Auf einen Blick: Diese 10-Punkte-Checkliste führt dich Schritt für Schritt durch alle wesentlichen DSGVO-Pflichten als Selbstständiger oder Freelancer – umsetzbar ohne Juristenstudium.
Warum Selbstständige die DSGVO ernst nehmen sollten
Als Freelancer oder Einzelunternehmer bist du für den Datenschutz allein verantwortlich – auch ohne Datenschutzbeauftragten. Verstöße können zu Bußgeldern, Abmahnungen und Reputationsschäden führen. Gleichzeitig: Wer DSGVO-konform arbeitet, gewinnt das Vertrauen seiner Kunden.
Die 10-Punkte-DSGVO-Checkliste
✅ Punkt 1: Datenflüsse erfassen
Erstelle eine Übersicht aller Systeme, die personenbezogene Daten enthalten:
| Tool/System | Welche Daten | Zweck |
|---|---|---|
| Rechnungssoftware (z.B. Lexware) | Kunden: Name, Adresse, IBAN | Buchhaltung |
| E‑Mail-Programm | Kontakte, Nachrichten | Kommunikation |
| CRM (z.B. HubSpot Free) | Leads, Projekte | Akquise |
| Website-Kontaktformular | Name, E‑Mail, Nachricht | Anfragen |
| Newsletter (z.B. Mailchimp) | E‑Mail, Name | Marketing |
✅ Punkt 2: Rechtsgrundlagen festlegen
Für jeden Verarbeitungsvorgang eine Rechtsgrundlage benennen (Art. 6 DSGVO):
- Kundendaten für Rechnungen → Vertragserfüllung (Art. 6 Abs. 1 lit. b)
- Steuerliche Aufbewahrung → Gesetzliche Pflicht (Art. 6 Abs. 1 lit. c)
- Newsletter → Einwilligung (Art. 6 Abs. 1 lit. a)
✅ Punkt 3: Verzeichnis von Verarbeitungstätigkeiten anlegen
Mindestinhalt des VVT (einfache Tabelle reicht):
- Name und Zweck der Verarbeitung
- Datenkategorien und Betroffenengruppen
- Rechtsgrundlage
- Empfänger und Drittlandübermittlungen
- Speicherdauer
- Beschreibung der Schutzmaßnahmen (TOM)
💡 Tipp: IHKs und Datenschutzbehörden bieten kostenfreie VVT-Vorlagen.
✅ Punkt 4: Auftragsverarbeitungsverträge (AVV) abschließen
Mit jedem Dienstleister, der Zugriff auf deine Kundendaten hat:
| Anbieter | AVV verfügbar? |
|---|---|
| STRATO / 1&1 / Ionos | Ja, im Kundenportal |
| Google Workspace | Ja, in den Einstellungen |
| Mailchimp | Ja, Data Processing Agreement |
| Lexware / DATEV | Ja, online abrufbar |
✅ Punkt 5: Datenschutzerklärung auf Website aktuell halten
- Enthält alle genutzten Dienste (Hosting, Analytics, Formulare, Newsletter)
- Nennt Verantwortlichen mit Kontaktdaten
- Erklärt Betroffenenrechte mit Kontaktweg
- Wird bei Änderungen zeitnah aktualisiert
✅ Punkt 6: Cookie-Consent rechtssicher einrichten
Für nicht technisch notwendige Cookies (Analytics, Marketing) ist eine aktive Einwilligung Pflicht:
- Cookie-Banner vor dem Laden aller nicht-essenziellen Inhalte anzeigen
- Opt-in (grüner Haken), kein vorausgewähltes „Akzeptieren”
- Widerruf jederzeit möglich (Link im Footer: „Cookie-Einstellungen”)
Empfohlene Tools: Borlabs Cookie, Cookiebot, Complianz
✅ Punkt 7: E‑Mail-Marketing mit Double-Opt-in
Beim Newsletter-Versand:
- Anmelde-Formular → Bestätigungs-E‑Mail → Klick auf Bestätigungslink
- Einwilligung mit Datum und IP-Adresse protokollieren
- Abmelde-Link in jeder E‑Mail
- Einwilligung nicht mit AGB-Zustimmung koppeln
✅ Punkt 8: Technische und organisatorische Maßnahmen (TOM)
Mindestanforderungen für Freelancer:
- Starke Passwörter + Passwortmanager
- 2-Faktor-Authentifizierung für E‑Mail und Cloud
- HTTPS auf der Website (kostenloses Let’s Encrypt-Zertifikat)
- Regelmäßige Backups (3-2-1-Regel)
- Bildschirmsperre am PC (nach 5 min)
- Verschlüsselte Übertragung bei Dateiübermittlung
✅ Punkt 9: Prozesse für Betroffenenrechte einrichten
Betroffene können jederzeit Auskunft, Löschung oder Berichtigung verlangen. Vorbereitet sein:
- Wer in deinem Betrieb ist Ansprechpartner für Datenschutz? (Du selbst)
- Wie beantwortest du Auskunftsersuchen? (E‑Mail-Vorlage bereithalten)
- Frist: 1 Monat (verlängerbar auf 3)
- Identität des Anfragenden verifizieren
✅ Punkt 10: Datenpannen-Prozess festlegen
Falls doch etwas passiert (Hackangriff, E‑Mail-Leak, gestohlener Laptop):
- Ausmaß dokumentieren: Welche Daten, wie viele Personen, wie ist es passiert?
- Risikobewertung: Gefährdet das die Rechte der Betroffenen?
- Bei Risiko: Meldung an Aufsichtsbehörde binnen 72 Stunden
- Bei hohem Risiko: Betroffene direkt informieren
Jahres-Review: Wann die Checkliste erneut durchgehen?
- Jährlich als Routine-Check empfohlen
- Immer bei einem neuen Tool (Analytics, CRM, Newsletter)
- Immer bei neuen Kundensegmenten oder Geschäftsbereichen
- Immer nach einem Datenschutzvorfall
Fazit
DSGVO-Konformität als Selbstständiger ist kein Hexenwerk – es erfordert etwas Systematik beim Start und regelmäßige kleine Updates. Wer diese Checkliste einmal sauber durcharbeitet, ist gut aufgestellt. Das größte Risiko ist nicht das Nichtwissen, sondern das Aufschieben.