computerwoche.de

Archiv

Aufbewahrungspflichten heute und morgen

10.11.2004
Von 
Thorsten Brand ist Senior-Berater beim Beratungshaus Zöller & Partner aus Sulzbach/Taunus.
Alle Posts des Autors
Der steuerrelevante Schriftverkehr im Unternehmen unterliegt gesetzlichen Aufbewahrungsfristen, die bei Dokumenten-Management- und E-Mail-Systemen zu berücksichtigen sind.

Wurden früher Papierdokumente am Posteingang und -ausgang in Ordnern abgelegt, hat mittlerweile die elektronische Archivierung Einzug gehalten. Scanner erfassen die Eingangspost, erkennen den Adressaten und leiten sie weiter. Ausgangsdokumente werden automatisiert aus den kaufmännischen Anwendungen übernommen.

Die Geschäftswelt wird zunehmend digital. Unternehmen erzeugen und empfangen heutzutage aufbewahrungspflichtige Dokumente, Daten und Unterlagen nicht mehr nur in den klassischen kaufmännischen Anwendungssystemen inklusive Nebensystemen wie Reisekostenabrechnung, Fahrtenbuch, Zahlungsverkehr etc., sondern zunehmend auch in Microsoft Office, File-Servern, Mail-Systemen und Websites. Oft ist den Firmen nicht bekannt, dass auch für diese Systeme Aufbewahrungspflichten gelten, die sie bisher ganz selbstverständlich bei den klassischen kaufmännischen Anwendungen angewendet haben.

Die Anzahl der Systeme und Dokumentenformate steigt und damit das Problem der Reproduktionsfähigkeit bei mittel- und längerfristigen Aufbewahrungszeiträumen, wie sie im Handels- und Steuerrecht üblich sind (sechs bis zehn Jahre). Die in der Tabelle "Informationsträger im Firmenumfeld" veranschaulichte Liste an Daten, Unterlagen und Dokumenten ist sicher nicht vollständig, enthält aber typische Informationsträger in einem Unternehmen.

Auch in der Gesetzgebung hat die Digitalisierung der Unterlagen Einzug gehalten. Bestes Beispiel ist die GDPdU (Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen) und entsprechende Paragrafen des Umsatzsteuergesetzes bezüglich der elektronischen Rechnung sowie der Abgabe der elektronischen Umsatzsteuervoranmeldung (UstVA). Dazu kommen die elektronische Steuererklärung Elster und Paragraf 87a der Abgabenordnung (AO) zum elektronischen Datenaustausch mit der Finanzverwaltung.

Vielfältig wie die IT-Systeme sind auch die Regularien, etwa die besonderen Aufbewahrungsvorschriften für elektronisch signierte Dokumente, die Anforderungen für Edifact-Daten sowie die Vorgaben der AO/GDPdU bei ausgelagerten, maschinell auswertbaren Daten. Dies sind Beispiele für Vorschriften, die ohne rechtlichen und informationstechnischen Sachverstand kaum eingehalten werden können.

Aktueller Fokus: steuerrelevante Daten

Durch die Änderung der Abgabenordnung wurde den deutschen Finanzbehörden erstmalig ausdrücklich das Recht eingeräumt, im Rahmen steuerlicher Außenprüfungen direkt auf die Unternehmens-DV und deren Datenbestände zuzugreifen. Konkret bedeutet dies, dass die Bereitstellung von bisher überwiegend auf Papier oder Mikrofiche vorgehaltenen Unterlagen mit steuerrelevanten Informationen grundsätzlich nicht mehr ausreicht. Vielmehr sollen Unternehmen originär digital entstandene Daten auch in originär digitaler Form vorhalten (siehe Tabelle "Steuerrelevante Daten").

An diese Regelungen knüpfen sich praktische Fragen, die momentan noch nicht verbindlich geklärt sind:

- Müssen originäre digitale Daten elektronisch aufbewahrt werden, auch wenn sie nicht maschinell auswertbar sind?

- Haben Unternehmen die Pflicht, E-Mails elektronisch zu archivieren?

- Sind Daten von mehreren Systemen aufzubewahren, auch wenn sie vollständig redundant sind?

Die gesetzlichen Regelungen fordern dies und stellen die Unternehmen damit vor erhebliche Schwierigkeiten. Als Kompromiss definieren einige Firmen Vorsysteme als nicht steuerrelevant. Das gilt dann auch für E-Mail-Systeme, die als reines Trägermedium fungieren, da technische Lösungen zur elektronischen Archivierung meist nur den kompletten Nachrichtenverkehr automatisiert archivieren, was zu datenschutzrechtlichen Problemen führt. Überlassen die Firmen hingegen ihren Mitarbeitern das Archivieren von steuerrelevanten E-Mails, müssen sie selbst abwägen, welche Informationen sie wie behandeln, was zu Entscheidungsproblemen führt.

E-Mails lassen sich nicht maschinell auswerten

Da elektronische Post sich in der Regel maschinell nicht auswerten lässt, entsteht bei der Prüfung kein Nachteil, wenn die Firma die E-Mail-Korrespondenz nur in Papierform nachweisen kann. Dies ist aber umstritten, und so wird wohl erst die zukünftige Prüfungspraxis zeigen, ob und inwieweit sich hier Erleichterungen ergeben.

Ein Dokumenten-Management-System (DMS) erstellt oder verarbeitet keine steuerrelevanten Daten, es verwaltet steuerrelevante Dokumente, die originär in Papier oder in elektronischer Form angefallen sind. Somit spielt ein DMS für den Datenzugriff durch die Finanzbehörde nur dann eine Rolle, wenn steuerrelevante Daten von einer führenden (steuerrelevanten) Anwendung darin überführt wurden. Werden Daten aus einem solchen Programm in eine DMS-Umgebung ausgelagert, so hat das empfangende System die gleichen Bedingungen zur Sicherheit, Unveränderbarkeit, Ordnungsmäßigkeit, Auffindbarkeit und Reproduzierbarkeit wie das Ursprungssystem zu erfüllen. Hier wird davon ausgegangen, dass ein anderes System (typischerweise mit Datenbank- und Report-Funktion) die exportierten Daten wieder importieren und durch entsprechende Auswertungsfunktionen verfügbar machen kann.

Das Ursprungssystem verfügt jedoch oft über eine hohe Anzahl an Auswertungsmöglichkeiten (beispielsweise Saldenliste und Bilanzen), die sich entweder gar nicht oder nur mit hohem Aufwand in einem Dokumenten-Management-System nachbilden lassen. Zudem muss die Verwaltungssoftware die gleiche Datenmenge aufnehmen können. Aus diesem Grund kann ein Dokumenten-Management-Programm allein nie einer führenden steuerrelevanten Anwendung gleichwertig sein. Die angebotenen Lösungen kombinieren daher DMS-Produkte mit Report- und Auswertungssoftware, um diese Anforderungen möglichst gut zu erfüllen.

Weitere gesetzliche Vorgaben sind wahrscheinlich

Der Trend zu mehr digitalen Daten und Prozessen setzt sich fort. Somit wachsen auch die Anforderungen an die Archivierung. Und die GDPdU ist erst der Anfang, denn weitere Vorschriften sind in Sicht.

Neben der Aufbewahrung von Daten gewinnt die Protokollierung von Prozessen an Bedeutung, und zwar als Nachweisfunktion. Dazu zählen die Audit-Prozesse nach dem amerikanischen Sarbanes-Oxley Act, die deutsche Großunternehmen, die an der amerikanischen Börse gelistet sind, erfüllen müssen. Ein weiteres Beispiel sind die Prozessdokumentationen des Risiko-Controllings nach Basel II. Oft müssen dabei Entscheidungen sowie Entscheidungswege nachweisbar dokumentiert werden (siehe Tabelle "Nationale und internationale Compliance-Regelungen").

Diese neuen regulatorischen Anforderungen haben mittlerweile auch den DMS-Markt erreicht. "Compliance" und "Records Management" sind die Schlagworte. Die Hard- und Softwarebranche, Dienstleister sowie Berater versuchen, hiervon zu profitieren. Zwar lassen sich mit solchen Lösungen gesetzliche Anforderungen tatsächlich leichter umsetzen, sie sind jedoch nicht die Bedingung dafür. So ist unbestritten, ob sich haftungskritische Unternehmensprozesse einfacher überwachen lassen, wenn die Prozessbearbeitung elektronisch praktiziert wird. Fest steht jedoch, dass Firmen ihre Korrespondenz leichter auswerten oder fallbezogen zusammenstellen können, wenn diese digital und nicht auf Papier vorliegt. Allerdings stehen Unternehmen hier vor dem Problem, dass viele Abläufe nach wie vor die Schriftform erfordern. Zudem liegen wichtige Informationen auf Mainframes und somit in einer nicht gerade schnittstellenreichen Datengrube. Hierum gruppieren sich dann diverse Bearbeitungssysteme mit mehr oder weniger redundanten Daten.

Bei strukturierten Prozessen kann eine elektronische Prozessbearbeitung mit einer Workflow-Komponente sinnvoll sein. Eine Records-Management-Lösung mit Data-Warehouse-Funktion, die für eine Datenintegration und -speicherung aus mehreren Systemen sorgt, kann die Compliance-Anwendungen ergänzen.

Web-Inhalte fallen auch unter Compliance-Richtlinien

Auch "aktiver" Content wie Website-Inhalte, Instant-Messaging-Protokolle oder Bearbeitungsprozesse versionierter Dokumente müssen berücksichtigt werden, um die zeitliche Transparenz bezüglich Gültigkeit und Verfügbarkeit einer Information herzustellen. Hierbei können CMS- oder DMS-Lösungen Anwender unterstützen.

Die unterschiedlichen Techniken stellen sich bei vielen DMS-Anbietern in separaten Produkten dar. Beispiel Online-Kreditanfrage: Nach der entsprechenden E-Mail-Anfrage sucht der Sachbearbeiter im Mail-Archiv von Lotus Notes, aus der Versionshistorie des Web-Content-Management-Systems geht hervor, welcher Preis wann auf der Website des Geldinstituts publiziert wurde. Im Archiv für Drucklisten der kontoführenden Anwendung finden sich die Bonitäts-Stati zum Zeitpunkt der Anfrage. Es reicht somit nicht, für eine transparente Vorgangsbearbeitung nur entsprechende Funktionen bereitzustellen. Vielmehr müssen die Komponenten miteinander verknüpft werden. Erforderlich sind daher Softwareprodukte mit zentraler Datenhaltung und Schnittstellen, damit Auswertungswerkzeuge, Report-Engines oder Audit-Software die Datenbestände auslesen können.

Der Trend zur Digitalisierung ist unumkehrbar. Allerdings liegt in den Compliance-Regularien auch die Chance, Prozesse schneller, einheitlicher und transparenter zu gestalten, Risiken früher zu erkennen und nicht nur im Handeln konform zu geltendem Recht zu sein. (fn)