10 Jahre elektronische Steueraußenprüfung nach den GDPdU – aus Sicht des Mittelstands

RA und Fachanwalt IT-Recht Dr. Jens Bücking, Stuttgart

 

Viele kleinere und mittelständische Unternehmen (KMU) haben auch im Jahre 2011, also knapp zehn Jahre nach Inkrafttreten der GDPdU (Grundsätze zum Dateizugriff und zur Prüfung digitaler Unterlagen), mit der Schaffung der entsprechenden technisch-organisatorischen und rechtlichen Voraussetzungen nicht begonnen. Vor zehn Jahren war die Verunsicherung bei allen Beteiligten erheblich. Inzwischen hat sich der Nebel gelichtet, und die – mit ihrem neuen Aufgaben- und Sanktionsspektrum ebenfalls anfangs noch zurückhaltend agierende – Finanzverwaltung steht mit einem inzwischen technisch wie rechtlich gut geschultem Personal in den Startlöchern.

Wenngleich die Beachtung der GDPdU-Anforderungen unter dem Stichwort “Compliance” inzwischen zum unternehmerischen Arbeitsalltag gehören sollte, hatten die deutschen KMUs – allen Kosten-/Nutzenrechnungen zum Trotz – lange nur zögerlich reagiert. Erst nun, zehn Jahre später, wird im großen Stil die IT-Infrastruktur auf Projektebene angepasst und werden die administrativen Voraussetzungen für eine ordnungsgemäße Außenprüfung geschaffen.

In dem zurückliegenden Jahrzehnt wurden gerade wegen der rasch fortschreitenden Entwicklung der Informationstechnologie die Anforderungen für die Finanzverwaltung, mit dem technologischen Fortschritt mitzuhalten, stetig größer. Der Kriterien- und Anforderungskatalog, den die Finanzverwaltung inzwischen bei ihrer Außenprüfung bereit hält, reicht folgerichtig inzwischen weit über die reinen Buchführungsdaten hinaus. Betroffen ist ferner die Lohnbuchhaltung sowie – was erst allmählich in das Bewusstsein der Unternehmen dringt – die gesamte geschäftliche Korrespondenz, soweit sie auch nur von Relevanz für die steuerlichen Verhältnisse des Unternehmens sein kann! Dies schließt geschäftliche E-Mails und deren Attachments zweifelsohne mit ein.

Heutzutage liegen die für die Außenprüfung benötigten Daten verteilt in den Intranets der Unternehmen, beispielsweise in E-Mail-Verzeichnissen, im Bereich des Dokumentenmanagements, in der Auftragsverwaltung und anderen Bereichen der EDV. Doch nach wie vor herrscht große Verunsicherung, wie steuerlich relevante von steuerlich irrelevanten Daten unterschieden und entsprechend vor- und aufbereitet werden können für die Außenprüfung oder Innenrevision. Auch der Faktor Zeit ist hierbei häufig problematisch. Denn ohne eine solche steuerrechtliche Datenklassifikation fehlt es an den entsprechenden Organisationsformen. Eine Nachholung zum Zeitpunkt der Prüfung ist – unabhängig davon, ob sie zulässig ist – dann praktisch nicht mehr zu bewerkstelligen.

Letztlich könnte man provokativ formulieren, dass alles, was durch die Informationstechnologie im Unternehmen und für das Unternehmen gespeichert ist, steuerrelevant ist, weil es steuerrelevant werden kann.

Die neu eingeführte GDPDU-Zertifizierung stellt in diesem Kontext eine große Erleichterung dar und ist zudem Voraussetzung für die Verkürzung der Aufbewahrungsfrist bei steuerrelevanten Daten. Hiernach können auditierte Unternehmen nach einer Betriebsprüfung alle Daten und Dokumente vernichten. Hierdurch werden im großen Umfang (insbesondere: Infrastruktur-) Ressourcen frei. Der Betrieb von Altsystemen kann früher eingestellt werden, personelle und sachliche Ressourcen eingespart werden. Allerdings sind die Prüfungskriterien der GDPDU-Zertifizierungsstellen der Länder weiterhin unterschiedlich, so dass sich hier die Vollprüfung nach Maßgabe der Kriterien aller 16 Bundesländer durchgesetzt hat, um – sozusagen als strengster gemeinsamer Nenner – „auf der sicheren Seite“ zu stehen.

Auch für den risikobehafteten Bereich der Aufbewahrung und Verfügbarkeit, oft unter dem Schlagwort der revisionssicheren Archivierung diskutiert, gilt, dass durch den Einfluss der GDPdU Rechtssicherheit erreicht werden kann, indem klargestellt wird, dass unveränderbare Datenträger zum Einsatz kommen müssen. Dies schließt die Verwendung von Festplatten schon per Definition aus. Und auf der Formatebene scheidet die Vertiffung mangels maschineller Auswertbarkeit von vorne herein aus und – verallgemeinernd – mit ihr sämtliche verwandten Formate, die keine ausreichende Strukturierung der Daten und deren Auslesbarkeit ermöglichen.

Zwischenzeitlich gibt es schon die Enkelgeneration der GDPdU: Die sog. „E-Bilanz“, die ab 2012 auf die Unternehmen verpflichtend zukommt, regelt die zeitnahe Übermittlung von Bilanzdaten unmittelbar nach deren Erstellung an das Finanzamt und eröffnet hierdurch ein steuerliches Risikomanagement der Finanzverwaltung nach dem Motto “Wo macht es Sinn, zeitnah zu prüfen, und wo ist ohnehin nichts zu holen”. Die Finanzverwaltung erhält durch die E-Bilanz mithin Daten, die zu einer zeitnäheren und treffgenaueren Auswahl der zu prüfenden Betriebe genutzt werden können.