Sind Rechnungsdaten überhaupt personenbezogene Daten?

Oft ja. Rechnungen enthalten regelmäßig Namen, Ansprechpartner, E-Mail-Adressen, IBANs oder andere geschäftsbezogene Angaben, die unter die DSGVO fallen können.

Machen Auftragsverarbeitungsverträge US-Tools automatisch unproblematisch?

Nicht automatisch. DPAs und Standardvertragsklauseln können US-Tools nutzbar machen, aber sie beseitigen nicht jede Schrems-II-Prüffrage. Für viele Kanzleien ist EU-Hosting deshalb der einfachere Weg.

Heißt EU-Server automatisch DSGVO-konform?

Nein. Auch ein EU-gehostetes Tool braucht klare Löschfristen, Zugriffskontrollen, Verträge und eine saubere technische Umsetzung. Der Serverstandort ist wichtig, aber nicht der einzige Punkt.

Back to blog

Compliance2026-05-225 min read

DSGVO-konforme Belegerfassung: Warum der Serverstandort entscheidet

Warum der Serverstandort bei Rechnungsdaten mehr ist als ein Infrastrukturdetail — und welche fünf Fragen Steuerberater jeder Belegerfassungs-Software stellen sollten.

ComplianceDSGVOSteuerberaterBelegerfassung

Wenn über Belegerfassung gesprochen wird, fällt oft zuerst das Wort „Automatisierung“. Was seltener offen besprochen wird, ist die zweite Hälfte der Entscheidung: Wohin gehen die Daten eigentlich, sobald die Rechnung hochgeladen wird?

Für Steuerberater und Buchhalter ist das kein Nebenthema. Rechnungen sind nicht einfach nur Zahlen auf Papier. Sie enthalten Namen, Ansprechpartner, E-Mail-Adressen, Bankverbindungen, Leistungsbeschreibungen und manchmal sogar personenbezogene Freitexte. Genau deshalb ist der Serverstandort kein Infrastrukturdetail für die IT-Abteilung, sondern ein echter Teil der Compliance-Frage.

Schrems II in normalem Deutsch

Seit dem Schrems-II-Urteil ist die Lage für europäische Firmen einfacher zu verstehen als viele glauben. Die Kernaussage lautet nicht „US-Software ist verboten“. Die Kernaussage lautet: Wenn personenbezogene Daten in die USA übertragen werden, muss die Rechtsgrundlage und das tatsächliche Schutzniveau genau geprüft werden.

Für Kanzleien heißt das praktisch: Ein Tool kann funktional hervorragend sein und trotzdem zusätzliche Datenschutzarbeit verursachen. Auftragsverarbeitungsvertrag, Subprocessor-Liste, Datenflüsse, Zugriffsmöglichkeiten, Speicherort, Löschfristen. All das muss nicht nur vorhanden sein, sondern auch intern vertretbar sein.

Warum Rechnungsdaten unter die DSGVO fallen

Viele Teams behandeln Eingangsrechnungen gedanklich wie neutrale Geschäftsdokumente. In der Realität enthalten sie oft Daten mit Personenbezug. Beispiele:

Ansprechpartner auf Lieferantenseite
E-Mail-Adressen in PDF-Anhängen
Namen von Mitarbeitenden auf Reisekosten- oder Spesenbelegen
IBANs, Telefonnummern oder Kundennummern
Freitextpositionen mit identifizierbaren Informationen

Sobald solche Daten verarbeitet werden, ist die Frage nach Speicherort und Zugriff nicht mehr theoretisch. Dann geht es um echte DSGVO-Pflichten.

Was US-gehostete Tools in der Praxis bedeuten

Ich würde das nüchtern formulieren: US-Tools können rechtlich nutzbar sein, aber sie bringen mehr Prüfaufwand mit. Das ist der entscheidende Punkt.

Wenn eine Kanzlei ein US-gehostetes Rechnungstool einsetzt, muss sie typischerweise genauer dokumentieren:

welche Daten wohin übertragen werden
welche Subprozessoren beteiligt sind
welche technischen und organisatorischen Maßnahmen greifen
wie Löschung und Zugriff geregelt sind
auf welcher Grundlage die Übermittlung überhaupt vertretbar ist

Das ist machbar. Aber es ist zusätzlicher Aufwand. Gerade für kleinere Kanzleien ist das häufig nicht der Teil der Arbeit, der Wert schafft.

Was EU-Hosting in der Praxis bedeutet

„EU-Server“ ist nur dann hilfreich, wenn es mehr meint als eine Marketingzeile. In der Praxis sollten Sie darunter mindestens Folgendes verstehen:

Verarbeitung der Dokumente auf EU-Infrastruktur
keine stillen Transfers in US-Subservices im Hintergrund
klare Löschfristen für Originaldateien
dokumentierte Auftragsverarbeitung
nachvollziehbare Zugriffskontrollen

Das macht ein Tool nicht automatisch perfekt. Aber es macht die Compliance-Lage deutlich klarer. Für viele Kanzleien ist das der Unterschied zwischen „vertretbar mit viel Papier“ und „vertretbar mit gutem Gewissen“.

Fünf Fragen, die Sie jedem Anbieter stellen sollten

Wenn Sie eine Belegerfassungs-Software bewerten, reichen allgemeine Aussagen wie „sicher“ oder „compliant“ nicht aus. Stellen Sie lieber diese fünf Fragen:

1. Wo werden Dokumente tatsächlich verarbeitet?

Nicht nur gespeichert. Verarbeitet. Wenn ein Anbieter EU-Speicherung verspricht, die KI-Verarbeitung aber außerhalb der EU stattfindet, ist das relevant.

2. Wie lange bleiben Originaldateien erhalten?

Je kürzer die Aufbewahrung im Verarbeitungssystem, desto einfacher ist die Risikobewertung oft. Dauerhafte Archivierung ist ein anderes Produktversprechen als kurzfristige Extraktion.

3. Welche Subprozessoren sehen die Daten?

Hier trennt sich saubere Transparenz von vagem Marketing. Eine ernstzunehmende Antwort nennt konkrete Unterauftragsverarbeiter oder verweist auf eine aktuelle Liste.

4. Werden Kundendaten für Modelltraining verwendet?

Für Kanzleien ist das eine zentrale Vertrauensfrage. Ein klares Nein ist wesentlich besser als eine unklare Formulierung.

5. Welche Daten verlassen die EU überhaupt?

Wenn die Antwort kompliziert ist, ist das bereits ein Signal. Nicht automatisch ein Ausschlusskriterium, aber ein Signal.

Die einfachere Route für Kanzleien

Ich sage bewusst nicht, dass jedes US-Tool ungeeignet ist. Mit DPA, Standardvertragsklauseln und sauberer Prüfung können solche Tools in vielen Fällen einsetzbar sein. Aber „einsetzbar“ ist nicht dasselbe wie „einfach vertretbar“.

Für Steuerberater und Buchhalter, die mit Mandantendaten arbeiten, ist die einfachere Route meist besser: weniger Datenflüsse, kürzere Aufbewahrung, klarere Zuständigkeiten. Genau deshalb ist EU-native Infrastruktur nicht nur ein Marketingargument, sondern ein operativer Vorteil.

Wo ZeroPaste steht

ZeroPaste ist genau aus dieser Perspektive gebaut. Rechnungsdaten werden auf EU-Servern verarbeitet. Originaldateien werden nach 24 Stunden gelöscht. Das Produkt ist nicht als Langzeitarchiv gedacht, sondern als schmale Extraktions- und Exportstufe.

Das heißt nicht, dass jede Compliance-Frage „magisch gelöst“ wäre. Es heißt nur: Die Architektur ist absichtlich einfacher gehalten als bei Systemen, die zusätzlich archivieren, Portale abrufen und Dokumente langfristig halten. Für viele Kanzleien ist das bereits ein sehr relevanter Unterschied.

Wenn Sie tiefer in den DATEV-Weg schauen möchten, ist die Seite für Steuerberater der beste Einstieg. Wenn Sie den Unterschied zu einem Dokumentenportal sehen möchten, lesen Sie auch den Vergleich ZeroPaste vs GetMyInvoices.

Fazit

Der Serverstandort entscheidet nicht allein über DSGVO-Konformität. Aber er entscheidet sehr oft darüber, wie komplex Ihre Datenschutzprüfung wird.

Für Kanzleien gilt deshalb eine einfache Regel: Fragen Sie nicht nur, ob ein Tool automatisiert. Fragen Sie auch, wo es das tut, wie lange Daten dort bleiben und wer sie dabei sieht.

ZeroPaste — EU-Server, 24h Löschung, DSGVO-nativ: https://zeropaste.io/sign-up

Want to test this workflow on real invoices?

ZeroPaste gives new users 5 free documents with no credit card required, so you can try invoice extraction on the PDF formats your clients already send.

Try ZeroPaste free — no card required