EU-DSGVO: Das muss die Finanzbuchhaltung beachten [Checkliste]

Die neue EU-Datenschutzgrundverordnung gilt seit dem 25. Mai 2018. Unternehmen drohen drakonische Strafen von bis zu vier Prozent des Jahresumsatzes oder 20 Millionen Euro pro Datenschutzverletzung. Neben der Personalabteilung hat vor allem die Finanzbuchhaltung ein großes Interesse, diese Norm rechtsicher umzusetzen. Denn wo, wenn nicht in Ihrer Buchhaltung, hantieren die Mitarbeiter mit sensiblen personenbezogenen Daten. Für den Umgang mit Kundenstammdaten, Rechnungsadressen sowie Kontoverbindungen müssen Sie als Leiter des Rechnungswesens sofern noch nicht geschehen jetzt alle Prozesse überprüfen und gegebenenfalls EU-DSGVO-konform neu organisieren.

Zugangs- und Zugriffskontrollen

Um deren Schutz von sensiblen Kundendaten zu 100 Prozent zu garantieren, gehören bauliche Maßnahmen zur Zugangskontrolle schon länger als Selbstverständlichkeiten. Auch die Zugriffskontrollen mit Rollen und Rechten der Sachbearbeiter gehört längst zum Standard. Nehmen Sie die EU-DSGVO dennoch zum Anlass und überprüfen Sie alle organisatorischen und technischen Maßnahmen für den Datenschutz in Ihrer Abteilung. Überprüfen Sie alle Systeme, ob sie auf dem neuesten Stand sind.

Herausforderung Stammdatenpflege und Rechtsschutz betroffener Personen

Die EU-DSGVO stärkt vor allem das Recht der Dateninhaber. Diese müssen nicht nur in jeden einzelnen Zweck der Datenverarbeitung aktiv einwilligen, sondern können auch verlangen, dass ihre Daten gelöscht werden. Vom Auskunftsrecht bis zum „Recht auf Vergessen“ müssen Sie daher für die Stammdatenpflege Prozesse definieren, wie Sie diese im Interesse der Betroffenen umsetzen. In diesen Prozessen müssen Sie regeln, wie Sie das Recht auf Berichtigung, Löschung, Vergessen werden, Einschränkung der Verarbeitung, Datenübertragbarkeit (Portabilität), Widerspruch sowie Widerruf zum Profiling von Daten umsetzen werden. Neben den technischen Prozessen müssen Sie die Kommunikationswege für den Dateninhaber definieren, wie er seine Rechte wahrnehmen und anmelden kann.

Was Sie bei Ihrem Cloud-Provider beachten sollten

Die Buchhaltung ist traditionell sehr Computer-affin und gehörte auch zu den ersten Abteilungen in vielen Unternehmen, die ihre Anwendungen in die Cloud verlagerten. Oder sie übertrugen Teile der Buchhaltung an eine externe Steuerkanzlei. Beide gelten als Auftragsdatenverarbeiter und müssen die EU-DSGVO ebenfalls anwenden und die konforme Umsetzung garantieren. Grundsätzlich gilt für die Auftragsdatenverarbeitung in der Cloud oder bei Externen, dass sie innerhalb der EU und damit in der örtlichen Zuständigkeit der EU-DSGVO zulässig ist. Das gilt auch für Steuer- und Buchhaltungsdaten. Der Cloud-Nutzer als verantwortliche Stelle und der Cloud-Provider müssen aber geeignete Maßnahmen zum EU-DSGVO-konformen Datenschutz nachweisen. Neu ist zudem in der EU-DSGVO, dass auch der Cloud-Anbieter als Auftrags-Datenverarbeiter für Datenschutzverletzungen haftbar gemacht werden kann, wenn er sich Fehler zurechnen lassen muss. Überprüfen Sie also, ob Ihr Cloud-Provider Ihnen diese Garantien auch vertraglich zusagt. Wenn er dies bisher nicht gemacht hat, fordern Sie diese Garantien schriftlich ein.

Fazit

Die EU-DSGVO hat weitreichende Auswirkungen auf alle Unternehmen und besonders auf die Finanzabteilung. Sie sollten sich deshalb in Ihrem Unternehmen  dafür einsetzen, dass alle Datenverarbeitungsprozesse überprüft und angepasst werden; sofern noch nicht geschehen. Denn vermutlich sind Sie bei einigen Prozessen auch darauf angewiesen, dass die IT-Abteilung mitspielt und der Geschäftsführer eventuell auch Finanzmittel bewilligen muss, um technische und organisatorische Maßnahmen zu finanzieren.

Weitere interessante Artikel zum Thema

• Digitale Compliance-Prozesse in der Praxis – warum sie sich in der Finanzbuchhaltung besonders lohnen
• Wer übernimmt die Haftung bei Buchhaltung in der Cloud?
• Compliance 2023: Die Top-5-Richtlinien für jedes Unternehmen
• Geschäftsführerhaftung bei Fehlern in der Finanzbuchhaltung?