Wer als Selbstständige oder Freelancer Rechnungen schreibt, verarbeitet zwangsläufig personenbezogene Daten: Namen, Anschriften, manchmal auch E-Mail-Adressen oder Bankverbindungen. Genau hier greift die Datenschutz-Grundverordnung, kurz DSGVO. Viele unterschätzen das Thema, weil eine Rechnung auf den ersten Blick ein rein steuerliches Dokument zu sein scheint. Tatsächlich berühren sich beim Rechnungsversand aber zwei Welten: das Steuerrecht und das Datenschutzrecht.
Die gute Nachricht vorweg: In den allermeisten Fällen ist die Rechnungsstellung datenschutzrechtlich unproblematisch, solange man ein paar Grundprinzipien beachtet. In diesem Artikel ordnen wir ein, welche Daten erlaubt und sogar notwendig sind, wie lange sie gespeichert werden dürfen und welche Pflichten gegenüber Kundinnen und Kunden bestehen.
Warum die DSGVO auch für Rechnungen gilt
Sobald Sie Daten verarbeiten, mit denen sich eine natürliche Person identifizieren lässt, sind Sie im Anwendungsbereich der DSGVO. Eine Rechnung enthält in der Regel mindestens den Namen und die Adresse des Empfängers – bei Privatkunden also klar personenbezogene Daten. Bei reinen Geschäftskunden ohne Bezug zu einer konkreten Person ist die Lage etwas entspannter, doch sobald ein Ansprechpartner namentlich genannt wird, gilt der Datenschutz wieder.
Für jede Verarbeitung braucht es eine Rechtsgrundlage. Bei Rechnungen ist diese meist schnell gefunden: Die Daten sind zur Erfüllung des Vertrags erforderlich, und das Aufbewahren der Rechnung ist eine gesetzliche Pflicht aus dem Steuer- und Handelsrecht. Sie müssen also in aller Regel keine separate Einwilligung einholen, um eine Rechnung zu erstellen und zu archivieren.
Grundsatz der Datenminimierung
Ein zentrales Prinzip der DSGVO lautet Datenminimierung. Übersetzt heißt das: Erheben und speichern Sie nur die Daten, die Sie wirklich brauchen. Eine Rechnung muss bestimmte Pflichtangaben enthalten, etwa Name und Anschrift des Leistenden und des Empfängers, das Rechnungsdatum, eine fortlaufende Rechnungsnummer sowie die Leistungsbeschreibung. Was darüber hinausgeht, sollten Sie kritisch hinterfragen.
Das Geburtsdatum eines Privatkunden gehört zum Beispiel selten auf eine Rechnung. Auch Telefonnummern oder private Notizen über Kunden haben in einem Rechnungsdokument nichts verloren. Je weniger überflüssige Daten Sie speichern, desto geringer ist Ihr Risiko – und desto einfacher wird die Einhaltung der übrigen Pflichten.
Welche Daten gehören auf eine Rechnung?
Vollständiger Name und Anschrift des Rechnungsstellers und des Empfängers
Steuernummer oder Umsatzsteuer-Identifikationsnummer des Rechnungsstellers
Ausstellungsdatum und eine fortlaufende, eindeutige Rechnungsnummer
Menge und Art der gelieferten Leistung oder Ware
Entgelt, der anzuwendende Steuersatz und der Steuerbetrag
Diese Angaben sind steuerlich vorgeschrieben und damit auch datenschutzrechtlich gerechtfertigt. Sie verarbeiten sie schließlich, weil das Gesetz es verlangt.
Aufbewahrung und Löschung im Spannungsfeld
Hier treffen zwei Prinzipien aufeinander: Die DSGVO verlangt, Daten zu löschen, sobald sie nicht mehr benötigt werden. Das Steuerrecht verlangt jedoch, Rechnungen über mehrere Jahre aufzubewahren. In diesem Fall hat die gesetzliche Aufbewahrungspflicht Vorrang – Sie dürfen und müssen die Rechnungen also behalten, auch wenn ein Kunde die Löschung verlangt.
Aufbewahrungspflichten gehen einem Löschwunsch vor. Erst nach Ablauf der gesetzlichen Frist greift die Pflicht, die Daten tatsächlich zu entfernen.
Wichtig ist, dass Sie die Daten nach Ablauf der Aufbewahrungsfrist auch wirklich löschen oder anonymisieren. Ein durchdachtes Löschkonzept hilft dabei, den Überblick zu behalten und nicht jahrzehntelang Altdaten anzusammeln, für die es längst keinen Grund mehr gibt.
Informationspflicht und Betroffenenrechte
Kundinnen und Kunden haben das Recht zu erfahren, welche Daten Sie über sie verarbeiten und warum. Diese Informationspflicht erfüllen die meisten Selbstständigen über eine Datenschutzerklärung, etwa auf der eigenen Website. Darin erklären Sie unter anderem, dass Sie Rechnungsdaten zur Vertragserfüllung und aufgrund gesetzlicher Pflichten speichern.
Daneben können Betroffene Auskunft verlangen, Berichtigung fehlerhafter Daten fordern oder unter Umständen einer Verarbeitung widersprechen. Bei Rechnungsdaten ist das Recht auf Löschung allerdings durch die Aufbewahrungspflichten eingeschränkt, wie oben beschrieben.
Sicherer Versand und Dienstleister
Versenden Sie Rechnungen per E-Mail, sollten Sie auf einen angemessenen Schutz achten. Eine unverschlüsselte E-Mail mit sensiblen Inhalten ist datenschutzrechtlich heikel; bei einfachen Rechnungen an Privatkunden ist das Risiko meist überschaubar, dennoch lohnt sich ein Blick auf Verschlüsselung oder passwortgeschützte PDFs bei besonders sensiblen Daten.
Nutzen Sie eine cloudbasierte Software oder einen externen Dienstleister, der in Ihrem Auftrag Daten verarbeitet, brauchen Sie in der Regel einen Auftragsverarbeitungsvertrag. Seriöse Anbieter stellen einen solchen Vertrag bereit und legen offen, wo und wie Ihre Daten gespeichert werden.
Fazit
Datenschutz bei der Rechnungsstellung ist kein Hexenwerk: Verarbeiten Sie nur die nötigen Daten, halten Sie sich an die Aufbewahrungsfristen und löschen Sie danach konsequent, informieren Sie Ihre Kunden transparent und versenden Sie Rechnungen mit angemessenem Schutz. Wer von Anfang an saubere Prozesse hat, vermeidet Stress und schafft Vertrauen. Eine moderne Rechnungssoftware wie Billendo hilft dabei, Pflichtangaben automatisch korrekt zu setzen, Daten strukturiert zu speichern und den Überblick über Fristen zu behalten.
Hinweis: Dieser Artikel ersetzt keine Steuer- oder Rechtsberatung.
