Ab dem 1. Januar 2017 gelten die Verordnungen der so genannten GoBD („Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“), ergänzt um Regelungen aus einem Schreiben des Bundesfinanzministeriums vom November 2010, uneingeschränkt. Die Auswirkungen auf Unternehmen in Handel, Gastronomie und Dienstleistungen sind gravierend – und die wenigsten davon haben bisher vollständig erkannt, wie umfangreich die GoBD in ihre organisatorischen Prozesse eingreift. Nun schließt sich allerdings am 31. Dezember 2016 die letzte Hintertür, die der Gesetzgeber im Sinne einer Übergangsregelung offen gelassen hat. Wirtschaftsprüfer prognostizieren bereits empfindliche Strafen bei Verstößen gegen die Bestimmungen der GoBD.
Unternehmen oft mangelhaft vorbereitet
Die Frist wirkt dabei fast wie ein „Erkenntniskatalysator“. Den Verantwortlichen in den betroffenen Unternehmen wird auf den letzten Metern klar, was Sätze wie „Insbesondere müssen alle steuerlich relevanten Einzeldaten einschließlich etwaiger mit dem Gerät elektronisch erzeugter Rechnungen (...) unveränderbar und vollständig aufbewahrt werden.“ in Kombination mit den weiteren Verordnungsinhalten tatsächlich bedeuten. Viele stellen fest, dass ihre Unternehmen nur unzureichend vorbereitet sind und nun Gefahr im Verzug ist.
Hinter der sperrigen Abkürzung GoBD verbirgt sich ein Erlass des Bundesfinanzministeriums aus dem Jahr 2014. Sein Titel „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“. Diese Verordnung schließt an die GoBS (Grundsätze ordnungsgemäßiger DV-gestützter Buchführungssysteme aus dem Jahr 1995) und GDPdU (Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen aus dem Jahr 2002) an und ergänzt sie. Doch nicht nur der Titel der GoBD-Verordnung hat es in sich, der Inhalt kann da allemal mithalten. Das betrifft vor allem Regelungen zur Aufbewahrung digitaler Unterlagen bei Bargeschäften und damit Unternehmen des Einzelhandels, der Gastronomie und der Hotellerie sowie Anbieter von Dienstleistungen, wie das BMF in seinem Schreiben aus dem Jahre 2010 nochmals unterstreicht.
Hohe technische Anforderungen
In der GoBD wird klargestellt, dass durch Registrierkassen erstellte Kassenbelege automatisch der gesetzlichen Aufbewahrungspflicht unterliegen. Außerdem spezifiziert das Gesetz nochmals die bereits vorher festgelegte Unveränderbarkeit der Daten. Sie sind während der Dauer der Aufbewahrungsfrist vollständig, jederzeit verfügbar, unverzüglich lesbar und maschinell auswertbar aufzubewahren. „Die Reduzierung einer bereits bestehenden maschinellen Auswertbarkeit, beispielsweise durch Umwandlung des Dateiformats oder der Auswahl bestimmter Aufbewahrungsformen, ist nicht zulässig (...).“ Für den Einzelhändler an der Ecke ist das zwar auch mit Aufwand verbunden, allerdings ist der keineswegs vergleichbar mit dem, was größere Unternehmen mit mehreren hundert Filialen betreiben müssen. Um den Ansprüchen des Gesetzgebers zu genügen, ist ein Archivsystem nötig, denn nur ein Archiv liefert eine solche technische Unveränderbarkeit. Ein lokaler Kassenspeicher ist nämlich kein Langzeitarchiv. Doch auch damit ist dem Anspruch noch immer nicht Genüge getan: Auch das Archiv, in dem die Daten aufbewahrt werden, muss die gleichen Auswertungsmöglichkeiten des laufenden Kassensystems vorhalten, und das ebenfalls über den gesamten vorgeschriebenen Aufbewahrungszeitraum. Es geht dabei eben nicht nur um Auffindbarkeit. Alle Auswertungsmechanismen – und die sind von Händler zu Händler verschieden – müssen abrufbar sein.
Fristablauf in Sicht
Die Verordnung gilt praktisch bereits seit November 2010. Eine Schonfrist (siehe oben) ergibt sich aus der Regelung, dass Kassensysteme, die den Anforderungen nicht oder nur teilweise genügen, längstens bis zum 31. Dezember 2016 eingesetzt werden dürfen. Die Zeit bis zum Fristablauf ist damit inzwischen sehr überschaubar geworden.
Die GoBD aus dem November 2014 (Gültigkeit ab 1. Januar 2015) konkretisiert die Anforderungen des Gesetzgebers weiter. Diese gelten für die maschinelle Auswertbarkeit, die Verfahrensdokumentation, das interne Kontrollsystem und die elektronische Archivierung sowie für den Datenzugriff der Finanzbehörden. Damit wird klargestellt, dass eine Verfahrensdokumentation Pflicht ist. „Die Verfahrensdokumentation beschreibt den organisatorisch und technisch gewollten Prozess, z.B. bei elektronischen Dokumenten von der Entstehung der Informationen über die Indizierung, Verarbeitung und Speicherung, dem eindeutigen Wiederfinden und der maschinellen Auswertbarkeit der Absicherung gegen Verlust und Verfälschung und der Reproduktion.“ Die Formulierung gibt einen kleinen Vorgeschmack auf den tatsächlichen organisatorischen Aufwand, der für eine ordnungsgemäße Erfüllung des Gesetzes zu leisten wäre. Auch der Begriff der „Unveränderbarkeit“ wird im o.g. Schreiben unterlegt. Im Hardwarebereich müssen unveränderbare Datenträger (WORM-Medien*) verwendet werden. In die Software müssen Sicherungen, Sperren, Festschreibungen und automatische Protokollierungen integriert sein, die durch Zugriffsbeschränkungen seitens der Betriebsorganisation flankiert werden. Klar ist, dass allein die Ablage der Daten in einem Dateisystem diese Anforderungen nicht erfüllt. Deshalb wird auch die Ablage der Daten im Kassensystem selbst nicht genügen. Sollte das Kassensystem im Aufbewahrungszeitraum nämlich abgelöst werden, müssten die Originaldaten unter transaktionaler Absicherung in einem dokumentierten Verfahren in ein Archivsystem migriert werden, da ein einfaches Umkopieren nicht erlaubt ist.
* WORM: „write once read many“ (engl. für „schreibe einmal, lese vielfach“), bezeichnet Vorkehrungen in der IT, die das Löschen, Überschreiben und Ändern von Daten auf einem Speichermedium dauerhaft ausschließen.“
Etablierte ECM-Systeme ungeeignet
Viele größere Unternehmen nutzen heute für die Archivierung ihrer Daten Enterprise-Content-Management-Systeme (ECM-Systeme), beispielsweise für Rechnungen und Verträge. Die Archivierung von Daten zu Bargeschäften war davon bisher meist ausgenommen. Aus gutem Grund: Das jährliche Datenvolumen bei der Dokumentation aller Informationen eines einzelnen Bons über alle anfallenden Kassentransaktionen ist unvorstellbar groß und kann bei national tätigen Handelskonzernen schnell zu Milliarden von Datensätzen anwachsen. Mit den vorhandenen ECM-Systemen ist das nicht darstellbar, zum einen, weil das benötigte Speichervolumen schlicht zu teuer ist, und zum anderen, weil aufgrund des klassischen ECM-Datenmodells und wegen Funktionen wie zum Beispiel einer Volltextindizierung diese Systeme technisch gar nicht in der Lage sind, die potenziell geforderten Auswertungen bereitzustellen. Um diesem Problem nicht nur Herr zu werden, sondern auch noch einen Nutzen zu generieren, dessen Mehrwert die Kosten des Problems übersteigt, hat die Hamburger nextevolution AG eine Lösung auf der Basis von Big-Data-Technologien entwickelt, die bereits bei verschiedenen Einzelhandelsunternehmen erfolgreich im Einsatz ist.
Ab 2020 nur noch Registrierkassen mit Sicherheitszertifikat
Als letzte Lücke im System hat der Gesetzgeber nun die elektronische Registrierkasse selbst ausgemacht und natürlich soll auch diese Möglichkeit zum Steuerbetrug verhindert werden. Am 13. Juli 2016 hat die Bundesregierung deshalb einem Gesetzentwurf zum Schutz vor Manipulationen an digitalen Grundaufzeichnungen zugestimmt. Der Entwurf sieht die Installation von zertifizierten technischen Sicherheitseinrichtungen an elektronischen Registrierkassen vor. Diese Einrichtungen sollen die betrugsmäßige Manipulation von Kassendaten durch spezielle Software – so genannte Zappern – verhindern. Falls der Gesetzentwurf den Bundestag passiert – wovon auszugehen ist – muss die Sicherheitseinrichtung an jeder elektronischen Registrierkasse in Deutschland voraussichtlich ab dem 1. Januar 2020 eingesetzt werden. Hier stellt sich die Frage, welche konkreten technischen und organisatorischen Vorgaben das Bundesamt für die Sicherheit in der Informationstechnik (BSI) für die Zertifizierung der künftigen Kassensysteme definieren wird. Außerdem bleibt abzuwarten, wie sich in diesem Zusammenhang bereits vorhandene Anforderungen und getätigte Investitionen integrieren lassen.