th share video content contact download event event-wifi cross checkmark close icon-window-edit icon-file-download icon-phone xing whatsapp wko-zahlen-daten-fakten wko-wirtschaftrecht-und-gewerberecht wko-verkehr-und-betriebsstandort wko-unternehmensfuehrung wko-umwelt-und-energie wko-steuern netzwerk wko-innovation-und-technologie wko-gruendung-und-nachfolge wko-bildung-und-lehre wko-aussenwirtschaft wko-arbeitsrecht-und-sozialrecht twitter search print pdf mail linkedin Google-plus facebook pinterest skype vimeo snapchat arrow-up arrow-right arrow-left arrow-down calendar user home icon-gallery icon-flickr icon-youtube icon-instagram

Datenschutzregeln für Bilanzbuchhaltungsberufe (Rechnungswesenberufe)

Verhaltensregeln gemäß Artikel 40Datenschutz-Grundverordnung

Die konkrete Umsetzung der europäischen Datenschutz-Grundverordnung (DSGVO) ist bis heute für viele Unternehmen mit offenen Fragen verbunden. Der Fachverband Unternehmensberatung, Buchhaltung und IT (UBIT) hat diesbezüglich Fragen der Rechnungswesenberufe gesammelt und sich von der österreichischen Datenschutzbehörde bestätigen lassen. Folgende „Häufig gestellte Fragen“ (FAQ) fassen diese zusammen und unterstützen die Rechnungswesenberufe so bei der Einhaltung der DSGVO.

Hier finden Sie die DSGVO-Verhaltensregeln für Bilanzbuchhaltungsberufe zum Download.

Anmerkung: In diesen FAQ werden Bilanzbuchhalter, Buchhalter und Personalverrechner gemeinsam als „Berufsberechtigte“ bezeichnet.

1. Ich bin als Berufsberechtigter tätig und mein Unternehmen hat sich bereits mit der Thematik beschäftigt und bin davon ausgegangen, dass mein Betrieb DSGVO-konform arbeitet. Betrifft mich diese Neuerung dann überhaupt?

2. Bis jetzt bin ich immer davon ausgegangen, dass ich Auftragsverarbeiter bin. Diese Ansicht haben auch die Wirtschaftskammerorganisationen bis jetzt vertreten. Warum ist das nun anders?

3. Und warum gibt es nun diese Verhaltensregeln?

4. Ich bin also gemäß DSGVO als Verantwortlicher einzustufen. Was bedeutet das konkret? Welche Änderungen bringt das im Unterschied zu meiner bisherigen Rolle als Auftragsverarbeiter?

5. Sind die neuen Verhaltensregeln nun automatisch auf mich anwendbar? Wie ist es, wenn ich zwar keine formelle Anwendungserklärung gemäß § 8 der Verhaltensregeln abgebe, die neuen Datenschutzregeln aber inhaltlich einhalte?

6. Was ist das für eine „Überwachungsstelle“, die die Einhaltung der Verhaltensregeln kontrolliert? Was ist der Vorteil, wenn ein Beschwerdeverfahren vor der Überwachungsstelle geführt wird?

7. Muss ich den Verhaltensregeln beitreten, damit sie für mein Unternehmen gelten?

8. Als Verantwortlicher bin ich selbst für die Festlegung der Speicherfristen verantwortlich. Welche konkreten Zeiträume sind hier laut Gesetz oder Verhaltensregeln zulässig?

9. Welche Sicherheitsvorkehrungen habe ich bei der Datenspeicherung zu beachten? Wie sieht es mit Backup-Speicherung aus?

10. Reicht es zur Einhaltung der Speicherfristen auch aus, wenn ich Daten anonymisiere?

1. Ich bin als Berufsberechtigter tätig und mein Unternehmen hat sich bereits mit der Thematik beschäftigt und bin davon ausgegangen, dass mein Betrieb DSGVO-konform arbeitet. Betrifft mich diese Neuerung dann überhaupt?

Ja. Gerade die Berufsberechtigten waren bei ihrer konkreten DSGVO-Umsetzung mit vielen offenen Fragen konfrontiert.

Ein zentraler Punkt war etwa die Vorfrage nach der datenschutzrechtlichen Rollenverteilung: bin ich „Verantwortlicher“ oder „Auftragsverarbeiter“.

Daran sind je nach Beantwortung viele unterschiedliche Folgefragen geknüpft.

Die Datenschutzbehörde hat nun Klarheit geschaffen und bestätigt, dass Berufsberechtigte bei Datenverarbeitungen gemäß Bilanzbuchhaltungsgesetz (BiBuG) als Verantwortliche einzustufen sind.

2. Bis jetzt bin ich immer davon ausgegangen, dass ich Auftragsverarbeiter bin. Diese Ansicht haben auch die Wirtschaftskammerorganisationen bis jetzt vertreten. Warum ist das nun anders?

Aufgrund eines Bescheids der Datenschutzbehörde aus dem Jahr 2005 war bisher davon auszugehen, dass Rechnungswesenberufe wohl gemäß DSGVO als Auftragsverarbeiter einzustufen sind.

In einer Entscheidung aus 2018 hat die Behörde nun bezüglich Steuerberatern entschieden, dass diese als Verantwortliche zu qualifizieren sind, sofern sie mit der Durchführung der Personalverrechnung beauftragt sind.

Begründet wurde dies unter anderem mit dem Umstand, dass Steuerberater gesetzlich verpflichtet sind, ihren Beruf „eigenverantwortlich“ auszuüben (siehe § 71 Wirtschaftstreuhandberufsgesetz).

Da die Rechnungswesenberufe aber gemäß § 33 BiBuG auf dieselbe Weise zur eigenverantwortlichen Berufsausübung verpflichtet sind, lag nahe, dass diese nach Ansicht der Behörde ebenfalls gemäß DSGVO als Verantwortliche einzustufen sein werden.

3. Und warum gibt es nun diese Verhaltensregeln?

Um diese (und weitere) Fragen zu klären, hat der Fachverband UBIT datenschutzrechtliche „Verhaltensregeln“ für Rechnungswesenberufe erstellt und der Behörde zur Prüfung vorgelegt.

Die Rechtsgrundlage dafür bildete Artikel 40 DSGVO, der Branchenverbänden die Möglichkeit gibt, auf diese Weise strittige Datenschutzfragen zu klären.

4. Ich bin also gemäß DSGVO als Verantwortlicher einzustufen. Was bedeutet das konkret? Welche Änderungen bringt das im Unterschied zu meiner bisherigen Rolle als Auftragsverarbeiter?

Die Rolle als Verantwortlicher unterscheidet sich in einigen Punkten wesentlich von der des Auftragsverarbeiters. Hier finden sie unseren Leitfaden zur EU-Datenschutz-Grundverordnung (DSGVO) für ihre Pflichten als Verantwortlicher. Die wichtigsten Fragen, die mit der Änderung verbunden sind, wurden der Datenschutzbehörde vorgelegt und beantwortet:

a. Rechtsgrundlage

Grundsätzlich dürfen personenbezogene Daten nur verarbeitet werden, wenn dies auf eine Rechtsgrundlage gestützt wird (z.B. auf eine Einwilligung des Betroffenen). Besonders „sensible“ Daten benötigen dafür eine Rechtsgrundlage gemäß Artikel 9 DSGVO (z.B. Gesundheitsdaten, Religionsdaten, etc.). Die Verarbeitung sonstiger allgemeiner Daten muss auf eine Rechtsgrundlage gemäß Artikel 6 DSGVO gestützt werden.

Für Auftragsverarbeiter gilt: Für die Weitergabe von Daten von einem Verantwortlichen an einen Auftragsverarbeiter braucht es regelmäßig keine weitere Rechtsgrundlage. Es reicht also die Rechtsgrundlage, auf die der Verantwortliche die Datenverarbeitung selbst stützt (z.B. die Einwilligung, die ein Betroffener dem Verantwortlichen erteilt hat).

Auf welche Rechtsgrundlage können Sie als Verantwortlicher Ihre Datenverarbeitungen nun also stützen? Hier sind folgende Fälle zu unterscheiden:

  • Bei Vertragsverhältnissen mit einem Auftraggeber, der dabei jeweils selbst die datenschutzrechtlich betroffene Person ist (z.B. Vertrag mit einem Arbeitnehmer selbst über dessen eigene Arbeitnehmerveranlagung): Hinsichtlich „sensibler“ Daten benötigen Sie hier in der Regel eine Einwilligung der betroffenen Person. Sonstige Daten dürfen auch ohne Einwilligung des Betroffenen verarbeitet werden, z.B. wenn dies zur Erfüllung eines Vertrags notwendig ist (z.B. zur Durchführung der Arbeitnehmerveranlagung). Hier finden Sie nähere Informationen und eine entsprechende Muster-Datenschutzinformation und -Einwilligungserklärung.
  • Bei Vertragsverhältnissen mit einem Auftraggeber, bei denen die datenschutzrechtlich betroffenen Personen selbst nicht Vertragsparteien sind (z.B. die Durchführung einer Personalverrechnung für ein Unternehmen: die ArbeitnehmerInnen sind zwar von der Datenverarbeitung betroffen, aber selbst nicht Vertragspartei): Hinsichtlich „sensibler“ Daten benötigen Sie in der Regel keine Einwilligung, sondern können die Datenverarbeitung auf ein „erhebliches öffentliches Interesse“ stützen (Artikel 9 Abs. 2 lit g DSGVO). Hinsichtlich sonstiger Daten benötigen Sie in der Regel ebenfalls keine Einwilligung, sondern können die Datenverarbeitung auf „berechtigte Interessen“ stützen (Artikel 6 Abs. 1 lit f DSGVO). Nähere Informationen hierzu, insbesondere auch zu den vorzunehmenden Interessenabwägungen, finden Sie in den DSGVO-Verhaltensregeln für Bilanzbuchhaltungsberufe.
Hinweis: Es handelt sich hierbei um unverbindliche rechtliche Empfehlungen. Diese entbinden Sie nicht von Ihrer Pflicht gemäß DSGVO, die jeweilige Rechtsgrundlage im Einzelfall, erforderlichenfalls anhand einer konkreten Interessenabwägung zu bestimmen.
Hinweis: Bilanzbuchhalter, Buchhalter und Personalverrechner verarbeiten z.B. folgende sensible Daten: Daten zur Gesundheit bei der Erfassung von Krankheitstagen, Daten zur Entgeltfortzahlung oder Daten zu religiösen oder weltanschaulichen Überzeugungen bei der Erfassung von Feiertagen oder Kantinenrücksichtnahmen. Weitere Informationen zu sensiblen Daten finden Sie auf der Website der WKO

b. Informationspflichten 

Als Verantwortlicher sind Sie grundsätzlich dazu verpflichtet, die Betroffenen im Voraus über die Details Ihrer Datenverarbeitungen zu informieren (siehe Artikel 13 und 14 DSGVO).

Da die Erfüllung dieser Informationspflicht für viele Berufsberechtigen aber oftmals mit einem unverhältnismäßigen Aufwand verbunden wäre (Sie müssten gegebenenfalls jeweils alle Arbeitnehmer, Lieferanten und Geschäftspartner sämtlicher Ihrer Kunden informieren), sind die Berufsberechtigten regelmäßig von dieser Informationspflicht befreit (siehe Artikel 14 Abs. 5 lit b DSGVO). Weitere Informationen hierzu finden Sie unter § 7 der Verhaltensregeln sowie auf der Webseite der WKO.

Hinweis: Ihre Kunden selbst werden dabei nicht von ihrer eigenen Informationspflicht befreit, die sie gegebenenfalls gegenüber den Betroffenen erbringen müssen! In diesem Rahmen sind die Betroffenen auch über Ihr Unternehmen (also den Berufsberechtigten!) als Empfänger gem. Artikel 13 Abs. 1 lit e DSGVO zu informieren.

c. Vereinbarung über eine Auftragsverarbeitung

Würden Berufsberechtigte Daten als Auftragsverarbeiter verarbeiten, wären sie unter anderem zum Abschluss einer Auftragsverarbeitungsvereinbarung gemäß Artikel 28 DSGVO verpflichtet. In der Rolle als Verantwortlicher fällt diese Pflicht für die Berufsberechtigten jedoch weg. Weitere Informationen hierzu finden Sie auf der Webseite der WKO.

d. Verarbeitungsverzeichnis für Verantwortliche

Berufsberechtigte sind als Verantwortliche zur Führung eines Verarbeitungsverzeichnisses für Verantwortliche gemäß Artikel 30 Abs. 1 DSGVO verpflichtet. Dieses Verzeichnis ist etwas anders als das eines Auftragsverarbeiters gemäß Artikel 30 Abs. 2 DSGVO aufgebaut. Alle Informationen hierzu finden Sie auf der Webseite der WKO.

5. Sind die neuen Verhaltensregeln nun automatisch auf mich anwendbar? Wie ist es, wenn ich zwar keine formelle Anwendungserklärung gemäß § 8 der Verhaltensregeln abgebe, die neuen Datenschutzregeln aber inhaltlich einhalte?

Grundsätzlich ist es so, dass die Verhaltensregeln nur dann unmittelbar anwendbar sind, wenn ein Berufsberechtigter gemäß § 8 der Verhaltensregeln formell erklärt, diese bei der Verarbeitung personenbezogener Daten im Rahmen ihres Rechnungswesenberufs einzuhalten.

Davon abgesehen sprechen aber gute Gründe dafür, dass die Datenschutzbehörde zwei idente Handlungen von zwei Unternehmen inhaltlich nicht unterschiedlich bewerten wird, nur weil das eine Unternehmen eine formelle Anwendungserklärung abgegeben hat und das andere nicht. Die Verhaltensregeln schaffen streng genommen nämlich kein neues Recht, sondern „präzisieren“ nur das allgemein geltende Datenschutzrecht für eine bestimmte Branche.
Der Fachverband UBIT empfiehlt den Berufsberechtigten daher eindringlich, die Inhalte der Verhaltensregeln umzusetzen, unabhängig davon, ob man eine formelle Anwendungserklärung abgibt oder nicht.

Ein Unterschied ist, dass das Beschwerdeverfahren der „Überwachungsstelle“ gemäß § 11 der Verhaltensregeln ausschließlich jenen Berufsberechtigten offensteht, die sich den Verhaltensregeln formell unterwerfen und in dem konstitutiven Register gemäß § 8 Abs. 5 der Verhaltensregeln eingetragen sind.

6. Was ist das für eine „Überwachungsstelle“, die die Einhaltung der Verhaltensregeln kontrolliert? Was ist der Vorteil, wenn ein Beschwerdeverfahren vor der Überwachungsstelle geführt wird?

Die Überwachungsstelle ist eine von der Datenschutzbehörde und dem Fachverband UBIT unabhängige externe Stelle, die für die Überwachung der Einhaltung der Verhaltensregeln zuständig ist. Die entscheidungsbefugten Personen innerhalb dieser Überwachungsstelle haben sowohl datenschutzrechtliches als auch branchenspezifisches Fachwissen aufzuweisen.

Personen, deren personenbezogene Daten von einem Berufsberechtigten verarbeitet werden, können bei der Überwachungsstelle Beschwerde erheben, wenn sie der Meinung sind, dass ein Berufsberechtigter gegen die Bestimmungen der Verhaltensregeln verstößt. Die Überwachungsstelle wird aber auch von sich aus tätig und überprüft periodisch die Anwendung der Verhaltensregeln durch die Berufsberechtigten.

Der Vorteil ist, dass die Überwachungsstelle dabei keine Geldstrafen verhängen kann. Stattdessen kann sie bei Verstößen z.B. Auflagen erteilen, Anweisungen geben oder – im Falle der Wiederholung oder bei schwerwiegenden Verstößen – den Ausschluss von den Verhaltensregeln beschließen. Nähere Informationen hierzu finden Sie unter § 11 Abs. 6 der Verhaltensregeln.

Das Beschwerdeverfahren gemäß § 11 betrifft nur Verstöße gegen die Verhaltensregeln. Daneben haben Betroffene aber jederzeit auch das unmittelbare Recht, Beschwerde direkt bei der Datenschutzbehörde einzubringen (und zwar sowohl wegen Verstößen gegen die Verhaltensregeln als auch wegen sonstigen Beschwerden).

Nähere Informationen zur Überwachungsstelle und zum Beschwerdeverfahren finden Sie unter § 10 und § 11 der Verhaltensregeln.

Wichtiger Hinweis! Zur Anwendbarkeit der Verhaltensregeln ist es erforderlich, dass sich eine Überwachungsstelle zuerst erfolgreich bei der Datenschutzbehörde akkreditiert. Dieser Akkreditierungsprozess ist derzeit noch nicht abgeschlossen, weshalb Berufsberechtigte zum gegenwärtigen Zeitpunkt noch keine formelle Anwendungserklärung gemäß § 8 der Verhaltensregeln abgeben können.

7. Muss ich den Verhaltensregeln beitreten, damit sie für mein Unternehmen gelten?

Kurz gesagt: ja. Wie bereits aber unter Frage 5) ausgeführt, empfiehlt der Fachverband UBIT eindringlich bereits jetzt, die Inhalte der Verhaltensregeln - unabhängig vom Beitritt - umzusetzen. Diese sind von der Behörde bestätigt und bieten somit eine gute Basis für ein rechtssicheres Arbeiten!

8. Als Verantwortlicher bin ich selbst für die Festlegung der Speicherfristen verantwortlich. Welche konkreten Zeiträume sind hier laut Gesetz oder Verhaltensregeln zulässig?

Gemäß dem Grundsatz der „Datenminimierung“ müssen Datenverarbeitungen auf jenes Maß eingeschränkt werden, das für die Erfüllung des jeweiligen Zwecks erforderlich ist (siehe Artikel 5 Abs. 1 lit c DSGVO). Das bedeutet, dass die Verarbeitung und Speicherung von Daten nur so lange und in dem Umfang erlaubt ist, wie es unbedingt erforderlich ist.

Im konkreten Fall müssen Berufsberechtige die Speicherdauer in Entsprechung des Datenminimierungsgrundsatzes eigenständig und eigenverantwortlich festlegen. Regelmäßig sind die Berufsberechtigten, die von Unternehmen mit der Bearbeitung und Aufbewahrung von Dokumenten beauftragt werden, in Erfüllung ihres Mandats zur eigenverantwortlichen Verarbeitung und Speicherung von Daten verpflichtet, wie beispielsweise:

  • gem. § 52c BiBuG für eine Dauer von 5 Jahren, sofern andere Vorschriften keine längere Aufbewahrungsfrist erfordern,
  • gem. § 132 BAO für eine Dauer von 7 Jahren, wobei die Frist mit Ablauf des Kalenderjahres zu laufen beginnt,
  • gem. § 207 BAO für eine Dauer von 10 Jahren, wobei die Frist mit Ablauf des Kalenderjahres beginnt, in dem die Abgabenverkürzung geendet hat (gem. § 209 BAO verlängert sich diese Verjährungsfrist, wenn nach außen erkennbare Amtshandlungen zur Geltendmachung des Abgabenanspruches oder zur Feststellung des Abgabepflichtigen unternommen werden, um deren Dauer),
  • gem. § 11 Abs. 2 letzter Satz UStG für eine Dauer von 7 Jahren,
  • gem. § 18 Abs. 10 UStG für eine Dauer von 22 Jahren,
  • gem. § 212 UGB für eine Dauer von 7 Jahren, wobei die Frist mit Ablauf des Kalenderjahres zu laufen beginnt (davon umfasst sind auch „Geschäftsbriefe“, also etwa geschäftliche E-Mail-Korrespondenz),
  • gem. § 41a ASVG für die in der BAO normierten Aufbewahrungsfristen,
  • gem. GlBG für eine Dauer von 7 Monaten, die zur Abwehr von etwaigen Rechtsansprüchen wegen Diskriminierung erforderlich sind.

Darüber hinaus müssen Daten solange aufbewahrt werden, wie sie für ein drohendes oder anhängiges gerichtliches oder behördliches Verfahren, in dem der Unternehmer oder der Berufsberechtigte Parteistellung hat, von Bedeutung sind (z.B. bei einer Außenprüfung gem. §§ 147 ff BAO oder bei Beschwerdeverfahren gegen Bescheide gem. § 92 BAO).

Unzulässig sind pauschale, nicht näher begründete Aufbewahrungsdauern (wie z.B. „30 Jahre Speicherdauer gemäß allgemeiner Verjährungsfrist nach dem Allgemeinen Bürgerlichen Gesetzbuch“). Gewählte Speicherdauern müssen im Einzelfall durch einen konkreten Anspruch dargelegt werden können. Weitere Informationen zu Speicherfristen finden Sie im COC und auf der Webseite der WKO.

9. Welche Sicherheitsvorkehrungen habe ich bei der Datenspeicherung zu beachten? Wie sieht es mit Backup-Speicherung aus?

Um die Verfügbarkeit von Systemen, Diensten und personenbezogenen Daten auch bei physischen oder technischen Zwischenfällen zu gewährleisten, müssen Berufsberechtigte regelmäßig Datensicherungen durchführen und ein Wiederherstellungskonzept definieren.

Insbesondere bei Sicherungen ist die Einhaltung zulässiger Speicherdauern regelmäßig mit erheblichen Schwierigkeiten verbunden, da eine nach Informationsinhalten differenzierte Löschung von Datensätzen in den Sicherungen oftmals mit großem organisatorischen und technischen Aufwand verbunden ist.

Löschungen von automationsunterstützt verarbeiteten personenbezogenen Daten müssen dementsprechend gem. § 4 Abs. 2 Datenschutzgesetz (DSG) nicht unverzüglich vorgenommen werden, wenn sie aus wirtschaftlichen oder technischen Gründen nur zu bestimmten Zeitpunkten vorgenommen werden können.

Die Verarbeitung der so über die eigentlich zulässige Speicherdauer hinaus erfassten Daten muss dabei jedoch mit Wirkung nach Artikel 18 Abs. 2 DSGVO eingeschränkt werden.

10. Reicht es zur Einhaltung der Speicherfristen auch aus, wenn ich Daten anonymisiere?

Mit Ablauf der zulässigen Speicherdauer sind betroffene Datenverarbeitungen einzustellen und gespeicherte Daten zum technisch nächstmöglichen Zeitpunkt zu löschen. Als gelöscht gelten auch solche Daten, die durch Entfernung des Personenbezugs anonymisiert wurden.

Festzuhalten ist, dass personenbezogene Daten grundsätzlich nur dann als anonymisiert gelten, wenn der Personenbezug tatsächlich nicht mehr wiederhergestellt werden kann. Da aber selten gänzlich ausschließbar ist, dass Daten denkunmöglich jemals wieder der entsprechenden Person zugeordnet werden können, reicht es für eine Anonymisierung (und damit für die Einhaltung einer Speicherbegrenzung) aus, wenn die Rekonstruktion des Personenbezugs nur mit unverhältnismäßigem Aufwand möglich wäre.