Gemeinsame Stellungnahme der PROJECT CONSULT Unternehmensberatung GmbH, Hamburg, und der Zöller & Partner GmbH, Sulzbach i. T.
Von Dr. Ulrich Kampffmeyer und Bernhard Zöller.
1. Hintergrund
Für über 3 Millionen Unternehmen in Deutschland gilt seit dem 1.1.2002 im Rahmen des Handelsgesetzbuches eine neue Abgabenordnung. Diese räumt der Finanzbehörde im Unterschied zur vorhergehenden AO das ergänzende Recht ein, „die mit Hilfe eines Datenverarbeitungssystems erstellte Buchführung des Steuerpflichtigen durch Datenzugriff zu prüfen“. Diese neue Regelung stellt die dringend erforderliche Anpassung an die Welt des E-Business dar, in der zahlreiche kaufmännische und steuerrelevante Informationen in elektronischer Form entstehen und Ausdrucke nur eine Kopie originär digitaler Daten darstellen. Die Regelungen und Verfahren zur Durchführung von Steuerprüfungen nach diesen neuen Gesetzen sind in der GDPdU, den Grundsätzen des Datenzugriffs und der Prüfbarkeit digitaler Unterlagen bereits im Jahr 2001 festgelegt und im Bundesgesetzblatt veröffentlicht worden.
Obwohl seit Januar 2002 bereits Steuerprüfungen nach diesen Regelungen durchgeführt werden, ist der Informationsbedarf immer noch sehr groß. In Seminaren, Diskussionsforen, Artikeln und anderen Medien werden die Auswirkungen der veränderten Gesetzgebung teilweise immer noch kontrovers diskutiert. Die unterschiedlichen Interpretationen der Gesetzestexte und Verordnungen haben mehr zur Verwirrung denn zur Klarheit beigetragen. Dies soll mit einigen Zitaten verdeutlicht werden:
„Achtung! CD-R und DVD-R und einige andere Medien werden von den Finanzbehörden bei der Archivierung nicht als revisionssicher anerkannt.“
„Generell müssen Sie die archivierten Daten immer verschlüsseln, da Sie anderenfalls gegen die gesetzlich vorgeschriebene Sorgfaltspflicht verstoßen, was sogar als Straftatbestand gewertet und geahndet werden kann.“
„Der einfachste Weg, alle diese Kriterien zu erfüllen, liegt in der Archivierung auf optischen Medien.“
"Das IDEA Programm ermöglicht es, sich direkt in die Datenbanken einzuloggen."
„Volltextbasierte Archivsysteme sind für die Langzeitarchivierung nicht mehr zulässig.“
„COLD-Verfahren, die eine TIFF-Datei erzeugen, sind nicht mehr AO-konform.“
Diese Zitate sind nur einige Beispiele, die beides zeigen: Unkenntnis und auch gewollte Interpretation zu Gunsten oder Lasten bestimmter Produkte. Die Vielfalt neuer und nicht ausreichend definierter Begriffe trägt ein Übriges zur Situation bei. Letztlich Klarheit schaffen kann nur das BMF (Bundesministerium der Finanzen). In Form von Frage-&-Antwort-Katalogen sind erste Ansätze auf der Webseite des BMF zu finden, deren Rechtsverbindlichkeit jedoch nicht ausreichend erscheint.
PROJECT CONSULT Unternehmensberatung und Zöller & Partner sind als unabhängige Beratungsunternehmen für Dokumenten-Technologien häufig mit diesen Fragen und Unsicherheiten der Anwender konfrontiert. Aus diesem Grund haben sich beide Unternehmen entschlossen, diese gemeinsame Stellungnahme zu veröffentlichen, die besonders bei kleineren und mittelständischen Unternehmen die notwendige Klarheit zu den Auswirkungen der GDPdU schaffen soll.
2. Umfeld
Die Änderungen des Handelsgesetzbuches und der Steuergesetzgebung sowie die GDPdU betreffen jedes steuerpflichtige Unternehmen in Deutschland. Hierbei wird kein Unterschied gemacht, ob es sich um eine 1-Personen-GmbH oder eine 100.000-Mitarbeiter-AG handelt. Die Anforderungen sind für jedes Unternehmen die Gleichen, jedoch trifft der Steuerprüfer auf unterschiedliche technische, wirtschaftliche und organisatorische Voraussetzungen.
| | | |
| | · | Kleinere Unternehmen
Selbstständige und kleinere Unternehmen benutzen heute ebenfalls Software für die Buchhaltung. Erstellung von Rechnungen und der Eingang von kaufmännisch relevanten Unterlagen geschehen aber weitgehend mittels Papier. Sofern die Daten aus dem Buchhaltungssystem über die gesetzlich vorgesehene Aufbewahrungsfrist vorgehalten und in einem auswertbaren Format exportiert werden können, sind hier die Voraussetzungen für den elektronischen Datenzugriff in der Regel erfüllt. |
| | · | Mittelstand
Bei mittelständischen Unternehmen kommen neben kaufmännischen Programmen auch andere Systeme zum Einsatz, die ebenfalls steuerrelevante Daten enthalten können. Solange alle originär steuerrelevanten Informationen aus den verschiedenen Programmumgebungen über die gesetzlich vorgesehene Aufbewahrungsfrist vorgehalten und in einem auswertbaren Format exportiert werden können, sind auch hier in der Regel die grundsätzlichen Voraussetzungen erfüllt. Probleme können aber durch Dokumente entstehen, die originär digital sind und nur noch digital vorliegen, bzw. durch die notwendige Auslagerung von steuerrelevanten Daten aus den operativen Systemen in nachgelagerte Datensicherungs- und Archivsysteme. |
| | · | Großunternehmen
In Großunternehmen kommen vielfältigste Softwaresysteme zum Einsatz und der Anteil von steuerrelevanten Informationen, der originär elektronisch ist und nur noch in digitaler Form vorliegt, steigt zunehmend. Hier können im Regelfall nicht alle steuerrelevanten Daten und Dokumente immer recherchier- und auswertungsfähig online vorgehalten werden. Sie werden daher häufig in externe Systeme (z.B. Datensicherungs- oder Archivsysteme) ausgelagert und müssen aus diesen für die elektronische Steuerprüfung wieder bereitgestellt werden. |
Alle Unternehmen müssen vor dem Gesetz gleichbehandelt werden. Bedingt durch die Auslegung von elektronischen Systemen und die Organisation der Unternehmen sind die möglichen Vorgehensweisen jedoch unterschiedlich. Besonders bei kleineren und mittelständischen Unternehmen kommt man beim elektronischen Datenzugriff durch die Steuerprüfer schnell an Grenzen. Auf diese Unterschiede und besonders in Bezug auf die Fragen: „Was sind steuerrelevante Daten“ und „Wie müssen sie auswertbar vorgehalten werden?“, gibt die GDPdU keine eindeutige Antwort. Diese Unsicherheit gilt auch für Begriffe wie „Daten“ und „Dokumente“ oder „nur einmal beschreibbare Speichermedien“ und „Revisionssicherheit“ (siehe auch die Begriffserläuterungen am Ende der gemeinsamen Stellungnahme).
3. Umsetzung der Anforderungen im Unternehmen
Grundsätzlich ist festzuhalten, dass jedes Unternehmen seit dem 1.1.2002 mit der elektronischen Steuerprüfung rechnen und sich auf die Bereitstellung der entsprechenden Daten für die zu prüfenden Perioden einrichten muss.
Prüfung der Anwendbarkeit der GDPdU
Bevor jedoch über mögliche technische Umsetzungen oder die Anschaffung neuer Systeme nachgedacht wird, ist eine sorgfältige Prüfung notwendig, in welchem Umfang die elektronische Steuerprüfung zur Anwendung kommen kann. Für kleinere Unternehmen reicht hier in der Regel das Gespräch mit dem Steuerberater. Ist die Buchhaltung z.B. außer Haus gegeben worden, kann es sein, dass die entsprechenden steuerrelevanten Daten, die ausgewertet werden sollen, gar nicht beim Steuerpflichtigen im Hause sind, sondern beim Steuerberater in dessen System vorliegen. Dies enthebt den Steuerpflichtigen jedoch nicht von der Verantwortung, diese Daten über die Aufbewahrungspflicht elektronisch auswertbar bereitstellen zu können. Zur Vorbereitung in einem kleineren oder mittelständischen Unternehmen gehört auch die Prüfung, ob die eingesetzte Finanz-Software in der Lage ist, die steuerrelevanten Informationen im auswertbaren Format zu liefern, sodass sie auf ein Übergabespeichermedium wie z.B. eine CD bei Bedarf oder vorsorglich kopiert werden können.
In größeren Unternehmen ist die Vorprüfung aufwendiger und sollte zusammen mit dem Steuerberater oder Wirtschaftsprüfer alle Aspekte einer möglichen elektronischen Steuerprüfung betrachten. Hierbei sollte auch geprüft werden, welche Daten dem Steuerprüfer zugänglich gemacht werden müssen. Dies kann entsprechend den drei verschiedenen Typen des Zugriffs auch unterschiedliche Maßnahmen zur Folge haben wie die Einrichtung von Berechtigungen oder die Selektion von Daten für die Übergabe. Für die Durchführung solcher Prüfungen verfügen Steuerberater oder Wirtschaftsprüfer häufig über entsprechende Check-listen, die sicherstellen, dass bei der Vorbereitung keine Themen außer Acht gelassen werden.
Was sind steuerrelevante Daten?
Bei der Prüfung der Voraussetzungen wird der Steuerpflichtige schnell auf ein Problem stoßen – die Frage: „Was sind steuerrelevante Daten?“. In der GDPdU wird der Begriff nicht eindeutig definiert. Im Zweifelsfall sind alle Daten und Unterlagen relevant, die Kosten- oder Ertrags-relevante Informationen beinhalten. Mit dieser Definition kann ein Unternehmen aber keine technische Abgrenzung vornehmen, welche Daten sowie gegebenenfalls Dokumente, Belege und andere Unterlagen elektronisch für den Datenzugriff vorzuhalten sind und welche wie bisher behandelt werden dürfen. Eine Problematik ergibt sich auch für solche steuerrelevanten Daten, die nicht in den von der GDPdU explizit aufgezählten Systemen Finanzbuchhaltung, Lohnabrechnung oder Anlagenbuchhaltung vorliegen, sondern in anderen Systemen gespeichert sind. Dies können Nebensysteme sein mit Zeiterfassungsdaten, Bestelldaten, Registrierkassendaten, in denen ganz offensichtlich auch relevante Daten originär digital erzeugt und vorgehalten werden. Dies können aber auch per E-Mail ausgetauschte kaufmännische Dokumente, Kalkulationsdateien oder Daten aus E-Business-Anwendungen sein. Solche Daten und Unterlagen liegen in der Regel in unterschiedlichsten Systemen und an verschiedenen Speicherorten vor. Sie sind teilweise nicht wie die Daten in einer Buchhaltungssoftware direkt auswertbar. Der Steuerpflichtige muss jedoch in der Lage sein, zu einem Buchungssatz die richtigen zugehörigen Belege vollständig und sehr zeitnah zur Verfügung zu stellen.
Formen des Datenzugriffs
Die GDPdU sieht drei Formen des Zugriffs auf steuerrelevante Daten vor, die inzwischen mit „Z1“, „Z2“ und „Z3“ abgekürzt werden. Alle drei Zugriffsarten können einzeln, aber auch kombiniert nach Bedarf von den prüfenden Finanzbehörden genutzt werden.
| | | |
| | · | Z1 Unmittelbarer Zugriff
Beim Zugriff nach Z1 werden die Steuerprüfer die installierte Software beim Steuerpflichtigen nutzen und sich einen Arbeitsplatz einrichten lassen. Dies ist in Großunternehmen seit Jahren bereits üblich. Hierfür sind für die Prüfer spezielle Berechtigungen einzurichten, die z.B. im SAP-Umfeld bereits standardisiert wurden. Bei kleineren Unternehmen ist häufig Buchhaltungssoftware im Einsatz, die nur auf Einzelplätzen läuft oder keine dedizierte separate Berechtigung für Prüfer im Netzwerk erlaubt. Bei kleineren Softwarepaketen, für die die Steuerprüfer keine Schulung erhalten, ist daher auch eher vom Zugriff nach Z2 oder Z3 auszugehen. |
| | · | Z2 Mittelbarer Zugriff
Beim Zugriff nach Z2 werden sich die Steuerprüfer mit Unterstützung von Mitarbeitern des Steuerpflichtigen die gewünschten Daten zeigen oder exportieren lassen. Der Steuerpflichtige ist zu dieser Unterstützung verpflichtet. |
| | · | Z3 Datenträgerüberlassung
Bei Z3 sind vom Steuerpflichtigen Datenträger, in der Regel CDs als Übergabemedium, mit den steuerrelevanten Daten zu erstellen. Es ist davon auszugehen, dass diese Methode von den Finanzbehörden auch zu Beginn einer Prüfung genutzt wird, um Unregelmäßigkeiten zu entdecken und dann im Laufe der Prüfung gezielter auf bestimmte Vorgänge zuzugreifen. Die Software des Steuerpflichtigen muss hierfür über Export-Funktionalität verfügen, um die geforderten Daten als auswertbare Dateien zur Verfügung zu stellen. |
Es ist in jedem Fall davon auszugehen, dass die Steuerprüfung auch bei kleineren und mittelständischen Unternehmen von den Möglichkeiten Z2 und Z3 ausgiebig Gebrauch macht. Es ist davon auszugehen, dass Z3 besonders zur Vorbereitung der Prüfung durch die Steuerprüfer genutzt wird. Alle Beteiligten erhoffen sich hierdurch auch eine Beschleunigung der Prüfungen.
Das Unternehmen sollte ferner prüfen, ob es sinnvoll und in seiner Software einrichtbar ist, zu protokollieren, welche elektronischen Daten und Vorgänge vom Steuerprüfer geprüft wurden: Hierdurch kann nachvollzogen werden, auf Basis welcher Informationen die Finanzbehörden zu bestimmten Schlüssen gekommen sind. Bisher erlauben aber nur wenige Systeme eine entsprechende Protokollierung.
Speicherung der Daten in der kaufmännischen Software
Die meisten der Daten, die vom Steuerprüfer ausgewertet werden wollen, liegen in Buchhaltungs- und anderen Finanzverwaltungssoftwareanwendungen vor. Eine Prüfung wird sich daher wie bisher zunächst auf diese Daten stützen. Die Prüfung erfolgt auf Basis nicht verdichteter Informationen, die jede Buchung transparent prüfbar macht. Die Prüfung erfolgt nicht nur auf Basis von Summen und Salden, sondern beinhaltet die Auswertung der Einzelbuchungen und Einzelwerte. Erst im zweiten Ansatz wird wie bei den bisherigen Prüfungen bei Bedarf auf die zugehörigen Belege zurückgegriffen. Sind dies im Original Papierbelege, müssen diese auch nicht elektronisch bereitgestellt werden. Solange alle Daten eines Prüfungszeitraums in der kaufmännischen Software vorhanden sind, dort recherchiert, ausgewertet und exportiert werden können, sind die grundsätzlichen Anforderungen der GDPdU zunächst einmal erfüllt. Der Steuerpflichtige muss sich jedoch über die Lebensdauer seiner Systeme und seiner Software Gedanken machen, z.B. ob und wie er auch ältere Versionen der Programme nebst den vollständigen Daten vorhalten muss. Beim Update oder Wechsel von Systemen muss die Migration der Daten nachgewiesenermaßen vollständig und unverändert sein. Andernfalls müssten die vorangegangene Softwareversion lauffähig vorgehalten oder die relevanten Daten in eine andere Umgebung überführt werden. Ersteres ist aber bei den steuerlichen Aufbewahrungsfristen einerseits und den kurzen Releasezyklen von Software und Plattformen andererseits realistischerweise kaum möglich und würde daher unseres Erachtens in den allermeisten Fällen mit dem Argument der Nicht-Verhältnis-mäßigkeit vom steuerpflichtigen Unternehmen abgelehnt werden.
Jede kaufmännische Software muss jedoch zukünftig die Möglichkeit bieten, die steuerrelevanten Daten in einem der zugelassenen Formate zu exportieren, um sie auf ein Übergabemedium zu kopieren. Viele kaufmännische Anwendungen sind heute noch nicht in der Lage, diese Exportdateien zu erzeugen. Es ist aber davon auszugehen, dass diese Exportfunktion zu einem Standard-Ausstattungs-merkmal der kaufmännischen Software wird. Ein Wechsel einer im Einsatz befindlichen Software auf Grund einer heute noch fehlenden Exportfunktion sollte jedoch erst nach sorgfältiger Prüfung und nur dann erfolgen, wenn der Hersteller die benötigte Funktionalität nicht zeitgerecht bereitstellen kann. Da jede kaufmännische Software mindestens den Zugriff Z2 unterstützt, kann derzeit jedes Softwareprodukt den Prüfungszweck erfüllen. Wenn in Kürze aber die meisten Standardprodukte die Exportfunktion besitzen, wird es auch für kleine Unternehmen schwierig werden zu begründen, warum die Überlassung eines Datenträgers für den Zugriff Z3 nicht möglich sein soll. Es ist davon auszugehen, dass der Grundsatz der Verhältnismäßigkeit für die Bereitstellung eines Datenträgers nicht zur Anwendung kommen kann.
Speicherung der Daten außerhalb der Ursprungssysteme
Bei der Überführung von steuerrelevanten Daten in eine andere Umgebung setzt nun die Diskussion ein, ob hierfür ein elektronisches Archivsystem erforderlich ist. Der Gesetzgeber kann und darf sich hier nicht festlegen, da er dem Steuerpflichtigen nicht die technische Ausgestaltung vorschreibt. Im Handelsgesetzbuch (§§ 239, 257 HGB) und in der Abgabenordnung (§§ 146, 147 AO) sind die grundsätzlichen Anforderungen an die Verarbeitung und die Speicherung von kaufmännischen Daten und Belegen festgelegt. Werden solche Daten aus dem System, in dem sie ursprünglich entstanden sind und verwaltet wurden, in ein anderes ausgelagert, so hat das empfangende System die gleichen Bedingungen zur Sicherheit, Unveränderbarkeit, Ordnungsmäßigkeit, Wiederauffindbarkeit und Reproduzierbarkeit wie das Ursprungssystem zu erfüllen. Das empfangende System muss jedoch nicht über die gleiche Verarbeitungsfunktionalität wie das Ursprungssystem verfügen. In den Grund-sätzen der ordnungsgemäßen Buchführung / Speicherbuchführung GoBS ist auf Basis des HGB und der AO der Rahmen für die Anforderungen beschrieben. Die GDPdU nimmt mehrfach auf die GoBS mit diesen Anforderungen Bezug.
In einer Buchhaltungsanwendung wird die Übereinstimmung mit den Anforderungen der GoBS durch die Sicherheitsmechanismen der Software sichergestellt. Eine besondere Medientechnologie ist nicht gefordert. Kaufmännische Software verwendet ausnahmslos magnetische Medien zur Speicherung der Daten. Auch die geforderte Sicherung von Daten kann auf einem beliebigen elektronischen Medium erfolgen. Der Einsatz eines Archivierungssystems mit nur einmal beschreibbaren Speichern bietet zwar auf der reinen Speicherebene eine höhere Sicherheit als veränderliche Speichersysteme und kann so bei einer Prüfung als Argument für die Unveränderbarkeit und Vollständigkeit benutzt werden. Dies schließt aber die bisher häufig praktizierte Nutzung anderer Speichertechnologien natürlich nicht aus, wenn mit Hilfe anderer Schutzverfahren die Anforderungen der GOBS erfüllt werden. Die Anforderungen an die Sicherheit gehen auch über den Einsatz bestimmter Medien weit hinaus und beinhalten die Gesamtsicherheit des Verfahrens. Es darf nicht vergessen werden, dass der Einsatz eines solchen Systems allein nicht die Voraussetzungen von HGB, AO, und GoBS erfüllt, da das gesamte Verfahren einschließlich Organisation, Datensicherung, Arbeitsabläufen, internem Kontrollsystem, Sicherheit und technischer Auslegung den Anspruch an die Revisionssicherheit erfüllen muss.
Die Bedeutung der Einrichtung von differenzierten Berechtigungen
Für mittelständische und Großunternehmen kommt der Organisation von Berechtigungen für die Beschränkung des Zugriffs auf die verschiedenen Datenbestände des Unternehmens besondere Bedeutung zu. Für größere Finanzverwaltungssoftwarepakete sind entsprechende Berechtigungen inzwischen vordefiniert. Der Zugriff auf die Daten muss nicht nur nach den Prüfungsperioden (Jahren) möglich sein, sondern das System sollte auch Datenbestände, die nicht der Steuerprüfung unterliegen, vom Zugriff nach Z1 ausschließen können. Aufwendiger wird die Speicherung von Dokumenten, die originär elektronisch sind, nach den Anforderungen der GoBS aufbewahrt werden müssen und ebenfalls der Steuerprüfung unterliegen können. Diese sollten so gespeichert werden, dass sie auf Anforderung mit einfachen Mitteln, vollständig und unverändert bereitgestellt werden können. So ist z.B. der persönliche Posteingangskorb eines Mitarbeiters im E-Mail-System nicht dauerhaft geeignet, die Wiederauffindbarkeit und Nichtlöschbarkeit über die gesetzliche Aufbewahrungsfrist zu gewährleisten.
Gleiches gilt auch im Prinzip für kleinere und mittelständische Unternehmen. Originär elektronische Handelsbriefe und andere steuerrelevante Dokumente außerhalb der Finanzsoftwaresysteme sind geordnet zu speichern und bei Bedarf zugänglich zu machen. Wie dies technisch umgesetzt wird, bleibt dem Unternehmen überlassen. Auch hier gilt, dass technische Systeme, die speziell zum Schutz von Informationen ausgelegt sind, wie z.B. elektronische Archive, eine höhere Glaubwürdigkeit der geordneten und sicheren Speicherung bewirken.
Auswertbarkeit von Daten
Der Begriff der maschinellen Auswertbarkeit bezieht sich vorrangig auf strukturierte Daten und nicht auf unstrukturierte Geschäftskorrespondenz. Mit maschineller Auswertung ist der so genannte wahlfreie Zugriff auf die Daten und deren programmgestützte Auswertung gemeint. In strukturierten Daten kann man bei Kenntnis der Struktur suchen, sortieren, summieren und statistische Auswertungen durchführen. Dies ist in unstrukturierten Daten kaum möglich. Bei der Durchführung von Auswertungen ist sicherzustellen, dass durch Operationen die Originaldaten nicht verändert werden, sondern dem Steuerprüfer nur ein lesender Zugriff gestattet wird. Allerdings darf der Steuerprüfer bei Z1 und Z2 alle Funktionen nutzen, die die beim Steuerpflichtigen installierte Software besitzt.
Um mit Z3 auswerten zu können, erwarten die Finanzbehörden, dass auf dem Übergabemedium nicht nur die Daten, sondern auch die zugehörigen Strukturinformationen zum Aufbau der Dateien, die die Daten enthalten, mitgeliefert werden. Bei flachen Tabellen reichen hierzu schon die Spaltenbezeichnungen, bei komplexeren Strukturen empfiehlt es sich, aus der Buchhaltungssoftware heraus ein Format zu erzeugen, das dem Beschreibungsstandard für die Prüfsoftware IDEA entspricht.
Originär elektronische, unstrukturierte Dokumente wie Briefe, E-Mails etc. müssen zwar elektronisch auffindbar und dem Geschäftsvorfall eindeutig zuordenbar sein, können aber die Anforderungen der Auswertbarkeit von Daten naturgemäß nicht erfüllen.
Direktzugriff, Auslagerung und Wiederbereitstellung
Solange alle Daten des Prüfungszeitraumes vollständig, auswertbar, unveränderbar und unverdichtet im aktuellen Finanzsoftwaresystem vorliegen, sind Zugriffe nach Z1 und Z2 möglich und die Bedingungen der GDPdU erfüllt. Problematisch wird es, wenn die ursprüngliche Software nicht mehr lauffähig ist oder die Daten ausgelagert werden mussten. Letzteres kann notwendig werden, wenn man die Software oder Softwareversion wechselt oder aus Kapazitätsgründen Daten abgeschlossener Jahrgänge auslagert. Die meisten angebotenen Finanzsoftwarepakete bieten hierfür Exportfunktionen an, die jedoch noch nicht alle den Anforderungen der Auswertbarkeit unabhängig vom ursprünglichen erzeugenden System genügen.
Es kann auch nicht davon ausgegangenen werden, dass ältere ausgelagerte Datenbestände nach mehreren Jahren in eine neue Softwareversion problemlos und verlustfrei wieder importiert werden können. Dies würde auch bedeuten, dass allein für den Steuerprüfer ein nicht mehr im operativen Betrieb befindliches System wiederbelebt werden müsste, was nicht dem Grundsatz der Verhältnismäßigkeit entspricht. Der Steuerpflichtige sollte vielmehr die relevanten Daten verfälschungssicher in einem Format ablegen, das auch ohne die ursprüngliche erzeugende Software die Auswertbarkeit sicherstellt. Hierfür können zahlreiche Standardformate, aber auch das von der Finanzverwaltung empfohlene, im Zusammenhang mit der Prüfsoftware IDEA als Beschreibungsstandard definierte Format verwendet werden.
Die Prüfung von steuerrelevanten Daten mit IDEA
Für die Prüfung der Daten des Steuerpflichtigen setzt die Finanzverwaltung die Software IDEA ein. Diese Software ist frei am Markt verfügbar, so dass jeder sie erwerben und hinsichtlich der Einsatzmöglichkeiten ausprobieren kann. Vergleichbare Systeme werden seit Jahren bereits durch Wirtschaftsprüfer genutzt. Die IDEA- Software wird auf Notebooks der Steuerprüfer eingesetzt. Auf den Notebooks kann keine Software des Steuerpflichtigen installiert werden. Das Notebook oder die IDEA-Software des Steuerprüfers kann nicht in die Systeme des Steuerpflichtigen eingebunden werden oder direkt auf die Daten zugreifen. Für die Auswertung auf dem Notebook werden ausschließlich flache Dateien vom Übergabemedium importiert. Beim Import und für die Auswertung werden zahlreiche Formate unterstützt, die weit verbreitet sind.
Die GDPdU selbst enthält keine Liste vorgesehener oder unterstützter Dateiformate. Vom Bundesministerium der Finanzen wurde erst später eine Übersicht von Formaten veröffentlicht, die IDEA auswerten kann. Die Liste enthält einfache Formate wie ASCII und EBCDIC mit Werten fester Länge oder durch Kommata getrennt, bestimmte Ausgabeformate aus großen kaufmännischen Anwendungen wie SAP/AIS, Ausgabedateien aus speziellen Programmsystemumgebungen wie AS400, einfache Listendruckformate auf Basis von ASCII und auch Formate aus dem Office-Umfeld wie Excel, dBase, Access oder Lotus 123. Die Aufzählung von Datenbankprodukten wie Access und dBase hat nur indirekt mit Dateiformaten zu tun und meint sicherlich die Standardformate, die aus diesen Datenbanken exportiert werden. Der ebenfalls aufgeführte Begriff ODBC beschreibt jedoch kein Dateiformat, sondern eine Zugriffstechnik. Zu einem späteren Zeitpunkt wurde auch das Format des IDEA-Beschrei-bungsstandards hinzugefügt. Es ist davon auszugehen, dass die Liste keinen endgültigen, den Aufbewahrungsfristen adäquat angemessen Charakter besitzt und auch in Zukunft Veränderungen unterliegen wird.
Der Beschreibungsstandard wurde vom deutschen Vertreiber der IDEA-Software, der Firma audicon, zusammen mit den Bundesfinanzbehörden auf Basis der weltweit standardisierten Beschreibungssprache XML entwickelt. Er erlaubt Strukturen und Daten einheitlich zu exportieren und zu importieren. Von den Anbietern von kaufmännischer Software wird dieses Format zunehmend unterstützt. Der Steuerpflichtige ist jedoch nicht gezwungen, seine Daten in diesem Format abzulegen. Auch alle anderen, oben aufgeführten Formate, die den grundsätzlichen Anforderungen der GDPdU entsprechen, sind zulässig.
Wird die Buchhaltung nicht mit einem eigenen System im Hause, sondern vom Steuerberater durchgeführt, ist zu prüfen, ob seitens des Steuerberaters die Daten entsprechend gesichert und in den geforderten Formaten bereitgestellt werden können. Die meisten Steuerberater sind heute bereits in der Lage, einen entsprechenden Datenträger für Z3 zu erstellen, dessen Dateien in IDEA eingelesen werden können.
Zugriff auf andere steuerrelevante elektronische Dokumente
Bei der Prüfung, welche Daten steuerrelevant sind, wird man auch auf eine Grauzone stoßen. Hierzu gehören z.B. Kalkulationsdateien, die per E-Mail mit Geschäftspartnern ausgetauscht wurden, Datensätze, die mit anderen Systemen als der kaufmännischen Software erstellt und verarbeitet wurden, elektronische Übermittlungen von Geschäftsbriefen in Gestalt von E-Mails, die in Bürokommunikationsumgebungen vorliegen, und andere Informationen. Sind diese Informationen steuerrelevant, so müssen seitens des Steuerpflichtigen Maßnahmen ergriffen werden, die nach der GoBS die Sicherheit und Wiederauffindbarkeit garantieren. In Zukunft muss sich der Steuerpflichtige, zumindest bei mittelständischen und Großunternehmen, auch auf den Erhalt elektronisch signierter Dokumente oder die Abgabe von steuerrelevanten Daten mit elektronischer Signatur einrichten. Diese Dokumente liegen originär nur noch elektronisch vor und müssen mit geeigneten Mitteln verwaltet werden. Beim Zugriff auf diese Dokumente geht es nicht um den Begriff der „Auswertbarkeit“, sondern die Dokumente müssen unverändert im Originalformat vorgehalten werden, das durchaus bei elektronischer Eingangspost ein Bildformat wie TIFF oder ein kombiniertes Grafik/Text-Format wie PDF sein kann. Es ist daher von einem zweistufigen Zugriff auszugehen: Im ersten Schritt wird über eine Datenbank oder eine andere geeignete Recherchemöglichkeit das Dokument gefunden; erst im zweiten Schritt kann es dann, wenn es sich um strukturierte Daten wie z.B. eine Liste handelt, ausgewertet werden. Auch für den Zugriff auf diese Dokumente gilt, dass der Steuerpflichtige dafür Sorge tragen muss, die Bestände durch das Berechtigungssystem zu schützen und beim Zugriff zwischen steuerrelevanten und nicht relevanten Daten zu differenzieren.
Der Einsatz von sicheren Speichersystemen
In der öffentlichen Diskussion um die GDPdU spielt die elektronische Archivierung mit nur einmal beschreibbaren optischen Speichermedien, so genannten WORMs (Write Once Read Many), ein wichtige Rolle.
Solange alle Daten von der kaufmännischen Software selbst verwaltet und kontrolliert werden, spielen unabhängige, externe Speichersysteme keine Rolle. Letztere können aber eingesetzt werden, um zur Entlastung von kaufmännischen Softwaresystemen exportierte Daten aufzunehmen, wieder aufzufinden und für eine Auswertung bereitzustellen. Handelt es sich bei diesen externen Speichersystemen um elektronische Archivsysteme, dann sind in der Regel bereits eine Reihe von Funktionen vorhanden, die auch von der GoBS gefordert werden. Archivsysteme sind besonders geeignet, Vollständigkeit, Sicherheit, Unveränderbarkeit, Ordnungsmäßigkeit, Berechtigungsschutz und Indizierung zu unterstützen. Sie sind daher eine Option, die Anforderungen der GDPdU nach einer sicheren Aufbewahrung zu erfüllen. Archivsysteme dienen vorrangig dazu, basierend auf Indexmerkmalen beliebige Daten, Informationen, Dokumente und digitale Objekte eines Unternehmens, unabhängig von Quelle, Format und Verwendungszweck zu speichern und als Wissensbasis zu erschließen. Dateien in Formaten, die von IDEA ausgewertet werden können, sind nur ein Datentyp unter vielen und steuerrelevante Daten nur eine Informationsart, die mit Archivsystemen verwaltet werden kann. Unterstützt ein Archivsystem die Anforderungen des HGB und der GoBS für eine sichere langzeitige Informationsaufbewahrung, spricht man von einem „revisionssicheren elektronischen Archivsystem“. Die Nutzung eines solchen Systems wird jedoch durch die GDPdU nicht unbedingt vorausgesetzt.
Elektronische Archivsysteme setzen in der Regel spezielle Speichersysteme ein, die durch ihre Eigenschaften ein Löschen, Überschreiben und Verändern der gespeicherten Information verhindern. Hier sind mehrere Technologien von Medien und den zugehörigen Speichersystemen zu unterscheiden.
| | | |
| | · | Speichersysteme, die mit einem Laser auf der Medienoberfläche eine physische, irreversible Veränderung durchführen. Hierzu gehören heute spezielle CD- und DVD-Medien (Beispiele: CD-R und DVD-R). Auch bei den ursprünglichen WORM-Medien in einer Schutzhülle wurde die Medienoberfläche beim Schreiben so verändert, dass einmal genutzte Speicherbereiche nicht verändert, überschrieben oder gelöscht werden konnten. Diese so genannten „True-WORM“-Medien sind heute praktisch am Markt nicht mehr verfügbar. Die Unveränderbarkeit der gespeicherten Informationen wird hierbei direkt durch das Medium sichergestellt. |
| | · | Speichersysteme, die mit Medien arbeiten, die im Prinzip technisch veränderbar und überschreibbar sind. Hierbei gibt es ebenfalls verschiedene Varianten. Bei 5,25-Zoll-„Soft-WORM“-Systemen erkennt das Laufwerk anhand von Informationen auf der Oberfläche des Mediums, dass ein einmal beschriebener Sektor nicht überschrieben werden darf. Es handelt sich um einen effektiven Schutz, der fest in das Laufwerk integriert ist (Beispiele: Fujitsu, Plasmon oder Sony WORM). Die meisten heutigen 5,25-Zoll-WORM-Laufwerke in automatischen Plattenwechselautomaten (Jukeboxen) arbeiten mit diesem Verfahren. Ähnliche Verfahren gibt es auch im Magnetbandbereich mit WORM-Tapes, die auf herkömmlicher Magnetbandtechnologie basieren. Hier kommen spezielle Bandkassetten und Laufwerke zum Einsatz, die die gleiche Sicherheit bieten wie die herkömmlichen „Soft-WORM“-Speicherplatten (Beispiele: SONY AIT oder StorageTek VolSafe). Die Unveränderbarkeit der gespeicherten Informationen wird hierbei durch das Medium nur in Verbindung mit einem Laufwerk und spezieller Betriebssoftware sichergestellt. |
| | · | Speichersysteme, die durch Anwendungssoftware sicherstellen, dass Objekte in den Speicherbereichen auf Magnetplattenspeichern geschützt sind. Hierzu gehören die Schutzmechanismen, die in handelsüblichen Buchführungssystemen eingesetzt werden, und Verfahren wie z.B. CAS Content Adressed Storage (Beispiel: EMC2 Centera), die von einer spezifischen Anwendung unabhängig sind. Hierbei wird aus dem Inhalt eines Objektes eine eindeutige Signatur erzeugt, die gleichzeitig auch als Objekt-ID fungiert. Sollte das Objekt verändert werden, stimmt die Signatur nicht mehr überein. Es entsteht automatisch eine neue Version und das Original bleibt unverändert. Die Unveränderbarkeit der gespeicherten Informationen wird hierbei nicht durch das Medium, sondern durch die Software, die gesamte Systemumgebung und den ordnungsgemäßen Betrieb der Lösungen sichergestellt. |
Bei der Diskussion um die GDPdU ist ferner zu unterscheiden, auf welchem Medium beim Anwender langfristig aufbewahrt wird und auf welchem Medium die Daten nach Z3 an den Steuerprüfer übergeben werden. Die GDPdU bezieht sich hier auf das Übergabemedium, wobei zurzeit CDs mit flachen, Dateisystem-basierenden Strukturen zum Import bevorzugt werden. Es sind jedoch auch andere Übergabemedien wie Diskette und DVD erlaubt. Wie die Sicherung der gespeicherten Daten und Dokumente in den Systemen beim Steuerpflichtigen erfolgt, liegt in dessen Verantwortung und hat sich wie bisher an den Anforderungen von HGB, AO und GoBS zu orientieren.
Die Sicherstellung der Langzeitverfügbarkeit von gespeicherten Daten
Für alle Unternehmen unabhängig von ihrer Größe ergibt sich das Problem der Sicherstellung der Lesbarmachung nach Jahren oder gar einem Jahrzehnt. Die Anforderungen nach Unverändertheit und Wiederlesbarmachung auch nach 10 Jahren widersprechen sich hier. Formate von Dateien ändern sich in kurzen Zeiträumen. Bestimmte Formate, z.B. Tabellenkalkulationen, besitzen Verarbeitungsregeln und ausführbare Funktionen, die von einer bestimmten Softwareversion abhängig sind. Bei diesen Formaten kann nicht gewährleistet werden, dass sie in 10 Jahren noch verlustfrei und unverändert angezeigt werden können. Eine Wandlung in Formate wie TIFF oder PDF ist zwar technisch möglich, jedoch ist hinterher diese Datei nicht mehr maschinell auswertbar und hinterlegte Regeln und Funktionen gehen verloren. Im Prinzip besteht die Möglichkeit, Originaldatei und gewandelte Datei unter dem gleichen Index zu verwalten und gemeinsam wiederauffindbar zu machen, jedoch löst dies nicht das generelle Problem.
Formate wie TIFF und PDF gelten als relativ stabil und langlebig. Die Wandlung in ein solches Format wird durch die GDPdU aber für die Speicherung von originär elektronischen, auswertbaren Daten nicht gestattet. Dennoch werden durch Scannen, E-Mail-Kommunikation und elektronisches Fax auch solche Formate bei kaufmännisch- oder steuerrelevanten Fremddokumenten vorkommen. Auch bei Bildformaten können durch technologische Weiterentwicklung die Migration von ursprünglichen Datenbeständen und die Konvertierung erforderlich werden. Migrationen, die in keiner der gesetzlichen Regelungen berücksichtigt sind, müssen immer nachweislich, vollständig und ohne Veränderung der gespeicherten Daten und ihrer Zugriffsinformationen erfolgen.
Die Absicherung des Gesamtverfahrens
Wichtig ist die Tatsache, dass nicht allein das Medium oder ein Archivsystem den Anspruch an die Revisionssicherheit erfüllt, sondern dass der gesamte Betrieb, die Arbeitsabläufe, die Absicherung des Zugriffs, die regelmäßige Prüfung der Nutzbarkeit und Reproduktionsfähigkeit, das Sicherheitssystem, Sorgfalt bei Eingabe und Indizierung zur Sicherstellung der Wiederauffindbarkeit und richtigen sachlichen Zuordnung sowie die Nutzung den Anforderungen entsprechen.
Die Anschaffung einer Software, die mit „Zertifikaten“ der Erfüllung der Anforderungen der GDPdU oder der GoBS beworben wird, ist hier nicht ausreichend. Es gibt kein offizielles Zertifikat der Finanzbehörden für Archivsystemprodukte und die Zertifikate von Wirtschaftsprüfergesellschaften beziehen sich immer nur auf eine individuelle Ein-satzsituation beim Anwender oder aber nur auf die grundsätzlich vorhandenen Funktionen, die einen ordnungsgemäßen Betrieb möglich machen. Entscheidend ist jedoch, wie das System beim Anwen-der eingesetzt wird. Ein „Zertifikat“ zeigt nur an, dass das System in einer bestimmten Situation schon einmal nach den Kriterien geprüft wurde, nicht jedoch dass der Einsatz automatisch den Anforderungen der Prüfer genügt. Ein System muss immer individuell auf die technische, organisatorische und geschäftliche Umgebung beim Anwender eingerichtet werden. Nach GoBS wird jedes System in seiner individuellen Ausprägung beim Anwender geprüft.
Im Umfeld steuerrelevanter Informationen ist außerdem zu berücksichtigen, dass unter Umständen mehrere Systeme betroffen sind. Beim Einsatz eines Archivsystems für die Speicherung steuerrelevanter Daten ist das kaufmännische System, in dem die Daten originär entstanden sind, immer noch das führende System. Der Übergang von Daten aus einem System in ein anderes System muss daher sicher, nachvollziehbar, vollständig, prüfbar und ohne Veränderung der Inhalte erfolgen. Hieraus leitet sich auch ab, dass für die Bereitstellung auswertbarer Daten für die Steuerprüfung im Regelfall nicht ein Archivsystem verantwortlich ist, sondern das die originären Daten erzeugende kaufmännische System. Der Ausnahmefall wäre, wenn aus dem Buchhaltungssystem aus den genannten Gründen Daten ausgelagert wurden. In diesem Fall wäre das Archivsystem zuständig, die Daten zur Auswertung zur Verfügung zu stellen.
Prozesse, verarbeitete Daten und Dokumente mit ihren Formaten und Eigenschaften, Speicherung und Indizierung, Nutzung und Arbeitsanweisungen, Berechtigungen und Systemeinstellungen etc. werden in einer Verfahrensdokumentation nach GoBS dokumentiert. Eine Verfahrensdokumentation ist ein Dokument, das lebt. In ihr werden nicht nur die Informationen nachgehalten, die vom Gesetzgeber vorgegeben sind, sondern auch alle notwendigen Angaben für einen sicheren Betrieb, die Sicherstellung der Verfügbarkeit und die Strukturbeschreibungen, die für Weiterentwicklung des Systems, Prüfung bei Veränderungen der Systemlandschaft, zukünftigen Ausbau und Wechsel der Lösung notwendig sind. Die Verfahrensdokumentation für ein revisionssicheres elektronisches Archivsystem beschreibt daher nicht nur dessen technische Umgebung und Nutzung, sondern das gesamte Umfeld mit allen beteiligten Systemen und Abläufen. Eine solche Verfahrensdokumentation kann durch Wirtschaftsprüfer oder Gutachter, wie z.B. den TüVIT, abgenommen werden und gibt dem Anwender eine zusätzliche Sicherheit, alle notwendigen Vorkehrungen für die Erfüllung der Anforderungen des Gesetzgebers getroffen zu haben.
4. Die 10 GDPdU-Merksätze
von PROJECT CONSULT und Zöller & Partner
| | |
1
| Die GDPdU betrifft vorrangig Daten in kaufmännischer Software
|
| Die GDPdU betrifft in erster Linie Daten in kaufmännischer Software wie z.B. Finanzbuchhaltungen und hat nur indirekt mit elektronischer Archivierung zu tun. Erst wenn Daten ausgelagert werden sollen, stellt die elektronische Archivierung eine Option dar.
|
2
| Der GoBS-konforme Betrieb der Buchhaltungssoftware erfüllt fast alle Anforderungen der GDPdU
|
| Bezüglich der Revisionssicherheit gibt es durch die GDPdU kaum neue Anforderungen, die nicht bereits durch die bisherige GoBS geregelt wären.
|
3
| Die GDPdU enthalten keine neue Definition für Revisionssicherheit
|
| Die geänderten Paragraphen der Abgabenordnung setzen bezüglich der Revisions-sicherheit der von Unternehmen zu verwendenden DV-Systeme wie bisher auf die bereits in den GoBS von 1995 dargestellten Anforderungen.
|
4
| Neu sind nur Aufbewahrung von und Zugriff auf steuerrelevante Daten
|
| Die Dauer der Aufbewahrungsfrist für originär elektronische Daten (anstelle von Papierausdrucken) hat sich verlängert und die Zugriffsmethoden auf die Daten sind in den GDPdU neu geregelt.
|
5
| Revisionssicherheit definiert sich nicht allein durch das Speichermedium
|
| Das gesamte Verfahren der Erfassung, Bearbeitung, Speicherung und Reproduktion von steuerrechtlich und handelsrechtlich relevanten Daten mit allen organisatorischen, Betriebs- und technischen Faktoren muss revisionssicher sein.
|
6
| Elektronische Archive nur für die GDPdU sind unwirtschaftlich
|
| Der Einsatz elektronischer Archivsysteme nur zur Erfüllung der rechtlichen Anforde-rungen ist unwirtschaftlich. Elektronische Archive müssen als universeller Wissens-speicher für alle Informationen des Unternehmens nutzbar sein.
|
7
| Die GDPdU schreibt keine besonderen Medien für die Aufbewahrung vor
|
| Die Daten der normalen kaufmännischen Anwendungen können wie bisher auf denjenigen Speichern aufbewahrt werden, die nach GoBS zulässig sind. Hierzu zählen Diskette, Magnetband, Magnetplatte, digitale optische Medien und andere elektronische Speicher.
|
8
| Strukturierte Daten sind durch wahlfreien Zugriff auswertbar,
unstrukturierte Dokumente nicht
|
| Der Begriff der maschinellen Auswertbarkeit bezieht sich in erster Linie auf kaufmännische Daten, die in einer Struktur vorliegen, die den direkten Zugriff auf beliebige Daten erlaubt. Die meisten Dokumente sind in diesem Sinne nicht maschinell auswertbar, da sie naturgemäß schwachstrukturiert oder unstrukturiert sind.
|
9
| Die Verantwortung für die technische Auslegung liegt beim Steuerpflichtigen
|
| Die GDPdU regeln, wie eine Prüfung durchgeführt wird und wie Daten bereitgestellt werden müssen. Sie enthält keine Vorgaben, was für Systeme beim Steuerpflichtigen vorhanden und wie diese ausgelegt sein müssen.
|
10
| Eine Verfahrensdokumentation nach GoBS ist wichtig
|
| In einer Verfahrensdokumentation nach GoBS wird nachvollziehbar beschrieben, wie alle kaufmännisch relevanten Informationen entstehen, geordnet gespeichert, indiziert, geschützt, wiedergefunden und verlustfrei reproduziert werden können.
|
5. Offene Fragen
Die GDPdU wirft eine Reihe von Fragen auf, für die es noch keine konkrete oder abschließende Antwort gibt. Bei einigen Fragen ist auch kurzfristig keine Antwort zu erwarten, da erst die Praxis Handlungsrahmen, Verfahren und Umfang der elektronischen Steuerprüfung definieren wird. Die Finanzverwaltung ist auch gut beraten, sich nicht auf technische Details festzulegen, da Gesetze und Verordnungen technologieunabhängig und langfristig stabil sein sollten. Im Folgenden sind einige solcher Fragen erläutert, die uns wichtig erscheinen.
Was sind steuerrelevante Daten?
Die Antwort des BMF auf diese Frage ist einfach: Alles was bisher steuerrelevant war, ist es auch weiterhin. Die Finanzbehörden wollen hier keine Abgrenzung vornehmen, um sich nicht die eigenen Handlungsspielräume bei Prüfungen einzuengen.
Für den Steuerpflichtigen entsteht aber ein Abgrenzungsproblem, das er vorher nicht hatte. Vor dem 1.1.2002 konnte er Daten aus seiner Buchhaltung auslagern, indem er sie ausdruckte, auf Mikrofilm ausgab oder elektronisch in einem beinahe beliebigen Format ablegte. Das war sowohl nach Handels- als auch nach Steuerrecht erlaubt. Die GDPdU sehen jedoch nunmehr vor, dass originär elektronische Daten über den Aufbewahrungszeitraum auswertbar vorgehalten werden müssen. Für den Steuerpflichtigen entstehen so technologische Abhängigkeiten, die kaum vorausschauend lösbar sind. Er muss heute entscheiden, wie er welche Daten auf Jahre hinaus vorhält. Hinzu kommt, dass er häufig nicht weiß oder nachvollziehen kann, wie und wo in seinen Systemen die steuerrelevanten Daten gespeichert werden. In Stellungnahmen und Beiträgen der Finanzverwaltung werden zudem Unterlagen erwähnt, die nicht den auswertbaren Daten zuzuordnen sind, sondern elektronische Handelsbriefe und andere elektronische Dokumente umfassen können. Es bleibt daher eine Unsicherheit, welche Daten der Steuerprüfer in vielleicht erst 10 Jahren auswerten und prüfen will.
In welchem Format sollen eingehende elektronische Dokumente aufbewahrt werden?
Einerseits sollen Daten und Unterlagen gemäß § 146, Abs. 4 AO nicht geändert werden, andererseits sollen Daten für einen, angesichts der kurzen Innovationszyklen der Informationstechnik, sehr langen Zeitraum lesbar und sogar auswertbar vorgehalten werden. Für strukturierte Daten in Datenbanktabellen kann dies noch nachvollzogen werden, für Dokumente in proprietären Dokumentformaten wird dies jedoch schwierig. Derzeit gilt der Grundsatz: Originalformate nicht ändern, sondern so aufbewahren, wie sie entstanden sind.
Hier widerspricht die Forderung nach Unveränderbarkeit der Daten der Notwendigkeit, Unterlagen auch noch in 10 Jahren lesbar, bzw. nach GDPdU sogar auswertbar zu machen. Die Finanzbehörden fordern zum Teil heute, empfangene E-Mail mit einem Dateianhang aufzubewahren. Handelt es sich bei dem Anhang zum Beispiel um ein Kalkulationsdatei, die versionsabhängig sogar ausführbaren Programmcode enthält (Beispiel: ein Excel Spreadsheet mit aktiven Makros), ist es sehr fraglich, ob diese Datei noch korrekt in 10 Jahren angezeigt werden kann. Selbst das Vorhalten der Software, mit der diese Datei erzeugt wurde, ist technisch und wirtschaftlich kaum möglich. Der Empfänger der E-Mail kann zudem nicht kontrollieren, in welchem Format und in welcher Form er eine Datei erhält. Das Unternehmen darf aber nicht aus eigenem Ermessen die Originalformate in ein seiner Meinung nach langzeitig stabileres Format wie XML, PDF oder TIFF etc. überführen, da hierbei sowohl die Auswertbarkeit der originären Kalkulationsdatei verloren geht und zweitens der Grundsatz der nachweislich unveränderten Aufbewahrung durchbrochen wird. Bleibt nur die Möglichkeit, kontrolliert eine Archivkopie (Rendition) zusätzlich zu erzeugen und unter dem gleichen Index zusammen mit dem Original wiederauffindbar zu machen.
Wie sind redundante Daten in Vor- und Nebensystemen zu handhaben?
Bereits viele mittelständische Unternehmen betreiben Vor- und Nebensysteme in denen steuerrelevante Daten erzeugt werden. Hierzu können Zeiterfassungs-, Reisekostenabrechnungs-, E-Billing-, Lagerbestandsverwaltungs-, EDI-Übermittlungs-, E-Commerce-, E-Business- und viele andere Anwendungen gehören. Diese Systeme geben Daten häufig automatisiert an andere Systeme weiter, zum Beispiel zur Verbuchung. Für viele Anwender stellt sich hier die Frage, ob man die Quelldaten aus diesen Systemen löschen darf, wenn sichergestellt ist, dass alle Daten ohne Verdichtung im nachgelagerten Buchhaltungssystem abgelegt und sie dort für den Datenzugriff vorgehalten werden.
Wenn eine vollständige, unverdichtete Übergabe der Daten in das kaufmännische System sichergestellt und nachvollziehbar ist, können die Quelldateien eigentlich gelöscht werden. Häufig werden sie außerdem in den Ursprungssystemen in proprietären Formaten vorgehalten, die keine direkte Auswertung zulassen. Strittig ist derzeit, wie mit originär elektronischen Daten umzugehen ist, die in einem Vor- oder Nebensystem verarbeitet und dabei transformiert werden. Die originäre Information wäre dann nach dem Löschen der Bestands- oder Übergabedateien nicht mehr vorhanden und die Prüfbarkeit gegebenenfalls eingeschränkt.
Wie sollen sich verändernde Stammdaten vorgehalten werden?
Zu Buchungssätzen in kaufmännischen Systemen gehören immer Stammdaten wie z.B. Kreditoren- und Debitoren-Daten, Kontenspiegel etc. Nur durch die referenzierten Stammdaten lassen sich Buchungen vollständig und richtig auswerten. Solche Stammdaten können sich ändern. Umfirmierung von Lieferanten, Fusionen von Kundenunternehmen, Aufteilung von Konten bei sich verändernder Besteuerungsgrundlage und andere Veränderungen, die sich in den Stammdaten niederschlagen, sind über einen Zeitraum von Jahren eher der Regelfall als die Ausnahme. In mehreren Veröffentlichungen haben die Finanzbehörden darauf hingewiesen, dass frühere Stammdaten vor-gehalten werden müssen. Es stellt sich nun die Frage, ob und wie solche Veränderungen versioniert und historisiert werden müssen.
Heute übliche Buchhaltungsanwendungen sind auf solche Veränderungen nicht eingerichtet. Sie besitzen nicht die Möglichkeit, zu einem Buchungssatz den jeweiligen Stand der zugehörigen Stammdaten zu sichern. Die Forderung der Finanzbehörden ist daher mit heutigen Mitteln kaum zu realisieren.
Was ist bei einer System- oder Software-Migration zu tun?
Der technologische Wandel zwingt Unternehmen heute in mehr oder weniger kürzeren Abständen zur Aktualisierung und Anpassung ihrer Hard- und Softwaresysteme. Hierbei müssen Programme und zugehörige Daten auf neue Plattformen und in aktualisierte Betriebssystemumgebungen gebracht werden. Auch Buchhaltungs- und andere kaufmännische Softwaresysteme unterliegen Updates und Anpassungen. Wie bereits mehrfach in den vorangegangenen Fragestellungen diskutiert, ergibt sich hier für den Anwender ein Widerspruch: Einerseits muss die Information unveränderbar gespeichert werden, andererseits muss sie aber auch in einer veränderten technischen Umgebung nach 10 Jahren noch vollständig lesbar bzw. auswertbar bereitgestellt werden können.
Bei einer Migration von Systemen oder Anwendungen müssen Daten umkopiert werden. Hiervon sind meistens die Verwaltungs-, Zugriffs- und Stammdaten betroffen, auch wenn die Nutzdaten weiterhin unverändert auf einem Speichersystem gehalten werden können. Müssen alle Daten im Rahmen einer Migration umkopiert werden, so werden sie ausgelesen und erneut geschrieben. Hierbei verändern sich auch Systeminformationen wie z.B. das Speicherdatum und Speicherorte. Bei einer Migration von Anwendungen und Speichersystemen mit steuerrelevanten Daten und handelsrechtlich relevanten Dokumenten entsteht so eine rechtliche Grauzone. Nur durch Protokollierung des gesamten Prozesses mit Nachweis, dass alle Daten vollständig und unverändert migriert wurden, kann das rechtliche Risiko eingeschränkt werden. Gehen bei einer Migration Daten verloren oder wurden Daten verändert, so liegt dies in der Verantwortung des Steuerpflichtigen. Bei Systemwechseln oder Anpassungen der vorhandenen Systeme ist daher besonders sorgfältig vorzugehen, es sind Sicherheitskopien zu fertigen, die Verfügbarkeit und Vollständigkeit ausführlich zu testen sowie die Leistungen von Programmierern oder Systemhäusern entsprechend sorgfältig zu prüfen.
Wie viel Spielraum bietet der Grundsatz der Verhältnismäßigkeit?
In der GDPdU ist der Grundsatz der Verhältnismäßigkeit verankert. Die Ermöglichung des Zu-griffs nach Z1 und Z2 sowie die Bereitstellung von Datenträgern im Rahmen von Z3 geschehen auf Kosten des Steuerpflichtigen.
Es kann vom Steuerpflichtigen jedoch nicht verlangt werden, ein seit Jahren nicht mehr installiertes Programmsystem wieder in Betrieb zu nehmen, wenn Hard- und Software des Unternehmens dies nicht mehr gestatten und die Daten für die Prüfung elektronisch weiterhin auswertbar vorliegen. Auch gibt es Einschränkungen für die Bereitstellung von Arbeitsplatz und Rechnerausstattung in kleinen Unternehmen, die letztlich nach der Betriebsprüfungsordnung BPO nur eine Prüfung mittels Z3 zulassen werden. Trotz einiger Aussagen von Vertretern der Finanzbehörden kann dem Steuerpflichtigen nicht auferlegt werden, nicht mehr benötigte DV-Systeme weiterhin betriebsfähig vorzuhalten, wenn die Prüfung auf Basis von Daten in neuen Systemen oder mittels Z3 erfolgen kann. Wie weit der Spielraum des Grundsatzes der Verhältnismäßigkeit reicht, wird allerdings erst die Prüfungspraxis zeigen.
6. Begriffsklärungen
AO
Abgabenordnung. In der Regel ist die Abgabenordnung vom 16.03.1976 gemeint (AO 1977, BGBl. I S. 613, ber. 1977 I S. 269) mit den jüngsten Änderungen durch Gesetz vom 26.06.2001 (BGBl. I 2001 S. 1310). Vorschriften zur Aufbewahrung von Daten und Unterlagen finden sich vor allem in den §§ 146 und 147 AO. Beide Paragraphen sowie § 200 wurden mit Wirkung zum 1.1.2002 geändert.
HGB
Handelsgesetzbuch vom 10.05.1897 (RGBl. S. 219; BGBl. III 4100-1). Zuletzt geändert durch Gesetz vom 30.03.2000 (BGBl. I 2000 S. 330). Aufbewahrungsrelevante Vorschriften finden sich vor allem im Dritten Buch (Handelsbücher), erster Abschnitt (Vorschriften für alle Kaufleute) in § 239 sowie in Hinblick auf aufbewahrungspflichtige Dokumente in § 257 HGB.
GDPdU
Die „Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen“ sind im Bundessteuerblatt als BMF-Schreiben vom 16.7.2001 veröffentlicht worden. Die GDPdU beschreiben, wie Steuerprüfungen mit elektronischem Datenzugriff ab dem 1.1.2002 durchgeführt werden.
GoBS
Die „Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme“ wurden von der AWV Arbeitsgemeinschaft für wirtschaftliche Verwaltung erarbeitet und mit einem zugehörigen BMF-Schreiben im Bundessteuerblatt im November 1995 veröffentlicht. Die Referenzierung GoBS bezieht sich auf beide zusammengehörige Dokumente.
IDEA
Die Abkürzung IDEA steht für „Interactive Data Extraction and Analysis“ und ist der Name der Prüfsoftware, mit der die Finanzbehörden die Außenprüfer ausgestattet haben. Mit der IDEA-Software werden Analysen der nach Z3 überlassenen Daten durchgeführt. Der IDEA-Beschreibungs-standard definiert ein XML-Format für die Strukturierung, Übergabe und Speicherung von Daten, die mit IDEA direkt verarbeitet werden können.
Außenprüfung
Die GDPdU beziehen sich auf verschiedene Formen der Außenprüfung. Hierzu gehören die Allgemeine steuerliche Betriebsprüfung, die Umsatzsteuer-Sonderprüfung und die Lohnsteuer-Außen-prüfung. Elektronisch geprüft werden vorrangig Finanzbuchhaltung, Anlagenbuchhaltung und Lohnbuchhaltung sowie andere Bereiche des Datensystems, soweit sich hier steuerrelevante Daten befinden.
Archivierung
Der Begriff Archivierung im Sinne elektronischer Archivierung wird lediglich in den GoBS und den GDPdU benutzt. In Bundesgesetzen und anderen Verordnungen wird im Übrigen medienunabhängig nur von Aufbewahrung, Speicherung und Datensicherung gesprochen.
Revisionssichere elektronische Archivierung
Nach den „Grundsätzen der elektronischen Archivierung“ des VOI Verband Organisations- und Informationssysteme werden solche elektronischen Archivsysteme als revisionssicher bezeichnet, die den Anforderungen der §§ 146, 147 AO, §§ 239, 257 HGB sowie der GoBS vollständig entsprechen. Der Begriff „Revisionssicherheit“ ist gesetzlich nicht verankert und es existiert keine offizielle Zertifizierung für „revisionssichere“ Archivsystemprodukte.
WORM
Mit dem Begriff WORM als Abkürzung für „Write Once Read Many“ werden Speichermedien und Speichersysteme bezeichnet, die mittels physischer Eigenschaften des Mediums oder abgesicherter Software in einer geschlossenen Systemumgebung die Unveränderbarkeit und Nichtlöschbarkeit gespeicherter Informationen sicherstellen. WORM ist dabei heute als Verfahren anzusehen, da die physische Eigenschaft der Unveränderbarkeit allein nicht ausreichend ist, um das geordnete, vollständige, unveränderte und abgesicherte Wiederfinden, Bereitstellen und Anzeigen von Informationen zu gewährleisten.
7. Quellen
AO Abgabenordnung
Bundesgesetzblatt BGBl. I S. 613, ber. 1977 I S. 269; BGBl. I 2001 S. 1310.
Bundesministerium der Finanzen
Fragen und Antworten zum Datenzugriffsrecht der Finanzverwaltung. BMF Bundesministerium der Finanzen, Referat IV D2, Berlin, März 2003. Abrufbar auf der Webseite des BMF.
BpO Betriebsprüfungsordnung
Bundessteuerblatt 2001, BStBl. Teil I, S. 368f; S. 502f
GDPdU Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen
BMF-Schreiben vom 16.7.2001, Bundessteuerblatt 2001, BStBl. Teil I, Seite 415 ff
GoBS Grundsätze ordnungsgemäßer DV-gestütz-ter Buchführungssysteme
BMF-Schreiben vom 7.11.1995, Bundessteuerblatt 1995, BStBl. Teil I, Seite 738 ff
Henstorf, Karl-Georg; Kampffmeyer, Dr. Ulrich; Prochnow, Jan
Grundsätze der Verfahrensdokumentation nach GoBS. VOI Code of Practice 2. VOI-Schriftenreihe Kompendium Band 4, VOI Verband Organisations- und Informationssysteme e.V., Darmstadt, 1999.
Hentschel, Bernd
Digitale Betriebsprüfung. eDatenzugriff der Finanzverwaltung. Datakontext Verlag, Frechen, 2002.
HGB Handelsgesetzbuch
Stand Oktober 2002
IDW Institut der Wirtschaftsprüfer
Entwurf IDW Stellungnahme zur Rechnungslegung: Grundsätze ordnungsgemäßer Buchführung bei Einsatz von Electronic Commerce. IDW ERS FAIT 2. Rechnungslegung und Prüfung beim Einsatz von Informationstechnologie, IDW-Verlag GmbH, Düsseldorf, 2003.
IDW Institut der Wirtschaftsprüfer
Entwurf IDW Stellungnahme zur Rechnungslegung: Grundsätze ordnungsgemäßer Buchführung bei Einsatz von Informationstechnologie. IDW ERS FAIT 1. Rechnungslegung und Prüfung beim Einsatz von Informationstechnologie, IDW-Verlag GmbH, Düsseldorf, 2003.
Kampffmeyer, Dr. Ulrich
GDPdU – ein Entwurf wird Realität. PROJECT CONSULT Newsletter 20010710Newsletter 20010710. PROJECT CONSULT Unternehmensberatung, Hamburg, 2001. Abrufbar auf der Webseite von PROJECT CONSULT. Kampffmeyer, Dr. Ulrich
Elektronische Steuerprüfung – Was kommt auf die Unternehmen zu? BIT, Heft 5, 2001, Weinbrenner Verlag, Stuttgart, 2001.
Kampffmeyer, Dr. Ulrich
GDPdU – Datenzugriff und Prüfbarkeit digitaler Unterlagen. nfd Nachrichten für Dokumentation, Heft 8, Darmstadt, 2001.
Kampffmeyer, Dr. Ulrich
What an IDEA! DoQ, Heft 5, 2002, H&T Verlag, München, 2002.
Kampffmeyer, Dr. Ulrich; Rogalla, Jörg
Grundsätze der elektronischen Archivierung. VOI Code of Practice 1. VOI-Schriftenreihe Kompendium Band 3, VOI Verband Organisations- und Informationssysteme e.V., Darmstadt, 1997.
Lindgens, Bernhard
So prüft die Finanzverwaltung. Creditreform, Heft 4, 2002, Neuss, 2002.
StSenkG Steuersenkungsgesetz
Bundesgesetzblatt 2000, BGBl.Teil I, S. 1433 ff
Tsambasis, Konstantinos
Die digitalen Archivierungspflichten gemäß den Grundsätzen §§ 145-147 AO unter Bezugnahme auf das Schreiben des Bundesministers der Finanzen vom 16. Juli 2001 zu GDPdU – IV D 2 – S 0316 – 136/01. Digitale Aufbewahrungspflichten, REVIDATA AG, Düsseldorf, 2002.
VOI Verband Organisations- und Informationssysteme e.V.
PK-DML Prüfkriterien für Dokumentenmanagement-Lösungen. VOI-Schriftenreihe Band 5, VOI Verband Organisations- und Informationssysteme e.V. in Zusammenarbeit mit dem TüVIT, Darmstadt, 2000.
Zöller, Bernhard; Brand, Thorsten; Geis, Dr. Ivo
Fragen und Antworten zur GDPdU, August 2002. Abrufbar auf der Webseite von Zöller & Partner.
Zöller, Bernhard
Missverständnisse der GDPdU, DOQ Heft 5, 2001, H&T Verlag, München, 2001.
Zöller, Bernhard
Elektronische Archivierung: Kein Druck vom Finanzamt; Computerwoche Extra August 2002, IDG Verlag, München, 2002.
Zöller, Bernhard
GDPdU: Was sind revisionssichere Medien?, Rubrik Bit kontrovers, BIT, Heft 2, 2003, Weinbrenner Verlag, Stuttgart, 2003.
Webseiten
Metadata