GoBD & DSGVO

Verfahrensdokumentation nach GoBD & DSGVO

Die Neufassung des GoBD ist seit Anfang 2020 in Kraft. Steht die darin enthaltene Aufbewahrungspflicht im Widerspruch zur DSGVO?

  1. Home
  2. Wissenswertes
  3. Datenschutz Blog

2020-07-09

Logo
  • Autorin: Kathrin Strauß
    Ursprünglich aus dem Fotografie- & Medien-Bereich kommend, beobachtet Kathrin nun als TÜV-zertifizierte Datenschutzbeauftragte für datenschutzexperte.de alle Entwicklungen der digitalen Datenschutzwelt und macht auch schwierige juristische Sachverhalte zugänglich.

Die GoBD ist eine seit Ende 2014 gültige sog. Verwaltungsanweisung des Finanzministeriums (BMF – Bundesministerium der Finanzen). Anfang 2020 trat nun eine Neufassung in Kraft. Steht diese mit der verlangten Aufbewahrungspflicht jedoch im Widerspruch zur DSGVO?
 

Was ist die GoBD 2020?

Ausgeschrieben bedeutet die Verwaltungsanweisung GoBD „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“. Das ist ein recht sperriger Begriff, der – kurz gesagt – Richtlinien für die korrekte elektronischen Buchführung vorgibt. Von der GoBD und der darin beschriebenen Pflicht zur Aufbewahrung steuerlich relevanter Geschäftsunterlagen betroffen sind alle Unternehmen:innen – von Kleinunternehmer:innen über Freiberufler:innen bis hin zu KMUs.
 

Ziel der GoBD

Alles, was für die Besteuerung im Unternehmen wichtig ist oder für das Verständnis der steuerrechtlichen Unterlagen von Bedeutung werden könnte, muss laut GoBD dokumentiert und aufgehoben werden. Die ordnungsmäßige Aufbewahrung von Büchern und Aufzeichnungen sieht dabei vor, dass

  • die Grundsätze der Nachvollziehbarkeit und Nachprüfbarkeit sowie

  • die Grundsätze der Wahrheit, Klarheit und fortlaufenden Aufzeichnung (die die Punkte Vollständigkeit, Richtigkeit, zeitgerechte Belegsicherung, Ordnung sowie Unveränderbarkeit enthält) eingehalten werden.

Das heißt konkret, dass alle getätigten Buchungen mit einem Beleg einhergehen müssen, der natürlich richtig sein und zeitgemäß erfolgen muss. Zudem ist die systematische Erfassung der getätigten Buchungen wichtig sowie die Unveränderlichkeit der Belege und Aufzeichnungen erforderlich (die sog. Revisionssicherheit). Dies alles muss in einem Verfahrensverzeichnis dokumentiert werden und vollständig gemäß den entsprechenden gesetzlichen Aufbewahrungsfristen archiviert werden. Hier sehen allerdings viele ein Konfliktpotential zur DSGVO.
 

GoBD und Datenschutz – Wie lassen sich GoBD und DSGVO miteinander vereinbaren?

Nach der GoBD dürfen Belege nicht verändert werden und müssen aufbewahrt werden (sog. revisionssichere Archivierung). Solche Belege beinhalten aber oftmals personenbezogene Daten, die der DSGVO unterliegen. Und diese sieht wiederum vor, dass personenbezogene Daten nur so lange gespeichert werden dürfen, bis diese ihren Zweck erfüllt haben (Art. 5 DSGVO). Danach müssen diese Daten gelöscht werden.

Stehen die Aufbewahrungsforderung der GoBD und die DSGVO also konträr zueinander? Mitnichten: Muss ein Beleg nach GoBD aufgehoben werden, wird dafür eine konkrete Frist angegeben, so dass die Aufbewahrung von Gesetzes wegen vorgeschrieben ist. Beinhaltet der nach der GoBD aufzubewahrende Beleg personenbezogene Daten ist dieser auch entsprechend aufzubewahren. Sobald die Aufbewahrungsfrist nach GoBD abgelaufen ist, ist auch der Zweck der Datenverarbeitung nach DSGVO erfüllt. Die Aufbewahrungsfrist der GoBD stellt somit den Zweck der Datenspeicherung nach der DSGVO dar.

Wichtig ist nun allerdings, dass der Beleg – im Einklang mit dem vorhandenen Löschkonzept – sofort nach Ablauf der Aufbewahrungsfrist vernichtet wird. Werden personenbezogene Daten über die gesetzlichen Aufbewahrungsfristen hin aufgehoben oder wird die Aufbewahrungsfrist gar als Vorwand für eine unerlaubte Datenspeicherung genutzt, stellt dies einen Datenschutzverstoß dar und es drohen entsprechende Bußgelder.

 

Verfahrensdokumentation nach GoBD und DSGVO

Die Verfahrensdokumentation der GoBD sieht – wie bereits erwähnt – vor, dass Belege aufgehoben werden. Das kann in Papierform in Ordnern oder mittels eingescannter Belege passieren. Werden die entsprechenden Belege elektronisch aufbewahrt, gelten neben diversen Bestimmungen laut GoBD (z.B. die Nachvollziehbarkeit von Änderungen) auch die Regelungen der DSGVO, sollten auf den Nachweisen personenbezogene Daten stehen. Hier ist deshalb neben der Datensicherheit (z.B. durch Backups) auch der Datenschutz zu beachten. Es sollte also sichergestellt werden, dass:

  • Nur relevante personenbezogene Daten verarbeitet werden;

  • Die personenbezogenen Daten ausreichend gesichert sind (gegen Verlust oder Fälschung);

  • Die personenbezogenen Daten nicht von unbefugten Dritten eingesehen werden können;

  • Nach Ablauf der gesetzlichen Aufbewahrungsfrist der GoBD die personenbezogenen Daten gelöscht werden.

 

Artikel veröffentlicht am: 09.06.2020

Autorin: Kathrin Strauß

Bitte beachten Sie: Allgemeine Beiträge können eine datenschutzrechtliche Beratung im Einzelfall nicht ersetzen. Für die Richtigkeit und Vollständigkeit unsere Blogbeiträge können wir keine Gewähr übernehmen. Inhalte beziehen sich immer auf die Rechts- und Faktenlage zum Zeitpunkt der Veröffentlichung und sind deshalb zum Zeitpunkt des Aufrufs möglicherweise nicht mehr aktuell.

In den von uns erstellten Artikeln, Leitfäden, Checklisten, Whitepaper und anderen Beiträgen wird aus Gründen der besseren Lesbarkeit das generische Maskulinum verwendet. Wir möchten betonen, dass sowohl weibliche als auch anderweitige Geschlechteridentitäten dabei ausdrücklich mitgemeint sind, soweit es für die Aussage erforderlich ist.

Aktuelle Beiträge zum Thema Datenschutz

Weiterlesen

Symbolbild für Google Fonts und die DSGVO

Google Fonts & DSGVO: Schriftarten sicher einbinden

Mit Google Fonts stehen Ihrem Unternehmen hunderte kostenfreie Schriftarten zur Verfügung, die Sie auf Ihrer Website kommerziell nutzen dürfen.…

News Vorschaubild
Logo

Weiterlesen

Symbolbild für European Health Data Space

Datenschutz im digitalen Gesundheitsdatenraum (European Health Data Space)

Die EU will ihr Gesundheitssystem digitalisieren, damit alle EU-Bürger:innen elektronischen Zugriff auf ihre persönlichen Gesundheitsdaten haben. Auch…

News Vorschaubild
Logo

Weiterlesen

Symbolbild für Facebook

Meta Pixel & DSGVO: Ist das Tracking per Meta Pixel datenschutzkonform?

Egal, ob Sie den Meta Pixel bereits verwenden oder den Einsatz erst planen: Hier erfahren Sie alles, was Sie bei dem Tool datenschutzrechtlich…

News Vorschaubild
Logo

Weiterlesen

Threads: Warum Europa auf die neue Meta-App warten muss

Der Meta ist für viele Datenschützer:innen ein rotes Tuch. Scheinbar kassiert der Facebook-Konzern lieber Bußgelder anstatt User-Daten angemessen zu…

News Vorschaubild
Logo

Weiterlesen

Personen bei Beprechung

Bewerbung & Datenschutz: Das müssen Unternehmen beachten

In Personalabteilungen spielt der Datenschutz eine große Rolle: Neben Daten der Mitarbeitenden unterliegen auch Daten aus dem Lebenslauf und anderen…

News Vorschaubild
Logo

Weiterlesen

Symbolbild für Google Analytics

DSGVO-konforme Website Analytics? So sicher ist Google Analytics 4 wirklich

Google Analytics 4 soll laut Google ein großer Schritt in Richtung Datenschutz sein – kann der Nachfolger des „herkömmlichen“ Google Analytics dieses…

News Vorschaubild
Logo

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr