Wer Spesenprozesse noch immer als administrative Routine betrachtet, unterschätzt ihre regulatorische Tragweite. Aus Sicht der Finanzbuchhaltung ist Expense-Management heute vor allem eines: eine vernetzte Verarbeitung personenbezogener Daten über Systemgrenzen hinweg. Genau dort entstehen die Risiken.

Denn zwischen Reisebuchung, Belegscan, Freigabe, Verbuchung und Erstattung bewegen sich Daten nicht nur innerhalb eines Tools, sondern durch ein ganzes Ökosystem: TMCs wie Onesto oder Atriis, HR-Systeme, ERP-Plattformen wie SAP, Buchhaltungsanbindungen an DATEV, Zahlungslösungen, Treuhänder oder externe Prüfstellen. Jede Integration ist dabei nicht nur ein Effizienzgewinn, sondern auch ein datenschutzrechtlicher und sicherheitstechnischer Prüfpunkt.

Spesen sind sensibler, als viele Prozesseigner annehmen

Im Expense-Kontext geht es selten nur um einen Betrag und eine Kostenstelle. Verarbeitet werden regelmäßig Namen, Personalnummern, Kreditkarten- oder Bankdaten, Reiseprofile, Aufenthaltsorte, Bewirtungsinformationen und mitunter auch besonders heikle Angaben auf Belegen, etwa zu Gesundheit, Mobilität oder privaten Begleitumständen. Schon eine Hotelrechnung, ein Taxi-Beleg oder ein Arztbeleg auf Dienstreise kann deutlich mehr offenlegen, als auf den ersten Blick sichtbar ist.

Damit ist klar: Spesenverarbeitung ist personenbezogene Datenverarbeitung im Sinne der DSGVO und des revidierten Schweizer Datenschutzgesetzes, des nDSG. Unternehmen müssen also nicht nur den Prozess selbst beherrschen, sondern auch jeden Datentransfer zwischen den beteiligten Systemen.

Integrationen sind der eigentliche Risikoraum

In vielen Projekten wird die Sicherheit der Kernapplikation intensiv geprüft, während die Schnittstellen fast nebenbei behandelt werden. Genau das ist gefährlich. Das Risiko liegt häufig nicht im Expense-Tool allein, sondern in der Kette aus APIs, Importen, Exporten, Webhooks und Middleware-Komponenten.

Sobald Stammdaten aus dem HR-System gezogen, Kreditkartenumsätze eingespielt, Buchungssätze ans ERP übergeben oder Belege an die Finanzbuchhaltung bzw. den Treuhänder weitergeleitet werden, müssen drei Fragen sauber beantwortet sein:

• Welche Daten fließen konkret?
• Wer ist für welchen Verarbeitungsschritt verantwortlich?
• Welche technischen und organisatorischen Maßnahmen schützen den Transfer?

Ohne diese Transparenz entsteht ein typischer Blind Spot: Die Integration funktioniert operativ, ist aber regulatorisch nicht belastbar.

ISO 27001: wichtig, aber nicht ausreichend

ISO 27001 ist im Expense-Umfeld ein starkes Signal. Nicht mehr und nicht weniger. Die Zertifizierung zeigt, dass ein Anbieter Informationssicherheit systematisch organisiert, Risiken bewertet und Kontrollen in einem ISMS verankert hat. Für Plattformen mit Integrationsanspruch ist das heute praktisch Mindeststandard.

Entscheidend ist aber die operative Umsetzung. Im Alltag sollten Finanzverantwortliche nicht nur nach dem Zertifikat fragen, sondern nach den konkreten Sicherheitsmechanismen bei Integrationen:

• Verschlüsselung der Datenübertragung und Speicherung
• Rollenkonzepte und Least-Privilege-Zugriffe
• Mandantentrennung
• Protokollierung von Zugriffen und Datentransfers
• Incident- und Breach-Management
• geregelte Lösch- und Aufbewahrungskonzepte
• Steuerung von Subprozessoren und Drittpartnern

Kurz gesagt: ISO 27001 ersetzt keine Due Diligence. Wer Integrationen einkauft, muss verstehen, wie Sicherheit technisch umgesetzt wird und wo Daten tatsächlich liegen.

DSGVO und nDSG: Die Pflichten liegen beim Unternehmen

Gerade in Finance-Projekten wird gern angenommen, der Softwareanbieter werde die Compliance schon mitbringen. Das ist ein Missverständnis. Der Anbieter kann unterstützen, dokumentieren und absichern. Die Verantwortung für die zulässige Verarbeitung bleibt jedoch beim Unternehmen, das die Daten seiner Mitarbeitenden verarbeitet.

Im Expense-Management bedeutet das insbesondere:

• Rechtsgrundlagen und Zwecke klar definieren
• Datenflüsse dokumentieren
• Verzeichnis der Verarbeitungstätigkeiten pflegen
• Betroffene transparent informieren
• Auftragsverarbeitungsverträge abschließen
• internationale Datentransfers prüfen
• technische und organisatorische Maßnahmen bewerten
• gegebenenfalls eine Datenschutz-Folgenabschätzung durchführen

Im DACH-Kontext kommt hinzu: Wer in Deutschland, Österreich und der Schweiz arbeitet, braucht kein Minimalniveau, sondern einen belastbaren Standard, der grenzüberschreitend funktioniert. Das nDSG ist kein leichteres Nebenrecht, sondern in der Praxis ein eigener Prüfrahmen, gerade bei Bekanntgabe ins Ausland und bei Transparenzpflichten.

Der häufigste Schwachpunkt: unklare Rollen im Partner-Ökosystem

Je mehr Partner beteiligt sind, desto wichtiger wird die juristische Einordnung. Nicht jeder Integrationspartner ist automatisch Auftragsverarbeiter. Manche handeln eigenständig, andere in gemeinsamer Verantwortlichkeit, wieder andere als Subunternehmer eines Anbieters.

Wenn diese Rollen nicht sauber geklärt sind, entsteht ein Haftungsrisiko. Aus meiner Sicht ist das einer der am meisten unterschätzten Punkte in modernen Finance-Stacks.

Was es braucht, ist keine Papierübung, sondern eine belastbare Governance:

• Rollenmatrix über alle beteiligten Systeme
• AVV dort, wo echte Auftragsverarbeitung vorliegt
• Transparenz über eingesetzte Subprozessoren
• klare Regelungen für Supportzugriffe
• definierte Eskalationswege bei Sicherheitsvorfällen

Gerade bei API-basierten Ökosystemen entscheidet diese Klarheit darüber, ob ein Unternehmen im Audit souverän wirkt oder improvisiert.

Wann eine Datenschutz-Folgenabschätzung sinnvoll oder nötig ist

Nicht jede Integration löst automatisch eine Datenschutz-Folgenabschätzung aus. Aber im Expense-Kontext ist die Schwelle schneller erreicht, als viele denken. Das gilt vor allem dann, wenn mehrere Datenquellen verknüpft werden, Bewegungs- oder Reisedaten systematisch auswertbar sind, sensible Beleginhalte verarbeitet werden oder neue Transparenz über Verhalten und Gewohnheiten von Mitarbeitenden entsteht.

Wer etwa Reisebuchung, Expense-Daten, HR-Stammdaten und Zahlungsinformationen systematisch zusammenführt, sollte die DSFA-Frage nicht nebenbei behandeln. Eine seriöse Vorabprüfung zeigt auch gegenüber Datenschutzbeauftragten, Revisoren und Aufsichtsbehörden, dass Risiken nicht erst im Vorfall adressiert werden.

Was die Finanzbuchhaltung konkret einfordern sollte

Für Finance-Teams ist das Thema längst keine reine IT-Frage mehr. Wer Systeme auswählt, Integrationen freigibt oder mit Treuhändern und Partnern zusammenarbeitet, sollte auf drei Dinge bestehen:

Erstens: ein nachvollziehbares Datenflussbild.
Nicht abstrakt, sondern konkret pro Integration.

Zweitens: ein belastbares Vertrags- und Rollenmodell.
Wer verarbeitet was, in welcher Rolle, auf welcher Grundlage?

Drittens: ein Sicherheitsnachweis, der über Marketing hinausgeht.
ISO 27001 ist gut. Relevanter ist, ob das Kontrollniveau für den eigenen Prozess ausreicht.

Fazit

Im Expense-Management entscheidet sich Compliance nicht nur in der App, sondern an den Schnittstellen. Dort, wo Systeme Daten austauschen, Partner eingebunden sind und Prozesse automatisiert ineinandergreifen, entsteht der eigentliche Prüfstein für Datenschutz und Informationssicherheit.

Wer ISO 27001, DSGVO und nDSG nur als Beschaffungs-Checkliste behandelt, denkt zu kurz. Im Finance-Bereich geht es um Vertraulichkeit, Nachvollziehbarkeit und Haftung. Und am Ende auch um Vertrauen: von Mitarbeitenden, von Revisoren, von Partnern und von der eigenen Geschäftsleitung.

Datensicherheit bei Integrationen ist deshalb keine Nebensache. Sie ist ein Führungsthema. Gerade im Expense-Kontext.

Edi Newsletter abonnieren

Mit dem Newsletter bleibt ihr über Edi auf dem Laufenden: Meldet euch einfach mit eurer E-Mail-Adresse an und ihr verpasst keinen Artikel. Natürlich könnt ihr euch jederzeit wieder abmelden.