Buchhaltung · DSGVO
KI-Buchhaltung mit Servern in Deutschland – DSGVO-konform
Buchungsdaten, Belege und Kontierungen werden auf Servern in Deutschland und der EU verarbeitet – DSGVO-konform und ohne Weitergabe an Dritte. Das betrifft sowohl die laufende Kontierung als auch die Aufbewahrung von Belegen und Buchungsdaten.
Warum der Serverstandort bei Buchhaltungsdaten zählt
Buchhaltungsdaten gehören zu den sensibelsten Informationen eines Betriebs: Umsätze, Kosten, Geschäftspartner, Gehälter und Bankverbindungen lassen sich daraus ablesen. Für viele Unternehmen und deren Steuerberater ist deshalb entscheidend, wo diese Daten verarbeitet und gespeichert werden.
Die Verarbeitung erfolgt DSGVO-konform auf Servern in Deutschland und der EU. Damit unterliegt die Verarbeitung durchgängig europäischem Datenschutzrecht, ohne dass Daten für die Kontierung oder Auswertung in Drittländer übertragen werden.
Diese Frage stellt sich unabhängig von der Betriebsgröße: Auch kleinere Betriebe verarbeiten in ihrer Buchhaltung personenbezogene Daten von Mitarbeitenden, Kunden und Geschäftspartnern und unterliegen damit denselben datenschutzrechtlichen Anforderungen.
Konkret bedeutet das beispielsweise: Ein Kunde, dessen Rechnung als Eingangsbeleg erfasst wird und dessen Name, Anschrift und Bankverbindung damit Teil der Buchhaltung werden, unterliegt in dieser Verarbeitung durchgängig dem Datenschutzrecht der EU.
Wie die KI-Kontierung mit Daten umgeht
Verarbeitung im EU-Rechtsraum
Belege, Bankumsätze und Buchungstexte werden für die KI-Kontierung innerhalb der Infrastruktur in Deutschland/EU verarbeitet, nicht bei einem externen Anbieter außerhalb der EU. Das gilt für den gesamten Ablauf von der Belegerfassung bis zur Auswertung, nicht nur für die Speicherung der Daten. Das betrifft ebenso Namen und Kontaktdaten von Kunden und Lieferanten, die in Rechnungen und Buchungstexten enthalten sind.
Eigene KI statt fremder Anbieter
Die Kontierungsvorschläge stammen aus der eigenen, hauseigenen KI des Anbieters. Buchhaltungsdaten werden nicht zur Auswertung an fremde KI-Dienste weitergegeben. Die Verarbeitung für die Kontierung findet innerhalb derselben Infrastruktur statt wie die übrige Buchhaltung. Damit entfällt eine Übermittlung von Beleginhalten an einen fremden KI-Dienst außerhalb dieser Infrastruktur vollständig.
Keine Weitergabe an Dritte
Buchungsdaten werden nicht zu Werbezwecken oder für betriebsfremde Auswertungen an Dritte weitergegeben; sie dienen ausschließlich der Buchführung des jeweiligen Betriebs. Auch für Auswertungen wie BWA oder USt-Voranmeldung gilt derselbe Grundsatz. Das gilt unabhängig davon, ob es sich um einzelne Buchungen, eine Monatsauswertung oder den vollständigen Jahresabschluss handelt.
So wird der Datenschutz in der laufenden Buchhaltung konkret umgesetzt
- Belege und Buchungsdaten werden bei Erfassung an die Infrastruktur in Deutschland/EU übergeben.
- Die KI-Kontierung verarbeitet diese Daten innerhalb derselben Infrastruktur, ohne sie an einen externen Dienst außerhalb der EU zu übermitteln.
- Ausgewertete Ergebnisse wie BWA, USt-Voranmeldung oder DATEV-Export bleiben Teil derselben Verarbeitung.
- Zugriff erhalten nur berechtigte Nutzer innerhalb des Betriebs.
- Aufbewahrung und Löschung folgen den gesetzlichen Fristen aus HGB, AO und DSGVO.
Was das für den Betrieb bedeutet
- Eine Verarbeitung innerhalb der EU erleichtert die datenschutzrechtliche Einordnung gegenüber Kunden, Lieferanten und Mitarbeitenden, deren Daten in Belegen und Buchungen enthalten sind.
- Für Steuerberater und Betriebe, die Wert auf eine nachvollziehbare Datenverarbeitung legen, ist der Serverstandort ein zusätzliches Kriterium neben der fachlichen Funktion der Software.
- Die GoBD-Anforderungen an Aufbewahrung und Nachvollziehbarkeit gelten unabhängig vom Serverstandort zusätzlich fort.
- Zugriff auf die eigenen Daten bleibt dem Betrieb vorbehalten; die Verarbeitung dient ausschließlich der eigenen Buchhaltung.
- Betriebe, die selbst gegenüber Kunden oder Auftraggebern Auskunft über die Verarbeitung ihrer Daten geben müssen, können sich auf eine durchgängige Verarbeitung in der EU berufen.
Zusammenspiel mit GoBD und Datensicherheit
- Die Verarbeitung in Deutschland/EU ersetzt nicht die GoBD-Anforderungen an Unveränderbarkeit und Festschreibung – beide Anforderungen gelten parallel.
- Datenschutz (DSGVO) und Buchführungsrecht (HGB/GoBD) sind zwei unterschiedliche Rechtsrahmen, die die Software gemeinsam berücksichtigt.
- Details zu Auftragsverarbeitung und eingesetzten Kategorien von Dienstleistern finden sich in den entsprechenden Datenschutzhinweisen des Anbieters.
- Beide Rechtsrahmen betreffen denselben Datenbestand aus unterschiedlichen Blickwinkeln: Datenschutz regelt den Umgang mit personenbezogenen Daten, GoBD die ordnungsgemäße Buchführung.
Für wen der Serverstandort besonders relevant ist
Besonders relevant ist das für Betriebe, die aus Compliance-Gründen oder auf Wunsch von Kunden und Geschäftspartnern eine Verarbeitung ausschließlich innerhalb der EU sicherstellen müssen, sowie für Steuerkanzleien, die diesen Punkt bei der Auswahl von Software für Mandanten prüfen.
Auch bei einem Wechsel von einer bisherigen Buchhaltungslösung bleibt dieser Grundsatz unverändert bestehen, unabhängig davon, wo die bisherigen Daten verarbeitet wurden.
Häufige Missverständnisse zum Thema Serverstandort
- Serverstandort Deutschland/EU wird mit vollständiger DSGVO-Konformität gleichgesetzt, obwohl weitere Punkte wie Auftragsverarbeitungsverträge und Löschkonzepte ebenfalls erforderlich sind.
- GoBD und DSGVO werden als ein und dieselbe Anforderung behandelt, obwohl sie unterschiedliche Schutzgüter betreffen – die ordnungsgemäße Buchführung einerseits, personenbezogene Daten andererseits.
- Es wird angenommen, eine KI-Kontierung bedeute automatisch eine Datenweitergabe an einen externen KI-Anbieter – tatsächlich handelt es sich um die eigene, hauseigene KI des Anbieters innerhalb derselben Infrastruktur.
- Der Serverstandort wird als alleiniges Auswahlkriterium für Buchhaltungssoftware herangezogen, ohne die fachliche Funktion – etwa GoBD-Festschreibung oder DATEV-Export – gleichermaßen zu prüfen.
Datenschutz in der laufenden Zusammenarbeit
- Auch beim DATEV-Export für die Steuerkanzlei bleibt die Verarbeitung der zugrunde liegenden Buchhaltungsdaten in der EU unverändert.
- Zugriffsrechte innerhalb des Betriebs lassen sich so gestalten, dass nur berechtigte Personen auf sensible Buchhaltungsdaten zugreifen.
- Fragen zu Auftragsverarbeitung und eingesetzten Kategorien von Dienstleistern beantworten die Datenschutzhinweise des Anbieters.
Häufige Fragen
Wo werden die Buchhaltungsdaten verarbeitet?
Auf Servern in Deutschland und der EU, DSGVO-konform. Das schließt sowohl die laufende Kontierung als auch die Aufbewahrung der Belege ein.
Werden Buchhaltungsdaten an externe KI-Anbieter weitergegeben?
Nein, die Kontierungsvorschläge stammen aus der eigenen, hauseigenen KI des Anbieters, nicht von einem fremden KI-Dienst außerhalb der Verarbeitung in der EU. Die gesamte Verarbeitung für die Kontierung findet innerhalb derselben europäischen Infrastruktur statt.
Ersetzt der Serverstandort die GoBD-Anforderungen?
Nein, DSGVO-konforme Verarbeitung in der EU und GoBD-Anforderungen an Unveränderbarkeit und Aufbewahrung gelten unabhängig voneinander und parallel. Beide Anforderungen ergänzen sich, ersetzen sich aber nicht gegenseitig.
Werden Daten zu Werbezwecken weitergegeben?
Nein, die Verarbeitung dient ausschließlich der Buchführung des jeweiligen Betriebs. Die Daten dienen ausschließlich der eigenen Buchführung des Betriebs.
Ist der Serverstandort auch für Steuerberater relevant?
Ja, Kanzleien, die Software für Mandanten prüfen, können den Serverstandort als zusätzliches Kriterium neben der fachlichen Funktion berücksichtigen. Für Mandanten mit entsprechenden Anforderungen kann das ein ausschlaggebendes Kriterium sein.
Was hat der Serverstandort mit den GoBD zu tun?
Beide Anforderungen betreffen denselben Datenbestand, aber aus unterschiedlichen Blickwinkeln: Der Serverstandort betrifft den Datenschutz nach DSGVO, die GoBD betreffen die ordnungsgemäße, unveränderbare Führung der Buchführung. Beide gelten unabhängig voneinander und ergänzen sich.