All About Security
  • Aktuelle Sicherheitsartikeln als RSS Feed
  • All About Security auf Twitter
  • All About Security auf Xing
  • Unter4Ohren IT-Security Podcast auf YouTube

Compliance & Recht, Fachartikel

Revisionssichere Digitalisierung, neue GoBD und EIDAS-Verordnung

Revisionssichere Digitalisierung, neue GoBD und EIDAS-Verordnung

Bereits am 1.Januar 2015 ist die GoBD in Kraft getreten, die Verwaltungsverordnung des Bundesfinanzministeriums über die Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff vom 14.11.2014. Danach werden die Anforderungen an die Revisionssicherheit nochmals verschärft, das reine Scannen und Speichern als PDF- oder Officedokument, das mit Hilfe einfacher PC-Software noch beliebig geändert werden kann, genügt damit nicht mehr den Anforderungen und berechtigt das Finanzamt noch schneller als bisher zur Vornahme von Schätzungen.

Zudem verlangen die GoBD noch genauer als bisher den Nachweis der Verfahrensschritte zur Digitalisierung und Aufbewahrung im Rahmen einer Verfahrensdokumentation. Die meisten der bisherigen Verfahren genügen diesen Anforderungen seit dem 1.1.2015 noch nicht, hier lauern in den nächsten Jahren erhebliche Gefahren für Unternehmen. Bei der Digitalisierung von Geschäfts- und Buchhaltungsunterlagen ist daher die Revisionssicherheit nach den GoBD sicherzustellen. Technisch kann die Beweiskraft der Unterlagen durch die Verwendung von qualifizierten elektronischen Signaturen und Beweisdokumenten mit qualifizierten elektronischen Zeitstempeln gesichert werden. Damit kann mit dem elektronischen Dokument die gleiche Beweissicherheit wie mit dem Papierdokument erreicht werden. Die Digitalisierung soll sich für Bundesbehörden an den Vorgaben der Technischen Richtlinie des Bundesamts für Informationssicherheit für das ersetzende Scannen (TR-RESISCAN) orientieren, auch viele Unternehmen ziehen diese technische Richtlinie als Maßstab heran. In Verbindung mit einer selbst erstellten und ggf. zertifizierten Verfahrensdokumentation können damit Dokumente rechtssicher digitalisiert und Kosten für die jahrelange Archivierung in Papierform eingespart werden. Wird eine Texterkennung verwendet, ist eine Volltextrecherche in den erfassten Dokumenten möglich. Eine Zertifizierung für die TR_Resiscan bietet zum Beispiel der Verband für Organisations- und Informationssysteme e.V. (www.voi.de ) an.

Dokumente sollten im Langzeitarchivierungsformat PDF/A-3 gespeichert werden, um die Identität der Anzeige über längere Zeiträume zu sichern, wie dies in der ISO-Norm 19005-3 vorgesehen ist. Dabei sind sämtliche verlinkten und aktiven Inhalte normaler PDF-Dokumente nicht in der Spezifikation erlaubt, um eine Veränderung z.B. durch Änderung von Schriftarten zu verhindern.

Ab 1.7.2016 treten die Implementierungsverordnungen zur neuen EU-Signaturverordnung 2014/910 vom 28.08.2014 in Kraft und schaffen erheblich flexiblere Möglichkeiten zur digitalen Dokumentenverarbeitung. Die bisher in Deutschland notwendigen Chipkarten zur Erstellung qualifizierter Signaturen, die ausschließlich vom Inhaber verwaltet werden durften sind nicht mehr notwendig, es ist auch die Verwendung von Hochsicherheitsmodulen zur Erstellung qualifizierter Signaturen möglich, so dass der Erwerb eines eigenen Chipkartenlesers und die komplizierte Beantragung der Chipkarte entfällt.

Behörden können ab 1.7. auch sogenannte elektronische Siegel verwenden. Bisher war es nur möglich, ein Zertifikat für eine natürliche Person nach dem Signaturgesetz zu bekommen, was durch die damit verbundene Haftung die Nutzer von der Verwendung von qualifizierten elektronischen Signaturen eher abgeschreckt hat.

Zur langfristigen Sicherung von digitalen und eingescannten Unterlagen sind neue Bewahrungsdienste nach der EIDAS-Verordnung vorgesehen, die die Bewahrung von Integrität und Authentizität von Dokumenten langfristig mit kryptographischen Mitteln ermöglichen.

Die Identifikationsfunktion des neuen Personalausweises kann genutzt werden, um sich im Netz zweifelsfrei identifizieren zu können. Bei der Kommunikation mit Behörden können damit auch rechtsverbindliche Erklärungen und Verträge oder Online-Formulare statt mit der Unterschrift bestätigt werden. Ab 18.9.2018 werden die eID-Funktionen der Mitgliedsstaaten gegenseitig anerkannt.

Seit 24.3.2016 sind die Bundesbehörden verpflichtet, mit dem Bürger auch per DE-Mail zu kommunizieren, seit April 2016 ist auch eine Ende-zu-Ende-Verschlüsselung für DE-Mail verfügbar. Dies wurde eingeführt, weil sich viel Kritik an DE-Mail daran entzündete, dass bei Nutzung verschiedener DE-Mail-Provider bei Absender und Empfänger nur abschnittsweise verschlüsselt wurde.

Die meisten Bundesländer haben inzwischen auch das Verwaltungsverfahrensrecht so geändert, dass mit Online-Formularen, DE-Mail und eID auch die gesetzliche Schriftform im Verwaltungsrecht erfüllt werden kann. In manchen Bundesländern gibt es darüber hinaus schon Regelungen zur Digitalisierung des gesamten Verwaltungshandelns durch eAkte und ersetzendes Scannen, so z.B. in Mecklenburg-Vorpommern oder Baden-Württemberg. In letzterem wurde neben der Änderung des Verwaltungsverfahrensgesetzes auch ein eigenes E-Government-Gesetz verabschiedet. Vorteile der E-Government-Gesetze sind erhebliche Kosteneinsparungen durch Vermeidung von Druck- und Versandkosten, durch elektronische Akteneinsicht oder elektronische Zustellung bzw. elektronische Empfangsbekenntnisse.

In Verbindung mit den erleichterten Regelungen der EIDAS-Verordnung zur sicheren Kommunikation ist zu erwarten, dass die neuen Regelungen dazu beitragen können, dass der elektronische Rechtsverkehr in Deutschland und Europa zunimmt. Damit könnte Deutschland seinen derzeitigen Platz im unteren Mittelfeld bei elektronischer Kommunikation verlassen. Das Beispiel der Kommunikation mit Behörden zeigt erheblichen Nachholbedarf Deutschlands gegenüber anderen EU-Mitgliedsstaaten.

Zum Thema des elektronischen Rechtsverkehrs darf ich noch auf ein Buch verweisen, das der Autor zusammen mit Herrn Kollege Dr. Thomas Degen verfasst hat und das im September 2016 im C. H. Beck Verlag erscheinen wird.

Autor: Ulrich Emmert, esb Rechtsanwälte

http://www.kanzlei.de/anwaelte/ulrich-emmert

Quelle: GAI Netconsult