Neues zur DSGVO

Zum Europäischer Datenschutztag am 28. Januar befragt Experten zum Thema Datenschutzgrundverordnung (DSGVO) in der Buchhaltung. Raik Mickler, Datenschutzbeauftragter und Legal Counsel der Haufe Group, erklärt im folgenden Interview, worauf es beim Thema Datenschutz in der Buchhaltung besonders ankommt.

Herr Mickler, dass sich die DSGVO 2018 geändert hat, hat vermutlich jeder mitbekommen. Aber bin ich als Kleinunternehmer oder Selbstständiger von ihr ebenfalls betroffen?

„Auf jeden Fall! Denn die DSGVO regelt, wie ein Unternehmen mit personenbezogenen Kundendaten umzugehen hat. Und da jeder Betrieb – egal, ob Selbstständiger, Start-up, Freiberufler, Kleinstbetrieb, Mittelständler oder Großkonzern – auf irgendeine Art Kontakt mit seinen Kunden hat, greift hier die DSGVO.“

Raik Mickler

In Hinblick auf die Buchhaltung: Gibt es hier spezielle Aspekte zu beachten?

„Für die Buchhaltung sind insbesondere die Punkte Datenauskunft, Datensperrung, Datenlöschung und die allgemeine Informationspflicht relevant. Bei der Datenauskunft gilt es zu beachten, dass bereits dann, wenn ein potenzieller Kunde eine Anfrage stellt, eine Datenverarbeitung stattfindet, da er für diesen Zweck eine Emailadresse oder Telefonnummer nennen muss. Online-Kontaktformulare fragen jedoch meist aus logistischen Gründen noch weitere Daten wie Adresse oder Alter ab. Darauf muss der Unternehmer aber in seinen Datenschutzhinweisen hinweisen und angeben, wie er mit den Daten umgeht, zum Beispiel wie lange sie gespeichert werden. Das gilt übrigens auch für Daten, die durch das einfache Surfen auf der Firmen-Internetpräsenz erfasst werden, wie etwa IP-Adressen oder ähnliches.“

Worauf müssen Unternehmer bei der Speicherung und Löschung achten?

„Was die Speicherung von Kundendaten betrifft, so müssen diese sicher und gegen Missbrauch geschützt abgelegt werden. Das bedeutet, dass bereits bei der Abfrage auf eine sichere Verbindung – also eine SSL-zertifizierte Webseite – zu achten ist. Darüber hinaus dürfen Unbefugte keinen Zugriff haben, und die Daten müssen an einem sicheren Ort abgespeichert sein. Haben im Unternehmen mehr als neun Mitarbeiter Zugriff auf Kundendaten, werden Daten weitervermittelt oder besonders sensible Daten abgefragt, dann muss zusätzlich ein Datenschutzbeauftragter benannt sein, der sich um die Einhaltung der DSGVO in der Firma kümmert. Der dritte Punkt – die Datenlöschung – muss nicht nur gesetzeskonform, sondern auch ohne gesonderte Anfrage erfolgen. Bisher mussten Kunden aktiv um Löschung der nicht mehr benötigten Daten bitten. Mit der neuen DSGVO ist es nun Pflicht des Unternehmens, diese Daten zu löschen.“

Was konkret bedeutet die Informationspflicht für Unternehmer?

„Damit Kunden wissen, welche ihrer Daten auf Grund gesetzlicher Anforderungen langfristig gespeichert werden, gibt es eine Informationspflicht. Diese besagt, dass der Unternehmer jederzeit in der Lage sein muss, Auskunft über vorliegende Daten zu geben. Zudem umfasst die Informationspflicht eine Dokumentationspflicht, die eine Protokollierung datenschutzrelevanter Vorgänge zwingend vorschreibt.“

Die DSGVO umfasst auch die sogenannte Datenschutz-Folgenabschätzung – was bedeutet das für die Buchhaltung?

„Die Datenschutz-Folgenabschätzung ist immer dann durchzuführen, wenn besonders sensible Daten abgefragt wurden oder die Datenverarbeitung dazu bestimmt war, die Persönlichkeit des Betroffenen zu bewerten. Für die Buchhaltung relevante Daten fallen hier jedoch in der Regel nicht darunter, d.h.: Entwarnung!“

Wo bekomme ich Hilfe bei der Umsetzung der DSGVO in der Buchhaltung?

„Ein praktischer und sicherer Helfer bei der Umsetzung sind Online-Buchhaltungslösungen wie lexoffice. Denn diese stellen quasi automatisch sicher, dass die Buchhaltung die DSGVO-Vorgaben erfüllt. Bei der Auswahl der Software ist es wichtig, sich bewusst zu machen, dass ich als Unternehmer immer selbst für meine Buchhaltung verantwortlich bleibe – auch wenn diese mit Hilfe der Software bei einem Dienstleister erledigt wird. Daher sollte mit dem jeweiligen Dienstleister bzw. Anbieter unbedingt eine Auftrags-Vereinbarungsverordnung gemäß DSGVO geschlossen werden. Bei lexoffice wird dieser Vertrag z.B. automatisch mit Eröffnung des Kontos abgeschlossen und ist jederzeit für den Nutzer downloadbar.“

Wenn ich als Unternehmer meine Buchhaltung in Papierform mache, kann ich die DSGVO-Anforderungen dann trotzdem erfüllen?

„Nein, denn dann sind die Daten in der Regel weder zentral an einem sicheren Ort abgelegt, noch habe ich jederzeit sofortigen Zugriff auf alle Unterlagen, und die Daten können Diebstahl, Brand oder Wasserschäden zum Opfer fallen. Hat ein Unternehmen hingegen zum Beispiel lexoffice im Einsatz, dann ist gewährleistet, dass alle Daten zentral in hochsicheren Datenzentren in Deutschland gespeichert sind. Der Unternehmer hat also jederzeit auf Knopfdruck vollen Zugriff auf alle Daten und kann sicher sein, den gesetzlichen Vorgaben gerecht zu werden. Und auch zwei weitere Forderungen der DSGVO erfüllt eine gute Buchhaltungssoftware automatisch: Sie verfügt über ein so genanntes Berechtigungskonzept – also die Möglichkeit, Datenzugriffsrechte festzulegen. Wenn die Software gleichzeitig eine jederzeit einsehbare Protokollierung erstellt, lässt sich die Verarbeitung der Daten sehr detailliert nachvollziehen. lexoffice beispielsweise protokolliert sämtliche Aktivitäten, so dass jederzeit nachvollziehbar ist, wer welche Kontaktdaten bearbeitet hat.“

Herr Mickler, vielen Dank für das Gespräch!