In schöner Regelmäßigkeit lege ich gegenüber der Finanzverwaltung den Finger in die Wunde bezüglich des Themas: Wie stehen die GoBD zur Datenschutz-Grundverordnung? Zur Erinnerung: Die GoBD verlangen an mehreren Stellen die Unveränderbarkeit der einmal erhobenen Daten (so genannte Revisionssicherheit). Dabei wird nicht nur die Unveränderbarkeit des eigentlichen Buchführungswerks, sondern auch der eingesetzten Vorsysteme verlangt. Beispielsweise gilt die Voraussetzung der Unveränderbarkeit auch für Warenwirtschaftssysteme. Auch Stammdaten dürfen nicht gelöscht werden. Nach § 35 BDSG bzw. Art. 17 EU-DSVGO müssen personenbezogene Daten aber in bestimmten Fällen gelöscht werden. In der Praxis bedeutet dies, dass zumindest bestimmte Programme, die bei Mandanten im Einsatz sind, die Möglichkeit der Löschung von personenbezogenen Daten sogar zwingend vorsehen müssen.
Nun hatte ich Gelegenheit, während der DATEV-Fachtagung Digitale Datenanalyse 2018 zum Thema „GoBD“ vortragen zu dürfen. Mir sind während der sechs Tagungen weitere Beispiele genannt worden, wonach klar ist, dass die GoBD die Unternehmer auffordert, gegen geltendes Datenschutzrecht zu verstoßen. Der Gesetzgeber hat zwar mit dem neuen § 2a AO die Verarbeitung personenbezogener Daten in der Finanzverwaltung geregelt. Es finden sich aber keine Ausführungen, inwieweit die §§ 140 ff. AO betroffen sind. Im Übrigen sind die EU-DSGVO und § 35 BDSG Ausfluss des Rechts auf informationelle Selbstbestimmung, das wiederum eine Ausprägung des allgemeinen Persönlichkeitsrechts darstellt und durch Artikel 1 und 2 des GG geschützt ist. Selbst die AO könnte dieses Recht nicht aushebeln.
Ich fordere hiermit das BMF auf, endlich das Dilemma zwischen Datenschutz und Revisionssicherheit aufzulösen. Es ist weiterhin ein unerträglicher Zustand, dass die Unternehmer in dieser wichtigen Frage keine Handreichung des BMF erhalten.
Ich bin wahrlich keiner Steuerrechtsexperte, aber: Reicht der § 2a AO nicht aus? Dort heißt es in Absatz 3: „… soweit … gilt.“ Ich lese das so, dass die Unveränderbarkeit nicht gilt, wenn die DSGVO anders verlangt. Warum sollte der § 2a AO nicht auch für die §§ 140 ff AO gelten?
Vielen Dank für Ihren Hinweis zu § 2a AO. Ich habe das Thema „GoBD und das Verhältnis zur DSGVO“ für die Zeitschrift „Gestaltende Steuerberatung“ anhand mehrerer Beispiele näher beleuchtet und gehe dabei auch auf § 2a AO ein. Der Beitrag wird in Kürze veröffentlicht. Von daher möchte ich hier nicht allzu viel vorwegnehmen. Nur so viel: Das Bundesverfassungsgericht sieht in dem Recht auf informationelle Selbstbestimmung eine besondere Ausprägung des allgemeinen Perönlichkeitsrechts (vgl. dazu
https://www.grundrechteschutz.de/gg/recht-auf-informationelle-selbstbestimmung-272).
Von daher können die GoBD dieses Recht nicht einschränken und bestimmte Programme müssen die Löschung von Daten vorsehen. Insoweit spielt § 2a AO in vielerlei Hinsicht eigentlich gar keine Rolle. Dass er dennoch in Absatz 3 auf den Vorrang der DSGVO verweist, ist meines Erachtens eher eine Klarstellung. Diese ist aber lobenswert. Umso mehr ist nun das BMF am Zuge und muss endlich zum Thema „Revisionssicherheit von Vor- und Nebensystem“ Stellung beziehen.
Viele Grüße
Christian Herold
Wie würden Sie denn Art. 6 Abs. 1 S. 1 lit. c DSGVO als Rechtsgrundlage für die Verarbeitung bei dem Steuerpflichtigen bzw. Unternehmer sehen? Die Kommentierung sieht den Wortlaut der Norm nicht allein auf formelle Parlamentsgesetze beschränkt, sondern auch auf materielle Rechtsnormen, wie Rechtsverordnungen und kommunale Satzungen. Als Fallgruppe nennt Kühling/Buchner (Art. 6 Rz. 99) eben gerade jene Aufzeichnungs- und Aufbewahrungspflichten nach HGB/SteuerR. Aus meiner Sicht rechtfertigt Buchstabe c mithin auch die GoBD.