Categories: Management

Digitale Steuerprüfung: Was IT-Manager dazu wissen sollten

“Kannst du mir das schriftlich geben?” Ein tausendfach ausgesprochener Satz und niemand denkt über die Folgen nach. Was soll das schon für Konsequenzen haben, fragen Sie sich? Die Menschheit hat sich mit ihrem Streben nach mehr Kontrolle und Nachvollziehbarkeit zuletzt vor allem eines aufgehalst: die GDPdU. Die Richtlinie über die ‘Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen’ verlangen, dass elektronisch generierte Dokumente in ihrem Originalzustand verbleiben und so über einen gewissen Zeitraum archiviert werden. Das Regelwerk fordert letztlich von jedem, salopp gesagt, Dokumentenverwalter, egal ob in einer Ein-Mann-Firma oder einem Unternehmen mit 100.000 Mitarbeitern, ein durchdachtes Management der Information sowie ein geordnetes und wieder herstellbares digitales Archiv. Das sind die Konsequenzen.
Die GDPdU gilt seit dem 01. Januar 2002. Das wissen die meisten und dennoch hat sich die Mehrheit noch nicht mit der Richtlinie beschäftigt. Zu verwirrend ist der Dschungel an technischen Voraussetzungen und Anforderungen, die angeblich nur mit ILM (Information Lifecycle Management) zu realisieren sind. ILM selbst hat aber noch so viele Schwachpunkte, dass sich niemand so richtig ran traut. Es hilft grundsätzlich nicht weiter, die GDPdU zu verstehen. Bevor man sich mit der technischen Realisierung befasst, sollten die ‘Grundsätze’ klar sein.

In einem silicon.de-Beitrag vom April 2003 war die ignorante Haltung der Steuerpflichtigen die GDPdU betreffend schon einmal angesprochen worden. Das ist jetzt mehr als ein Jahr her. Immer noch verkennen viele die Brisanz der Lage, auch wenn im vergangenen Jahr wenige Steuerprüfungen elektronisch durchgeführt wurden – meist aus Geldmangel. Angesichts der wirtschaftlichen Lage kann es sein, dass sich daran nichts geändert hat. In der Theorie aber kann der Bilanzprüfer schon heute ins Haus geschneit kommen und wenn dann nicht das System ‘GDPdU-konform’ ist, drohen im schlimmsten Fall Sanktionen. Wann aber ist ein System GDPdU-konform?

Die schlechte Nachricht zuerst: ein Zertifikat, das der Firmen-IT bestätigt, alles Erforderliche zur digitalen Betriebsprüfung getan zu haben, gibt es nicht. Die GDPdU schreibt auch nicht vor, in welchen Formaten Dokumente gespeichert werden müssen. In der Regel arbeitet der Admin mit CD-ROMs oder DVDs, auch das WORM-Format (Write Once Read Many) wird unterstützt. Ansonsten muss er sich darauf verlassen, was Hersteller und Serviceanbieter zum Thema ‘Revisionssicheres IT-System’ sagen. Das ist leider eine ganze Menge, das Stichwort ILM fällt, und aus dem Wust an Informationen gilt es, die passenden Lösungen für die eigene Infrastruktur zu finden.

Davon darf man sich aber nur bedingt beeindrucken lassen. Und das ist die gute Nachricht: Im Grunde hat sich durch die GDPdU nicht viel zur klassischen Steuerprüfung geändert. Zumindest inhaltlich. Es geht wie eh und je um sogenannte ‘steuerrelevante Daten’. Die GDPdU definiert “Anwendungsregeln zur Umsetzung des Rechts auf Datenzugriff”. So hat es das Bundesfinanzministerium in einem Leitfaden zur GDPdU beschrieben. Die Richtlinie beschreibt lediglich das ‘Wie’ der elektronischen Prüfung. Die herausragenden Begriffe wie ‘steuerrelevante Daten’ und ‘maschinelle Auswertbarkeit’ stammen aus Gesetzen, darunter das Handelsgesetzbuch (HGB), die Abgabenordnung (AO) und die Grundsätze ordnungsgemäßer DV-gestützter Buchführungssysteme (GoBS).

Ein Prüfungsverfahren passt sich an

Die Richtlinie beruht auf einer logischen Weiterentwicklung des Geschäftsverkehrs. Gingen zum Beispiel kaufmännische Briefe seit jeher auf dem Postweg vom einen zum anderen oder wurden sie zur Aufbewahrung ausgedruckt, erledigt heute die Datenautobahn den Transfer und die Archivierung. Der Brief liegt nicht mehr als Papier vor dem Kaufmann oder dem Kunden, sondern als Mail im Posteingang des Mailprogramms. Weil die Informationen also elektronisch bleiben, wurden auch moderne Archivierungssysteme erforderlich, die es ermöglichen, Daten wie unstrukturierte Mails und strukturierte Daten, zu denen Datenbanken zählen, nach Jahren noch so zu archivieren, dass sie auch auffindbar sind.

Die GDPdU ist nichts anderes als ein Anpassungsmechanismus, der sich an neuen Kommunikationsformen orientiert. Die klassische Steuerprüfung bekommt einen modernen Anstrich. Dokumente werden digital erzeugt und bleiben es auch während ihrer gesamten Lebensdauer. Darauf musste sich auch die Finanzverwaltung einstellen. Neu ist eigentlich nur die ‘maschinelle Auswertbarkeit’ elektronisch erzeugter Information.

Weil es aber immer noch hip ist, Neuheiten aus den USA zu übernehmen, fällt die GDPdU immer häufiger im Zusammenhang mit anderen Compliance-Regularien wie den Banken-Richtlinien Sarbanes-Oxley-Act oder Basel II. Der Sarbanes-Oxley-Act zum Beispiel kommt aber immer nur dann zum Tragen, wenn eine Firma auch in den USA Geschäfte macht. Das werden in der Regel nur größere Unternehmen sein. Die GDPdU ist eine deutsche Regel, deshalb soll sie hier die volle Aufmerksamkeit erhalten.

Steuerrelevante Daten – Nur das Original

Was steuerrelevante Daten sind, legt nicht die GDPdU fest. Weil aber die Richtlinie zur Archivierung, Wiederherstellung und Auswertung eben dieser Daten geschaffen wurde, soll, soweit möglich, eine Erklärung mitgeliefert werden.

Eine präzise Definition existiert nicht. Ulrich Kampffmeyer, Geschäftsführer der Unternehmensberatung Project Consult und ein Experte auf dem Gebiet, hat ‘steuerlich relevante Daten’ zusammengefasst als all jene Daten, die “Kosten- und ertragsrelevante Informationen beinhalten”. Als ob das nicht schon begrifflich schwammig genug wäre, technisch ist eine Abgrenzung nach dieser Definition nur bedingt möglich. Es gibt Daten, die erst im Laufe ihres Lebenszyklus zu steuerlich relevanten Daten werden. So ist eine Mail nicht von vornherein notwendigerweise ‘steuerrelevant’. Sie kann es aber werden durch Verarbeitung und Zuweisung.

Die GDPdU macht sich immerhin die Mühe, solche Systeme namentlich aufzuführen, die solche Daten produzieren. Darunter fallen neben Mails aus der Geschäftskommunikation die Finanzbuchhaltung und Lohnabrechnung, aber auch Daten aus Nebensystemen wie der Zeiterfassung oder Bestellung können im Sinne des Steuerrechts relevant werden. Es bleibt eine Einzelfallentscheidung.

Was aus der GDPdU aber hervorgeht, ist der zwingend vorgeschriebene Originalzustand digitaler Dokumente. Originär elektronische Daten wie Mails oder Tabellenkalkulationen dürfen nicht in ein anderes Format gebracht werden. Problematisch wird es aber dann, wenn das Unternehmen auf ein neues System migrieren muss. Oftmals sind neue Anwendungsversionen mit dem Vorgänger nicht kompatibel. Die Umwandlung in ein PDF-Dokument würde sich anbieten, weil es sich um ein halbwegs stabiles Format handelt. Allerdings steht der Steuerpflichtige vor einem Dilemma: Einerseits darf er das Originalformat nicht verändern. Andererseits muss er es tun, sonst kann das Dokument möglicherweise nicht auf ein neues System migriert werden. Was tun? Kampffmeyer empfiehlt, den Migrationsprozess genauestens zu protokollieren, damit die Umstellung weitestgehend nachvollzogen werden kann.

Leseratte Maschine

Der Bilanzprüfer hat bei der Untersuchung verschiedene Möglichkeiten, auf die Dokumente zuzugreifen. Was er wiederum nicht darf ist, die Prüfungssoftware auf das Firmensystem aufzuspielen, um die Prüfung vorzunehmen. Er kann aber direkt zugreifen oder sich die Daten auf einem externen Datenträger geben lassen und auf seinem Rechner überprüfen. Die Finanzverwaltung hat die Software IDEA zur offiziellen Prüfungs-Software ausgerufen. Der Hersteller Audicon hat IDEA zusätzlich mit ‘AIS TaxAudit’ ausgestattet. Die Funktion kann halbautomatisch die Prüfungsreihenfolge abklappern.

Die Finanzverwaltung versteht unter ‘maschineller Auswertbarkeit’ den “wahlfreien Zugriff auf alle gespeicherten Daten einschließlich der Stammdaten und Verknüpfungen mit Sortier- und Filterfunktionen unter Berücksichtigung des Grundsatzes der Verhältnismäßigkeit”. Auf Deutsch heißt das soviel wie: keine Zusammenfassungen von Dateien oder das Herausfiltern angeblich nicht steuerrelevanter Daten. Wiederum geht es um die Originalität einer Datentransaktion, die über einen Index dem Zugriff des Prüfers unterliegt. Ob ein Dokument steuerrelevant ist oder nicht, ist Aufgabe des Steuerpflichtigen. Am besten ist es hier, wenn sich der Unternehmer mit einem Steuerberater zusammensetzt und sich an datenschutzrechtlichen sowie berufsspezifischen Gesichtspunkten orientiert.

Wer gegen die GDPdU verstößt, dem drohen Bußgelder, Zwangsmittel oder eine Steuerschätzung. Der kann man unter Umständen noch mit den Jahresabschlussunterlagen entgegentreten, selbst wenn diese in Papierform vorliegen, wie ein silicon.de-Leser einmal die Gefahr einer Steuerschätzung relativiert hat. Wie restriktiv die Regeln gehandhabt werden, bleibt Sache des jeweiligen Finanzamtes. In jedem Fall muss sich der Steuerpflichtige aber verantworten, wenn er die Aufbewahrungsfristen der Daten nicht eingehalten hat, unabhängig von der Form, wie eh und je. Ein Unternehmer sollte also wissen, dass für Bücher und Aufzeichnungen, Inventare, Jahresabschlüsse, die Eröffnungsbilanz sowie Buchungsbelege eine zehnjährige Archivierungspflicht besteht. Über einen Zeitraum von sechs Jahren müssen andere aufbewahrungspflichtigen Dokumente wie Geschäftsbriefe aufgehoben werden.

Die rechtliche Gleichstellung von Papier und elektronischen Dokumenten hat also stattgefunden. Dass die elektronische Zukunft das Papier überholen und gar ersetzen wird, davon scheint zumindest Siemens-Chef Heinrich von Pierer nicht auszugehen. Ihm wird die Erkenntnis zugeschrieben: “Das papierlose Büro wird es ebenso wenig geben wie das papierlose Klo.”

Nichtsdestotrotz kommen Unternehmen an einer IT-Infrastruktur mit Archivierungs- und Managementsystemen in dem Moment nicht mehr aus, wenn die erste Mail verschickt und die erste Buchhaltungsdatei gespeichert wird. Das hat der Mensch nun von der Erfindung der Schrift.

Silicon-Redaktion

Recent Posts

Sofortzahlungen im Wandel: Sicherheit und KI als treibende Kräfte

In Deutschland hat das Zahlungsverhalten 2024 eine deutliche Entwicklung hin zu Sofortüberweisungen und Instant Payment…

2 Stunden ago

Blockaden und Risiken bei APM-Projekten vermeiden

Application Portfolio Management (APM) verspricht Transparenz, mehr IT-Leistung und Effizienz – theoretisch.

2 Tagen ago

BSI-Bericht: Sicherheitslage im Cyberraum bleibt angespannt

Im Berichtszeitraum Mitte 2023 bis Mitte 2024 wurden täglich durchschnittlich 309.000 neue Schadprogramm-Varianten bekannt.

3 Tagen ago

KI-Hype in der Cybersicherheit – oder besser doch nicht?

KI kommt in der Cybersicherheit zum Einsatz, etwa um Abweichungen im Netzwerkverkehr zu identifizieren. Ist…

3 Tagen ago

Netzwerksegementierung schützt vor Angriffen über die OT

Ungepatchte und veraltetete Maschinen-Software ist ein beliebtes Einfallstor für Hacker, warnt Nils Ullmann von Zscaler…

4 Tagen ago

KI-Bluff bei AIOps erkennen

Die Auswahl einer Lösung sollte anhand von echten Leistungsindikatoren erfolgen, um echte KI von Behauptungen…

4 Tagen ago