Die DSGVO sieht eine Reihe von Dokumenationspflichten vor. Eine dieser Dokumentationspflichten ist das sog. Verarbeitungsverzeichnis nach Art. 30 DSGVO, nachfolgend finden Sie ein Muster für die Durchführung der Lohnbuchhaltung für Mandanten durch einen Steuerberater.
Hintergrund
Art. 30 DSGVO verpflichtet den Verantwortlichen (das Unternehmen für sich) und den Auftragsverarbeitet (das Unternehmen als Dienstleister) zur Erstellung und laufenden Pflege eines sog. Verzeichnisses von Verarbeitungstätigkeiten.
Verarbeitungen im Sinne des Verzeichnisses von Verarbeitungstätigkeiten sind z.B.
- Bewerbungsverfahren
- Personaldatenverwaltung
- Lohn- und Finanzbuchhaltung
- Bonitätsprüfung
- Datenerhebungen von Website-Besuchern
- Datennutzung beim Marketing
- Bereitstellung und Protokollierung der IT
- Videoüberwachung
In allen Fällen werden personenbezogene Daten zu einem bestimmten Zweck verarbeitet. Dieses ist zu dokumentieren.
Der Ziel und Zweck des Verarbeitungsverzeichnisses ergibt sich aus Erwägungsgrund 82 der DSGVO: „Zum Nachweis der Einhaltung dieser Verordnung sollte der Verantwortliche oder der Auftragsverarbeiter ein Verzeichnis der Verarbeitungstätigkeiten, die seiner Zuständigkeit unterliegen, führen. Jeder Verantwortliche und jeder Auftragsverarbeiter sollte verpflichtet sein, mit der Aufsichtsbehörde zusammenzuarbeiten und dieser auf Anfrage das entsprechende Verzeichnis vorzulegen, damit die betreffenden Verarbeitungsvorgänge anhand dieser Verzeichnisse kontrolliert werden können.”
Das Verarbeitungsverzeichnis soll demnach eine Prüfung der Rechtmäßigkeit der Verarbeitungen auf dem Papier durch die Aufsichtsbehörde ermöglichen. Zugleich schafft das Verarbeitungsverzeichnis Bewusstsein für die vorgenommenen Verarbeitungen und erleichtert die interne Selbstkontrolle durch das Unternehmen. Das Verarbeitungsverzeichnis ist damit ein wesentliches Element der Aufbereitung und Prüfung des Themas Datenschutz im Unternehmen.
Steuerberater Muster Verarbeitungsverzeichnis nach DSGVO – Muster Lohnbuchhaltung
Das nachfolgende Muster für die Verarbeitung Lohnbuchhaltung für Mandanten ist natürlich jeweils anzupassen. Für unsere Kunden übernehmen wir dies, der Kunde muss lediglich einige Fragen im Gespräch beantworten und erhält sodann ein vollständiges Verarbeitungsverzeichnis. Nun zum Muster:
Beschreibung der Verarbeitungstätigkeit
Die Lohnbuchhaltung (Lohnbuchführung) befasst sich mit der betrieblichen Abwicklung der Lohn- und Gehaltsabrechnung. Sowohl beim Eintritt als auch beim Austritt bestehender Mitarbeiter sind sozialversicherungsrechtliche Erfordernisse zu erfüllen.
Buchführung
Für jeden Arbeitnehmer besteht ein Lohnkonto.
Der Begriff Lohnkonto umschreibt die Sammlung von Datensätzen und jedes Konto enthält alle Daten, die für den Arbeitnehmer relevant sind. Welche Inhalte genau ein solches Lohnkonto enthalten muss, ist durch den § 41 EStG sowie den § 4 der Lohnsteuer-Durchführungsverordnung (LSdTV) genau festgelegt.
Folgende personenbezogene Daten des Arbeitnehmers werden innerhalb der Lohnbuchhaltung verarbeitet:
- Geburtsdatum, Eintrittsdatum
- Familienstand
- Sozialversicherungsnummer
- Art der Beschäftigung
- Staatsangehörigkeit
- Steueridentifikationsnummer
- Bankverbindung
- Gehaltsbestandteile
- Versorgungsvereinbarungen
Bei der Lohn- und Gehaltsabrechnung werden personenbezogene Daten an folgende Empfängerkategorien weitergegeben:
- Finanzbehörden
- Sozialversicherungsträger
- Unfallversicherungen
- Bundesagentur für Arbeit
- Versorgungseinrichtungen
Für die Mitarbeiter des Mandanten werden Bescheinigungen zu Gehaltsänderungen und betrieblicher Altersvorsorge erstellt.
Gehaltsauszahlung
Bei entsprechenden Vereinbarungen mit dem Mandanten werden die von der Kanzlei erzeugten Lohn- und Gehaltsdaten direkt durch die Kanzlei zur Überweisung gegenüber der Bank freigegeben.
Entgeltfortzahlung
Auf Wunsch des Mandanten beantragt die Kanzlei den Erstattungsanspruch nach dem Entgeltfortzahlungsgesetz direkt im Namen des Mandanten beim Sozialversicherungsträger.
Zwecke der Verarbeitung
Lohnbuchhaltung
Kategorien betroffener Personen
Kategorien betroffener Personen | Beschreibung |
Beteiligte | Beteiligte im Verarbeitungskontext |
Kategorien personenbezogener Daten
Kategorien personenbezogener Daten | Beschreibung | |
Vereinzelte Daten | Vereinzelte Daten im Verarbeitungskontext |
Kategorien von Empfängern
Empfänger | Rechtmäßigkeit der Verarbeitung | Zweck der Weiterleitung | |
Beteiligte | Beteiligte im Verarbeitungskontext | Aufgabenerfüllung der Beteiligten |
Übermittlung an einen Drittstaat oder an eine internationale Organisation
Es findet kein Datentransfer in Drittstaaten statt.
Fristen für die Löschung
Es findet das Löschkonzept Anwendung.
Die abstrakten Fristen lauten wie folgt:
Es gelten die Aufbewahrungspflichten nach § 147 AO, 257 HGB, u.a.:
- Geschäftsbriefe: 6 Jahre,
- Buchungsbelege: 10 Jahre.
Die Aufbewahrungsfrist beginnt mit dem Schluss des Kalenderjahrs, in dem die letzte Eintragung in das Buch gemacht, das Inventar, die Eröffnungsbilanz, der Jahresabschluss oder der Lagebericht aufgestellt, der Handels- oder Geschäftsbrief empfangen oder abgesandt worden oder der Buchungsbeleg entstanden ist, ferner die Aufzeichnung vorgenommen worden ist oder die sonstigen Unterlagen entstanden sind.
Technische und organisatorische Maßnahmen
Es gelten die allgemeinen technischen und organisatorischen Maßnahmen.
Rechtmäßigkeit der Verarbeitung
Name | Beschreibung | Bemerkungen |
Erfüllung eines Vertrags oder Durchführung vorvertraglicher Maßnahmen | Art. 6 Abs. 1 S. 1 lit. b DSGVO | Daten des Mandanten |
Erfüllung einer rechtlichen Verpflichtung | Art. 6 Abs. 1 S. 1 lit. c DSGVO | Daten Dritter |
Wahrung von berechtigten Interessen | Art. 6 Abs. 1 S. 1 lit. f DSGVO | Daten Dritter |
Wir unterstützen Sie gern
Als Steuerberater haben Sie mit sensiblen Daten zu tun. Das Thema Datensicherheit und Datenschutz hat in den vergangenen Jahren im Kanzleialltag an Präsenz und Wichtigkeit zugenommen. Weil es sich um senseible Daten handelt, sollten sich hier auch juristisch absichern.
KÖHRER ist ein Datenschutzbeauftragter aus Kiel. Als Fachanwalt für IT-Recht verfügt KÖHRER darüber hinaus über eine umfangreiche Expertise, die weit über den Themenkomplex Datenschutz hinaus geht. Für unsere Kunden arbeiten wir auf Augenhöhe, nach klaren Strukturen, inhaltlich auf den Punkt, stets lösungsorientiert und fristgerecht. Legen auch Sie das oft ungeliebte Thema Datenschutz direkt in die fachlichen Hände von Menschen, die die selbe Sprache sprechen und verstehen wie jene, die Sie im Bereich Datenschutz kontrollieren.
Als guter Steuerberater geben Sie Ihren Mandanten den Rat, bei Thema „Steuern nichts dem Zufall zu überlassen und nichts auf die lange Bank zu schieben“. Und wir geben Ihnen, beim Thema „Datenschutz“, ebenfalls den Rat effektiv und zielgerichtet zu handeln.
Rufen Sie uns gerne hierzu an oder kontaktieren Sie uns über diese Webseite.