Thorsten Brand / Ivo Geis / Stefan Groß / Bernhard Lindgens Bernhard Zöller Steuersicher archivieren
Thorsten Brand /...
58 downloads
1333 Views
1MB Size
Report
This content was uploaded by our users and we assume good faith they have the permission to share this book. If you own the copyright to this book and it is wrongfully on our website, we offer a simple DMCA procedure to remove your content from our site. Start by pressing the button below!
Report copyright / DMCA form
Thorsten Brand / Ivo Geis / Stefan Groß / Bernhard Lindgens Bernhard Zöller Steuersicher archivieren
Thorsten Brand / Ivo Geis Stefan Groß / Bernhard Lindgens Bernhard Zöller
Steuersicher archivieren Elektronische Aufbewahrung im Umfeld steuerlicher Anforderungen
Bibliografische Information der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über abrufbar.
1. Auflage 2011 Alle Rechte vorbehalten © Gabler Verlag | Springer Fachmedien Wiesbaden GmbH 2011 Lektorat: Irene Buttkus Gabler Verlag ist eine Marke von Springer Fachmedien. Springer Fachmedien ist Teil der Fachverlagsgruppe Springer Science+Business Media. www.gabler.de Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Verlags unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen. Die Wiedergabe von Gebrauchsnamen, Handelsnamen, Warenbezeichnungen usw. in diesem Werk berechtigt auch ohne besondere Kennzeichnung nicht zu der Annahme, dass solche Namen im Sinne der Warenzeichen- und Markenschutz-Gesetzgebung als frei zu betrachten wären und daher von jedermann benutzt werden dürften. Umschlaggestaltung: KünkelLopka Medienentwicklung, Heidelberg Gedruckt auf säurefreiem und chlorfrei gebleichtem Papier Printed in Germany ISBN 978-3-8349-2237-3
Vorwort „In einem Land, in dem eine schwer verständliche Fachsprache immer noch als Ausweis wissenschaftlicher Könnerschaft gilt, in dem das Beherrschen unverständlichen Jargons wie eine rituelle Einweihung erlebt wird, wird gesellschaftliche Verständigung mehr und mehr unmöglich.“ Bundespräsident a.D. Roman Herzog In Deutschland gibt es etwa drei Millionen steuerlich veranlagte Unternehmen: vom teilzeittätigen Kleinstgewerbetreibenden bis zum Großunternehmen mit hunderttausend Beschäftigten. Allen gemeinsam ist, dass sie aus steuerrechtlicher Sicht zur Aufbewahrung bestimmter Dokumente und Unterlagen verpflichtet sind. Aber nicht irgendwie, sondern „ordnungsmäßig“, einem der zentralen Begriffe der handels- und steuerrechtlichen Aufbewahrungspflichten. Was ordnungsmäßig ist und was nicht, darüber gehen bereits bei der einfachen Papierablage die Meinungen auseinander. Der Betriebsprüfer des Finanzamtes mag bezüglich der Ordnung eine ganz andere Vorstellung haben als der Anwender, der ihm die Bewirtungsbelege in kleinen, nach dem Namen des Restaurants „geordneten“ Häufchen vorlegt. Zielgruppe des Buches sind alle Personen und Unternehmen, die ihre aufbewahrungspflichtigen Unterlagen mit Hilfe von PC und IT-Systemen – also elektronisch – verwalten wollen. Dies sind sowohl Steuerfachleute als auch IT-Experten, da die Herausforderungen darin bestehen, die steuerrechtlichen Grundlagen in praktikable IT-Lösungen umzusetzen. Die Autoren haben sich die Aufgabe gestellt, Lösungsansätze zu den typischen Themenstellungen der Archivierung darzustellen, um den Lesern einen Weg durch diesen Dschungel zu bahnen. Das Buch soll eine praktische Hilfestellung bei vielen immer wiederkehrenden Fragen aus der Praxis geben und die Anwender auf die Gestaltungspflichten, aber auch die Gestaltungsfreiheiten bei der elektronischen Aufbewahrung hinweisen. Wir wünschen viel Spaß beim Lesen und bei der Umsetzung im Unternehmen.
Das Autorenteam
September 2010
5
Inhaltsübersicht Vorwort Abkürzungsverzeichnis Literaturverzeichnis §1 Einleitung A. Aufbau des Buches §2 Art und Umfang der Aufbewahrung A. Rechtlicher Hintergrund B. Steuerrelevante Unterlagen C. Originär elektronische Unterlagen D. Steuerrelevante Daten E. Stammdaten F. Auswahlkriterien für steuerrelevante Daten I. Daten, die eine direkte steuerliche Auswirkung haben II. Daten, die der Sachverhaltsaufklärung dienen III. Sonderfall Verrechnungspreise IV. Daten, die abhängig von der Art der Außenprüfung steuerlich relevant sind V. Daten, die abhängig von der Verwendung des erzeugenden IT-Systems steuerliche Relevanz entwickeln VI. Daten, die zwar keine direkte steuerliche Auswirkung haben, in den materiellen Einzelsteuergesetzen jedoch gefordert sind VII. Daten aus Vor- und Nebensystemen G. Maschinelle Auswertbarkeit H. Fazit §3 Grundsätzliche Aspekte der elektronischen Archivierung A. Aufbewahrung und Archivierung B. Abgrenzung Archivierung und Backup C. Umsetzung der Anforderungen der GoBS I. Vollständigkeit II. Richtigkeit III. Zeitgerechtheit IV. Vertraulichkeit V. Ordnung VI. Nachvollziehbarkeit VII. Sicherheit VIII. Unveränderbarkeit IX. Zusammenfassung D. Sicherstellung der Unveränderbarkeit I. Umsetzungsvarianten E. Aufbewahrungsdauer und Aufbewahrungsbeginn
5 13 14 17 19 21 21 25 28 28 30 30 31 32 32 33 34 34 34 34 35 37 37 38 39 40 40 40 41 41 41 41 42 42 42 45 47 7
Inhaltsübersicht
§4
§5
8
F. Verfahrensdokumentation für elektronische Archivsysteme G. Zertifizierung eines elektronischen Archivsystems I. Produktzertifikate der Wirtschaftsprüfer II. Systemprüfung durch die zuständigen Finanzbehörden III. Bewertung von Zertifikaten und Zertifizierern H. Migration von elektronischen Archivsystemen I. Besondere Merkmale einer Archivierungs-Umgebung II. Migrationsobjekte – worum geht es? III. Vorgehensweise bei einer Archivsystem-Migration IV. Sicherstellung der Ordnungsmäßigkeit einer Migration Anwendungsfall: Scannen von Papierdokumenten A. Beschreibung des Anwendungsfalls B. Keine Vorgaben zu Scannern C. Bildliche Übereinstimmung, Farbe und Auflösung D. Umgang mit Bearbeitungsvermerken E. Scannen von Rückseiten F. Vernichtung von Originalen G. Archivierungsformate für gescannte Dokumente I. Typische Bitmap-Formate: ITU G4 und JPEG II. Typische Containerformate: TIFF und PDF III. PDF IV. PDF/A H. Andere Formate für gescannte Dokumente I. Zulässigkeit nachträglicher Bildverbesserungen J. Zugriff von Prüfern auf gescannte Dokumente K. Qualitätssicherung im Erfassungsprozess L. Sonstige Überlegungen Anwendungsfall: E-Mail-Kommunikation A. Beschreibung des Anwendungsfalls I. Archivierung nach den Grundsätzen der Ordnungsmäßigkeit 1. Die Pflicht zur E-Mail-Archivierung 2. Integrität und Wiederauffindbarkeit 3. Der Zugriff der Finanzbehörden II. Ordnungsmäßige Archivierung als Beweisqualität III. E-Mail-Archivierung, Viren-, Spamfilter und das Arbeitsrecht B. Relevante rechtliche Grundlagen C. Varianten in der Umsetzung I. Variante 1: Alles archivieren II. Variante 2: Regelbasierte Archivierung einer Teilmenge III. Variante 3: Selektive Archivierung IV. Variante 4: Ablage im E-Mail-System oder der Dateiablage V. Variante 5: Ausdruck von steuerrelevanten E-Mails D. Weitere Stolpersteine I. Identifizierung von steuerrelevanten E-Mails
48 51 52 52 53 53 54 55 56 57 59 59 60 60 61 62 63 66 66 68 69 69 70 71 72 72 73 75 75 75 75 76 76 77 77 78 78 79 80 81 82 82 83 83
Inhaltsübersicht
§6
§7
§8
§9
II. Automatische Indizierung von steuerrelevanten E-Mails III. Zuständigkeit für die Archivierung IV. Maschinelle Auswertbarkeit von E-Mails V. Indexierung von steuerrelevanten E-Mails VI. Abgrenzung zu privaten E-Mails VII. Umgang mit qualifizierten Signaturen E. Zusammenfassung und Ausblick Anwendungsfall: Archivierung PC-Dateien A. Beschreibung des Anwendungsfalls B. Aufbewahrungspflicht setzt Aufzeichnungspflicht voraus C. „Maschinell auswertbar“ bedeutet nicht „maschinenlesbar“ D. Inhaltliche oder bildliche Übereinstimmung E. Formate der Langzeitarchivierung I. Anmerkungen zu PDF und PDF/A F. Selbstqualifizierungspflicht des Anwenders G. Aufbewahrungspflicht ist Reproduktionspflicht Anwendungsfall: Archivierung EDI und andere Nachrichtendateien A. Beschreibung des Anwendungsfalls B. Regelungen für EDI-Belege in der GDPdU C. Inhaltliche und bildliche Übereinstimmung D. Visualisierung vor oder nach der Archivierung E. Sammelabrechnungen ohne qualifizierte Signatur Anwendungsfall: Archivierung und Bereitstellung von steuerrelevanten Daten A. Beschreibung des Anwendungsfalls I. Rolle eines elektronischen Archivsystems im Umfeld GDPdU B. Varianten in der Umsetzung I. Option 1: Maschinelle Auswertbarkeit durch das Folgesystem II. Option 2: Maschinelle Auswertbarkeit durch das elektronische Archiv III. Option 3: Elektronische Archivierung und IDEA-Integration C. Relevante rechtliche Grundlagen I. Gesetzliche Regelungen II. Verwaltungsanweisungen der Finanzverwaltung III. Informationsschreiben der Finanzverwaltung IV. Finanzrechtsprechung mit Bezug zur elektronischen Archivierung 1. Lesezugriff auf eingescannte Belege (BFH-Beschluss vom 26.09.2007 – I B 53, 54/07) D. Strukturbeschreibung von steuerrelevanten Daten E. Zusammenfassung und Ausblick Anwendungsfall: Archivierung elektronischer Rechnungen A. Beschreibung des Anwendungsfalls I. Die elektronische Rechnung und die Gesetzgebung zur Umsatzsteuer 1. Zustimmung des Empfängers 2. Elektronische Übermittlung und qualifizierte elektronische Signatur
83 84 84 85 85 86 86 87 87 87 91 93 94 97 99 99 100 100 101 102 103 104 105 105 105 106 106 107 107 108 108 109 109 109 109 110 111 113 113 113 114 114 9
Inhaltsübersicht
§ 10
3. Outsourcing der Rechnungsübermittlung 4. EDI-Verfahren 5. Dokumentation II. Die Aufbewahrung von elektronischen Rechnungen 1. Aufbewahrungspflicht 2. Ordnungsmäßige Aufbewahrung III. Aufbewahrungsort 1. Im Inland oder in einem der in § 1 Abs. 3 UStG genannten Gebiete ansässige Unternehmer 2. Nicht im Inland oder in einem der in § 1 Abs. 3 UStG bezeichneten Gebiete ansässige Unternehmer 3. Nicht im Gemeinschaftsgebiet ansässige Unternehmer B. Typische Stolpersteine und Hinweise für die Praxis C. Zusammenfassung und Ausblick Anwendungsfall: Outsourcing von archivrelevanter Infrastruktur oder Prozessen A. Steuerrechtliche Anforderungen an die Auslagerung B. Auslagerung ins Ausland C. Datenschutzrechtliche Anforderungen I. Auftragsdatenverarbeitung II. Grenzüberschreitende Datenübermittlung 1. Datenübermittlung von der BRD in ein anderes EU-Mitgliedsland 2. Datenübermittlung von der BRD in Drittländer D. Typische Stolpersteine und Hinweise für die Praxis I. Intransparente Auslagerung II. Migration beim Einsatz von Dienstleistern E. Cloud Archiving I. Die steuerrechtlichen Anforderungen an das Cloud-Archiving 1. Archivierung in EU-Mitgliedsländern 2. Archivierung in Drittstaaten II. Datenschutzrecht 1. Die Cloud in den EU-Mitgliedsländern 2. Die weltweite Cloud und die Vertragslösung III. Varianten in der Umsetzung IV. Relevante rechtliche Grundlagen 1. Abgabenordnung 2. Bundesdatenschutzgesetz F. Zusammenfassung und Ausblick Zusammenfassung und Ausblick
§ 11 Anhang Anhang 1: Rechtliche Grundlagen A. Abgabenordnung (AO) B. Grundsätze ordnungsmäßiger Buchführung (GoB) C. Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS) D. Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) 10
115 116 116 116 116 117 118 118 118 119 119 119 121 121 122 122 122 122 123 123 124 124 124 124 125 125 126 126 126 127 127 127 127 128 128 129 131 131 131 135 135 136
Inhaltsübersicht E. Umsatzsteuergesetz (UStG) F. Mehrwertsteuer-Systemrichtlinie G. BMF-Schreiben zur Angabe des Zeitpunkts der Leistung und der im Voraus vereinbarten Minderungen des Entgelts vom 03.08.2004 H. BMF-Schreiben vom 03.05.2010 – IV D 3 – S 7134/07/10003 I. BMF-Schreiben zur Umsetzung der Richtlinie 2001/115/EG vom 29.01.2004 J. Weitere Rechtsgrundlagen I. Handelsrecht (HGB) II. GoB bei Einsatz von E-Commerce (IDW RS FAIT 2 ) III. Grundsätze ordnungsmäßiger Buchführung beim Einsatz elektronischer Archivierungsverfahren (FAIT 3) IV. Bürgerliches Gesetzbuch (BGB) V. Zivilprozessordnung (ZPO) VI. Datenschutz Anhang 2: Rechtsprechung mit GDPdU-Bezug Anhang 3: Checkliste: Inhalte einer Verfahrensdokumentation A. Beschreibung des Aufbaus B. Einsatzgebiet und Aufgabenstellung I. Rahmendaten II. Organisationsbeschreibung III. Rechtliche Grundlagen C. Fachliche Beschreibung der Lösung I. Anwendungsbeschreibung aus fachlicher Sicht II. Ordnungsmäßigkeit des Gesamtverfahrens III. Prozesse D. Technische Beschreibung der Lösung I. Standard-Softwarekomponenten II. Individuelle Softwarekomponenten III. Anwendungsintegrationen und Schnittstellen IV. Datenbankmodell V. Versionsübersicht VI. Konfigurationsdaten und -dateien VII. Hardware-Infrastruktur VIII. Dokumentationen IX. IT-Sicherheit X. Technischer Betrieb E. Arbeitsanweisungen und weitere Dokumentationen I. Kompetenzen und Verantwortlichkeiten II. Arbeitsanweisungen III. Internes Kontrollsystem (IKS) IV. Migrationsmöglichkeiten V. Test und Abnahme VI. Wartung VII. Sicherstellung der Programmidentität F. Weitere relevante Dokumente im Rahmen der Erstellung
137 137 138 138 138 139 139 141 141 142 143 143 144 146 146 146 147 147 147 147 147 148 148 149 149 150 150 150 150 151 151 152 152 154 154 155 156 158 159 159 159 160 161 11
Inhaltsübersicht Anhang 4: Betriebsvereinbarung E-Mail-Betrieb Anhang 5: Migration eines elektronischen Archivsystems A. Projektphasen einer DMS-Migration B. Inhalte einer Migrationsdokumentation Anhang 6: Anbieterübersicht Tabellenverzeichnis Abbildungsverzeichnis Autorenprofile Stichwortverzeichnis
12
162 163 163 165 167 171 172 173 176
Abkürzungsverzeichnis AO
Abgabenordnung
BCR
Binding Corporate Rules
BDSG
Bundesdatenschutzgesetz
BGB
Bürgerliches Gesetzbuch
COLD
Computer Output on Laser Disk
DMS
Dokumenten Management System
ECM
Enterprise Content Management
ERP
Enterprise Resource Planning
FAQ
Frequently asked questions
GDPdU
Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen.
GoB
Grundsätze ordnungsmäßiger Buchführung
GoBS
Grundsätze ordnungsmäßiger IT-gestützter Buchführungssysteme
HGB
Handelsgesetzbuch
IKS
Internes Kontrollsystem
OCR
Optical Character Recognition
PDF
Portable Document Format
PDF/A(rchive)
Kurzbezeichnung für die ISO-Norm 19005-1 „ISO 19005-1, Document management – Electronic document file format for long-term preservation – Part 1: Use of PDF 1.4 (PDF/A-1)“.
SPAM
Unerwünschte E-Mails, die meist als Massenversand zur Werbung oder Schädigung des Empfängers versendet werden
TIFF
Tagged Image File Format
WORM
Write Once Read Many
XBRL
eXtensible Business Reporting Language
XML
eXtensible Markup Language
13
Literaturverzeichnis Art und Umfang der Aufbewahrung
Hagenkötter, Andreas, Die digitale Steuerprüfung, NJW 2002, 1977;
Schaumburg, Verschärfte Kontrollmöglichkeiten der Finanzverwaltung?, DStR 2002, 829;
Schmittmann, Jens, „Der gläserne Steuerpflichtige?“ – Anmerkungen zu den Grundsätzen des BMF zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen, WPg 2001, 1050;
Mathias Schwarz/Andreas Peschel-Mehner (Hrsg.), Recht im Internet, München 2010, Stand 26.Aktualisierungs- und Ergänzungslieferung März 2010;
Anwendungsfall Scannen von Papierdokumenten
Tipke/Kruse, Kommentar zur AO/FGO, Tz. 36 zu § 147
Anwendungsfall E-Mail-Kommunikation
Ballwieser, in: Münchner Kommentar zum HGB, München 2001;
Böhme, Die Aufbewahrungspflicht von E-Mails, K & R 2006, 176;
Dieselhorst/Schreiber, Die Rechtslage zum E-Mail-Spamming in Deutschland, CR 2004, 680;
Frank, You`got (Spam-)Mail, CR 2004, 123;
Geis, in Hoeren/Sieber (Hrsg.), Handbuch MultiMediarecht Teil 13.2, Ergänzungslieferung 22 Juni 2009, München;
Gola/Schomerus, Kommentar zum BDSG, 9. Aufl., München 2008;
Grapentin, Datenschutz und Globalisierung – Binding Corporate Rules als Lösung?;
Greger in Zöller, Kommentar zur ZPO, 25. Aufl., Köln 2005;
Hanebeck/Neunhoeffer, Anwendungsbereich und Reichweite des telekommunikationsrechtlichen Fernmeldegeheimnisses – Rechtliche Schwierigkeiten bei der Anwendung des TKG, K & R 2006, 112;
Härting/Eckart, Provider gegen Spammer. CR 2004, 119;
Hauschka, Compliance, Compliance-Manager, Compliance-Programme: Eine geeignete Reaktion auf gestiegene Haftungsrisiken für Unternehmen und Management?, NJW 2004, 257;
Heckmann, Rechtspflichten zur Gewährleistung von IT-Sicherheit im Unternehmen, MMR 2006, 280;
Heidrich/Tschoepe, Rechtsprobleme der E-Mail-Filterung, MMR 2004, 75;
Hoeren, Virenscanning und Spamfilter – Rechtliche Möglichkeiten im Kampf gegen Viren, Spams & Co;
Hoeren/Pfaff, Pflichtangaben im elektronischen Geschäftsverkehr aus juristischer und technischer Sicht, MMR 2007, 207;
14
Literaturverzeichnis
Junker, Electronic Discovery gegen deutsche Unternehmen – Rechtliche Grenzen und Abwehrstrategien, 2008, Verlag Recht und Wirtschaft, Frankfurt/Main;
Kitz, Meine E-Mails les ich nicht!, CR 2005, 450;
Kitz, in Hoeren/Sieber (Hrsg.), Handbuch MultiMediarecht Teil 13.1, Ergänzungslieferung 19 März 2008, München;
Lensdorf, IT-Compliance – Maßnahmen zur Reduzierung von Haftungsrisiken von IT-Verantwortlichen, CR 2007, 413 ff.;
Schmidl, E-Mail-Filterung am Arbeitsplatz, MMR 2005, 343;
Spies/Schröder, Auswirkungen der elektronischen Beweiserhebung (eDiscovery) in den USA auf deutsche Unternehmen, Multi Media und Recht, 2008, S. 275 ff.;
Spindler/Ernst, Vertragsgestaltung für den Einsatz von E-Mail-Filtern, CR 2004, 437;
Spindler/Schmitz/Geis, Kommentar zum TDG, TDDSG, SiG, München 2004;
Schweinoch/Böhlke/Richter, E-Mails als elektronische Geschäftsbriefe mit Nebenwirkungen;
CR 2007, 167;
Walz, in: Heymann, HGB Kommentar, 2. Aufl., Berlin 1999;
Walz, in: Simitis u. a., Kommentar zum BDSG, Baden-Baden, 2006;
Wiedemann, in: Ebenroth/Boujong/Joost, HGB Kommentar, München 2001.
Anwendungsfall Archivierung und Bereitstellung von steuerrelevanten Daten
Groß / Matheis / Lindgens, Rückstellung für Kosten des Datenzugriffs der Finanzverwaltung, DStR 2003, 921.
Anwendungsfall Archivierung elektronischer Rechnungen
Groß/Lindgens, Elektronische Rechnungen im Lichte der Umsatzsteuer, UVR 2008, 108;
Anwendungsfall Outsourcing
Junker, Electronic Discovery gegen deutsche Unternehmen, Frankfurt am Main, 2008;
Gola/Schomerus, Kommentar zum Bundesdatenschutzgesetz, 9. Aufl., München 2008;
Simitis (Hrsg.), Bundesdatenschutzgesetz, 6. Aufl., Baden-Baden 2006;
Spies/Schröder, Auswirkungen der elektronischen Beweiserhebung (eDiscovery) in den USA auf deutsche Unternehmen, in Multi Media und Recht 2008, 275;
Carr, The Big Switch, New York, 2009;
Geis/Helfrich, Datenschutzrecht, 2. Aufl., München 2009;
Jotzo, Gilt deutsches Datenschutzrecht auch für Google, Facebook & Co. bei grenzüberschreitendem Datenverkehr?, MMR 2009, 232;
Mather/Kumaraswami/Latif, Cloud Security and Privacy, Sebastopol (USA), 2009; 15
Literaturverzeichnis
Niemann/Paul, Bewölkt oder wolkenlos – rechtliche Herausforderungen des Cloud Computing, K&R 2009, 444;
Pahlke/König, Kommentar zur Abgabenordnung, 2. Aufl. München 2009;
Pohle/Ammann, Über den Wolken… – Chancen und Risiken des Cloud Computing; CR 2009, 273;
Simitis, Bundesdatenschutzgesetz, 2. Aufl., Baden-Baden, 2006;
Söbbing, Cloud und Grid Computing: IT-Strategien der Zukunft rechtlich betrachtet; MMR 5/2008, XII.;
Spieß, USA: Cloud Computing – Schwarze Löcher im Datenschutzrecht, MMR 5/2009, XI.
Vorbemerkung: Die Autoren haben die Fakten zu diesem Papier sorgfältig recherchiert. Die dargestellten Ausführungen sind ohne Gewähr und sollen Ihnen die Probleme in groben Zügen überblicksweise und ohne Anspruch auf Vollständigkeit und Detailgenauigkeit näher bringen. Die vorliegenden Ausführungen sind nicht geeignet, Einzelheiten der jeweiligen gesetzlichen Regelungen und alle Aspekte der angesprochenen Themen zu beleuchten und ersetzen nicht die rechtliche und steuerliche Beratung im Einzelfall. Die gesetzlichen Regelungen können sich seit Erscheinen dieses Textes geändert haben. 16
1
§ 1 Einleitung
1
Steuersicher archivieren – Die beiden Wörter im Titel dieses Buches kommen so in der Abgabenordnung (AO) – den primären Rechtsgrundlagen der steuerlichen Aufbewahrungspflicht – eigentlich gar nicht vor. Weder kennt die Abgabenordnung den Begriff Archivierung – gefordert ist „nur“ eine ordnungsmäßige Aufbewahrung – noch kann man sich in der Praxis jemals zu 100% sicher sein, dass die Art der Aufbewahrung elektronischer Belege nie irgendeinen Einspruch bei Finanzverwaltung, Steuerberater oder Wirtschaftsprüfer auslöst1. Die Art der Aufbewahrung und ihre Konsensfähigkeit mit dem Prüfer lassen sich nicht mit mathematisch/ physikalischen Kriterien eindeutig definieren. Hätte man das Buch aber „Rechtskonforme elektronische Aufbewahrung aus steuerrechtlicher Sicht“ tituliert, würde man den typischen Sprachgebrauch der potenziellen Leser ignorieren. Am Markt für Dokumentenmanagement und elektronische Archivsysteme hat sich auf beiden Seiten – Anwender und Hersteller – eingebürgert, dass Dokumente und Unterlagen „zu archivieren“ sind und man möchte sicher sein, dass die Verfahren und Systeme, die zum Einsatz kommen, einer Prüfung durch die Finanzverwaltung standhalten. Es schadet weniger als es nutzt, eine Sprache zu verwenden, die am Markt allgemein üblich ist, solange man darauf hinweist, wo dies zu Missverständnissen führen kann. Besondere Verwirrung entsteht, wenn Anwender entscheiden müssen, wie eine ordnungsmäßige Ablage denn aussehen muss, falls die Unterlagen in elektronischer Form aufbewahrt werden sollen. Auch kleine Unternehmen wollen natürlich die Vorteile elektronischer Belegverwaltung nutzen: sofortiger Zugriff bei beliebig großen Mengen, gleichzeitiges Arbeiten mit den Unterlagen durch mehrere Benutzer, ohne dass Papierkopien erstellt und verteilt werden müssen, einfache BackupMöglichkeiten, mobiles Arbeiten auf dem Notebook mit umfangreichen Dokumentbeständen, Zugriffsmöglichkeit von beliebigen Standorten usw. Aber entsprechen diese schönen, modernen Möglichkeiten auch den Anforderungen der Finanzverwaltung? In welchem Format müssen Dateien vorgehalten werden? Darf man gescannte Dokumente nach dem Scannen vernichten? Muss man die farbige Eingangsrechnung auch in Farbe scannen? Kann die aufbewahrungspflichtige E-Mail im E-Mail-System verbleiben oder muss sie in ein „Steuerarchiv“? Muss man Ausgangsrechnungen in Kopie aufbewahren oder genügt eine Reproduktion der Ausgangsrechnung aus der Finanzbuchhaltung, wenn der Prüfer sie sehen möchte? Muss man bestimmte, nur einmal beschreibbare Speicher verwenden? Bedeutet Unveränderbarkeit, dass man alte Dokumente nicht mehr konvertieren darf? Das Steuerrecht – und seine Regeln zur Buchführung und Aufbewahrung – ist bekanntermaßen kompliziert. Nicht weniger anspruchsvoll ist die Informatik mit all ihren Abkürzungen, Anglizismen und Fachbegriffen. Treffen beide Themengebiete aufeinander, sind Missverständnisse und Kontroversen vorprogrammiert. Schnell stellt man fest, dass Finanzverwaltung, Steuerberater und Wirtschaftsprüfer andere Wörterbücher verwenden als die Informatiker. Hauptproblem dabei: Vermeintlich gleiche Begriffe haben ganz offensichtlich unterschiedliche Bedeutungen. „Archivierung“ bedeutet für den Steuerberater und die kaufmännische Abteilung meistens die gegen unzulässige Manipulationen geschützte Aufbewahrung und die Sicherstellung der Reproduktionsfähigkeit über die Dauer der Aufbewahrungsfrist. Für einen E-Mail-Systemadministrator ist Archivierung die Auslagerung alter E-Mails auf andere Speicher, weil die Datenbank zu groß wird. Das eine hat mit dem anderen fachlich und funktional nichts zu tun. 1
Eine weitere Definition für „steuersicher“ ist „sicher vor der Steuer“ im Sinne von: „Lass das den Steuerprüfer bloß nie finden“. Diese Definition ist hier selbstverständlich nicht gemeint.
17 T. Brand, et al., Steuersicher archivieren, DOI 10.1007/ 978-3-8349-6461-8_1, © Gabler Verlag | Springer Fachmedien Wiesbaden GmbH 2011
1
2
3
4
5
1
§ 1 Einleitung 6
1
7
8
9
10
11
Die Konsequenz dieser Situation: Nicht nur Anwender und Anbieter auf diesem Markt sind verunsichert, sondern häufig genug auch manche Steuer-, IT- oder andere Berater. Da werden liberale Regelungen der deutschen Finanzverwaltung ignoriert (zum Beispiel die Erlaubnis der Vernichtung von Papierdokumenten nach dem Scannen), die seit 20 Jahren Allgemeinwissen sein sollten. IT-Begriffe werden durcheinander gebracht (Begriffe wie „Index“, „Archivierung“ sind Beispiele) und aufgrund der Verwirrung die falschen Schlüsse gezogen. Es werden Forderungen nach technischen Maßnahmen aufgestellt (zum Beispiel unveränderbare Datenträger oder archivische Dokumentformate), die durch steuerliche Aufbewahrungsvorschriften nicht begründbar sind. Die elektronische Aufbewahrung steuerrechtlich aufbewahrungspflichtiger Dokumente ist keine neue Erscheinung. Bereits mit den ersten elektronischen Archivsystemen in den 80er Jahren verfolgten Anwender das Ziel, kaufmännische Belege nicht mehr in Papierform, sondern nur noch digital zu speichern. Und genauso alt ist die Diskussion darüber, wie die Aufbewahrungsvorschriften des Steuerrechts zu interpretieren sind, wenn man die Unterlagen elektronisch verwaltet. Für viele Unternehmen stellt sich nicht nur die Frage der steuerrechtlichen, sondern auch der handelsrechtlichen Aufbewahrungsvorschriften. Dass man überhaupt differenzieren muss, liegt daran, dass das Handelsrecht nur für sogenannte Kaufleute gilt. Dies sind einerseits natürliche Personen, deren Tätigkeit einen nach Art und Umfang kaufmännischen Geschäftsbetrieb erfordert. Kleingewerbetreibende unterliegen daher in der Regel der steuerlichen, nicht aber der handelsrechtlichen Aufbewahrungspflicht. Außerdem unterliegen alle sogenannten Formkaufleute dem Handelsrecht, also beispielsweise Kapitalgesellschaften wie GmbH, AG und Genossenschaften. Bezüglich der Ordnungsmäßigkeit der Aufbewahrung ist das Steuerrecht aber eher die strengere Vorschrift: Wer also nach Belegen aus steuerlicher Sicht ordnungsmäßig aufbewahrt, erfüllt damit auch die qualitativen Anforderungen des Handelsrechts. Ein weiterer Grund dafür, dass das Buch sich auf die steuerlichen Aufbewahrungsvorschriften fokussiert ist, die Tatsache, dass es im Steuerrecht sehr viel mehr konkretisierte Einzelvorschriften als im Handelsrecht (BMF-Schreiben, Regelungen zu Zoll und Umsatzsteuer) gibt und daraus nicht unbedingt größere Klarheit, sondern anscheinend – durch manchmal widersprüchliche Aussagen – mehr Verwirrung entsteht. Außerdem kann ein Fehlverhalten bei der Aufbewahrung hier sehr konkrete Sanktionsmaßnahmen der Finanzverwaltung nach sich ziehen, was potenziell alle Abgabepflichtigen treffen kann und nicht nur die relativ kleine Zahl natürlicher oder juristischer Kaufleute, für die auch das Handelsrecht anzuwenden ist. Die handelsrechtlichen Aufbewahrungsvorschriften weichen in einigen Details von den steuerrechtlichen Vorschriften ab. So dürfen Daten, die in IT-Systemen entstanden sind, nach den handelsrechtlichen Regelungen ausgedruckt und in Papierform aufbewahrt werden, die Originaldaten dürfen dann gelöscht werden. Diese Regelung gab es früher auch in der Abgabenordnung, wurde aber mit Wirkung zum 01.01.2002 geändert. Nun müssen solche Daten für den Zugriff der Finanzverwaltung in elektronisch auswertbarer Form vorgehalten werden. Neben diesen kaufmännischen Aufbewahrungsvorschriften gibt es eine Reihe berufsrechtlicher Aufbewahrungsvorschriften außerhalb von Handels- und Steuerrecht, wie zum Beispiel im Zollrecht, im Mietrecht, in der Finanzdienstleistungsindustrie und vielen anderen Branchen. Für Anwender, die nicht nur den steuerlichen, sondern auch anderen Aufbewahrungsvorschriften unterliegen, gilt logischerweise, dass die jeweils strengere Regel (z. B. die längere Aufbewahrungsfrist) anzuwenden ist. Sind kaufmännische Dokumente aus steuerlicher Sicht nur 10 Jahre aufzubewahren, aber aus anderen Gründen 99 Jahre, dann muss selbstverständlich die längere Frist angewendet werden. Ist es aus steuerlicher Sicht beispielsweise zulässig, gescannte Dokumente zu vernichten, so muss der Anwender aber beachten, dass es Regelungen in anderen Rechtsgebieten geben kann, die es notwendig machen könnten, die Originale noch vorzuhalten. 18
A.
1
Aufbau des Buches
Gleichzeitig gibt es aber auch immer wieder Missverständnisse zum Umfang der steuerlichen Aufbewahrungspflicht. Es gibt eine Reihe von Unterlagen, die geschäftlich relevant sind, aber nicht aufbewahrungspflichtig. So sind zum Beispiel Auftrags-, Abrechnungs-, Bestell- und Kontrollbücher nicht aufbewahrungspflichtig, wenn sie lediglich der laufenden Betriebsüberwachung dienen2. Und selbstverständlich sind alle jene Dokumente und Dateien nicht aufzubewahren, die zwar als Handels- oder Geschäftsbrief definiert werden können, aber nicht zum Abschluss eines Handelsgeschäftes führen, oder gar die nur zum Austausch unverbindlicher Informationen dienende geschäftliche Korrespondenz. Ein wichtiger Hinweis zu Begrifflichkeiten: Das Buch hat die elektronische Archivierung zum Thema. Darunter werden hier alle Formen der ordnungsmäßigen elektronischen Aufbewahrung verstanden, wie sie aus steuerlicher Sicht verlangt werden. Ob Anbieter oder Hersteller dies DMS, ECM oder elektronische Archivierung nennen, ist für die Finanzverwaltung – und somit auch für dieses Buch – unerheblich. In der Praxis kann ein DMS (ein Dokumenten Management System) mehr als nur Dokumente verwalten. In einem DMS kann man selbstverständlich auch Unterlagen aufbewahren, die man im normalen Sprachgebrauch nicht als Dokumente bezeichnen würde: Datenbankextrakte, Video-Dateien und so fort. Es sollen hier aber keine neuen Abkürzungen eingeführt werden, sondern derjenige Sprachgebrauch verwendet werden, der allgemein konsensfähig zu sein scheint. Daher werden im Buch die Begriffe Archivsystem und DMS synonym bezüglich der Archivfunktionalität verwendet.
A.
Aufbau des Buches
Einleitung
Einführung in das Thema
Art und Umfang der Aufbewahrung
Beschreibung des Umfangs an steuerlich relevanten Dokumenten und Daten, die aufzubewahren sind.
Grundsätzliche Aspekte der elektronischen Archivierung
Anforderungen und Regeln, die für den Betrieb jedes elektronischen Archivsystems relevant sind. Diese sind unabhängig davon, ob Papier, E-Mails oder steuerrelevante Daten archiviert werden.
Anwendungsfall: Scannen von Papierdokumenten
Beschreibung des Anwendungsfalls: Scannen von Papierdokumenten mit Themen wie:
2
13
14
15
Tabelle 1: Aufbau des Buches Inhalt
1
A.
Das Buch gliedert sich in die folgenden Kapitel:
Kapitel
12
Bildliche Übereinstimmung von gescannten Dokumenten Qualitätssicherung im Erfassungsprozess Formate der Archivierung
AVW, Aufbewahrungspflichten und -fristen nach Handels- und Steuerrecht, 8. Auflage, 2002
19
1
§ 1 Einleitung Tabelle 1: Aufbau des Buches (Fortsetzung)
1
Kapitel
Inhalt
Anwendungsfall: E-Mail-Kommunikation
Beschreibung des Anwendungsfalls: E-Mail-Archivierung mit Themen wie:
Anwendungsfall: Archivierung von PC-Dateien
Szenarien der E-Mail-Archivierung Rechtliche Besonderheiten von E-Mails Maschinelle Auswertbarkeit von E-Mails Stolpersteine wie Signaturen, private E-Mails oder Formatwahl bei der Archivierung
Beschreibung des Anwendungsfall: Archivierung von PC-Dateien mit Themen wie:
Maschinelle Auswertbarkeit von PC-Dateien Formate für die Archivierung
Anwendungsfall: Archivierung EDI und andere Nachrichtenformate
Besonderheiten von EDI-Dateien im Zusammenhang mit Datenzugriff und maschineller Auswert- und Darstellbarkeit
Anwendungsfall: Archivierung und Bereitstellung von steuerrelevanten Daten
Möglichkeiten der Archivierung von steuerrelevanten Daten außerhalb der steuerrelevanten Anwendung.
Anwendungsfall: Archivierung von elektronischen Rechnungen
Besonderheiten bei der Verarbeitung und Archivierung von elektronischen Rechnungen. Themen sind Betriebsmodelle, Signaturanforderungen und zulässige Orte der Aufbewahrung / Archivierung.
Anwendungsfall: Outsourcing von archivrelevanter Infrastruktur und Prozessen
Szenarien der Auslagerung von Infrastruktur, Daten und Prozessen. Rechtliche Anforderungen und aktuelle technische Entwicklungen.
Anlagen
Anlagen des Buches sind:
20
Übersicht der relevanten rechtlichen Grundlagen Übersicht Urteile mit GDPdU-Bezug Checkliste Verfahrensdokumentation Betriebsvereinbarung E-Mail-Betrieb Details zu Migrationsprojekten von elektronischen Archivsystemen Anbieter-Übersicht elektronischer Archivsysteme Tabellen- und Literaturverzeichnis Autorenprofile
2
§ 2 Art und Umfang der Aufbewahrung A.
2
Rechtlicher Hintergrund
A.
Eine ganze Reihe von Gesetzen, Verordnungen und Vorschriften fordern direkt oder indirekt die Aufbewahrung von Dokumenten und Daten. In diesem Kapitel wird versucht, in einer auch für Nicht-Juristen verständlichen Sprache die wichtigsten gesetzlichen Anforderungen kurz zu erläutern und einen ersten Überblick über deren wichtigste Aspekte zu geben. Buchungs- und andere betriebswirtschaftliche Belege unterliegen bestimmten steuer- und handelsrechtlichen Nachweis- und Aufbewahrungspflichten. Teilweise sind sogar bestimmte Aufbewahrungsformen gefordert: So fordern die GDPdU1 die Aufbewahrung der steuerrelevanten Daten und nicht nur der Dokumente. Für die elektronische Archivierung aus steuerlicher Sicht sind die folgenden Grundlagen von besonderer Bedeutung: Tabelle 2: Gesetze, Verordnungen und Verlautbarungen Gesetzestexte
Relevante Verordnungen, Stellungnahmen
Abgabenordnung (AO)
Umsatzsteuergesetz (UStG)
1
Grundsätze ordnungsmäßiger Buchführung (GoB) Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS) Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Daten (GDPdU) Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen für den Zuständigkeitsbereich der Zollverwaltung (GDPdUZ) Mehrwertsteuer-Systemrichtlinie BMF-Schreiben zur Umsetzung der Richtlinie 2001/115/EG vom 29.01.2004 BMF-Schreiben: Angabe des Zeitpunkts der Leistung und der im Voraus vereinbarten Minderungen des Entgelts vom 03.08.2004 BMF-Schreiben zum IT-Verfahren „ATLAS-Ausfuhr“ vom 03.05.2010
Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen
21 T. Brand, et al., Steuersicher archivieren, DOI 10.1007/ 978-3-8349-6461-8_2, © Gabler Verlag | Springer Fachmedien Wiesbaden GmbH 2011
1
2
3
2
§ 2 Art und Umfang der Aufbewahrung Tabelle 2: Gesetze, Verordnungen und Verlautbarungen (Fortsetzung)
2
Gesetzestexte
Relevante Verordnungen, Stellungnahmen
Handelsgesetzbuch (HGB)
4
Stellungnahme zur Rechnungslegung: Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Informationstechnologie (IDW RS FAIT 1) Stellungnahme zur Rechnungslegung: Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Electronic Commerce (IDW RS FAIT 2) Stellungnahme zur Rechnungslegung: Grundsätze ordnungsmäßiger Buchführung beim Einsatz elektronischer Archivierungsverfahren (IDW RS FAIT 3) Abschlussprüfung bei Einsatz von Informationstechnologie (IDW PS 330)
Hierbei gilt grundsätzlich eine Normen-Hierarchie:
Gesetz HGB
AO
UStG
Weitere Grundlagen GoB
GoBS
GDPdU
Prüfungsstandards, Stellungnahmen Abbildung 1: Normen-Hierarchie
22
2
A. Rechtlicher Hintergrund Die Zusammenhänge dieser Rechtsgrundlagen bezüglich der Anforderungen an die Aufbewahrung werden in der folgenden Darstellung verdeutlicht:
2
Abbildung 2: Übersicht Rechtsgrundlagen Soweit es sich um Schreiben des Bundesministeriums der Finanzen (BMF-Schreiben) handelt, kommt diesen ausschließlich eine Rechtsverbindlichkeit für die Finanzverwaltung, nicht hingegen für die betroffenen Unternehmen oder die Gerichte, zu. Der Betriebsprüfer muss sich an diese Verwaltungsanweisungen, wie beispielsweise die GDPdU, halten. Unabhängig davon ist den steuerpflichtigen Unternehmen anzuraten die entsprechenden Vorgaben umzusetzen, nicht zuletzt, um Konfliktpotenzial in anstehenden Betriebsprüfungen zu vermeiden. Weitere Nachweis- und Aufbewahrungspflichten können sich implizit aus dem Produkthaftungsgesetz oder den nationalen oder internationalen Compliance-Regularien, wie dem Sarbanes-Oxley Act o. Ä., ergeben. Auch branchenspezifische Gesetze und Verordnungen sind zu beachten, so z. B. Vorschriften aus dem Banken- und Versicherungsrecht, aus der Betriebsverordnung für pharmazeutische Unternehmer oder aus dem öffentlichen Haushalts- und Kassenrecht. Beispiele hierfür sind: Tabelle 3: Weitere Regelungen zur Aufbewahrung Bereich
Rechtsgrundlage
Personalbereich
Zoll
Einkommensteuergesetz (EStG) Lohnsteuerdurchführungsverordnung (LStDV) Arbeitszeitgesetz (ArbZG) Arbeitnehmerüberlassungsgesetz (AÜG) Arbeitsschutzgesetz (ArbSchG) Zollverwaltungsgesetz (ZollVG) Zollkodex (ZK) Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen für den Zuständigkeitsbereich der Zollverwaltung (GDPdUZ) 23
5
6
7
2
§ 2 Art und Umfang der Aufbewahrung Tabelle 3: Weitere Regelungen zur Aufbewahrung (Fortsetzung)
2
Bereich
Rechtsgrundlage
Medizin
Röntgenverordnung (RöntVO)
Presse, Verlage
Urheberrecht (UrhG)
Banken
Kreditwesengesetz (KWG) Wertpapierhandelsgesetz (WpHP) Geldwäschegesetz (GWG)
Sozialversicherungsträger
Öffentliche Verwaltung
8 9
10
11
12
SGB (Sozialgesetzbuch) Allgemeine Verwaltungsvorschrift über das Rechnungswesen in der Sozialversicherung (SRVwV) Bundesarchivgesetz (BArchG) Verwaltungsverfahrensgesetz (VwVfG) Gemeinsame Geschäftsordnung der Bundesministerien (GGO) Registraturrichtlinie für die Bearbeitung und Verwaltung von Schriftgut (RegG)
Sind mehrere Rechtsgrundlagen für einen Bereich oder eine Dokumentenart relevant, z. B. die Abgabenordnung und das Umsatzsteuergesetz für Rechnungen, gilt vorrangig das Spezialgesetz. Besondere Anforderungen an die Archivierung gelten für Urkunden oder urkundenähnliche Dokumente, wobei hier bereits der Fokus dieses Werkes – nämlich die Betrachtung aus steuerlicher Sicht – verlassen wird. Das Thema wird daher nur am Rande gestreift. Viele Rechtsgrundlagen sind bisher noch landes- bzw. staatenspezifisch geregelt, auch wenn auf europäischer Ebene eine Harmonisierung angestrebt wird. Ein gutes Beispiel hierfür sind die Regelungen zur elektronischen Rechnung. Die rechtliche Situation in Deutschland weicht in einigen Punkten beispielsweise von jener der Schweiz, Großbritanniens oder den USA ab. Daher bezieht sich die nachfolgende Betrachtung auf die in Deutschland geltenden Verordnungen und beschränkt sich weitgehend auf solche Belege, die aus Gründen des Steuerrechts und des Wirtschaftsrechts aufzubewahren sind. Eine archivierungsbezogene Beschreibung der Gesetzestexte und Verlautbarungen ist in Anhang 1 Rechtliche Grundlagen enthalten. Eine Übersicht über Rechtsprechungen zum Thema Datenzugriff befindet sich in Anhang 2 Rechtsprechung mit GDPdU-Bezug.
24
2
B. Steuerrelevante Unterlagen
B.
Steuerrelevante Unterlagen
B.
Der Aufbewahrungsumfang ist in § 257 HGB und § 147 AO festgelegt:
13
2
Tabelle 4: Umfang der Aufbewahrung nach Handels- und Steuerrecht § 257 HGB
§147 AO
(1) Jeder Kaufmann ist verpflichtet, die folgenden Unterlagen aufzubewahren:
(1) Die folgenden Unterlagen sind gesondert aufzubewahren:
Abs. 1 Nr. 1
Abs. 1 Nr. 1
Handelsbücher Inventare Eröffnungsbilanzen Jahresabschlüsse Lageberichte Einzelabschlüsse nach § 325 Abs. 2a, Konzernabschlüsse, Konzernlageberichte sowie die zu ihrem Verständnis erforderlichen Arbeitsanweisungen und Organisationsunterlagen
Bücher und Aufzeichnungen Inventare Jahresabschlüsse Lageberichte Eröffnungsbilanz sowie die zu ihrem Verständnis erforderlichen Arbeitsanweisungen und sonstige Organisationsunterlagen
Abs. 1 Nr. 2
Abs. 1 Nr. 2
die empfangenen Handelsbriefe
die empfangenen Handels- oder Geschäftsbriefe
Abs. 1 Nr. 3
Abs. 1 Nr. 3
Wiedergaben der abgesandten Handelsbriefe
Wiedergaben der abgesandten Handels- oder Geschäftsbriefe
Abs. 1 Nr. 4
Abs. 1 Nr. 4
Belege für Buchungen in den von ihm nach § 238 Abs. 1 zu führenden Büchern (Buchungsbelege)
Buchungsbelege
Abs. 1 Nr. 4a
nicht abgegebene oder zurückgegebene Unterlagen bei Zollanmeldungen mittels Datenverarbeitung
Abs. 1 Nr. 5
sonstige Unterlagen, soweit sie für die Besteuerung von Bedeutung sind
25
2 14
2 15
§ 2 Art und Umfang der Aufbewahrung Selbst für Steuerexperten bedarf es einer Erläuterung der obigen Begrifflichkeiten. Wichtig ist hierbei: Unterlagen sind keineswegs ausschließlich Papierunterlagen, ganz im Gegenteil: Im Zeitalter EDV-basierter Finanzbuchhaltungs- und ERP-Systeme sind darunter alle Informationen zu verstehen, die durch Daten repräsentiert werden. Ausgehend von einer funktionalen Betrachtungsweise muss stets überlegt werden, inwieweit das fragliche Archivierungsobjekt eine steuerliche bzw. handelsrechtliche Funktion oder Wirkung entfaltet bzw. entfalten könnte. Eine detaillierte Übersicht, welche Dokumentarten im Einzelfall dazu gehören können, ist in der folgenden Übersicht (nicht abschließend) in alphabetischer Reihenfolge enthalten:
26
Änderungsnachweis der EDV-Buchführung Änderungsprotokollierung EDV-Parameter Aktennotizen Akkordzettel Angebote Angestelltenversicherung Anlagevermögensbücher und -karteien An-, Ab-, Ummeldungen der Krankenkassen Anträge Arbeitnehmersparzulage Anweisungen zur Kassenprogrammierung Anwesenheitsliste Arbeitsanweisung der EDV-Buchführung Aufnahmelisten Auftrags- und Bestellunterlagen Auftragszettel Aufzeichnungen über Sonderaktionen und Werbeaktionen Ausfuhrnachweise Ausgangsrechnungen Bankauszüge (betrieblich) Bankbürgschaften Belastungs- und Gutschriftsnoten Bescheide über Steuern, Gebühren und Beiträge Betriebsabrechnungsbögen mit Belegen als Bewertungsunterlagen Betriebskostenrechnungen Bewirtungsunterlagen Buchungsanweisungen CpD-Konto (Konto pro Diverses) Darlehensunterlagen Dauerauftragsunterlagen
Depotauszüge (betrieblich) Effektenkassenquittungen, Effektenempfangsbescheinigung, Effektenbuch Eigenbelege für Stornobuchungen Einfuhrunterlagen Einkaufsbücher / Wareneinkaufsbücher E-Mails Eröffnungsanträge für Bankkonten und Depots Essensmarkenabrechnungen Exportunterlagen Faxe Fernschreiben Frachtbriefe Freistempler-Unterlagen Gehaltslisten Genehmigungen – nach Gültigkeitsablauf Geschenknachweise Gesellschafterbeschlüsse Gründungsakten der Gesellschaft Grundbuch Grundbuchauszüge Grundstücksverzeichnis Hauptbuch HR-Auszüge Inkassounterlagen Intern erstellte Kostenstellenpläne Inventuranweisungen / Reinschriften Investitionszulage (Unterlagen) Jahresabschlusslisten oder -bögen Kassenstreifen und Kassenzettel
2
B. Steuerrelevante Unterlagen
Kalkulation zur Vorratsbewertung Kassenberichte Kassenbücher Kommissionsabrechnungsunterlagen Kommissionslisten Konnossemente Kontenpläne / Kontenregister / Historie der Kontenplanänderungen Kontrolluhr- oder Stechuhrkarten Kostenberichte Kostenträgerrechnungen Kostenvoranschläge Kreditunterlagen, soweit Buchungsbelege Kurzarbeitergeldlisten Lagerbücher Lagerkartei Lagerzugangs- und Abgangsbelege Lieferscheine Lizenzunterlagen Lohnabrechnungen Lohnberechnungsunterlagen Lohnkonto Lohnlisten Mahnvorgänge Mietunterlagen Nachnahmebelege Nebenbücher OP-Buchhaltung Organisationsunterlagen insbesondere bei Verwendung von EDV Pachtunterlagen Patentunterlagen Pensionskassenunterlagen Pfändungsunterlagen Preisverzeichnisse Programm- und Systemdokumentationen Protokolle Gesellschafterversammlung
Prozessakten Provisionsabrechnungen Quittungen Reisekostenabrechnungen Repräsentationsaufwendungen Saldenlisten und -bestätigungen Schadensunterlagen (soweit Bilanzunterlagen) Schecks oder die dazu gehörenden Unterlagen und Scheckbücher Skontolisten, soweit Buchungsunterlagen Sozialversicherungsunterlagen Spendenbescheinigungen Steuererklärungen/-bescheide Stundenlohnzettel Tagessummenbons von Registerkassen Teilzahlungsunterlagen Telefonkostennachweise Telegramme Überstundenlisten Umsatzsteuerunterlagen Unterlagen über Zessionen Ursprungsbelege (wie Preislisten und Kontrollzettel) Ursprungszeugnisse Verfahrensdokumentationen Vermögenswirksame Leistungen Versicherungspolicen Vertragsurkunden (Gesellschaftsverträge, Arbeitsverträge) Verträge (sonstige), soweit relevant Warenzeichenunterlagen Wechsel und Wechselbücher Werkstattabrechnungen Zahlungsanweisungen Zinsrechnungen Zollbelege
2
27
2
§ 2 Art und Umfang der Aufbewahrung
16
2
Schwierig erweist sich in der Praxis oft die Definition des Handels- und Geschäftsbriefes. Ein Handelsbrief ist ein Schriftstück, das der Vorbereitung, Durchführung und dem Abschluss oder der Rückgängigmachung eines Geschäfts dient2.
C. 17
D. 18
19
20
21
Originär elektronische Unterlagen
Originär elektronische Unterlagen sind stets das Ergebnis ein- oder mehrstufiger Verarbeitungsschritte innerhalb kaufmännischer Systeme. Sie müssen elektronisch aufbewahrt werden. Der Fragen- und Antwortenkatalog zu den GDPdU zählt eingescannte aufbewahrungspflichtige Unterlagen, die durch die Überführung in die elektronische Form an die Stelle der Papieroriginale treten, zu den originär elektronischen Unterlagen.3 Ausgehend von einer Entscheidung des Finanzgerichtes Düsseldorf4 entschied der Bundesfinanzhof5, dass sich der Steuerpflichtige mit dem Einscannen der Belege für die Form der Aufbewahrung als Wiedergabe auf einem Bildträger oder auf einem anderen Datenträger entscheidet. Im Fall der elektronischen Belegarchivierung muss der Steuerpflichtige dem Prüfer insoweit über die betriebsinterne Hard- und Software die Einsicht der elektronischen Belege unmittelbar am Bildschirm gestatten.6
D.
Steuerrelevante Daten
Gerade die Qualifikation steuerlich relevanter Daten sorgt immer wieder für Fragestellungen und Irritationen, dabei wird unabhängig vom Datenzugriff der sog. sachliche Umfang einer Betriebsprüfung unverändert durch die Prüfungsanordnung bestimmt. Gegenstand sind demnach weiterhin nur die nach § 147 Abs. 1 AO aufbewahrungspflichtigen Unterlagen, entsprechend obiger Auflistung. Aus bestimmten Gründen hielten und halten sich die Finanzbehörden bei der Forderung nach einer belastbaren Auflistung aller in späteren Prüfungsfällen möglicherweise steuerrelevanten Daten bedeckt und verweisen auf ihre umfassende, wenngleich doch recht knapp und allgemein gehaltene, Definition in ihren bereits ein halbes Jahr vor Inkrafttreten des Datenzugriffsrechts am 16.07.2001 bekannt gegebenen Grundsätzen zum Datenzugriff und zur Prüfbarkeit elektronischer Unterlagen („GDPdU“): „Das Recht auf Datenzugriff beschränkt sich ausschließlich auf Daten, die für die Besteuerung von Bedeutung sind (steuerlich relevante Daten). Die Daten der Finanzbuchhaltung, der Anlagenbuchhaltung und der Lohnbuchhaltung sind danach für den Datenzugriff zur Verfügung zu halten. Soweit sich auch in anderen Bereichen des Datenverarbeitungssystems steuerlich relevante Daten befinden, sind sie durch den Steuerpflichtigen nach Maßgabe seiner steuerlichen Aufzeichnungs- und Aufbewahrungspflichten zu qualifizieren und für den Datenzugriff in geeigneter Weise vorzuhalten.“ Etwas ausführlicher, wenngleich im praktischen Anwendungsfall nur wenig hilfreich, gibt sich diesbezüglich der Fragen- und Antwortenkatalog des Bundesministeriums der Finanzen (BMF) zum Datenzugriffsrecht der Finanzverwaltung, wenn dessen Punkt I.6 noch nach Jahren fortlaufender Aktualisierungen folgende Umschreibung enthält: „‚Steuerlich relevant‘ sind Daten immer dann, wenn sie für die Besteuerung des Steuerpflichtigen von Bedeutung sein können“.
2 3 4 5 6
28
Begründung zum Gesetz zur Änderung des HGB und der RAO vom 02.08.1965 (BGBl. I, 665) Fragen und Antworten zum Datenzugriffsrecht der Finanzverwaltung, www.bundesfinanzministerium.de (Stand: 22.01.2009) FG Düsseldorf Beschluss vom 05.02.2007, 16 V 3454/06 A (AO), EFG, 2007 S. 892 Beschluss des BFH vom 26.09.2007, I B 53, 54/07, BStBl. 2008 II, 415 Ausführlich dazu Groß/Lamm/Georgius in Recht im Internet (Hrsg. Schwarz/Peschel-Mehner), Steuerrecht, 18-G3, Rz. 123
2
D. Steuerrelevante Daten Das weitaus schlagkräftigere und seitens der aufbewahrungspflichtigen Unternehmen wohl nachvollziehbare Argument für die Zurückhaltung der Finanzbehörden findet sich dagegen zwei Sätze zuvor im Fragen- und Antwortenkatalog: Es kann schon deswegen keine allgemein gültige Definition seitens der Finanzbehörden geben, weil Daten bei einem Unternehmen steuerlich relevant sein können, beim anderen aber nicht! Die Gründe dafür liegen zum einen in der Vielzahl unterschiedlicher Systeme in den heutigen heterogenen IT-Landschaften, zum anderen aber auch im unternehmensspezifischen Einsatz der betrieblichen Hard- und Software. Allerdings liegt hierin auch ein großer Vorteil für die Unternehmen, denn nach den GDPdU definiert das steuerpflichtige Unternehmen zunächst aus seiner Sicht den Bestand an steuerlich relevanten Daten. Jegliche Aufforderung des Betriebsprüfers, über den vordefinierten Umfang auszuweiten, stellt gemäß § 118 AO einen Verwaltungsakt dar, gegen den der Unternehmer Einspruch einlegen kann.7 Exkurs: Neue Sanktionsmöglichkeiten der Finanzbehörden Ein weiterer Aspekt, der bei der mangelhaften Zurverfügungstellung von Informationen im Prüfungsfall künftig besondere Bedeutung erlangen wird, stellen die im Zusammenhang mit der unter bestimmten Voraussetzungen neuerdings erlaubten Auslagerung der Buchführung in andere Staaten neu geschaffenen Sanktionsmöglichkeiten der Finanzbehörden dar. Da sich nicht wenige Unternehmen trotz seit geraumer Zeit angekündigter Verschärfungen von den bislang drohenden Sanktionsmöglichkeiten, nicht zuletzt wegen Verbots einer Strafschätzung, unbeeindruckt zeigten, erlaubt die Abgabenordnung im § 146 Abs. 2b AO jetzt die Verhängung eines durchaus empfindlichen Verzögerungsgelds: „Kommt der Steuerpflichtige der Aufforderung zur Rückverlagerung seiner elektronischen Buchführung oder seinen Pflichten nach Absatz 2a S. 4, zur Einräumung des Datenzugriffs nach § 147 Abs. 6, zur Erteilung von Auskünften oder zur Vorlage angeforderter Unterlagen im Sinne des § 200 Abs. 1 im Rahmen einer Außenprüfung innerhalb einer ihm bestimmten angemessenen Frist nach Bekanntgabe durch die zuständige Finanzbehörde nicht nach oder hat er seine elektronische Buchführung ohne Bewilligung der zuständigen Finanzbehörde ins Ausland verlagert, kann ein Verzögerungsgeld von 2.500 Euro bis 250.000 Euro festgesetzt werden.“ Zum vielen Unternehmen bislang unbekannt gebliebenen Verzögerungsgeld wurde bereits die erste Finanzgerichtsentscheidung verkündet. Die Richter des Finanzgerichts Schleswig-Holstein betonten in ihrem Urteil vom 03.02.2010 – 3 V 243/09 –, dass bei der nicht rechtzeitigen Vorlage von Papierunterlagen und Datenbeständen das Verzögerungsgeld selbst dann noch gezahlt werden muss, wenn die Mitwirkungspflichten nachträglich erfüllt werden. Darüber hinaus braucht vom Finanzamt die Festsetzung des Verzögerungsgeldes nicht extra begründet zu werden, sofern nur der Mindestbetrag von 2.500 Euro verhängt wird.
7
Hagenkötter, NJW 2002, 1977, 1979, Schmittmann, WPg 2001, 1050, 1056.
29
22
2 23
2
§ 2 Art und Umfang der Aufbewahrung Exkurs: Neue Sanktionsmöglichkeiten der Finanzbehörden (Fortsetzung) Schließlich hat auch das Bundesministerium der Finanzen am 22.04.2010 einen als Orientierungshilfe gedachten Fragen- und Antwortenkatalog zum Verzögerungsgeld veröffentlicht. Danach sollen für dessen Höhe innerhalb der gesetzlichen Bandbreite von mindestens 2.500 Euro bis höchstens 250.000 Euro insbesondere die folgenden Kriterien von Bedeutung sein:
2
E. 24
F. 25
Dauer der Fristüberschreitung Gründe der Pflichtverletzung wiederholte Verzögerung bzw. Verweigerung Ausmaß der Beeinträchtigung der Außenprüfung Unternehmensgröße mangelnde Mitwirkung sowie wiederholte Verzögerungsgeldfestsetzungen
Stammdaten
Das Datenzugriffsrecht und damit auch die Pflicht zur Aufbewahrung steuerrelevanter Daten beziehen sich neben den Bewegungsdaten auch auf die dazugehörigen Stammdaten und Verknüpfungen. Erst in Kombination mit den korrespondierenden Stammdaten wie Kreditoren und Debitoren, Kontonummer und -bezeichnung, Preistabellen etc. lassen sich die steuerrelevanten Daten sinnvoll auswerten. Speziell die Datenträgerüberlassung funktioniert nur, soweit Informationen wie Formatangaben, Dateistruktur, Felddefinitionen oder Verknüpfungen mit bereitgestellt werden.8
F.
Auswahlkriterien für steuerrelevante Daten
Aus dem Gesamtumfang aller aufgrund verschiedenster rechtlicher Anforderungen aufbewahrungspflichtigen Daten gilt es, eine Auswahl der steuerlich relevanten und daher im Prüfungsfall auf Anfrage bereitzustellenden Informationen zu treffen. Als Faustformel kann dazu folgende Auflistung von Entscheidungskriterien herangezogen werden, die jedoch keinerlei Anspruch auf Vollständigkeit erhebt. Es bleibt zu beachten, dass die Prüfungsdienste der Finanzverwaltung nach den „GDPdU“ bei unzutreffender Qualifizierung im Rahmen ihres pflichtgemäßen Ermessens durchaus einen nachträglichen Datenzugriff auf alle steuerlich relevanten Datenbestände verlangen können. ! Praxishinweis: Bei der Qualifikation steuerrelevanter Daten und Dokumente hilft die Unterscheidung zwischen inhaltlicher und technischer Sichtweise. Losgelöst von EDV- und datenbasierten Fragestellungen geht es zunächst darum, den sachlichen Umfang der Außenprüfung anhand der unternehmensspezifischen Besonderheiten festzumachen (inhaltliche Sichtweise).9 Über eine Art „IT-Übersetzung“ sind im Anschluss die betroffenen Systeme (Haupt-, Vor- und Nebensysteme) und Formate zu identifizieren, die den innerhalb der inhaltlichen Abgrenzung identifizierten Umfang in der EDV repräsentieren.10
8 Ausführlich dazu Groß/Lamm/Georgius in Recht im Internet (Hrsg. Schwarz/Peschel-Mehner), Steuerrecht, 18-G3, Rz. 61. 9 Ausführlich dazu Groß/Lamm/Georgius in Recht im Internet (Hrsg. Schwarz/Peschel-Mehner), Steuerrecht, 18-G3, Rz. 48. 10 Ausführlich dazu Groß/Lamm/Georgius in Recht im Internet (Hrsg. Schwarz/Peschel-Mehner), Steuerrecht, 18-G3, Rz. 66ff.
30
2
F. Auswahlkriterien für steuerrelevante Daten
I.
Daten, die eine direkte steuerliche Auswirkung haben
Dass Daten mit direkter steuerlicher Auswirkung zwangsläufig auch steuerliche Relevanz attestiert werden muss, bedarf wohl keiner weiteren Erläuterung. Hierunter fallen nahezu alle Informationen aus der Finanz-, Anlagen- und Lohnbuchhaltung. Weitaus bemerkenswerter ist dagegen die Klarstellung im Bundesfinanzhof (BFH)-Beschluss vom 26. 09.2007 – I B 53, 54/07 –, nach dem eine steuerliche Relevanz völlig unabhängig von der konkreten Gewinnauswirkung zu beurteilen sei. Im zugrunde liegenden Sachverhalt erlaubten die obersten Finanzrichter den Datenzugriff auf sämtliche Konten der Finanzverwaltung einschließlich der vom Unternehmen gesperrten Konten, auf denen die nichtabzugsfähigen Betriebsausgaben gebucht wurden. Ob sich aus den entsprechenden Geschäftsvorfällen oder Unterlagen tatsächlich eine konkrete Gewinnauswirkung ergibt, beurteilte der Bundesfinanzhof in letzter Instanz als unerheblich. Weniger Gefallen dürften die Finanzbehörden dagegen an der aktuellen Entscheidung des Bundesfinanzhofs vom 24.06.2009 – VIII R 80/06 – zur Aufbewahrungspflicht für gesetzlich nicht vorgeschriebene elektronische Aufzeichnungen finden. Denn eine solche gibt es nicht: Freiwillig geführte Unterlagen sind nicht aufbewahrungspflichtig und dürfen damit innerhalb der gesetzlichen Aufbewahrungsfristen gelöscht bzw. vernichtet werden. Aber auch die buchführungspflichtigen Unternehmen kamen nicht ungeschoren davon: Werden Aufzeichnungen sowohl in Papierform als auch in elektronischer Form geführt, erstreckt sich die Aufbewahrungspflicht auf beide Formen. ! Praxishinweis: Nachdem die Prüfungsdienste in der ersten Stufe ihr neu geschaffenes Datenzugriffsrecht vornehmlich auf Finanz- und Lohnbuchhaltungssysteme beschränkt hatten, kommt es in der Prüfungspraxis jetzt zur Ausweitung des Datenzugriffs auf die der eigentlichen Buchhaltung vor- oder nachgelagerten Systeme wie insbesondere Materialwirtschafts- und Auftragssteuerungssysteme. Der Grund dafür liegt nicht nur in den nunmehr vorhandenen Erfahrungen im Umgang mit betrieblichen IT-Systemen, sondern auch in der Umsatzsteuererhöhung zum 01.01.2007. Denn zeitgleich fordert das „Jahressteuergesetz 2007“ vom 13.12.2006 (BGBl. I, 2878) für das Recht auf Vorsteuerabzug die Angabe des tatsächlichen Leistungszeitpunkts in Rechnungen. Die bis zu diesem Zeitpunkt erlaubte Ausnahmeregelung, wonach auf die Angabe des Leistungszeitpunkts verzichtet wurde, sofern dieser mit dem Ausstellungsdatum der Rechnung übereinstimmt, wurde gestrichen. Verschärft wurde die Anforderung durch den Bundesfinanzhof im Urteil vom 17.12.2008 - XI R 62/07. Im Streitfall enthielten weder eine vom Finanzamt bemängelte Rechnung aus dem Jahr 2005 noch der vorgelegte Lieferschein Angaben zum Lieferzeitpunkt. Weil das Ausstellungsdatum eines Lieferscheins aber nicht zwingend identisch mit dem Leistungsdatum ist, lehnten die BFH-Richter den Vorsteuerabzug endgültig ab. Um den Vorsteuerabzug nicht zu gefährden, ergibt sich damit dringender Handlungsbedarf zur Bereitstellung maschinell auswertbarer Informationen über den Leistungszeitpunkt, beispielsweise aus: Kassensystemen und Scannerkassen Auftrags- und Bestellsystemen Material- und Warenwirtschaftssystemen und Ausfuhrabrechnungssystemen
31
26
2 27
28
2
§ 2 Art und Umfang der Aufbewahrung
II. 29
2 30
Allein aus den der Besteuerung zugrunde liegenden Büchern und Aufzeichnungen lässt sich der dahinterstehende Geschäftsvorfall oft nicht ausreichend beurteilen. Nicht ohne Grund normiert § 147 Abs. 1 AO auch eine Aufbewahrungspflicht für sonstige Unterlagen, soweit sie für die Besteuerung von Bedeutung sind. Dazu zählen beispielsweise Kalkulationen. Diese seit jeher bestehende Aufbewahrungspflicht erläuternder Unterlagen gewinnt durch die ab dem 01.01.2008 geltende Neufassung des § 42 AO zum Missbrauch rechtlicher Gestaltungsmöglichkeiten zusätzliche Bedeutung. So dürfen alle zivilrechtlich wirksamen Rechtsverhältnisse auch weiterhin frei gestaltet und an der niedrigsten Steuerbelastung ausgerichtet werden, sofern keine unangemessene rechtliche Gestaltung gewählt wird, die ausschließlich zur Minderung der Steuerbelastung beitragen soll und dafür keine außersteuerlichen Gründe nachgewiesen werden (können). Sollten die Finanzämter aufgrund einer unangemessenen und komplizierten Rechtskonstruktion jedoch Gestaltungsmissbrauch vermuten, steht der Steuerpflichtige in der Pflicht, diese Annahme durch stichhaltige wirtschaftliche oder andere außersteuerliche Gründe zu entkräften. Eben diese Nachweispflicht kann in der betrieblichen Praxis bei einer üblicherweise erst Jahre nach dem Geschäftsvorfall stattfindenden Außenprüfung häufig genug nur aus den noch vorhandenen Datenbeständen heraus erfolgen.
III. 31
32
Daten, die der Sachverhaltsaufklärung dienen
Sonderfall Verrechnungspreise
Hinsichtlich der Dokumentation von Verrechnungspreisgestaltungen hat der Gesetzgeber zur Erbringung solcher Nachweise für nach dem 31.12.2002 beginnende Wirtschaftsjahre bis dato unbekannte Dokumentationspflichten geschaffen (§ 90 Absatz 3 AO). Während die Gewinnabgrenzungsaufzeichnungs-Verordnung vom 28.10.2003 Art, Inhalt und Umfang der geforderten Dokumentation regelt, schreiben die mit BMF-Schreiben vom 12.04.2005 – IV B 4 – S 1341 – 1/05 – veröffentlichten Verwaltungsgrundsätze-Verfahren den Finanzämtern explizit die Überprüfung der Angemessenheit von Verrechnungspreisen bis ins Detail vor. Danach sind die Prüfungsdienste dazu berechtigt, Erkenntnisse und Daten über Geschäftsvorfälle, Geschäftsbeziehungen und Unternehmen zur Angemessenheitsüberprüfung heranzuziehen, die in anderen Besteuerungsverfahren gewonnen wurden. Auch Unterlagen und Steuerakten von Vergleichsunternehmen müssen dem Außenprüfer vom zuständigen Finanzamt unverzüglich zur Verfügung gestellt werden. Zur Prüfungsvorbereitung dürfen die Finanzämter bereits mit der Prüfungsanordnung vorhandene oder leicht beschaffbare Unterlagen vom Unternehmen anfordern. Zu diesen regelmäßig auch in elektronischer Form vorhanden Unterlagen zählen ausdrücklich: Summen-, Salden- und Umbuchungslisten Der zum Handelsregister eingereichte Jahresabschluss einschließlich Anhang, Lagebericht und ggf. Überleitungsrechnungen sowie der Konzernabschluss und Konzernlagebericht eines inländischen Mutterunternehmens Angaben darüber, nach welchen Grundsätzen Aufzeichnungen und dazu gehörige Belege aufbewahrt werden Angaben über Betriebsstätten und Beteiligungen Übersicht über Art und Umfang der grenzüberschreitenden Geschäftsbeziehungen mit nahestehenden Personen
32
2
F. Auswahlkriterien für steuerrelevante Daten
Aufzeichnungen für außergewöhnliche Geschäftsvorfälle einschließlich außergewöhnlicher Dauerschuldverhältnisse Niederschriften über Aufsichtsrats- und Vorstandssitzungen, Gesellschafterversammlungen sowie Gesellschaftsverträge, Bürgschafts-, Patronats- und sonstige Garantieerklärungen Sicherheitshalber verweisen die Verwaltungsgrundsätze-Verfahren vom 12.04.2005 darauf, dass – falls vorhanden – Aufzeichnung und Kalkulation von Verrechnungspreisen in elektronischer Form angefordert werden können. Ausgeschlossen vom Datenzugriff sind die Datenbestände eines verbundenen Unternehmens mit Sitz im Ausland.11
IV.
33
34
Daten, die abhängig von der Art der Außenprüfung steuerlich relevant sind
Bei diesem Auswahlkriterium geht es darum, bei welcher Form der Außenprüfung (Betriebsprüfung, Lohnsteuer-Außenprüfung, Umsatzsteuersonderprüfung oder Zollprüfung) die betreffenden Informationen steuerliche Relevanz erlangen und deswegen zur Einsichtnahme und Auswertung bereitgestellt werden müssen (Steuerfahndungsmaßnahmen bedürfen an dieser Stelle keiner weitergehenden Betrachtungen – bei dieser Form der steuerlichen Betreuung nimmt das Prüfungspersonal dem Unternehmen die Entscheidung ohnehin ab). So darf ein Lohnsteuer-Außenprüfer durchaus auf persönliche Daten der Arbeitnehmer wie Wohnort oder Bankverbindung zugreifen, während ein Umsatzsteuer-Sonderprüfer schon gute Gründe für eine Einsichtnahme liefern müsste. Andererseits brauchen dem Lohnsteuer-Außenprüfer im Regelfall wohl keine Ausfuhrbelege ausgehändigt zu werden, deren steuerliche Relevanz wiederum für die Umsatzsteuer-Sonderprüfung sowie selbstredend für die Zollprüfung außer Frage steht.
35
36
! Praxishinweis: Die deutsche Zollverwaltung hat zur Zollabwicklung das IT-gestützte Ausfuhrverfahren „ATLAS“ entwickelt. Dem Unternehmer wird dabei elektronisch ein Ausgangsvermerk als PDF-Dokument übermittelt, der neben den Daten der ursprünglichen Ausfuhranmeldung zusätzliche Feststellungen und Ergebnisse der Ausfuhrzollstelle enthält. Jene PDF-Datei gilt nach dem BMF-Schreiben vom 03.05.2010 – IV D 3 - S 7134/07/10003 – als Nachweis für die Umsatzsteuerbefreiung der Ausfuhr – und zwar unabhängig davon, ob der Gegenstand der Ausfuhr vom Unternehmer oder vom Abnehmer befördert oder versendet wird. Zusätzlich muss der Unternehmer die mit der Zollverwaltung ausgetauschten EDIFACT-Nachrichten archivieren (§ 147 Abs. 6 und § 147 Abs. 1 Nr. 4 i. V .m. Abs. 3 AO). Auf die Archivierung des Logbuchs verzichten die Finanzbehörden dagegen neuerdings. Spätestens bei der Einbeziehung der unterschiedlichen Zielrichtungen steuerlicher Außenprüfungen wird deutlich, dass die Unternehmen nicht nur in der Pflicht stehen, ihre steuerlich relevanten Datenbestände zwecks Aufbewahrung qualifizieren zu müssen, sondern darüber hinaus noch eine Möglichkeit zur späteren Auswahl im Prüfungsfall geschaffen wird. In der Praxis wird dies freilich insbesondere bei der weit verbreiteten Datenträgerüberlassung nicht praktiziert. Es sei an dieser Stelle daher ausdrücklich darauf hingewiesen, dass bei unverlangt ausgehändigten Daten oder einem allzu großzügig eingeräumten Lesezugriff auf den betrieblichen IT-Systemen kein Verwertungsverbot seitens der Finanzbehörden hinsichtlich aller daraus gewonnenen Erkenntnisse besteht.
11 Schaumburg, DStR 2002, 829, 833.
33
37
2
2
§ 2 Art und Umfang der Aufbewahrung
V. 2
38
39
Zur Beschränkung des Archivierungsaufwands auf das notwendige Maß lohnt sich, vor allem bei den der eigentlichen Buchhaltung vor- oder nachgeschalteten IT-Systemen, ein kritischer Blick auf die tatsächliche Verwendung anfallender Datenbestände. Als Beispiel sei hier die mittlerweile wohl in nahezu allen Unternehmen in irgendeiner Form praktizierte Zeiterfassung genannt: Wird das Zeiterfassungssystem allein zur Anwesenheitskontrolle eingesetzt und den Mitarbeitern unabhängig von ihren tatsächlichen Arbeitszeiten das vertraglich vereinbarte Entgelt ausgezahlt, kann den Daten des Zeiterfassungssystems sicherlich keine steuerliche Relevanz attestiert werden. Völlig anders stellt sich die Situation dagegen dar, wenn das Zeiterfassungssystem als Grundlage zur Berechnung des Arbeitsentgelts oder der Überstunden- oder Feiertagszuschläge dient.
VI.
40
43
Daten aus Vor- und Nebensystemen
Die gesetzliche Pflicht zur Aufbewahrung steuerrelevanter Daten zielt neben dem Hauptsystem auch auf Vor- und Nebensysteme ab.12 Häufig landen entsprechende Daten als Ergebnis oder in verdichteter bzw. konsolidierter Form im ERP-System. Typische Beispiele hierfür sind Kassensysteme, Zahlungsverkehrssysteme, Materialwirtschafts-, Zeiterfassungs- oder E-Business-Lösungen.
G. 42
Daten, die zwar keine direkte steuerliche Auswirkung haben, in den materiellen Einzelsteuergesetzen jedoch gefordert sind
Schlussendlich zählen zu den aufbewahrungspflichtigen Daten auch all jene Informationen, die einen Rückschluss auf die formale Richtigkeit der Buchführung ermöglichen, ohne eine direkte steuerliche Auswirkung zu haben. So formuliert allein das Umsatzsteuergesetz im einschlägigen § 14 UStG eine stattliche Anzahl unabdingbarer Rechnungsangaben wie etwa die fortlaufende Rechnungsnummer mit einer oder mehreren Zahlenreihen.
VII. 41
Daten, die abhängig von der Verwendung des erzeugenden IT-Systems steuerliche Relevanz entwickeln
Maschinelle Auswertbarkeit
Die Finanzverwaltung interpretiert den Begriff der maschinellen Auswertbarkeit als wahlfreien Zugriff auf alle gespeicherten Daten einschließlich der Stammdaten und Verknüpfungen mit Sortierund Filterfunktion. 13 Insoweit wird transaktionsbezogen auf den eigentlichen Datensatz abgestellt, der jeweils für sich eine steuerrelevante Transaktion begründet. Dahinter stehen definierte Stammdaten wie Adressat, Konto, Steuersatz und Wertzuweisungen wie Betrag, Währung und Datum. Reports oder Druckdateien, die vom Unternehmen ausgewählte bzw. vorgefilterte Datenfelder und -sätze aufführen, werden insoweit 12 Ausführlich dazu Groß/Lamm/Georgius in Recht im Internet (Hrsg. Schwarz/Peschel-Mehner), Steuerrecht, 18-G3, Rz. 50ff. 13 Fragen und Antworten zum Datenzugriffsrecht der Finanzverwaltung, www.bundesfinanzministerium.de (Stand 22.01.2009)
34
H.
2
Fazit
nicht akzeptiert, als diese nicht mehr alle steuerlich relevanten Daten enthalten. Dies gilt auch, soweit während des Archivierungsvorganges eine Verdichtung stattfindet, welche den Verlust steuerlich relevanter Daten nach sich zieht.14
2 Aufbewahrungspflichtige Unterlagen Steuerlich relevant Originär elektronisch Maschinell auswertbar
Datenzugriff Abbildung 3: Aufbewahrungspflichtige Unterlagen
H.
Fazit
H.
Trotz der obigen Festlegungen und Regeln kann eine Definition nicht zuletzt im Hinblick auf die äußerst kurze Halbwertszeit der Steuergesetzgebung nie für alle Zeit in Stein gemeißelt sein. Gerade durch die zeitliche Differenz zwischen Festlegung und Prüfung der Daten – hier können theoretisch mehr als 10 Jahre dazwischen liegen – können unterschiedliche Auffassungen über den relevanten Umfang vorhanden sein. Als aktuelles Beispiel mögen die Sammelabrechnungsposten für geringwertige Wirtschaftsgüter nach § 6 Abs. 2a EStG herhalten. Die Regelung gilt für selbstständig nutzbare bewegliche Wirtschaftsgüter des Anlagevermögens. Anschaffungs- oder Herstellungskosten hingegen von mehr als 150 Euro bis einschließlich 1.000 Euro sind alle im Wirtschaftsjahr angeschafften oder hergestellten Wirtschaftsgüter (abgesehen von einer während der voraussichtlichen Dauer der Wirtschaftskrise eingeräumten Ausnahmeregelung) und sind zwingend in einem Sammelposten zusammenzufassen.
14 Fragen und Antworten zum Datenzugriffsrecht der Finanzverwaltung, www.bundesfinanzministerium.de (Stand 22.01.2009)
35
44
45
2 46
2
§ 2 Art und Umfang der Aufbewahrung Aus den genannten Gründen kann somit die Qualifizierung ausschließlich vom buchführungspflichtigen Unternehmen vorgenommen werden. Nach den bisherigen praktischen Erfahrungen aus zahlreichen elektronischen Betriebsprüfungen sollte dabei nicht auf die Unterstützung durch steuerliche Berater verzichtet werden. Exkurs: Qualifizierung steuerlich relevanter Daten Die Bundessteuerberaterkammer kommt zu einer ähnlichen Ansicht: Qualifizierung steuerlich relevanter Daten als Vorbehaltsaufgabe nach § 33 StBerG „Die im Rahmen der GDPdU erforderliche Qualifizierung steuerlich relevanter Daten gehört u. E. zu den in § 33 StBerG genannten Aufgaben. Danach hat der Steuerberater die Aufgabe, im Rahmen seines Auftrages den Auftraggeber in Steuersachen zu beraten, ihn zu vertreten und ihn bei der Bearbeitung seiner Steuerangelegenheiten und bei der Erfüllung seiner steuerlichen Pflichten Hilfe zu leisten. Es handelt sich hierbei um sog. Vorbehaltsaufgaben.“15 Da steuerliche Berater im Regelfall indes kaum über umfassende Kenntnisse der teils äußerst heterogenen IT-Landschaft ihrer Mandanten verfügen dürften, kann die Auffassung der BStBK nur so verstanden werden, dass der Unternehmer vorzugsweise bereits während des laufenden Wirtschaftsjahrs einen möglichst umfassenden „Datenpool“ aus den Hauptsystemen sowie den vor- und nachgelagerten Systemen bildet. Dazu zählen namentlich:
Zeiterfassungssysteme Auftrags- und Bestellsysteme E-Mail-Server Scanner-Kassen Kalkulationsprogramme Material- und Warenwirtschaftssysteme Reisekostenabrechnungssysteme sowie die Kosten- und Leistungsrechnung Auf diesen „Datenpool“ greift der Steuerberater dann im späteren Prüfungsfall zu. Bei einer unzutreffenden Qualifizierung kann die Finanzbehörde – wie bereits ausgeführt – den nachträglichen Datenzugriff auf weitere steuerrelevante Daten verlangen.
15 http://www.elektronische-steuerpruefung.de/steuerb/vorbehalt.htm
36
3
§ 3 Grundsätzliche Aspekte der elektronischen Archivierung In diesem Kapitel wird auf grundlegende Themenstellungen eingegangen, die beim Einsatz eines elektronischen Archivsystems – sowohl im steuerlichen Umfeld als auch auf Basis anderer Aufbewahrungsanforderungen – regelmäßig diskutiert werden. Im Gegensatz zu den ab § 4 beschriebenen Anwendungsszenarien sind diese Aspekte von grundlegender und Szenarien-übergreifender Natur. Die folgenden Themenstellungen werden dargestellt: Aufbewahrung und Archivierung Abgrenzung Backup zur elektronischen Archivierung Umsetzung der Anforderungen der GoBS Sicherstellung der Unveränderbarkeit Archivierungsformate Aufbewahrung und Vernichtung Inhalte einer Verfahrensdokumentation Zertifizierung einer Archiv-Umgebung Migration von elektronischen Archivsystemen
A.
Aufbewahrung und Archivierung
3 2 3
A.
Das Steuerrecht kennt den Begriff der Archivierung nicht. Wenn in diesem Buch von Archivierung gesprochen wird, wird ein in der Branche weit verbreiteter Begriff verwendet, der als Synonym gilt für unzulässige Änderungen und die Sicherstellung der Reproduktionsfähigkeit von bildlich oder inhaltlich unveränderten Unterlagen über die Dauer der gesetzlichen Aufbewahrungsfrist. Ob der Anwender oder die Hersteller diese Funktion „Archivierung“, „Ablage“, „Aufbewahrung“ oder wie auch immer nennen, ist dem Gesetzgeber egal. Es kommt nur darauf an, welche technischen und regulatorischen Anforderungen zu berücksichtigen sind und ob die vom Anwender genutzten Verfahren diesen Anforderungen genügen. Auf dem Markt hat sich für diese Art der Aufbewahrung der Begriff der elektronischen Archivierung durchgesetzt, wohl auch, um auf die besonderen Schutzfunktionen in diesen Systemen hinzuweisen, die auch für Unterlagen genutzt werden können, die 6 Jahre, 10 Jahre oder sogar mehrere Jahrzehnte aufbewahrt werden müssen. Aber aus diesem Sprachgebrauch resultieren dann auch Missverständnisse, weil es tatsächlich auch Archivgesetze gibt (zum Beispiel die Bundes- und Landesarchivgesetze, die für den öffentlichen Bereich und kulturhistorisch wertvolle Unterlagen gelten). Des Weiteren gibt es in der IT noch andere Archivverfahren, die aber mit dem Inhalt dieses Buches nichts zu tun haben. Bei diesen technischen Archivierungsverfahren geht es häufig darum, nicht mehr oder nur noch selten benötigte Daten aus Produktionssystemen auszulagern, um die Systeme zu verschlanken. Hiermit ist allerdings dann nicht die Archivierung im Sinne von Aufbewahrung gemeint, sondern die technische Auslagerung von Datenbeständen. Durch den Einsatz dieser technischen Auslagerung bleiben die Anforderungen an die Lesbarmachung aufbewahrungspflichtiger Unterlagen im steuerlichen Sinne unverändert. 37 T. Brand, et al., Steuersicher archivieren, DOI 10.1007/ 978-3-8349-6461-8_3, © Gabler Verlag | Springer Fachmedien Wiesbaden GmbH 2011
1
4
5
6
3
§3 7
Grundsätzliche Aspekte der elektronischen Archivierung
Eine häufige Verwechslung mit der steuerrechtlichen Archivierung (Aufbewahrung) gibt es auch mit dem Begriff des Backup.
B. 3
8
9
Abgrenzung Archivierung und Backup
Elektronische Archivierung ist nicht gleichzusetzen mit dem Begriff der Datensicherung, die primär dazu dient, Datenbestände zu sichern, sodass diese nach einem Stör- oder Katastrophenfall wieder zurückgespielt werden können. In der folgenden Tabelle sind die wichtigsten Unterschiede zwischen Datensicherung und elektronischer Archivierung aufgezeigt: Tabelle 5: Unterschiede Backup und elektronische Archivierung
10
11
Kriterium
Elektronische Archivierung (im Sinne von Aufbewahrung)
Backup
Zielsetzung
Langfristige Speicherung und Bereitstellung von Daten
Datenwiederherstellung verlorener Daten nach Festplatten-Schäden oder Datenverlust durch Fehlverhalten
Reproduktion
Einzelobjekte (Dokumente)
Anwendungen, Datenbestände
Zugriff
Regelmäßig
Selten, im Normalbetrieb gar nicht
Zeitraum der Speicherung
Langfristige bis dauerhafte (ausschließliche) Speicherung
Kurz- bis mittelfristige (zusätzliche) Speicherung
Unveränderbarkeit
Änderungen müssen nachvollziehbar sein. Löschen ist nicht zulässig.
Ja, im Vergleich zum Original, aber nicht in Bezug auf die gespeicherten Objekte. Backup-Medien werden überschrieben.
Konvertierung in Langzeitformate
Häufig
Nein
Ordnungsstrukturen
Indexdaten, Volltext
Inventory der Backup-Medien
Das wichtigste Merkmal der elektronischen Archivierung gegenüber einem Backup ist, dass archivierte Daten/Dokumente auch außerhalb der erstellenden oder verwaltenden Anwendungen genutzt werden können. Backups hingegen sichern Datenbestände, um sie typischerweise genau an einem gezielten Ort und für eine ausgewählte Anwendung wieder herzustellen. Das Backup als Mechanismus zur Archivierung von steuerrelevanten Anwendungsdaten und der entsprechenden steuerrelevanten Anwendung ist allerdings eine Variante, die im Rahmen von Systemmigration genutzt wird. Weitere Details hierzu sind in § 3 H. Migration von elektronischen Archivsystemen aufgeführt.
38
3
C. Umsetzung der Anforderungen der GoBS
C.
Umsetzung der Anforderungen der GoBS1
C.
Die in der GoBS definierten Ordnungsmäßigkeitskriterien für Buchführungssysteme gelten – wie die gesamten GoBS – auch für das dazugehörige dokumentenverwaltende elektronische Archivsystem. In der folgenden Tabelle werden diese Anforderungen daher für eine Buchhaltungssoftware und ein elektronisches Archivsystem gegenübergestellt.
12
3
Tabelle 6: Unterschiedliche Anforderungen Buchhaltungssystem und elektronisches Archivsystem Anforderung GoBS / HGB
Umsetzung Buchhaltungssoftware
Umsetzung elektronische Archivierung
Vollständigkeit
Lückenlose Erfassung bei der Kontierung Laufende Nummernkreise
Belege und Bücher müssen inhaltlich richtig erfasst werden Kontierungsgrundsätze
Zuordnung zur korrekten Periode Zeitnahe Buchung
Zeitliche Ordnung (Journalfunktion) Sachliche Ordnung (Kontenfunktion)
Ausreichende Indexstrukturen
Belegfunktion Journalfunktion und Kontenfunktion
Protokollierungs-Funktionen Verfahrensdokumentation
Keine Änderung von durchgeführten Buchungen
Richtigkeit
Zeitgerechtheit
Ordnung
Nachvollziehbarkeit
Unveränderbarkeit
Vollständige Übergabe an das Archivsystem Lückenlose Erfassung beim Scannen Transaktionskontrolle bei technischen Prozessen Übereinstimmung mit dem Original Keine Manipulationen am Dokumenteninhalt Qualitätssicherung bei manuellen Prozessen Zeitnahe Erfassung Datumsfelder Verwaltung von Aufbewahrungsfristen
Änderungen müssen nachvollziehbar sein Verknüpfung zum Geschäftsvorfall bzw. zur Buchung muss erhalten bleiben.
Im Folgenden wird auf diese Anforderungen eingegangen und dargestellt, wie diese für die elektronische Archivierung verstanden werden können. 1
Eine Arbeitsgruppe der Arbeitsgemeinschaft für wirtschaftliche Verwaltung (AWV e.V.) erarbeitet momentan eine neue Version dieser Grundsätze unter dem Namen: Grundsätze ordnungsmäßiger Buchführung beim IT-Einsatz (GoBIT). Ein Erscheinungstermin ist noch nicht bekannt.
39
13
3
§3
I. 14
3
Vollständigkeit
Jedes aufbewahrungspflichtige Dokument ist zu archivieren. Es muss einzeln erkennbar sein und alle Dokumentbestandteile enthalten, die zum Verständnis des Dokumentes erforderlich sind. Die Erfassung muss lückenlos erfolgen. Die Vollständigkeit betrifft neben der Erfassung mit Scannern auch den Import von Daten aus anderen IT-Systemen. Hierbei kommt der Transaktionskontrolle und Konsistenzprüfung zwischen lieferndem und empfangendem System eine besondere Bedeutung zu, um die Vollständigkeit sicherzustellen. Beim Scannen sind oft zusätzliche organisatorische Regelungen zur Prüfung der Vollständigkeit erforderlich.
II. 15
Grundsätzliche Aspekte der elektronischen Archivierung
Richtigkeit
Die archivierten Dokumente müssen eine Übereinstimmung mit dem Originalbeleg besitzen. Grundlage dieser Übereinstimmung ist die gesetzlich geforderte bildliche oder inhaltliche Übereinstimmung. Beim Scannen müssen alle relevanten Dokumentinformationen beim Lesen am Bildschirm und beim Ausdruck erhalten bleiben. Zählt Farbe in diesem Zusammenhang zu einer relevanten Information, z. B. Minusbeträge in rot, muss diese Information ebenfalls erhalten bleiben. ! Praxishinweis: Erfolgt bei Eingangsdokumenten eine Trennung zwischen inhaltlichen Daten eines Dokumentes und Layout-Informationen, sodass das Layout separat zu den Netto-Daten oder dem Netto-Image gespeichert wird, muss zum Zeitpunkt der Reproduktion die Zusammenführung dieser Informationen möglich sein. Auch die korrekte Zuordnung zum (damals) gültigen Hintergrundlayout ist erforderlich, wenn Informationen des Layouts relevanten Charakter besitzen (z. B. Zeichnungsberechtigte). Für Ausgangsdokumente ist hier eine inhaltliche Reproduktion (Datensatz, nur Netto-Daten) ausreichend.
III. 16
Zeitgerechtheit
Die Archivierung von Dokumenten sollte so zeitnah wie möglich erfolgen. So kann das Risiko von Datenverlusten und Manipulationen reduziert werden. Innerhalb eines Archivproduktes sollten die zu archivierenden Dokumente so schnell wie möglich den Status der Archivierung erhalten und mit den Mechanismen zur Sicherstellung der Unveränderbarkeit versehen werden. Das zeitnahe Bereitstellen von zu archivierenden Daten an das Archivierungssystem sollte durch organisatorische Regelungen ergänzt sein. ! Praxishinweis: Für archivierte Dokumente sollte ein Datumsfeld für die zeitliche Identifikation eines Dokumentes vorhanden sein. Dies kann das Erfassungs-, Archivierungs- oder Belegdatum sein. Datumsfelder sind auch für die Verwaltung von Aufbewahrungsfristen erforderlich.
40
3
C. Umsetzung der Anforderungen der GoBS
IV.
Vertraulichkeit
Je nach Schutzbedarf der Daten und Dokumente muss das Archivsystem sicherstellen, dass diese nicht unberechtigt gelesen, gedruckt oder weitergegeben werden können. Hierzu zählen neben der Behandlung von personenbezogenen Daten auch die nach rechtlichen Einheiten getrennte Verarbeitung, Archivierung und Recherche von Daten und Dokumenten sowie eine separate Administration je rechtlicher Einheit. Durch angemessene Maßnahmen zur Autorisierung ist sicherzustellen, dass nur im Voraus festgelegte Personen die ihnen zugewiesenen Rechte (beispielsweise Administration) wahrnehmen und die archivierten Dokumente und Daten bearbeiten können (autorisierte Personen). Bei der Archivierung von Daten und Dokumenten, die personenbezogene Daten enthalten, sind auch die Vorschriften des Bundesdatenschutzgesetzes und die darin vorgesehenen Rechte zu beachten. Insbesondere sind die Rechte auf Berichtigung, Sperrung bzw. Löschung personenbezogener Daten (vgl. §§ 34 f. Bundesdatenschutzgesetz (BDSG)) zu berücksichtigen.
V.
18
19
20
Nachvollziehbarkeit
Für die Nachvollziehbarkeit des Archivierungsverfahrens muss der buchführungspflichtige Anwender in der Lange sein, diese gegenüber einem sachverständigen Dritten darzustellen. Der sachverständige Dritte muss einen Überblick über die fachlichen und technischen Verarbeitungsregeln bekommen und hieran die Erfüllung der Ordnungsmäßigkeitsgrundsätze erkennen. Die Nachvollziehbarkeit gilt nicht nur für das zum Zeitpunkt der Prüfung betriebene System, sondern auch für alle älteren Systemstände, für die noch aufbewahrungspflichtige Dokumente vorhanden sind. Technische Protokollierungen sind einzurichten, sodass jede ändernde Operation (Einfügen, Ändern, Löschen, administrative Einstellungen) nachvollziehbar ist. Weiter sollte auch die Protokollierung von Fehlerbehandlungen (bsp. bei fehlerhafter Konvertierung), Wartungseinsätzen, Systemänderungen und Software-Updates erfolgen. Für das Verständnis und die Nachvollziehbarkeit des elektronischen Archivierungsverfahrens ist eine Verfahrensdokumentation erforderlich. Auf Details zu den erforderlichen Inhalten wird in § 3 F. Verfahrensdokumentation für elektronische Archivsysteme näher eingegangen.
VII.
3
Ordnung
Eine geordnete Archivierung bedeutet die fachlich ausreichende Indizierung sowie die eindeutige Zuordnung zum Buchungsbeleg. Hierzu sind für die jeweiligen Dokumentenarten angepasste Indexstrukturen zu definieren. Es sollten mindestens ein identifizierendes Merkmal (z. B. KundenNummer, Beleg-Nr. u. a.), ein klassifizierendes Merkmal (Dokumentart, Schlagworte zum Inhalt) und ein Datumsfeld vorhanden sein.
VI.
17
21
22
23
Sicherheit
Maßnahmen durch Sicherstellung von Verfügbarkeit und Vertraulichkeiten beziehen sich auf die Themenbereiche Datensicherung, Zugangskontrollen, Zugriffskontrollen, Mediensicherheit, Maßnahmen zur Hochverfügbarkeit und zum Katastrophenfall. Neben technischen Maßnahmen sind hier organisatorische Regelungen für den Standard- und den Notfall-Betrieb erforderlich. 41
24
3
§3
25
Grundsätzliche Aspekte der elektronischen Archivierung
Das elektronische Archivsystem muss über ein Berechtigungssystem verfügen, welches funktionale Berechtigungen unterscheiden kann und unterschiedliche Sichten auf Dokumenten- und Datenbestände ermöglicht.
VIII. Unveränderbarkeit 3
26
Dieser Aspekt wird umfassend in § 3 D. Sicherstellung der Unveränderbarkeit dargestellt.
IX. 27
D. 28
29
Zusammenfassung
Der Verband der DMS-Hersteller (Verband Organisations- und Informationssysteme e.V., VOI, Bonn) fasst die obigen Anforderungen in den folgenden zehn Grundsätzen zusammen: 1. Jedes Dokument muss nach Maßgabe der rechtlichen und organisationsinternen Anforderungen ordnungsmäßig aufbewahrt werden. 2. Die Archivierung hat vollständig zu erfolgen – kein Dokument darf auf dem Weg ins Archiv oder im Archiv selbst verloren gehen. 3. Jedes Dokument ist zum organisatorisch frühestmöglichen Zeitpunkt zu archivieren. 4. Jedes Dokument muss mit seinem Original übereinstimmen und unveränderbar archiviert werden. 5. Jedes Dokument darf nur von entsprechend berechtigten Benutzern eingesehen werden 6. Jedes Dokument muss in angemessener Zeit wiedergefunden und reproduziert werden können. 7. Jedes Dokument darf frühestens nach Ablauf seiner Aufbewahrungsfrist vernichtet, d. h. aus dem Archiv gelöscht werden. 8. Jede ändernde Aktion im elektronischen Archivsystem muss für Berechtigte nachvollziehbar protokolliert werden. 9. Das gesamte organisatorische und technische Verfahren der Archivierung kann von einem sachverständigen Dritten jederzeit geprüft werden. 10. Bei allen Migrationen und Änderungen am Archivsystem muss die Einhaltung aller zuvor aufgeführten Grundsätze sichergestellt sein.
D.
Sicherstellung der Unveränderbarkeit
Die Frage „Was bedeutet Unveränderbarkeit?“ wird im Zusammenhang mit der elektronischen Archivierung oft mit „Optische Speicher!“ beantwortet. Dieser scheinbar zwanghafte Zusammenhang zwischen Revisionssicherheit und Einmalbeschreibbarkeit von Medien geriet jedoch in den vergangenen Jahren immer mehr ins Wanken: Mit dem dramatischen Preisverfall bei Magnetplattenspeichern verloren optische Speichermedien ihren Preisvorteil, der einen wichtigen Grundpfeiler ihres Erfolgs darstellte. Gleichzeitig bieten mittlerweile immer mehr Magnetplatten-basierte Storagesysteme Unveränderbarkeit. Bei der Speicherauswahl ergeben sich neue Freiheitsgrade und somit mehr Möglichkeiten zur Gestaltung einer Speicherstrategie. Obwohl weder in Gesetzestexten noch z. B. in der GoBS oder dem FAIT 3 die Verwendung bestimmter Technologien vorgeschrieben ist, hält sich im Markt hartnäckig die Aussage, die Speicherung von elektronischen Dokumenten auf unveränderbaren Datenträgern sei verpflichtend.
42
D.
3
Sicherstellung der Unveränderbarkeit
Als Ausgangspunkt müssen die Gesetze und Grundlagen herangezogen werden:
30
Tabelle 7: Passagen bezüglich Sicherstellung der Unveränderbarkeit Grundlagen
Textpassage
AO
§ 146 (Absatz 4): Eine Buchung oder eine Aufzeichnung darf nicht in einer Weise verändert werden, dass der ursprüngliche Inhalt nicht mehr feststellbar ist. Auch solche Veränderungen dürfen nicht vorgenommen werden, deren Beschaffenheit es ungewiss lässt, ob sie ursprünglich oder erst später gemacht worden sind.
GoBS (Anschreiben)
3
§ 147 Abs. 2 AO lässt unter gewissen Voraussetzungen die Aufbewahrung von Unterlagen auf Datenträgern zu. Als Datenträger kommen neben den Bildträgern insbesondere auch die maschinell lesbaren Datenträger (z. B. Diskette, Magnetband, Magnetplatte, elektro-optische Speicherplatte) in Betracht. (Abschnitt 8): § 147 Abs. 2 AO schreibt zur Archivierung von Unterlagen (Dokumenten) auf digitalen Datenträgern keine besondere Technik vor. Die Regelung ist bewusst so gefasst worden, dass sie keine bestimmte Technologie vorschreibt. Mit Ausnahme der Jahresabschlüsse und der Eröffnungsbilanz ist damit die Speicherung/Archivierung der aufbewahrungspflichtigen Unterlagen (Dokumente) auf digitalen Datenträgern als sog. „andere Datenträger“ i. S. d. § 147 Abs. 2 AO zulässig.
GoBS (Kerntext)
Ziffer 8.2: Das Verfahren für die Wiedergabe der auf Bildträgern und auf anderen Datenträgern geführten Unterlagen (Datenausgabe) ist in einer Arbeitsanweisung des Buchführungspflichtigen schriftlich niederzulegen (z. B. Druckanweisung, COM-Anweisungen, Anweisungen für den Dialogverkehr zur Selektion und Darstellung der gespeicherten Unterlagen auf Sichtgeräten, z. B. bei Einsatz optischer Speichersysteme).
GDPdU2
Im Teil II (für elektronische Rechnungen mit qualifizierter elektronischer Signatur): ...die Speicherung der elektronischen Abrechnung auf einem Datenträger erfolgt, der Änderungen nicht mehr zulässt. Bei einer temporären Speicherung auf einem änderbaren Datenträger muss das DV-System sicherstellen, dass Änderungen nicht möglich sind.
HGB
§ 239 Satz (3): Eine Eintragung oder eine Aufzeichnung darf nicht in einer Weise verändert werden, dass der ursprüngliche Inhalt nicht mehr feststellbar ist. Auch solche Veränderungen dürfen nicht vorgenommen werden, deren Beschaffenheit es ungewiss lässt, ob sie ursprünglich oder erst später gemacht worden sind. Satz (4): Die Handelsbücher und die sonst erforderlichen Aufzeichnungen können auch in der geordneten Ablage von Belegen bestehen oder auf Datenträgern geführt werden, soweit diese Formen der Buchführung einschließlich des dabei angewandten Verfahrens den Grundsätzen ordnungsmäßiger Buchführung entsprechen.
2
In den GDPdU wird für elektronische Rechnungen die Anforderung definiert, dass diese auf einem Datenträger gespeichert werden müssen, der Änderungen nicht mehr zulässt. Hiermit wird nach allgemeinem Verständnis die GoBSkonforme Speicherung verstanden und nicht der Einsatz einer entsprechenden Speichertechnologie.
43
3
§3
Grundsätzliche Aspekte der elektronischen Archivierung
Tabelle 7: Passagen bezüglich Sicherstellung der Unveränderbarkeit (Fortsetzung) Grundlagen
Textpassage
FAIT 3
Satz 45: Das Kriterium der Unveränderlichkeit verlangt, dass mithilfe von technischen und organisatorischen Maßnahmen sichergestellt wird, dass keine nachträglichen Änderungen an elektronisch archivierten Dokumenten und Daten vorgenommen werden ...
3
Satz 47: Der Gesetzgeber hat keine Vorgaben über die zu verwendenden Technologien gemacht. Daher ist im Rahmen der IT-Strategie ein langfristiges Konzept zum Einsatz von Archivierungsverfahren aufzustellen und mit dem Sicherheitskonzept abzustimmen ... 31
Der ehemalige Kostenvorteil optischer Speichersysteme gegenüber Magnetplattenspeichern ist zwischenzeitlich nicht mehr gegeben und die damalige wirtschaftlich begründete optische Speicherung hat sich im Laufe der Zeit zu einer juristisch nicht begründbaren Pseudo-Technologieanforderung entwickelt. Exkurs: Unveränderbarkeit durch Langzeitformate Mit der Forderung nach inhaltlicher oder bildlicher Übereinstimmung der Wiedergabe eines Dokumentes ist oft gleichzeitig auch die Forderung zum Schutz gegen unzulässige Manipulation begründet. Werden originär digitale Dokumente als MS Word- oder Excel-Dokument abgelegt, könnte es bereits durch Unachtsamkeit passieren, dass unzulässige Änderungen vorgenommen werden. Excel-Formeln oder Word-Datumsfelder aktualisieren sich bereits beim Öffnen dieser Dateien. Sind die Unterlagen hingegen in PDF oder TIFF umgewandelt, sind zwar ebenfalls Manipulationen möglich – hierzu genügen Bordmittel eines normalen PCs – aber eine inhaltliche Manipulation muss absichtlich vorgenommen werden und erfolgt nicht versehentlich. Somit ist bei der Umwandlung in Langzeitformate zumindest versehentlichen inhaltlichen Manipulationen ein Riegel vorgeschoben. Wenn diese Dateien auf einem normalen Dateisystem abgelegt werden, kann aber trotzdem versehentlich (oder absichtlich) der Worst Case eintreten: Manipulation durch Löschen, was natürlich auch nicht dem Grundsatz der Ordnungsmäßigkeit entspricht. Somit wird deutlich, dass die Umwandlung in Langzeitformate zwar der versehentlichen Manipulation vorbeugt, nicht aber Veränderungen grundsätzlich ausschließt.
32
Die Nutzung von „herkömmlichen“ zentralen Speichersystemen ist kein Gesetzesverstoß. Schließlich meistern diese Unternehmen die GoBS-konforme Datenspeicherung für ihre Buchhaltungsdaten in der Regel bereits seit Jahren unter Verwendung derselben Speichersysteme. Hier kommen immer häufiger sog. SAN-, NAS- und HSM-Konzepte zum Einsatz. Neben diesen heute in Rechenzentren verbreiteten Technologien bieten einzelne Anbieter von elektronischen Archivsystemen verstärkt neue, sog. „Fixed Content Storage“-Speichertechnologien auf Basis von Magnetplatten oder Bändern an. Ähnlich wie bei optischen Speichersystemen stellen diese Systeme die einmalige, unveränderbare Speicherung von Daten und Dokumenten sicher: Das Speichersystem verwehrt nachträgliche Änderungen von Inhalten.
44
D.
I.
3
Sicherstellung der Unveränderbarkeit
Umsetzungsvarianten
Bezogen auf das Speichersystem eines elektronischen Archivsystems stehen somit unterschiedliche Möglichkeiten zur Verfügung: Einsatz von WORM-Jukeboxen und -medien (z. B. UDO, DVD, Bänder, etc.) Einsatz von WORM-Festplattensystemen (z. B. EMC Centera, IBM DR550, Netapp Snaplock, Hitachi HCAP etc.) Sicherheitsmechanismen in der ECM-Software (z. B. Container-Bildung, Hash-Codes, Berechtigungen, Protokollierung etc.) Sicherheitsmechanismen außerhalb der ECM-Software (z. B. Berechtigungen Betriebssystem für Client und Server, Berechtigungen Datenbank, Backup-Verfahren) Organisatorische Regelungen (z. B. 4-Augen-Prinzip bei der Administration, regelmäßige Audits, Zugangskontrollen, Arbeitsanweisungen ECM-Betrieb) In der Praxis gibt es unterschiedliche Auslegungen, was für die Sicherstellung der Unveränderbarkeit an technischen und organisatorischen Regelungen erforderlich ist. Einige Anwender argumentieren damit, dass analog zu einem Buchhaltungssystem die Unveränderbarkeit durch Softwaretechnik und organisatorische Regelungen sichergestellt werden kann. Andere Anwender sehen für die Sicherstellung der Unveränderbarkeit den Einsatz von unveränderbaren Speichersystemen als erforderlich.
33
3
34
Exkurs: Schutzfunktion der qualifizierten elektronischen Signatur Immer häufiger wird die angebliche Schutzfunktion der elektronischen Signatur diskutiert, die von Anwendern angefragt oder von Herstellerseite angeboten wird: Hier ist der Glaube anzutreffen, Dokumente müssten im elektronischen Archiv mit einer elektronischen Signatur versehen sein, um die Unveränderbarkeit zu garantieren. Im Sozialgesetzbuch (siehe §110 SGB IV) ist sogar verbindlich vorgeschrieben, dass Institutionen, die dem Sozialgesetz unterliegen, ihre gescannten Unterlagen mit einer qualifizierten elektronischen Signatur versehen müssen, falls sie die Originalunterlagen nach dem Scannen vernichten wollen. Tatsächlich kann eine elektronische Signatur jedoch keine Schutzfunktion übernehmen, sondern bietet lediglich die nachträgliche Möglichkeit, nachzuweisen, von wem die Signatur stammt und ob die signierte Datei verändert wurde (sofern sie nicht gelöscht wurde, weil sie nicht in einem entsprechenden Schutzsystem aufbewahrt wurde). Die einfache Nachweisführung unveränderter Aufbewahrung bietet allerdings bereits der elektronisch ermittelte Fingerabdruck einer Datei (engl. „Hash-Code“). Zudem besitzen viele Archivsysteme eigene Schutz- oder Nachweisfunktionen der unveränderten Aufbewahrung: Die Zusatzkosten elektronischer Signaturverfahren zur Nachweisführung der unveränderten Speicherung können in den meisten Fällen eingespart werden. Aus steuerlicher Sicht ist hier die qualifizierte elektronische Signatur für archivierte Dokumente (elektronische Rechnungen siehe § 9) nicht erforderlich und verhindert auch nicht die Veränderung von elektronisch archivierten Dokumenten. Da der Gesetzgeber bezüglich der Technologie zur Sicherstellung der Unveränderbarkeit der gespeicherten Daten keine Vorgaben gemacht hat, können die obigen Ansätze in Kombination mit DMSLösungen genutzt werden. Die Sicherstellung der Unveränderbarkeit beschränkt sich allerdings nicht nur auf die Speicherung der Dokumente. Vielmehr müssen an unterschiedlichen Komponenten und Prozessen Sicherheitsmechanismen zur Verfügung stehen, die eine unkontrollierte Veränderung von Informationen verhindern. Einige Beispiele sind in der folgenden Tabelle aufgeführt: 45
35
3
§3
Grundsätzliche Aspekte der elektronischen Archivierung
Tabelle 8: Sicherstellung der Unveränderbarkeit Komponente
Hintergrund
Sicherstellung der Unveränderbarkeit
Scan-Arbeitsplatz
Beim Scannen werden die Dokumente lokal zwischengespeichert.
3
Import- oder Verarbeitungsprozesse
z. B. Druckoutput, ImportVerzeichnisse, automatisierte Rechnungslesung oder Texterkennung
Eingangs-Cache des Archivservers
Hier werden die Dokumente zwischengespeichert, bis die Archivierung im Langzeitarchiv erfolgt.
Langzeitarchiv des Archiv-Servers
Im Langzeitarchiv darf keine Änderung an archivierten Dokumenten erfolgen.
36
Berechtigungssystem des Client-Betriebssystems Arbeitsanweisungen für die Client-Administratoren Protokollierung Berechtigungssystem des Server-Betriebssystems Arbeitsanweisungen für die Server-Administratoren Protokollierung Berechtigungssystem des elektronischen Archivsystems Berechtigungssystem des Betriebssystems Arbeitsanweisungen für die Administration Protokollierung Speicherung auf unveränderbarem Speichersystem oder in technisch-organisatorisch gesicherter Umgebung Berechtigungssystem des elektronischen Archivsystems Berechtigungssystem des Betriebssystems Arbeitsanweisungen für die Administration Protokollierung
Die Maßnahmen zur Sicherstellung der Unveränderbarkeit des Gesamtsystems betreffen somit immer mehrere Komponenten bzw. Prozesse und stellen eine Mischung aus technischen Komponenten, Berechtigungseinstellungen und organisatorischen Regelungen dar.
46
3
E. Aufbewahrungsdauer und Aufbewahrungsbeginn
E.
Aufbewahrungsdauer und Aufbewahrungsbeginn
E.
Die Frage, wie lange steuerrechtliche Unterlagen aufzubewahren sind, ergibt sich aus verschiedenen gesetzlichen Vorschriften. Die Aufbewahrungsfristen sind in § 257 HGB, § 147 AO und § 14b UStG geregelt.
37
Tabelle 9: Aufbewahrungsfristen nach Steuerrecht
3
Aufbewahrungsfrist von 6 Jahren
Aufbewahrungsfrist von 10 Jahren
empfangene Handels- oder Geschäftsbriefe Wiedergabe abgesandter Handelsoder Geschäftsbriefe
Buchungsbelege Bücher und Aufzeichnungen Inventare Jahresabschlüsse Lageberichte Eröffnungsbilanzen zum Verständnis der Buchhaltung erforderliche Arbeitsanweisungen sonstige Organisationsunterlagen
Wenn ein eingehender Handels- oder Geschäftsbrief mit einer Frist von 6 Jahren – z. B. eine Rechnung – auch die Funktion eines Buchungsbeleges hat, – was bei einer Rechnung meistens der Fall ist, – dann muss die Rechnung in ihrer Funktion als Buchungsbeleg natürlich 10 Jahre nach § 14b UStG aufbewahrt werden. Die Aufbewahrungsfrist bestimmt sich nicht nach der Bezeichnung, die der Anwender dem Dokument gibt, sondern nach der Funktion, die dem Beleg in der Buchführung zukommt. Die Aufbewahrungsfrist beginnt mit dem Ende des Kalenderjahres, in dem die letzte Eintragung in das Handelsbuch vorgenommen, das Inventar aufgestellt, die Eröffnungsbilanz oder der Jahresabschluss festgestellt, der Konzernabschluss aufgestellt, der Handelsbrief empfangen oder abgesandt wurde oder der Buchungsbeleg entstanden ist. Damit ergeben sich oft Aufbewahrungsfristen von 7 bzw. 11 Jahren, gemessen ab dem Eingangsdatum.
38
39
! Praxishinweis: Vor automatischem Löschen nach Ablauf einer irgendwann einmal eingegebenen Frist muss gewarnt werden, weil es sein kann, dass die steuerliche Festsetzungsfrist aufgeschoben wird und daher auch die Aufbewahrungsfrist auf über 10 Jahre ausgeweitet ist. Elektronische Archivsysteme verfügen häufig über Funktionen, die den unterschiedlichen Belegarten unterschiedliche Aufbewahrungsfristen zuordnen, innerhalb derer die Dokumente vor versehentlicher oder absichtlicher Manipulation geschützt sind. Hier ist darauf zu achten, dass die Funktion des Dokumentes für die Buchhaltung, aber nicht seine firmeninterne Bezeichnung, zur Ableitung der Aufbewahrungsfrist verwendet wird. Die Umsetzung der Aufbewahrungsfristen für alle Dokumentarten eines Unternehmens in eine Speicherorganisation des elektronischen Archivsystems ist nicht immer einfach möglich, da nicht bei jeder Dokumentart die Aufbewahrungsfrist mit dem Zeitpunkt der Erstellung oder Archivierung eines Dokuments beginnt, was aber typischerweise bei steuerlich relevanten Dokumenten der Fall ist. Beispielsweise beginnt die Aufbewahrungsfrist eines Kreditvertrages am Ende der Laufzeit oder eines Lebensversicherungsvertrages mit der Auszahlung der Versicherung. In diesen Fällen müssen
47
40
3
§3
41
3
F.
42
43
44
Grundsätzliche Aspekte der elektronischen Archivierung
Werkzeuge in einem elektronischen Archiv vorhanden sein, die eine Reorganisation entsprechend diesen „externen Einflüssen“ ermöglichen, da hier kein chronologisches Archivieren und Löschen von Dokumenten möglich ist. Die Aufbewahrungsfristen und -regeln sowie die Festlegungen für die Vernichtung von Dokumenten sind in der Verfahrensdokumentation niederzulegen.
F.
Verfahrensdokumentation für elektronische Archivsysteme
Die rechtlichen Grundlagen für die Erstellung einer Verfahrensdokumentation für ein elektronisches Archivsystem ergeben sich aus den GoBS sowie dem HGB und auch den Grundsätzen ordnungsmäßiger Buchführung beim Einsatz elektronischer Archivierungsverfahren des Instituts der deutschen Wirtschaftsprüfer (IDW) (FAIT 3). Die Pflicht zur Erstellung einer Verfahrensdokumentation ist unabhängig von der Größe oder Komplexität des Unternehmens, dem IT-gestützten Buchführungssystem und der dabei verwendeten Hard- und Software. D. h., sowohl bei Großrechnersystemen als auch bei PC-Systemen oder der Datenverarbeitung außer Haus (ASP-Betrieb, Outsourcing) ist für eine entsprechende Verfahrensdokumentation Sorge zu tragen. Zielsetzung einer jeden Verfahrensdokumentation ist der Nachweis der Erfüllung der in den GoBS definierten Ordnungsmäßigkeitsgrundsätzen. Die IT-gestützte Buchführung muss – wie jede Buchführung – von einem sachverständigen Dritten hinsichtlich ihrer formellen und sachlichen Richtigkeit in angemessener Zeit prüfbar sein. Dies bezieht sich sowohl auf die Prüfbarkeit einzelner Geschäftsvorfälle als auch auf die Prüfbarkeit des Systems und der darin ablaufenden Prozesse. Voraussetzung für die Nachvollziehbarkeit des Soll-Verfahrens ist eine Dokumentation, die die Beschreibung aller zum Verständnis der Buchführung erforderlichen Verfahrensbestandteile enthält. Darüber hinaus muss sich aus der Dokumentation ergeben, dass das Verfahren entsprechend seiner Beschreibung durchgeführt worden ist (Stichwort Programmidentität).
Abbildung 4: Inhalte einer Verfahrensdokumentation 48
3
F. Verfahrensdokumentation für elektronische Archivsysteme Umfang und Detaillierungsgrad der Verfahrensdokumentation richten sich insbesondere nach der Komplexität des IT-gestützten Buchführungssystems und dessen Automatisierungsgrad (z. B. Umfang der automatisch generierten Buchungen). Über die formale Gestaltung und technische Ausführung kann der Buchführungspflichtige individuell entscheiden. Die Verfahrensdokumentation muss als Dokumentation klar erkennbar sein, kann aber aus mehreren Dokumenten bestehen oder auf diese verweisen, z. B. auf die Anwenderdokumentation, auf Testdokumentationen oder grundsätzliche Steuerungs- und Kontrollkonzepte (IT-Risikomanagement und allgemeines Sicherheitskonzept, Bedrohungen und Maßnahmen, IT-Strategie, IT-Sicherheitsrichtlinie etc.) Die Dokumentation muss allerdings in einer Weise zur Verfügung gestellt werden, die einen zeitnahen Überblick über den Aufbau des IT-gestützten Buchführungssystems gibt und den Nachvollzug der buchführungsrelevanten Prozesse im Unternehmen erlaubt. Auch müssen Zusammenhänge in Bezug auf die eingesetzte Software, deren programminterne Verarbeitung, insbesondere deren Verarbeitungsfunktionen und -regeln ohne Kenntnis einer Programmiersprache verdeutlicht werden können. Typische Inhalte einer Verfahrensdokumentation sind: Tabelle 10: Inhalte einer Verfahrensdokumentation Abschnitt
Inhalte
Einsatzgebiet und Aufgabenstellung
Fachliche Beschreibung der Lösung
Technische Beschreibung der Lösung
Allgemeine Beschreibung (Organisation und Aufgabenstellung) Überblick über die relevanten Geschäftsprozesse Zuordnung zur Aufbau- und Ablauforganisation Verweis auf die relevanten rechtlichen Grundlagen Beschreibung der fachlichen Prozesse, z. B. Dokumenterfassung, Rechnungsprüfung etc. Organisationsanweisungen für die fachlichen Prozesse Beschreibung der Daten- und Dokumentenbestände inkl. Aufbewahrungsregeln und -fristen Übersichtliche Systemdarstellung mit allen Komponenten inkl. der Darstellung von Beziehungen zu vorgelagerten Systemen Beschreibung der Softwarekomponenten (z. B. Standardsoftware, Individualsoftware, Systemkonfiguration, Anwenderoberflächen, Schnittstellen, Infrastrukturkomponenten) Beschreibung der technischen Hardwarekomponenten (z. B. Speichersysteme und Datenträger, Erfassungssysteme, Server etc.), soweit zum Verständnis der Lösung erforderlich Beschreibung der technischen Verarbeitungsregeln (z. B. Datenflüsse, Protokollierungen, Ablaufpläne etc.)
49
45
46
3
47
3
§3
Grundsätzliche Aspekte der elektronischen Archivierung
Tabelle 10: Inhalte einer Verfahrensdokumentation (Fortsetzung) Abschnitt
Inhalte
Arbeitsanweisungen und weitere Dokumentationen
3
48
49
50
Kompetenzen und Verantwortlichkeiten für den Betrieb Arbeitsanweisungen und Kontrollregelungen für den Standardbetrieb (z. B. Scannen, Indizierung, Datensicherung, Umgang mit Datenträgern) und für Notfallszenarien (Restart, Recovery, K-Fall) Darstellung der Ordnungsmäßigkeit des Gesamtverfahrens, bezogen auf die rechtlichen Anforderungen (Bsp. Unveränderlichkeit, Vollständigkeit, Nachvollziehbarkeit) Darstellung der Langfristverfügbarkeit (Migrationsmöglichkeiten, Bedingungen für die Migration) Darstellungen zur Datensicherheit und Datenintegrität (Transaktions- und Konsistenzsicherung, Protokollierung, Ausfallsicherheit) Sicherstellung von Zugangs- und Zugriffsschutz (Benutzerverwaltung, Berechtigungskonzept) Darstellung der Wartungsregelungen (Verantwortlichkeiten, Eskalationswege, präventive Wartung, Störungsbehebung, Dokumentation) Darstellung der vorhandenen Mitarbeiterqualifikation (Rollen, erforderliche Kenntnisse, durchgeführte Qualifizierungsmaßnahmen) Vorgehensweise bei Test und Abnahme inkl. des eingesetzten Change-Management-Verfahrens Verfahren zur Sicherstellung der Programmidentität (Identität von technischer Umgebung zur Dokumentation)
Aus der obigen Übersicht wird klar, dass sich eine Verfahrensdokumentation für ein elektronisches Archivsystem aus einer Vielzahl von Dokumentationen zusammensetzen kann. Verantwortlich für die Erstellung, Versionierung, Korrektheit und Pflege ist immer der Steuerpflichtige. Inhalte der Dokumentation können aber von Produktherstellern oder Integratoren kommen. Der Hersteller ist verantwortlich und tritt in Garantie und Gewährleistung für die Standard-Softwarekomponenten. Voraussetzung dafür ist, dass die Module unverändert und gemäß ihrem vorgesehenen Zweck eingesetzt werden. Typische Inhalte einer Verfahrensdokumentation, die vom Hersteller geliefert werden, sind z. B. die Beschreibung der Standard-Software-Module, die Prozessbeschreibung der Standard-Prozesse, die Betriebsvoraussetzungen oder die Migrationsmöglichkeiten. Der Systemintegrator liefert, installiert, programmiert und konfiguriert Teile der Gesamtlösung im Auftrag des Kunden. Er ist oft der direkte Vertragspartner und Ansprechpartner. Typische Inhalte einer Verfahrensdokumentation, die vom Integrator geliefert werden, sind z. B. die Beschreibung der Systemkonfiguration oder die Beschreibung von individuell angepassten Prozessen.
50
3
G. Zertifizierung eines elektronischen Archivsystems Der Ersteller der Verfahrensdokumentation ist auch der Betreiber im rechtlichen Sinn. Ihm obliegt die ordnungsmäßige Archivierung unabhängig davon, ob die Buchhaltung in herkömmlicher Weise oder mit einem Softwareprodukt geführt wird. Typische Inhalte einer Verfahrensdokumentation, die vom Betreiber geliefert werden, sind z. B. die Beschreibung der Arbeitsanweisungen, der durchgeführten Tests oder der Nachweis der Mitarbeiter-Qualifikation. Der Buchführungspflichtige ist für das Vorliegen und die Aktualität der Verfahrensdokumentation verantwortlich. Die Aufbewahrungsfrist beträgt 10 Jahre. Die Dokumentation muss dem eingesetzten Verfahren entsprechen (Programmidentität). Die Verfahrensdokumentation ist bei Änderungen zu versionieren. Die Änderungen müssen in einer Historie nachvollziehbar sein. Eine Checkliste, welche Inhalte typischerweise in einer Verfahrensdokumentation für elektronische Archivsystemen enthalten sein können, ist im Anhang 3 enthalten.
G.
Zertifizierung eines elektronischen Archivsystems
51
52
3 53
G.
Ein häufiges Projektthema in Archivierungs-Projekten ist die angeblich notwendige Zertifizierung elektronischer Archivsysteme als Voraussetzung für die Vernichtungserlaubnis von Originalunterlagen. Für die Sicherstellung der Ordnungsmäßigkeit der eingesetzten Systeme und Verfahren sind Herstellerzertifikate für Standard-Produkte aber niemals ausreichend und viele Standards wie ISO 15489 oder DOMEA sind gar nicht darauf ausgelegt, einen Rechtsschutz zu entwickeln: Systeme, die diesen Anforderungen genügen, weisen lediglich einen Funktionsumfang auf, den der Entwickler des Standards bzw. die Zertifizierungsinstanz für sinnvoll hält, unabhängig davon, welcher Nutzen für Endanwender hierdurch entsteht. Zertifikate für elektronische Archivsysteme oder Komponenten wie Speichersysteme sind aber trotzdem hoch im Kurs. Wirtschaftsprüfer oder Rechtsanwaltskanzleien erstellen Zertifikate auf Basis unterschiedlichster Bewertungskriterien, sodass die Aussagekraft eines solchen Zertifikates ebenfalls sehr unterschiedlich ist. Für eine Zertifizierung nach GoBS oder GDPdU existieren keine fest definierten verbindlichen Standards. Das BMF weist in einem Fragen- und Antworten-Katalog zum Thema GDPdU vom 22.01.2009 auf diesen Umstand explizit hin: 17. Besteht die Möglichkeit, das vorhandene oder geplante DV-System von der Finanzverwaltung als „GDPdU-konform“ zertifizieren zu lassen? Nein. Insbesondere die Vielzahl und unterschiedliche Ausgestaltung und Kombination selbst marktgängiger Buchhaltungs- und Archivierungssysteme lassen keine allgemein gültigen Aussagen der Finanzverwaltung zur Konformität der verwendeten oder geplanten Hard- und Software zu. „Zertifikate“ Dritter entfalten gegenüber der Finanzverwaltung keine Bindungswirkung. Im Übrigen hängt die Ordnungsmäßigkeit eines im Rechnungswesen eingesetzten Verfahrens letztlich von mehreren Kriterien ab (z. B. auch von der Richtigkeit und Vollständigkeit der eingegebenen Daten). Quelle: Fragen und Antworten-Katalog des BMF vom 22.01.2009
54
Ziel eines Anwenders ist es immer, durch ein Zertifikat die Ordnungsmäßigkeit seiner Archivierungs-Umgebung bestätigt zu bekommen, um dies gegenüber einem Dritten, also z. B. einem Wirtschafts- oder Betriebsprüfer, besser belegen zu können. Bei genauerem Blick in ein Produkt-Zertifikat eines Archivierungs-Produktes wird allerdings oft deutlich, dass sich ein solches Zertifikat meist nur auf das Produkt selbst bezieht und dessen Einsatzumgebung unberücksichtigt bleibt. Werden also beispielsweise beim Scannen Doppeleinzüge nicht erkannt, nutzt der „revisionssicherste“ Ar-
60
51
55
56
57 58
59
3
§3
Grundsätzliche Aspekte der elektronischen Archivierung
chivserver nichts. In guten Produkt-Zertifikaten wird daher immer darauf hingewiesen, dass für eine ordnungsmäßige Umgebung neben dem Produkt auch entsprechende Verfahren erforderlich sind und diese auch dokumentiert sein sollten.
I. 3
61
62
63 64
Eine Möglichkeit der Produktzertifizierung ist der Prüfungsstandard PS 880 des Institutes der Wirtschaftsprüfer IDW e.V. Dieser dient zur Produktprüfung und Testierung IT-gestützter Systeme. Ziel ist die Validierung von Softwareprodukten zur Buchhaltung vor ihrer Implementierung, auf Einhaltung der Grundsätze ordnungsmäßiger Buchführung (GoB/GoBS). Es wird also nicht die Installation geprüft, sondern das Softwareprodukt und es erfolgt eine Testierung durch das Software-Testat eines Wirtschaftsprüfers. Hierbei ist zu beachten, dass die Systemprüfungen auch nur unter Laborbedingungen stattfinden, was deren Aussagekraft weiter einschränkt. Die Prüfung umfasst eine Verfahrensuntersuchung mit folgenden Schwerpunkten: Verarbeitungsfunktionen Softwaresicherheit (u. a.: Zugriff, Datensicherung, Störfälle und Wiederanlaufverfahren, Programmentwicklung und Freigabeverfahren) Dokumentation Da Software i. d. R. einer kontinuierlichen Veränderung unterliegt, ist ebenfalls die Durchführung von Folgeprüfungen definiert. PS880-Gutachten sind für GoBS-relevante Software-Komponenten im Markt durchaus verbreitet. Wirtschaftsprüfer können gegenseitig entsprechende Zertifizierungen anerkennen.
II. 65
66 67
Produktzertifikate der Wirtschaftsprüfer
Systemprüfung durch die zuständigen Finanzbehörden
Oft wird versucht, von der im Zweifelsfall maßgeblichen Instanz, dem Finanzamt, eine Stellungnahme zu einer Buchhaltungsanwendung oder einem elektronischen Archivsystem zu erhalten. Eingereicht wird in der Regel eine Verfahrensdokumentation mit der Bitte um entsprechende Stellungnahme. Verständlicherweise halten sich die entsprechenden Behörden in aller Regel zurück, da keine VorOrt-Prüfung (außerhalb der normalen Prüfungsaktivitäten) erfolgen kann. Auszüge eines Muster-Antwort-Schreiben eines Finanzamtes: … Eine Stellungnahme, ob ein bestimmtes System den Grundsätzen ordnungsmäßiger Buchführung entspricht, kann schon aus Gründen der Wettbewerbsneutralität nicht erfolgen. ... … Ob die vorgenannten Voraussetzungen vorliegen, kann allerdings im Einzelfall nur im Rahmen einer Außenprüfung zusammen mit der Prüfung der Ordnungsmäßigkeit der Buchführung beurteilt werden. Bei solch einer Prüfung wird darüber hinaus festzustellen sein, ob das Archivierungssystem so ausgestaltet ist, dass die abgelegten Daten während des gesetzlich vorgeschriebenen Aufbewahrungszeitraums keinen system- bzw. materialbedingten Veränderungen unterliegen. ... … Abschließend bleibt festzustellen, dass es dem Steuerpflichtigen grundsätzlich selbst überlassen bleibt, den Anforderungen an die Ordnungsvorschriften für die Buchführung und für Aufzeichnungen und den Anforderungen an die Ordnungsmäßigkeit der Aufbewahrung gerecht zu werden …
52
3
H. Migration von elektronischen Archivsystemen
III.
Bewertung von Zertifikaten und Zertifizierern
Grundsätzlich ist der Begriff der Zertifizierung nicht geschützt, daher kann jeder ein solches Zertifikat erstellen. Oft erfolgt dies beispielsweise durch Wirtschaftsprüfer, Steuerberater oder Rechtsanwälte. Eine haftungsrechtlich bindende Wirkung haben diese Gutachten in der Regel nicht, daher muss auch hier abgewogen werden, ob der Nutzen im Verhältnis zu den Kosten steht.
68
3
! Praxishinweis: Für den Wert eines Zertifikates sollten die folgenden Bewertungskriterien geprüft werden: Besitzt das Zertifikat eine haftungsrechtlich bindende Wirkung? Reduziert das Zertifikat die Risiken im Unternehmen? Besitzt das Zertifikat eine ausreichende Öffentlichkeitswirkung? Besitzt der Zertifizierer einen ausreichenden Bekanntheitsgrad? Besitzt der Zertifizierer eine entsprechende Qualifikation? Kosten der Zertifizierung In Abwägung dieser Kriterien sollte ein entsprechender Partner gesucht werden. Für eine interne Prüfung einer Systemumgebung kann z. B. ein hochqualifizierter, aber allgemein eher unbekannter Prüfer besser geeignet sein als ein bekanntes Prüfungsunternehmen ohne spezifisches Know-how. Will man einen hohen Werbeeffekt (intern oder extern) erreichen, kann ein allgemein bekannter Zertifizierer wiederum besser geeignet sein als ein unbekannter IT-Spezialist.
H.
Migration von elektronischen Archivsystemen
69
H.
Der Wechsel eines elektronischen Archivsystems mit steuerrelevanten Dokumenten oder Daten ist keine überraschende Einmalaufgabe, die nur bei Firmenübernahmen oder Systemkonsolidierungen anfällt, sondern kommt wegen des Wechsels der Speicherarchitektur, Unzufriedenheit mit dem Anbieter, Architekturwechsel beim Produkt und anderen Gründen immer mal wieder vor. Bei einer Betrachtung der typischen Lebenszyklen von IT-Komponenten, wie Datenbanken, Betriebssystemen oder Hardware wird klar: Aufbewahrungsfristen sind länger als die Lebensphasen von IT-Komponenten und führen dazu, dass steuerlich relevante Dokumente von einer Systemumgebung in die nächste übernommen werden müssen. Während z. B. Eingangsrechnungen nach dem HGB „nur“ 10 Jahre aufbewahrt werden müssen, können Anlagendokumentationen durchaus eine Lebensdauer von mehreren Jahrzehnten erreichen und Kundenakten im Lebensversicherungsbereich eine Aufbewahrung von 100 Jahren und mehr erfordern. Die Umstellung von ArchivierungsKomponenten und Dokumentenbeständen ist somit typisches Merkmal des Betriebes eines elektronischen Archivsystems. Hierbei kommt dem Herstellerwechsel – sprich dem Austausch aller Archiv-Komponenten – besondere Bedeutung zu, da hier im schlimmsten Fall alle bereits gespeicherten Dokumente kopiert und eventuell sogar konvertiert werden müssen.
53
70
71
72
3
§3
I. 73
3
74
75
76
77 78
79
Grundsätzliche Aspekte der elektronischen Archivierung
Besondere Merkmale einer Archivierungs-Umgebung
Eine Textverarbeitung kann in der Regel einfach gewechselt werden: Ab einem definierten Zeitpunkt wird mit dem neuen System gearbeitet. Anzeigeprogramme oder Konverter ermöglichen das Öffnen von Dokumenten, die im „alten“ Format gespeichert wurden, oder diese Dokumente liegen sowieso in Papierform, als PDF-Datei und möglicherweise in einem elektronischen Archivsystem vor. Beim Wechsel eines elektronischen Archivsystems ist das anders: Elektronische Archive müssen den oben beschriebenen gesetzlichen Anforderungen genügen und ordnungsmäßig im Sinne dieser Gesetze betrieben werden. Die Anforderungen gelten für das Altsystem, das neue System und auch für den Migrationsprozess selbst. Die eigene Überzeugung, dass alles ordnungsmäßig ist, reicht nicht aus. Wirtschafts- und Betriebsprüfer wollen überzeugt werden. Somit kommt der prüfergerechten Dokumentation dieser Systeme, der Verfahrensdokumentation und der Dokumentation des Migrationsprozesses eine entsprechende Bedeutung zu. Werden Speichersysteme eingesetzt, die keine offengelegten Standard-Schnittstellen unterstützen und wenn man nur mit Hilfsmitteln des Archivsystems oder des Speichersystem-Herstellers auf diese Daten zugreifen kann, entsteht ggf. das nächste schwierige Thema im Rahmen der Migration von Dokumentenbeständen. Typischerweise wird ein elektronisches Archivsystem nicht isoliert betrieben. Es bestehen viele technische Integrationen, z. B. zu Office-Produkten, zur E-Mail-Umgebung oder zu den sogenannten führenden Anwendungen, um aus diesen Anwendungen Dokumente zu archivieren und zu recherchieren. Die Anwender erwarten hier zu Recht, dass diese Funktionalitäten nach einer Umstellung weiterhin vorhanden sind. Werden auch noch Indexdaten in der führenden Anwendung gehalten, wie z. B. SAP mit ArchiveLink dies vorsieht, ist auch deren Anpassung im Rahmen einer Migration erforderlich. Zuletzt gilt das, was aber auch für andere Produktumstellungen gilt: Der Hersteller, von dem man weggeht, unterstützt den wechselwilligen Kunden eher unwillig, falls überhaupt. Und natürlich besitzt ein Migrationsprojekt die Merkmale, die auch oft in einem anderen Projekt nicht fehlen: Datenbestände sind inkonsistent. Relevante Datenbestände müssen definiert und im System identifiziert werden. Hohe Datenvolumen müssen verarbeitet werden. Architektur von Quell- und Zielsystem ist unterschiedlich. Es wird zusätzliche Hardware für den Migrationsprozess benötigt. Funktionale Besonderheiten des Altsystems werden erst im Laufe des Projektes identifiziert. Der Tagesbetrieb darf durch die Umstellung nicht beeinflusst werden. Ressourcen-Engpässe und fehlende fachliche Qualifikation der Projekt-Mitarbeiter. Es gibt andere Projekte und Termindruck. All diese Punkte erklären leicht, warum eine Archivsystem-Migration ein Projekt ist und man im Rahmen einer Produktauswahl einen gezielten Blick auf die Export-Möglichkeiten, die ProtokollFunktionen und das Datenbankmodell der zur Auswahl stehenden Produkte werfen sollte.
54
3
H. Migration von elektronischen Archivsystemen
II.
Migrationsobjekte – worum geht es?
Eine Archivsystem-Migration besteht aus einer Software-Migration und einer Daten- und Dokumentenmigration. Themen der Software-Migration sind typischerweise: Integration in Fachanwendungen, Office- und E-Mail-Umgebungen Integration in Betriebssysteme, Verzeichnisdienste, Applikations-Server, Datenbanken, Monitoring-, Backup- und Reporting-Umgebungen Unterstützung von Server- und Client-Hardware Unterstützung von Scannern und Speichersystemen Hier liegen natürlich Stolpersteine, die aber auch im Rahmen einer Archiv-Neueinführung anfallen und daher an dieser Stelle nicht detailliert werden. Für die Daten- und Dokumenten-Migration liegt oft das einfache Verständnis vor: Hier raus, da rein. So einfach ist es aber leider nicht. Die Archivierungs-Produkte sind oft grundlegend unterschiedlich und es gibt nicht zu allen Bereichen Standards, auf die man zurückgreifen kann. Sowohl Dokumenten- als auch Datenbestände und Systemeinstellungen müssen im Rahmen der Migration angefasst werden – teilweise aus technischen Gründen, weil ein Zielsystem z. B. grafische Annotationen oder Hintergrundlayouts anders verwaltet. Teilweise aber auch aus eigenem Wunsch heraus, um alte Dokumentenformate zu konvertieren oder nicht mehr relevante Dokumente zu löschen. Einige typische Umstellungen sind in der folgenden Tabelle aufgeführt: Tabelle 11: Typische Daten- und Dokument-Migrationen Bereich
Migrationsobjekte
Typische Umstellungen
Dokumente
Alle Formate, alle Objekte
Dokumente
Gescannte Dokumente
Dokumente Dokumente
Office-Dateien und E-Mails
COLD-Dateien, Druckdaten
Dokumente
Sonstige Formate
Keine Übernahme der Dokumente, deren Aufbewahrungsfrist abgelaufen ist Löschen der Dokumente nach den Datenschutzgesetzen Konvertierung von Notiz-Informationen Konvertierung Single-Page-TIFF in MultiPage-TIFF und umgekehrt Konvertierung Bildformate in PDF oder PDF/A Konvertierung alter Office-Formate Konvertierung E-Mail-Formate Umstellung Layoutverwaltung für Hintergrund-Layouts Konvertierung COLD-Dokumente in PDF oder PDF/A Konvertierung „exotischer“ Formate
55
80
3
81 82
83
84
3
§3
Grundsätzliche Aspekte der elektronischen Archivierung
Tabelle 11: Typische Daten- und Dokument-Migrationen (Fortsetzung) Bereich
Migrationsobjekte
Typische Umstellungen
Indexdaten
Indexfelder
3
Indexdaten
Aktenstrukturen
Neuaufbau Aktenplan Mapping und Umstellung alter Aktenstrukturen
Indexdaten
Volltext
Neuaufbau Volltext, meist keine Migration
Administration
Berechtigungen
Neuaufbau, meist keine Migration Migration besonderer Dokumentenberechtigungen (z. B. bei Berechtigungen auf Einzeldokumenten)
Administration
Fristenverwaltung
85
87
88
89
Konsolidierung der Aufbewahrungsregeln Neuaufbau, meist keine Migration
Auch steuerrelevante Daten können Gegenstand einer Migration sein. Details hierzu sind in § 8 enthalten.
III. 86
Aufteilung und Zusammenführung von Indexfeldern Überarbeitung Multi-Value-Listen Konsolidierung Auswahllisten, z. B. für Dokumentarten oder Schlagworte
Vorgehensweise bei einer Archivsystem-Migration
Steht das Migrationsprojekt an, sind die Projektschritte im Groben und die technische Vorgehensweise im Detail festzulegen. Bei der Grobplanung geht es um die Vorgehensweise insgesamt. Diese wird oft durch die folgende Frage bestimmt: Muss die Überführung der Datenbestände vollständig abgeschlossen sein, bevor das Zielsystem in Betrieb genommen werden kann? Oder kann das Zielsystem sofort in Betrieb genommen werden und die Migration erfolgt begleitend im Hintergrund? Die Vorteile der letzteren Vorgehensweise liegen auf der Hand: Das neue System kann sofort genutzt werden, neue Dokumente landen nur im neuen System. Allerdings muss der Zugriff auf das Altsystem bis zum Ende der Umstellung erfolgen, z. B. durch Integration in das neue System oder die parallele Suche in zwei Systemen. Bei SAP hat man hier den Vorteil, dass SAP die Möglichkeit bietet, mehrere Content-Server unterschiedlicher Archiv-Hersteller zu verwalten, sodass man hier eine laufende Migration leicht einrichten kann. Bei der Big-Bang-Umstellung wird erst einmal migriert, ohne dass der Anwender hiervon etwas merkt. Die laufende Archivierung erfolgt hier weiterhin im Altsystem oder parallel. Hat man sich an die Dokumente der letzten Tage oder Wochen „heranmigriert“, kommt meist an einem Wochenende der Cut-over: Restmigration und Produktivsetzung der neuen Umgebung. Diese Vorgehensweise führt leicht zu einem Zeitraum von mehreren Monaten, bis das neue System produktiv gesetzt werden kann. Die detaillierte Vorgehensweise in einem Migrationsprojekt ist in Anhang 5 beschrieben.
56
3
H. Migration von elektronischen Archivsystemen
IV.
Sicherstellung der Ordnungsmäßigkeit einer Migration
Ist man am Ende einer Migration davon überzeugt, dass die Umstellung erfolgreich war, muss man Vollständigkeit und Richtigkeit bei Bedarf auch Dritten darstellen können. Die Ordnungsmäßigkeit der Archivierung muss gewahrt bleiben. Das bedeutet nicht die bitgenaue Umstellung von Dateien, was technisch auch nicht immer möglich ist. Eine bildliche und inhaltliche Gleichheit wird in den gesetzlichen Grundlagen gefordert. Somit ist z. B. die Konvertierung von TIFF in PDF zulässig. Auch dürfen bessere Kompressionsverfahren z. B. für Farbdokumente eingesetzt werden, solange hierdurch nicht die Lesbarkeit beeinflusst wird. Entsprechend dokumentierte Tests sichern hier die gewählte Vorgehensweise ab. Bei Dokumenten mit elektronischer Signatur führt eine Konvertierung allerdings zum Bruch der Signatur, sodass hier die Migrationsobjekte unverändert bleiben müssen, soll die Signatur erhalten bleiben.
90
Es dürfen Indexbestände optimiert werden, solange eine Ordnung beim Zugriff vorhanden ist. Eine Verknüpfung von Buchung zu Beleg muss ebenfalls erhalten bleiben.
91
Zur Darstellung der Ordnungsmäßigkeit wird daher für das Migrationsprojekt eine entsprechende Projektdokumentation erstellt, die umfangreiche Protokolle in der Anlage besitzt. Typische Inhalte einer solchen Dokumentation sind in Anhang 5 enthalten.
92
Die folgenden Hinweise sollen dabei helfen, den Aufwand für ein Migrationsprojekt zu reduzieren. Relevant sind einige dieser Punkte bereits bei der Produktauswahl, aber auch beim Customizing und dem täglichen Betrieb. Falls man sich erst zum Zeitpunkt der Migration mit den Themen beschäftigt, kann man hier auch manchmal eine Überraschung erleben.
93
! Praxishinweis: Die Reduzierung des Migrationsaufwandes ist durch die folgenden Aktivitäten möglich: Fragen Sie bereits bei der Produktauswahl nach Massen-Export- und Protokoll-Funktionen. Hiermit ist nicht „Speichern unter“ im Viewer gemeint, sondern eher eine Maske, in der Doc-ID-Bereiche eingegeben werden können. Wählen Sie das Speichermedium unter Berücksichtigung möglicher Migrationen. Klären Sie, ob das System den gleichzeitigen Betrieb mehrerer Speichersysteme unterschiedlichen Typs unterstützt. Verstehen Sie die Art der Dokumentenspeicherung: Die Spanne geht hier von einer Einzeldateispeicherung im Quellformat in Verzeichnisstrukturen bis hin zur Speicherung vieler Dokumente, herstellerspezifischer Container-Objekte. Fragen Sie nach Migrationswerkzeugen, auch für Metadaten (z. B. Indexdaten, Berechtigungsdefinitionen, Annotationen etc.). Verstehen Sie das Datenmodell für die Ablage der Dokumente und lassen Sie sich dieses dokumentieren. Exportwerkzeuge sind bei den Datenbankprodukten Standard, doch diese nützen nur etwas, wenn man das Datenmodell auch versteht. Halten Sie die Anzahl unterschiedlicher Formate gering. Prüfen Sie, ob Datenbestände aufgrund der Fristenverwaltung im System identifiziert werden können. Löschen und Ändern: Wie wirken sich Löschungen oder Änderungen von Dokumenten auf den Export dieser Dokumente aus? Prüfen Sie, wie unterschiedliche Versionen zu einem Dokument identifiziert werden können. Verwenden Sie möglichst keine grafischen Annotationen. Stellen Sie sicher, dass das System durch Job-Priorisierung das Kopieren von Beständen im laufenden Betrieb ermöglicht.
57
3
3
§3
94
3
Grundsätzliche Aspekte der elektronischen Archivierung Setzen Sie möglichst aktuelle Produktversionen ein. So vermeidet man, dass das Migrationsprojekt mit einem größeren System-Update kombiniert werden muss. Auch eine Verfahrensdokumentation kann die Migrationssicherheit erhöhen. Ein Hauptabschnitt jeder Verfahrensdokumentation muss sich diesem Thema widmen.
Die Migration einer steuerrelevanten Archivierungs-Umgebung ist ein Projekt, welches geplant und überwacht werden muss. Ist man nicht selbst willens, dies zu tun, kann auch hierfür ein Dienstleister beauftragt werden. Es gibt einen kleinen Markt von Anbietern, die sich mit einem oder mehreren Archiv-Produkten, den Strukturen und Export-Möglichkeiten gut auskennen. Oft empfehlen die Archivsystem-Hersteller auch entsprechende Partner. Dies kann eine Alternative sein, allerdings lassen sich diese Partner ihr Know-how zu Recht bezahlen, denn beide Parteien wissen: Die Nicht-Migration oder der dauerhafte Betrieb des Altsystems sind keine wirkliche Alternative. Je selbstständiger ein Anwender agieren kann, desto einfacher und günstiger wird das Migrationsprojekt.
58
4
§ 4 Anwendungsfall: Scannen von Papierdokumenten A.
Beschreibung des Anwendungsfalls
A.
Seit vor über 25 Jahren die ersten elektronischen Archivsysteme in Deutschland installiert wurden, war und ist eines der Haupteinsatzgebiete derartiger Systeme die ordnungsmäßige Aufbewahrung gescannter Papierdokumente. Mit der Verbreitung leistungsfähiger Scanner, preiswerter Speicher (damals primär noch optische Speicher für die Archivspeicherung) und schneller Rechner war es Mitte der 80er Jahre zum ersten Mal möglich, Papier-behaftete Dokumente wirtschaftlich zu digitalisieren und in die elektronischen Geschäftsprozesse zu integrieren. Die Vorteile sind offensichtlich: Mehrfachverteilung ohne Mehrfachkopien: Dokumente können von unterschiedlichen Personen und Abteilungen eingesehen und bearbeitet werden, ohne dass wie bisher Mehrfachkopien erzeugt und verteilt werden müssen. Durch die Vermeidung von Mehrfachkopien wird auch sichergestellt, dass nur das gültige Dokument zur Verfügung steht. Standortunabhängiger Zugriff: Auf elektronische Dokumente kann von beliebigen Standorten, unabhängig von der Zugänglichkeit zu Archivräumen und der Verfügbarkeit von Archivpersonal, zugegriffen werden. Hohe Dokumentensicherheit: Elektronische Dokumente können mit den gleichen Mitteln wie die anderen geschäftskritischen Anwendungen im Unternehmen gesichert und im Verlustfall wieder von den Sicherungsmedien zurückgespielt werden. Solche Sicherungsverfahren sind mit Papier und Mikrofilm praktisch nicht umsetzbar, insbesondere nicht in dem hohen Automationsgrad moderner IT-gestützter Verfahren. Differenzierte Zugriffsrechte: Wer die (Papier-) Akte hat, kann sie auch lesen und kopieren. Nicht so bei elektronischen Dokumenten. Hier lassen sich sehr differenzierte Zugriffsrechte einrichten. Man kann nach Anwendungsfunktion differenzieren (Lesen, Schreiben, Anmerkungen, Metadaten ändern) in Abhängigkeit von der aktuellen Rolle des Anwenders, man kann Rechte entziehen oder temporär zuweisen, man kann unzulässige Zugriffsversuche protokollieren und vieles mehr. Wegfall manueller Tätigkeiten: Holen der Akten und Zurückstellen, weiterleiten oder faxen von Kopien an Externe. Bequemes Suchen: Statt nur nach bestimmten statischen Suchbegriffen abzulegen und zu suchen, die vorher bestimmt werden müssen, erlauben moderne Archivsysteme eine sehr flexible Suche nach den unterschiedlichen Metadaten wie Dokumentenart, Eingangsdatum, Aktenzeichen und beliebigen anderen Suchkriterien. Darüber hinaus wird das inhaltliche Suchen zunehmend populär: d. h. das Suchen nach Begriffen und Texten, die sich im Dokument selbst befinden, also der Produktbezeichnung in einer Rechnung, einem Aktenzeichnen in einem Vertragsdokument usw. Mit den sinkenden Preisen für fast alle IT-Komponenten, die zur elektronischen Archivierung notwendig sind – Speicher, Netze, Scanner, Bildschirme, etc. – wurde es in den vergangenen Jahren auch für kleine und mittlere Unternehmen immer attraktiver, solche Lösungen für eingehende Geschäftsdokumente zu nutzen.
59 T. Brand, et al., Steuersicher archivieren, DOI 10.1007/ 978-3-8349-6461-8_4, © Gabler Verlag | Springer Fachmedien Wiesbaden GmbH 2011
1
4
2
4
§ 4 Anwendungsfall: Scannen von Papierdokumenten
B. 3
4 4
Keine Vorgaben zu Scannern
Wenn man Papierdokumente elektronisch aufbewahren möchte, müssen sie mittels eines Scanners digitalisiert werden, den es in allen Preislagen gibt: von Geräten für wenige Euro beim ElektronikDiscounter bis hin zum High-End-Scanner im sechsstelligen Preisbereich. Die Wahl des Scanners ist neben den Kosten vor allem durch funktionale Kriterien bestimmt: welche Scanmenge muss in welcher Zeit erfasst werden, benötigt man Farbe oder nur Schwarz-Weiß, möchte man eine zuverlässige Doppeleinzugskontrolle oder wird jedes Dokument sowieso einzeln von Hand zugeführt, soll der Scanner Patch- oder Barcodes zur Seiten- und Dokumenttrennung erkennen, soll automatisch eine volltextrecherchierbare PDF-Datei erzeugt werden oder soll jegliche Nachbearbeitung von nachgelagerten Systemen durchgeführt werden? Aus der Perspektive dieses Buches wäre die einzig relevante Frage: Was schreibt der Gesetzgeber bezüglich der Scannerauswahl vor? Die Antwort ist so simpel wie einleuchtend: Nichts. Der Gesetzgeber macht keine Vorgaben zur Scannerauswahl, der Anwender darf von den am Markt verfügbaren Scannern – dazu gehören auch die druckenden, faxenden und kopierenden Multifunktionsgeräte (und theoretisch sogar die Digitalkamera) – diejenigen auswählen, die seine fachlichen, funktionalen, technischen und natürlich betriebswirtschaftlichen Anforderungen erfüllen, solange die geforderte Ordnungsmäßigkeit sichergestellt ist. ! Praxishinweis: Die wichtigsten Aktivitäten zur Sicherstellung der Ordnungsmäßigkeit im Scan-Verfahren sind: Vorhandensein einer geeigneten Organisationsstruktur mit definierten Gruppen zum Scannen unter Einhaltung des „4-Augen-Prinzips“ usw. Das Vorhandensein einer Organisationsanweisung, wer zum Scannen berechtigt ist. Die Definition der notwendigen Informationen, die beim Scan-Prozess zu erheben sind (Scanzeitpunkt, Archivzeitpunkt, Scan-Person etc.). Die bildliche Übereinstimmung des archivierten Abbildes mit dem Original gem. § 147 Abs.2 AO. Ausreichende Qualitätssicherungsmaßnahmen, die sicherstellen, dass die gescannten Dokumente lesbar und vollständig sind. Die Protokollierung von Fehlern.
5
Neben diesen nur für gescannte Dokumente geltenden Anforderungen sind darüber hinaus natürlich auch die allgemeinen Anforderungen an die Ordnungsmäßigkeit zu berücksichtigen, also die Sicherstellung des Schutzes gegen unzulässige Veränderungen, die Reproduktionsfähigkeit über die Dauer der Aufbewahrungsfrist etc. Aber diese Anforderungen gelten nicht nur für gescannte Dokumente, sondern für alle aufbewahrungspflichtigen Unterlagen (siehe hierzu § 3 C.).
C. 6
Bildliche Übereinstimmung, Farbe und Auflösung
Eine der häufigsten Fragestellungen bei der Archivierung gescannter Dokumente bezieht sich auf den Begriff der „bildlichen Übereinstimmung“. Quelle ist die Formulierung in § 147 II, 2. Halbsatz AO, die die elektronische Aufbewahrung zulässt, „wenn … sichergestellt ist, dass die Wiedergabe oder die Daten mit den empfangenen Handels- oder Geschäftsbriefen und den Buchungsbelegen bildlich … übereinstimmen“. Was bedeutet bildliche Übereinstimmung? Muss eine auf einem hochauflösenden Farbdrucker (zum Beispiel 2400 lines per inch) gedruckte Rechnung beim Empfänger mit vergleichbarer Auflösung in Farbe gescannt werden? 60
D.
4
Umgang mit Bearbeitungsvermerken
Zur Frage der Farbe gibt es einen klaren Hinweis im Begleitschreiben des BMF zur GoBS 1995. Dort heißt es: „Eine vollständige Farbwiedergabe ist erforderlich, wenn der Farbe Beweisfunktion zukommt.“ Mit anderen Worten: wenn das Dokument farbige Informationen enthält, die steuerrelevant sind und bei schwarz-weißer Darstellung verloren gehen. Ein Beispiel wäre eine saldierte Übersicht, bei der der Saldo in rot, aber ohne Minus-Vorzeichen gedruckt wäre. In diesem Fall ist dieses Dokument in Farbe zu scannen. Steht aber ein Minuszeichen davor, genügt eine schwarz-weiße Erfassung, weil der Sachverhalt des negativen Saldos eindeutig dargestellt wird. Wenn das blaue Logo des Lieferanten nachher nur noch schwarz ist oder wenn die hellgelbe Hintergrundfarbe des Lieferscheins nachher gar nicht mehr sichtbar ist: in solchen Fällen kommt der Farbe keine Beweisfunktion zu. Es obliegt also dem Anwender sicherzustellen, dass der Erfassungsprozess alle aufbewahrungspflichtigen Informationen konserviert. In vielen Fällen ist Schwarz-Weiß ausreichend und gerade bei Massenscans mit zig-tausenden von Dokumenten pro Tag auch die wirtschaftlichste Variante. Zunehmend setzt sich aber Farbe durch, weil es für den Benutzer angenehm ist, das Dokument so zu sehen, wie er es kennt, und weil die technischen Komponenten für die Farberfassung immer leistungsfähiger und damit auch erschwinglicher werden. Die Verbreitung von PDF als Dokumentformat unterstützt diesen Trend in Richtung Farberfassung, weil sich PDF auch hervorragend als Containerformat für gescannte Schwarz-Weiß- und Farbdokumente eignet und die meisten Anwender mit PDF-Dokumenten umgehen können, da die PDF-Viewer auf unterschiedlichen Rechnerplattformen und zumeist kostenlos verfügbar sind. Mit welcher Auflösung wird bildliche Identität erreicht? Hier gibt es keine Anweisung oder Konkretisierung. Aber mit bildlicher Identität ist nicht die physikalische Identität gemeint. Das obige Beispiel mit 2400 lines per inch muss selbstverständlich nicht mit 2400 dots per inch gescannt werden. Es genügen in der Regel 200 oder 300 dpi, um auch kleinere Schriften und Details noch ausreichend lesbar reproduzieren zu können. Es bleibt aber dem Anwender überlassen sicherzustellen, dass die gewählte Auflösung alle aufbewahrungspflichtigen Informationen erfasst. Grenzwertig ist die Auflösung der Faxgeräte, die meistens nur 100dpi*100dpi und im hochauflösenden Modus auch nur die 100dpi*200dpi Auflösung beherrschen. Aber auch solche Geräte sind für die Erfassung zulässig, wenn die Vollständigkeit und Ordnungsmäßigkeit nicht beeinträchtigt werden.
D.
Umgang mit Bearbeitungsvermerken
4
8
D.
Befinden sich auf dem Dokument Bearbeitungsvermerke (Vorkontierstempel, Kontrollanmerkungen und dergleichen), die nach dem Dokumenteneingang angebracht wurden und die für die Verbuchung der Belege relevant sind, „dann ist sicherzustellen, dass die Bearbeitungsvermerke so erhalten bleiben, dass ihre Urheberschaft und ihr Inhalt ohne größere Schwierigkeiten festgestellt werden können“1. Das bedeutet für die Praxis, dass es nicht mehr ermöglicht werden sollte, Eingangsbelege nach dem Scannen noch mit solchen Bearbeitungsvermerken zu versehen. Dieser Fall könnte vorkommen, wenn Anwender Eingangsrechnungen zum Zeitpunkt t0 von einem Dienstleister scannen lassen oder selbst scannen. Die Rechnung wäre nun digital archiviert und steht anderen für die Recherche zur Verfügung, sie ist aber noch nicht verbucht. Nun geht die Papierrechnung aber noch intern weiter in den Umlauf und es werden Bearbeitungsvermerke auf dem Papierbeleg angebracht und anhand dieser Vermerke wird die Buchung vorgenommen. Der Anwender denkt nun fälschlicherweise, er könne die Originale vernichten, weil diese ja GoBS-konform zum frühestmöglichen Zeitpunkt archiviert wurden. Tatsächlich müsste er entweder die Papierdokumente mit den ebenfalls aufbewahrungsrelevanten Bearbeitungsvermerken nochmals scannen oder er stellt eine elektronische Anmerkungsfunktion zur Verfügung, die diese Vermerke auf dem elektronischen Beleg anbringt. 1
7
Tipke/Kruse, Kommentar zur AO/FGO, Tz. 36 zu § 147
61
9
4
§ 4 Anwendungsfall: Scannen von Papierdokumenten
E. 10
11
4
12
Scannen von Rückseiten
Ebenso häufig wie die Frage nach der Auflösung und Farbe ist die Frage nach dem Scannen von Rückseiten. Diese Frage ist aber nicht ganz so einfach zu beantworten, weil es hierzu keine Konkretisierung in der GoBS oder anderen Dokumenten gibt, die darauf Bezug nehmen. Grundsätzlich gilt, dass nur steuerlich relevante Aufzeichnungen aufbewahrungspflichtig sind. Es ist unstrittig, dass eine eingehende Postsendung, die aus einer Rechnung (2 Seiten) und einem angehefteten Produktkatalog besteht (100 Seiten), nicht in Gänze aufzubewahren ist. Jeder Lehrling würde den Katalog von der Rechnung trennen und die Rechnung ordnungsmäßig aufbewahren. Die elektronische Archivierung stellt diesbezüglich keine neuen Anforderungen. So steht bereits im BMF-Begleitschreiben zur GoBS 1995: „Die Ordnungsmäßigkeit einer DV-gestützten Buchführung ist grundsätzlich nach den gleichen Prinzipien zu beurteilen wie die einer manuell erstellten Buchführung“. Was aber, wenn sich auf der Rückseite einer Rechnung gar nichts befindet? Muss dann trotzdem eine leere Rückseite gescannt werden? Die in der Branche übliche Auffassung ist: Nein, weil sich dort keine aufbewahrungspflichtigen Informationen befinden. Ja, wenn der Absender oder Empfänger auf die Rückseite relevante Informationen anbringen würde (Vorkontierstempel, rechtswirksame Paraphierungen etc.). Dies bedeutet aber, dass der Anwender prüfen muss, ob sich etwas Aufbewahrungspflichtiges auf der Rückseite befindet. Das könnte er vor dem Scannen tun, dann müsste er aber Stapel bilden für zweiseitige Dokumente und solche für einseitige Dokumente, und das verhindert durchgängige Arbeitsabläufe. Oder er löscht leere Rückseiten nach dem Scannen, aber vor dem Archivierungszeitpunkt am Arbeitsplatz des elektronischen Archivsystems. Bei sehr kleinen Mengen (z. B. Dutzende pro Tag) wird er die Dokumente wahrscheinlich nur per Einzelerfassung scannen. Hier kann er jeweils neu entscheiden, ob er die Rückseite scannt oder nicht. ! Praxishinweis: Bei sehr kleinen Mengen könnte ein Anwender aus Vereinfachungsgründen entscheiden, jedes Dokument 2-seitig zu scannen. Damit erspart sich der Anwender Vorsortieraufwand bzw. Handlingaufwand am Scanner. Das Mehr an Speicherplatz ist nicht relevant, weil leere Rückseiten wenig Speicher benötigen und weil Speicherkosten niedriger sind als die Personalkosten, die ggf. notwendig wären, um vorher auszusortieren.
13
Bei großen Mengen können die Speicher und Übertragungskosten und -zeiten unnötiger Rückseiten aber ins Gewicht fallen. Es kommt noch ein ergonomischer Aspekt hinzu. Bei einem 20-blättrigen Papierdokument, welches nur einseitig bedruckt wird, ist es für den Anwender nicht störend, wenn er durch das Dokument blättert und immer nur die erste Seite anschaut. Er blättert einfach durch 20 Seiten. In elektronischen Archivsystemen würde er beim Blättern zuerst die beschriebene Seite 1, danach die leere Seite 2, dann die beschriebene Seite 3, dann wieder eine Leerseite angezeigt bekommen. Er blättert daher durch 40 wechselweise relevante oder leere Seiten. Für viele große Anwender mit Tausenden von Dokumenten-Scans pro Tag war das der wichtigste Grund, leere Rückseiten auszufiltern und zu löschen (was mittlerweile bei vielen Lösungen automatisch funktioniert).
62
4
F. Vernichtung von Originalen Exkurs: Scannen von AGBs Im Zusammenhang mit dem Scannen von Rückseiten kommt immer wieder die Frage auf: Müssen Rückseiten gescannt werden, wenn Sie nur „Allgemeine Geschäftsbedingungen“ enthalten? Diese stellen zivilrechtliche Regelungen zum Beispiel zu Lieferungs- und Leistungsmodalitäten, Zahlungskonditionen und dem Eigentumsübergang zwischen den beiden Vertragsparteien dar. Im Falle eines Großprojektes sind die Vertragsgrundlagen selbstverständlich als Teil der Handelsund Geschäftsbriefe aufzubewahren. Was aber, wenn diese Vertragsgrundlage auf jeder Rückseite einer 5-EURO-Rechnung aufgedruckt ist und mehrere Seiten umfasst? Der Abschluss von Online-Käufen im Internet, wo die AGBs durch Klicken bestätigt werden, führt in der Praxis auch häufig dazu, dass man gar nicht mehr in der Lage ist, die damals auf irgendeiner Lieferanten-Website gespeicherten AGBs später nochmals zu reproduzieren. Dieses Fehlen der AGBs von Klein- und Massengeschäften in den aufbewahrten Dokumenten wird in der DMS-Branche (bei Anwendern, Herstellern und auch seitens mancher Außenprüfer der Finanzverwaltung) als nicht besonders kritisch eingestuft, da die AGBs eher das Innenverhältnis der Geschäftspartner betreffen und eigentlich auch nicht im Fokus von Außenprüfungen liegen. Ein „eigentlich nicht so wichtig“ ist aber keine belastbare Rechtsposition, auf die sich der Anwender berufen kann, auch wenn diese Meinung durch allgemeine Praxis bestätigt wird. Eine andere Sicht hat das IDW, wenn auch nicht aus steuerlicher, sondern handelsrechtlicher Perspektive. Hier findet sich in der Stellungnahme IDW RS FAIT 32 folgender Satz im Kapitel 6.2 zur Ordnungsmäßigkeit: „40. Der Grundsatz der Vollständigkeit betrifft die lückenlose Erfassung aller rechnungslegungsrelevanten Dokumente und Daten. Jedes aufbewahrungspflichtige Dokument ist grundsätzlich einzeln und mit allen Bestandteilen (z. B. Allongen) zu scannen. Auf den Rückseiten wiedergegebene Allgemeine Geschäftsbedingungen (AGB) sind ebenfalls zu scannen, sofern nicht durch organisatorische Maßnahmen sichergestellt wird, dass die jeweils gültigen AGBs den einzelnen Dokumenten zugeordnet werden können.“ Und dieser zweite Nebensatz sanktioniert die übliche Praxis, Rückseiten nicht zu scannen. So sehen das auch die Finanzbehörden bei diesen und ähnlich gelagerten Fällen. Beispiel: umsatzsteuerlich relevante Entgelt- und Preisvereinbarungen wie Rabatt- und Bonusvereinbarungen. Hier ist es nach dem BMF-Schreiben vom 03.08.2004 zum Beispiel ausreichend, wenn ein entsprechender Hinweis auf die Existenz solcher Vereinbarungen gegeben wird und diese „Angaben leicht und eindeutig nachprüfbar sind“.3 Man muss solche Vereinbarungen also nicht jedes Mal mitarchivieren, wenn ein entsprechendes Geschäft abgeschlossen und der dabei entstehende Beleg oder Handels- bzw. Geschäftsbrief archiviert werden soll, solange sichergestellt ist, dass man zu einem späteren Zeitpunkt Zugang zur geltenden Vertragsgrundlage hat.
F.
Vernichtung von Originalen
F.
Mit der schnellen Verbreitung von elektronischen Archivsystemen für die Eingangspost wurde auch immer die Frage gestellt: Wohin mit den gescannten Originalen? Im Falle der steuerlichen Aufbewahrung wurden daher in den 80er Jahren sehr häufig Anfragen an die Finanzbehörden gerichtet mit der Bitte um Begutachtung und Sanktionierung der eingesetzten Lösung und der Bitte um Erlaubnis, die gescannten Papieroriginale zu vernichten. Es ist keine Statistik bekannt, die Auskunft darüber geben könnte, wie häufig einem solchen Antrag stattgegeben wurde. 2 3
4
IDW = Institut der deutschen Wirtschaftsprüfer. FAIT = Fachausschuss für Informationstechnik des IDW. RS = Stellungnahme zur Rechnungslegung BMF-Schreiben vom 29.01.2004, BStBl. I 2004, 258 – IV B 7 – S 7280 – 19/04
63
14
4 15
4
§ 4 Anwendungsfall: Scannen von Papierdokumenten Fakt ist aber, dass bereits in den 80er Jahren viele Anwender eines elektronischen Archivsystems ihre Originale vernichteten. Mit einem Schreiben des BMF vom 19.06.1991 an die AWV4 sanktionierte die Finanzverwaltung die Nutzung elektronischer Archivsysteme für die Ablage kaufmännischer Dokumente unter dem Vorbehalt der Nachprüfung der Ordnungsmäßigkeit der eingesetzten Systeme und Verfahren, welche wiederum nur durch „eine entsprechend aussagefähige Verfahrensdokumentation“ beurteilt werden könne. Noch deutlicher wurde die Erlaubnis, Originale zu vernichten, in einem Begleitschreiben des BMF vom 07.11.19955 zur GoBS6 formuliert. Hier steht im Begleitschreiben des BMF: „Die Originalunterlagen können darüber hinaus nur vernichtet werden, soweit sie nicht nach anderen Rechtsvorschriften im Original aufzubewahren sind.“ Mit anderen Worten: Wenn die Unterlagen nur aus steuerlichen/handelsrechtlichen Gründen aufbewahrt werden, dann ist die Vernichtung der Originale zulässig, aber nur, wenn das Verfahren GoBS-konform ist und die Ordnungsmäßigkeit über eine aussagefähige Verfahrensdokumentation nachprüfbar ist. Diese Interpretation der GoBS wurde durch einen aktuellen BFH-Beschluss vom 26.09.2007 bestätigt, wonach die Vernichtung von Originalbelegen nach dem Digitalisieren in Form von TIFF- oder PDF-Dateien zulässig ist7. Und sie findet sich auch im aktuellen Fragen- und Antworten-Katalog des BMF zur GDPdU vom 22.01.2009: „Soweit das Verfahren und die Prozesse den GoB/GoBS entsprechen und nicht nach anderen Rechtsvorschriften die Aufbewahrung im Original vorgeschrieben ist, ist auch die anschließende Vernichtung der Originaldokumente zulässig.“ ! Praxishinweis: Vernichtung ist zulässig8, wenn: die elektronische Archivierung nach einem den Grundsätzen ordnungsmäßiger Buchführung entsprechenden Verfahren erfolgt. neben den handelsrechtlichen Vorschriften oder der Abgabenordnung keine weiteren gesetzlichen Vorschriften bestehen, die die Existenz der Originaldokumente verlangen. keine innerbetrieblichen Regelungen oder sonstigen organisatorischen Anforderungen bestehen, die einer Vernichtung im Wege stehen. die Originalunterlagen keine Rechte verkörpern, zu deren Ausübung der Besitz des Originals notwendig ist (z. B. Wertpapiere) oder als Beweismittel nur im Original anerkannt werden (z. B. Vollmachten). kein Herausgabeanspruch eines Dritten auf das Original besteht (z. B. Scheck, Wechsel). über das elektronische Verfahren eine entsprechende Verfahrensdokumentation vorliegt.
16
17
Neben der Beachtung der Ordnungsmäßigkeit verlangt die Finanzverwaltung aber, dass die Regelungen zur ordnungsmäßigen Vernichtung und zur Aufbewahrung weiterhin erforderlicher Originaldokumente (zum Beispiel dürfen Eröffnungs- und Schlussbilanzen nicht ausschließlich elektronisch aufbewahrt werden) in der Verfahrensdokumentation aufzuführen sind9. Auch darf das Vernichten von Originaldokumenten nicht dazu führen, dass eine Prüfung sachlich oder formell eingeschränkt wird. Alles, was der Prüfer vorher hat sehen wollen, soll er auch bei elektronischen Dokumenten sehen dürfen. Beispiel: Dokumente, die zwar unveränderbar auf einem Stapel CDs abgelegt werden, aber Zweifel aufkommen lassen, zu welchem Geschäftsvorgang sie gehören, weil der unmittelbare Zusammenhang zwischen dem Dokument und dem Geschäftsvorgang 4 5 6 7 8 9
64
Arbeitsgemeinschaft für die wirtschaftliche Verwaltung e.V. IV A 8 – S 0316 – 52/95- BStBl. 1995 I, 738 Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS) BFH-Beschluss vom 26.09.2007, I B 53, 54/07 Quelle: IDW Stellungnahme zur Rechnungslegung: Grundsätze ordnungsmäßiger Buchführung beim Einsatz elektronischer Archivierungsverfahren (IDW RS FAIT 3) Siehe hierzu auch den Fragen- und Antwortkatalog des BMF zur GDPdU, III.6, Stand 23.01.2008
4
F. Vernichtung von Originalen verloren ging (Index nicht eindeutig), würden daher die Forderung nach Ordnungsmäßigkeit nicht erfüllen. Der Aufwand, aus einer mehr oder weniger unstrukturierten CD diejenigen Dokumente herauszufiltern, die die Lieferscheine und die Rechnungen zu einem bestimmten Geschäftsvorfall darstellen, würde die Prüfung deutlich erschweren. In der Praxis ist das aber in aller Regel kein Problem, weil Dokumente mit dauerhaft nutzbaren Indexwerten oder direkt verknüpft mit den Fachanwendungen abgelegt werden. Eine nach wie vor geltende Ausnahme für diese Erlaubnis zur Vernichtung von Originalen stellen Zollunterlagen dar, die einer Zollanmeldung beizufügen sind, wie zum Beispiel Rechnungen, Zollwertanmeldungen, Ursprungszeugnisse, Echtheitsbescheinigungen etc.10 Zwar kann die Zollbehörde auf die körperliche Vorlage dieser Unterlagen verzichten – was bei Anwendung des elektronischen Zollverfahrens ATLAS auch sinnvoll ist – die Unterlagen sind jedoch zur Verfügung der Zollbehörden zu halten und für nachträgliche Prüfungen aufzubewahren. Daher wurde 2003 der Absatz 4a in den § 147 der Abgabenordnung aufgenommen, der in § 147, Abs. 2 genau diese Zolldokumente als einzige Ausnahme von der ausschließlichen Aufbewahrung in elektronischer Form ausnimmt.
18
4
! Praxishinweis: Nach diesen Grundsätzen haben bisher Tausende von Anwendern gehandelt: Die gescannten Originale wurden nach einer bestimmten Zeit vernichtet, wenn man sicher war, dass die elektronischen Verfahren ordnungsmäßig waren und die Einhaltung der Ordnungsmäßigkeitsanforderungen entsprechend dokumentiert wurde. Im Zivilrecht gibt es einige wenige Rechtsbereiche, die die Vorlage von Originalunterlagen verlangen, wie zum Beispiel Titel, Testamente und Originalabrechnungen der Mietnebenkostenermittlung. Die Vernichtung von Originalunterlagen ist hier nicht strafbar, d. h. es besteht keine gesetzliche Aufbewahrungspflicht – ggf. kann sich durch die Vernichtung des Originals jedoch ein Rechtsnachteil ergeben. In der folgenden Tabelle sind einige Beispieldokumentarten aufgeführt, die zwar steuerlichen Bezug besitzen können, aber aus anderen Gründen weiterhin im Original aufbewahrt werden: Tabelle 12: Gründe für die Aufbewahrung im Originalformat Dokumentarten
Grund für die Aufbewahrung im Original
Eröffnungsbilanzen der Jahresabschlüsse und der Konzernabschlüsse
Die Abgabenordnung fordert die Aufbewahrung im Original.
Rechnungen mit ausländischer Vorsteuer
Bei Dokumenten, die außerhalb von Deutschland vorgelegt werden müssen, sind die geltenden Vorschriften in den entsprechenden Ländern zu beachten.
Pläne, Auskunftsunterlagen, Personalabrechnungen
Dokumente werden für die eigene Beweissicherung aufbewahrt.
Beurkundete oder beglaubigte Dokumente
Diese Dokumente besitzen im Original einen höheren Beweiswert, der in den §§ 415 ff. ZPO definiert ist. Die gescannte Variante gilt als Objekt des Augenscheins nach § 299 a ZPO.
10 Siehe Tipke/Kruse: Kommentar zur AO/FGO, Tz. 21a zu § 147
65
19
4
§ 4 Anwendungsfall: Scannen von Papierdokumenten Tabelle 12: Gründe für die Aufbewahrung im Originalformat (Fortsetzung)
4
G. 20
Dokumentarten
Grund für die Aufbewahrung im Original
Schuldversprechen, Schuldanerkenntnisse, Bürgschaftserklärungen, Testamente
Bei manchen Dokumentarten kann durch deren Vernichtung angenommen werden, dass diese für ungültig erklärt werden sollen. Daher wird hier auch das Original aufbewahrt.
Urteile, Gerichtsbeschlüsse, gerichtliche Vergleiche, notarielle Urkunden, Vollstreckungsunterlagen
Gewisse Dokumentarten können eine bestimmte Funktion nur erfüllen, wenn sie im Original vorgelegt werden.
Erbscheine, Schuldscheine, Wechsel
Für bestimmte Dokumentarten besteht eine Rückgabeverpflichtung.
G.
Bei der Frage nach dem geeigneten Ablageformat für gescannte Dokumente sind eigentlich zwei Formatfragen zu entscheiden: In welchem sogenannten Bitmap-Format sollen die vom Scanner erzeugten Bildpunkte abgelegt werden? In welchem Dokumentenformat sollen die so erzeugten Bitmaps verwaltet werden?
I. 21
22
23
Archivierungsformate für gescannte Dokumente
Typische Bitmap-Formate: ITU G4 und JPEG
Der normale Anwender wird sich natürlich genau mit solchen technischen Fragen nicht auseinandersetzen wollen. Aber die Kenntnis der Hintergründe zu diesen Themen ist nützlich bei der Auswahl der geeigneten Lösung und hat Einfluss auf Funktionalität und Kosten. Ein Scanner erzeugt beim Scannen ein sogenanntes Bitmap, ein Raster aus schwarzen oder farbigen Bildpunkten. Je höher die gewählte Auflösung beim Scannen, desto größer ist die Anzahl der Bildpunkte. Bei einem reinen Schwarz-Weiß-Scan mit 200 dpi entstehen so für jede einzelne DIN-A4Seite fast 4 Millionen Bildpunkte, die mit jeweils einem einzigen Bit dargestellt werden können. Mit anderen Worten: Jede Seite würde ein halbes Megabyte Speicher beanspruchen. Daher werden die Bitmaps schwarz-weißer Dokumente immer mit einem geeigneten Algorithmus komprimiert. Wurden für diese Kompressionsfunktionen in den 80er Jahren noch häufig proprietäre, herstellerspezifische Algorithmen verwendet, die das spätere Migrieren auf andere Systeme erschwerten, so wird seit den 90er Jahren fast ausschließlich der CCITT/ITU11 G4-Algorithmus verwendet, der ursprünglich für den Fax-Dienst entwickelt wurde und daher international sehr weit verbreitet ist. Wird eine schwarz-weiße Seite mit CCITT G4 komprimiert, so reduziert sich der Speicherbedarf pro Seite erheblich auf 25 KB bis über 100 KB pro Seite, je nach Größe und Anteil der weißen Flächen, Mit anderen Worten: eine A4 Kopie einer Tageszeitung komprimiert schlechter als ein typisches Bürodokument mit 10 Zeilen Text. 11 CCITT steht für Comité Consultatif International Téléphonique et Télégraphique. Dies ist die alte Bezeichnung für ein in der Schweiz angesiedeltes Gremium zur Normierung von Telekommunikationsdiensten. Dieses Gremium gehört zur International Telecommunication Union, kurz ITU, die aktuelle Bezeichnung des Gremiums ist daher ITU-T. Im Folgenden wird dem allgemeinen Sprachgebrauch folgend der ältere aber weit verbreitete Begriff CCITT G4 statt ITU G4 verwendet.
66
4
G. Archivierungsformate für gescannte Dokumente Soll ein Farbdokument erfasst werden, kann der CCITT-G4-Algorithmus (oder andere, ältere CCITT Fax-Formate) nicht verwendet werden, weil dieser nur für schwarz-weiße Dokumente anwendbar ist. Für Farbdokumente müssen andere Algorithmen verwendet werden, wie zum Beispiel JPEG12. Allerdings wird dann jede einzelne Seite deutlich größer als bei einem reinen Schwarz-Weiß-Scan. JPEG ist für Farbfotos sehr gut geeignet, aber weniger gut für schwarz-weiße Texte. Bei vergleichbarer Lesbarkeit von Texten benötigt JPEG deutlich mehr Speicherplatz als CCITT G4. Statt 25 bis 100 KB je Seite werden dann 100 KB bis 300 KB je Seite benötigt. Das mag dann kein Problem bzgl. des Speicherplatzes oder der Übertragungsgeschwindigkeit darstellen, wenn Dokumente nur wenige Seiten haben und wenn es nicht viele Dokumente sind. Wenn aber sehr viele Dokumente oder Dokumente mit sehr vielen Seiten (z. B. umfangreiche Altakten mit Hunderten von Seiten) aufbewahrt werden sollen, dann sollte auch geprüft werden, wie lange es dauert, um ein einzelnes Dokument anzuzeigen, da das gesamte Dokument erst aus dem Speicher und über die Leitung übertragen werden muss. Wenn ein Dokument beispielsweise 200 farbige Scan-Seiten à 200 KB umfasst und daher 40 MB groß ist, dauert es entsprechend länger, bis es auf dem Arbeitsplatz dargestellt wird, vor allem, wenn die Übertragung auf langsamen Verbindungen erfolgt. wie viel Speicherplatz benötigt wird. Wenn Anwender ihre Systeme bei einem Dienstleister hosten lassen und dort nach Speicherplatz berechnet wird, kann es auch heutzutage trotz der allgemein bekannt niedrigen Kosten für Speichermedien erhebliche Kosten nach sich ziehen, vor allem, wenn sehr viele Dokumente aufbewahrt werden müssen. Beispiel: Wenn ein Anwender 50 Dokumente am Tag speichert, ist das wohl kein Thema. Wenn er aber Tausende von Dokumenten am Tag scannt, ist der Unterschied der benötigten Speicherkapazität mehrere hundert Gigabyte pro Jahr und das kann bei gemieteten Speichern in Dienstleistungsrechenzentren eine empfindliche Kostenposition sein. Da sich die Farberfassung aber zunehmend durchsetzt, wurden mittlerweile auch Lösungen für dieses Problem entwickelt. Mittlerweile stehen Erfassungslösungen zur Verfügung, die auch solche Farbdokumente gegenüber einem „normalen“ JPEG-Dokument nochmals um den Faktor 5 bis 10 verkleinern. Der Trick: Man separiert die Farbinformationen von den schwarz-weißen Textinformationen, komprimiert diese „Schichten“ separat und fügt sie in einem Viewer – wie zum Beispiel Adobe Acrobat – wieder übereinander. Der Endanwender sieht ein ganz normales PDF, das er mit jedem beliebigen PDF-Viewer betrachten und drucken kann. Technisch ist aber die Bitmap für schwarzweiße Informationen von der Bitmap für farbige Informationen separiert. In Ermangelung eines am Markt gebräuchlichen generischen Begriffs wird hier der Begriff Layer-separierte Kompression verwendet. Und diese Layer-separierte Kompression bringt eine deutliche Einsparung an Speicherplatz und Übertragungsgeschwindigkeit. Die steuerlichen Aufbewahrungsvorschriften überlassen dem Anwender die Wahl des geeigneten Bitmap-Formates, solange die Reproduktionsfähigkeit der Informationen über die Aufbewahrungsdauer sichergestellt ist. Alle hier dargestellten Formate sind daher zulässige Aufbewahrungsformate. Bei proprietären Formaten, die in der Vergangenheit nicht unüblich waren und in mancher Altinstallation noch anzutreffen sind, würde man die zukünftige Reproduktionsfähigkeit heute sehr viel kritischer beurteilen. ! Praxishinweis: Der Anwender sollte die Wahl des Bitmap-Formates auch immer aus der Perspektive der zukünftigen Verfügbarkeit von Viewern für diese Formate abhängig machen. Er würde seine Aufbewahrungspflichten verletzen, wenn er Dokumente zwar unverändert abgelegt hat, diese aber in x Jahren nicht mehr wiedergeben kann. 12 JPEG : Kompressionsstandard für Farbdokumente, benannt nach dem ursprünglichen Gremium (Joint Photographic Experts Group), das diese Spezifikation erarbeitet hat. Mittlerweile ist JPEG ein internationaler ISO-Standard (ISO 10918-1).
67
24
4
25
4
§ 4 Anwendungsfall: Scannen von Papierdokumenten
II. 26
4
27
28
29
30
Typische Containerformate: TIFF und PDF
Unabhängig davon, in welchem Bitmap-Format der Scanner Dokumente digitalisiert hat, ist dieses reine Bitmap-Format für den Anwender erstmal nicht nutzbar: Es ist nur eine Spezifikation für die Anordnung und ggf. Kompression von Bildpunkten. Es fehlt eine nutzbare Hülle, in der Bitmaps auf einem Windows PC oder einem Apple Mac zur Anzeige gebracht werden können und die Kenntnis hat von mehrseitigen Dokumenten, Metadaten, Inhalten usw. Die bekannteste Hülle – hier Containerformat genannt – ist das Tagged Image File Format. Dieses Format wurde von der Firma Aldus – mit Beteiligung von Microsoft, Hewlett-Packard u. a. – erarbeitet und 1986 zum ersten Mal veröffentlicht. Wie das Wort „Image“ in der Spezifikation anzeigt, geht es um ein reines Image-Format (gemeint ist ein „Abbild“ eines gescannten Dokumentes), welches oben ein Bitmap oder Rasterformat genannt wurde. Die sogenannten Tags – eine deutsche Übersetzung für Tag wäre „Merkmalskennzeichner“ – enthalten die für eine fehlerfreie Interpretation des Images notwendigen Informationen, wie zum Beispiel Farbtiefe, horizontale und vertikale Größe, verwendeter Kompressionsalgorithmus usw. Die aktuelle Version 6 ist seit 1992 verfügbar und wurde inhaltlich nicht mehr aktualisiert. Ergänzungen kamen nur noch in Form sogenannter Technical Notes hinzu. Für die elektronische Archivierung von Papierdokumenten sind zwei Varianten der TIFF-Spezifikation relevant: die sogenannte Single-Page- und die Multi-Page-Variante. Bei der Single-Page-Variante wird jede Seite eines zehnseitigen Dokumentes in einer einzelnen TIFFDatei untergebracht. In diesem Fall muss das elektronische Archivsystem die Seitenlogik zur Verfügung stellen, um zu blättern, einzelne Seiten zu drucken. Im Falle der Multi-Page-TIFF-Dateien sind alle Seiten eines Dokumentes in einer einzigen TIFF-Datei untergebracht und ein geeigneter Viewer kann blättern, auf einzelne Seiten springen, Seiten von ... bis ... drucken, ohne die Datenbank des elektronischen Archivsystems in Anspruch nehmen zu müssen. Single-Page-TIFF (mit CCITT G3 oder G4 als Kompression) war in der Anfangszeit der Industrie beliebt, weil man auch bei relativ großen Dokumenten schnell auf einzelne Seiten springen konnte, ohne das gesamte Dokument laden zu müssen. Heutzutage wird fast nur noch Multi-Page-TIFF verwendet, weil auch 10 oder 20 MB große Dokumente für einen normalen Arbeitsplatz keine Herausforderungen mehr darstellen. Dafür werden allerdings die Probleme von Single-Page-TIFF immer deutlicher, etwa bei jedem Export eines mehrseitigen Dokumentes per E-Mail – oder im schlimmsten Fall bei der Migration eines Altarchivs auf ein neues Archivsystem – wenn die Datenbanklogik des Archivsystems benötigt wird, um zum Beispiel die korrekte Seitenabfolge herzustellen. Mit dem TIFF-Format lassen sich prinzipiell auch farbige Dokumente ablegen (jede Seite einer Multi-Page-TIFF-Datei ist dann ein einzelnes JPEG). Die oben geschilderte gelayerte Kompression funktioniert aber mit der TIFF-Spezifikation nicht mehr, weil TIFF in diesem Sinne keine separaten Layer kennt, die sich unterschiedlich befüllen und per Overlay wieder übereinander anzeigen lassen. TIFF in der Variante mit CCITT G3 oder G4 komprimierten Bitmaps (auch TIFF G3 oder TIFF G4 genannt) war bisher das für die elektronische Archivierung am weitesten verbreitete Dokumentformat für gescannte Dokumente. Mit der Verbreitung von Farbe und dem Wunsch der Volltextrecherche wird TIFF aber zunehmend von PDF als dem präferierten Ablageformat verdrängt.
68
4
G. Archivierungsformate für gescannte Dokumente
III.
PDF
PDF steht für Portable Document Format, entwickelt von Adobe und 1993 vorgestellt. PDF basiert auf der Postscript-Seitenbeschreibungssprache und erlaubt die plattformunabhängige Erstellung und Verteilung von Dokumenten mit unterschiedlichen Inhalten. PDF ist ein Containerformat; im Unterschied zu TIFF kann es aber sowohl codierte Informationen (Texte) als auch Bitmaps wie CCITT G4 oder JPEG-Images beinhalten. Darüber hinaus hat PDF seit der Version 1.4 (also seit Acrobat 5 im Jahre 2001) die Möglichkeit, Informationen in logischen Ebenen (Layers) abzulegen, was wiederum die oben beschriebene gelayerte Kompression mit PDF als Zielformat erlaubt. Ein weiterer Vorteil von PDF gegenüber TIFF wird mit der zunehmenden Verbreitung des Wunsches nach Volltextsuche deutlich: Durch OCR-Texterkennung können die erkannten Zeichen in einen unsichtbaren Text Layer (Hidden Text Layer) der PDF-Datei abgelegt werden. Damit ist es möglich, die geforderte bildliche Identität des gescannten Dokumentes zu bewahren und gleichzeitig eine Volltextsuche im gescannten Dokument durchzuführen. Diese Form der Volltextsuche wäre in TIFF-Dokumenten nur mit proprietären Erweiterungen (sogenannten private tags in TIFF) möglich, was wiederum den Austausch dieser Dateien mit anderen Anwendern oder Systemen erschwert oder verhindert. Volltextsuche in durchsuchbaren PDFs funktioniert unabhängig von Farbe oder Schwarz-Weiß und unabhängig davon, ob man einfache JPEGs oder gelayerte Kompression verwendet.
31
4
32
! Praxishinweis: Wichtig ist, dass man das originäre Bitmap nicht ersetzt und stattdessen eine andere Schriftart verwendet – manche OCR-Software bietet das als Funktion: „Wandlung in MS Word“ etc. Um die bildliche Identität zu wahren, muss das ursprüngliche Bitmap sichtbar erhalten bleiben. Der erkannte Text wird hierbei unsichtbar, aber durchsuchbar in einem separaten Layer positionsgleich hinter dem Bild gespeichert.
IV.
PDF/A
PDF/A ist das griffige Kürzel für eine am 1. Oktober 2005 publizierte ISO-Norm „ISO 19005-1, Document management – Electronic document file format for long-term preservation – Part 1: Use of PDF 1.4 (PDF/A-1)“. Und wie der Name bei genauem Lesen verrät, ist es eher eine Gebrauchsanweisung zur Benutzung von PDF 1.4 und kein wirklich neues Format. Mit diesem Standard steht zum ersten Mal ein für viele (nicht alle) Archiv-Dokumente geeignetes Format zur Verfügung, welches eine Reihe von Problemen bisher verwendeter Formate löst. Mit PDF/A lassen sich – ebenso wie mit „normalem“ PDF – gescannte Dokumente in Schwarz-Weiß oder Farbe ablegen. Eine sehr häufig diskutierte Frage ist: Muss oder soll man gescannte Dokumente in PDF/A statt PDF ablegen? Welche Vorteile hat PDF/A für gescannte Dokumente? Um diese Thematik besser zu verstehen, sei hier kurz der Hintergrund der PDF/A-Spezifikation erläutert. PDF/A wurde am 13. September 2005 nach mehrjähriger Arbeit – begonnen in einer Arbeitsgruppe der AIIM (Association for Information and Image Management) – offiziell verabschiedet. Hintergrund war das Problem, dass sehr viele Unternehmen, Behörden und Organisationen Dokumente viele Jahre aufbewahren und reproduzieren müssen. Die Speicherung der nativen, proprietären Formate wie IBM 1403 oder AFP, Microsoft Word oder Excel etc., aber auch die unterschiedlichen Gestaltungsmöglichkeiten innerhalb eines PDF-Dokumentes, erscheinen vielen Organisationen als nicht hinreichend zukunftssicher, weil man nicht weiß, ob man für 20 Jahre alte Informationsformate noch einen Viewer verfügbar hat. Auch PDF kommt nur bedingt in Frage, weil sich mit diesem Containerformat eine Vielzahl von Features nutzen lässt (JavaScript, Hyperlinks, eingebettete Datei69
33
34
35
4
36 37
4
§ 4 Anwendungsfall: Scannen von Papierdokumenten en und Aufrufe auf externe Quellen), bei deren Verwendung eine zukünftige einwandfreie Reproduzierbarkeit nicht zugesichert werden kann. Die Triebfedern zur Entwicklung von PDF/A waren daher primär nicht die gescannten Dokumente. Diese waren eigentlich mit dem vorherrschenden CCITT G4 Algorithmus für schwarz-weiße und JPEG für farbige Bitmaps und eingebettet in TIFF oder PDF-Dateien dauerhaft reproduzierbar und nicht das ursächliche Problem. Mit der Verabschiedung des ISO-Standards PDF/A stellt sich daher für viele Anwender die Frage, ob sie nicht auch für gescannte Dokumente PDF/A als Zielformat einsetzen sollen. Aus Sicht der Finanzbehörden bleibt diese Entscheidung dem Anwender überlassen. Welches Containerformat er verwendet, sollte er davon abhängig machen, ob er diese Dokumente in der Aufbewahrungsfrist auch wieder reproduzieren kann und da ist qualitativ zwischen einem normalen PDF und PDF/A kein Unterschied für gescannte Dokumente. Bei einem gescannten Dokument werden üblicherweise nur die Bitmaps im PDF-Container untergebracht, aber keine kritischen Elemente wie Fonts, JavaScript, etc., deren Reproduzierbarkeit ein Risiko darstellen könnte. Daher ist ein „normales“ PDF als Hülle für Bitmaps aus heutiger Sicht in 10 Jahren ebenso sicher reproduzierbar wie eine PDF/A-Hülle. PDF/A-Scans haben gegenüber einem normalen PDF-Scan den vielleicht relevanten Vorteil, dass das Metadatenformat in PDF/A der XMP-Spezifikation13 genügen muss, einer von Adobe entwickelten, aber frei verfügbaren XML-basierten Spezifikation für die Einbettung von Metadaten. Da aber nur wenige dieser Metadatenelemente befüllt werden müssen (genau genommen nur für das Merkmal, ob es sich um ein PDF/A-Dokument handelt), ist nicht sichergestellt, dass ein PDF/A Dokument alle Metadaten via XMP definiert und es wäre trotzdem ein Standard-konformes PDF/A Dokument. Mit anderen Worten: Wenn ein Scandienstleister Metadaten wie Dokumentenart, ScanOperator, Scandatum, vielleicht sogar fachliche Informationen wie Barcodenummer, Rechnungsnummer etc., auf herkömmlichem Weg in einer beigestellten Indexdatei und nicht via erweiterbarer XMP-Objekte direkt in die PDFs einbettet, dann erhält der Anwender zwar ein PDF/A-konformes Dokument, aber zum Auslesen der Metadaten muss er wie bisher mit dem Dienstleister Konventionen und Dateistruktur der Indexdatei verabreden. Trotzdem sollte man die Attraktivität von XMP nicht unterschätzen. Das Dokument würde bei Weitergabe auch die Metadaten mitnehmen können. Ein Export von Dokumenten, Akten, kompletten Archiven an Dritte wäre auf Basis solcher standardisierter Metadaten-Spezifikationen wesentlich einfacher als bei den heute vorwiegenden Projektund Hersteller-spezifischen Verfahren. ! Praxishinweis: Technisch besteht kein Nachteil von PDF/A zu PDF. Die PDF/A-Datei ist nicht wesentlich größer als eine normale PDF-Scandatei und der Kostenaufwand für die PDF/A-Erstellung sollte im Zeitverlauf auch nicht mehr vorhanden sein, weil die Erfassungssysteme zunehmend die Erstellung von PDF/A im Standard und ohne Aufpreis vorsehen. Es gibt auch bereits die ersten Multifunktionsgeräte am Markt, die PDF/A als Zieloption für gescannte Dokumente zur Verfügung stellen. Eine vergleichbare Darstellung der Formate PDF und PDF/A zeigt Tabelle 18 in § 6 E. I.
H. 38
Andere Formate für gescannte Dokumente
TIFF und PDF sind nicht die einzigen zulässigen Formate für gescannte Dokumente. Der Gesetzgeber lässt jedes Format zu bzw. macht keinerlei einschränkende Angaben zu den Formaten, solange der Anwender die Dokumente über die Dauer der Aufbewahrungsfrist wieder reproduzieren kann. Ob er dazu die weit verbreiteten TIFF oder PDF oder andere Formate verwendet, bleibt ihm überlassen. Es sei jedem Anwender geraten, genau zu prüfen, ob der technisch/funktionale Vorteil, den 13 XMP = eXtensible Metadata Platform
70
G.
4
Zulässigkeit nachträglicher Bildverbesserungen
andere Formate tatsächlich oder vermeintlich bringen, das erhöhte Risiko wert ist. Und je länger die Aufbewahrungsfristen sind, desto größer wird das Risiko im Zeitverlauf, dass die Reproduktion nicht mehr einfach möglich ist. Vor allem, wenn die steuerlich aufbewahrungspflichtigen Dokumente auch zivilrechtlich aufbewahrungswürdig sind – Lebensversicherungen, Rentenakten, Baudokumentation im Anlagenbau etc. sind nur Beispiele für Aufbewahrungsfristen, die viele Jahrzehnte umfassen. Und exotische Formate über solche langen Zeiträume reproduktionsfähig vorzuhalten bedeutet immer, sicherzustellen, dass entsprechende Viewer vorgehalten werden, auch wenn die originale Software nicht mehr verfügbar ist. Oder man muss immer mal wieder Dokumente migrieren, weil man die Reproduktionsfähigkeit der alten Formate wegen Anbieter- oder Plattformwechsel nicht mehr sicherstellen kann. Das ist bei umfangreichen Archiven aufwendig und daher durch Wahl geeigneter Archivformate zu vermeiden.
I.
4
Zulässigkeit nachträglicher Bildverbesserungen
Sehr häufig wird die Frage diskutiert, ob man die gescannten Dokumente nach dem eigentlichen Scanvorgang noch bildlich verändern darf. In der Branche ist es üblich, Bitmaps auch nach dem eigentlichen Scanvorgang bildlich noch zu korrigieren, um die Lesbarkeit zu erhöhen. Hier kann man manuell oder automatisch Kontrast und Helligkeit einstellen, Kopierränder entfernen etc. Dies ist auch rechtlich in Ordnung, da hier keine aufbewahrungsrelevanten Informationen auf unzulässige Weise verändert werden. Kniffliger wird es bei der Frage, ob ein Dokument in seinen Bestandteilen nachträglich geändert werden darf. Beispiel: Eine zweiseitige Eingangsrechnung und das angeheftete zweiseitige Einladungsschreiben zum Tag der Offenen Tür werden als zusammenhängendes Rechnungsdokument aufbewahrt. In der alten Papierwelt hätte niemand ein Problem, wenn das Einladungsschreiben eine Minute später oder neun Jahre später in den Papierkorb wandert, weil diese beiden Seiten sachlich nie aufbewahrungspflichtig waren. Hier findet also keine unzulässige Änderung an der aufbewahrungspflichtigen Rechnung statt. In der elektronischen Welt gibt es jetzt zwei Möglichkeiten. Die vier Seiten werden als zwei Dokumente gescannt: eines ist die Rechnung, das andere „Anhang“. Auch hier könnte man argumentieren, dass der Anhang zu einem beliebigen Zeitpunkt gelöscht werden kann, da er nie aufbewahrungspflichtig war. Die andere Möglichkeit ist aber die, dass der Anwender alle vier Seiten versehentlich als eine einzige Rechnung einscannt und ablegt. Um die Ordnungsmäßigkeit herzustellen, erlauben die meisten elektronischen Archive nach dem technischen Archivierungszeitpunkt nun keine Manipulation mehr am Dokument. Es wäre zwar sachlich gerechtfertigt, aber technisch nicht mehr möglich, den Anhang zu entfernen. Bei dieser Form mag es vorkommen, dass nicht aufbewahrungspflichtige Unterlagen im Archiv landen, dafür hat der Anwender aber die wenigsten Diskussionen mit dem Wirtschaftsprüfer oder Außenprüfer, ob sein System ordnungsmäßig ist. ! Praxishinweis: Es sollte geprüft werden, ob durch Trennung der Dokumente (hier: in Rechnung und Anhang) eine ggf. nachträgliche Aussonderung möglich ist oder ob der Speicherplatz für irrtümlich gescannte Unterlagen in Kauf genommen werden kann.
71
39
40
4
§ 4 Anwendungsfall: Scannen von Papierdokumenten J.
41
4 42
J.
Zugriff von Prüfern auf gescannte Dokumente
Seit dem 01.01.2002 hat der Außenprüfer der Finanzverwaltung Zugriffsrechte auf die steuerrechtlich relevanten Daten und Dokumente des Unternehmens, er muss sich nicht mehr mit Papierakten und Mikrofilm zufriedengeben. Die entsprechende Regelung findet sich im Absatz 6 zu § 147 der Abgabenordnung. Hier steht: „Sind die Unterlagen … mit Hilfe eines Datenverarbeitungssystems erstellt worden, hat die Finanzbehörde im Rahmen einer Außenprüfung das Recht, Einsicht in die gespeicherten Daten zu nehmen und das Datenverarbeitungssystem zur Prüfung dieser Unterlagen zu nutzen.“ Manche Anwender haben nun in der Vergangenheit argumentiert, dass Papierdokumente ja eben nicht mit Hilfe eines IT-Systems erstellt wurden, sondern in Papierform in das Unternehmen gelangten. Folglich hätte der Außenprüfer nicht das Recht, die komfortablen Recherchemöglichkeiten eines elektronischen Archivsystems zu nutzen, er müsse sich mit den Papierakten zufriedenstellen. Dieser Ansicht wurde vom Bundesfinanzhof14 widersprochen. Wenn Dokumente eingescannt wurden, ist der Steuerpflichtige zur Reproduktion der elektronischen Unterlage verpflichtet. Es genügt nicht, dem Außenprüfer die vielleicht noch vorhandenen Papieroriginale zu geben oder selektiv Dokumente aus dem elektronischen Archiv auszudrucken. ! Praxishinweis: Für den Zugang des Prüfers zum elektronischen Archivsystem sollten die folgenden Aspekte sichergestellt werden: Einrichtung eines Nur-Lese-Zugriffsprofils Beschränkung des Zugriffs auf Dokumentenbestände der / des relevanten Mandanten Beschränkung des Zugriffs auf relevante Dokumentarten Beschränkung des Zugriffs auf den geforderten Prüfungszeitraum Bei Bedarf Einschalten der Lese-Protokollierung Prüfung der Möglichkeiten des gezielten Exportes von Dokumentenbeständen
K. 43
Qualitätssicherung im Erfassungsprozess
Wie in der Papierwelt, muss auch in elektronischen Verfahren sichergestellt werden, dass Dokumente in der Verarbeitungskette nicht verloren gehen, den falschen Akten zugeordnet werden (wo sie dann niemand mehr findet, weil man sie unter dem falschen Aktenzeichen nie suchen würde), dem falschen Geschäftsvorfall zugeordnet werden usw. Bei der elektronischen Archivierung sollte der Anwender folgende Stolpersteine berücksichtigen: Dokumentverlust durch Doppeleinzug. Dieses Problem tritt bei einfachen Stapelscannern und bei sehr gemischtem Schriftgut auf. Es bedeutet, dass eine Seite mit einer anderen eingezogen, aber nicht gescannt wird. Hier muss das Qualitätssicherungsverfahren sicherstellen, dass solche Fehler nicht auftreten, beispielsweise durch Abbildüberprüfung am Bildschirm mit Vergleich der Originale. Es ist unwahrscheinlich, dass der Mensch genau den gleichen Fehler macht wie der maschinelle Einzug am Scanner. Dokumentverlust durch falsche Dokumententrennung: Bei größeren Mengen an Scangut wird häufig nicht jedes Dokument einzeln gescannt, sondern komplette Stapel. Die Dokumententrennung erfolgt dann durch Erkennung von aufgeklebten Barcodes oder eingelegten Trennblättern. 14 BFH-Beschluss vom 26.09.2007 - I B 53, 54/07
72
J.
4
Sonstige Überlegungen
Auch hier kommt es immer mal wieder vor, dass bereits der vorbereitende Mensch das Trennblatt falsch eingelegt hat, oder die Maschine konnte einen Trenncode nicht erkennen. Die Folge ist, dass entweder zwei Dokumente zu einem geworden sind oder einzelne Blätter dem falschen Dokument zugeordnet wurden. In beiden Fällen ist das Dokument zwar noch vorhanden, wird aber unter den korrekten Suchbegriffen nicht gefunden, weil es einem falschen Ordnungsbegriff zugeordnet wurde. Der Anwender hat durch entsprechende Qualitätssicherungsverfahren (inkl. Unterweisung der Mitarbeiter) sicherzustellen, dass solche Fehler im Erfassungsverfahren mit dem zumutbaren Aufwand weitgehend (es gibt keine 100% Sicherheit) ausgeschlossen werden. Schlechte Lesbarkeit: Der Anwender muss sicherstellen, dass die Dokumente lesbar sind. Dies bezieht sich auf die Auflösung, auf die Orientierung am Bildschirm (es ist nicht zumutbar, Dokumente immer auf dem Kopf stehend zu lesen), auf die Darstellungsqualität bei farbigen Informationen oder grafischen Elementen. Die Wahl des falschen Formates (CCITT G4 für Fotos in der Personalakte) kann dazu führen, dass nichts erkennbar ist, obwohl die Auflösung hoch genug war. Falsche Indexierung: Ähnlich wie bei der Papierablage kann es auch bei der elektronischen Archivierung passieren, dass durch Vergabe der falschen Ordnungskriterien Dokumente falsch zugeordnet werden. Bei der elektronischen Archivierung ist jedoch das Potenzial an Möglichkeiten zur Sicherstellung der korrekten Indexierung sehr viel größer. Viele Eingangsdokumente werden zuerst mit einer Fachapplikation (z. B. Finanzbuchhaltung) verknüpft und dann automatisch indexiert. Weitere Möglichkeiten bestehen in der Wahl geeigneter Plausibilitätsprüfungen bei der Indexierung: Prüfsummen oder das visuelle Feedback bei der Eingabe (z. B. Anzeige der Kreditorinformationen bei Eingabe einer Kreditorennummer) können in der Praxis die Fehler im Vergleich zur Papierablage dramatisch reduzieren.
4
! Praxishinweis: Es gibt keinen typischen Umfang an Qualitätssicherungs-Quoten. Dies hängt typischerweise vom Risikogehalt der Dokumente ab. Qualitätssicherungsregeln unterscheiden sich in Art und Umfang bei laufender Erfassung und der Übernahmen von Altbeständen. Auch wird zur Einführung eines elektronischen Archivsystems oft mit höheren Quoten gearbeitet als später im Regelbetrieb. Bei der Qualitätssicherung sollte nicht nur die Abbildprüfung der gescannten Dokumente erfolgen, sondern auch eine Prüfung der Indexmerkmale und die Papiernachbereitung. Regeln zur Qualitätssicherung sollten regelmäßig auf ihre Sinnhaftigkeit und auf Erweiterungsbedarf geprüft werden. Der Anwender sollte die erforderlichen Arbeitsanweisungen und Qualitätssicherungsverfahren in einer für den sachverständigen Dritten verständlichen Form dokumentieren. Sie sind Bestandteil der Verfahrensdokumentation.
L.
Sonstige Überlegungen
L.
In der Regel muss ein Anwender bei der Konzeption seiner Scan-Prozesse neben den oben bereits dargestellten Aspekten folgende Themen bedenken: Soll ein vorhandener Altbestand gescannt werden? Der Gesetzgeber fordert dies nicht, aber der Anwender hat ggf. zwei Ablagen zu pflegen: die Altakte in Papier und den Neuzugang in elektronischer Form. Scannt er auch den Altbestand, ist es häufig nicht mehr möglich oder gewünscht, jedes einzelne Dokument zu indexieren. Manche Anwender scannen dann einfach die gesamte Altakte und indexieren sie mit einem einfachen Index (Altakte_Kunde_A). Das wäre nur zulässig, wenn die Recherchemöglichkeit auf einzelne Dokumente dadurch nicht auf inakzeptable Weise eingeschränkt wird. Wenn es z. B. nicht mehr möglich ist, bestimmte Auftragsbestätigun73
44
4
§ 4 Anwendungsfall: Scannen von Papierdokumenten
4
gen zu einer bestimmten Rechnung aus der Altakte mit zumutbarem Aufwand zu recherchieren, könnten hierdurch mehrere Grundanforderungen zur Ordnungsmäßigkeit verletzt werden: fehlender Überblick für Dritte, mangelnde Zuordnung von Belegen zu Geschäftsvorfällen etc. Sollen Dokumente des täglichen Neuzugangs bereits beim Posteingang gescannt und dann elektronisch zur Sachbearbeitung verteilt werden (sogenannte Workflow/Postkorb-Szenarien)? Oder sollen die Papierdokumente wie bisher zum Sachbearbeiter gebracht, dort bearbeitet und nach der Sachbearbeitung gescannt werden? Auch diese Entscheidung ist nicht steuerrelevant, hat aber auf die Ausgestaltung der Archivsystemlösung und den damit verbundenen Aufwand erhebliche Konsequenzen, weil Lösungen mit früher Erfassung eine sehr viel detailliertere Prozessanalyse und zusätzliche Software- und Integrationskomponenten erfordern als eine einfache Belegarchivierung. Soll vernichtet werden, und wenn ja, mit welchen Verfahren und zu welchem Zeitpunkt? Wenn steuerrechtlich relevante Dokumente vernichtet werden sollen, ist dies zwar zulässig, es muss aber in der Verfahrensdokumentation beschrieben werden, nach welchen Regeln diese Vernichtung erfolgt. Soll man den Altbestand und den täglichen Neuzugang selbst einscannen oder überlässt man diese Tätigkeiten ganz oder teilweise einem Scan-Dienstleister, der sowohl Lastspitzen abdecken kann als auch Scanner zur Verfügung hat, um zum Beispiel den Altbestand in kürzerer Zeit zu erfassen, als der Anwender dies selbst tun könnte? Der Anwender kann aber die Einhaltung der Ordnungsmäßigkeit nicht an den Dienstleister delegieren. Gegenüber der Finanzverwaltung ist er alleine verantwortlich und muss daher die zur Herstellung der Ordnungsmäßigkeit notwendigen Prozesse und Qualitätssicherungsverfahren mit seinem Dienstleister vertraglich abstimmen.
! Praxishinweis: Beim Einsatz von Scandienstleistern sollten einige Rahmenbedingungen in der Zusammenarbeit festgelegt werden: Erfolgt das Scannen außer Haus, muss der Transport sicher organisiert werden. Je nach Schutzbedürfnis der Dokumente können verschlossene Transportboxen und unterschriebene Übergabeprotokolle sinnvoll sein. Es sollte eine Registrierung und Nachverfolgung vorhanden sein. Der Zugriff auf Dokumente, die sich in der Bearbeitung beim Dienstleister befinden, muss geregelt werden, z. B. Dokumente in der Verarbeitung können vorgezogen werden (sofortiges Scannen), Übertragung per Fax, Rückgabe der Dokumente, ohne dass diese gescannt wurden. In den letzten beiden Fällen muss das Scannen der Dokumente aber in jedem Fall zu einem späteren Zeitpunkt noch erfolgen. Der Dienstleister sollte bei der Indexierung möglichst eine Prüfung gegen aktuelle Stammdaten-Strukturen des Kunden durchführen können (z. B. gültige Vertragsnummer, Kundenliste etc.). Der Umfang der durchzuführenden Qualitätssicherung sollte mit dem Dienstleister abgestimmt werden. Neben der reinen Sichtprüfung beim Scannen kann eine Prüfung gegen die entsprechenden Papierstapel vereinbart werden. Der Zeitraum, nach dem die übergebenen Dokumente elektronisch zur Verfügung stehen, muss festgelegt werden (z. B. 24 Stunden). Das Gleiche gilt für die Dauer, die die Dokumente außer Haus sind (falls nicht eine Lagerung oder Vernichtung beim Dienstleister erfolgt). Am Beginn der Zusammenarbeit kann es für beide Seiten hilfreich sein, wenn der Dienstleister mit kundeneigenem Personal unterstützt wird, sodass Problemfälle schnell geklärt werden können. Bewertungskriterien für Dienstleister sind: Qualität der Erfassung, Flexibilität der Ressourcen des Dienstleisters (Scanner, Personal) und natürlich der Preis.
74
5
§ 5 Anwendungsfall: E-Mail-Kommunikation A.
Beschreibung des Anwendungsfalls
A.
Die E-Mail-Kommunikation ist eine ständig wachsende Massenkommunikation in Unternehmen. Diese Entwicklung wird durch dezentralisierte PC-Systeme und die Perfektion mobiler Endgeräte wie Smartphones in jeder Qualitätsstufe angetrieben. Aber auch diese Kommunikation unterliegt teilweise den Anforderungen des „Steuerlichen Archivierens“ entsprechend den Grundsätzen der Ordnungsmäßigkeit. E-Mail-Kommunikation, die nach diesen Grundsätzen archiviert ist, gilt als beweissicher. Durch die E-Mail-Archivierung können Konflikte mit dem Arbeitsrecht auftreten, die durch eine E-Mail-Policy oder Betriebsvereinbarung gelöst werden können.
I.
2
2
Die Pflicht zur E-Mail-Archivierung
Mit einer elektronischen Nachricht wie der E-Mail können Rechte und Pflichten begründet und damit rechtswirksame Erklärungen abgegeben werden.1 Rechtswirksame elektronische Nachrichten sind nach § 257 HGB als empfangene Handelsbriefe (§ 257 Abs.1 Nr. 2 HGB), als Wiedergabe abgesandter Handelsbriefe (§ 257 Abs.1 Nr. 3 HGB) und als Buchungsbelege (§ 257 Abs.1 Nr. 4 HGB) geordnet aufzubewahren. Als Handelsbriefe gelten Schriftstücke, die ein Handelsgeschäft betreffen, § 257 Abs. 2 HGB. Hierzu ist im Zweifel die gesamte Korrespondenz eines Unternehmens mit Ausnahme unerbetener Werbung zu rechnen. In der Praxis ziehen Unternehmen hieraus teilweise die Konsequenz und archivieren die gesamte E-Mail-Kommunikation mit Ausnahme ausgefilterter SPAM-E-Mails.2 Diese Praxis steht auch im Zusammenhang mit den Anforderungen des Sarbanes Oxley Act, den deutsche Unternehmen als Tochtergesellschaften US-amerikanischer Muttergesellschaften erfüllen müssen: Wegen des Transparenzgebotes unternehmerischen Handelns muss die geschäftsrelevante Kommunikation archiviert werden. Die Aufbewahrung muss den Grundsätzen ordnungsmäßiger Buchführung entsprechen (§ 257 Abs. 3 S. 1 HGB) und es muss sichergestellt sein, dass die Daten während der Aufbewahrungsfrist verfügbar sind und jederzeit innerhalb angemessener Frist lesbar gemacht werden können (§ 257 Abs. 3 S. 1 Nr. 2 HGB). Die Buchungsbelege sind zehn Jahre, die empfangenen und die Wiedergabe der abgesandten Handelsbriefe sind sechs Jahre aufzubewahren (§ 257 Abs. 4 HGB).
1
5
Archivierung nach den Grundsätzen der Ordnungsmäßigkeit
Die E-Mail-Kommunikation ist zu archivieren, wenn sie als Handelsbrief zu bewerten ist. Die durch GoBS und GDPdU ausgeprägten Grundsätze der ordnungsmäßigen Archivierung, die in § 3 C. dargestellt sind, haben für die E-Mail-Archivierung spezifische Aspekte. Besondere Bedeutung haben die Integrität und Wiederauffindbarkeit der Dokumente während des zehnjährigen gesetzlichen Lebenszyklus und die Möglichkeit der Finanzbehörden, auf die Dokumente zugreifen zu können.
1.
1
Zur zivilrechtlichen Wirksamkeit elektronischer Erklärungen siehe Kitz, in: Hoeren/Sieber (Hrsg.), Handbuch MultiMediarecht Teil 13.1 vor allem Rn. 5-27. Siehe zu dieser Praxis näher unter Gliederungspunkt VI.2.1 Alles Archivieren. Zur Aufbewahrungspflicht von E-Mails siehe Böhme, K&R 2006, 176 ff.
75 T. Brand, et al., Steuersicher archivieren, DOI 10.1007/ 978-3-8349-6461-8_5, © Gabler Verlag | Springer Fachmedien Wiesbaden GmbH 2011
3
4
5
§5
2. 5
5
6
7
8
10
Integrität und Wiederauffindbarkeit
Integrität und Wiederauffindbarkeit sind wegen der zehnjährigen gesetzlichen Aufbewahrungsfrist kritische Anforderungen an die E-Mail-Archivierung. Nach den GoBS sind für die Integrität der Dokumente die Speichermedien und die sichernde Organisation von besonderer Bedeutung. Die Integrität ist hierbei aber nicht von einem bestimmten Speichermedium abhängig. Zulässig und damit ordnungsmäßig im Sinne der handelsrechtlichen und steuerrechtlichen Aufbewahrungsvorschriften sind alle Speichermedien: die CD-Rom/DVD, die nicht wiederbeschreibbare Platte, die wiederbeschreibbare Platte und das Speicherband. Entscheidend für die Ordnungsmäßigkeit sind die hardwaremäßigen, softwaremäßigen und organisatorischen Sicherheitsfunktionen, die für das jeweilige Speichermedium gesondert ausgeprägt sein können. Wiederauffindbarkeit während der zehnjährigen gesetzlichen Aufbewahrungsfrist kann wegen der Anpassung an aktuelle Standards der Archivierungssoftware und der Dokumentenformate problematisch sein. Eine Lösung für dieses Problem muss in einem Migrationskonzept gefunden werden, durch das die Dokumente in der jeweils aktuellen Archivierungstechnologie während des Archivierungszeitraums verfügbar sind (Migration von elektronischen Archivsystemen wird in § 3 H. behandelt). Die Frist für die Wiedergabe der Dokumente wird durch § 257 Abs. 3 HGB und § 147 Abs. 2 AO bestimmt. Nach § 147 Abs. 2 AO muss der Zugriff „unverzüglich“ möglich sein. In der zivilrechtlichen Definition heißt „unverzüglich“ ohne schuldhaftes Zögern. Diese Frist für das Lesbarmachen ist analog zu § 238 Abs. S. 2 HGB nach den Verhältnissen des Einzelfalles zu bestimmen.3 Hierzu muss das Dokument mit einem Index versehen sein, unter dem es aufgefunden werden kann. Dies wird durch Metadaten für eine formale und inhaltliche Beschreibung und Identifizierung der elektronischen Objekte, zur strukturellen und technischen Beschreibung der elektronischen Objekte, zur Beschreibung von Nutzungsrechten und -bedingungen gesichert. Um diese Anforderungen an die Integrität und Wiederauffindbarkeit zu unterstützen, können auch spezielle E-Mail-Archivierungssysteme nützlich sein4.
3. 9
Anwendungsfall: E-Mail-Kommunikation
Der Zugriff der Finanzbehörden
Integrität und Wiederauffindbarkeit der elektronisch archivierten E-Mail-Kommunikation sind die Voraussetzungen, damit die Finanzbehörde entsprechend den GDPdU auf die E-Mail-Dokumente zugreifen kann. Nach Abschnitt III.1 S. 2 GDPdU sind originär elektronische Unterlagen die in das Datenverarbeitungssystem in elektronischer Form eingehenden Daten und die im Datenverarbeitungssystem erzeugten Daten. Dies ist charakteristisch für die E-Mail-Kommunikation. Sie unterliegt damit dem Zugriff der Finanzbehörden. Das Bundesfinanzministerium hat mit den GDPdU das Recht zum Zugriff auf originär digitale Unterlagen im Rahmen der Außenprüfung in Form des unmittelbaren Datenzugriffs, des mittelbaren Datenzugriffs und der Datenträgerüberlassung konkretisiert. Für den unmittelbaren Datenzugriff der Finanzbehörde muss der Steuerpflichtige nach Abschnitt I.2.a) GDPdU dem Prüfer die erforderlichen Hilfsmittel zur Verfügung stellen, damit er selbstständig auf die Daten zugreifen kann. Für den mittelbaren Datenzugriff hat der Steuerpflichtige entsprechend den An3 4
76
Ebenroth/Boujong/Joost/Wiedemann, § 257 Rn. 25. Zu den Bedingungen, unter denen diese Anforderungen erfüllt werden können, siehe die Ausführungen in § 5 C.
5
A. Beschreibung des Anwendungsfalls gaben des Prüfers den Zugriff auf die Daten zu organisieren (Abschnitt I.2.b) GDPdU). Statt des unmittelbaren und mittelbaren Datenzugriffs kann die Finanzbehörde einen Datenträger verlangen, auf dessen Daten sie zugreifen kann. Um den Datenzugriff zu ermöglichen, muss nach § 147 Abs. 2 Nr. 2 AO sichergestellt sein, dass die Daten während der Dauer der Aufbewahrungsfrist jederzeit verfügbar sind, unverzüglich lesbar gemacht und maschinell ausgewertet werden können. Wenn originär elektronische Unterlagen wie die steuerlich relevante E-Mail-Kommunikation auf maschinell verwertbaren Datenträgern zu archivieren sind, dann dürfen sie nicht, so die Schlussfolgerung des Bundesfinanzministeriums, ausschließlich in ausgedruckter Form oder auf Mikrofilm aufbewahrt werden, sondern müssen elektronisch archiviert werden.5
II.
Ordnungsmäßige Archivierung als Beweisqualität
5
In direktem Zusammenhang mit der ordnungsmäßigen Archivierung einer E-Mail aus steuerlicher Sicht steht deren Beweisqualität. Denn die Beweisqualität elektronischer Dokumente, wie einer EMail mit Anhang, wird von der freien Beweiswürdigung des Gerichts nach § 286 ZPO bestimmt.6 Im Rahmen der freien Beweiswürdigung ist die Archivierung nach den Grundsätzen der Ordnungsmäßigkeit das entscheidende Argument für die Beweisqualität. Nach den GoBS wird die Integrität der elektronisch gespeicherten Dokumente für die Phase der Aufbewahrung und Wiedergabe sichergestellt.7 Mit der Aufbewahrung entsprechend diesen Grundsätzen wird die elektronische Dokumentation gegen Änderungen geschützt.8 Deshalb gilt die ordnungsmäßige elektronische Archivierung entsprechend diesen Grundsätzen als Indiz für die Beweissicherheit.9 Diese Anforderungen bilden ein Sicherheitskonzept, das zwar nicht zu einer Urkundenqualität des elektronischen Dokuments führt, die nach § 371a Abs. 1 Satz 1 ZPO nur durch eine qualifizierte elektronische Signatur zu erreichen ist, aber zu einer Beweisqualität als Objekt des Augenscheins.
III.
11
E-Mail-Archivierung, Viren-, Spamfilter und das Arbeitsrecht
Mit der E-Mail-Archivierung sind unumgänglich Rechtsfragen des Viren- und Spamfilterns und des Arbeitsrechts verbunden. Die lange Archivierungspflicht von rechtlich relevanten Dokumenten nach Handelsrecht und Steuerrecht erfordert Speicherplatz und Organisation. Um die Kosten gering zu halten, ist es sinnvoll, E-Mail-Nachrichten, die nicht unternehmensbezogen sind, auszufiltern10 und nicht zu archivieren. Dies kann zu Konflikten mit dem Fernmeldegeheimnis (§ 88 TKG) und der durch das Grundgesetz geschützten Privatsphäre (Art. 1 und Art. 2 GG) der Mitarbeiter führen, wenn an sie gerichtete E-Mails in den Filter geraten.11 Unternehmen sollten diese Konfliktsituation durch Einzelvereinbarungen mit den Mitarbeitern oder durch eine Betriebsvereinbarung vermeiden.12 Einzelvereinbarungen erweisen sich als problematisch, da eine einheitliche organisatorische Lösung nicht möglich ist oder erschwert wird, wenn einzelne Mitarbeiter nicht einwilligen.
5 6
BMF-Schreiben vom 16.07.2001, Punkt III. 1. Allgemeine Meinung: Geis, in: Hoeren/Sieber (Hrsg.), Handbuch MultiMediarecht Teil 13.2 Rn. 10, 10. Ergänzungslieferung; Zöller/Greger, ZPO, § 371 Rn. 1. 7 siehe hierzu § 3. 8 Münch Komm HGB/ Ballwieser, § 257 Rn. 16. 9 Ebenroth/Boujong/Joost/Wiedemann, § 257 Rn. 1. 10 Zum Einsatz von Spamfiltern am Arbeitsplatz siehe Sauer, K&R 2008, 399. 11 Zur Auswirkung der aktuellen Rechtsprechung des Bundesverfassungsgerichts auf das Fernmeldegeheimnis von Arbeitnehmern siehe Hoppe/Braun, MMR 2010, 80 ff. 12 Auch für die Lösung durch Einzelvereinbarung oder Betriebsvereinbarung Schmitz, in: Spindler/Schmitz/Geis, TDG zu § 1 TDDSG Rn. 42.
77
12
5
§5
13
5 14
Besteht ein Betriebsrat, so ist eine Betriebsvereinbarung schon aus betriebsverfassungsrechtlicher Sicht (§ 87 Abs. 1 Nr. 6 BetrVG) notwendig. Datenschutzrechtlich gilt diese als Erlaubnis aus „anderen Rechtsvorschriften“ nach § 4 Abs. 1 BDSG, sodass es nicht mehr auf die Zustimmung jedes einzelnen Beschäftigten ankommt.13 Hierbei sollten nach dem Prinzip der Verhältnismäßigkeit das Fernmeldegeheimnis und die Privatsphäre der Mitarbeiter möglichst berücksichtigt werden.14 Im Rahmen eines Interessenausgleichs sollte das Recht des Unternehmens berücksichtigt werden, Nachrichten auszufiltern, die weder dem Unternehmenszweck noch der angemessenen privaten Nutzung entsprechen, Kontrollen durchzuführen, ob die private Nutzung auf einen angemessenen Umfang und Inhalt beschränkt ist und bei Abwesenheit des Mitarbeiters auf den E-Mail-Account zugreifen zu können. Die Interessen des Mitarbeiters bestehen in dem Schutz seiner Privatsphäre. Maßstab hierfür ist der durch die Datenschutznovelle 2009 eingeführte § 32 BDSG, wonach die Kontrolle der Daten des Mitarbeiters dem Grundsatz der Verhältnismäßigkeit unterliegt. Von diesem Grundsatz ist die Muster-Betriebsvereinbarung15 bestimmt. Ein Beispiel für eine entsprechende Vereinbarung ist im Anhang 4 zu dieser Dokumentation enthalten. Damit wird vorgeschlagen, die private E-Mail-Nutzung in „angemessenem“ Umfang, der in einer Betriebsvereinbarung oder E-Mail-Policy zu konkretisieren ist, zu erlauben und nicht ausnahmslos zu verbieten. Gegen das Verbot sprechen zwei Gründe: Wird nicht „regelmäßig“ kontrolliert, dass das Verbot eingehalten wird, so gilt die private E-Mail-Nutzung als stillschweigend erlaubt. Als von dem Verbot ausgenommen müssen betriebsbedingte Informationen, wie angeordnete Überstunden, und persönliche Härtefälle, wie Krankheit, gerechnet werden.
B. 15
16
C. 17
Anwendungsfall: E-Mail-Kommunikation
Relevante rechtliche Grundlagen
Die rechtlichen Grundlagen sind komplex. Das Recht der elektronischen Archivierung der E-MailKommunikation umfasst die Aufbewahrungspflichten nach HGB, Abgabenordnung und die Interpretation dieser Pflichten durch das Bundesfinanzministerium in den GoBS, den GDPdU und den FAQ. Diese Vorschriften sind maßgeblich für die Pflicht zur E-Mail-Archivierung, die Integrität und Wiederauffindbarkeit und den Zugriff der Finanzbehörden.16 Neben der Steuerrelevanz von E-Mails gibt es weitere Anforderungen für deren Aufbewahrung. Die Beweisqualität der archivierten E-Mail wird durch § 286 ZPO als freie Beweiswürdigung des Gerichts bestimmt. Das Ausfiltern von E-Mails, die nicht unternehmensbezogen sind, führt zu Konflikten mit den Rechten der Mitarbeiter, die durch das Datenschutzrecht, die Privatsphäre der Art. 1 und 2 GG und das Fernmeldegeheimnis nach dem Telekommunikationsgesetz (TKG) geschützt sind.
C.
Varianten in der Umsetzung
Die rechtlichen Anforderungen zur Aufbewahrung von E-Mails sind technikneutral. Hardware, Software und Organisation müssen die Vollständigkeit, Integrität und Wiederauffindbarkeit von steuerrelevanten E-Mails sicherstellen. Dies kann durch unterschiedliche technische Ansätze erreicht werden.
13 Schmitz, in: Spindler/Schmitz/Geis, TDG zu § 1 TDDSG Rn. 42 und Gola/Schomerus, BDSG, § 4 Rn. 10. 14 Zum Erfordernis der Verhältnismäßigkeit siehe Gola/Schomerus, BDSG, § 4 Rn. 10 und Walz in: Simitis (Hrsg.), BDSG, § 4 Rn. 16. 15 Siehe zu einer Mustervereinbarung zur Nutzung von Internet und E-Mail am Arbeitsplatz auch Pröpper/Römermann, MMR 2008, 514 ff. 16 Siehe hierzu die Ausführungen unter Kapitel § 3 C.
78
5
C. Varianten in der Umsetzung Es besteht keine Verpflichtung zu bestimmten Speichersystemen, zu einem E-Mail-Archivierungssystem, zu einer server-basierten oder client-basierten Lösung. Die gesetzlichen Anforderungen sind offen für technische und organisatorische Entwicklungen im Sinne der Ordnungsmäßigkeit. Eine solche Entwicklung ist z. B. das Cloud-Archiving, das in § 10 E. dargestellt ist. Die folgenden grundsätzlichen Szenarien sind möglich:
18
Tabelle 13: Varianten der E-Mail-Archivierung Variante
Umfang der Archivierung
Entscheidungsinstanz
Beispiele
1
Alles archivieren
Globale Einstellung: ALLES
Archivierung des E-MailJournales des E-MailServers, Einsatz von E-Mail-Appliances17
2
Regel-basierte Untermenge im Archivsystem
Vordefinierte Regeln
Alle Objekte der E-MailAdressen der Buchhaltungs-Mitarbeiter
3
Selektive Ablage im Archivsystem
Endanwender
Manuelles Indexieren und Ablegen von steuerrelevanten E-Mails in elektronische Aktenstrukturen
4
Ablage im E-Mailsystem
Endanwender
Manuelles Umsortieren im E-Mail-System
5
Ausdruck
Endanwender
Selektiver Ausdruck der relevanten E-Mails
I.
5
Variante 1: Alles archivieren
Auch aus regulatorischen Gründen ist diese Variante der E-Mail-Archivierung vorhanden. Hierbei geht es für das Unternehmen darum, eine maximale gerichtsbelastbare Auskunftsfähigkeit zu erreichen, ohne vorher schon wissen zu können, in welchem Zusammenhang diese Notwendigkeit entsteht. Der Fokus liegt somit nicht nur auf steuerrelevanten E-Mails oder auf bestimmten Projekten, Vertragsabschlüssen oder Mitarbeitern. Ziel dieses Szenarios ist es, Behauptungen von Dritten abzuwehren, die entkräftet werden können, indem man die dafür notwendigen E-Mails vorlegt bzw. auch nachweisen kann, dass man eine EMail nicht absichtlich oder versehentlich besessen hat. Man muss die Vollständigkeit beweisen, wenn aus dem Mangel der Vollständigkeit ein juristisches Risiko entsteht. Mit anderen Worten: Die Aufforderung des Gerichts zu belegen, dass der Mitarbeiter KEINE Insiderinformationen an die eigene Verwandtschaft gemailt hat, lässt sich natürlich nicht durch ein einziges Dokument belegen, sondern nur durch die belastbare Darstellung, dass sämtliche ein- und ausgehenden, ggf. auch internen E-Mails archiviert werden und sich eben trotz dieser 100%-igen Archivierung kein einziges Dokument findet, welches den Verdacht des Insiderhandels untermauern kann. Allerdings ist so eine negative Tatsache in der gerichtlichen Praxis oft nur schwer beweisbar. 79
19
20
21
5 22
23
24
5
§5
Diese Art der Archivierung wird häufig Compliance-Archivierung genannt, was ein wenig irreführend ist, da auch die selektive Archivierung von E-Mails durchaus durch regulatorische Anforderungen begründet sein kann. Weiterhin zu beachten ist, dass der Ansatz „Alles archivieren“ immer nach einer klaren Regelung zum Umgang mit privaten E-Mails verlangt (siehe § 5 D. Stolpersteine). Bei diesem Szenario sind steuerrelevante E-Mails natürlich auch in dem Gesamtumfang der Archivierung enthalten und sind nach mehr oder weniger umfangreichen Recherchen wieder reproduzierbar. Eine Zuordnung zur Buchung oder eine Indizierung im Sinne einer geordneten Ablage erfolgt hier allerdings nicht. Weiter ist die Festlegung auf „alles“ ebenfalls nicht unproblematisch: „Alles“ ist ein relativer Begriff. Das Unternehmen muss entscheiden, was genau es unter „Alles“ versteht. Soll die Archivierung vor oder nach dem Spam- und Virenfilter ansetzen? Welche Firewall-Einstellungen sind vorhanden? Wenn danach, könnte es – nicht nur theoretisch – Antragsgegner geben, die behaupten, dass ein Filter absichtlich oder versehentlich so eingestellt war, dass das E-Mail zwar rechtzeitig und vertragswirksam dem Unternehmen zugegangen sei, dann aber nicht weitergeleitet wurde. Und auf die Einstellung der Filter beim E-Mail-Empfänger hat der Absender keinen Einfluss. Er darf also bei geschäftlicher E-Mail davon ausgehen, dass der „Briefkasten“ ordnungsgemäß geleert wird und das E-Mail rechtswirksam zugegangen ist. In der Praxis führt das dazu, dass einige Firmen eine Policy haben, sämtliche E-Mails VOR dem Spam-Filter als Kopie zu archivieren. Es gilt dann das Motto: Speicherplatz ist billiger als ein verlorener Prozess. Die Entscheidung über „Alles“ beinhaltet auch die Festlegung, ob eine Archivierung der internen Kommunikation erforderlich ist oder nicht.
II. 25
26
Anwendungsfall: E-Mail-Kommunikation
Variante 2: Regelbasierte Archivierung einer Teilmenge
Sollen nur Teile der gesamten E-Mail-Kommunikation archiviert werden, kann dies über die Definition von server-basierten Archivierungsregeln erfolgen. Diese können inhaltlicher Natur sein, um z. B. über die Empfängeradresse nur alle eingehenden E-Mails für die Steuer- oder Finanzabteilung per Default automatisch zu archivieren. Die Regeln können auch zeitlich oder ereignisgesteuert arbeiten. Typisch dafür ist eine Archivierung von E-Mails aus Postfächern, sobald diese eine bestimmte Speichergröße im E-Mail-System überschritten haben. Die Vorteile einer regelbasierten Archivierung liegen in der Tatsache, dass die Anwender eines E-Mail-Systems sich nicht um die Archivierung kümmern müssen, sondern das System dies im Hintergrund erledigt. In Bezug auf die fachliche und sachlogische Strukturierung von E-Mails im E-Mail-Archiv sind aus der Erfahrung allerdings Grenzen gesetzt, da über das Regelwerk nur die Systemfelder einer E-Mail für eine Indizierung sinnvoll ausgewertet und für die spätere strukturierte Suche im E-Mail-Archiv verwendet werden können. Eine zusätzliche Volltextindizierung von E-Mails und deren Anhängen ist bei den meisten E-Mail-Archiven möglich, kann aber später bei Millionen von archivierten E-Mails zu einer großen Trefferliste – ähnlich wie in Google – führen. Problem ist hier: Wie findet man trotz Volltextindizierung eine E-Mail zu einer bestimmten Kunden- oder Belegnummer, wenn diese weder im E-Mail-Header noch im E-Mail-Body oder in den Anhängen enthalten war.
80
5
C. Varianten in der Umsetzung Die wichtigsten Unterschiede zwischen Variante 1 und 2 sind in der folgenden Tabelle dargestellt:
27
Tabelle 14: Archivierungs-Varianten JournalArchivierung
Regelbasierte Archivierung
Sicherstellung der vollständigen Archivierung
Ja
Nein
Möglichkeit zur Manipulation der E-Mail vor der Archivierung
Nein
Ja
Begrenzung auf bestimmte Benutzer/-gruppen
Typischerweise: Nein
Ja, möglich
Kopie der E-Mail (mit eigener Objekt-ID)
Original der E-Mail
Typischerweise: Nein
Typischerweise: Ja
Versand / bei Empfang
Zeitlich verzögert nach Versand / Empfang
Archivierungsobjekt Ersetzung in E-Mail-System durch Verweiseintrag Zeitpunkt der Archivierung
5
Für steuerrelevante E-Mails gelten die gleichen Einschränkungen wie bei der Variante 1.
III.
Variante 3: Selektive Archivierung
Teilweise wird diese Variante auch qualifizierte oder Anwender-getriebene Archivierung genannt. Das Prinzip ist Folgendes: Der Anwender entscheidet nach einer Sichtung einer E-Mail individuell aufgrund fachlicher oder eben steuerlicher Zusammenhänge, ob eine E-Mail vollständig oder nur einzelne relevante Anhänge in einem E-Mail-Archiv abgelegt werden sollen. Es besteht die Anforderung, diese E-Mails in den jeweiligen fachlichen Kontext einer elektronischen Akte zu bringen (z. B. Zuordnung zur Buchung oder zum Kreditor). Jeder Hersteller von Archivierungsprodukten hat eigene Vorstellungen und Philosophien über den Komfort und die Möglichkeiten, wie ein Anwender eine E-Mail in ein E-Mail-Archiv ablegen oder in eine elektronische Akte speichern kann – einen Standard gibt es nicht. Bei einem synchronen Verfahren bekommt der Anwender ein sofortiges Feedback über den Erfolg oder Misserfolg der Archivierung. Findet bei der Speicherung gleichzeitig eine Konvertierung auf dem Client statt (z. B. TIFF-/PDF-Drucker), kann der gesamte Vorgang einen für Anwender inakzeptablen Zeitraum in Anspruch nehmen. Dies ist im Auswahlverfahren zu prüfen. Einige Lösungen setzen auf ein asynchrones Verfahren. Der Benutzer indiziert eine E-Mail, stellt diese in eine Warteschlange zur Archivierung und bekommt erst zeitversetzt eine Rückmeldung über den Status der Archivierung, da diese nur in regelmäßigen Zeitabständen im Hintergrund durchgeführt wird. Bei Fehlern – insbesondere bei Lösungen mit Formatkonvertierungen – kann dies zu individuellen Aufwänden für Nachbearbeitungen und erneuten Versuchen zur Archivierung einer E-Mail führen.
81
28
29
5 30
31
32
5
§5
Das hier bestehende Risiko aus Unternehmenssicht ist die Möglichkeit, dass ggf. wichtige oder steuerrelevante E-Mails von Anwendern nicht archiviert werden bzw. von Dritten eine Manipulation behauptet wird, die man nur durch entsprechende Beweisketten entkräften kann. Das gleiche Problem stellte sich aber bereits beim Ausdruck oder beim Führen einer Papierakte – es bekommt also durch die Nutzung dieses Szenarios keine grundsätzlich neue Dimension. Dadurch, dass ein Sachbearbeiter bewusst eine E-Mail zur Archivierung auswählt, besteht hier in der Regel immer die Möglichkeit, der E-Mail einen fachlichen Kontext zuzuordnen, also z. B. die Eingabe einer Kundennummer oder die Auswahl einer Dokumentart. So kann die steuerlich geforderte Ordnung der Ablage leicht erreicht werden. Ist man bereits Anwender einer elektronischen Archivierungs-Umgebung, in der gescannte Dokumente, Ausgangsdokumente oder Office-Dateien archiviert werden, ist die Hinzunahme der E-Mails (auch der steuerlich relevanten) eine sinnvolle und konsistente Ergänzung.
IV. 33
34
35
37
Variante 4: Ablage im E-Mail-System oder der Dateiablage
Für die Ablage gemäß der obigen Varianten sind grundsätzlich nicht nur elektronische Archivsysteme geeignet. E-Mails lassen sich in öffentlichen Ordnern oder E-Mail-Datenbanken ablegen. Auch das Speichern auf Dateisystemen ist möglich. Im Unterschied zur Archivierung in einem Archivierungsprodukt sind hier aber drei wichtige Einschränkungen vorhanden: Die Sicherstellung der Unveränderbarkeit ist kein typisches Systemmerkmal eines Dateisystems oder einer E-Mail-Umgebung. Änderungen können erfolgen durch schlichtes Neuspeichern, ohne dass hierüber eine Versionierung erfolgt oder ein Protokolleintrag vorhanden ist. Unwiederbringliches Löschen ist möglich. Die Strukturierungsmöglichkeiten beschränken sich meist auf einen oder mehrere Ordnernamen und die Eigenschaftsfelder der E-Mail. Indexstrukturen im Sinne eines elektronischen Archivsystems sind nicht vorhanden. Dateieigenschaften des Betriebssystems können zwar verwendet werden, doch bieten diese keine Komfort-Funktionen wie Auswahllisten oder die Werteprüfung gegen eine Datenbank. Eine eindeutige Verknüpfung zur Buchung ist nicht vorhanden. Somit ist diese Art von Aufbewahrung nur beschränkt ordnungsmäßig im steuerlichen Sinne.
V. 36
Anwendungsfall: E-Mail-Kommunikation
Variante 5: Ausdruck von steuerrelevanten E-Mails
Der in der Vergangenheit oft praktizierte Fall des Hinzufügens von relevanten E-Mails zu einer Papierakte erfüllt mittlerweile nicht mehr die Anforderungen zur Aufbewahrung von steuerrelevanten E-Mails. Diese sollen laut Fragen- und Antwortenkatalog des BMF im Originalformat aufbewahrt werden – und das ist ein Ausdruck eben nicht. Aus handelsrechtlicher Sicht gibt es hier keine vergleichbare Anforderung, allerdings kann in der Praxis nur schwer zwischen handelsrechtlicher und steuerrechtlicher E-Mail-Korrespondenz unterschieden werden.
82
5
D. Weitere Stolpersteine ! Praxishinweis: Als Königsweg wird eine Kombination aus der Variante 1 und 3 gesehen. Sachbearbeiter legen E-Mails mit Aktenbezug in elektronischen Akten ab, wo diese fachlich auch hingehören. Zusätzlich erfolgt eine vollständige Archivierung von E-Mails, um im Zweifelsfall auf übersehene, plötzlich relevant gewordene, ausgehende, interne oder sonstige E-Mails zuzugreifen. Bei der vollständigen Archivierung könnte man sich auf einen Zeitraum beschränken, der typischerweise nachweispflichtig ist, z. B. 3 bis 5 Jahre. Die Aufbewahrungsfristen der fachlich abgelegten E-Mails ergeben sich aus den Regeln des elektronischen Archivsystems für die dort definierten Aktenstrukturen.
D.
Weitere Stolpersteine
D.
Neben den an unterschiedlichen Stellen in diesem Kapitel bereits dargestellten Anforderungen gibt es weitere Stolpersteine, wenn die Archivierung von steuerrelevanten E-Mails geplant wird.
I.
Identifizierung von steuerrelevanten E-Mails
Der Umfang an aufbewahrungswürdigen und aufbewahrungspflichtigen E-Mails muss definiert werden. Es ist unstrittig, dass E-Mails steuerliche Relevanz entfalten können, handelt es sich doch um ein Transportmedium, mit dem beispielsweise auch Buchungsanweisungen, Kalkulationen oder Rechnungen übermittelt werden. Derartige E-Mails zählen sicherlich zu den nach § 147 Abs. 1 AO aufbewahrungspflichtigen Unterlagen, während private E-Mails ebenso unzweifelhaft keiner Aufbewahrungspflicht unterliegen. Dazu sollte das Unternehmen allerdings bereits im laufenden Geschäftsbetrieb zumindest eine Trennung der geschäftlichen von den privaten E-Mails vorgenommen haben. Ansonsten muss nach der bislang ergangenen Finanzrechtsprechung der Datenzugriff auf die gesamten vorgehaltenen Informationen hingenommen werden. Weit weniger Gefallen dürften die Finanzbehörden dagegen an der Entscheidung des Bundesfinanzhofs vom 24.06.2009 – VIII R 80/06 – zur Aufbewahrungspflicht für gesetzlich nicht vorgeschriebene elektronische Aufzeichnungen finden. Denn eine solche gibt es nicht: Freiwillig geführte Unterlagen sind nicht aufbewahrungspflichtig und dürfen damit innerhalb der gesetzlichen Aufbewahrungsfristen gelöscht bzw. vernichtet werden. Und das wären eben auch E-Mails, die nicht aufbewahrungspflichtig sind.
II.
38
39
40
41
Automatische Indizierung von steuerrelevanten E-Mails
Die Archivierung von nicht archivierungspflichtigen E-Mails kann aber für spätere Zivilprozesse einen entscheidenden Unterschied machen. Vertragsschlüsse, Änderungen, Absprachen zwischen den Parteien können später häufig nur noch durch die E-Mail-Kommunikation bewiesen werden, wenn es sie denn noch auffindbar gibt. Das sollte aus prozesstaktischen Gründen nicht unterschätzt werden.
83
42
5
5
§5
Anwendungsfall: E-Mail-Kommunikation
III. 43
Zuständigkeit für die Archivierung
Die Zuständigkeiten für die Archivierung von E-Mails müssen festlegt werden. Bei E-Mails mit Bezug zur Aufgabenstellung des Sachbearbeiters kann dies sicher durch den Sachbearbeiter erfolgen. Schwieriger wird dies bei steuerrelevanten E-Mails, die nicht so einfach zu erkennen sind, wie eine E-Mail mit Kundenzuordnung. Festlegungen könnten z. B. sein: Die Verwaltung erfolgt durch die Finanz- / Steuerabteilung: Diese muss dann aber auch Kenntnis der entsprechenden E-Mails besitzen. Die Verwaltung erfolgt durch alle Sachbearbeiter: Hier ist das Risiko gegeben, dass der steuerliche Aspekt einer E-Mail nicht ausreichend berücksichtigt wird.
5
IV. 44
45
Maschinelle Auswertbarkeit von E-Mails
Maschinelle Auswertbarkeit bedeutet Filtern und Sortieren von strukturierten Datenbeständen. Dies ist sinnvoll für Daten aus Buchhaltungssystemen und Datenbanken mit steuerlichem Bezug. Zielsetzung ist die Analyse in Auswertungswerkzeugen wie Excel, Access oder WinIdea. Ein E-Mail-System besteht aus dem E-Mail-Body, einem oder mehreren Anhängen und Indexfeldern, unter denen die E-Mail abgelegt wird. Für diese Bereiche stellt sich die Anforderung der maschinellen Auswertbarkeit wie folgt dar: Tabelle 15: Maschinelle Auswertbarkeit von E-Mails
46
Bereich
Maschinelle Auswertbarkeit im Sinne Filtern und Sortiern
Sonstige Auswertungsmöglichkeiten
E-Mail-Body
Nicht möglich, E-Mail-Texte sind typischerweise unstrukturiert
Volltext-Suche
E-Mail-Anhänge
Gegeben bei strukturierten Formaten wie Excel. Ansonsten nicht möglich.
Volltext-Suche, Suche nach Datei-Eigenschaften
Index-Felder der E-Mail
Filtern und Sortieren möglich, allerdings nur auf Feldern wie Von, An, Betreff, Datum.
Volltext-Suche
Wie oben dargestellt, sind nur einige Formate bei E-Mail-Anhängen und die Felder einer E-Mail sinnvoll maschinell auswertbar, wenn man die Volltext-Suche nicht ebenfalls als maschinelle Auswertbarkeit definiert. Steuerlich relevante Auswertungen sind mit den Feldern des E-Mail-Systems sicher nicht sinnvoll, allerdings führen die FAQ hierzu auch auf, dass die Möglichkeiten der Auswertbarkeit hier nicht ausschlaggebend sind. Besitzt eine E-Mail steuerlichen Bezug, soll diese nach den FAQ im Originalformat aufbewahrt werden.
84
5
D. Weitere Stolpersteine
V.
Indexierung von steuerrelevanten E-Mails
Die Idee, E-Mails automatisch inhaltlich zu klassifizieren und steuerrelevante E-Mails direkt zu erkennen, um sie entweder ohne manuelle Eingriffe abzulegen oder nachgelagerten Prozessen zuzuführen, ist betriebswirtschaftlich sinnvoll, weil Massenprozesse automatisiert werden können. Das Argument allerdings, dass es einfacher ist als bei der Klassifikation von Papierpost – weil man diese erst scannen und die Zeichen per OCR erkennen muss, während bei E-Mails die Zeichen nicht erst erkannt werden müssten – ist nicht nachzuvollziehen. Der einfache Grund ist: Wenn ein Kunde oder ein Kreditor ein Stück Papier erzeugt (ein allgemeines Schriftstück, einen Antrag oder eine Rechnung), werden unbewusst bestimmte Strukturen eingehalten. Der Absender findet sich irgendwo, meistens oben, manchmal unten in der Fußzeile. Die Empfänger-Informationen sind in der Nähe der Stelle, wo sie in einem Fensterkuvert sichtbar wären. Ein Großteil der Dokumente kennt so etwas wie einen Betreff, auch wenn „Betreff “ nicht mehr davor steht. Es gibt ein Datum, an dem dieses Dokument beim Absender erzeugt wurde. Mit anderen Worten: Der Absender mag Rechtschreibschwächen haben oder unhöflich sein. Aber im Vergleich zu einer E-Mail ist ein Papierdokument eine Oase der verlässlichen Indexdaten. Welcher Betreff steht in der E-Mail? In ziemlich vielen Fällen eben nicht der aktuelle Betreff, sondern derjenige aus dem E-Mail von vor 3 Jahren, auf das man mit „Antworten“ wieder den damaligen Ansprechpartner erreicht, ohne die E-Mail-Adresse neu eingeben zu müssen. Wie hoch ist der Anteil an Textinformation in der E-Mail, die sich auf frühere E-Mails bezieht, weil beim Antworten die alten Texte nicht gelöscht, sondern mit jedem Ping-und-Pong der E-MailKommunikation drangehängt wird.
VI.
47
5
48
49
Abgrenzung zu privaten E-Mails
Bei den oben definierten Varianten spielt der Umgang mit privaten E-Mails in den Varianten 1 und 2 eine Rolle, da diese hier mit in ein elektronisches Archiv übernommen würden. In den anwendergetriebenen Archivierungsszenarien stellt dies kein Problem dar, da hier der Benutzer entscheidet, welche E-Mail archiviert werden muss. Für den Umgang mit privaten E-Mails gibt es folgende Varianten: Private E-Mails werden hausintern verboten und das Verbot wird regelmäßig geprüft. Das Verbot muss kontrolliert werden, da ansonsten die private Nutzung als geduldet gilt. Nutzung separater E-Mail-Adressen für private E-Mails. Private-E-Mails werden zugelassen, sind aber nicht mit dem hauseigenen E-Mail-System zulässig, sondern nur bei Googlemail, web.de, o. Ä.. Private E-Mails werden bei Einsatz der Variante 2 nicht mit archiviert, da es Regeln gibt, woran diese erkannt werden können, z. B. Ordner „Privates“ in jedem Postfach. Private E-Mails werden mitarchiviert. Für den Zugriff auf das Postfach wird eine Regelung mit dem Betriebsrat abgestimmt. Welche Lösung auch immer gewählt wird, es sollte eine entsprechende schriftliche Vereinbarung über die Vorgehensweise vorhanden sein.
85
50
51
52
5
§5
VII. 53
5
54
Anwendungsfall: E-Mail-Kommunikation
Umgang mit qualifizierten Signaturen
Fast alle gängigen E-Mail-Clients erlauben eine elektronische Signatur mit Hilfe von S/MIME, bei der der Text einer E-Mail inklusive aller Anhänge signiert werden kann. Eine Auftrennung der EMail-Komponenten oder eine Konvertierung bei der Archivierung würde die Signatur brechen, daher empfiehlt sich die Speicherung als Containerformat (RFC 2822, MSG, NSF etc.), wenn man die E-Mail oder die Anhänge nicht bereits als signiertes PDF erhält. Vorher kann das E-Mail-Archiv eine Prüfung der Signatur vornehmen und das Ergebnis als Protokoll dokumentieren. Das Protokoll muss zum Zwecke der späteren Nachvollziehbarkeit in Verbindung mit der signierten E-Mail gespeichert werden. Eine systemgetriebene Archivierung muss diese Funktionen entweder geräuschlos im Hintergrund erledigen oder es muss eine Aussteuerung zur manuellen Bearbeitung erfolgen. Wichtig: Der EMail-Archiv-Client muss diese Information bei einer Recherche im E-Mail-Archiv neben der Ursprungs-Mail darstellen können. ! Praxishinweis: Durch die interne Revision und Wirtschaftsprüfer sollte regelmäßig geprüft werden, ob die E-Mail-Kommunikation nach den Grundsätzen der Ordnungsmäßigkeit archiviert wird.
E. 55
E.
Zusammenfassung und Ausblick
Im Ergebnis ist es möglich, die E-Mail-Kommunikation auf den Ebenen des steuerlichen und handelsrechtlichen Archivierungsrechts und der damit zusammenhängenden Rechtsgebiete des Beweisrechts und des Arbeitsrechts rechtssicher zu gestalten. Die technische Lösung kann hierbei unterschiedlich sein und hängt nicht nur von der Aufbewahrungspflicht von steuerlich relevanten E-Mails ab. ! Praxishinweis: Der Einsatz von elektronischen Archivsystemen ist besser als E-Mails in E-Mail-System- oder Dateisystemstrukturen abzulegen. Das beste Archivierungsszenario aus steuerlicher Sicht: Client-basiert durch den Anwender, da hier gezielt die relevanten E-Mails in den fachlich korrekten Kontext gebracht werden. Die Server- oder regelbasierten Varianten sind besser, als nichts zu tun. Ausgangs-E-Mails und interne Kommunikation nicht vergessen. In der Verfahrensdokumentation sollten die Prozesse der E-Mail-Archivierung dokumentiert sein.
86
6
§ 6 Anwendungsfall: Archivierung PC-Dateien A.
Beschreibung des Anwendungsfalls
In diesem Kapitel geht es um elektronisch erzeugte oder empfangene Unterlagen, die in typischen PC-Anwendungen entstehen, wie zum Beispiel Textverarbeitungs- oder Tabellenkalkulationsdokumente. Streng genommen gelten die hier gemachten Aussagen natürlich für viele weitere Arten elektronischer Dateien, also auch solche, die auf einer Unix-Workstation in einer CAD-Umgebung erstellt wurden. Relevant ist einzig und allein, ob diese Unterlagen der steuerlichen Aufbewahrungspflicht unterliegen, und natürlich nicht, auf welcher Plattform und mit welcher Anwendung die Dateien erstellt wurden. Die hier verwendeten Beispiele sollen aber den typischen Anwendungsfall illustrieren. Bei vielen Anwendern ist der Gegenstand dieses Kapitels – die ordnungsmäßige Aufbewahrung von PC-Dateien – aus folgenden Gründen ein wichtiges Thema: Viele Dateien erfüllen eine der Definitionen aus § 147 Abs. 1 AO, sind also steuerlich 6 oder 10 Jahre aufbewahrungspflichtig. Trotz der unstrittigen Aufbewahrungspflicht liegen diese Dateien auf Ablagesystemen wie dem File-System des PCs oder den zentralen Netzlaufwerken, die über keine oder nur schwache Schutzfunktionen gegen unzulässige Änderungen verfügen. Kein Prüfer würde einem solchen System die GoBS-Konformität testieren, was zunehmend dazu führt, dass Anwender gezwungen sind, die aufbewahrungspflichtigen Dateien zu identifizieren und sie in ordnungsmäßige Ablagen zu überführen. Viele PC-Dateien stellen wegen der proprietären Formatierung ein Risiko bei der langfristigen Reproduktionsfähigkeit dar. Je exotischer ein Format, desto höher ist das Risiko, dass man der Aufbewahrungspflicht (diese ist ja, wie bereits erwähnt, eine Pflicht zur Sicherstellung der Reproduktionsfähigkeit über die Dauer der Aufbewahrungsfrist) nicht nachkommen kann. Wenn man gezwungen ist, zur Sicherstellung der Reproduktionspflicht das proprietäre Format in ein anderes Format (z. B. PDF oder TIFF) zu konvertieren, verstößt man ggf. gegen die ebenfalls geltende Verpflichtung, originär digital erzeugte Dokumente im Originalformat aufzubewahren. Ein Ausdruck und das Führen von Papierakten werden immer aufwändiger, da mehr und mehr Informationen nur noch elektronisch vorliegen. E-Mails, auf die jeder Partner fünf Mal antwortet, liegen ggf. in zehn Ausdrucken in der Papierakte. Zudem fordern die GDPdU, dass originär elektronische Daten auch elektronisch verfügbar sein müssen.
B.
Aufbewahrungspflicht setzt Aufzeichnungspflicht voraus
Nur diejenigen Dokumente und Dateien müssen aufbewahrt werden, für die eine Aufzeichnungspflicht existiert. Mit anderen Worten: Die weit verbreitete Meinung, jede geschäftlich erzeugte Datei (oder E-Mail) sei auch aufbewahrungspflichtig, ist nicht korrekt. Wenn sich zwei Geschäftspartner Prospektmaterial zumailen oder andere Daten, Dokumente und Unterlagen austauschen, die nur allgemeinen Informationswert haben, aber nicht der Aufbewahrungspflicht des § 147 AO unterliegen, steht es den beiden Geschäftspartnern frei, wie sie mit diesen Unterlagen umgehen. Es mag sein, dass diese Unterlagen zivilrechtliche Relevanz haben und daher nicht einfach vernichtet werden sollten. Aber aus steuerlicher Sicht ist in der Regel nur eine Untermenge der aus betrieblichen Gründen entstandenen Unterlagen auch aufbewahrungspflichtig. Die folgende Tabelle enthält den Text des 87 T. Brand, et al., Steuersicher archivieren, DOI 10.1007/ 978-3-8349-6461-8_6, © Gabler Verlag | Springer Fachmedien Wiesbaden GmbH 2011
1
2
B. 3
6
6
§ 6 Anwendungsfall: Archivierung PC-Dateien § 147 Abs. 1 AO und korrespondierende Beispiele für PC-Dateien, die aufbewahrungspflichtige Unterlagen darstellen und heute wahrscheinlich in nicht ordnungsgemäßer Form auf dem PC oder einem einfachen File-System aufbewahrt werden. Tabelle 16: Beispiel für steuerrelevante Dateien Text aus § 147 Abs 1. AO
Erläuterung
Beispiel PC-Datei
1. Bücher und Aufzeichnungen,
Dies sind sämtliche Aufzeichnungen, in denen Geschäftsvorfälle erfasst werden. Geschäftsvorfälle sind alle Vorgänge, die das Vermögen des Unternehmens ändern1. Typischerweise sind dies die Grund- Haupt- und Nebenbücher einer Buchhaltung.
Wenn die Reisekostenabrechnung (Nebenbuch zur Buchhaltung) Excel-basiert ist, sind diese Dateien 10 Jahre aufbewahrungspflichtig.
Inventare,
Inventare sind eine Bestandsaufnahme des Vermögens. Sie weisen sämtliche Vermögensgegenstände und Schulden nach.
Die Inventarlisten können in einer einfachen Excel-Datei oder mit einem Inventarprogramm erstellt werden.
(1) Die folgenden Unterlagen sind geordnet aufzubewahren:
6
Bei einer manuell durchgeführten Inventur sind die Aufnahmelisten (zum Beispiel Excel-Tabellen oder PCDatenbank), anhand derer die Inventur erstellt wird, aufzubewahren. Sowohl die Inventarlisten als auch Inventuranweisungen und Arbeitsrichtlinien zur Durchführung der Inventur sind 10 Jahre aufzubewahren.
Jahresabschlüsse, Lageberichte,
1
88
Also typischerweise Bilanz sowie Gewinn- und Verlustrechnung, ergänzt um Lagebericht und notwendige Anhänge bei Kapitalgesellschaften und Genossenschaften. Diese Unterlagen sind mindestens im unterschrieben (Papier-) Original aufzubewahren.
Nicht relevant. Wird typischerweise als unterschriebenes Dokument erstellt und ist als solches im Original aufzubewahren. Kann natürlich ZUSÄTZLICH elektronisch in beliebiger Form aufbewahrt werden.
Siehe auch AWV, Aufbewahrungspflichten und -fristen nach Handels- und Steuerrecht
6
B. Aufbewahrungspflicht setzt Aufzeichnungspflicht voraus Tabelle 16: Beispiel für steuerrelevante Dateien (Fortsetzung) Text aus § 147 Abs 1. AO
Erläuterung
Beispiel PC-Datei
die Eröffnungsbilanz
Im Original aufzubewahren.
Wie Jahresabschlüsse und Lageberichte.
sowie die zu ihrem Verständnis erforderlichen
Dazu gehören alle zum Verständnis der Buchführung notwendigen Unterlagen, inkl. „Erläuterung des Rechenwerks“2.
Hierzu können auf PC erstellte Programmbeschreibungen und Organisationspläne die in einer Textverarbeitung erstellte Verfahrensdokumentation ergänzen. Diese Unterlagen sind 10 Jahre aufzubewahren.
Dazu gehören Aufträge, Auftragsbestätigungen, Lieferscheine, Frachtbriefe, Rechnungen und andere Korrespondenzen, wenn sie die Vorbereitung, Durchführung oder Rückgängigmachung eines (Handels-)Geschäfts zum Gegenstand haben.
Aufträge, Vertragskündigungen, Vorbereitende Konditionenabsprachen etc. können als PC-Datei und per E-Mail versandt werden. Dann sind sie 6 Jahre aufzubewahren.
Arbeitsanweisungen und sonstigen Organisationsunterlagen.
2. Die empfangenen Handelsoder Geschäftsbriefe. 3. Wiedergaben der abgesandten Handels- oder Geschäftsbriefe.
6
Mit „Wiedergabe“ ist nach allgemeiner Auffassung nicht gemeint, dass ab dem Zeitpunkt des Versands eine Kopie des Ausgangsdokumentes aufbewahrt werden muss. Es würde genügen, eine Wiedergabe der Inhalte dann zur Verfügung zu stellen, wenn diese angefordert wird. Diese muss inhaltlich, nicht bildlich identisch sein. 4. Buchungsbelege.
Unterlagen zu den Geschäftsvorfällen. Sie sind die Grundlagen der Aufzeichnungen in der Buchhaltung (den Büchern). Hierzu gehören u. a. Rechnungen, Steuer-, Gebühren- und Beitragsbescheide, Lieferscheine.
2
Wenn diese Unterlagen auf einem PC erstellt oder empfangen werden (was häufig bei ausgehenden Buchungsbelegen der Fall sein kann), dann sind diese Unterlagen 10 Jahre aufzubewahren.
Tipke/Kruse, Kommentar zu AO/FGO, Otto Schmidt Verlag, 2009, zu § 147, Tz. 9
89
6
§ 6 Anwendungsfall: Archivierung PC-Dateien Tabelle 16: Beispiel für steuerrelevante Dateien (Fortsetzung)
6
Text aus § 147 Abs 1. AO
Erläuterung
Beispiel PC-Datei
4a. Unterlagen, die einer mit Mitteln der Datenverarbeitung abgegebenen Zollanmeldung nach Art. 77 Abs. 1 in Verbindung mit Artikel 62 Abs. 2 Zollkodex beizufügen sind, sofern die Zollbehörden nach Artikel 77 Abs. 2 S. 2 Zollkodex auf ihre Vorlage verzichtet oder sie nach erfolgter Vorlage zurückgegeben haben.
Alle für das Zollverfahren erforderlichen Unterlagen (Rechnung, Zollwertanmeldung, Präferenznachweise, Ursprungszeugnisse, Echtheitsbescheinigungen, etc.3) sind der Zollanmeldung beizufügen.
Wenn diese Dokumente als Urkunde ausgestellt wurden, sind die Originale aufzubewahren. Sollten diese Urkunden oder Unterlagen als PCDatei zugehen, dann wäre diese Datei im digitalen Original aufzubewahren. Ein Beispiel wäre eine vom Frachtunternehmen in Excel erstellte Preiszusammenstellung zwecks Verzollung verschiedener Lieferanten.
5. Sonstige Unterlagen, soweit sie für die Besteuerung von Bedeutung sind.
Dies können sein: Handarbeitszeugnisse/Bescheinigungen, außenwirtschaftliche Einfuhrgenehmigung, sonstige Genehmigungen und Dokumente, Beförderungspapier, Liste der Packstücke, Bewilligung bei zulassungsbedürftigem Zollverfahren. Steuerlich bedeutend heißt, dass die Unterlagen Aussagen zu steuerlich relevanten Vorgängen enthalten müssen. Diese Aussagen müssen sich auf steuerrelevante Tatsachen des Stpfl. (nicht Dritter) beziehen, nicht dagegen auf steuerrechtliche Wertungen und Schlussfolgerungen. Nicht aufbewahrungspflichtig wären demnach Strategiepapiere, Gutachten zu steuerlichen Rechtsfragen und dergleichen (TK, Rz. 23)
Alle diese Unterlagen sind im Original 10 Jahre aufzubewahren.
Bewertungsunterlagen, Preisverzeichnisse, Mahnvorgänge, Kosten- und Leistungsrechnungen, Dokumentationen über Konzernverrechnungspreise, Lohnberechnungsunterlagen wie z. B. die Excelgeführte Reisekostenabrechnung. Mit anderen Worten: Alle Arten von Dokumenten und Unterlagen, die die nebenstehende Definition erfüllen, aber nur wenn eine Aufzeichnungspflicht besteht (also die Unterlagen nicht freiwillig ohne Verpflichtung geführt werden). Aufbewahrungsfrist: 6 Jahre
3
90
Tipke/Kruse, Kommentar zu AO/FGO, Otto Schmidt Verlag, 2009, zu § 147, Tz. 21a
6
C. „Maschinell auswertbar“ bedeutet nicht „maschinenlesbar“
C.
„Maschinell auswertbar“ bedeutet nicht „maschinenlesbar“
C.
Eine sehr häufige Diskussion entstand durch die Forderung, GDPdU-relevante Dateien so aufzubewahren, dass sie maschinell ausgewertet werden können (§ 147, Abs. 2 AO). Hierbei war aber nicht die einfache Maschinenlesbarkeit gemeint – dann könnte man ja einfach nur PDFs der Buchungsjournale und anderer Unterlagen aufbewahren, welche Volltext-recherchierbar und somit maschinell auswertbar wären. Was mit diesem Begriff gemeint ist, steht in der FAQ zur GDPdU (Version vom 22.01.2009) auf die Frage 11: „..Was bedeutet maschinelle Auswertbarkeit): Unter dem Begriff „maschinelle Auswertbarkeit“ versteht die Finanzverwaltung den „wahlfreien Zugriff auf alle gespeicherten Daten einschließlich der Stammdaten und Verknüpfungen mit Sortier- und Filterfunktionen unter Berücksichtigung des Grundsatzes der Verhältnismäßigkeit“. Mit dieser Klarstellung ist auch deutlich geworden, was damit NICHT gemeint ist. Ein wahlfreier Zugriff aus einer größeren Menge an Daten auf die Einzelinformation ist nur möglich, wenn sich die Ursprungsdaten bereits in einem derart auswertbaren Format befinden – was bei Datenbeständen aus der Finanzbuchhaltung, Kostenrechnung, etc. bereits der Fall ist – oder man die Datensätze in ein solches Format bringen kann. Das funktioniert bei EDI-Nachrichten, Massendaten aus anderen Quellen, aber nicht bei individuell erstellten Schreiben und derartigen Individualdokumenten. Hat ein Unternehmen eine Excel-Liste oder eine Datenbank mit 10.000 Datensätzen erhalten, die man in nachgelagerten Systemen automatisiert verarbeiten könnte, dann erfüllt diese Excel-Datei die Definition der GDPdU zur maschinellen Auswertbarkeit und muss in dieser Form auch aufbewahrt werden. Die GDPdU liefern auch erste Erläuterungen, welche PC-Dokumente nicht in maschinell auswertbarer Form aufbewahrt werden müssen: Absatz III, Archivierung digitaler Unterlagen, Absatz 1: „Eine Pflicht zur Archivierung einer Unterlage i.S. des § 147 Abs. 1 AO in maschinell auswertbarer Form (§ 147 Abs. 2 Nr. 2 AO) besteht nicht, wenn diese Unterlage zwar DV-gestützt erstellt wurde, sie aber nicht zur Weiterverarbeitung in einem DVgestützten Buchführungssystem geeignet ist (z. B. Textdokumente).“ Handelt es sich also um ein Textdokument oder ein anderes Individualdokument, welches sich aufgrund seiner Struktur nicht zur Weiterverarbeitung in einem nachgelagerten IT-System eignet, muss das Dokument zwar digital, aber nicht in einer – bei Entstehung ja bereits nicht vorhandenen – maschinellen Auswertbarkeitsform aufbewahrt werden. Hier könnte der Anwender entscheiden, ob er das Dokument in PDF konvertiert oder es im digitalen Ursprungsformat belässt. Wichtig ist, dass alle zur Prüfung notwendigen Informationen im Dokument enthalten sind. Die Freiheit allerdings, solche Dokumente auszudrucken und in Papierform aufzubewahren, hat der Anwender nach Meinung der Finanzverwaltung nicht. In den GDPdU-FAQ des BMF vom 22.01.2009 findet sich hierzu unter Abschnitt III.4: „Die unter Zuhilfenahme von Textverarbeitungs- und Tabellenkalkulationsprogrammen erstellten Ausgangsrechnungen sind in digitaler Form aufzubewahren.“ Eine kontroverse Diskussion findet seit Erscheinen der GDPdU vor nunmehr fast 10 Jahren zu Dokumenten statt, die sowohl Individualcharakter haben (also eigentlich nicht maschinell auswertbar im Sinne des wahlfreien, automatisierten Zugriffs auf die Einzelinformation sind), gleichzeitig aber nach Ansicht der Finanzverwaltung prüfrelevante Inhalte haben, die bei Konvertierung in andere Formate verloren gehen würden. Oft zitiertes Beispiel sind in Excel geführte Reisekostenabrechnungen. Viele Anwender nutzen ihre Tabellenkalkulation in sehr individueller Art und Weise: Manche 91
4
5
6 7
8
9
6
6
10
6 11
12
13
§ 6 Anwendungsfall: Archivierung PC-Dateien sind eigentlich nur textliche Dokumente mit Formeln an einigen Zellen und daher kaum zur „Weiterverarbeitung“ in nachgelagerten IT-Systemen geeignet. Und auch die GDPdU-FAQ vom 22.01.2009 beziehen sich eher auf Massendaten als auf solche Individualdokumente (ebenfalls III. 4.): „Weiter muss differenziert werden: Eignen sich die Ausgangsrechnungen zur Weiterverarbeitung in einem DV-gestützten Buchführungssystem, sind sie nach dem Wortlaut der GDPdU auch in maschinell auswertbarer Form vorzuhalten. Denkbare Beispiele: Auflistungen einer Vielzahl von Einzelpositionen und Einzelbeträgen innerhalb einer Tabelle.“ Aber gerade für die häufigen Tabellenkalkulations-Dokumente findet sich ein Absatz weiter die strengere Anforderung zur Aufbewahrung in der maschinell auswertbaren Form (FAQ vom 22.01.2009, Abschnitt III.4): „Die Aufbewahrungspflichten gelten für alle Datenbestände, die für eine maschinelle Weiterverarbeitung geeignet sind. Deshalb sind z. B. die in einer Tabellenkalkulation durchgeführten Berechnungen zur Bildung einer Rückstellung in maschinell auswertbarer Form aufzubewahren, auch wenn nur das Berechnungsergebnis in die Buchführung eingeflossen ist. Grundsätzlich sind Dateien aus Tabellenkalkulationsprogrammen zur maschinellen Weiterverarbeitung geeignet.“ Mit dieser Definition wird die Aufbewahrungsform nicht nur an die maschinelle Auswertbarkeit geknüpft, da ein solches individuell gestaltetes Excel-Berechnungsblatt sich ganz offensichtlich nicht mit einer Liste bestehend aus Tausenden Positionen vergleichen lässt. Diese Liste wäre einfach in einem System importierbar und daher „zur Weiterverarbeitung geeignet“. Die Individualberechnung der Rückstellungen ist für eine derartige Nachverarbeitung nicht geeignet („Eintippen der Daten“ ist damit nicht gemeint), muss aber trotzdem im Originalformat oder einem anderen auswertbaren Format aufbewahrt werden. Recht schnell stößt man hier an die Grenzen solcher Präventiv-Beispiele. Diese können nicht die Vielfalt und Komplexität der heutigen Anwendungslandschaft abdecken. Die FAQ des BMF dienen mehr zur Verdeutlichung des Sinnes der Regelung und erheben nicht den Anspruch auf einfache Anwendbarkeit bei allen eventuell auftretenden Auslegungsfragen. Der Anwender sollte daher verstehen, um was es beim Datenzugriff gemäß der GDPdU geht und dann selbst qualifizieren, ob seine PC-Dateien diese Definition erfüllen, wenn er sie im Originalformat oder im konvertierten Format aufbewahrt. Letzten Endes geht es darum, ob nicht nur die sichtbaren Informationen, sondern auch die nicht visuellen Informationen (z. B. Formeln) prüfrelevant sind. Ein Reisekosten-Spreadsheet, welches die Länder- und Zeit-abhängige Höhe der Verpflegungspauschalen berechnet, wäre bereits im Originalformat aufzubewahren. Würde der Anwender das Excel-Sheet in PDF konvertieren, müsste der Prüfer jeden zu prüfenden Einzelbetrag durch manuelle Prüfung verifizieren, ein ziemlich mühsames Unterfangen, welches dem Sinn des § 147 AO und der GDPdU widerspricht. Es wäre einfacher, der Prüfer verschafft sich bei Bedarf einmal einen Überblick über die Richtigkeit der Logik im Spreadsheet und macht dann nur noch Stichproben, um festzustellen, ob diese Logik in den einzelnen Reisekostenabrechnungen auch beibehalten wurde. Aber was ist mit einer einfachen Berechnung wie: Nettobetrag * 1,194 = Bruttobetrag. Muss ein solches Rechnungsspreadsheet auch im Original aufbewahrt werden? Man könnte argumentieren, dass man ein derartiges Dokument ja auch nicht in maschinell auswertbarer Form aufbewahren müsste, wenn man es in Word erstellt, nur ohne MwSt-Berechnungsformel. Aber auch bei diesem Beispiel mit Primitivformel könnte man argumentieren, dass es besser wäre, das Originalformat aufzubewahren, weil es sein kann, dass ein Prüfer sich von der korrekten Logik der Tabellenkalkulation überzeugen möchte. Die grundsätzliche Frage, die sich der Anwender stellen muss, lautet daher: Kann es sein, dass ein Prüfer zukünftig die Originaldatei sehen möchte (und darf), weil beim Konvertieren in TIFF oder PDF prüfrelevante Informationen verloren gehen? Wenn der gesunde Menschenverstand dies beja4
92
Aktueller Mehrwertsteuersatz zum Zeitpunkt der Drucklegung.
D.
6
Inhaltliche oder bildliche Übereinstimmung
hen würde, spricht vieles für die Aufbewahrung im Originalformat. Diese Selbstqualifizierung zur Bestimmung aufbewahrungspflichtiger Unterlagen haben Anwender auch in der Vergangenheit vorgenommen, daran hat die neue Abgabenordnung und die GDPdU grundsätzlich nichts geändert. Ein Prospekt mit nur werblichen Inhalten wurde vernichtet. Das Preisblatt zum Prospekt, aus dem vielleicht die marktüblichen Bezugspreise für Waren hervorgehen, wurde dagegen möglicherweise mit der Rechnung aufbewahrt.
D.
Inhaltliche oder bildliche Übereinstimmung
D.
Der Gesetzgeber unterscheidet im § 147 AO zwischen bildlicher und inhaltlicher Übereinstimmung. Demnach ist die elektronische Aufbewahrung zulässig, wenn … ... sichergestellt ist, dass die Wiedergabe oder die Daten (…) mit den empfangenen Handels- oder Geschäftsbriefen und den Buchungsbelegen bildlich und mit den anderen Unterlagen inhaltlich übereinstimmen, wenn sie lesbar gemacht werden, (§ 147 Absatz 2 AO) Für die meisten PC-Dateien dürfte daher die Forderung zur inhaltlichen Übereinstimmung gelten. Die bildliche Übereinstimmung bezog sich früher hauptsächlich auf eingehende Papierdokumente, weil man nur bei solchen Originalen überhaupt eine bildliche Übereinstimmung herstellen konnte. Bei elektronischen Dokumenten ist die Sicherstellung der bildlichen Übereinstimmung dagegen häufig gar nicht möglich. Das klassische Beispiel hierfür ist eine E-Mail. Eine E-Mail hat im Original keine fixierte bildliche Ausprägung. Eine E-Mail ist eine Nachricht, die in Abhängigkeit vom verwendeten E-Mail-Client (MS Outlook, Lotus Notes, Blackberry etc.) bildlich sehr unterschiedlich aussieht. Das „Original“ wäre bestenfalls der Datensatz im sendenden E-Mail-System, aber diese Nachricht wird durch die Weiterleitung in den weltweiten Infrastrukturen um weitere Kuvert-Informationen angereichert – und diese Transport-Informationen sind im Zweifel ebenfalls aufzubewahren (Empfangsdatum etc.). Was bei E-Mails offensichtlich ist, gilt aber auch für einfache Dokumente wie Textverarbeitung. Wird ein elektronisches Textdokument empfangen, kann man ebenfalls nicht sicher sein, wie das bildliche Original beim Absender aussah. Die typischen Textverarbeitungssysteme erzeugen beispielsweise den Seitenumbruch in Abhängigkeit vom eingerichteten Druckertreiber. Da jeder Drucker einen anderen bedruckbaren Bereich hat, kann es vorkommen, dass ein Dokument beim Absender 99 Seiten, beim Empfänger (der einen anderen Drucker mit einem kleineren bedruckbaren Bereich eingerichtet hat) aber 100 oder mehr Seiten hat, weil sich Seitenumbrüche verschoben haben. Außerdem ist nicht sichergestellt, dass Schrift- und Sonderzeichen des Absenders beim Empfänger ebenfalls vorhanden sind, was dazu führt, dass die Textverarbeitung mit einem Ersatzfont das gesamte Dokument neu umbricht und dadurch auch Zeilen- und nicht nur Seitenbrüche verschoben werden. Diese Probleme können natürlich auch beim Empfänger erst im Zeitverlauf auftreten, wenn er neue Drucker beschafft oder bestimmte Fonts nicht mehr auf den PCs verfügbar hat. Die inhaltlich identische Wiedergabe erfordert, dass die aufbewahrungspflichtigen Inhalte, nicht aber ihre visuelle Gestaltung, reproduziert werden können. In der Praxis bedeutet dies: Formatierungsinformationen wie Layout, Zeichensätze, Schriftfarbe müssen nicht reproduziert werden. Die Abweichung zwischen dem ursprünglichen Dokument (z. B.: Ausgangsrechnung an Kunde) und der Anzeige bei Reproduktion darf aber nicht so weit gehen, dass dem „sachverständigen Dritten“ ein Überblick über den Sachverhalt nicht mehr in angemessener Zeit möglich ist. Es
93
14
6 15
16
17
6
§ 6 Anwendungsfall: Archivierung PC-Dateien
6
18
E. 19
20
darf z. B. bei einer lesbaren tabellarischen Aufstellung in einer Rechnung keine Zeichenwüste (nur Zeichen ohne visuelle Struktur) reproduziert werden, die es dem „sachverständigen Dritten“ unmöglich macht, den Sachverhalt zu verstehen. Hintergrundbilder und andere grafische Gestaltungselemente bei intern erstellten Dokumenten (z. B. Ausgangsrechnungen) müssen ebenfalls nicht aufbewahrt oder bei der Reproduktion dargestellt werden. Firmenlogos sind ebenfalls häufig nur Dekoration und können dann ignoriert werden, wenn bei der Reproduktion sichergestellt ist, dass der Handel- oder Geschäftsbrief der zum Zeitpunkt des Versands verantwortlichen natürlichen oder juristischen Person sicher zugeordnet werden kann. Mit anderen Worten: Wenn das damals verwendete Rechnungspapier mit dem damaligen Logo in den damaligen Firmenfarben nicht mehr verfügbar sein sollte, genügt auch ein Ausdruck der Inhalte auf weißem Papier, solange die korrekte Zuordnung zum Steuerpflichtigen gewährleistet ist und keine steuerrelevanten Informationen verloren gehen. Die Wiedergabe muss wortgetreu sein, eine Zusammenfassung des wesentlichen Inhalts wäre nicht zulässig (Tipke/Kruse5). Wenn im Original der ausgehenden Handels- und Geschäftsbriefe Allgemeine Geschäftsbedingungen oder andere relevante Texte (es geht nicht um Werbung) mitgeliefert werden, sind diese ebenfalls zu dokumentieren. Es genügt hier ein Verweis und sie müssen jederzeit verfügbar sein. Wenn aber zunehmend eingehende Handelsbriefe als Bilddatei oder in einer anderen fixierten Visualisierung eingehen, wie z. B. TIFF, PDF oder JPEG, wären diese Dokumente bildlich übereinstimmend aufzubewahren.
E.
Formate der Langzeitarchivierung
Da PC-Dateien ganz offensichtlich „mit Hilfe eines Datenverarbeitungssystems“ erstellt wurden, gilt die Forderung des § 147 Abs. 6 AO zur digitalen Aufbewahrung. Bei der Wahl des Aufbewahrungsformates ist der Anwender nicht ganz frei. Zuerst muss geprüft werden, ob die Datei im Originalformat aufbewahrt werden muss (siehe oben „Maschinell auswertbar ist nicht „maschinenlesbar“). Grundsätzlich – ohne Berücksichtigung der Anforderungen der GDPdU – hat der Anwender immer zwei grundsätzliche Möglichkeiten: Aufbewahrung im nativen Format des Erstellungswerkzeugs Aufbewahrung nach Wandlung in ein anderes Format wie PDF oder TIFF Die folgende Tabelle gibt einen Überblick über Vor- und Nachteile der typischen Handlungsoptionen für Anwender:
5
94
Tipke/Kruse: Kommentar zur AO, zu § 147, Randziffer 38
6
E. Formate der Langzeitarchivierung Tabelle 17: Vor- und Nachteile von Dateiformaten Merkmale
TIFF/G3 oder G4
PDF, PDF/A
Hersteller-Formate (z. B. MS Office)
Zukunftssicherheit
+
Hoch
+
Hoch (höher bei PDF/A als bei beliebig gewähltem PDF)
Ø
Hoch bei Einfachformaten (ASCII) und weit verbreiteten Formaten (z. B. MS Word). Riskant bei anderen.
Finale Visualisierung
+
Hoch
+
Hoch
-
Abhängig von zukünftiger IT-Umgebung und SWVersion
Redaktionelle Bearbeitung
-
Nicht möglich
-
Nicht möglich (fehlerhafte Wandlung bei komplexen Layouts)
-
Sehr gut (Speichern unter…, Versionierung etc.)
Verfügbarkeit als Rendition-Format in Hintergrundsystemen
Ø
Abnehmende Bedeutung
+
Umfangreiches Angebot an PDF-Konvertern/RenditionServern
-
Nicht sinnvoll
Kann farbige Texte enthalten
-
G3/G4 nur bitonal. TIFF mit JPEG möglich, ist aber nur TextBitmap
+
Ja
+
Ja
Kann farbige Grafiken enthalten
-
G3/G4 nur bitonal. TIFF mit JPEG möglich
+
Ja (positiv: Komprimierung von embedded Bitmaps)
+
Ja
Anwendungslogik (Formeln etc.) bleibt erhalten
-
Nein
-
Nein
+
Ja
6
Anmerkungen zu „Zukunftssicherheit“: Je einfacher ein Format strukturiert und je größer dessen Verbreitung, desto geringer ist das Risiko, dieses Dokument in Zukunft nicht mehr reproduzieren zu können. Auch bei sehr komplexen Strukturen (wie z. B. den MS Office-Formaten) ist durch die extrem weite Verbreitung sichergestellt, dass Anwender diese Dokumente auch in Zukunft reproduzieren können werden. Selbst wenn die alten Formate vom Hersteller nicht mehr gepflegt werden, wird es einen Markt für Format-Konverter geben (den es heute schon gibt), die es erlauben, die alten Formate zu visualisieren. 95
21
6 22
23
6
24
25
26 27
§ 6 Anwendungsfall: Archivierung PC-Dateien Anmerkungen zu „Finale Visualisierung“: Hiermit ist die Fähigkeit gemeint, dass ein Dokument zum Zeitpunkt der Erstellung die gleiche Visualisierung aufweist wie zu einem heute ungewissen Zeitpunkt in der Zukunft. Bei MS Word und ähnlichen Systemen ist die identische Visualisierung nicht sichergestellt, weil heute nicht bekannt ist, ob der Anwender in Zukunft die verwendeten Schriftarten verwendet, Text genauso um eine Grafik fließt wie beim heutigen Word, Kopf- und Fußzeilen ebenso formatiert werden wie in der Erstellungsversion usw. Bei TIFF und PDF muss sich der Anwender um diese Themen in der Regel keine Gedanken machen. Ausnahme: Nicht-lateinische Schriftarten würden in Zukunft nicht dargestellt oder durch sinnlose Ersatz-Schriftarten repräsentiert, wenn auf dem zukünftigen Reproduktions-PC diese speziellen Schriftarten fehlten. Abhilfe würde hier bei PDF das sogenannte Font-Embedding (Einbetten von Schriftarten) schaffen, das bei PDF/A aus diesem Grund Vorschrift ist. Anmerkungen zu „Redaktionelle Bearbeitung“: Viele intern erstellte Dokumente werden nach ihrer ersten Erstellung für neue Versionen des gleichen Dokumentes oder ähnliche Dokumente redaktionell bearbeitet. Die bekannteste Anforderung kennen die Anwender als „Speichern unter ...“. Wird ein aufwendig gestaltetes Textdokument nur als TIFF oder PDF abgelegt, geht damit auch diese Weiterberarbeitungsmöglichkeit verloren. Daher speichern manche Anwender sowohl eine Ausprägung (Engl.: Rendition) als PDF und eine Originalversion. Anmerkungen zu „Verfügbarkeit als Rendition-Format in Hintergrundsystemen“: Viele ERPund andere Anwendungen erzeugen intern Dokumente, die in ein nicht-proprietäres Format konvertiert werden. Diese sogenannten Rendition-Services erzeugen zunehmend ein Standard-PDF und nicht mehr das früher verwendete bitonale TIFF. Anmerkungen zu „kann farbige Texte enthalten“: Die klassischen TIFF-Konverter haben aus intern erstellten Unterlagen schwarz-weiße (bitonale) TIFF-Dokumente erzeugt. Prinzipiell erlaubt TIFF auch die Ablage farbiger Bitmaps, aber für farbige Dokumente ist das klassische TIFF-Format viel zu speicherintensiv. Müssen intern erstellte farbige Dokumente konvertiert werden, ist PDF (oder seine Archivvariante PDF/A) die beste Wahl. Wenn Farbe nur Dekozwecken dient, muss natürlich auch keine Farbe im Archivdokument erzeugt werden und TIFF wäre eine Handlungsoption. Aber der Trend geht generell in Richtung PDF, weg von TIFF. Ein Anwender, der aus anderen Gründen bereits PDF als Primärformat für seine Archivdokumente gewählt hat, wird sich daher nicht ohne Not für ein weiteres Format ohne Zusatznutzen entscheiden. Anmerkungen zu „kann farbige Grafiken“: TIFF als Containerformat für farbige JPEG-Seiten ist eine mögliche Handlungsoption, wird aber von PDF zunehmend verdrängt. Anmerkungen zu „Anwendungslogik bleibt erhalten“: Sowohl TIFF als auch PDF sind im Wesentlichen 2-D-Druckformate. TIFF und PDF sind nicht geeignet zur Aufbewahrung von Excel-Berechnungen, MS Projekt-Dateien und anderen Dateien, deren Inhalt sich durch die Anwendungslogik und die internen Strukturen der Datei ergibt. Wenn solche Unterlagen – wie z. B. die oben erwähnte Reisekostenabrechnung mit Berechnung der Verpflegungspauschalen – aufzubewahren sind, dann bleibt dem Anwender meistens nichts anderes übrig, als die Unterlagen in den proprietären Formaten der Hersteller aufzubewahren und die Reproduktionsfähigkeit über die Dauer der Aufbewahrungsfrist sicherzustellen.
96
6
E. Formate der Langzeitarchivierung
I.
Anmerkungen zu PDF und PDF/A
Wie bereits in § 4 G. dargestellt, sind PDF bzw. PDF/A die derzeit am Markt dominierenden Formate zur dauerhaften Aufbewahrung, weil sie sich nicht nur für eingehende Scan-Dokumente, sondern auch für intern erstellte Dokumente eignen. In der Öffentlichkeit wird häufig die ISO-Standardisierung von PDF/A (ISO 19005-1) als herausragendes Merkmal der PDF/A-Spezifikation dargestellt. Hierbei bleibt allzu häufig unerwähnt, dass auch das „normale“ PDF mittlerweile als ISO-Standard verabschiedet wurde (ISO 32000) und auf Basis dieser PDF-Spezifikation derzeit eine neue PDF Version 2.0 erarbeitet wird. Für den Anwender stellt sich daher in der Praxis häufig die Frage, welchen PDF-Standard er von seinem Anbieter fordern soll: ISO 32000 mit all den Multimedia-Fähigkeiten oder ISO 19005-1 mit der abgemagerten Teilspezifikation, die aber für archivische Zwecke besser geeignet scheint. Daher stellt die folgende Tabelle einige Merkmale der beiden PDF-Varianten aus Anwendersicht dar. Tabelle 18: Vergleich PDF – PDF/A Merkmale
Font-Einbettung
PDF 1.7
PDF/A
ISO 32000
ISO 19005-1
Freiwillig
Pflicht
Anmerkungen
Vorteil: Keine Reproduktionsprobleme bei fehlenden Sonderzeichen in Zukunft Nachteil: Datei wird größer
Verschlüsselung
Zulässig
Nicht zulässig. Verschlüsselte Dateien müssen daher in einem System mit Zugangsschutz (zum Beispiel das elektronische Archivsystem) abgelegt werden.
Kann Texte, Bitmaps, Vektoren enthalten
Ja
Ja
Kann Audio enthalten
Ja
Nein
Kann Video enthalten
Ja
Nein
Vorteil: Schutz bereits bei einfacher Datei-Ablage. Nachteil: Komplexes Schlüsselmanagement, vor allem bei langen Aufbewahrungsfristen.
97
28
29
6
6
§ 6 Anwendungsfall: Archivierung PC-Dateien Tabelle 18: Vergleich PDF – PDF/A (Fortsetzung) Merkmale
6
30
PDF 1.7
PDF/A
Anmerkungen
ISO 32000
ISO 19005-1
Rückwärtskompatibilität
In der Regel ja (Ausnahme: frühe Versionen)
Ja
Frühe PDF-Versionen nicht immer lesbar. PDF/A-Validatoren bieten z.T. Schutz vor Verwendung „schlechter“ PDFErstellungs-Software.
Kann Javascript enthalten
Ja
Nein
Dient manchmal zur Navigation innerhalb einer PDF-Anwendung und zum Ansteuern externer Quellen.
Kann andere Dateien einbetten
Ja
Nein
Anwendungsbeispiel E-Mail-Archivierung: E-Mail-Body wird PDF, Attachments werden in PDF eingebettet.
Ist unveränderbar
Nein
Nein
PDF/A ist ebenso einfach zu manipulieren wie ein normales PDF (ebenso wie TIFF). Der Anwender muss in beiden Fällen mit anderen Mitteln sicherstellen, dass die PDF-Dokumente gegen unzulässige Veränderungen geschützt sind, z. B. durch Verwendung eines elektronischen Archivsystems.
Die Finanzverwaltung macht keine Vorgaben zu diesen beiden Varianten. Wichtig für den Anwender ist daher, ob die Reproduktionsanforderungen erfüllbar sind.
98
6
G. Aufbewahrungspflicht ist Reproduktionspflicht
F.
Selbstqualifizierungspflicht des Anwenders
Es ist dem Anwender überlassen zu entscheiden, ob im Kontext seiner individuellen betrieblichen Prozesse bestimmte Informationen der steuerlichen Aufbewahrungspflicht unterliegen oder nicht. Was es dem Anwender schwerer macht, ist die Tatsache, dass auf einmal auch technische Kriterien wie maschinelle Auswertbarkeit, Sicherstellung der Reproduktionsfähigkeit bei Verwendung proprietärer Formate, die unterschiedlichen technischen Möglichkeiten zur Herstellung der Unveränderbarkeit etc. hinzukommen. Dieser Lernprozess, der mit den Diskussionen um die GPDdU eingesetzt hat (und der noch nicht abgeschlossen ist), wird aufgrund der sich schnell ändernden Rahmenbedingungen in der IT anhalten. Bereits heute sind Diskussionen im Gange, wie man mit SMS-Messages oder Willenserklärungen, die man in Social Networks im Web 2.0 abgegeben hat, umgehen soll. Daher wird es in Fragestellungen, zu denen es noch keine klaren Antworten gibt, immer die Notwendigkeit geben, den Sinn der Aufbewahrungspflichten zu hinterfragen und zu prüfen, mit welchen Werkzeugen und Verfahren man nach bestem Wissen und Gewissen diesen Anforderungen nachkommen kann. Für die Dateien des täglichen Umgangs mit dem PC sind diese Fragen nicht mehr strittig: Es gibt anerkannte Regeln der Praxis (Best Practices), deren Anwendbarkeit sich auch danach richten, ob sie dem Anwender zumutbar sind. Wenn ein kleines Drei-Mann-Unternehmen auf den Einsatz eines elektronischen Archivs verzichtet und die steuerlich relevanten Dateien auf der Festplatte seines normalen PCs aufbewahrt, dürfte er auf deutlich weniger Widerstand bei seinem Betriebsprüfer gegen diese Art der Aufbewahrung stoßen als das 10.000-Mitarbeiter-Unternehmen, das bereits elektronische Archivierung einsetzt, aber in einigen Bereichen zu Lasten der Ordnungsmäßigkeit darauf verzichtet.
G.
Aufbewahrungspflicht ist Reproduktionspflicht
31
32
6
G.
Was häufig übersehen wird: Die Aufbewahrungspflicht ist bei näherem Hinsehen eine Reproduktionsverpflichtung über die Dauer der Aufbewahrungsfrist. Es genügt nicht, Dokumente einfach irgendwie unveränderbar abzulegen. Man muss die Inhalte in angemessener Frist auch wieder reproduzieren können. Und dazu bedarf es einer für die Mitarbeiter nutzbaren Ordnung, die es erlaubt, Dokumente und Dateien sicher wiederzufinden. D. h., die Mitarbeiter sollen Unterlagen da vermuten dürfen, wo sie von den Kollegen auch abgelegt wurden (ein eher seltener Glücksfall bei dem Chaos der heutigen Dateisysteme). Es darf nicht vorkommen, dass zu einem Geschäftsfall mehrere Dokumente gefunden werden, man also nicht eindeutig feststellen kann, welches denn nun die finale Angebotsversion, der letztlich gültige Vertragsstand oder die korrekte Rechnung ist. Auch hier bleibt es dem Anwender überlassen, diejenigen Mittel zu wählen, die seiner Meinung nach dieses Ordnungsziel (und damit die ordnungsmäßige Aufbewahrung) erreichen.
99
33
7
§ 7 Anwendungsfall: Archivierung EDI und andere Nachrichtendateien A. 1
7 2
3
4
5
Beschreibung des Anwendungsfalls
Zunehmend entstehen aufbewahrungspflichtige Unterlagen als Datensätze oder Nachrichten, die zwischen zwei IT-Systemen ausgetauscht werden. Diese „Belege“ sind von einem Menschen nicht mehr ohne Weiteres lesbar, weil ihre Struktur daraufhin entwickelt wurde, dass das Zielsystem eine Maschine und kein Mensch sein wird. Solche Nachrichten sind nach einer Syntax aufgebaut, die vom Quell- und Zielsystem verstanden werden muss. Ist dieses Verständnis vorhanden, kann eine vollautomatische Verarbeitung stattfinden. Gerade bei Massengeschäften haben sich solche Verfahren daher seit Jahren verbreitet, weil sie die manuelle Datenerfassung und damit nicht nur den manuellen Aufwand, sondern auch menschliche Erfassungsfehler vermeiden. Außerdem funktionieren solche Verfahren jederzeit (keine Abhängigkeit von Zeitzonen und Wochenende) und können somit die Verarbeitungsprozesse zeitnah abwickeln. Ohne derartige Verfahren wären Handelsorganisationen, Banken, E-Commerce-Anbieter und viele andere Organisationen heutzutage nicht betriebsfähig. Solche Verfahren, die dem elektronischen Datenaustausch zwischen unterschiedlichen Systemen dienen, werden daher auch allgemein als EDI-Verfahren (Electronic Data Interchange) bezeichnet. Um die Formate zu vereinheitlichen, wurden bereits in den 80er Jahren Standards durch die Vereinten Nationen die UN EDIFACT-Standards (United Nations Electronic Data Interchange For Administration, Commerce and Transport ) geschaffen, die wiederum die Basis bildeten für zahlreiche Branchenstandards wie EANCOM für die Konsumgüterindustrie, ODETTE in der Automobilindustrie und viele andere mehr. So gibt es einen EDIFACT-Standard für Rechnungen – EDIFACT-Meldungstyp INVOIC – für den es wiederum ca. 160 Varianten gibt: Eine Warenrechnung hat den Code „1001“ und die Kennzeichnung „380“, eine Gutschriftsanzeige hat ebenfalls den Code „1001“, aber die Kennzeichnung „381“. Um z. B. allen internationalen und branchenspezifischen Anforderungen gerecht zu werden, umfasst der Nachrichtentyp INVOIC insgesamt über 1.000 Datenelemente. Daher wurden sogenannte Subsets vereinbart, welche branchenspezifische Anforderungen an eine Rechnung abdecken. Beim DIN sind mittlerweile ca. 30 solcher Subsets für EDIFACT-Rechnungen registriert. EDIFACT wird auch von der Finanzverwaltung selbst genutzt, so z. B. für die Zollerklärungen im Rahmen des ATLAS-Verfahrens, welche die papierbehafteten Zollverfahren ablöste. Gemäß BMFSchreiben vom 03.05.2010 – IV D 3 – S 7134/07/10003 – sind solche mit der Zollverwaltung ausgetauschten EDIFACT-Nachrichten vom Unternehmen zu archivieren. Mit dieser Standardisierung der zugrundeliegenden Syntax und der Standardisierung der Belegausprägung für unterschiedliche Branchen wird die Verbreitung papierloser Prozesse gefördert, bei gleichzeitiger Reduktion der Aufwendung zur Einrichtung der Verfahren und einer höheren technischen Stabilität aufgrund der weiten Verbreitung der zugrundeliegenden Technologien und Verfahren. Es ist aber auch nicht unüblich, dass Syntax, Strukturmerkmale und Verfahrensdefinitionen für den Datenaustausch nur zwischen einem Kunden und seinen Lieferanten oder einem Zentralinstitut (Branchenverband, Clearingstelle, etc.) und seinen Mitgliedern ausgehandelt wird, weil es für diese Art der Kommunikation keinen EDIFACT-Branchenstandard gibt oder ein ggf. vorhandener Nachrichten-Standard nicht zweckmäßig erscheint, sodass gar keine oder nur eine Teilmenge 100
T. Brand, et al.,Steuersicher archivieren, DOI 10.1007/ 978-3-8349-6461-8_7, © Gabler Verlag | Springer Fachmedien Wiesbaden GmbH 2011
B.
7
Regelungen für EDI-Belege in der GDPdU
der EDIFACT-Standards zum Einsatz kommen. Ein sehr weit verbreitetes Beispiel hierfür sind die SWIFT-Messages (Society for Worldwide Interbank Financial Telecommunication), die von Banken weltweit für die Abwicklung von Banktransaktionen genutzt werden. Solche EDI-Nachrichten sind häufig aufbewahrungspflichtig. Ganz offensichtlich ist dies bei EDIFACT-Nachrichten wie INVOIC (Rechnungen), ORDERS (Auftrag, Bestellung) oder CUSDEC (Zollerklärung). Daher gilt, wie übrigens auch schon bei den früheren Verfahren zum Datenträgeraustausch, dass die anfallenden Daten Belegcharakter haben und daher zusammen mit den Prüfprotokollen zur Sicherstellung der Integrität aufbewahrt werden müssen. Die Pflicht zur Aufbewahrung gilt sowohl für abgesandte als auch empfangene EDI-Daten. Und wie bei anderen zu archivierenden Dokumenten und Unterlagen auch hat der Außenprüfer ein Recht zur Einsicht in eine Verfahrensdokumentation, welche ihm die im EDI-Verfahren verwendeten Abläufe und Komponenten, Verfahren und Programme erläutert.
6
! Praxishinweis: Durch die besondere Art von EDI-Nachrichten sind für die elektronische Archivierung aber – im Unterschied zu gescannten Dokumenten oder intern erstellen PC-Dateien – folgende Aspekte zu berücksichtigen: Wie kann ein Prüfer solche Belege prüfen? Was muss aufbewahrt werden, wenn zwischen sendendem und empfangendem System noch Konverter zwischengeschaltet sind? Ein Beleg (eine EDI-Nachricht) ist häufig nur Teil einer größeren Datei. Beim gescannten Dokument und bei der PC-Datei ist der Bezug zwischen Dokument und dem Geschäftsvorfall klar. Aber wie stellt man einen Bezug her zwischen einem Geschäftsvorfall (Rechnungseingang XY123) und dem spezifischen Teil einer größeren EDI-Datei, die insgesamt 5.000 Rechnungen umfasst?
B.
Regelungen für EDI-Belege in der GDPdU
7
B.
EDI-Belege wie z. B. Rechnungen erfüllen unzweifelhaft die Definition der GDPdU als digital erstellte bzw. zugegangene aufbewahrungspflichtige Unterlagen, die für die Dauer der Aufbewahrungsfrist in maschinell auswertbarer Form zur Verfügung gestellt werden müssen. Im Falle von EDI-Dateien ergibt sich somit die Notwendigkeit, die Original-EDI-Nachrichten aufzubewahren. Sehr häufig werden aber noch Konvertierungen nach Eingang der EDI-Nachrichten vorgenommen, um Dateien zu splitten, Formate an die Erfordernisse der eigenen Systeme anzupassen, Fehler nach Plausibilitätsprüfungen zu korrigieren etc. Erst diese konvertierten Formate werden dann an die nachgelagerten Systeme zur Verarbeitung übergeben. Hier fordert die Finanzverwaltung in der GDPdU, dass bei Konvertierung in ein derartiges „Inhouse-Format“ beide Versionen zu archivieren sind. Die konvertierte Version ist als solche zu kennzeichnen und beide Versionen sollen bei Prüfung des Geschäftsvorgangs verfügbar sein. Diese Anforderung gilt sowohl für elektronische Abrechnungen im Sinne des § 14 Abs. 4 UStG als auch für sonstige aufbewahrungspflichtige Unterlagen nach § 147 Abs. 1 AO. Zusammen mit den EDI-Nachrichten sind die chronologischen Fehlerprotokolle sowie die in der Praxis vorkommenden Abstimmprotokolle für die Dauer der steuerrechtlichen Aufbewahrungsfristen zu archivieren.
101
7
8
7
§ 7 Anwendungsfall: Archivierung EDI und andere Nachrichtendateien C. 9
7
10
C.
Inhaltliche und bildliche Übereinstimmung
In manchen Veröffentlichungen findet man die Interpretation, dass eingehende EDI-Nachrichten bildlich identisch aufzubewahren bzw. zu reproduzieren sind. Hintergrund ist die Bestimmung in § 147 Abs. 2, dass die Wiedergabe empfangener und elektronisch aufbewahrter Handelsbriefe oder Buchungsbelege bildlich übereinstimmend sein muss. Faktisch kann diese Anforderung vom EDIAnwender bei textgetreuer Auslegung nicht umgesetzt werden. Bei EDI-Belegen handelt es sich nicht um bildhafte Informationen, sondern um strukturierte Nachrichten, die ursprünglich nur für den Austausch zwischen zwei EDV-Systemen entwickelt wurden. Sie haben daher weder bei ihrem Entstehen im Quellsystem noch beim frühestmöglichen Eingang beim Betreiber des Zielsystems eine bildhafte Darstellung. Eine bildhafte Wiedergabe einer EDI-Nachricht wäre nur möglich, wenn man diese Nachricht in einem Viewer visualisiert, sodass der Datensatz nun auch von einem Menschen in angemessener Zeit verstanden werden kann. Aber ist die Darstellung „übereinstimmend“? Natürlich nicht, weil ein „bildliches Original“, mit dem die Wiedergabe übereinstimmen könnte, fehlt. Der Sinn der Bestimmung, nämlich eine unveränderte Wiedergabe der gegen unzulässige Änderungen geschützten Informationen, ist dagegen einfach umsetzbar, sodass hier die Sicherstellung der inhaltlichen Identität ausreichend erscheint. Diese Problematik ist nicht EDI-spezifisch, sondern galt auch schon für die früher angewandten Verfahren des Datenträgeraustauschs, wobei ebenfalls strukturierte Daten auf Datenträgern wie Magnetbändern oder Disketten ausgetauscht wurden. Auch hier war eine bildliche Identität zu keinem Zeitpunkt herstellbar, weil die Datensätze – genau wie bei EDI – keine bildhafte Ausprägung bei Entstehung oder Eingang besaßen. Im Folgenden ein Beispiel für eine EDI-Message ohne Formatierung (Originalformat) und formatiert in einem Viewer, der die EDIFACT-Syntax für den Belegtyp INVOIC interpretieren kann und nur so überhaupt eine sinnvolle Prüfung durch einen Menschen ermöglicht. EDI-INVOIC Beleg
Augenlesbar formatiert in EDI-Viewer
Quelle für Daten und Viewing-Anwendung: www.edidev.com Abbildung 5: EDI-Beleg und Formatierung im EDI-Viewer
102
7
D. Visualisierung vor oder nach der Archivierung
D.
Visualisierung vor oder nach der Archivierung
D.
Aus dem obigen Beispiel wird klar, dass die reinen EDI-Daten für eine Prüfung durch einen Menschen kaum geeignet sind. Man geht zwar bei der Prüfung immer vom sogenannten „sachverständigen Dritten“ aus, damit ist aber nicht gemeint, dass jemand die EDIFACT-Belegtypen und ihre Datenelemente auswendig kennt und mit dieser Kenntnis mühsam in den ASCII-Texten einer EDINachricht sucht. Sollten die EDI-Nachrichten durch einen Menschen geprüft werden, kann man dafür sorgen, dass eine einfachere Prüfmöglichkeit zur Verfügung steht. Hierzu bestehen grundsätzlich drei Möglichkeiten:
11
Prüfung im Zielsystem: Der Anwender könnte argumentieren, dass die verarbeiteten EDI-Daten im Zielsystem – also z. B. der Finanzbuchhaltung – zur Einsicht verfügbar sind. Hier könnte der Prüfer aber einwenden, dass ihn nicht das finale EDI-Verarbeitungsergebnis in der Finanzbuchhaltung interessiert, sondern die Übereinstimmung dieser Ergebnisse mit den originalen EDI-Übertragungsdaten.
12
Zusätzliche Ablage eines augenlesbaren Belegs: In manchen Fällen – vor allem im sogenannten Zentralregulierungsgeschäft – wenn also sehr viele Geschäftspartner über eine zentrale Clearingstelle Daten austauschen, versendet die zentrale Clearingstelle zwei Formate: Das maschinenlesbare Ursprungsformat und als zweite Version eine PDFDatei, die dann zur Sichtprüfung geeignet ist und keinen eigenen EDI-Viewer erfordert. Wichtig hier ist, dass dem Prüfer nachweisbar ist, dass über das gewählte Verfahren keine inhaltlichen Abweichungen zwischen EDI-Daten und zugehöriger PDF bestehen. Hierzu wäre es nötig, dass eine zuverlässige Verknüpfung zwischen der PDF-Version und der EDI-Nachricht vorhanden ist. Dies könnte eine Identifikationsnummer („Nachricht123.edi“ und „Nachricht 123.pdf “) sein oder eine Anwendung – wie z. B. ein Archivsystem – könnte beide Versionen unter einem gemeinsamen Index zur Verfügung stellen.
13
Visualisierung bei Anzeige: Die doppelte Ablage identischer Informationen (EDI und augenlesbarer Beleg) kann vermieden werden, wenn die Visualisierung erst zum Zeitpunkt der Anzeige stattfindet. Mittlerweile gibt es eine Reihe von kommerziellen (und kostenlosen) Möglichkeiten, sich weit verbreitete EDIFACTBelegtypen wie INVOIC am Bildschirm in einem für den normalen Menschen nutzbaren Layout darstellen zu lassen (siehe Abbildung 5). Dies funktioniert am besten für weit verbreitete Belegtypen. Für seltene oder gar individuelle Formate muss man die Viewer entweder anpassen oder individuell entwickeln lassen. Mit der Verbreitung von EDI- und EDI-ähnlichen Nachrichten wird sich auch der Markt für Viewer weiter verbreiten, sodass der Anwender ein wachsendes Angebot auch für weniger häufig vorkommende Nachrichtentypen vorfindet, die dann entweder zum direkten Anzeigen von EDI-Nachrichten verwendet werden können oder die Bestandteil umfassender Archivlösungen sind und neben anderen Formaten für Scan- und PC-Dokumente auch die im System abgelegten EDIDokumente recherchieren und anzeigen können.
14
! Praxishinweis: Sowohl für den Anwender als auch im Rahmen einer Betriebsprüfung kann eine Anzeige mit Layout-basierter Visualisierung von EDI-Dateien hilfreich sein. Kriterium für die Darstellung wäre die einfache Lesbarkeit der Informationen.
103
7
7
§ 7 Anwendungsfall: Archivierung EDI und andere Nachrichtendateien
15
E. 16
7
Welche der hier genannten Möglichkeiten vom Anwender zur Verfügung zu stellen sind, ist auch eine Frage der Verhältnismäßigkeit, also des für den Anwender zumutbaren Aufwandes. Wenn exotische EDI-Formate zum Einsatz kommen müssen, für die es keine Visualisierungswerkzeuge gibt, dann wird der Zugriff auf die Belege über andere, weniger komfortable Wege erfolgen müssen, also EDI-Rohdaten und mühsame Recherche. Für EDIFACT INVOIC und die mittlerweile sogar kostenlosen Viewing-Werkzeuge für solche weit verbreiteten Formate wird es aber schwer sein, sich mit dem Argument der mangelnden Verhältnismäßigkeit gegen die Prüfung der EDI-Nachrichten zu sträuben.
E.
Sammelabrechnungen ohne qualifizierte Signatur
Eine für die elektronische Archivierung wichtige Neuerung im Bereich der EDI-Rechnungen wurde mit der Verabschiedung des Steuerbürokratieabbaugesetzes zum 1. Januar 2009 eingeführt. Vorher war es notwendig, dass die sogenannten Sammelabrechnungen entweder in Papierform oder mit einer qualifizierten elektronischen Signatur eingingen, um den Vorsteuerabzug auf per EDI eingehende Rechnungen vornehmen zu können. Der dafür verantwortliche § 14 Abs. 3 Nr. 2 UStG wurde dahingehend geändert, dass diese Anforderung, im EDI-Verfahren eine zusammenfassende Rechnung auf Papier oder mit qualifizierter elektronischer Signatur zu übermitteln, entfallen ist. Damit entfallen auch die Prüfpflicht der Signatur und die Notwendigkeit, dieses Prüfprotokoll ebenfalls zu archivieren. Nach wie vor gelten aber für diese EDI-Verfahren die Anforderungen, dass die Übermittlung durch EDI nach Artikel 2 der Empfehlung 94/820/EG der Kommission vom 19.10.1994 über die rechtlichen Aspekte des elektronischen Datenaustausches stattfindet und eine Vereinbarung über diesen Datenaustausch besteht, in der der Einsatz von Verfahren vorgesehen ist, die die Echtheit der Herkunft und die Unversehrtheit der Daten gewährleisten. ! Praxishinweis: Die dringende Empfehlung lautet – unabhängig von der Frage der qualifizierten Signatur – eine schriftliche Dokumentation des EDI-Verfahrens zusammen mit einer Vereinbarung mit dem EDI-Partner zu erstellen, die sich in Struktur und Inhalt an die Mustervereinbarung der EU Kommission anlehnt (94/820/EG: Empfehlung der Kommission vom 19.10.1994 über die rechtlichen Aspekte des elektronischen Datenaustausches). Für diese Vereinbarungen existieren mittlerweile kostenlose Mustervorlagen, so zum Beispiel bei GS1 Germany GmbH, die als Basis für eine individuell angepasste Vereinbarung dienen können.
104
8
§ 8 Anwendungsfall: Archivierung und Bereitstellung von steuerrelevanten Daten A.
Beschreibung des Anwendungsfalls
A.
Noch bis einschließlich 2001 waren buchführungspflichtige Unternehmen nach den deutschen Steuergesetzen keineswegs zur Aufbewahrung ihrer steuerlich relevanten Datenbestände in elektronischer Form verpflichtet. Stattdessen konnten sie von der damaligen Ausnahmeregelung nach § 147 Abs. 2 S. 2 der Abgabenordnung Gebrauch machen, wonach auf Datenträgern hergestellte Unterlagen sehr wohl ausgedruckt und die Daten anschließend gelöscht werden durften. Erst mit Einführung des Datenzugriffsrechts der Finanzbehörden zum 01.01.2002 durch das „Steuersenkungsgesetz“ vom 23.10.2000 (BGBl. I, 1433) wurden die zuvor lediglich für Buchführungsunterlagen in Papierform geltenden Aufbewahrungspflichten auf steuerrelevante Daten ausgedehnt. Seit diesem Zeitpunkt räumen die §§ 146, 147 und 200 der AO der Finanzverwaltung das Recht ein, im Rahmen angekündigter Außenprüfungen auf die Datenbestände buchführungspflichtiger Unternehmen zuzugreifen. Zu diesem Zweck ist selbstredend die Vorhaltung der Daten vonnöten. So lautet die bei Redaktionsschluss gültige Fassung des einschlägigen § 146 Abs. 5 S. 2 AO denn auch: „Bei der Führung der Bücher und der sonstigen Aufzeichnungen auf Datenträgern muss insbesondere sichergestellt sein, dass während der Dauer der Aufbewahrungsfrist die Daten jederzeit verfügbar sind und unverzüglich lesbar gemacht werden können.“ Konsequenterweise fiel die bis zu diesem Zeitpunkt zulässige Ausdruckmöglichkeit nach § 147 Abs. 2 S. 2 AO ersatzlos weg. So dürfen steuerlich relevante Daten seit dem 01.01.2002 innerhalb der gesetzlichen Aufbewahrungspflichten nicht mehr vernichtet werden. Oder anders ausgedrückt: Der Ausdruck reicht nicht mehr aus! Eine Tatsache, die in Prüfungsfällen auch nach nahezu einem Jahrzehnt Datenzugriffsrecht der Finanzbehörden sporadisch noch ungläubiges Erstaunen auslöst. Obwohl die Forderung nach digitalen Außenprüfungen mit Einsichtnahme in die unternehmerischen Datenbestände wegen der stetig gestiegenen Aufbewahrungskosten einer Papierbuchführung zuvor selbst von Teilen der Wirtschaft gestellt wurde, stieß die gesetzliche Normierung des Datenzugriffsrechts auf harsche Kritik bis hin zu verfassungsrechtlichen Bedenken an der gemutmaßten Ausleuchtung der nun gläsernen Unternehmen. Damit nicht genug schienen Unsicherheiten darüber zu bestehen, welche Unternehmensdaten denn steuerlich relevant sein könnten und demzufolge für eine spätere Einsichtnahme durch die steuerlichen Prüfungsdienste vorzuhalten wären.
I.
1
2
8
3
4
Rolle eines elektronischen Archivsystems im Umfeld GDPdU
Die Liste der Anwendungen mit steuerrelevanten Daten ist lang. Und damit ist auch klar, dass bei der schieren Datenmenge und der Anpassung an neue Geschäftsanforderungen ständig eine Erneuerung, Abschaltung oder ein Austausch erfolgen – von geleasten Systemen oder aus der Wartung gefallenen Systemen ganz zu schweigen. Alle steuerrelevanten Daten dauerhaft in den jeweiligen Anwendungen vorzuhalten, erscheint zunächst als einfachste Art, den Anforderungen einer gesetzeskonformen Aufbewahrung nachzukommen. Weil in der Vergangenheit jedoch Anwendungen nicht unter dieser Maßgabe entwickelt wurden, ist dies ab einer gewissen Unternehmensgröße mangels Performance und Stabilität der IT-Systeme allerdings nicht mehr realistisch. Löschkonzepte, die alle Daten nach ein bis zwei Jahren aus den Datenbankstrukturen entfernt haben, gehörten zur gelebten Praxis – es gab ja noch Drucklisten. 105 T. Brand, et al., Steuersicher archivieren, DOI 10.1007/ 978-3-8349-6461-8_8, © Gabler Verlag | Springer Fachmedien Wiesbaden GmbH 2011
5
8
§ 8 Anwendungsfall: Archivierung und Bereitstellung von steuerrelevanten Daten 6
Zwar machen die Finanzbehörden kein elektronisches Archivsystem zur Pflicht und es muss sich auch betriebswirtschaftlich im Hinblick auf ansonsten anfallende Aufbewahrungskosten und Unterstützung der Geschäftsprozesse rechnen. Doch oft ist die Auslagerung von steuerrelevanten Daten eine valide Alternative zur Vorhaltung der Daten in den Anwendungen selbst. Einige Produkte, wie SAP ERP, besitzen für diese Aufgabenstellung daher komplette Konzepte und Module. ! Praxishinweis Nach einem Urteil des Bundesfinanzhofs 1 müssen Unternehmen für Kosten, die mit Blick auf die Zukunft für die von Gesetzes wegen vorgeschriebene Aufbewahrung von Geschäftsunterlagen anfallen, eine Rückstellung im Rahmen der Erstellung des Jahresabschlusses bilden. Bezogen auf die Archivierungsanforderungen, die mit der digitalen Betriebsprüfung einhergehen, kann dies die Höhe dieser Rückstellungsverpflichtung maßgeblich beeinflussen.2
B. 7
8 8
B.
Für die elektronische Archivierung von steuerrelevanten Daten stehen unterschiedliche Varianten zur Verfügung. Unabhängig von der Art der Umsetzung gilt in jedem Fall die folgende Leitlinie und Anforderung: Auch in eigenständigen Archiven für steuerrelevante Daten muss die Auswertbarkeit erhalten bleiben! Archivierungskonzepte kommen dann zum Tragen, wenn Daten aus steuerrelevanten Systemen ausgelagert werden müssen oder Anwendungen abgeschaltet werden. Hier stehen unterschiedliche Optionen zur Verfügung:
I. 9
10
11
Varianten in der Umsetzung
Option 1: Maschinelle Auswertbarkeit durch das Folgesystem
Von ihrer im Rahmen des Gesetzgebungsverfahrens zum Datenzugriffsrecht zunächst formulierten Forderung nach Aufbewahrung teils längst ausgemusterter Hard- und Software haben die Finanzbehörden schnell Abstand genommen. Denn während die physische Aufbewahrung der Hardware in vielen Fällen noch möglich wäre, dürfte die Wiederinbetriebnahme überalterter IT-Systeme in der Praxis nicht zuletzt mangels Expertenwissen zumeist unmöglich sein. Nach den GDPdU darf bei einem Systemwechsel grundsätzlich aber nur dann von der Aufbewahrung bislang verwendeter Hard- und Software abgesehen werden, wenn die maschinelle Auswertbarkeit der Daten durch das neue System gewährleistet ist. Der Nachteil: Sofern technisch überhaupt möglich, kann die Migration steuerlich relevanter Daten einen hohen finanziellen und personellen Aufwand verursachen, der im Einzelfall unverhältnismäßig sein mag.
1 2
106
BFH v. 19.08.2002, DStR 2002, 2030 Ausführlich dazu: Groß / Matheis / Lindgens, DStR 2003, S. 921 ff.
B. Varianten in der Umsetzung
II.
Option 2: Maschinelle Auswertbarkeit durch das elektronische Archiv
Erfolgt der Datenzugriff auf ein Archivsystem, ist laut Fragen- und Antwortenkatalog der Finanzverwaltung zum Datenzugriffsrecht vom 22.01.2009 eine „maschinelle Auswertbarkeit“ nur dann gegeben, wenn das Archivsystem in quantitativer und qualitativer Hinsicht die gleichen Auswertungen ermöglicht, als wären die Daten (einschließlich Auswertungstools) noch im Produktivsystem. Für die Datenträgerüberlassung setzen die Finanzbehörden freilich auch beim Einsatz auswertbarer Archivsysteme voraus, dass die Daten, zusammen mit den zwecks maschineller Auswertbarkeit notwendigen Strukturinformationen der spezifischen Anwendung, auf maschinell auswertbaren Datenträgern bereitgestellt werden können. Obwohl viele Unternehmen in diesem Zusammenhang klare und möglichst abschließende Anforderungen in Form eines Pflichtenhefts begrüßen würden, haben die Finanzbehörden bewusst auf eine generelle Festlegung von Mindestvorgaben an die maschinelle Auswertbarkeit durch das elektronische Archiv verzichtet. Bei Verstößen gegen vorab festgelegte Mindestvorgaben hätte man ansonsten Sanktionsmaßnahmen vorsehen und befürchten müssen. Und zwar selbst in den Fällen, in denen die beabsichtigte Auswertung z. B. auch im Umweg über eine Datenträgerüberlassung mit Hilfe der bundeseinheitlichen Prüfsoftware IDEA möglich wäre. Bietet das auswertbare Archiv dagegen nur rudimentäre Auswertungsmöglichkeiten, erkennen die Finanzbehörden – wie in der bisherigen Prüfungspraxis allzu häufig geschehen – darin keine zulässige Form der Aufbewahrung.
III.
8
12
13
8
Option 3: Elektronische Archivierung und IDEA-Integration
Als dritte Alternative verbleibt die Archivierung steuerrelevanter Daten und Sicherstellung der maschinellen Auswertbarkeit durch gängige Prüfsoftware wie IDEA, ACL o. Ä. samt Nachbildung der im Produktivsystem ursprünglich vorgesehenen Auswertungsroutinen. Eigentlich wird die Auswertungssoftware IDEA von den Prüfungsdiensten der Finanzbehörden bundeseinheitlich eingesetzt, um im Fall der Datenträgerüberlassung die angeforderten steuerrelevanten Daten maschinell analysieren zu können. Eine Alternative zum Einsatz eines auswertbaren Archivs stellt die unternehmensseitige Bereitstellung von Prüfsoftware zur Auswertung der im elektronischen Archivsystem archivierten steuerrelevanten Daten aber nur dar, sofern I die maschinelle Auswertbarkeit der steuerrelevanten Daten (vorzugsweise unter Verwendung des sogenannten XML-Beschreibungsstandards, siehe dazu § 8 D. und I die Auswertungsroutinen des spezifischen Produktivsystems in einer Prüfsoftware wie IDEA, ACL o. Ä. nachgebildet wurden. Die alleinige Archivierung steuerrelevanter Daten mit XML-Beschreibung und Bereitstellung der Prüfsoftware reicht für die im Prüfungsfall wichtige Qualifikation als auswertbares Archiv dagegen keinesfalls aus! In der folgenden Tabelle sind die oben beschriebenen Varianten im Rahmen der Migration eines steuerrelevanten Systems noch einmal bezüglich ihrer Chancen und Risiken zusammengefasst:
107
14
15
16
17
8
§ 8 Anwendungsfall: Archivierung und Bereitstellung von steuerrelevanten Daten Tabelle 19: Chancen und Risiken von Migrationsvarianten Variante
Beschreibung
Chancen
Risiken
Vorzeitige Prüfung
Vorzeitige Prüfung mit dem Ziel, die Daten des Altsystems nicht aufbewahren zu müssen
Geringer Aufwand
Keine technische Lösung erforderlich
Unverhältnismäßig bei kleineren Stillungen / Migrationen
Sicherung der kompletten Anwendungsumgebung
Umsetzungsmöglichkeit liegt im Ermessen der Finanzbehörde Inkompatibilitäten bei der Systemwiederherstellung
Backup des Altsystems
Migration in ein Folgesystem
8
Migration in ein Datawarehouse
Archivierung der Daten in einem elektronischen Archivsystem
C. 18
C.
Vollständige Datenübernahme in ein Folgesystem
Übernahme der Daten in eine DatawarehouseLösung
Export der Datenbestände in Dateien. Ggf. Archivierung der Dateien in einem elektronischen Archivsystem
Geringe Kosten und Projektaufwände
Zum Zeitpunkt der Prüfung Produkt ggf. nicht mehr im Support des Herstellers
Fehlendes internes Know-how über die Anwendung zum Prüfungszeitpunkt Komplexe Datenmigration erforderlich
Nutzung der Auswertungsmöglichkeiten des Folgesystems
Nutzung der Auswertungsmöglichkeiten des DatawarehouseProduktes
Nutzung vorhandener Exportmöglichkeiten
Archivierung in anwendungsunabhängigen Formaten
Veränderung der Daten für das Folgesystem erforderlich (Bsp. Kontenrahmen, Schlüsselverzeichnisse) Geringere Auswertungsmöglichkeiten
Kosten für die Datenspeicherung
Keine GoBS-konforme Umgebung Für Auswertungsmöglichkeiten ist ggf. Zusatzsoftware erforderlich
Fehlendes Know-how über Datenbestände und -inhalte
Relevante rechtliche Grundlagen
Für die Bereitstellung und Aufbewahrung von steuerrelevanten Daten gelten die folgenden rechtlichen Grundlagen:
I.
108
Gesetzliche Regelungen § 146 Abs. 2a, 2b und 5, § 147 Abs. 2, 5 und 6, § 148, § 200 Abs. 1, 2 der AO zur Aufbewahrungspflicht, zum Datenzugriff und den Mitwirkungspflichten § 90 Abs. 3 der AO zur Verrechnungspreisdokumentation
C.
II.
I
8
Verwaltungsanweisungen der Finanzverwaltung Veröffentlichung der „Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU)“ im Anwendungsschreiben des Bundesministeriums der Finanzen (BMF) vom 16.07.2001 – IV D 2 – S 0316 – 136/01 – Anwendungsschreiben des Bundesministeriums der Finanzen (BMF) insbesondere über die Anerkennung elektronischer Rechnungen für das Recht auf Vorsteuerabzug vom 29.01.2004 – IV B 7 – S 7280 – 19/04 – Verwaltungsgrundsätze-Verfahren zur Überprüfung der Angemessenheit von Verrechnungspreisen vom 12.04.2005 – IV B 4 – S 1341 – 1/05 – Veröffentlichung der „Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen für den Zuständigkeitsbereich der Zollverwaltung (GDPdUZ)“ im Anwendungsschreiben des Bundesministeriums der Finanzen (BMF) vom 28.11.2007 – III A 3 – S 1445/06/0029 – Anwendungsschreiben des Bundesministeriums der Finanzen (BMF) über die Pflicht zur Teilnahme am elektronischen Ausfuhrverfahren „ATLAS-Ausfuhr“ seit 01.07.2009 und den Auswirkungen auf den Ausfuhrnachweis für Umsatzsteuerzwecke vom 03.05.2010 – IV D 3 – S 7134/07/10003 – Anwendungsschreiben des Bundesministeriums der Finanzen (BMF) zur elektronischen Übermittlung von Bilanzen sowie Gewinn- und Verlustrechnungen nach § 5b EStG in Form von XBRL-Datensätzen vom 19.01.2010 – IV C 6 – S 2133–b/0 –
III. I
Relevante rechtliche Grundlagen
8
Informationsschreiben der Finanzverwaltung
Fragen- und Antwortenkatalog des Bundesministeriums der Finanzen (BMF) zum Datenzugriffsrecht der Finanzverwaltung, zum jeweils aktuellen Stand veröffentlicht auf der Internetseite des Bundesministeriums der Finanzen (www.bundesfinanzministerium.de), Stand 22.01.2009 Information des Bundesministeriums der Finanzen (BMF) zum „Beschreibungsstandard für die Datenträgerüberlassung vom 15.08.2002, veröffentlicht auf der Internetseite des Bundesministeriums der Finanzen (www.bundesfinanzministerium.de)
IV.
Finanzrechtsprechung mit Bezug zur elektronischen Archivierung
1.
Lesezugriff auf eingescannte Belege (BFH-Beschluss vom 26.09.2007 – I B 53, 54/07)
Die Prüfungsdienste dürfen jegliche aufbewahrungspflichtige Unterlage am Bildschirm einsehen, die vom Unternehmen aus der „Papierwelt“ in eine rein elektronische Ausgabeform überführt wird. Weil die digitalisierten Daten an die Stelle der Originale treten, muss das Unternehmen eingescannte Belege über sein IT-System per Bildschirm lesbar machen. Es kann diese Verpflichtung nicht durch das Angebot des Ausdruckens auf Papier abwenden.
109
19
20
21
8
§ 8 Anwendungsfall: Archivierung und Bereitstellung von steuerrelevanten Daten D.
22
8
23
24
25
D.
Strukturbeschreibung von steuerrelevanten Daten
Das Bundesministerium der Finanzen (BMF) hat unverzüglich nach Beschaffung der bundeseinheitlich von allen Außenprüfungsdiensten eingesetzten Analysesoftware „IDEA“ bereits Anfang 2002 die Zusammenarbeit mit Herstellern von Entgeltabrechnungs- und Finanzbuchhaltungssystemen gesucht, um die Entwicklung einer einheitlichen technischen Bereitstellungshilfe zur Format- und Inhaltsbeschreibung steuerlich relevanter Datenbestände in Gang zu setzen. Deren Ziel war und ist die automatisierte Weitergabe aller zur Auswertung vom Prüfer benötigten Informationen über den Datenbestand, ohne die geprüften Unternehmen personell und finanziell über das unbedingt erforderliche Maß hinaus in Anspruch nehmen zu müssen. Im Rahmen des Abstimmungsprozesses haben sich die beteiligten Softwarehersteller mehrheitlich für eine Trennung der steuerlich relevanten Datenbestände und der maschinenauswertbaren Beschreibung und Verknüpfungen in einer zusätzlichen Datei unter Verwendung des weit verbreiteten XML-Formats (eXtensible Markup Language) ausgesprochen. Dieser sog. „Beschreibungsstandard für die Datenträgerüberlassung“ definiert die Datenimport-Schnittstelle zur automatisierten Übernahme steuerlich relevanter Daten einschließlich der zur maschinellen Auswertung erforderlichen Verknüpfungen3. Den Umfang der zu übergebenden steuerlich relevanten Daten bestimmt das Unternehmen jedoch nach wie vor selbst; der Beschreibungsstandard trifft dazu keinerlei Vorgaben. Zur Umsetzung des Beschreibungsstandards besteht allerdings keinerlei Verpflichtung: In seiner „Information zum Beschreibungsstandard für die Datenträgerüberlassung“ vom 15.08.2002 stellt das BMF ausdrücklich klar, dass die Bedienung der vorgeschlagenen GDPdU-Schnittstelle allein auf freiwilliger Basis erfolgen soll. Gleichwohl sollten Unternehmen bei der Beschaffung oder Programmierung betrieblicher IT-Systeme nicht auf geeignete Schnittstellen zur Bereitstellung steuerlich relevanter Datenbestände samt maschinell auswertbarer Strukturinformationen verzichten. Dies gilt nach den bisherigen Prüfungserfahrungen nicht nur für wenig verbreitete oder kundenspezifische Buchhaltungssysteme, sondern infolge der festzustellenden Ausweitung des Datenzugriffs auch für alle handelsüblichen vor- und nachgeschalteten Systeme. Zudem bereitet die Bereitstellung der geforderten Strukturinformationen nicht nur kleineren und mittleren Unternehmen ohne sachkundige Systemverwalter oft genug Schwierigkeiten. Auch große Unternehmen und Konzerne sehen sich nicht zuletzt bei zwischenzeitlichem Herstellerwechsel, eingestellter Produktpflege oder Wartung sowie nicht mehr verfügbarer Soft- und Hardware, z. B. beim Leasing oder Application Service Provider-Lösungen, in späteren Prüfungssituationen häufig nicht zur Einhaltung ihrer Mitwirkungspflichten in der Lage. In solchen Fällen sind aufgrund der neuen Sanktionsmöglichkeiten der Finanzbehörden über finanziell empfindliche Verzögerungsgelder schnell Unstimmigkeiten und unliebsame Überraschungen zu befürchten.
3
110
Die aktuelle technische Beschreibung kann bei der Audicon GmbH, Düsseldorf (www.audicon.net), kostenlos angefordert werden. Die Audicon GmbH hat als deutscher Vertrieb der bundeseinheitlichen Prüfsoftware „IDEA“ die Aufgabe übernommen, die mit weiteren Softwareherstellern abgestimmte GDPdU-Schnittstelle zu verwalten und weiterzuentwickeln.
D.
8
Zusammenfassung und Ausblick
Exkurs: Beschreibungsstandard XBRL Das im Beschreibungsstandard derzeit (noch) verwendete XML-Format könnte mittelfristig durch das XBRL-Format ersetzt werden. Hintergrund ist die durch das „Steuerbürokratieabbaugesetz“ vom 20.12.2008 im § 5b Einkommensteuergesetz (EStG) eingeführte Verpflichtung zur künftigen elektronischen Übermittlung von Bilanzen und Gewinn- und Verlustrechnungen nach amtlich vorgeschriebenem Datensatz für Wirtschaftsjahre, die nach dem 31.12.2010 beginnen. Lediglich zur Vermeidung unbilliger Härte sollen die Finanzämter auf eine elektronische Übermittlung verzichten. Erste Einzelheiten hat das Bundesministerium der Finanzen (BMF) in seinem Anwendungsschreiben vom 19.01.2010 (Aktenzeichen – IV C 6 – S 2133-b/0 –) bekannt gegeben. Danach sind die Inhalte der Bilanz sowie der Gewinn- und Verlustrechnung in Form eines XBRL-Datensatzes auf elektronischem Weg zu übermitteln. XBRL (eXtensible Business Reporting Language) ist ein international verbreiteter Standard für den elektronischen Datenaustausch von Unternehmensinformationen. Der Standard XBRL ermöglicht es, Daten in standardisierter Form aufzubereiten und mehrfach – etwa neben der Veröffentlichung im elektronischen Bundesanzeiger zur Information von Gesprächspartnern, Kreditgebern, Aufsichtsbehörden oder Finanzbehörden – zu nutzen. Bei der Feststellung des zu übermittelnden Dateninhalts wird grundsätzlich von der HGBTaxonomie des XBRL Deutschland e.V. ausgegangen. Die Taxonomien bilden die allgemeinen handelsrechtlichen Rechnungslegungsvorschriften ab und enthalten u. a. die Module „Bilanz“, „Gewinn- und Verlustrechnung“, „Ergebnisverwendung“, „Kapitalkontenentwicklung“ und „Anhang“. Soweit spezielle Rechnungslegungsvorschriften gelten, existieren hierzu Spezial-Taxonomien/Taxonomie-Erweiterungen. Zur Festlegung des nach § 5b EStG zu übermittelnden Datensatzes werden diese Taxonomien erweitert, um alle nach steuerlichen Vorschriften erforderlichen Positionen abzudecken. Bestimmte Positionen sind verpflichtend zu übermitteln und werden in den Taxonomien als solche gekennzeichnet (Mindestanforderungen). Weitergehende Informationen zum XBRL-Format stellt der Verein XBRL Deutschland auf seiner Webseite www.xbrl-deutschland.de/ zum kostenlosen Download bereit. Als Zusammenschluss namhafter Unternehmen und Institutionen hat der Verein die Aufgabe übernommen, XBRL-Informationspakete – sogenannte Taxonomies – zu entwickeln. Obwohl die Verpflichtung zur elektronischen Übermittlung von Bilanzen und Gewinn- und Verlustrechnungen als XBRL-Datensatz zunächst keine direkten Auswirkungen auf die Bereitstellung steuerlich relevanter Datenbestände im Prüfungsfall hat, erscheint es aus Gründen der Vereinheitlichung und Aufwandsminimierung gleichwohl sinnvoll, auch für diese Bewegungsdaten künftig das XBRL-Format zu verwenden.
E.
Zusammenfassung und Ausblick
8
E.
Im Prüfungsfall stellt die Datenbereitstellung aus der Finanz-, Anlagen- und Lohnbuchhaltung heutzutage wohl kein Unternehmen mehr vor unlösbare Probleme. Völlig anders stellt sich die Situation dagegen beim Datenzugriff auf vor- oder nachgelagerte Systeme dar. Allein das denkbar einfache Prüffeld, ob die Umsatzbesteuerung mit dem gültigen Umsatzsteuersatz und im zutreffenden Voranmeldungszeitraum erfolgte, macht spätestens seit der Pflichtangabe des tatsächlichen Leistungszeitpunkts auf Rechnungen einen Zugriff auf die Materialwirtschaftssysteme unumgänglich. Mit der Ausweitung des Datenzugriffs auf die der eigentlichen Buchhaltung vor- oder nachgelagerten Systeme erhält die Archivierung steuerlich relevanter Datenbestände in elektronischen Archivsystemen neuen Schub. Denn während die Vorhaltung der Finanzbuchhaltungsdaten im Produktivsys111
26
8
27
28
8
§ 8 Anwendungsfall: Archivierung und Bereitstellung von steuerrelevanten Daten tem oder durch den Steuerberater vielfach noch durchaus praktikabel erscheint, kann diese für die Vielzahl der darüber hinaus eingesetzten IT-Systeme nicht nur aus dem Aspekt des fortwährenden Austauschs zum Risiko bei einer digitalen Außenprüfung werden. Hinzu kommt, dass die Historisierung wichtiger Daten in Vor- und Nebensystemen selbst nach nahezu einem Jahrzehnt des Datenzugriffs nicht flächendeckend in der notwendigen Tiefe betrieben wird und Daten periodisch überschrieben werden. Dies gilt insbesondere für Stammdaten. So hat die mehrfache Verwendung von Artikelstammdaten während des Prüfungszeitraums schon bei mancher Kombination von Finanzbuchhaltungsdaten mit Informationen aus der Materialwirtschaft stark von den Voranmeldungen abweichende Umsatzzahlen verursacht. Helfen kann hier – wie von den Finanzbehörden denn auch längst akzeptiert – ein auswertbares Archivsystem, in dem die Daten aller im Unternehmen eingesetzten IT-Systeme Eingang finden und während der gesetzlichen Aufbewahrungsfristen sicher und vor Veränderungen geschützt sind. ! Praxishinweis Erfolgt der Datenzugriff auf ein Archivsystem, ist laut Fragen- und Antwortenkatalog der Finanzverwaltung zum Datenzugriffsrecht eine „maschinelle Auswertbarkeit“ nur dann gegeben, wenn das Archivsystem in quantitativer und qualitativer Hinsicht die gleichen hinreichenden Auswertungsmöglichkeiten bietet, als wären die Daten (einschließlich Auswertungstools) noch im Produktivsystem.
112
9
§ 9 Anwendungsfall: Archivierung elektronischer Rechnungen A.
Beschreibung des Anwendungsfalls
A.
Der wachsende elektronische Geschäftsverkehr wird zunehmend mit originär elektronischen Rechnungen abgewickelt. Um einen EU-weiten Standard für elektronische Rechnungen zu schaffen, sind die Anforderungen an elektronische Rechnungen, unter denen Vorsteuer in Anspruch genommen werden kann, durch eine europäische Richtlinie geregelt und von den Mitgliedstaaten, wie auch von der Bundesrepublik Deutschland, in nationales Recht umgesetzt worden. Die elektronische Übermittlung von Rechnungen hat sich insbesondere durch E-Mail-Kommunikation und EDI-Verfahren etabliert. Die Aufbewahrung elektronischer Rechnungen muss den Anforderungen an die Ordnungsmäßigkeit und den Anforderungen an den Aufbewahrungsort entsprechen. Auf europäischer Ebene hat eine Diskussion über die Perspektive der elektronischen Rechnung als elektronisches Dokument begonnen.
I.
Die elektronische Rechnung und die Gesetzgebung zur Umsatzsteuer
9
Auf der Grundlage der Europäischen „Rechnungsrichtlinie“ 2001/115/EG ist die elektronische Rechnung durch das Steueränderungsgesetz 2003 in das deutsche Umsatzsteuerrecht integriert worden. Nach § 14 Abs. 1 S. 2 UStG (Art. 232 MwStSystRL) können Rechnungen grundsätzlich auch auf elektronischem Weg übermittelt werden. Für die elektronische Übermittlung von Rechnungen ist die Zustimmung des Empfängers notwendig, wobei diese auch durch konkludentes Handeln (stillschweigend) erfolgen kann. Entscheidend für die Anerkennung aus umsatzsteuerrechtlicher Sicht ist, dass die Echtheit der Herkunft und die Unversehrtheit des Inhalts gewährleistet sind (§ 14 Abs. 3 UStG, Art. 233 MwStSystRL)1. Umsatzsteuergesetz bzw. MwStSysRL sehen hierfür grundsätzlich die Möglichkeiten einer elektronischen Signatur oder des Datenaustauschs mittels EDI vor.2
1 2
1
Vgl. zudem BMF v. 29.1.2004, IV B 7 – S 7280 – 19/04, BStBl I 2004, 258 Rz. 14 ff. Ausführlich dazu Groß/Lindgens, UVR 2008, S. 108 (108 f.)
113 T. Brand, et al., Steuersicher archivieren, DOI 10.1007/ 978-3-8349-6461-8_9, © Gabler Verlag | Springer Fachmedien Wiesbaden GmbH 2011
2
9
§ 9 Anwendungsfall: Archivierung elektronischer Rechnungen
Bei einer auf elektronischem Weg übermittelten Rechnung müssen die Qualifizierte elektronische Signatur
Echtheit der Herkunft und
(optional mit Anbieter-Akkreditierung)
gewährleistet sein durch
Unversehrtheit der Daten
oder Elektronischen Datenaustausch (EDI) (Sammelrechnung nicht erforderlich)
Abbildung 6: Anforderungen an elektronische Rechnungen 3
9
Den EU-Mitgliedstaaten steht es im Rahmen der Vorgaben der MWStSyStRL frei, auch weniger sichere Methoden zur Gewährleistung der Authentizität und Vollständigkeit der Daten zuzulassen. Die Dokumentation des Verfahrens hat für die Finanzverwaltung eine besondere Bedeutung, da dies die Grundlage für eine Prüfung ist.
1. 4
Die elektronische Rechnungsübermittlung verlangt nach § 14 Abs. 1 S. 2 UStG die Zustimmung des Rechnungsempfängers. Die Zustimmung bedarf keiner Form. Sie kann stillschweigend durch Annahme der elektronischen Rechnung zum Ausdruck gebracht werden. Eine stillschweigende Annahme der Rechnung ist anzunehmen, wenn die Beteiligten die elektronische Übermittlung von Rechnungen praktizieren.3 Will der Empfänger keine Rechnung in elektronischer Form, so muss er widersprechen oder die Rechnung zurückweisen und eine Papierrechnung fordern.
2. 5
Zustimmung des Empfängers
Elektronische Übermittlung und qualifizierte elektronische Signatur
Die Grundform (Hauptanwendungsfall) der elektronischen Rechnungsübermittlung geht über E-Mail, indem beispielsweise PDF-Dokumente als Dateianhang (Attachment) übermittelt werden. Bei Übermittlung der Rechnung per E-Mail ist entsprechend § 14 Abs. 3 Nr. 1 UStG eine qualifizierte elektronische Signatur oder eine qualifizierte elektronische Signatur mit Anbieter-Akkreditierung entsprechend dem Signaturgesetz erforderlich, um die Echtheit der Herkunft und die Unversehrtheit der Daten zu gewährleisten.4 Wird in einem qualifizierten Zertifikat auf Verlangen des Zertifikatsinhabers nach § 5 Abs. 3 SigG anstelle seines Namens ein Pseudonym aufgeführt, so hat das Finanzamt gemäß § 14 Abs. 2 SigG einen Anspruch auf Auskunft gegenüber dem Zertifizierungsdiensteanbieter, soweit dies zur Erfüllung der gesetzlichen Aufgaben erforderlich ist.5 Für das Signieren elektroni3 4 5
114
BMF-Schreiben vom 29.01.2004, Randziffer 10. BMF-Schreiben vom 29.01.2004, Randziffer 14. BMF-Schreiben vom 29.01.2004, Randziffer 17.
9
A. Beschreibung des Anwendungsfalls scher Rechnungen gelten Ausnahmeregeln. Das Signieren kann durch den Rechnungsaussteller in einem automatisierten Massenverfahren erfolgen.6 Es ist zulässig, mehrere Rechnungen in einer Datei zusammenzufassen und diese Datei mit nur einer qualifizierten elektronischen Signatur an den Empfänger zu übermitteln.7 Die Verpflichtung zum Übersignieren ist für elektronische Rechnungen aus umsatzsteuerlicher Sicht nicht erforderlich.8
3.
Outsourcing der Rechnungsübermittlung
Soweit elektronische Rechnungen von externen Dienstleistern erstellt und an den Kunden versendet werden, hat sich als rechtlich anerkannt das sog. Vertretungsmodell am Markt etabliert.9
6
Dienstleister für elektronische Rechnungsstellung Dienstleister Vollmacht
Rechnungsaussteller
Daten
Signatur
Rechnungen
Vertretung erkennbar
9
Rechnungsempfänger
Abbildung 7: Dienstleister für elektronische Rechnungsstellung Bei diesem Modell tritt der Signatur-Dienstleister selbst, unter Verwendung seiner eigenen Signaturerstellungseinheit, als Aussteller auf. Umsatzsteuerrechtlich findet dieses Modell seine Rechtfertigung in § 14 Abs. 2 S. 4 UStG, wonach eine Rechnung nicht nur durch den Leistenden, sondern auch durch einen Dritten im Namen und für Rechnung des Leistenden „ausgestellt“ werden kann. Allerdings muss die Vertretungssituation für den Rechnungsempfänger hinreichend erkennbar sein und es bedarf einer entsprechenden Vollmacht an den Signatur-Dienstleister. Soll der SignaturDienstleister lediglich für den Signaturvorgang beauftragt werden, spricht man hingegen vom sog. Botenmodell. Dieses Modell, bei dem der Dienstleister lediglich als Erklärungsbote eine von ihm signierte, unveränderte Erklärung eines Dritten weitergibt, wird als umsatzsteuerrechtlich zulässig angenommen, wenn es auch nicht direkt aus dem Wortlaut des Gesetzes ableitbar ist10. Es liegt nahe, diese Dienstleistung „e-Signatur“ mit der elektronischen Archivierung der Rechnungen zu kombinieren. Hierbei sind ggf. ergänzend die Anforderungen an das Outsourcing der Aufbewahrung (§ 10) zu beachten.
6 7 8 9 10
BMF-Schreiben vom 29.01.2004, Randziffer 18. BMF-Schreiben vom 29.01.2004, Randziffer 19. BMF v. 30.10.2007, IV A 5 – S 7287-a/07/0005 Vgl. ausführlich Groß/Lindgens, UVR 2008, S. 108 (112) Vgl. ausführlich dazu Groß/Lindgens, UVR 2008, S. 108 (112 f.)
115
7
9
§ 9 Anwendungsfall: Archivierung elektronischer Rechnungen
4. 8
Das EDI-Verfahren für die Übermittlung von Rechnungen nach § 14 Abs. 3 Nr. 2 UStG ist nach Artikel 2 der Empfehlung 94/820/EG der Kommission vom 19.10.1994 über die rechtlichen Aspekte des elektronischen Datenaustausches12 anerkannt. Damit ist der Einsatz von Verfahren für die Übermittlung von Rechnungen vorgesehen, die wie das EDI-Verfahren die Echtheit der Herkunft und die Unversehrtheit der Daten gewährleisten.13 Mit dem Gesetz zur Modernisierung und Entbürokratisierung des Steuerverfahrens14 ist die Voraussetzung einer zusammenfassenden Rechnung (Sammelrechnung) entfallen (vgl. auch Art. 233 Abs. 1 Buchst. b der MwStSystRL). Es ist davon auszugehen, dass neben der geforderten EDI-Vereinbarung die Finanzverwaltung die korrekte Verbuchung direkt im System prüfen wird.
5. 9
9
Die Aufbewahrung von elektronischen Rechnungen
Absender und Empfänger der Rechnung sind zur Aufbewahrung verpflichtet. Die Dokumente müssen während der Aufbewahrungsfrist nach den Grundsätzen der Ordnungsmäßigkeit an einem gesetzlich zulässigen Aufbewahrungsort aufbewahrt werden.
1. 11
Dokumentation
Aufbau und Ablauf des bei der elektronischen Übermittlung einer Rechnung angewandten Verfahrens müssen nach § 145 AO für das Finanzamt innerhalb angemessener Frist nachprüfbar sein. Deshalb ist eine Dokumentation erforderlich, die insbesondere den GoBS Rechnung trägt.15 Fordert das Finanzamt den Unternehmer zur Vorlage der Rechnung auf, so ist nach den Grundsätzen der GDPdU nicht zu beanstanden, wenn der Unternehmer als vorläufigen Nachweis einen Ausdruck der elektronisch übermittelten Rechnung vorlegt. Der Unternehmer muss jedoch auf Anforderung nachweisen, dass die elektronisch übermittelte Rechnung die Voraussetzungen des § 14 Abs. 3 UStG erfüllt.16
II. 10
EDI-Verfahren11
Aufbewahrungspflicht
Gemäß § 14b Abs. 1 UStG ist der Unternehmer verpflichtet, Rechnungen aufzubewahren. Er muss ein Doppel der Rechnung, die er selbst oder ein Dritter in seinem Namen und für seine Rechnung ausgestellt hat, aufbewahren und alle Rechnungen, die er erhalten oder die ein Leistungsempfänger oder ein Dritter in dessen Namen und für dessen Rechnung ausgestellt hat.17 Bei elektronisch übermittelten Rechnungen hat der Unternehmer neben der Rechnung auch die Nachweise über die Echtheit und die Unversehrtheit der Daten aufzubewahren (z. B. qualifizierte elektronische Signatur), selbst wenn nach anderen Vorschriften die Gültigkeit dieser Nachweise bereits abgelaufen ist.18 Die Aufbewahrungsfrist beträgt zehn Jahre und beginnt mit dem Ablauf des Kalenderjahres, in dem die 11 12 13 14 15 16 17 18
116
Weitere Details zum EDI-Verfahren: siehe § 7. ABl. EG Nr. L 338 S. 98 BMF-Schreiben vom 29.01.2004, Randziffer 20. SteuBAG v. 20.12.2008, BGBl. I 2008, 2850. BMF-Schreiben vom 29.01.2004, Randziffer 12. BMF-Schreiben vom 29.01.2004, Randziffer 13. BMF-Schreiben vom 29.01.2004, Randziffer 67. BMF-Schreiben vom 29.01.2004, Randziffer 70.
A. Beschreibung des Anwendungsfalls Rechnung ausgestellt wurde. Die Aufbewahrungsfrist läuft jedoch nicht ab, soweit und solange die Unterlagen für Steuern von Bedeutung sind, für welche die Festsetzungsfrist noch nicht abgelaufen ist (§ 147 Abs. 3 S. 3 AO).19 Grundsätzlich hat die Speicherung der elektronischen Abrechnung auf einem Datenträger zu erfolgen, der Änderungen nicht mehr zulässt. Bei einer temporären Speicherung auf einem änderbaren Datenträger muss das IT-System sicherstellen, dass Änderungen nicht möglich sind.20 Rechnungsaussteller und Rechnungsempfänger haben unterschiedliche Archivierungspflichten. Die Archivierungspflicht des Rechnungsausstellers umfasst: ein Doppel der versendeten elektronischen Rechnung in elektronischer Form, das Zertifikat, mit dem die Rechnung signiert wurde. Der Rechnungsempfänger hat die empfangene elektronische Rechnung in elektronischer Form, das qualifizierte Zertifikat, den Signaturprüfschlüssel zur empfangenen elektronischen Rechnung, das Prüfprotokoll zur Signatur zum Zeitpunkt des Rechnungszugangs21, zu archivieren. Die Praxis nutzt zum Rechnungsversand häufig einen Datei-Container, welcher neben der eigentlichen Rechnung die Signatur und ggf. weitere Daten, welche eine automatisierte Rechnungseingangsverarbeitung ermöglichen, enthält. Soweit ein dazwischen geschalteter Dienstleister das Mehrvertretungsmodell22 praktiziert, kann auch das Prüfprotokoll enthalten sein.
2.
9
12
13
14
15
9
Ordnungsmäßige Aufbewahrung
Für die Archivierung und Prüfbarkeit von elektronischen Rechnungen sind die Vorschriften der Abgabenordnung (insbesondere §§ 146, 147, 200 AO) sowie die Grundsätze ordnungsmäßiger DVgestützter Buchführungssysteme (GoBS) und die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) zu beachten.23 Originär elektronische Rechnungen, wie z. B. die EMail-Rechnung, müssen nach den weitergehenden Anforderungen der GDPdU archiviert werden. ! Praxishinweis: Der entscheidende Unterschied zur elektronischen Aufbewahrung gescannter Rechnungen besteht darin, dass die qualifizierte elektronische Signatur der originär elektronischen Rechnung nachweisbar aufzubewahren ist, wie in der GDPdU (II. Prüfbarkeit digitaler Unterlagen) ausgeführt ist. Hiernach ist die qualifizierte elektronische Signatur im Hinblick auf die Integrität der Daten und die Signaturberechtigung zu prüfen und das Ergebnis zu dokumentieren, der Signaturprüfschlüssel und das qualifizierte Zertifikat des Empfängers aufzubewahren.
19 BMF-Schreiben vom 29.01.2004, Randziffer 68. 20 BMF-Schreiben vom 16.07.2001, Ziffer II.1. Hiermit ist nach allgemeinem Verständnis die GoBS-konforme Speicherung verstanden und nicht der Einsatz einer entsprechenden Speichertechnologie. 21 BMF-Schreiben vom 16.07.2001, Punkt II.1.; Der elektronische Rechnungsaustausch, AWV-Verlag, S. 23. 22 Dazu ausführlich Groß / Lindgens, UVR 2008, S. 108 (113 f.) 23 BMF-Schreiben vom 29.01.2004, Randziffer 76.
117
16
9
§ 9 Anwendungsfall: Archivierung elektronischer Rechnungen
III. 17
Der zulässige Aufbewahrungsort ist nach dem UStG unterschiedlich geregelt: für Unternehmer, die im Inland ansässig sind, die nicht im Inland ansässig sind und die nicht im Gemeinschaftsgebiet ansässig sind. Ergänzend sind die Vorschriften des § 146 Abs. 2a AO zu berücksichtigen.
1. 18
9
19
20
Im Inland oder in einem der in § 1 Abs. 3 UStG genannten Gebiete ansässige Unternehmer
Dies sind Unternehmer, die in einem dieser Gebiete ihren Wohnsitz, ihren Sitz, ihre Geschäftsleitung oder eine Zweigniederlassung haben (§ 14b Abs. 3 UStG). Solche Unternehmer sind verpflichtet, die Rechnungen im Inland oder in einem der in § 1 Abs. 3 UStG genannten Gebiete (Freihäfen) aufzubewahren (§ 14b Abs. 2 S. 1 UStG). Bei elektronisch aufbewahrten Rechnungen (dabei muss es sich nicht um elektronisch übermittelte Rechnungen handeln) ist das Gebiet der Aufbewahrung weiter gezogen. Die Rechnungen können auch im Gemeinschaftsgebiet, dem Gebiet von Büsingen oder auf der Insel Helgoland aufbewahrt werden. In diesem Falle muss eine vollständige Fernabfrage (OnlineZugriff) der betreffenden Daten und deren Herunterladen und Verwendung durch das Finanzamt gewährleistet sein. Bewahrt der Unternehmer elektronische Rechnungen nicht im Inland oder in einem der in § 1 Abs. 3 UStG genannten Gebiete (Freihäfen) auf, hat er dem für die Umsatzbesteuerung zuständigen Finanzamt den Aufbewahrungsort unaufgefordert und schriftlich mitzuteilen.24 Diese Anforderungen sind deckungsgleich mit § 146 Abs. 2a S. 3 Nr.2-4 AO. Nach § 146 Abs. 2a S. 3 Nr.1 AO hat der Steuerpflichtige die Zustimmung zur Durchführung eines Zugriffs auf elektronische Bücher und sonstige elektronische Aufzeichnungen der zuständigen Stelle des Staates, in den die elektronischen Bücher und Aufzeichnungen verlagert werden sollen, mitzuteilen. Ergänzend setzt eine Verlagerung voraus, dass die zuständige Stelle des Staates, in den die elektronische Buchführung verlagert werden soll, einem Datenzugriff des deutschen Fiskus zustimmt. Auf der Grundlage eines Referentenentwurfs zum Jahressteuergesetz 2010 (JStG 2010) soll die Neufassung des § 146 Abs. 2a AO für eine Vereinfachung bei den betroffenen Unternehmen sorgen. Unter Verzicht auf die bislang geforderte Zustimmung des ausländischen Staates bedarf es demnach künftig in erster Linie lediglich der Mitteilung des Standorts der Datenverarbeitung bzw. des beauftragten Dritten an die zuständige Finanzbehörde. Da diese Regelungen nicht nur für elektronische Rechnungen relevant sind, sondern auch für alle anderen steuerpflichtigen Daten- und Dokumentbestände, sind weitere Details hierzu in einem eigenen Kapitel enthalten (siehe § 10).
2. 21
Aufbewahrungsort
Nicht im Inland oder in einem der in § 1 Abs. 3 UStG bezeichneten Gebiete ansässige Unternehmer
Dieser Unternehmer hat die Rechnungen im Gemeinschaftsgebiet, in einem der in § 1 Abs. 3 UStG bezeichneten Gebiete (Freihäfen), im Gebiet von Büsingen oder auf der Insel Helgoland aufzubewahren. Er ist verpflichtet, dem Finanzamt auf dessen Verlangen alle aufzubewahrenden Rechnungen und Daten oder die an deren Stelle tretenden Bild- und Datenträger unverzüglich zur Verfügung
24 BMF-Schreiben vom 29.01.2004, Randziffer 74.
118
C.
9
Zusammenfassung und Ausblick
zu stellen. Kommt der Unternehmer dieser Verpflichtung nicht oder nicht rechtzeitig nach, kann das Finanzamt verlangen, dass er die Rechnungen im Inland oder in einem der in § 1 Abs. 3 UStG bezeichneten Gebiete aufbewahrt.25
3.
Nicht im Gemeinschaftsgebiet ansässige Unternehmer
Ist dieser Unternehmer nach den Bestimmungen des Staates, in dem er ansässig ist, verpflichtet, die Rechnungen im Staat der Ansässigkeit aufzubewahren, ist es ausreichend, wenn dieser Unternehmer im Gemeinschaftsgebiet Ablichtungen der aufzubewahrenden Rechnungen aufbewahrt.26
B.
22
Typische Stolpersteine und Hinweise für die Praxis
Wie bereits dargestellt, sind die typischen Stolpersteine im Rahmen eines Projektes zu elektronischen Rechnungen: Echtheit der Herkunft und Unversehrtheit des Inhalts erfordert nach geltender Rechtslage eine qualifizierte elektronische Signatur bzw. einen elektronischen Datenaustausch (EDI) nebst Vereinbarung. Aufbewahrung beim Empfänger ausschließlich in Papierform führt grundsätzlich zum Verlust des Vorsteuerabzugs. Fehlende rechtliche Vereinbarung beim elektronischen Rechnungsversand über Dienstleister (Nutzungsvereinbarung, Vollmachten). Fehlender Verifikationsprozess auf Seiten des Rechnungsempfängers. Keine bzw. nur unvollständige Verfahrensdokumentation. Fehlende Vereinbarung beim Austausch elektronischer Rechnungsdaten über EDI.
23
9
! Praxishinweis: Das Potenzial, die Kosten zu reduzieren, erschließt sich durch das Signieren im automatisierten Massenverfahren, durch Zusammenfassen mehrerer Rechnungen in einer Datei und das elektronische Archivieren, indem die Echtheit und Unversehrtheit der Daten nachgewiesen werden können.
C.
Zusammenfassung und Ausblick
C.
Die Richtlinie 2001/115/EG des Rates („Rechnungsstellungsrichtlinie“), die inzwischen in die MwSt.-Richtlinie 2006/112/EG27 eingearbeitet ist, verfolgt vor allem das Ziel der Harmonisierung der mehrwertsteuerlichen Vorschriften. Seitdem die Richtlinie in das Recht der Mitgliedstaaten umgesetzt worden ist, ist deutlich geworden, dass das Ziel der Harmonisierung nur zu einem Teil erreicht wurde. Als dringend verbesserungswürdig werden die Regeln zur Authentizität und Integrität der elektronischen Übermittlung der Rechnung eingestuft. Hier hatte die Wahlmöglichkeit zwischen fortgeschrittener Signatur und qualifizierter Signatur dazu geführt, dass die Mitgliedsstaaten unterschiedliche Rechnungsstellungsvorschriften eingeführt haben. Diese Unterschiede gelten als Handelshindernisse und sollen abgeschafft werden. 25 BMF-Schreiben vom 29.01.2004, Randziffer 75. 26 BMF-Schreiben vom 29.01.2004, Randziffer 75 letzter Satz. 27 Richtlinie 2006/112/EG, ABl. L 347 vom 11.12.2006.
119
24
25
9 26
27
28
29
9
30
§ 9 Anwendungsfall: Archivierung elektronischer Rechnungen Unter der Zielsetzung, die elektronische Rechnungsstellung über eine Gleichstellung zwischen Papier- und elektronischer Rechnung zu vereinfachen, wurden in den letzten Monaten wiederholt diverse Vorschläge präsentiert. Mit Datum vom 13.07.2010 hat der EU-Ministerrat die von der EUKommission vorgeschlagenen Änderungen der Mehrwertsteuersystemrichtlinie beschlossen und damit die Anforderungen an die elektronische Rechnung reformiert. Im Kern fordert die Neuregelung, dass Authentizität und Integrität einer Rechnung künftig mittels sogenannter „Business Controls“, also geeigneter Kontrollmechanismen im Unternehmen, sicherzustellen sind. Die bisherige Konkretisierung über ein Signatur- bzw. EDI-Verfahren wurde im Gegenzug gestrichen. Zulässig seien nach der Neuregelung alle Verfahren, welche über einen sogenannten Audit-Trail die Verknüpfung zwischen einer Rechnung und der Lieferung bzw. Dienstleistung zuverlässig herstellen. Der Zeitraum, innerhalb dessen diese Anforderungen lückenlos zu erfüllen sind, beginnt mit dem Zeitpunkt der Rechnungserstellung und endet mit dem Ablauf des Aufbewahrungszeitraumes. Damit sind letztlich über die „Lebenszeit“ einer Rechnung stets die entsprechenden Nachweise zu führen. Doch: Warum nicht das eine tun, ohne das andere zu lassen?, hat sich wohl auch der EU-Ministerrat gedacht. Und so nennt die Richtlinie die bislang vorgeschriebenen Verfahren, die elektronische Signatur sowie das EDI-Verfahren beispielhaft und gibt insoweit gewissermaßen eine Signalwirkung zu bestehenden wie auch künftigen Überlegungen zur Umsetzung von Authentizität und Integrität. Der Entschluss des Ministerrates ist durchweg zu begrüßen. Letztlich wurde den politisch initiierten Anforderungen an Harmonisierung und Förderung des elektronischen Rechnungsversandes genauso Rechnung getragen wie den technischen Möglichkeiten, die je nach Unternehmensgröße stark divergieren können. So werden große Unternehmen der Implementierung von Business Controls eher problemlos gegenüberstehen, zumal die Verwendung eines bei diesen Unternehmensgrößen öfter anzutreffenden EDI-Verfahrens ohnehin schon ähnliche Bemühungen fordert. Das vom Ministerrat benannte Signaturverfahren wiederum würde den elektronischen Rechnungsversand für all jene absichern, die sich eben gerade nicht in derartige Prozesstiefen begeben möchten. Damit ist ein „Königsweg“ gefunden, der nicht zuletzt auch dem innerhalb der Wirtschaft berechtigten Interesse nach Bestandsschutz und Investitionssicherheit gerecht wird. Die Mitgliedstaaten haben nun bis zum 31.12.2012 Zeit, den Richtlinienvorschlag in geltendes Recht umzusetzen. Ab 01.01.2013 sollen die neuen Regelungen dann EU-weit Gültigkeit haben.
120
10
§ 10 Anwendungsfall: Outsourcing von archivrelevanter Infrastruktur oder Prozessen Lagert ein Unternehmen die Archivierung seiner Dokumente oder Daten auf ein anderes Unternehmen aus, so sind hiermit datenschutzrechtliche Fragen verbunden. Die Auslagerung der Dokumente sollte als Auftragsdatenverarbeitung erfolgen. Liegt der Ort der Auslagerung außerhalb Deutschlands, so tritt die rechtliche Komplikation der grenzüberschreitenden Datenübermittlung auf.
A.
Steuerrechtliche Anforderungen an die Auslagerung
A.
Die Erfüllung der gesetzlichen Anforderungen hinsichtlich des digitalen Datenzugriffs ist allein Sache des steuerpflichtigen Unternehmens. Diese Verantwortung kann grundsätzlich nicht auf Dritte abgewälzt werden. Der Buchführungspflichtige bleibt in jedem Fall für die Ordnungsmäßigkeit und Sicherheit verantwortlich. Der Umfang des Outsourcings orientiert sich an den Grundtätigkeiten der Buchführung (Sammeln, Kontieren, Eingabe/Erfassung, Aufbewahrung). Für die Bereiche sind Regelungen zur Sicherstellung der Ordnungsmäßigkeit der Buchführung erforderlich.1 Bei der Auslagerung von Teilaufgaben kann es ausreichend sein, dass allein beim beauftragenden Unternehmen wirksame Kontrollen zur Überwachung der ausgelagerten Tätigkeiten oder Prozesse eingerichtet sind. Bei der vollständigen Auslagerung muss sich das beauftragende Unternehmen auf das dortige interne Kontrollsystem verlassen können. Deshalb hat das auslagernde Unternehmen vertragliche Prüfungs- und Kontrollrechte zu vereinbaren, um sich von der Angemessenheit und Wirksamkeit des internen Kontrollsystems beim Dienstleistungsunternehmen zu überzeugen. Die Einhaltung dieser Anforderungen sollte im Detail vertraglich geregelt werden: Eindeutige Regelungen zu Art, Umfang und Dauer der zu archivierenden Daten und Dokumente und ihrer Auswertungsmöglichkeiten. Prüfungsrechte der unternehmenseigenen Internen Revision und des Abschlussprüfers. ! Praxishinweis: Beispiele für Regelungsbereiche sind: Kontrollrechte sollten vertraglich zugesichert werden. Vereinbarung von Prüfungs- und Auskunftsrechten (durch den Buchführungspflichtigen oder durch Dritte nach Auftrag des Buchführungspflichtigen). Regelungen über eine zeitnahe Verfügbarkeit von Daten und Verfahrensdokumentation. Es muss eine Verfahrensdokumentation sowohl für die Schnittstellenprozesse als auch für den Betrieb beim OutsourcingPartner vorhanden sein. Einsichtsrecht des Steuerpflichtigen auf die Verfahrensdokumentation des Outsourcing-Partners. Informationspflichten über Änderungen beim Outsourcingnehmer (organisatorische, IT-technische). Eine Weiterverlagerung an Subunternehmer muss bekannt und genehmigt werden, da hier alle vertraglichen Verpflichtungen an Dritte weitergegeben werden. 1
Neben den steuerlichen Anforderungen können weitere Grundlagen, wie die PS 951 des IDW oder Anforderungen, die sich aus SAS70-Prüfungen ergeben, relevant sein.
121 T. Brand, et al., Steuersicher archivieren, DOI 10.1007/ 978-3-8349-6461-8_10, © Gabler Verlag | Springer Fachmedien Wiesbaden GmbH 2011
1
2
3
10
4
10
§ 10 Anwendungsfall: Outsourcing von archivrelevanter Infrastruktur oder Prozessen
B.
Auslagerung ins Ausland
5
Es gelten hier die in § 9 A. III. für Rechnungen aufgeführten Regelungen.
C.
C.
Datenschutzrechtliche Anforderungen
I.
Auftragsdatenverarbeitung
6
7
10
Für die Datenverarbeitung im Auftrag gemäß § 11 BDSG ist die wichtigste Voraussetzung, dass die Erhebung, Verarbeitung und Nutzung lediglich in ihrer Hilfsfunktion für die Erfüllung der Aufgaben und Geschäftszwecke der verantwortlichen Stelle ausgelagert wird. Der Auftragnehmer darf nach § 11 Abs. 3 S. 1 BDSG die Daten nur „im Rahmen der Weisungen des Auftraggebers“ erheben, verarbeiten und nutzen. Unter „Weisungen“ sind alle vom Auftragnehmer vertraglich übernommenen Pflichten in Bezug auf Art und Gegenstand der Erhebung, Verarbeitung oder Nutzung sowie die technisch-organisatorische Datensicherung zu verstehen. Werden die den Verarbeitungsvorgängen zugrunde liegenden Aufgaben oder Geschäftszwecke teilweise abgegeben oder erbringt der externe Datenverarbeiter über die technische Verarbeitung hinaus materielle vertragliche Leistungen mit Hilfe der überlassenen Daten, dann ist er nicht mehr bloßer Auftragnehmer, sondern wird selbst zur verantwortlichen Stelle. Die Datenweitergabe im Rahmen einer solchen „Funktionsübertragung“ ist konsequenterweise als Übermittlung zu klassifizieren.2 § 11 Abs. 2 S. 2 BDSG verlangt, dass der Auftrag schriftlich zu erteilen ist. Die Anforderungen an den Inhalt von Verträgen über die Auftragsdatenverarbeitung sind von der Datenschutznovelle II 2009 durch einen Katalog von zehn Punkten konkretisiert worden (§ 11 Abs. 2 S. 2 BDSG): der Gegenstand und die Dauer des Auftrags, der Umfang der Datenverarbeitung, die Art der Daten und der Kreis der Betroffenen, die technischen und organisatorischen Maßnahmen nach § 9 BDSG, die Berichtigung, Löschung und Sperrung von Daten, die Pflichten des Auftragnehmers, die Berechtigung zur Begründung von Unterauftragsverhältnissen, die Kontrollrechte des Auftraggebers, mitzuteilende Verstöße des Auftragnehmers, die Weisungsbefugnisse des Auftraggebers, die Rückgabe der überlassenen Datenträger.
II. 8
Grenzüberschreitende Datenübermittlung
Für Unternehmen mit Sitz im Inland regelt das BDSG die Datenübermittlung in ein anderes EUMitgliedsland und in ein EU-Drittland unterschiedlich.
2
122
Simitis u. a., BDSG/ Walz, § 11 Rdnr. 18.
C. Datenschutzrechtliche Anforderungen
1.
Datenübermittlung von der BRD in ein anderes EU-Mitgliedsland
Durch die Umsetzung der EG-Datenschutzrichtlinie (EG-DatSchRL) in den einzelnen Mitgliedsländern ist im EU-Raum ein einheitliches Datenschutzniveau entstanden. Deshalb ist für Unternehmen mit Sitz im Inland die grenzüberschreitende Datenübermittlung innerhalb des EU-Raums unter den Voraussetzungen, wie sie auch für die Übermittlung im Inland gelten, mit § 4b Abs. 1 BDSG als zulässig erklärt. Ein Unternehmen mit Sitz im Inland ist also berechtigt, personenbezogene Daten EU-weit zu übermitteln, wenn dieses Recht nach § 28 BDSG besteht.3
2.
9
Datenübermittlung von der BRD in Drittländer
Übermittlungen in Drittländer müssen, wie die Übermittlungen nach § 4b Abs. 1 BDSG im EURaum, den Anforderungen der BDSG-Vorschriften entsprechen, § 4b Abs. 2 S. 1 BDSG. Die Übermittlung muss unterbleiben, wenn der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat, insbesondere, wenn ein angemessener Datenschutz im Drittland nicht gewährleistet ist, § 4b Abs. 2 S. 2 BDSG. Die Angemessenheit des Schutzniveaus wird nach § 4b Abs. 3 BDSG unter Berücksichtigung aller Umstände beurteilt, die bei der Datenübermittlung von Bedeutung sind. Hierzu zählen die Art der Daten, die Zweckbestimmung, die Dauer der Verarbeitung, die für den Empfänger geltenden Rechtsnormen, Standesregeln und Sicherheitsmaßnahmen. Die Angemessenheit des Schutzniveaus ist von der EU-Kommission nach Art. 25 DSchRL für die Schweiz und Kanada festgestellt worden.4 Eine weitere Entscheidung zu Art. 25 DSchRL hat die EU-Kommission zu Datenübermittlungen in die USA getroffen. Danach gewährleistet das mit dem US-Handelsministerium ausgehandelte Safe-Harbor-Verfahren einen angemessenen Datenschutz. Hierzu muss sich der Empfänger in den USA durch Erklärungen gegenüber der zuständigen USBehörde zur Einhaltung bestimmter Datenschutzprinzipien verpflichten. Für andere Drittländer ist es wegen der komplexen Kriterien kaum möglich, das angemessene Schutzniveau zu bestimmen.5 Deshalb sind die in § 4c Abs. 1 und Abs. 2 BDSG bestimmten Ausnahmen wichtig, nach denen eine Datenübermittlung in Drittstaaten zulässig ist, auch wenn ein angemessenes Datenschutzniveau nicht gewährleistet ist. Nach § 4c Abs. 1 BDSG ermöglichen die Einwilligung des Betroffenen und die Übermittlung zur Erfüllung eines Vertrages zwischen dem Betroffenen und der verantwortlichen Stelle die grenzüberschreitende Datenübermittlung. So bilden die Einwilligung und der Vertragszweck die Rechtsgrundlage für die Übermittlung von Daten im Reiseverkehr. 6 In allen anderen Fällen ermöglicht es die „genehmigungspflichtige Vertragslösung“ des § 4c Abs. 2 BDSG der verarbeitenden Stelle, Datenübermittlungen in Empfängerländer vorzunehmen, in denen ein angemessenes Datenschutzniveau nicht sichergestellt ist. Die Vertragsklauseln oder „verbindlichen Unternehmensregelungen“ müssen ausreichende Garantien hinsichtlich des Schutzes des Persönlichkeitsrechtes bieten und vorab durch die zuständige Aufsichtsbehörde genehmigt werden, § 4c Abs. 2 S. 1 BDSG. Für internationale Konzerne ist es empfehlenswert, zur Vereinfachung von Genehmigungsverfahren auf Standardvertragsklauseln zurückzugreifen, wie sie in einer gemeinsamen Studie des Europarats, der Europäischen Kommission und der Internationalen Handelskammer 3 4 5 6
10
Gola/Schomerus, Bundesdatenschutzgesetz, § 4b Rdnr. 2-3. Simitis u. a., BDSG/Simitis, § 4b Rdnr. 65. Simitis u. a., BDSG/Simitis, § 4b Rdnr. 52-64. Zu den Anwendungsfällen: Simitis u. a., BDSG/Simitis, § 4c Rdnr. 7-24.
123
10
10
11
12
10
§ 10 Anwendungsfall: Outsourcing von archivrelevanter Infrastruktur oder Prozessen entwickelt worden sind.7 Auch Selbstverpflichtungen in Unternehmensrichtlinien können den Datenfluss innerhalb internationaler Konzerne ermöglichen. Diese sog. Codes of Conduct müssen den Betroffenen ebenso rechtlich garantierte Rechtspositionen einräumen, wie es bei der Vertragslösung der Fall ist.8
13
D.
Typische Stolpersteine und Hinweise für die Praxis
I.
Intransparente Auslagerung
Gerade beim Einsatz von Cloud-Technologien ist es für den Kunden oft nicht transparent, wo (in welchem Land) die Verarbeitung und Speicherung von Daten erfolgt (Stichwort Cloud-Computing über Ländergrenzen). Weitere Details: siehe § 10 E.
II. 14
Migration beim Einsatz von Dienstleistern
Beim Einsatz eines Archivierungs-Dienstleisters geht man davon aus, dass dieser die obigen Fragestellungen beherrscht – schon aus Eigeninteresse. Dies kann man prüfen, mindestens sollte man aber einige Punkte auch vertraglich regeln. ! Praxishinweis: Beispiel: Bei Beendigung dieses Vertrages wird der Provider den Auftraggeber bei der Migration der archivierten Dokumente unterstützen. Insbesondere betrifft dies folgende Unterstützungsleistungen: Bereitstellung aller Dokumente, bei denen die Aufbewahrungsfrist noch nicht beendet ist. Die Objektdaten sind im Quellformat der Archivierung zu liefern. Bereitstellung aller Indizierungsinformationen im Textformat mit einer eindeutigen Referenzierung zu den dazugehörigen Objektdateien. Das Anlieferungsformat für Objekte und Indexdaten wird im Detail vor Vertragsende gemeinsam abgestimmt. Die Lieferung der Dokumente erfolgt maximal einen Monat nach Vertragsende. Die Lieferung erfolgt auf Datenträgern, die der Auftraggeber verarbeiten kann. Hierüber wird sich rechtzeitig vor Vertragsende abgestimmt. Die Kosten für die Bereitstellung der Dokumente sind über die Kosten dieses Vertrages abgedeckt. Es fallen keine gesonderten Aufwände an.
10
E. 15
E.
Cloud Archiving
Cloud Computing ist ein radikal neuer Ansatz der Informationstechnologie. IT-Infrastrukturen, Plattformen und Softwareanwendungen werden als Ressourcen verstanden, die für den Nutzer auf Abruf verfügbar sind, skalierbar genutzt werden können und nutzungsabhängig abrechenbar sind. Software und Speicherplatz werden also nicht mehr gekauft, sondern als Service in Anspruch ge7 8
124
Simitis u. a., BDSG/Simitis, § 4c Rdnr. 42-50. Gola/Schomerus, BDSG-Kommentar, 8. Aufl. 2005, § 4c Rz. 9.
E. Cloud Archiving
10
nommen. Der betriebswirtschaftliche Nutzen und die Kosteneinsparung dieses Netzwerkes von Rechenzentren, die Speicher- und Rechenleistungen für die Cloud-Kunden übernehmen und untereinander optimal verteilen, liegt nahe. Deshalb wird dem Cloud Computing ein schnelles Wachstum vorausgesagt. Wie sich bereits zeigt, werden von diesem Wachstum vor allem Archivlösungen erfasst. Denn es ist für Unternehmen überzeugend, Dokumente auszulagern, um sich damit von den Kosten eigener Speichersysteme zu befreien. Damit werden die Dokumente nicht mehr lokal in einem Rechenzentrum archiviert, sondern in vernetzten Rechenzentren, der Cloud. 9 In einer solchen Cloud kann der Nutzer nicht feststellen, an welchem Ort sich die Daten physisch befinden. Diese neue Dimension der Unbestimmbarkeit des Archivierungsortes und der Internationalität der Cloud sind archivrechtlich und datenschutzrechtlich kritisch.
I.
Die steuerrechtlichen Anforderungen an das Cloud-Archiving
Für die Archivierung steuerrechtlich relevanter Dokumente gilt der Grundsatz, dass sie im Geltungsbereich der Abgabenordnung, also der Bundesrepublik Deutschland, aufzubewahren sind, § 146 Abs. 2 Satz 1 AO. Für die Archivierung im europäischen Ausland und in Drittstaaten gelten unterschiedliche Anforderungen.
1.
Archivierung in EU-Mitgliedsländern
Ausnahmsweise kann die zuständige Finanzbehörde nach § 146 Abs. 2a Satz 3 AO auf Antrag des Steuerpflichtigen bewilligen, dass steuerrechtlich relevante Dokumente in einem EU-Mitgliedstaat oder einem EWR-Mitgliedstaat mit Amtshilfeübereinkommen10 elektronisch archiviert werden, wenn der Steuerpflichtige die Zustimmung zur Durchführung eines Zugriffs auf elektronische Bücher und sonstige erforderliche elektronische Aufzeichnungen der zuständigen Stelle des Staates, in den die elektronischen Bücher und Aufzeichnungen verlagert werden sollen, vorlegt, der zuständigen Finanzbehörde den Standort des Datenverarbeitungssystems und bei Beauftragung eines Dritten dessen Namen und Anschrift mitteilt, seinen Pflichten zur ordnungsmäßigen Archivierung nachkommt und der Finanzbehörde den Datenzugriff in vollem Umfang ermöglicht. Diese Regelung stellt sicher, dass die Finanzbehörde ohne Eingriff in fremde Hoheitsrechte auf den im Ausland befindlichen Server des Steuerpflichtigen zugreifen kann und Beschlagnahmemaßnahmen möglich sind.11 Die Regelung soll es insbesondere inländischen Tochterunternehmen ausländischer Konzerne ermöglichen, ihre Buchführungs- und Aufzeichnungsarbeiten in die ausländischen Konzernzentralen zu verlegen.12 Diese Regelung des § 146 Abs. 2a Satz 3 AO ist als ein Privileg für den EU-Raum zu interpretieren, das durch die räumliche Nähe des Archivierungsortes für deutsche Finanzbehörden begründet ist.13
9 10 11 12 13
16
Zum Cloud-Computing siehe Carr, The Big Switch, vor allem Part 2 Living in the Cloud, S. 107-211 und Mather/Kumaraswamy/Latif, Cloud Security and Privacy, S. 7-34. Island, Liechtenstein und Norwegen. So Cöster in Pahlke/König, Abgabenordnung, § 146 Rn. 30. So Cöster in Pahlke/König, Abgabenordnung, § 146 Rn. 28. In diesem Sinne auch die Auslegung des § 146 Abs. 2a AO von Niemann/Paul, K&R 2009, 444, 450 f.
125
17
10
18
10
§ 10 Anwendungsfall: Outsourcing von archivrelevanter Infrastruktur oder Prozessen
2. 19
Die Führung und Aufbewahrung elektronischer Bücher und Aufzeichnungen in Staaten außerhalb der EU kann die zuständige Finanzbehörde bewilligen, wenn hierdurch die inländische Besteuerung nicht beeinträchtigt wird, § 146 Abs. 2a Satz 5 AO. Es ist also nicht erforderlich, dass die Zustimmung der zuständigen Stelle des ausländischen Staates vorliegt oder der Steuerpflichtige den Standort des Datenverarbeitungssystems mitteilen kann.14 Dies eröffnet dem weltweiten Cloud-Archiving eine steuerrechtliche Grundlage, wenn die Dokumente integer, wieder auffindbar und für die Steuerbehörde zugriffssicher elektronisch archiviert werden.
II. 20
10
Datenschutzrecht
Archiviert ein Unternehmen Dokumente in einer Cloud, so werden mit den Dokumenten personenbezogene Daten von Mitarbeitern und Kunden gespeichert. Ist das Cloud Archiving auf die EU-Mitgliedsländer beschränkt, so sind die Regeln der Auftragsdatenverarbeitung anwendbar. Werden die personenbezogenen Daten in der globalen Cloud gespeichert, so ist dies nur unter den einschränkenden Bedingungen der §§ 4b, 4c BDSG möglich.
1. 21
Archivierung in Drittstaaten
Die Cloud in den EU-Mitgliedsländern
Für die Auftragsdatenverarbeitung nach § 11 BDSG ist charakteristisch, dass der Auftraggeber dafür verantwortlich ist, dass die datenschutzrechtlichen Vorschriften beachtet werden. Deshalb ist der Auftraggeber nach § 11 Abs. 2, S. 1 BDSG zur sorgfältigen Auswahl des Auftragnehmers verpflichtet. Wichtigster Maßstab für die Auswahl des Auftragnehmers ist die „Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen“. Entscheidendes Kriterium hierfür ist, ob bei der beauftragten Stelle ein angemessener Datensicherungsstandard gewährleistet ist, der den Anforderungen des § 9 BDSG und der Anlage zu dieser Vorschrift entspricht. Hieran stellt die technisch-organisatorische Komplexität der Cloud-Systeme, in denen die Daten ständig ihren Standort wechseln und der Auftraggeber nicht weiß, wo sich die Daten befinden, besondere Anforderungen. Gegenüber einer Cloud-Security wirken die Sicherheitskriterien der Anlage zu § 9 BDSG wie Relikte einer traditionellen Technologie, nämlich der lokalen Rechenzentren. Für diese überschaubare Welt können Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle, Verfügbarkeitskontrolle und die getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben werden, definiert werden. Diese Kriterien helfen für ein weltweit vernetztes System wie die Cloud nicht weiter. Für das Cloud Archiving müssen deshalb Maßstäbe der Datensicherheit entwickelt werden. ! Praxishinweis: Der Cloud-Dienstleister muss dem Kunden eine Dokumentation bieten, aus der sich für den Anwender nachvollziehbar Datensicherheit ergibt. In der Diskussion um die Sicherheitstechniken werden Verschlüsselungstechniken als die sicherste Lösung bewertet. 15
14 So Cöster in Pahlke/König, Abgabenordnung, § 146 Rn. 32. 15 Siehe zur Datensicherheit der Cloud-Systeme Mather/Kumaraswamy/Latif, Cloud Security and Privacy, S. 61-71.
126
E. Cloud Archiving
2.
10
Die weltweite Cloud und die Vertragslösung
Das globalisierte Cloud Archiving kann datenschutzrechtlich nicht durch Auftragsdatenverarbeitung gelöst werden, weil diese Vorschrift auf den EU-Raum als den Geltungsbereich der EU-Datenschutzrichtlinie beschränkt ist.16 Damit ist das globalisierte Cloud Archiving datenschutzrechtlich nach den Vorschriften zur Übermittlung personenbezogener Daten ins Ausland nach §§ 4b, 4c BDSG zu bewerten. Die globalisierte Cloud-Dienstleistung ist mit dem datenschutzrechtlichen Vorbehalt belastet, dass ein angemessenes Datenschutzniveau außerhalb des EU-Raums nicht angenommen wird. Deshalb muss sich der Nutzer des Cloud Archiving nach § 4c Abs. 2 S. 1 BDSG als die datenschutzrechtlich verantwortliche Stelle von der zuständigen Aufsichtsbehörde das globalisierte Cloud Archiving genehmigen lassen.17 Dafür muss er der Aufsichtsbehörde ausreichende Garantien vorweisen, dass das Persönlichkeitsrecht der Betroffenen geschützt wird. Die Garantien können sich aus Vertragsklauseln oder verbindlichen Unternehmensregelungen ergeben. Als ausreichende Garantien gelten die Klauseln der Standardverträge I und II der EU-Kommission im Sinne von Artikel 26 Absatz 2 der Richtlinie 95/46/EG.18 Multinationale Unternehmen können diese Klauseln in Binding Corporate Rules (BCR) integrieren. BCR gelten EU-rechtlich als die angebrachte Lösung, dass multinationale Unternehmen für die Übermittlung personenbezogener Daten außerhalb der Europäischen Union einen datenschutzrechtlichen Standard sichern.19 Solche Regeln schaffen ein System, an das sich die Nutzer der Dokumente halten können und das für die Betroffenen den Umgang mit ihren Daten transparent macht.20 Als Ergänzung zu diesen Vertragsregeln lassen sich CloudAnbieter nach „Safe Harbor“-Maßstäben zertifizieren. Damit ist nachgewiesen, dass die Cloud ein angemessenes Datenschutzniveau bietet.
22
10
III.
Varianten in der Umsetzung
Die augenblickliche Anfangsphase des Cloud Archiving wird von dem Vertragsangebot der CloudBetreiber für eine Public oder Private Cloud und für globale oder auf den EU-Binnenmarkt beschränkte Servernetze bestimmt. Mit dem Begriff Private Cloud wird eine Sicherheitstechnik bezeichnet, die im Gegensatz zur Public Cloud nur wenigen definierten Nutzern den Zugang zu den in der Cloud gespeicherten Dokumenten erlaubt.
IV.
Relevante rechtliche Grundlagen
Die gesetzlichen Grundlagen ergeben sich aus der Abgabenordung und dem Bundesdatenschutzgesetz.
1.
24
Abgabenordnung
Nach § 146 Abs. 2 S. 1 AO sind steuerlich relevante Aufzeichnungen im Inland aufzubewahren. Ausnahmsweise kann die Finanzbehörde nach § 146 Abs. 2a S. 3 AO auf Antrag des Steuerpflichtigen die elektronische Archivierung in einem EU-Mitgliedstaat bewilligen.
16 17 18 19 20
23
Siehe hierzu Walz in Simitis (Hrsg.), BDSG, 6. Aufl. 2006, § 11 Rn. 4. Siehe zu den genehmigungspflichtigen Ausnahmen Simitis in Simitis (Hrsg.), BDSG, 6. Aufl. 2006, § 4c Rn. 29-68. Siehe hierzu Ziffer 28a und 28b der Einleitung in Geis/Helfrich, Datenschutzrecht, 2. Aufl. 2009, München. Working Paper 155 der Article 29 Data Protection Working Party. Siehe zu dieser Lösung: Spieß, MMR 5/2009, XI; Söbbing, MMR 5/2008, XII f.; Jotzo, MMR 2009, 232 ff. und Pohle/Ammann, CR 2009, 273, 277.
127
25
10 26
§ 10 Anwendungsfall: Outsourcing von archivrelevanter Infrastruktur oder Prozessen Nach § 146 Abs. 2a S. 5 AO kann die Finanzbehörde die Aufbewahrung von steuerrechtlich relevanten Dokumenten im nichteuropäischen Ausland genehmigen, wenn hierdurch die inländische Besteuerung im Inland nicht beeinträchtigt wird.
2. 27
Bundesdatenschutzgesetz
Ein Vertrag mit dem Cloud-Anbieter, der dem Steuerpflichtigen die Herrschaft über die Daten ermöglicht, ist als Auftragsdatenverarbeitung nach § 11 BDSG zu gestalten. Diese Auftragsdatenverarbeitung wird für eine Private Cloud, die auf den EU-Raum beschränkt ist, anzunehmen sein, nicht aber im Falle einer globalen Cloud. Hierfür muss ein Vertrag mit dem Cloud-Anbieter geschlossen werden, in dem ein angemessenes Datenschutzniveau zugesichert wird, die Interessen der Betroffenen gemäß § 28 Abs. 1 Nr. 2 BDSG berücksichtigt sind und der von der zuständigen Aufsichtsbehörde genehmigt ist, § 4c Abs. 2 S. 1 BDSG. ! Praxishinweis: Stolperstein größten Ausmaßes ist die globale Public Cloud. Doppeltes Problem: Zugriffssicherheit und datenschutzrechtliches Problem der Datenspeicherung in Servern außerhalb der EU. Die Entscheidung sollte daher in Richtung Private Cloud gehen, die auf die EU-Mitgliedsstaaten beschränkt ist.
G.
10
28
29
30
F.
Zusammenfassung und Ausblick
Die Auslagerung der elektronischen Archivierung und das Cloud Archiving in europäischen und globalen Netzen ist von der Zustimmung der Finanzbehörde abhängig, § 146 Abs. 2a AO. Wenn der Steuerpflichtige einen solchen Antrag stellt, dann sollte überzeugend ausgeführt werden, dass durch das Cloud Archiving die Besteuerung im Inland nicht beeinträchtigt wird. Für die Archivierung in einem EU-Drittland wird dies nach § 146 Abs. 2a S. 5 AO gesetzlich gefordert. Wichtig sind Kontrollrechte beim Dienstleister, Regelungen für den Datenzugriff im Rahmen der Betriebsprüfung und eine definierte Vorgehensweise für das Ende des Vertrages. Für die auf die EU beschränkte Cloud-Archivierung ist dies ebenfalls eine selbstverständliche Bedingung. Die Anforderung, dass die Besteuerung im Inland nicht beeinträchtigt wird, kann konkretisiert werden: Während der Archivierung beim Dienstleister oder in der Cloud müssen Integrität und Wiederauffindbarkeit der steuerlich erheblichen Dokumente gewährleistet sein. Dies muss sich aus Technik und Organisation ergeben. Für das aktuelle Hypethema Cloud gilt: Die Aufarbeitung und Durchdringung des Themas steht erst am Anfang. Jeder, der sich dieses Themas annimmt und es in der Praxis umsetzt, leistet Pionierarbeit.
128
11
§ 11 Zusammenfassung und Ausblick Kein Steuerpflichtiger kann der Pflicht zum steuersicheren Archivieren entgehen. Seit Beginn des elektronischen Archivierens werden die rechtlichen, technischen und organisatorischen Anforderungen diskutiert. Mit elektronischen Kommunikationssystemen, die steuerliche Dokumente weltweit transportieren und archivieren, werden die rechtlichen Anforderungen stetig komplexer. Die Autoren haben sich die Aufgabe gestellt, Lösungsansätze darzustellen, um den Lesern einen Weg durch diesen Dschungel zu bahnen. Diese Ausführungen werden hier in Kernaussagen zusammengefasst und es wird ein Blick in die Zukunft der elektronischen Archivierung gewagt. Steuerrelevante Unterlagen, die steuersicher zu archivieren sind, können nicht so eindeutig definiert werden, wie es auf den ersten Blick scheint. Neben Dokumenten mit eindeutig steuerlicher Auswirkung, wie Rechnungen oder Bilanzen, liegen Dokumente vor, die abhängig von der Art der Außenprüfung, wie Betriebs-, Lohnsteuer-, Umsatzsteuer- und Zollprüfung, steuerlich relevant sind und Dokumente, die durch Verwendung des erzeugenden IT-Systems steuerlich relevant sind, wie Zeiterfassungssysteme als Grundlage für die Berechnung des Arbeitsentgelts. Das Aufbewahren steuerlich relevanter Dokumente hat die Finanzverwaltung mit der Interpretation der schlichten gesetzlichen Anforderung der Aufbewahrung nach den „Grundsätzen der Ordnungsmäßigkeit“ zu einem komplexen rechtlichen System entwickelt. In der Praxis hilft die Konkretisierung. Es sind Anhaltspunkte, um die Unveränderbarkeit der Dokumente sicherzustellen, die Archivierungsformate zu wählen, die Archivierungsdauer einzuhalten, eine Verfahrensdokumentation vorzuhalten und die immer kritische, weil datengefährdende Migration eines elektronischen Archivs zu bewältigen. Mit dem neu geschaffenen Verzögerungsgeld dürfen die Finanzbehörden im Prüfungsfall neuerdings eine unzureichende Vorlage von steuerlich relevanten Dokumenten ahnden. Bei Mängeln in der Aufbewahrung stehen damit erstmals finanziell empfindliche Folgen zu befürchten. Mit dem Scannen von Papierdokumenten verlässt der Steuerpflichtige die seit Generationen eingeübte Papierdokumentation. Die gefühlte Rechtssicherheit, die mit der Papierdokumentation verbunden war und ist, muss auf die elektronische Archivierung gescannter Dokumente übertragen werden. Die Rechtssicherheit des Scanvorgangs sollte an den Äußerungen der Finanzverwaltung orientiert werden. Grundlegend ist die Qualitätssicherung im Erfassungszeitraum, damit alle Informationen des Papierdokuments erfasst werden. Wenn dies sichergestellt ist, kann der entscheidende Schritt nach dem Scannen getan und das Papierdokument vernichtet werden. Die E-Mail-Kommunikation zwischen Unternehmen ist ein Wachstumsfaktor. Wie ist mit dieser Massenkommunikation steuersicher umzugehen? Entscheidend ist die Pflicht zur elektronischen Archivierung der E-Mail-Kommunikation, damit die Finanzverwaltung die elektronischen Dokumente für Prüfungszwecke „maschinell auswerten“ kann. Umfang der Archivierung, E-Mail-Archivsysteme und Indexierung sind spezifische Fragen der E-Mail-Archivierung. Sicherheit der Archivierung hat auch einen beweisrechtlichen Effekt: Sie ist das entscheidende Indiz für die Beweisqualität. Ein immer währendes Thema ist in Unternehmen die Nutzung des E-Mail-Accounts für private Zwecke. Vom Verbot bis zur Erlaubnis können Unternehmen eine individuelle Lösung suchen. Dezentrale PC-Landschaften sind eine Selbstverständlichkeit in Unternehmen und ein Risiko für das steuersichere Archivieren. Unterlagen, die in PC-Anwendungen entstehen, wie Textverarbeitungs- und Tabellenkalkulationsdokumente, müssen vom Steuerpflichtigen qualifiziert werden, ob sie steuerlich aufbewahrungspflichtig sind. Dies ist oft nicht eindeutig, sondern im Kontext der betrieblichen Prozesse zu entscheiden. Werden steuerlich relevante Dokumente auf der Festplatte eines 129 T. Brand, et al., Steuersicher archivieren, DOI 10.1007/ 978-3-8349-6461-8_11, © Gabler Verlag | Springer Fachmedien Wiesbaden GmbH 2011
1
2
3
11 4
5
6
11
7
8
9
11 10
11
12
§ 11
Zusammenfassung und Ausblick
PCs aufbewahrt, so führt dies in PC-Landschaften zu einem Reproduktionsproblem: Es muss sichergestellt sein, dass die gesuchten Dokumente in angemessener Zeit sicher gefunden werden können. Hierzu sind Ordnungsvorschriften nötig, die sich an Best-Practice-Regeln orientieren können. Mit der Kommunikationstechnik EDI Electronic Data Interchange ist der Schritt zur rechtswirksamen automatisierten Erklärung erfolgt. Als rechtswirksame Erklärungen sind EDI-Nachrichten steuerlich aufbewahrungspflichtig. Ein spezifisches EDI-Problem der Aufbewahrung besteht durch die Konvertierung eingehender EDI-Nachrichten. Hierdurch werden Dateien gesplittet, Formate an die Erfordernisse der eigenen Systeme angepasst und Fehler nach Plausibililtätsprüfungen korrigiert. Hier ist ein Stolperstein zu beachten, den die Finanzverwaltung in den GDPdU zementiert hat: Die eingehende EDI-Nachricht und die konvertierte EDI-Nachricht sind beide zu archivieren. Die Bereitstellung steuerrelevanter Daten für die Prüfung durch die Finanzbehörde hat eine unproblematische und eine problematische Seite. Unproblematisch ist es für Unternehmen, Daten aus der Finanz-, Anlagen- und Lohnbuchhaltung bereitzustellen. Problematisch ist es, der Finanzverwaltung den Zugriff auf vor- oder nachgelagerte Systeme zu sichern. Schon die Vielzahl dieser Systeme kann zum Risiko einer digitalen Außenprüfung werden. Ein wichtiger Risikofaktor ist die Historisierung von Stammdaten in Vor- und Nebensystemen. Wenn Stammdaten nicht zu Bewegungsdaten passen, kann das Konsequenzen für die Auswertbarkeit der gesamten Datenbestände besitzen. Bei der Archivierung dieser Daten muss das Archivsystem Auswertungen ermöglichen, die der aktuellen Qualität des Produktivsystems entsprechen. Der elektronische Geschäftsverkehr beginnt mit dem Vertragsabschluss durch E-Mail-Kommunikation und endet mit der elektronischen Rechnung. Der europäische Rechtsrahmen für die elektronische Rechnung, der 2001 entstanden ist, wurde in das Umsatzsteuerrecht integriert, das als Sicherheitstechnik die qualifizierte elektronische Signatur des Absenders der Rechnung oder das EDI-Verfahren verlangt. Seit Juli 2010 hat die EU-Verwaltung die Weichen für eine Reform gestellt: Geeignete Kontrollmechanismen, die die Verknüpfung zwischen Rechnung und Lieferung zuverlässig herstellen, reichen aus. Als solche Mechanismen werden Elektronische Signaturen und EDIVerfahren akzeptiert. Ab dem Jahr 2013 soll diese Regelung deutsches Recht sein. Dem Outsourcen von Archivdienstleistungen sind technisch keine Grenzen gesetzt. Rechtlich sind durch das Archivrecht deutliche Grenzen gezogen. Outsourcen im Inland ist möglich, ohne die Finanzbehörde in diesen Prozess einzubeziehen. Diese Freiheit endet, wenn die Dokumente in das Ausland outgesourct werden. Dieses Outsourcen muss die Finanzbehörde bewilligen. Für das EU-Ausland reicht es aus, dass der Finanzbehörde der Datenzugriff ermöglicht wird. Für ein EUDrittland, wie die USA, muss sichergestellt sein, dass die inländische Besteuerung nicht beeinträchtigt ist. Eine technologische Variante des Outsourcings ist das Cloud Archiving: das Archivieren in global vernetzten Serverfarmen. Aber wie soll nur die Finanzbehörde davon überzeugt werden, dass dadurch die inländische Besteuerung nicht beeinträchtigt wird? Cloud-Archiving ist ein Blick in die Zukunft elektronischer Archivsysteme: Mobilität der Dokumente in global vernetzten Servern statt Stabilität an einem Archivierungsort. Ist dies noch steuersicheres Archivieren? Das Gesetz liefert eine elastische und selbstverständliche Formel: Es muss sichergestellt sein, dass die inländische Besteuerung nicht beeinträchtigt ist. Diese Formel bindet das elektronische Archivieren nicht an eine bestimmte Technik und schränkt das elektronische Archivieren nicht territorial ein. Die Aufgabe für die Zukunft zeichnet sich damit ab. Finanzverwaltung und Unternehmen müssen einen Dialog eröffnen, um die Verlegenheitsformulierung des Gesetzes mit aktuellen technischen Möglichkeiten zu konkretisieren. Die wirtschaftliche Wirklichkeit global verflochtener Unternehmen und kostengünstige Angebote von Archivdienstleistern verlangen danach. 130
Anhang Anhang 1: Rechtliche Grundlagen Die Zielsetzung dieses Anhangs ist die Zusammenstellung der Rechtsgrundlagen mit Anforderungen an die Aufbewahrung und Archivierung von Daten und Dokumenten. Relevant sind: Abgabenordnung (AO), Grundsätze ordnungsmäßiger Buchführung (GoB), Grundsätze ordnungsgemäßiger DV-gestützter Buchführungssysteme (GoBS), Grundsätze zum Datenzugriff und zur Prüfung digitaler Unterlagen (GDPdU), Umsatzsteuergesetz (UStG), Mehrwertsteuer-Systemrichtlinie, BMF-Schreiben zur Umsetzung der Richtlinie 2001/115/EG von 29.01.2004, BMF-Schreiben Angabe des Zeitpunkts der Leistung und der im Voraus vereinbarten Minderungen des Entgelts vom 03.08.2004, BMF-Schreiben zum IT-Verfahren „ATLAS-Ausfuhr“ vom 17.07.2009, Handelsgesetzbuchrecht (HGB), Grundsätze ordnungsgemäßiger Buchführung beim Einsatz elektronischer Archivierungsverfahren (FAIT 3), Bürgerliches Gesetzbuch (BGB), Zivilprozessordnung (ZPO) und Bundesdatenschutzgesetz.
A.
Abgabenordnung (AO)
2
A.
Die Abgabenordnung (AO) ist ein Basisgesetz des deutschen Steuerrechts. Es definiert Steuerarten, Besteuerungsgrundlagen und Besteuerungsverfahren. In der Abgabenordnung sind die folgenden Paragraphen bezüglich der Aufbewahrung der Dokumente relevant: § 140 AO (Buchführungspflicht), § 146 AO (Buchführung und Aufzeichnungen), § 147 AO (Aufbewahrung von Unterlagen). Bezüglich einer elektronischen Archivierung werden aufbewahrungspflichtige Unterlagen, Aufbewahrungsfristen, Formate und Orte der Aufbewahrung sowie die Zulässigkeit der elektronischen Archivierung überhaupt definiert.
131 T. Brand, et al., Steuersicher archivieren, DOI 10.1007/ 978-3-8349-6461-8, © Gabler Verlag | Springer Fachmedien Wiesbaden GmbH 2011
1
3 4
Anhang Relevant im Bezug auf die Aufbewahrung im Allgemeinen und die elektronische Archivierung sind: §§ 140 und §§ 145–148. § 140 Buchführungs- und Aufzeichnungspflichten nach anderen Gesetzen Wer nach anderen Gesetzen als den Steuergesetzen Bücher und Aufzeichnungen zu führen hat, die für die Besteuerung von Bedeutung sind, hat die Verpflichtungen, die ihm nach den anderen Gesetzen obliegen, auch für die Besteuerung zu erfüllen. § 145 Allgemeine Anforderungen an Buchführung und Aufzeichnungen (1) Die Buchführung muss so beschaffen sein, dass sie einem sachverständigen Dritten innerhalb angemessener Zeit einen Überblick über die Geschäftsvorfälle und über die Lage des Unternehmens vermitteln kann. Die Geschäftsvorfälle müssen sich in ihrer Entstehung und Abwicklung verfolgen lassen. (2) Aufzeichnungen sind so vorzunehmen, dass der Zweck, den sie für die Besteuerung erfüllen sollen, erreicht wird. § 146 Ordnungsvorschriften für die Buchführung und für Aufzeichnungen (1) Die Buchungen und die sonst erforderlichen Aufzeichnungen sind vollständig, richtig, zeitgerecht und geordnet vorzunehmen. Kasseneinnahmen und Kassenausgaben sollen täglich festgehalten werden. (2) Bücher und die sonst erforderlichen Aufzeichnungen sind im Geltungsbereich dieses Gesetzes zu führen und aufzubewahren. Dies gilt nicht, soweit für Betriebsstätten außerhalb des Geltungsbereichs dieses Gesetzes nach dortigem Recht eine Verpflichtung besteht, Bücher und Aufzeichnungen zu führen, und diese Verpflichtung erfüllt wird. 3In diesem Falle sowie bei Organgesellschaften außerhalb des Geltungsbereichs dieses Gesetzes müssen die Ergebnisse der dortigen Buchführung in die Buchführung des hiesigen Unternehmens übernommen werden, soweit sie für die Besteuerung von Bedeutung sind. Dabei sind die erforderlichen Anpassungen an die steuerrechtlichen Vorschriften im Geltungsbereich dieses Gesetzes vorzunehmen und kenntlich zu machen. (2a)1 Abweichend von Absatz 2 Satz 1 kann die zuständige Finanzbehörde auf schriftlichen Antrag des Steuerpflichtigen bewilligen, dass elektronische Bücher und sonstige erforderliche elektronische Aufzeichnungen in einem Mitgliedstaat der Europäischen Union geführt und aufbewahrt werden. Dasselbe gilt für einen anderen Staat, auf den das Abkommen über den Europäischen Wirtschaftsraum vom 03.01.1994 (ABl. EG Nr. L 1 S. 3) in der jeweils geltenden Fassung Anwendung findet, mit dem eine Rechtsvereinbarung über Amtshilfe besteht, deren Anwendungsbereich mit 1. der Richtlinie 77/799/EWG des Rates vom 19.12.1977 über die gegenseitige Amtshilfe zwischen den zuständigen Behörden der Mitgliedstaaten im Bereich der direkten Steuern (ABl. EG Nr. L 336 S. 15) sowie 2. der Verordnung (EG) Nr. 1798/2003 des Rates vom 07.10.2003 über die Zusammenarbeit der Verwaltungsbehörden auf dem Gebiet der Mehrwertsteuer und zur Aufhebung der Verordnung (EWG) Nr. 218/92 (ABl. EU Nr. L 264 S. 1) in der jeweils geltenden Fassung vergleichbar ist. Voraussetzungen sind, dass 1. der Steuerpflichtige die Zustimmung zur Durchführung eines Zugriffs auf elektronische Bücher und sonstige erforderliche elektronische Aufzeichnungen der zuständigen Stelle des Staates, in den die elektronischen Bücher und Aufzeichnungen verlagert werden sollen, vorlegt,
1
132
Durch die Veröffentlichung des JStG 2010 im BGBl ist mit einer Änderung dieses Paragraphen zu rechnen.
Anhang 1: Rechtliche Grundlagen 2. der Steuerpflichtige der zuständigen Finanzbehörde den Standort des Datenverarbeitungssystems und bei Beauftragung eines Dritten dessen Namen und Anschrift mitteilt, 3. der Steuerpflichtige seinen sich aus den §§ 90, 93, 97, 140 bis 147 und 200 Abs. 1 und 2 ergebenden Pflichten ordnungsgemäß nachgekommen ist und 4. der Datenzugriff nach § 147 Abs. 6 in vollem Umfang möglich ist. Eine Änderung der unter Satz 3 Nr. 1 und 2 benannten Umstände ist der zuständigen Finanzbehörde unverzüglich mitzuteilen. Liegen die Voraussetzungen der Sätze 1 und 2 oder Satz 3 Nr. 1 oder Nr. 2 nicht vor, kann die zuständige Finanzbehörde die Führung und Aufbewahrung elektronischer Bücher und sonstiger erforderlicher elektronischer Aufzeichnungen außerhalb des Geltungsbereichs dieses Gesetzes nur bewilligen, wenn die Besteuerung hierdurch nicht beeinträchtigt wird. Fällt der Bewilligungsgrund weg, hat die zuständige Finanzbehörde die Bewilligung zu widerrufen und die unverzügliche Rückverlagerung der elektronischen Bücher und sonstigen erforderlichen elektronischen Aufzeichnungen in den Geltungsbereich dieses Gesetzes zu verlangen; den Vollzug hat der Steuerpflichtige nachzuweisen. (2b) Kommt der Steuerpflichtige der Aufforderung zur Rückverlagerung seiner elektronischen Buchführung oder seinen Pflichten nach Absatz 2a Satz 4, zur Einräumung des Datenzugriffs nach § 147 Abs. 6, zur Erteilung von Auskünften oder zur Vorlage angeforderter Unterlagen im Sinne des § 200 Abs. 1 im Rahmen einer Außenprüfung innerhalb einer ihm bestimmten angemessenen Frist nach Bekanntgabe durch die zuständige Finanzbehörde nicht nach oder hat er seine elektronische Buchführung ohne Bewilligung der zuständigen Finanzbehörde ins Ausland verlagert, kann ein Verzögerungsgeld von 2500 Euro bis 250000 Euro festgesetzt werden. (3) Die Buchungen und die sonst erforderlichen Aufzeichnungen sind in einer lebenden Sprache vorzunehmen. Wird eine andere als die deutsche Sprache verwendet, so kann die Finanzbehörde Übersetzungen verlangen. Werden Abkürzungen, Ziffern, Buchstaben oder Symbole verwendet, muss im Einzelfall deren Bedeutung eindeutig festliegen. (4) Eine Buchung oder eine Aufzeichnung darf nicht in einer Weise verändert werden, dass der ursprüngliche Inhalt nicht mehr feststellbar ist. Auch solche Veränderungen dürfen nicht vorgenommen werden, deren Beschaffenheit es ungewiss lässt, ob sie ursprünglich oder erst später gemacht worden sind. (5) Die Bücher und die sonst erforderlichen Aufzeichnungen können auch in der geordneten Ablage von Belegen bestehen oder auf Datenträgern geführt werden, soweit diese Formen der Buchführung einschließlich des dabei angewandten Verfahrens den Grundsätzen ordnungsmäßiger Buchführung entsprechen; bei Aufzeichnungen, die allein nach den Steuergesetzen vorzunehmen sind, bestimmt sich die Zulässigkeit des angewendeten Verfahrens nach dem Zweck, den die Aufzeichnungen für die Besteuerung erfüllen sollen. Bei der Führung der Bücher und der sonst erforderlichen Aufzeichnungen auf Datenträgern muss insbesondere sichergestellt sein, dass während der Dauer der Aufbewahrungsfrist die Daten jederzeit verfügbar sind und unverzüglich lesbar gemacht werden können. Dies gilt auch für die Befugnisse der Finanzbehörde nach § 147 Abs. 6. Absätze 1 bis 4 gelten sinngemäß. (6) Die Ordnungsvorschriften gelten auch dann, wenn der Unternehmer Bücher und Aufzeichnungen, die für die Besteuerung von Bedeutung sind, führt, ohne hierzu verpflichtet zu sein.
133
Anhang § 147 Ordnungsvorschriften für die Aufbewahrung von Unterlagen (1) Die folgenden Unterlagen sind geordnet aufzubewahren: 1. Bücher und Aufzeichnungen, Inventare, Jahresabschlüsse, Lageberichte, die Eröffnungsbilanz sowie die zu ihrem Verständnis erforderlichen Arbeitsanweisungen und sonstigen Organisationsunterlagen, 2. die empfangenen Handels- oder Geschäftsbriefe, 3. Wiedergaben der abgesandten Handels- oder Geschäftsbriefe, 4. Buchungsbelege, 5. sonstige Unterlagen, soweit sie für die Besteuerung von Bedeutung sind. (2) Mit Ausnahme der Jahresabschlüsse und der Eröffnungsbilanz können die in Absatz 1 aufgeführten Unterlagen auch als Wiedergabe auf einem Bildträger oder auf anderen Datenträgern aufbewahrt werden, wenn dies den Grundsätzen ordnungsmäßiger Buchführung entspricht und sichergestellt ist, dass die Wiedergabe oder die Daten 1. mit den empfangenen Handels- oder Geschäftsbriefen und den Buchungsbelegen bildlich und mit den anderen Unterlagen inhaltlich übereinstimmen, wenn sie lesbar gemacht werden, 2. während der Dauer der Aufbewahrungsfrist jederzeit verfügbar sind, unverzüglich lesbar gemacht und maschinell ausgewertet werden können. (3) Die in Absatz 1 Nr. 1 und 4 aufgeführten Unterlagen sind zehn Jahre, die sonstigen in Absatz 1 aufgeführten Unterlagen sechs Jahre aufzubewahren, sofern nicht in anderen Steuergesetzen kürzere Aufbewahrungsfristen zugelassen sind. Kürzere Aufbewahrungsfristen nach außersteuerlichen Gesetzen lassen die in Satz 1 bestimmte Frist unberührt. Die Aufbewahrungsfrist läuft jedoch nicht ab, soweit und solange die Unterlagen für Steuern von Bedeutung sind, für welche die Festsetzungsfrist noch nicht abgelaufen ist; § 169 Abs. 2 Satz 2 gilt nicht. (4) Die Aufbewahrungsfrist beginnt mit dem Schluss des Kalenderjahres, in dem die letzte Eintragung in das Buch gemacht, das Inventar, die Eröffnungsbilanz, der Jahresabschluss oder der Lagebericht aufgestellt, der Handels- oder Geschäftsbrief empfangen oder abgesandt worden oder der Buchungsbeleg entstanden ist, ferner die Aufzeichnung vorgenommen worden ist oder die sonstigen Unterlagen entstanden sind. (5) Wer aufzubewahrende Unterlagen nur in der Form einer Wiedergabe auf einem Bildträger oder auf anderen Datenträgern vorlegt, ist verpflichtet, auf seine Kosten diejenigen Hilfsmittel zur Verfügung zu stellen, die erforderlich sind, um die Unterlagen lesbar zu machen; auf Verlangen der Finanzbehörde hat er auf seine Kosten die Unterlagen unverzüglich ganz oder teilweise auszudrucken oder ohne Hilfsmittel lesbare Reproduktionen beizubringen. (6) Sind die Unterlagen nach Absatz 1 mit Hilfe eines Datenverarbeitungssystems erstellt worden, hat die Finanzbehörde im Rahmen einer Außenprüfung das Recht, Einsicht in die gespeicherten Daten zu nehmen und das Datenverarbeitungssystem zur Prüfung dieser Unterlagen zu nutzen. Sie kann im Rahmen einer Außenprüfung auch verlangen, dass die Daten nach ihren Vorgaben maschinell ausgewertet oder ihr die gespeicherten Unterlagen und Aufzeichnungen auf einem maschinell verwertbaren Datenträger zur Verfügung gestellt werden. Die Kosten trägt der Steuerpflichtige. § 148 Bewilligung von Erleichterungen Die Finanzbehörden können für einzelne Fälle oder für bestimmte Gruppen von Fällen Erleichterungen bewilligen, wenn die Einhaltung der durch die Steuergesetze begründeten Buchführungs-, Aufzeichnungs- und Aufbewahrungspflichten Härten mit sich bringt und die Besteuerung durch die Erleichterung nicht beeinträchtigt wird. Erleichterungen nach Satz 1 können rückwirkend bewilligt werden. Die Bewilligung kann widerrufen werden. 134
Anhang 1: Rechtliche Grundlagen
B.
Grundsätze ordnungsmäßiger Buchführung (GoB)
Die Grundsätze ordnungsmäßiger Buchführung (GoB) definieren den allgemeinen Rahmen für den Betrieb eines Buchhaltungssystems. Die nur teilweise gesetzlichen Regeln haben sich vor allem aus der Praxis, der Rechtsprechung sowie aufgrund von Empfehlungen von Wirtschaftsverbänden herausgebildet. Sie sind zudem die Basis für die Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS).
C.
Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS)
5
6
C.
Mit den GoBS, erschienen im Bundessteuerblatt Teil 1 vom 14.12.1995, werden die Anforderungen der Grundsätze ordnungsmäßiger Buchführung (GoB) auf die moderne EDV-gestützte Buchführung übertragen. Die Regelungen betreffen sowohl die entstehenden Daten als auch die den Buchungsvorgängen zugrunde liegenden Belege. Inhaltlich liegen die Schwerpunkte der GoBS auf den Themen: Beleg-, Journal- und Kontenfunktion, Buchung, Internes Kontrollsystem, Datensicherheit, Dokumentation und Prüfbarkeit, Aufbewahrungsfristen, Wiedergabe der auf Datenträgern geführten Unterlagen.
7
Wichtige Kernbotschaft der GoBS ist die Definition von Eigenschaften, die eine IT-gestützte Buchhaltung erfüllen muss: Vollständigkeit, Richtigkeit, Zeitgerechtheit, Nachvollziehbarkeit, Vertraulichkeit, Ordnung, Sicherheit (Authentizität, Integrität, Verfügbarkeit, Autorisierung, Verbindlichkeit), Unveränderbarkeit. Sinngemäß müssen diese dann auch für die Beleg-verwaltenden elektronischen Archivsysteme gelten.
9
135
8
10
Anhang
D. 11
12
13
14
15 16
17
Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU)
Das sogenannte Steuersenkungsgesetz vom 23.10.2000 hat das Zugriffsrecht der Finanzverwaltung auf EDV-basierte Daten im Zuge einer Außenprüfung gesetzlich geregelt. Durch die Änderung der Abgabenordnung in den §§ 146, 147, 200 wurde den Finanzbehörden erstmalig ausdrücklich das Recht eingeräumt, im Rahmen steuerlicher Außenprüfungen direkt auf die Unternehmens-EDV und deren Datenbestände zuzugreifen. Die Neuregelung findet grundsätzlich ab dem 01.01.2002 auf Betriebsprüfungen, UmsatzsteuerSonderprüfungen und Lohnsteuer-Außenprüfungen Anwendung und soll dem Erfordernis Rechnung tragen, die Prüfungsmethoden an den modernen Buchführungstechniken auszurichten und die Überprüfbarkeit der zunehmend papierlosen Buchführung durch die Finanzverwaltung sicherzustellen. Im Grunde sind viele steuerrelevante Informationen nicht mehr in Papierform, sondern ausschließlich in elektronischer Form vorhanden. Konkret bedeutet dies, dass die Bereitstellung von bisher überwiegend auf Papier oder Mikrofiche vorgehaltenen Unterlagen mit steuerrelevanten Informationen grundsätzlich nicht mehr ausreicht. Vielmehr sind originär digital entstandene Daten auch in originär digitaler Form bereitzuhalten. Im Bereich des Datenzugriffs entsteht für den Prüfer im Rahmen der steuerlichen Außenprüfung das Recht, folgende Zugriffsarten auf die (steuerrelevanten) IT-Systeme des Steuerpflichtigen anzuwenden: Z1: Unmittelbarer Zugriff auf das IT-System. Das Recht ist auf rein lesenden Zugriff beschränkt. Z2: Mittelbarer Zugriff auf das IT-System. Der Prüfer stellt die Vorgaben für einen Zugriff, der Steuerpflichtige führt diesen selber oder durch einen beauftragten Dritten durch. Z3: Datenträgerüberlassung. Die erforderlichen Daten sind dem Prüfer auf einen IT-Datenträger und in bestimmter Form (maschinell les- und auswertbar) zu überlassen. Welche Zugriffsarten angewendet werden, liegt im Ermessen des Prüfers. Bezogen auf die Aufbewahrung von Rechnungen mit qualifizierter digitaler Signatur in einem elektronischen Archivsystem definieren die GDPdU detaillierte Anforderungen: Prüfung der Signatur und Dokumentation der Prüfungsergebnisse vor einer weiteren Verarbeitung. Speicherung auf einen Datenträger, der Änderungen nicht mehr zulässt. Bei einer temporären Speicherung auf einem änderbaren Datenträger muss das IT-System sicherstellen, dass Änderungen nicht möglich sind. Bei Konvertierung in ein anderes Format müssen BEIDE Versionen mit demselben Index verwaltet werden. Aufbewahrung des Signaturschlüssels und Zertifikats. Bei Verschlüsselung: Archivieren der verschlüsselten und der entschlüsselten Abrechnung sowie der Schlüssel zur Entschlüsselung. Protokollierung des Eingangs, der Archivierung, ggf. Konvertierung sowie ggf. weiterer Verarbeitung. Die relevanten Teilsysteme müssen den Anforderungen der GoBS entsprechen (Übertragung, Archivierung etc.). Für das zugehörige Gesamtverfahren wird eine Entsprechung nach den GoBS gefordert, was auch die Erstellung einer Verfahrensdokumentation beinhaltet. 136
Anhang 1: Rechtliche Grundlagen Viele Inhalte der GDPdU waren und sind nach wie vor erklärungsbedürftig. Das Bundesministerium der Finanzen (BMF) hat ergänzend in einem Fragen- und Antwortenkatalog zu diversen Themen Stellung genommen. Trotzdem werden immer noch viele Seminare zu dem Thema gehalten, die Fachpresse ist voll mit teilweise widersprüchlichen Artikeln, in den Diskussionsforen herrscht reger Verkehr. Auf Basis der GDPdU hat das Bundesfinanzministerium einen Fragen- und Antwortenkatalog veröffentlicht, in dem zu relevanten Einzelthemen Stellung genommen wird, wie: Steuerrelevante Daten, Zugriffsarten, Elektronische Rechnungen, Behandlung von E-Mails. In § 8 wird auf das Thema Bereitstellung und Archivierung von steuerrelevanten Daten im Detail eingegangen.
E.
19
20
Umsatzsteuergesetz (UStG)
Im Umsatzsteuergesetz (UStG) regelt §14b die Aufbewahrungsfrist und den Aufbewahrungsort von Rechnungsdokumenten. Rechnungen können elektronisch archiviert werden (vgl. § 147 Abs. 2 AO). Elektronische Rechnungen sind mit dem EDI-Verfahren oder mit qualifizierter elektronischer Signatur zulässig.
F.
18
Mehrwertsteuer-Systemrichtlinie
21
F.
Das Umsatzsteuerrecht der einzelnen EU-Mitgliedstaaten basiert auf der „Richtlinie 2006/112/EG des Rates vom 28.11.2006 über das gemeinsame Mehrwertsteuersystem“ (sog. Mehrwertsteuersystemrichtlinie). Die MwStSystRL fasst in etwa 400 Artikeln die geltenden Vorgaben der EU über die Ausgestaltung der nationalen Umsatzsteuergesetze zusammen. Die Umsatzsteuergesetze der Mitgliedsstaaten müssen entsprechend der Richtlinie gestaltet und ihre Bestimmungen im Zweifel entsprechend den Vorgaben der Richtlinie ausgelegt werden (gemeinschaftskonforme Auslegung); damit ist die Richtlinie praktisch ein mehrwertsteuerrechtliches Grundgesetz in der EU. Rechtsgrundlage ist Art. 93 des EG-Vertrags. Die Verabschiedung von Richtlinienbestimmungen oder Änderungsbeschlüssen muss einstimmig im Rat der EG-Finanzminister erfolgen. Damit diese ihrerseits überhaupt Beschluss fassen können, muss zuvor die EU-Kommission einen entsprechenden Vorschlag unterbreitet haben. Die Mehrwertsteuersystemrichtlinie (MwStSystRL) steht über den nationalen Umsatzsteuergesetzen. Die Regelungen in der MwStSystRL gelten zwar zunächst, anders als EU-Verordnungen, nicht unmittelbar für alle Rechtspersonen eines jeden Mitgliedstaates, sondern sind grundsätzlich für die Mitgliedstaaten nur hinsichtlich des zu erreichenden Ziels verbindlich. Die Mitgliedstaaten sind verpflichtet, die Richtlinien fristgemäß, richtig und vollständig in nationales Recht umzusetzen. Soweit die MwStSystRL nicht ordnungsmäßig durch den Gesetzgeber in nationales Recht umgesetzt worden ist, kann sich der Steuerpflichtige grundsätzlich abweichend vom nationalen Umsatzsteuergesetz auf die für ihn günstigere Regelung in der MwStSystRL berufen.
137
22
23
24
Anhang
G.
25
26
Im oben genannten BMF-Schreiben werden Anforderungen an die Dokumentation des Leistungszeitpunktes und an Bonus- und Rabatt-Regelungen definiert. Für die Bonus- und Rabatt-Regel wird festgestellt, dass diese nicht im Detail auf einer Rechnung enthalten sein müssen: Um den Erfordernissen des § 31 Abs. 1 UStDV zu genügen, können die die entsprechenden Vereinbarungen enthaltenden Dokumente z. B. durch einen Hinweis, wie „Es ergeben sich Entgeltminderungen aufgrund von Rabatt- oder Bonusvereinbarungen“, „Entgeltminderungen ergeben sich aus unseren aktuellen Rahmen- und Konditionsvereinbarungen“ oder „Es bestehen Rabatt- oder Bonusvereinbarungen“, bezeichnet werden. Dies gilt allerdings nur, wenn die Angaben leicht und eindeutig nachprüfbar sind (§ 31 Abs. 1 Satz 3 UStDV). Eine leichte und eindeutige Nachprüfbarkeit ist gegeben, wenn die Dokumente über die Entgeltminderungsvereinbarung in Schriftform vorhanden sind und auf Nachfrage ohne Zeitverzögerung, bezogen auf die jeweilige Rechnung, vorgelegt werden können. Aus dieser Festlegung kann der Analogieschluss gezogen werden, dass die gleichen Anforderungen auch für Allgemeine Geschäftsbedingungen zu gelten haben. Es muss leicht und eindeutig nachvollziehbar sein, welche AGBs pro Rechnung gegolten haben, es müssen aber z. B. nicht pro Rechnung jeweils die AGBs (auf der Rückseite) gescannt werden.
H. 27
28
BMF-Schreiben vom 03.05.2010 – IV D 3 – S 7134/07/10003
Die Finanzverwaltung hat mit BMF-Schreiben vom 03.05.2010 (IV D 3 – S 7134/07/10003) zu den Auswirkungen auf den Ausfuhrnachweis für Umsatzsteuerzwecke aufgrund der seit dem 01.07.2009 bestehenden Pflicht zur Teilnahme am IT-Verfahren „ATLAS-Ausfuhr“ Stellung genommen und das in gleicher Sache ergangene BMF-Schreiben vom 17.07.2009 – IV B 9 – S 7134/07/10003 ersetzt. Die deutsche Zollverwaltung hat hierfür das EDV-gestützte Ausfuhrverfahren „ATLAS-Ausfuhr“ entwickelt. Dem Unternehmer wird dabei elektronisch ein Ausgangsvermerk als PDF-Dokument übermittelt, der neben den Daten der ursprünglichen Ausfuhranmeldung zusätzliche Feststellungen und Ergebnisse der Ausfuhrzollstelle enthält. Eben diese PDF-Datei gilt als Nachweis für die Umsatzsteuerbefreiung der Ausfuhr – und zwar unabhängig davon, ob der Gegenstand der Ausfuhr vom Unternehmer oder vom Abnehmer befördert oder versendet wird.
I. 29
BMF-Schreiben zur Angabe des Zeitpunkts der Leistung und der im Voraus vereinbarten Minderungen des Entgelts vom 03.08.2004
BMF-Schreiben zur Umsetzung der Richtlinie 2001/115/ EG vom 29.01.2004
Im BMF-Schreiben vom 29.01.2004 sind Anforderungen an Rechnungsdokumente definiert worden, die auch Auswirkungen auf die elektronische Archivierung besitzen. Das bei der Aufbewahrung angewandte Verfahren muss den Grundsätzen ordnungsmäßiger Buchführung sowie den „Grundsätzen ordnungsmäßiger DV-gestützter Buchführungssysteme – GoBS –“ entsprechen. Unter dieser Voraussetzung können die Originale der Rechnungen grundsätzlich vernichtet werden.
138
Anhang 1: Rechtliche Grundlagen
J.
Weitere Rechtsgrundlagen
J.
Im folgenden Abschnitt werden weitere Rechtsgrundlagen dargestellt, die zwar nicht aus der steuerlichen Gesetzgebung abgeleitet werden können, aber in vielen Fällen ebenfalls beim Betrieb eines elektronischen Archivsystems für steuerliche Dokumente und Daten relevant sind.
I.
30
Handelsrecht (HGB)
Aus dem Handelsgesetzbuch (HGB) ergibt sich die Pflicht zur ordnungsmäßigen und unveränderbaren Aufbewahrung von Dokumenten, die als Handelsbrief2 gelten – also für das Unternehmen Forderungen oder Verbindlichkeiten begründen können. Die wichtigsten Paragraphen, die sich im Handelsrecht mit der Aufbewahrungspflicht und- art von Dokumenten beschäftigen, sind: § 238 HGB (Buchführungspflicht), § 239 HGB (Führung der Handelsbücher, „Radierverbot“), § 257 HGB (Aufbewahrungsfristen und -anforderungen), § 261 HGB (Unterlagen auf Bild-/Datenträgern).
31
Das Handelsrecht erlaubt die elektronische Archivierung, sagt aber wenig über das konkrete Archiving-Verfahren aus. Ausnahmen für die elektronische Archivierung gelten für Eröffnungsbilanzen, Jahresabschlüsse und Konzernabschlüsse, die (auch) als Originale in Papierform aufzubewahren sind.
33
Relevant im Bezug auf die Aufbewahrung im Allgemeinen und die elektronische Archivierung sind: §§ 238–239 und §§ 257–261 § 238 Buchführungspflicht (1) Jeder Kaufmann ist verpflichtet, Bücher zu führen und in diesen seine Handelsgeschäfte und die Lage seines Vermögens nach den Grundsätzen ordnungsmäßiger Buchführung ersichtlich zu machen. Die Buchführung muss so beschaffen sein, dass sie einem sachverständigen Dritten innerhalb angemessener Zeit einen Überblick über die Geschäftsvorfälle und über die Lage des Unternehmens vermitteln kann. Die Geschäftsvorfälle müssen sich in ihrer Entstehung und Abwicklung verfolgen lassen. (2) Der Kaufmann ist verpflichtet, eine mit der Urschrift übereinstimmende Wiedergabe der abgesandten Handelsbriefe (Kopie, Abdruck, Abschrift oder sonstige Wiedergabe des Wortlauts auf einem Schrift-, Bild- oder anderen Datenträger) zurückzubehalten. § 239 Führung der Handelsbücher (1) Bei der Führung der Handelsbücher und bei den sonst erforderlichen Aufzeichnungen hat sich der Kaufmann einer lebenden Sprache zu bedienen. Werden Abkürzungen, Ziffern, Buchstaben oder Symbole verwendet, muss im Einzelfall deren Bedeutung eindeutig festliegen. (2) Die Eintragungen in Büchern und die sonst erforderlichen Aufzeichnungen müssen vollständig, richtig, zeitgerecht und geordnet vorgenommen werden.
2
Ein Handelsbrief ist ein Schriftstück, das der Vorbereitung, Durchführung und dem Abschluss oder der Rückgängigmachung eines Geschäfts dient (Quelle: Begründung zum Gesetz zur Änderung des HGB und der RAO vom 02.08.1965 (BGBl I. S. 665)).
139
32
Anhang (3) Eine Eintragung oder eine Aufzeichnung darf nicht in einer Weise verändert werden, dass der ursprüngliche Inhalt nicht mehr feststellbar ist. Auch solche Veränderungen dürfen nicht vorgenommen werden, deren Beschaffenheit es ungewiss lässt, ob sie ursprünglich oder erst später gemacht worden sind. (4) Die Handelsbücher und die sonst erforderlichen Aufzeichnungen können auch in der geordneten Ablage von Belegen bestehen oder auf Datenträgern geführt werden, soweit diese Formen der Buchführung einschließlich des dabei angewandten Verfahrens den Grundsätzen ordnungsmäßiger Buchführung entsprechen. Bei der Führung der Handelsbücher und der sonst erforderlichen Aufzeichnungen auf Datenträgern muss insbesondere sichergestellt sein, dass die Daten während der Dauer der Aufbewahrungsfrist verfügbar sind und jederzeit innerhalb angemessener Frist lesbar gemacht werden können. Absätze 1 bis 3 gelten sinngemäß. § 257 Aufbewahrung von Unterlagen, Aufbewahrungsfristen (1) Jeder Kaufmann ist verpflichtet, die folgenden Unterlagen geordnet aufzubewahren: 1. Handelsbücher, Inventare, Eröffnungsbilanzen, Jahresabschlüsse, Lageberichte, Konzernabschlüsse, Konzernlageberichte sowie die zu ihrem Verständnis erforderlichen Arbeitsanweisungen und sonstigen Organisationsunterlagen, 2. die empfangenen Handelsbriefe, 3. Wiedergaben der abgesandten Handelsbriefe, 4. Belege für Buchungen in den von ihm nach § 238 Abs. 1 zu führenden Büchern (Buchungsbelege). (2) Handelsbriefe sind nur Schriftstücke, die ein Handelsgeschäft betreffen. (3) Mit Ausnahme der Eröffnungsbilanzen, Jahresabschlüsse und der Konzernabschlüsse können die in Absatz 1 aufgeführten Unterlagen auch als Wiedergabe auf einem Bildträger oder auf anderen Datenträgern aufbewahrt werden, wenn dies den Grundsätzen ordnungsmäßiger Buchführung entspricht und sichergestellt ist, dass die Wiedergabe oder die Daten 1. mit den empfangenen Handelsbriefen und den Buchungsbelegen bildlich und mit den anderen Unterlagen inhaltlich übereinstimmen, wenn sie lesbar gemacht werden, 2. während der Dauer der Aufbewahrungsfrist verfügbar sind und jederzeit innerhalb angemessener Frist lesbar gemacht werden können. Sind Unterlagen auf Grund des § 239 Abs. 4 Satz 1 auf Datenträgern hergestellt worden, können statt des Datenträgers die Daten auch ausgedruckt aufbewahrt werden; die ausgedruckten Unterlagen können nach Satz 1 aufbewahrt werden. (4) Die in Absatz 1 Nr. 1 und 4 aufgeführten Unterlagen sind zehn Jahre, die sonstigen in Absatz 1 aufgeführten Unterlagen sechs Jahre aufzubewahren. (5) Die Aufbewahrungsfrist beginnt mit dem Schluss des Kalenderjahrs, in dem die letzte Eintragung in das Handelsbuch gemacht, das Inventar aufgestellt, die Eröffnungsbilanz oder der Jahresabschluss festgestellt, der Konzernabschluss aufgestellt, der Handelsbrief empfangen oder abgesandt worden oder der Buchungsbeleg entstanden ist. § 258 Vorlegung im Rechtsstreit (1) Im Laufe eines Rechtsstreits kann das Gericht auf Antrag oder von Amtswegen die Vorlegung der Handelsbücher einer Partei anordnen. (2) Die Vorschriften der Zivilprozessordnung über die Verpflichtung des Prozessgegners zur Vorlegung von Urkunden bleiben unberührt. 140
Anhang 1: Rechtliche Grundlagen § 259 Auszug bei Vorlegung im Rechtsstreit Werden in einem Rechtsstreit Handelsbücher vorgelegt, so ist von ihrem Inhalt, soweit er den Streitpunkt betrifft, unter Zuziehung der Parteien Einsicht zu nehmen und geeignetenfalls ein Auszug zu fertigen. Der übrige Inhalt der Bücher ist dem Gericht insoweit offenzulegen, als es zur Prüfung ihrer ordnungsmäßigen Führung notwendig ist. § 260 Vorlegung bei Auseinandersetzungen Bei Vermögensauseinandersetzungen, insbesondere in Erbschafts-, Gütergemeinschafts- und Gesellschaftsteilungssachen, kann das Gericht die Vorlegung der Handelsbücher zur Kenntnisnahme von ihrem ganzen Inhalt anordnen. § 261 Vorlegung von Unterlagen auf Bild- oder Datenträgern Wer aufzubewahrende Unterlagen nur in der Form einer Wiedergabe auf einem Bildträger oder auf anderen Datenträgern vorlegen kann, ist verpflichtet, auf seine Kosten diejenigen Hilfsmittel zur Verfügung zu stellen, die erforderlich sind, um die Unterlagen lesbar zu machen; soweit erforderlich, hat er die Unterlagen auf seine Kosen auszudrucken oder ohne Hilfsmittel lesbare Reproduktionen beizubringen.
II.
GoB bei Einsatz von E-Commerce (IDW RS FAIT 2 )
Die IDW-Stellungnahme zur Rechnungslegung „Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Electronic Commerce“ (IDW RS FAIT 2) konkretisiert die im IDW RS FAIT 1 dargestellten Ordnungsmäßigkeits- und Sicherheitsanforderungen für den Bereich von E-Commerce.
III.
34
Grundsätze ordnungsmäßiger Buchführung beim Einsatz elektronischer Archivierungsverfahren (FAIT 3)
Der Fachausschuss für Informationstechnik (FAIT) des IDW e.V. hat in seiner Veröffentlichung „IDW Stellungnahme zur Rechnungslegung: Grundsätze ordnungsmäßiger Buchführung beim Einsatz elektronischer Archivierungsverfahren (IDW RS FAIT 3)“ die aus §257 HGB resultierenden Anforderungen an die Aufbewahrung aufbewahrungspflichtiger Unterlagen für eine elektronische Archivierung konkretisiert. Die Grundsätze für Wirtschaftsprüfer sind abgeleitet aus dem Handelsgesetzbuch, es werden aber auch andere rechtliche Grundlagen, wie die Abgabenordnung, das Umsatzsteuerrecht und die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Lösungen (GDPdU) erwähnt. Grob gliedert sich das Dokument in die Abschnitte: Darstellung der heutigen Archivierungsverfahren, Komponenten einer Archivierungs-Lösung, Rechtliche Grundlagen, wie HGB, Abgabenordnung, GDPdU oder Bundesdatenschutzgesetz, Beschreibung von typischen Einsatzszenarien, wie frühe oder späte Erfassung, Datenarchivierung oder E-Invoicing, Darstellung der rechtlichen, technischen und organisatorischen Risiken beim Betrieb einer Archivierungs-Lösung, 141
35
36
37
Anhang
38
Anforderungen für den sicheren Archivsystem-Betrieb. Die Grundsätze ordnungsmäßiger Buchführung beim Einsatz elektronischer Archivierungsverfahren (FAIT 3) sind keine reine Kriteriensammlung oder eine Prüfliste, sondern eine Mischung von beschreibenden Texten und Anforderungsdefinitionen. Für einen archivsystemerfahrenen Anwender sind sicher nur die letzten beiden Abschnitte von Interesse, da hier konkrete Vorgaben für das eigene System vorhanden sind.
Tabelle 20: Typische Risiken beim Betrieb von elektronischen Archivsystemen Bereich
Anforderungen
Rechtlich
Sicherstellung des Beweiswertes von Dokumenten
Langfristige Lesbarmachung
Vernichtungsregeln
Steuerlich
Zugriffsmöglichkeiten auf GDPdU-Archive
Organisatorisch
Festlegungen für den Betrieb (Erfassung, Administration)
Falsche oder unzureichende Indizierung
Falsche oder fehlende Berechtigungen
Vollständigkeit und Korrektheit von Prozessen
Nachvollziehbarkeit und Protokollierung
Sicherstellung der Unveränderbarkeit
Inkompatibilitäten aufgrund technischer Änderungen während der Aufbewahrungsfrist
Unzureichende Migrationskonzepte
Technisch
39
40
Aus den in den Grundsätzen ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS) definierten Kriterien für die Ordnungsmäßigkeit der Buchführung und eines Buchführungssystems werden entsprechende Sicherheits- und Betriebsanforderungen für ein Archivsystem abgeleitet. Diese Kriterien sind in den GoBS nur sehr allgemein und von wenigen Ausnahmen abgesehen nicht archivsystemspezifisch konkretisiert, so dass der sorgfältige Anwender nicht genau weiß, was hier zu tun ist. Beim FAIT 3 handelt es sich somit um eine kompakte und konkrete Darstellung zum Thema elektronische Archivierung aus Sicht der Wirtschaftsprüfung. Es gibt keine gesetzliche Grundlage, die zur Anwendung dieser Grundsätze verpflichtet. Da allerdings die Wirtschaftsprüfer für die Bestätigung der Ordnungsmäßigkeit der Buchführung (und somit auch der elektronischen Archivierung von Buchführungsdokumenten) verantwortlich sind, kommt den Anforderungen eine hohe Bedeutung zu, weil diese die Prüfbasis darstellen.
IV. 41
Bürgerliches Gesetzbuch (BGB)
Das Bürgerliche Gesetzbuch regelt die wichtigsten Rechtsbeziehungen zwischen natürlichen und juristischen Personen. Dies beinhaltet auch Formvorschriften für Geschäfte. Hier ist der Urkundenbegriff verankert, der durch Papierunterschrift oder auch durch eine elektronische Unterschrift (wenn es sich um eine qualifizierte elektronische Signatur handelt) erreicht werden kann. 142
Anhang 1: Rechtliche Grundlagen Es ist aber auch die sogenannte Formfreiheit definiert, die eine mündliche Abrede oder auch die gültige Willenserklärung per E-Mail weitgehend in das Ermessen der Beteiligten stellt. Auch wird in §126 BGB die Schriftform der elektronischen Form mit qualifizierter elektronischer Signatur gleichgesetzt. Das BGB beinhaltet keine explizite Definition von Aufbewahrungspflichten. Es ist somit dem Eigeninteresse eines Unternehmens oder einer Privatperson überlassen, Dokumente (oder E-Mails) aufzubewahren, um der kaufmännischen Sorgfaltspflicht zur Haftungs- oder Strafvermeidung nachzukommen. Daher definieren viele Anwender entsprechende Dokumente oder E-Mails als für sich aufbewahrungspflichtig, die zwar keiner gesetzlichen Aufbewahrungspflicht unterliegen, aber aus eigenen Gründen der Nachweisführung oder der Risikominimierung aufbewahrt werden.
V.
43
Zivilprozessordnung (ZPO)
Die deutsche Zivilprozessordnung (ZPO) regelt das gerichtliche Verfahren in Zivilprozessen. Sie beinhaltet auch Regelungen zur Beweiswürdigung von Urkunden und elektronischen Dokumenten. Gemäß ZPO gelten Original-Urkunden3 als Dokumente mit hohem Beweiswert. Alle anderen Objekte – seien es gescannte Dokumente oder Kopien – haben einen geringeren Beweiswert und unterliegen der freien richterlichen Beweiswürdigung, sind aber natürlich nicht ohne Beweiswert. Hier gilt es das Risiko abzuwägen, im Rechtsfall „nur“ eine Kopie einer Originalurkunde vorlegen zu können. Wird dies als kritisch eingeschätzt, sollten die Papieroriginale aufbewahrt werden – allerdings ohne diese in der täglichen Arbeit zu verwenden. Mit dem Signaturgesetz (SigG 2001), ergänzt durch das Formanpassungsgesetz von 2001, ergab sich hier für Urkunden eine wesentliche Änderung. Nun kann ein Dokument mit qualifizierter elektronischer Signatur (entsprechend dem damit eingeführten § 126a des BGB) ebenso wie ein händisch unterschriebenes Blatt Papier die Schriftform einer Urkunde darstellen. E-Mails gelten gem. § 371 Abs.1, ZPO immer als Objekt des Augenscheins im Rahmen der freien richterlichen Beweiswürdigung.
VI.
44 45
46
47
Datenschutz
Der Vollständigkeit halber ist in dieser Aufzählung das Bundesdatenschutzgesetz (BDSG) zu erwähnen. Es enthält zwar keine direkten Vorgaben über die archivierenden Dokumentarten, geht aber auf Sachverhalte ein, die bei der Archivierung von Daten und Dokumenten, die personenbezogene Daten enthalten, zu beachten sind. Datensparsamkeit gilt auch für ein elektronisches Archivsystem. In bestimmten Fällen kann ein möglicher Anspruch Dritter auf Löschung von Daten im Widerspruch mit der Pflicht zur Archivierung aus diversen gesetzlichen Vorgaben stehen. In diesen Fällen ist jeweils zu prüfen, ob der Löschungsanspruch höher zu bewerten ist als die Aufbewahrungspflicht. Buchungsbelege beispielsweise müssen ungeachtet eines möglichen Löschungsanspruchs aufbewahrt werden. Wenn eine Löschung (bei elektronischen Archiven) aufgrund der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßigem Aufwand möglich ist, darf nach §20 BDSG an die Stelle der Löschung von Daten auch deren Sperrung treten. Dies ist insbesondere beim Einsatz einmal beschreibbarer Speichersysteme relevant, da hier eben nicht ad hoc ein Dokument gelöscht werden kann. Hier erfolgt in der Regel die „Sperrung“, was meist mit dem Löschen der Zugriffsinformationen in der Datenbank einhergeht. 3
42
Eine Urkunde nach § § 415 – 444 der ZPO ist ›eine vom Aussteller unterzeichnete Gedankenäußerung, die schriftlich verkörpert ist‹ – also ein Gegenstand mit einer Originalunterschrift oder dem Einsatz einer qualifizierten elektronischen Signatur.
143
48
49
50
Anhang
Anhang 2: Rechtsprechung mit GDPdU-Bezug 51
Die folgenden Urteile stehen in Bezug zur Definition, Verwaltung und Bereitstellung von steuerrelevanten Daten. Kein Zugriffsschutz bei mangelhafter Abgrenzung der Datenbestände (FG Rheinland-Pfalz vom 20.01.2005 – 4 K 2167/04)
52
53
Sofern Unternehmen nicht rechtzeitig vor Prüfungsbeginn eine Abgrenzung ihrer steuerlich relevanten Datenbestände vornehmen, müssen sie den Datenzugriff auf die gesamten vorgehaltenen Informationen hinnehmen. Dies gilt selbst dann, wenn aus den angeforderten Daten Rückschlüsse auf sensible oder schutzwürdige Informationen möglich sind. Im zu entscheidenden Fall hatte ein Kreditinstitut die vom Außenprüfer verlangte Herausgabe von Sachkonten auf CD-ROM mit Hinweis auf das Bankgeheimnis abgelehnt. Die letztlich erfolglose Begründung: Über die bei den Sachkonten vorhandenen Stammnummern wäre ein Rückschluss auf ihre Kundendaten möglich. Mitnahme von Datenträgern (FG Thüringen vom 20.04.2005 – III 46/05)
54
Entscheidet sich der Prüfer für eine maschinelle Auswertung der Unternehmensdaten mittels der bundeseinheitlichen Analysesoftware auf seinem eigenen Laptop, kann das Unternehmen nicht auf einen Verbleib des angeforderten Datenträgers im Unternehmensbereich bestehen. Da den schützenswerten Interessen des geprüften Unternehmens bereits durch das Steuergeheimnis ausreichend Rechnung getragen werde, bedarf es keiner zusätzlichen schriftlichen Datenschutzerklärung des Prüfers. Einsicht in die Kostenstellenrechnung (FG Rheinland-Pfalz vom 13.06.2006 – 1 K 1743/05)
55
Kostenstellen unterliegen dem Zugriff der Finanzbehörden nur, soweit sie für die Bewertung von Wirtschaftsgütern oder Passiva von Bedeutung sind. Zahlenmaterial, das ausschließlich der Unternehmensführung und Unternehmenskontrolle dient, darf der Betriebsprüfung dagegen verweigert werden. Datenzugriff auf elektronische Registrierkassen (Sächsisches FG vom 24.11.2006 – 4 V 1528/06)
56
Bei den in elektronischen Registrierkassen gespeicherten Daten handelt es sich um mit Hilfe eines Datenverarbeitungssystems erstellte Buchungsbelege, die aufzubewahren sind und im Rahmen einer Außenprüfung maschinell ausgelesen werden dürfen. Darüber hinaus ist das Unternehmen grundsätzlich zur Aufbewahrung der Registrierkassenstreifen, Kassenzettel und Bons verpflichtet. BFH-Beschluss vom 26.09.2007 – I B 53, 54/07 –: Lesezugriff auf eingescannte Belege
57
Die Prüfungsdienste dürfen jegliche aufbewahrungspflichtige Unterlage am Bildschirm einsehen, die vom Unternehmen aus der „Papierwelt“ in eine rein elektronische Ausgabeform überführt wird. Weil die digitalisierten Daten an die Stelle der Originale treten, muss das Unternehmen eingescannte Belege über sein DV-System per Bildschirm lesbar machen. Es kann diese Verpflichtung nicht durch das Angebot des Ausdruckens auf Papier abwenden.
144
Anhang 2: Rechtsprechung mit GDPdU-Bezug Zugriffsrecht nur auf mathematisch auswertbare Unterlagen
Der von der Vorinstanz (FG Düsseldorf vom 05.02.2007 – 16 V 3454/06 A(AO) vertretenen Auffassung, das Datenzugriffsrecht beschränke sich entgegen der Selbstbeschränkung der Finanzverwaltung im Fragen- und Antwortenkatalog (III.4) nicht nur auf mathematisch auswertbare Unterlagen, ist der Bundesfinanzhof ausgewichen. Er hat damit die für die Praxis wichtige Unterscheidung zwischen Daten (Datenzugriff) und Belegen (Einsichtnahme) bestehen lassen.
58
Steuerliche Relevanz unabhängig von konkreter Gewinnauswirkung:
Das Datenzugriffsrecht der Finanzbehörden erstreckt sich auf sämtliche Konten der Finanzbuchhaltung einschließlich gesperrter Konten. Ob sich aus den Unterlagen oder dem zugrunde liegenden Geschäftsvorfall tatsächlich eine konkrete Gewinnauswirkung ergibt, ist dabei unerheblich.
59
Vernichtung von Originalbelegen:
Die Vernichtung von Originalbelegen nach dem Digitalisieren in Form von pdf- oder tiff-Dateien bestätigten die Richter als eine zulässige Form der Aufbewahrung.
60
Vorlageumfang bei einer Lohnsteueraußenprüfung (FG Münster vom 16.05.2008 – 6 K 879/07)
Der Datenzugriff im Rahmen einer Lohnsteueraußenprüfung erstreckt sich auch auf die Daten der aufbewahrungspflichtigen Finanzbuchhaltung. Allein der Lohnbuchhaltung kann nicht entnommen werden, ob alle steuerrelevanten Sachverhalte dort in zutreffendem Umfang übernommen worden sind.
61
Keine Aufbewahrungspflicht für gesetzlich nicht vorgeschriebene elektronische Aufzeichnungen (BFH vom 24.06.2009 – VIII R 80/06)
Freiwillig geführte Unterlagen sind nicht aufbewahrungspflichtig und dürfen damit auch innerhalb der Aufbewahrungsfrist gelöscht bzw. vernichtet werden. Folglich wird der Feststellungslast hinsichtlich Betriebsausgaben bei einer Einnahmen-Überschussrechnung mittels Papierbelege Genüge getan. Klarstellung: Werden Aufzeichnungen sowohl in Papierform als auch in elektronischer Form geführt, erstreckt sich die Aufbewahrungspflicht auf beide Formen.
62
63
Kein Zugriffsschutz bei mangelhafter Abgrenzung der Datenbestände (FG Nürnberg vom 30.07.2009 – 6 K 1286/2008)
Datenbestände sind so zu organisieren, dass beim Datenzugriff eine Einsichtnahme in geschützte Bereiche innerhalb des steuerlich relevanten Bereichs ausgeschlossen ist. Kann eine derartige Trennung vom Unternehmen nicht vorgenommen werden, ist der Datenzugriff deshalb nicht ermessenswidrig.
64
Überlassung von Sachkontenübersichten auf maschinell auswertbarem Datenträger (FG Sachsen vom 20.08.2009 – 1 K 246/08)
Auch Kreditinstitute sind nach § 147 Abs. 6 AO zur Überlassung von Sachkontenübersichten auf maschinell auswertbarem Datenträger verpflichtet.
65
Festsetzung von Verzögerungsgeld (FG Schleswig-Holstein vom 03.02. 2010 – 3 V 243/09 –)
Bei der nicht rechtzeitigen Vorlage von Papierunterlagen und Datenbeständen muss das Verzögerungsgeld selbst dann noch gezahlt werden, wenn die Mitwirkungspflichten nachträglich erfüllt werden. Darüber hinaus braucht vom Finanzamt die Festsetzung des Verzögerungsgeldes nicht extra begründet werden, sofern nur der Mindestbetrag von 2.500 Euro verhängt wird.
145
66
Anhang
Anhang 3: Checkliste: Inhalte einer Verfahrensdokumentation 67
68
69
A.
Die Verfahrensdokumentation für elektronische Archivsysteme hat die Zielsetzung, den organisatorischen und technischen Prozess von der Entstehung der Informationen über die Indizierung und Speicherung, dem eindeutigen Wiederfinden, der Absicherung gegen Verlust und Verfälschung und der Reproduktion am Bildschirm und auf dem Drucker zu dokumentieren. Die obige Zielsetzung bestimmt die Tiefe der Dokumentation. Es sind nur solche Punkte zu dokumentieren, die für die Nachvollziehbarkeit von organisatorischen oder technischen Prozessen erforderlich sind. Umfang und Aufbau einer Verfahrensdokumentation sind in der GoBS nicht vorgeschrieben. Die bisher in der Fachliteratur vorhandenen unterschiedlichen Gliederungsstrukturen wurden vom Arbeitskreis „Regelwerk Verfahrensdokumentation“ des TÜViT, Essen, und des VOI e. V., Bonn, standardisiert. Dies ist die Grundlage für die folgende Checkliste.
A.
Beschreibung des Aufbaus
Inhalt*
Zuständigkeit**
Art des Unternehmens, Bezeichnung der betroffenen Bereiche und Beschreibung deren Aufgaben, Einsatzgebiet der Anwendung
H/I/B
*Beschreibung der Abschnittsinhalte **Kennzeichnung, durch wen die Dokumentation zu erfolgen hat: H=Hersteller, I=Integrator, B=Betreiber.
B. 70
Einsatzgebiet und Aufgabenstellung
Typische Inhalte dieses Abschnittes sind: Allgemeine Beschreibung (Organisation und Aufgabenstellung), Überblick über die relevanten Geschäftsprozesse, Zuordnung zur Aufbau- und Ablauforganisation, Verweis auf die relevanten rechtlichen Grundlagen.
146
Anhang 3: Checkliste: Inhalte einer Verfahrensdokumentation
I.
Rahmendaten
Inhalt
Zuständig
Art des Unternehmens, Bezeichnung der betroffenen Bereiche und Beschreibung deren Aufgaben, Einsatzgebiet der Anwendung
B
II.
Organisationsbeschreibung
Inhalt
Zuständig
Beschreibung der allgemeinen und lösungsbezogenen Aufbauorganisation (eventuell Aufbaudiagramm) Trennung zwischen fachlichen und technischen Bereichen (eventuell vorhandene allgemeine Arbeitsanweisungen)
B
III.
Rechtliche Grundlagen
Inhalt
Zuständig
Übersicht der für die Lösung relevanten rechtlichen Grundlagen, bspw. AO, HGB, UStG, Zollrecht etc.
B
C.
Fachliche Beschreibung der Lösung
C.
Typische Inhalte dieses Abschnittes sind: Beschreibung der fachlichen Prozesse, z. B. Buchung, Dokumenterfassung, Rechnungsprüfung etc.; Darstellung der Ordnungsmäßigkeit des Gesamtverfahrens, bezogen auf die rechtlichen Anforderungen (Bsp. Unveränderlichkeit, Vollständigkeit, Nachvollziehbarkeit); Beschreibung der Daten- und Dokumentenbestände inkl. Aufbewahrungsregeln und -fristen.
I.
Anwendungsbeschreibung aus fachlicher Sicht
Inhalt
Zuständig
Aufgabenstellung und Beschreibung der Lösung aus Sicht des Betreibers Beschreibung der Strukturen für Schlüsselverzeichnisse, Aktenplan, Dokumentenklassen, Aufbewahrungsfristen, Vernichtungsregelungen
B
147
71
Anhang
II.
Ordnungsmäßigkeit des Gesamtverfahrens
Inhalt
Zuständig
Allgemeine Beschreibung zur Sicherstellung der Ordnungsmäßigkeit: Vollständigkeit (vollständige Übergabe an das Archivsystem, lückenlose Erfassung beim Scannen, Transaktionskontrolle bei technischen Prozessen),
H, I, B
Richtigkeit (Übereinstimmung mit dem Original, keine Manipulationen am Dokumenteninhalt, Qualitätssicherung bei manuellen Prozessen),
Zeitgerechtheit (zeitnahe Erfassung, Datumsfelder, Verwaltung von Aufbewahrungsfristen),
Ordnung (ausreichende Indexstrukturen),
Nachvollziehbarkeit (Protokollierungsfunktionen, Verfahrensdokumentation),
Unveränderbarkeit (Änderungen müssen nachvollziehbar sein, Verknüpfung zum Geschäftsvorfall bzw. zur Buchung muss erhalten bleiben).
III. 72
73
Prozesse
Erfassung Inhalt
Zuständig
Beschreibung der unterschiedlichen Erfassungsprozesse: Digitalisieren (Scannen),
H
Übernahme von originär digitalen Dokumenten (Dateien, E-Mails),
Automatisierte Übernahme von digitalen Massendaten (COLD, EDI),
Indizieren,
Archivierung (siehe auch weiter unten).
Bearbeitung Inhalt
Zuständig
Beschreibung der unterschiedlichen Bearbeitungsprozesse: Ändern der Objekte,
H
Änderung der Indexstrukturen,
Weiterleiten,
Genehmigen,
Speichern/Versionieren.
148
Anhang 3: Checkliste: Inhalte einer Verfahrensdokumentation Recherche
74
Inhalt
Zuständig
Beschreibung der unterschiedlichen Rechercheprozesse: Zugriff über Client,
H
Enabling/Anwendungsintegration.
Reproduktion
75
Inhalt
Zuständig
Beschreibung der unterschiedlichen Reproduktionsprozesse: Anzeige,
H
Ausdruck,
Bereitstellung/Export.
D.
Technische Beschreibung der Lösung
D.
Typische Inhalte dieses Abschnittes sind: Übersichtliche Systemdarstellung mit allen Komponenten inkl. der Darstellung von Beziehungen zu vorgelagerten Systemen, Beschreibung der Softwarekomponenten (z. B. Standardsoftware, Individualsoftware, Systemkonfiguration, Anwenderoberflächen, Schnittstellen, Infrastrukturkomponenten), Beschreibung der technischen Hardwarekomponenten (z. B. Speichersysteme und Datenträger, Erfassungssysteme, Server etc.), soweit zum Verständnis der Lösung erforderlich; Beschreibung der technischen Verarbeitungsregeln (z. B. Datenflüsse, Protokollierungen, Ablaufpläne etc.), Darstellungen zur Datensicherheit und Datenintegrität (Transaktions- und Konsistenzsicherung, Protokollierung, Ausfallsicherheit), Sicherstellung von Zugangs- und Zugriffsschutz (Benutzerverwaltung, Berechtigungskonzept).
I.
Standard-Softwarekomponenten
Inhalt
Zuständig
Beschreibung der eingesetzten Standard-Softwarekomponenten.
H, I
Hierzu zählen: Betriebssystemumgebung, Treibersoftware, Standardmodule der Anwendung, Standardwerkzeuge der Systemverwaltung und Administration, benutzte Programmierwerkzeuge
149
76
Anhang
II.
Individuelle Softwarekomponenten
Inhalt
Zuständig
Beschreibung von individuellen Anwendungserweiterungen (Konfigurationseinstellungen siehe unten): Modulname, Beschreibung, betroffene Standardmodule und -anwendungen, Versionsbezeichnung, benutzte Schnittstellen und Programmiersprachen, Aussage zur Updatefähigkeit (für Standard und Erweiterungen) Eventuell vorhandene Pflichtenhefte berücksichtigen.
H, I
III.
Anwendungsintegrationen und Schnittstellen
Inhalt
Zuständig
Darstellung der vorhandenen Anwendungsintegrationen und Schnittstellen, insbesondere Beschreibung, wenn diese Teil des buchführungsrelevanten Systems sind, bspw. wenn dort die Index- oder Zugriffsinformationen gespeichert werden. Integrationen können sein: Recherche-Integration (Suche/Zugriff aus anderen Systemen)
H, I
Index-Integration (Übernahme von Indexbeständen für die Archivierung)
Archivierungs-Integration (Archivierung von Objekten aus Drittsystemen)
IV.
Datenbankmodell
Inhalt
Zuständig
Datenbanktyp mit technischen Daten, Konfiguration der Datenbank, Integrität und Konsistenz der Datenbank, Datensicherungsmöglichkeiten innerhalb der Datenbank, Kommunikationsschnittstellen, Transaktionsprotokollierung, Zugriffssicherungsverfahren, Möglichkeiten der Änderungen und Löschungen innerhalb der Datenbank, Replikationsmöglichkeiten, Beschreibung des eingesetzten Datenbankmodells
H, I
V.
Versionsübersicht
Inhalt
Zuständig
Eingesetzte Softwaremodule mit Versionslevel und Patch-Kennzeichnung, Beschreibung von Anpassungsanforderungen bei Fehlern oder Ergänzungen, Beschreibung des Update-Verfahrens, Beschreibung des Änderungsverfahrens an Dokumentationen
H
150
Anhang 3: Checkliste: Inhalte einer Verfahrensdokumentation
VI.
Konfigurationsdaten und -dateien
Inhalt
Zuständig
Dokumentation der Systemkonfiguration: Übersicht über die eingesetzten Programme, Parameter-Einstellungen je Programm Dokumentation der technischen Systemeinstellung im Rahmen der ProgrammIdentität
H, I
VII.
Hardware-Infrastruktur
Hardware für Server und Clients
77
Inhalt
Zuständig
Beschreibung der eingesetzten Hardware für Server und Clients. Hierzu zählen die technischen Rahmendaten: Hersteller, Hauptspeicherkapazität, Festplattenkapazität, Prozessortyp, Taktgeschwindigkeit etc. Weitere Themen: Wartungsvereinbarungen, Gewährleistungsvertrag mit Verfügbarkeitsvereinbarung, Wartungsplan, Betriebsbedingungen (Strom, Klima etc.) und Verfügbarkeit, Produktdatenblätter etc.
H, I
Netzwerk
78
Inhalt
Zuständig
Logischer Netzaufbau, Auslegung, Verfügbarkeit, Verschlüsselung, Sicherheit.
I, B
Speichersysteme
79
Inhalt
Zuständig
Beschreibung der eingesetzten Speichersysteme (Bsp. Festplatten, WORMSpeichersysteme) sowie deren Aufgabe im Rahmen der Sicherstellung der Ordnungsmäßigkeit (Bsp. Unveränderbarkeit, Verwaltung Aufbewahrungsfristen etc.)
H, I
Erfassungssysteme
80
Inhalt
Zuständig
Technische Beschreibung der eingesetzten Scanner: Hersteller, Art, Typ, Geschwindigkeit, Auflösung, Format, Komprimierungsverfahren, Schnittstellenart, verarbeitbare Papierstärken, zusätzlich benötigte Hard- und Software (Komprimierungsboard, Kompressions- und Optimierungs-Software, Treiber etc.)
H, I
151
Anhang
VIII. Dokumentationen Inhalt
Zuständig
Verweis auf vorhandene Dokumentationen zur Lösung: Herstellerdokumentationen, wie Dokumentationen zur eingesetzten Hardware, Systemkonfiguration, Systeminstallation etc., Detailkonzepte, Dokumentationen zur eingesetzten Software (Nachweis der Programmidentität), zu den installierten Datenbanktabellen, Auswahllisten und Thesauri, Benutzerprofilen, Konfigurationsparametern etc., Administrationshandbuch, Operating-Handbuch, Datenbankdokumentation etc.
H, I, B
IX. 81
IT-Sicherheit
Daten- und Zugriffsschutz Inhalt
Zuständig
Beschreibung des Berechtigungssystems: Vergabe von Benutzungsrechten (Wer darf was?, Wann?, Protokollierung?)
H, I, B
Zugriffssicherung durch Passwortschutz, Login (am Client, Fernzugang, über Schnittstellen)
Client-Schutz (Sperre USB-Anschlüsse)
Zugangsschutz der Arbeitsplätze und Server, Raumschutz, Schließanlage, Zugangskontrollen zum Rechenzentrum, Zugriff auf Speichermedien
Virenschutz
Datensicherheit auf LAN- und WAN-Strecken
Zugangsmöglichkeiten Internet, Intranet
152
Anhang 3: Checkliste: Inhalte einer Verfahrensdokumentation Datenflusskontrolle
82
Inhalt
Zuständig
Beschreibung des Datenflusses, Vorbeugung gegen Datenverlust, redundante Speicherung, Manipulationssicherheit, Möglichkeiten der Auslastungskontrolle, Konfiguration der Speicherhierarchie und Cache-Organisation
H
Transaktionskontrolle
83
Inhalt
Zuständig
Beschreibung der Verfahren zur Wahrung der Datenintegrität und Vollständigkeit, Sicherstellung der Referenzen zwischen Datenbank und Archiv, Schutz vor Veränderungen im Rahmen der Prozesse, Restart- und Recovery-Verfahren
H
Archivierung
84
Inhalt
Zuständig
Vollständiger Ablauf des Archivierungsprozesses und der Ablagekonzepte, Formate und Verfahren der Speicherung von Dokumenten Beschreibung der Sicherstellung der Unveränderbarkeit Beschreibung des Zeitpunktes, ab wann ein Objekt als archiviert gilt Technische Komponenten und eingesetzte Technik, Formate der Dokumententypen, eventuelle technische Detailbeschreibungen Eingesetzte Standards und Normen
H
Protokollierung
85
Inhalt
Zuständig
Beschreibung der Protokollierungsmechanismen innerhalb der Anwendung: Übersicht über vorhandene Protokolldateien, Protokollaufbau mit Feldern und Inhalten.
H
Dokumentation der Konfiguration der Protokollierungseinstellungen
Eventueller Verweis auf Herstellerdokumentation, Musterausdrucke der Protokolldateien und entsprechende Arbeitsanweisungen
153
Anhang
X. 86
87
E. 88
Technischer Betrieb
Betriebsvoraussetzungen Inhalt
Zuständig
Beschreibung der Voraussetzungen für den Einsatz, unterschieden nach: Hardware: Server
H, I
Hardware: Netzwerk
Hardware: Scanner
Hardware: Speichersystem
Software: Betriebssysteme
Software: Netzwerk
Software: Sonstiges
Betriebsbedingungen Inhalt
Zuständig
Es sind die Bedingungen zu beschreiben, unter denen die Archivierungsumgebung ordnungsgemäß arbeitet. Hierbei sind die folgenden Punkte zu berücksichtigen: Aufstellung (Klimatische Bedingungen, Feuer-/Wasser-Schutz)
H, I
Zugangskontrollen
Arbeitsschutzmaßnahmen
Wartungsanforderungen
Datensicherungsanforderungen
Arbeitsanweisungen für den Betrieb (siehe unten)
E.
Arbeitsanweisungen und weitere Dokumentationen
Typische Inhalte dieses Abschnittes sind: Darstellung der vorhandenen Mitarbeiterqualifikation (Rollen, erforderliche Kenntnisse, durchgeführte Qualifizierungsmaßnahmen), Kompetenzen und Verantwortlichkeiten für den Betrieb Organisationsanweisungen für die fachlichen Prozesse/Arbeitsanweisungen für den Standardbetrieb (z. B. Scannen, Indizierung, Datensicherung, Umgang mit Datenträgern) und für Notfallszenarien (Restart, Recovery, K-Fall) Darstellung der technischen und manuell durchgeführten Kontrollen (internes Kontrollsystem) Darstellung der Langfristverfügbarkeit (Migrationsmöglichkeiten, Bedingungen für die Migration) Vorgehensweise bei Test und Abnahme inkl. des eingesetzten Change-Management-Verfahrens 154
Anhang 3: Checkliste: Inhalte einer Verfahrensdokumentation
Darstellung der Wartungsregelungen (Verantwortlichkeiten, Eskalationswege, präventive Wartung, Störungsbehebung, Dokumentation) Verfahren zur Sicherstellung der Programmidentität (Identität von technischer Umgebung zur Dokumentation)
I.
Kompetenzen und Verantwortlichkeiten
Rollen
89
Inhalt
Zuständig
Beschreibung der eingesetzten Rollen: Erfassung
H, B
Indizierung
Bearbeitung
Fachadministration
Systemadministration
Erforderliche Kenntnisse
90
Inhalt
Zuständig
Definition der Voraussetzungen und Kenntnisse für jede Rollen: Persönliche Anforderungen
H, B
Fachliche Qualifikationen
Technische Qualifikationen
Soziale Qualifikationen
Kompetenzen, Mitarbeiter und Nachweis Inhalt
Zuordnungsübersicht der Mitarbeiter zu den definierten Rollen
Nachweis der erforderlichen Kenntnisse
91 Zuständig B
155
Anhang
II. 92
93
94
Arbeitsanweisungen
Arbeitsanweisungen: Erfassung Inhalt
Zuständig
Beschreibung der Arbeitsanweisungen bei der Erfassung von Dokumenten: Personenkreis
B
Zeitpunkt
Vor- und Nachbearbeitung von Dokumenten
Qualitätsanforderungen
Komprimierungsverfahren
Protokollierung
Qualitätssicherung
Regeln zum Löschen bzw. Ersetzen von Dokumenten
Arbeitsanweisungen: Import von Objekten Inhalt
Zuständig
Beschreibung der Prozesse für den Import von Objekten: wie Scannen, zusätzlich: Ablauf des Erfassungsverfahrens
B
Konvertierungs- und Verarbeitungsregeln
Aufgaben von beteiligten Mitarbeitern am Import-Prozess
Prüfung auf Vollständigkeit und Richtigkeit
Arbeitsanweisungen: Indizierung Inhalt
Zuständig
Beschreibung der Arbeitsanweisungen der Indizierung: Vollständiger Ablauf des Indexierungsprozesses
B
Zulässige Begriffe als Ordnungskriterien und Schlagworte
Plausibilitätskontrollen, Übernahme- und Abgleichverfahren mit anderen Systemen
Qualitätssicherung
156
Anhang 3: Checkliste: Inhalte einer Verfahrensdokumentation Arbeitsanweisungen: Archivierung
95
Inhalt
Zuständig
Beschreibung der Vorgaben für den Archivierungsprozess: Zeitpunkt der Archivierung
B
Erforderliche Kontrollen für das Speichersystem (Auslastung, Verfügbarkeit)
Verwaltung und Überwachung von Aufbewahrungsfristen
Durchführung von Löschläufen
Vernichtung von Medien 96
Arbeitsanweisungen: Dokumentbearbeitung/Reproduktion Inhalt
Zuständig
Beschreibung der Bearbeitungs-Arbeitsanweisungen: In welcher Form müssen Dokumente bearbeitet werden?
B
Möglichkeiten der Reproduktion einschließlich deren Formate und Qualität
Druckoutput-Optionen
Qualitätsmaßstab
Konfigurationslisten der Ausdruckeinstellungen 97
Arbeitsanweisungen: Protokollierung Inhalt
Zuständig
Beschreibung der Einstellungen und Nutzung von Protokollfunktionen: Einstellungsparameter der Protokollfunktionen
B
Dauer der Aufbewahrung
Speicherart der Protokolle (Dateien, Ausdruck, Archivierung)
Protokolle, die in Papierform vorhanden sein müssen
Auswertung, Archivierung und Retrieval der Protokolle
157
Anhang 98
Arbeitsanweisungen: Fach- und Systemadministration Inhalt
Zuständig
Dokumentation der erforderlichen fach- und systemadministrativen Aufgaben: Benutzeradministration
B
Kennwortänderungen
Pflege von Schlagwortlisten
Tägliche Routineüberprüfung und Reinigung
Überprüfung von Verschleißteilen
Verwaltung der Speichermedien (Duplizierung, Auslagerung)
Datensicherung
Datenbankadministration
Regelungen zur Fernwartung
Fehlermanagement
Dokumentation der durchgeführten Tätigkeiten mit ausführender Person, Datum
III.
Internes Kontrollsystem (IKS)
Inhalt
Zuständig
Zusammenfassende Darstellung der technischen Kontrollen im System (Bsp. Kontrollsummen, Verarbeitungskennzeichen, Prüfläufe, Protokollierung) Zusammenfassende Darstellung der organisatorischen Kontrollen (Bsp. Grundsätzliche und übergreifende Sicherheitskonzepte, Definition von Eskalationswegen, schriftliche Arbeitsanweisungen, Vier-Augen-Prinzip etc.) Die Kontrollen erstrecken sich auf die Verfahren der buchführungsrelevanten Archivierung, beginnend mit dem Scannen/Import,
B
die Schnittstellen dieser Verfahren untereinander und
die Schnittstellen dieser Verfahren zu vor- und nachgelagerten personellen und maschinellen Verfahren.
Im Rahmen einer Archivierung beziehen sich die Kontrollen insbesondere auf vollständige und lückenlose Archivierung der Dokumente,
Fehlerprüfungen und Korrekturen,
Sicherung gegen absichtliche und unabsichtliche Verfälschung der gespeicherten Dokumente,
vollständige Wiedergabe der gespeicherten Dokumente.
158
Anhang 3: Checkliste: Inhalte einer Verfahrensdokumentation
IV.
Migrationsmöglichkeiten
Inhalt
Zuständig
Allgemeine Beschreibung der Ausbau- oder Wechselmöglichkeiten der Lösung: Wechsel des Gesamtprodukts, Datenbank, Archiv-Software (Client, Server), Betriebssysteme, Hardware (allgemeine und archivspezifische Komponenten) Besonders wichtig: Herstellerdokumentation der Exportschnittstellen
H, I
V.
Test und Abnahme
Test
99
Inhalt
Zuständig
Testdokumentation für die durchgeführten Systemtests, Testdaten, mit denen das System vorkonfiguriert wurde, Testdokumente für die Testfälle Beschreibung von Testfällen mit den Parametern: Testnummer, Testfall, Beschreibung, Testergebnis, Fehlerbeschreibung, abnahmerelevant, Anzahl Durchläufe, Testperson, Testdatum, Status
B
Abnahme
100
Inhalt
Zuständig
Freigabe oder Abnahmedokument vom Betreiber oder einer dritten Stelle. Enthalten sein muss: Version des Programms, Verweis auf Verfahrensdokumentation, Art und Weise der Abnahmetests, Ergebnis der Abnahmetests, Einschränkungen, Nummer der Abnahme, abnehmende Instanz, Datum, Unterschrift
B
VI.
Wartung
Wartungsbereiche
101
Inhalt
Zuständig
Darstellung aller wartungsbezogenen Anforderungen: Wartungskonzept (Maßnahmen, Fristen, Überwachung, Eskalationsmechanismen)
H, I
Vorbeugende Wartung (Herstellerrichtlinien, Systemanalysen, Protokollüberwachung)
159
Anhang 102
Wartungspersonal Inhalt
Zuständig
Darstellung der personellen Umsetzung bei Wartungsaufgaben: Wartungspersonal (Zuordnung, Umfang, Qualifikation)
B
103
Fremdsupport (Umfang, Reaktionszeiten, Verträge)
Dokumentation Inhalt
Zuständig
Dokumentation von Wartungstätigkeiten: Einbeziehung in das Wartungskonzept
B
Zeitpunkt
Umfang
Ergebnisse
durchführende Mitarbeiter
VII.
Sicherstellung der Programmidentität
Inhalt
Zuständig
Darstellung der Maßnahmen zur Sicherstellung der Programmidentität, bspw.: Technische Detail-Dokumentation aller Systemeinstellungen
B
Beschreibung der Vorgehensweise bei der Aktualisierung des Systems
Beschreibung der Vorgehensweise bei der Erstellung und Fortschreibung der Verfahrensdokumentation
160
Anhang 3: Checkliste: Inhalte einer Verfahrensdokumentation
F.
Weitere relevante Dokumente im Rahmen der Erstellung
Aus der obigen Übersicht wird klar, dass sich eine Verfahrensdokumentation aus einer Vielzahl von Dokumentationen zusammensetzen kann. Dokumentationen, in denen bereits Inhalte für eine Verfahrensdokumentation vorhanden sein können, sind bspw.: Programmverzeichnisse Prüfroutineverzeichnisse Restart-Vorschriften Sachgebietsanweisungen Satzaufbaubeschreibungen Schlüsselverzeichnisse Sicherungsvorschriften für RZ-Betriebsfähigkeit Stammdatensatz-Beschreibungen Systemfreigaben Systemhandbücher Testprotokolle sowie Freigabeprotokoll Umwandlungslisten Verfahrensänderungsnachweise Wartungsanweisungen Zugriffsregelungen (Benutzeridentifikation, Berechtigungskonzept) Im Rahmen der Dokumentationserstellung sollte geprüft werden, auf welche im Haus bereits befindlichen Dokumente referenziert werden kann. Hierbei muss sichergestellt werden, dass für die referenzierten Dokumente eine Versionierung erfolgt, die zum jeweiligen Stand der Verfahrensdokumentation passt.
161
F. 104
105
Anhang
Anhang 4: Betriebsvereinbarung E-Mail-Betrieb ! Praxishinweis: Mit diesem Muster sollen Anregungen geliefert werden, um eine an der Unternehmenskultur orientierte Regelung zu entwickeln. In diesem Rahmen können unternehmensbekannte Missstände der E-Mail-Nutzung als unangemessen konkretisiert werden. Muster-Betriebsvereinbarung über die Nutzung elektronischer Kommunikationssysteme
106
107
Der Internetzugang und E-Mail-Zugang steht als Arbeitsmittel im Rahmen der Aufgabenerfüllung zur Verfügung. Die private Nutzung ist in angemessenem Umfang zulässig, soweit die dienstliche Aufgabenerfüllung und die Verfügbarkeit des IT-Systems für dienstliche Zwecke nicht beeinträchtigt werden. 1. Das Abrufen von kostenpflichtigen Informationen für den Privatgebrauch ist unzulässig. 2. Im Rahmen der privaten Nutzung dürfen keine kommerziellen oder sonstigen geschäftlichen Zwecke verfolgt werden. 3. Durch die private Nutzung des Internet- und E-Mail-Zugangs erklärt der Mitarbeiter seine Einwilligung in die Kontrolle und in Maßnahmen, die zur Aufrechterhaltung des Betriebs notwendig sind. Hierzu zählt das Ausfiltern von Viren und von E-Mail-Nachrichten, die weder dem Unternehmenszweck entsprechen noch der angemessenen privaten Nutzung. 4. Die Kontrolle und die Maßnahmen zur Aufrechterhaltung des Betriebs werden von Mitarbeitern vorgenommen, die eine Verpflichtungserklärung zum Datenschutz unterschrieben haben und die auf die strafrechtlichen Konsequenzen bei Verletzung des Fernmeldegeheimnisses hingewiesen worden sind. 5. Dokumente, die den Verdacht einer Straftat begründen, können von Sicherheitsbehörden beschlagnahmt werden. Der damit verbundene Schaden für das Unternehmen ist unübersehbar. Deshalb sind empfangene Dokumente dieser Art zu löschen und ist das Speichern solcher Dokumente verboten. 6. Während der Abwesenheit eines Mitarbeiters infolge von Urlaub oder Krankheit ist der vertretungsberechtigte Mitarbeiter zum Zugriff auf die E-Mail-Nachrichten des abwesenden Mitarbeiters berechtigt. 7. Nach Beendigung des Arbeitsverhältnisses ist das Unternehmen nicht verpflichtet, an den früheren Mitarbeiter adressierte E-Mail-Nachrichten weiterzuleiten. Kann eine Betriebsvereinbarung wegen fehlendem Betriebsrat nicht geschlossen werden, so kann deren Inhalt im Rahmen des arbeitsrechtlichen Direktionsrechts als E-Mail-Policy erlassen werden.
162
Anhang 5: Migration eines elektronischen Archivsystems
Anhang 5: Migration eines elektronischen Archivsystems Im folgenden Anhang sind weiterführende Informationen für die Migration von DMS-Systemen enthalten.
A.
Projektphasen einer DMS-Migration
A.
Die Vorgehensweise in einem Migrationsprojekt orientiert sich grundsätzlich an den Projektphasen eines normalen IT-Projektes: Tabelle 21: Projektphasen eines Migrationsprojektes Phase
Besonderheiten im Rahmen einer Migration
IstBestandsaufnahme
Ermittlung des Ist-Zustandes des Altsystems (Formate, Volumen, elektronische Prozesse, Anwendungsintegrationen, funktionale Besonderheiten), typischerweise mit Checklisten,
Systemprüfung auf Konsistenz,
Prüfung Ist-Zustand Neusystem, bezogen auf die erforderlichen Funktionalitäten.
Feinkonzept mit Zielhersteller und ggf. Migrationsdienstleister zu den folgenden Themen:
Konzeption
Kennzahlen Ist-Zustand (Anzahl Dokumente, Anzahl Seiten, Speichervolumen insgesamt etc.),
Festlegung der grundsätzlichen Migrationsvorgehensweise (Big Bang, begleitend),
Abgrenzung und technische Identifizierung der relevanten Dokumente, der nicht mehr aufbewahrungspflichtigen Bestände und der zu löschenden Dokumente (nach BDSG),
Besondere Vorgehensweise für spezielle Dokumentarten (Bsp. Vorstandsprotokolle, Personaldokumente),
Festlegungen von Details für die Daten- und Dokumentenmigration,
Müssen Notizen migriert werden oder nicht?
Überarbeitung von Berechtigungs- oder Aktenstrukturen,
Export-Strecke festlegen: Erfolgt der Export der Dokumente über Export-Möglichkeiten des Archivsystems oder direkt über die Medien/das Speichersysteme?
Vorgehensweise bei der Migration der Indexdaten: Werden diese pro Dokument oder wird der gesamte Datenbankbestand migriert?
108
163
109
Anhang Tabelle 21: Projektphasen eines Migrationsprojektes (Fortsetzung) Phase
Besonderheiten im Rahmen einer Migration
Konzeption
Durchführung
Abnahme/Freigabe
164
Festlegung Frozen Zone (keine Änderung mehr an migrierten Dokumenten) oder Festlegung einer Vorgehensweise bei Dokumenten, die während der Migration im Altsystem verändert wurden,
Vorgehensweise bei inkonsistenten Dokumenten (Objekt ohne Indexsatz, Indexsatz ohne Objekt),
Umfang der Protokollierung für Umfang Altsystem, Export, Aufbereitung, Import sowie Gesamtmigrationsprotokoll,
Zusätzliche Hard- und Software, eingesetzte Migrationswerkzeuge,
Migrationszeiten: Kann die Migration parallel zum Tagesbetrieb erfolgen oder müssen Nacht-Jobs eingeplant werden?
Projekt- und Ressourcenplanung,
Aufgaben des Anbieters, des Kunden und Einsatz von Dienstleistern,
Fehlerbehandlung und Eskalationswege.
Installation und Einrichtung Zielsystem,
Aufbau der Migrationsumgebung,
Einrichtung der Export-, Konvertier- und Importprozesse,
Testmigration und Freigabe,
Start Migration inkl. Überwachung und Fehlermanagement.
Export Protokolle,
Protokollprüfung,
Erstellung Migrations-Dokumentation,
Abstimmung mit Revision oder Wirtschaftsprüfern.
Anhang 5: Migration eines elektronischen Archivsystems
B.
Inhalte einer Migrationsdokumentation
B.
In der folgenden Tabelle sind typische Inhalte einer Migrationsdokumentation aufgeführt.
110
Tabelle 22: Inhalte einer Migrationsdokumentation Abschnitt
Inhalte
Abschnitt Dokumentenmigration Umfang der Migration
Es ist definiert, welcher Umfang an Dokumenten migriert werden soll. Dies ist typischerweise zeitraum- oder archivbereich-, stammdaten- oder dokumentartbezogen.
Lese- und Verarbeitbarkeit der Dokumente
Die Dokumente im Zielsystem sollten gemäß den relevanten gesetzlichen und fachlichen Anforderungen lesbar und ggf. verarbeitbar (z. B. Drucken, neuen Prozess starten etc.) sein.
Formate der Dokumente
Für das Quellsystem und das Zielsystem sind die vorhandenen Formate für Dokumente beschrieben.
Konvertierung der Dokumente
Werden im Rahmen der Migration Dokumentenformate konvertiert, ist zu beschreiben, in welcher Art und Weise dies erfolgt und für wie viele Dokumente dies relevant ist.
Referenzierung zum Quellsystem
Für die Nachvollziehbarkeit der Migration ist eine Referenzierung zum Quellsystem sinnvoll, um eindeutig das Ursprungsobjekt identifizieren zu können.
Vollständigkeit der Migration
Für die im Quellsystem migrationsrelevanten Dokumente muss der Nachweis der Vollständigkeit im Zielsystem vorhanden sein. Dies kann durch Anzahl Dokumente (auch pro logischem Bereich), Anzahl Seiten und/oder Doc-ID-Kreise erfolgen.
Nachweis der nicht übernommenen Dokumente
Werden Dokumente aus unterschiedlichen Gründen nicht übernommen (z. B. abgelaufene Aufbewahrungsfristen, nicht mehr relevante Dokumente), sollte ein entsprechender Nachweis über diese Dokumente vorhanden sein. Dieser sollte zumindest die Identifikation im Quellsystem und eine fachliche Identifikation enthalten (z. B. Dokumentart und Stammdaten).
Löschungen aus Datenschutzgründen
Unterliegen Dokumente datenschutzrechtlichen Regelungen, dürfen diese im Rahmen einer Migration nicht übernommen werden. Die Medien des Quellsystems sind zu vernichten. Allerdings: Liegen steuerliche Aufbewahrungspflichten vor, müssen diese Dokumente weiterhin aufbewahrt werden.
Vorgehen bei schützenswerten Dokumenten
Darstellung der besonderen Vorgehensweise bei Dokumenten mit höherem Schutzbedarf.
165
Anhang Tabelle 22: Inhalte einer Migrationsdokumentation (Fortsetzung) Abschnitt
Inhalte
Vorgehen bei mehreren Dokumentversionen
Sind im Quellsystem mehrere Dokumentversionen enthalten, muss festgelegt werden, ob alle Dokumentversionen übernommen werden sollen oder ob nach definierten Regeln nur eine teilweise Übernahme erfolgt. Auch sollte beschrieben sein, wie sich die versionierten Dokumente im Zielsystem darstellen (z. B. auch als versioniertes Dokument oder als mehrere Einzeldokumente).
Abbildung von Notizen und grafischen Annotationen
Da es sich bei Notizen und grafischen Annotationen oft um herstellerbezogene Umsetzungen handelt, sollte festgelegt werden, wie hiermit im Rahmen der Migration umgegangen werden soll.
Aufbewahrung der Migrationsprotokolle der Dokumentenmigration
Die Protokolle der Dokumentenmigration sollten aufbewahrt und, wenn möglich, im Zielsystem elektronisch archiviert werden.
Abschnitt Indexdatenmigration Mapping-Regeln
Für die Migration der Datenbestände muss das Mapping vom Quelldatenbanksystem zum Zielsystem dokumentiert sein. Ggf. erforderliche Änderungen, Aufteilungen oder Zusammenfassungen von Indexstrukturen sollten nachvollzogen werden können.
Vollständigkeit der Datenmigration
Für die Migration der Indexdaten muss der Nachweis der Vollständigkeit der Datensätze im Zielsystem erbracht werden. Ggf. nicht übernommene Indexdaten müssen ebenfalls ausgewiesen werden.
Index-Strukturen in anderen Systemen
Sind in anderen Systemen Indexstrukturen vorhanden (ggf. auch nicht nur die DOCID), müssen diese Werte im Rahmen der Migration ebenfalls geändert werden.
Volltext-Index
Ist es erforderlich, dass Volltext-Indexdaten migriert werden müssen, sollte auch hier ein Nachweis über die Übernahme oder ggf. den Neuaufbau der Indexstrukturen erfolgen.
Protokollierung der Dokumentenmigration
Alle Änderungen an Indexwerten müssen nachvollziehbar mit altem und neuem Wert protokolliert werden.
166
Anhang 6: Anbieterübersicht Tabelle 22: Inhalte einer Migrationsdokumentation (Fortsetzung) Abschnitt
Inhalte
Abschnitt: Migration von Systemeinstellungen Systemeinstellungen
Die Migration der Systemeinstellungen (Archiv-Bereiche, Dokumentenarten, Indexstrukturen, etc.) sollte dokumentiert sein, damit klar ist, wie sich das Quellsystem im Zielsystem abbildet. Hierbei erfolgt häufig keine technische Migration, sondern eine manuelle Neukonfiguration.
Berechtigungen
Die Umsetzung des Berechtigungskonzeptes vom Quellsystem zum Zielsystem muss aus der Migrationsdokumentation transparent werden. Hiermit wird sichergestellt, dass sich beide Berechtigungskonzepte entsprechen. Dies beinhaltet sowohl die funktionalen Berechtigungen in der Anwendung als auch die Sichtbarkeits- und Bearbeitungsrechte für Dokumente.
Anhang 6: Anbieterübersicht In der folgenden Tabelle sind Anbieter von Archivierungsprodukten aufgeführt:
111
Tabelle 23: Anbieterübersicht für Archivierungsprodukte Firma
Homepage
Produktname
Ainea AG
www.ainea-ag.de
Ainea-Pergamon
Akzentum GmbH
www.akzentum.de
PROXESS
Alfresco Software Ltd.
www.alfresco.com
Alfresco
Allgeier IT Solutions GmbH
www.allgeier-it.de
Scanview
alpha-x digital AG
www.docbox.de
DOCBOX
Banctec Inc.
www.banctec.com
eFIRST Archive
Bernhard Starke GmbH
www.starke.de
Starke-DMS
Beta Systems Software AG
www2.betasystems.com
Agilizer 4DocumentProcessing
Braintribe IT Technologies GmbH
www.braintribe.com
Braintribe CSP
Canon Deutschland GmbH
www.canon.com
Therefore
Captaris Inc.
www.captaris.com/
Alchemy Document-Management
CC e-gov GmbH
www.cc-egov.de
CC DMS 167
Anhang Tabelle 23: Anbieterübersicht für Archivierungsprodukte (Fortsetzung) Firma
Homepage
Produktname
Ceyoniq Technology GmbH
www.ceyoniq.com
nscale Server
COI GmbH
www.coi.de
COI BusinessFlow G5
Comline
www.comlineag.de
helic
CompuKöln Dokument Management GmbH
www.compukoeln.de
CompuArchiv
d.velop AG
www.d-velop.de
d.3
daa Systemhaus AG
www.daa.de
svArchiveServer
Decos Software Engineering bv
www.decos.com
Decos Document – web edition
Dieter Spielberg Document Management Systems GmbH
www.spielberg.de
FileDirector
DM Dokumenten Management
www.documentenmanagement.de
lobo-dms
DMSFACTORY GmbH
www.dmsfactory.com
TINCA
DocuPortal
www.docuportal.de
DocuPortal
DocuWare AG
www.docuware.com
DocuWare
Dr.DOC GmbH
www.drdoc.com
Dr.DOC
EASY SOFTWARE AG
www.easy.de
EASY ENTERPRISE
ELO Digital Office GmbH
www.elo.com
ELOprofessional, ELOenterprise, ELOoffice
EMC Corporation
www.emc.com
Documentum Records Manager/Documentum Compliance Manager
empolis GmbH
www.empolis.de
Empolis Automated Response Management
Fabasoft AG
www.fabasoft.com
Fabasoft eGov-Suite, Fabasoft eCRM-Suite, Fabasoft iArchive (Langzeitarchivierung)
forcont business technology gmbh
www.forcont.de
forcont factory FX
Formware GmbH
www.formware.de
Connext
GFT Technologies AG
www.gft.com
GFT hyparchiv
Gräbert Software + Engineering GmbH
www.graebert-gse.de
ArchivPlus Basis
168
Anhang 6: Anbieterübersicht Tabelle 23: Anbieterübersicht für Archivierungsprodukte (Fortsetzung) Firma
Homepage
Produktname
GSD Software mbH
www.gsd-software.com
DOCUframe®
H&S Heilig und Schubert Software AG
www.hs-soft.com
PMA-STORAGE
HABEL GmbH & Co. KG
www.habel.de
HABEL Dokumentenmanagement
HAESSLER Information GmbH
www.haessler.de
DoRIS, MIRES
Hans Held GmbH Büroorganisation
www.hans-held.de
REGISFAFE
Hummingbird Ltd.
www.hummingbird.com
Hummingbird Enterprise
Hyland Software
www.onbase.com/
OnBase
Hyperwave GmbH
www.hyperwave.com
Hyperwave Information Server
IBM / FileNet
www.ibm.com
Filenet P8
IMTF Informatique-MTF SA
www.imtf.com
Hypersuite
International Business Machines Corporation
www.ibm.com
IBM Content Manager
Interwoven Inc.
www.interwoven.com
Worksite MP
IQDoQ GmbH
www.iqdoq.de
HyperDoc
IQUADRAT AG
www.iquadrat.de
PHOENIX DMS
Kendox AG
www.kendox.com
Kendox InfoShare
Kühn & Weyh Software GmbH
www.kwsoft.de
M/OMS
MACH AG
www.mach.de
MACH InformationManager
macrosInnovation GmbH
www.macrosinnovation.de
macrosInnovation
Meridio Ltd.
www.meridio.com
Meridio
Microsoft Corporation
www.microsoft.com
Microsoft SharePoint 2010
Multi-Support International A/S
www.multi-support.com
MultiArchive
Open Text Corporation
www.opentext.com
Livelink ECM
OPTIMAL SYSTEMS Gesellschaft für innovative Computertechnologien mbH
www.optimal-systems.de
OS|ECM
169
Anhang Tabelle 23: Anbieterübersicht für Archivierungsprodukte (Fortsetzung) Firma
Homepage
Produktname
Oracle Corporation
www.oracle.com
Oracle Records Database
PROCAD GmbH & Co. KG
www.procad.de
PRO.FILE
SAP Deutschland AG & Co. KG
www.sap.com
SAP ERP
SAPERION AG
www.saperion.com
SAPERION ECM
SER Solutions Deutschland GmbH
www.ser.de
DOXiS
softgate GmbH
www.soft-gate.de www.softgate-archiv.de
softgate-archiv
Software Engineering GmbH
www.seg.de
EasyArc®
Softwarebüro Krekeler
www.krekeler.de
Office Manager Enterprise
T-Systems International GmbH
www.t-systems.de
ImageMaster
UnITeK GmbH
www.unitek-online.de
DocuMatic
UPTIME services AG
www.uptime.ch
ARTS
WeWebU Software AG
www.wewebu.de
WeWebU
windream GmbH
www.windream.com
windream
ZyLAB Distribution BV
www.zylab.com
ZyIMAGE Information Access Platform
170
Tabellenverzeichnis Tabelle 1:
Aufbau des Buches ...............................................................................................................19 f.
Tabelle 2:
Gesetze, Verordnungen und Verlautbarungen.................................................................21 f.
Tabelle 3:
Weitere Regelungen zur Aufbewahrung ...........................................................................23 f.
Tabelle 4:
Umfang der Aufbewahrung nach Handels- und Steuerrecht............................................ 25
Tabelle 5:
Unterschiede Backup und elektronische Archivierung ..................................................... 38
Tabelle 6:
Unterschiedliche Anforderungen Buchhaltungssystem und elektronisches Archivsystem.................................................................................................. 39
Tabelle 7:
Passagen bezüglich Sicherstellung der Unveränderbarkeit ............................................43 f.
Tabelle 8:
Sicherstellung der Unveränderbarkeit.................................................................................. 46
Tabelle 9:
Aufbewahrungsfristen nach Steuerrecht.............................................................................. 47
Tabelle 10: Inhalte einer Verfahrensdokumentation...........................................................................49 f. Tabelle 11: Typische Daten- und Dokument-Migrationen ................................................................55 f. Tabelle 12: Gründe für die Aufbewahrung im Originalformat .........................................................65 f. Tabelle 13: Varianten der E-Mail-Archivierung ..................................................................................... 79 Tabelle 14: Archivierungs-Varianten........................................................................................................ 81 Tabelle 15: Maschinelle Auswertbarkeit von E-Mails ............................................................................ 84 Tabelle 16: Beispiel für steuerrelevante Dateien ................................................................................ 88 ff. Tabelle 17: Vor- und Nachteile von Dateiformaten................................................................................ 95 Tabelle 18: Vergleich PDF – PDF/A ......................................................................................................97 f. Tabelle 19: Chancen und Risiken von Migrationsvarianten ...............................................................108 Tabelle 20: Typische Risiken beim Betrieb von elektronischen Archivsystemen.............................142 Tabelle 21: Projektphasen eines Migrationsprojektes .......................................................................163 f. Tabelle 22: Inhalte einer Migrationsdokumentation....................................................................... 165 ff. Tabelle 23: Anbieterübersicht für Archivierungsprodukte ............................................................ 167 ff.
171
Abbildungsverzeichnis Abbildung 1: Normen-Hierarchie.............................................................................................................. 22 Abbildung 2: Übersicht Rechtsgrundlagen............................................................................................... 23 Abbildung 3: Aufbewahrungspflichtige Unterlagen ................................................................................ 35 Abbildung 4: Inhalte einer Verfahrensdokumentation ........................................................................... 48 Abbildung 5: EDI-Beleg und Formatierung im EDI-Viewer ...............................................................102 Abbildung 6: Anforderungen an elektronische Rechnungen...............................................................114 Abbildung 7: Dienstleister für elektronische Rechnungsstellung ........................................................115
172
Autorenprofile Thorsten Brand Thorsten Brand ist seit 1992 als produktneutraler Berater im Bereich ECM tätig. Tätigkeitsschwerpunkte liegen in den Bereichen: Prozess- und Organisationsberatung Erstellung von Vor-/Machbarkeitsstudien Begutachtung bestehender Systemumgebungen/-konzepte Anforderungsanalysen Erstellen von Lösungskonzepten Unterstützung bei der Systemauswahl Begleitung/Qualitätssicherung bei der Systemeinführung Unterstützung bei Abnahmetests/Systemabnahme Erstellung von Verfahrensbeschreibungen Durchführung von Projekt-Reviews Projektbegleitung-/Projektmanagement Er ist Leiter des Competence-Centers „Steuern und Recht“ des VOI. e.V. (Verband Organisations- und Informationssysteme) und Mitarbeiter der Arbeitsgruppe zur Erarbeitung der neuen GoBS. Seit 2000 ist Thorsten Brand Senior-Berater der Zöller & Partner GmbH.
Dr. Ivo Geis Dr. Ivo Geis – Jahrgang 1943 – ist Rechtsanwalt in Hamburg und arbeitet im Recht der Informationstechnologie mit dem Schwerpunkt in den Themen Rechtsfragen der elektronischen Kommunikation, Dokumentation und des Datenschutzes. Zu diesen Themen nimmt Dr. Geis auch in Vorträgen und Veröffentlichungen Stellung. Ehrenamtlich ist Dr. Geis Leiter des Arbeitskreises „Rechtsfragen der digitalen Kommunikation“ der AWV Arbeitsgemeinschaft für wirtschaftlichen Verwaltung e.V. in Eschborn. Von Anfang des Jahres 1998 bis zum Anfang des Jahres 2003 war Dr. Geis Vorsitzender der Hamburgischen Datenschutzgesellschaft e.V.
173
Autorenprofile Stefan Groß Stefan Groß ist als Steuerberater und Certified Information Systems Auditor (CISA) an der Schnittstelle zwischen IT und Steuerrecht tätig. Seine Tätigkeitsschwerpunkte liegen in den Bereichen: Steuerrecht und Neue Medien IT-Revision und EDV-Sonderprüfungen Fragen zum Datenzugriff der Finanzverwaltung (GDPdU) Electronic Invoicing, GoBS Prüfungen nach IDW PS 330, PS 951, SAS 70, FAIT 3 Datenanalysesoftware in der Jahresabschlussprüfung Umsatzsteuer-Risikomanagement Er ist Leiter des Compentence-Centers „Steuern und Recht“ des VOI. e.V. (Verband Organisations- und Informationssysteme), Leiter des Arbeitskreises Qualität des VeR (Verband elektronische Rechnung) und Mitarbeiter der Arbeitsgruppe zur Erarbeitung der neuen GoBS. Stefan Groß ist Partner der Kanzlei Peters, Schönberger & Partner in München.
Bernhard Lindgens Bernhard Lindgens war von 1987 bis 2002 zuständig für den EDVEinsatz in der Steuerfahndung und für nationale und internationale Projekte zur Betrugsbekämpfung im Bundesministerium der Finanzen, Bonn. Er wirkte am Gesetzgebungsverfahren und Fragen- und Antwortenkatalog zum Datenzugriffsrecht der Finanzbehörden mit. Seit 2002 ist er im Bundeszentralamt für Steuern im Bereich Betrugsbekämpfung tätig.
174
Autorenprofile Bernhard Zöller Bernhard Zöller ist seit 1984 im Bereich Dokumenten Management/Archivierung tätig. Als Junior-Berater bei der Diebold Deutschland GmbH, einer Technologie- und Managementberatungsfirma in Frankfurt am Main, schrieb er die ersten Studien (Diebold Archivstudie, 1987) und organisierte die ersten Veranstaltungen (Archivseminare, April 1985) zu diesem Thema in Deutschland. Bernhard Zöller gründete in 1997 die Zöller & Partner GmbH, eine strikte anbieter- und produktneutrale Beratungsfirma mit den Themenschwerpunkten Dokumenten Management, Enterprise Content Management und Content Workflow Management (Workflow).
175
Stichwortverzeichnis fette Zahlen = Paragraph A = Anhang andere Zahlen = Randnummer
A Abgabenordnung (AO) 2 13; 3 30; 6 3; A 3 ff. G GDPdU 5 9; 6 6; A 11 AGBs 4 13; 6 17 Altbestand 4 44 Anbieterübersicht A 111 Arbeitsanweisungen A 88, 92 Archivierung 3 4, 8 ATLAS 2 3, 36; 4 18; 7 3; 8 18; A 2, 27 Aufbewahrungsfrist 3 37, 52 Aufbewahrungsort 9 17 Aufbewahrungspflicht 6 3, 33 Auftragsdatenverarbeitung 10 6 Auswertbarkeit – maschinelle 2 42; 5 10, 44; 6 4, 8, 11, 31; 8 9, 12, 22; A 54 Authentizität 9 24
B Backup 3 8; 8 17 Banken 2 7 Bearbeitungsvermerk 4 9 Betriebsvereinbarung 5 12; A 106 Bildverbesserungen 4 39 Bürgerliches Gesetzbuch (BGB) A 41 Business Controls 9 27
C Cloud Archiving 10 15 DDaten – steuerrelevante 2 18; 8 1 ff. Datenschutz A 48
E EDI 2 36; 6 5; 7 1 ff., 7, 16; 9 2, 8 E-Mail 5 1 – private 5 14, 22, 50 – steuerrelevante 5 39, 47
F FAIT 3 3 30; A 35 Farbe 1 4; 3 15; 4 3, 6 f., 24; 6 20 Fernmeldegeheimnis 5 12 Font-Embedding 6 22 Formate 3 31; 4 20, 38; 6 2, 19 176
GoB A 5 GoBS 3 12, 30; A 7
HHandelsbrief 2 13, 16; 5 2; 6 3, 18; 7 9; A 31 Handelsgesetzbuch (HGB) 2 13; 3 30; A 31
I IDEA 8 13, 22 Integrität 9 24 Internes Kontrollsystem 10 4; A 8, 88, 98 INVOIC 7 2
J Jahressteuergesetz 2010 9 19 JPEG 4 21
MMedizin 2 7 Mehrwertsteuer-Systemrichtlinie 9 24; A 22 Migration 3 70; 8 17; 10 14; A 98, 108
NNachvollziehbarkeit 3 12, 21 Nebensystem 2 41 Netto-Daten 3 15
O Öffentliche Verwaltung 2 7 Ordnung 3 12 Originale – Vernichtung 4 14 Originalformat – Aufbewahrung 4 19 Outsourcing 9 6; 10 1 ff.
P Papier 4 1 ff. PC-Dateien 6 1 ff. PDF 4 31; 6 13, 20, 28 PDF/A 4 33; 6 20, 28 Personalbereich 2 7 Presse 2 7 Programmidentität 3 44; A 103
Stichwortverzeichnis
Q Qualitätssicherung 4 43 R Rechnung – elektronische 9 1 ff. Richtigkeit 3 12, 15 Rückseiten 4 10
S Sammelabrechnung 7 16 Sanktionsmöglichkeiten 2 23 Scandienstleister 4 44 Scannen 4 1 ff. Sicherheit 3 24 Signatur 3 30, 34, 90; 5 11, 53; 7 16; 9 2, 5 Sozialversicherungsträger 2 7 Speicher – optischer 3 28 Stammdaten 2 24
T Telekommunikationsgesetz 5 16
Umsatzsteuergesetz A 21 Unterlagen – originär elektronische 2 17 Unveränderbarkeit 3 9, 12, 28, 35
V Verfahrensdokumentation 3 42; A 67 Verrechnungspreise 2 31 Vertraulichkeit 3 17 Vertretungsmodell 9 6 Vollständigkeit 3 12, 14 Vorsystem 2 41
X XBRL 8 25 XML-Beschreibungsstandard 8 17, 22
Z Zeitgerechtheit 3 12, 16, 20 Zertifizierung 3 54 Zivilprozessordnung A 44 Zoll 1 9; 2 35; A 28
TIFF 4 21, 26; 6 13, 20
UÜbereinstimmung – bildliche 4 6; 6 14; 7 9 – inhaltliche 4 6; 6 14; 7 9
177