Beta-HinweisBeta-Phase: Wir verfeinern noch einige Details. AGB und Datenschutz können in den kommenden Wochen aktualisiert werden.Mehr erfahren
e-Rechnung·Inbox
Wissen · DSGVO

DSGVO und E-Rechnung: Worauf Unternehmen beim Cloud-Hosting achten sollten

Rechnungsdaten sind oft auch personenbezogene Daten — Namen, Kontaktdaten, Bankverbindungen. Wer E-Rechnungen in der Cloud verarbeitet, ist damit mitten in der DSGVO. Worauf es ankommt, ohne Panik und ohne Juristendeutsch.

Rechnungsdaten sind personenbezogene Daten

Eine Rechnung wirkt rein kaufmännisch, enthält aber regelmäßig personenbezogene Daten: Ansprechpartner, E-Mail-Adressen, IBANs, manchmal Leistungsbeschreibungen mit Personenbezug.

Damit gilt für die Verarbeitung die DSGVO — auch wenn es sich „nur“ um Lieferantenrechnungen handelt. Das ist kein Sonderfall, das ist der Normalfall.

Auftragsverarbeitung: der AVV ist Pflicht

Wer eine Cloud-Lösung für den Rechnungseingang nutzt, lässt einen Dienstleister Daten in seinem Auftrag verarbeiten. Dafür verlangt die DSGVO einen Auftragsverarbeitungsvertrag (AVV) nach Artikel 28.

Kein AVV, kein sauberer Cloud-Einsatz. Das ist kein Papierkram um des Papiers willen — es ist die rechtliche Grundlage der gesamten Verarbeitung.

Hosting-Standort und Zugriff

Wo liegen die Daten, wer kann darauf zugreifen, unter welchem Recht? Ein Hosting innerhalb der EU bzw. in Deutschland vereinfacht vieles, weil Drittlandtransfers und ihre Zusatzanforderungen entfallen.

Ebenso wichtig: Zugriffsschutz und Verschlüsselung — in der Übertragung und in der Ablage. Wer auf die Rechnungsdaten zugreifen kann, sollte eine klar beantwortbare Frage sein, keine Vermutung.

Löschen ist auch eine Pflicht

Die DSGVO denkt nicht nur an Speichern, sondern auch an Aufbewahrungsgrenzen. Das steht in einem Spannungsfeld zur steuerlichen Aufbewahrungspflicht: Belege müssen Jahre bleiben, andere Daten dürfen nicht ewig liegen.

Ein durchdachter Prozess trennt das: das aufbewahrungspflichtige Original bleibt geschützt für die Frist, alles Übrige folgt den Datenschutzgrenzen. Beides gegeneinander auszuspielen ist der Fehler.

Worauf Sie konkret achten sollten

Eine pragmatische Prüfliste:

  • Liegt ein AVV nach Art. 28 DSGVO vor?
  • Wo werden die Daten gehostet (EU/Deutschland)?
  • Sind Übertragung und Ablage verschlüsselt?
  • Ist der Zugriff klar geregelt und protokolliert?
  • Sind steuerliche Aufbewahrung und Datenschutz-Löschung sauber getrennt?

Häufige Fragen

Sind Rechnungsdaten überhaupt DSGVO-relevant?
Ja. Rechnungen enthalten regelmäßig personenbezogene Daten wie Ansprechpartner, E-Mail-Adressen und Bankverbindungen. Ihre Verarbeitung fällt unter die DSGVO.
Brauche ich für eine Cloud-Lösung einen AVV?
Ja. Wer Daten von einem Dienstleister im Auftrag verarbeiten lässt, benötigt einen Auftragsverarbeitungsvertrag nach Artikel 28 DSGVO.
Warum ist der Hosting-Standort wichtig?
Ein Hosting in der EU bzw. Deutschland vermeidet die Zusatzanforderungen von Drittlandtransfers und vereinfacht die DSGVO-Konformität.
Wie passen Aufbewahrungspflicht und Löschpflicht zusammen?
Das aufbewahrungspflichtige Original bleibt für die steuerliche Frist geschützt; übrige personenbezogene Daten folgen den Datenschutz-Löschgrenzen. Der Prozess muss beides trennen.
Worauf sollte ich bei der Anbieterwahl achten?
AVV, Hosting-Standort, Verschlüsselung in Übertragung und Ablage, geregelter und protokollierter Zugriff sowie eine saubere Trennung von Aufbewahrung und Löschung.

Verwandte Themen

E-Rechnung in der Cloud — DSGVO-bewusst.

AVV, EU-Hosting, Verschlüsselung und geregelter Zugriff – Aufbewahrungspflicht und Datenschutz sauber getrennt.

Diese Website verwendet Cookies, um Ihre Erfahrung zu verbessern und den Datenverkehr zu analysieren. Sie können einzelne Kategorien jederzeit ablehnen. Datenschutzerklärung