Ordnung muss sein

Die GoBS teilt sich in sieben Abschnitte: Der Anwendungsbereich beinhaltet einen Verweis auf die Buchführungsvorschriften in Handelsgesetzbuch und Abgabenordnung und bestimmt, dass dort, wo Bücher zu führen sind, dies auch auf Datenträgern zulässig ist. Zusätzlich zu den Grundsätzen gewöhnlicher Buchführung ist hervorzuheben, dass ein sachverständiger Dritter sich auch im DV-System jederzeit einen angemessenen Überblick verschaffen können muss, und dass eine vollständige Verfahrensdokumentation, die auch frühere Verfahrensinhalte beschreibt, vorhanden ist. Im praktischen Einsatz heißt das, dass auch und gerade selbst gestrickte Ablage- und Workflow-Systeme vollständig und ausführlich darzustellen sind.

Der Abschnitt über die Beleg-, Journal- und Kontenfunktion beinhaltet über die gewöhnlichen Buchführungsgrundsätze hinaus die Anforderung nach einer automatischen Betriebsdatenerfassung (BDE) und der Möglichkeit des elektronischen Datentransfers per EDI oder Datenträgeraustausch. Damit gilt das gesamte Verfahren als Dauerbeleg. Der Abschnitt Buchung gibt im Wesentlichen die Grundsätze wieder, die auch für die gewöhnliche Buchführung gelten. Ein Internes Kontrollsystem (IKS) ist eine Säule der DV-Buchführung. Bestimmte Verfahren hierzu sind nicht vorgeschrieben, nur die Rahmenbedingungen abgesteckt. Insbesondere darf das IKS nicht aus einzelnen, isolierten Kontrollmaßnahmen bestehen, sondern muss planvoll und lückenlos das Verfahren sichern, um jederzeit aktuelle Information zu gewährleisten und Datenverlust auszuschließen. Manuelle und maschinelle Kontrollen müssen aufeinander abgestimmt sein, eine Zuständigkeits- beziehungsweise Funktionstrennung ist sicherzustellen, die buchungsrelevanten Arbeitsabläufe müssen in der richtigen Reihenfolge definiert sein. Außerdem muss sich das System selbst kontrollieren, das heißt anhand einer Programmidentitätsprüfung gewährleisten, dass Verfahren und Dokumentation übereinstimmen, auch bei Systemoder Rechnerwechsel. Datensicherheit fordert Zugangskontrollen, effektive Datensicherungen und ergänzende Schutzmaßnahmen nach dem jeweils aktuellen Stand der Technik.

Der Abschnitt Dokumentation und Prüfbarkeit stellt sicher, dass ein sachverständiger Dritter nicht nur jederzeit Überblick über die Geschäftsvorfälle erhält, sondern auch nachvollziehen kann, wie die entsprechenden Daten systemintern gespeichert sind. Die Verfahrensdokumentation muss demnach die sachlogische Lösung und die programmtechnische Umsetzung nebst Schnittstellen beschreiben, zeigen, wie Programmidentität und Datensicherheit gewahrt sind, und eine vollständige Bedienungsanleitung für den Benutzer beinhalten. Als Aufbewahrungsfristen gelten die gleichen, wie auch für die gewöhnliche Buchführung. Für die Dokumentation selbst gilt eine Aufbewahrungsfrist von zehn Jahren. Damit dürfen überholte Verfahren erst zehn Jahre nach der letzten Buchung, die auf diese Weise stattfand, aus der laufenden Dokumentation verschwinden.

Entscheidende Bestimmungen finden sich im Abschnitt über die Wiedergabe der auf Datenträgern geführten Unterlagen. Dort ist festgelegt, dass alle Daten auf Verlangen in angemessener Zeit lesbar zu machen sind. Dabei ist die inhaltliche Übereinstimmung durch das Archivierungsverfahren zu sichern. Für Handelsbriefe, also Geschäftskorrespondenz, und alle Buchungsbelege muss die bildliche Übereinstimmung mit der körperlichen Originalunterlage zwingend sichergestellt sein. Es darf also keine Möglichkeit geben, dass diese Unterlagen nachträglich verändert werden könnten. Sind keine körperlichen Originale vorhanden, liegen also Korrespondenz und Belege nur in digitaler Form vor, kann dies nur eine Signatur gewährleisten. In der Konsequenz sind daher selbst vom Versender signierte Dateien beim Eingang in das interne System nochmals zu signieren, um auch Zugangszeiten oder unsignierte E-Mail-Header oder -inhalte zu stempeln. Das gleiche muss für Online-Bestellformulare beziehungsweise aus diesen generierten XML-Dokumente gelten. Die Verantwortlichkeit schließlich bestätigt die Verantwortung des Buchführungspflichtigen auch für die DV-Buchführung. Ein Delegieren auf Sysadmins oder externe Dienstleister hebt diese nicht auf

Herauslavieren: Unzulässig

Nach den Bestimmungen der Abgabenordnung darf die Finanzbehörde die DV-Buchführung jedes Steuerpflichtigen mittels Datenzugriff prüfen. Was dieser Datenzugriff bedeutet, welche Maßnahmen der Steuerpflichtige treffen muss und was er bei dem Verfahren zu beachten hat, regeln die GdPdU, die Grundsätze zum Datenzugriff und der Prüfbarkeit digitaler Unterlagen. Eines vorweg: Datenzugriff durch die Finanzbehörde umfasst ausdrücklich keinen OnlineZugriff über das Internet, schon gar keinen, von dem der Steuerpflichtige nichts mitbekommt. Derartige Eingriffe in Grundrechte diskutieren zwar derzeit viele Überwachungsbefürworter, sie würden aber in jedem Falle unter Richtervorbehalt stehen, das heißt eine Verwaltungsbehörde dürfte dies nie selbstständig anordnen. Das Recht auf Datenzugriff besteht ausschließlich im Rahmen einer steuerlichen Außenprüfung, der Betriebsprüfung. Der Umfang des Datenzugriffsrechts beschränkt sich auf für eine Besteuerung relevante Daten aus Finanzbuchhaltung, Anlagenbuchhaltung und Lohnbuchhaltung. Daten, die das Unternehmen lediglich fürs interne Rechnungswesen vorhält, sind demnach ausgenommen.

Viele Unternehmen führen eine eigene Buchhaltung für das Controlling, in der etwa Bewertungen und Abschreibungen nach anderen Maßstäben angesetzt sind, als für die Steuerbilanz vorgeschrieben. Zur Finanzbuchhaltung und damit auch zu den aufbewahrungspflichtigen Unterlagen gehört aber auch sämtliche betriebliche Geschäftskorrespondenz, die irgendeine Bedeutung für die Besteuerung entfalten könnte. Geschäftskorrespondenz ist in diesem Zusammenhang auf zweifache Weise weit auszulegen: Einerseits umfasst Geschäftskorrespondenz nicht nur papierne Schriftstücke sondern auch alle elektronischen Formen. Dazu zählen also nicht nur E-Mails samt Header, Body und Attachment, sondern auch Webformulare, die etwa Bestellungen durch Kunden nicht via Mail einleiten, sondern dabei auf modernes AjaxSkripting setzen. Und das betrifft auch nicht nur die Bestellungen selbst, sondern bereits die Angebote auf der Website gelten als elektronische Geschäftsbriefe. Andererseits umfasst Geschäftskorrespondenz nicht nur Angebote und Annahmen, also das, was für den Juristen einen Vertragschluss begründet. Jede Form von projektbezogener Dokumentation, Pflichtenhefte, Rahmenvereinbarungen oder bloße Absichtserklärungen kann und wird regelmäßig von den Finanzprüfern als Geschäftsbrief bewertet. In der Konsequenz bedeutet dies eine nahezu unbeschränkte Dokumentations- und Aufbewahrungspflicht. In den meisten Fällen ist es zweckmäßiger, schlicht alles zu speichern, statt Zeit und Mühe zu investieren, um Relevantes von Unwichtigem zu trennen. Diese Entscheidung jeweils den einzelnen Mitarbeitern zu überlassen, schafft in jedem Einzelfall eine neue Risikoquelle, denn verantwortlich ist und bleibt der Unternehmer allein; er kann sich nicht auf Fehlentscheidungen von Dritten berufen.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2021