DSGVO-konformes Mahnwesen: Was Unternehmer 2026 wissen müssen
Ist automatisches Mahnwesen DSGVO-konform? Welche Daten dürfen Sie nutzen? Dieser Leitfaden erklärt die rechtlichen Grundlagen für Zahlungserinnerungen und Mahnungen in Deutschland.
Vor ein paar Jahren hat mich ein Freund angerufen – komplett aufgelöst. Sein Steuerberater hatte ihm gesagt, er dürfe keine automatischen Mahnungen mehr verschicken, weil das gegen die DSGVO verstoße. Der arme Kerl hatte gerade sein gesamtes Mahnsystem abgeschaltet und schickte wieder alles per Hand. Ich musste ihn beruhigen: Das war Quatsch. Zahlungserinnerungen sind keine Werbung. Sie sind Teil der Vertragserfüllung – und damit nach Art. 6 Abs. 1 lit. b DSGVO völlig legitim. Ohne Extra-Einwilligung, ohne Opt-in, ohne Drama.
Lass mich dir erklären, was wirklich gilt – und was du getrost ignorieren kannst.
Warum Mahnungen keine Marketing-Mails sind (und das wichtig ist)
Der Knackpunkt: Art. 6 Abs. 1 lit. b DSGVO erlaubt die Verarbeitung personenbezogener Daten, wenn sie "für die Erfüllung eines Vertrags erforderlich" ist. Eine offene Rechnung? Das ist ein offener Vertrag. Die Erinnerung an die Zahlung? Nichts anderes als die normale Vertragsabwicklung. Du erfüllst deinen Teil – und erinnern den Kunden an seinen.
"Aber ich habe doch schon eine Zahlungserinnerung geschickt – darf ich jetzt noch eine zweite?"
Ja. Auch die dritte Mahnung fällt unter Vertragserfüllung. Du mahnst eine bestehende Forderung, keine neue Kampagne.
Zusätzlich greift Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse): Als Gläubiger hast du ein berechtigtes wirtschaftliches Interesse daran, dein Geld zu bekommen. Das ist keine Grauzone – das steht so in der Verordnung.
Übersicht: Was braucht welche Rechtsgrundlage?
| Aktion | DSGVO-Grundlage | Einwilligung nötig? |
|---|---|---|
| Zahlungserinnerung per E-Mail | Art. 6 Abs. 1 lit. b (Vertragserfüllung) | Nein |
| Mahnung per Brief | Art. 6 Abs. 1 lit. b (Vertragserfüllung) | Nein |
| Automatischer Mahnversand | Art. 6 Abs. 1 lit. b + f | Nein |
| Daten an Inkasso weitergeben | Art. 6 Abs. 1 lit. f (berechtigtes Interesse) | Nein |
| Daten an Auskunftei melden | Art. 6 Abs. 1 lit. f (berechtigtes Interesse) | Nein |
Kurz gesagt: Mahnen ist dein gutes Recht. Keine Opt-in-Checkbox nötig.
Welche Daten darfst du nutzen? (Und welche nicht)
Für den Mahnprozess brauchst du im Grunde nur das Nötigste:
- Name und Anschrift – für die Zustellung
- E-Mail-Adresse – für elektronische Mahnungen
- Telefonnummer – für Anrufe (aber Vorsicht: nicht zum Dauer-Anrufen missbrauchen)
- Rechnungsdaten – Betrag, Nummer, Fälligkeitsdatum
- Zahlungshistorie – was schon bezahlt wurde, was noch offen ist
- Kommunikationsverlauf – vorherige Mahnungen, Antworten des Kunden
Was du definitiv nicht darfst:
- Mahndaten für Werbung oder Newsletter nutzen
- Zahlungsinformationen ohne Rechtsgrundlage an Dritte weitergeben
- Daten ewig aufbewahren (10 Jahre für Geschäftsbriefe – danach: weg damit)
- Schuldner öffentlich bloßstellen (z.B. in Foren oder Social Media)
Der AVV: Warum du ihn brauchst (und wie du ihn bekommst)
Wenn du einen externen Dienstleister wie Invoice Chaser nutzt, brauchst du einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO. Klingt nach Papierkram – ist aber in der Regel eine Sache von wenigen Klicks. Seriöse Anbieter haben den Vertrag vorbereitet, du unterschreibst digital, fertig.
Der AVV regelt im Wesentlichen:
- Welche Daten verarbeitet werden
- Zu welchem Zweck (hier: Mahnwesen)
- Welche Sicherheitsmaßnahmen gelten
- Was mit den Daten passiert, wenn der Vertrag endet (Löschung, Rückgabe)
Ohne AVV darfst du personenbezogene Daten nicht an einen Dienstleister geben. Punkt. Das ist keine Formalie, sondern Pflicht.
Bei Invoice Chaser bekommst du den AVV automatisch beim Onboarding. Wir haben das bewusst so einfach gemacht, weil wir wissen: Niemand will sich durch 50 Seiten Juristendeutsch quälen.
Automatisierung: Geht das DSGVO-konform?
Ja. Automatisches Mahnwesen ist erlaubt – wenn ein paar Dinge stimmen:
1. Technische und organisatorische Maßnahmen (TOMs)
Der Dienstleister muss nachweisen, dass er seine Hausaufgaben macht:
- Verschlüsselung bei Übertragung (mind. TLS 1.2) und Speicherung
- Zugriffskontrolle und starke Authentifizierung
- Regelmäßige Sicherheitsüberprüfungen
- Backup-Verfahren
- Pseudonymisierung, wo sinnvoll möglich
2. Datenminimierung
Es dürfen nur die Daten verarbeitet werden, die für den Mahnprozess wirklich nötig sind. Keine "nice to have"-Felder, keine Extra-Daten für spätere Analysen.
3. Transparenz
Grundsätzlich brauchst du keine extra Einwilligung für Mahnungen – berechtigtes Interesse reicht. Aber es ist trotzdem eine gute Idee, in deiner Datenschutzerklärung oder AGB darauf hinzuweisen. Wir geben dir beim Onboarding eine fertige Klausel, die du einfach in deine AGB bzw. Datenschutzerklärung kopieren kannst.
Server-Standort: Warum Deutschland wichtig ist
Die DSGVO ist streng bei der Übermittlung von Daten in Drittländer. Wenn dein Mahndienstleister Server in den USA oder anderswo außerhalb der EU hat, wird es kompliziert – Standardvertragsklauseln, Zusatzabkommen, Risikobewertung. Alles machbar, aber nervig.
Einfacher: Dienste mit Servern in Deutschland oder der EU. Dann ist das Thema vom Tisch.
Bei Invoice Chaser liegen alle Server in Frankfurt am Main. Deine Kundendaten verlassen nie die deutschen Grenzen. Das war mir bei der Gründung wichtig – ich kenne die Bedenken, die viele haben, wenn es um Rechnungs- und Zahlungsdaten geht.
Worauf du bei der Wahl eines Mahndienstleisters achten solltest:
- Serverstandort (EU, idealerweise Deutschland)
- ISO 27001 oder vergleichbare Standards
- Regelmäßige Security-Audits
- Verschlüsselung (mindestens 256-Bit SSL)
Häufige Fragen – kurz beantwortet
Darf ich E-Mails für Mahnungen nutzen, wenn der Kunde nur eine Geschäfts-E-Mail angegeben hat?
Ja. Die E-Mail wurde im Rahmen des Vertragsverhältnisses erhoben und darf für die Vertragsabwicklung – inklusive Mahnungen – genutzt werden.
Muss ich den Kunden vor jeder automatischen Mahnung informieren?
Nein. Es reicht, wenn in deiner Datenschutzerklärung oder den AGB auf den automatisierten Mahnprozess hingewiesen wird.
Wie lange darf ich Mahndaten aufbewahren?
Nach § 257 HGB und § 147 AO: Geschäftsbriefe 6 Jahre, Buchungsbelege 10 Jahre. Mahnungen fallen darunter.
Darf ich einen Drittanbieter mit dem Mahnwesen beauftragen?
Ja – mit gültigem AVV und nachweisbaren Sicherheitsmaßnahmen.
Checkliste: Bist du DSGVO-konform unterwegs?
Nutze diese Tabelle, um dein Setup zu prüfen:
| Anforderung | Erledigt? |
|---|---|
| Rechtsgrundlage dokumentiert (Vertragserfüllung / berechtigtes Interesse) | ☐ |
| Datenschutzerklärung enthält Hinweis auf Mahnverfahren | ☐ |
| Bei externem Dienstleister: AVV abgeschlossen | ☐ |
| Server in EU/Deutschland | ☐ |
| Verschlüsselung bei Übertragung und Speicherung | ☐ |
| Datenminimierung: Nur notwendige Daten werden verarbeitet | ☐ |
| Aufbewahrungsfristen definiert | ☐ |
| Löschkonzept vorhanden | ☐ |
| Mitarbeiter geschult | ☐ |
Fazit
DSGVO-konformes Mahnwesen ist kein Hexenwerk. Die Rechtsgrundlage für Zahlungserinnerungen ist klar: Art. 6 Abs. 1 lit. b und f – Vertragserfüllung und berechtigtes Interesse. Du brauchst keine Einwilligung, keine Opt-in-Checkbox, keine Panik. Mit dem richtigen Setup – AVV, Server in Deutschland, saubere Prozesse – bist du auf der sicheren Seite. Automatisierung ist nicht nur erlaubt, sie ist die sinnvollste Lösung. Also: Keine Angst vor der DSGVO. Mahnen darfst du.
Mahnwesen automatisieren?
Testen Sie Invoice Chaser kostenlos – erste Rechnung geht auf uns.
Jetzt kostenlos testen