GDPR taloushallinnossa: henkilötiedot, oikeusperuste ja rekisteriseloste
Taloushallinto käsittelee väistämättä henkilötietoja: asiakkaiden nimiä, osoitteita ja pankkitilinumeroita. Käymme läpi, mitä pienyrityksen taloushallinnon on otettava huomioon GDPR:n kannalta.
Die Finanzverwaltung verarbeitet unweigerlich personenbezogene Daten: Namen von Kunden, Adressen, Bankkontonummern und Lohndaten. Die EU-Datenschutz-Grundverordnung (GDPR) stellt klare Anforderungen an die Verarbeitung dieser Daten. In diesem Artikel gehen wir darauf ein, was die Finanzverwaltung eines Kleinunternehmens beachten muss.
Personenbezogene Daten in der Finanzverwaltung – was sind sie?
Gemäß GDPR sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Typische personenbezogene Daten in der Finanzverwaltung sind:
- Namen, Adressen und Unternehmens-IDs (bei Einzelunternehmen) von Kunden und Lieferanten
- Bankkontonummern
- E-Mails und Telefonnummern von Kontaktpersonen für Rechnungen
- Lohndaten und persönliche Identifikationsnummern (Lohnbuchhaltung)
- Informationen zu Reise- und Spesenabrechnungen
Rechtsgrundlage für die Verarbeitung personenbezogener Daten
Die GDPR verlangt, dass jede Verarbeitung personenbezogener Daten eine Rechtsgrundlage hat. In der Finanzverwaltung werden in der Regel folgende verwendet:
- Erfüllung eines Vertrages: Versenden von Rechnungen und Empfangen von Zahlungen
- Gesetzliche Verpflichtung: Aufbewahrungspflichten gemäß Buchhaltungsgesetz, Steuerberichterstattung
- Berechtigtes Interesse: Inkassomaßnahmen, Einschätzung von Kreditrisiken
Für Kleinunternehmen bedeutet dies praktisch: Sie haben das Recht, die Daten Ihrer Kunden für die Rechnungsstellung und Buchhaltung ohne gesonderte Zustimmung zu verarbeiten, da die Verarbeitung auf einem Vertrag und dem Gesetz basiert.
Aufbewahrungsfristen für Finanzbuchhaltungsunterlagen
Die DSGVO verlangt, dass Daten nicht länger als nötig aufbewahrt werden. In der Finanzbuchhaltung richten sich die Aufbewahrungsfristen hauptsächlich nach dem Buchhaltungsgesetz:
| Asiakirjatyyppi | Säilytysaika | Peruste |
|---|---|---|
| Kirjanpitokirjat (tase, tuloslaskelma, pääkirja) | 10 vuotta tilikauden päättymisestä | Kirjanpitolaki 2:10 |
| Tositteet (laskut, kuitit) | 6 vuotta tilikauden päättymisestä | Kirjanpitolaki 2:10 |
| Palkka-aineistot | 10 vuotta | Ennakkoperintälaki, eläkelait |
| ALV-aineisto | 6 vuotta | Arvonlisäverolaki |
Wenn die gesetzliche Aufbewahrungsfrist abläuft, müssen personenbezogene Daten gelöscht oder anonymisiert werden.
Mini-Checkliste für Kleinunternehmen
- Erstellen Sie eine Datenschutzerklärung, in der Sie angeben, welche personenbezogenen Daten Sie verarbeiten und warum.
- Legen Sie Aufbewahrungsfristen nach Dokumententypen fest.
- Stellen Sie sicher, dass Ihre Finanzbuchhaltungssoftware (z.B. Eemel Accounting) DSGVO-konform ist.
- Beschränken Sie den Zugang zu personenbezogenen Daten auf diejenigen, die sie benötigen.
- Vereinbaren Sie einen Datenverarbeitungsvertrag mit Ihrer Buchhaltungsfirma und anderen Verarbeitern.
- Löschen Sie veraltete Daten regelmäßig.
Praktisches Beispiel: Einzelunternehmer und Datenschutzerklärung
Ein Einzelunternehmer führte ein Kundenregister in Excel und stellte PDF-Rechnungen aus. Aus DSGVO-Sicht war die Situation problematisch: keine Datenschutzerklärung, keine Datensicherheit, keine Überwachung der Aufbewahrungsfristen.
Die Einführung von Eemel Accounting löste die meisten Probleme:
- Kundendaten befinden sich in einem geschützten System, nicht in einer offenen Excel-Datei.
- Zugriff beschränkt durch Benutzername und Passwort.
- Die Finanzbuchhaltungssoftware bietet eine Grundlage für die Datenschutzerklärung.
- Alte Daten können systematisch gelöscht werden.
In der Praxis ausprobieren
Eemel Accounting wurde unter Berücksichtigung der DSGVO-Anforderungen entwickelt. Personenbezogene Daten sind sicher und die Verarbeitung ist kontrolliert.
14 Tage testenHäufig gestellte Fragen
Benötigt ein Kleinunternehmen eine Datenschutzerklärung?
Ja, wenn Sie personenbezogene Daten verarbeiten (z.B. Kundennamen und Adressen für die Rechnungsstellung). Eine Datenschutzerklärung muss verfügbar sein.
Kann Buchhaltungsmaterial aufgrund der DSGVO gelöscht werden?
Nicht vor Ablauf der gesetzlichen Aufbewahrungsfrist. Das Buchhaltungsgesetz geht hier der DSGVO vor.
Ist ein Datenverarbeitungsvertrag mit der Buchhaltungsfirma erforderlich?
Ja. Die Buchhaltungsfirma verarbeitet personenbezogene Daten in Ihrem Namen, daher verlangt die DSGVO eine schriftliche Vereinbarung.
Wie wirkt sich die DSGVO auf Bankverbindungen aus?
Kontoauszüge, die über Bankverbindungen abgerufen werden, enthalten personenbezogene Daten. Die Verarbeitung basiert auf dem Vertrag und dem Gesetz. Lesen Sie mehr in unserem PSD2-Artikel.
Muss die Zustimmung des Kunden zur Verarbeitung von Rechnungsdaten eingeholt werden?
In der Regel nicht. Die Verarbeitung von Rechnungsdaten basiert auf der Erfüllung eines Vertrags, nicht auf einer Zustimmung.
Dieser Artikel ist allgemeiner Natur und stellt keine Rechtsberatung dar.