DSGVO vs. GoBD

Aufgrund der DSGVO bin ich, wie wahrscheinlich einige andere auch, momentan dabei einiges an Informationen, Vorlagen etc. am zusammentragen.

 

Einige ganz hilfreiche Dokumente gibt es beispielsweise beim „bayerischen Landesamt für Datenschutzaufsicht“

https://www.lda.bayern.de/de/datenschutz_eu.html

https://www.lda.bayern.de/de/kleine-unternehmen.html

Bei der Recherche stößt man unweigerlich auf immer mehr Fragen bzgl. der Umsetzung. Gut, viele Dinge hätten laut BDSG eigentlich sowieso schon immer eingehalten und umgesetzt werden müssen, was einfach bisher wohl nicht all zu viele Leute interessiert hat. Da sich ja nun einiges dreht und man gezwungen ist einen Datenschutzbeauftragten, wenn man diesen benötigt, selbständig bei der Behörde zu melden, wird sich da wohl einiges ändern. Deshalb war es bisher leichter komplett „durchzurutschen“, da ja kein Datenschutzbeauftragter auf die ganzen Missstände hingewiesen hat, wenn man diesen einfach nicht eingestellt hat und darauf vertraut hat das einfach nichts passiert. Vermutlich sind mit dieser Taktik viele sehr lange gut gefahren…

Auf folgende Problematik zwischen DSGVO und GoBD bin ich nun aber gestoßen und wie man den auflösen will ist mir momentan wirklich ein absolutes Rätsel:

 

DSGVO

Laut DSGVO muss man Datenminimierung betreiben und nicht (mehr) benötigte personenbezogene Daten löschen. Ebenso müssen die Daten gelöscht werden, wenn dies von den Kunden oder Mitarbeitern gefordert wird und keine rechtliche Grundlage dem widerspricht, z. B. das es nicht mehr für das Finanzamt vorgehalten werden muss.

 

GoBD

Laut GoBD muss man Dateien und E-Mails aber revisionssicher im DMS sichern. Das heißt man kann diese (eigentlich) nicht mehr löschen! Die Daten restlos zu löschen würde dem Prinzip einer revisionssicheren Ablage auch irgendwie widersprechen. Sonst könnte man unliebsame Rechnungen ja auch wieder verschwinden lassen. Da man recht wenige Tage Zeit hat, die Daten im DMS einzuchecken, werden dort wahrscheinlich eher lieber zu viele als zu wenige Daten abgelegt.

 

Widerspruch

Wie will man so dann eigentlich nach 10 Jahren die nicht mehr benötigten ehemals steuerrelevanten Daten loswerden um der Datenminimierung gerecht zu werden? Und wie will man Kunden-Daten, sofern diese aus keinen anderen rechtlichen Gründen mehr aufbewahrt werden müssen, restlos löschen wenn ein Kunde dies fordert? Sobald diese im DMS gelandet sind, sind diese nun mal im DMS! Dieses Problem hat man ja schon bei der eventuell mehrmals am Tag laufenden inkrementellen Datensicherung.

Tja, ein Widerspruch den die überbezahlten Entscheider der EU mit Sicherheit nicht auflösen werden…

 

Schreibe einen Kommentar