Zum Inhalt

DSGVO Grundlagen

DSGVO – Was Selbständige wirklich wissen müssen

Gilt die DSGVO für mich?

Ja. Die DSGVO gilt für jeden, der personenbezogene Daten von EU-Bürgern verarbeitet – unabhängig von der Unternehmensgröße. Als Selbständiger bist du kein Ausnahmefall. Du verarbeitest personenbezogene Daten, wenn du Kundendaten speicherst, einen Newsletter versendest, ein Kontaktformular auf deiner Website hast, Cookies setzt oder Analytics-Tools nutzt.

Die gute Nachricht: Der Aufwand für Selbständige ist überschaubar, wenn man weiß, was wirklich wichtig ist – und was sich erledigt, wenn man die richtigen Maßnahmen einmal sauber aufsetzt.

Die wichtigsten DSGVO-Pflichten für Selbständige

Datenschutzerklärung auf der Website: Pflicht für jede geschäftliche Website. Sie muss erklären, welche Daten du erhebst, zu welchem Zweck, auf welcher Rechtsgrundlage, wie lange du sie speicherst und welche Rechte Betroffene haben. Nutze einen aktuellen Generator oder lass die Erklärung anwaltlich erstellen – und aktualisiere sie, wenn du neue Tools oder Dienste einsetzt. Wichtig: Kopiere keine Datenschutzerklärung von einer anderen Website, auch wenn sie gut formuliert ist. Texte können urheberrechtlich geschützt sein – und eine fremde Erklärung passt inhaltlich ohnehin nicht zu deiner eigenen Verarbeitungspraxis.

Verzeichnis von Verarbeitungstätigkeiten: Du bist verpflichtet, ein internes Verzeichnis zu führen, das dokumentiert, welche personenbezogenen Daten du zu welchem Zweck verarbeitest. Das klingt bürokratischer als es ist – für Selbständige reicht oft eine einfache Tabelle mit wenigen Einträgen: Kundendaten, Newsletter-Verteiler, Website-Analytics.

Auftragsverarbeitungsverträge (AVV): Wenn du Dienstleister einsetzt, die in deinem Auftrag personenbezogene Daten verarbeiten – Cloud-Dienste, E-Mail-Marketing-Tools, Hosting-Anbieter – brauchst du mit diesen Dienstleistern einen AVV. Viele Anbieter stellen diesen automatisch bereit oder haben ihn in ihre Nutzungsbedingungen integriert. Prüfe das und dokumentiere es.

Einwilligungen dokumentieren: Wo du auf Einwilligung als Rechtsgrundlage setzt – zum Beispiel beim Newsletter – musst du diese Einwilligung nachweisen können. Double-Opt-in ist dabei Standard und gleichzeitig der einfachste Nachweis.

Betroffenenrechte erfüllen: Personen, deren Daten du verarbeitest, haben das Recht auf Auskunft, Berichtigung, Löschung und weitere Rechte. Du musst in der Lage sein, auf solche Anfragen innerhalb eines Monats zu reagieren. Das ist selten ein praktisches Problem – aber du solltest wissen, wie du reagierst, wenn es vorkommt.

Was passiert bei Verstößen?

Die DSGVO sieht Bußgelder von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes vor – je nachdem, was höher ist. Das klingt dramatisch und ist für Großkonzerne gedacht.

In der Praxis sind Bußgelder gegen Selbständige deutlich niedriger, aber nicht zu vernachlässigen. Die deutschen Datenschutzbehörden haben in den letzten Jahren auch kleinere Unternehmen mit Bußgeldern belegt – für fehlende Datenschutzerklärungen, unzulässige Newsletter oder mangelnde technische Sicherheitsmaßnahmen. Typische Bußgelder im Kleinunternehmerbereich lagen bisher zwischen einigen Hundert und einigen Tausend Euro – abhängig von der Schwere des Verstoßes und dem Verhalten des Betroffenen.

Wichtiger als die Bußgeldhöhe ist die Signalwirkung: Wer kooperiert, Mängel abstellt und nachweislich um Compliance bemüht ist, wird deutlich milder behandelt als wer ignoriert oder verzögert.

Die häufigsten DSGVO-Fehler bei Selbständigen

Google Analytics ohne Cookie-Einwilligung: Google Analytics setzt Cookies und überträgt Daten in die USA. Ohne eine wirksame Cookie-Einwilligung und einen gültigen AVV ist das nicht DSGVO-konform. Entweder: Cookie-Consent korrekt implementieren, oder: auf eine datenschutzfreundlichere Analytics-Alternative wechseln, die ohne Cookies auskommt.

Kontaktformular ohne Datenschutzhinweis: Jedes Formular, das personenbezogene Daten erhebt, muss einen Hinweis auf die Datenverarbeitung enthalten – zumindest einen Link zur Datenschutzerklärung.

E-Mail-Newsletter ohne Einwilligung: Werbliche E-Mails an Personen, die nicht ausdrücklich zugestimmt haben, sind sowohl DSGVO- als auch UWG-widrig. Ausnahme: bestehende Kundenbeziehungen bei ähnlichen Produkten und Dienstleistungen – aber auch hier gelten Grenzen.

Cloud-Dienste ohne AVV: Wer Kundendaten in Cloud-Diensten speichert, ohne einen AVV mit dem Anbieter abgeschlossen zu haben, verstößt gegen die DSGVO. Prüfe das für alle Dienste, die du nutzt.

Checkliste: DSGVO

  • Ich habe eine aktuelle Datenschutzerklärung auf meiner Website.
  • Ich führe ein Verzeichnis von Verarbeitungstätigkeiten – auch wenn es nur eine einfache Tabelle ist.
  • Mit allen relevanten Dienstleistern habe ich einen AVV abgeschlossen oder geprüft, ob einer vorliegt.
  • Mein Newsletter-Verteiler basiert auf dokumentierten Einwilligungen.
  • Mein Cookie-Banner (falls vorhanden) ist korrekt implementiert und lässt echte Ablehnung zu.
  • Ich weiß, wie ich auf Auskunfts- oder Löschanfragen von Betroffenen reagiere.