Compliance und Information Management Compliance
Teil 1: Überblick über Hintergründe und notwendige Maßnahmen zur Erfüllung der zunehmenden Compliance-Anforderungen im Umfeld der Informationstechnologie
Was verbirgt sich hinter dem Begriff Compliance? - Aktuelle Situation und wichtige Regularien (Deutschland, Europa, USA und international)
Von Dr. Ulrich Kampffmeyer*
(13.12.07) - Es muss eine Angleichung der elektronischen Welt an die Papierwelt stattfinden. Nur mit einem komplett neuen Rahmenwerk von Gesetzen und Richtlinien können allgemeingültige und gerechte Grundlagen für Information Management Compliance geschaffen werden.
Der Begriff Compliance sorgt bei vielen Anwendern für Verunsicherung. Zahlreiche Anbieter vermarkten inzwischen ihre Produkte unter dem Etikett "Compliance" – nicht nur herkömmliche Anbieter von DMS- und ECM-Lösungen, sondern auch Hersteller von Speichersystemen, Management-Informations-Programmen und ERP-Lösungen. Mit dem Begriff Compliance hat sich zugleich ein neues Marktsegment gebildet. In Deutschland wird der englische Begriff Compliance bisher nur selten verwendet. Rechtliche und regulative Vorgaben für Dokumentationspflichten nehmen aber, wenn man an Beispiele wie die GDPdU oder Basel II denkt, stetig zu. Es liegt also am Kunden, sich zwischen spezialisierten Insellösungen zur Erfüllung bestimmter Compliance-Anforderungen oder übergreifenden Lösungen, die auch Compliance-Anforderungen mit abdecken, zu entscheiden.
Dieses Whitepaper bietet einen Überblick über Hintergründe und notwendige Maßnahmen zur Erfüllung der zunehmenden Compliance-Anforderungen im Umfeld der Informationstechnologie. Die aktuelle Situation im Jahr 2007 wird an Hand einiger, ausgewählter Beispiele dargestellt.
Der 1. Teil des Whitepapers behandelt folgende Themen:
Was verbirgt sich hinter dem Begriff Compliance?
Aktuelle Situation und wichtige Regularien (International, Basel II, USA, Sarbanes-Oxeley Act, eDiscory)
Europe (8. EU-Richtlinie, Deutschland, EHUG und E-Mail-Management, GDPdU: Aktuelle Urteile, Verfahrensdokumentation nach GoBS)
Österreich und Schweiz
Branchenspezifische Regularien
Über den Autor
Was ist Compliance?
Versäumen Sie nicht, Teil 2 des Whitepapers zu lesen:
Hier geht es zum Teil 2 des Whitepapers
Alle Gesetze und Regeln der Papierwelt gelten auch in der elektronischen Welt. Was verbirgt sich hinter dem Begriff Compliance?
Zu den häufig, zumindest für deutsche Ohren, schwer verständlichen Begriffen aus dem anglo-amerikanischen Sprachraum muss auch der Begriff "Compliance" gezählt werden.
Compliance umfasst die Gesamtheit aller zumutbaren Maßnahmen, die das regelkonforme Verhalten eines Unternehmens, seiner Organisationsmitglieder und seiner Mitarbeiter im Hinblick auf alle gesetzlichen Gebote und Verbote begründen.
Auch wenn es Compliance-Anforderungen schon immer, auch im Ursprungsland des Begriffes - den USA - gab, so haben sie nach den Skandalen um ENRON und WorldCom eine brisante Qualität erhalten: neue, strafbewehrte Anforderungen zur Aufbewahrung geschäftsrelevanter elektronischer Informationen. In der Vergangenheit gab es schon immer eine Reihe von rechtlichen Anforderungen; so mussten z.B. Finanzbuchhaltungssoftware schon immer Compliance-Standards erfüllen. Mit dem steigendem Aufkommen und der wachsenden Bedeutung von E-Mails und E-Commerce gewann die Notwendigkeit der Dokumentation und elektronischen Archivierung von Geschäftsvorgängen immer mehr Bedeutung.
Im Folgenden wird für den Begriff Compliance nachstehende Übertragung verwendet:
"Übereinstimmung mit und Erfüllung von gesetzlichen und regulativen Vorgaben"
Betrachtet man die einzelnen Begriffe der deutschen Übertragung der Definition von Compliance "Übereinstimmung mit und Erfüllung von gesetzlichen und regulativen Vorgaben", dann werden unterschiedliche Aspekte von Compliance-Anforderungen deutlich.
>> "Übereinstimmung"
Zur Erreichung der "Übereinstimmung" wird vorausgesetzt, dass es nachlesbare, definierte, offizielle Vorgaben gibt, die die Regeln enthalten, was zu tun ist. Hier ist "Übereinstimmung" gefordert, ohne das die Regeln meistens eine technische Vorgabe enthalten, wie die Anforderung umzusetzen ist. Dies ist auch sinnvoll, da sich solche Vorgaben nicht an einer Technologie festmachen sollten, die in ein paar Jahren schon wieder obsolet ist. Die Übereinstimmung ist der "statische Aspekt" von Compliance.
>> "Erfüllung"
Der Begriff "Erfüllung" impliziert zweierlei: Einmal, dass die Anforderungen in einer Lösung umgesetzt werden müssen, und zum Zweiten, dass dies ein Prozess ist, keine einmalige Aktion. Das Unternehmen oder die Organisation muss kontinuierlich für die Einhaltung der Vorgaben Sorge tragen. "Erfüllung" geht dabei meistens über eine rein technische Lösung hinaus und beinhaltet auch organisatorische und Management-Aspekte. Die kontinuierliche Erfüllung ist der "dynamische Aspekt" von Compliance.
>> "Gesetzliche Vorgaben"
Hierbei handelt es sich um Gesetze oder behördliche Verordnungen, die bestimmte Unternehmen, Organisationen oder Personen verpflichten, die jeweils aufgeführten Regelungen einzuhalten. Hier kann man sich auch nicht um die Erfüllung "drücken", lediglich in Hinblick auf Auslegung, Umfang und Umsetzungsweise besteht Handlungsspielraum.
>> "Regulative Vorgaben"
Man unterschiedet zwischen "rechtlich" und "regulativ", da es eine Reihe von Vorgaben, die nicht direkt auf Gesetzen basieren wie z.B. Normen, Standards, Codes of Best Practice oder andere Vorgaben. Vielfach ergeben sich aus gesetzlichen Vorgaben für einen Anwendungsfall auch Auswirkungen und implizite Anforderungen für andere Fälle. Diese werden als "regulative Vorgaben" abgegrenzt.
Unterschiedliche Auswirkungen
Grundsätzlich gelten alle gesetzlichen, rechtlichen und regulativen Vorgaben auch in der elektronischen Welt. Häufig sind die Anforderungen der DV-Welt jedoch noch nicht oder nicht direkt enthalten und müssen daher adäquat abgeleitet werden.
>> "Direkte Betroffenheit"
Dies betrifft besonders Gesetze und gesetzesgleiche Verordnungen, die in jedem Fall eingehalten werden müssen. Hier kann man lediglich den Umfang und die Ausprägung interpretieren. Neben generell gültigen Vorgaben treten besondere, die auf die Branche oder Geschäftstätigkeit bezogen sind.
>> "Indirekte Betroffenheit"
Hier beginnt die große Grauzone, wo es darum geht, zunächst die für das Unternehmen oder die Organisation zutreffenden Regelungen zu ermitteln und zu bewerten. So betrifft beispielsweise Basel IIx) nicht nur die Banken, sondern jedes kreditnehmende Unternehmen, da die Dokumentations- und Transparenzauflagen an die Kunden weitergegeben werden.
Für direkte und indirekte Auswirkungen gibt es zahlreiche Compliance-Regeln, die sowohl die herkömmliche Papierdokumentation wie auch die eingesetzte EDV betreffen.
Der bindende Charakter einer Vorgabe kann also sehr unterschiedlich sein. Nicht zuletzt Steckdosen, Lebensmittel, Flugzeuge, elektrische Geräte, Medikamente, Kindergärten, Bildschirme usw. müssen auch bestimmte Compliance-Anforderungen erfüllen, die sich beispielsweise in Prüfsiegeln niederschlagen.
Ein Abgleich der unterschiedlichen Anforderungen und Ausprägungen mit dem, was heute unter dem Schlagwort "Compliance" bei informationstechnologischen Lösungen verstanden wird, zeigt aber große Unterschiede. Daher wird im Folgenden konkreter im Sinne von "IMC", "Information Management Compliance", gesprochen.
Aktuelle Situation und wichtige Regularien
Compliance-Anforderungen gibt es überall
"Der elektronische Geschäftsverkehr wird zum Regelfall. Gleichbehandlung ist nur möglich, wenn für alle Beteiligten dieselben Transparenzpflichten gelten. Compliance muss daher für alle und unabhängig von der Form der Geschäfts- oder Verwaltungstätigkeit gleichermaßen gültig sein."
Compliance-Anforderungen gibt es überall. Sie machen vor Landesgrenzen nicht halt. Sie betreffen Organisationen ebenso wie Individuen. In einer globalisierten Gesellschaft stellt sich zunehmend das Problem, dass jedes Land immer noch eigene Gesetze und Regularien für Geschäfte, Prozesse und Transaktionen hat, die längst harmonisiert sein sollten. Internationalen "Gesetzen" und Regeln kommt daher eine immer wichtige Rolle zu, da herkömmliche Grenzen im Internet keine Bedeutung mehr haben.
International
Als gutes Beispiel für direkte und indirekte Auswirkungen der Gesetzgebung kann Basel II angeführt werden. Finanzdienstleister müssen umso mehr Eigenkapital vorhalten, je höher das Risiko des Kreditnehmers ist. Auch wenn man in Bezug auf die Kreditvergabe und die Dokumentationspflichten hier zunächst nur an die Banken denkt, hat Basel II auch erhebliche Auswirkungen auf alle Unternehmen.
Mit Basel II wird die Neugestaltung der Eigenkapitalvorschriften der Kreditinstitute bezeichnet.
Ziel von Basel II ist es, die Stabilität des inter-nationalen Finanzsystems zu erhöhen. Dazu sollen die Risiken im Kreditgeschäft besser erfasst und die Eigenkapitalvorsorge der Kreditinstitute risikogerechter ausgestaltet werden.
Basel II hat eine Vielzahl von Auflagen für die Dokumentation nach sich gezogen, die in einer elektronischen Welt nur mit Informationsmanagementlösungen vollzogen werden können.
USA
In den USA gab es schon sehr lange Compliance-Anforderungen an Softwaresysteme und die Dokumentation von Geschäftsprozessen. Am bekanntesten und am engsten mit dem Begriff Compliance ist jedoch der Sarbanes-Oxley Act verknüpft.
Sarbanes-Oxley Act
Durch die Skandale um ENRON, WorldCom und einige andere Unternehmen rückte das Thema Compliance in den Mittelpunkt des allgemeinen Interesses. Anlass waren "geschönte" Prüfungen von Wirtschaftsprüfern und die Geschäftsberichte der Unternehmen. E-Mail wurde dabei als eine der möglichen Nachweisquellen für ungesetzliches Handeln entdeckt. Dies führte im Jahr 2002 zum Sarbanes-Oxley Act, allgemein SOA oder SOX abgekürzt. Typisch amerikanisch wurde es nach den beiden Leitern der Kommission benannt, die das Gesetz entworfen hat.
Das Gesetz findet Anwendung für alle Unternehmen, die an der New York Stock Exchange gelistet sind.
SOA hat die Aufgabe, die Transparenz und Nachvollziehbarkeit in den Unternehmen bei Prüfungen durch die SEC, Securities und Exchange Commission, zu verbessern.
Unternehmen werden verpflichtet, u. a. ein internes Kontrollsystem für die Rechnungslegung zu unterhalten, die Wirksamkeit der Systeme zu beurteilen und die Richtigkeit der Jahres- und Quartalsberichte beglaubigen zu lassen.
SOA hat in den USA besonders auf Grund von Abschnitt 802 Bedeutung erlangt, weil hier empfindliche Strafen in der Strafgesetzgebung verankert worden sind. Die Zerstörung oder Veränderung von aufbewahrungspflichtigen Unterlagen kann mit bis zu 20 Jahren Gefängnis bestraft werden.
Besonders die Wirtschaftsprüfer legen in ihrer Beratung nunmehr sehr viel Wert auf Compliance, da im Rahmen der Skandale große, namhafte Wirtschaftsberatungsfirmen wie Andersen vom Markt verschwanden.
e-Discovery
Die in den USA am 1. Dezember 2006 in Kraft getretenen Änderungen der FRCP Federal Rules of Civil Procedure (United States Supreme Court, Federal Rules of Civil Procedure, Bundesrichtlinie für zivilrechtliche Verfahren, 2006) können als signifikanter Wendepunkt von den herkömmlichen papierbasierten hin zu elektronischen Beweisführungsregeln gesehen werden. Die wachsende Bedeutung von elektronisch gespeicherten Daten wurde somit auch durch den obersten Gerichtshof unterstrichen.
Electronic discovery, auch e-discovery oder eDiscovery, bezieht sich dabei auf jeden Prozess bei dem elektronische Daten abgefragt, gefunden, gesichert und gesucht werden, mit dem Ziel, sie bei einem Gerichtsverfahren zu verwenden. Dabei können sämtliche Daten, wie z.B. Texte, Bilder, Datenbanken, Audio-Dateien, Animationen, Webseiten und Programme als Beweis dienen. Die wertvollsten Quellen für strafrechtliche oder zivile Gerichtsverfahren stellen aber oft E-Mails dar.
Nachdem mit Sarbanes-Oxley bereits die elektronische Information vor Gericht aufgewertet worden war schafft eDiscovery nun die rechtliche Grundlage für die Anerkennung elektronsicher Informationen in Gerichtsverfahren. Alle Formen von elektronischen Informationen, nicht nur als Record definierte Dokumente, können als Beweismittel vorgebracht werden. Anders als in Europa und besonders in Deutschland spielt die elektronische Signatur dabei keine Rolle. Bei der Ermittlung gilt das als gültig, was von den ermittelnden Behörden vorgefunden wurde. Bei der Beweissicherung galten bisher nur Papierdokumente als sicherer Nachweis. Durch die Möglichkeiten der elektronischen Recherche dürfte sich dies ändern.
eDiscovery wird nicht nur die sichere, unveränderbare Speicherung von Informationen fördern sondern mehr noch den Schutz des Zugriffs und andere Sicherheitsaspekte. Policies zur kontrollierten Entsorgung von Information werden dabei zunehmend wichtiger. Aus den CFR Code of Federal Regulations (National Archives and Records Administration, Code of Federal Regulations. Bundesgrundsätze für Archive) lassen sich inzwischen eine Vielzahl weiterer Anforderungen für spezielle Branchen und Geschäftstätigkeiten ableiten.
Ein Beispiel ist der CFR 179), § 240, mit harten Regularien für Börsenmakler. Die Regeln der US-Börsenaufsicht für Aktien-Broker SEC 17A-310) und SEC 17A-4 definieren exakt, welche Aufzeichnungen und Belege bei einer Transaktion aufgehoben und auf welchem Medium sie gespeichert werden müssen.
Ähnliche Regeln für die Finanzwelt hat die National Association of Securities Dealers (NASD) (National Association of Securities Dealers, NASD 3010 und NASD 3110) entwickelt. NASD 3010 und NASD 3110 beispielsweise verlangen, dass Broker und Händler externe Transaktionen von registrierten Stellvertretern überwachen.
Eine besondere Bedeutung hat zudem der Patriot Act12 (U.S. Department of Justice , The Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act of 2001, 2001 (Patriot Act)), der weitgehenden Zugriff auf alle Informationen ermöglicht und eine transparente Informationsbereitstellung fordert.
In anderen Bereichen gibt es ebenfalls rechtliche und regulative Vorgaben wie z.B. HIPAA (United States Department of Health & Human Services, Office for Civil Rights, Health Insurance Portability and Accountability Act, 2003) im Krankenhaus- als auch im Versicherungsbereich, den Tread Act (National Highway Traffic Safety Administration, Transportation Recall Enhancement, Accountability and Documentation Act , 2000) mit umfangreichen Anforderungen zur Produkt-, Qualitäts- und Herstellungsdokumentation oder Regularien der EPA, Environ-mental Protection Agency (U.S. Environmental Protection Agency).
Viele dieser Regelwerke beziehen sich auf die neu gefassten FSG, Federal Sentencing Guidelines (United States Sentencing Commission, Federal Sentencing Guidelines, 2007 (Rechtsprechungsrichtlinie)) von 2002, so dass Verstöße mit erheblichen Strafen belegt werden können. Gesetze und Regularien in den USA haben auch Auswirkungen auf Unternehmen im Ausland, wenn sie Tochtergesellschaften oder Muttergesellschaften amerikanischer Unternehmen sind, oder bestimmte Geschäfte in den USA abwickeln.
Europa und Deutschland
Europa
Auf europäischer Ebene werden durch die Europäische Kommission zahlreiche Richtlinien entwickelt, die von den Mitgliedstaaten in nationales Recht überführt werden müssen. Bereits durch die Richtlinien zum E-Commerce und zur elektronischen Signatur sind eine Reihe von Anforderungen für Compliance entstanden. Der elektronische Geschäftsverkehr und die Umstellung der öffentlichen Verwaltung auf elektronisch unterstützte Verfahren werden weitere Compliance-Anforderungen nach sich ziehen.
Beispiele für europäische Richtlinien mit Gesetzescharakter, die Bedeutung für die Rechtskraft elektronischer Dokumente besitzen und Dokumentationspflichten nach sich ziehen, sind z.B.:
>> "E-Commerce"
E-Commerce-Richtlinie (EU-Parlament, Richtlinie 2000/31/EG, 2000), die genau festlegt, was im elektronischen Geschäftsverkehr erlaubt und verboten ist. Hierzu gehören auch Nachweis- und Dokumentationspflichten.
>> "E-Signatur"
Europäische Richtlinie zur elektronischen Signatur (EU-Parlament und Rat, Richtlinie 1999/93/EG, 2000). Der Einsatz der elektronischen Signatur ersetzt unter bestimmten Voraussetzungen das Papier. Die elektronische Signatur ist daher Bestandteil zahlreicher Compliance-Regelungen.
Zahlreiche andere Richtlinien der Europäischen Kommission haben ebenfalls Compliance- und Dokumentationspflichten nach sich gezogen. Die größte Wirkung entwickelt jedoch zurzeit die sogenannte 8. Direktive.
8. EU-Richtlinie
Die 8. Direktive setzt Standard für Bilanzierungsrichtlinien von börsennotierten Unternehmen.
Am 07. Juli 2006 ist die 8. EU-Richtlinie (EU-Parlament und Rat, Richtlinie 2006/43/ EG, 2006) ("EuroSOX") in Kraft getreten, die für alle europäischen Kapitalgesellschaften ähnliche Auswirkungen haben wird wie Sarbanes-Oxley Act (SOX) in USA. Spätestens bis Juli 2008 muss die 8. EU-Richtlinie in nationales Recht umgewandelt sein. Damit greifen EU-weit unter anderem verschärfte Regeln in Bezug auf die Dokumentation der Geschäftsprozesse und -transaktionen sowie der verwendeten IT- und TK-Infrastruktur eines Unternehmens.
Deutschland
In Deutschland wird der Begriff "Compliance" zwar noch selten verwendet, doch die Anforderungen gibt es schon längst. Auch in Deutschland werden die Gesetze, wie BGB (BGB Bürgerliches Gesetzbuch, §§ 126, 127), ZPO (ZPO Zivilprozessordnung, §§ 292a, 286, 130, 371) oder HGB (HGB Handelsgesetzbuch, §§ 239, 257), immer mehr den Anforderungen der Informationsgesellschaft angepasst sowie Richtlinien der Europäischen Kommission in nationales Recht übertragen.
In diesem Umfeld kommt der elektronischen Signatur eine besondere Bedeutung zu. Der Einsatz der elektronischen Signatur findet sich inzwischen in nahezu allen neueren Gesetzen. So z.B. auch bei der elektronischen Rechnung. Zum Vorsteuerabzug berechtigen den Empfänger nach § 14 Abs. 4 Satz 2 UStG nur elektronisch signierte Rechnungen. Da die elektronische Rechnung das Original darstellt, ist es auch elektronisch aufzubewahren. Hier greifen die verschiedenen neuen Gesetze und Regelungen ineinander. Das Signaturgesetz und die Änderungen von BGB Bürgerlichem Gesetzbuch und ZPO Zivilprozessordnung zur Verankerung der elektronischen Signatur finden ihren Widerhall in der Handels- und Steuergesetzgebung.
Aktuelle Beispiele sind das EHUG und die Erweiterung des Anwendungsbereiches der GDPdU durch aktuelle Gerichtsurteile. In eine ähnliche Kerbe wie die GDPdU schlägt auch das Gesetz zu den Dokumentationspflichten bei Verrechnungspreisen. die Gewinnabgrenzungsaufzeichnungsverordnung (GAUFZ) (GAUFZ Gewinnabgrenzungsaufzeichnungsverordnung), die anders als die GDPdU bereits direkt strafbewehrt ist.
EHUG und E-Mail-Management
Das bundesweite Elektronische Handels- und Genossenschaftsregister (EHUG) (EHUG Elektronisches Handels- und Genossenschaftsregister), welches am 1. Januar 2007 in Kraft getreten ist, stellt eine digitale Version des Handelsregisters dar. Kapitalgesellschaften sind verpflichtet, ihre Abschlüsse beim elektronischen Bundesanzeiger einzureichen. Verstöße gegen die Offenlegungspflicht werden mit bis zu 25.000 Euro von den Verwaltungsbehörden, welche vom elektronischen Bundesanzeiger informiert werden, geahndet.
Das EHUG hat eine Reihe von Änderungen auch in anderen Gesetzen wie z.B. für GmbHs und AGs nach sich gezogen. Eine Regelung betrifft die Angabe der kompletten Firmierungs- und Verantwortungsangaben in der Signatur von E-Mails. Was längst schon galt wird hierdurch jetzt jedem deutlich gemacht: E-Mails sind Geschäftsbriefe und sind dementsprechend aufzubewahren.
Dies hat einen wahren Boom bei der E-Mail-Archivierung ausgelöst. Dabei wird häufig übersehen, dass E-Mails in einen Geschäftszusammenhang gehören und nicht isoliert archiviert werden sollten. Sie müssen zusammen mit anderen Dokumenten in Kunden-, Sach-, Projekt- oder anderen Akten gemeinsam verwaltet werden, damit die Vollständigkeit und Nachvollziehbarkeit des Geschäftsganges gewährleistet ist.
Da jeder Mitarbeiter im Unternehmen Empfän-ger wie Versender von geschäftsrelevanten E-Mails sein kann, ist jedwede technische Lösung durch organisatorische Maßnahmen zu unterfüttern.
GDPDU: aktuelle Urteile
Nach den Grundsätzen zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) (GDPdU Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen, 2001) sind alle steuerlich relevanten Daten auswertbar über den Zeitraum der Aufbewahrungsfristen nach HGB auswertbar aufzubewahren und für Prüfungen zugänglich zu machen.
Die GDPdU sind eine Verordnung, die auf den Änderungen im Steueränderungsgesetz und HGB Abgabenordnung, §§ 146, 147 und 200, basiert. Sie stellen eine Richtlinie für das Vorgehen der Finanzbehörden bei Außenprüfungen dar. Die Unternehmen müssen sicherstellen, dass alle steuerrelevanten Daten identifiziert, unverändert und vollständig und über einen Zeitraum von 10 Jahren aufbewahrt werden. Die originalen Daten müssen vollständig, richtig und auswertbar entweder in den sie erzeugenden Systemen vorgehalten oder aber in elektronische Archive ausgelagert werden. Auch bei den GDPdU spielen inzwischen Dokumente und E-Mails neben den Daten aus ERP- und Buchhaltungssystemen eine zunehmend wichtigere Rolle.
Bereits in einer Reihe von Verfahren vor Finanzgerichten war die Auslegung der GDPdU ein Thema. Während frühere Urteile der Finanzgerichte Rheinland-Pfalz und Hamburg aus dem Jahr 2006 das Recht auf Datenzugriff noch an vielen Stellen eingeschränkt und damit den Steuerpflichtigen unterstützt haben, weisen die Urteile der Düsseldorfer Finanzrichter nun in eine andere Richtung. Beide Entscheidungen vom 5. Februar 2007 beschäftigen sich im Kern mit der Reichweite des Datenzugriffs, also mit dem Umfang, welcher einer digitalen Betriebsprüfung zu Grunde zu legen ist und interpretieren diesen in einer Art, welche über das bisherige Verständnis von Literatur und Verwaltung hinausgeht. Dazu haben die Richter teilweise eigenständige Definition von GDPdU-Begrifflichkeiten vorgenommen und damit neue Diskussionspunkte eröffnet.
Steuerrelevanz versus Steuerauswirkung:
Die Finanzbehörde darf im Rahmen des steuerlichen Datenzugriffs auch auf solche Konten der handelsrechtlichen Finanzbuchhaltung zugreifen, auf denen steuerlich nicht abzugsfähige Betriebsausgaben verbucht werden. Auf der Grundlage des § 147 Abs. 1 i. V. m. Abs. 6 AO darf die Finanzverwaltung für Zwecke der steuerlichen Außenprüfung ausschließlich auf Daten zugreifen, die für die Besteuerung von Bedeutung sind. Die vom Datenzugriff betroffenen Unternehmen sind deshalb seit jeher darauf bedacht, das digitale Suchfeld des Betriebsprüfers auf solche Datenbestände zu begrenzen, die vom Sinn und Zweck des Rechts auf Datenzugriff gedeckt sind.
Das Finanzgericht Düsseldorf gab der Auffassung des Finanzamts Recht und sah keine ernstlichen Zweifel an der Rechtmäßigkeit des Datenzugriffs auf die ursprünglich gesperrten Konten. Bei den fraglichen digitalen Kontoaufzeichnungen handele es sich um "Bücher" i.S.d. § 147 Abs. 1 Nr. 1 AO, die – anknüpfend an das Handelsrecht – die Funktion erfüllen, für einen Kaufmann seine Handelsgeschäfte und die Lage seines Unternehmens zu dokumentieren. Die im Rahmen der GDPdU geforderte steuerliche Relevanz kann nicht mit der vom betroffenen Unternehmen angeführten steuerlichen Auswirkung gleichgesetzt werden. Dabei habe sich die eigentliche Steuerrelevanz stets auch daran zu orientieren, inwieweit die in Frage kommenden Unterlagen einen Bezug zur Buchführung aufwiesen und mithin zu deren Verständnis erforderlich seien.
GDPdU-Begrifflichkeiten neu definiert:
Werden Eingangsbelege beim Steuerpflichtigen gescannt, gespeichert und die Originale anschließend vernichtet, so erstreckt sich das Zugriffs-recht im Rahmen der elektronischen Steuerprüfung auch auf derart erzeugte Datenbestände. Der Steuerpflichtige muss diese Datenbestände so organisieren, dass bei einer zulässigen Einsichtnahme keine geschützten Bereiche des Unternehmens tangiert werden. Der EDV-Zugriff der Finanzverwaltung bezieht sich grundsätzlich auf solche Datenbestände, die originär bereits in elektronischer Form vorliegen. Dies schließt eine Verpflichtung zum Einscannen oder Digitalisieren von Papierdokumenten aus. In Bezug auf den viel diskutierten Umfang einer digitalen Betriebsprüfung stellt sich jedoch vermehrt die Frage, inwieweit digitalisierte Eingangsbelege, deren Papier-original vernichtet wurde, dem Betriebsprüfer auch in digitaler Form zur Verfügung zu stellen sind. Das Finanzgericht Düsseldorf gestand dem Finanzamt das Recht zu, auf die fraglichen Belege aus dem System des Unternehmens heraus zuzugreifen und diese am Bildschirm einzusehen. Die Rechtsgrundlage hierfür ergibt sich nach Auffassung der Richter bereits aus § 147 Abs. 6 Satz 1 AO.
Während die bisherige Rechtsprechung eher in Richtung Unternehmensseite tendierte, verschaffen die beiden nun vorliegenden vorläufigen Entscheidungen aus Düsseldorf der Finanzverwaltung einen deutlichen Rückenwind. Die Unternehmen sollten insbesondere das Urteil betreffend die digitalisierten Originalbelege in ihre künftige GDPdU-Strategie einbeziehen und einen adäquaten Datenzugriff nebst Trennung in steuerlich relevante und irrelevante Unterlagen einplanen. Was man in diesem Zusammenhang nicht vergessen sollte, ist das derzeit häufig bemühte Thema der Verfahrensdokumentation. In dem Maße, wie der Außenprüfer selbst solche Systeme für den Z1- und Z2-Zugriff benutzt, wird der Nachweis von ordnungsgemäßer Verarbeitung, Nutzung und Betrieb immer wichtiger.
Verfahrensdokumentation nach GoBS:
Die Anforderungen an eine Verfahrensdokumentation sind in den Grundsätze ordnungsgemäßer DV-gestützter Buchführungssysteme (GoBS) (GoBS Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme, 1995) niedergelegt. Die GoBS selbst leiten sich aus dem Handelsgesetzbuch (HGB Handelsgesetzbuch, §§ 239, 257) und der Abgabenordnung (AO Abgabenordnung, §§ 146, 147, 200) ab. Sie stellen quasi eine Übertragung der Anforderungen, die ursprünglich für eine papiergebundene Dokumentation gedacht waren, in die elektronische Welt dar.
In den GoBS wird die Behandlung aufbewahrungspflichtiger Daten und Belege in elektronischen Buchführungssystemen sowie in revisionssicheren Dokumentenmanagement- und Archivsystemen geregelt. Die GoBS behandeln dabei auch Verfahrenstechniken wie Scannen und Datenübernahme. Ein wesentlicher Kernpunkt ist das so genannte Interne Kontrollsystem (IKS). Die Verfahrensdokumentation muss alle Angaben zum Nachweis des ordnungsmäßigen Betriebes des Systems beinhalten.
Aus HGB, AO und GoBS leiten sich auch die grundsätzlichen Anforderungen an die Dokumentation und Aufbewahrung ab:
>> Ordnungsmäßigkeit
>> Vollständigkeit
>> Sicherheit des Gesamtverfahrens
>> Schutz vor Veränderung und Verfälschung
>> Sicherung vor Verlust
>> Nutzung nur durch Berechtigte
>> Einhaltung der Aufbewahrungsfristen
>> Dokumentation des Verfahrens
>> Nachvollziehbarkeit
>> Prüfbarkeit
Dokumentationspflichten ergeben sich jedoch nicht nur für den handelsrechtlichen und steuer-rechtlichen Bereich sondern gelten auch alle anderen Anwendungsgebiete, die gesetzlich oder regulativ betroffen sind. Die oben aufgeführten Grundsätze aus dem Handelsrecht gelten so im Prinzip für alle Compliance-relevanten Anforderungen.
Österreich und Schweiz
Österreich und Schweiz: Ähnlich wie in Deutschland
In Österreich sieht die Situation nicht viel anders aus als in Deutschland. Die Unterschiede liegen nur im Detail. Dies ist darauf zurückzuführen, dass die wesentlichen Compliance-Anforderungen auf den europäischen Richtlinien basieren. Auch in Österreich ist analog zum BGB in Deutschland die elektronische Signatur verankert, auch Österreich kennt im Handelsrecht und in der Abgabenordnung ähnliche Bestimmungen wie in Deutschland. Dies gilt z.B. für die Aufbewahrung von elektronischen Informationen in Bezug auf Vollständigkeit, Inhaltsgleichheit, Geordnetheit und Urschriftstreue. Auch wenn die Bereithaltung von Daten zur steuerlichen Prüfung in Österreich in Listenform ausreichend erscheint, ist die Forderung der Auswertbarkeit die Gleiche. Zur Vermeidung des Umsatzsteuerbetruges finden sich natürlich auch die Regelungen zur elektronischen Rechnung wieder.
Im Jahr 2007 wurde das UGB Unternehmensgesetzbuch (UGB Unternehmensgesetzbuch, 2007) in Kraft gesetzt, dass das bisherige österreichische HGB Handelsgesetzbuch ablöst. Aus dem neuen UGB ergeben sich zahlreiche Informations- und Dokumentationspflichten. Unter der Überschrift "Geschäftspapiere und Bestellscheine" werden die Mindestangaben festgelegt, die für Geschäftsbriefe und ähnliche Dokumente gelten. Es müssen die Firma, die Rechtsform und der Sitz sowie auch Firmenbuchnummer und –Gericht angegeben werden. Die neuen Bestimmungen gelten nicht mehr nur für Geschäftspapiere und Bestellscheine, sondern in Ergänzung zu den Bestimmungen des MedG (MedG Mediengesetz, 2005) auch für E-Mails und Webseiten.
Selbst die Schweiz hat als nicht EU-Mitglied inzwischen die wesentlichen Gesetze und Verordnungen an die europäischen Vorgaben schrittweise angeglichen. Dies zeigt sich z.B. im Obligationenrecht in den Bestimmungen über die Buchführung OR Art. 957ff, die die Aufbewahrung von Geschäftskorrespondenz, der Bücher und der Buchungsbelege in elektronischer Form regeln.
Ein wesentliches Dokument ist die GeBüV (Verordnung über die Führung und Aufbewahrung der Geschäftsbücher (GeBüV Geschäftsbücherverordnung)), Geschäftsbücherverordnung bzw. die Verordnung über die Führung und Aufbewahrung der Geschäftsbücher.
>> Die GeBüV legt fest, wie die Geschäftsunterlagen geführt und aufbewahrt werden müssen
>> Die GeBüV beinhaltet die Grundsätze der ordnungsgemäßen Buchführung sowie die Grundsätze der ordnungsgemäßen Datenverarbeitung bei elektronisch oder in vergleichbarer Weise geführten Büchern
>> Die GeBüV hält die Anforderungen an Integrität, zulässige unveränderbare Speichermedien und andere Spezifikationen mit Compliance-Relevanz fest
Weitere Gesetze regeln sehr dediziert und mit Hinweisen auf geeignete Speichertechnologien und elektronische Signatur die Dokumentations- und Aufbewahrungspflichten auch außerhalb des Handelsrechtes.
Angesichts des Zusammenwachsens der europäischen Union und ihrer Mitgliedsstaaten wird durch den grenzüberschreitenden Geschäftsverkehr und über das Internet abrufbare elektronische Dienstleistungen ein einheitlicher Rechtsraum insbesondere im Handels- und Steuerrecht unerlässlich. Dementsprechend werden sich auch die daraus abgeleiteten Compliance-Anforderungen immer einheitlicher und europaweit ausgreifender gestalten.
Branchenspezifische Regularien
Anschaffung eines Dokumentenmanagementsystems lohnt sich
Neben den Richtlinien, die für alle Unternehmen, Organisationen, Behörden und Personen gleichermaßen gelten, gibt es zahlreiche spezielle Regelungen für bestimmte Branchen, die öffentliche Verwaltung und Geschäftstätigkeitsgebiete. Hierbei gibt es internationale wie auch nationale Regelungen.
So ist die FDA Food and Drug Administration (U.S. Food and Drug Administration) aus den USA, mit ihren bindenden Regularien für die Herstellung von Lebensmitteln, Pharmazeutika und Medikamenten auch über die Grenzen der Vereinigten Staaten zu beachten. Bei der Beantragung eines neuen Medikamentes, mit Vorlage von allen Testnachweisen und Produktionsverfahren, hat sich die Anschaffung eines Dokumentenmanagementsystems meistens bereits gelohnt. die FDA-Kriterien, auch abgekürzt unter FDA Part 11 (U.S. Food and Drug Administration, Federal Register Part II, 21 CFR Part 11; allgemein als "FDA-Richtlinie") bekannt.
Um Herstellungsmethoden zu standardisieren hat die FDA ein Regelwerk mit der Bezeichnung CGMP (U.S. Food and Drug Administration , Current Good Manufacturing Practices) herausgebracht. Eine grundsätzliche Forderung der FDA ist, dass elektronische Aufzeichnungen äquivalent zu Papieraufzeichnungen sind und elektronische Unterschriften die gleiche Aussagekraft und Eindeutigkeit wie handgeschriebene Unterschriften haben. Auf europäische Ebene sind die entsprechenden Regualarien als GxP (Zusammenstellung der "guten Arbeitspraxis" für die Pharmabranche mit GLP, GSP, GMP) mit den Teilen GSP und GMP ("Good Storage Practice" und "Good Manufacturing Practice") einzuhalten.
Den Gesundheitssektor in den USA reguliert HIPAA (United States Department of Health & Human Services, Office for Civil Rights, Health Insurance Portability and Accountability Act). Das Ziel von HiPAA ist die Vordergrund steht die Reformierung der Gesundheitspflege-Industrie. Die Gesetzgebung strebt nach größerer Wirtschaftlichkeit, Verringerung von Schreibarbeiten und einfacher Identifizierung und Weiterverfolgung von Betrug durch die Auferlegung von unterschiedlichen Normen und Sicherheitsmaßnahmen gegen den Missbrauch von gesundheitsbezogenen Angaben des Bürgers. HIPAA beinhaltet so zahlreiche Dokumentations- und Vertraulichkeitsanforderungen.
Aus den USA kommt auch der Defacto-Standard für das Records Management: DoD 5015.2 (Department of Defense, Electronic records management software applications design criteria standard, 2007, allgemein als DoD 5015.2 bekannt) im militärischen Umfeld. Der Standard des Departement of Defense definiert die grundsätzlichen Anforderungen an Dokumentenmanagement und Records-Management-Systeme. Die Einhaltung der Standards ist für alle Hersteller erforderlich, die für die Bundesverwaltung in den USA im militärischen und angrenzenden Bereich anbieten wollen.
Ein Beispiel für einen detaillierten Standard für den Einsatz elektronischer Vorgangsbearbeitungssysteme ist das deutsche DOMEA-Konzept (DOMEA document management and electronic archiving. Current Version is DOMEA Version 2) DOMEA beschreibt die Anforderungen an das Dokumentenmanagement und elektronische Archivierung in der öffentlichen Verwaltung und ermöglicht auch die Prüfung und Zertifizierung von entsprechenden Produkten. DOMEA-Compliance ist bei vielen Ausschreibungen eine Anforderung.
Wesentliches Ziel des DOMEA-Konzeptes ist die Einführung der elektronischen Akte. Da für diese die gleichen Gesetze, Geschäftsordnungen, Richtlinien und Vorschriften wie für Papierakten gelten, müssen behördliche Geschäftsprozesse, Vorgangsbearbeitung und Archivierung vollständig in konforme IT-Prozesse überführt werden. Das DOMEA-Konzept liefert dafür Richtlinien, ist aber trotz seiner weiten Verbreitung und der Möglichkeit der Zertifizierung kein genormter Standard.
Über den Autor
* Dr. Ulrich Kampffmeyer,
Jahrgang 1952, ist Gründer und Geschäftsführer der PROJECT CONSULT Unternehmensberatung GmbH, Hamburg, eine der führenden produkt- und herstellerunabhängigen Beratungsgesellschaften für ECM Enterprise Content Management, BPM Business Process Management, Knowledge Management und andere DRT Document Related Technologies.
Er berät namhafte Kunden aller Branchen im In- und Ausland bei der Konzeption und Einführung von Compliance-, DRT-, ERM- und ECM-Lösungen.
Als Gründer und langjähriger Vorstandsvorsitzender nationaler und internationaler Branchenverbände prägte er wesentlich den deutschen Markt für Dokumenten-Management. Er ist einer der Gründer und Geschäftsführer des DLM-Network EEIG. Ulrich Kampffmeyer ist Mitglied in mehreren internationalen Standardisierungsgremien im Umfeld des Workflow-, Dokumenten- und Records-Management.
Dr. Kampffmeyer ist anerkannter Kongressleiter, Referent und Moderator zu Themen wie elektronische Archivierung, Records-Management, Dokumenten-Management, Workflow, Rechtsfragen, Business Re-Engineering, Wissensmanagement und Projektmanagement. Auf zahlreichen nationalen und internationalen Kongressen und Konferenzen wirkte er als Keynote-Sprecher mit.
Über PROJECT CONSULT
Die PROJECT CONSULT Unternehmensberatung GmbH mit Sitz in Hamburg wurde am 01.07.1992 gegründet.
PROJECT CONSULT hat sich auf die Beratung im Umfeld von DRT Document Related Technologies wie ECM Enterprise Content Management, Wissensmanagement, Dokumentenmanagement, elektronische Archivierung, Records Management, ILM Information Lifecycle Management und angrenzende Bereiche spezialisiert. Zum Leistungsangebot gehören Strategie, Konzeption, Auswahl, Abnahme und Dokumentation sowie das zugehörige Projektmanagement zur Einführung von komplexen Informationsmanagementsystemen.
PROJECT CONSULT arbeitet branchenübergreifend mit Schwerpunkt im deutschsprachigen Raum. Die Unternehmensberatung ist ausschließlich für Endanwender tätig um eine von Anbietern unbeeinflusste, unabhängige Beratung sicherzustellen.
PROJECT CONSULT setzt auf das Know-how langjährig im ECM-Markt erfahrener Berater.
PROJECT CONSULT ist in verschiedenen Standardisierungsinitiativen wie z.B. MoReq der Europäischen Kommission, aktiv tätig.
Der Beitrag:
"Information Management Compliance - PROJECT CONSULT Whitepaper "
wurde von der Vereon AG zur Verfügung gestellt.
Versäumen Sie nicht, Teil 2 des Whitepapers zu lesen:
Hier geht es zum Teil 2 des Whitepapers