Anzeigen

Anbieter von Lösungen zur elektronischen Steuerprüfung
hmd Solftware
Verfahrensdoku
DATEV eG
GISA
Caseware
Home

Endlich GDPdU-Klarheit?

Aktualisierter Fragen- und Antwortenkatalog – Eine erste Analyse

Von Stefan Groß und Martin Lamm


Stefan Groß

Stefan Groß, Steuerberater und Certified Informations Systems Auditor (CISA) ist Partner von Peters Schönberger & Partner GbR, einer renommierten Kanzlei von Steuerberatern, Wirtschaftsprüfern und Anwälten in München. Er beschäftigt sich bereits seit vielen Jahren mit den steuerrechtlichen und verfahrenstechnischen Umfeld der elektronischen Steuerprüfung.

Martin Lamm

Martin Lamm, Dipl.-Oec., Dipl.-Inform.(FH) ist Steuerberater bei Peters Schönberger & Partner in München. Zu seinen Schwerpunktthemen gehören IT-Systemprüfungen nach PS 330,
GDPdU-Projekte, Datenanalysen, Erstellung/Prüfung von Verfahrensdokumentationen,
Migrationsprüfungen, IT Due Diligence, IT Forensics und IT
Compliance.

Der Fragen- und Antwortenkatalog zum Datenzugriffsrecht der Finanzverwaltung entfaltet zwar keine Rechtsbindung, dennoch bietet er dem Steuerpflichtigen an vielen Stellen eine wichtige Orientierungshilfe und konkretisiert die Sichtweise der Finanzverwaltung, die ausführlich in den GDPdU (Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen) dargestellt ist. Es ist also nicht weiter verwunderlich, dass jede Aktualisierung des Fragen- und Antwortenkatalogs mit Argusaugen verfolgt wird, da hierdurch die Praxis der digitalen Betriebsprüfung nachhaltig beeinflusst wird. Mit Datum vom 15. Januar 2007 hat die Finanzverwaltung eine neue Version veröffentlicht, welche sich neben offener Diskussionspunkte aus den vergangenen Jahren auch neuer Themengebiete annimmt, welche nicht ohne Echo aus der Praxis bleiben werden. Die wichtigsten Neuerungen im Einzelnen:

Daten der Kostenstellenrechnung (Tz. I. Frage 7.)

Die Kostenrechnung enthält typischerweise sowohl steuerlich relevante Daten als auch eine Fülle von entscheidungserheblichem Zahlenmaterial, das ausschließlich der Unternehmensführung und -kontrolle dient und somit nicht dem Zugriffsrecht der Finanzverwaltung obliegt. Vor diesem Hintergrund hatte das FG Rheinland-Pfalz (FG Rheinland-Pfalz vom 13. Juni 2006 – Az.: 1 K 1743/05) entschieden, dass Kostenstellen nur dann dem Datenzugriff unterliegen, soweit diese für Bewertungsfragen von Bedeutung sind. Der Fragen- und Antwortenkatalog nimmt diese Argumentation auf und unterlegt die steuerliche Relevanz mit verschiedenen Beispielen. Vorlagepflichtig sind demnach u. a. Kostenstellen, die Beteiligungen oder Bewertungen von Vermögensgegenständen bzw. Rückstellungen zum Gegenstand haben. Eine besondere Bedeutung wird Kostenstellen attestiert, welche die Grundlage für die Bemessung von Verrechnungspreisen enthalten. Gerade in diesem Prüfungssegment ist der Einsatz spezifischer Auswertungsprogramme wohl von der Intention der Verwaltung getragen, effizientere Prüfungstechniken zur Anwendung zu bringen. So lassen sich mittels Datenanalysesoftware eine Vielzahl von Verrechnungspreissachverhalten auf ihre Angemessenheit hin untersuchen. Denkbar ist hier insbesondere die Überprüfung von Zahlungszielen sowie der entsprechenden Verzinsung bei Zahlungszielüberschreitungen. Im Hinblick auf die Bereitstellung von Kostenstellen sei im Ergebnis jedoch nochmals auf die Entscheidung des FG Rheinland-Pfalz verwiesen, welches unmissverständlich klarstellt, dass in Abhängigkeit von der steuerlichen Relevanz auch eine partielle Vorlage von Kostenstellenrechnungen jederzeit möglich ist.

Freiwillig geführte Aufzeichnungen (Tz. I. Frage 9.)

Auf der Grundlage der GDPdU obliegt es dem Steuerpflichtigen selbst, den Zugriff der Finanzverwaltung auf die steuerlich relevanten Daten zu beschränken. Eine konkrete Ausgestaltung hat sich dabei stets an den individuellen betrieblichen Besonderheiten zu orientieren. Insoweit, als der Fragen- und Antwortenkatalog bislang bereits kein Verwertungsverbot für versehentlich überlassene Daten vorsah, war es am Steuerpflichtigen, auch freiwillig geführte Aufzeichnungen vom Zugriffsrecht auszuschließen. Die aktualisierte Fassung des Fragen- und Antwortenkatalogs verschärft diese ohnehin sehr kontrovers diskutierte Sichtweise dahingehend, dass auch freiwillig geführte Aufzeichnungen, soweit diese in digitaler Form vorliegen, dem Recht auf Datenzugriff unterliegen sollen. Damit geht die Finanzverwaltung unseres Erachtens allerdings klar in Konfrontation zu einem aktuellen Urteil des FG Hamburg (FG Hamburg v. 13. November 2006, Az. 2 K 198/05), wonach die Übergabe eines auswertbaren Datenbestandes auf Datenträger nur im Rahmen der gesetzlichen Aufzeichnungspflichten verlangt werden kann. Der Urteilsspruch geht mit der allgemein anerkannten Auffassung einher, dass der sachliche Umfang der Außenprüfung durch das Recht auf Datenzugriff nicht erweitert wird und Gegenstand der Außenprüfung nur die nach § 147 Abs. 1 AO aufbewahrungspflichtigen Unterlagen umfasst. Mangels Rechtsbindung dürfte der Fragen- und Antwortenkatalog bezüglich der Berücksichtigung freiwillig geführter Aufzeichnungen ins Leere laufen, es sei denn, der Steuerpflichtige stellt die entsprechenden Unterlagen leichtfertig oder freiwillig zur Verfügung.

Mit Hilfe eines Datenverarbeitungssystems (DV-System) erstellte Unterlagen (Tz. I. Frage 8. i.V.m. Tz. II. Frage 2.)

Im Rahmen des Datenzugriffs analysiert der Außenprüfer so genannte „originär digitale Daten". Hierunter versteht die Finanzverwaltung die in das DV-System in elektronischer Form eingehenden und erzeugten Datenbestände. Kampffmeyer / Groß haben dies dahingehend ausgelegt, dass es sich bei originär elektronischen Unterlagen in erster Linie um Daten handelt, die in einem kaufmännischen System selbst durch Verarbeitungsschritte entstanden sind. Erst durch die Verarbeitung und die Zuweisung im buchhalterischen Sachzusammenhang entstehen die steuerrelevanten Daten. Die Rohdaten vor der Verarbeitung haben daher eher einen Belegcharakter, der die Nachvollziehbarkeit der durchgeführten Operationen der Software sicherstellen muss. Bei der Entstehung dieser Daten sind unterschiedliche Quellen zu berücksichtigen. Sie können aus anderen DV-Systemen importiert, von Dritten durch Datenübertragung übermittelt (z.B. EDI, E-Mail) oder aber durch manuelle Eingaben erfasst worden sein. Dieser Einteilung folgt nun auch der aktualisierte Fragen- und Antwortenkatalog in der neu eingefügten Frage 8 (Tz. I). Hervorzuheben ist hierbei jedoch, dass insbesondere auch eingescannte Unterlagen explizit in den Kreis der „mit Hilfe eines DV-Systems erstellten Unterlagen" aufgenommen wurden. Wenngleich unverändert keine Verpflichtung besteht, originär in Papierform anfallende Unterlagen zu digitalisieren, wird diese verschärfte Sichtweise in vielen Fällen zu einer nicht unerheblichen Ausweitung des digitalen Suchfeldes führen. Die Notwendigkeit der Anpassung der Berechtigungsstrukturen innerhalb von Dokumenten-Managementsystemen ist damit insoweit vorprogrammiert, als sich dort neben den steuerrelevanten Unterlagen stets auch Firmeninterna finden, welche vom Zugriffsrecht des Außenprüfers auszunehmen sind.

E-Mails (Tz III. Frage 8.)

Die Kommunikation via E-Mail nimmt im Geschäftsleben einen so breiten Raum ein, dass die Frage, wie diese Dokumente im Hinblick auf die GDPdU zu behandeln sind, in der Praxis von wesentlicher Bedeutung ist. Die dringend gewünschte Klarstellung ist der Fragen- und Antwortenkatalog insoweit schuldig geblieben, als die Anforderung an eine maschinelle Auswertbarkeit nach wie vor pauschal bejaht wird. Letztlich reduziert sich die Aktualisierung darauf, dass bezüglich einer E-Mail, die eine steuerlich relevante Vertragsgestaltung enthält, das Erfordernis der „maschinellen Auswertbarkeit" durch die Notwendigkeit eines „elektronischen Zugriffs" ersetzt wurde. Hier hatte man sich in der Praxis sicherlich mehr Klarheit erhofft. Insoweit verbleibt auch an dieser Stelle der Verweis auf die bereits im „Forum Elektronische Steuerprüfung" dargestellte Sichtweise von Groß / Kampffmeyer. Demnach ist die elektronische Post bereits auf Grundlage der GoBS (Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme) durch Übertragung der Inhalts- und Formatierungsdaten auf einem Datenträger zu archivieren und mit einem unveränderbarem Index zu versehen, unter welchem sie bearbeitet und verwaltet wird. Entscheidend für die elektronische Aufbewahrung unter GDPdU-Gesichtspunkten ist dabei, ob die E-Mail selbst steuerrelevante Informationen beinhaltet oder ob sie nur das Trägermedium, vergleichbar dem papiernen Briefumschlag, für eine steuerrelevante Information war. Der Zugriff, die Indizierung und die inhaltliche Klassifikation von E-Mails und Anhängen müssen derart gelöst sein, dass sowohl das eindeutige Wiederfinden im Kontext als auch der Schutz von Informationen in den E-Mails gewährleistet sind. Hierbei ist es wichtig, auch alle Absender- und Empfangsinformationen zu speichern und recherchierbar zu machen. Im Ergebnis geht es also bei der Aufbewahrungspflicht von E-Mails im Kontext der digitalen Außenprüfung in erster Linie darum, mittels Recherche auf solche E-Mails lesend zuzugreifen, die einen steuerrelevanten Inhalt besitzen, und die gegebenenfalls diesen E-Mails beigefügten Attachments zu lesen bzw. auswerten zu können. Dabei sei darauf verwiesen, dass die GDPdU in Bezug auf die Prüfbarkeit elektronischer Abrechnungen auf der Grundlage des § 14 Abs. 3 UStG erweiterte Anforderungen vorsehen.

Zugriff auf das Intranet (Tz I. Frage 12.)

Für ähnlich viel Diskussionsstoff wie der Zugriff auf den E-Mail-Verkehr wird der neu hinzugekommene Zugriff auf das Intranet eines Unternehmens auslösen. Der Fragen- und Antwortenkatalog erachtet diesen nunmehr als zulässig, soweit dort aufbewahrungspflichtige, digitalisierte Unterlagen abrufbar sind. Da ein Intranet typischerweise hauptsächlich Informationen ohne Steuerrelevanz enthält (Firmeninterna, vertrauliche Daten, ...), muss auf dieser Stufe zwingend eine Trennung der Daten erfolgen, will man dem Prüfer nicht den Zugang zu allen Dokumenten eröffnen. Dies ist EDV-technisch wohl nur über ein differenziertes Berechtigungskonzept möglich, was in vielen Intranetlösungen nicht oder nur mit einem erhöhten Aufwand realisierbar ist. Die andere Überlegung könnte darin bestehen, steuerrelevante Daten aus dem Intranet zu verbannen und an gesonderter Stelle aufzubewahren bzw. redundant für Zwecke der Betriebsprüfung vorzuhalten. Davon könnten insbesondere auch Verrechnungspreisdokumentationen betroffen sein, welche üblicherweise innerhalb von Intranetlösungen abrufbar sind. Die Verknüpfung auf das jeweilige Dokument als elementarster Bestandteil der Internet-/Intranettechnik wird damit der einfachen Speicherortbeschreibung weichen müssen. Jenseits der Rechtsbindung des Fragen- und Antortenkatalogs stellt sich abschließend die Frage, inwieweit der nicht unerhebliche Aufwand einer organisatorischen und technischen Trennung vorhandener Datenbestände einschl. der Verpflichtung zur Berücksichtigung der Intranetdaten im Rahmen einer Verfahrensdokumentation dem Grundsatz der Verhältnismäßigkeit standhalten wird.

Datenträgerüberlassung (Tz I. Frage 5. und Tz. II. Frage 5)

Wenngleich auf der Grundlage der GDPdU der zur Auswertung überlassene Datenträger spätestens nach Bestandskraft der aufgrund der Außenprüfung ergangenen Bescheide an den Steuerpflichtigen zurückzugeben oder zu löschen ist, führt die Herausgabe von Daten regelmäßig zu Bedenken auf Seiten der Unternehmen. Der Ursprung ist weniger ein etwaiges Misstrauen gegenüber dem Betriebsprüfer als vielmehr mangelndes Vertrauen in die von der Finanzverwaltung getroffenen IT-Sicherheitsvorkehrungen. Der aktualisierte Fragen- und Antwortenkatalog nimmt sich dieses Themas explizit an und sieht die Interessen des Steuerpflichtigen sowohl durch das Steuergeheimnis (§ 30 AO) als auch durch eine jedoch nicht näher beschriebene kryptografische Verschlüsselung ausreichend gesichert. Auch die Erneuerung der Verpflichtung zur vollständigen Löschung der Daten spätestens nach Bestandskraft der aufgrund der nach Außenprüfung ergangenen Bescheide soll den Steuerpflichtigen besänftigen. Dabei sieht sich die Sichtweise der Finanzverwaltung in zwei Entscheidungen der Finanzgerichte bestätigt. Nach dem Beschluss des FG Thüringen (FG Thüringen v. 20.04.2005, Az. III 46/05) hat der Gesetzgeber mit der gesetzlichen Ausgestaltung des Steuergeheimnisses hinreichende Sicherheitsvorkehrungen gegen eine missbräuchliche Verwendung der erteilten Angaben auch im Hinblick auf die Datenträgerüberlassung getroffen. Allein der Umstand, dass die geforderten Daten mit dem Datenträger den Machtbereich des Steuerpflichtigen verlassen, rechtfertigt keine strengeren Anforderungen, so die Finanzrichter. Auch das oben bereits zitierte Urteil des FG Hamburg vom 13.11.2006 sieht die Aufforderung des Finanzamtes zur Mitnahme und Nutzung des Datenträgers außerhalb der Geschäftsräume des Steuerpflichtigen an Amtsstelle als ermessensfehlerfrei an. Die Steuerpflichtigen sollten daher unbedingt sensible Daten, die nicht zum Prüfungsumfang rechnen, ausgrenzen, um hier eine Missbrauchsmöglichkeit auszuschließen. Die Unternehmen sind zudem gut beraten, steuerrelevante Daten, welche im Rahmen der Datenträgerüberlassung übergeben werden, unabhängig von den Sicherungsmaßnahmen der Finanzverwaltung zu verschlüsseln.

Parallel vorgehaltene Daten (Tz I. Frage 13.)

Unter dem Gesichtspunkt der Steuerrelevanz können in einem Unternehmen eine Reihe von unterschiedlichen Datenverarbeitungssystemen betroffen sein. Je nach Entstehungs- oder Speicherort steuerrelevanter Daten können durchaus auch Daten aus Vor- oder Nebensystemen vom Recht auf Datenzugriff betroffen sein. Werden Daten darüber hinaus in mehreren Systemen zu evtl. unterschiedlichen Zwecken parallel vorgehalten, so räumt der Fragen- und Antwortenkatalog dem Außenprüfer nun das Recht ein, eine so genannte Vollständigkeits- und Identitätskontrolle im Wege eines Datenbankabgleichs vorzunehmen. Hieraus erwachsen für die betroffenen Unternehmen wohl zwei wesentliche Konsequenzen: Zum Einen muss sichergestellt sein, dass die betreffenden Daten während der Dauer der Aufbewahrungspflicht redundant vorgehalten werden können. Darüber hinaus muss über geeignete Exportfunktionalitäten gewährleistet sein, dass die Daten für einen Abgleich in einem maschinell auswertbaren Format ausgegeben werden können und aus Sicht des Unternehmens in den Vor- und Nebensystemen eine inhaltliche sowie auf den Prüfungszeitraum bezogene zeitliche Eingrenzung möglich ist. Den Unternehmen muss insoweit empfohlen werden, entsprechende Exportfunktionen hinreichend zu validieren und die im Rahmen eines Schnittstellenabgleichs eventuell auftretenden Unstimmigkeiten bereits im Vorfeld einer digitalen Betriebsprüfung zu identifizieren und zu analysieren.

Auswertungsprogramme (Tz III. Frage 12.)

Bereits die Vorgängerversion des Fragen- und Antwortenkatalogs enthielt den Hinweis, dass im Unternehmen vorhandene standardisierte Auswertungsprogramme für den Datenzugriff zur Verfügung zu stellen sind. Wurden darunter aber bislang wohl eher spezielle Datenanalysesoftware bzw. Auswertungstools verstanden, die i.d.R. als Bestandteil des ERP-Systems implementiert waren, so weitet der Fragen- und Antwortenkatalog die Begrifflichkeit nun auch explizit auf einfache Tabellenkalkulationsprogramme aus. Dabei soll nicht Voraussetzung sein, dass die entsprechenden Auswertungsprogramme durch den Steuerpflichtigen selbst genutzt werden. Inwieweit man dabei bedacht hat, dass im Rahmen der Einrichtung eines speziellen Prüfer-Arbeitsplatzes zusätzliche Lizenzierungskosten auf den Steuerpflichtigen zukommen können, die insbesondere kleinere Unternehmen belasten würden, bleibt offen.

Fazit

Mit der vorliegenden Aktualisierung des Fragen- und Antwortenkataloges wurde leider die Chance vergeben, wichtige Zweifelsfragen für die Praxis zu klären. Dazu birgt die Aktualisierung neuen Konfliktstoff, welcher zu nicht unerheblichen Diskussionen bei den betroffenen Unternehmen führen wird. Dennoch sind die Aufgaben an ein von den Unternehmen durchzuführendes GDPdU-Projekt nahezu unverändert. Dies betrifft insbesondere die Klassifizierung der Daten hinsichtlich ihrer Steuerrelevanz und die damit verbundenen Anpassungen auf IT- und Organisationsseite. Auffällig ist, dass die aktuelle Fassung des Fragen- und Antwortenkatalogs noch häufiger als die Vorgängerversion auf die GoBS und in diesem Zusammenhang auf die Verpflichtung zur Erstellung und Bereithaltung einer dezidierten Verfahrensdokumentation eingeht. Dies lässt letztlich einen Rückschluss auf die zunehmende Bedeutung und mithin auch die Vorlagepflicht im Rahmen künftiger Betriebsprüfungen zu.

Newsletter
 hier abonnieren
Stefan Groß / Martin Lamm: Endlich GDPdU-Klarheit?

02.10.2024

powered by webEdition CMS
powered by webEdition CMS