Internet World Business, 07/05, S. 28

In zahlreichen Regelungen ist detailliert festgeschrieben, wie Ihre elektronische Ablage sortiert sein muss. Vielen Unternehmern sind die Vorschriften dennoch völlig unbekannt.

Wann immer das Modewort Information Lifecycle Management (ILM) fällt, liegt der Fokus meist auf dem technischen und operativen Bereich. Dabei spielen jedoch spätestens bei der Datenverlagerung von Produktiv- in Archivierungssysteme auch rechtliche Regelungen eine wichtige Rolle. Deren Unkenntnis kann erhebliche Konsequenzen für das leitende Management nach sich ziehen. Betroffen sind nicht nur internationale Konzerne. Vielmehr zeigt die Praxis, dass speziell mittelständische Unternehmen entweder völlig unvorbereitet sind oder zwar grundsätzlich Kenntnis von den rechtlichen Verpflichtungen haben, sich indes vor einer Umsetzung scheuen.

Bereits seit 2002 Gesetz.

Seit über drei Jahren, nämlich seit dem 1. Januar 2002, ist die Finanzverwaltung berechtigt, die mithilfe eines EDV-Systems erstellte Buchführung durch Datenzugriff zu prüfen. Der Steuerpflichtige hat dafür Sorge zu tragen, dass bei einer solchen elektronischen Prüfung die erforderlichen Informationen gesichtet werden können; vergleichbar mit der früheren Außenprüfung, bei der der Prüfer Rechnungsordner und Rechnungsbelege physisch geprüft hat. Diese Regelung gilt für eine Ein-Personen-GmbH genauso wie für börsennotierte Unternehmen.

Elektronischer Zugriff auf Informationen

Die zuständige Steuerbehörde darf auf dreierlei Weise auf die Daten zugreifen. Beim unmittelbaren Zugriff (Z1) greift der Prüfer direkt beim Steuerpflichtigen auf einem eigens einzurichtenden Arbeitsplatz auf die steuerrelevanten Daten zu. Im Wesentlichen dürften die Daten aus der Finanzbuchhaltung, Lohnabrechnung oder Anlagenbuchhaltung stammen. Hinzu kommen angesichts der Substitution von Post durch E-Mail auch die auf elektronischem Wege ausgetauschten kaufmännischen Dokumente. Entscheidend ist nur, ob es sich um steuerrelevante Informationen handelt, also um kosten- und ertragsrelevante Informationen.

In der Praxis liegt das Problem indes darin, dass einer Datei deren Steuerrelevanz häufig nicht unmittelbar „angesehen“ werden kann. Ein korrektes Ablagesystem dürfte daher nur schwer zu etablieren sein. Schließlich kann die EMail eines Geschäftspartners eine Terminabsprache enthalten, genauso aber auch eine Zahlungsvereinbarung aufweisen. Letztere könnte steuerrelevant und damit selbstverständlich archivierungspflichtig sein, und zwar als Handelsbrief mindestens sechs Jahre, als Rechnung oder Beleg sogar zehn Jahre.

Mit dem so genannten mittelbaren Zugriff (Z2) kann sich der Steuerprüfer mit Unterstützung des Steuerpflichtigen die gewünschten Informationen zeigen lassen, wobei der Steuerpflichtige zur Mitwirkung verpflichtet ist.
Derzeit stellt bei mittelständischen Unternehmen die Datenträgerüberlassung (Prüfungsmethode Z3) wohl das häufigste Prüfverfahren dar. Die steuerrelevanten Daten werden bei diesem Verfahren vom Steuerpflichtigen auf CD-ROM oder DVD exportiert und der Finanzbehörde zur Verfügung gestellt.

In diesem Zusammenhang sei angemerkt, dass der Steuerprüfer grundsätzlich auch solche Informationen auswerten darf, auf deren Herausgabe er keinen Anspruch hat. Werden also zum Beispiel versehentlich Hinweise auf das Schwarzgeldkonto mit exportiert, darf ein findiger Beamter zum großen Schlag ausholen. Dagegen ist der Steuerprüfer weder dazu berechtigt, im Wege des Fernzugriffs das System des Steuerpflichtigen zu überprüfen, noch darf er durch Aufspielen der Prüf- Software IDEA auf das System des Steuerpflichtigen oder durch Integration des Prüfer- Laptops in das Netzwerk eine solche Prüfung durchführen.

In diesem Zusammenhang sei vor einer Begriffsverwechslung gewarnt: Die bloße Sicherung von Daten, also zum Beispiel in Form eines Images vom Server, stellt noch keine ausreichende Archivierung im steuerrechtlichen Sinne dar, denn neben dem Tatbestand der steuerrelevanten Informationen nach den „Grundsätzen zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen“ (GDPdU – BMF-Schreiben vom 16.7.2001 – 136/01) ist darüber hinaus auch deren maschinelle Auswertbarkeit erforderlich.

Zugriff und Datenformate

Der Begriff „maschinelle Auswertbarkeit“ ist genau definiert. Ein Jurist versteht darunter den „wahlfreien Zugriff auf alle gespeicherten Daten einschließlich der Stammdaten und Verknüpfungen mit Sortier- und Filterfunktionen unter Berücksichtigung des Grundsatzes der Verhältnismäßigkeit“. Damit soll sichergestellt werden, dass die dokumenteneigenen Strukturinformationen (z.B. Felddefinitionen) erhalten bleiben. Da dies bei einer Image-Datei nicht möglich ist, wurden bestimmte Formate (z.B. ASCII, Excel, dBase) für zulässig erklärt. Formate wie TIFF und PDF genügen dagegen, soweit eine Archivierung ausschließlich in diesen Formaten erzeugt wird, nicht.

Erfolgt eine Archivierung aus dem Produktivsystem heraus, so ist dabei sicherzustellen, dass auch der Nachweis einer unveränderten Aufbewahrung erbracht werden kann. Dies bedeutet gleichzeitig, dass bei fehlender maschineller Auswertbarkeit des Originals ein maschinenlesbares Dokument herzustellen ist und beide Dokumente über den gleichen Index vorzuhalten sind.

Für steuerrelevante E-Mails bedeutet das, dass sie mit Attachments auf einem unverfälschbaren Speichermedium (etwa DVD) gespeichert werden müssen. Sind die Mails digital signiert oder gar verschlüsselt, sind weitere Anforderungen zu beachten, die auch in Zukunft eine Entschlüsselung sicherstellen. Dieses Thema wird insbesondere dann spannend, wenn auf neue Systeme, Plattformen oder Applikationen migriert wurde.

Für den gesamten Aufbewahrungszeitraum ist dann ein System vorzuhalten, das die Auswertbarkeit ermöglicht. Zusammenfassend lasst sich sagen, dass nach den Erfordernissen der GDPdU die maschinelle Auswertbarkeit im Archivsystem quantitativ und qualitativ die gleichen Möglichkeiten beinhalten muss, wie sie ein Produktivsystem bietet.

Chancen bei Basel II

Aber nicht nur die GDPdU-Vorschriften wollen beachtet sein, auch Basel II und das Gesetz zur Kontrolle und Transparenz im Unternehmen (KonTraG) fordern Aufmerksamkeit. Vereinfacht dargestellt enthalten beide Regelungskonglomerate Tatbestande, die eine Verminderung von Risiken sicherstellen sollen.

Wahrend das KonTraG unter anderem in § 91 Absatz 2 Aktiengesetz umgesetzt wurde, dient Basel II, ein Konsultationspapier des Baseler Ausschusses für Bankenaufsicht, vor allem dem Rating für Kredite.
Die Vorschrift nach dem Aktiengesetz, die sinngemäß auch für größere GmbHs gilt (§ 43 GmbHG), verpflichtet den Unternehmenslenker, das Unternehmen vor Schaden zu bewahren und geeignete Maßnahmen zu treffen, die drohende Gefahren frühzeitig erkennen lassen. Vergegenwärtigt man sich etwa, dass inzwischen ein Großsteil wichtiger Informationen ausschließlich per E-Mail ausgetauscht wird, wird klar, dass diese damit geschäftskritischen Inhalte einen Risikofaktor darstellen.

Dies gilt beispielsweise sowohl für verloren gegangene E-Mails, die Beweiszwecken dienen können, als auch für die Einhaltung der dargestellten rechtlichen Anforderungen. Kommt es zu Verlusten, deren Eintreten ein Geschaftsführer oder Vorstand durch die Installation entsprechender Überwachungssysteme hatte vermeiden können, haftet er gegebenenfalls sogar persönlich. Kann dagegen ein Unternehmen belegen, dass mit geeigneten Schutzmaßnahmen diese Risiken stark reduziert sind, führt dies zu einer Verbesserung der Bewertung bei der Kreditvergabe und somit zu einer Verbilligung von Krediten, da das von den Banken zu hinterlegende Eigenkapital nicht mehr starr acht Prozent (Basel I) betragt.

Ein ordentliches Dokumentenmanagement schützt also nicht nur vor abstrakten Gefahren, sondern kann auch auch ganz handfeste Vorteile mit sich bringen. Klarzustellen ist abschließend, dass nicht jedes kleine Unternehmen aufwendige Archivierungssysteme benötigt; dies gilt insbesondere dann, wenn über die Dauer der Aufbewahrungsfrist sämtliche steuerrelevanten Informationen maschinell auswertbar auf dem Produktivsystem gehalten werden. Erfolgt eine Verlagerung aus Kapazitätsgründen, muss sich jeder vergegenwärtigen, dass wegen der Aufbewahrungspflicht und der damit bis zu zehnjährigen Ruckwirkung bereits jetzt die Weichen gestellt werden. Wer nicht sorgfaltig vorgeht, kann eine böse Überraschung erleben. Angesichts der zunehmenden Schulung von Steuerprüfern muss jedes Unternehmen mit einer elektronischen Prüfung rechnen. Bei Nichterfüllung der GDPdU-Anforderungen kommen Bußgeld, Zwangsmittel und Schätzung in Betracht. In vereinzelten Fallen hat das Nichtbeachten der rechtlichen Erfordernisse bereits zur Androhung von Zwangsmaßnahmen im Wiederholungsfall geführt.