Welche GoBD-Vorgaben müssen Unternehmen umsetzen?
Seit 2020 gibt es eine neue Fassung der GoBD-Vorgaben, die jedes Unternehmen umsetzen muss. Dabei stellen sich in der Anwendung unterschiedliche Fragen und Ansprüche, die auch den Datenschutz betreffen. Wie bekommt man den Datenschutz und die GoBD-Vorgaben so zu sagen „unter einen Hut“, um beiden Vorgaben gerecht zu werden?
Was bedeutet GoBD?
GoBD ist die Abkürzung für „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form“.
„Die GoBD regelt, welche grundsätzlichen Prinzipien Unternehmer für ihre Bücher und sonstigen Aufzeichnungen beachten müssen, damit diese für steuerliche Beweiszwecke von den Finanzbehörden anerkannt werden.“ (Quelle: Homepage des Bundesbeauftragen für den Datenschutz und die IT-Sicherheit (BfDI))
Dabei regelt die GoBD nicht welche Unterlagen überhaupt aufbewahrt werden müssen und wie lange. Diese Grundlagen ergeben sich aus den entsprechenden gesetzlichen Vorgaben, wie dem Steuerrecht. Die GoBD regelt zum Beispiel, wie die Unterlagen aufbewahrt werden müssen, dabei müssen unterschiedliche Grundsätze eingehalten werden.
Welche Vorgaben gibt es bei den GoBD?
Die GoBD gibt vor, dass bei der Führung von Büchern in elektronischer oder Papierform unterschiedliche Anforderungen erfüllt werden müssen, dazu gehören:
- Grundsatz der Nachvollziehbarkeit und Nachprüfbarkeit
- Grundsätze der Wahrheit, Klarheit und fortlaufenden Aufzeichnung
- Vollständigkeit
- Einzelaufzeichnungspflicht
- Richtigkeit
- zeitgerechte Buchungen und Aufzeichnungen
- Ordnung und Unveränderbarkeit
BLOG-TIPP: GOBD: WELCHE RICHTLINIEN MÜSSEN UNTERNEHMEN IN NRW EINHALTEN
GoBD-Aufbewahrungspflicht als Thema für den Datenschutz?
Es stellt sich nun die Frage, ob die Vorgaben der GoBD ein Problem für den Datenschutz darstellen könnten. Die Daten, die durch die GoBD-Vorgaben entsprechend aufbewahrt werden, sind teilweise auch den personenbezogenen Daten zuzuordnen. Der Datenschutz besagt dabei zum Beispiel, dass diese nur so lange gespeichert oder aufbewahrt werden dürfen, wie sie für den Zweck, für den sie erhoben wurden, benötigt werden. Ist dies nun ein Wiederspruch zwischen GoBD und Datenschutz?
Diese Frage ist eindeutig mit „nein“ zu beantworten. Bei den Löschpflichten im Datenschutz handelt es sich um eine Vorgabe, die sich an den Aufbewahrungspflichten anderer gesetzlicher Vorgaben orientiert. Das bedeutet, die Daten dürfen erst dann gelöscht werden, wenn sie für andere Vorgaben nicht mehr benötigt werden.
GoBD und DS-GVO miteinander verbinden – Löschkonzepte anpassen und konsequent durchsetzen
Dabei ist allerdings zu beachten, dass sichergestellt werden muss, dass nach Ablauf der Aufbewahrungspflicht unverzüglich die Löschung der Daten erfolgen muss. Alle anderen Grundsätze, wie zum Beispiel die Zweckbindung oder die Datenminimierung müssen bei der Verarbeitung der Daten (dazu gehören u.a. Erhebung, Verarbeitung, Speicherung, Aufbewahrung aber auch Löschung und Vernichten der Daten) eingehalten werden. Es geht also darum, sowohl die Vorgaben der GoBD, als auch die des Datenschutzes miteinander zu verbinden und umzusetzen. Beide schließen einander nicht aus, sondern bilden einen Teil der Grundlagen für die Datenverarbeitung.
Gerade wenn es um die Aufbewahrungs- und Löschpflichten geht, gilt es ein ausreichendes Löschkonzept zu erstellen, dass sicherstellen kann, dass personenbezogene Daten dann DS-GVO-konform gelöscht werden, wenn sie für den Zweck, für den sie erhoben wurden nicht mehr benötigt werden.
BLOG-TIPP: DATENSCHUTZ: LÖSCHFRISTEN UND AUFBEWAHRUNGSPFLICHTEN FÜR UNTERNEHMEN IN NRW
Was sagt der BfDI zu Datenschutz und GoBD?
„In der GoBD werden nur Grundprinzipien der Aufbewahrung und Speicherung geregelt. Die Frage, welche Informationen wie lange aufbewahrt werden müssen und damit verbunden die Frage, ob eine entsprechende Aufbewahrungsdauer überhaupt erforderlich ist, ergeben sich nicht aus der GoBD selbst. Grundsätzlich erscheint es aus datenschutzrechtlicher Sicht erforderlich, die Aufzeichnungen so zu führen, dass die Einhaltung von gesetzlichen Vorschriften durch die Behörden überprüft werden kann. Wie im Einzelfall der Grundsatz der Datenminimierung gewährleistet werden kann, ist nur im jeweiligen konkreten Einzelfall in Bezug auf die zugrundeliegenden Vorschriften zu entscheiden.“ (Quelle: Homepage des Bundesbeauftragen für den Datenschutz und die IT-Sicherheit (BfDI))
Die Verfahrensdokumentation nach DS-GVO und GoBD
Bei der GoBD-konformen Aufbewahrung von Unterlagen, geht es vor allem um die sogenannte Revisionssicherheit der Daten. Die personenbezogenen Daten, die dabei verarbeitet werden, müssen den Grundsätzen des Datenschutzes standhalten. Dabei muss auch sichergestellt werden, dass die Sicherheit der Daten gewährleistet ist. Durch entsprechende technische und organisatorische Maßnahmen sollte verhindert werden, dass Daten durch Unbefugte abgegriffen, verändert, eingesehen oder gelöscht werden können.
Dabei können Datenschutz und GoBD-Vorgaben auch als Chance für den sicheren Umgang mit personenbezogenen Daten angesehen werden. Wer sich an die Vorgaben hält, verhindert nicht nur dass er aufgrund der Nicht-Einhaltung von gesetzlichen Vorgaben Strafen erhält. Vielmehr kann eine sichere Umsetzung der gesetzlichen Vorgaben auch ein stückweit zu einem sicheren Umgang mit Daten in einer Organisation beitragen.
BLOG-TIPP: GOBD- KONFORM ARBEITEN – TIPPS FÜR UNTERNEHMEN IN NRW
Komplexe Umsetzungen mit einem Fachmann besprechen
Jeder Fall der Verarbeitungen von (personenbezogenen) Daten und der Umsetzung von Datenschutz und GoBD-Vorgaben, kann eine einzelne Bewertung der Prozesse notwendig machen. Meist kann nicht pauschal beantwortet werden, welche Maßnahmen getroffen werden müssen. Daher sollten die entsprechenden Fachleute eine Beurteilung der unterschiedlichen Maßnahmen vornehmen. Im Fall des Datenschutzes, ist dies der (externe) Datenschutzbeauftragte.
BLOG-TIPP: ERP-SYSTEME IM DATENSCHUTZ RICHTIG NUTZEN
Das Team von Datenschutzberater.NRW bietet Organisationen unterschiedlicher Art Beratung im Datenschutz an. Mit unseren Fachleuten aus dem Bereich Datenschutz, IT und Steuerrecht erstellen wir Ihnen gerne ein individuelles Angebot für eine Datenschutz-Erstberatung, die Betreuung durch einen externen Datenschutzbeauftragten und entwickeln ein für Sie passendes Konzept. Nehmen Sie einfach Kontakt zu uns auf.
Wir betreuen Mandanten in Köln, Düsseldorf, Siegen, Bonn, Siegburg und ganz NRW. Lesen Sie mehr zu unserem individuellen Angebot.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.