Die GoBD ist eine seit Ende 2014 gültige sog. Verwaltungsanweisung des Finanzministeriums (BMF – Bundesministerium der Finanzen). Anfang 2020 trat nun eine Neufassung in Kraft. Steht diese mit der verlangten Aufbewahrungspflicht jedoch im Widerspruch zur DSGVO?
Was ist die GoBD 2020?
Ausgeschrieben bedeutet die Verwaltungsanweisung GoBD „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“. Das ist ein recht sperriger Begriff, der – kurz gesagt – Richtlinien für die korrekte elektronischen Buchführung vorgibt. Von der GoBD und der darin beschriebenen Pflicht zur Aufbewahrung steuerlich relevanter Geschäftsunterlagen betroffen sind alle Unternehmen:innen – von Kleinunternehmer:innen über Freiberufler:innen bis hin zu KMUs.
Ziel der GoBD
Alles, was für die Besteuerung im Unternehmen wichtig ist oder für das Verständnis der steuerrechtlichen Unterlagen von Bedeutung werden könnte, muss laut GoBD dokumentiert und aufgehoben werden. Die ordnungsmäßige Aufbewahrung von Büchern und Aufzeichnungen sieht dabei vor, dass
die Grundsätze der Nachvollziehbarkeit und Nachprüfbarkeit sowie
die Grundsätze der Wahrheit, Klarheit und fortlaufenden Aufzeichnung (die die Punkte Vollständigkeit, Richtigkeit, zeitgerechte Belegsicherung, Ordnung sowie Unveränderbarkeit enthält) eingehalten werden.
Das heißt konkret, dass alle getätigten Buchungen mit einem Beleg einhergehen müssen, der natürlich richtig sein und zeitgemäß erfolgen muss. Zudem ist die systematische Erfassung der getätigten Buchungen wichtig sowie die Unveränderlichkeit der Belege und Aufzeichnungen erforderlich (die sog. Revisionssicherheit). Dies alles muss in einem Verfahrensverzeichnis dokumentiert werden und vollständig gemäß den entsprechenden gesetzlichen Aufbewahrungsfristen archiviert werden. Hier sehen allerdings viele ein Konfliktpotential zur DSGVO.
GoBD und Datenschutz – Wie lassen sich GoBD und DSGVO miteinander vereinbaren?
Nach der GoBD dürfen Belege nicht verändert werden und müssen aufbewahrt werden (sog. revisionssichere Archivierung). Solche Belege beinhalten aber oftmals personenbezogene Daten, die der DSGVO unterliegen. Und diese sieht wiederum vor, dass personenbezogene Daten nur so lange gespeichert werden dürfen, bis diese ihren Zweck erfüllt haben (Art. 5 DSGVO). Danach müssen diese Daten gelöscht werden.
Stehen die Aufbewahrungsforderung der GoBD und die DSGVO also konträr zueinander? Mitnichten: Muss ein Beleg nach GoBD aufgehoben werden, wird dafür eine konkrete Frist angegeben, so dass die Aufbewahrung von Gesetzes wegen vorgeschrieben ist. Beinhaltet der nach der GoBD aufzubewahrende Beleg personenbezogene Daten ist dieser auch entsprechend aufzubewahren. Sobald die Aufbewahrungsfrist nach GoBD abgelaufen ist, ist auch der Zweck der Datenverarbeitung nach DSGVO erfüllt. Die Aufbewahrungsfrist der GoBD stellt somit den Zweck der Datenspeicherung nach der DSGVO dar.
Wichtig ist nun allerdings, dass der Beleg – im Einklang mit dem vorhandenen Löschkonzept – sofort nach Ablauf der Aufbewahrungsfrist vernichtet wird. Werden personenbezogene Daten über die gesetzlichen Aufbewahrungsfristen hin aufgehoben oder wird die Aufbewahrungsfrist gar als Vorwand für eine unerlaubte Datenspeicherung genutzt, stellt dies einen Datenschutzverstoß dar und es drohen entsprechende Bußgelder.
Verfahrensdokumentation nach GoBD und DSGVO
Die Verfahrensdokumentation der GoBD sieht – wie bereits erwähnt – vor, dass Belege aufgehoben werden. Das kann in Papierform in Ordnern oder mittels eingescannter Belege passieren. Werden die entsprechenden Belege elektronisch aufbewahrt, gelten neben diversen Bestimmungen laut GoBD (z.B. die Nachvollziehbarkeit von Änderungen) auch die Regelungen der DSGVO, sollten auf den Nachweisen personenbezogene Daten stehen. Hier ist deshalb neben der Datensicherheit (z.B. durch Backups) auch der Datenschutz zu beachten. Es sollte also sichergestellt werden, dass:
Nur relevante personenbezogene Daten verarbeitet werden;
Die personenbezogenen Daten ausreichend gesichert sind (gegen Verlust oder Fälschung);
Die personenbezogenen Daten nicht von unbefugten Dritten eingesehen werden können;
Nach Ablauf der gesetzlichen Aufbewahrungsfrist der GoBD die personenbezogenen Daten gelöscht werden.
Artikel veröffentlicht am: 09.06.2020
Autorin: Kathrin Strauß
