© Wong Yu Liang, 123rf.com

In den letzten Jahren hat der Gesetzgeber zahlreiche Vorschriften zur digitalen Archivierung erlassen, seit 2009 drohen gar Strafen im sechsstelligen Bereich. Doch über die Details der Umsetzung schweigt sich der Staat aus – der IT-Verantwortliche bleibt ratlos zurück.

Sprichwörtlich alleingelassen fühlen sich viele IT-Admins in Unternehmen derzeit. Wenn es um das Thema Compliance und rechtssichere oder revisionssichere Archivierung geht, erweist sich eine Hälfte der sonst so dienstbeflissenen Consultants als seltsam schweigsam, während die beredsamen Unmengen heißer Luft produzieren (siehe übernächster Artikel). Dabei scheint der rechtliche Grundrahmen anfangs eindeutig – doch der Teufel steckt im Detail.

Revisionssicher und rechtssicher

Ein wichtiger Unterschied (vor allem beim Gespräch mit Verkäufern und Consultants) ist der zwischen einer revisionssicheren und einer rechtssicheren Archivierung. Unter einer Revisionssicherheit versteht der Gesetzgeber eine Aufbewahrung, die alle Vorgaben einhält, die das Finanzrecht zum Schutz dieser Informationen vorsieht. Das bedeutet eine ordnungsgemäße, vollständige, unveränderbare, nachvollziehbare und über einen Index wiederauffindbare Archivierung von kaufmännischen und steuerrechtlich relevanten Daten und Belegen. Demnach muss ein Gesamtsystem, einschließlich aller Hard- und Softwarekomponenten, das die gesetzlichen Vorgaben einer revisionssicheren Archivierung erfüllen will, ffolgende Kriterien einhalten:

• Vollständigkeit,
• Sicherheit des Gesamtverfahrens,
• Schutz vor Veränderung,
• Sicherung vor Verlust im Rahmen der gesetzlichen Fristen,
• Dokumentation des Archivierungsverfahrens und
• Nachvollziehbarkeit und Prüfbarkeit.

Diese Kriterien sind vorwiegend organisatorische und technische Anforderungen, die von den Verantwortlichen des jeweiligen Unternehmens erfüllen müssen. Für den Admin schwierig, denn Details zu erlaubten Signaturverfahren oder Ähnlichem spart sich der Gesetzgeber, der Betroffene tappt technisch im Dunkeln. Ein geprüftes Siegel für Appliances oder ähnlicher Software: Fehlanzeige.

Wer kann Garantien geben?

Die obige Definition umfasst keine weitergehenden Vorschriften, die sich mit einer rechtskonformen Archivierung auseinandersetzen. Insbesondere datenschutzrechtliche Anforderungen aus dem Bundesdatenschutzgesetz und dem Telemediengesetz können über die Aufbewahrungspflichten, die sich rein aus den finanz- und handelsrechtlichen Vorgaben ergeben, hinausgehen. Letztlich bedeutet dies, dass eine rechtssichere Archivierung die Einhaltung aller gesetzlichen Vorgaben beinhaltet und die revisionssichere hiervon ein wichtiger Teil ist.

Bietet ein Consultant ein System an, das revisionssichere Archivierung verspricht, muss sich der Anwender darüber im Klaren sein, dass er damit noch keine Rechtssicherheit hat. Hierzu bedarf es rechtlicher Berater, die diese weitergehenden Anforderungen prüfen und sicherstellen. Ein Anbieter dagegen, der mit Rechtssicherheit wirbt, kann eventuell sogar regresspflichtig sein, wenn bei einer Prüfung Daten fehlen oder Signaturen nicht passen.

Gesetze, Gesetze

Die rechtlichen Grundlagen in Bezug auf die Aufbewahrungspflichten von Dokumenten ergeben sich aus ein paar zentralen Vorschriften aus dem Handels- und Steuerrecht: Nach §§ 238, 257 HGB besteht für Kaufleute die Verpflichtung, von so genannten Handelsbriefen eine Kopie des versandten Exemplars aufzubewahren. Unter einem Handelsbrief ist dabei jedes Schreiben zu verstehen, das der Vorbereitung, dem Abschluss, der Durchführung oder der Rückgängigmachung eines Geschäfts dient. Gemäß § 257 Abs.4 HGB [1] ist die Dauer der Archivierung je nach Art des Dokuments auf sechs oder zehn Jahre festgelegt.

Steuerrechtlich verpflichtet § 147 AO (Abgabenordnung, [2]) zudem dazu, neben Handels- und Geschäftsbriefen auch alle Unterlagen aufzubewahren, die für Steuerbehörden relevant sind. Hier taucht auch zum ersten Mal die von der GdPDU (Grundsätze zum Datenzugriff und Prüfbarkeit digitaler Unterlagen, [3]) vorgesehene elektronische und rechtssichere Archivierungspflicht auf, sofern der Unternehmer die Unterlagen mit Hilfe eines Datenverarbeitungssystems erstellt hat.

Zugriff!

Nach § 147 Abs.6 AO muss ein Unternehmen den Steuerbehörden zudem drei Zugriffsmöglichkeiten einräumen. Systematisiert sieht das wie folgt aus:

• Unmittelbarer Zugriff der Finanzbehörde: Hier greift der
  Prüfer unter Nutzung der unternehmenseigenen Hard- und
  Software auf die gespeicherten Daten zu und nimmt selbst
  Auswertungen vor.
• Der mittelbare Zugriff: Dabei nimmt das geprüfte
  Unternehmen Auswertungen durch interne, mit dem System vertraute
  Personen nach Vorgaben der Finanzverwaltung vor.
• Die Datenträgerüberlassung: Bei dieser Variante
  bekommt der Prüfer die gespeicherten Unterlagen und
  Aufzeichnungen in maschinell auswertbarer Form zur Verfügung
  gestellt, wobei die Auswertung der Daten mit dem System der
  Finanzverwaltung erfolgt (siehe Abbildung 1).

Abbildung 1: Der Gesetzgeber unterscheidet zwischen mittelbaren, unmittelbaren Zugriff oder Datenträgerüberlassung. (Bild: © Paul Maguire, Fotolia.com)

Noch mehr Vorschriften

Die oben genannten Vorschriften ergänzen die “Grundsätze ordnungsgemäßer Speicherbuchführung” (GoS) von 1978 und deren Nachfolger, die “Grundsätze ordnungsgemäßer DV-gestützter Buchführungssysteme” (GoBS, [4]) sowie die “Grundsätze zum Datenzugriff und Prüfbarkeit digitaler Unterlagen” (GDPdU, [3]). Hier setzen die Finanzbehören bei elektronischen Abrechnungen voraus, dass der Originalzustand des übermittelten und vielleicht sogar verschlüsselten Dokuments jederzeit überprüfbar sein muss. Elektronische Rechnungen müssen durch die Übertragung der Inhalts- und Formatierungsangaben auf einem gesonderten Datenträger aufbewahrt und eine Bearbeitung während des Übertragungsvorgangs ausgeschlossen sein.

Gibt es verschlüsselte E-Mails dauerhaft zu speichern, sind zudem folgende Punkte nachvollziehbar zu absolvieren:

• Prüfung der Signatur und Dokumentation des
  Ergebnisses,
• Aufbewahrung aller Formate, sofern Konvertierungen
  passieren,
• Aufbewahrung des Signaturprüfschlüssels und
• Protokollierung sämtlicher Verarbeitungsschritte.

Daraus ergibt sich zwangsläufig, dass jedes Unternehmen die steuerrechtlich relevanten Unterlagen geordnet aufbewahren muss. Gemäß § 147 Abs.1 AO sind dies folgende:

• Bücher und Aufzeichnungen, Inventare,
  Jahresabschlüsse, Lageberichte, die Eröffnungsbilanz
  sowie die zu ihrem Verständnis erforderlichen
  Arbeitsanweisungen und sonstigen Organisationsunterlagen,
• die empfangenen Handels- oder Geschäftsbriefe,
• Wiedergaben der abgesandten Handels- oder
  Geschäftsbriefe,
• Buchungsbelege,
• Unterlagen, die einer mit Mitteln der Datenverarbeitung
  abgegebenen Zollanmeldung, sofern die Zollbehörden auf ihre
  Vorlage verzichtet oder sie nach erfolgter Vorlage
  zurückgegeben haben,
• sonstige Unterlagen, soweit sie für die Besteuerung von
  Bedeutung sind.

Aber auch hier kein Wort über konkrete Software, Hardware, Algorithmen oder gar Produkte, mit denen sich diese Ziele erreichen lassen.

Alle sind betroffen

Bei der ordnungsgemäßen Archivierung von Dokumenten in Unternehmen gilt nichts anderes, als bei allen anderen gesetzlichen Verpflichtungen auch: Grundsätzlich hat die Geschäftsleitung, und zwar unabhängig von ihrer Rechtsform, dafür zu sorgen, dass die gesetzlichen Vorgaben eingehalten werden. Ansonsten setzen sie sich im Rahmen ihrer gesellschaftsrechtlichen Verantwortlichkeit einer Haftung aus. Alle geschäftlich tätigen Steuerpflichtigen, einschließlich der Einzelunternehmen, den GbRs und Freiberuflern(!), müssen den Archivierungsvorschriften aus der Abgabenordnung Genüge leisten.

Das Gesetz spricht in den §§ 146, 147 AO von der Aufbewahrung der Buchführungsunterlagen und relevanten Aufzeichnungen und richtet sich daher nicht nur an Handelsunternehmen, sondern ganz allgemein an den Steuerpflichtigen, der unternehmerisch tätig ist, in welcher Form auch immer.

Zur Einhaltung der gesetzlichen Vorgaben delegieren die Geschäftsführer oder Organe eines Unternehmens im Rahmen von organisatorischen Maßnahmen bestimmte Aufgaben gerne an Mitarbeiter oder externe Dienstleister. Intern ist es zudem häufig so, dass die Verantwortlichkeit für die Archivierung von Dokumenten der sachnächste Bearbeiter auferlegt bekommt: der IT-Administrator. Dieser kann, wie jeder Arbeitnehmer, in Fällen von grober Fahrlässigkeit auch für entstandene Schäden in die Verantwortung gelangen.

Rechtsfolgen

Seit 1. Januar 2009 sieht § 146 Abs. 2b AO folgende Ordnungsgeldregelung vor: “Kommt der Steuerpflichtige der Aufforderung zur Rückverlagerung seiner elektronischen Buchführung oder seinen Pflichten nach Absatz 2a Satz 4, zur Einräumung des Datenzugriffs nach § 147 Abs. 6, zur Erteilung von Auskünften oder zur Vorlage angeforderter Unterlagen im Sinne des § 200 Abs. 1 im Rahmen einer Außenprüfung innerhalb einer ihm bestimmten angemessenen Frist nach Bekanntgabe durch die zuständige Finanzbehörde nicht nach oder hat er seine elektronische Buchführung ohne Bewilligung der zuständigen Finanzbehörde ins Ausland verlagert, kann ein Verzögerungsgeld von 2 500 Euro bis 250 000 Euro festgesetzt werden.”

In der Praxis sind zwar noch keine Fälle der Ordnungsgeldverhängung bekannt geworden, was vor allem an der kurzen Geltungsdauer seit Januar 2009 liegen dürfte. Die Verhängung liegt aber jedenfalls im Ermessen der zuständigen Finanzbehörde, und erfahrungsgemäß machen die Behörden davon in Zukunft umfassend Gebrauch.

Fallbeispiel

Zusätzlich kommt der gesamte Anspruchskanon in Betracht, der bei Verstößen gegen Buchführungspflichten des Steuerpflichtigen auch sonst eintritt, zuvorderst das Recht der Finanzverwaltung die Besteuerungsgrundlage zu schätzen. Hinsichtlich der Durchsetzbarkeit der Überlassung von Datenträgern nach den Vorschriften der GdPDU gibt es schon zahlreiche Entscheidungen der Finanzgerichte, die überwiegend den Behörden Recht geben, gerade wenn es um die EDV-Außenprüfung geht. So hat beispielsweise das Thüringer Finanzgericht am 20. April 2005 (Az.: III 46/05 V) festgestellt, dass die Aufforderung zur Datenträgerüberlassung im Rahmen einer Außenprüfung rechtmäßig sei.

Im vorliegenden Fall hatte der Steuerpflichtige Sorge um geheimhaltungsbedürftige Daten und forderte vom Betriebsprüfer, dieser solle eine gesonderte Geheimhaltungserklärung abgeben, wenn er ihm schon einen Datenträger überlasse. Insbesondere sollte der Betriebsprüfer damit schriftlich bestätigen, dass er den Datenträger so aufbewahren werde, dass er vor unbefugtem Zugriff geschützt sei, dass er ihn weder kopieren noch die auf ihm enthaltenen Daten in einer sonstigen Form vervielfältigen und ihn nach Ende der Prüfung wieder zurückgeben werde.

Die thüringer Richter hatten eine entsprechende Verpflichtung des Betriebsprüfers abgelehnt. Einen gesetzlichen Anspruch auf die Abgabe einer gesonderten Geheimhaltungsbestätigung gäbe es nicht. Stattdessen verwies das Gericht auf die bisherige papiergestützte Buchführung, die Überlassung von Datenträgern schaffe kein weitergehendes Risiko. Den schützenswerten Interessen des Steuerpflichtigen und seiner Kunden sei bereits durch die geltenden Gesetze, insbesondere durch das Steuergeheimnis (§ 30 AO), ausreichend Rechnung getragen.

Knackpunkt private E-Mails

Noch problematischer ist der Sachverhalt, wenn es um E-Mails geht. Zwar gelten für diese die gleichen Regeln und Pflichten für die Archivierung, doch die saubere Trennung zwischen privaten und geschäftlichen E-Mails zieht einen Rattenschwanz an Problemen hinter sich her. Vom Datenschutz bis zum Telemediengesetz und Telekommunikationsgesetz sind dabei eine Vielzahl von Vorschriften betroffen.

Duldet ein Unternehmen die private E-Mail-Nutzung, sollte diese im Interesse aller Beteiligten klar geregelt sein. Zum Zwecke der Transparenz und mit dem Ziel der Streitvermeidung eignet sich eine schriftlichen Vereinbarung am besten. So lässt sich das Risiko des Arbeitgebers, gegen datenschutzrechtliche Bestimmungen zu verstoßen, minimieren. Die Gestattung der Privatnutzung sollte die Firma von dieser Einwilligung abhängig machen. Nicht möglich ist es insbesondere, gegenüber den Finanzbehörden den Zugriff steuerrechtlich relevanter E-Mails unter Berufung auf datenschutzrechtliche Vorschriften zu verweigern.

Keine Ausflüchte

In diesem Bezug hat das Bundesministerium für Finanzen intern die ausdrückliche Verwaltungsanweisung ausgegeben: “Wer in Erwartung, dass sich die GDPdU in der Praxis nicht durchsetzen wird, die maschinelle Auswertbarkeit der Daten (§ 147 Abs. 2 Abgabenordnung) nicht sicherstellt, handelt naiv und rechtswidrig. Die Finanzverwaltung wird dies nicht hinnehmen und einer solchen Verweigerungshaltung mit angemessenen Sanktionen begegnen.” Auch hier lässt der Gesetzgeber den Unternehmer allein. Der sucht vergebens nach nachvollziehbaren technischen Lösungen, die dem Gesetz Genüge leisten, sieht sich aber hohen Strafen ausgesetzt, wenn er versagt.

Details liegen nicht vor

Der Gesetzgeber hat mit den Vorschriften zur Archivierung, und insbesondere den ergänzenden Anforderungen nach den GoS, der GoBS und der GDPdU, Regelungen erlassen, die es nun in der Praxis technisch zu realisieren gilt. Erhebliche Sanktionsmöglichkeiten der Finanzämter erhöhen den Druck auf die Unternehmer, sich intensiv mit der Thematik der Archivierung auseinanderzusetzen.

Details darüber, welche Anforderungen im Konkreten an die Soft- und Hardware zum Beispiel bei der Haltbarkeit von Datenträgern gelten, liegen nicht vor. Mit der Unsicherheit des Steuerpflichtigen, sich rechtstreu verhalten zu wollen, aber nicht zu wissen, ob die eingesetzte Technik dies auch gewährleisten kann, lässt der Gesetzgeber seine Bürger weitgehend allein (Kasten “Nichts Genaues weiß man nicht”) .

Obwohl das Risiko für Unternehmen groß erscheint, insbesondere im Hinblick auf die erheblichen Ordnungsgelder, lassen sich die Behörden Zeit mit der Umsetzung: Die ordnungsgemäße Einhaltung der Archivierungspflichten wird in der Praxis kaum geprüft oder nicht sanktioniert. Die Gründe dafür liegen auf der (öffentlichen) Hand: Die Behörden haben schlicht zu wenige Spezialisten, die die ordnungsgemäße Einhaltung der Vorschriften prüfen und beanstanden könnten.

Vielleicht liegt es aber auch am mangelnden Willen der Finanzämter: So lange die Betriebsprüfungen an sich problemlos vonstatten gehen, liegt für sie wohl keine Veranlassung vor, zusätzlich auf der Einhaltung der Archivierungsvorschriften herumzureiten. Die Prüfer dürften anderenfalls auch auf wenig Verständnis bei den ohnehin verunsicherten Unternehmern stoßen.

Abbildung 2: Irgendwo in den Gängen des Finanzministeriums in Berlin müsste doch jemand wissen, wie Unternehmen und Selbstständige Achivieren und Signieren müssen? (Bild: © Increa, Fotolia.com)