Die GoBD (Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form) enthält ebenso wie die DSGVO Aufbewahrungspflichten. An welche müssen sich Unternehmen nun halten, damit ihnen keine Bußgelder oder ähnliches drohen? Steht die Aufbewahrungspflicht aus der GoBD eventuell sogar im Widerspruch zur DSGVO?
Was ist die GoBD?
GoBD steht als Abkürzung für „Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form“. Dabei handelt es sich um eine Verwaltungsanweisung vom Finanzministerium, die 2014 in Kraft getreten und Anfang 2020 neu gefasst wurde. Sie enthält grundsätzliche Prinzipien, die Unternehmer für ihre Bücher und sonstigen Aufzeichnungen beachten müssen. Zweck ist die Anerkennung dieser Unterlagen für steuerliche Beweiszwecke von der Finanzbehörde. Von diesen Regelungen sind alle Unternehmen unabhängig von ihrer Größe betroffen.
Die GoBD regelt dabei nur die Grundprinzipien der Aufbewahrung und Speicherung. Welche Unterlagen überhaupt aufzubewahren sind und wie lange die Aufbewahrung zu erfolgen hat, regelt sie dagegen nicht. Dies ergibt sich aber aus anderen Gesetzen.
Welche Aufbewahrungspflicht regelt die GoBD?
Nach der GoBD ist alles, was eine Bedeutung für die Besteuerung des Unternehmens hat, zu dokumentieren und aufzubewahren. Dazu enthält diese den Grundsatz der Nachvollziehbarkeit und Nachprüfbarkeit. Zusätzlich finden sich hier auch die Grundsätze der Wahrheit, Klarheit und der fortlaufenden Aufzeichnung (diese enthalten die Grundsätze der Vollständigkeit, Richtigkeit, zeitgerechte Belegsicherung, Ordnung und Unveränderbarkeit).
Demnach sind alle Buchungen mit einem Beleg zu versehen. Dieser hat zeitgemäß zu erfolgen und muss richtig sein. Diese müssen der Revisionssicherheit unterliegen, das heißt, dass die Buchungen systematisch und die Belege und Aufzeichnungen unveränderlich erfasst werden. Zu diesem Vorgehen ist ein Verfahrensverzeichnis zu führen. All das muss auch archiviert werden.
Widerspruch zur DSGVO?
In der Praxis kommt häufig die Frage auf, ob die Vorschriften zur Aufbewahrung und Archivierung nach der GoBD im Widerspruch zur DSGVO stehen. Wäre dies der Fall, würden alle Unternehmer, die den Vorgaben der GoBD folgen, datenschutzwidrig handeln.
Kern des Problems ist, dass die nach der GoBD aufzubewahrenden Belege oftmals personenbezogene Daten enthalten und damit unter den Anwendungsbereich der DSGVO fallen. Die DSGVO regelt selbst Aufbewahrungsbegrenzungen bis zum Zweckfortfall (Art. 5 DSGVO). Widerspricht die GoBD dieser Regelung?
Die Antwort ist klar: Nein! Für die Aufbewahrung nach der GoBD sind gesetzliche Fristen zu beachten. Dies gilt unabhängig davon, ob der aufzubewahrende Beleg personenbezogene Daten enthält oder nicht. Während dieser Aufbewahrung liegt ein Zweck vor, nämlich der steuerrechtliche Zweck der GoBD. Läuft die Frist nach der GoBD ab, entfällt auch der Zweck der Datenverarbeitung im Sinne der DSGVO und die Daten sind zu löschen. Wichtig ist hierbei ein entsprechendes Löschkonzept.
Ein Verstoß gegen das Datenschutzrecht liegt erst vor, wenn personenbezogene Daten über die gesetzliche Aufbewahrungspflicht hinaus aufbewahrt werden oder das Konzept der GoBD als Deckmantel zur unerlaubten Speicherung von Daten genutzt wird.
Fazit
Die Aufbewahrungspflicht nach der GoBD steht nicht im Widerspruch zur DSGVO. Unternehmer, die dieser Aufbewahrung und den entsprechenden gesetzlichen Fristen folgen, handeln nicht datenschutzwidrig. Enthalten die aufzubewahrenden Daten personenbezogene Daten, sind im Rahmen der GoBD aber auch die DSGVO mit deren Grundprinzipien zu beachten. Nach Ablauf der Aufbewahrungspflichten ist eine datenschutzkonforme Löschung der Daten durchzuführen.
Unser Team an Experten berät Sie gern zu allen Themen rund um Datenschutz und Datensicherheit!