DSGVO-konforme Tools für Selbstständige: Welche sind sicher?
Welche Business-Tools sind DSGVO-konform? EU- vs. US-Hosting, Art. 28 AVV und Schrems II — was Einzelunternehmer 2026 wirklich prüfen müssen.
DSGVO: Kein Papiertiger, sondern echtes Risiko
Ein Business-Tool ist DSGVO-konform, wenn drei Dinge zusammenkommen: Server in der EU oder in einem Drittland mit gültigem Angemessenheitsbeschluss, ein schriftlicher Auftragsverarbeitungsvertrag nach Art. 28 DSGVO und dokumentierte technische sowie organisatorische Maßnahmen. Fehlt eines davon, verarbeitest du personenbezogene Daten ohne saubere Rechtsgrundlage.
"DSGVO betrifft mich als kleinen Selbstständigen doch nicht." — Doch. Und zwar ab dem ersten Kunden, dessen Daten du digital verarbeitest. Die Datenschutz-Grundverordnung (Verordnung (EU) 2016/679) gilt seit dem 25. Mai 2018 und unterscheidet nicht zwischen DAX-Konzern und Solo-Selbstständigem. Der Bußgeldrahmen nach Art. 83 Abs. 5 DSGVO liegt bei bis zu 20 Mio. Euro oder 4 Prozent des weltweiten Jahresumsatzes.
Was "personenbezogene Daten" im Alltag bedeutet
Personenbezogene Daten sind nach Art. 4 Nr. 1 DSGVO alle Informationen, die eine natürliche Person identifizierbar machen. Für dich als Einzelunternehmer heißt das: Fast alles, was du über deine Kunden speicherst, fällt darunter.
| Datentyp | Personenbezogen? | Typischer Speicherort |
|---|---|---|
| Kundenname | Ja | CRM, Rechnungstool |
| E-Mail-Adresse | Ja | CRM, E-Mail-Client |
| Telefonnummer | Ja | CRM, Smartphone |
| Firmenadresse | Ja (wenn Einzelunternehmen) | Rechnungstool |
| Rechnungsbeträge | Ja (zuordenbar) | Rechnungstool, Buchhaltung |
| Zeiterfassung pro Kunde | Ja (zuordenbar) | Zeiterfassungstool |
| Gesprächsnotizen | Ja | CRM, Notizen |
| Bankverbindung | Ja | Rechnungstool |
| IP-Adresse | Ja | Website-Logs, Analytics |
INFOGRAFIK: Vergleichstabelle — Datenarten und wo sie liegen, 800px
Die drei DSGVO-Fragen für jedes Tool
Bevor du ein Tool produktiv einsetzt, beantworte diese drei Fragen. Sie decken etwa 90 Prozent der Prüfung ab.
1. Wo liegen die Daten?
| Standort | DSGVO-Status | Was du brauchst |
|---|---|---|
| Deutschland | Konform | AVV nach Art. 28 |
| EU / EWR | Konform | AVV nach Art. 28 |
| USA mit DPF | Bedingt konform | AVV + DPF-Zertifikat des Anbieters |
| USA ohne DPF | Problematisch | SCCs + Transfer Impact Assessment |
| Andere Drittländer | Problematisch | Angemessenheitsbeschluss prüfen oder SCCs |
Ein Hinweis zu US-Anbietern mit "EU-Region" (zum Beispiel AWS Frankfurt, Microsoft Azure Deutschland): Der physische Serverstandort schützt nicht automatisch vor Zugriffen nach dem US-CLOUD Act, solange das Mutterunternehmen US-Recht unterliegt. Das ist der Kern der Schrems-II-Debatte.
2. Gibt es einen Auftragsverarbeitungsvertrag nach Art. 28?
Der AVV (Data Processing Agreement, DPA) ist der zentrale Vertrag, wenn ein Dienstleister personenbezogene Daten in deinem Auftrag verarbeitet. Ohne AVV darfst du diese Daten nicht in einem externen Tool verarbeiten. Punkt.
Art. 28 Abs. 3 DSGVO schreibt Pflichtinhalte vor:
- Gegenstand, Dauer, Art und Zweck der Verarbeitung
- Art der personenbezogenen Daten
- Kategorien betroffener Personen
- Pflichten und Rechte des Verantwortlichen
- Weisungsgebundenheit des Auftragsverarbeiters
- Regelung zu Unterauftragnehmern (Subprozessoren)
- Technische und organisatorische Maßnahmen nach Art. 32
Gute Zeichen bei einem Anbieter:
- AVV ist auf der Website als Download verfügbar oder im Admin-Panel mit einem Klick abschließbar
- Unterauftragnehmer sind namentlich dokumentiert
- TOMs (Verschlüsselung, Zugriffskontrolle, Backup-Konzept) sind beschrieben
Schlechte Zeichen:
- Kein AVV auffindbar
- Formulierungen wie "Wir respektieren Ihre Privatsphäre" ohne konkreten Vertrag
- Nur eine US-amerikanische Privacy Policy, kein Vertragsangebot nach EU-Recht
3. Was passiert bei einer Datenpanne?
Art. 33 Abs. 1 DSGVO: Der Verantwortliche muss eine Verletzung des Schutzes personenbezogener Daten binnen 72 Stunden nach Bekanntwerden an die zuständige Aufsichtsbehörde melden. Dein Tool-Anbieter muss dich so rechtzeitig informieren, dass du diese Frist einhalten kannst. Prüfe, ob der AVV das ausdrücklich regelt.
EU vs. US: Was Schrems II praktisch bedeutet
Das EuGH-Urteil Schrems II (Rechtssache C-311/18 vom 16.07.2020) kippte das damalige EU-US Privacy Shield. Seit dem 10.07.2023 gibt es den Nachfolger: das EU-US Data Privacy Framework (Angemessenheitsbeschluss (EU) 2023/1795). Daraus ergeben sich drei Szenarien.
Szenario 1: EU-Hosting
- Daten verlassen den Europäischen Wirtschaftsraum nicht.
- Kein Drittlandtransfer, kein Transfer Impact Assessment nötig.
- Rechtsgrundlage: Art. 28 DSGVO (AVV reicht).
- Risiko: minimal.
Beispiele: Hetzner (Falkenstein, Nürnberg, Helsinki), IONOS, Strato, Proton, sevDesk, lexoffice.
Szenario 2: US-Hosting mit aktivem DPF-Status
- Daten werden in die USA übertragen.
- Der Anbieter ist im EU-US Data Privacy Framework zertifiziert.
- Angemessenheitsbeschluss (EU) 2023/1795 greift. Zusätzlich AVV nach Art. 28 DSGVO.
- Risiko: gering, aber Restrisiko vorhanden. Der Datenschutzverband noyb klagt gegen den DPF — Bestand ist nicht garantiert.
Prüfbar unter dataprivacyframework.gov. Aktueller DPF-Status ist Voraussetzung, kein Bonuspunkt.
Szenario 3: US-Hosting ohne DPF
- Daten werden in die USA übertragen.
- Kein anerkannter Schutzrahmen greift.
- Du brauchst Standardvertragsklauseln (Durchführungsbeschluss (EU) 2021/914) plus Transfer Impact Assessment plus gegebenenfalls zusätzliche Maßnahmen wie Ende-zu-Ende-Verschlüsselung.
- Risiko: hoch. Im Zweifel nicht nutzen.
Populäre Tools im DSGVO-Check
Stand April 2026. DPF-Status ändert sich — prüfe im Zweifel selbst unter dataprivacyframework.gov.
| Tool | Server | AVV | DPF-Status | Einordnung |
|---|---|---|---|---|
| Toggl Track | US (AWS) | Ja | Aktiv | Bedingt konform |
| Clockify | US | Ja | Aktiv | Bedingt konform |
| Notion | US (AWS) | Ja | Aktiv (seit 09.2023) | Bedingt konform |
| Todoist | US / EU-Option (Enterprise) | Ja | Aktiv | Bedingt konform |
| HubSpot | US, EU-Datenhosting optional | Ja | Aktiv | Bedingt konform |
| Trello / Atlassian | US (AWS) | Ja | Aktiv | Bedingt konform |
| Mailchimp (Intuit) | US | Ja | Aktiv | Bedingt konform, Behördenverfahren in Historie |
| sevDesk | DE | Ja | — | Konform |
| lexoffice | DE | Ja | — | Konform |
| Matomo (self-hosted) | Eigener Server | Nicht nötig (Eigenbetrieb) | — | Konform |
| Wave Accounting | Kanada / US | Standardmäßig kein deutscher AVV | — | Problematisch |
| SaaS Rebels | DE (Hetzner) | Ja | — | Konform |
INFOGRAFIK: Vergleichstabelle — Tool-Matrix DSGVO-Status, 800px
Der Status "bedingt konform" heißt: Einsatz möglich, wenn AVV unterschrieben ist und der DPF-Status aktuell gültig ist. Fällt der DPF, musst du kurzfristig auf SCCs umstellen oder den Anbieter wechseln.
Deine DSGVO-Pflichten als Selbstständiger
Fünf konkrete Pflichten, die für dich gelten — unabhängig von der Unternehmensgröße.
1. Verarbeitungsverzeichnis nach Art. 30
Das Verzeichnis von Verarbeitungstätigkeiten (VVT) ist Pflicht. Die Ausnahme in Art. 30 Abs. 5 DSGVO greift nur bei weniger als 250 Mitarbeitern UND nicht-regelmäßiger Verarbeitung. Wer Kundendaten verarbeitet, fällt praktisch nie in die Ausnahme.
Pflichtinhalte:
- Name und Kontakt des Verantwortlichen
- Verarbeitungszwecke
- Kategorien der Daten und Betroffenen
- Empfänger (auch in Drittländern)
- Löschfristen
- TOMs (Verschlüsselung, Zugriff, Backup)
Eine Tabelle reicht. Kein 50-seitiges Dokument.
| Tool | Datenart | Zweck | Server | AVV | Löschfrist |
|---|---|---|---|---|---|
| SaaS Rebels | Kunden-, Rechnungsdaten | Rechnungserstellung | DE | Ja | 10 Jahre (§ 147 AO) |
| E-Mail-Provider | E-Mails, Metadaten | Kommunikation | DE | Ja | 6 Jahre (§ 257 HGB) |
| Smartphone-Kontakte | Namen, Telefon | Erreichbarkeit | Lokal | — | sofort bei Geschäftsende |
2. AVVs einsammeln
Für jedes Tool, in dem Kundendaten liegen, brauchst du einen AVV. Die meisten Anbieter bieten ihn als Self-Service im Admin-Panel oder per Support-Ticket an. Lege die unterschriebenen AVVs in einem Ordner ab — digital reicht.
3. Datenschutzerklärung nach Art. 13
Wenn du eine Website betreibst (und das solltest du), brauchst du eine Datenschutzerklärung. Sie muss benennen:
- Welche Daten du erhebst
- Warum du sie erhebst
- Welche Tools du nutzt (Analytics, Newsletter, Kontaktformular)
- Wo die Daten liegen und ob Drittlandtransfers stattfinden
4. Löschkonzept nach Art. 5 Abs. 1 lit. e
Daten dürfen nur so lange gespeichert werden, wie es der Zweck erfordert. Das kollidiert mit Aufbewahrungspflichten:
- Rechnungen und Buchungsbelege: 10 Jahre (§ 147 AO, § 257 HGB)
- Geschäftsbriefe: 6 Jahre
- Kontakt- und Stammdaten ohne vertragliche Grundlage: deutlich kürzer, je nach Zweck
Ein Löschkonzept legt fest, was wann gelöscht wird. Das kann eine zweispaltige Liste sein: Datenart links, Löschfrist rechts.
5. 72-Stunden-Meldepflicht nach Art. 33
Wenn bei dir oder deinem Dienstleister Daten abhandenkommen (Hack, verlorenes Laptop, versehentlicher Versand an falsche Empfänger), musst du die zuständige Aufsichtsbehörde binnen 72 Stunden informieren. Bei hohem Risiko für Betroffene auch diese selbst (Art. 34 DSGVO). Klär vorher, wie dein Tool-Anbieter dich im Schadensfall informiert.
INFOGRAFIK: Checkliste — DSGVO-Pflichten als Selbstständiger, 800px
Die häufigsten DSGVO-Fehler
1. Gar nichts tun
"Ich bin zu klein, das kontrolliert keiner." — Bis ein unzufriedener Kunde Beschwerde bei der Datenschutzbehörde einreicht. Dann beginnt das Verfahren mit Auskunftsersuchen, nicht mit Bußgeld — aber wer nichts dokumentiert hat, steht schlecht da.
2. US-Tools ohne Prüfung einsetzen
Nicht jedes US-Tool ist automatisch ein Problem. Aber du musst aktiv prüfen: DPF-Status? AVV? Fehlt beides, geht es nicht.
3. Kundendaten per WhatsApp austauschen
WhatsApp (Meta) verarbeitet Metadaten umfangreich. Für geschäftliche Kommunikation mit Kundendaten ist das problematisch. Besser: E-Mail mit EU-Provider, Signal oder Threema.
4. Alte Daten nie löschen
Die Speicherbegrenzung nach Art. 5 Abs. 1 lit. e DSGVO heißt: Nicht mehr benötigte Daten weg. Ausnahme sind steuerliche oder handelsrechtliche Aufbewahrungspflichten — aber die gelten nicht für jede E-Mail und jeden Kontakt.
5. Kein Backup-Konzept
Datenverlust ist ebenfalls ein DSGVO-Thema. Art. 32 DSGVO verlangt, dass du die Verfügbarkeit personenbezogener Daten sicherstellst. Ein versionierbares Backup gehört dazu.
Dein pragmatischer DSGVO-Fahrplan
Du musst kein Datenschutz-Experte werden. Dieser Minimal-Fahrplan reicht für den Start:
- Heute: Liste alle Tools auf, in denen Kundendaten liegen.
- Diese Woche: Prüfe für jedes Tool Server-Standort und AVV. Notiere den DPF-Status bei US-Anbietern.
- Diesen Monat: Ersetze Tools ohne AVV oder mit problematischem Hosting durch EU-Alternativen.
- Einmalig: Verarbeitungsverzeichnis erstellen (eine Stunde reicht, eine Tabelle genügt).
- Einmalig: Datenschutzerklärung auf der Website — Generatoren wie eRecht24 oder Datenschutz-Generator.de helfen beim Grundgerüst.
- Jährlich: Verzeichnis aktualisieren, neue Tools prüfen, DPF-Status nachsehen.
Fazit
DSGVO ist kein Hexenwerk, aber auch kein optionaler Luxus. Wer personenbezogene Daten verarbeitet — und das tust du ab dem ersten Kunden — ist verantwortlich.
Die gute Nachricht: Du musst nicht perfekt sein. Du musst nachweislich etwas tun. Ein Verarbeitungsverzeichnis, AVVs für deine Tools und EU-Hosting, wo möglich — damit bist du besser aufgestellt als 80 Prozent aller Einzelunternehmer.
Die beste Nachricht: Wenn du Tools nutzt, die in der EU gehostet werden, hast du die halbe DSGVO-Arbeit schon erledigt. Keine SCCs, kein Transfer Impact Assessment, keine Abhängigkeit von einem US-Angemessenheitsbeschluss, der morgen vor Gericht stehen könnte.
TL;DR
DSGVO-konforme Tools erkennst du an drei Merkmalen: Server in der EU oder in einem Drittland mit gültigem Angemessenheitsbeschluss, schriftlicher AVV nach Art. 28 DSGVO und klare Meldeprozesse bei Datenpannen innerhalb von 72 Stunden. EU-Hosting ist der einfachste Weg, US-Tools brauchen aktiven DPF-Status oder SCCs plus Transfer Impact Assessment. Pflicht sind außerdem Verarbeitungsverzeichnis nach Art. 30, Datenschutzerklärung nach Art. 13 und Löschkonzept nach Art. 5 Abs. 1 lit. e.
FAQ
Muss ich als kleiner Einzelunternehmer ein Verarbeitungsverzeichnis führen?
Ja. Die Ausnahme in Art. 30 Abs. 5 DSGVO greift für Selbstständige praktisch nie, weil sie regelmäßig Kundendaten verarbeiten. Eine einfache Tabelle mit Tool, Zweck, Datenart, Server und AVV reicht aus.
Darf ich US-Tools wie Notion oder Toggl noch nutzen?
Ja, wenn der Anbieter aktuell im EU-US Data Privacy Framework zertifiziert ist und ein AVV nach Art. 28 DSGVO vorliegt. Prüfe den DPF-Status unter dataprivacyframework.gov. Ohne DPF brauchst du Standardvertragsklauseln plus Transfer Impact Assessment.
Wie schnell muss ich eine Datenpanne melden?
Binnen 72 Stunden ab Kenntnis der Verletzung an die zuständige Aufsichtsbehörde (Art. 33 Abs. 1 DSGVO). Bei hohem Risiko für Betroffene zusätzlich Information an die Betroffenen selbst (Art. 34).
Was ist ein AVV und wer braucht ihn?
Der Auftragsverarbeitungsvertrag nach Art. 28 DSGVO regelt, wie ein externer Dienstleister mit deinen Kundendaten umgeht. Jeder Selbstständige braucht ihn für jedes Tool, das personenbezogene Daten verarbeitet — von der Buchhaltung bis zum E-Mail-Provider.
Wie lange darf ich Kundendaten speichern?
So lange der Zweck es erfordert (Art. 5 Abs. 1 lit. e DSGVO). Für Rechnungen gilt zusätzlich die steuerliche Aufbewahrungspflicht von 10 Jahren nach § 147 AO und § 257 HGB. Nicht mehr benötigte Stamm- oder Kommunikationsdaten musst du löschen.
Weiterlesen
- Wave Alternative DSGVO-konform — Konkrete DSGVO-Probleme mit Wave und EU-Alternativen
- Freelancer-Toolkit 2026 — DSGVO-konforme Tools für jede Kategorie
- Kundenverwaltung als Selbstständiger — Kundendaten sauber verwalten
- Toggl Alternative — EU-Alternativen zur Zeiterfassung
- Clockify Alternative — Deutsche Zeiterfassung ohne US-Transfer
DSGVO-konform arbeiten: SaaS Rebels läuft auf deutschen Servern — Hetzner Deutschland, AVV verfügbar, Daten in der EU.