Madlen Vogt, Autor bei IT-Systemhaus Chemnitz – Wir machen IT einfach!

Rechnungsstellung in Word oder Excel? Besser nicht!

by Madlen Vogt13. September 202327. Februar 2024

Besonders in kleinen Betrieben ist es nach wie vor gängige Praxis, Rechnungen in Word und Excel zu erstellen und diese dann auf dem Server in einem Dateipfad zu sichern.

Wir möchten heute kurz erklären, warum das problematisch ist und wie es besser gemacht werden kann.

GoBD – Gesetzliche Anforderungen kennen und umsetzen

Die Abkürzung GoBD steht für “Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“. Sie deckt zahlreiche Aspekte rund um die Buchführung ab.

Einen genauen Überblick über die Inhalte der GoBD erhalten Sie in unserem Beitrag “Gesetzliche Anforderungen an die IT“.

Die GoBD sagen unter anderem aus, dass Belege revisionssicher abzulegen sind. Werden Rechnungen jedoch in Word oder Excel erstellt, kann im Grunde jeder diese ändern oder überschreiben. Auch PDFs, die daraus generiert und elektronisch versendet wurden, sind davon betroffen.

“Wie kann das sein?”, werden wir oft gefragt. “PDFs lassen sich doch gar nicht ohne weiteres ändern.”

Hier also unsere Antwort: Wird eine PDF-Rechnung aus einer Word oder Excel erstellt und per Mail versendet, kann diese nachträglich verändert werden. Entweder wird das ursprüngliche Dokument überarbeitet und als PDF unter gleichem Namen erneut abgespeichert oder aber es wird eine Software genutzt, welche direkt Änderungen in der Rechnung vornimmt. In beiden Fällen lässt sich der Überarbeitungsverlauf unter Umständen nicht mehr transparent nachvollziehen, weshalb Finanzprüfer besonderes Augenmerk darauf legen.

Unsere Empfehlung

Wir raten daher von der Rechnungsstellung in Word und Excel ab und empfehlen den Einsatz einer Software zur Buchhaltung, die GoBD-konform arbeitet.

Sollten Rechnungen – egal ob in Office oder einem anderen Programm erstellt – per Mail versendet werden, muss zudem ein DMS (Dokumententenmanagementsystem) zum Einsatz kommen, um die Überarbeitungshistorie abbilden zu können.

Ist dies nicht erwünscht, so sollten zumindest die wichtigsten Prozessschritte bei der Rechnungsstellung hinsichtlich Ihrer GoBD-Konformität angepasst und in einer entsprechenden Verfahrensdokumentation festgehalten werden. Auch ein Archivierungssystem ist dann notwendig, um den Versionsverlauf nachvollziehbar zu gestalten.

Sie haben Fragen zu den GoBD oder benötigen Unterstützung bei der systemseitigen Aufsetzen Ihrer Prozesse? Wir stehen Ihnen gern zur Verfügung!

Wichtige Datenschutzinformationen für Ihr Unternehmen

by Madlen Vogt27. Oktober 202128. Juli 2023

Technische und organisatorische Maßnahmen

Die Datenschutzgrundverordnung (DSGVO) fordert im Artikel 32 von allen Verantwortlichen den Einsatz von technischen und organisatorischen Maßnahmen (TOM), mit denen ein Schutzniveau gewährleistet wird, das dem Risiko für die Rechte und Freiheiten natürlicher Personen angemessenen ist.

Diese TOM sollen zur Gewährleistung der Sicherheit insbesondere die Risiken berücksichtigen, die sich, bezogen auf beteiligte IT-Systeme, Dienste und Fachprozesse, aus einer potenziellen Verletzung der Verfügbarkeit, Vertraulichkeit und Integrität personenbezogener Daten ergeben könnten.

Da die DSGVO aber technikneutral formuliert wurde, finden sich darin leider keine konkreten Maßnahmen, mit der ein Verantwortlicher Schritt für Schritt alle Vorgaben abarbeiten könnte. Stattdessen überlässt es die DSGVO jedem selbst die richtigen Maßnahmen auszuwählen und diese umzusetzen.

Nur was sind technische und organisatorische Maßnahmen im Detail, wie sollten diese eingesetzt werden und wie kann man prüfen, ob die Sicherheit der Verarbeitung nach Artikel 32 DSGVO gewährleistet und ein angemessenes Schutzniveau erreicht ist?

Um Sie genau bei diesen Fragen zu unterstützen, habe wir mit unserer Datenschutzzeitung eine Best Practice Checkliste zusammengetragen, mit der auch Sie Ihr Schutzniveau prüfen und verbessern können. Neben den Themen Archivierung und Awareness der Mitarbeiter:innen – die wir bereits in unserem Beitrag kurz beschreiben – erhalten Sie einen umfassenden ersten Einblick zum Thema technische und organisatorische Maßnahmen.

Archivierung

Archivdaten werden zwar für die tägliche Arbeit nicht mehr benötigt, müssen aber mitunter aufgrund gesetzlicher Aufbewahrungsfristen eine bestimmte Zeit lang weiterhin aufbewahrt werden. Eine Absicherung der enthaltenen personenbezogenen Daten ist daher auch dann zu gewährleisten. Hier bietet zum Beispiel ein Dokumentenmanagement eine elegante Lösung Prozesse im Unternehmen zu optimieren und gleichzeitig die Archivierung rechtskonform zu gestalten.

Awareness der Mitarbeiter:innen

Beschäftige stehen mittlerweile verstärkt im Fokus von Cyberattacken. Zum Beispiel sollen sie mittels raffiniertem Social Engineering dazu verleitet werden, sicherheitskritische Aktionen auszuführen. Mitarbeiter:innen müssen daher gerade in Sicherheitsfragen stetig geschult und sensibilisiert werden, um solche Angriffe schon im Vorfeld zu vereiteln.

Lesen Sie hier die aktuelle Ausgabe unserer Datenschutzzeitung mit Best Practice Checklisten auf Basis des Artikel 32 DSGVO.

Datenschutzzeitung Oktober 2021 Herunterladen

Sollten Sie darüber hinaus weitere Informationen benötigen oder eine ausführliche Beratung zum Thema Datenschutz im Allgemeinen wünschen, stehen wir Ihnen jederzeit sehr gerne zur Verfügung.

Informationspflichten für Unternehmen

by Madlen Vogt26. Mai 20218. Oktober 2021

Sei es bei der Erstellung eines Angebotes, beim Abschluss eines Vertrages oder einem simplen Besuch einer Internetseite. In unserer digitalen Welt werden immer schneller und immer mehr Daten erhoben, wobei sich Betroffene dessen oft gar nicht bewusst sind.

Um hier eine größere Transparenz zu schaffen, beziehungsweise die Datenschutzrechte von Betroffenen zu stärken, trat 2018 die Datenschutzgrundverordnung (DSGVO) in Kraft, in der unter anderem auch die Informationsrechte von Betroffenen geregelt sind und bestimmt wird, wer für die Erhebung und Verarbeitung personenbezogener Daten verantwortlich ist.

Unternehmen und deren verantwortliche Stellen sollten sich hierbei den Artikel 13 der Datenschutzgrundverordnung (DSGVO) ganz besonders gut ansehen, weil Informationsrechte für Betroffene gleichbedeutend mit Informationspflichten für Unternehmen sind.

Aber genau diese Informationspflichten für Unternehmen werfen viele Fragen auf:

Wer muss mit welcher Frist informiert werden?
Welche Daten müssen bereitgestellt werden?
Wie und in welcher Form müssen die Daten übermittelt werden?
Gibt es eine Nachweispflicht?
u. v. m.

Wer muss informiert werden?

Jedes Unternehmen ist laut Datenschutzgrundverordnung (DSGVO) verpflichtet, potentiell betroffenen Personen Auskunft zu erteilen:

Jeder Betroffene sollte zu jeder Zeit wissen,
ob und wenn ja, welche Daten von ihm erhoben
und gespeichert werden. Auch der Zweck der
Verarbeitung sollte dem Betroffenen bekannt sein.

Alle Unternehmen sollten somit für verschiedene Personenkreise jeweils ein spezielles Dokument erstellen, das den Anforderungen der Datenschutzgrundverordnung gerecht wird und welches bei einem Erstkontakt oder auf Nachfrage sofort an potentiell betroffene Personen ausgehändigt werden kann.

Mögliche Empfänger könnten unter anderem sein:

Kunden und Interessenten
Lieferanten
Mitarbeiterinnen und Mitarbeiter
Bewerberinnen und Bewerber
Besucherinnen und Besucher deren personenbezogene
Daten, z. B. zur Kontaktverfolgung während
einer Pandemie, festgehalten werden
…

Für die Erstellung dieser Dokumente sollte man sich Zeit nehmen. Zum einen, weil eine transparente Herangehensweise Vertrauen in der Zusammenarbeit schafft, zum anderen aber auch, weil bei Nichteinhaltung der Vorgaben schnell empfindliche Bußgelder drohen.

Welche Informationen müssen übermittelt werden?

Ein Dokument zur Erfüllung der Informationspflichten laut DSGVO sollte folgende Themenschwerpunkte berücksichtigen und ausformuliert für jeden Betroffenen transparent und verständlich darstellen:

Definition des potentiell betroffenen Personenkreises
Benennung des verantwortlichen Unternehmens
Benennung der zu Grunde liegenden Rechtsnormen
Optional der aktuelle Versionsstand (Empfehlung)
Eine einfache und verständliche Einleitung
Benennung des Verantwortlichen
- Kontaktdaten (Firmendaten)
- Vertreter der verantwortlichen Stelle
- (Geschäftsführer/in, Vorstand, …)
- Benennung des Datenschutzbeauftragten, falls vorhanden
Art, Zweck und Rechtsgrundlagen der Verarbeitung
Allgemeine Grundlagen zur Verarbeitung
Beschreibung der personenbezogenen Daten oder Daten-Kategorien
Beschreibung möglicher Datenquellen (z. B. wenn die Daten nicht direkt erhoben werden)
Wer Empfänger der pers. Daten sein kann?
Werden personenbezogene Daten ins nicht
europäische Ausland übermittelt?
Wie lange werden die Daten gespeichert, bzw. auf welcher Rechtsgrundlage müssen die Daten vorgehalten werden?
Benennung der Datenschutzrechte für Betroffene
Beschwerderecht bei der zuständigen Aufsichtsbehörde (inkl. Kontaktdaten der Behörde)
Müssen pers. Daten bereitgestellt werden?
Werden Tools zur automatischen Entscheidungsfindung eingesetzt?

Wann sollten die Daten weitergegeben werden?

Die Frist, in der potentiell Betroffene über die Erhebung und Verarbeitung von pers. Daten informiert werden müssen, beträgt maximal einen Monat.

Falls ein direkter Kontakt zum Betroffenen besteht, z. B. beim Abschluss eines Vertrages, sollte die Übermittlung der Datenschutzinformationen am besten direkt erfolgen, z. B. durch eine Erweiterung des Vertrages, bzw. der Auftragsbestätigung. Falls dies nicht möglich ist, wäre eine fristgerechte Übermittlung per E-Mail zu empfehlen. So wäre auch die Nachweispflicht der Übermittlung zu 100% gegeben.

Übermittlung der Informationen

Um den Informationspflichten nachzukommen, empfehlen wir u. a. folgende Strategien anzuwenden:

Erweiterung der Angebots-, Bestell-, Bestätigungs- und Vertragsunterlagen
Erweiterung der E-Mail Signatur
Herausgabe von Unterlagen für Bewerber/innen
Erweiterung der Arbeitsverträge
Direkter Aushang der Datenschutzinformationen im Verkaufsraum, in der Praxis, im Sportstudio, im Hotel, in der Gaststätte, …
Als Handreichung am Empfang (z. B. als Info-Flyer)
Auf der Internetseite, u. v. m.

Wir helfen sehr gerne!

Falls auch Sie Dokumente zur Erfüllung der DSGVO erstellen möchten, unterstützen wir Sie sehr gerne. Profitieren Sie von unserem Know-how und von vielen Checklisten und Mustervorlagen, die wir gemeinsam mit Ihnen schnell und einfach an Ihre individuellen Anforderungen anpassen können!

Ihre Ansprechpartnerin (Dasax GmbH)