Wer braucht eine Verfahrensdokumentation?

Eine Verfahrensdokumentation ist für kleine und mittlere Unternehmen (KMU) aus zwei wichtigen Perspektiven notwendig:

📚 1. Verfahrensdokumentation für die Buchhaltung (GoBD)

🔎 Hintergrund:

Die Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD) verlangen, dass die Abläufe in der Buchführung transparent und nachvollziehbar dokumentiert sind.

✅ Warum notwendig?

  • Nachvollziehbarkeit & Nachprüfbarkeit der Buchführung für das Finanzamt
  • Schutz bei Betriebsprüfungen – ohne Dokumentation kann die Ordnungsmäßigkeit angezweifelt werden
  • Vermeidung von Steuerrisiken – formale Mängel können zu Schätzungen führen
  • Erleichtert Outsourcing – z. B. für Steuerberater oder bei Personalwechsel

🔐 Inhalte:

  • Beschreibung der Systeme (z. B. Buchhaltungssoftware, Schnittstellen)
  • Prozesse (Belegerfassung, Freigabe, Archivierung)
  • Zugriffsrechte und Verantwortlichkeiten
  • Umgang mit Korrekturen, Sicherheitskopien, Archivierung

🔐 2. Verfahrensdokumentation nach DSGVO (Artikel 5, 24, 30 DSGVO)

🔎 Hintergrund:

Die Datenschutz-Grundverordnung (DSGVO) verlangt von Unternehmen den nachweisbaren und verantwortungsvollen Umgang mit personenbezogenen Daten.

✅ Warum notwendig?

  • Rechenschaftspflicht: Du musst nachweisen können, dass Du die DSGVO einhältst
  • Bußgeldvermeidung: Eine fehlende Dokumentation kann als Verstoß gewertet werden
  • Sicherheit und Vertrauen gegenüber Kund:innen, Mitarbeitenden und Partnern
  • Transparenz bei Datenschutzvorfällen oder Betroffenenanfragen

🔐 Inhalte:

  • Verzeichnis von Verarbeitungstätigkeiten (Artikel 30 DSGVO)
  • Beschreibung von technischen und organisatorischen Maßnahmen (TOMs)
  • Regelungen zur Datenspeicherung, -löschung und -sicherung
  • Prozesse für Betroffenenrechte (z. B. Auskunft, Löschung, Widerruf)
  • Zugriffs- und Berechtigungskonzepte

💡Für KMU ist die Verfahrensdokumentation keine bürokratische Pflichtübung, sondern ein wirksames Mittel zur:

  • Risikominimierung (Steuern, Datenschutz, Bußgelder)
  • Effizienzsteigerung (klare Prozesse, weniger Rückfragen)
  • Transparenz und Vertrauen gegenüber Behörden, Kunden, Partnern

🗂 Strukturvorlage: Kombinierte Verfahrensdokumentation (GoBD + DSGVO)

1. Allgemeine Angaben

  • Unternehmensname
  • Anschrift
  • Verantwortliche Person(en) für Buchhaltung und Datenschutz
  • Erstellungs- und Versionsdatum der Dokumentation
  • Ansprechpartner für Rückfragen (intern/extern)

2. Systemübersicht

  • Verwendete IT-Systeme (z. B. Buchhaltungssoftware, CRM, Cloud-Dienste)
  • Schnittstellen (z. B. Online-Banking, DATEV, Kassensysteme)
  • Externe Dienstleister (z. B. Steuerberater, Hosting, Cloud-Speicher)
  • Datenspeicherorte (lokal, Cloud, Drittstaaten)

3. Buchhaltungsprozesse (GoBD-relevant)

3.1. Belegfluss

  • Eingangs- und Ausgangsrechnungen
  • Digitale Belegverarbeitung (z. B. Scanprozesse)
  • Erfassungsregeln und Freigabeprozesse

3.2. Aufbewahrung & Archivierung

  • Digitale und physische Ablageorte
  • Archivierungsfristen nach HGB / AO
  • Unveränderbarkeit und Versionierung

3.3. Datenänderung und Protokollierung

  • Änderungsprotokolle, Korrekturen und Stornierungen
  • Zugriffsrechte und Rollen

3.4. Sicherung & Wiederherstellung

  • Backup-Zyklen und Aufbewahrungsorte
  • Test der Wiederherstellbarkeit

4. Datenschutzprozesse (DSGVO-relevant)

4.1. Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO)

  • Auflistung aller Prozesse mit personenbezogenen Daten (z. B. Personal, Kunden, Lieferanten)
  • Zwecke, Datenkategorien, Rechtsgrundlagen, Speicherdauer, Empfänger

4.2. Technische und organisatorische Maßnahmen (TOMs)

  • Zugangskontrollen (z. B. Passwörter, 2FA)
  • Zutrittskontrollen (z. B. abgeschlossene Räume)
  • Datenträgerkontrollen, Backup, Verschlüsselung

4.3. Betroffenenrechte

  • Prozesse für Auskunft, Berichtigung, Löschung, Widerspruch
  • Fristen und Zuständigkeiten

4.4. Datenschutzvorfälle

  • Meldepflicht an Aufsichtsbehörden (innerhalb von 72 h)
  • Dokumentation und interne Abläufe bei Vorfällen

5. Verantwortlichkeiten & Schulungen

  • Interne Datenschutz- und Buchhaltungsverantwortliche
  • Schulungen oder Einweisungen für Mitarbeitende
  • Regelmäßige Überprüfung und Aktualisierung der Dokumentation

6. Anlagen

  • Beispielhafte Screenshots oder Ablaufdiagramme
  • Verträge zur Auftragsverarbeitung (AVV)
  • Datenschutzfolgenabschätzungen (DSFA), falls notwendig
  • Datenschutzerklärung
  • Prüfprotokolle von Sicherungen

📌 Hinweise zur Anwendung:

  • Diese Dokumentation sollte mindestens jährlich überprüft und bei System- oder Prozessänderungen aktualisiert werden.
  • Für Steuerprüfungen oder Datenschutzprüfungen sollte die Dokumentation jederzeit abrufbar sein – digital oder ausgedruckt.
  • Verwende klare Sprache und praxisnahe Beschreibungen, kein Juristendeutsch nötig.

Grundsätzlich gilt: Weder die GoBD noch die DSGVO machen pauschale Ausnahmen für kleine Unternehmen.
Aber es gibt Erleichterungen für Kleinstunternehmen, insbesondere bei der DSGVO – weniger bei der GoBD.

📘 1. GoBD (Buchführungspflicht & Verfahrensdokumentation)

❗ Keine Ausnahme für kleine Betriebe:

Die GoBD gelten für alle buchführungspflichtigen Unternehmen, unabhängig von Größe oder Umsatz. Das bedeutet:

  • Auch Einzelunternehmer oder kleine GmbHs müssen eine GoBD-konforme Buchführung sicherstellen.
  • Eine Verfahrensdokumentation ist stets erforderlich, sobald elektronische Systeme zur Buchhaltung verwendet werden – und das ist fast immer der Fall (z. B. Lexoffice, DATEV, Excel, etc.).

ABER: Die Tiefe der Dokumentation kann sich an der Unternehmensgröße orientieren (Stichwort: Verhältnismäßigkeit). Ein Ein-Mann-Betrieb braucht keine 50-seitige Dokumentation – aber eine kurze, nachvollziehbare Beschreibung der Abläufe ist trotzdem notwendig.

🔐 2. DSGVO (Datenschutz & Dokumentationspflichten)

✅ Erleichterung für Kleinstunternehmen:

Laut Artikel 30 DSGVO besteht eine Ausnahme von der Pflicht zum Verzeichnis der Verarbeitungstätigkeiten, wenn alle folgenden Bedingungen erfüllt sind:

  1. Weniger als 250 Mitarbeiter
  2. Keine regelmäßige Verarbeitung besonderer Datenkategorien (z. B. Gesundheitsdaten)
  3. Keine Verarbeitung, die ein Risiko für Rechte und Freiheiten der Betroffenen darstellt
  4. Keine systematische, umfangreiche Überwachung (z. B. Tracking, Videoüberwachung)

💡 In der Praxis bedeutet das: Die meisten KMU sollten trotzdem ein Verzeichnis führen, weil sie z. B. regelmäßig personenbezogene Daten von Kunden, Mitarbeitenden oder Lieferanten verarbeiten.

👉 Aber auch bei kleinen Unternehmen gilt immer:

  • Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO)
  • Informationspflichten
  • Technisch-organisatorische Maßnahmen (TOMs)
  • Umsetzung von Betroffenenrechten
BereichAusnahmen für kleine Unternehmen?Pflicht zur Verfahrensdokumentation?
GoBD❌ Nein✅ Ja, für alle mit elektronischer Buchführung
DSGVO⚠️ Teilweise (Art. 30 Abs. 5)✅ Ja, aber mit evtl. Erleichterungen im Umfang

Kategorien:

BuchhaltungMitarbeitende

Schlagwörter:

KMUManagementVerfahrensdokumentation

Keine Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

To respond on your own website, enter the URL of your response which should contain a link to this post's permalink URL. Your response will then appear (possibly after moderation) on this page. Want to update or remove your response? Update or delete your post and re-enter your post's URL again. (Find out more about Webmentions.)