Daten – für die einen sind sie von unschätzbarem Wert, während andere sie am liebsten als wohlgehütetes Geheimnis bewahren würden. Die Datenschutzgrundverordnung (DSGVO) setzt seit dem 25. Mai 2018 klare Grenzen für die Erhebung von Daten. Für Unternehmen bedeutet dies eine Herausforderung, insbesondere wenn gesetzliche Aufbewahrungsfristen den Datenschutz beeinträchtigen, wie es beispielsweise bei Buchhaltungs- und Personalunterlagen der Fall ist. In diesem Kontext stellt sich die Frage, wie Unternehmen gesetzliche Vorschriften und die DSGVO, insbesondere in der Buchhaltung, miteinander in Einklang bringen können.
Die DSGVO basiert auf zwei grundlegenden Prinzipien des Datenschutzes: das Prinzip der Zweckbindung und das Prinzip der Speicherbegrenzung. Das Prinzip der Zweckbindung schreibt vor, dass Unternehmen Daten nur für vorher festgelegte Zwecke oder mehrere festgelegte Zwecke sammeln dürfen. Eine willkürliche Datensammlung ist nicht erlaubt. In der Buchhaltung bedeutet dies, dass die erforderlichen Angaben im Zusammenhang mit der Rechnungslegung erfasst werden dürfen, wie beispielsweise der Name und die Anschrift des Leistungserbringers oder -empfängers sowie die Steuernummer oder die Umsatzsteuer-Identifikationsnummer.
Das Prinzip der Speicherbegrenzung gewährleistet, dass Unternehmen Daten nur für einen bestimmten Zeitraum aufbewahren dürfen. Sobald der vorher festgelegte Zweck erfüllt ist, müssen die gespeicherten Informationen umgehend gelöscht werden, es sei denn, gesetzliche Fristen erfordern eine längere Aufbewahrung. Dies betrifft auch die Buchhaltung, wobei die entsprechenden Vorschriften aus der Abgabenordnung und dem Handelsgesetzbuch stammen. Im Bewerbermanagement können Daten auch über die vorgeschriebene Aufbewahrungsfrist hinaus aufbewahrt werden, wenn der Bewerber dem zustimmt.
Unternehmen sind verpflichtet, ihre Buchungsbelege im Rahmen der gesetzlichen Aufbewahrungsfrist (aktuell 10 Jahre) zu archivieren. Dies umfasst alle Unterlagen zu einzelnen Geschäftsvorfällen, wie Rechnungen, Auftragszettel, Lohnabrechnungen, Reisekostenabrechnungen sowie Kontoauszüge und Kassenlisten. Unternehmen müssen außerdem sechs Jahre lang weitere Unterlagen aufbewahren, die für die Besteuerung relevant sind, wie beispielsweise Geschäftsbriefe.
Die Nutzung von Cloud-Anwendungen für die Buchhaltung ist bei Anbietern aus Deutschland und der EU grundsätzlich zulässig. Bei Diensten aus den USA ist die Situation jedoch komplizierter. Nach dem 3. Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023 sollte die Nutzung dieser Dienste jedoch vorerst rechtssicher sein, sofern sie nach dem EU-US Data Privacy Framework zertifiziert sind. Unternehmen müssen jedoch vor der Übertragung von Daten in die Cloud Datenschutzvorkehrungen treffen.
Gemäß der DSGVO gilt ein Cloud-Anbieter als Auftragsdatenverarbeiter, und es sollte ein entsprechender Auftragsdatenverarbeitungsvertrag abgeschlossen werden. Sowohl das Unternehmen als verantwortliche Stelle als auch der Anbieter müssen geeignete Datenschutzmaßnahmen nachweisen können. Im Falle von Datenschutzverletzungen haftet derjenige, bei dem der Fehler nachgewiesen wird. Benutzer sollten daher überprüfen, ob der Vertrag mit dem Cloud-Anbieter eine solche Garantie tatsächlich vorsieht.
Bis auf Jahresabschlüsse und die Eröffnungsbilanz können Unternehmen alle aufbewahrungspflichtigen Unterlagen digital archivieren. Eine reine Ablage auf einem Laufwerk oder ähnlichem ist jedoch nicht DSGVO-konform! Es muss sichergestellt werden, dass die Daten während der gesamten Aufbewahrungsfrist lesbar sind. Ändern sich Speichermedien oder -formate, müssen entsprechende Maßnahmen ergriffen werden, um sicherzustellen, dass die Aufzeichnungen weiterhin abgerufen werden können. Die Daten müssen auch bildlich und inhaltlich mit den Originaldokumenten übereinstimmen, unabhängig davon, ob eigene digitale Medien oder Cloud-Dienste verwendet werden.
Wir helfen Ihnen dabei DSGVO-konform zu arbeiten.
Nach Ablauf der gesetzlichen Aufbewahrungsfristen ist es notwendig, dass Unternehmen ihre Buchführungsdaten löschen. Nur auf diese Weise können die Grundsätze der Zweckbindung und Speicherbegrenzung der DSGVO in der Buchhaltung erfüllt werden. Eine klare Regelung und eine durchdachte Löschstrategie helfen dabei, diese Vorgaben einzuhalten. Neben den Speicherfristen sollten auch die Löschfristen im Konzept festgehalten werden. Auf diese Weise stellen die benannten Verantwortlichen sicher, dass diese Termine jederzeit transparent sind. Da das Verzeichnis für Verarbeitungstätigkeiten ebenfalls diese Informationen enthält, lässt es sich mühelos in die Löschstrategie integrieren.
Die Löschfristen ergeben sich bei den Buchführungsdaten aus dem Verarbeitungszweck in Verbindung mit den gesetzlich festgelegten Aufbewahrungsfristen. Nach Ablauf dieser Frist dürfen die Informationen nicht mehr verarbeitet werden. Sollten Kunden jedoch ihre Einwilligung zur Datenerhebung vor dem Ablauf der Frist widerrufen, bleiben Rechnungen mit ihren Daten vorerst weiterhin gespeichert. In diesem Fall hat die Aufbewahrungspflicht Vorrang vor dem Löschungsverlangen. Unternehmen sind dennoch verpflichtet, Auskunft darüber zu geben, welche Daten aus gesetzlichen Gründen gespeichert sind. Durch die Dokumentationspflicht lässt sich der Ursprung der Informationen und deren Verarbeitungsweg leicht nachweisen.
Eine Verlängerung der Aufbewahrungs- und somit auch der Löschfrist ist möglich, wenn Dokumente im Zusammenhang mit einem Gerichts- oder Steuerverfahren benötigt werden. Solange ein derartiges Verfahren noch nicht abgeschlossen ist, müssen die entsprechenden Dokumente aufbewahrt werden und dürfen nicht gelöscht werden, selbst wenn die gesetzliche Löschfrist theoretisch bereits abgelaufen wäre.
Nach Ablauf der festgelegten Löschfrist müssen sämtliche Daten vollständig und unwiderruflich aus dem Unternehmensbestand entfernt werden. Diese Vorgabe erstreckt sich sowohl auf analoge als auch digitale Dokumente und schließt sämtliche existierenden Kopien mit ein. Es darf keinerlei Möglichkeit zur Wiederherstellung der Daten geben. Analog zu Papierdokumenten, die mittels eines geeigneten Aktenvernichters vernichtet werden, sollten für digitale Daten entsprechende technische Lösungen bevorzugt werden.