Datenschutz in der Finanzbuchhaltung: Was ist DSGVO-konform?
Die europäische Datenschutz-Grundverordnung (DSGVO) regelt auch den Umgang mit personenbezogenen Daten in der Finanzbuchhaltung. Was dabei zu beachten ist, erklärt dieser Artikel.
Die Datenschutz-Grundverordnung enthält spezifische Regelungen und Prinzipien, die auch für den Datenschutz in der Finanzbuchhaltung relevant sind. Im Wesentlichen geht es in der DSGVO in Bezug auf den Schutz personenbezogener Daten um zwei Grundsätze:
- Datenminimierung oder Datensparsamkeit: Es sollten so wenig personenbezogene Daten wie möglich verwendet werden und nur so lange, wie es notwendig ist, um den Verarbeitungszweck zu erfüllen.
- Zweckbindung: Sobald der Zweck der Datenspeicherung erreicht ist, müssen personenbezogene Daten gelöscht werden. In diesem Zusammenhang wird häufig der Grundsatz der Speicherbegrenzung genannt.
Zum Gesamtpaket der DSGVO gehören auch das “Recht auf Vergessenwerden”, umfassende Auskunfts- und Widerspruchsrechte der Betroffenen, “Privacy by default” sowie die neuen Regelungen zur Datenverarbeitung im Auftrag.
In der Finanzbuchhaltung werden schutzbedürftige Daten von Kunden, Lieferanten, Partnern und anderen verarbeitet. Dazu gehören beispielsweise Stammdaten, Rechnungsdaten und Kontodaten. Für einen effektiven Datenschutz in der Finanzbuchhaltung müssen daher einige Prozesse überprüft werden. Sehen wir uns an, welche Maßnahmen Sie dazu ergreifen können.
Wo ist der Datenschutz in der Finanzbuchhaltung rechtlich geregelt?
Bis Mai 2018 war der Datenschutz in Deutschland im Wesentlichen durch das alte Bundesdatenschutzgesetz (BDSG) geregelt. Seit dem 25. Mai 2018 gilt in Deutschland und allen anderen EU-Mitgliedstaaten die Datenschutz-Grundverordnung (DSGVO). Um der Datenschutz-Grundverordnung zu entsprechen, wurde das Bundesdatenschutzgesetz (BDSG) zur gleichen Zeit angepasst.
Das BDSG-neu dient dazu, spezifische nationale Regelungen zu ergänzen und auszugestalten, wo die DSGVO den Mitgliedstaaten entsprechende Gestaltungsspielräume lässt. Es enthält beispielsweise Regelungen zur Datenverarbeitung im Beschäftigungskontext, zu den Rechten der Betroffenen, zur Datenschutzaufsicht und zu Sanktionen.
Die Regelungen zum Datenschutz in der Finanzbuchhaltung finden sich somit sowohl in der DSGVO als auch im BDSG-neu. Darüber hinaus ist zu beachten, dass die Abgabenordnung (AO) und das Handelsgesetzbuch (HGB) längere Aufbewahrungsfristen für personenbezogene Daten vorsehen können.
Welche Daten stehen im Fokus der datenschutzrechtlichen Regelungen?
Die DSGVO zielt auf personenbezogene Daten ab. Darunter fallen alle Daten, die sich direkt oder indirekt auf eine Person zurückführen lassen. Das sind nicht nur Namen, Adressen und Telefonnummern, sondern beispielsweise auch IP-Adressen von benutzten Computern und Kundennummern oder -kennungen.
Was fordert die DSGVO für den Umgang mit personenbezogenen Daten in der Finanzbuchhaltung?
Erinnern Sie sich noch an die von den GoBD geforderten technischen und organisatorischen Maßnahmen, kurz: TOMs? Dieses Kürzel steht für die Maßnahmen, die ergriffen werden müssen, um den gesetzlichen Anforderungen zu genügen. Auch die TOMs für den Datenschutz in der Finanzbuchhaltung müssen dokumentiert werden.
Die Finanzbuchhaltung muss Maßnahmen in folgenden Bereichen umsetzen:
- Zugang und Zugriff auf geschützte Daten: Der Zugang und Zugriff muss durch ein System von Rollen und Rechten beschränkt werden. Beispielsweise benötigt eine Buchhaltungskraft Zugriff auf bestimmte Stammdaten und Rechnungen – in der Regel aber nur lesend, es sei denn, sie ist auch für die Stammdatenpflege zuständig.
- Zweckbindung und Datenminimierung: Diese Prinzipien betreffen sowohl die Menge als auch die Dauer der Datenaufbewahrung. Überprüfen Sie insbesondere die Vorgänge rund um die Stammdatenpflege.
- Weitere Verarbeitungsgrundsätze: Dazu gehören Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Integrität und Vertraulichkeit. Diese Grundsätze müssen nicht nur beachtet, sondern auch dokumentiert werden. Wenn dies noch nicht geschehen ist, sollten Sie das nachholen.
- Cloudgestützte Programme: Falls Sie mit cloudbasierten Programmen arbeiten, überprüfen Sie die Vereinbarungen zur Auftragsdatenverarbeitung mit den betreffenden Anbietern. Weiter unten finden Sie mehr Informationen zu diesem Punkt.
Speichern Sie nur die Daten, die dem Zweck der Verarbeitung entsprechen, und machen Sie sie nur den Personen zugänglich, die diese Daten verarbeiten. In der Buchhaltung werden in der Regel keine Angaben zum Geschlecht oder zur Herkunft benötigt. Wenn Sie aber beispielsweise als Steuerberater Steuererklärungen für Kunden erstellen, sind Angaben zum Familienstand, zu Kindern usw. relevant.
Benötigen Sie für den Datenschutz in der Finanzbuchhaltung ein Risk Assessment und Privacy Impact Assessment?
Häufig fallen die Begriffe “Risk Assessment” und “Privacy Impact Assessment”. Dabei handelt es sich um sogenannte Datenschutzfolgenabschätzungen. Diese werden durchgeführt, wenn besonders schutzwürdige Daten betroffen sind. Dazu gehören beispielsweise Gesundheitsdaten, Daten über politische und religiöse Überzeugungen, ethnische Herkunft oder Vorstrafen. Datenlecks, die solche Informationen betreffen, können besonders großen Schaden anrichten.
Wenn Sie mit solchen sensiblen Daten arbeiten, ist es wichtig, eine entsprechende Datenschutzfolgenabschätzung (Privacy Impact Assessment) und eine Risikobewertung (Risk Assessment) durchzuführen. Diese Analysen helfen Ihnen, potenzielle Risiken zu erkennen und geeignete Maßnahmen zu ergreifen, um den Schutz der Daten zu gewährleisten und die Folgen eines möglichen Datenlecks zu minimieren.
Ist immer eine Einwilligung in die Datenverarbeitung erforderlich?
Die Einwilligungserklärung von Kunden und Partnern ist wichtig. Auch die Datenschutzerklärung Ihres Unternehmens sollte auf dem neuesten Stand sein. Normalerweise ist die Finanzbuchhaltung dafür nicht zuständig. Als Verantwortlicher für die Buchhaltung sollten Sie sich aber bei den zuständigen Stellen erkundigen, ob alles korrekt ist.
Grundsätzlich dürfen Sie Daten nur mit Einwilligung der betroffenen Person verarbeiten. Eine Einwilligung ist jedoch nicht erforderlich, wenn die Datenverarbeitung zur Erfüllung eines Vertrags zwischen Verbraucher und Unternehmer erforderlich ist, wie das Bundesjustizministerium klarstellt. Das bedeutet: Wenn ein Kunde bei Ihnen etwas bestellt, willigt er stillschweigend ein, dass sein Name, seine Bestelldaten und seine Rechnungsadresse von Ihnen gespeichert und verarbeitet werden. Laut DSGVO ist dies ein “Erlaubnistatbestand”, wenn die Verarbeitung “für die Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist”.
Ist Ihre Datenarchivierung DSGVO-konform?
Um Ihre Daten DSGVO-konform zu archivieren, empfiehlt sich der Einsatz eines Dokumentenmanagementsystems (DMS). Damit können Sie sicherstellen, dass die Daten während der gesamten gesetzlichen Aufbewahrungsfrist vor unbefugtem Zugriff geschützt, jederzeit wiederauffindbar und lesbar sind. Die Speicherung der Daten einfach auf einem internen Netzlaufwerk ist dagegen nicht DSGVO-konform, da diese Methode ein höheres Risiko für Datenverlust oder -korruption birgt.
Falls Ihr Unternehmen Cloud-Dienste zur Datenarchivierung nutzt, sollten Sie zusätzlich die folgenden Punkte beachten:
- Die Speicherung auf Servern innerhalb der EU ist grundsätzlich zulässig.
- Server in den USA sind nur dann rechtssicher, wenn sie nach dem EU-US Data Privacy Framework zertifiziert sind.
- Vor der Übertragung von Daten in die Cloud müssen angemessene Datenschutzvorkehrungen getroffen werden.
Auftragsdatenverarbeitung in der Cloud
Die DSGVO betrachtet Cloud-Anbieter als Auftragsverarbeiter, weshalb ein Vertrag über die Auftragsverarbeitung Ihrer Daten abgeschlossen werden muss. Die meisten seriösen Anbieter haben ihre Verträge bereits DSGVO-konform gestaltet. Dennoch gilt: Vertrauen ist gut, Kontrolle ist besser. Sowohl Ihr Unternehmen als Verantwortlicher als auch der Cloud-Provider müssen geeignete Datenschutzmaßnahmen nachweisen können.
Haftung für Datenschutzverstöße
Bei Verstößen gegen die DSGVO haftet die Partei, die den Fehler nachweislich begangen hat. Prüfen Sie in Ihrem Auftragsverarbeitungsvertrag (AVV), ob Ihr Cloud-Partner diese Haftung übernimmt.
Übrigens: Die Möglichkeit, dass Ihr Cloud-Anbieter als Auftragsdatenverarbeiter für Datenschutzverstöße in der Buchhaltung haftbar gemacht werden kann, ist eine Neuerung der DSGVO.
Löschpflichten für Buchhaltungsdaten
Steuerrelevante Daten unterliegen einer Aufbewahrungspflicht von zehn Jahren. Darunter fallen buchhaltungsrelevante Dokumente wie Rechnungen, Bestellungen, Reisekostenabrechnungen und Ähnliches. Das bedeutet, dass Sie beispielsweise Rechnungen nicht vor Ablauf dieser Frist löschen dürfen, auch wenn Ihr Kunde in der Zwischenzeit die Löschung aller seiner Daten verlangt und auf sein “Recht auf Vergessenwerden” besteht.
Für Geschäftsbriefe, E-Mails und andere Dokumente, die Ihre Geschäfte erklären und dokumentieren, gilt eine Aufbewahrungsfrist von sechs Jahren.
Nach Ablauf dieser gesetzlichen Fristen sind personenbezogene Daten gemäß DSGVO zu löschen.
Wie sieht ein rechtskonformes Löschkonzept aus?
Im Idealfall können Sie bei der Datenarchivierung ein “Verfallsdatum” für Daten festlegen. Ein praktisches Löschkonzept könnte wie folgt aussehen:
- Unterteilen Sie die Daten in Kategorien, zum Beispiel mit Aufbewahrungsfristen von zehn Jahren oder sechs Jahren.
- Formulieren Sie für jede Kategorie klare Löschregeln. Zum Beispiel: Die Rechnung X wurde am 27. Juni 2024 eingegeben, daher ist ihre Löschung für den 27. Juni 2034 vorgesehen.
- Definieren Sie einen Prozess für die Durchführung der Löschung.
- Legen Sie die Verantwortlichkeiten für die Löschung fest und hinterlegen Sie diese im Rollen- und Rechtesystem der Software.
- Dokumentieren Sie das gesamte Löschkonzept und dessen Umsetzung.
Moderne Archiv- bzw. Dokumentenmanagementsysteme unterstützen Sie bei der Erstellung solcher Löschregeln. Sobald der Prozess in der Software implementiert ist, müssen Sie sich nicht mehr darum kümmern.
Lesen Sie auch:
>> Aufbewahrung von Geschäftsunterlagen: Welche Fristen und Pflichten gelten?
>> GoBD und Archivierung – warum digitales Dokumentenmanagement so wichtig ist
>> Archivierung nach GoBD – warum Sie dafür eine Verfahrensdokumentation brauchen
Bildquelle: Bacho/shutterstock.com