20030328 \  Gastbeiträge \  Checkliste: Sind Sie fit für den Datenzugriff der Finanzverwaltung?
Checkliste: Sind Sie fit für den Datenzugriff der Finanzverwaltung?
Gastbeitrag von Bernhard Lindgens vom Bundesamt für Finanzen, zusammengestellt von Ahrens & Behrent Agentur für Kommunikation GmbH. Bei dem Beitrag handelt es sich um die aktuelle Version von Herrn Bernhard Lindgens. In verschiedenen Zeitschriften und Webseiten wurde eine Vorgängerversionen publiziert, die durch diese offizielle, freigegebene Version ersetzt wird. Die Änderungen betreffen besonders Aussagen zu Speichermedien.
Beim Datenzugriff der Finanzverwaltung sind die GDPdU und GoBS für alle buchführungspflichtigen Unternehmer, Freiberufler und Selbständige von Bedeutung, die im Rahmen ihrer unternehmerischen Tätigkeit Hard- und Software-Systeme einsetzen. In den meisten Unternehmen werden dabei digitale und nicht-digitale Dokumente erstellt und verarbeitet.
1. Erzeugt Ihr Unternehmen steuerrelevante Vorgänge in digitaler Form?
Zu den digitalen Vorgängen zählen z.B.
   
 ·
e-Mails, die steuerrelevant sind, z.B.
   
 ·
Handelsbriefe, Kalkulationsgrundlagen, vertragliche Vereinbarungen, auch ohne digitale Signatur
 ·
Termin- und Zahlungsvereinbarungen
 ·
Vereinbarung von Rabatten, Lieferterminen, Preisen
   
 ·
Einsatz von Finanzbuchhaltungs-Software
 ·
Einsatz von Materialwirtschafts-Software (z.B. ERP-Anwendungen)
 ·
Einsatz von digitaler Lohnbuchhaltung (z.B. Datev)
 ·
Einsatz von Tabellenkalkulations-Software (z.B. Excel, Lotus)
 ·
Vorgelagerte Systeme z.B. zur Zeiterfassung oder Reisekostenabrechnung
2. Sie setzen Software z.B. in der FiBu, Lohnbuchhaltung, Materialwirtschaft ein. Sichern und archivieren Sie regelmäßig diese Daten?
Viele Unternehmen sind der Ansicht, dass sie mit einem regelmäßigen Back-up ihrer Produktiv-Systeme den gesetzlichen Anforderungen entsprechen. ACHTUNG: Dem ist nicht so! Ein Back-up kann eine Archivierung niemals ersetzen, denn:
   
 ·
Beim Back-up werden Daten komprimiert (sog. „Verkürzung“), ein Verstoß gegen die GoBS und GDPdU.
 ·
Back-ups sind nicht maschinell auswertbar.
 ·
Eine lückenlose, sogenannte retrograde Analyse einzelner Buchungsvorgänge ist nicht möglich.
 ·
Stammdaten z.B. von Kunden ändern sich im Laufe der Jahre. Ein Back-up des Produktiv-Systems im laufenden Kalenderjahr spiegelt den Stand vor mehreren Jahren (6 bis 10 Jahre) nicht mehr korrekt wieder.
 ·
Oft ist es ein nicht zu bewältigender Aufwand, sämtliche Daten des Veranlagungs-Zeitraums in die Produktiv-Systeme zurückzuspielen, da durch neue Releases der Software oder Formatwechsel die Folgen für die Datenbestände nicht absehbar ist.    
TIPP: Setzen Sie geeignete Hard- und Software ein, um den Stand zum jeweiligen Stichtag revisionssicher, d.h. unverfälschbar im Sinne der GoBS zu archivieren. Stellen Sie sicher, dass sämtliche Daten zu einem bestimmten Stichtag wie z.B. Halbjahres-Ultimo konserviert und archiviert werden.
FAUSTREGEL: Wer sich an den Abgabe-Terminen für seine USt.-Voranmeldung orientiert, hat meist wenig Arbeit und übersichtliche, gut strukturierte Daten, denen der übrige Datenbestand einfach und logisch zugeordnet werden kann. Diese sollten maschinell auswertbar sein, ohne sie dazu in Produktiv-Systeme zurückspielen zu müssen.   
3. Sie haben steuerrelevante Daten digital archiviert. Können Sie diese Daten jederzeit lesbar machen?
Dies ist nicht selbstverständlich. Daten, die vor einigen Jahren in den damals gängigen Formaten archiviert wurden, müssen heute keineswegs mehr für moderne Software lesbar sein. Dies gilt auch für heute archivierte Daten in der Zukunft.
TIPP: Erkundigen Sie sich bei den Herstellern der von Ihnen eingesetzten Software, dass Sie die Daten problemlos lesbar machen können, auch in 6 oder 10 Jahren. Lassen Sie sich dies schriftlich bestätigen. Anderenfalls sind Sie im Prüfungsfall gegenüber der Finanzverwaltung verpflichtet und haben die erforderlichen Kosten für die notwendige Datenaufbereitung zu tragen. 
4. Sie haben steuerrelevante Daten digital archiviert (auf MO/WORM oder anderen dafür geeigneten, unverfälschbaren Speichersystemen). Sind diese Daten maschinell auswertbar?
Auch dies ist keineswegs selbstverständlich. Eine Archivierung als .pdf, .tiff oder sonstigen Bilddaten-Formaten, die hierzu von manchen Archivierungs-Anbietern verwendet werden, werden von den Finanzbehörden nicht anerkannt. Auch die Archivierung auf Mikrofilm ist nicht GDPdU-konform.
FAUSTREGEL: Können Sie mit den Auswertungs-Algorithmen, die ihre Produktiv-Systeme bieten, auf die Archiv-Daten zugreifen und diese verarbeiten, sind Sie auf dem richtigen Weg. Oder: Können Sie alle Daten auf einen Datenträger kopieren und diesen problemlos auswerten, sind die Archiv-Daten GDPdU-konform.
5. Ist Ihnen bekannt, welche Daten Sie als steuerrelevant nach GDPdU/GoBS archivieren müssen?
Mit dieser Frage sollten Sie sich in jedem Falle eingehend beschäftigen. Die Finanzbehörden können Ihnen dabei nicht helfen, da jedes Buchhaltungssystem unterschiedliche steuerlich relevante Daten erzeugt. Was beim einen steuerrelevant ist, muss beim anderen eben nicht auch steuerrelevant sein. Problematisch ist auch die Frage nach Zugriffsbeschränkungen für den Prüfer und dem Schutz der Daten Dritter, z.B. von Kunden, Mitarbeitern, Lieferanten, Forschung & Entwicklung – die Verantwortung zum Schutz dieser Daten liegt ausschließlich beim Steuerpflichtigen, ein Verwertungsverbot von „ungerechtfertig erhaltener“ Information besteht für die Finanzbehörden nämlich nicht! Wer Zugriffsbeschränkungen für den Prüfer einbaut, zieht jedoch gerade damit das Interesse auf diese Daten!
TIPP: Machen Sie sich eine Liste aller Vorgänge und Daten, die für die Finanzbehörden von besonderem Interesse sein werden und dokumentieren Sie diese lückenlos für jeden Veranlagungszeitraum – nach Möglichkeit auf getrennten Archivmedien. Haben Sie dabei vor allem im Auge: die Umsatzsteuer-Sonderprüfung, die Lohnsteuer-Außenprüfung und die Anlagenbuchhaltung.
Nicht vergessen: Die Ordner- und Stammdaten und die digital vorhandenen, zugehörigen Belege gehören ebenfalls mit archiviert und auf das einzelne Medium. Stellen Sie die maschinelle Auswertbarkeit des Veranlagungszeitraums sicher, ohne dazu den Zugriff auf den gesamten Datenbestand möglich machen zu müssen! Archivieren Sie trotzdem alle Daten, die in ihrem Unternehmen digital vorhanden sind, denn die letzte Entscheidung, ob Daten steuerrelevant sind oder nicht, hat immer noch der Prüfer. Für diesen Falls sollten Sie alle Daten archiviert haben und nachweisen können!  
6. Sind Ihre Daten unverfälschbar im Sinne der GoBS archiviert während der gesetzlich geforderten Aufbewahrungsfristen von 6 respektive 10 Jahren?
Drei Punkte müssen Sie erfüllen, um hier ein JA zu schaffen:
   
 ·
Was viele nicht wissen: Auch Ihre digitalen Daten aus den vergangenen Jahren sind  GDPdU- und GoBS-konform zu archivieren und aufzubereiten, wenn sie originär digital sind.
 ·
Ihre Daten sind unverfälschbar im Sinne der GoBS archiviert: Manipulationen und Veränderungen nach ihrer Erstellung müssen ausgeschlossen sein und/oder dokumentiert und retrograd abzuwickeln sein, d.h., durch eine Rückwärts-Abwicklung aller Vorgänge muss der ursprüngliche Zustand jedes einzelnen Datensatzes zu rekonstruieren sein (§ 239 Abs. 3 HGB, § 146 Abs. 4 AO) Bei Handelsbriefen und Buchungsbelegen muss das Archivierungsverfahren eine originalgetreue, bildliche Wiedergabe sicherstellen (§ 257 HGB, § 147 Abs. 2 Ziff. 1 AO, Tz. 8.1 GoBS).
 ·
Das von Ihnen verwendete Archivmedium/-system muss unverfälschbar im Sinne der GoBS sein. Dies erfordert auch den Einsatz unverfälschbarer Speichermedien. So verlangt die Finanzverwaltung in den GDPdU bei der Speicherung von zum Vorsteuerabzug berechtigenden elektronischen Rechnungen Datenträger, die Änderungen nicht mehr zulassen.
Achtung! Der Hinweis im Fragen und Antwortenkatalog zum Datenzugriffsrecht der Finanzverwaltung vom 22.8.2002, dass CD-ROMs oder DVDs im ISO-Format für die Datenträgerüberlassung geeignet sind, entbindet ausdrücklich nicht von der Verpflichtung, steuerrelevante Daten unverfälschbar im Sinne der GoBS für den Aufbahrungszeitraum zu archivieren.
7. Erfolgt Ihre Buchhaltung in elektronischer Form ausschließlich intern oder unter Einbeziehung externer Dienstleister wie Steuerberater oder Buchhaltungsfirmen?
Wenn Sie diese Frage mit JA beantworten, sollten Sie genau prüfen und sich von Ihrem Steuerberater auch bestätigen lassen, dass
   
 ·
Seine Kanzlei die GoBS und GDPdU erfüllt.
 ·
In der Kanzlei eine strikte, nachvollziehbare Mandantentrennung sicher gestellt ist. Wie erwähnt, gibt es kein Verwertungsverbot von unberechtigt überlassenen Daten für die Finanzbehörden und so kann es durchaus bei Prüfungen anderer Klienten Ihres Steuerberaters zu Mißverständnissen kommen, wenn der Steuerberater nicht sorgfältig die Datensätze trennt.
 ·
Weg des Austauschs der Daten zwischen Ihrem Unternehmen und dem Steuerberater unverfälschbar im Sinne der GoBS ist. Die originär in Ihrem Unternehmen durch Software erzeugten Daten und digitalen Dokumente sind dazu unverfälschbar im Sinne der GoBS auszutauschen. Die Finanzbehörden behandeln den Steuerberater dabei als Teil Ihres Unternehmens. Ob zur Übergabe der Daten eine e-Mail, CD-R, DVD-R oder ähnliche Möglichkeiten ausreichen, ist eher zu verneinen, da diese Medien nicht unverfälschbar sind und damit die Anforderungen der GoBS an das gesamte System des Steuerpflichtigen nicht erfüllt sind.
8.  Falls Sie ihre Daten verschlüsseln, erlaubt diese Verschlüsselung trotzdem eine einfache maschinelle Auswertbarkeit?
Generell müssen Sie die archivierten Daten immer verschlüsseln, da Sie anderenfalls gegen die gesetzlich vorgeschriebene Sorgfaltspflicht verstoßen, was sogar als Straftatsbestand gewertet und geahndet werden kann. Nach Tz. 5.5.1. GoBS müssen auch wirksame Zugriffskontrollen vorhanden und die Daten damit vor unberechtigten Veränderungen geschützt sein.
Die Verschlüsselungspflicht steht einer einfachen maschinellen Lesbarkeit diametral entgegen. Auch ist bei Verschlüsselungs-Algorithmen die technische Möglichkeit der Manipulation während des Ver- und Entschlüsselungs-Vorgangs denkbar. Auch ist bei vielen heute im Einsatz befindlichen Verschlüsselungs-Programmen/-Algorithmen die Frage, ob diese überhaupt noch in einigen Jahren, wenn die Prüfung kommt, am Markt sind.
TIPP: Sorgen Sie durch den Einsatz geeigneter Verfahren dafür, dass
   
 ·
Sie den gesetzlichen Anforderungen an die Sorgfaltspflicht nachkommen,
 ·
Ver- und Entschlüsselung „on the fly“ bei der Erstellung des Transport- und Übergabemediums erfolgen, damit der Prüfer unverschlüsselte Daten zur Verfügung hat. Der Prüfer ist nicht für die korrekte Verschlüsselung verantwortlich!
 ·
Ein erprobtes Verfahren zum Einsatz kommt, dessen Verfügbarkeit auch in 10 oder 15 Jahren noch sicher gestellt ist. Ein gutes Beispiel dafür erhält mein beim Blick über den Tellerrand der eigenen Branche – bei Finanzinstituten oder Lotteriegesellschaften ist seit über 40 Jahren die sogenannte FBA (File Based Architecture)-Technologie im Einsatz, die allein deswegen auch in der Zukunft immer verfügbar sein wird und für Unternehmen jeder Größe zur Verfügung steht.
9. Besitzt Ihre Finanzbuchhaltungs- und/oder ERP-Software eine AO Schnittstelle zur Archivierung?
TIPP: Diese Frage sollten Sie schriftlich dem Hersteller Ihrer Finanzbuchhaltungs- und/oder Ihrer ERP-Software stellen. Bei positiver Antwort sind Sie auf der sicheren Seite, bei negativer Antwort sollte man Ihnen erklären, wie Ihr System entsprechend den Anforderungen der neuen Abgabenordnung (AO) um- oder aufgerüstet werden kann.
Lassen Sie sich das schriftlich persönlich bestätigen, ein einfacher Hinweis auf der Website des Herstellers oder in der Dokumentation reicht im Regreß-Fall nicht aus!
Diese Fragestellungen sollten Sie an die Hersteller Ihrer FiBU-, und/oder ERP-Systeme richten:
10. Der Außenprüfer verlangt vom zu prüfenden Unternehmen Z3-Zugriff, die Datenträgerüberlassung. Kann Ihr System die Daten so exportieren, dass man diese mit der Prüfsoftware IDEA der Finanzbehörden auswerten kann? Wenn nicht, können die im Unternehmen verwendete Dateiformate problemlos konvertiert werden?
Folgende Datenformate können von der aktuellen Version der Prüfsoftware IDEA problemlos importiert werden und erfüllen damit die Voraussetzung der maschinellen Verwertbarkeit
im Sinne der GDPdU:
 ASCII feste Länge
 ASCII Delimited (einschließlich kommagetrennter Werte)
 EBCDIC feste Länge
 EBCDIC Dateien mit variabler Länge
 Excel (auch ältere Versionen)
 Access (auch ältere Versionen)
 dBASE
 Lotus 123
 Druckdateien
 Dateien von SAP/AIS
 Konvertieren von AS/400 Datensatzbeschreibungen (FDF-Dateien erstellt von PC
 Support/400) in RDE-Datensatzbeschreibungen
 Import durch ODBC Schnittstelle
11. Kann Ihr System auch Informationen über Dateistruktur, Datenfelder und Verknüpfungen in maschinell auswertbarer Form mitliefern?
Auch diese Daten müssen für den jeweiligen Veranlagungs-Zeitraum unbedingt maschinell lesbar und auswertbar sein. Welche Einschränkungen sind eventuell zu beachten?
Konnten Sie die Fragen 1-9 mit „JA“ beantworten? Dann haben Sie digitale Unterlagen in Ihrem Unternehmen, die nach GDPdU und GoBS behandelt und auch geprüft werden und Sie haben alle Voraussetzungen erfüllt, die von den Finanzbehörden gefordert werden. Gleiches gilt, wenn Ihr Hersteller die Fragen 10 und 11 mit "JA" beantwortet hat.
Haben Sie oder Ihr Softwarehersteller einzelne Fragen mit „Nein“ beantwortet, sollten Sie sich gezielt daran machen, diese Schwachpunkte zu beheben. Gehen Sie dabei wie folgt vor:
1.  Revisions- und Datensicherheit des gesamten DV-Systems i.S. der GoBS prüfen und gewährleisten
Das DV-System muss den Ansprüchen der Prüf- und Belegbarkeit, der Nachvollziehbarkeit von Stornierungen und Änderungen, der Datensicherheit und der internen Kontrolle, der Dokumentation und der gesetzeskonformen Aufbewahrungsfristen sowie der Wiedergabefähigkeit der gespeicherten Daten genügen.
Mit einbezogen in die Bewertung anhand der GoBS werden neben den Buchhaltungssystemen auch alle Nebensysteme, die der Buchhaltung zuarbeiten oder abgeleitet aus ihr Daten zur Weiterverarbeitung erhalten wie z.B. Warenwirtschaftssysteme.
2.  Gesetzeskonformität der eingesetzten Anwendungen und die Angemessenheit  der Archivierungskonzepte prüfen (Office- und Buchhaltungsanwendungen)
Archivierungskonzepte für Office-Anwendungen prüfen
Die Buchhaltungsanwendungen müssen i.S. der GoBS gesetzeskonform sein. Hier muss auf entsprechende Zertifizierungen geachtet werden, die auch der Gesetzgeber anerkennt.
Archivierungskonzepte für elektronischen Schriftverkehr prüfen (digitale Signatur)
3. Gesetzeskonformität des Archivierungsvorgangs prüfen
Besteht beim Archivierungsvorgang die Möglichkeit, dass Daten verloren gehen oder manipuliert werden?
Besteht die Möglichkeit , dass die Versionierung der Änderungen nicht gewährleistet wird?
Besteht die Möglichkeit, dass die Änderungen nicht nachvollziehbar sind?
4.  Gesetzeskonformität und Robustheit der eingesetzten Datenträger prüfen
Datenträger müssen unverfälschbar im Sinne der GoBS sein. Dies bedeutet, dass einmal archivierte Daten nicht mehr verändert werden können, bzw. die Veränderungshistorie eindeutig dokumentiert werden muss.
Auch der Speichervorgang muss unverfälschbar im Sinne der GoBS ablaufen. Dies können bei weitem nicht alle Medien gewährleisten.
Das Medium muss unter physikalischen Gesichtspunkten die unveränderbare Datenhaltung über den gesetzlich vorgeschriebenen Zeitraum garantieren.
5.  Optimales Archivierungssystem wählen
Effizienz und Einfachheit des Archivsystems testen.
Testen, ob das Archivsystem die durch die GDPdU verlangten Funktionalitäten (lesen, filtern, sortieren) gewährleistet.
Prüfen, ob die Archivierungslösung als GDPdU- und GoBS-konform zertifiziert wurde.
6.  Optimale Lösung unter den Gesichtspunkten Bedarf und Handling wählen
Der Umfang der steuerrelevanten Daten muss präzise geschätzt werden, um Überkapazitäten zu vermeiden.
Die Bedienung der Lösung darf keinen zusätzlichen Schulungsaufwand, bzw. Folgeinvestitionen in IT verursachen.
© PROJECT CONSULT Unternehmensberatung GmbH 1999 - 2016 persistente URL: http://newsletter.pc.qumram-demo.ch/Content.aspx?DOC_UNID=febeb327d3f3422f002572cf00289d05