Ich habe da mal eine Frage: Ist das Bestehen einer (ungewissen) datenschutzrechtlichen Bußgeldforderung und deren tatsächliche Betreibung – vor dem Hintergrund gesteigerter und in Teilen noch unsicherer datenschutzrechtlicher Anforderungen, erhöhter Bußgelder und sensibilisierter Aufsichtsbehörden – in der Anfangsphase der DSGVO wahrscheinlich? Schwierig zu beantworten, oder nicht?
Wer die Frage allerdings für sein kaufmännisches Unternehmen bzw. einen entsprechenden Mandanten mit ja beantwortet, sollte über eine bilanzielle Rückstellung (§ 249 Abs. 1 Satz. 1 Var. 1 HGB) nachdenken.
Womit wir beim Thema Datenschutz und Finanzbuchhaltung wären. Auch das Gebiet der buchhalterischen Datenverarbeitung ist betroffen. Oder anders formuliert: Auch im Bereich der FiBU macht die DSGVO keinen Halt! Hier sind besonders Themen des Outsourcings und der Lösch- und Speicherpflichten, aber auch Fragen der Erstellung eines auf die FiBU bezogenen Verarbeitungsverzeichnisses und der Datensicherheit von Buchhaltungssystemen, relevant.
Betroffen sind unmittelbar Verantwortliche, deren Mitarbeiter und Auftragsverarbeiter, die buchhalterische Daten verarbeiten, etwa in Form der Einbuchung von Rechnungen oder der Abfrage und Erfassung von Bankdaten (vgl. Art 4 Buchst. 1, 2, 7 und 8, Art. 5 Abs. 1 Buchst. f) DSGVO, § 53 BDSG-neu).
Outsourcing der FiBU – Verantwortlicher oder Auftragsverarbeiter?
Die Finanzbuchhaltung ist, aufgrund von technischen Innovationen und entsprechenden Software-, Cloud- und Dienstleistungsanbietern, prädestiniert für das Thema Outsourcing und damit für die Frage der Abgrenzung zwischen dem datenschutzrechtlich Verantwortlichen und (s)einem Auftragsverarbeiter.
Greifbar als Verantwortlicher zu qualifizieren ist etwa ein Unternehmen, das mit eigenständigerer Buchhaltungsabteilung seine eigene Buchhaltung abwickelt. Abgrenzungskriterium zwischen Verantwortlichem und Auftragsverarbeiter ist die Weisungsabhängigkeit des Letzteren (vgl. Art. 4 Buchst. 8 DSGVO). In der Folge sind – entsprechend den Angaben der Datenschutzkonferenz (DSK) – freiberuflich tätig werdende Berater, wie Steuerberater oder Wirtschaftsprüfer, regelmäßig nicht als Auftragsverarbeiter, sondern als selbständig Verantwortliche zu qualifizieren („Funktionsübertragung“). Dies gilt richtiger Weise auch für den Bereich der Finanzbuchhaltung. Sonstige nicht freiberuflich tätig werdende Finanzbuch-Dienstleister sowie Buchführungs-Software- und -Cloud-Anbieter, sind dagegen grds. als Auftragsverarbeiter einzuordnen.
Nimmt bspw. ein Unternehmen sein Rechnungswesen selbständig vor, verwendet hierbei cloudbasierte Buchführungssoftware und übermittelt entsprechende Daten mittels der Software an einen Steuerberater, so sind das Unternehmen und der Steuerberater (soweit dieser entsprechend Buchhaltungsdaten verarbeitet) Verantwortliche im datenschutzrechtlichen Sinne. Der Anbieter der Buchführungssoftware ist dagegen als Auftragsverarbeiter zu qualifizieren; je nach Nutzungsverhältnis der Software im Verhältnis sowohl zum Unternehmen als auch zum Steuerberater oder nur im Verhältnis zu jeweils einem der beiden Verantwortlichen.
Lösch- vs. Speicherpflichten – was setzt sich durch?
Bei der finanzbuchhalterischen Datenverarbeitung besteht ein Kollisionsverhältnis zwischen den Löschpflichten der DSGVO und den Speicher- und Aufbewahrungspflichten einer GOBD-konformen Buchhaltung nach der AO bzw. dem HGB. Art. 17 Abs. 1 DSGVO statuiert ausdrücklich eine möglichst zeitnahe Löschung, während § 147 Abs. 3 AO und § 257 Abs. 4 HGB grds. eine zehnjährige Aufbewahrung von Buchhaltungsunterlagen verlangen.
Anders als man zunächst denken könnte, setzten sich letztendlich nicht die Löschpflichten der EU-Verordnung durch und die nationalen Aufbewahrungspflichten treten zurück. Vielmehr räumt die DSGVO selbst den Aufbewahrungspflichten den Vorrang ein. Denn eine datenschutzrechtliche Löschpflicht scheidet dann aus, wenn die weitere Verarbeitung zur Erfüllung rechtlicher Verpflichtungen nach dem Recht der Mitgliedstaaten, etwa in Form der Pflichten zur Aufbewahrung nach § 147 Abs. 3 AO und § 257 Abs. 4 HGB, erforderlich ist (Art. 17 Abs. 3 b) DSGVO). Im Falle der Finanzbuchhaltung ist es daher dringend notwendig, dass die bilanziellen Aufbewahrungspflichten im Rahmen eines (softwarebasierten) Löschkonzepts berücksichtigt werden.
Produktempfehlung:
Im NWB Verlag ist ein auf die Tätigkeit von Steuerberatern zugeschnittener Praxisleitfaden zur Umsetzung der DSGVO erschienen: