All About Security
  • Aktuelle Sicherheitsartikeln als RSS Feed
  • All About Security auf Twitter
  • All About Security auf Xing
  • Unter4Ohren IT-Security Podcast auf YouTube

Compliance & Recht, Fachartikel

Neue Vorgaben der Finanzverwaltung für die IT-Compliance

Neue Vorgaben der Finanzverwaltung für die IT-Compliance

Bereits am 1.Januar 2015 ist die GoBD in Kraft getreten, die Verwaltungsverordnung des Bundesfinanzministeriums über die Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff vom 14.11.2014. Diese löst die bisher geltenden Grundsätze ordnungsgemäßer Buchführungssysteme aus dem Jahr 1995 sowie die Grundsätze zur Prüfung digitaler Unterlagen und zum Datenzugriff aus dem Jahre 2001 ab. Mit den absehbaren Auswirkungen beschäftigt sich der nachfolgende Artikel.

Eine Verwaltungsverordnung kann zwar dem Bürger keine direkten Pflichten auferlegen, dennoch ist die GoBD von erheblicher Bedeutung, da die Finanzämter das Schreiben des BMF bei der Bearbeitung der Steuerangelegenheiten zwingend befolgen müssen und sich daher die Bearbeitungspraxis der Finanzämter an diesen Vorgaben orientieren wird. Die in die Jahre gekommenen Vorschriften der GoBS und der GdPdU werden durch ein einheitliches Regelwerk abgelöst, das auch auf neuere technische Entwicklungen wie das ersetzende Scannen mehr Augenmerk legt. Neben Unterlagen in Papierform sind auch alle elektronischen Unterlagen aufzubewahren, die zur Prüfung und zum Verständnis der für die Besteuerung maßgeblichen Umstände von Bedeutung sind . Dazu gehören neben dem Hauptbuchführungssystem auch alle so genannten Nebensysteme wie z.B. Finanzbuchführungssystem, Anlagenbuchhaltung, Lohnbuchhaltungssystem, Kassensystem, Warenwirtschaftssystem, Zahlungsverkehrssystem, Taxameter, Geldspielgeräte, elektronische Waagen, Materialwirtschaft, Fakturierung, Zeiterfassung, Archivsystem, Dokumenten-Management-System, einschließlich der Schnittstellen zwischen den Systemen.
Wie der Steuerpflichtige die Daten aufzeichnet, ist ihm überlassen, die GoBD schreiben keine bestimmte Technik vor, stellen allerdings erhebliche Anforderungen an die Beschreibung der Technik in Form einer Verfahrensdokumentation sowie die Revisionssicherheit der Unterlagen und auch deren Migrationsbeständigkeit bei Wechsel des technischen Systems.

Kontrolle der Daten

Buchungen müssen zeitnah erfasst werden. Bis zu 10 Tage nach dem Buchungsvorfall wird eine verzögerte Erfassung nicht beanstandet. Für den Fall, dass die Belege innerhalb von 10 Tagen gesichert werden, ist auch eine Verbuchung bis zum Ablauf des Folgemonats nicht zu beanstanden. Zudem hat der Steuerpflichtige nach § 146 der Abgabenordnung zu kontrollieren, dass die Buchungen ordnungsgemäß sind. Dabei sind unter anderem folgende Prüfungen durchzuführen :

  • Zugangs- und Zugriffsberechtigungskontrollen auf Basis entsprechender Konzepte
  • Funktionstrennungen
  • Erfassungskontrollen (Fehlerhinweise, Plausibilitätsprüfungen)
  • Abstimmungskontrollen bei der Dateneingabe
  • Verarbeitungskontrollen
  • Schutzmaßnahmen gegen die beabsichtigte und unbeabsichtigte Verfälschung von Programmen, Daten und Dokumenten

Der Umfang dieser Kontrollen ist jedoch abhängig vom Umfang der Geschäftstätigkeit, der Organisationsstruktur und des eingesetzten DV-Systems.  Das DV-System ist ausreichend vor Verlust und Zerstörung sowie gegen unberechtigten Zugang zu schützen. Liegen keine Unterlagen mehr vor oder konnten Unberechtigte die Daten verändern, kann die Steuerverwaltung eine Schätzung vornehmen.

Erweiterte Dokumentationspflichten

Für die eingesetzten EDV-Verfahren verlangt die GoBD eine vollständige Verfahrensdokumentation, in der beschrieben ist, wie die buchhaltungsrelevanten Informationen verarbeitet werden. Insbesondere die Sicherung der Daten vor Veränderung und die Sicherstellung der Berechtigungen muss hier beschrieben werden, aber auch die Zeiträume, in denen verschiedene Versionen einer Software verwendet wurden, wenn Programmfunktionen verändert wurden. In der GoBD heißt es dazu:

„Da sich die Ordnungsmäßigkeit neben den elektronischen Büchern und sonst erforderlichen Aufzeichnungen auch auf die damit in Zusammenhang stehenden Verfahren und Bereiche des DV-Systems bezieht (siehe unter 3.), muss für jedes DV-System eine übersichtlich gegliederte Verfahrensdokumentation vorhanden sein, aus der Inhalt, Aufbau, Ablauf und Ergebnisse des DV-Verfahrens vollständig und schlüssig ersichtlich sind. Der Umfang der im Einzelfall erforderlichen Dokumentation wird dadurch bestimmt, was zum Verständnis des DV-Verfahrens, der Bücher und Aufzeichnungen sowie der aufbewahrten Unterlagen notwendig ist. Die Verfahrensdokumentation muss verständlich und damit für einen sachverständigen Dritten in angemessener Zeit nachprüfbar sein.“

 

Eine Verfahrensdokumentation, die das grundlegende Prinzip der Datenverarbeitung beschreibt, wird in vielen Fällen noch erstellt werden müssen, insbesondere bei der Verwendung von Branchensoftware. Es gibt zwar folgende Einschränkung, als Rechts- oder Steuerberater kann man aber nicht empfehlen, sich darauf zu verlassen, da es sich hier auch um eine Ermessensentscheidung des Finanzamtes handelt, die nur eingeschränkt nachprüfbar sein kann:

„Soweit eine fehlende oder ungenügende Verfahrensdokumentation die Nachvollziehbarkeit und Nachprüfbarkeit nicht beeinträchtigt, liegt kein formeller Mangel mit sachlichem Gewicht vor, der zum Verwerfen der Buchführung führen kann.“

Revisionssicherheit

Die Unveränderbarkeit der Daten kann auf verschiedene Weise gewährleistet werden. Die reine Speicherung der Daten in einem Dateisystem ist als Schutz nicht ausreichend, auch Export in veränderbare Systeme und eine Reimportmöglichkeit veränderter Daten schließt die Revisionssicherheit aus. In der GoBD steht dazu:

„Die Unveränderbarkeit der Daten, Datensätze, elektronischen Dokumente und elektronischen Unterlagen (vgl. Rzn. 3 bis 5) kann sowohl hardwaremäßig (z.B. unveränderbare und fälschungssichere Datenträger) als auch softwaremäßig (z.B. Sicherungen, Sperren, Festschreibung, Löschmerker, automatische Protokollierung, Historisierungen, Versionierungen) als auch organisatorisch (z.B. mittels Zugriffsberechtigungskonzepten) gewährleistet werden. Die Ablage von Daten und elektronischen Dokumenten in einem Dateisystem erfüllt die Anforderungen der Unveränderbarkeit regelmäßig nicht, soweit nicht zusätzliche Maßnahmen ergriffen werden, die eine Unveränderbarkeit gewährleisten.“

Die GoBD trifft erstmals genauere Aussagen zur Digitalisierung von Papierdokumenten, so dass das ersetzende Scannen mit höherer Rechtssicherheit angegangen werden kann. Auch hier ist eine Verfahrensdokumentation mit folgendem Inhalt erforderlich:

  • wer scannen darf,
  • zu welchem Zeitpunkt gescannt wird (z. B. beim Posteingang, während oder nach Abschluss der Vorgangsbearbeitung),
  • welches Schriftgut gescannt wird,
  • ob eine bildliche oder inhaltliche Übereinstimmung mit dem Original erforderlich ist,
  • wie die Qualitätskontrolle auf Lesbarkeit und Vollständigkeit und
  • wie die Protokollierung von Fehlern zu erfolgen hat.

 

Hier ergibt sich die Schwierigkeit, dass die GoBD eine einheitliche Bearbeitung nach dem Scannen vorschreibt . Das bedeutet, dass nach dem Scannen das Papierdokument nicht mehr weiterbearbeitet werden sollte, sondern weitere Bearbeitungsschritte nur in elektronischer Form erfolgen sollten. Wenn doch das Papierdokument weiterverarbeitet werden sollte, ist dieses nach Abschluss der Bearbeitung nochmals zu scannen und dem Vorgang hinzuzufügen.

Migrationssicherheit

Bei der Migration von Buchhaltungssystemen ist darauf zu achten, dass genau beschrieben wird, wie die Daten übertragen werden und dass die Daten vollständig und richtig übertragen werden. Dabei ist darauf zu achten, dass bisherige Auswertungsmöglichkeiten der Software in jedem Fall erhalten bleiben müssen, selbst dann, wenn dies eigentlich gesetzlich nicht gefordert ist. Die Finanzverwaltung will damit verhindern, dass die Transparenz der Buchhaltungssysteme durch den Wechsel der Softwaresysteme eingeschränkt werden kann.

Firmen sollten sich jedenfalls rechtzeitig mit dem Thema GoBD auseinandersetzen, da diese seit dem 1.1.2015 gilt und schon in der täglichen Buchungspraxis beachtet werden muss, nicht erst beim Jahresabschluss 2015. Zahlreiche neue Anforderungen betreffen auch die Unveränderbarkeit der Daten, so dass die GoBD auch für Anbieter von IT-Sicherheit ein Grund ist, die eigene Kundschaft auf die neuen Vorschriften hinzuweisen. Es sollte in jedem Fall geprüft werden, ob z.B. zur Beratung zur GoBD oder zur Beratung bei der Erstellung von Verfahrensdokumentationen fachkundige Hilfe in Anspruch genommen werden sollte.

 

Zum Autor: Ulrich Emmert ist Partner der Partnerschaftsgesellschaft esb Rechtsanwälte mit Standorten in Stuttgart, Leipzig, Dresden, Berlin, Prag und Warschau. Die Kanzlei berät in allen Fragen des IT-, Wirtschafts- und Steuerrechts, auch bei Fragen zur Revisionssicherheit und zur Erstellung von Verfahrensdokumentationen. Daneben ist er Vorstand der Reviscan AG, die sich mit Softwareerstellung zur Archivierung beschäftigt, sowie im Branchenverband VOI e.V.. Daneben ist er Lehrbeauftragter für Wettbewerbs-, Urheber- und Onlinerecht an der HFWU sowie Geschäftsführer der Reviscan Service UG (haftungsbeschränkt), die sich mit der revisionssicheren Digitalisierung von Dokumenten unter Verwendung von qualifizierten Signaturen und Zeitstempeln beschäftigt (inkl. Verfahrensdokumentation).

[1] GoBD, Abschn. 1.3 RZ 5; BFH Urteil vom 24. Juni 2009, BStBl II 2010 S. 452
[2] GoBD RN 100 ff
[3] GoBD RN 100
[4] GoBD, RN 151
[5] GoBD RN 110
[6] GoBD RN 136
[7] GoBD RN 139

Diesen Artikel empfehlen

Autor: Ulrich Emmert

CIOs rücken DevOps ins Zentrum ihrer Innovationsbemühungen

Mit der zunehmenden Digitalisierung von Geschäftsmodellen rückt die Softwareentwicklung mehr und mehr ins Zentrum der Unternehmensaktivitäten. Angesichts des wachsenden Innovationsdrucks zeigt sich indes, dass herkömmliche Prozesse zur Inbetriebnahme neuer Applikationen und Lösungen nicht dazu...

Verstecktes Internet

Im White Paper „Das versteckte Internet“ skizzieren die Expertinnen und Experten des Forschungsverbunds „Forum Privatheit und selbstbestimmtes Leben in der digitalen Welt“ die aus Sicht des Privatheitsschutzes problematischen Aspekte smarter Technologien und zeigen mögliche Gestaltungspotenziale...

Studie: 67 Prozent der IT-Kosten allein für Wartung und Compliance

Die künftige Wettbewerbsfähigkeit der Banken hängt nach Meinung von 92 Prozent der Entscheider von Investitionen in effiziente IT-Infrastrukturen ab. Die Bezahlsysteme branchenfremder Marktplayer wie Apple Pay, Google Money oder Pay Pal gaben bereits ein erstes Signal, wie IT-Unternehmen den...

Maschinenbau von Software-Innovationen überrannt

Die Beratungsgesellschaft Invensity (www.invensity.com ) befürchtet eine zu schnelle und unbedachte Integration neuer Softwarelösungen in die digitale Fabrik. Dabei beziehen sich die IT-Experten auf die wachsende Anzahl von Software-Innovationen am Markt: 58 Prozent der IT-Experten gaben im Rahmen...

98 bis 197 Tage bis zur Erkennung eines Cyberangriffes

Die zeitliche Verzögerung bis zur Identifizierung von APTs liegt im Finanzsektor bei 98 Tagen und im Onlinehandel bei 197 Tagen. 58 Prozent der befragten Finanzdienst-leister und 71 Prozent der Onlinehändler schätzen die Wahrscheinlichkeit, im kommenden Jahr zu einer nennenswerten Verbesserung...

Internetnutzung am Arbeitsplatz

Die von Blue Coat beauftragte und vom unabhängigen Marktforschungsunternehmen Vanson Bourne durchgeführte Studie kommt zu dem Schluss, dass Mitarbeiter heute sehr wohl um die steigende Bedrohung durch Cyberthreats wissen. Ungeachtet dessen legen sie dennoch oft Verhaltensweisen an den Tag, durch...

Selbstbewusstsein bröckelt - e-Crime (noch) nicht beherrschbar

Das häufigste Ziel von e-Crime-Angriffen waren bargeldlose Zahlungssysteme (30 Prozent der Delikte). Betroffen hiervon waren in erster Linie Finanzdienstleister und Handelsunternehmen. Alexander Geschonneck, Leiter des Bereichs Forensic bei KPMG: „Auch Clients und Workstations, Mail- und Webserver...

Sicherheitsprüfungen bei Beschaffung und Betrieb von PDV-Systemen

Unsichere Netzwerkstruktur und Netzwerkschnittstellen Bei dem Design der Netze kann man sich auf publizierte und in der Praxis getestete Architekturen abstützen und dabei von den Erfahrungen anderer profitieren. Dennoch werden häufig bereits langjährig etablierte Schutzmaßnahmen nicht umgesetzt....

Netzwerke sicher virtualisieren mit Software-defined Networking (SDN)

Im Bereich der IT ist die Virtualisierungstechnik längst nicht mehr neu. Schon in den 60er Jahren experimentierten Hardwarehersteller wie IBM mit virtueller Speicherverwaltung zur Partitionierung von Ressourcen in deren Mainframes. Das ermöglichte ein quasi Multitasking und somit ein beinahe...

Sichere Systeme – Security beim Hardwaredesign

Als eines der kritischen Systeme ist unser Straßenverkehr zu sehen. Jeder kennt es: In dicht besiedelten und infrastrukturell gut ausgestatteten Regionen reicht ein Kfz mit Defekt, um große Teile des Straßenverkehrs zu stören oder gar zum Erliegen zu bringen. Dies, und vorrangig die...

Das Ende der Ära von SSLv3

Wer hätte das gedacht, dass ein Pudel (engl. poodle) die lange Amtszeit von SSLv3 so abrupt beenden würde? Immerhin hat es vor diesem Angriff viele andere Angriffe auf das Protokoll gegeben, wie zum Beispiel BEAST, CRIME oder auch BREACH, denen man namentlich eher den Sturz von SSLv3 zugetraut...

eHealth – Der „Neue Markt“ für Cyber-Kriminelle?

Hinweise auf bereits festgestellte oder befürchtete Datenschutzverletzungen im Gesundheitswesen ereilen uns nahezu täglich. Bei immer mehr elektronisch gespeicherten medizinischen Daten und zunehmendem Datenaustausch müssen wir wohl zukünftig mit noch mehr Alarmmeldungen wie den nachstehenden...