GoBD und DSGVO: Sind Revisionssicherheit und Datenschutz kombinierbar?

Das Wichtigste in Kürze

  • Zentrale Forderung der GoBD ist die Revisionssicherheit, das heißt die Unveränderbarkeit der Buchhaltung.
  • Die DSGVO befasst sich mit dem Schutz personenbezogener Daten.
  • Zwischen beiden Regelwerken kommt es scheinbar zu einem Konflikt, wenn die DSGVO die Löschung von Daten vorschreibt.
  • Dieser Widerspruch lässt sich jedoch bei näherem Hinsehen auflösen.
  • In der Praxis von zentraler Bedeutung: ein durchdachtes Löschkonzept.


In diesem Beitrag:

Die GoBD formulieren Anforderungen an die IT-gestützte Buchführung. Unter diesen Anforderungen befinden sich auch Aufbewahrungspflichten für Unterlagen, die auf den ersten Blick im Widerspruch zu den Löschanforderungen der Datenschutz-Grundverordnung (DSGVO) zu stehen scheinen. Wir erklären, wie sich die beiden Regelwerke GoBD und DSGVO im Unternehmen in Einklang bringen lassen.

Was sind die GoBD?

Die Abkürzung GoBD steht für „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“. Anders ausgedrückt: Die vom Bundesfinanzministerium 2014 erlassene und zuletzt zum Jahresbeginn 2020 aktualisierte Verwaltungsvorschrift befasst sich mit der ordnungsgemäßen Buchführung im EDV-Bereich.

Was ist das Anliegen der GoBD?

Die GoBD sollen eine Einheitlichkeit und Sicherheit bei der Führung von steuerlich relevanten Aufzeichnungen herbeiführen. Es geht also im Kern um reibungslose Abläufe in der Finanzverwaltung unter den Rahmenbedingungen von betrieblichen Abläufen, die zunehmend digitalisiert und automatisiert stattfinden.

Um gleich zu Beginn mit einem Missverständnis aufzuräumen: Die GoBD regeln nicht die Frage, ob bestimmte Unterlagen aufbewahrt werden sollen. Das „Ob“ – die Pflicht zur Buchführung und Aufzeichnung – ergibt sich aus einer Vielzahl handels- und steuerrechtlicher Vorschriften. Die GoBD sind dagegen maßgeblich für die Form, also das „Wie“ dieser Buchführung. Hier ist eine zentrale Forderung der GoBD die „Unveränderbarkeit“ der Dokumentation.

Was bedeutet Revisionssicherheit?

Der Fachbegriff für die von den GoBD geforderte Unveränderbarkeit der Dokumentation ist die Revisionssicherheit. Im Einzelnen formulieren die GoBD folgende Anforderungen an die Buchhaltung:

  • Nachvollziehbarkeit und Nachprüfbarkeit
  • Wahrheit, Klarheit und fortlaufende Aufzeichnung, genauer
    • Vollständigkeit
    • Einzelaufzeichnungspflicht
    • Richtigkeit
    • zeitgerechte Buchungen und Aufzeichnungen
    • Ordnung
    • Unveränderbarkeit

Was soll die DSGVO erreichen?

Das Anliegen der Datenschutzgrundverordnung ist der Schutz personenbezogener Daten. Es geht der DSGVO letztlich um den Schutz des Rechts auf informationelle Selbstbestimmung, welches einen Ausfluss des allgemeinen Persönlichkeitsrechts darstellt. Das wiederum ist ein Grundrecht und wird im Grundgesetz verfassungsrechtlich garantiert.

Daten sind zum Gold des 21. Jahrhunderts, zu einer wertvollen Ware geworden. Es ist daher nicht verwunderlich, dass an einem regen Handel mit Daten großes Interesse besteht. Die DSGVO stellt – vereinfacht gesagt – Spielregeln für den Umgang mit personenbezogenen Daten auf und berücksichtigt dabei gleichzeitig den hohen Stellenwert, den unser Rechtssystem dem Schutz der genannten Rechte des Einzelnen beimisst.

Gibt es einen Konflikt zwischen GoBD und DSGVO?

Auf den ersten Blick scheinen GoBD und DSGVO im Widerspruch zueinander zu stehen:

  • Die DSGVO bindet die Aufbewahrung von Daten streng an einen Zweck und schreibt anschließend ihre Löschung vor.
  • Die GoBD befassen sich mit der Aufbewahrung von Dokumenten, um steuerlichen Pflichten Rechnung zu tragen.

Doch bei näherem Hinsehen löst sich dieser Widerspruch auf: Die GoBD stellen selbst keine Fristen zur Aufbewahrung auf. Sie sagen lediglich: Wenn Pflichten zur Aufbewahrung bestehen, müssen die Daten auf eine bestimmte Art und Weise aufbewahrt werden.

Die DSGVO beinhaltet ebenso wenig konkrete Löschfristen. Sie beinhaltet lediglich den generellen Grundsatz der Speicherbegrenzung und Datenminimierung. Eine Datenspeicherung ist demnach gemäß Art. 5 DSGVO nur so lange zulässig, wie es für den vorher festgelegten, eindeutigen sowie legitimen Zweck erforderlich und angemessen ist. Und dieser Zweck kann auch in eben jenen Aufbewahrungspflichten bestehen, mit denen sich die GoBD näher befassen. Zumindest in der Theorie beziehen sich also GoBD und DSGVO auf die gleichen Rechtsnormen und gehen somit Hand in Hand. In der Praxis ist es dagegen nicht ganz so einfach, wie das Beispiel Deutsche Wohnen zeigt.

Deutsche Wohnen: GoBD als Vorwand zum Datensammeln?

Das Immobilienunternehmen Deutsche Wohnen musste mit 14,5 Millionen Euro das höchste Datenschutz-Bußgeld zahlen, das bisher in Deutschland verhängt wurde. Für die jahrelange Speicherung von Daten aktueller und ehemaliger Mieter fehlte eine Rechtsgrundlage nach der DSGVO. Das Unternehmen berief sich zur Verteidigung auf die GoBD und eine Pflicht zur Aufbewahrung der Daten.

Das Argument der Deutsche Wohnen hielt jedoch dem Datenschutz nicht stand. Denn die GoBD gelten, wie oben gesehen, nur dort, wo eine Pflicht zur Aufbewahrung bestimmter Daten gilt. Dagegen begründen die GoBD nicht selbst die Pflicht zur Speicherung von Daten. Und im Falle der Deutsche Wohnen war letztlich entscheidend, dass es eben an einem legitimen Zweck zur Speicherung der monierten Mieterdaten mangelte.

Wo greifen GoBD und DSGVO ineinander?

Im Gegensatz zum wahrgenommenen Widerspruch zwischen GoBD und DSGVO greifen beide Regelwerke in manchen Bereichen sogar sinnvoll ineinander. Ein Beispiel ist die IT-Sicherheit: Die Pflicht, IT-Systeme sicher auszugestalten und sie vor Verlust und Beschädigung zu schützen, lässt sich sowohl mit den Grundsätzen ordnungsgemäßer Buchführung als auch mit den Prinzipien des Datenschutzes begründen.

Löschen oder aufbewahren?

GoBD und DSGVO sind also nicht wirklich die konkurrierenden Regelwerke, wie dies zuweilen dargestellt wird. Und doch macht es das Zusammenspiel aus Buchführungsprinzipien und Datenschutz notwendig, einzelne Dokumente unter zwei gegensätzlichen Aspekten zu prüfen:

  • Gibt es eine steuerrechtliche Pflicht zur Aufbewahrung?
  • Besteht nach den DSGVO-Grundsätzen von Datenminimierung und Datensparsamkeit eine Pflicht zur Löschung?

Im Einzelfall kann es dabei zu folgender Konstellation kommen:

  • Ein bestimmtes Dokument muss prinzipiell für eine gewisse Frist aufbewahrt werden.
  • Allerdings sind nicht alle enthaltenen Daten für den Zweck der Aufbewahrung relevant.

In dieser Konstellation könnte eine Lösung darin bestehen, bestimmte Angaben in dem Dokument zu schwärzen. So ließen sich sowohl die Anforderungen der GoBD als auch die der DSGVO erfüllen.

Das Löschkonzept: Löschen mit System

Eine Einzelfallprüfung für jedes Dokument wäre in der Praxis eine Zumutung für Unternehmen. Die gute Nachricht: Es gibt ein Instrument, das zwei Fliegen mit einer Klappe schlagen kann und sowohl den Anforderungen der DSGVO als auch den GoBD gerecht wird. Die Rede ist von einem intelligenten, durchdachten Löschkonzept.

Personenbezogene Daten sind irgendwann zu löschen – die einen früher, die anderen später. Um diese Aufgabe praktisch umzusetzen, werden im Rahmen eines Löschkonzepts systematische Löschregeln erstellt. Diese Regeln berücksichtigen unter anderem auch etwaige Aufbewahrungsfristen. Softwarelösungen können dabei unterstützen, Lösch- und Aufbewahrungsfristen im Blick zu haben.

Fazit

Sowohl GoBD als auch DSGVO befassen sich mit der Speicherung von Daten. Die GoBD regeln das „Wie“, also die Revisionssicherheit steuerlicher Aufzeichnungen. Das Anliegen der DSGVO ist es dage­gen, dass personenbezogene Daten nicht grundlos und unbegrenzt gespeichert werden. Insofern lässt sich der scheinbare Konflikt zwischen beiden Regelwerken auf dem Papier leicht auflösen: We­der GoBD noch DSGVO stellen starre Fristen für die Aufbewahrung oder Löschung bestimmter Daten auf.

Wie lange Daten gespeichert und wann sie im Einzelfall gelöscht werden müssen, ergibt sich aus dem Grund ihrer Speicherung. GoBD und DSGVO geben hierfür einen Rahmen vor. Um die Vorgaben in der Praxis erfüllen zu können, ist die fachliche Expertise eines Datenschutzbeauftragten nützlich. Dieser kann bei der Erstellung eines auf die jeweiligen betrieblichen Erfordernisse abgestimmten Löschkonzepts behilflich sein.

Bei weiteren Fragen zu diesem und anderen Themen im Datenschutz stehen Ihnen unsere Experten gerne zur Verfügung. Vereinbaren Sie einfach ein kostenloses Gespräch und wir melden uns bei Ihnen:

Kostenlose Erstberatung vereinbaren

 

Über den Autor

Sprechen Sie unser Sales-Team an

Erfahren Sie, wie DataGuard Ihnen helfen kann.

Finden Sie heraus, wie unsere Datenschutz-, Informationssicherheits- und Compliance-Lösung Vertrauen stärkt, Risiken minimiert und Umsatz steigert.

  • bis heute 100% Erfolgsquote bei ISO 27001 Audits
  • 40% Reduzierung bei Gesamtbetriebskosten (TCO)
  • Eine skalierbare und einfach zu verstehende Web-Plattform
  • Praktisch umsetzbare Handlungsempfehlungen unserer Experten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Vereinfachung Ihrer Compliance-Prozesse

Ihre Vorteile im Überblick

  • Kontinuierliche Unterstützung auf Ihrem Weg zur Zertifizierung nach ISO 27001 und TISAX®️, sowie NIS2 Compliance
  • Profitieren Sie von persönlicher Beratung
  • Bauen Sie ein strukturiertes ISMS mit unserer InfoSec-Plattform auf
  • Automatische Erstellung verpflichtender Dokumente
Certified-Icon

100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Jetzt Termin vereinbaren