Vor ein paar Jahren installierten IT-Abteilungen Software noch auf firmeneigenen Rechnern und Servern. Inzwischen halten Software-as-a-Service-Lösungen (SaaS) wie Flowwer Einzug in den Unternehmensalltag und entlasten HR- und IT-Abteilungen spürbar. Die Vorteile:

  • planbare Kosten,
  • geräteunabhängige Nutzung,
  • Software wird einfach und unkompliziert über das Internet zugänglich gemacht und
  • automatische Updates und
  • schnelles Onboarding

Doch bei sensiblen Finanzdaten sind SaaS-Lösungen kritisch zu prüfen. Bereits kleine Mängel im Design können zu Datenverlusten oder zum Bekanntwerden sensibler Informationen führen. Besonders wenn es um Rechnungen und Freigabeprozesse geht, sollten Sie Ihren Anbieter genau unter die Lupe nehmen.

„Im Hinblick auf den betrieblichen Datenschutz können SaaS-Lösungen jedoch kritisch sein.“

Sascha Schwegelhauer
DotNetFabrik GmbH

Warum Datenschutz bei SaaS-Rechnungsmanagement entscheidend ist

Wenn Sie im Unternehmen SaaS-Lösungen nutzen, geben Sie die direkte Kontrolle über Ihre Daten auf. Das ist grundsätzlich in Ordnung, solange Sie wissen:

  • Wofür der Anbieter welche Daten benötigt
  • Wer auf welche Daten Zugriff hat
  • Wie die Sicherheit der Finanzdaten gewahrt wird
  • Wie Hackerangriffe verhindert werden

Das Problem mit US-Diensten: Der CLOUD Act

Datenschutz-Beauftragte werden hellhörig, sobald US-Dienste ins Spiel kommen. Der US-amerikanische CLOUD Act ermöglicht der US-Regierung Zugriff auf Daten von Firmen, die mit den USA zu tun haben – unabhängig davon, wo sich die Rechenzentren befinden.

Das bedeutet: Cloud-Anbieter können von Regierungsbehörden im Rahmen strafrechtlicher Ermittlungen aufgefordert werden, relevante Informationen aus den in ihren Rechenzentren gespeicherten Daten zur Verfügung zu stellen.

Im März 2018 hat der US-Kongress den Clarifying Lawful Overseas Use of Data Act (CLOUD Act) verabschiedet. Das Gesetz regelt die Herausgabe von Daten an US-Behörden, auch wenn diese Daten auf Servern innerhalb der Europäischen Union liegen.

Konkret: Nutzen Sie Microsoft 365, Google Workspace oder Amazon AWS, unterliegen Ihre Daten dem CLOUD Act – auch wenn die Server physisch in Frankfurt stehen.

Auftragsverarbeitung und juristische Fallstricke

Software-as-a-Service-Unternehmen betreiben eine sogenannte Auftragsverarbeitung und müssen besondere Maßnahmen treffen. Seit Mai 2018 gilt die Pflicht zur Aufsetzung von Auftragsverarbeitungsverträgen gemäß Art. 24 ff DSGVO bzw. § 11 BDSG. Sobald ein Dritter an der Datenverarbeitung beteiligt ist, muss ein AVV zwischen dem SaaS-Anbieter und dem Anbieter der Drittservices geschlossen werden.

Kommt es zu Datenschutzverletzungen oder Datenverlust, kann der Endkunde seinen SaaS-Anbieter juristisch nicht belangen, weil dieser einen Vertrag zur Auftragsverarbeitung abgeschlossen hat.

Die Folge: Der Kunde hat den Schaden und zusätzlich den Aufwand, den Verantwortlichen für die Datenpanne zu finden. Das ist bei US-Firmen wie Google oder osteuropäischen Anbietern praktisch unmöglich.

Allein die Klage in einem anderen Staat bedeutet, dass Sie einen dort zugelassenen Anwalt benötigen. Dazu kommen Sprachbarrieren und hohe Kosten – während die Daten bereits verloren sind.

Schaffen Sie es, den Drittanbieter zur Verantwortung zu ziehen, kann dieser Insolvenz anmelden, wenn der Schaden zu hoch ist.

Woran Sie vertrauenswürdige SaaS-Anbieter erkennen

Beim Einsatz eines SaaS-Produktes ist die Verlässlichkeit und Professionalität des Anbieters entscheidend. Prüfen Sie folgende Punkte:

  • Systemzuverlässigkeit: Suchen Sie nach Bewertungen zu Ausfällen und Kundenservice. Ein guter Anbieter kommuniziert transparent über Verfügbarkeit und Wartungsfenster.
  • Bedienbarkeit: Die Software sollte intuitiv zu bedienen sein. Dadurch werden Datenpannen vermieden, die durch Bedienungsfehler entstehen. Da Kunden die Software selbst bedienen, liegt die fachliche Verantwortung beim Kunden.
  • DSGVO-Konformität: Seriöse Anbieter kommunizieren das klar auf ihrer Website und bieten einen Auftragsverarbeitungsvertrag an.
  • Drittanbieter prüfen: Welche Tools hat der Anbieter im Einsatz, die Zugriff auf Kundendaten haben? Besonders Anbieter mit Sitz in den USA oder außerhalb des EU-Raumes sind nicht an die DSGVO gebunden.
  • Zertifizierungen: Sind die Anbieter oder ihre Rechenzentren nach Sicherheitsnormen wie ISO 27001 geprüft worden?

Was Flowwer im Bereich Datenschutz konkret unternimmt

Alle Daten von Flowwer befinden sich ausschließlich in den Rechenzentren von IP-Projects in Frankfurt am Main und Eschborn. Wir haben uns für IP-Projects entschieden, weil sie die Sicherheit der Infrastruktur und Daten ernst nehmen.

Die Rechenzentren sind nach führenden Normen zertifiziert:

  • ISO 27001 (Informationssicherheit)
  • ISO 9001 (Qualitätsmanagement)
  • DIN EN 50600 (Rechenzentrumssicherheit)
  • ISO 50001 (Energiemanagement)
  • PCI DSS (Zahlungsdatensicherheit)
  • Tier 3 nach TIA-942 (höchste Verfügbarkeit: 99,999%)

Diese Zertifikate bestätigen sowohl physische Sicherheit als auch Datenschutz und werden regelmäßig überprüft.

Testen Sie Flowwer 30 Tage unverbindlichZugang erstellen, zugriff zu allen Features erhalten – loslegen.
Jetzt Zugang erstellen

Keine Datenweitergabe an US-Hyperscaler

Wir geben keine Daten an andere Unternehmen weiter. Es findet keine Weitergabe von Kundendaten an Google, Amazon, Microsoft oder sonstige US-Anbieter statt. Dadurch unterliegen die Daten nicht dem US CLOUD Act.

Alle Infrastrukturkomponenten und Prozesse laufen ausschließlich auf eigenen Servern und innerhalb der IP-Projects-Rechenzentren. Auch wesentliche Dienste wie die Datenextraktion (OCR), Workflow-Engine, Datenbanken, Volltextsuche und Massenmailversand betreiben wir eigenständig.

Wir können jedem Kunden zu 100% sicher sagen, wo sich seine uns anvertrauten Daten befinden:

  • Standort FRA1: NTT Global Data Centers, Frankfurt-Rödelheim
  • Standort FRA4: nLighten Rechenzentrum, Eschborn

Und selbstverständlich können wir diese auch zu 100% sicher löschen, wenn es notwendig ist.

Individuelle Datenbanken und maximale Trennung

Unser Team setzt sich aus leidenschaftlichen Programmierern zusammen, die – inklusive des Gründers und Geschäftsführers Sascha Schwegelbauer – Lust am Programmieren haben und von Hause aus sehr sicherheitsaffin sind.

Jeder Kunde hat daher seine komplett eigene Datenbank und eigene Applikationsinstanz. Wir trennen tatsächlich nicht nur im Storage, sondern auch in der Applikation komplett voneinander. Das bedeutet maximale Isolation und Sicherheit.

Redundante Infrastruktur und Ausfallsicherheit

IP-Projects setzt auf eine mehrfach abgesicherte Strom- und Netzwerkinfrastruktur:

  • Redundante Stromversorgung mit unabhängigen A- und B-Einspeisungen
  • Notstromversorgung für 72 Stunden durch Dieselgeneratoren
  • Umfangreiches Ersatzteillager vor Ort
  • Eigenes Technikteam mit 24/7-Support
  • Zwei-Faktor-Zugangskontrolle und Videoüberwachung Security Operations Center

Bei einem Hardwaredefekt tauschen eigene Techniker die Komponenten vor Ort aus. Sie warten nicht tagelang auf den Hersteller.

Transparenz über Verantwortungsbereiche

Flowwer informiert transparent über den eigenen Verantwortungsbereich und die Datenlöschung. Über mögliche Datenflüsse zu Schnittstellenpartnern wie DATEV wird transparent informiert.

Wichtig: Sobald Daten über eine Schnittstelle an einen Dritten übertragen werden (z.B. an DATEV, sevDesk oder Ihren Steuerberater), endet die Verantwortung von Flowwer an diesem Punkt. Wir empfehlen Ihnen daher dringend, mit jedem Schnittstellenpartner einen eigenen Auftragsverarbeitungsvertrag (AVV) abzuschließen.

Energieeffizienz und Nachhaltigkeit

Die Frankfurter IP-Projects-Rechenzentren sind energetisch führend und setzen auf nachhaltige und klimafreundliche Technologien.

Die Rechenzentren erreichen einen PUE (Power Usage Effectiveness) zwischen 1,1 und 1,6. Der Branchendurchschnitt liegt bei 1,8. Das senkt die Betriebskosten und ist zukunftssicher bei steigenden Energiepreisen.

Der Standort FRA4 in Eschborn nutzt ausschließlich 100% Ökostrom aus Windkraft. Zudem wird die Abwärme der Server für ein städtisches Freibad in Kooperation mit der Stadt Eschborn genutzt.

Checkliste: Worauf Sie bei SaaS-Anbietern achten sollten

Beim Einsatz von SaaS-Lösungen für Ihr Rechnungsmanagement sollten Sie folgende Punkte prüfen:

  • Serverstandort: Liegen die Daten in Deutschland oder der EU?
  • Zertifizierungen: Ist das Rechenzentrum nach ISO 27001, EN 50600 oder vergleichbaren Normen zertifiziert?
  • US-Dienste: Werden US-Hyperscaler wie AWS, Google oder Microsoft eingesetzt? (CLOUD Act!)
  • Datentrennung: Hat jeder Kunde eine eigene Datenbank?
  • Transparenz: Kann der Anbieter Ihnen genau sagen, wo Ihre Daten liegen?
  • Schnittstellenpartner: An wen werden Daten weitergegeben? Gibt es AVV-Verträge?
  • Ausfallsicherheit: Wie ist die Infrastruktur abgesichert?

Flowwer erfüllt alle diese Anforderungen und geht bewusst den Weg der digitalen Souveränität: Deutsche Entwicklung, deutsches Hosting, keine Abhängigkeiten von US-Konzernen.

Testen Sie Flowwer 

30 Tage unverbindlich.Zugang erstellen, zugriff zu allen Features erhalten – loslegen.
Jetzt Zugang erstellen

FAQ: Datenschutz bei Flowwer

Unterliegen meine Flowwer-Daten dem US CLOUD Act?

Nein. Flowwer nutzt ausschließlich deutsche Rechenzentren (Frankfurt und Eschborn) ohne US-Hyperscaler wie AWS, Google oder Microsoft. Ihre Daten fallen nicht unter den CLOUD Act.

Wo genau liegen meine Rechnungsdaten?

In zwei IP-Projects-Rechenzentren: NTT Global Data Centers in Frankfurt-Rödelheim (FRA1) und nLighten Rechenzentrum in Eschborn (FRA4). Beide Standorte sind ISO 27001 zertifiziert.

Teilt sich Flowwer die Datenbank mit anderen Kunden?

Nein. Jeder Kunde hat eine komplett eigene Datenbank und eigene Applikationsinstanz. Die Trennung erfolgt nicht nur im Storage, sondern auch in der Applikation.

Was passiert mit meinen Daten bei Schnittstellen zu DATEV oder meinem Steuerberater?

Die Verantwortung von Flowwer endet beim Datentransfer. Mit jedem Schnittstellenpartner sollten Sie einen eigenen Auftragsverarbeitungsvertrag (AVV) abschließen. Flowwer informiert transparent über alle Datenflüsse.

Kann Flowwer meine Daten komplett löschen?

Ja, zu 100%. Da alle Daten in eigenen Systemen liegen, können wir garantieren, wo sich Ihre Daten befinden und diese bei Bedarf vollständig löschen.

Wie ausfallsicher ist Flowwer?

Die IP-Projects-Rechenzentren haben Tier-3-Zertifizierung (99,999% Verfügbarkeit) mit redundanter Stromversorgung, 72-Stunden-Notstrom und eigenem 24/7-Technikteam vor Ort

Ist Flowwer DSGVO-konform?

Ja. Flowwer erfüllt alle DSGVO-Anforderungen. Die Rechenzentren sind nach ISO 27001 zertifiziert und unterliegen deutschem Datenschutzrecht.

Was kostet die Datenhaltung bei Flowwer extra?

Die sichere Datenhaltung in deutschen Rechenzentren ist im Preis von 25€ pro Monat enthalten. Nur die langfristige Archivierung (über 10 Jahre) kostet 2,50€ pro 1.000 Dokumente und Monat.