F.A.Q

An dieser Stelle finden Sie unsere gesammelten Werke als FAQ. Die Datenbank befindet sich derzeit noch im Aufbau.

Fragen zur DSGVO

Gemäß Artikel 37 Absatz 1 DSGVO ist ein Unternehmen zur Benennung eines DSB in den folgenden Fällen verpflichtet:

  • Die Kerntätigkeit besteht in der Durchführung von Verarbeitungsvorgängen, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen.
  • Die Kerntätigkeit besteht in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 und Artikel 10 DSGVO.

Der Begriff der Kerntätigkeit bezieht sich dabei auf die Haupttätigkeit des Unternehmens. Gemeint sind Geschäftsbereiche, welche für die Umsetzung der Unternehmensstrategie maßgebend sind und nicht lediglich routinemäßige Verwaltungsaufgaben darstellen.  Keine Kerntätigkeit liegt bspw. bei der Verarbeitung von Mitarbeiterdaten vor, da dies in der Regel nur ein Unterstützungsprozess ist und deshalb nicht zur Haupttätigkeit des Unternehmens gehört.

Die Verarbeitungsvorgänge müssen eine umfangreiche, regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen. Dies ist etwa der Fall, wenn die Internetaktivitäten der betroffenen Personen nachvollzogen und zur Profilbildung verwendet werden.

Eine umfangreiche Verarbeitung besonderer Kategorien von Daten liegt bspw. vor, wenn die Haupttätigkeit des Unternehmens in der Verarbeitung solcher Daten besteht, aus welchen die rassische und ethnische Herkunft, politische Meinungen oder religiöse bzw. weltanschauliche Überzeugungen hervorgehen. Umfangreiche Verarbeitung von genetischen Daten, biometrischen Daten sowie Gesundheitsdaten fällt ebenfalls hierunter.

Was ist neu

Das neue BDSG regelt ferner in § 38 Absatz Satz 1, dass die Benennung des DSB obligatorisch ist, soweit mindestens zehn Mitarbeiter ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Unerheblich ist hierbei, ob es sich um Vollzeit- oder Teilzeitbeschäftigte handelt. Miteinzubeziehen sind auch freie Mitarbeiter oder Leiharbeitnehmer, ebenso wie Auszubildende und Praktikanten. Entscheidend ist, dass die betreffenden Mitarbeiter mit der automatisierten Verarbeitung personenbezogener Daten befasst sind. Dies ist in der Regel bereits bei einfacher E-Mail-Kommunikation der Fall. Betroffen sind typischerweise Vertriebsmitarbeiter, Mitarbeiter der IT-Abteilung, Sachbearbeiter sowie die Personal- und Finanzabteilungen.

Unabhängig von der Zahl  der Mitarbeiter besteht gemäß § 38 Absatz 1 Satz 2 BDSG-neu eine Pflicht zur Benennung, wenn in dem Unternehmen Verarbeitungen vorgenommen werden, die einer Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO unterliegen oder die verantwortliche Stelle personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- und Meinungsforschung verarbeitet.

Form der Benennung

Die Benennung sollte aus Beweisgründen in Schriftform erfolgen.

Vorteile eines externen Datenschutzbeauftragten

Ein externer Datenschutzbeauftragter lässt sich anhand verschiedener Faktoren von einem internen Datenschutzbeauftragten differenzieren:

  • Anfallende Kosten für das Unternehmen: Während bei einem internen Datenschutzbeauftragten zusätzlich zum regulären Gehalt Kosten für Aus- und Fortbildung sowie Erwerb von Literatur vom Unternehmen zu investieren sind, hat ein Unternehmen bei einem externen Datenschutzbeauftragten den Vorteil der transparenten Kostenstruktur, da vertraglich alle Kosten vorab definiert werden.
  • Kompetenz: Während ein interner Datenschutzbeauftragter zunächst zeitintensive und aufwendige Weiterbildungsmaßnahmen zur Erlangung der Fachkunde vornehmen muss, kann ein  externer Datenschutzbeauftragter bereits von Vertragsstart an zertifizierte und sofort abrufbare Fachkunde nachweisen.
  • Haftung: Ein interner Datenschutzbeauftragter haftet mit der sog. beschränkten Arbeitnehmerhaftung. Das bedeutet, dass der Arbeitnehmer lediglich bei Vorsatz und grober Fahrlässigkeit in vollem Umfang haftet. Bei leichtester Fahrlässigkeit scheidet eine Haftung des internen DSB aus. Im Gegensatz dazu haftet ein externer DSB für seine Beratung auch bei leichter Fahrlässigkeit in voller Höhe. Dies führt zu einer Risikominimierung für das Unternehmen.
  • Kündigung: Ein interner Datenschutzbeauftragter unterliegt besonderem Kündigungsschutz, der mit der Stellung des Betriebsrats gleichzustellen ist. Die Beauftragung eines externen Datenschutzbeauftragten kann hingegen fristgerecht mit Kündigung des Vertrags beendet werden.

Fragen zur Verfahrensdokumentation

Das wichtigste gleich vorneweg: Betriebsprüfer verlangen seit kurzer Zeit vermehrt die Vorlage der Verfahrensdokumentation. Grund ist, dass der BFH mit mehreren Urteilen die Rechte der Betriebsprüfer gestärkt hat (z.B. BFH vom 16.1.2015, Aktenzeichen XR 42/13) und damit den Weg freigemacht hat für eine strenge Kontrolle der digitalen Buchführungspflichten. Und das gilt nicht nur für Bilanzierer, sondern auch für Einnahmen-Überschuss-Rechner. Damit muss jeder Unternehmer sich die Frage stellen: Ist der Gang meiner digitalen Belege aus meinen Aufzeichnungen ersichtlich und nachvollziehbar? Die Antwort lautet leider meistens: Nein – es ist noch viel zu tun.

Unternehmer haben viele Pflichten, was Buchhaltung und Steuern angeht. Dazu gehört aber etwas, das viele Unternehmer nicht auf dem Schirm haben: die Verfahrensdokumentation. Dabei sollte jeder Unternehmer eine haben. Und seit einiger Zeit lassen sich Betriebsprüfer vermehrt die Verfahrensdokumentation vorlegen. Wir erklären, was dahintersteckt und was Ihnen als Unternehmer passieren kann, wenn sie fehlt.

Die Finanzverwaltung prüft im Rahmen von Betriebsprüfungen regelmäßig, ob Unternehmen eine ordnungsgemäße Buchführung haben. Wie eine ordnungsgemäße Buchführung auszusehen hat, ergibt sich seit dem 01.01.2015 aus den sogenannten „Grundsätze zur ord-nungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff„, vereinfacht „GoBD“ genannt. Diese GoBD legen unter anderem fest, dass jedes Unternehmen eine sogenannte Verfahrensdokumentation haben und einhalten muss. Fehlt eine solche, kann das Finanzamt die gesamte Buchführung verwerfen.

Eine Verfahrensdokumentation muss „gelebt werden“ Abweichungen zwischen der Beschreibung und den tatsächlichen Abläufen können nicht nur bei einer steuerlichen Betriebsprüfung zu erheblichen Nachteilen führen.

Mit dem sogenannte GoBD schreibt die Finanzverwaltung vor, dass Sie ihre Buchführung durch eine Verfahrensdokumentation darstellen müssen. Vom Eingang von Papierbelegen oder digitalen Rechnungen bis zur Ablage und der Bereitstellung von Buchungsdaten für das Finanzamt.

Bei Prüfungen werden die Finanzbeamten die Dokumentation von Ihnen verlangen, insbesondere bei Kassen nachschauen. Wenn die Buchführung wegen einer fehlenden oder mangelhaften Verfahrensdokumentation nicht vollständig nachvollziehbar ist, kann das Finanzamt sie schlimmstenfalls sogar verwerfen.

Ziel der Verfahrensdokumentation ist das ihre Buchhaltung nicht nur inhaltlich nachvollziehbar und nachprüfbar ist, sondern auch der Ablauf. Wo passiert was mit welchen Daten und Belegen und welche Daten stehen am ende zur Verfügung? Dafür soll die Verfahrensdokumentation vier Bereiche beschreiben:

1. Beschreibung der Prozesse – Eine allgemeine Beschreibung der Prozesse der elektronischen Buchführung, sowie der vorgelagerten Systeme. Am Besten in einem Ablaufdiagramm in dem der Belegfluss mit den beteiligten Systemen aufgezeichnet wird.

2. Anwenderdokumentation – Eine Anwenderdokumentation bestehend aus den Gebrauchsanweisungen für die verwendeten Systeme.

3. Technische Systemdokumentation – Zu einer technische Systemdokumentation gehören vor allem Details von der verwendeten Hard- und Software, verwendete Datenformate und Datenzugriffsmöglichkeiten.

4. Betriebsdokumentation – Eine Betriebsdokumentation die unter anderem Arbeitsanweisungen für die Beteiligten Personen mit Verantwortlichkeiten und nicht zuletzt eine Beschreibung des internen Kontrollsystems umfasst.

Gehen Sie für die Verfahrensdokumentation am besten wie folgt vor

– Listen sie die Hard- und Software auf die für Ihre Buchhaltung genutzt werden. Dazu gehört nicht nur die Buchhaltungssoftware, sondern zum Beispiel auch Kassen, eingesetzte Scanner, Dokumentenmanagementsysteme usw. Lassen Sie sich dabei ggf. vom Systemadministrator ihres Vertrauens unterstützen.

– Stellen Sie sämtliche Bedienungsanleitungen der beschriebenen Systeme zusammen

– Beschreiben Sie den Ablauf Ihrer Buchführung und Belegverarbeitung mit eigenen Worten.

Mit Hilfe dieser Grundlagen stellen wir gerne mit Ihnen eine Verfahrensdokumentation zusammen. Vereinbaren Sie einen Termin, damit wir das Vorgehen abstimmen können

Unternehmen mit Barkasse müssen mit Hinzuschätzungen nahezu sicher rechnen. Der Bundesfinanzhof, das höchste Gericht in Steuersachen, hat mit Urteil vom 25.03.2013 entschieden, dass das Fehlen der Betriebsanleitung und aller Programmänderungen einer programmierbaren Kasse einen formellen Fehler darstellt, der zu Hinzuschätzungen berechtigt. Das Fehlen einer Verfahrensdokumentation soll dem gleichstehen.

Die Finanzverwaltung überlegt derzeit, Steuerberater in Haftung zu nehmen, die insolvente Mandanten ohne Verfahrensdokumentation betreuen. Sollte dies zur Regel werden, werden Steuerberater keine Mandanten ohne Verfahrensdokumentation mehr betreuen können. Soweit ist es aber zur Zeit noch nicht.

Wir schaffen Lösungen