Mit der neuen EU-Datenschutzgrundverordnung (EU-DSVGO), die am 25.5.2018 in Kraft tritt, wird der Datenschutz grundsätzlich neu geregelt. Das Bundesdatenschutzgesetz verliert ab dem 25.5.2018 seine Gültigkeit. Betroffene Unternehmen müssen die EU-DSVGO beachten und alsbald mit ihrem Datenschutzbeauftragten erörtern, wie die einzelnen Anforderungen, die zuweilen über das bisherige Bundesdatenschutzgesetz (BDSG) hinausgehen, umzusetzen sind.
Ich möchte hier aber auf einen Punkt eingehen, der im hohen Maße GoBD-relevant ist und auf den ich bereits zum BDSG hingewiesen habe (siehe Blog-Beitrag „Verstoßen die GoBD gegen das Bundesdatenschutzgesetz?“). Zum Hintergrund: Die GoBD verlangen an mehreren Stellen die Unveränderbarkeit der einmal erhobenen Daten (so genannte Revisionssicherheit). Dabei wird nicht nur die Unveränderbarkeit des eigentlichen Buchführungswerks, sondern auch der eingesetzten Vorsysteme verlangt. Beispielsweise gilt die Voraussetzung der Unveränderbarkeit auch für Warenwirtschaftssysteme. Auch Stammdaten dürfen nicht gelöscht werden. Nach § 35 BDSG müssen personenbezogene Daten aber in bestimmten Fällen gelöscht werden.
In der Praxis bedeutet dies, dass zumindest bestimmte Programme, die bei Mandanten im Einsatz sind, die Möglichkeit der Löschung von personenbezogenen Daten sogar zwingend vorsehen müssen.
In Art. 17 der EU-DSVGO heißt es nun: „Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft …“
Hamminger (NWB 2017, Seite 2364) schreibt dazu: „Es ist ein Konzept für die Löschung personenbezogener Daten zu entwickeln. Dieses ist Bestandteil der – prioritär zu erstellenden – Verfahrensdokumentation.“
Nun könnte seitens der Finanzverwaltung natürlich der Hinweis kommen, dass eine Löschung von Daten, die besteuerungsrelevant sind, nicht zulässig ist bzw. nicht gefordert werden kann. Das ist richtig. Aber: Jedes Programm, das personenbezogene Daten verarbeitet, muss – rein technisch – die Löschung (nicht nur Sperrung!) vorsehen können. Das heißt: Wenn die Finanzverwaltung vollkommen undifferenziert die Revisionssicherheit von Haupt-, Vor- und Nebensystem vorsieht (und eine Löschung nicht erlaubt), verstößt ihre Anweisung gegen die EU-DSVGO.
Ich halte es nach wie vor für einen unerträglichen Zustand, dass das BMF nicht reagiert, denn das Problem ist ihm bekannt. Das ist für mich der Aufreger des Monats Oktober.
Siehe auch:
- Stier, Lohn und Gehalt direkt digital Nr. 7 vom 15.10.2016 Seite 19 (kostenpflichtig)
Informationen zu Lohn und Gehalt direkt digital - Hamminger, NWB Nr. 31 vom 31.07.2017 Seite 2364 (kostenpflichtig)
Informationen zu NWB Steuer- und Wirtschaftsrecht - Herold: Verstoßen die GoBD gegen das Bundesdatenschutzgesetz? (NWB Experten-Blog)
Sehr geehrter Herr Herold,
ich teile Ihre Befürchtung nicht.
§35 (3) BDSG (neu) Recht auf Löschung
„Ergänzend zu Artikel 17 Absatz 3 Buchstabe b der Verordnung (EU) 2016/679 gilt Absatz 1 entsprechend im Fall des Artikels 17 Absatz 1 Buchstabe a der Verordnung (EU) 2016/679, wenn einer Löschung satzungsgemäße oder vertragliche Aufbewahrungsfristen entgegenstehen.“
In wie weit eine Löschroutine ausgestaltet werden muss, damit die Revisionssicherheit im allgemeinen nicht gestört wird, werden kluge Wirtschaftsprüfer oder der IDW bekanntgeben.
Übrigens: Die Löschverpflichtung an sich ist kein Novum der DSGVO-EU.
(Wie auch die GoBD an sich nichts neues waren…)
Auch wenn sie von Berufsträgern bisher nur stiefmütterlich beachtet wurde.
Sehr geehrter Herr Niebur,
Sie haben recht, dass die Verpflichtung zur Löschung nichts Neues ist. Sie war auch schon im Bundesdatenschutzgesetz verankert. Worum es mir geht: Ein Programm, das personenbezogene Daten verarbeitet, muss eine Löschung rein technisch vorsehen. Das heißt: Jeder Online-Händler und -Dienstleister muss in seinen Kundenverwaltungsprogrammen Löschungsmöglichkeiten von Stammdaten vorsehen können. Und genau das würde den GoBD widersprechen. Aber wie es auch ist: Eine Klarstellung seitens des BMF wäre hier nicht nur wünschenswert, sondern dringend erforderlich. Wie bereits erwähnt: Dem BMF ist die Problematik durchaus bekannt. Und ich darf Ihnen versichern, dass genau die klugen Wirtschaftsprüfer und die Justitiare von namhaften Medienunternehmen sich derzeit die Haare raufen, weil sie keine Lösung haben.
Hallo Herr Herold,
sorry, Sie haben mich nicht verstanden.
Gesetzliche Aufbewahrungsfristen sind (!) einzuhalten.
Dazu gehören auch die -vollständigen- Handelsbriefe.
Das persönliche Recht auf „digitales Vergessen werden“ läuft insofern ins Leere.
Die Löschfunktionen der jeweiligen Programme werden dieses bestimmt auch berücksichtigen. Die „Revisionssicherheit“ somit nicht gefährdet.
Befragen Sie Ihren Softwarelieferanten.
Schlimmer als das Vorgetragene ist die Löschverpflichtung unstrukturierter Daten (z.B. Fotos…).
Ade, liebe Erinnerungen an Betriebs- oder Kundenfeste …
Hallo Herr Niebur,
wie halten Sie es denn dann mit Angeboten, bei denen es nicht zu einem Vertrag gekommen ist. Nach GoBD sind die aufzubewahren, nach DSGVO (Datensparsamkeit) gibt es aber keine Notwendigkeit sie zu haben.
Spätestens nach 6 Jahren gibt es dann auch keine Pflicht durch die GoBD, die mich hindern kann, die Daten zu löschen.
Sind die aber in einem revisionssicheren Archiv, dann bin ich mir nicht sicher, ob das bei allen marktüblichen Lösungen gesetzeskonform umgesetzt werden kann.