- Anzeigen -

Sie sind hier: Home » Fachartikel » Recht

Stammdatenproblematik in der GDPdU


Stammdatenproblematik in der GDPdU: Nicht alle Systeme erfüllen GDPdU-Anforderungen
Daten der Finanzbuchhaltung müssen auch nach Jahren noch im ursprünglichen Originalzustand bereitgestellt werden


Von Jochen Hoffmann, Leiter Softwareentwicklung bei der AvenDATA GmbH

(13.11.06) - Im Rahmen der digitalen Betriebsprüfung nach den GDPdU-Anforderungen müssen die Daten der Finanzbuchhaltung oder anderer steuerlich relevanter Systeme auch nach Jahren noch im ursprünglichen Originalzustand bereitgestellt werden. Trotz der inzwischen bekannten Situation und der "Eingewöhnungszeit" seit Einführung der GDPdU im Jahr 2002 können jedoch immer noch nicht alle Systeme diese Anforderungen erfüllen.

Um die Problematik zu veranschaulichen, stellen wir uns folgendes Beispiel vor: Der Betriebsprüfer möchte bei der Außenprüfung im Jahre 2007 eine Rechnung aus dem Jahre 2003 aus dem damals aktiven (und noch immer eingesetzten) System einsehen. Die Rechnung lässt sich zwar noch extrahieren, stimmt jedoch nicht mehr mit den ebenfalls vorhandenen Bankdaten und den Originaldaten überein.

Woran liegt das? Hierzu muss man die Daten, die für die Rechnung notwendig sind, einmal genauer betrachten: Diese teilen sich in die so genannten Stamm- und Bewegungsdaten auf. Die in der Regel gleich bleibenden Stammdaten bestehen in diesem Fall aus den Daten für den Rechnungskopf (Firma, Adresse, Steuernummer, etc.) und den Artikelstammdaten (Artikelnummer, Bezeichnung, Einzelpreis, etc.); zu den Bewegungsdaten gehören die von der einzelnen Rechnung abhängigen Daten (Rechnungspositionen, Anzahl, etc.). Diese Daten wurden speziell für den einen Vorgang erstellt und werden sich daher im Nachhinein auch nicht mehr verändern, somit entsteht an dieser Stelle auch kein Problem, sollen die Daten nach mehreren Jahren noch in ihrem Originalzustand verfügbar sein.

Anders sieht es bei den vermeintlich unveränderbaren Stammdaten aus. Denn um den benötigten Speicherplatz im System möglichst gering zu halten, haben die Systemhersteller die Daten bei Änderungen früher in der Regel einfach verändert. Bei einer Umfirmierung oder Adressänderung des Kunden hieße dies allerdings, dass die alten Stammdaten mit den neuen Werten überschrieben werden, da es sich ja immer noch um den gleichen Kunden handelt. Für die oben genante Rechnung bedeutet das allerdings, dass die nachträglich erstellte Rechnung auf eine "andere Firma" mit einer unterschiedlichen Adresse als im Originalbeleg ausgestellt wird. Ähnliches ist bei der Änderung der Artikelstammdaten möglich, wenn sich hier die Daten – beispielsweise der Artikelpreis – ändern.

Der Originalbeleg bzw. die Reproduktion des originalen Zustands ist auf diese Weise also nicht mehr möglich. Selbstverständlich ist die Situation bereits bekannt und die meisten Systemhersteller haben sich auf die neuen Anforderungen eingestellt. So ist heute im Großteil der Systeme eine Historisierung der Stammdaten zumindest teilweise möglich. Das bedeutet, dass die ursprünglichen Kundendaten auch nach einer Änderung noch reproduzierbar sind, da die früher überschriebenen Daten heute aufbewahrt werden. In der Praxis treten vor allem die folgenden drei Methoden auf:

Die Stammdaten werden in eine Logdatei geschrieben und so aufbewahrt. Dies hat den Nachteil, dass eine nachträgliche Zusammenführung (joining) so gut wie unmöglich ist.

Es können verschiedene Datensätze bis zu einer festen Maximalzahl mitgeführt werden. Ab Erreichen dieser Maximalzahl entstehen also auch hier Datenverluste.

Die veränderten Stammdaten können in unbegrenzter Anzahl historisiert werden. Dies erfordert zwar das größte Datenvolumen, ist aber bezogen auf die GDPdU die beste Variante.

Allerdings treten auch immer wieder Fälle auf, in denen die gesetzlich verlangte Historisierung noch gar nicht unterstützt wird. Die Kunden solcher Systeme stehen also im Falle einer Betriebsprüfung vor dem Problem, dass die alten Daten unwiederbringlich gelöscht wurden. Dies stellt eine klare Gesetzeswidrigkeit dar, auf deren Grundlage die Buchführung ggf. verworfen werden könnte. Um im Zweifel spätestens jetzt auf dieses Problem zu reagieren, sollten Sie bei Ihrem Systemhersteller oder –verantwortlichem nachfragen, ob die Stammdaten bereits historisiert werden. Ist dies nicht der Fall, sollten Sie dies schleunigst nachholen. Sollte das System nicht in der Lage sein, diese Funktion zu unterstützen, empfehlen wir eine GDPdU-konforme Extraktion und Archivierung der aktuellen Stammdaten in regelmäßigen Intervallen, um so zumindest extern den jeweilig aktuellen Stand verfügbar zu haben. Auf diese Weise können Sie auch dem Betriebsprüfer nachweisen, dass Sie sich um die Problematik bereits gekümmert und entsprechende Schritte eingeleitet haben.

AvenDATA stieß bereits bei verschiedenen GDPdU-Projekten auf diese Thematik und konnten den Kunden somit stets erfolgreich beraten. (AvenDATA: ra)

Lesen Sie auch den Themenschwerpunkt: Steuerrecht - GDPdU und GoBS



Meldungen: Recht

  • Herausgehobene Bedeutung einer Criminal Compliance

    Der III. Zivilsenat des BGH hatte unlängst über die Frage zu entscheiden, ob bzw. nach welchen Maßgaben eine Kapitalanlage-Vertriebsorganisation für strafbare Handlungen eines von ihr eingesetzten Handelsvertreters dem geschädigten Anleger gegenüber haftbar gemacht werden kann (BGH, Urteil v. 15.03.2012 - III ZR 148/11).

  • Im Fokus: Unternehmensexterne Compliance-Beratung

    Mit Urteil vom 08. September 2011 (1 StR 38/11) hatte sich der Bundesgerichtshof in einer Revisionsentscheidung mit grundsätzlichen Fragen zur Vorsatzproblematik beim Straftatbestand der Steuerhinterziehung (§ 370 AO) zu befassen. Dabei hat er sich insbesondere dazu positioniert, inwieweit ein der Steuerhinterziehungsvorsatz durch Irrtümer des Steuerpflichtigen ausgeschlossen werden kann oder - gleichsam als Auffangtatbestand - eine leichtfertige Steuerverkürzung (§ 378 AO) in Betracht kommt.

  • Compliance bei Datentransfers im Konzern

    In dem neuen Beitrag aus meiner Artikel-Reihe "Datenschutz im Konzern" geht es um die Sicherstellung der datenschutzrechtlichen Anforderungen bei internationalen Datentransfers in einem Konzern, zum Beispiel wenn eine zentrale Kundendatenbank oder ein konzernweites Personalinformationssystem eingerichtet werden.

  • Compliance und Datenschutz im Unternehmen

    Im Unterschied zu vielen anderen Bereichen der betrieblichen Compliance (Corporate Compliance) gibt es für die Organisation der Datenschutz-Compliance konkrete gesetzliche Regelungen: So verpflichtet § 4f des Bundesdatenschutzgesetzes (BDSG) alle größeren Unternehmen einen Datenschutzbeauftragten zu bestellen. Dessen vom Gesetz festgelegte Aufgabe ist es, auf die Einhaltung der Datenschutzvorschriften durch das jeweilige Unternehmen "hinzuwirken".

  • Arbeitsrecht und Compliance-Regelungen

    Zu moderner Compliance gehört ein verbindlicher Verhaltenskodex. Dieser stellt sicher, dass die Geschäftspolitik von Mitarbeitern und Geschäftsführung auch wirklich "gelebt" wird und Gesetze eingehalten werden. Darüber, wie man diesen Kodex erarbeitet und im Unternehmen einführt, machen sich nach Ansicht der Kanzlei Aulinger Rechtsanwälte viele Unternehmen jedoch nach wie vor zu wenig Gedanken.