Das Wichtigste in Kürze
- Zentrale Forderung der GoBD ist die Revisionssicherheit, das heißt die Unveränderbarkeit der Buchhaltung.
- Die DSGVO befasst sich mit dem Schutz personenbezogener Daten.
- Zwischen beiden Regelwerken kommt es scheinbar zu einem Konflikt, wenn die DSGVO die Löschung von Daten vorschreibt.
- Dieser Widerspruch lässt sich jedoch bei näherem Hinsehen auflösen.
- In der Praxis von zentraler Bedeutung: ein durchdachtes Löschkonzept.
In diesem Beitrag:
- Was sind die GoBD?
- Was ist das Anliegen der GoBD?
- Was bedeutet Revisionssicherheit?
- Was soll die DSGVO erreichen?
- Gibt es einen Konflikt zwischen GoBD und DSGVO?
- Deutsche Wohnen: GoBD als Vorwand zum Datensammeln?
- Wo greifen GoBD und DSGVO ineinander?
- Löschen oder aufbewahren?
- Das Löschkonzept: Löschen mit System
- Fazit
Die GoBD formulieren Anforderungen an die IT-gestützte Buchführung. Unter diesen Anforderungen befinden sich auch Aufbewahrungspflichten für Unterlagen, die auf den ersten Blick im Widerspruch zu den Löschanforderungen der Datenschutz-Grundverordnung (DSGVO) zu stehen scheinen. Wir erklären, wie sich die beiden Regelwerke GoBD und DSGVO im Unternehmen in Einklang bringen lassen.
Was sind die GoBD?
Die Abkürzung GoBD steht für „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“. Anders ausgedrückt: Die vom Bundesfinanzministerium 2014 erlassene und zuletzt zum Jahresbeginn 2020 aktualisierte Verwaltungsvorschrift befasst sich mit der ordnungsgemäßen Buchführung im EDV-Bereich.
Was ist das Anliegen der GoBD?
Die GoBD sollen eine Einheitlichkeit und Sicherheit bei der Führung von steuerlich relevanten Aufzeichnungen herbeiführen. Es geht also im Kern um reibungslose Abläufe in der Finanzverwaltung unter den Rahmenbedingungen von betrieblichen Abläufen, die zunehmend digitalisiert und automatisiert stattfinden.
Um gleich zu Beginn mit einem Missverständnis aufzuräumen: Die GoBD regeln nicht die Frage, ob bestimmte Unterlagen aufbewahrt werden sollen. Das „Ob“ – die Pflicht zur Buchführung und Aufzeichnung – ergibt sich aus einer Vielzahl handels- und steuerrechtlicher Vorschriften. Die GoBD sind dagegen maßgeblich für die Form, also das „Wie“ dieser Buchführung. Hier ist eine zentrale Forderung der GoBD die „Unveränderbarkeit“ der Dokumentation.
Was bedeutet Revisionssicherheit?
Der Fachbegriff für die von den GoBD geforderte Unveränderbarkeit der Dokumentation ist die Revisionssicherheit. Im Einzelnen formulieren die GoBD folgende Anforderungen an die Buchhaltung:
- Nachvollziehbarkeit und Nachprüfbarkeit
- Wahrheit, Klarheit und fortlaufende Aufzeichnung, genauer
- Vollständigkeit
- Einzelaufzeichnungspflicht
- Richtigkeit
- zeitgerechte Buchungen und Aufzeichnungen
- Ordnung
- Unveränderbarkeit
Was soll die DSGVO erreichen?
Das Anliegen der Datenschutzgrundverordnung ist der Schutz personenbezogener Daten. Es geht der DSGVO letztlich um den Schutz des Rechts auf informationelle Selbstbestimmung, welches einen Ausfluss des allgemeinen Persönlichkeitsrechts darstellt. Das wiederum ist ein Grundrecht und wird im Grundgesetz verfassungsrechtlich garantiert.
Daten sind zum Gold des 21. Jahrhunderts, zu einer wertvollen Ware geworden. Es ist daher nicht verwunderlich, dass an einem regen Handel mit Daten großes Interesse besteht. Die DSGVO stellt – vereinfacht gesagt – Spielregeln für den Umgang mit personenbezogenen Daten auf und berücksichtigt dabei gleichzeitig den hohen Stellenwert, den unser Rechtssystem dem Schutz der genannten Rechte des Einzelnen beimisst.
Gibt es einen Konflikt zwischen GoBD und DSGVO?
Auf den ersten Blick scheinen GoBD und DSGVO im Widerspruch zueinander zu stehen:
- Die DSGVO bindet die Aufbewahrung von Daten streng an einen Zweck und schreibt anschließend ihre Löschung vor.
- Die GoBD befassen sich mit der Aufbewahrung von Dokumenten, um steuerlichen Pflichten Rechnung zu tragen.
Doch bei näherem Hinsehen löst sich dieser Widerspruch auf: Die GoBD stellen selbst keine Fristen zur Aufbewahrung auf. Sie sagen lediglich: Wenn Pflichten zur Aufbewahrung bestehen, müssen die Daten auf eine bestimmte Art und Weise aufbewahrt werden.
Die DSGVO beinhaltet ebenso wenig konkrete Löschfristen. Sie beinhaltet lediglich den generellen Grundsatz der Speicherbegrenzung und Datenminimierung. Eine Datenspeicherung ist demnach gemäß Art. 5 DSGVO nur so lange zulässig, wie es für den vorher festgelegten, eindeutigen sowie legitimen Zweck erforderlich und angemessen ist. Und dieser Zweck kann auch in eben jenen Aufbewahrungspflichten bestehen, mit denen sich die GoBD näher befassen. Zumindest in der Theorie beziehen sich also GoBD und DSGVO auf die gleichen Rechtsnormen und gehen somit Hand in Hand. In der Praxis ist es dagegen nicht ganz so einfach, wie das Beispiel Deutsche Wohnen zeigt.
Deutsche Wohnen: GoBD als Vorwand zum Datensammeln?
Das Immobilienunternehmen Deutsche Wohnen musste mit 14,5 Millionen Euro das höchste Datenschutz-Bußgeld zahlen, das bisher in Deutschland verhängt wurde. Für die jahrelange Speicherung von Daten aktueller und ehemaliger Mieter fehlte eine Rechtsgrundlage nach der DSGVO. Das Unternehmen berief sich zur Verteidigung auf die GoBD und eine Pflicht zur Aufbewahrung der Daten.
Das Argument der Deutsche Wohnen hielt jedoch dem Datenschutz nicht stand. Denn die GoBD gelten, wie oben gesehen, nur dort, wo eine Pflicht zur Aufbewahrung bestimmter Daten gilt. Dagegen begründen die GoBD nicht selbst die Pflicht zur Speicherung von Daten. Und im Falle der Deutsche Wohnen war letztlich entscheidend, dass es eben an einem legitimen Zweck zur Speicherung der monierten Mieterdaten mangelte.
Wo greifen GoBD und DSGVO ineinander?
Im Gegensatz zum wahrgenommenen Widerspruch zwischen GoBD und DSGVO greifen beide Regelwerke in manchen Bereichen sogar sinnvoll ineinander. Ein Beispiel ist die IT-Sicherheit: Die Pflicht, IT-Systeme sicher auszugestalten und sie vor Verlust und Beschädigung zu schützen, lässt sich sowohl mit den Grundsätzen ordnungsgemäßer Buchführung als auch mit den Prinzipien des Datenschutzes begründen.
Löschen oder aufbewahren?
GoBD und DSGVO sind also nicht wirklich die konkurrierenden Regelwerke, wie dies zuweilen dargestellt wird. Und doch macht es das Zusammenspiel aus Buchführungsprinzipien und Datenschutz notwendig, einzelne Dokumente unter zwei gegensätzlichen Aspekten zu prüfen:
- Gibt es eine steuerrechtliche Pflicht zur Aufbewahrung?
- Besteht nach den DSGVO-Grundsätzen von Datenminimierung und Datensparsamkeit eine Pflicht zur Löschung?
Im Einzelfall kann es dabei zu folgender Konstellation kommen:
- Ein bestimmtes Dokument muss prinzipiell für eine gewisse Frist aufbewahrt werden.
- Allerdings sind nicht alle enthaltenen Daten für den Zweck der Aufbewahrung relevant.
In dieser Konstellation könnte eine Lösung darin bestehen, bestimmte Angaben in dem Dokument zu schwärzen. So ließen sich sowohl die Anforderungen der GoBD als auch die der DSGVO erfüllen.
Das Löschkonzept: Löschen mit System
Eine Einzelfallprüfung für jedes Dokument wäre in der Praxis eine Zumutung für Unternehmen. Die gute Nachricht: Es gibt ein Instrument, das zwei Fliegen mit einer Klappe schlagen kann und sowohl den Anforderungen der DSGVO als auch den GoBD gerecht wird. Die Rede ist von einem intelligenten, durchdachten Löschkonzept.
Personenbezogene Daten sind irgendwann zu löschen – die einen früher, die anderen später. Um diese Aufgabe praktisch umzusetzen, werden im Rahmen eines Löschkonzepts systematische Löschregeln erstellt. Diese Regeln berücksichtigen unter anderem auch etwaige Aufbewahrungsfristen. Softwarelösungen können dabei unterstützen, Lösch- und Aufbewahrungsfristen im Blick zu haben.
Fazit
Sowohl GoBD als auch DSGVO befassen sich mit der Speicherung von Daten. Die GoBD regeln das „Wie“, also die Revisionssicherheit steuerlicher Aufzeichnungen. Das Anliegen der DSGVO ist es dagegen, dass personenbezogene Daten nicht grundlos und unbegrenzt gespeichert werden. Insofern lässt sich der scheinbare Konflikt zwischen beiden Regelwerken auf dem Papier leicht auflösen: Weder GoBD noch DSGVO stellen starre Fristen für die Aufbewahrung oder Löschung bestimmter Daten auf.
Wie lange Daten gespeichert und wann sie im Einzelfall gelöscht werden müssen, ergibt sich aus dem Grund ihrer Speicherung. GoBD und DSGVO geben hierfür einen Rahmen vor. Um die Vorgaben in der Praxis erfüllen zu können, ist die fachliche Expertise eines Datenschutzbeauftragten nützlich. Dieser kann bei der Erstellung eines auf die jeweiligen betrieblichen Erfordernisse abgestimmten Löschkonzepts behilflich sein.
Bei weiteren Fragen zu diesem und anderen Themen im Datenschutz stehen Ihnen unsere Experten gerne zur Verfügung. Vereinbaren Sie einfach ein kostenloses Gespräch und wir melden uns bei Ihnen: