# Rechtliche Grundlagen # DSGVO – Überblick # DSGVO – Überblick **Geltungsbereich:** Gesamtes Unternehmen inkl. mobiler Arbeit **Rollen:** Verantwortlicher (GF), Datenschutzkoordination, IT-Leitung, Fachbereiche **Schwerpunkte:** Verzeichnis von Verarbeitungstätigkeiten (Art. 30), TOMs (Art. 32), AV-Verträge (Art. 28), Betroffenenrechte, Löschkonzept ## Verantwortlichkeiten - **Verantwortlicher:** {{Firma, GF}} - **Datenschutz-Kontakt:** {{E-Mail}} - **Datenschutzbeauftragter (falls Pflicht/benannt):** {{intern/extern, Name, Kontakt}} ## Nachweise in dieser Doku - VVT (Prozesse), TOMs, AV-Vertragsspiegel, DSFA (falls erforderlich-Für Spiegelblank nicht erforderlich) - Was ist ein AV-Vertragsspiegel? Der AV-Vertragsspiegel ist kein rechtliches Musterdokument, sondern ein Organisationsinstrument: Eine zentrale, gepflegte Liste aller Dienstleister mit AV-Vertrag inkl. der wichtigsten Metadaten. Typisch ist das eine Tabelle (Excel, GLPI, DMS, BookStack, Confluence, …) mit Einträgen wie: Dienstleister/ System (z. B. „Microsoft 365“, „GLPI Cloud“, „Rechenzentrum X“) Rolle: Auftragsverarbeiter / gemeinsam Verantwortlicher / sonstiger Empfänger Verarbeitungszweck (z. B. E-Mail & Kollaboration, Ticketsystem, Backup, Hosting) Kategorien personenbezogener Daten (Mitarbeiterdaten, Kundendaten, IP-Adressen, Logdaten …) Kategorien Betroffener (Mitarbeiter, Kunden, Bewerber, Lieferanten …) Rechtsgrundlage (z. B. Art. 6 Abs. 1 lit. b, c, f DSGVO) AV-Vertrag vorhanden? (Ja/Nein, Datum des Abschlusses) Ablageort des AV-Vertrags (Pfad im DMS/SharePoint/Ordner) Auftragsverarbeiter-Sitz / Datenverarbeitung (EU/EWR, Drittland, Standardvertragsklauseln etc.) technische und organisatorische Maßnahmen (TOM) geprüft? (Ja/Nein, Datum) Datenschutz-Freigabe (z. B. „Freigegeben durch DSB am 15.08.2025“) Anmerkungen (z. B. „Enthält Gesundheitsdaten“, „Joint Controllership mit XY“, …) - Meldejournal Datenschutzvorfälle, Betroffenenrechte-Prozess, Löschkonzept > *Hinweis:* Dieses Dokument ist eine Arbeitsvorlage und ersetzt keine Rechtsberatung. # GoBD – Verfahrensdokumentation (Vorlage) # GoBD-Verfahrensdokumentation **Version:** 1.0 | **Owner:** Finanz/IT | **Letztes Review:** _TT.MM.JJJJ_ **Geltungsbereich:** Alle steuerrelevanten IT-gestützten Prozesse/Systeme ## 1 Zweck & Zielbild Sicherstellung von Nachvollziehbarkeit, Vollständigkeit, Richtigkeit, Zeitgerechtheit, Ordnung & Unveränderbarkeit. ## 2 Organisation & Verantwortlichkeiten - Rollen (Finanz, IT, Fachbereiche), Vertretungen, Schulungen - Berechtigungskonzept (rollenbasiert), Vier-Augen-Prinzip bei Änderungen ## 3 Steuerrelevante Prozesse - Eingangs-/Ausgangsrechnungen, Löhne/Gehälter, Kasse, Anlagenbuchhaltung, Reisekosten - Belegfluss (Scan, Erfassung, Prüfung, Freigabe, Archivierung) ## 4 IT-Systeme, Schnittstellen & Datenflüsse - Systemliste (ERP, FiBu, DMS, E-Mail/Archiv, Exportformate) - Schnittstellen inkl. Prüfsummen/Protokolle ## 5 Belegwesen & Aufbewahrung - Erfassung, Indexierung/Metadaten, Versionierung - Unveränderbarkeit (technisch/organisatorisch), Aufbewahrungsfristen ## 6 Datensicherung & Notfall - Backup-Strategie (RPO/RTO), Testprotokolle, Wiederanlauf ## 7 Änderungskontrolle (Change-Management) - Planung, Test, Freigabe, Dokumentation, Rückfallstrategie ## 8 Interne Kontrollen & Self-Checks - Turnus, Prüflisten, Abweichungsbehandlung, Maßnahmenjournal *Anhänge:* Prozessdiagramme, Belegfluss, Export-/Schnittstellenbeschreibungen, Protokolle ### #todo FIBU # Aufbewahrungsfristen (HGB/AO) # Aufbewahrungsfristen (Überblick) | Dokumentart | Frist | Start Fristlauf | Ablageort/System | |---|---|---|---| | Bücher, Inventare, Jahresabschlüsse | 10 Jahre | Jahresende | {{DMS/Archiv}} | | Buchungsbelege | 10 Jahre | Jahresende | {{DMS/Archiv}} | | Geschäfts-/Handelsbriefe (empfangen/versandt) | 6 Jahre | Jahresende | {{DMS/Archiv}} | **Technische Umsetzung:** Sperr- und Löschfristen in DMS/Archiv, Nachweis über Löschprotokolle. **Verweis:** Löschkonzept (DIN 66398) & GoBD-Verfahrensdoku. # BSI IT‑Grundschutz – Basis-Absicherung (WiBA) # BSI IT‑Grundschutz – Basis-Absicherung (WiBA) **Scope:** Nicht‑KRITIS, KMU‑geeigneter Einstieg. **Vorgehen (Kurz):** Schutzbedarf → Basis‑Absicherung → Maßnahmenpriorisierung → Umsetzung → Wirksamkeitsprüfung → kontinuierliche Verbesserung. **Dieses Kapitel verlinkt auf:** Policy IS, TOMs, Notfallmanagement, Patch/SIEM, Awareness.