Gilt die DSGVO auch für mich, wenn ich EU-Kunden fakturiere, aber außerhalb der EU ansässig bin?

Ja. Die DSGVO gilt für jedes Unternehmen, das natürlichen Personen in der EU Waren oder Dienstleistungen anbietet — unabhängig davon, wo das Unternehmen ansässig ist. Wenn du EU-ansässige Privatpersonen (nicht nur Unternehmen) fakturierst, unterliegt du der DSGVO.

Kann ein Kunde mich zwingen, eine Rechnung nach der DSGVO zu löschen?

Nein, nicht solange du gesetzlich zur Aufbewahrung verpflichtet bist. Das Recht auf Löschung setzt gesetzliche Verpflichtungen nicht außer Kraft. Das Steuerrecht in Deutschland schreibt eine Aufbewahrungsfrist von 10 Jahren vor. Du kannst den Antrag ablehnen, die Rechtsgrundlage erläutern und zusagen, den Beleg nach Ablauf der Frist zu löschen.

Muss ich einen Datenschutzhinweis auf meinen Rechnungen angeben?

Nicht zwingend auf der Rechnung selbst. Die DSGVO verlangt, dass du Kunden über die Verarbeitung ihrer Daten informierst — üblicherweise in einer Datenschutzerklärung. Du musst dies nicht auf jeder Rechnung wiederholen, aber deine Datenschutzerklärung sollte die Verarbeitung von Rechnungsdaten abdecken.

Ist die Steuernummer eines Einzelunternehmers ein personenbezogenes Datum?

In Deutschland enthält die Umsatzsteuer-Identifikationsnummer eines Einzelunternehmers keine direkt persönlichen Informationen. Die steuerliche Identifikationsnummer (Steuer-ID) hingegen ist eindeutig einer natürlichen Person zugeordnet und damit ein personenbezogenes Datum. Achte darauf, welche Nummer du auf Rechnungen verwendest.

Gilt die DSGVO auch für mich, wenn ich EU-Kunden fakturiere, aber außerhalb der EU ansässig bin?

Ja. Die DSGVO gilt für jedes Unternehmen, das natürlichen Personen in der EU Waren oder Dienstleistungen anbietet — unabhängig davon, wo das Unternehmen ansässig ist. Wenn du EU-ansässige Privatpersonen (nicht nur Unternehmen) fakturierst, unterliegt du der DSGVO.

Kann ein Kunde mich zwingen, eine Rechnung nach der DSGVO zu löschen?

Nein, nicht solange du gesetzlich zur Aufbewahrung verpflichtet bist. Das Recht auf Löschung setzt gesetzliche Verpflichtungen nicht außer Kraft. Das Steuerrecht in Deutschland schreibt eine Aufbewahrungsfrist von 10 Jahren vor. Du kannst den Antrag ablehnen, die Rechtsgrundlage erläutern und zusagen, den Beleg nach Ablauf der Frist zu löschen.

Muss ich einen Datenschutzhinweis auf meinen Rechnungen angeben?

Nicht zwingend auf der Rechnung selbst. Die DSGVO verlangt, dass du Kunden über die Verarbeitung ihrer Daten informierst — üblicherweise in einer Datenschutzerklärung. Du musst dies nicht auf jeder Rechnung wiederholen, aber deine Datenschutzerklärung sollte die Verarbeitung von Rechnungsdaten abdecken.

Ist die Steuernummer eines Einzelunternehmers ein personenbezogenes Datum?

In Deutschland enthält die Umsatzsteuer-Identifikationsnummer eines Einzelunternehmers keine direkt persönlichen Informationen. Die steuerliche Identifikationsnummer (Steuer-ID) hingegen ist eindeutig einer natürlichen Person zugeordnet und damit ein personenbezogenes Datum. Achte darauf, welche Nummer du auf Rechnungen verwendest.

DSGVO und Rechnungen: Freelancer-Leitfaden

Die Datenschutz-Grundverordnung (DSGVO) ist nicht nur für große Technologieunternehmen relevant. Jeder Freelancer oder Kleinunternehmer, der Kunden in der EU fakturiert — oder EU-Kunden von außerhalb der EU aus — verarbeitet personenbezogene Daten. Das bedeutet: Die DSGVO gilt auch für dich.

Dieser Leitfaden erklärt genau, was die DSGVO für die Rechnungsstellung bedeutet: Welche Daten auf Rechnungen als personenbezogen gelten, welche Rechtsgrundlage du hast, wie lange du Rechnungsunterlagen aufbewahren musst und welche Rechte deine Kunden gegenüber ihren Daten haben.

Enthalten Rechnungen personenbezogene Daten?

Ja. Eine Rechnung enthält typischerweise:

Vollständigen Namen des Kunden oder Ansprechpartners
Adresse des Kunden (geschäftlich oder privat)
E-Mail-Adresse
Telefonnummer
Steuernummer / USt-IdNr. (bei Einzelunternehmern kann diese persönliche Informationen enthalten)

Jede Information, die eine natürliche Person direkt oder indirekt identifizieren kann, ist ein personenbezogenes Datum nach DSGVO. Name und Adresse eines Freelancers sind personenbezogene Daten. Ein Firmenname allein ist es nicht — aber ein namentlich genannter Ansprechpartner in diesem Unternehmen schon.

Deine Rechtsgrundlage für die Verarbeitung von Rechnungsdaten

Nach Art. 6 DSGVO benötigst du eine Rechtsgrundlage zur Verarbeitung personenbezogener Daten. Für die Rechnungsstellung gelten zwei Grundlagen:

1. Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)

Die Verarbeitung ist notwendig zur Erfüllung eines Vertrags mit der betroffenen Person oder zur Durchführung vorvertraglicher Maßnahmen. Das Ausstellen einer Rechnung erfüllt diese Voraussetzung direkt — du benötigst die Adresse und den Namen deines Kunden für eine ordnungsgemäße Rechnung.

2. Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO)

Die Verarbeitung ist notwendig zur Erfüllung einer rechtlichen Verpflichtung. Das Steuerrecht verpflichtet dich zur Aufbewahrung von Rechnungsunterlagen für eine Mindestanzahl von Jahren. Die Aufbewahrung von Rechnungen zur Erfüllung der Anforderungen des Finanzamts fällt klar unter diese Grundlage.

Du brauchst keine Einwilligung zum Ausstellen von Rechnungen oder zur Aufbewahrung für steuerliche Zwecke. Eine Einwilligung wäre hier falsch — sie muss jederzeit widerrufbar sein, und du kannst einen erforderlichen Steuerbeleg nicht löschen, weil ein Kunde seine Einwilligung widerrufen hat.

Wie lange darfst du Rechnungsunterlagen aufbewahren?

Die DSGVO-Grundsätze der Datensparsamkeit und Speicherbegrenzung verlangen, dass du personenbezogene Daten nur so lange aufbewahrst, wie es notwendig ist. Für Rechnungen definiert das nationale Steuerrecht — nicht die DSGVO — was "notwendig" bedeutet. Gängige Aufbewahrungsfristen:

Land	Mindestaufbewahrungsfrist
Deutschland	10 Jahre (§ 147 AO)
Frankreich	10 Jahre
Niederlande	7 Jahre
Spanien	5 Jahre (allgemein), 4 Jahre (steuerlich)
Italien	10 Jahre
Vereinigtes Königreich	6 Jahre

Nach Ablauf der Aufbewahrungsfrist musst du die Unterlagen löschen oder anonymisieren. Rechnungen unbegrenzt "auf Vorrat" aufzubewahren, ist nicht DSGVO-konform.

Kundenrechte und Rechnungen

Die DSGVO räumt betroffenen Personen Rechte über ihre personenbezogenen Daten ein. So wirken sich diese Rechte auf die Rechnungsstellung aus:

Auskunftsrecht (Art. 15 DSGVO)

Ein Kunde kann eine Kopie der personenbezogenen Daten verlangen, die du über ihn gespeichert hast. Du musst innerhalb eines Monats antworten. Bei Rechnungen bedeutet das die Bereitstellung von Kopien der Rechnungen, die seine Daten enthalten.

Recht auf Löschung (Art. 17 DSGVO)

Das "Recht auf Vergessenwerden" setzt gesetzliche Aufbewahrungspflichten nicht außer Kraft. Wenn das Steuerrecht dich verpflichtet, eine Rechnung 10 Jahre aufzubewahren, kannst du einen Löschungsantrag ablehnen. Du solltest den Kunden informieren, dass du den Beleg zur Erfüllung rechtlicher Verpflichtungen aufbewahrst und ihn nach Ablauf der Frist löschen wirst.

Recht auf Berichtigung (Art. 16 DSGVO)

Wenn die Kundendaten auf einer Rechnung falsch sind, kann der Kunde die Berichtigung verlangen. Bei bereits ausgestellten Rechnungen wird in der Regel eine korrigierte Rechnung oder Gutschrift ausgestellt, anstatt den Originalbeleg zu ändern.

Rechnungssoftware: Worauf du achten musst

Wenn du eine cloudbasierte Rechnungsplattform nutzt, wird diese zum Auftragsverarbeiter im Sinne der DSGVO. Du bist der Verantwortliche; sie verarbeiten Daten in deinem Auftrag. Das bedeutet:

Du benötigst einen Auftragsverarbeitungsvertrag (AVV) mit der Plattform — seriöse Anbieter legen diesen in ihren AGB bei
Kundendaten können auf Servern außerhalb der EU gespeichert sein — prüfe, wo die Daten gehostet werden und ob angemessene Schutzmaßnahmen bestehen (z. B. EU-Standardvertragsklauseln)
Du bleibst für die DSGVO-Konformität verantwortlich, auch wenn die Plattform Daten fehlerhaft behandelt

Browserbasierte Tools wie invoicePrivate, die alle Daten lokal speichern, umgehen dieses Problem vollständig. Es werden keine Daten an einen Server gesendet — daher gibt es keinen Auftragsverarbeiter, keinen AVV und kein Risiko einer Datenpanne beim Anbieter.

Praktische Schritte für DSGVO-konforme Rechnungsstellung

Nur notwendige Daten erheben. Name, Adresse und Steuernummer — nicht mehr. Du benötigst weder das Geburtsdatum noch die private E-Mail-Adresse deines Kunden, es sei denn, dies ist ausdrücklich erforderlich.
Aufbewahrungsfristen kennen. Richte eine Erinnerung ein, um Rechnungsunterlagen nach Ablauf der gesetzlichen Frist zu löschen.
Datenschutzerklärung aktualisieren. Wenn du Newsletter versendest, ein CRM pflegst oder Kontaktdaten für Marketing verwendest, muss deine Datenschutzerklärung dies offenlegen.
AVV mit Cloud-Tools abschließen. Bei SaaS-Rechnungssoftware muss ein AVV vorliegen — dies ist nach Art. 28 DSGVO zwingend erforderlich.
Prozess für Auskunftsersuchen einrichten. Wenn ein Kunde fragt, welche Daten du über ihn speicherst, musst du innerhalb von 30 Tagen antworten können.

Bußgelder bei Verstößen

DSGVO-Bußgelder sind gestaffelt:

Untere Stufe: Bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes — bei Verfahrensverstößen
Obere Stufe: Bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes — bei Verstößen gegen Grundprinzipien

Für Freelancer und Kleinstunternehmen erteilen die Aufsichtsbehörden in der Regel zunächst Verwarnungen und verlangen Abhilfemaßnahmen, bevor Bußgelder verhängt werden. Die Verpflichtung ist dennoch real, und Beschwerden von Kunden können Prüfungen auslösen.

DSGVO und Rechnungen: Was jeder Freelancer wissen muss