden: Alle Kriterien der DRV, Risiken, Vertragsgestaltung und das Statusfeststellungsverfahren für Freelancer.

15 Min.

Bereit, es auszuprobieren?

Starte kostenlos mit time2invoice und erlebe den Unterschied.