DSGVO und Rechnungen

Rechnungsstellung ist eine zentrale Aufgabe jedes Unternehmen. Egal ob digital oder auf Papier: Rechnungen an Kunden sind die Grundlage für jeglichen Geschäftsbetrieb. Und ja, sie enthalten persönliche Daten.

Unabhängig von der Form und davon, ob der Empfänger ein Kunde eine Person oder ein anderes Unternehmen ist, enthalten Rechnungen immer Daten über deine Kunden. Schauen wir uns also zunächst an, welche Informationen auf jeder Rechnung zu finden sind.

Datenmapping

Die meisten Rechnungen enthalten mindestens diese Informationen:

  • Vorname und Nachname
  • E-Mail-Adresse
  • Rechnungsanschrift
  • Lieferadresse

Die in Rechnung gestellten Produkte und Dienstleistungen sind ebenfalls relevante und wertvolle Informationen. Mit ihrer Hilfe können zum Beispiel Kundenprofile für verschiedene Zwecke erstellt werden.

Fällt Rechnungsstellung also auch unter die DSGVO? Die Antwort ist einfach: Definitiv ja.

Die gute Nachricht ist, dass du diese Daten wahrscheinlich aus guten und rechtlich einwandfreien Gründen aufbewahrst. Um auf der sicheren Seite zu sein, wirst du also aller Voraussicht nach nicht Größeres verändern müssen, da es schon jetzt Gesetze zur Speicherung und Verarbeitung von Daten gibt.

Rechtliche Grundlagen

Im Zusammenhang mit Rechnungsstellung gibt es zwei Hauptgründe für das Speichern und Verarbeiten persönlicher Informationen:

Buchhalterische Pflichten

Unternehmen sind zur Buchhaltung und Steuererklärung verpflichtet. Dafür brauchst du selbstverständlich auch eine Liste deiner bisherigen Kunden und deren Kontaktdaten. Auch rechtlich ist dies ausdrücklich erlaubt – keine weiteren Erklärungen nötig.

Marketing und Vertriebsaktivitäten

  • Im Bereich B2C, also beim Verkauf an Endkunden, gibt es eine Besonderheit. Deine Kunden müssen explizit ihre Einverständniserklärung zur Kommunikation zu Vertriebszwecken und der Verarbeitung ihrer Daten geben. Meistens geschieht dies über eine Checkbox mit dem Satz “Ja, ich möchte über Angebote und Neuigkeiten informiert werden” im letzten Schritt des Kaufprozesses. Diese muss standardmäßig leer sein. Deine Kunde muss also explizit zustimmen. Du solltest prinzipiell immer davon ausgehen, dass du diese Art der Zustimmung für jegliche Art von Marketing benötigst.
  • Wenn deine Kunden andere Unternehmen sind, du also im Bereich B2B arbeitest, gelten andere Voraussetzungen. Die Grundlage hierfür ist sogenanntes “berechtigtes Interesse”. Du kannst also weitermachen wie bisher. Eine zusätzliche Zustimmung deiner Unternehmenskunden ist nicht nötig. Du musst jedoch genau erklären können, warum du die Daten speicherst und damit arbeitest. Außerdem musst du deinen Kunden trotzdem die Möglichkeit zur Ablehnung in Form eines Opt-Outs geben.

Datenspeicherung

Egal ob B2B oder B2C – du bist in jedem Fall für die Speicherung der persönlichen Daten verantwortlich. Außerdem bist du dazu verpflichtet, deine Kunden darüber zu informieren wo und unter welchen Bedingungen ihre Kontakt- und Einkaufsdaten gespeichert sind. Schau dir zunächst die Orte der Speicherung an. Wo und wie bewahrst du die Daten deiner Kunden auf? Ausgedruckt auf Papier? Als E-Mail? In Excel-Dateien? In deiner Buchhaltungssoftware? In Zervant?

Falls du selber Daten speicherst, solltest du offenlegen können, welche Vorkehrungen du zu ihrer Sicherheit triffst und unter welchen Voraussetzungen auf sie zugegriffen werden kann. Sind sie zum Beispiel online auf Google Drive in einem Ordner gespeichert, auf den nur du Zugriff hast? Sind sie sicher bei PayPal oder Zervant?

Mit Zervant werden Rechnungen als E-Mail verschickt. Hier solltest du wissen, dass die DSGVO E-Mails nicht genauer reguliert, ebenso wie andere Technologien zu deren Nutzung du dich selbst entscheidest.

Lege zudem offen, in welchem Land die Daten gespeichert sind, ob Angestellte oder Dritte außerhalb der EU Zugriff darauf haben, und wenn ja, warum und unter welchen Voraussetzungen. Wenn du selber Kundendaten bei dir aufbewahrst, ist die Antwort darauf einfach. Wenn du Dienste Dritter zur Datenspeicherung verwendest, sollten die Antworten auf diese Fragen in den jeweiligen Datenschutzrichtlinien zu finden sein (wie zum Beispiel in Zervant’s Datenschutzrichtlinien).

Transparenz

Sobald du dir selber ein Bild über die oben stehenden Punkte gemacht hast, musst du dies noch in aller Klarheit an deine Kunden kommunizieren. Der einfachste Weg dazu ist eine kurze und für Laien verständliche Datenschutzrichtlinie, die online bereitgestellt und zum Zeitpunkt eines Kaufs verfügbar ist. Das Timing ist eine gute Möglichkeit, deinem Kunden das Gefühl zu geben, dass ihm alle nötigen Informationen zur Verfügung stehen. Hast du zum Beispiel einen Onlineshop, solltest du im Checkout immer zu den Allgemeinen Geschäftsbedingungen und den Datenschutzrichtlinien verlinken. Außerdem solltest du darauf achten, dass alle Einverständniserklärungen eingeholt werden, etwa für die Rechnungsstellungen.

Du kannst selbstverständlich deine eigenen Datenschutzrichtlinien schreiben, wenn du dir das zutraust. Beachte dabei alle wichtigen Punkte und behalte das übergeordnete Ziel der Transparenz im Blick – damit solltest du auf dem richtigen Weg zur Umsetzung der DSGVO sein. Und hol dir Hilfe, wenn du dir nicht sicher bist: Unsere Kollegen von Portyr haben zum Beispiel verschiedene Tools entwickelt, die dir bei der Ein- und Durchführung verschiedener DSGVO-Maßnahmen helfen.

Einfach gesagt geht es bei der ganzen Sache schlichtweg darum, deinen Kunden und seine Rechte zu respektieren. Die folgenden Fragen interessierter Kunden solltest du einfach und jederzeit beantworten können:

  • Kann ich eine Kopie meiner Bestellhistorie bekommen? – Dieser Bitte musst du nachkommen. Bereite dich also darauf vor, deinen Kunden eine Auflistung aller getätigten Aufträge und Bestellungen zukommen zu lassen, in welcher Form auch immer.
  • Ich möchte meine Informationen ändern. – Dies kannst du wahrscheinlich jetzt schon ohne Probleme in deiner Kundendatenbank tun.
  • Bitte lösche meine Informationen und vergiss mich für immer. – Wie bereits erwähnt bist du rechtlich dazu verpflichtet, Rechnungen und dazugehörige Informationen  aufzubewahren. Dies kannst du deinen Kunden auch so sagen. Nichtsdestotrotz kann es sein, dass deine Kunden möchten, dass du Daten löscht, mit deren Hilfe etwa Profile zu Marketingzwecken erstellt werden können. Hier ist ein offenes und ehrliches Gespräch der richtige Weg um zu verstehen, welche Bedenken deine Kunden haben.
  • Wie lange bewahrst du meine Daten auf? – Auch dies steht im Zusammenhang mit deiner rechtlichen Verpflichtung zur Aufbewahrung von Informationen.

Mit diesen Schritten bist du auf dem richtigen Weg, den Überblick zu behalten und den “DSGVO-Sturm” ohne Weiteres zu überstehen.

Dieser Artikel is der 2. Teil unserer Mini-Serie zu den DSGVO für kleine Unternehmen. Teil 1 kannst du hier lesen. Dieser Artikel wurde von Seb Nemeth geschrieben, dem CEO und Co-Gründer von Portyr. Portyr schafft eine Plattform um DSGVO-bezogene Probleme von Unternehmen zu lösen, indem sie sinnvolle und umsetzbare Konzepte zur effektiven, nachvollziehbaren und schrittweisen Implementierung der Richtlinie anbieten. Übersetzt wurde dieser Artikel von Zervant.

Jetzt kostenlos Rechnungen schreiben

Einfach, schnell und sicher – Rechnungen in unter 60 Sekunden schreiben und verschicken!

Kostenlos anmelden
Zervant Rechnungsstellung