Steuerberater Muster Verarbeitungsverzeichnis nach DSGVO

Die DSGVO sieht eine Reihe von Dokumenationspflichten vor. Eine dieser Dokumentationspflichten ist das sog. Verarbeitungsverzeichnis nach Art. 30 DSGVO, nachfolgend finden Sie ein Muster für die Durchführung der Lohnbuchhaltung für Mandanten durch einen Steuerberater.

Hintergrund

Art. 30 DSGVO verpflichtet den Verantwortlichen (das Unternehmen für sich) und den Auftragsverarbeitet (das Unternehmen als Dienstleister) zur Erstellung und laufenden Pflege eines sog. Verzeichnisses von Verarbeitungstätigkeiten.

Verarbeitungen im Sinne des Verzeichnisses von Verarbeitungstätigkeiten sind z.B.

  • Bewerbungsverfahren
  • Personaldatenverwaltung
  • Lohn- und Finanzbuchhaltung
  • Bonitätsprüfung
  • Datenerhebungen von Website-Besuchern
  • Datennutzung beim Marketing
  • Bereitstellung und Protokollierung der IT
  • Videoüberwachung

In allen Fällen werden personenbezogene Daten zu einem bestimmten Zweck verarbeitet. Dieses ist zu dokumentieren.

Der Ziel und Zweck des Verarbeitungsverzeichnisses ergibt sich aus Erwägungsgrund 82 der DSGVO: „Zum Nachweis der Einhaltung dieser Verordnung sollte der Verantwortliche oder der Auftragsverarbeiter ein Verzeichnis der Verarbeitungstätigkeiten, die seiner Zuständigkeit unterliegen, führen. Jeder Verantwortliche und jeder Auftragsverarbeiter sollte verpflichtet sein, mit der Aufsichtsbehörde zusammenzuarbeiten und dieser auf Anfrage das entsprechende Verzeichnis vorzulegen, damit die betreffenden Verarbeitungsvorgänge anhand dieser Verzeichnisse kontrolliert werden können.”

Das Verarbeitungsverzeichnis soll demnach eine Prüfung der Rechtmäßigkeit der Verarbeitungen auf dem Papier durch die Aufsichtsbehörde ermöglichen. Zugleich schafft das Verarbeitungsverzeichnis Bewusstsein für die vorgenommenen Verarbeitungen und erleichtert die interne Selbstkontrolle durch das Unternehmen. Das Verarbeitungsverzeichnis ist damit ein wesentliches Element der Aufbereitung und Prüfung des Themas Datenschutz im Unternehmen.

Steuerberater Muster Verarbeitungsverzeichnis nach DSGVO – Muster Lohnbuchhaltung

Das nachfolgende Muster für die Verarbeitung Lohnbuchhaltung für Mandanten ist natürlich jeweils anzupassen. Für unsere Kunden übernehmen wir dies, der Kunde muss lediglich einige Fragen im Gespräch beantworten und erhält sodann ein vollständiges Verarbeitungsverzeichnis. Nun zum Muster:

Beschreibung der Verarbeitungstätigkeit

Die Lohnbuchhaltung (Lohnbuchführung) befasst sich mit der betrieblichen Abwicklung der Lohn- und Gehaltsabrechnung. Sowohl beim Eintritt als auch beim Austritt bestehender Mitarbeiter sind sozialversicherungsrechtliche Erfordernisse zu erfüllen.

Buchführung

Für jeden Arbeitnehmer besteht ein Lohnkonto.

Der Begriff Lohnkonto umschreibt die Sammlung von Datensätzen und jedes Konto enthält alle Daten, die für den Arbeitnehmer relevant sind. Welche Inhalte genau ein solches Lohnkonto enthalten muss, ist durch den § 41 EStG sowie den § 4 der Lohnsteuer-Durchführungsverordnung (LSdTV) genau festgelegt.

Folgende personenbezogene Daten des Arbeitnehmers werden innerhalb der Lohnbuchhaltung verarbeitet:

  • Geburtsdatum, Eintrittsdatum
  • Familienstand
  • Sozialversicherungsnummer
  • Art der Beschäftigung
  • Staatsangehörigkeit
  • Steueridentifikationsnummer
  • Bankverbindung
  • Gehaltsbestandteile
  • Versorgungsvereinbarungen

Bei der Lohn- und Gehaltsabrechnung werden personenbezogene Daten an folgende Empfängerkategorien weitergegeben:

  • Finanzbehörden
  • Sozialversicherungsträger
  • Unfallversicherungen
  • Bundesagentur für Arbeit
  • Versorgungseinrichtungen

Für die Mitarbeiter des Mandanten werden Bescheinigungen zu Gehaltsänderungen und betrieblicher Altersvorsorge erstellt.

Gehaltsauszahlung

Bei entsprechenden Vereinbarungen mit dem Mandanten werden die von der Kanzlei erzeugten Lohn- und Gehaltsdaten direkt durch die Kanzlei zur Überweisung gegenüber der Bank freigegeben.

Entgeltfortzahlung

Auf Wunsch des Mandanten beantragt die Kanzlei den Erstattungsanspruch nach dem Entgeltfortzahlungsgesetz direkt im Namen des Mandanten beim Sozialversicherungsträger.

Zwecke der Verarbeitung

Lohnbuchhaltung

Kategorien betroffener Personen

Kategorien betroffener Personen Beschreibung
Beteiligte Beteiligte im Verarbeitungskontext

Kategorien personenbezogener Daten

Kategorien personenbezogener Daten Beschreibung
Vereinzelte Daten Vereinzelte Daten im Verarbeitungskontext

Kategorien von Empfängern

Empfänger Rechtmäßigkeit der Verarbeitung Zweck der Weiterleitung
Beteiligte Beteiligte im Verarbeitungskontext Aufgabenerfüllung der Beteiligten

Übermittlung an einen Drittstaat oder an eine internationale Organisation

Es findet kein Datentransfer in Drittstaaten statt.

Fristen für die Löschung

Es findet das Löschkonzept Anwendung.

Die abstrakten Fristen lauten wie folgt:

Es gelten die Aufbewahrungspflichten nach § 147 AO, 257 HGB, u.a.:

  • Geschäftsbriefe: 6 Jahre,
  • Buchungsbelege: 10 Jahre.

Die Aufbewahrungsfrist beginnt mit dem Schluss des Kalenderjahrs, in dem die letzte Eintragung in das Buch gemacht, das Inventar, die Eröffnungsbilanz, der Jahresabschluss oder der Lagebericht aufgestellt, der Handels- oder Geschäftsbrief empfangen oder abgesandt worden oder der Buchungsbeleg entstanden ist, ferner die Aufzeichnung vorgenommen worden ist oder die sonstigen Unterlagen entstanden sind.

Technische und organisatorische Maßnahmen

Es gelten die allgemeinen technischen und organisatorischen Maßnahmen.

Rechtmäßigkeit der Verarbeitung

Name Beschreibung Bemerkungen
Erfüllung eines Vertrags oder Durchführung vorvertraglicher Maßnahmen Art. 6 Abs. 1 S. 1 lit. b DSGVO Daten des Mandanten
Erfüllung einer rechtlichen Verpflichtung Art. 6 Abs. 1 S. 1 lit. c DSGVO Daten Dritter
Wahrung von berechtigten Interessen Art. 6 Abs. 1 S. 1 lit. f DSGVO Daten Dritter

Wir unterstützen Sie gern

Als Steuerberater haben Sie mit sensiblen Daten zu tun. Das Thema Datensicherheit und Datenschutz hat in den vergangenen Jahren im Kanzleialltag an Präsenz und Wichtigkeit zugenommen. Weil es sich um senseible Daten handelt, sollten sich hier auch juristisch absichern.

KÖHRER ist ein Datenschutzbeauftragter aus Kiel. Als Fachanwalt für IT-Recht verfügt KÖHRER darüber hinaus über eine umfangreiche Expertise, die weit über den Themenkomplex Datenschutz hinaus geht. Für unsere Kunden arbeiten wir auf Augenhöhe, nach klaren Strukturen, inhaltlich auf den Punkt, stets lösungsorientiert und fristgerecht. Legen auch Sie das oft ungeliebte Thema Datenschutz direkt in die fachlichen Hände von Menschen, die die selbe Sprache sprechen und verstehen wie jene, die Sie im Bereich Datenschutz kontrollieren.

Als guter Steuerberater geben Sie Ihren Mandanten den Rat, bei Thema „Steuern nichts dem Zufall zu überlassen und nichts auf die lange Bank zu schieben“. Und wir geben Ihnen, beim Thema „Datenschutz“, ebenfalls den Rat effektiv und zielgerichtet zu handeln.

Rufen Sie uns gerne hierzu an oder kontaktieren Sie uns über diese Webseite.