DSGVO bei Angeboten und Kundendaten
Welche Kundendaten Sie speichern dürfen, Aufbewahrungsfristen und die passenden Rechtsgrundlagen für Ihre Datenverarbeitung.
Als Freelancer verarbeiten Sie täglich personenbezogene Daten Ihrer Kunden – von Kontaktdaten bis zu Projektinformationen. Die DSGVO stellt klare Anforderungen an diese Verarbeitung. Dieser Leitfaden erklärt, was Sie beachten müssen, um datenschutzkonform zu arbeiten.
Grundprinzipien der DSGVO
Datenminimierung (Art. 5 DSGVO)
Der wichtigste Grundsatz: Erheben Sie nur Daten, die Sie tatsächlich benötigen. Fragen Sie sich bei jedem Datenfeld:
- Brauche ich diese Information für die Angebotserstellung?
- Brauche ich sie für die Vertragsdurchführung?
- Gibt es eine gesetzliche Pflicht zur Speicherung?
Wenn alle Antworten „Nein" lauten, sollten Sie die Daten nicht erheben.
Zweckbindung
Daten dürfen nur für den Zweck verwendet werden, für den sie erhoben wurden. Kundendaten aus einem Angebot dürfen nicht ohne weiteres für Marketing verwendet werden.
Speicherbegrenzung
Daten müssen gelöscht werden, sobald der Zweck erfüllt ist – es sei denn, gesetzliche Aufbewahrungspflichten bestehen.
Welche Daten dürfen gespeichert werden?
Notwendige Daten für die Angebotserstellung
Diese Daten sind für die Vertragsanbahnung erforderlich und dürfen ohne zusätzliche Einwilligung gespeichert werden:
| Daten | Zweck | Rechtsgrundlage |
|---|---|---|
| Firmenname | Empfängerangaben | Art. 6 Abs. 1 lit. b |
| Geschäftsadresse | Empfängerangaben, Rechnungsstellung | Art. 6 Abs. 1 lit. b |
| E-Mail-Adresse | Kommunikation, Versand | Art. 6 Abs. 1 lit. b |
| Name des Ansprechpartners | Personalisierung | Art. 6 Abs. 1 lit. b |
| Projektbeschreibung | Angebotserstellung | Art. 6 Abs. 1 lit. b |
Optionale Daten (mit Zusatzlegitimation)
Für diese Daten benötigen Sie entweder ein berechtigtes Interesse oder eine Einwilligung:
| Daten | Rechtsgrundlage | Hinweis |
|---|---|---|
| Telefonnummer | Art. 6 Abs. 1 lit. f (berechtigtes Interesse) | Für schnelle Rückfragen |
| Projekthistorie | Art. 6 Abs. 1 lit. f | Für bessere Folgebetreuung |
| Persönliche Notizen | Art. 6 Abs. 1 lit. f | Keine sensiblen Informationen |
| Newsletter-Anmeldung | Art. 6 Abs. 1 lit. a (Einwilligung) | Aktives Opt-in erforderlich |
Daten, die Sie nicht speichern sollten
- Private Kontaktdaten (private Handynummer, private E-Mail)
- Gesundheitsdaten
- Politische oder religiöse Überzeugungen
- Finanzdaten, die für Ihr Angebot irrelevant sind
Aufbewahrungsfristen
Änderungen durch das 4. Bürokratieentlastungsgesetz (2025)
Ab 2025 wurden einige Aufbewahrungsfristen verkürzt:
| Dokumenttyp | Aufbewahrungsfrist | Rechtsgrundlage |
|---|---|---|
| Angebote (ohne Vertragsschluss) | 3 Jahre | Verjährung nach BGB |
| Angebote (mit Vertragsschluss) | 6 Jahre | § 257 HGB |
| Rechnungen | 8 Jahre (vorher 10) | § 257 HGB (neu ab 2025) |
| Buchungsbelege | 8 Jahre (vorher 10) | § 257 HGB (neu ab 2025) |
| Jahresabschlüsse | 10 Jahre | § 257 HGB |
| Verträge | 6 Jahre | § 257 HGB |
Fristbeginn
Die Frist beginnt mit Schluss des Kalenderjahres, in dem das Dokument entstanden ist.
Beispiel: Ein Angebot vom 15. März 2025 muss bis zum 31. Dezember 2031 aufbewahrt werden (6 Jahre ab Ende 2025).
Löschpflicht nach Fristablauf
Nach Ablauf der Aufbewahrungsfrist besteht eine Löschpflicht nach Art. 17 DSGVO. Die Löschung sollte innerhalb von 6-12 Monaten erfolgen.
Tipp: Richten Sie sich eine jährliche Erinnerung ein, um abgelaufene Daten zu prüfen und zu löschen.
Rechtsgrundlagen für die Verarbeitung
Jede Datenverarbeitung benötigt eine Rechtsgrundlage nach Art. 6 DSGVO:
Art. 6 Abs. 1 lit. b – Vertragserfüllung
Wann anwendbar: Wenn die Verarbeitung für die Erfüllung eines Vertrags oder für vorvertragliche Maßnahmen erforderlich ist.
Beispiele:
- Kundendaten für die Angebotserstellung auf Anfrage
- Kontaktdaten für die Projektdurchführung
- Rechnungsdaten für die Abrechnung
Art. 6 Abs. 1 lit. c – Rechtliche Verpflichtung
Wann anwendbar: Wenn eine gesetzliche Pflicht zur Verarbeitung besteht.
Beispiele:
- Aufbewahrung von Rechnungen für das Finanzamt
- Angabe der Steuernummer auf Angeboten
- Dokumentation für Gewährleistungsansprüche
Art. 6 Abs. 1 lit. f – Berechtigtes Interesse
Wann anwendbar: Wenn Sie ein berechtigtes Interesse an der Verarbeitung haben und die Interessen der betroffenen Person nicht überwiegen.
Beispiele:
- Speicherung der Projekthistorie für bessere Folgebetreuung
- Telefonnummer für schnelle Rückfragen
- Interne Notizen zur Kundenbeziehung
Wichtig: Bei berechtigtem Interesse müssen Sie eine Interessenabwägung dokumentieren.
Art. 6 Abs. 1 lit. a – Einwilligung
Wann anwendbar: Wenn keine andere Rechtsgrundlage greift und die betroffene Person einwilligt.
Beispiele:
- Newsletter-Versand an Interessenten
- Marketing-E-Mails nach Projektabschluss
- Veröffentlichung von Referenzen mit Kundenname
Anforderungen an die Einwilligung:
- Freiwillig und informiert
- Aktives Opt-in (keine vorausgefüllten Checkboxen)
- Jederzeit widerrufbar
- Dokumentiert
Auftragsverarbeitungsvertrag (AVV)
Wann ist ein AVV erforderlich?
Wenn Sie als Freelancer personenbezogene Daten im Auftrag eines Kunden verarbeiten (z.B. Marketing-Kampagnen, Webentwicklung mit Kundendaten), benötigen Sie einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO.
Proposal Air als Auftragsverarbeiter
Wenn Sie Proposal Air nutzen, verarbeiten wir Kundendaten in Ihrem Auftrag. Wir stellen einen AVV bereit, der folgende Inhalte umfasst:
- Gegenstand und Dauer der Verarbeitung
- Art der personenbezogenen Daten
- Kategorien betroffener Personen
- Pflichten und Rechte des Verantwortlichen (Sie)
- Technische und organisatorische Maßnahmen
- Regelungen zu Unterauftragsverarbeitern
- Löschung/Rückgabe nach Vertragsende
Betroffenenrechte
Ihre Kunden haben folgende Rechte nach DSGVO:
| Recht | Artikel | Ihre Pflicht |
|---|---|---|
| Auskunft | Art. 15 | Innerhalb eines Monats antworten |
| Berichtigung | Art. 16 | Falsche Daten korrigieren |
| Löschung | Art. 17 | Daten löschen (wenn keine Aufbewahrungspflicht) |
| Einschränkung | Art. 18 | Verarbeitung einschränken |
| Datenübertragbarkeit | Art. 20 | Daten in maschinenlesbarem Format bereitstellen |
| Widerspruch | Art. 21 | Verarbeitung einstellen (bei berechtigtem Interesse) |
Tipp: Bereiten Sie Vorlagen für Betroffenenanfragen vor, um schnell reagieren zu können.
Tipps für Proposal Air
So arbeiten Sie datenschutzkonform mit Proposal Air:
- Nur notwendige Daten erfassen – Nutzen Sie nur die Felder, die Sie wirklich brauchen
- Kundendaten pflegen – Halten Sie Daten aktuell und löschen Sie veraltete Einträge
- Export-Funktion nutzen – Für Auskunftsanfragen können Sie Kundendaten exportieren
- Löschfunktion nutzen – Löschen Sie Kunden, wenn keine Aufbewahrungspflicht mehr besteht
- AVV unterzeichnen – Stellen Sie sicher, dass der AVV mit uns abgeschlossen ist
Checkliste für datenschutzkonforme Angebote
- Nur notwendige Kundendaten erfasst
- Rechtsgrundlage für Verarbeitung identifiziert
- Aufbewahrungsfristen dokumentiert
- Löschprozess für abgelaufene Daten etabliert
- Datenschutzhinweis auf Website/in E-Mails
- AVV mit Proposal Air abgeschlossen
- Prozess für Betroffenenanfragen vorbereitet
Weiterführende Themen
- Elektronische Signaturen – Datenschutz bei digitaler Unterzeichnung
- Best Practices – Pflichtangaben auf Angeboten
- Steuern & Recht – Steuerliche Aufbewahrungspflichten
Elektronische Signaturen
Die drei Signatur-Stufen nach eIDAS, wann welche Signatur ausreicht und warum Canvas-Signaturen für die meisten Freelancer-Verträge rechtsgültig sind.
Conversion-Optimierung für Angebote
Statistiken zur Annahmequote, psychologische Überzeugungstechniken wie 3-Tier-Pricing und Follow-up Best Practices für mehr Aufträge.