DSGVO für Selbstständige 2026: Was Sie erfüllen müssen
Die DSGVO betrifft nicht nur große Konzerne. Wenn Sie als Selbstständiger Rechnungen ausstellen, eine Kundendatenbank führen, Newsletter versenden oder eine Website betreiben, verarbeiten Sie personenbezogene Daten – und die DSGVO gilt für Sie. Die gute Nachricht: Die Pflichten für Selbstständige sind deutlich einfacher als für große Unternehmen. In diesem Leitfaden erklären wir Ihnen genau, was Sie erfüllen müssen, was Sie dagegen nicht kümmern muss und wie Sie Ihre Pflichten mit minimalem bürokratischen Aufwand erledigen.
Was ist die DSGVO und warum betrifft sie auch Selbstständige?
Die Datenschutz-Grundverordnung (DSGVO – englisch: General Data Protection Regulation, GDPR) ist die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates, die seit dem 25. Mai 2018 in allen EU-Mitgliedstaaten unmittelbar gilt. In der Tschechischen Republik wird die DSGVO durch das Gesetz Nr. 110/2019 Slg. über die Verarbeitung personenbezogener Daten ergänzt. Die Aufsichtsbehörde ist das Amt für den Schutz personenbezogener Daten (ÚOOÚ).
Warum gilt die DSGVO für Gewerbetreibende?
Die DSGVO gilt für jeden, der personenbezogene Daten verarbeitet – also jegliche Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als Selbstständiger verarbeiten Sie personenbezogene Daten mindestens dadurch, dass Sie:
- Rechnungen ausstellen, die den Namen, die Adresse und die Steuer-/Umsatzsteuer-ID Ihrer Kunden enthalten.
- Eine Kundenkartei führen – Kontaktdaten, Bestellhistorie.
- Per E-Mail kommunizieren – eine E-Mail-Adresse ist ein personenbezogenes Datum.
- Eine Website betreiben – IP-Adressen von Besuchern, Cookies, Kontaktformulare.
- Mitarbeiter beschäftigen – die Lohnbuchhaltung enthält sensible personenbezogene Daten.
- Newsletter versenden – E-Mail-Adressen von Abonnenten.
Selbstständige = Verantwortliche im Sinne der DSGVO
In der DSGVO-Terminologie sind Sie als Selbstständiger Verantwortlicher für personenbezogene Daten, da Sie selbst die Zwecke und Mittel der Verarbeitung bestimmen. Das gilt auch dann, wenn Ihr Steuerberater die Buchhaltung übernimmt – der Steuerberater ist in diesem Fall Auftragsverarbeiter, die Verantwortung für den Datenschutz verbleibt jedoch bei Ihnen.
Welche personenbezogenen Daten verarbeiten Selbstständige typischerweise?
Bevor wir uns den Pflichten widmen, ist es wichtig, sich bewusst zu machen, mit welchen Daten Sie als Gewerbetreibender arbeiten:
📊Typische von Selbstständigen verarbeitete personenbezogene Daten
Die Steuer-ID einer natürlichen Person ist ein personenbezogenes Datum
Achtung – eine einer natürlichen Person (Selbstständige/r) zugewiesene Steuer-ID gilt als personenbezogenes Datum, da sie eine konkrete natürliche Person direkt identifiziert. Das bedeutet, dass auch öffentlich zugängliche Daten aus dem Gewerberegister der DSGVO unterliegen, wenn Sie diese systematisch verarbeiten.
Grundprinzipien der DSGVO, die Sie einhalten müssen
Die DSGVO beruht auf sechs Grundprinzipien der Verarbeitung personenbezogener Daten (Artikel 5 DSGVO). Diese Grundsätze gelten für jeden Verantwortlichen unabhängig von seiner Größe:
📋6 Grundprinzipien der Verarbeitung personenbezogener Daten
Rechtsgrundlagen: Auf welcher Basis dürfen Sie Daten verarbeiten?
Jede Verarbeitung personenbezogener Daten muss auf einer Rechtsgrundlage beruhen. Die DSGVO definiert sechs davon. Für Selbstständige sind vor allem diese vier relevant:
1. Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)
Dies ist die häufigste Rechtsgrundlage für Selbstständige. Wenn Sie mit einem Kunden einen Vertrag schließen (auch mündlich oder über eine Bestellung im Online-Shop), dürfen Sie die zur Erfüllung notwendigen Daten verarbeiten – Name, Lieferadresse, Kontaktdaten für die Kommunikation zur Bestellung.
2. Erfüllung einer rechtlichen Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO)
Viele Daten verarbeiten Sie, weil das Gesetz es vorschreibt. Zum Beispiel:
- Aufbewahrung von Steuerbelegen (Rechnungen) für 10 Jahre – Umsatzsteuergesetz, Buchführungsgesetz.
- Lohnbuchhaltung für Mitarbeiter – Arbeitsgesetzbuch, Sozialversicherungsrecht.
- Meldepflichten gegenüber Sozialversicherungs- und Krankenversicherungsbehörden.
3. Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO)
Diese Rechtsgrundlage erlaubt die Verarbeitung, wenn Sie ein legitimes Interesse haben, das die Interessen der betroffenen Person überwiegt. Beispiele:
- Versenden von Werbemitteilungen an Bestandskunden (die bereits bei Ihnen gekauft haben).
- Schutz des Eigentums (Videoüberwachung).
- Beitreibung von Forderungen.
Bei berechtigten Interessen müssen Sie einen Interessenabwägungstest durchführen – eine schriftliche Bewertung, ob Ihr Interesse das Recht der betroffenen Person auf Privatsphäre überwiegt.
4. Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)
Eine Einwilligung benötigen Sie, wenn keine andere Rechtsgrundlage greift. Typischerweise:
- Versenden eines Newsletters an Personen, die noch nicht bei Ihnen gekauft haben.
- Verarbeitung von Daten für Marketingzwecke über das berechtigte Interesse hinaus.
- Analyse- und Marketing-Cookies auf der Website.
Die Einwilligung muss freiwillig und spezifisch sein
Die Einwilligung zur Verarbeitung personenbezogener Daten muss:
- Freiwillig sein – sie darf keine Bedingung für die Erbringung einer Dienstleistung sein.
- Spezifisch sein – sie muss sich auf einen konkreten Zweck beziehen.
- Informiert sein – die betroffene Person muss wissen, wofür sie ihre Einwilligung erteilt.
- Eindeutig sein – sie erfordert eine aktive Handlung (ein vorab angekreuztes Kästchen genügt nicht).
- Widerrufbar sein – die betroffene Person muss die Einwilligung jederzeit genauso einfach widerrufen können, wie sie sie erteilt hat.
Verzeichnis der Verarbeitungstätigkeiten
Eine der zentralen Pflichten ist die Führung eines Verzeichnisses der Verarbeitungstätigkeiten (Artikel 30 DSGVO). Dabei handelt es sich um ein internes Dokument, das beschreibt, welche personenbezogenen Daten Sie verarbeiten, warum, wie lange und wie Sie diese schützen.
Müssen Selbstständige ein Verzeichnis führen?
Die DSGVO enthält eine Ausnahme für Organisationen mit weniger als 250 Mitarbeitern – sie müssen kein Verzeichnis führen, wenn die Verarbeitung:
- lediglich gelegentlich erfolgt,
- kein Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt,
- keine besonderen Kategorien von Daten (sensible Daten) umfasst.
Die Ausnahme greift in der Praxis fast nie
Auch wenn Sie als Selbstständiger 0 Mitarbeiter haben, gilt die Ausnahme mit hoher Wahrscheinlichkeit nicht für Sie. Sobald Sie Kundendaten für die Rechnungsstellung verarbeiten oder eine Kontaktdatenbank führen, handelt es sich um eine kontinuierliche, keine gelegentliche Verarbeitung. Daher empfehlen wir, ein Verzeichnis der Verarbeitungstätigkeiten zu führen – selbst wenn es nur eine Seite umfasst.
Was das Verzeichnis enthalten muss
📋Pflichtangaben im Verzeichnis der Verarbeitungstätigkeiten
Beispiel eines Verarbeitungsverzeichnisses für einen typischen Selbstständigen
Verarbeitungszweck Nr. 1: Rechnungsstellung und Buchführung
- Betroffene Personen: Kunden (natürliche Personen)
- Datenkategorien: Name, Adresse, Steuernummer, USt-ID, E-Mail
- Rechtsgrundlage: Vertragserfüllung + Erfüllung einer rechtlichen Verpflichtung
- Empfänger: Steuerberater (Auftragsverarbeiter), Finanzamt
- Aufbewahrungsfrist: 10 Jahre ab Ende des Steuerjahres
- Sicherheitsmaßnahmen: Passwortgeschützter Computer, Datensicherung, Büro abschließen
Verarbeitungszweck Nr. 2: Newsletter-Versand
- Betroffene Personen: Newsletter-Abonnenten
- Datenkategorien: E-Mail, Name
- Rechtsgrundlage: Einwilligung / berechtigte Interessen (Bestandskunden)
- Empfänger: Mailing-Tool (Auftragsverarbeiter)
- Aufbewahrungsfrist: Bis zum Widerruf der Einwilligung
- Sicherheitsmaßnahmen: Verschlüsselte Übertragung, passwortgeschützter Zugang
Informationspflicht: Was Sie Ihren Kunden mitteilen müssen
Als Verantwortlicher sind Sie verpflichtet, betroffene Personen darüber zu informieren, wie Sie ihre Daten verarbeiten (Artikel 13 und 14 DSGVO). In der Praxis bedeutet das, dass Sie auf Ihrer Website oder in Ihren AGB Datenschutzinformationen bereitstellen müssen (häufig als „Datenschutzrichtlinie" oder „Privacy Policy" bezeichnet).
Was die Informationen enthalten müssen
| Angabe | Beispiel | |--------|---------| | Identität des Verantwortlichen | Max Mustermann, Steuernummer: 12345678, Adresse, E-Mail | | Zwecke der Verarbeitung | Rechnungsstellung, Vertragserfüllung, Marketing | | Rechtsgrundlage | Vertragserfüllung, berechtigte Interessen, Einwilligung | | Empfänger der Daten | Steuerberater, Hosting-Anbieter, Mailing-Tool | | Aufbewahrungsdauer | Rechnungen 10 Jahre, Newsletter bis Widerruf der Einwilligung | | Rechte der betroffenen Personen | Recht auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch | | Kontakt zur Rechteausübung | E-Mail, Telefon | | Möglichkeit zur Beschwerdeerhebung | Amt für den Schutz personenbezogener Daten (uoou.gov.cz) |
Brauchen Selbstständige einen Datenschutzbeauftragten (DSB)?
In den meisten Fällen nicht. Einen Datenschutzbeauftragten (DSB – englisch: Data Protection Officer, DPO) müssen nur benennen:
- Öffentliche Stellen und Behörden.
- Verantwortliche, deren Kerntätigkeit in der umfangreichen, regelmäßigen und systematischen Überwachung von betroffenen Personen besteht.
- Verantwortliche, deren Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten besteht (Gesundheitsdaten, biometrische Daten, Daten über strafrechtliche Verurteilungen).
Ein typischer Selbstständiger braucht keinen DSB
Wenn Sie Grafiker, Programmierer, Buchhalter, Handwerker, Berater oder Betreiber eines kleinen Online-Shops sind, benötigen Sie keinen Datenschutzbeauftragten. Ihre Kerntätigkeit ist nicht die Verarbeitung personenbezogener Daten, sondern die Erbringung von Dienstleistungen oder der Verkauf von Waren. Einen DSB würden Sie beispielsweise als Betreiber eines Treueprogramms mit Millionen von Kunden oder als Detektivbüro benötigen.
Datensicherheit in der Praxis
Die DSGVO verlangt, dass Sie angemessene technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten ergreifen. „Angemessen" bedeutet verhältnismäßig zu den Risiken und der Art der Daten – von Selbstständigen wird nicht dasselbe Sicherheitsniveau erwartet wie von einer Bank.
Praktische Sicherheitscheckliste für Selbstständige
📋Mindestsicherheit für personenbezogene Daten bei Selbstständigen
Cookies auf Websites
Wenn Sie eine Website betreiben, verwenden Sie wahrscheinlich Cookies. In der Tschechischen Republik gilt seit dem 1. Januar 2022 eine Novelle des Telekommunikationsgesetzes, die eine vorherige aktive Einwilligung (Opt-in) für Cookies verlangt, die für das Funktionieren der Website nicht unbedingt erforderlich sind.
Welche Cookies eine Einwilligung erfordern
📊Cookie-Kategorien und Einwilligungspflicht
Das Cookie-Banner muss die Ablehnung ermöglichen
Das Cookie-Banner muss dem Besucher ermöglichen, nicht notwendigen Cookies aktiv zuzustimmen oder diese abzulehnen. Vorab angekreuzte Kästchen sind keine gültige Einwilligung. Der Besucher muss die Website auch ohne Zustimmung zu Analyse- und Marketing-Cookies nutzen können. Die Schaltfläche „Ablehnen" muss genauso leicht zugänglich sein wie „Akzeptieren".
Was tun bei einer Datenpanne (Data Breach)?
Wenn es zu einer Verletzung der Sicherheit personenbezogener Daten kommt (Datenverlust, Hacking, Diebstahl eines Notebooks mit unverschlüsselter Festplatte), sind Sie verpflichtet:
📋Vorgehensweise bei einer Datenpanne
Die 72-Stunden-Frist beginnt ab Kenntnisnahme
Die 72-Stunden-Frist zur Meldung einer Datenpanne an die ÚOOÚ beginnt ab dem Zeitpunkt, zu dem Sie von der Verletzung Kenntnis erhalten – nicht ab dem Zeitpunkt, zu dem sie eingetreten ist. Wenn Sie die Meldung nicht innerhalb von 72 Stunden schaffen, müssen Sie die Gründe für die Verzögerung angeben.
Rechte der betroffenen Personen: Wie Sie auf Anfragen reagieren
Personen, deren Daten Sie verarbeiten, haben verschiedene Rechte. Am häufigsten werden Ihnen diese begegnen:
| Recht | Bedeutung | Ihre Reaktion | |-------|-----------|---------------| | Auskunftsrecht | Die Person möchte wissen, welche Daten Sie über sie haben | Sie stellen eine Kopie der Daten innerhalb von 1 Monat bereit | | Recht auf Berichtigung | Die Person möchte unrichtige Daten korrigieren lassen | Sie berichtigen unverzüglich | | Recht auf Löschung | Die Person möchte ihre Daten gelöscht haben | Sie löschen, sofern keine gesetzliche Aufbewahrungspflicht besteht (z. B. Rechnungsarchivierung) | | Recht auf Einschränkung der Verarbeitung | Die Person möchte die Verarbeitung vorübergehend stoppen | Sie kennzeichnen die Daten und verarbeiten sie bis zur Klärung nicht | | Recht auf Datenübertragbarkeit | Die Person möchte ihre Daten in maschinenlesbarem Format | Sie stellen die Daten in einem gängigen Format bereit (CSV, JSON) | | Widerspruchsrecht | Die Person widerspricht der Verarbeitung auf Basis berechtigter Interessen | Sie überprüfen die berechtigten Interessen oder stellen die Verarbeitung ein |
Auf eine Anfrage müssen Sie innerhalb von 1 Monat reagieren. In komplexen Fällen kann die Frist um weitere 2 Monate verlängert werden, die betroffene Person muss jedoch darüber informiert werden.
Auftragsverarbeitungsverträge
Wenn Sie für die Verarbeitung personenbezogener Daten Dritte einsetzen (Steuerberater, Hosting-Anbieter, Mailing-Tool), sind Sie verpflichtet, mit diesen einen Auftragsverarbeitungsvertrag gemäß Artikel 28 DSGVO abzuschließen.
Mit wem Sie einen Auftragsverarbeitungsvertrag abschließen sollten
- Steuerberater/Buchhalter – verarbeitet Daten aus Rechnungen und der Lohnbuchhaltung.
- Webhosting-Anbieter – auf dessen Servern liegen die Daten von Ihrer Website.
- Mailing-Tool (Mailchimp, Ecomail usw.) – verarbeitet E-Mail-Adressen von Abonnenten.
- Cloud-Speicher (Google Drive, OneDrive) – wenn Sie dort Dokumente mit personenbezogenen Daten ablegen.
- Lohnbuchhaltungssoftware / Lohnbuchhaltungsdienstleister – verarbeitet Mitarbeiterdaten.
Große Plattformen haben den Vertrag bereits fertig
Die meisten großen Dienstleister (Google, Microsoft, Mailchimp, Shopify usw.) haben einen Auftragsverarbeitungsvertrag (Data Processing Agreement/Addendum) bereits als Teil ihrer Nutzungsbedingungen vorbereitet. Sie müssen keinen individuellen Vertrag aushandeln – es genügt, deren DPA zu akzeptieren, in der Regel in den Kontoeinstellungen. Mit einem Steuerberater oder einem kleineren Unternehmen empfehlen wir den Abschluss eines separaten Auftragsverarbeitungsvertrags.
Bußgelder bei DSGVO-Verstößen
Die DSGVO sieht maximale Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes vor. In der Praxis verhängt die ÚOOÚ gegen tschechische Selbstständige und kleine Unternehmen jedoch deutlich niedrigere Bußgelder – in der Größenordnung von einigen Tausend bis Zehntausend Kronen.
Die ÚOOÚ geht verhältnismäßig mit Selbstständigen um
Das tschechische Amt für den Schutz personenbezogener Daten hat erklärt, dass es kleine Selbstständige nicht ruinieren will. Bußgelder für Selbstständige sind um ein Vielfaches niedriger als für große Unternehmen. Dennoch lohnt es sich, Bußgelder zu vermeiden – selbst ein Bußgeld von 10.000 Kč ist unangenehm, und dazu kommt noch die Verpflichtung zur Abhilfe.
Häufig gestellte Fragen (FAQ)
Muss ich eine Datenschutzerklärung auf meiner Website haben, auch wenn diese keine Daten sammelt?
Wenn Ihre Website keinerlei Daten erhebt (kein Kontaktformular, keine Cookies, keine Analytik), haben Sie theoretisch keine Informationspflicht. In der Praxis verwendet jedoch fast jede Website zumindest grundlegende Analysetools oder ein Kontaktformular, weshalb wir empfehlen, immer eine Datenschutzerklärung bereitzustellen.
Darf ich Bestandskunden ohne Einwilligung Werbe-E-Mails schicken?
Ja, das tschechische Gesetz über bestimmte Dienste der Informationsgesellschaft (Nr. 480/2004 Slg.) erlaubt das Versenden von Werbenachrichten an Bestandskunden ohne vorherige Einwilligung, sofern sich die Mitteilung auf ähnliche Produkte oder Dienstleistungen bezieht und der Kunde die Möglichkeit hat, sich aus jeder Mitteilung abzumelden. Dies ist die praktische Umsetzung der berechtigten Interessen.
Wie lange darf ich Daten aus Rechnungen aufbewahren?
Steuerbelege (Rechnungen) müssen gemäß dem Umsatzsteuergesetz 10 Jahre ab Ende des
Nechcete ztrácet čas s papírováním?
Vyzkoušejte DokladBot - účetnictví přes WhatsApp. První týden zdarma.
Verwandte Artikel
AGB für Online-Shops: Was sie enthalten müssen
Gut ausgearbeitete Allgemeine Geschäftsbedingungen sind das Fundament jedes Online-Shops. Erfahren Sie, was sie laut Gesetz enthalten müssen und wie Sie die häufigsten Fehler vermeiden.
Datová schránka für OSVČ: Pflichten und Nutzung
Die Datová schránka (elektronisches Behördenpostfach) ist seit 2023 für alle OSVČ verpflichtend. Erfahren Sie, wie Sie sie aktivieren, welche Pflichten damit verbunden sind und wie Sie sie effektiv im Geschäftsalltag nutzen.
DPP und DPČ 2026: Unterschiede, Limits und Neuigkeiten
Vereinbarungen über Arbeiten außerhalb eines Arbeitsverhältnisses haben im Jahr 2026 weitere Änderungen erfahren. Lesen Sie, welche aktuellen Limits, Abgaben und Regeln für DPP und DPČ gelten.