Anzeigen

Anbieter von Lösungen zur elektronischen Steuerprüfung
Logo Audicon
Data Migration
Gisa
DATEV eG
Home  Fragen und Probleme Aufbewahrungspflicht von Kontoauszügen

Wenn zwei sich streiten…

Ein Beitrag zur Kontroverse zwischen Peter Eller und Stefan Müller (OFD-München) um eine Verfügung der Oberfinanzdirektion München über die

Aufbewahrungspflicht von Kontoauszügen beim Onlinebanking

Von Raoul Kirmes


Raoul Kirmes

Raoul Kirmes ist Produktmanager bei der mentana-claimsoft AG, einem auf Signaturlösungen spezialisierten Softwareentwickler. Er ist Mitautor des Buches „Digitale Signaturen in der Praxis“ und Verfasser von zahlreichen Fachbeiträgen zum Thema Beweiskraft elektronischer Dokumente.

Man wird bei der Verfolgung zur Kontroverse um die Onlinekontoauszüge den Eindruck nicht los, dass sich hier die Streitenden in Spezialnormen verfangen haben und dabei ein wenig den Blick für die nicht minder wichtigen Rahmengesetze zur elektronischen Form verloren haben. Denn es gibt für die aufgeworfene Frage zur Integrität von Onlinekontoauszügen gesetzliche Regelungen. Ein Meinungsstreit ist nicht angezeigt, es kommt auf die Anwendung geltenden Rechts an.

So verkennt die OFD München, dass der Bankkunde beim Erhalt von (formgerechten) Online- Kontoauszügen genau diese zu archivieren hat und nicht gezwungen ist, Papierauszüge anzufordern. Denn die elektronische Form ist ja eben gerade der Schriftform gleichgestellt worden (u. a. §126a BGB). Eine Forderung nach zusätzlichen Papierbelegen ist abwegig.

Aber auch Eller schießt übers Ziel hinaus, wenn er die Forderung der OFD München nach einer Sicherstellung der Datenintegrität für Online- Kontoauszüge als unerlaubte Pflichtenausdehnung für den Steuerbürger abtut.

Auch kann kein Zweifel daran bestehen, dass es sich bei einem Online- Kontoauszug um eine elektronische Datei handelt. Ob diese für die Finanzbehörden auswertbar sein muss, soll nachfolgend, mangels Kenntnis des Einzelfalls, nicht einer eingehenden Prüfung unterzogen werden. Nach der hier vertretenen Auffassung hängt es aber ganz davon ab, ob der Steuerbürger diese maschinell verarbeitet oder nicht. Wenn er dies nicht tut, handelt es sich lediglich um einen steuerrelevanten Beleg, der nicht nachträglich in eine Datenbank zu überführen ist, um diesen maschinenlesbar zu machen.

Diese Feststellungen ändern aber nichts an dem wohl berechtigten Einwand der OFD hinsichtlich der Sicherstellung von Datenintegrität für Online-Kontoauszüge, oder besser Kontoauszugsdateien, denn um diese handelt es sich hier. Die Berechtigung für diese Forderung ergibt sich ohne weiteres bereits aus § 238 ff HGB. In dieser auch als „Radierparagraf“ bekannten Norm kommt eine Grundfeste der handelsrechtlichen Aufzeichnungs- und Aufbewahrungspflicht zum Ausdruck: die Revisionierbarkeit. Alle Einträge, auch Änderungen und Streichungen, müssen jederzeit ersichtlich sein. Auch unterstellt der Gesetzgeber, dass die Belege oder privaten Urkunden „echt“, also unverändert, sind. Unter Strafandrohung ist es verboten, Belege oder private Urkunden, die Grundlage einer Buchaufzeichnung im Sinne des § 238 HGB sind, zu verändern. Dieser Grundsatz trifft selbstverständlich auch auf elektronische Belege oder Datensätze zu.

Auch in den Grundsätzen ordnungsgemäßer DV- gestützter Buchführungssysteme (GoBS) wird nochmals auf die Regelung aus dem § 239 HGB Bezug genommen. Dort heißt es (Tz. VIII b): „Bei originär digitalen Dokumenten muss Hard- und softwaremäßig sichergestellt sein, dass während des Übertragungsvorgangs auf das Speichermedium eine Bearbeitung nicht möglich ist.“

Die GoBs unterstellt (vielleicht etwas voreilig), dass Daten und Belege vor der Übertragung zur Archivierung revisionsfest sind, also vor Veränderungen sicher geschützt waren. Es muss also davon ausgegangen werden, dass der Gesetzgeber stets von der Revisionssicherheit von steuerrelvanten Daten und Belegen ausgeht und diese als Grundlage stets unterstellt. In Papierform sind eben die Originale aufzubewahren, um eine Verifikation zu ermöglichen.

Bezogen auf die hier fraglichen Online-Kontoauszugsdateien regelt als technische Maßstabsnorm das Signaturgesetz (SigG) den „Stand der Technik“ hinsichtlich einer Sicherstellung von Datenintegrität. Für den Kontext der Online-Kontoauszugsdateien ist insbesondere § 2 Abs. 14 SigG (Zeitstempel) anzuwenden.

Denn mit Hilfe eines qualifizierten Zeitstempels ist man ohne weiteres in der Lage Online-Kontoauszugsdateien revisionssicher einzufrieren. Dazu werden mathematische Algorithmen (Hashverfahren) verwendet, um eindeutige Fingerabdrücke (Hashwerte) der Dokumente bei unabhängigen und staatlich geprüften Stellen (TrustCentern) zu hinterlegen. Die amtliche Zeit der Hinterlegung des Fingerabdruckes wird jeweils festgestellt und in der Zeitstempeldatei bescheinigt. Eine elektronische Signatur des Empfängers oder Ausstellers bedarf es dagegen nicht. Denn es wird mit dem Kontoauszug regelmäßig keine Willenserklärung durch die Bank oder den Bankkunden abgegeben.

Durch die Aufbewahrung der Online- Kontoauszugsdatei einschl. des dazugehörigen Zeitstempels, kann bis zu 30 Jahre nach der Ausstellung zweifelsfrei ihre Integrität verifiziert werden. Alle Trust-Center bieten solche Zeitstempeldienste an. Eine kostenlose Software zum Bezug von Zeitstempeln der Trust Center Deutsche Post und Auhentidate findet man unter www.webcert.net.

Das ein Vorgehen nach dem Signaturgesetz für die Sicherstellung von Datenintegrität auch die Online-Kontoauszugsdateien betrifft, wird im neuen JKommG deutlich. Dort wird mit der Streichung des § 292a ZPO und der Neueinführung des § 371a ZPO unter Aufgabe der oft missverstandenen Formulierung hinsichtlich der Abgabe von „ Willenserklärungen“ nunmehr klargestellt, dass der Anschein der Echtheit durch die qualifizierte Signatur nicht nur für Willenserklärungen gilt, sondern eben auch für die Integrität schlichter Belege, Urkunden oder öffentlicher Aktenauszüge. Genau hier kommt der Zeitstempel zur Anwendung. So ist es eben möglich, mit dem Zeitstempel in einem völlig automatisierten Prozess Daten jeder Art revisionssicher einzufrieren.

Fraglich ist in diesem Zusammenhang noch, wer zuständig ist für die Sicherung der Online-Kontoauszugsdateien durch Zeitstempelanbringung. Nach der hier vertretenen Auffassung sind in erste Linie die ausstellenden Banken in der Verantwortung. Diese muss ja bereits sicherstellen, dass die Daten während der Übertragung zum Kunden nicht verändert werden.

Dies kann sie vollautomatisch und mit sehr geringen Kosten dadurch erreichen, dass die an den Kunden versandten Kontoauszugsdateien mit einem Zeitstempel versehen werden und dem Kunden in einem gesonderten Dokument die gültigen Hahsummen je Datei (Kto- Auszug oder Datenpaket) zugänglich gemacht werden. So weiß zunächst der Kunde, dass die Datei tatsächlich unverändert ist, dass diese wirklich von seiner Bank stammt, und der Kunde kann die Kontoauszugdatei elektronisch mit der Zeitstempeldatei archivieren. Dies kann und muss dann auch den Finanzbehörden genügen. Denn diese können jederzeit durch Ermittlung der aktuellen Haschsumme und unter Vergleich mit der Hahsumme aus dem Zeitstempel sowie einer ggf. erforderlichen Verifikation des Zeitstempels (also der Verifikation der Signatur des bescheinigenden Trust-Centers) prüfen, ob die Online-Kontoauszugsdatei integer ist.

Wird dieser Service nicht von der Bank erbracht, so ist spätestens der Steuerpflichtige gefordert, die erhaltenen Online-Kontoauszugsdateien sofort nach Eingang zu sichern und diesen Ablauf und die zugriffsberechtigten Personen in einer entsprechend Ablaufdokumentation zu beschreiben. Nichts anderes wird z.B. auch bei der Speicherung steuerrelevanter E- mails allgemein vertreten.

In der Regel wird jedoch die Bank den Zeitstempel anbringen, denn die Kosten, die mit einem Umstieg auf Papier verbunden sind, wären ohne Zweifel deutlich höher. Wenn es zwischen Bank und Bankkunde bereits eine verbindliche Vereinbarung zur nur noch elektronischen Übermittlung von Online-Kontoauszugsdateien gibt, ist sie nach der hier vertretenen Auffassung bereits vertraglich verpflichtet, den Zeitstempel zu liefern. Denn ein Kontoauszug ist aus bankrechtlichen Verpflichtungen formgerecht zu erteilen. Es würde, etwas überspitz formuliert, auch niemand auf die Idee kommen vom Bankkunden zu verlangen, er möge mit Bleistift erstellte Kontoauszüge akzeptieren.

Newsletter
 hier abonnieren