Galgenfrist für Handelsunternehmen

GoBD beinhaltet immenses finanzielles Risiko für Händler, Hoteliers und Dienstleister

Quelle: panthermedia.net/maxxyustas

Ab dem 1. Januar 2017 gelten die Verordnungen der so genannten GoBD („Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Daten­zugriff“), er­gänzt um Regelungen aus einem Schreiben des Bundesfinanzministeriums vom November 2010, un­einge­schränkt. Die Auswirkungen auf Unternehmen in Handel, Gastronomie und Dienstleistungen sind gra­vierend – und die wenigsten davon haben bisher vollständig erkannt, wie umfangreich die GoBD in ihre organisatori­schen Prozesse eingreift. Nun schließt sich allerdings am 31. Dezember 2016 die letzte Hin­tertür, die der Gesetzgeber im Sinne einer Übergangsregelung offen gelassen hat. Wirtschaftsprüfer prog­nostizieren bereits empfindliche Strafen bei Verstößen gegen die Bestimmun­gen der GoBD.

Unternehmen oft mangelhaft vorbereitet

Die Frist wirkt dabei fast wie ein „Erkenntniskatalysator“. Den Verantwortlichen in den betroffenen Un­ter­nehmen wird auf den letzten Metern klar, was Sätze wie „Insbesondere müssen alle steuerlich relevanten Einzeldaten ein­schließlich etwai­ger mit dem Gerät elektronisch erzeugter Rechnungen (...) unver­än­derbar und voll­stän­dig aufbewahrt werden.“ in Kombination mit den weiteren Verord­nungs­inhalten tatsächlich bedeuten. Viele stellen fest, dass ihre Unternehmen nur unzureichend vorbe­rei­tet sind und nun Gefahr im Verzug ist.

Hinter der sperrigen Abkürzung GoBD verbirgt sich ein Erlass des Bundesfinanzminis­teriums aus dem Jahr 2014. Sein Titel „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeich­nungen und Unterlagen in elektronischer Form sowie zum Daten­zugriff“. Diese Verordnung schließt an die GoBS (Grundsätze ordnungs­gemäßi­ger DV-gestützter Buchführungssysteme aus dem Jahr 1995) und GDPdU (Grund­sätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen aus dem Jahr 2002) an und ergänzt sie. Doch nicht nur der Titel der GoBD-Verordnung hat es in sich, der Inhalt kann da allemal mit­halten. Das betrifft vor allem Regelungen zur Aufbewahrung digita­ler Un­ter­lagen bei Bargeschäften und damit Unternehmen des Einzelhandels, der Gas­tronomie und der Hotellerie sowie Anbieter von Dienst­leis­tun­gen, wie das BMF in seinem Schreiben aus dem Jahre 2010 nochmals unterstreicht.

Hohe technische Anforderungen

In der GoBD wird klargestellt, dass durch Registrierkassen erstellte Kassenbelege auto­matisch der ge­­setz­lichen Aufbewahrungspflicht unterliegen. Außerdem spezifiziert das Gesetz nochmals die be­reits vorher festgelegte Unveränderbarkeit der Daten. Sie sind während der Dauer der Aufbewah­rungs­frist vollständig, jederzeit verfügbar, unverzüg­lich lesbar und maschinell auswertbar aufzu­be­wahren. „Die Reduzierung einer bereits bestehenden maschinellen Auswertbarkeit, beispielsweise durch Umwandlung des Da­tei­for­mats oder der Auswahl bestimmter Aufbewahrungsformen, ist nicht zulässig (...).“ Für den Einzelhändler an der Ecke ist das zwar auch mit Aufwand verbunden, aller­dings ist der keineswegs vergleich­bar mit dem, was größere Unternehmen mit mehreren hun­dert Filialen be­trei­ben müssen. Um den Ansprüchen des Ge­setzgebers zu genügen, ist ein Archivsystem nötig, denn nur ein Archiv liefert eine solche techni­sche Unveränder­bar­keit. Ein lokaler Kassen­spei­cher ist nämlich kein Langzeitarchiv. Doch auch da­mit ist dem Anspruch noch immer nicht Genüge getan: Auch das Archiv, in dem die Da­ten aufbewahrt wer­den, muss die gleichen Auswertungsmög­lichkeiten des laufenden Kassensystems vor­halten, und das ebenfalls über den gesamten vorge­schrie­benen Auf­bewahrungs­zeit­raum. Es geht dabei eben nicht nur um Auf­find­barkeit. Alle Auswer­tungs­mechanismen – und die sind von Händler zu Händler verschieden – müssen abrufbar sein.

Fristablauf in Sicht

Die Verordnung gilt praktisch bereits seit November 2010. Eine Schonfrist (siehe oben) ergibt sich aus der Regelung, dass Kassensysteme, die den Anforderungen nicht oder nur teilweise genügen, längstens bis zum 31. Dezember 2016 eingesetzt werden dürfen. Die Zeit bis zum Fristablauf ist da­mit inzwischen sehr überschaubar geworden.

Die GoBD aus dem November 2014 (Gültigkeit ab 1. Januar 2015) konkretisiert die Anforderungen des Ge­setzgebers weiter. Diese gelten für die maschinelle Auswertbar­keit, die Verfahrensd­okumen­ta­tion, das in­terne Kontrollsystem und die elektronische Ar­chivierung sowie für den Datenzugriff der Finanzbehörden. Damit wird klargestellt, dass eine Verfahrensdokumentation Pflicht ist. „Die Ver­fah­rensdokumentation be­schreibt den organisatorisch und technisch gewollten Prozess, z.B. bei elektro­nischen Dokumenten von der Entstehung der Informationen über die Indizierung, Verarbeitung und Speicherung, dem eindeutigen Wiederfinden und der maschinellen Auswertbarkeit der Absicherung gegen Verlust und Verfälschung und der Reproduktion.“ Die Formulie­rung gibt einen kleinen Vorge­schmack auf den tatsächlichen organi­sato­rischen Auf­wand, der für eine ordnungsgemäße Erfüllung des Gesetzes zu leisten wäre. Auch der Begriff der „Unveränderbarkeit“ wird im o.g. Schreiben unter­legt. Im Hardwarebereich müssen unveränderbare Datenträger (WORM-Medien*) verwendet wer­den. In die Soft­ware müssen Sicherungen, Sperren, Fest­schreibungen und automatische Proto­kollie­run­gen integriert sein, die durch Zugriffsbeschränkungen seitens der Betriebsorgani­sati­on flankiert werden. Klar ist, dass allein die Ablage der Daten in einem Dateisystem diese Anforderungen nicht erfüllt. Deshalb wird auch die Ablage der Daten im Kassensystem selbst nicht genügen. Sollte das Kassensystem im Aufbewahrungszeitraum nämlich ab­gelöst werden, müssten die Originaldaten un­ter transaktionaler Absicherung in einem dokumentierten Verfahren in ein Archivsystem migriert werden, da ein einfaches Um­kopieren nicht erlaubt ist.

* WORM: „write once read many“ (engl. für „schreibe einmal, lese vielfach“), bezeichnet Vorkehrungen in der IT, die das Löschen, Überschreiben und Ändern von Daten auf einem Speichermedium dauerhaft ausschließen.“

Etablierte ECM-Systeme ungeeignet

Viele größere Unternehmen nutzen heute für die Archivierung ihrer Daten Enterprise-Content-Ma­na­ge­ment-Systeme (ECM-Systeme), beispielsweise für Rechnungen und Ver­träge. Die Archivierung von Daten zu Bargeschäften war davon bisher meist ausge­nommen. Aus gutem Grund: Das jährliche Daten­volu­men bei der Dokumentation aller Informationen eines einzelnen Bons über alle anfallen­den Kassen­trans­aktionen ist unvorstellbar groß und kann bei national tätigen Handelskonzernen schnell zu Milli­ar­den von Datensätzen anwachsen. Mit den vorhandenen ECM-Systemen ist das nicht dar­stellbar, zum einen, weil das benötigte Speichervolumen schlicht zu teuer ist, und zum anderen, weil aufgrund des klassischen ECM-Datenmodells und wegen Funktionen wie zum Beispiel einer Voll­textindizierung diese Systeme tech­nisch gar nicht in der Lage sind, die potenziell geforderten Aus­wertungen bereitzustellen. Um diesem Problem nicht nur Herr zu werden, sondern auch noch einen Nutzen zu generieren, dessen Mehr­wert die Kosten des Problems übersteigt, hat die Ham­bur­ger nextevolution AG eine Lö­sung auf der Basis von Big-Data-Technologien entwickelt, die bereits bei verschiedenen Einzel­handelsunternehmen erfolgreich im Einsatz ist.

Ab 2020 nur noch Registrierkassen mit Sicherheitszertifikat

Als letzte Lücke im System hat der Gesetzgeber nun die elektronische Registrierkasse selbst ausge­macht und natürlich soll auch diese Möglichkeit zum Steuerbetrug verhindert werden. Am 13. Juli 2016 hat die Bundesregierung deshalb einem Gesetzentwurf zum Schutz vor Manipulationen an digitalen Grundauf­zeichnungen zugestimmt. Der Entwurf sieht die Installation von zertifizierten technischen Sicher­heitsein­richtungen an elektro­nischen Registrierkassen vor. Diese Einrichtungen sollen die betrugsmäßige Mani­pu­la­tion von Kassendaten durch spezielle Software – so genannte Zappern – verhindern. Falls der Ge­setzentwurf den Bundestag passiert – wovon auszugehen ist – muss die Sicherheitseinrichtung an jeder elektronischen Registrierkasse in Deutschland voraus­sicht­lich ab dem 1. Januar 2020 eingesetzt werden. Hier stellt sich die Frage, welche konkreten tech­ni­schen und orga­nisatorischen Vorgaben das Bundesamt für die Sicher­heit in der Informations­technik (BSI) für die Zertifizierung der künftigen Kassensysteme definieren wird. Außer­dem bleibt abzu­war­ten, wie sich in diesem Zusammenhang bereits vorhandene Anfor­derungen und getätigte Inves­ti­ti­o­nen inte­grie­ren lassen.