Buchhaltung DSGVO-konform gestalten: Was Unternehmen wissen müssen
Daten sind Gold wert – und genießen gerade deshalb hohen Schutz. Für Unternehmen bedeutet dies: Gesetzliche Aufbewahrungsfristen kollidieren mit den Prinzipien des Datenschutzes. Wie Sie Ihre Buchhaltung dennoch DSGVO-konform gestalten, erfahren Sie im Artikel.
Daten – für die einen sind sie Gold wert, für die anderen sollten sie am liebsten ein gut gehütetes Geheimnis bleiben. Daher setzt die Datenschutzgrundverordnung (DSGVO) der Sammlung von Daten seit dem 25. Mai 2018 enge Grenzen. Unternehmen stehen dadurch mitunter jedoch vor einer Herausforderung, wenn gesetzliche Aufbewahrungsfristen dem Datenschutz entgegenstehen. Dies gilt zum Beispiel für Steuerunterlagen, die Buchhaltung und den Personalbereich. Da stellt sich für Verantwortliche die Frage, wie gesetzliche Vorschriften und DSGVO – gerade auch in der Buchhaltung – zu vereinbaren sind.
Zwei wichtige Grundsätze im Datenschutz
Zu den Grundsätzen im Datenschutz zählt das Prinzip der Zweckbindung und die Speicherbegrenzung. So legt die DSGVO durch den Grundsatz der Zweckbindung fest, dass Unternehmen Daten nur zu einem vorab festgelegten Zweck – oder auch zu mehreren Zwecken – sammeln dürfen. Eine rein willkürliche Datensammlung ist dagegen nicht erlaubt. Für die Buchhaltung bedeutet dies, dass sie die Pflichtangaben in Zusammenhang mit der Rechnungslegung in jedem Fall erfassen darf. Dazu zählen zum Beispiel Name und Anschrift des Leistungserbringers oder Leistungsempfängers sowie die Steuernummer oder die Umsatzsteuer-Identifikationsnummer.
Der Grundsatz der Speicherbegrenzung sorgt gleichzeitig dafür, dass Unternehmen Daten nur für eine bestimmte Zeit vorhalten dürfen. Ist der vorab festgelegte Zweck erfüllt, sind die gespeicherten Informationen umgehend zu löschen. Eine Ausnahme gilt allerdings dann, wenn gesetzliche Fristen dies erfordern. Betroffen davon ist auch die Buchhaltung. Die entsprechenden Vorschriften ergeben sich aus der Abgabenordnung und dem Handelsgesetzbuch. Im Bewerbermanagement gilt übrigens: Mit Zustimmung des Bewerbers können die Daten auch länger als vorgeschrieben aufbewahrt werden.
Aufbewahrungspflichten in der Buchhaltung
Unternehmen sind verpflichtet, ihre Buchungsbelege im Rahmen der jeweiligen gesetzlichen Aufbewahrungspflicht (aktuell 10 Jahre) zu archivieren. Dies umfasst alle Unterlagen über die einzelnen Geschäftsvorfälle. Dazu gehören zum Beispiel Rechnungen, Auftragszettel, Lohnabrechnungen, Reisekostenabrechnungen sowie Kontoauszüge und Kassenlisten. Sechs Jahre müssen Unternehmen außerdem weitere Unterlagen vorhalten, die in Zusammenhang mit der Besteuerung relevant sind. Dies können zum Beispiel Geschäftsbriefe sein, die sie erhalten oder verschickt haben.
Buchhaltungsdaten DSGVO-konform bearbeiten und aufbewahren
Wollen Unternehmen Anwendungen in der Cloud für ihre Buchhaltung nutzen, ist dies bei Anbietern aus Deutschland und der EU grundsätzlich zulässig. Bei Diensten aus den USA ist die Lage dagegen komplizierter. Allerdings sollte nach dem 3. Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023 auch deren Nutzung zumindest vorerst rechtssicher sein, wenn sie nach dem EU-US Data Privacy Framework zertifiziert sind. In jedem Fall müssen Unternehmen vor Übertragung von Daten in die Cloud Vorkehrungen zum Datenschutz treffen.
Im Sinne der DSGVO gilt ein Cloud-Anbieter als Auftragsdatenverarbeiter, mit dem entsprechend ein Auftragsdatenverarbeitungsvertrag abzuschließen ist. Dabei müssen sowohl das Unternehmen als verantwortliche Stelle wie auch der Anbieter geeignete Maßnahmen zum Datenschutz belegen können. Im Fall von Datenschutzverletzungen haftet derjenige, bei dem der Fehler nachgewiesen wird. Nutzer sollten daher prüfen, ob der Vertrag mit dem Cloud-Anbieter eine solche Garantie tatsächlich vorsieht.
Bis auf Jahresabschlüsse und die Eröffnungsbilanz dürfen Unternehmen alle aufbewahrungspflichtigen Unterlagen digital aufbewahren – eine Ablage lediglich auf einem Laufwerk o.ä. ist nicht DSGVO-konform! Dabei müssen sie sicherstellen, dass die Daten über die gesamte Dauer der Aufbewahrungspflicht lesbar sind. Das heißt, ändern sich Speichermedien oder Speicherformate, sind entsprechende Vorkehrungen zu treffen, damit die Aufzeichnungen weiterhin abgerufen werden können. Selbstverständlich müssen die Daten auch bildlich und inhaltlich mit den Original-Dokumenten übereinstimmen. Das gilt bei der Nutzung eigener digitaler Medien genauso wie bei der Übertragung an Cloud-Dienste.
Löschkonzept für Buchhaltungsdaten
Sind die gesetzlichen Aufbewahrungsfristen abgelaufen, müssen Unternehmen ihre Buchhaltungsdaten löschen. Denn nur so erfüllt die Buchhaltung die in der DSGVO festgelegten Grundsätze der Zweckbindung und Speicherbegrenzung. Klare Regelungen und ein Löschkonzept unterstützen dabei, diese Vorgaben einzuhalten. Neben den Speicherfristen sollten im Konzept auch die Löschfristen aufgeführt werden. So stellen die dort ebenfalls bestimmten Verantwortlichen sicher, dass diese Termine jederzeit sichtbar sind. Da das Verzeichnis für Verarbeitungstätigkeiten die Angaben ebenfalls enthält, lassen sie sich leicht in ein Löschkonzept überführen.
Die Löschfristen ergeben sich bei den Daten der Buchhaltung aus dem Verarbeitungszweck in Verbindung mit der gesetzlich festgelegten Aufbewahrungsfrist. Ist diese Frist abgelaufen, dürfen die Informationen nicht länger verarbeitet werden. Widerrufen Kunden allerdings ihre Einwilligung zur Datenerhebung vor dem Fristablauf, bleiben Rechnungen mit deren Daten dennoch zunächst weiterhin gespeichert. Hier genießt die Aufbewahrungspflicht Vorrang über das Löschungsverlangen. Verpflichtet sind Unternehmen jedoch zur Auskunft darüber, welche Daten wegen gesetzlicher Anforderungen gespeichert sind. Den Ursprung der Informationen und deren Weg im Rahmen der Verarbeitung sollten sich aufgrund der Dokumentationspflicht leicht belegen lassen.
Eine Verlängerung der Aufbewahrungs- und somit auch der Löschfrist ergibt sich, wenn Dokumente im Zusammenhang mit einem Gerichts- oder Steuerverfahren benötigt werden. Solange ein solches Verfahren anhängig ist, müssen entsprechende Dokumente aufbewahrt werden und dürfen nicht gelöscht werden, auch wenn die gesetzliche Löschfrist theoretisch greifen würde.
Löschen im Sinne des Datenschutzes
Ist der Zeitpunkt der Löschung gekommen, müssen alle Daten vollständig und dauerhaft aus dem Unternehmen entfernt werden. Dies gilt für analoge wie digitale Dokumente gleichermaßen und umfasst ebenso alle vorliegenden Kopien. Eine Möglichkeit zur Wiederherstellung der Daten ist dabei auszuschließen. Bei Papierdokumenten geschieht dies mithilfe eines geeigneten Aktenvernichters. Für digitale Daten sollten entsprechende technische Lösungen bevorzugt werden.
Überblick Jahresabschluss 2023 und gesetzliche Änderungen 2024
Alle wichtigen gesetzlichen Änderungen und weitere top-aktuelle Artikel zum Jahresabschluss finden Sie auf unserer Überblicksseite Jahresabschluss 2023 Buchhaltung 2024.
Ob effizientes Dokumentenmanagement, intelligente Vertragsverwaltung oder Bestellwesen: Die Digitalisierung bringt Ihr Unternehmen voran! Sabine Preusser ist seit 30 Jahren in verschiedenen Positionen für Sage tätig und beschäftigt sich im Produkt Management seit vielen Jahren mit dem Thema Digitalisierung und den damit verbundenen rechtlichen Aspekten.
