Rechtliche Grundlagen
- DSGVO – Überblick
- GoBD – Verfahrensdokumentation (Vorlage)
- Aufbewahrungsfristen (HGB/AO)
- BSI IT‑Grundschutz – Basis-Absicherung (WiBA)
DSGVO – Überblick
DSGVO – Überblick
Geltungsbereich: Gesamtes Unternehmen inkl. mobiler Arbeit
Rollen: Verantwortlicher (GF), Datenschutzkoordination, IT-Leitung, Fachbereiche
Schwerpunkte: Verzeichnis von Verarbeitungstätigkeiten (Art. 30), TOMs (Art. 32), AV-Verträge (Art. 28), Betroffenenrechte, Löschkonzept
Verantwortlichkeiten
- Verantwortlicher: {{Firma, GF}}
- Datenschutz-Kontakt: {{E-Mail}}
- Datenschutzbeauftragter (falls Pflicht/benannt): {{intern/extern, Name, Kontakt}}
Nachweise in dieser Doku
- VVT (Prozesse), TOMs, AV-Vertragsspiegel, DSFA (falls erforderlich-Für Spiegelblank nicht erforderlich)
- Was ist ein AV-Vertragsspiegel?
Der AV-Vertragsspiegel ist kein rechtliches Musterdokument, sondern ein Organisationsinstrument: Eine zentrale, gepflegte Liste aller Dienstleister mit AV-Vertrag inkl. der wichtigsten Metadaten. Typisch ist das eine Tabelle (Excel, GLPI, DMS, BookStack, Confluence, …) mit Einträgen wie: Dienstleister/ System (z. B. „Microsoft 365“, „GLPI Cloud“, „Rechenzentrum X“) Rolle: Auftragsverarbeiter / gemeinsam Verantwortlicher / sonstiger Empfänger Verarbeitungszweck (z. B. E-Mail & Kollaboration, Ticketsystem, Backup, Hosting) Kategorien personenbezogener Daten (Mitarbeiterdaten, Kundendaten, IP-Adressen, Logdaten …) Kategorien Betroffener (Mitarbeiter, Kunden, Bewerber, Lieferanten …) Rechtsgrundlage (z. B. Art. 6 Abs. 1 lit. b, c, f DSGVO) AV-Vertrag vorhanden? (Ja/Nein, Datum des Abschlusses) Ablageort des AV-Vertrags (Pfad im DMS/SharePoint/Ordner) Auftragsverarbeiter-Sitz / Datenverarbeitung (EU/EWR, Drittland, Standardvertragsklauseln etc.) technische und organisatorische Maßnahmen (TOM) geprüft? (Ja/Nein, Datum) Datenschutz-Freigabe (z. B. „Freigegeben durch DSB am 15.08.2025“) Anmerkungen (z. B. „Enthält Gesundheitsdaten“, „Joint Controllership mit XY“, …)
- Meldejournal Datenschutzvorfälle, Betroffenenrechte-Prozess, Löschkonzept
Hinweis: Dieses Dokument ist eine Arbeitsvorlage und ersetzt keine Rechtsberatung.
GoBD – Verfahrensdokumentation (Vorlage)
GoBD-Verfahrensdokumentation
Version: 1.0 | Owner: Finanz/IT | Letztes Review: TT.MM.JJJJ
Geltungsbereich: Alle steuerrelevanten IT-gestützten Prozesse/Systeme
1 Zweck & Zielbild
Sicherstellung von Nachvollziehbarkeit, Vollständigkeit, Richtigkeit, Zeitgerechtheit, Ordnung & Unveränderbarkeit.
2 Organisation & Verantwortlichkeiten
- Rollen (Finanz, IT, Fachbereiche), Vertretungen, Schulungen
- Berechtigungskonzept (rollenbasiert), Vier-Augen-Prinzip bei Änderungen
3 Steuerrelevante Prozesse
- Eingangs-/Ausgangsrechnungen, Löhne/Gehälter, Kasse, Anlagenbuchhaltung, Reisekosten
- Belegfluss (Scan, Erfassung, Prüfung, Freigabe, Archivierung)
4 IT-Systeme, Schnittstellen & Datenflüsse
- Systemliste (ERP, FiBu, DMS, E-Mail/Archiv, Exportformate)
- Schnittstellen inkl. Prüfsummen/Protokolle
5 Belegwesen & Aufbewahrung
- Erfassung, Indexierung/Metadaten, Versionierung
- Unveränderbarkeit (technisch/organisatorisch), Aufbewahrungsfristen
6 Datensicherung & Notfall
- Backup-Strategie (RPO/RTO), Testprotokolle, Wiederanlauf
7 Änderungskontrolle (Change-Management)
- Planung, Test, Freigabe, Dokumentation, Rückfallstrategie
8 Interne Kontrollen & Self-Checks
- Turnus, Prüflisten, Abweichungsbehandlung, Maßnahmenjournal
Anhänge: Prozessdiagramme, Belegfluss, Export-/Schnittstellenbeschreibungen, Protokolle
#todo FIBU
Aufbewahrungsfristen (HGB/AO)
Aufbewahrungsfristen (Überblick)
| Dokumentart | Frist | Start Fristlauf | Ablageort/System |
|---|---|---|---|
| Bücher, Inventare, Jahresabschlüsse | 10 Jahre | Jahresende | {{DMS/Archiv}} |
| Buchungsbelege | 10 Jahre | Jahresende | {{DMS/Archiv}} |
| Geschäfts-/Handelsbriefe (empfangen/versandt) | 6 Jahre | Jahresende | {{DMS/Archiv}} |
Technische Umsetzung: Sperr- und Löschfristen in DMS/Archiv, Nachweis über Löschprotokolle.
Verweis: Löschkonzept (DIN 66398) & GoBD-Verfahrensdoku.
BSI IT‑Grundschutz – Basis-Absicherung (WiBA)
BSI IT‑Grundschutz – Basis-Absicherung (WiBA)
Scope: Nicht‑KRITIS, KMU‑geeigneter Einstieg.
Vorgehen (Kurz): Schutzbedarf → Basis‑Absicherung → Maßnahmenpriorisierung → Umsetzung → Wirksamkeitsprüfung → kontinuierliche Verbesserung.
Dieses Kapitel verlinkt auf: Policy IS, TOMs, Notfallmanagement, Patch/SIEM, Awareness.