Grundsätze zum Datenzugriff u. Prüfbarkeit digitaler Unterlagen (GDPdU)
atori GmbH – der Spezialist für die Implementierung von Prozessoptimierungsmechanismen im Umfeld Archivierung, Vorgangssteuerung und Dokumentenmanagement. Wir möchten Ihnen nachfolgend die Möglichkeit bieten, sich über das Thema GDPdU in Kurzform zu informieren. Unser Ziel ist es, das Thema zu verdeutlichen und Handlungsempfehlungen auszusprechen.
Was bedeutet GDPdU? GDPdU steht für die Grundsätze zum Datenzugriff und Prüfbarkeit digitaler Unterlagen. Mit Wirkung zum 01.01.2002 hat der Gesetzgeber die Prüfmethodik an die fortgeschrittene Digitalisierung von Unterlagen in Unternehmen angepasst. Die Grundlage hierfür bilden verschiedene Gesetze. Die wichtigsten sind: •
§ 147 Abs. 6 der Abgabenordung (AO) beschreibt das Recht zum Datenzugriff auf steuerlich relevante Daten.
•
§ 14 Abs. 4 Satz 2 USTG beschreibt, dass eine elektronische Rechnung mit qualifizierter Signatur gültig ist.
•
§ 146 Abs. 5 AO GoBS beschreibt Archivierung digitaler Unterlagen
die
Zusätzlich relevante Gesetze sind z. B. das Signaturgesetz und die GoBS. Mit der Wirksamkeit der GDPdU hat nun die Finanzbehörde die Möglichkeit, Unternehmen dazu aufzufordern, steuerlich relevante Daten, die digital erzeugt wurden, (auch e-Mails, EDIFACT Dateien, Druckspools) im Rahmen einer Außenprüfung mittels Nur-Lese-Berechtigung zugreifbar zu machen.
Wer ist betroffen? Alle steuerpflichtigen Unternehmen, die steuerlich relevante Unterlagen digital erstellen. Im Unternehmen selber sind die Lohn-, die Anlagenund die Finanzbuchhaltung davon betroffen.
Gibt es Sanktionen? Es wurden Sanktionen definiert für den Fall, dass keine Umsetzung in den Unternehmen stattfindet. Diese erfolgen künftig in Form von Bußgeldern, Zwangsmitteln oder Schätzungen.
Wie wird zugegriffen?
auf
die
Daten
Es wird zwischen 3 Zugriffsarten unterschieden: •
Unmittelbarer Zugriff: Berechtigung des Nur-Lese-Zugriffs auf das System direkt (z.B. direkt im SAP-System)
•
Mittelbarer Zugriff: Entsprechend den Vorgaben des Prüfers müssen die Daten durch einen Dritten (Mitarbeiter oder Steuerberater, etc.) ausgewertet werden. Auch hier gilt: NurLese-Berechtigung
•
Datenträgerüberlassung: Die gewünschten Daten werden inkl. der Datenbeschreibung auf einem geeigneten Datenträger zur Verfügung gestellt.
Im letzteren Falle wird in der Regel der Prüfer auf die Daten mit dem eigens dafür entwickelten Prüfprogramm IDEA (Interactive Data Extraction and Analysis) zugreifen. 14.000 Prüfer sind für die Betriebsprüfungen, die Lohnsteuerprüfungen und die Umsatzsonderprüfungen mit der IDEA Software (in der Regel WinIDEA von Audicon) ausgestattet.
Was bedeutet Archivierung?
dies
für
die
Es ist aus gesetzlicher Sicht nicht erforderlich, Buchungsdaten und sonstige steuerrelevante Unterlagen in ein gesondertes Archivierungssystem zu überführen. Die Anforderungen der GDPdU sind auch erfüllt, wenn eben diese Daten während der gesetzlichen Aufbewahrungspflicht für den Datenzugriff im Produktivsystem vorgehalten werden. In der Praxis ist das Datenvolumen in der Regel so groß, dass eine Archivierung unumgänglich sein wird. In diesem Falle ist die GoBS (Grundsätze ordnungsmäßiger DV-gestützter Buchführungs-Systeme) Ziffer 5 und § 147 Abs. 2 AO (Bestimmungen zur Aufbewahrung) gültig. Dort wird beschrieben, dass Handels- oder Geschäftsbriefe und Buchungsbelege auf dem elektronischen Medium bildlich mit dem Original übereinstimmen müssen, bei den anderen Unterlagen genügt eine inhaltliche Übereinstimmung. Zudem wird der Schutz der Daten vor Veränderung, Verlust oder unberechtigtem Zugriff verlangt.
www.atori.de
Grundsätze zum Datenzugriff u. Prüfbarkeit digitaler Unterlagen (GDPdU)
Auswertbarkeit des Archivs Da die Auswertbarkeit eines Archivs einen großen Aufwand darstellt, wird lediglich die Möglichkeit gefordert, Auswertungsmöglichkeiten bereitzustellen. Damit sind die Anforderungen aus der GDPdU erfüllt. Das Archivsystem muss auch den Datenzugriff in Form der Datenträgerüberlassung unterstützen.
Um diesen Anforderungen gerecht zu werden, müssen Sie folgende Schritte durchführen: 1. 2. 3.
Datenextraktion aus dem Produktiv- oder Archivsystem Dekomprimierung und Entschlüsselung der Daten Bereitstellung der Daten in maschinell auswertbarer Form Bereitstellung auf einem Datenträger
Revisionssichere Archivierung
4.
Man spricht von einem revisionssicheren Archiv, wenn mit diesem die Daten sicher und unveränderbar gespeichert werden können. Und zwar während der gesetzlichen Aufbewahrungspflicht. Das Speichersystem bzw. die kontrollierende Anwendung sorgt dafür, dass innerhalb dieser Frist keine Modifikationen oder Löschungen der Daten möglich sind. Hierzu gibt es keine Vorgaben. Die Revisionssicherheit kann sich das Unternehmen bestätigen lassen, z.B. durch ein Zertifikat oder durch Überprüfung.
Wie können wir Ihnen helfen?
In diesem Zusammenhang wird oft gerne von Verschlüsselung oder Signatur von Daten gesprochen. Jedoch ist oftmals gerade die firmeninterne Zugriffshierarchie der Knackpunkt, den es zuerst zu klären gilt.
GDPdU - Workshop
Wo stehen GDPdU?
Sie
im
Sinne
der
Nachfolgend aufgeführt ist ein kleines Szenario mit Fahrplan, wie Sie Ihr Unternehmen im Sinne der GDPdU aufstellen können.
Fallbeispiel Eine Betriebsprüfung steht an. Sie sind in der Vorbereitung der Prüfung und besprechen sich mit Ihrem Steuerberater und Ihren Führungskräften aus der Buchhaltung. Da meldet sich der Prüfer erneut. Er beschließt, bestimmte Prüffelder und Prüfzeiträume mittels Datenzugriff zu prüfen und entscheidet sich für die Analyse der Daten unter Zuhilfenahme der offiziellen Prüfsoftware IDEA. Nach Prüfungsbeginn fordert Sie der Prüfer zur Datenträgerüberlassung auf. Von Ihnen erhält er einen oder mehrere Datenträger, z.B. CD-Roms oder DVDs.
atori GmbH hat folgende entwickelt, die Sie im unterstützen:
Lösungsbausteine Sinne GDPdU
GDPdU - SmallCheck Wir prüfen, ob Sie GDPdU konform sind. GDPdU - SmallStepImplementation Wir setzen die notwendigen Maßnahmen um.
Wir führen mit Ihnen die notwenigen technischen Workshops durch und erstellen für Sie das GDPdU Pflichtenheft. GDPdU - Schulung Wir machen Sie fit im Sinne der DV-technischen Notwendigkeit der GDPdU. JAS store (GoBS konform) Wir archivieren Ihre Daten in unserem Archiv revisionssicher. Oder migrieren Ihre Daten von Archiv „A“ nach Archiv „B“. JAS creator Mit unserem JAS creator stellen wir die Daten zusammen, die der Wirtschaftprüfer für sein Prüfprogramm benötigt. Natürlich mit Datenbeschreibung. Fax- und eMail-Archivierung gehören bei uns genauso zum guten Ton, wie die Selektion der entsprechenden geschäftsrelevanten Dokumente im Sinne GDPdU.
Ansprechpartner: atori GmbH Otto-Hesse-Straße 19 / T3 64293 Darmstadt Tel. +49 (6151) 66 85 291 Stefan Brand (Vertriebsleiter)
www.atori.de