von Dr. Ulrich Kampffmeyer, Geschäftsführer der PROJECT CONSULT Unternehmensberatung GmbH
E-Mail: Ulrich.Kampffmeyer@PROJECT-CONSULT.com
Zweiter Teil des Artikels. Teil 1 erschien im Newsletter 20091021Newsletter 20091021, Teil 3 des Beitrages erscheint in der nächsten Newsletterausgabe 20091217.
Compliance
Auch wenn es Compliance-Anforderungen schon immer, auch im Ursprungsland des Begriffes - den USA - gab, so haben sie nach den Skandalen um Enron und Worldcom eine brisante Qualität erhalten: neue, strafbewehrte Anforderungen zur Aufbewahrung geschäftsrelevanter elektronischer Informationen. Auch in Europa gab es entsprechende Skandale, ohne dass sich dies in ähnlich rigiden Maßnahmen wie den USA niedergeschlagen hätte.
In der Vergangenheit gab es schon immer eine Reihe von rechtlichen Anforderungen; so musste beispielsweise Finanzbuchhaltungssoftware schon immer Compliance-Standards erfüllen. Mit dem steigendem Aufkommen und der wachsenden Bedeutung von E-Mails und E-Commerce gewann die Notwendigkeit der Dokumentation und elektronischen Archivierung von Geschäftsvorgängen immer mehr Bedeutung.
Compliance ist schwer ins Deutsche übersetzbar
Compliance ist die Übereinstimmung mit und die Erfüllung von gesetzlichen und regulativen Vorgaben.
Betrachtet man die einzelnen Begriffe der deutschen Übertragung der Definition von Compliance „Übereinstimmung mit und Erfüllung von gesetzlichen und regulativen Vorgaben“, dann werden unterschiedliche Aspekte von Compliance-Anforderungen deutlich.
„Übereinstimmung“
Zur Erreichung der „Übereinstimmung“ wird vorausgesetzt, dass es nachlesbare, definierte, offizielle Vorgaben gibt, die die Regeln enthalten, was zu tun ist. Hier ist „Übereinstimmung“ gefordert, ohne das die Regeln meistens eine technische Vorgabe enthalten, wie die Anforderung umzusetzen ist. Dies ist auch sinnvoll, da sich solche Vorgaben nicht an einer Technologie festmachen sollten, die in ein paar Jahren schon wieder obsolet ist. Die Übereinstimmung ist der „statische Aspekt“ von Compliance.
„Erfüllung“
Der Begriff „Erfüllung“ impliziert zweierlei: Einmal, dass die Anforderungen in einer Lösung umgesetzt werden müssen, und zum Zweiten, dass dies ein Prozess ist, keine einmalige Aktion. Das Unternehmen oder die Organisation muss kontinuierlich für die Einhaltung der Vorgaben Sorge tragen. „Erfüllung“ geht dabei meistens über eine rein technische Lösung hinaus und beinhaltet auch organisatorische und Management-Aspekte. Die kontinuierliche Erfüllung ist der „dynamische Aspekt“ von Compliance.
„Gesetzliche Vorgaben“
Hierbei handelt es sich um Gesetze oder behördliche Verordnungen, die bestimmte Unternehmen, Organisationen oder Personen verpflichten, die jeweils aufgeführten Regelungen einzuhalten. Hier kann man sich auch nicht um die Erfüllung „drücken“, lediglich in Hinblick auf Auslegung, Umfang und Umsetzungsweise besteht Handlungsspielraum.
„Regulative Vorgaben“
Man unterschiedet zwischen „rechtlich“ und „regulativ“, da es eine Reihe von Vorgaben, die nicht direkt auf Gesetzen basieren wie z.B. Normen, Standards, Codes of Best Practice oder andere Vorgaben. Vielfach ergeben sich aus gesetzlichen Vorgaben für einen Anwendungsfall auch Auswirkungen und implizite Anforderungen für andere Fälle. Diese werden als „regulative Vorgaben“ abgegrenzt.
Unterschiedliche Auswirkungen
Grundsätzlich gelten alle gesetzlichen, rechtlichen und regulativen Vorgaben auch in der elektronischen Welt. Häufig sind die Anforderungen der IT-Welt jedoch noch nicht oder nicht direkt enthalten und müssen daher adäquat abgeleitet werden.
„Direkte Betroffenheit“
Dies betrifft besonders Gesetze und gesetzesgleiche Verordnungen, die in jedem Fall eingehalten werden müssen. Hier kann man lediglich den Umfang und die Ausprägung interpretieren. Neben generell gültigen Vorgaben treten besondere, die auf die Branche oder Geschäftstätigkeit bezogen sind.
„Indirekte Betroffenheit“
Hier beginnt die große Grauzone, wo es darum geht, zunächst die für das Unternehmen oder die Organisation zutreffenden Regelungen zu ermitteln und zu bewerten. So betrifft beispielsweise Basel II nicht nur die Banken, sondern jedes kreditnehmende Unternehmen, da die Dokumentations- und Transparenzauflagen an die Kunden weitergegeben werden. Für direkte und indirekte Auswirkungen gibt es zahlreiche Compliance-Regeln, die sowohl die herkömmliche Papierdokumentation wie auch die eingesetzte EDV betreffen.
Der bindende Charakter einer Vorgabe kann also sehr unterschiedlich sein. Nicht zuletzt Steckdosen, Lebensmittel, Flugzeuge, elektrische Geräte, Medikamente, Kindergärten, Bildschirme usw. müssen auch bestimmte Compliance-Anforderungen erfüllen, die sich beispielsweise in Prüfsiegeln niederschlagen.
Information Management Compliance
Ein Abgleich der unterschiedlichen Anforderungen und Ausprägungen mit dem, was heute unter dem Schlagwort „Compliance“ bei informationstechnologischen Lösungen verstanden wird, zeigt aber große Unterschiede. Daher wird im Folgenden konkreter im Sinne von „IMC“, „Information Management Compliance“, gesprochen.
Information Management Compliance ist die Übertragung des Compliance-Begriffes auf die Handhabung von Informationen. Sie spielt eine besondere Bedeutung bei der Nutzung von Informationssystemen, die Compliance-Anforderungen unterliegen. Dies beschränkt sich nicht auf Dokumentenmanagement- und Archivsysteme sondern umfasst alle Informationssysteme im Unternehmen.
Information Management Compliance darf nicht isoliert betrachtet werden.
Compliance muss Bestandteil der Corporate Governance des Unternehmens und ständiger Begleiter aller Prozesse werden.
Compliance-Vorgaben
Beim Thema Compliance geht es direkt um die Umsetzung von Anforderungen in Organisation und Technik. Grundlage sind aber auch hier Vorgaben der Governance im Unternehmen und Regelwerke, Policies im Englischen, die den Umgang mit Information verbindlich machen. Hier greifen Governance und Compliance direkt ineinander. Führungs-, Organisations- und Technik-Aspekte lassen sich hier nicht mehr trennen. Da immer mehr Information originär elektronisch entsteht und ein Ausdruck in Papier nur eine mögliche Form der Repräsentation des originär elektronischen Inhalts darstellt, muss sich die gesamte Organisation des Unternehmens auf die elektronische Welt einlassen und Informationssysteme bei allen Governance- und Compliance-Fragen berücksichtigen.
Die Verantwortung für die Einhaltung von Compliance-Vorgaben liegt bei Vorständen, Aufsichtsräten und Geschäftsführern.
Man sollte sich auch in diesem Umfeld auf verschärfte Vorgaben einrichten, wie sie zum Beispiel in den USA mit dem Sarbanes-Oxley Act, e-Discovery oder dem Patriot Act bereits gang und gäbe sind. Mit der sogenannten 8. Direktive wurde bereits eine Richtlinie der Europäischen Kommission verbindlich, die ähnlich wie der Sarbanes-Oxley Act die Prüfung der Unternehmen regelt und damit auch automatisch eine Brücke zwischen Compliance- und Governance-Fragen schlägt.
Ausgewählte internationale Vorgaben
Basel II
Als gutes Beispiel für direkte und indirekte Auswirkungen der Gesetzgebung kann Basel II angeführt werden. Mit Basel II wird die Neugestaltung der Eigenkapitalvorschriften der Kreditinstitute bezeichnet. Finanzdienstleister müssen umso mehr Eigenkapital vorhalten, je höher das Risiko des Kreditnehmers ist. Auch wenn man in Bezug auf die Kreditvergabe und die Dokumentationspflichten hier zunächst nur an die Banken denkt, hat Basel II auch erhebliche Auswirkungen auf alle Unternehmen.
Ziel von Basel II ist es, die Stabilität des internationalen Finanzsystems zu erhöhen. Dazu sollen die Risiken im Kreditgeschäft besser erfasst und die Eigenkapitalvorsorge der Kreditinstitute risikogerechter ausgestaltet werden.
Basel II hat eine Vielzahl von Auflagen für die Dokumentation nach sich gezogen, die in einer elektronischen Welt nur mit Informationsmanagementlösungen vollzogen werden können.
Ausgewählte europäische Vorgaben
Auf europäischer Ebene werden durch die Europäische Kommission zahlreiche Richtlinien entwickelt, die von den Mitgliedstaaten in nationales Recht überführt werden müssen. Bereits durch die Richtlinien zum E-Commerce und zur elektronischen Signatur ist eine Reihe von Anforderungen für Compliance entstanden. Der elektronische Geschäftsverkehr und die Umstellung der öffentlichen Verwaltung auf elektronisch unterstützte Verfahren werden weitere Compliance-Anforderungen nach sich ziehen.
Beispiele für europäische Richtlinien mit Gesetzescharakter, die Bedeutung für die Rechtskraft elektronischer Dokumente besitzen und Dokumentationspflichten nach sich ziehen, sind z.B.:
„E-Commerce“
E-Commerce-Richtlinie, die genau festlegt, was im elektronischen Geschäftsverkehr erlaubt und verboten ist. Hierzu gehören auch Nachweis- und Dokumentationspflichten.
„E-Signatur“
Basis für die Signaturgesetzgebung in der EU ist die EG-Richtlinie 1999/93/EG
Sie definiert die Vorgaben für die Regelungen elektronischer Signaturen, die durch die Mitgliedstaaten und die anderen Staaten des europäischen Wirtschaftsraumes in nationalen Gesetzen umgesetzt werden. Der Einsatz der elektronischen Signatur ersetzt unter bestimmten Voraussetzungen das Papier. Die elektronische Signatur ist daher Bestandteil zahlreicher Compliance-Regelungen.
Zahlreiche andere Richtlinien der Europäischen Kommission haben ebenfalls Compliance- und Dokumentationspflichten nach sich gezogen. Hierzu gehört auch Solvency II. Die größte Wirkung entwickeln jedoch zurzeit die sogenannte 8. Direktive und die europäische Dienstleistungsrichtlinie.
Solvency II
Solvency II ist ein Projekt der EU-Kommission zu einer grundlegenden Reform des Versicherungsaufsichtsrechts in Europa, vor allem der Solvabilitätsvorschriften für die Eigenmittelausstattung von Versicherungsunternehmen. Am 10. Juli 2007 hat die Europäische Kommission einen Vorschlag für eine Solvency II-Rahmenrichtlinie dem Europäischen Parlament und Rat vorgelegt. Eine Verabschiedung der Richtlinie ist für Ende 2008 geplant. Nach Erlass der entsprechenden Durchführungsbestimmungen wird Solvency II voraussichtlich von 2012 an national umgesetzt.
Wie bei Basel II wird ein 3-Säulen-Ansatz verfolgt, anders als bei der Bankenbranche stehen aber weniger die Einzelrisiken, als vielmehr ein ganzheitliches System zur Gesamtsolvabilität im Zentrum. Neben quantitativen (steht jederzeit ein ausreichendes Solvenzkapital zur Verfügung?) werden hier auch qualitative Aspekte (besteht ein adäquates Risikomanagementsystem im Unternehmen?) betrachtet.
8. Direktive
Die 8. Direktive (auch 8. EU-Richtlinie oder Euro-SOX genannt) ist in der europäischen Gemeinschaft bereits seit dem 29.06.2006 in Kraft und musste bis zum 29.06.2008 in nationales Recht umgesetzt werden. Sie enthält ausführliche Vorschriften über die Durchführung der Abschlussprüfung von Jahresabschlüssen sowie über damit verbundene Anforderungen an den beauftragten Abschlussprüfer. Die 8. Direktive verfolgt das Ziel, international einheitliche Regelungen für die Prüfung des Finanzabschlusses zu schaffen.
Die 8. Direktive betrifft in erster Linie also die Wirtschaftsprüfer sowie alle Unternehmen, die Finanzabschlüsse tätigen müssen. Aus ihr leiten sich eine Reihe von Offenlegungs- und Dokumentationsanforderungen ab. Die Nachvollziehbarkeit der Abschlüsse ist eine wesentliche Voraussetzung, die geordnete Ablagen mit vollständigen und inhaltlich richtigen Dokumentationen voraussetzt.
Dienstleistungsrichtlinie
Die EU-Dienstleistungsrichtlinie, die bis Ende 2009 in nationale Gesetzgebung umzusetzen ist, soll die Zulassung von Dienstleistungserbringern in der EU vereinfachen. Die Dienstleistungsrichtlinie hat den Abbau von bürokratischen Hindernissen und zwischenstaatlichen Hemmnissen sowie die Förderung des grenzüberschreitenden Handels mit Dienstleistungen zum Ziel. Alle Verfahren und Formalitäten müssen zukünftig elektronisch durchgeführt werden können. Dementsprechend sind elektronische Informationsangebote, die Möglichkeit elektronischer Kommunikation zwischen Dienstleistern und Ansprechpartnern oder zuständigen Stellen gefordert, aber auch die ganzheitlich elektronische Abwicklung von kompletten Verwaltungsverfahren. Ein weiterer bedeutender Bestandteil der Forderungen der Richtlinie ist auch der Datenaustausch zwischen den Verwaltungen der europäischen Staaten.
Ausdrücklich hat die EU Kommission in dem zugehörigen Handbuch deutlich gemacht, dass die Richtlinie nicht mit einfachen Mitteln der elektronischen Kommunikation realisiert werden soll, wie z.B. über Internetportale oder E-Mail, vielmehr ist eine integrierte Entwicklung IT-gestützter Kommunikation zwischen den öffentlichen Verwaltungen und deren Zielgruppen gewünscht. Verwaltungsverfahren müssen also vollständig durch Online-Interaktionen oder gar -Transaktionen unterstützt werden und ausländischen wie auch einheimischen Dienstleistungsanbietern zugänglich sein. Erstmals ist also ein rechtlicher Zwang zur Realisierung von e-Government-Anwendungen gegeben. Als IT-Basisdienste wurden folgende Komponenten identifiziert: Elektronischer Zugang, Portale, Wissensmanagement, Verwaltungsnetze, Elektronische Identifizierung, e-Signatur, Formularservice, Online-Zahlverfahren, Verschlüsselung, Dokumentenmanagement und Dokumentensafe. Vor dem Hintergrund der Behörden- und Länderübergreifenden Verwaltungsprozesse ist die Festlegung von nationalen und EU-weiten Standards eine der Kernvoraussetzungen.
Ausgewählte Vorgaben aus den USA
In den USA gab es schon sehr lange Compliance-Anforderungen an Softwaresysteme und die Dokumentation von Geschäftsprozessen. Am bekanntesten und am engsten mit dem Begriff Compliance ist jedoch der Sarbanes-Oxley Act verknüpft.
Sarbanes-Oxley Act
Durch die Skandale um ENRON, WorldCom und einige andere Unternehmen rückte das Thema Compliance in den Mittelpunkt des allgemeinen Interesses. Anlass waren „geschönte“ Prüfungen von Wirtschaftsprüfern und die Geschäftsberichte der Unternehmen. E-Mail wurde dabei als eine der möglichen Nachweisquellen für ungesetzliches Handeln entdeckt. Dies führte im Jahr 2002 zum Sarbanes-Oxley Act, allgemein SOA oder SOX abgekürzt. Typisch amerikanisch wurde es nach den beiden Leitern der Kommission benannt, die das Gesetz entworfen hat. Das Gesetz findet Anwendung für alle Unternehmen, die an der New York Stock Exchange gelistet sind.
SOX hat die Aufgabe, die Transparenz und Nachvollziehbarkeit in den Unternehmen bei Prüfungen durch die SEC, Securities und Exchange Commission, zu verbessern.
Unternehmen werden verpflichtet, u. a. ein internes Kontrollsystem für die Rechnungslegung zu unterhalten, die Wirksamkeit der Systeme zu beurteilen und die Richtigkeit der Jahres- und Quartalsberichte beglaubigen zu lassen.
SOX hat in den USA besonders auf Grund von Abschnitt 802 Bedeutung erlangt, weil hier empfindliche Strafen in der Strafgesetzgebung verankert worden sind. Die Zerstörung oder Veränderung von aufbewahrungspflichtigen Unterlagen kann mit bis zu 20 Jahren Gefängnis bestraft werden.
Besonders die Wirtschaftsprüfer legen in ihrer Beratung nunmehr sehr viel Wert auf Compliance, da im Rahmen der Skandale große, namhafte Wirtschaftsberatungsfirmen wie Arthur Andersen vom Markt verschwanden.
e-Discovery
Die in den USA am 1. Dezember 2006 in Kraft getretenen Änderungen der FRCP Federal Rules of Civil Procedure können als signifikanter Wendepunkt von den herkömmlichen papierbasierten hin zu elektronischen Beweisführungsregeln gesehen werden. Die wachsende Bedeutung von elektronisch gespeicherten Daten wurde somit auch durch den obersten Gerichtshof unterstrichen.
Electronic discovery, auch e-discovery oder eDiscovery, bezieht sich dabei auf jeden Prozess bei dem elektronische Daten abgefragt, gefunden, gesichert und gesucht werden, mit dem Ziel, sie bei einem Gerichtsverfahren zu verwenden. Dabei können sämtliche Daten, wie z.B. Texte, Bilder, Datenbanken, Audio-Dateien, Animationen, Webseiten und Programme als Beweis dienen. Die wertvollsten Quellen für strafrechtliche oder zivile Gerichtsverfahren stellen aber oft E-Mails dar.
Nachdem mit Sarbanes-Oxley bereits die elektronische Information vor Gericht aufgewertet worden war schafft eDiscovery nun die rechtliche Grundlage für die Anerkennung elektronsicher Informationen in Gerichtsverfahren. Alle Formen von elektronischen Informationen, nicht nur als Record definierte Dokumente, können als Beweismittel vorgebracht werden. Anders als in Europa und besonders in Deutschland spielt die elektronische Signatur dabei keine Rolle. Bei der Ermittlung gilt das als gültig, was von den ermittelnden Behörden vorgefunden wurde. Bei der Beweissicherung galten bisher nur Papierdokumente als sicherer Nachweis. Durch die Möglichkeiten der elektronischen Recherche ändert sich dies.
eDiscovery wird nicht nur die sichere, unveränderbare Speicherung von Informationen fördern sondern mehr noch den Schutz des Zugriffs und andere Sicherheitsaspekte. Policies zur kontrollierten Entsorgung von Information werden dabei zunehmend wichtiger.
Es sind aber nicht allein SOX und FRCP, die den Druck in bezug auf umfassende Dokumentationsanforderungen im Umfeld der Steuerprüfung und Steuerfahndung erhöht haben.
Viele dieser Regelwerke beziehen sich auf die neu gefassten FSG, Federal Sentencing Guidelines, von 2002, so dass Verstöße mit erheblichen Strafen belegt werden können.
Gesetze und Regularien in den USA haben auch Auswirkungen auf Unternehmen im Ausland, wenn sie Tochtergesellschaften oder Muttergesellschaften amerikanischer Unternehmen sind, oder bestimmte Geschäfte in den USA abwickeln.
SEC
Die United States Securities and Exchange Commission (SEC) sind für die Kontrolle des Wertpapierhandels in den Vereinigten Staaten zuständig. Die SEC wurde als Reaktion auf den Börsenkrach von 1929 im Jahre 1934 durch den Securities Exchange Act gegründet, um eine staatliche Aufsicht über die bis dato unkontrolliert ablaufenden Wertpapiergeschäfte zu schaffen. Ihre Aufgaben sind die Überprüfung des Handels auf Recht- und Ordnungsmäßigkeit und der Einhaltung börsenrechtlicher Anordnungen. Zur Erfüllung dieser Aufgaben wurden ihr umfangreiche legislative, exekutive sowie judikative Kompetenzen eingeräumt, so dass sie manchmal auch als "Vierte Gewalt" bezeichnet wird. Alle Unternehmen, die den amerikanischen Kapitalmarkt nutzen möchten, müssen sich bei der SEC registrieren lassen. Nur wenn die SEC ihr Einverständnis gibt, kann ein Unternehmen sich an der New York Stock Exchange listen lassen. Die SEC stellt sicher, dass die Unternehmen Informationen, die für die Anleger wichtig sein könnten, wie zum Beispiel Informationen über die finanzielle Situation des Unternehmens, veröffentlichen.
Ausgewählte Vorgaben aus Deutschland
In Deutschland wird der Begriff „Compliance“ zwar noch selten verwendet, doch die Anforderungen gibt es schon längst. Die Anzahl der Gesetze und Verordnungen in Deutschland, die Auswirkungen auf die Ausgestaltung von GRC-Lösungen haben, sind schier endlos. Zwei Aspekte sind dabei generell von Bedeutung: zum einen der Rechtscharakter elektronischer Information und zweitens die Nachvollziehbarkeit der Entstehungs-, Nutzungs- und Speicherprozesse der Information. In Deutschland sind BGB und ZPO maßgebliche Gesetze, die sich allgemein mit dem Rechtscharakter von Information beschäftigen. HGB, AO, GAufZ, GoBS und GDPdU beschäftigen sich dagegen sehr konkret mit den Anforderungen, wie Information bereitgehalten werden muss. Ebenso wie beim Thema E-Mail-Archivierung gibt es hier sehr konkrete Vorgaben, die direkt in technischen Lösungen münden. Auch in Deutschland werden die Gesetze, wie BGB, ZPO oder HGB, immer mehr den Anforderungen der Informationsgesellschaft angepasst sowie Richtlinien der Europäischen Kommission in nationales Recht übertragen. In diesem Umfeld kommt der elektronischen Signatur eine besondere Bedeutung zu.
Elektronische Signatur
Der Einsatz der elektronischen Signatur findet sich inzwischen in nahezu allen jüngeren Gesetzen. So z.B. auch bei der elektronischen Rechnung. Zum Vorsteuerabzug berechtigen den Empfänger nach § 14 Abs. 4 Satz 2 UStG nur elektronisch signierte Rechnungen. Da die elektronische Rechnung das Original darstellt, ist es auch elektronisch aufzubewahren. Hier greifen die verschiedenen neuen Gesetze und Regelungen ineinander. Das Signaturgesetz und die Änderungen von BGB Bürgerlichem Gesetzbuch und ZPO Zivilprozessordnung zur Verankerung der elektronischen Signatur finden ihren Widerhall in der Handels- und Steuergesetzgebung. Aktuelle Beispiele sind das EHUG und die Erweiterung des Anwendungsbereiches der GDPdU durch aktuelle Gerichtsurteile. In eine ähnliche Kerbe wie die GDPdU schlägt auch das Gesetz zu den Dokumentationspflichten bei Verrechnungspreisen die Gewinnabgrenzungsaufzeichnungsverordnung (GAUFZ).
EHUG & E-Mails
Das bundesweite Elektronische Handels- und Genossenschaftsregister (EHUG), das am 1. Januar 2007 in Kraft getreten ist, stellt eine digitale Version des Handelsregisters dar. Kapitalgesellschaften sind verpflichtet, ihre Abschlüsse beim elektronischen Bundesanzeiger einzureichen. Verstöße gegen die Offenlegungspflicht werden mit bis zu 25.000 Euro von den Verwaltungsbehörden, welche vom elektronischen Bundesanzeiger informiert werden, geahndet.
Das EHUG hat eine Reihe von Änderungen auch in anderen Gesetzen wie z.B. für GmbHs und AGs nach sich gezogen. Eine Regelung betrifft die Angabe der kompletten Firmierungs- und Verantwortungsangaben in der Signatur von E-Mails. Was längst schon galt wird hierdurch jetzt jedem deutlich gemacht: E-Mails sind Geschäftsbriefe und sind dementsprechend aufzubewahren.
Dabei wird häufig übersehen, dass E-Mails in einen Geschäftszusammenhang gehören und nicht isoliert archiviert werden sollten. Sie müssen zusammen mit anderen Dokumenten in Kunden-, Sach-, Projekt- oder anderen Akten gemeinsam verwaltet werden, damit die Vollständigkeit und Nachvollziehbarkeit des Geschäftsganges gewährleistet ist. Da jeder Mitarbeiter im Unternehmen Empfänger wie Versender von geschäftsrelevanten E-Mails sein kann, ist jedwede technische Lösung durch organisatorische Maßnahmen zu unterfüttern.
GDPDU
Nach den Grundsätzen zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) sind alle steuerlich relevanten Daten auswertbar über den Zeitraum der Aufbewahrungsfristen nach HGB auswertbar aufzubewahren und für Prüfungen zugänglich zu machen.
Die GDPdU sind eine Verordnung, die auf den Änderungen im Steueränderungsgesetz und HGB Abgabenordnung, §§ 146, 147 und 200, basiert. Sie stellen eine Richtlinie für das Vorgehen der Finanzbehörden bei Außenprüfungen dar. Die Unternehmen müssen sicherstellen, dass alle steuerrelevanten Daten identifiziert, unverändert und vollständig und über einen Zeitraum von 10 Jahren aufbewahrt werden. Die originalen Daten müssen vollständig, richtig und auswertbar entweder in den sie erzeugenden Systemen vorgehalten oder aber in elektronische Archive ausgelagert werden. Auch bei den GDPdU spielen inzwischen Dokumente und E-Mails neben den Daten aus ERP- und Buchhaltungssystemen eine zunehmend wichtigere Rolle.
Bereits in einer Reihe von Verfahren vor Finanzgerichten war die Auslegung der GDPdU ein Thema. Während frühere Urteile der Finanzgerichte Rheinland-Pfalz und Hamburg aus dem Jahr 2006 das Recht auf Datenzugriff noch an vielen Stellen eingeschränkt und damit den Steuerpflichtigen unterstützt haben, weisen die Urteile der Düsseldorfer Finanzrichter nun in eine andere Richtung. Beide Entscheidungen vom 5. Februar 2007 beschäftigen sich im Kern mit der Reichweite des Datenzugriffs, also mit dem Umfang, welcher einer digitalen Betriebsprüfung zu Grunde zu legen ist und interpretieren diesen in einer Art, welche über das bisherige Verständnis von Literatur und Verwaltung hinausgeht. Dazu haben die Richter teilweise eigenständige Definition von GDPdU-Begrifflichkeiten vorgenommen und damit neue Diskussionspunkte eröffnet.
Die Finanzbehörde darf im Rahmen des steuerlichen Datenzugriffs auch auf solche Konten der handelsrechtlichen Finanzbuchhaltung zugreifen, auf denen steuerlich nicht abzugsfähige Betriebsausgaben verbucht werden. Auf der Grundlage des § 147 Abs. 1 i. V. m. Abs. 6 AO darf die Finanzverwaltung für Zwecke der steuerlichen Außenprüfung ausschließlich auf Daten zugreifen, die für die Besteuerung von Bedeutung sind. Die vom Datenzugriff betroffenen Unternehmen sind deshalb seit jeher darauf bedacht, das digitale Suchfeld des Betriebsprüfers auf solche Datenbestände zu begrenzen, die vom Sinn und Zweck des Rechts auf Datenzugriff gedeckt sind. Das Finanzgericht Düsseldorf gab der Auffassung des Finanzamts Recht und sah keine ernstlichen Zweifel an der Rechtmäßigkeit des Datenzugriffs auf die ursprünglich gesperrten Konten. Bei den fraglichen digitalen Kontoaufzeichnungen handele es sich um „Bücher“ i.S.d. § 147 Abs. 1 Nr. 1 AO, die – anknüpfend an das Handelsrecht – die Funktion erfüllen, für einen Kaufmann seine Handelsgeschäfte und die Lage seines Unternehmens zu dokumentieren. Die im Rahmen der GDPdU geforderte steuerliche Relevanz kann nicht mit der vom betroffenen Unternehmen angeführten steuerlichen Auswirkung gleichgesetzt werden. Dabei habe sich die eigentliche Steuerrelevanz stets auch daran zu orientieren, inwieweit die in Frage kommenden Unterlagen einen Bezug zur Buchführung aufwiesen und mithin zu deren Verständnis erforderlich seien.
Werden Eingangsbelege beim Steuerpflichtigen gescannt, gespeichert und die Originale anschließend vernichtet, so erstreckt sich das Zugriffsrecht im Rahmen der elektronischen Steuerprüfung auch auf derart erzeugte Datenbestände. Der Steuerpflichtige muss diese Datenbestände so organisieren, dass bei einer zulässigen Einsichtnahme keine geschützten Bereiche des Unternehmens tangiert werden. Der EDV-Zugriff der Finanzverwaltung bezieht sich grundsätzlich auf solche Datenbestände, die originär bereits in elektronischer Form vorliegen. Dies schließt eine Verpflichtung zum Einscannen oder Digitalisieren von Papierdokumenten aus. In Bezug auf den viel diskutierten Umfang einer digitalen Betriebsprüfung stellt sich jedoch vermehrt die Frage, inwieweit digitalisierte Eingangsbelege, deren Papieroriginal vernichtet wurde, dem Betriebsprüfer auch in digitaler Form zur Verfügung zu stellen sind. Das Finanzgericht Düsseldorf gestand dem Finanzamt das Recht zu, auf die fraglichen Belege aus dem System des Unternehmens heraus zuzugreifen und diese am Bildschirm einzusehen. Die Rechtsgrundlage hierfür ergibt sich nach Auffassung der Richter bereits aus § 147 Abs. 6 Satz 1 AO.
Während die bisherige Rechtsprechung eher in Richtung Unternehmensseite tendierte, verschaffen die beiden nun vorliegenden vorläufigen Entscheidungen aus Düsseldorf der Finanzverwaltung einen deutlichen Rückenwind. Die Unternehmen sollten insbesondere das Urteil betreffend die digitalisierten Originalbelege in ihre künftige GDPdU-Strategie einbeziehen und einen adäquaten Datenzugriff nebst Trennung in steuerlich relevante und irrelevante Unterlagen einplanen. Was man in diesem Zusammenhang nicht vergessen sollte, ist das derzeit häufig bemühte Thema der Verfahrensdokumentation. In dem Maße, wie der Außenprüfer selbst solche Systeme für den Z1- und Z2-Zugriff benutzt, wird der Nachweis von ordnungsgemäßer Verarbeitung, Nutzung und Betrieb immer wichtiger.
Mit dem Jahressteuergesetz 2009 erhielten die GDPdU ein „Preisschild“; das Verzögerungsgeld. Kommt ein steuerpflichtiges Unternehmen der Bereitstellung der geforderten Daten und Informationen nicht zeitgerecht nach, können die Finanzbehörden eine Verzögerungsgeld zwischen mindestens 2.500 und 250.000 € verhängen. Damit wird die Bedeutung der GDPdU unterstrichen, die seit 2002 Gültigkeit hat. Die Schonfrist ist vorbei, wie auch die oben aufgeführten Urteile von Finanzgerichten zeigen.
GoBS und GoBIT
In den GoBS, Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme, wird die Behandlung aufbewahrungspflichtiger Daten und Belege in elektronischen Buchführungssystemen sowie in revisionssicheren Dokumentenmanagement- und Archivsystemen geregelt. Die GoBS behandeln dabei auch Verfahrenstechniken wie Scannen und Datenübernahme. Ein wesentlicher Kernpunkt ist das so genannte Interne Kontrollsystem (IKS). Aus HGB, AO und GoBS leiten sich auch die grundsätzlichen Anforderungen an die Dokumentation und Aufbewahrung ab.
Vorgaben für Compliance
• Ordnungsmäßigkeit
• Vollständigkeit
• Sicherheit des Gesamtverfahrens
• Schutz vor Veränderung und Verfälschung
• Sicherung vor Verlust
• Nutzung nur durch Berechtigte
• Einhaltung der Aufbewahrungsfristen
• Dokumentation des Verfahrens
• Nachvollziehbarkeit
• Prüfbarkeit
Die Anforderungen an eine Verfahrensdokumentation sind ebenfalls in den GoBS niedergelegt. Sie stellen quasi eine Übertragung der Anforderungen, die ursprünglich für eine papiergebundene Dokumentation gedacht waren, in die elektronische Welt dar.
Dokumentationspflichten ergeben sich jedoch nicht nur für den handelsrechtlichen und steuerrechtlichen Bereich, sondern gelten auch alle anderen Anwendungsgebiete, die gesetzlich oder regulativ betroffen sind. Die oben aufgeführten Grundsätze aus dem Handelsrecht gelten so im Prinzip für alle Compliance-relevanten Anforderungen.
Zukünftig sollen die GoBS, die bereits aus dem Jahr 1995 stammen, durch die GoBIT, Grundsätze ordnungsmäßiger Buchführung beim IT-Einsatz, abgelöst werden. In den GoBIT, mit denen im Jahr 2010 zu rechnen ist, werden auch Widersprüche aufgelöst, die sich durch jüngere Verordnungen und die technologische Weiterentwicklung ergeben haben. Entwickelt wurden die GoBIT von einer Arbeitsgruppe der AWV Arbeitsgemeinschaft für wirtschaftliche Verwaltung e.V. in Zusammenarbeit mit Verwaltungsexperten, IT-Spezialisten, Wirtschaftsprüfern und Mitarbeitern der Finanzverwaltung.
Ausgewählte Vorgaben aus Österreich
In Österreich sieht die Situation nicht viel anders aus als in Deutschland. Die Unterschiede liegen nur im Detail. Dies ist darauf zurückzuführen, dass die wesentlichen Compliance-Anforderungen auf den europäischen Richtlinien basieren. Auch in Österreich ist analog zum BGB in Deutschland die elektronische Signatur verankert, auch Österreich kennt im Handelsrecht und in der Abgabenordnung ähnliche Bestimmungen wie in Deutschland. Dies gilt z.B. für die Aufbewahrung von elektronischen Informationen in Bezug auf Vollständigkeit, Inhaltsgleichheit, Geordnetheit und Urschriftstreue. Auch wenn die Bereithaltung von Daten zur steuerlichen Prüfung in Österreich in Listenform ausreichend erscheint, ist die Forderung der Auswertbarkeit die Gleiche. Zur Vermeidung des Umsatzsteuerbetruges finden sich natürlich auch die Regelungen zur elektronischen Rechnung wieder.
Unternehmensgesetzbuch
Im Jahr 2007 wurde das UGB Unternehmensgesetzbuch in Kraft gesetzt, dass das bisherige österreichische HGB Handelsgesetzbuch ablöst. Aus dem neuen UGB ergeben sich zahlreiche Informations- und Dokumentationspflichten Unter der Überschrift „Geschäftspapiere und Bestellscheine“ werden die Mindestangaben festgelegt, die für Geschäftsbriefe und ähnliche Dokumente gelten. Es müssen die Firma, die Rechtsform und der Sitz sowie auch Firmenbuchnummer und Gerichtsstand angegeben werden. Die neuen Bestimmungen gelten nicht mehr nur für Geschäftspapiere und Bestellscheine, sondern in Ergänzung zu den Bestimmungen des MedG Mediengesetzes auch für E-Mails und Webseiten.
Grundsätze ordnungsmäßiger Compliance
Seit Ende 2007 gibt es in Österreich die GoC „Grundsätze ordnungsmäßiger Compliance“, die vom Arbeitskreis Compliance der Bundessparte Banken und Versicherungen bei der Wirtschaftskammer Österreich erarbeitet wurden. Die Grundsätze richten sich an diejenigen österreichischen Kreditinstitute, die Geschäfte und Dienstleistungen im Zusammenhang mit Finanzinstrumenten durchführen. Sie wurden u.a. mit dem Ziel entwickelt, aufgrund der großen Anzahl von gesetzlichen Regelungen eine Klarstellung der Verhaltenspflichten zu verfassen und somit auch dem Schutz der Mitarbeiter zu dienen. Die in zehn Kapitel unterteilten Grundsätze behandeln zunächst die Definition, Zwecksetzung sowie die Zielsetzung von Compliance. Gemäß den Grundsätzen ist Compliance ein „Organisationskonzept, dessen Ziel es ist, ein von Fairness, Solidarität und Vertrauen getragenes Verhältnis der Informationssymmetrie zwischen den Kunden, dem Kreditinstitut und den Mitarbeitern zu erreichen, Interessenkonflikte zu bewältigen und die Einhaltung geltender Gesetze und sonstiger (z.B. bankinterner) Regelungen sicherzustellen“. Anschließend werden noch die Punkte Managementverantwortung, Unabhängigkeit, Stellung im Unternehmen, Ausstattung/Ressourcen, Aufgabenbereiche, Konzept der Vertraulichkeitsbereiche und das Outsourcing von Geschäftsfeldern behandelt.
Ausgewählte Vorgaben aus der Schweiz
Selbst die Schweiz hat als nicht EU-Mitglied inzwischen die wesentlichen Gesetze und Verordnungen an die europäischen Vorgaben schrittweise angeglichen. Dies zeigt sich z.B. im Obligationenrecht in den Bestimmungen über die Buchführung OR Art. 957ff, die die Aufbewahrung von Geschäftskorrespondenz, der Bücher und der Buchungsbelege in elektronischer Form regeln.
GeBüV Geschäftsbücherverordnung
Ein wesentliches Dokument ist die GeBüV34), Geschäftsbücherverordnung bzw. die Verordnung über die Führung und Aufbewahrung der Geschäftsbücher. Die GeBüV legt fest, wie die Geschäftsunterlagen geführt und aufbewahrt werden müssen. Sie beinhaltet die Grundsätze der ordnungsgemäßen Buchführung sowie die Grundsätze der ordnungsgemäßen Datenverarbeitung bei elektronisch oder in vergleichbarer Weise geführten Büchern. Die GeBüV hält die Anforderungen an Integrität, zulässige unveränderbare Speichermedien und andere Spezifikationen mit Compliance-Relevanz fest.
Weitere Gesetze regeln sehr dediziert und mit Hinweisen auf geeignete Speichertechnologien und elektronische Signatur die Dokumentations- und Aufbewahrungspflichten auch außerhalb des Handelsrechtes.
Beispielhafte Branchenanforderungen
Neben den Richtlinien, die für alle Unternehmen, Organisationen, Behörden und Personen gleichermaßen gelten, gibt es zahlreiche spezielle Regelungen für bestimmte Branchen, die öffentliche Verwaltung und Geschäftstätigkeitsgebiete. Hierbei gibt es internationale wie auch nationale Regelungen.
Pharma
So ist die FDA Food and Drug Administration aus den USA, mit ihren bindenden Regularien für die Herstellung von Lebensmitteln, Pharmazeutika und Medikamenten auch über die Grenzen der Vereinigten Staaten zu beachten. Bei der Beantragung eines neuen Medikamentes, mit Vorlage von allen Testnachweisen und Produktionsverfahren, hat sich die Anschaffung eines Dokumentenmanagementsystems meistens bereits gelohnt. Die FDA-Kriterien sind abgekürzt unter FDA Part 11 bekannt. Um Herstellungsmethoden zu standardisieren hat die FDA ein Regelwerk mit der Bezeichnung CGMP herausgebracht. Eine grundsätzliche Forderung der FDA ist, dass elektronische Aufzeichnungen äquivalent zu Papieraufzeichnungen sind und elektronische Unterschriften die gleiche Aussagekraft und Eindeutigkeit wie handgeschriebene Unterschriften haben. Auf europäischer Ebene sind die entsprechenden Regularien als GxP mit den Teilen GSP und GMP39 einzuhalten. In diesem Umfeld spielen auch GAMP Good Automated Manufactoring Practice, PharmBetrV und Arzneimittelgesetz eine wichtige Rolle.
Gesundheit
Den Gesundheitssektor in den USA reguliert HIPAA. Im Vordergrund steht die Reformierung der Gesundheitspflege-Industrie. Die Gesetzgebung strebt nach größerer Wirtschaftlichkeit, Verringerung von Schreibarbeiten und einfacher Identifizierung und Weiterverfolgung von Betrug durch die Auferlegung von unterschiedlichen Normen und Sicherheitsmaßnahmen gegen den Missbrauch von gesundheitsbezogenen Angaben des Bürgers. HIPAA beinhaltet so zahlreiche Dokumentations- und Vertraulichkeitsanforderungen, die auch auf Europa ausstrahlen.
Finanz
Neben dem bereits erwähnten Basel II gibt es zahlreiche weitere Vorgaben für die Finanzdienstleistungsbranche, die sich angesichts der Finanzkrise im Jahr 2008 noch verschärfen werden.
Die grundsätzlichen Anforderungen an das Risikomanagement definiert das MaRisk. Die Bundesanstalt für Finanzdienstleistungsaufsicht BaFin hat am 30.10.2007 ihre neu gefassten Mindestanforderungen an das Risikomanagement veröffentlicht. Die MaRisk wurden dabei insbesondere um modernisierte Outsourcing-Standards ergänzt. Ab 1. November 2007 gelten die neuen MaRisk-Regeln für alle Kredit- und Finanzdienstleistungsinstitute.
Auf internationaler Ebene ist die MiFID Markets in Financial Instruments Directive, angesiedelt. MiFID ist die Umsetzung der europäischen Richtlinie 2004/39/EG über Märkte für Finanzinstrumente. Alle diese Richtlinien ziehen umfangreiche Dokumentationsanforderungen nach sich.
Öffentliche Verwaltung
Ein Beispiel für einen detaillierten Standard für den Einsatz elektronischer Vorgangsbearbeitungssysteme in der öffentlichen Verwaltung ist das deutsche DOMEA-Konzept. DOMEA beschreibt die Anforderungen an das Dokumentenmanagement und elektronische Archivierung in der öffentlichen Verwaltung und ermöglicht auch die Prüfung und Zertifizierung von entsprechenden Produkten. DOMEA-Compliance ist bei vielen Ausschreibungen eine Anforderung. Wesentliches Ziel des DOMEA-Konzeptes ist die Einführung der elektronischen Akte. Da für diese die gleichen Gesetze, Geschäftsordnungen, Richtlinien und Vorschriften wie für Papierakten gelten, müssen behördliche Geschäftsprozesse, Vorgangsbearbeitung und Archivierung vollständig in konforme IT-Prozesse überführt werden. Das DOMEA-Konzept liefert dafür Richtlinien, ist aber trotz seiner weiten Verbreitung und der Möglichkeit der Zertifizierung kein genormter Standard. Durch die Zertifizierung von Softwareprodukten hat es aber einen normativen Charakter.
In Österreich wird das Thema Vorgangsbearbeitung in der öffentlichen Verwaltung im Rahmen von ELAK, „Elektronischer Akt“, adressiert. Dabei geht es längst nicht mehr nur um die Vereinfachung und Konsolidierung des Bundes-internen Aktenlaufes sondern auch um den Einsatz in Ländern und Kommunen sowie die Bereitstellung von E-Government-Services für den Bürger.
In der Schweiz werden die Aktivitäten unter dem Namen Geschäftsverwaltung (GEVER) gebündelt. GEVER unterscheidet die Anwendungsfelder Geschäftskontrolle, Prozessführung und Records Management. Unter Geschäftskontrolle ist dabei die Überwachung von Bearbeitungsstatus, Termin etc. gemeint. Die Zuweisung, Ausführung und Nachverfolgung von Vorgängen wird unter Prozessführung zusammengefasst. (Kff)
Anm. d. Red.: Teil 3 erscheint in der Dezember-Ausgabe des PROJECT CONSULT Newsletter.