GoBD oder DSGVO: Ein Beispiel
Eine Rechnung muss nach GoBD und Abgabenordnung acht Jahre lang aufbewahrt werden (bei einer E-Rechnung nur der strukturierte Datensatz). Gleichzeitig enthält eine Rechnung personenbezogene Daten wie Namen, Adressen oder sogar Bankverbindungen.
Nach DSGVO müssten solche Daten eigentlich gelöscht werden, sobald sie „für den ursprünglichen Zweck“ nicht mehr benötigt werden“. Rein kaufmännisch ist eine Rechnung aber nach einigen Monaten erledigt, da der Zweck der Leistungsabrechnung abgeschlossen ist.
Muss die Rechnung nun gelöscht werden, weil sie personenbezogene Daten enthält oder muss sie über den Zeitraum der Aufbewahrungsfrist weiterhin archiviert bleiben?
Sowohl die vorzeitige Löschung als auch die zu lange Aufbewahrung könnten steuerrechtlich oder datenschutzrechtliche Konsequenzen haben.
Kostenloses Angebot sichern und digital archivieren!
Angebot bitte!
Die Verordnungen im Überblick
Um das vermeintliche Spannungsfeld zwischen den Aufbewahrungspflichten und Löschfristen zu verstehen, lohnt sich ein Blick auf die beiden Verordnungen. GoBD und DSGVO verfolgen unterschiedliche Zwecke, greifen jedoch ineinander.
GoBD: Wie Sie Buchhaltungsunterlagen digital archivieren müssen
Die GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form) legen verbindlich fest, wie steuerrelevante Dokumente digital aufzubewahren sind. Entscheidend ist, dass Unterlagen jederzeit prüfbar, nachvollziehbar und unverändert verfügbar sind. Die Archivierung muss also revisionssicher erfolgen.
Neben den eigentlichen Belegen sind alle Informationen zu speichern, die einen Geschäftsvorfall vollständig dokumentieren. Dazu zählen auch personenbezogene Daten, sofern sie Bestandteil des Vorgangs sind.
Dazu zählen beispielsweise:
- Metadaten
- Zusatzdokumente
- Anhänge
- E-Mail-Begleittexte
- Buchungsdaten
Damit ist klar: Personenbezogene Daten müssen im Rahmen der GoBD ebenfalls archiviert werden, wenn sie für die steuerliche Nachvollziehbarkeit eines Vorgangs erforderlich sind.
Ausführliche Informationen finden Sie auf unserer Seite GoBD-konforme Archivierung.
Quelle: BMF 2025
DSGVO: Wie Sie personenbezogene Daten rechtssicher speichern und löschen
Die Datenschutz-Grundverordnung (DSGVO) regelt, wie Unternehmen personenbezogene Daten verarbeiten, speichern und wieder löschen müssen. Ziel ist es, sicherzustellen, dass Daten nur im notwendigen Umfang erhoben werden und nicht länger gespeichert bleiben, als es der ursprüngliche Zweck erfordert. Im Fokus stehen dabei Transparenz, Schutz persönlicher und sensibler Daten sowie deren verantwortungsbewusste Nutzung.
Wesentliche Vorgaben der DSGVO sind:
- Speicherbegrenzung (Art. 5 Abs. 1 lit. e): Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für den jeweiligen Zweck notwendig ist.
- Recht auf Löschung (Art. 17 Abs. 1): Betroffene können verlangen, dass ihre Daten gelöscht werden, sobald kein rechtmäßiger Grund für die Speicherung mehr besteht.
- Zweckbindung & Datenminimierung (Art. 5 Abs. 1 lit. b und c): Daten dürfen ausschließlich für den Zweck verarbeitet werden, für den Sie erhoben wurden und nur im unbedingt erforderlichen Umfang.
Die zeitliche Begrenzung der Speicherdauer personenbezogener Daten nach DSGVO wird häufig als ein Widerspruch zur Aufbewahrungspflicht nach GoBD und AO gesehen.
Hier muss man genauer hinschauen.
Quelle: DSGVO 2016
Aufbewahren oder Löschen? Rechtliche Verpflichtungen haben Vorrang
Auch wenn die DSGVO grundsätzlich eine begrenzte Speicherdauer personenbezogener Daten fordert, steht sie den gesetzlichen Aufbewahrungspflichten nach GoBD nicht entgegen. Beide Verordnungen greifen ineinander und das wird in der Datenschutz-Grundverordnung auch klargestellt.
Vorrang rechtlicher Verpflichtungen
Nach Art. 6 Abs. 1 lit. c DSGVO ist die Verarbeitung personenbezogener Daten zulässig, sofern sie zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist. Die steuerlichen Aufbewahrungsfristen nach GoBD, Abgabenordnung und Handelsgesetzbuch fallen genau darunter.
Damit gilt:
- Die Archivierung steuerrelevanter Unterlagen (inkl. personenbezogener Daten) ist ein legitimer und notwendiger Zweck
- Unternehmen sind während der Aufbewahrungsfrist sogar verpflichtet, diese Daten nicht zu löschen - andernfalls wäre der Geschäftsvorfall steuerlich nicht mehr nachweisbar
Art. 17 Abs 3 DSGVO schränkt zudem das Recht auf Löschung ein, sofern die Daten zur Erfüllung einer rechtlichen Verpflichtung nach Recht der Europäischen Union oder der eines Mitgliedsstaates erforderlich sind.
Das heißt: Solange GoBD-Aufbewahrungsfristen bestehen, dürfen steuerrelevante personenbezogene Daten weder gelöscht noch nachträglich verändert werden.
Missverständnis: Aufbewahrung ist nicht gleich Nutzung
Ein häufiger Irrtum besteht zudem darin, Archivierung und Nutzung personenbezogener Daten gleichzusetzen. Die Archivierung und Speicherung der Daten dient der Dokumentation steuerrelevanter Geschäftsvorfälle. Die Weiterverarbeitung und Nutzung beispielsweise für Marketingmaßnahmen, Kundenauswertungen oder sonstige Zwecke abseits der Dokumentation ist nicht gestattet.
Operative Systeme vs. revisionssicheres Archiv
Ein häufiger Fehler besteht darin, operative Systeme wie ERP, E-Mail oder Fileserver als Archiv zu verwenden. Die DSGVO verlangt jedoch eine klare Zweckbindung bei der Speicherung personenbezogener Daten. Das bedeutet: Aktive Nutzung und reine Aufbewahrung müssen strikt voneinander getrennt sein.
Die GoBD wiederum fordern revisionssicher Archivierung, etwa durch Unveränderbarkeit und Nachvollziehbarkeit der gespeicherten Unterlagen. Diese Anforderungen lassen sich nur mit dafür vorgesehenen Archivsystemen erfüllen.
Was kostet der Scanservice?
Preis ermitteln!So halten Sie beide Verordnungen ein
Die folgenden Maßnahmen und organisatorischen Regelungen zeigen, wie Unternehmen die Anforderungen aus DSGVO und GoBD miteinander vereinbaren können.
Digitale Archivierung als Grundlage für Rechtskonformität
Viele Unternehmen arbeiten noch mit analogen oder hybriden Archivsystemen. Uneinheitliche und unstrukturierte Ablagen sowie Papierakten vergrößern das Risiko von Verstößen gegen sowohl GoBD als auch DSGVO.
Eine vollständig digitale Archivierung schafft Struktur und Sicherheit bei der Aufbewahrung von Geschäftsunterlagen und Kundendaten. Der Einsatz einer Archivsoftware in Form eines Dokumentenmanagement-Systems (DMS) ermöglicht die präzise und zuverlässige Überwachung von Aufbewahrungsfristen und Löschfristen. Ein DMS unterstützt zusätzliche eine revisionssichere Archivierung. Damit schaffen Sie eine rechtssichere Grundlage, welche bei analoger oder hybrider Archivierung nicht gegeben ist.
Wichtige Compliance Funktionen sind:
- Rollen- und Berechtigungskonzepte: Stellen sicher, dass nur autorisierte Personen Zugriff auf personenbezogene Daten erhalten und verhindern unbefugte Einsichtnahme
- Überwachung von Aufbewahrungs- und Löschfirsten: Je nach Dokumententyp haben Sie stets Überblick über die geltenden Fristen
- Lückenlose Protokollierung: Dokumentiert alle Zugriffe, Änderungen und Löschvorgänge und ermöglicht so den Nachweis der DSGVO-Compliance
- Unterstützung bei Auskunft- und Löschanfragen: Findet personenbezogene Daten per Suchanfrage und stellt Sie für Auskünfte oder Löschanfragen bereit
Mehr Informationen finden Sie auf unserer Infoseite DSGVO mit Dokumentenmanagement-System.
Professioneller Scanservice nach TR-Resiscan
Als erfahrener Scandienstleister für Akten und jegliche Papierdokumente sorgen wir dafür, dass Ihre analogen Unterlagen strukturiert, vollständig und GoBD-konform in Ihr digitales Archiv überführt werden. Das ersetzende Scannen erlaubt die rein digitale Archivierung steuerrelevanter Unterlagen. Unsere Scanprozesse sind konform mit der Richtlinie TR-Resiscan und produzieren dokumentenechte Scans, gleichwertig mit den Papieroriginalen.
Verfahrensdokumentation als Nachweis für GoBD und DSGVO-Konformität
Eine Verfahrensdokumentation beschreibt nachvollziehbar, wie Dokumente erfasst, verarbeitet, archiviert und gelöscht werden. Sie ist nicht nur eine zentrale GoBD-Anforderung, sondern unterstützt auch die Einhaltung der DSGVO, indem sie Verantwortlichkeiten, Abläufe und technische Maßnahmen transparent macht. Unternehmen schaffen damit einen klar definierten, prüfungssicheren Rahmen für ihren gesamten Dokumenten-Workflow.
Ausführliche Informationen finden Sie auf unserer Seite zum Thema Verfahrensdokumentation.
AVV: Grundlage für sichere Datenverarbeitung
Wer externe Dienstleister mit der Verarbeitung oder Digitalisierung von Dokumenten beauftragt, sollte die Zusammenarbeit unbedingt vertraglich absichern. Ein Auftragsverarbeitungsvertrag (AVV) ist hierbei verpflichtend, da personenbezogene Daten im Auftrag verarbeitet werden. Er regelt u.a. Verantwortlichkeiten, Sicherheitsmaßnahmen und den zulässigen Umfang der Datenverarbeitung.
Ergänzend können zweckgebundene Einwilligungen notwendig sein, wenn Daten über die reine Auftragsabwicklung hinaus genutzt werden sollen. So stellen Sie sicher, dass auch externe Partner GoBD- und DSGVO-Vorgaben verlässlich einhalten.
DSGVO und GoBD: Kein Widerspruch mit klaren Prozessen
GoBD und DSGVO verfolgen unterschiedliche Ziele, stehen aber nicht im Widerspruch zueinander. Die GoBD verlangen eine vollständige und unveränderbare Dokumentation steuerrelevanter Vorgänge, während die Datenschutz-Grundverordnung deren Speicherung ausdrücklich erlaubt, solange gesetzliche Pflichten dies verlangen. Unsicherheiten entstehen meist dort, wo Archivierung und Nutzung nicht klar getrennt werden oder klare Prozesse fehlen.
Wie wir Sie dabei unterstützen
Wenn Sie Ihre Akten digitalisieren lassen, profitieren Sie von der Expertise eines Scandienstleisters wie Smart-Store, der die Anforderungen an eine GoBD-konforme Archivierung und DSGVO-gerechte Datenverarbeitung sicher beherrscht.
Im Rahmen unseres Scanservice erstellen wir auf Wunsch Ihre Verfahrensdokumentation und beraten Sie zu revisionssicheren Archivstrukturen, dem Einsatz des DocuWare Cloud-DMS sowie zur strukturierten Digitalisierung Ihres gesamten Dokumentenarchivs.
Wir bringen GoBD und DSGVO in Einklang!
Sprechen Sie mit uns
über die Digitalisierung Ihres Archivs
und erfahren Sie, wie Sie
GoBD und DSGVO mit
digitaler Archivierung
dauerhaft zuverlässig erfüllen.
Kostenlose Info Hotline
