GDPdU und elektronische Archivierung - PROJECT CONSULT ...
GDPdU und elektronische Archivierung - PROJECT CONSULT ...
GDPdU und elektronische Archivierung - PROJECT CONSULT ...
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Ein <strong>PROJECT</strong> <strong>CONSULT</strong> Whitepaper zum Thema <strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong><br />
<strong>Archivierung</strong><br />
Vortrag auf der<br />
UEBERREUTER MANAGER AKADEMIE<br />
Tagung<br />
Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
am 26.11.2003 in Darmstadt<br />
von<br />
Dr. Ulrich Kampffmeyer<br />
<strong>PROJECT</strong><br />
<strong>CONSULT</strong><br />
Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH<br />
Hamburg 2003
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag auf der ÜBERREUTER MANAGER AKADEMIE - Tagung<br />
„Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
am 26.11.2003<br />
von Dr. Ulrich Kampffmeyer<br />
Geschäftsführer der <strong>PROJECT</strong> <strong>CONSULT</strong> Unternehmensberatung GmbH<br />
Managing Partner der <strong>PROJECT</strong> <strong>CONSULT</strong> International Ltd.<br />
Geschäftsführer des DLM-Network EEIG<br />
Mitglied des DLM-Monitoring-Committee der Europäischen Kommission<br />
Mitglied des Board of Directors der AIIM international<br />
Inhalt der Teilnehmerunterlagen<br />
Seite<br />
A) „<strong>GDPdU</strong>: endlich Klarheit“<br />
Artikel von Steuerberater Stefan Groß <strong>und</strong><br />
Dr. Ulrich Kampffmeyer<br />
Oktober 2003<br />
B) „Revisionssichere <strong>Archivierung</strong> <strong>und</strong> Dokumentenmanagement<br />
im Licht neuer rechtlicher Anforderungen“<br />
Mitschrift des Vortrags von Dr. Ulrich Kampffmeyer auf der<br />
Audicon-Roadshow“<br />
Mai 2003<br />
C) “Die <strong>GDPdU</strong> <strong>und</strong> ihre Anforderungen zur <strong>elektronische</strong>n<br />
<strong>Archivierung</strong>“<br />
Stellungnahme von <strong>PROJECT</strong> <strong>CONSULT</strong> <strong>und</strong> Zöller&Partner<br />
Mai 2003<br />
3<br />
19<br />
73<br />
Profil des Autors 97<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 2 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
Teil A<br />
„<strong>GDPdU</strong>: endlich Klarheit“<br />
Artikel von StB Dipl. Kfm. Stefan Groß, Kanzlei Peters Schönberger & Partner GbR,<br />
München, <strong>und</strong> Dr. Ulrich Kampffmeyer, <strong>PROJECT</strong> <strong>CONSULT</strong> Unternehmensberatung,<br />
Hamburg.<br />
Die Diskussion um die <strong>GDPdU</strong> hat in letzter Zeit hohe Wellen geschlagen. Nachdem<br />
in den ersten 12 Monaten nach dem Inkrafttreten der Gr<strong>und</strong>sätze zum Datenzugriff<br />
<strong>und</strong> zur Prüfbarkeit digitaler Unterlagen kaum eine Reaktion erfolgt war, wird den<br />
steuerpflichtigen Unternehmen inzwischen bewusst, dass ihnen die Zeit wegläuft. Bei<br />
den nächsten Außenprüfungen können die Daten bereits digital geprüft werden <strong>und</strong><br />
die Vorbereitungen sind bei den betroffenen Unternehmen erst angelaufen.<br />
Nächste Stufe längst gezündet<br />
Fast unbemerkt von der aktuellen Diskussion rüstet die Finanzverwaltung demnächst<br />
vielleicht schon weiter auf. Die „IDEA-Waffe“ wurde von der Fa. Audicon<br />
(www.audicon.net) mit einem „Nachbrenner“ ausgestattet, der es in sich hat. Mit AIS<br />
TaxAudit können steuerrelevante Daten weitgehend automatisiert analysiert werden<br />
<strong>und</strong> Unregelmäßigkeiten kommen schnell ans Licht. Ob <strong>und</strong> wann die<br />
Finanzverwaltung diese Makros einsetzen wird ist noch offen, doch die Unternehmen<br />
können bereits jetzt darauf zugreifen <strong>und</strong> sich so optimal auf künftige, nicht nur<br />
digitale Betriebsprüfung vorbereiten. Die Schonfrist für die Unternehmer ist so<br />
schneller vorbei, als viele prognostiziert haben <strong>und</strong> die ersten digitalen Prüfungen<br />
haben bereits begonnen. Höchste Zeit für die Unternehmen sich vorzubereiten.<br />
In der Diskussion spielte die <strong>elektronische</strong> <strong>Archivierung</strong> eine wichtige Rolle, denn wie<br />
soll man über einen Zeitraum von 10 Jahren die Daten vorhalten. Anbieter<br />
<strong>elektronische</strong>r Archivsysteme waren mit schnellen Ankündigungen "<strong>GDPdU</strong>konformer"<br />
Systeme zur Hand, ohne eigentlich zu wissen, welche Anforderungen die<br />
Finanzverwaltung hier stellt. Auch die Flut diverser Checklisten <strong>und</strong> Leitfäden<br />
vermochten kein Licht in das Dunkel <strong>GDPdU</strong>-konforme <strong>Archivierung</strong> bringen, ganz<br />
im Gegenteil.<br />
Flut der Leitfäden<br />
Als die Entwürfe zu den <strong>GDPdU</strong> zum ersten Mal im Jahr 2000 in die Öffentlichkeit<br />
gelangten, regte sich nur in Fachkreisen etwas Interesse. Selbst als die <strong>GDPdU</strong><br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 3 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
rechtskräftig wurden, fand eine Diskussion nur in Fachzirkeln, bei den<br />
Archivsystemherstellern <strong>und</strong> bei Wirtschaftsprüfern oder Steuerberatern statt. Erst<br />
sehr spät reagierten die Anwender. Zunächst die großen Unternehmen, bei welchen<br />
praktisch ständig eine Betriebsprüfung läuft <strong>und</strong> bei denen für den Prüfer längst der<br />
Zugriff auf die Daten möglich ist. Die breite Masse der Steuerpflichtigen <strong>und</strong> selbst<br />
die Steuerberater beginnen erst jetzt die Dimension der <strong>elektronische</strong>n<br />
Steuerprüfung zu erkennen. Aufklärung tut not. So fühlen sich viele berufen, mit<br />
Argumentarien, Checklisten, Fragen-<strong>und</strong>-Antworten-Katalogen, Leitlinien, Büchern,<br />
Folienvorträgen <strong>und</strong> Webseiten das Informationsbedürfnis zu stillen. Nach zwei<br />
Jahren <strong>GDPdU</strong> ist nunmehr eine Flut von Handreichungen zu beobachten. Einzelne<br />
Hersteller , Berater, Rechtsanwälte <strong>und</strong> Steuerberater, Verbände wie AWV, BitKOM,<br />
VOI <strong>und</strong> Industrie- <strong>und</strong> Handelskammern usw. bedienen den Markt. Nicht nur die<br />
<strong>GDPdU</strong> ließen Spielraum in der Interpretation, die erst zu dieser Flut von Leitfäden<br />
geführt hat, sondern auch die vielen Checklisten <strong>und</strong> Fragen-<strong>und</strong>-Antworten-<br />
Kataloge divergieren in ihren Aussagen. Dies ist zum Teil darauf zurückzuführen,<br />
dass sich durch den Praxiseinsatz der <strong>elektronische</strong>n Steuerprüfung laufend neue<br />
Auslegungen <strong>und</strong> Problemstellungen ergeben, zum Teil aber auch darauf, dass aus<br />
wirtschaftlichem Interesse oder aus Positionierungsgründen die eine oder<br />
andere Interpretation favorisiert wird. Das B<strong>und</strong>esministerium der Finanzen (BMF)<br />
hat sich seinerseits an dieser Leitfaden-Flut beteiligt. Der inzwischen in der dritten<br />
Fassung vorliegende Frage-<strong>und</strong>-Antworten-Katalog vom August 2002 auf der<br />
Webseite des BMF hat in vielen Fragen zur Klärung beigetragen. Eine Reihe der<br />
Antworten hat aber erneut zur Verunsicherung geführt. Die vielen Leitfäden haben<br />
zumindest eine positive Komponente. Sie können den B<strong>und</strong>esfinanzbehörden<br />
Orientierungshilfe sein <strong>und</strong> für bekannte Probleme praktikable Lösungen<br />
vorschlagen. Endgültige Klarheit kann es aber nur durch das BMF selbst geben. Die<br />
<strong>GDPdU</strong> müssen überarbeitet, <strong>GDPdU</strong> <strong>und</strong> GOBS auf einander harmonisiert <strong>und</strong> der<br />
Fragen-<strong>und</strong>-Antworten-Katalog im Internet muss durch eine belastungsfähige, nicht<br />
nur die Finanzbehörden selbst verpflichtende, Sicherheit schaffende Ausarbeitung<br />
offiziellen Charakters ersetzt werden. Solange das BMF selbst nicht für Klarheit<br />
sorgt, ist immer neuen Interpretationen <strong>und</strong> Leitfäden Tür-<strong>und</strong>-Tor geöffnet.<br />
Im Dschungel der Definitionen<br />
Die GoBS <strong>und</strong> die <strong>GDPdU</strong> benutzen eine Reihe von Begriffen, die auf<br />
Softwaresysteme zur Verarbeitung <strong>und</strong> Speicherung von Daten abzielen. Um die<br />
Klärung der Begriffsdefinitionen ranken sich so auch zahlreiche Checklisten,<br />
Argumentarien <strong>und</strong> Fragen-<strong>und</strong>-Antworten-Kataloge. Auch das BMF hat hier selbst<br />
versucht Klarheit in die Begriffswelt zu bringen, ohne mit ihrem Fragen-<strong>und</strong>-<br />
Antworten-Katalog die gr<strong>und</strong>sätzlichen Missverständnisse ausräumen zu können.<br />
Bevor wir uns der Frage eines revisionssicheren Archives für steuerrelevante Daten<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 4 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
zuwenden, soll hier versucht werden, etwas Licht in die verwendete Begrifflichkeit zu<br />
bringen:<br />
Steuerrelevante Daten<br />
Der sehr weiche Begriff der „steuerrelevanten Daten“ ist unter zwei Gesichtspunkten<br />
zu betrachten: Einmal inhaltlich <strong>und</strong> zum zweiten technisch. Inhaltlich geht es darum,<br />
auf welche Informationen der Steuerprüfer im Rahmen einer Außenprüfung zugreifen<br />
darf. Die inhaltliche Frage muss das steuerpflichtige Unternehmen in Abhängigkeit<br />
seiner Geschäftstätigkeit zusammen mit seinem Steuerberater oder Wirtschaftsprüfer<br />
beantworten. Wichtig: Dies ist keine Aufgabe der Softwarebranche, ganz im<br />
Gegenteil. Nach Auffassung der B<strong>und</strong>essteuerberaterkammer gehört die Ermittlung<br />
der steuerlich relevanten Daten zu den „Vorbehaltsaufgaben“ der steuerberatenden<br />
Berufe. Dabei gilt, dass sich durch die <strong>GDPdU</strong> am fachlichen Umfang <strong>und</strong> Inhalt der<br />
Prüfung eigentlich nichts ändert, sondern dass die Form der Bereitstellung, des<br />
Zugriffes <strong>und</strong> der Auswertung sich der technologischen Entwicklung angepasst hat.<br />
Immer mehr Information entsteht originär elektronisch <strong>und</strong> kann auch nur<br />
elektronisch ausgewertet werden. Technisch geht es darum, wie diese Informationen<br />
für eine Auswertung bereitgestellt werden. Steuerrelevante Daten können in einem<br />
Unternehmen in unterschiedlichen Systemen entstehen <strong>und</strong> gespeichert werden.<br />
Hier ist die Aufgabe, nach der fachlichen Qualifizierung der steuerrelevanten Daten<br />
die entsprechenden Systeme, Speicherorte <strong>und</strong> Formate zu ermitteln, um die Daten<br />
anhaltend auswertbar bereitzustellen.<br />
„Originär <strong>elektronische</strong> Unterlagen“<br />
Bei originär <strong>elektronische</strong> Unterlagen handelt es sich in erster Linie um Daten, die in<br />
einem kaufmännischen System selbst durch Verarbeitungsschritte entstanden sind.<br />
Bei der Entstehung dieser Daten sind unterschiedliche Quellen zu berücksichtigen.<br />
Sie können aus anderen Datenverarbeitungssystemen importiert (siehe<br />
Nebensysteme <strong>und</strong> vorgelagerte Systeme), von Dritten durch Datenübertragung<br />
übermittelt (z.B. EDI, E-Mail) oder aber durch manuelle Eingaben erfasst worden<br />
sein. Durch die Verarbeitung, d.h. im wesentlichen durch die Zuweisung zu<br />
Vorgängen, Konten, Lieferanten oder K<strong>und</strong>en, durch Berechung von abgeleiteten<br />
Werten, Zuordnung von Stammdaten <strong>und</strong> andere Operationen der Programmlogik<br />
entstehen erst die originär <strong>elektronische</strong>n, steuerrelevanten Daten. Erst durch die<br />
Verarbeitung <strong>und</strong> die Zuweisung im buchhalterischen Sachzusammenhang<br />
entstehen die steuerrelevanten Daten. Die Rohdaten vor der Verarbeitung haben<br />
daher eher einen Belegcharakter, der die Nachvollziehbarkeit der durchgeführten<br />
Operationen der Software sicherstellen muss.<br />
„Maschinell auswertbare Daten“<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 5 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
Steuerrelevante Daten sind maschinell auswertbare Daten aus kaufmännischen<br />
Softwaresystemen, die als Datensatz vorliegen. Jeder Datensatz repräsentiert eine<br />
steuerrelevante Transaktion <strong>und</strong> beinhaltet alle notwendigen Informationen, die für<br />
eine steuerliche Veranlagung im Sinne von Entstehen, Entfallen oder Minderung<br />
einer Steuerlast relevant sind. Er setzt sich hierfür aus identifizierenden Attributen<br />
<strong>und</strong> Stammdaten wie Konto, Adressat, Steuersatz etc., Zweck oder Objekt <strong>und</strong> den<br />
Werten wie Betrag, Währung <strong>und</strong> Datum zusammen. Die Vollständigkeit <strong>und</strong> der<br />
Zusammenhang dieser Attribute sichert die Auswertbarkeit des Datensatzes im<br />
Kontext. Diese Daten müssen in Deutschland strukturiert, geordnet, periodengerecht<br />
<strong>und</strong> vollständig durch die Software IDEA (offizielle Prüfsoftware der<br />
Finanzverwaltung) in der jeweils gültigen Version auswertbar bereitgestellt werden.<br />
Anders sieht dies mit Dokumenten aus, z.B. mit einer von Hand eingegebenen<br />
Rechnung in einem Textverarbeitungsprogramm. Hier handelt es sich um die<br />
Übertragung von Daten in ein Dokument, das hierdurch Belegcharakter erhalten<br />
kann.<br />
„Nicht maschinell auswertbare Belege“<br />
Belege sind der Nachweis zum Datensatz mit den steuerrelevanten Daten. Belege<br />
sind in der Regel nicht maschinell automatisch auswertbare, schwach strukturierte<br />
oder unstrukturierte Dokumente. Entsprechend ihrer Entstehung können sie beim<br />
Steuerpflichtigen in Papier, <strong>elektronische</strong>r Form oder anderer Form vorliegen. Sind<br />
die Dokumente originär elektronisch entstanden oder beim Steuerpflichtigen originär<br />
elektronisch eingegangen, so sind sie im Originalformat mit den dazugehörigen<br />
Entstehungs- oder Eingangsdaten zu speichern. Elektronische Dokumente können<br />
auch als strukturierte Datensätze vorliegen <strong>und</strong> müssen dann auch für maschinelle<br />
Auswertung bereitgestellt werden. Elektronische Dokumente müssen über einen<br />
eindeutigen Index wieder auffindbar <strong>und</strong> über die Attribute des Index eindeutig mit<br />
dem dazugehörigen steuerrelevanten Datensatz verknüpft sein. Diese Dokumente<br />
sind so zu speichern, dass keine Veränderung der Dokumente selbst möglich ist, die<br />
Beziehung zwischen Dokument <strong>und</strong> zugehörigem Datensatz nicht aufgelöst oder<br />
verändert werden kann, <strong>und</strong> der Bestand der Dokumente gegen Verlust <strong>und</strong><br />
Veränderung geschützt ist. Das System hat sicherzustellen, dass die gespeicherten<br />
Dokumente über den vorgegebenen Aufbewahrungszeitraum recherchiert <strong>und</strong><br />
verlustfrei zur Anzeige gebracht werden können. In der Verfahrensdokumentation<br />
nach GoBS ist dieses Verfahren nachprüfbar zu beschreiben <strong>und</strong> die Prozesse<br />
müssen durch eine revisionssichere Protokollierung nachvollziehbar sein. Beim<br />
Datenzugriff nach den <strong>GDPdU</strong> ergeben sich je nach Typus zwei unterschiedliche<br />
Zugriffsarten. Für originär <strong>elektronische</strong> Unterlagen ist die direkte Auswertbarkeit der<br />
Daten für die Zugriffsarten Z1 (unmittelbarer Zugriff) <strong>und</strong> Z2 (mittelbarer Zugriff)<br />
sowie Z3 (Datenträgerüberlassung) sicherzustellen. Liegen die Daten noch im<br />
operativen System, in der sie ursprünglich erzeugenden Anwendung vollständig vor,<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 6 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
kann Z1 <strong>und</strong> Z2 direkt auf diesen Datenbestand erfolgen. Die Anwendung muss<br />
jedoch in der Lage sein, auch Datenträger nach Z3 für die Auswertung mit IDEA zu<br />
erzeugen. Für nicht maschinell auswertbare Belege gilt, dass die Dokumente über<br />
die Attribute des Index im ersten Schritt recherchiert werden, um dann im zweiten<br />
Schritt angezeigt zu werden.<br />
Durch die vorgeschlagene Unterscheidung zwischen maschinell auswertbarem<br />
Datensatz <strong>und</strong> zugehörigem, nicht maschinell auswertbarem Belegdokument ist das<br />
Problem der steuerrelevanten Daten lösbar. Letztlich lässt sich damit unabhängig<br />
von der Form der Daten <strong>und</strong> Dokumente die „Auswertbarkeit“ als „wahlfreier Zugriff<br />
auf die steuerrelevanten Daten“ beschreiben.<br />
Datenverarbeitungssystem im Sinne der <strong>GDPdU</strong><br />
Durch die <strong>GDPdU</strong> sind eine Reihe von unterschiedlichen Datenverarbeitungssystemen<br />
betroffen. Je nach dem, in welchem Umfang steuerrelevante<br />
Daten in ihnen entstehen <strong>und</strong> gespeichert werden ist ihre Relevanz für eine<br />
<strong>elektronische</strong> Steuerprüfung verschieden. Daher ist eine Differenzierung notwendig.<br />
„Hauptsystem“<br />
Unter einem Hauptsystem ist dasjenige System, bestehend aus Software <strong>und</strong><br />
benötigter Hardware zu verstehen, in dem die originär steuerrelevanten Daten<br />
verarbeitet <strong>und</strong> gespeichert werden. Dies sind in der Regel kaufmännische<br />
Anwendungen, ERP-Systeme, Buchhaltungssysteme etc. Solange dieses Hauptsystem<br />
im Betrieb ist spricht man auch vom operativen, Produktiv- oder<br />
Produktionssystem um es von stillgelegten, red<strong>und</strong>anten Sicherheits- oder im<br />
Testbetrieb befindlichen Systemen zu unterscheiden. Unter einem Produktivsystem<br />
versteht man somit eine Anwendung, die aktiv <strong>und</strong> nutzbar ist, <strong>und</strong> die für den Zweck<br />
der Anwendung benötigten Daten enthält oder auf diese direkt zugreifen kann. Bei<br />
einer kaufmännischen Anwendung wären dies auch die aktuellen steuerrelevanten<br />
Daten. Das Hauptsystem mit seiner Programmfunktionalität <strong>und</strong> seinen<br />
Auswertungsmöglichkeiten erfüllt auch die Voraussetzungen von Z1 (unmittelbarer<br />
Zugriff) <strong>und</strong> Z2 (mittelbarer Zugriff). Es sollte auch die Erstellung von Datenträgern<br />
nach Z3 (Datenträgerüberlassung) ermöglichen.<br />
„Vorgelagertes System“<br />
Vorgelagerte Systeme sind Lösungen, mit denen steuerrelevante Daten <strong>und</strong> Belege<br />
erfasst <strong>und</strong> verarbeitet werden (z.B. Scannen mit automatischer Klassifikation von<br />
Rechnungen mit Übertragung ins ERP), deren Ergebnisse jedoch in ein<br />
Buchführungs-, ERP- oder vergleichbares System übertragen werden <strong>und</strong> dort für<br />
den Zugriff bereitstehen. Dabei ist sicherzustellen, dass die Verarbeitung <strong>und</strong><br />
Übertragung verlustfrei, nachvollziehbar <strong>und</strong> die originär Information nicht<br />
verändernd geschieht. Häufig geben diese vorgelagerten Systeme aber nur Teile<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 7 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
oder konsolidierte, verdichtete Daten an das Hauptsystem ab. Die Auswertbarkeit<br />
dieser Daten im Sinne des wahlfreien Zugriffs ist im Hauptsystem dann nicht mehr<br />
vollständig gegeben. Bei vorgelagerten Systemen kann es sich z.B. um<br />
Kassensysteme, Zahlungsverkehrssysteme oder andere Lösungen handeln, in<br />
denen steuerrelevante Daten entstehen. Die Daten dieser Systeme rechnen zum<br />
Umfang einer digitalen Außenprüfung. Vorgelagerte Systeme sind im Regelfall nicht<br />
darauf ausgelegt Z1 <strong>und</strong> Z2 zu unterstützen <strong>und</strong> besitzen auch keine Funktionalität<br />
um selektiv Datenträger nach Z3 zu erstellen. Häufig sind die Datenmengen so groß,<br />
z.B. in Kommunikations-, Energie- <strong>und</strong> Handelsunternehmen, dass eine vollständige<br />
Übergabe nach Zugriffsart Z3 unmöglich ist.<br />
„Nebensystem“<br />
Unter Nebensystemen versteht man Systemlösungen, in denen steuerrelevanten<br />
Daten entstehen, gespeichert <strong>und</strong> verarbeitet werden, die nicht oder nur sehr stark<br />
verdichtet im Buchhaltungs- oder ERP-System vorliegen. Hierbei kann es sich um<br />
Materialwirtschafts-, Zeiterfassungs- oder E-Business-Anwendungen handeln, die<br />
eine eigenständige Logik <strong>und</strong> Speicherung besitzen. Die Daten dieser Systeme<br />
dürfen auch der <strong>elektronische</strong>n Steuerprüfung unterworfen werden. Sofern die<br />
steuerrelevanten Daten in diesen Systemen qualifiziert <strong>und</strong> identifiziert werden<br />
können, kann auch ein direkter Zugriff über die Anwendung möglich sein. Da<br />
Nebensysteme aber in der Regel nicht über den Programm- <strong>und</strong> Datenaufbau wie<br />
ein kaufmännisches System verfügen, kann der Zugriff nach Z1 <strong>und</strong> Z2 beschränkt<br />
sein. Es besteht daher im Regelfall auch bisher nicht die Möglichkeit, aus solchen<br />
Nebensystemen Datenträger für Z3 zu erstellen.<br />
„Archivsystem“<br />
Archivsysteme kommen erst dann ins Spiel, wenn in den operativen Haupt-, Neben<strong>und</strong><br />
vorgelagerten Systemen die steuerrelevanten Daten des Prüfungszeitraums<br />
nicht mehr auswertbar vorliegen. Angesichts der Aufbewahrungsfristen von 6 oder 10<br />
Jahren ist die Auslagerung von Datenbeständen aus den Produktivsystemen<br />
besonders bei mittleren <strong>und</strong> größeren Anwendungen der Regelfall. In<br />
Archivsystemen entstehen jedoch selbst keine steuerrelevanten Daten, sondern sie<br />
dienen lediglich der Speicherung <strong>und</strong> der Bereitstellung der Daten. Die<br />
Auswertbarkeit <strong>und</strong> die Vollständigkeit muss von den Hauptsystemen <strong>und</strong> den<br />
Nebensystemen bereits bei der Übergabe der Daten an das Archivsystem<br />
sichergestellt sein. Die Frage der Aufgaben eines Archivsystems soll im Folgenden<br />
noch näher betrachtet werden.<br />
„Universelles Auswertungsprogramm für steuerrelevante Daten“<br />
Die Diskussion um ein universelles Auswertungsprogramm entstand durch den<br />
Artikel von Groß, Lindgens <strong>und</strong> Matheis „Rückstellung für Kosten des Datenzugriffs<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 8 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
der Finanzverwaltung“ (veröffentlich im DStR Heft 23/2003, S. 921ff), in dem die<br />
Lösung der <strong>Archivierung</strong>sproblematik beschrieben wurde. Wenn Archivsysteme<br />
selbst nicht mehr über die Auswertungslogik des Hauptsystems verfügen müssen,<br />
wenn es nur noch vollständige, auswertbare steuerrelevante Daten übernimmt <strong>und</strong><br />
auf Anforderung wieder bereitstellt, muss die Auswertbarkeit der steuerrelevanten<br />
Daten mit anderen Mitteln sichergestellt werden. Hier kommt natürlich sofort das<br />
Auswertungsprogramm ins Spiel, mit dem die Finanzbehörden prüfen. Zumindest für<br />
die Daten nach der Zugriffsart Z3 ist dies der gesetzte Auswertungsstandard, der die<br />
Struktur der Daten vorgibt. Das B<strong>und</strong>esministerium der Finanzen scheut sich<br />
natürlich gleich ein einzelnes Produkt wie „IDEA“ offiziell zu verankern. Man kann<br />
Wettbewerbsprodukte wie ACL nicht gr<strong>und</strong>sätzlich benachteiligen. Mit einer<br />
Festlegung auf IDEA hätte man jedoch den Vorteil, dass die Funktionalität <strong>und</strong> die<br />
benötigten Strukturen bekannt sind. Will man jedoch einen neutralen Begriff wie z.B.<br />
„Universelles Auswertungsprogramm“ benutzen, muss der Funktionsumfang auch<br />
neutral definiert werden. Die Formulierung aus dem Fragen-<strong>und</strong>-Antworten-Katalog<br />
des BMF vom August 2002, dass bei der Auslagerung der steuerrelevanten Daten<br />
aus dem operativen System für die <strong>Archivierung</strong>ssysteme die gleiche<br />
Auswertungsfunktionalität wie beim die Daten erzeugenden System vorhanden sein<br />
soll (Frage <strong>und</strong> Antwort Nr. 11), greift bei Auswertungsprogrammen wie IDEA oder<br />
ACL nicht mehr.<br />
Keine Zertifizierung für Archiv <strong>und</strong> Speichersysteme<br />
In jüngst erfolgten Stellungnahmen auf Eingaben hat das BMF deutlich gemacht,<br />
dass es weder für Speichersubsysteme noch für Archivsysteme eine Zertifizierung<br />
gibt oder geben wird. Damit erübrigen sich auch die Diskussionen um die Marketing-<br />
Slogans „<strong>GDPdU</strong>-konforme <strong>Archivierung</strong>“ <strong>und</strong> die Frage des „richtigen“<br />
Speichermediums. „<strong>GDPdU</strong>-Konformität“ beschränkt sich auf die Vollständigkeit <strong>und</strong><br />
Auswertbarkeit der Daten selbst. Dies ist Angelegenheit der die Daten originär<br />
erzeugenden Systeme. Das „richtige“ Speichermedium gibt es nicht. Eine Festlegung<br />
auf nur eine Technologie ist weder sinnvoll noch angesichts des schnellen<br />
technologischen Wechsels machbar. Sicherheit <strong>und</strong> Verfügbarkeit sind außerdem<br />
nicht allein vom Speichermedium abhängig. Die gespeicherte Information muss auch<br />
auslesbar, anzeigbar <strong>und</strong> verarbeitungsfähig sein. Hierfür sind entsprechende<br />
Betriebssysteme, Treibersoftware <strong>und</strong> Verarbeitungsprogramme notwendig. Die<br />
Information auf einem sicheren Speicher zu haben nützt nicht viel, wenn man sie<br />
nicht mehr benutzen kann.<br />
Dementsprechend kann man heute verschiedene Technologien als mehr oder<br />
weniger gleichberechtigt betrachten, wenn es um die veränderungssichere<br />
Speicherung von steuerrelevanten Daten geht. Traditionelle WORM-Technologien<br />
mit unterschiedlichen Verfahren stehen dabei zu CD <strong>und</strong> DVD, speziell abgesicherten<br />
Festplattensubsystemen <strong>und</strong> WORM-Bändern für Tape-Libraries im<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 9 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
Wettbewerb. Entsprechend der beim Anwender im Einsatz befindlichen IT-Infrastruktur<br />
Umfeld wird die eine oder andere Technologie bevorzugt werden. In<br />
Rechenzentren z.B. WORM-Tapes oder Festplattensubsysteme, bei Anwendern mit<br />
vorhandenen Archivsystemen traditionelle WORM-Medien <strong>und</strong> bei Kleinanwendern<br />
eher CD <strong>und</strong> DVD. Letztere eignen sich besonders, wenn man alle Daten einer<br />
Periode auf nur einem Medium unterbringen kann.<br />
Für alle Medien gilt jedoch, „ein Medium allein reicht nicht aus! Es geht um die<br />
Erstellung von Sicherheitskopien, die regelmäßige Prüfung der Medien <strong>und</strong><br />
Sicherheitskopien auf Lesbarkeit <strong>und</strong> Verarbeitungsfähigkeit, die Migration auf neue<br />
Medien <strong>und</strong> andere Themen der Sicherheit. Revisionssicherheit ist hierbei mehr als<br />
nur technische Sicherheit zum Schutz vor Veränderung. Revisionssicherheit schließt<br />
den ganzen Prozess von der Entstehung der Daten bis zu ihrer Entsorgung ein.<br />
Speichermedien <strong>und</strong> Speichersubsysteme stellen daher nur eine Komponente eines<br />
revisionssicheren Systems dar. Im Vordergr<strong>und</strong> der Überlegungen zur Revisionssicherheit<br />
steht die Information <strong>und</strong> ihr Kontext. Wie die Information aufbewahrt wird<br />
ist wichtig, aber im Rahmen eines Gesamtkonzeptes zur revisionssicheren<br />
<strong>Archivierung</strong> nur ein Baustein. Die Wahl des Mediums muss dem Wert der<br />
Information gerecht werden. Die Erfüllung gesetzlicher Vorgaben ist hierbei auch nur<br />
ein Aspekt des Wertes von Information. Archivsysteme nur für die Erfüllung der<br />
<strong>GDPdU</strong>, also nur zur Speicherung steuerrelevanter Daten, die ein Prüfer vielleicht in<br />
ein paar Jahren auswerten will, sind unwirtschaftlich. Elektronische Archivsysteme<br />
machen nur dann Sinn, wenn man sie auch zur Speicherung aller anderen<br />
<strong>elektronische</strong>n Informationen eines Unternehmens einsetzt. Steuerrelevante Daten<br />
sind dann nur noch ein spezieller Informationstyp, der vom universellen<br />
Unternehmensarchivsystem quasi nebenbei mitverwaltet wird. Nebenbei: Es gibt<br />
noch weit aus mehr Vorschriften die zu beachten sind als „nur“ die <strong>GDPdU</strong>. Dabei ist<br />
insbesondere an den Prüfungsstandard 330 des IdW (Institut der Wirtschaftsprüfer)<br />
oder an die geänderten Dokumentationspflichten für Verrechnungspreise <strong>und</strong> deren<br />
Prüfbarkeit zu denken.<br />
Zugriff auf das Hauptsystem?<br />
Beim Vorhaltenden der Daten für den unmittelbaren bzw. mittelbaren Datenzugriff<br />
der Finanzverwaltung wurde immer wieder die Frage gestellt, in welchem Bereich der<br />
Unternehmens-EDV dies zu gewährleisten ist. Das Gesetz, <strong>und</strong> nichts anderes<br />
bindet den Steuerpflichtigen, geht von einer Auswertung der steuerlich relevanten<br />
Datenbestände im Haupt- oder Produktivsystem aus. Um dieses jedoch nicht mit<br />
einer zu großen Datenmenge zu überlasten, sind Archivsysteme notwendiger<br />
Bestandteil der meisten IT-Umgebungen. Archivierte Daten müssten so für Zwecke<br />
der Betriebsprüfung in das laufende System zurückgespielt werden um eine<br />
Verarbeitung mit den dort vorhandenen Auswertungsmöglichkeiten zu gewährleisten.<br />
Doch genau hier entstehen massive technische Probleme, da es beim Zurückladen<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 10 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
dieser alten Daten idR zu Unverträglichkeiten mit inzwischen ugedateten Systemen<br />
kommt. Einfacher wäre es, archivierte Daten durch direkten Zugriff auf das<br />
Archivsystem auszuwerten, jedoch halten die meisten Archivlösungen nur<br />
eingeschränkte Auswertungsmöglichkeiten vor. Die Lösung dieses Konflikt liegt wie<br />
so oft greifbar nahe: IDEA, doch dazu später mehr.<br />
Revisionssichere <strong>elektronische</strong> Archivsysteme zur Aufbewahrung<br />
steuerrelevanter Daten<br />
Die Diskussion um die <strong>elektronische</strong> <strong>Archivierung</strong> hat inzwischen zu einer Klarstellung<br />
geführt. Elektronische Archivsysteme müssen selbst keine Auswertungsfunktionalität<br />
wie ein Hauptsystem oder eine universelles Auswertungsprogramm<br />
besitzen. Sie unterliegen jedoch dann den Anforderungen der <strong>GDPdU</strong>:<br />
1) muss der wahlfreie Zugriff derart abgebildet werden, dass die entsprechenden<br />
archivierten Daten auch vollständig bereitgestellt werden,<br />
2) muss die Speicherung derart erfolgen, dass die Unveränderbarkeit der Daten<br />
sichergestellt ist <strong>und</strong><br />
3) muss das Archivsystem in quantitativer <strong>und</strong> qualitativer Hinsicht<br />
Auswertungsmöglichkeiten gewährleisten, die denen des Hauptsystems<br />
gleichwertig sind.<br />
Während in anderen Gesetzen immer nur von Speicherung <strong>und</strong> Aufbewahrung die<br />
Rede ist, wird hier konkret von digitalen Speichermedien <strong>und</strong> <strong>Archivierung</strong><br />
gesprochen. Die <strong>GDPdU</strong> verweist hier auf die entsprechenden Passagen in der<br />
Abgabenordnung <strong>und</strong> führt aus: „Originär digitale Unterlagen nach § 146 Abs. 5 AO<br />
sind auf maschinell verwertbaren Datenträgern zu archivieren.“ Wie dies im Einzelfall<br />
zu geschehen hat, ist deutlicher in den GoBS nachzulesen. Für das Thema<br />
<strong>Archivierung</strong> gewinnt die GoBS damit eine größere Bedeutung als die <strong>GDPdU</strong> selbst.<br />
Originär digitale Unterlagen nach der AO <strong>und</strong> den GoBS sind aber nicht nur<br />
maschinell auswertbare Datensätze, sondern auch Dokumente. Maschinell<br />
verwertbare Datenträger impliziert, dass es einen Zugriff auf die Daten auf dem<br />
Speichermedium gibt. Nach den <strong>GDPdU</strong> heißt dies wahlfreier Zugriff mittels eines<br />
Programmes. Im Prinzip sind dies für <strong>elektronische</strong> Archivsysteme<br />
Selbstverständlichkeiten, da sie in der Regel über eine Datenbank zielgenau die<br />
gewünschten Daten ermittelt <strong>und</strong> bereitstellt. Bei kleineren Datenmengen, die als<br />
Dateien gespeichert sind, kann sogar der Zugriff über ein Dateiverwaltungssystem<br />
ausreichend sein. Entscheidend ist jedoch unter dem Gesichtspunkt der<br />
Aufbewahrungsfristen, dass die Information über die gesamte Aufbewahrungsfrist<br />
maschinell verarbeitungsfähig bereitsteht. Angesichts der schnellen Veränderung<br />
von Komponenten, Betriebsystemen, Formaten <strong>und</strong> Standards eine Aufgabe, die nur<br />
durch die rechtzeitige, verlustfreie, die Information selbst nicht verändernde,<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 11 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
dokumentierte <strong>und</strong> nachvollziehbare Migration der Daten von einem Medium auf ein<br />
anderes bewältigt werden kann.<br />
Der Anforderung, das Archivsystem mit Auswertungen zu versehen, die jenen im<br />
Produktivsystem in quantitativer <strong>und</strong> qualitativer Hinsicht gleichwertig sind, kann ein<br />
Archiv mit IDEA-Funktionalität bei entsprechender Ausgestaltung durchaus gerecht<br />
werden. Doch was bedeutet dies für die praktische Umsetzung <strong>und</strong> reicht IDEA<br />
wirklich aus?<br />
IDEA-Client zielführend<br />
Die Diskussion um die <strong>GDPdU</strong> war für den Steuerpflichtigen - <strong>und</strong> auch für die<br />
Steuerberater selbst - mehr als verwirrend. So stellt sich auch bei vielen die Frage,<br />
warum ein "IDEA-Client" eine neue Qualität bringen soll. Das BMF hat selbst in<br />
einem Schreiben diesen Ansatz als "zielführend" <strong>und</strong> "substantiiert" bezeichnet. Für<br />
den Anwender bring dies eine Vielzahl von Vorteilen. Wenn man mit einer<br />
unabhängigen Auswertungssoftware die steuerrelevanten Daten auswerten kann<br />
muss man sie weder im operativen System vorhalten noch muss man sie in dieses<br />
System zurückladen. Besonders bei größeren Anwendungen ist es üblich, nicht mehr<br />
benötigte Daten aus dem operativen System auszulagern um dieses zu entlasten,<br />
die Performance zu steigern <strong>und</strong> Online-Speicherplatz zu sparen. Wollte man im<br />
laufenden Betrieb alte Daten wieder in das System zurückladen, gäbe dies wie<br />
beschrieben vielfach Probleme. Die Installation kann sich geändert haben,<br />
Strukturen, Formate <strong>und</strong> Stammdaten haben sich verändert, die Altdaten würden<br />
Laufzeit <strong>und</strong> Stabilität der genutzten Produktivumgebung beeinträchtigen <strong>und</strong> vieles<br />
mehr. Nunmehr muss man "nur" noch sauber aufbereitet die Daten an ein externes<br />
Speichersystem, ein Archivsystem oder ein Datensicherungssystem, abgeben <strong>und</strong><br />
kann die Daten bei Bedarf dem Steuerprüfer zur Auswertung unabhängig<br />
bereitstellen. Die Beschränkung auf die IDEA-Funktionalität erlaubt dem<br />
Steuerpflichtigen darüber hinaus seine Daten zu testen bevor sie unveränderbar<br />
archiviert werden. Vollständigkeit <strong>und</strong> Auswertungsfähigkeit können so sichergestellt<br />
werden. Dies verringert Unsicherheit, Abhängigkeit <strong>und</strong> spart Kosten. So erübrigt<br />
sich auch die Anforderung aus dem BMF-Fragen-<strong>und</strong>-Antworten-Katalog, in der die<br />
gleiche Auswertungsfunktionalität gefordert wurde, wie sie das Ursprungssystem<br />
besitzt. Bei einem größeren ERP gibt es H<strong>und</strong>erte von Auswertungen, nahezu<br />
beliebige Kombinations- <strong>und</strong> Recherchemöglichkeiten, die nie in einem Archivsystem<br />
hätten nachgebildet werden können. Wenn nun die Auswertung mit IDEA<br />
ausreichend ist, kann man auch gleich einen Schritt weiter gehen <strong>und</strong> einen "IDEA-<br />
Clienten" konzipieren, der direkt auf den archivierten Dateien nebst zugehörigen<br />
Stammdaten <strong>und</strong> Strukturinformationen alle drei Zugriffsarten Z1, Z2 <strong>und</strong> Z3<br />
realisiert. Da die Auswertungsalgorithmen vorhanden sind, ist der Schritt vom reinen<br />
Auswertungstool zum IDEA-Clienten nur ein sehr kleiner.<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 12 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
Abläufe <strong>und</strong> Funktionalität von Archivsystemen zur Speicherung<br />
steuerrelevanter Daten<br />
Unter dem Gesichtspunkt, dass das Archivsystem selbst keine<br />
Auswertungsfunktionalität benötigt, kann im Prinzip jedes Standardarchivsystem zur<br />
Aufbewahrung steuerrelevanter Daten benutzt werden. Die Daten selbst <strong>und</strong> die<br />
dazugehörigen Beschreibungsdateien müssen lediglich beim Empfang indiziert <strong>und</strong><br />
gespeichert werden. Wie sehen nun die entsprechenden Abläufe im Detail aus?<br />
Erfassung <strong>und</strong> <strong>Archivierung</strong> steuerrelevanter<br />
Daten<br />
Vorgelagerte Systeme<br />
Hauptsystem<br />
ERP<br />
Neben -<br />
systeme<br />
Periodengerechte Übergabe<br />
fertig strukturierter Daten<br />
<strong>und</strong> Strukturinformationen<br />
Übergabe Daten<br />
<strong>und</strong> Strukturinformationen<br />
Validierung<br />
Archivsystem<br />
Protokollierung<br />
Speichersystem<br />
Index<br />
DB<br />
Schritt 1: Selektion (zwingend)<br />
Das Hauptsystem <strong>und</strong> gegebenenfalls Nebensysteme <strong>und</strong> vorgelagerte Systeme<br />
extrahieren aus ihrem Datenbestand im operativen System periodengerecht die<br />
steuerrelevanten Daten, wie sie bei der Qualifizierung <strong>und</strong> Identifizierung festgelegt<br />
worden sind. Diese Daten werden zusammen mit der Strukturdefinition, in denen das<br />
Format <strong>und</strong> die Attribute der Daten beschrieben sind, als Dateien exportiert. Die<br />
Aufbereitung entsprechend dem Beschreibungsstandard für IDEA (abrufbar unter<br />
www.audicon.net) ist hierbei zu empfehlen.<br />
Schritt 2: Validierung (empfohlen)<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 13 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
Durch manuelle oder automatisierte Tätigkeiten erfolgt eine Prüfung <strong>und</strong> Validierung,<br />
ob die Daten vollständig, richtig <strong>und</strong> verarbeitungsfähig sind. Hierzu kann man die<br />
Daten z.B. mit IDEA bzw. AIS TaxAudit testweise auswerten. Sind die Daten nicht<br />
vollständig oder nicht auswertbar, müssen entsprechende Anpassungen in den<br />
operativen Systemen vorgenommen <strong>und</strong> die Daten erneut ausgegeben werden.<br />
Zukünftig werden für diesen Zweck auch Programme voraussichtlich angeboten<br />
werden, die man als „Validator“ bezeichnen kann.<br />
Schritt 3: Übergabe (zwingend)<br />
Die Daten <strong>und</strong> die dazugehörigen Strukturinformationen werden an das Archiv<br />
übergeben. Dies kann durch manuellen Import oder aber nach erfolgreicher<br />
Überprüfung durch ein „Validator“-Programm automatisiert geschehen. Letzteres hat<br />
den Vorteil, dass keine manuelle Interaktion erfolgt, bei der noch eine Veränderung<br />
der Daten theoretisch möglich wäre.<br />
Schritt 3: Übergabe (zwingend)<br />
Die Daten <strong>und</strong> die dazugehörigen Strukturinformationen werden an das Archiv<br />
übergeben. Dies kann durch manuellen Import oder aber nach erfolgreicher<br />
Überprüfung durch ein „Validator“-Programm automatisiert geschehen. Letzteres hat<br />
den Vorteil, dass keine manuelle Interaktion erfolgt, bei der noch eine Veränderung<br />
der Daten theoretisch möglich wäre.<br />
Schritt 4: Indizierung (zwingend)<br />
Die Daten <strong>und</strong> die dazugehörigen Strukturinformationen werden in die Verwaltung<br />
des Archivsystems übernommen. Hierbei werden sie zusammenhängend manuell<br />
oder automatisiert indiziert, so dass sie unter dem gleichen Index eindeutig<br />
identifizierbar <strong>und</strong> wieder auffindbar gespeichert werden. Werden die gleichen Daten<br />
oder Daten der gleichen Periode gewollt oder fehlerhaft mehrfach übertragen, so<br />
muss das Archivsystem über eine entsprechende Versionierung bei der Indizierung<br />
sorgen, damit der Prüfer den Zugriff auf die richtigen Daten erhält.<br />
Schritt 5: Speicherung (zwingend)<br />
Das Archivsystem speichert die Informationen auf seinem Speichersystem <strong>und</strong><br />
sichert durch die Medien <strong>und</strong>/oder durch die eigene Verwaltungssoftware, dass die<br />
eindeutige Identifizierung, Vollständigkeit <strong>und</strong> Unveränderbarkeit sichergestellt ist.<br />
Über die Übernahme, Indizierung <strong>und</strong> Speicherung erstellt das Archivsystem eine<br />
Protokolldatei, die den Vorgang <strong>und</strong> die veränderungs- <strong>und</strong> verlustfreie Speicherung<br />
im System dokumentiert <strong>und</strong> zusammen mit den Daten <strong>und</strong> den Strukturinformationen<br />
unter dem gleichen Index speichert. Die Verwendung eines Zeitstempels nach<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 14 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
Signaturgesetz kann die rechtliche Qualität des Nachweises der Unveränderbarkeit<br />
<strong>und</strong> des Speicherdatums zusätzlich absichern.<br />
Schritt 6: Migration (optional)<br />
Ist während der Aufbewahrungsfrist eine Migration der Daten erforderlich, so sind<br />
nicht nur die Daten <strong>und</strong> die zugehörige Strukturinformation verlust- <strong>und</strong><br />
veränderungsfrei zu überführen, sondern auch die Indexinformation, die das wieder<br />
finden <strong>und</strong> identifizieren sicherstellt, unverändert zu migrieren. Hierüber ist wiederum<br />
eine Protokoll-Datei zu führen <strong>und</strong> zu archivieren, die den Nachweis der verlustfreien<br />
Migration ermöglicht. Wie das Gesamtverfahren selbst, ist auch die Migration in der<br />
Verfahrensdokumentation zu beschreiben.<br />
Schritt 7: Zugriff auf die steuerrelevanten Daten (zwingend)<br />
Wird im Rahmen einer Steuerprüfung auf die archivierten Daten zurückgegriffen, wird<br />
über die Anwendung des Archives eine Suche nach den entsprechenden Daten für<br />
den zu prüfenden Zeitraum gestartet. Das Archivsystem liefert eine Ergebnisliste, in<br />
der periodengerecht die gef<strong>und</strong>enen Dateien angezeigt werden. Hierbei handelte es<br />
sich zusammenhängend unter dem gleichen Index immer um die Daten mit den<br />
dazugehörigen Strukturinformationen sowie die dazugehörige Protokolldatei. Wurden<br />
die Daten zwischenzeitlich migriert, wird auch das zugehörige Migrationsprotokoll mit<br />
angezeigt.<br />
Bereitstellung steuerrelevanter Daten<br />
zur Auswertung<br />
Client<br />
Archiv<br />
Anfrage<br />
Ergebnisliste<br />
IDEA Client<br />
Filesystem<br />
Z1, Z3<br />
Z3-Dateien<br />
IDEA<br />
Z3<br />
Hauptsystem<br />
ERP<br />
Archivsystem<br />
„Mandant für<br />
historische Daten“<br />
Z1, Z2<br />
Daten <strong>und</strong><br />
Daten <strong>und</strong> Struktur-<br />
Strukturinformationen<br />
informationen „ERP-Format“<br />
„IDEA-Format“<br />
Protokollierung<br />
Speichersystem<br />
Index<br />
DB<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 15 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
Schritt 8: Prüfung auf Richtigkeit <strong>und</strong> Vollständigkeit (empfohlen)<br />
Die Indizierung hat dabei sicherzustellen <strong>und</strong> dies auch zur Anzeige zu bringen, dass<br />
entsprechend der Suchanfrage die gef<strong>und</strong>enen Daten vollständig <strong>und</strong> richtig sind.<br />
Dies wird durch die Anzeige der archivierten Protokolle mit der Anwendung <strong>und</strong> dem<br />
Vergleich der Protokolleinträge mit den gef<strong>und</strong>enen Dateien ermöglicht. Ein<br />
Zeitstempel nach Signaturgesetz kann hier die Aussagekraft des Protokolles<br />
verbessern. Die Protokolle sollten für den Nachweis auch druckbar <strong>und</strong> exportierbar<br />
sein.<br />
Schritt 9: Bereitstellung (zwingend)<br />
Entsprechend der Strategie des Anwenders gibt es nun verschiedene Optionen für<br />
die Bereitstellung der aufgef<strong>und</strong>enen steuerrelevanten Daten:<br />
a) liegen die Daten nach dem Beschreibungsstandard für IDEA formatiert vor,<br />
werden die Daten in das Filesystem beim Anwender oder auf einem<br />
Speichermedium (Transportmedium) exportiert. Sie können nunmehr mit IDEA<br />
ausgewertet werden <strong>und</strong> erfüllen damit die Zugriffsart Z3.<br />
b) wenn das operative System auf das Wiedereinladen historischer Daten<br />
vorbereitet ist, können die Daten importiert <strong>und</strong> alle Z1- <strong>und</strong> Z2-Operationen in<br />
dem System erfolgen, in dem die Daten entstanden sind. Dies kann dann<br />
notwendig werden, wenn die Daten bei der Übergabe nicht nach dem<br />
Beschreibungsstandard für IDEA aufbereitet worden sind. In diesem Fall<br />
müsste das operative System in der Lage sein, den Datenträger nach Z3 zu<br />
erstellen<br />
c) steht ein „universelles Auswertungsprogramm“, z.B. ein „IDEA-Client“, zur<br />
Verfügung, dass direkt auf die Dateien aus dem Archivsystem zugreift, wären<br />
damit uneingeschränkt alle drei Zugriffsarten Z1, Z2 <strong>und</strong> Z3 realisierbar. Ein<br />
solches universelles Auswertungsprogramm würde eine Vereinfachung <strong>und</strong><br />
Erleichterung für die Variante b) darstellen. Dies gilt besonders dann, wenn das<br />
Archivsystem über eine Schnittstelle auf das universelle Auswertungsprogramm<br />
angepasst ist. Hierdurch würde eine direkte Aufbereitung der Daten<br />
entsprechend den Strukturbeschreibungsinformationen ohne weitere<br />
Zwischenschritte ermöglicht. Das Archivsystem benötigt durch die Kombination<br />
mit einem IDEA-Clienten keine eigene Auswertungslogik.<br />
Schritt 10: Zugriff auf digitale Belege (optional)<br />
Sind im Archivsystem auch die Belege als Dokumente archiviert, muss über die<br />
Indexdatenbank das zu einem Datensatz gehörende Dokument gef<strong>und</strong>en <strong>und</strong> zur<br />
Anzeige gebracht werden können. Dies betrifft alle Anwender, die nicht nur die<br />
maschinell auswertbaren Datensätze aus den kaufmännischen Systemen archiviert<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 16 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
haben, sondern auch Dokumente gescannt, digital eingegangene Faxmitteilungen<br />
<strong>und</strong> E-Mails abgelegt sowie selbst erzeugte <strong>elektronische</strong> Dokumente im Archiv<br />
gespeichert haben. Handelt es sich bei diesen um kaufmännische Dokumente, die<br />
steuerrelevante Daten enthalten, so sind diese Dokumente über einen eindeutigen<br />
Index wiederauffindbar zu machen, der mindestens zwei eindeutige Attribute aus<br />
dem Datensatz mit den steuerrelevanten, maschinell auswertbaren Daten beinhalten<br />
muss. Neben dem Datum ist dies in der Regel eine Beleg-, Rechnungs- oder<br />
Buchungsnummer. Diese Funktionalität muss über die Indexdatenbank <strong>und</strong> die<br />
Anwendung des Archivsystems gegeben sein, damit der Prüfer zu einem<br />
Prüfgegenstand alle zugehörigen Belege finden kann. Wünschenswert ist eine<br />
zumindest teilautomatisierte Suche, die ohne aufwendige manuelle Eingabe durch<br />
Übernahme eines angezeigten Datensatzes die zugehörigen Dokumente findet <strong>und</strong><br />
zur Anzeige bringt.<br />
Eine Verfahrensdokumentation ist wichtig<br />
Diese Prozesse, von der Entstehung der Daten <strong>und</strong> Dokumente über das<br />
Wiederfinden <strong>und</strong> Bereitstellen bis hin zur gesetzeskonformen Entsorgung sind in<br />
einer Verfahrensdokumentation nach GoBS zu dokumentieren <strong>und</strong> entsprechend<br />
dem Ausbau <strong>und</strong> der Veränderung der Systeme fortzuschreiben. Bisher waren die<br />
beim Anwender installierten Systeme eher selten Gegenstand einer Prüfung durch<br />
den Außenprüfer. In dem Maße, wie der Außenprüfer selbst solche Systeme für Z1<br />
<strong>und</strong> Z2 benutzt, wird der Nachweis von ordnungsgemäßer Verarbeitung, Nutzung<br />
<strong>und</strong> Betrieb immer wichtiger. Der Steuerpflichtige mit größeren Anwendungssystemen<br />
muss sich daher darauf einrichten, dass bei einer Prüfung zukünftig nach<br />
der Verfahrensdokumentation gefragt wird, damit der Prüfer sich einen Überblick<br />
über die Systeme, deren Funktionsweise, die Zugriffsmöglichkeiten <strong>und</strong> die<br />
enthaltenen Daten verschaffen kann. Auch die Forderung nach einer<br />
Verfahrensdokumentation ist nicht neu. Sie ist Bestandteil eines GoBS-konformen<br />
Verarbeitung <strong>und</strong> Speicherung von kaufmännischen Daten <strong>und</strong> Dokumenten.<br />
Darüber hinaus ist sie auch für den Anwender selbst von Nutzen, da sie ihm die<br />
Nachvollziehbarkeit der Auslegung <strong>und</strong> der Weiterentwicklung seiner Systeme<br />
ermöglicht. Spätestens wenn eine Migration ansteht, wünscht man sich eine sauber<br />
geführte <strong>und</strong> vollständige Verfahrensdokumentation. Lässt man sich die<br />
Verfahrensdokumentation <strong>und</strong> deren Umsetzung im Unternehmen durch einen<br />
Wirtschaftsprüfer oder durch den TüV-IT prüfen <strong>und</strong> zertifizieren, kann man sicher<br />
sein, alle notwendigen Vorbereitungen für den Besuch des Steuerprüfers getroffen<br />
zu haben.<br />
Win-Win Situation<br />
Die Frage einer <strong>GDPdU</strong>-konformen <strong>Archivierung</strong> scheint gelöst. Die beschriebene<br />
vom Quellsystem unabhängige Lösung bringt sowohl den steuerpflichtigen<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 17 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
Unternehmen, als auch der Finanzverwaltung durchweg Vorteile. Die Unternehmen<br />
sind, was die <strong>GDPdU</strong> anbetrifft, künftig weitgehend unabhängig von Migrationen im<br />
Hauptsystem <strong>und</strong> müssen sich keine Gedanken über die Aufbewahrung<br />
auszumusternder Hard- oder Software machen. Die Finanzverwaltung kann auf<br />
„Bekanntes“ zurückgreifen <strong>und</strong> muss sich nicht mit einer Vielzahl von<br />
unterschiedlichen EDV-Systemen vertraut machen. Der für die Finanzverwaltung<br />
sonst dringend erforderliche Einarbeitungs- bzw. Schulungsaufwand, bedingt durch<br />
die Vielzahl unterschiedlicher Auswertungsprogramme, entfällt weit gehend <strong>und</strong> die<br />
Unternehmen wären von vielfach aufwendigen Einweisungen in die Besonderheiten<br />
ihrer EDV entb<strong>und</strong>en. Der Befürchtung, dass Unternehmen mit ohnehin wenigen<br />
Auswertungstools durch einen IDEA-Clienten einen Mehrwert für die Betriebsprüfung<br />
schaffen, ist falsch, da der Finanzverwaltung im Rahmen der Datenträgerüberlassung<br />
diese Funktionalität ohnehin zur Verfügung steht, wenn auch nicht in der<br />
Unternehmens-EDV selbst. Im Gegenteil, die Beschränkung auf diese Analysemöglichkeiten<br />
würde es den Steuerpflichtigen ersparen, über eine Trennung von<br />
Auswertungen nachzudenken, die ausnahmslos der Steuerung interner<br />
Betriebsabläufe dienen <strong>und</strong> damit nicht in Beziehung zu steuerlich relevanten Daten<br />
stehen. Lastintensive Auswertungen für die Prüfer könnten auf diesen Systembereich<br />
verlagert werden <strong>und</strong> das Operative System so konstant performant halten.<br />
Fazit<br />
Unternehmen müssen jetzt Handeln um das „Team-Eichel“ in der Gesamtwertung<br />
noch abzufangen. IDEA-Client, Simulation der Betriebsprüfung <strong>und</strong> Datentrennung<br />
sind dabei Tuningfaktoren, welche die Waffengleichheit wieder herstellen. Und eines<br />
darf man nicht vergessen: Die Unternehmen haben jenseits der Steuerwelt die<br />
Chance Daten weitaus besser auszuwerten <strong>und</strong> zur verbesserten Steuerung<br />
einzusetzen. Dies ist ein Baustein im künftigen Wettbewerb <strong>und</strong> sichert letztlich die<br />
Gr<strong>und</strong>lage für die digitale Betriebsprüfung, nämlich die Unternehmen selbst.<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 18 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
Teil B<br />
„Revisionssichere <strong>Archivierung</strong> <strong>und</strong> Dokumentenmanagement im<br />
Licht neuer rechtlicher Anforderungen“<br />
Kompilierte Mitschrift der Vorträge von Dr. Ulrich Kampffmeyer, Geschäftsführer der<br />
<strong>PROJECT</strong> <strong>CONSULT</strong> Unternehmensberatung, Hamburg, auf der <strong>GDPdU</strong>-Roadshow<br />
von Audicon <strong>und</strong> Ernst&Young im Mai 2003 mit auszugsweise eingeb<strong>und</strong>enen<br />
Präsentations- <strong>und</strong> Handoutfolien.<br />
Sehr geehrte Damen <strong>und</strong> Herren,<br />
meine Aufgabe ist es nun, Sie nach der Mittagspause, wach zu halten - <strong>und</strong> dies mit<br />
einem sehr staubigen Thema. Wenn man an Archive denkt, so fallen einem immer<br />
zuerst die staubigen Hallen tief im Keller mit endlosen Reihen selten benutzter<br />
Aktenordner ein, in die man möglichst nicht mehr reingucken möchte. Aber durch<br />
den sanften Druck des Gesetzgebers, die hier bereits vielfach zitierten <strong>GDPdU</strong>, sind<br />
wir nun alle wieder gehalten, uns ein wenig mit dem Thema <strong>Archivierung</strong> auseinander<br />
zu setzen.<br />
Themenübersicht<br />
Heute möchte ich Ihnen einen generellen Überblick über das Thema <strong>elektronische</strong><br />
<strong>Archivierung</strong> geben, <strong>und</strong> ich werde mich dabei nicht nur auf die bekannten fünf<br />
Buchstaben des Akronyms <strong>GDPdU</strong> beschränken, sondern auch einen Blick über den<br />
Gartenzaun werfen.<br />
Agenda<br />
• Dokumente, Dokumentenmanagement <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
• Die rechtliche Situation zum Dokumentenmanagement<br />
• Anforderungen an eine revisionssichere <strong>elektronische</strong> <strong>Archivierung</strong><br />
• Ausblick<br />
Als Einstieg werde ich mich der Abgrenzung <strong>und</strong> der Definitionen der sehr vielfältig<br />
<strong>und</strong> sehr unterschiedlich benutzten Begriffe widmen. Anschließend werfen wir einen<br />
Blick über das Handelsrecht <strong>und</strong> Steuerrecht hinaus auf die anderen Gesetze, die<br />
sich in den letzten Monaten geändert haben. Im dritten Teil meines Vortrages werde<br />
ich auf das Thema eingehen, das Sie wahrscheinlich am meisten interessiert - was<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 19 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
macht überhaupt ein revisionssicheres Archiv aus, welche Funktionalität wird<br />
geboten <strong>und</strong> welche Anforderungen müssen erfüllt werden. Zum Abschluss möchte<br />
ich über die umfassende Bedeutung des Themas <strong>Archivierung</strong> sprechen, das<br />
größere Umfeld einmal darstellen.<br />
Alles nur eine Frage der Definition: Dokumente,<br />
Dokumentenmanagement <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>?<br />
Ein Blick auf die vielfältigen Begriffe macht eines deutlich: wir sprechen hier über<br />
Interpretationen. Dies gilt besonders für die <strong>GDPdU</strong>, jeder versucht sie nach seinem<br />
Gusto auszulegen. Eigentlich müsste die Situation ja klar sein: die Änderungen von<br />
HGB <strong>und</strong> Abgabenordnung sind rechtskräftig durchgeführt, die <strong>GDPdU</strong> sind gültig.<br />
Aber bereits die <strong>GDPdU</strong> stellen eine Auslegung der knappen Paragraphen des HGB<br />
<strong>und</strong> der Abgabenordnung dar; eine Verordnung für die Verwaltung, wie mit den<br />
Änderungen der Gesetze bei der Steuerprüfung umgegangen werden soll. Hält man<br />
sich die Diskussion vor Augen, die seit 1½ Jahren läuft, dann geht es darum, wie<br />
interpretiert man welchen Begriff, welchen Satz, welche Passage des Textes; wie<br />
lege ich ihn in meinem Interesse aus? Dies betrifft besonders die Hersteller, die<br />
Systeme <strong>und</strong> Software für kaufmännische Lösungen <strong>und</strong> <strong>Archivierung</strong> anbieten. Sie<br />
wittern neue Geschäfte. Die Verwendung immer neuer Interpretationen <strong>und</strong><br />
Schlagworte hat natürlich auch noch einen weiteren Zweck: Sie als potentiellen<br />
K<strong>und</strong>en zu verwirren. Die babylonische Sprachverwirrung in der Begriffswelt des<br />
Dokumentenmanagement hilft jedoch niemanden, weder den Anbietern, noch den<br />
Anwendern.<br />
Beginnen wir bei den frühen Anfängen. Ich bin der Überzeugung, dass es beispielsweise<br />
Wissensmanagement schon seit H<strong>und</strong>erttausenden von Jahren gibt. Das<br />
Bewahren, Weitergeben <strong>und</strong> Nutzen von Wissen unterscheidet uns von den Tieren.<br />
Es basiert auf dem „Knowledge Sharing“, dem Teilen von Wissen; zunächst durch<br />
mündliche Weitergabe, dann als schriftliche Aufzeichnung, die es uns ermöglicht,<br />
unabhängig von Zeit, Autor <strong>und</strong> Situation Wissen zu vermitteln.<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 20 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
Ein uraltes Thema<br />
• Wissensmanagement gibt es seit 100.000en von Jahren:<br />
es basierte zunächst auf mündlicher Überlieferung<br />
• Durch die Erfindung der Schrift vor 5000 Jahren wurde es möglich,<br />
Informationen <strong>und</strong> Vereinbarungen zu überliefern:<br />
das Dokument war geboren<br />
• Die Verwaltung der Dokumente, modern Dokumentenmanagement<br />
genannt, entstand ebenfalls bereits vor 5000 Jahren in den frühen Kulturen<br />
Dokumentenmanagement gibt es ebenfalls schon seit r<strong>und</strong> 5000 Jahren. Wenn Sie<br />
sich vielleicht noch an die Fernsehbilder des Irak-Kriegs erinnern, wo amerikanische<br />
Panzer durch die Ruinen sumerischer Städte pflügen, <strong>und</strong> wenn Sie sich an die<br />
Nachricht entsinnen, dass die Keilschriftarchive aus dem Nationalmuseum in Bagdad<br />
entwendet <strong>und</strong> vernichtet worden sind, dann ist dies erst einmal kulturhistorisch<br />
gesehen eine schlichte Katastrophe. Es gibt aber auch eine direkte Verbindung zu<br />
unserem Thema, denn die Keilschriftarchive stellen mit die frühesten Archive dar, die<br />
uns überliefert sind. Die meisten der frühen Keilschriftdokumente enthielten zudem<br />
steuerrelevante Daten, Aufzeichnungen der Tempelwirtschaft. Ich glaube allerdings<br />
nicht, dass irgendein Steuerprüfer sie heute noch prüfen möchte, da sie keineswegs<br />
maschinell auswertbar sind <strong>und</strong> ohne eine Ausbildung in Akkadistik oder<br />
Sumerologie auch nicht lesbar sind. Diese frühen Archive waren übrigens nach<br />
ähnlichen Prinzipien organisiert, wie wir sie noch heute anwenden, nach Jahrgängen,<br />
nach Lieferanten, nach Sachgebieten. Im Vergleich zu unseren papiergeb<strong>und</strong>enen<br />
Archiven hat es also einen echten Fortschritt kaum gegeben.<br />
Das Thema <strong>elektronische</strong>s Dokumentenmanagement. Elektronisches Dokumentenmanagement<br />
gibt es erst seit ungefähr 25 Jahren. Nur was heißt in der<br />
Informationstechnologie „erst“ 25 Jahre? 25 Jahre sind gemessen an den immer<br />
kürzer werdenden Innovationszyklen <strong>und</strong> jährlich neuer Softwarereleases ein<br />
ziemlich langer Zeitraum. Man kann heute davon ausgehen, dass diese Technologie<br />
weitgehend matur, ausgereift, sind. Unser Problem ist jedoch, dass wir mit dem<br />
<strong>elektronische</strong>n Dokumentenmanagement, der <strong>elektronische</strong>n <strong>Archivierung</strong>, einen<br />
Schritt aus einer greifbaren, physischen Welt in eine immaterielle, virtuelle Welt<br />
vollziehen. Man kann noch soviel über den Einsatz moderner Technologien<br />
philosophieren, von unserer Veranlagung her sind wir längst noch nicht fit für das<br />
Informationszeitalter.<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 21 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
Physische <strong>und</strong> virtuelle Dokumente<br />
• Der Dokumentbegriff orientierte sich bis zur Erfindung des Computers an<br />
einer physisch greifbaren, an ein Medium geb<strong>und</strong>ener Form:<br />
in sich geschlossen, authentisch, jederzeit lesbar<br />
• In der <strong>elektronische</strong>n Welt werden Dokumente nur durch „Bits & Bytes“<br />
repräsentiert.<br />
Sie sind nicht mehr physisch greifbar<br />
Betrachten wir einmal den ursprünglichen Dokument-Begriff. Bis zur Erfindung des<br />
Computers orientierte sich der Dokument-Begriff an einem Stück Papier, an einer<br />
physisch greifbaren Form, abgeschlossen, unterschrieben, ohne Hilfsmittel lesbar. In<br />
der <strong>elektronische</strong>n Welt ist ein Dokument nur noch ein Haufen von Bits <strong>und</strong> Bytes,<br />
die man ohne Software nicht erschließen kann; ein <strong>elektronische</strong>s Dokument, das<br />
man nicht mehr anfassen kann, wo man einen virtuellen Aktenordner nicht mehr<br />
überschlägig sichten, ein Dokument nicht mehr allein durch seine Farbe oder das<br />
Eselsohr auf einen Griff herausziehen kann, wo man nicht schon beim Aufklappen<br />
die gelben Durchschläge als Lieferscheine erkennt. Deshalb verlangen wir<br />
beispielsweise von der <strong>elektronische</strong>n Welt wesentlich mehr als von herkömmlichen,<br />
an Papier orientierten Ablagesystemen. Unsere Unsicherheit mit der virtuellen,<br />
digitalen Welt führt zu Anforderungen, die wir so nie an ein Papierarchiv gestellt<br />
haben.<br />
Von binären Daten zum Media Asset<br />
• Daten<br />
• Information<br />
• Dokument<br />
• Content<br />
• Media Asset<br />
Wenden wir uns einmal den Begriffen zu, die in der Diskussion um die <strong>GDPdU</strong> eine<br />
Rolle spielen, dann haben wir dort zunächst den elementaren Begriff der Daten.<br />
Wenn Sie einen Informationswissenschaftler fragen, wird der Ihnen sagen, das<br />
Daten in einem <strong>elektronische</strong>n System erst einmal gr<strong>und</strong>sätzlich alles sind. Binäre<br />
Daten, mit denen ein Bild als Anhäufung von Bildpunkten dargestellt wird, aber auch<br />
interpretierbare Daten, zum Beispiel als Zeichensatz mit Buchstaben <strong>und</strong> Ziffern. Der<br />
wissenschaftliche Datenbegriff hilft uns bei der <strong>GDPdU</strong> nicht weiter.<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 22 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
Daten<br />
Daten werden in <strong>elektronische</strong>n Systemen durch binäre Werte abgebildet. Sie<br />
können<br />
• als unstrukturierte, binäre Objekte, z.B. Bilder aufgebaut durch einzelne<br />
Bildpunkte, oder<br />
• als Zeichensatz mit einer durch eine Syntax definierten Form, z.B. ein<br />
Buchstabe oder Ziffer,<br />
vorliegen.<br />
Wenn die <strong>GDPdU</strong> von auswertbaren, maschinell auswertbaren Daten spricht, dann<br />
meint sie eigentlich Informationen. Informationen sind die nächst höhere Aggregatebene<br />
von Daten. Aus einzelnen Buchstaben werden Worte, aus Ziffern ein Betrag.<br />
Informationen sind Daten, die in einem Zusammenhang eine Bedeutung haben, ein<br />
Lieferantenname, eine Rechnungsnummer, ein Zahlungseingang als EURO-Betrag.<br />
Solche Daten, Informationen, möchte eigentlich die Finanzbehörde mit der IDEA-<br />
Software, die heute morgen vorgestellt worden ist, auswerten.<br />
Information<br />
Informationen sind in einem Kontext stehende Daten. Informationen können<br />
strukturiert, schwach strukturiert oder unstrukturiert sein:<br />
• Ein Datensatz ist strukturiert <strong>und</strong> kann automatisch ausgewertet werden.<br />
• Eine Textdatei ist häufig nur schwach strukturiert.<br />
• Ein Bild ist unstrukturiert <strong>und</strong> kann nicht ohne weiteres ausgewertet<br />
werden.<br />
Bewegen wir uns nun noch eine Ebene höher kommen wir von den Informationen<br />
zum Dokument. Ein <strong>elektronische</strong>s Dokument ist eine Ansammlung von<br />
Informationen zu einem gegebenen Zeitpunkt, einen definierten Sachverhalt im<br />
Kontext beschreibend, sie authentisch, konsistent, identifizierbar <strong>und</strong> geschlossen<br />
zusammenhaltend. Aus der Sicht der <strong>GDPdU</strong> sind dies nicht mehr maschinell<br />
auswertbare Daten. Ein individueller Geschäftsbrief entzieht sich mit seiner Struktur,<br />
seinem Format, einer maschinellen Auswertung, die Inhalte lassen sich nicht<br />
summieren, schichten, selektieren oder sortieren. An dieser Stelle müssen wir einen<br />
Unterschied machen, zwischen maschinell auswertbaren Daten in definierten<br />
Strukturen, <strong>und</strong> den Belegen, Dokumenten in schwach oder unstrukturierter Form.<br />
Maschinelle Auswertung von Daten <strong>und</strong> der Zugriff über Datenbanken auf<br />
zugehörige Belege sind zwei unterschiedliche Formen des Zugriffs, die in der<br />
<strong>GDPdU</strong> leider nicht auseinander gehalten worden sind.<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 23 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
Dokument<br />
Elektronische Dokumente sind in der Regel schwach strukturiert oder unstrukturiert.<br />
Sie sind Informationen, die zu einem gegebenen Zeitpunkt zusammenhängend,<br />
geschlossen <strong>und</strong> authentisch sind. Sie liegen in einem <strong>elektronische</strong>n<br />
System als Datei, Bestandteil einer Datei oder digitales Objekt vor.<br />
Die technologische Entwicklung schreitet weiter voran <strong>und</strong> besonders das Internet<br />
verändert den Dokument-Begriff. Man spricht modern von Content, Content<br />
Management, Web Content Management. Dokument <strong>und</strong> Content haben eine<br />
unterschiedliche Qualität, man kann die Begriffe nicht synonym verwenden. Bei<br />
Content wird der geschlossene Charakter des <strong>elektronische</strong>n Dokumentes wieder<br />
aufgelöst. Strukturinformationen, beschreibende Metadaten, Layouts werden<br />
getrennt vom eigentlichen Inhalt verwaltet, damit der Inhalt in unterschiedlichsten<br />
Formen, für unterschiedlichste Zwecke benutzt werden kann. Im Umfeld des Content<br />
Managements ist es manchmal schon sehr schwierig geworden, überhaupt<br />
festzustellen: was war denn das Original? Für welchen Zweck, für welche<br />
Repräsentation war diese Information einmal vorgesehen?<br />
Content<br />
Bei <strong>elektronische</strong>m Content erfolgt eine Auflösung des Dokumentes in beschreibende<br />
<strong>und</strong> strukturierende Daten sowie eine Inhaltskomponente, deren Gestalt<br />
durch die separate Struktur beschrieben ist. Die einzelnen Komponenten können<br />
unabhängig von einander verwaltet werden <strong>und</strong> unterschiedlich aufgebaut sein.<br />
Gehen wir noch einen Schritt weiter <strong>und</strong> werfen eine Blick auf den Begriff Media<br />
Asset. Der Begriff Media Asset steht für mediale <strong>elektronische</strong> Informationen wie<br />
beispielsweise ein digitales Video, eine <strong>elektronische</strong> Sprachaufzeichnung, für<br />
komplexe, mehrdimensionale Modelle von Bauwerken - was auch immer elektronisch<br />
abbildbar, speicherbar <strong>und</strong> verwaltbar ist. Media Assets entziehen sich in jedem Fall<br />
einer automatisierten Auswertung, wie Sie sie heute morgen mit TaxAudit gesehen<br />
haben. Die Kombination unterschiedlicher Formate von Informationen in immer<br />
komplexeren Strukturen macht das Problem der Aufbewahrung <strong>und</strong> Wiederverwendung<br />
nicht einfacher sondern zunehmend schwieriger.<br />
Wichtig für unsere weiteren Betrachtungen ist, das wir zumindest in Deutschland<br />
zumindest, mit dem Dokument-Begriff auch immer eine gewisse Rechtsqualität<br />
verbinden: wichtige Informationen, geeignet als Nachweis mit Beweiswert. Hiermit<br />
begeben wir uns für Dokumente jenseits der Auffassung der Finanzbehörden, wenn<br />
sie von der maschinellen Auswertung von Daten sprechen.<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 24 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
Das Dokument <strong>und</strong> seine rechtliche Bedeutung<br />
Mit dem Begriff des Dokuments ist sehr eng eine implizierte rechtliche Bedeutung<br />
verknüpft:<br />
• es dokumentiert eine Vereinbarung oder ein Geschäft,<br />
• es überliefert eine wahre, unverfälschte Information,<br />
• durch eine Unterschrift identifiziert es den Verfasser <strong>und</strong> authentifiziert den<br />
Inhalt,<br />
• es stellt einen Wert dar.<br />
Im angloamerikanischen Sprachgebrauch ist der Dokumentbegriff in <strong>elektronische</strong>n<br />
Systemen nicht mit dieser rechtlichen Bedeutung <strong>und</strong> Wichtigkeit verknüpft.<br />
Dort spricht man anstelle von Dokumenten von Records.<br />
Dokumente, die eine rechtliche oder geschäftliche Bedeutung haben, die vielleicht<br />
mit einer <strong>elektronische</strong>n Signatur versehen, wie wir später noch sehen werden, einen<br />
eindeutigen Rechtscharakter besitzen, sind etwas anderes als auswertbare Daten<br />
aus einer Buchhaltungssoftware. Denn heute kann ein <strong>elektronische</strong>s Dokument fast<br />
alles sein, was in einem <strong>elektronische</strong>n System verwaltet wird.<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 25 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
Der neue Dokument-Begriff<br />
Ein Dokument kann heute alles sein:<br />
• gescannte Faksimiles<br />
• E-Mails mit Attachment<br />
• Office-Dateien<br />
• Host-Output<br />
• Web-E-Business-Formulare<br />
• Transaktionen<br />
• dynamische HTML-Seiten<br />
• digitale Video- <strong>und</strong> Ton-Aufzeichnungen<br />
• dreidimensionale Vektorgebilde<br />
• Datensätze mit zugewiesener Struktur<br />
• elektronisch signierte Dateien<br />
• Container mit beliebigen digitalen Komponenten<br />
• etc., etc.<br />
Ein Dokument kann ein gescanntes Faksimile sein, eine E-Mail mit Attachements,<br />
ein Word-Dokument, das, was Ihre operativen Systeme als Output ausgeben wie<br />
Rechnungen an K<strong>und</strong>en, ein Web-E-Business-Formular. Wenn Sie beispielsweise<br />
über Webseiten <strong>elektronische</strong>n Handel betreiben, Angebote einstellen, Geschäfte<br />
abwickeln, dann entstehen auch dort kaufmännische <strong>und</strong> steuerrelevante Daten. Um<br />
diesen Bereich der <strong>Archivierung</strong> kümmern sich bisher die wenigsten Webshopbetreiber.<br />
Es gibt heute also eine Vielzahl unterschiedlichster Ausprägungen von<br />
Dokumenten, die archivierungspflichtig oder archivierungswürdig sein können.<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 26 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
Das Dokument <strong>und</strong> seine rechtliche Bedeutung<br />
Mit dem Begriff des Dokuments ist sehr eng eine implizierte rechtliche Bedeutung<br />
verknüpft:<br />
• es dokumentiert eine Vereinbarung oder ein Geschäft,<br />
• es überliefert eine wahre, unverfälschte Information,<br />
• durch eine Unterschrift identifiziert es den Verfasser <strong>und</strong> authentifiziert den<br />
Inhalt,<br />
• es stellt einen Wert dar.<br />
Im angloamerikanischen Sprachgebrauch ist der Dokumentbegriff in <strong>elektronische</strong>n<br />
Systemen nicht mit dieser rechtlichen Bedeutung <strong>und</strong> Wichtigkeit verknüpft.<br />
Dort spricht man von Records anstelle von Dokumenten.<br />
Ähnlich heterogen sieht die Begriffswelt im Umfeld der <strong>elektronische</strong>n <strong>Archivierung</strong><br />
aus. Die Begriffe Archiv <strong>und</strong> <strong>Archivierung</strong> sind vielfältig interpretierbar. Sie haben<br />
vielleicht heute das Problem, sich Gedanken darüber zu machen, wie Sie<br />
auswertbare Daten aufbewahren, damit ein Steuerprüfer in vielleicht in fünf, sieben<br />
oder zehn Jahren mit ihnen etwas anfangen kann; in Software- <strong>und</strong> Hardwareumgebungen,<br />
die wir heute noch nicht einmal kennen. Wenn Sie aber beispielsweise<br />
mit einem Absolventen einer Archivhochschule wie Marburg sprechen, oder einen<br />
Archivar in einem historischen Archiv befragen, da werden Sie einfach ausgelacht,<br />
wenn Sie bei 10 Jahren schon von Langzeitarchivierung sprechen. Ganz abgesehen<br />
davon, dass der Begriff Langzeitarchivierung ein „weißer Schimmel“ ist. In den<br />
klassischen Archiven heißt <strong>Archivierung</strong> 50, 100, 200 oder gar 300 Jahre Aufbewahrung.<br />
In den <strong>GDPdU</strong> kommt der Begriff <strong>Archivierung</strong> mehrfach vor, wird allerdings mit sehr<br />
unterschiedlicher Bedeutung benutzt. Meinten die Verfasser der <strong>GDPdU</strong> wirklich<br />
<strong>Archivierung</strong>, so wie es die Archivare verstehen oder etwa so wie es die Hersteller<br />
von <strong>elektronische</strong>n Archivsystemen definieren? Meinten sie mit <strong>Archivierung</strong><br />
vielleicht nur das Auslagern von Daten aus dem Ursprungssystem? Die Begrifflichkeit<br />
der <strong>GDPdU</strong> ist hier alles andere als klar. Es fehlt hier an eindeutigen<br />
Definitionen, nicht nur beim Begriff <strong>Archivierung</strong>.<br />
Der Begriff <strong>elektronische</strong> <strong>Archivierung</strong> taucht im deutschen Gesetzwesen überhaupt<br />
nur in zwei Dokumenten auf, die hier von Relevanz sind, in den <strong>GDPdU</strong> <strong>und</strong> in den<br />
GoBS. Wenn Sie einmal eine Volltextsuche über alle B<strong>und</strong>esgesetzestexte starten,<br />
dann finden Sie diesen Begriff nicht. Dort wird in vergleichbarem Zusammenhang<br />
immer nur von Datensicherung oder Aufbewahrung gesprochen.<br />
Wenn wir im Umfeld der handelsrechtlich <strong>und</strong> steuerrechtlich relevanten Daten <strong>und</strong><br />
Dokumente von <strong>Archivierung</strong> sprechen, ist damit die Aufbewahrung <strong>und</strong> Erschließ-<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 27 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
barkeit der gespeicherten Informationen über einen Zeitraum von mindestens 10<br />
Jahren gemeint.<br />
Elektronische <strong>Archivierung</strong><br />
• Gr<strong>und</strong>sätzlich dient die <strong>elektronische</strong> <strong>Archivierung</strong> zur langfristigen,<br />
sicheren, authentischen <strong>und</strong> unverfälschbaren <strong>elektronische</strong>n Speicherung<br />
von Daten, Informationen, Dokumenten, Content <strong>und</strong> Media Assets.<br />
• Unter „<strong>elektronische</strong>r Langzeitarchivierung“ versteht man die Bereitstellung<br />
von beliebigen Informationen über einen Zeitraum von mindestens<br />
10 Jahren. Dies entspricht der Aufbewahrungsfrist von Handelsbriefen.<br />
• Unter „revisionssicherer <strong>elektronische</strong>r <strong>Archivierung</strong>“ versteht man<br />
Archivsysteme, die nach den Vorgaben von §§ 239, 257 HGB, §§ 146, 147<br />
AO <strong>und</strong> GoBS beliebige Informationen sicher, unverändert, vollständig,<br />
ordnungsgemäß, verlustfrei reproduzierbar <strong>und</strong> datenbankgestützt<br />
recherchierbar verwalten.<br />
Die <strong>elektronische</strong> Langzeitarchivierung in dem Umfeld, wo wir uns hier bewegen,<br />
setzt voraus, dass die Information mindestens zehn Jahre aufbewahrt werden kann.<br />
Ein Begriff, der ebenfalls in diesem Umfeld angesiedelt ist, ist die revisionssichere<br />
<strong>elektronische</strong> <strong>Archivierung</strong>. Den Begriff Revisionssicherheit finden Sie allerdings<br />
auch in keinem der angesprochenen Gesetze <strong>und</strong> Verordnungen. Den Begriff hat<br />
sich vor ca. sieben, acht Jahren ein Herstellerverband ausgedacht, der VOI Verband<br />
für Organisationssysteme <strong>und</strong> Informationssysteme. Die Definition sollte helfen,<br />
nachvollziehbare Kriterien für <strong>elektronische</strong> Archivsysteme zu schaffen. Daher findet<br />
sich hier auch eine gute Definition für die fachlichen Anforderungen: ein<br />
revisionssicheres <strong>elektronische</strong>s Archiv muss die Anforderungen des HGB, der<br />
GoBS, der AO, heute könnte man noch ergänzen, der <strong>GDPdU</strong>, technisch <strong>und</strong><br />
funktional vollständig abbilden.<br />
Der Begriff Dokumentenmanagement kommt in der angesprochenen Gesetzgebung<br />
überhaupt nur ein einziges Mal vor: nämlich in den GoBS. Dort wird er auch gern<br />
überlesen, es steht dort gleich im ersten Absatz, dass die Anforderungen, die an<br />
kaufmännische Systeme wie eine Buchhaltung gestellt werden, gleichermaßen auch<br />
für Dokumentenmanagementsysteme zu gelten haben. Eigentlich hätte die<br />
Diskussion um die Aufbewahrung von kaufmännischen Daten in <strong>elektronische</strong>n<br />
Archiv- <strong>und</strong> Dokumentenmanagementsystemen eigentlich schon damals, 1995,<br />
beginnen müssen. Da sich die Steuerprüfer aber bisher nie um die Systeme beim<br />
Anwender so recht gekümmert haben, fiel das Thema GoBS beim Steuerpflichtigen<br />
häufig unter den Tisch. Die Steuerprüfer waren bisher mit Papier zufrieden, jetzt aber<br />
prüfen sie elektronisch, <strong>und</strong> dies wird auch manche Lücke der Erfüllung der GoBS<br />
beim Steuerpflichtigen offenbar werden lassen. Der Begriff Dokumentenmanagement<br />
wird aber in den GoBS nicht direkt definiert, er erklärt sich durch die beschriebene<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 28 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
Funktionalität, die auf Themen wie Scannen <strong>und</strong> originär <strong>elektronische</strong> Dokumente<br />
eingeht.<br />
Document Life-cycle Management<br />
Dokumentenmanagement im engeren Sinn dient zur Verwaltung von Dokumenten<br />
während ihres gesamten Lebenszyklus bis zur <strong>Archivierung</strong>.<br />
• Dies bezeichnet man heute auch als<br />
DLM Document Life-cycle Management.<br />
Mit DMS Dokumentenmanagementsystemen im weiteren Sinn bezeichnet man<br />
die gesamte Angebotspalette der Branche mit Scannen, Archivieren,<br />
Dokumentenmanagement, Workflow u.a.<br />
• Dieses umfassende Portfolio bezeichnet man heute auch als ECM<br />
Enterprise Content Management oder DRT Document Related<br />
Technologies.<br />
Die Begriffe Dokumentenmanagement <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong> ließen sich<br />
eigentlich gut von einander abgrenzen, würden nicht die Anbieter die Bezeichnung<br />
DMS Dokumentenmanagementsysteme als Branchenbezeichnung so übergreifend<br />
benutzen, dass sie auch die <strong>elektronische</strong> <strong>Archivierung</strong> einschließen. Betrachtet man<br />
die Begriffe Dokumentenmanagement <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong> unter dem<br />
Gesichtspunkt des Document Life-cycle Managements, der Verwaltung des<br />
gesamten Lebenszyklus von Dokumenten, so würde sich das Dokumentenmanagement<br />
im engeren Sinn um die Teil der Entstehung <strong>und</strong> Verwaltung kümmern,<br />
bis die Dokumente zur langfristigen Aufbewahrung in ein <strong>elektronische</strong>s Archivsystem<br />
überführt werden.<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 29 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
Document Life-cycle Management<br />
Die <strong>elektronische</strong> <strong>Archivierung</strong> hat dann die Aufgabe, langfristig stabil, statisch<br />
eingefroren Informationen zu bewahren. Betrachtet man den Lebenszyklus, wird man<br />
feststellen, dass für ein solches System fünf Komponenten benötigt werden:<br />
Erfassung, Verwaltung, Speicherung, Ausgabe <strong>und</strong> natürlich Nutzung. Bildet man<br />
nun auf diesen Lebenszyklus das Thema <strong>elektronische</strong> <strong>Archivierung</strong> ab, stellt man<br />
fest, dass es sich nur um einen kleinen Teilbereich des großen Umfeldes<br />
Dokumentenmanagement handelt, in dem es um die Bewahrung von Informationen<br />
geht, nicht um die Verarbeitung.<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 30 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
Der Dokumenten-Lebenszyklus <strong>und</strong> die <strong>Archivierung</strong><br />
Nutzung<br />
Erfassung Verwaltung Ausgabe<br />
Elektr.<br />
<strong>Archivierung</strong><br />
Speicherung<br />
Die rechtliche Situation zum DokumentenmanagementWenn<br />
wir uns nun mit der rechtlichen Situation in Umfeld <strong>Archivierung</strong> <strong>und</strong> Dokumentenmanagement<br />
beschäftigen, möchte ich eingangs einige Gr<strong>und</strong>satzpositionen<br />
festhalten: ich halte es für unbedingt notwendig, dass die Finanzbehörden die<br />
<strong>GDPdU</strong> herausgegeben haben. Dafür gibt es verschiedene Gründe.<br />
Erstens bewegen wir uns in einer Welt, wo immer mehr Information nur noch digital<br />
entsteht <strong>und</strong> auch nur noch digital bewertet werden kann. Schon aus Gründen der<br />
Steuergerechtigkeit, um jeden Steuerpflichtigen gleich behandeln zu können, war es<br />
notwendig die <strong>elektronische</strong> Welt endlich in die Realität der Steuerprüfung<br />
einzubeziehen.<br />
Zum Zweiten waren die <strong>GDPdU</strong> unumgänglich, denn das haben wir uns in nicht<br />
einfach so in Deutschland ausgedacht, wir sind sogar gemessen am internationalen<br />
Standard am Ende der Tabelle. Die <strong>elektronische</strong> Steuerprüfung ist im Ausland seit<br />
Jahren längst Usus.<br />
Drittens bin ich der Überzeugung, dass man die <strong>GDPdU</strong> nicht immer nur unter dem<br />
Blickwinkel „Zitronenpresse“ betrachten darf, dass jetzt die Finanzbehörden die<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 31 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
Steuerpflichtigen auspressen <strong>und</strong> ihnen auf die Finger klopfen wollen. Man kann den<br />
<strong>GDPdU</strong> auch etwas Positives abgewinnen: Sie zwingen Sie, sich einmal ernsthaft<br />
Gedanken über die langfristige Bewahrung, Sicherung <strong>und</strong> Nutzung des<br />
<strong>elektronische</strong>n Wissens in Ihrem Unternehmen zu machen.<br />
Die Spitze des Eisberges<br />
Die Diskussion um die <strong>Archivierung</strong> steuerrelevanter Daten <strong>und</strong> Dokumente ist<br />
nur die Spitze des Eisberges!<br />
Dokumente werden vermehrt elektronisch erstellt <strong>und</strong> sind nicht mehr für eine<br />
Präsentation in Papierform ausgelegt, z.B.<br />
• Dynamische Dokumente<br />
• Elektronisch signierte Dokumente<br />
• Automatisch erzeugte Massendrucke<br />
• Datensätze, die durch beschreibende Meta-Daten <strong>und</strong><br />
Formatinformationen erst zum Dokument werden<br />
Die rechtliche Gleichstellung von Papier – <strong>und</strong> <strong>elektronische</strong>n Dokumenten ist<br />
eine der wichtigsten Voraussetzungen für das Informationszeitalter.<br />
Letztlich muss man aber konstatieren, dass die Diskussion um die <strong>GDPdU</strong>, um die<br />
steuerrelevanten Daten, eigentlich nur die Spitze des Eisberges ist. Es wird deshalb<br />
über die <strong>GDPdU</strong> diskutiert, weil es um Ihr Geld <strong>und</strong> Einblick in Ihre<br />
Unternehmensdaten geht. Es gibt aber Bereiche, die viel wichtiger werden können<br />
als die paar steuerrelevanten Daten. Hintergr<strong>und</strong> ist, dass immer mehr Information<br />
elektronisch entsteht, die nicht mehr für eine physische Repräsentation ausgelegt ist.<br />
Alles, was Sie hier auf Ihren Tischen an Informationsmaterial liegen haben, ist<br />
ursprünglich einmal elektronisch entstanden, „digital born“ wie der Amerikaner sagt.<br />
Wenn es denn keine Papieroriginale mehr gibt, als nur elektronisch originär entsteht,<br />
dass muss man auch auf die <strong>elektronische</strong>n Informationen durchgreifen können.<br />
Deshalb war die Gleichstellung von Papierdokumenten <strong>und</strong> <strong>elektronische</strong>n Dokumenten<br />
auch die entscheidende Gr<strong>und</strong>lage, um wirklich ernsthaft einmal über E-<br />
Commerce, E-Business <strong>und</strong> all diese anderen schönen Modetrends zu diskutieren.<br />
Ohne diese rechtliche Gleichstellung gibt es das vielzitierte Informationszeitalter<br />
nicht.<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 32 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
HGB Handelsgesetzbuch<br />
Die §§ 239, 257 HGB regeln die gr<strong>und</strong>sätzlichen Voraussetzungen für die<br />
<strong>Archivierung</strong> von kaufmännischen Dokumenten – unabhängig davon, ob in Papier<br />
oder in <strong>elektronische</strong>r Form<br />
In Bezug auf die rechtliche Gleichstellung hat sich einiges im vergangenen Jahr<br />
getan. Der Ursprung der <strong>GDPdU</strong> ist auf Änderungen des HGB zurückzuführen. Das<br />
HGB hat aber noch eine andere, sehr wichtige Stelle, wo nämlich im § 239 HGB<br />
definiert wird, was denn eigentlich die Kriterien für eine revisionssichere <strong>elektronische</strong><br />
<strong>Archivierung</strong> sind. Dort lassen sich all die Begriffe wie Ordnungsmäßigkeit,<br />
Vollständigkeit, Sicherheit des Gesamtverfahrens, Schutz, Nutzung nur durch<br />
Berechtigte, Dokumentation des Verfahrens, Nachvollziehbarkeit, Prüfbarkeit etc.<br />
ableiten.<br />
Gr<strong>und</strong>sätzliche Anforderungen an die revisionssichere <strong>Archivierung</strong><br />
nach § 239 HGB<br />
• Ordnungsmäßigkeit<br />
• Vollständigkeit<br />
• Sicherheit des Gesamtverfahrens<br />
• Schutz vor Veränderung <strong>und</strong> Verfälschung<br />
• Sicherung vor Verlust<br />
• Nutzung nur durch Berechtigte<br />
• Einhaltung der Aufbewahrungsfristen<br />
• Dokumentation des Verfahrens<br />
• Nachvollziehbarkeit<br />
• Prüfbarkeit<br />
Ein zweiter wichtiger Gesetzestext ist die AO, die Abgabenordnung, zuletzt geändert<br />
im Rahmen des Steuersenkungsgesetzes. Die <strong>GDPdU</strong> lassen sich auf die §§ 146<br />
<strong>und</strong> 147 zurückführen – dort ist das Recht auf die Einsichtnahme in Ihre Daten<br />
rechtswirksam verankert.<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 33 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
Abgabenordnung AO<br />
In der Abgabenordnung §§ 146, 147, 200 AO sind die Anforderungen an die<br />
Aufbewahrung <strong>und</strong> die Prüfung von kaufmännischen Dokumenten aufgeführt.<br />
Die Änderungen in der AO führten zur digitalen Steuerprüfung, die in den <strong>GDPdU</strong><br />
beschrieben ist:<br />
• Während der Aufbewahrungsfristen müssen Daten jederzeit verfügbar<br />
sein, unverzüglich lesbar gemacht werden <strong>und</strong> maschinell ausgewertet<br />
werden können<br />
• Sind Daten mit einem DV-System erzeugt worden, hat die Finanzbehörde<br />
das Recht, Einsicht zu nehmen <strong>und</strong> das System zur Prüfung zu nutzen<br />
• Daten müssen maschinell auswertbar sein <strong>und</strong> auf Anforderung auf<br />
Datenträgern zur Verfügung gestellt werden<br />
Für das Thema <strong>Archivierung</strong> sind für das Thema <strong>elektronische</strong> <strong>Archivierung</strong> sind die<br />
GoBS, Gr<strong>und</strong>sätze ordnungsgemäßer DV-gestützter Buchführungssysteme, wesentlich<br />
wichtiger als die <strong>GDPdU</strong>. Die GoBS gibt es schon seit Jahren <strong>und</strong> so richtig<br />
scheint sich niemand um die Anforderungen dieser Gr<strong>und</strong>sätze gekümmert zu<br />
haben. Eigentlich sollte jeder von Ihnen eine GoBS-konforme Buchhaltung haben.<br />
Wie Sie heute morgen von den Kollegen von Ernest & Young in ihrem Praxisbericht<br />
gehört haben, scheint das nicht überall immer so der Fall zu sein. Probleme mit der<br />
Einhaltung der GoBS werden jetzt erst offenbar, wo die Steuerprüfer nicht mehr auf<br />
Papier zurückgreifen, sondern direkt auf Daten in Ihren Systemen mit Z1 <strong>und</strong> Z3<br />
zugreifen. Die GoBS gewinnen daher jetzt erst richtig an Bedeutung.<br />
In den GoBS ist festgelegt, wie wird mit gescannten Dokumenten umgegangen, wie<br />
müssen originär <strong>elektronische</strong> Daten verarbeitet werden, wie muss ein internes<br />
Kontrollsystem implementiert sein, was ist eine Verfahrensdokumentation.<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 34 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
Gr<strong>und</strong>sätze ordnungsgemäßer DV-gestützter Buchführungssysteme GoBS<br />
Die GoBS besteht aus einem BMF-Schreiben <strong>und</strong> einer Ausarbeitung der AWV,<br />
die im B<strong>und</strong>essteuerblatt Teil 1 vom 14.12.1995 zusammen veröffentlicht wurden.<br />
Die Anforderungen gelten nicht nur für Buchführungssysteme sondern sind auch<br />
für Dokumenten-Management <strong>und</strong> <strong>elektronische</strong> Archivsysteme anzuwenden<br />
In der GoBS ist im Detail geregelt:<br />
• wie mit gescannten Dokumenten <strong>und</strong> originär <strong>elektronische</strong>n Daten<br />
umgegangen werden muss,<br />
• wie das IKS Interne Kontrollsystem beschaffen sein muss,<br />
• welche Anforderungen an die Sicherung <strong>und</strong> Bereitstellung von<br />
elektronisch gespeicherten kaufmännischen Informationen bestehen,<br />
• dass eine Verfahrensdokumentation zu erstellen <strong>und</strong> zu pflegen ist,<br />
• etc.<br />
Die <strong>GDPdU</strong> sagen hierzu nichts, sie beziehen sich allerdings mehrfach auf die<br />
GoBS. Allerdings gibt es auch einige Divergenzen zwischen den beiden<br />
Gr<strong>und</strong>sätzen, z.B. die behandelt von eingehenden Geschäftsbriefen mit<br />
steuerrelevanten Daten, die originär aufbewahrt werden müssen, <strong>und</strong> so im Zweifels<br />
nicht maschinell auswertbar vorliegen. Die GoBS regelt das Thema <strong>Archivierung</strong><br />
konkreter als dies die <strong>GDPdU</strong> tun. Die <strong>GDPdU</strong> regelt nur den Datenzugriff, die<br />
GoBS, enthalten die Vorgaben, wie mit aufbewahrungspflichtigen kaufmännischen<br />
Dokumenten in <strong>elektronische</strong>r Form umzugehen ist.<br />
GoBS <strong>und</strong> <strong>GDPdU</strong><br />
• Die GoBS sind von gr<strong>und</strong>legenderer Bedeutung für das Thema<br />
<strong>Archivierung</strong> als die <strong>GDPdU</strong>.<br />
• Die <strong>GDPdU</strong> regelt nur den Datenzugriff <strong>und</strong> die Datenträgerüberlassung,<br />
die GoBS enthalten dagegen die Vorgaben zur ordnungsgemäßen<br />
Aufbewahrung.<br />
• Die GoBS sind in der <strong>GDPdU</strong> als maßgebliches Dokument referenziert.<br />
Meines Erachtens gibt aber eine viel bedeutsamere Gesetzesänderung als hier diskutierten<br />
im Handels- <strong>und</strong> Steuerrecht: Die Änderung des Bürgerlichen Gesetzbuches<br />
in den §§ 126 <strong>und</strong> 127. Bisher galt immer nur die Schriftform für rechtliche<br />
relevante Dokumente, also Papier mit rechtlich bindenden manuellen Unterschriften,<br />
gegebenenfalls mit „Brief <strong>und</strong> Siegel“.<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 35 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
Bürgerliches Gesetzbuch BGB<br />
• Die Änderungen des BGB sind von gr<strong>und</strong>legender Natur für alle<br />
<strong>elektronische</strong>n Dokumente!<br />
• Die Einführung der <strong>elektronische</strong>n Form betrifft alle Rechtsbereiche <strong>und</strong><br />
zog eine Vielzahl von Gesetzesänderungen <strong>und</strong> Änderungen von<br />
Formvorschriften nach sich.<br />
Im BGB war bisher allgemeingültig die Schriftform festgelegt. Durch die Änderung<br />
des BGB wurde jetzt die <strong>elektronische</strong> Form eingeführt. Dies ist der entscheidende<br />
Punkt, wo sich der Rechtscharakter <strong>elektronische</strong>r Dokumente festmacht.<br />
Gesetz zur Anpassung der Formvor-schriften des Privatrechts <strong>und</strong> anderer<br />
Vorschriften an den modernen Rechtsgeschäftsverkehr<br />
Durch das „Gesetz zur Anpassung der Formvorschriften des Privatrechts <strong>und</strong><br />
anderer Vorschriften an den modernen Rechtsgeschäftsverkehr“ vom 3.7.2001<br />
werden in den §§ 126, 127 BGB <strong>elektronische</strong> Dokumente rechtlich verankert:<br />
• Die schriftliche Form kann nach § 126 (3) BGB durch die <strong>elektronische</strong><br />
Form ersetzt werden<br />
• In § 126a BGB ist die qualifizierte <strong>elektronische</strong> Signatur vorgesehen, die<br />
verwendet werden muss, um eine Gleichstellung von Schriftform <strong>und</strong><br />
<strong>elektronische</strong>r Form zu erreichen.<br />
• In § 127b BGB wird auch die vereinbarte Form für die Verwendung<br />
<strong>elektronische</strong>r Dokumente <strong>und</strong> Übertragungsformen geöffnet.<br />
Durch die Änderung des BGB wurde die <strong>elektronische</strong> Signatur flächendeckend<br />
verankert. Elektronische Dokumente mit qualifizierter Signatur haben nunmehr in fast<br />
allen Anwendungsfällen den gleichen Rechtscharakter wie ein Papierdokument. Die<br />
Änderungen des BGB sind inzwischen in über h<strong>und</strong>ert Paragraphen anderer<br />
Gesetze <strong>und</strong> Verwaltungsverordnungen nachgezogen. Dies ist ein wichtiger<br />
Meilenstein, auch wenn viele der Gesetzesänderungen sich darauf beziehen, in<br />
welchen Fällen <strong>und</strong> für welche Dokumente die <strong>elektronische</strong> Form nicht gilt. Dies<br />
sind aber inzwischen wohldefinierte Ausnahmen von der gr<strong>und</strong>sätzlichen Regel der<br />
Akzeptanz der <strong>elektronische</strong>n Form. Elektronische Dokumente haben also unter<br />
definierten Bedingungen den gleichen Rechtscharakter wie Papierdokumente. Dies<br />
führt so auch zu einem der Problemfelder der <strong>GDPdU</strong>, warum der Steuerprüfer auch<br />
Einblick in Ihre E-Mails haben möchte. Sie können heute Geschäftskorrespondenz<br />
einschließlich von Vorgängen, die zu steuerrelevanten Daten führen können, per E-<br />
Mail abwickeln. Daher muss man sich auch unter dem Gesichtspunkt der Änderung<br />
des BGB mit dem Thema <strong>GDPdU</strong> im Unternehmen auseinandersetzen <strong>und</strong> klare<br />
Regelungen für den <strong>elektronische</strong>n Geschäftsverkehr treffen.<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 36 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
Elektronisch signierte Dokumente<br />
• Durch die Verwendung der <strong>elektronische</strong>n Signatur entsteht aus einer<br />
Datei ein Dokument das einem manuell unterzeichneten Papierdokument<br />
im Prinzip gleichwertig ist.<br />
• Die <strong>elektronische</strong> Signatur sichert vorrangig die Unverändertheit der<br />
Nachricht <strong>und</strong> die Authentizität des Unterzeichers.<br />
Die Elektronische Signatur ist im Prinzip ein Haufen von Bits <strong>und</strong> Bytes, der an ein<br />
Dokument angehängt wird <strong>und</strong> der nachweist, wer der Autor war, der Ihnen die<br />
Nachricht oder Das Dokumente zugesendet hat. Die Signatur ermöglich zusätzlich<br />
den Nachweis, dass die enthaltene Information nicht verändert worden ist.<br />
Elektronische Signatur nach Signaturgesetz<br />
Eine <strong>elektronische</strong> Signatur entspricht<br />
• „Daten in <strong>elektronische</strong>r Form, die anderen <strong>elektronische</strong>n Daten beigefügt<br />
oder logisch mit ihnen verknüpft sind <strong>und</strong> die zur Authentifizierung dienen“<br />
§2 SigG<br />
Elektronische Signatur: Funktionsweise beim Absender (1)<br />
Jjhkjqwfqnckqlef b pok poküf<br />
kefleqöükbökwreöplbkpowrigbewporgk<br />
gop4ggkpo45kgpo45gkpogkpo45kg<br />
gio54go5gpoipoi4tgpo4ipo45igpogi<br />
opiopi poi43po ip o4it p4p ip ipo4i p<br />
o4ipoi4poti5pot4potiiipo<br />
itpo4tpo5tpo45opi op4i5 poipo44uitzr<br />
iop3u4i6upoupo io<br />
43otip342top34 3<br />
3<br />
46t3434t432pt u34oiuio3t4<br />
4t432tpoiuopu e35porpof<br />
Jjhkjqwfqnckqlef b pok poküf<br />
kefleqöükbökwreöplbkpowrigbewporgk<br />
gop4ggkpo45kgpo45gkpogkpo45kg<br />
gio54go5gpoipoi4tgpo4ipo45igpogi<br />
opiopi poi43po ip o4it p4p ip ipo4i p<br />
o4ipoi4poti5pot4potiiipo<br />
itpo4tpo5tpo45opi op4i5 poipo44uitzr<br />
iop3u4i6upoupo io<br />
43otip342top34 3<br />
3<br />
46t3434t432pt u34oiuio3t4<br />
4t432tpoiuopu e35porpof<br />
AB15Gf7889436<br />
Prüfsumme<br />
Dokument<br />
Inhalt<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 37 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
Elektronische Signatur: Funktionsweise beim Absender (2)<br />
AB15Gf7889436<br />
Prüfsumme<br />
Signatur<br />
privater Schlüssel<br />
Jjhkjqwfqnckqlef b pok poküf<br />
kefleqöükbökwreöplbkpowrigbewporgk<br />
gop4ggkpo45kgpo45gkpogkpo45kg<br />
gio54go5gpoipoi4tgpo4ipo45igpogi<br />
opiopi poi43po ip o4it p4p ip ipo4i p<br />
o4ipoi4poti5pot4potiiipo<br />
itpo4tpo5tpo45opi op4i5 poipo44uitzr<br />
iop3u4i6upoupo io<br />
43otip342top34 3<br />
3<br />
46t3434t432pt u34oiuio3t4<br />
4t432tpoiuopu e35porpof<br />
-----------------------------------------------------<br />
XXXXXXXXXXXX<br />
-----------------------------------------------------<br />
Elektronischer Versand<br />
Elektronische Signatur: Funktionsweise beim Empfänger<br />
Jjhkjqwfqnckqlef b pok poküf<br />
kefleqöükbökwreöplbkpowrigbewporgk<br />
gop4ggkpo45kgpo45gkpogkpo45kg<br />
gio54go5gpoipoi4tgpo4ipo45igpogi<br />
opiopi poi43po ip o4it p4p ip ipo4i p<br />
o4ipoi4poti5pot4potiiipo<br />
itpo4tpo5tpo45opi op4i5 poipo44uitzr<br />
iop3u4i6upoupo io<br />
43otip342top34 3<br />
3<br />
46t3434t432pt u34oiuio3t4<br />
4t432tpoiuopu e35porpof<br />
-----------------------------------------------------<br />
XXXXXXXXXXXX<br />
-----------------------------------------------------<br />
Entschlüsselung der Prüfsumme<br />
Vom Trustcenter:<br />
• Öffentlicher Schlüssel<br />
• Zertifikat (Authentizität)<br />
-----------------------------------------------------<br />
XXXXXXXXXXXX<br />
AB15Gf7889436<br />
-----------------------------------------------------<br />
Prüfsumme<br />
Jjhkjqwfqnckqlef b pok poküf<br />
kefleqöükbökwreöplbkpowrigbewporgk<br />
gop4ggkpo45kgpo45gkpogkpo45kg<br />
gio54go5gpoipoi4tgpo4ipo45igpogi<br />
opiopi poi43po ip o4it p4p ip ipo4i p<br />
o4ipoi4poti5pot4potiiipo<br />
itpo4tpo5tpo45opi op4i5 poipo44uitzr<br />
iop3u4i6upoupo io<br />
43otip342top34 3<br />
3<br />
46t3434t432pt u34oiuio3t4<br />
4t432tpoiuopu e35porpof<br />
Inhalt<br />
AB15Gf7889436<br />
Prüfsumme<br />
Integrität<br />
In Deutschland hatten wir schon sehr früh ein Signaturgesetz. Wir waren eine der<br />
ersten Nationen in Europa, die sich mit dem Thema auseinandergesetzt hat. Durch<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 38 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
die Harmonisierung auf europäischer Ebene wurde jedoch die erste Version unseres<br />
Signaturgesetzes überrollt.<br />
Das neue Signaturgesetz auf Basis der europäischen Richtlinie<br />
Die Gr<strong>und</strong>lage des aktuellen Signaturgesetzes ist die RLES Europäische<br />
Richtlinie für <strong>elektronische</strong> Signaturen.<br />
Es gibt drei Formen mit unterschiedlicher Qualität der <strong>elektronische</strong>n Signatur:<br />
• Einfache <strong>elektronische</strong> Signaturen<br />
• Fortgeschrittene <strong>elektronische</strong> Signaturen<br />
• Qualifizierte <strong>elektronische</strong> Signaturen<br />
In Deutschland gilt im offiziellen Rechtsverkehr die qualifizierte <strong>elektronische</strong><br />
Signatur, die zu dem bis vor kurzem eine Anbieterakkreditierung aufweisen<br />
musste.<br />
Elektronisch signierte Dokumente existieren rechtskräftig nur in <strong>elektronische</strong>r<br />
Form <strong>und</strong> sind daher elektronisch zu speichern.<br />
Die europäische Richtlinie für <strong>elektronische</strong> Signaturen sieht drei verschiedene<br />
Typen mit unterschiedlicher Qualität vor: einfache, fortgeschrittene <strong>und</strong> qualifizierte<br />
Signatur. So galt beispielsweise in Irland eine Zeitlang einfach das Anfügen Ihres<br />
Namens, Ihrer Position <strong>und</strong> Ihrer Firmenadresse im Fußtext einer E-Mail als einfache<br />
<strong>elektronische</strong>, aber rechtskräftige Signatur. In Deutschland haben wir immer etwas<br />
verschärfter betrachtet <strong>und</strong> bereits im ersten Signaturgesetz auf die qualifizierte<br />
Signatur mit Chipkarte gesetzt. Wir haben mit der qualifizierten Signatur mit<br />
Anbieterakkreditierung sogar noch eine Stufe raufgesattelt.<br />
Die qualifizierte <strong>elektronische</strong> Signatur mit Anbieterakkreditierung<br />
• Bereitstellung der PKI durch ein Trustcenter, das sich dem Verfahren der<br />
freiwilligen Akkreditierung unterzogen hat.<br />
• Zertifikatanbieter weisen vor Aufnahme des Betriebs die Einhaltung der<br />
Vorgaben des Gesetzes <strong>und</strong> der Signaturverordnung nach.<br />
• Durch die Akkreditierung als Gütezeichen wird der Nachweis der<br />
umfassend geprüften Sicherheit erbracht.<br />
• Die Regulierungsbehörde RegTP sichert die Rechtskraft <strong>und</strong> die<br />
Verfügbarkeit qualifizierter <strong>elektronische</strong>r Signaturen.<br />
Die Regulierungsbehörde RegTP hatte sich für diese geprüften, akkreditierten<br />
Anbieter sogar verpflichtet, den Nachweis der Gültigkeit eines Signaturzertifikates<br />
sogar für 30 Jahre sicherzustellen. Nur als sich wider Erwarten der erste große<br />
Signaturanbieter zurückziehen wollte, da mussten auch die Kollegen in der RegTP<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 39 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
erkennen, dass die langfristige Speicherung von Dokumenten mit <strong>elektronische</strong>r<br />
Signatur, die Aufrechterhaltung der Beweiskraft über die nur dreijährige Gültigkeit<br />
eines Zertifikates, nicht so einfach ist. Dennoch ist durch die Gesetzeslage jetzt die<br />
qualifizierte <strong>elektronische</strong> Signatur festgelegt, trotz aller Probleme, die es mit<br />
personengeb<strong>und</strong>enen Signaturen gibt. Nur ein Beispiel, das Zertifikat eines<br />
<strong>elektronische</strong>n Geschäftsbriefes mit steuerrelevanten Daten lebt etwa drei Jahre, der<br />
Steuerprüfer will aber vielleicht in 10 Jahren ein gültiges Dokument aus einem Archiv<br />
in Augenschein nehmen. Die technischen Auswirkungen wurden vom Gesetzgeber<br />
hier nur unzureichend erkannt.<br />
Man muss aber deutlich sagen, der Gesetzgeber darf sich auch gar nicht auf eine<br />
technische Ebene hinab begeben. Denn je mehr technische Vorgaben in Gesetze<br />
oder Verordnungen hineindefiniert werden, des do schneller veralten Gesetze <strong>und</strong><br />
Verordnungen. Gesetzliche Regelungen müssen allgemeingültig verfasst werden,<br />
notwendige Verfahren, fachliche Vorgaben <strong>und</strong> Nachweiskriterien beschreiben, aber<br />
sich nie auf die Ebene der „Bits & Bytes“ herunterbegeben. Technik ändert sich<br />
schnell <strong>und</strong> Aussagen zu bestimmten Technologien benachteiligen unter Umständen<br />
andere am Markt befindliche, ebenso geeignete Lösungen. Gesetze müssen auf eine<br />
langfristige Stabilität ausgelegt werden <strong>und</strong> nicht jeden aktuellen technischen „Hype“<br />
mitmachen.<br />
Zurück zur <strong>elektronische</strong>n Signatur: In Hinblick auf die <strong>GDPdU</strong> ist auch die qualifizierte<br />
<strong>elektronische</strong> Signatur relevant. Ohne direkten Bezug auf den eigentlichen<br />
Inhalt der <strong>GDPdU</strong>, die Prüfung steuerrelevanter Daten, findet sich ein Kapitel, das<br />
den Vorsteuerabzug mit <strong>elektronische</strong>n Belegen regelt. Hier können zukünftig <strong>elektronische</strong><br />
Originale beim Finanzamt eingereicht werden, wenn sie denn mit einer<br />
qualifizierten <strong>elektronische</strong>n Signatur gezeichnet sind.<br />
Wichtig für Sie ist, elektronisch signierte Dokumente existieren rechtskräftig nur<br />
<strong>elektronische</strong>r Form, <strong>und</strong> können daher nur elektronisch aufbewahrt werden.<br />
<strong>Archivierung</strong> elektronisch signierter Dokumente<br />
Elektronisch signierte Dokumente existieren rechtskräftig nur in <strong>elektronische</strong>r<br />
Form <strong>und</strong> sind daher elektronisch sicher zu speichern.<br />
Die <strong>elektronische</strong> Signatur hat auch ihren Niederschlag in der ZPO gef<strong>und</strong>en.<br />
Bisher wurde der § 286 von machen Referenten als das „Damoklesschwert über den<br />
Köpfen der <strong>elektronische</strong>n Archive“ postuliert, als Abschreckung, als Rechtsrisiko,<br />
wichtige Dokumente doch nicht elektronisch zu archivieren. Dem muss man nunmehr<br />
§ 292a entgegenhalten. Elektronisch signierte Dokumente existieren nun mal als<br />
Original nur in <strong>elektronische</strong>r Form. Das Rechtsrisiko verringerte sich auch dadurch,<br />
dass die Gerichte selbst in den <strong>elektronische</strong>n Rechtsverkehr einsteigen, so z.B. in<br />
meiner Heimatstadt Hamburg. Die ZPO ist kein Gr<strong>und</strong> mehr, Dokumente nicht<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 40 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
elektronisch zu archivieren. Der Beweiswert der archivierten Dokumente kann<br />
ausreichend abgesichert werden.<br />
Zivilprozessordnung ZPO<br />
• Nach § 286 ZPO unterliegen <strong>elektronische</strong> Dokumente der freien<br />
Beweiswürdigung.<br />
• Durch den § 292a ZPO wird jedoch eine in <strong>elektronische</strong>r Form<br />
vorliegende Willenserklärung (entsprechend § 126a BGB) gilt als<br />
sogenannter Beweis des ersten Anscheins anerkannt.<br />
• Dies gilt nur dann nicht, wenn aufgr<strong>und</strong> von Tatsachen ernstliche Zweifel<br />
daran bestehen, dass die Erklärung mit dem Willen des<br />
Signaturschlüsselinhabers abgegeben wurde.<br />
• Das Prozessrisiko wird durch die <strong>elektronische</strong> Unterschrift reduziert.<br />
• Erweiterung der bisherigen Beweisgr<strong>und</strong>sätze: Beim Bestreiten der<br />
Echtheit einer Unterschrift muss ein voller Beweis erbracht werden.<br />
Es gibt eine Vielzahl weiterer Gesetze <strong>und</strong> Verordnungen, die Auswirkungen auf die<br />
<strong>elektronische</strong> <strong>Archivierung</strong> <strong>und</strong> das <strong>elektronische</strong> Dokumentenmanagement haben.<br />
Das EGG <strong>elektronische</strong> Geschäftsverkehrsgesetz, all die vielen Regelungen im<br />
Bereich der Telekommunikation, das geänderte Urheberrecht, <strong>und</strong> so weiter. Wir<br />
können Sie hier in meiner beschränkten Redezeit nicht im Detail behandeln. Wenn<br />
Sie aber wissen wollen, was zukünftig in diesem Umfeld passieren wird, dann lohnt<br />
sich immer ein Blick auf die europäische Gesetzgebung <strong>und</strong> laufende Initiativen.<br />
Auch wenn sich die europäischen Gesetze als Richtlinien „tarnen“, sie müssen in<br />
nationales Recht umgesetzt werden <strong>und</strong> kommen so mit etwas Verspätung auch bei<br />
Ihnen an.<br />
Die europäische Dimension: Weitere Gesetze <strong>und</strong> Verordnungen<br />
• Besonders die europäische Gesetzgebung im Bereich des E-Commerce,<br />
der <strong>elektronische</strong>n Signatur <strong>und</strong> des Urheberrechts führt zu Änderungen an<br />
Gesetzen <strong>und</strong> Verordnungen zum Thema <strong>elektronische</strong> Dokumente in<br />
allen nationalen Gesetzgebungen.<br />
• In Deutschland wurden im Zuge der Umsetzung der europäischen<br />
Richtlinien zahlreiche Gesetze <strong>und</strong> Verordnungen geändert oder neu<br />
erlassen:<br />
• BDSG, EGG, SGB, SigG, SigV, TDDSG, TDG, VwVfG (mit zahlreichen<br />
Folgeänderungen), u.v.a.<br />
Wichtige, bereits erlassene europäische Richtlinien, die auch Auswirkungen auf die<br />
<strong>GDPdU</strong> hatten, sind die E-Commerce-Richtlinie, die Richtlinie zum Urheberrecht, die<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 41 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
Datenschutzrichtlinie, die Richtlinie zur <strong>elektronische</strong>n Signatur usw. in Brüssel sind<br />
weitere Initiativen in Vorbereitung, die auch die Themen <strong>Archivierung</strong> <strong>und</strong> Steuerrecht<br />
massiv beeinflussen werden. So wird z.B. in Kürze auch ein Ministerratsbeschluss<br />
erwartet, der die Thematik der <strong>Archivierung</strong> <strong>und</strong> der Zugänglichmachung<br />
der öffentlichen Archive auf höchster Ebene anspricht.<br />
Die Anforderungen an eine revisionssichere <strong>Archivierung</strong><br />
Was sind denn nun die Anforderungen an eine revisionssichere <strong>elektronische</strong><br />
<strong>Archivierung</strong>?<br />
Der Verband der Anbieter dieser Technologien, der VOI, Verband Organisationssysteme<br />
<strong>und</strong> Informationssysteme, hat vor längerer Zeit schon eine sehr interessante<br />
Aufstellung herausgegeben, wie ein solches System zu definieren ist. Es handelt sich<br />
um die bekannten 10 Merksätze des VOI.<br />
Auf den ersten Blick klingen die Merksätze banal, sie haben es aber in sich. Jedes<br />
Dokument muss unveränderbar archiviert werden, damit man den Nachweis hat,<br />
dass es sich wirklich um ein authentisches Original handelt.<br />
Eine Forderung wie, es darf kein Dokument auf dem Weg ins Archiv oder im Archiv<br />
selbst verloren gehen, ist deshalb wichtig, weil zwischen Entstehung <strong>und</strong> endgültiger<br />
<strong>Archivierung</strong> ein längerer Zeitraum liegen kann <strong>und</strong> mehrere unterschiedliche<br />
Systeme am Prozess der Übertragung in das Archiv beteiligt sind.<br />
Natürlich gilt, jedes Dokument muss mit geeigneten Retrievaltechniken wieder<br />
gef<strong>und</strong>en werden – wofür würden wir sonst die Information speichern? Wenn Sie<br />
H<strong>und</strong>erttausend steuerrelevante Datensätze „quer Beet“ durch ein File-System<br />
verteilen, hilft Ihnen das beim Wiederfinden nicht. Hierfür werden Datenbanken<br />
benötigt.<br />
Auch ein wichtiger Satz: Es muss genau das Dokument gef<strong>und</strong>en werden, das<br />
gesucht wurde. Denken Sie doch einfach einmal an die Erstellung irgendeines<br />
Vertrages mit Word, von dem es anschließend „x-verschiedene“ Stände, Versionen<br />
gibt, wo unter Umständen nicht die letzte Dateiversion zum Abschluss des Vertrages<br />
führt, sondern irgendeine Zwischenversion als besser empf<strong>und</strong>en wurde. In einem<br />
Dokumentenmanagementsystem kommt es dann darauf an, genau die Version zu<br />
finden, die zum bindenden Vertrag geworden ist.<br />
Es darf natürlich kein Dokument während seiner vorgesehenen Lebenszeit, sprich<br />
seiner Aufbewahrungsfrist nach Handelsrecht <strong>und</strong> <strong>GDPdU</strong>, zerstört werden können.<br />
Es müssen entsprechende Sicherheitsmaßnahmen, auch organisatorischer Art, vorhanden<br />
sein, damit Ihnen nicht ein gekündigter, „wild gewordener Systemadministrator“<br />
Ihre Systeme zerstören kann. Auch dies ist schon vorgekommen, es<br />
langte, die Indexdatenbank zu löschen, um kein Dokument mehr wiederzufinden.<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 42 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
Die 10 Merksätze des VOI zur <strong>elektronische</strong>n <strong>Archivierung</strong><br />
1. Jedes Dokument muss unveränderbar archiviert werden.<br />
2. Es darf kein Dokument auf dem Weg ins Archiv oder im Archiv selbst<br />
verloren gehen.<br />
3. Jedes Dokument muss mit geeigneten Retrievaltechniken wieder<br />
auffindbar sein.<br />
4. Es muss genau das Dokument wiedergef<strong>und</strong>en werden, das gesucht<br />
worden ist.<br />
5. Kein Dokument darf während seiner vorgesehenen Lebenszeit zerstört<br />
werden können.<br />
6. Jedes Dokument muss in genau der gleichen Form, wie es erfasst wurde,<br />
wieder angezeigt <strong>und</strong> gedruckt werden können.<br />
7. Jedes Dokument muss zeitnah wiedergef<strong>und</strong>en werden können.<br />
8. Alle Aktionen im Archiv, die Veränderungen in der Organisation <strong>und</strong><br />
Struktur bewirken, sind derart zu protokollieren, dass die Wiederherstellung<br />
des ursprünglichen Zustandes möglich ist.<br />
9. Elektronische Archive sind so auszulegen, dass eine Migration auf neue<br />
Plattformen, Medien, Softwareversionen <strong>und</strong> Komponenten ohne<br />
Informationsverlust möglich ist.<br />
10. Das System muss dem Anwender die Möglichkeit bieten, die gesetzlichen<br />
Bestimmungen (BDSG, HGB, AO etc.) sowie die betrieblichen<br />
Bestimmungen des Anwenders hinsichtlich Datensicherheit <strong>und</strong><br />
Datenschutz über die Lebensdauer des Archivs sicherzustellen.<br />
Jedes Dokument muss in genau der gleichen Form, wie es erfasst wurde, wieder<br />
angezeigt <strong>und</strong> gedruckt werden können. Dies kann ein sehr schwieriges Thema<br />
werden, wenn Sie ein Dokument in einem wenig verbreiteten Format per E-Mail<br />
erhalten <strong>und</strong> es in zehn Jahren noch anzeigen müssen. Es gibt Fälle, wo sie schon<br />
heute das Dokument in Ihrem eigenen System noch nicht einmal verlustfrei<br />
visualisieren können.<br />
In den Merksätzen des VOI steht jedes Dokument muss zeitnah wiedergef<strong>und</strong>en<br />
werden können, die <strong>GDPdU</strong> sprechen hier eine noch deutlichere Sprache,<br />
„unverzüglich“. Bisher war es während einer Prüfung so, dass Sie immer etwas Zeit<br />
hatten, um einen Beleg herauszusuchen. Heute heißt dies bei der digitalen<br />
Steuerprüfung, dass der Prüfer praktisch sofort, Sek<strong>und</strong>en nach der Anfrage, ein<br />
Dokument sehen möchte. Da hilft es auch nicht, Gigabytes von Informationen von<br />
externe Speichermedien zeitaufwendig <strong>und</strong> mit Beeinträchtigung des laufendes<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 43 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
Betriebes wieder einzuspielen, einen Datenbestand von vor 7 oder 10 Jahren zu<br />
rekonstruieren. Bei großen Datenmengen dauert dies einfach zu lange.<br />
Ganz wichtig ist, dass alle Aktionen in diesen Systemen, die Veränderungen in der<br />
Organisation <strong>und</strong> Struktur bewirken, dokumentiert werden <strong>und</strong> rückabwickelbar sind.<br />
Es gibt nichts Einfacheres als Dokumente verschwinden zu lassen, in dem man<br />
einfach eine Indexspalte oder Tabelle in der Indexdatenbank löscht oder verändert.<br />
Gibt es den Indexbegriff „Rechnung“ nicht mehr in der Datenbank, haben Sie auch<br />
keinen Zugriff mehr auf die so indizierten Rechnungsdokumente, obwohl sich diese<br />
noch auf den Archivmedien befinden.<br />
Eine wichtige Anforderung in Hinblick auf die Länge der Aufbewahrungsfristen ist<br />
Systeme sind so auszulegen, dass man sie auch verlustfrei in neue Umgebungen<br />
überführen kann. Auf das Thema Migration werden wir etwas später noch einmal zu<br />
sprechen kommen.<br />
Wenn alle dieses Anforderungen erfüllt sind, <strong>und</strong> auch noch die rechtlichen<br />
Rahmenbedingungen von Merksatz 10 erfüllt sind, dann sprechen wir von einem<br />
revisionssicheren <strong>elektronische</strong>n Archiv.<br />
Einige Anbieter haben jüngst die Meinung geäußert, es gäbe keine genaue Definition<br />
des Begriffes „revisionssichere <strong>elektronische</strong> <strong>Archivierung</strong>“– ihnen kann ich nur<br />
empfehlen, sich einmal die Vorgaben ihres eigenen Branchenverbandes anzusehen<br />
<strong>und</strong> ihre Systeme auf die Erfüllung der Anforderungen zu prüfen.<br />
Anforderungen an unternehmensweite <strong>elektronische</strong> Archivsysteme<br />
• Speicherung aller Arten von Informationen<br />
• Konsistente Langzeitspeicherung unveränderlicher Informationen<br />
• Dienstekonzept<br />
• Eigener Recherche-Client oder Integration in vorhandene Anwendungen<br />
• Zentrale <strong>und</strong> verteilte Indexdatenbanken<br />
• Modular ausbaubar<br />
• Schutz für den Zugriff auf Informationen<br />
• Sicherheit der Systeme<br />
• Einfache Nutzbarkeit <strong>und</strong> einfacher Betrieb<br />
Betrachten wir einmal Archivsysteme aus Unternehmenssicht. Ein solches<br />
Archivsystem sollte so ausgelegt sein, dass es alle Arten von Informationen unterschiedlichster<br />
Formate speichern <strong>und</strong> verwalten kann. Es sollte auf einem<br />
Dienstekonzept basieren, bei dem ein Archivsystemdienst allen Anwendungen zur<br />
Verfügung steht, die archivierungspflichtige oder archivierungswürdige Informationen<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 44 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
erzeugen. Nicht ein halbes Dutzend verschiedner Archivsysteme für unterschiedliche<br />
Anwendungsfelder, sondern ein Archivdienst, der von allen Anwendungen Information<br />
entgegen nimmt <strong>und</strong> im Bedarf wieder zurück gibt. Eine unternehmensweite<br />
Lösung lässt sich nicht „aus dem Handgelenk“ einführen. Deshalb muss das<br />
Archivsystem modular <strong>und</strong> kontinuierlich ausgebaut werden können. Es muss über<br />
effektive Schutz- <strong>und</strong> Sicherheitsmechanismen verfügen. Es sollte einfach benutzt<br />
<strong>und</strong> einfach betrieben werden können.<br />
Architektur von <strong>elektronische</strong>n Archivsystemen<br />
Archivsystem<br />
Management<br />
Archivsystem<br />
Speicher<br />
Index<br />
Datenbank<br />
Elektronische Archivsysteme, so wie sie vom Verband Organisationssysteme <strong>und</strong><br />
Informationssysteme definiert worden sind, haben eine relativ einfache Architektur.<br />
Zum Einen eine Software, die die gesamte Verwaltung übernimmt <strong>und</strong> die<br />
Archivsystemfunktionalität beinhaltet. Wesentlicher Bestandteil ist die Indexdatenbank,<br />
in der die Zugriffsinformation auf die archivierten Dokumente verwaltet wird.<br />
Als dritte Komponente finden wir die eigentlichen Speichersubsysteme, unterschiedlichster<br />
Art, in den die Daten, Informationen <strong>und</strong> Dokumente vorgehalten werden. Die<br />
Architektur macht einen wichtigen Unterschied zur einfachen Datensicherung<br />
deutlich. Über die Indexdatenbank werden die gespeicherten Informationen<br />
adressiert.<br />
Die <strong>GDPdU</strong> sprechen davon, dass man auf die Daten direkt zugreifen, dass man sie<br />
direkt maschinell auswerten können muss. Dies erfordert, dass die auszuwertenden<br />
Daten bereits strukturiert im Zugriff der Auswertungssoftware vorliegen.<br />
Ein Archivsystem funktioniert aber anders, es hat einen zweistufigen Zugriff. Im<br />
ersten Schritt sucht man die benötigte Information über die Index-Datenbank, im<br />
zweiten Schritt werden dann die gef<strong>und</strong>enen Informationen bereitgestellt. Handelt es<br />
sich bei den bereitgestellten Informationen dann um auswertbare Daten, wie z.B.<br />
eine Liste oder eine Datei im IDEA-Format, kann man sie dann anschließend auch<br />
der maschinellen Auswertung zuführen.<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 45 von 99
© <strong>PROJECT</strong> <strong>CONSULT</strong> 2002 Autorenrecht Dr. Ulrich Kampff me yer<br />
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
Architektur von Archivsystemen: Traditionelle Referenz-Datenbank<br />
Pointer<br />
„Referenz-<br />
Datenbank“<br />
Jukebox<br />
Magnetplatte<br />
Bandarchiv<br />
Eine direkte Auswertung auf das Archivsystem selbst dagegen ist nicht möglich. Man<br />
kann allenfalls die Zugriffsdaten, die Indizes, nach einem Export auswerten – macht<br />
aber wenig Sinn -, <strong>und</strong> die Dokumente selbst erst dann, wenn sie aus dem Archiv<br />
bereitgestellt wurden. Dies macht einen erheblichen Unterschied im Verständnis,<br />
geradezu ein Missverständnis des Begriffes <strong>Archivierung</strong> deutlich.<br />
Man muss Archivssysteme außerdem in einem größeren Zusammenhang sehen: Im<br />
Zusammenhang mit ihrer IT-Strategie, im Zusammenwirken mit bereits vorhandenen<br />
<strong>und</strong> geplanten Systemen, <strong>und</strong> als Bestandteil ihrer IT-Infrastruktur.<br />
Integration von <strong>elektronische</strong>n Archivsystemen in die IT-Landschaft<br />
Client<br />
Client<br />
Client<br />
Erfassen<br />
ERP<br />
E-Mail Office ...<br />
Anwendungen<br />
Ausgeben<br />
Erfassen<br />
Archivsystem<br />
Management<br />
Index<br />
Datenbank<br />
Ausgeben<br />
Archivsystem<br />
Speicher<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 46 von 99
© <strong>PROJECT</strong> <strong>CONSULT</strong> 2002 Autorenrecht Dr. Ulrich Kampff meyer<br />
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
Es gibt es eine ganze Reihe von anderen Systemen, vorgelagerte <strong>und</strong> nachgelagerte<br />
Systeme, führende Systeme wie beispielsweise kaufmännische <strong>und</strong> operative<br />
Anwendungen. In all diesen Systemen können originär steuerrelevante Daten<br />
entstehen. Buchhaltung, Materialwirtschaft, Zeiterfassung, E-Mail, Office-Anwendungen,<br />
etc. – das Problem besteht häufig darin, zu erkennen, wo de Information<br />
originär vorliegt <strong>und</strong> sie als steuerrelevant zu qualifizieren. Das Archivsystem hat die<br />
Aufgabe, diese Daten entgegenzunehmen <strong>und</strong> sie im Bedarfsfall wieder<br />
bereitzustellen – im Prinzip also alles ganz einfach.<br />
Schichten-Architektur mit Archiv als nachgeordnetem Dienst<br />
Single Login<br />
FAX E-Mail Viewer Applet SAP<br />
Workflow<br />
Recherche<br />
Scannen<br />
Office-<br />
Integration<br />
Anwen-<br />
dungs-<br />
Enabling<br />
FAX<br />
Dienst<br />
E-Mail<br />
Dienst<br />
Web-<br />
Service<br />
SAP<br />
Work-<br />
flow-<br />
Engine<br />
Benutzerverwaltung<br />
dynamisches<br />
DMS<br />
Ablage-Ebene / Dynamisches Dokumentenmanagement<br />
Index-DB<br />
Zugriffschutz<br />
Sicherheit<br />
Archiv-Ebene<br />
Zugriffschutz<br />
Sicherheit<br />
Werfen wir noch einmal einen Blick auf das vorgeschlagene Dienstekonzept für ein<br />
Archivsystem. Natürlich kann man auch an Archivsysteme direkt Erfassungssubsysteme,<br />
wie beispielsweise Scanner-Lösungen, anschließen oder auch Ausgabekomponenten<br />
mit einbinden. Man kann diese benötigte Funktionalität aber auch<br />
direkt auf der darüber liegenden Anwendungsebene, z.B. in eine Prozesssteuerung,<br />
integrieren. Werden die vorgelagerten <strong>und</strong> nachgelagerten Subsysteme auf dieser<br />
Ebene angeb<strong>und</strong>en, dann reduziert sich wirklich <strong>und</strong> idealer Weise das Archiv auf<br />
einen nachgelagerten Service, einen Dienst. Solch ein Archivsystemdienst gehört<br />
heute ebenso wie ein Berechtigungssystem, ein Druckerserver, in jede moderne IT-<br />
Landschaft. Wir sprechen hier über <strong>Archivierung</strong> als wichtige Infrastrukturkomponente.<br />
Ein Blick zurück auf die <strong>GDPdU</strong>: was sind <strong>und</strong> wo liegen die steuerrelevanten<br />
Daten? Sie entstehen originär in Anwendungen, nicht im Archiv. Die kaufmännischen<br />
Anwendungen sind in erster Linie diejenigen, die dafür verantwortlich sind, das alle<br />
Daten richtig, vollständig <strong>und</strong> auswertbar formatiert an das Archiv übergeben<br />
werden. Das Archiv importiert <strong>und</strong> indiziert sie. Im Idealfall würde das Archivsystem<br />
benötigte Daten auch wieder in das ursprüngliche, das erzeugende System<br />
exportieren.<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 47 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
<strong>Archivierung</strong>: steuerrelevante Daten empfangen <strong>und</strong> an die erzeugende<br />
Anwendung zurückgeben<br />
Client<br />
Z1 & Z2<br />
Erlaubt Zugriff nach Z1 <strong>und</strong> Z2<br />
Kaufmännische<br />
Anwendung<br />
Z3<br />
Erstellt Daten<br />
für Z3 Überlassung<br />
Übergibt an das Archiv<br />
auswertbare Daten<br />
Erhält auswertbare<br />
Daten zurück<br />
Archivsystem<br />
Management<br />
Archivsystem<br />
Speicher<br />
Index<br />
Datenbank<br />
Dies würde auch bedeuten, dass man den Zugriff Z1 <strong>und</strong> Z2 direkt mit den Clienten<br />
der Anwendung durchführt, in der die maschinell auswertbaren Daten entstanden<br />
sind. Dies ist natürlich die kaufmännische Anwendung, die dann auch für die<br />
Erstellung des Datenträgers nach Z3 zuständig ist. Liegen die zugehörigen Belege,<br />
sprich nicht maschinell auswertbaren Dokumente, nur elektronisch vor, dann muss<br />
der Steuerprüfer mit dem Clienten des Archivsystem durch Eingabe von<br />
Belegnummer oder anderen Indizies natürlich auf diese Dokumente, nach der<br />
eigentlichen Auswertung mit IDEA, einen Zugriff erhalten. Liegen die Belge im<br />
Original in Papier vor, erhält er sie natürlich wie bisher in Papierform.<br />
Schwieriger wird es, wenn man einmal ausgelagerte Daten, egal ob in ein<br />
Archivsystem, in das File-System oder auf eine Bandsicherung, nicht mehr in die<br />
erzeugende Anwendung zurückspielen kann oder will. Man will ja keine historischen<br />
Daten im operativen System wieder aktivieren. Dazu kommt das Problem, dass die<br />
eingesetzten kaufmännischen Anwendungen häufig nicht in der Lage sind, ihre<br />
selbst ausgelagerten Daten entsprechend den Maßgaben der <strong>GDPdU</strong> nach ein paar<br />
Jahren noch verarbeiten zu können. Historisierung <strong>und</strong> Versionierung von<br />
Stammdaten, Erzeugung von unabhängig auswertbaren Formaten – zum Teil selbst<br />
bei größeren Anbietern Fremdworte. Nehmen wir einmal an, ein großes kaufmännisches<br />
System, ein ERP Enterprise Ressource Planning System wie z.B. Baan,<br />
Sage, SAP, Navision, Peoplesoft, Oracle Financials oder wie sie auch immer heißen<br />
mögen, kann in 5 Jahren die Daten nicht mehr in Empfang nehmen, sie nicht mehr<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 48 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
auswerten. Dies kann beim Einspielen neuer Releases, bei Änderung von Strukturen,<br />
Produktwechseln <strong>und</strong> individuellen Programmanpassungen schnell einmal<br />
passieren. Also was tun?<br />
<strong>Archivierung</strong>: steuerrelevante Daten empfangen <strong>und</strong> an eine beliebige<br />
Auswertungsanwendung zurückgeben<br />
Z3<br />
Erstellt Daten<br />
für Z3<br />
Überlassung<br />
Client<br />
Spezielle<br />
Anwendung<br />
Z1 & Z2<br />
Erlaubt Zugriff<br />
nach Z1 <strong>und</strong> Z2<br />
Kaufmännische<br />
Anwendung<br />
Spezielle Anwendung<br />
auf dem Archivsystem<br />
Kaufmännische Anwendung<br />
kann Daten nicht verarbeiten<br />
Archivsystem<br />
Management<br />
Archivsystem<br />
Speicher<br />
Index<br />
Datenbank<br />
In diesem Fall wird eine spezielle Auswertungsanwendung benötigt, die qualitativ<br />
<strong>und</strong> quantitativ die gleiche oder zumindest vergleichbare Funktionalität wie die<br />
Anwendungen bereitstellt, die die Daten erzeugt haben. Diese spezielle Anwendung<br />
ist nicht Bestandteil des Archivs, sie benutzt lediglich die vom Archiv bereitgestellten<br />
Daten. Solche Anwendungen könnten direkt von den Anbietern der kaufmännischen<br />
Software sozusagen als „kleine Prüfungsversionen“, von Firmen wie Audicon mit<br />
AIS, TaxAudit <strong>und</strong> IDEA, aber vielleicht auch von mutigen Archivsystemanbietern<br />
kommen. Die Herausforderung ist, über verschiedenste Versionsstände, Wechsel<br />
von Betriebssystemen <strong>und</strong> Änderungen von Datenstrukturen in unbekannten Fremdsystemen<br />
hinweg, die Auswertbarkeit der Daten über die Aufbewahrungsfrist von<br />
mindestens 10 Jahren, qualitativ <strong>und</strong> quantitativ vergleichbar zum Ursprungssystem,<br />
sicherzustellen. Eine solche Anwendung könnte dann allerdings auch den Z1- <strong>und</strong><br />
Z2-Zugriff auf die Daten realisieren, wenn sich denn die Steuerprüfer mit dem Z3-<br />
Datenbestand als Basis zufrieden geben. In dieser Anwendung wäre es dann auch<br />
möglich, den oft gewünschten „Knopf“ für die Erzeugung des Datenträgers für die<br />
Datenträgerüberlassung einzubauen. Der Vorteil ist, dies alles wäre dann nicht mehr<br />
eine zwingende Funktionalität für ein Archivsystem. Die Begriffe <strong>Archivierung</strong>,<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 49 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
maschinelle Auswertbarkeit, wahlfreier Zugriff etc. müssten dann auch eine andere<br />
Qualität in der Auslegung der <strong>GDPdU</strong> erhalten – zumindest im berühmten Fragen<strong>und</strong>-Antworten-Katalog<br />
des BMF.<br />
Entscheidend ist in jedem Fall, das die Daten <strong>und</strong> Strukturen bereits auswertbar,<br />
richtig <strong>und</strong> vollständig an das Archiv übergeben werden. Man kann nicht vom Archiv<br />
erwarten, dass die Daten dort „besser“, „mehr“ oder „auswertbarer“ werden.<br />
Gr<strong>und</strong>funktionen eines Archivsystems<br />
• Erfassen<br />
• Erschließen<br />
• Verwalten<br />
• Speichern<br />
• Finden<br />
• Zugänglich machen<br />
• Sichern<br />
• Reproduzieren<br />
• Integrieren<br />
• Migrieren<br />
Die Gr<strong>und</strong>funktionen eines Archivsystems sind nämlich sehr einfach <strong>und</strong> haben<br />
nichts mit Auswertung oder anderer Anwendungslogik zu tun. Aus der Vielzahl von<br />
einzelnen Funktionen habe ich nur einige wichtige mit Bezug auf die <strong>GDPdU</strong><br />
herausgegriffen. Auf der CD mit den Vorträgen der Roadshow finden Sie die<br />
ausführlichen Folien, wo es zu jedem meiner Schlagworte weitere Detailinformationen<br />
gibt.<br />
Beginnen wir mit der Erfassung. Bei steuerrelevanten Daten geht es hierbei um den<br />
automatischen Import von Dateien mit den dazugehörigen Strukturinformationen. Bei<br />
den steuerrelevanten Belegen ist zu unterscheiden, ob sie gescannt werden oder per<br />
<strong>elektronische</strong>m Fax einlaufen, aus einer Anwendung oder dem Dateisystem mit<br />
Benutzerinteraktion dem Archivsystem übergeben, oder teilautomatisiert direkt aus<br />
dem E-Mail-Eingang überführt werden. Die Verantwortung, dass alles korrekt <strong>und</strong><br />
vollständig erfasst wird, liegt dabei in vorgelagerten Systemen des Archives.<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 50 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
Erfassen: unterschiedlichste Formen <strong>und</strong> Wege<br />
Kodierte <strong>und</strong> nicht-kodierte Informationen:<br />
• Nichtkodierte Informationen (NCI) sind Bilder, Sprache, Ton, Video etc., die<br />
vom Rechner nicht direkt verarbeitbar sind. Eine typische NCI-Anwendung<br />
ist die Erfassung von Dokumenten mit Scannern <strong>und</strong> deren Behandlung als<br />
Faksimiles (=Document Imaging)<br />
• Kodierte Informationen (WORD, Listenoutput, etc.)<br />
Formen der Erfassung:<br />
• vollautomatisch (gegebenenfalls mit OCR, ICR)<br />
• teilautomatisch<br />
• manuell<br />
Der Grad der Automatisierung ist dabei von der Quelle abhängig. Gescannte Images<br />
müssen manuell indiziert oder durch eine OCR-Software analysiert <strong>und</strong> anschließend<br />
klassifiziert werden. Vordrucke <strong>und</strong> Output-Dateien aus operativen Anwendungen<br />
lassen sich weitgehend automatisiert verarbeiten.<br />
Scannen: von der manuellen Erfassung zur automatischen Verarbeitung<br />
Individuelles Schriftgut erfassen <strong>und</strong> indizieren:<br />
• Eindeutig identifizierbar: geringer Aufwand bei manueller Indizierung<br />
• Schlecht identifizierbar: hoher Aufwand bei manueller Indizierung<br />
• „No-Scans“: nur Referenzen werden im System verwaltet<br />
Vordrucke automatisch verarbeiten:<br />
• Selbst gestaltet: gut möglich<br />
• Fremdvordrucke: schwieriger<br />
Gleichbehandlung von inhaltlich gleicher Information unabhängig vom Medium:<br />
• Scannen <strong>und</strong> Fax<br />
• E-Mail<br />
• Internet-Formulare<br />
Beim Speichern ist zu berücksichtigen, dass diese Kriterien der Unveränderbarkeit<br />
auch schon in den Zwischenspeichern erfolgen. Die Veränderung von Daten <strong>und</strong><br />
Dokumenten muss auch dem Weg ins Archiv ausgeschlossen sein. Hier ist auch<br />
Transaktionssicherheit gefordert. In Archivsystemen wird daher auch zwischen der<br />
Ablage, dem dynamischen Dokumentenmanagement auf Festplatten, <strong>und</strong> der<br />
eigentlichen <strong>Archivierung</strong> auf nur einmal beschreibbaren Speichern unterschieden.<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 51 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
Speichern: dynamisch <strong>und</strong> unveränderbar<br />
• Speichern eines Dokumentes im Archiv (Dokumentbibliothek)<br />
• Lokale Speicherung eines Dokumentes (außerhalb des zentralen Archives)<br />
• Speichern in einem anderen Dokumentenformat, damit Dokumente von<br />
verschiedenen Applikationen angezeigt <strong>und</strong> geändert werden können<br />
(Konverter, Rendition-Management)<br />
• Im Gegensatz zum hierarchischen Speichermanagement verfügt ein<br />
<strong>elektronische</strong>s Archivsystem über eine datenbankgestützte Verwaltungs<strong>und</strong><br />
Retrievalkomponente<br />
• Die <strong>elektronische</strong> <strong>Archivierung</strong> ist auf die langzeitige Verfügbarkeit von<br />
Daten <strong>und</strong> Dokumenten ausgelegt<br />
• Elektronische Archivsysteme sichern die Vollständigkeit,<br />
Unveränderbarkeit <strong>und</strong> Verfügbarkeit von beliebigen Informationen<br />
unabhängig von der erzeugenden Anwendung<br />
• Archivsysteme können sowohl Online-Bestände als auch Nearline<br />
(Jukebox, Bandspeichersysteme) <strong>und</strong> Offline (im Regal mit Nachlegen des<br />
Mediums auf Anforderung) verwalten<br />
• Elektronische Archive sollten als nachgeordnete Dienste allen<br />
Anwendungen in einem Unternehmen zur Verfügung stehen <strong>und</strong><br />
Information übergreifend erschließbar machen<br />
• Elektronische Archive müssen Standard-Schnittstellen <strong>und</strong> Standard-<br />
Formate unterstützen, um den übergreifenden Zugriff <strong>und</strong> die Migration von<br />
Beständen zu unterstützen<br />
• Archivsysteme müssen über effektive Sicherheits- <strong>und</strong><br />
Schutzmechanismen verfügen<br />
Eine der wichtigsten Aufgaben des Archivsystems ist, über die Datenbank mittels der<br />
Indizierung erfasste Information wiederfindbar zu machen. Deshalb ist auch eine der<br />
Hauptaufgaben bei der Planung <strong>und</strong> Einführung eines Archivsystems, Ordnungskriterien,<br />
Ablagesystematik, Indizes <strong>und</strong> Nutzungsmodelle sehr sorgfältig zu planen,<br />
damit man auch in zehn Jahren noch die Sicherheit hat, alle Informationen wieder zu<br />
finden.<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 52 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
Datenbank: Ordnungskriterien <strong>und</strong> Indizes gewährleisten den Zugriff<br />
• Dient der Indexverwaltung in einem <strong>elektronische</strong>n Archiv <strong>und</strong><br />
Verpointerung auf die Dokumente<br />
• Erlaubt Replikationen über verteilte Standorte <strong>und</strong> Roaming User (Mobile<br />
User)<br />
• Einheitliches Datenmodell ist wichtig für spätere Migrationen<br />
• Zugriffssteuerung über mehrere physikalische Archive über ein<br />
einheitliches logisches Archiv<br />
• Unterschiedliche Typen:<br />
o Volltext Datenbank<br />
o Relationale Datenbank<br />
o BLOB Datenbank<br />
Ein weiterer wichtiger Punkt sind die Berechtigungen. Dokumente können einfach<br />
aus dem Zugriff verschwinden, wenn für sie nur eine persönliche Zugriffsberechtigung<br />
vergeben wurde <strong>und</strong> der Mitarbeiter ausscheidet. Man sollte daher für<br />
ein Archivsystem neutrale Benutzerklassen einrichten, die unabhängig von persönlichen<br />
Rechten, von in dynamischen Berechtigungssystem zusammengestellten<br />
Gruppen oder anderen stark veränderlichen Verzeichnissen sind.<br />
Berechtigungssystem: Benutzerklassen sichern langfristigen Zugriff<br />
• Zugriffsberechtigungen, Sichten <strong>und</strong> Funktionen werden über die Rollen<br />
<strong>und</strong> Gruppen der Benutzerverwaltung gesteuert<br />
• Entsprechend der Benutzergruppen <strong>und</strong> Rollen sind unterschiedliche<br />
Sichten vorhanden<br />
• Berechtigungen:<br />
o Benutzer: Berechtigungen sollten nie an Einzelpersonen festgemacht<br />
werden, sondern neutralen Benutzergruppen zugeordnet werden.<br />
o Benutzergruppe: Neutrale Benutzergruppe beinhalten vertikale (Lesen,<br />
Schreiben etc.) <strong>und</strong> horizontale Berechtigungen (Dokumentenklassen) in<br />
entsprechender Kombination<br />
o Dokumentklasse: Dokumentobjekten selbst können bestimmte<br />
Berechtigungsinformationen tragen. Durch die Zuordnung zu<br />
Dokumentklassen werden die Klassenmerkmale vererbt<br />
o Sicherheitsanforderungen: Dokumentobjekte gelten für die aktuelle<br />
Aufbewahrungsfrist. Sie dürfen weder mutwillig noch versehentlich<br />
gelöscht werden können<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 53 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
Die Berechtigungen müssen so aufgebaut werden, dass sie langfristig den Zugriff<br />
ermöglichen. Dies ist ebenso wie die Planung der Indizierung, der Aufbau der<br />
Ordnungskriterien <strong>und</strong> das Qualifizieren der steuerrelevanten Daten eine<br />
interlektuelle <strong>und</strong> organisatorische Aufgabe, nicht eine Frage der Technik. Diese<br />
Aufgaben kann Ihnen der Anbieter nicht abnehmen.<br />
Konverter <strong>und</strong> Viewer: Sicherstellung der Reproduzierbarkeit<br />
Konverter:<br />
• Umwandlung verschiedener Dokumentenformate in ein einheitliches<br />
Format für die langfristige <strong>Archivierung</strong> im Vorwege<br />
• Wandlung beliebiger Originalformate in definierte Zielformate zur<br />
plattformunabhängigen Dokumentenbereitstellung<br />
Viewer:<br />
• Wandlung eines archiverten Formates in ein Anzeigeformat zum Zeitpunkt<br />
der Nutzung<br />
Konverter müssen verlustfrei arbeiten, Viewer müssen dies nicht unbedingt<br />
Archivsysteme müssen über Viewer <strong>und</strong> Konverter verfügen, damit man Informationen<br />
auch in fünf Jahren noch anzeigen kann. Wenn Sie beispielsweise ein E-Mail<br />
bekommen, dem der Absender ein Dokument in einem Apple-Textverarbeitungsformat<br />
beigefügt hat, können Sie selbst heute nicht sicher sein, dass sie das<br />
Dokument überhaupt anzeigen können. Es müssen daher gr<strong>und</strong>sätzlich Funktionsmodule<br />
vorhanden sein, um heute gängige Formate ohne Verfälschung oder<br />
Informationsverlust zu wandeln <strong>und</strong> anzuzeigen.<br />
Konverter <strong>und</strong> Viewer: Sicherstellung der Reproduzierbarkeit<br />
• Konverter:<br />
o Umwandlung verschiedener Dokumentenformate in ein einheitliches<br />
Format für die langfristige <strong>Archivierung</strong> im Vorwege<br />
o Wandlung beliebiger Originalformate in definierte Zielformate zur<br />
plattformunabhängigen Dokumentenbereitstellung<br />
• Viewer:<br />
o Wandlung eines archiverten Formates in ein Anzeigeformat zum<br />
Zeitpunkt der Nutzung<br />
• Konverter müssen verlustfrei arbeiten, Viewer müssen dies nicht unbedingt<br />
Konverter <strong>und</strong> Viewer spielen auch bei der Ausgabe von Informationen, sei es bei<br />
der Bildschirmanzeige, beim Druck oder Export eine wichtige Rolle. Hier stellt sich<br />
natürlich die Frage nach der Erstellung von Datenträgern nach Z3. Hierfür sind durch<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 54 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
die <strong>GDPdU</strong> Selektionsmechanismen gefordert. Solche Funktionalität bietet bisher<br />
noch kein Archivsystem, auch wenn die Hersteller gern mit Marketingslogans wie<br />
„<strong>GDPdU</strong>-konform“ oder sogar mit nicht existenten Zertifikaten werben. Dies kann für<br />
die Anbieter sogar haftungsrechtliche Konsequenzen, wenn man dann nicht die Z3-<br />
Träger mit geforderter Selektion, mit den ausgewählten Daten <strong>und</strong> den dazugehörigen<br />
Strukturinformationen ausgeben kann.<br />
Protokollierung <strong>und</strong> Journale: Absicherung von Kontext <strong>und</strong> Rechtsqualität<br />
• Wahrung der Nachvollziehbarkeit im Sinne der GoBS <strong>und</strong> Verbesserung<br />
der rechtlichen Anerkennung durch revisionssichere Protokollierung<br />
• Protokollierung von:<br />
o Wartung <strong>und</strong> Softwareupdates<br />
o Einrichtung <strong>und</strong> Änderung von Benutzerdaten<br />
o Einstellen, Ändern <strong>und</strong> Löschen von Dokumenten<br />
o Änderung am Datenmodell<br />
o Fehlern<br />
o Verlustbehafteten Konvertierungen<br />
o Zusammenhang zwischen signierten Dokumenten, Zertifikaten <strong>und</strong><br />
EIngangsdaten<br />
o etc.<br />
• Protokollsätze mit den Angaben von Benutzer, Signaturcode,<br />
Datum/Uhrzeit, Unique Identifier des Objektes, etc.<br />
• Nutzungsprotokolle<br />
Protokollierung <strong>und</strong> Journale: eine ganz wichtige Aufgabe in einem Archivsystem. Es<br />
geht nicht nur darum, die Information selbst sicher zu speichern, sondern es muss<br />
auch der Nachweis erbracht werden können, dass dies genau die Information ist, wie<br />
sie ins System gelangt ist, <strong>und</strong> welchen Verarbeitungsschritten zu unterlegen war.<br />
Wir haben heute morgen bereits von Ernst&Young gehört, dass es auch Sinn macht,<br />
zu protokollieren, auf welche Informationen der Steuerprüfer zugegriffen hat, <strong>und</strong> sei<br />
es nur um besser nachvollziehen zu können, auf Gr<strong>und</strong> welcher Daten <strong>und</strong> Belege er<br />
zu seinen steuerlichen Einschätzungen gekommen ist.<br />
Ein weiterer wichtiger Punkt ist die direkte Integration in ihre Systemlandschaft.<br />
Daten <strong>und</strong> Dokumente sollten nicht manuell per „Drag&Drop“ ins Archivsystem<br />
überführt werden. Sie wollen ja die Sicherheit haben, dass alles richtig, vollständig<br />
<strong>und</strong> konsistent im Archiv gelandet ist. Die Schnittstellen, die ein Archivsystem bietet,<br />
so z.B. zu kaufmännischen Anwendungen, sind von großer Bedeutung, da sie die<br />
direkte Verbindung zwischen erzeugendem System <strong>und</strong> Archivsystem ermöglichen.<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 55 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
Die Integration ist häufig der größte Posten auf der Rechnung des Systemlieferanten,<br />
je heterogener das Systemumfeld, des do aufwendiger die Integration.<br />
Archivsysteme haben aber auch eine Reihe eigenständiger Funktionalität, die in<br />
anderen Softwareanwendungen so nicht zu finden ist. Hierzu gehört z.B. die<br />
Recovery-Funktionalität. Ein Archivsystem sollte in der Lage sein, aus den mit den<br />
Dokumenten oder anderen <strong>elektronische</strong>n Objekten gespeicherten Meta-Daten – das<br />
sind die beschreibenden Merkmale <strong>und</strong> Indexdaten – die dynamische Verwaltungsdatenbank<br />
wieder aufzubauen. Bei sehr großen Daten- <strong>und</strong> Dokumentbeständen<br />
kann dies sehr langwierig werden. Daher braucht man neben dem Voll-Recovery<br />
auch ein Funktionalität für Neustart ohne Informationsverlust <strong>und</strong> Teil-Recovery über<br />
einzelne Informationsbestände.<br />
Recovery: Teil-Recovery <strong>und</strong> Voll-Recovery von den Medien<br />
• Teil-Recovery, wenn bestimmte Teile der Index-Datenbank oder des<br />
Archives gestört sind, z.B.:<br />
o Recovery über einen bestimmten Zeitraum<br />
o Recovery eines Mediums<br />
o Recovery einer bestimmten Dokumentengruppe<br />
oder eines bestimmten Dokumentenortes<br />
• Voll-Recovery, wenn die Indexdatenbank zerstört <strong>und</strong> das komplette Archiv<br />
ausgefallen.<br />
o Recovery meint in der Regel den Wiederaufbau des gesamten<br />
Systems von den optischen Speichermedien<br />
• Durch das Zusammenwirken von Teil-Recovery, Voll-Recovery <strong>und</strong><br />
Wiederanlauf wird das System nach Störungen konsistent wieder<br />
bereitgestellt<br />
Zum Abschluss dieses Überblickes über Funktionalität <strong>und</strong> Merkmale von <strong>elektronische</strong>n<br />
Archivsystemen das heiss diskutierte Thema Speichermedien. Getrieben<br />
durch die <strong>GDPdU</strong> findet sich das Thema aktuell in Fachzeitschriften wie BIT <strong>und</strong><br />
Internetforen wie IT-FORUM.org, ist Gegenstand einer Stellungnahme meines Unternehmens<br />
zusammen mit Zöller&Partner, wurde in einer Checkliste kontrovers<br />
behandelt, die Herrn Bernhard Lindgens zugeschrieben wurde, der nach mir<br />
sprechen wird, ziert die Werbebroschüren vieler Jukebox-, Laufwerk- <strong>und</strong><br />
Speichermedienanbieter – <strong>und</strong> führt dennoch nur zur Verunsicherung. Sagen wir es<br />
gleich vorweg, „das allein seligmachende“ Speichermedium gibt es nicht. Man muss<br />
immer prüfen, welches Medium für welchen Anwendungszweck <strong>und</strong> welche<br />
Umgebung das richtige ist, <strong>und</strong>, das Medium allein bietet keine ausreichende<br />
Sicherheit. Der Betrieb, das Umfeld, die Prozesse, die eingesetzte Software, sie alle<br />
zusammen bestimmen den Grad der Sicherheit.<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 56 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
In Hinblick auf die <strong>GDPdU</strong> muss man zunächst eine wichtige Unterscheidung<br />
vornehmen: einmal das Übergabemedium für die Daten nach Z3 <strong>und</strong> zweitens die<br />
Medien, auf denen in der Archivsystemlösung im Hause gespeichert wird. Es ist<br />
keinesfalls so, dass der Steuerprüfer ein Medium aus Ihrem Archivsystem mitnimmt.<br />
Für ihn wird immer ein spezielles Übergabemedium mit den gewünschten Daten<br />
erstellt. Diese Daten sind allenfalls ein ganz kleiner Auszug aus dem großen Unternehmensarchiv.<br />
Leider werden die beiden gr<strong>und</strong>sätzlich verschiedenen Einsatzgebiete<br />
immer noch „in einen Topf geworfen“. Der Steuerprüfer kann gar keine<br />
spezielle Medien gebrauchen, er kann allenfalls CDs <strong>und</strong> DVDs mit seinem<br />
Notebook lesen. Und wenn Sie so wenig steuerrelevante Daten haben, dass sie auf<br />
eine Diskette passen, dann wird er auch mit der Diskette zufrieden sein. Das<br />
Übergabemedium hat nichts mit den Medien zu tun, auf denen Sie intern in Ihren<br />
Anwendungen das <strong>elektronische</strong> Wissen Ihres Unternehmens bewahren. Weder die<br />
GPDdU noch irgendein anderes Gesetz oder eine Verordnung schreiben ein<br />
bestimmtes Medium vor.<br />
Recovery: Teil-Recovery <strong>und</strong> Voll-Recovery von den Medien<br />
• Es ist zu unterscheiden zwischen den<br />
o Archivspeichermedien <strong>und</strong> den<br />
o Übergabemedien bei der Datenträgerüberlassung.<br />
• Die <strong>GDPdU</strong> schreiben kein spezifisches Archivspeichermedium vor.<br />
Im Prinzip haben Sie für <strong>elektronische</strong> Archivsysteme heute vier große Gruppen von<br />
verschiedenen Medientypen zur Auswahl, die man berücksichtigen kann.<br />
Subsysteme <strong>und</strong> Speichermedien für die <strong>Archivierung</strong><br />
• „Traditionelle WORM“-Medien<br />
• CD <strong>und</strong> DVD<br />
• „WORM-Tapes“<br />
• Festplatten mit „WORM-Eigenschaften“<br />
Da gibt es seit langem die traditionellen WORM-Medien. WORM steht für “write once,<br />
read many”. Mikrofilmer sagen da aber auch gern „write once, read mostly“. Das sind<br />
Medien, die sich in einer Schutzhülle befinden <strong>und</strong> mit einem Laser beschrieben<br />
werden.<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 57 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
Technische Datensicherheit von WORM<br />
• wesentlich höherer Grad an Datensicherheit als magnetische Speicher<br />
• ECC Verfahren (Error Correction Code) gewährleisten eine Fehlerrate<br />
kleiner 10-12 Bit<br />
• 1.000.000.000.000 Bits speichern, 1 Bit falsch interpretieren<br />
• etwa 1000 Gigabyte oder ca. 2000 St<strong>und</strong>en ununterbrochener Schreib-(=<br />
Archivier-)Betrieb, ehe ein gespeichertes Bit falsch wiedergegeben wird<br />
• geschützt gegen Einflüsse von magnetischen Feldern <strong>und</strong> Headcrashes<br />
• keine Aufbewahrung in klimatisierten Räumen erforderlich<br />
• lediglich Schutz vor Überhitzung über 50 Grad Celsius, direkter physischer<br />
Zerstörung <strong>und</strong> Diebstahl oder Austausch mit einem neu geschriebenen<br />
Medium mit veränderten Daten erforderlich<br />
Hierfür gibt es spezielle Laufwerke, die auch in Plattenwechselautomaten, den<br />
sogenannten Jukeboxen, zum Einsatz kommen. Bei den ursprünglichen WORM-<br />
Medien wurde durch den Laser die Oberfläche des Mediums irreversibel verändert,<br />
durch mikroskopische Löcher oder Blasen. Diese auch TrueWORM genannten<br />
Systeme gibt es praktisch nicht mehr. Heute wird durch die Kodierung des Mediums<br />
in Verbindung mit der eingebauten Software im Laufwerk verhindert, das auf einem<br />
prinzipiell veränderbaren Medium Informationen überschrieben, gelöscht oder<br />
geändert werden können. Die Mehrzahl der heute angebotenen WORM-Medien sind<br />
also eigentlich SoftWORM oder MOs, magneto-optische Medien, wie dies der<br />
Fachmann bezeichnen würde.<br />
Traditionelle WORM (Write Once Read Many)<br />
• Z.B. von Fujitsu, HP, Plasmon u.a.<br />
• Lagerung in einer geschützten „Cartridge“<br />
• True WORM sind physisch nur einmal beschreibbare Medien<br />
• Soft WORM sind im Prinzip wiederbeschreibbare Medien<br />
• Lesbarkeit der Daten bis 40 Jahre „garantiert“<br />
• Das 5 ¼“ Format ist am weitesten verbreitet<br />
• Aufnahmekapazität bis zu 9,1 GB je Medium<br />
• Zugriff i.d.R. über SCSI (1,2 - 2,3 MByte/s), Geschwindigkeit relativ gering<br />
• Relativ teure Medien<br />
CD <strong>und</strong> DVD sind eigentlich von der Schreibtechnik her echte WORM, da hier die<br />
Oberfläche physisch irreversibel verändert wird. Sie werden allerdings von der<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 58 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
Branche nicht in diese Kategorie gezählt, da sie keine Schutzhülle besitzen <strong>und</strong> auch<br />
das Aufzeichnungsverfahren auf den Medien gr<strong>und</strong>verschieden ist.<br />
CD (Compact Disk)<br />
• Das CD-Medium:<br />
o CD-ROM (ist nur lesbar, nicht beschreibbar)<br />
o CD-R (einmal beschreibbar, dann nur noch lesbar)<br />
o CD-RW (ca. 1000-fach beschreibbar, dann nur noch lesbar)<br />
• Lesbarkeit der Daten 10-15 Jahre<br />
• Aufnahmekapazität bis zu 800 MB je Medium<br />
• Zugriff über SCSI oder IDE (bis zu 10,8 MB/sek.)<br />
• Genormtes Aufzeichnungsformat (ISO 9660)<br />
• Günstige Medien<br />
Trotz WORM-Eigenschaften heisst es auch nicht, das CD <strong>und</strong> DVD automatisch die<br />
geeigneten Medien für die <strong>Archivierung</strong> sind. Ich kann Ihnen zumindest nicht<br />
empfehlen, die Medien, die sich Ihre Kinder für ihre „Ripps“ bei einem Discounter für<br />
ein paar Cent kaufen, auch für die <strong>Archivierung</strong> ihrer wichtigen<br />
Unternehmensinformationen einzusetzen. Das Medium muss in seiner Qualität dem<br />
Wert der Information, die Sie darauf ablegen, entsprechen.<br />
DVD (Digital Versatile Disk)<br />
• Gleiche Abmessung wie eine CD<br />
• Zwei Schichten pro Seite (beidseitig)<br />
• Verschiedene Formate, weitere zu erwarten<br />
• Aufnahmekapazität bis zu 17 GB je Medium<br />
• Zugriff über SCSI oder IDE (20,8 MB/sek.)<br />
• Genormte Aufzeichnungsformate (ISO 13449 UDF u.a.)<br />
• Teurere Medien als CD<br />
Und - ein Medium allein ist nie genug. Es ist Ihre ständige Aufgabe Sicherheitskopien<br />
zu erstellen, regelmäßig zu prüfen, ob das Medium noch verarbeitungsfähig ist,<br />
rechtzeitig zu migrieren, die Medien sicher <strong>und</strong> vor Verlust geschützt aufzubewahren.<br />
Dies alles hat mit der vermeintlichen „Fälschungssicherheit“, die manche Anbieter<br />
anpreisen nur am Rande zu tun. Sicherheit im Umfeld der <strong>elektronische</strong>n<br />
<strong>Archivierung</strong> ist weit mehr als nur eine postulierte Medium-Fälschungssicherheit.<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 59 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
Jukebox: die automatisierte Verwaltung für WORM, CD <strong>und</strong> DVD<br />
Jukeboxen sind softwaregesteuerte, automatische Medienverwaltungssysteme für<br />
rotierende Speichermedien. Sie verwalten:<br />
• „online“<br />
Medium befindet sich im Laufwerk<br />
• „nearline“<br />
Medium befindet sich in der Jukebox <strong>und</strong> wird von der Steuersoftware<br />
automatisch gef<strong>und</strong>en <strong>und</strong> in ein freies Laufwerk eingelegt<br />
• „offline“<br />
Medium muss auf Anforderung der Steuersoftware der Jukebox manuell<br />
zugeführt werden; anschließend wie „Nearline“<br />
Im übrigen gibt es inzwischen auch für Magnetbänder gleiche Technologien wie für<br />
diese WORM-Medien. Durch spezielle, in die Laufwerkscontroller integrierte Software<br />
<strong>und</strong> spezielle Cartridges wird auch hier eine Veränderung der einmal<br />
gespeicherten Daten unterb<strong>und</strong>en. Dies ist besonders interessant für Rechenzentren,<br />
die große, automatisierte Bandbibliothekensysteme bereits im Einsatz<br />
haben. Allerdings gibt es auch hier Restriktionen, wie z.B. der gezielte, wahlfreie<br />
Zugriff auf ein einzelnes Dokument auf einem sequentiellen 512 Gigabyte-Bandmedium<br />
mit Datenkompression. Auch erfordert das Bandmedium selbst spezifische<br />
Betriebsbedingungen <strong>und</strong> muss regelmäßig überprüft werden.<br />
WORM-Tapes<br />
• Z.B. von Sony (AIT), StorageTek (VolSafe) u.a.<br />
• Auch für die allgemeine Bandsicherung nutzbar<br />
• Hohe Sicherheit bei ordnungsgemäßem Rechenzentrumsbetrieb <strong>und</strong><br />
regelmäßiger Migration<br />
• Aufnahmekapazität bis zu 512 GB je Medium (komprimiert)<br />
• Zugriffsgeschwindigkeit mit denen von herkömmlichen WORMs<br />
vergleichbar<br />
• Medien durch große Kapazität relativ günstig<br />
Inzwischen gibt es auch Festplatten-Subsysteme, die ebenfalls durch Software <strong>und</strong><br />
Controller Bedingungen erzeugen, die eine Unveränderbarkeit der gespeicherten<br />
Daten sicherstellen. Zwar weiß der Anwender nicht wo <strong>und</strong> wie die Daten physisch<br />
gespeichert sind, ansonsten erfüllen aber diese Systeme weitgehend die Anforderungskriterien<br />
fast ebenso wie ein Medium der WORM-Technologie, sei es eine<br />
herkömmliche SoftWORM oder ein WORM-Tape. Der Vorteil ist die einfache <strong>und</strong><br />
direkte Integrierbarkeit fast wie eine herkömmliche Festplatte.<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 60 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
Festplattenspeicher mit WORM-Eigenschaften<br />
• Z.B. Centera von EMC<br />
• Einfaches Management<br />
• Sehr schnelle Datenzugriffe<br />
• Unveränderbarkeit <strong>und</strong> Wahrung der Authentizität der Daten<br />
• Wahrung der Integrität<br />
• Replikation<br />
• Ein einzelnes 19inch Rack fasst bis zu 9,6TB (gespiegelt)<br />
Es schreibt Ihnen keine Verordnung vor, es nimmt Ihnen keiner die Entscheidung ab,<br />
welche dieser Technologien Sie für Ihre interne <strong>Archivierung</strong> einsetzen.<br />
Wirft man einen Blick auf die zahlreichen Archivsystemprodukte <strong>und</strong> die<br />
Anwendungsfelder, die sie abdecken, werden Sie feststellen, dass es sehr viele<br />
spezialisierte Systeme gibt.<br />
Anwendungsgebiete für die <strong>elektronische</strong> <strong>Archivierung</strong><br />
• Imaging-Archive für die Speicherung gescannter Dokumente<br />
• E-Mail-Archive für E-Mails <strong>und</strong> Attachments<br />
• Web-Archive für die Speicherung von Transaktionen <strong>und</strong> Webseiten<br />
• COLD-Archive für die Speicherung von Listen <strong>und</strong> Output-Dateien<br />
• Multimedia-Archive für Video, Filme, Sprache <strong>und</strong> multimediale Objekte<br />
(Rich Media oder Media Assets)<br />
• CAD-Archive für die Speicherung großformatiger Pläne <strong>und</strong> Plandateien<br />
• ...<br />
Imaging-Spezialsysteme für gescannte Faksimiles, E-Mail-Archive für E-Mails mit<br />
Attachments, Web-Archive für die Speicherung von Transaktionen, COLD-Archive für<br />
die Speicherung von Listen <strong>und</strong> Daten. Die COLD-Archive sind eigentlich diejenigen<br />
Systeme, über die wir hier reden. Sie dienen zur <strong>Archivierung</strong> von strukturierten<br />
Informationen wie Datentabellen, Listen oder Druckoutput. Ferner Multimedia-<br />
Archive, CAD-Archive usw. Die entscheidende Frage für Sie als Anwender ist jedoch,<br />
schaffe ich mir für jeden Zweck eine Speziallösung an? Die Informationen gehören<br />
doch eigentlich in einen Sachzusammenhang, Das E-Mail lebt doch nicht allein. Es<br />
gehört zu den K<strong>und</strong>endaten, zu den anderen K<strong>und</strong>endokumenten. Deshalb ist der<br />
Anspruch an ein Archivsystem der eines Universal-Archives. Ein Speicherort für alle<br />
Arten von Informationen, über die man Sachverhalte abbilden kann, egal in welchem<br />
physischen oder <strong>elektronische</strong>n Format die Information entstanden ist.<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 61 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
Das Ziel: Universal-Archive<br />
Universal-Archive für die Speicherung aller Formen von Daten, Informationen,<br />
Dokumenten, Content <strong>und</strong> Media Assets<br />
Werfen wir noch einmal einen Blick auf die unterschiedlichsten Formen der<br />
Information die ein Archiv speichern können muss. Eine Reihe dieser Informationen<br />
ist fremdbestimmt, wir haben hier keine Kontrolle darüber, in welchem Format, in<br />
welcher Struktur sie unser System erreichen. Zahlreiche Informationen erzeugen Sie<br />
aber selbst <strong>und</strong> können daher im Prinzip auch selbst bestimmen, wie sie strukturiert<br />
<strong>und</strong> indiziert werden <strong>und</strong> in welcher Form sie ins Archiv gelangen.<br />
Eingänge <strong>und</strong> Ausgänge eines <strong>elektronische</strong>n Archives<br />
Fremdbestimmt<br />
DFÜ<br />
E-Mail<br />
- Attachment<br />
- Signatur<br />
Fax<br />
Posteingang<br />
-ScanAkte<br />
- Scan Dokumente<br />
Internet-Formular<br />
„no-Scans“<br />
Eigenbestimmt<br />
E-Mail<br />
- Attachment<br />
Scan<br />
Office (Word)<br />
Cold<br />
Daten<br />
Vordrucke<br />
DRT-Lösung<br />
WF DMS Akte<br />
Archiv<br />
Vorgangsbearbeitung<br />
Aussonderung<br />
Historisches<br />
Archiv<br />
Eigennutzung<br />
Intranet<br />
Sicherheitskopien<br />
Statistik<br />
Protokoll<br />
Vorgänge<br />
Dokumente<br />
E-Mail<br />
Druck<br />
Fremdnutzung<br />
DFÜ<br />
Dokumente<br />
Vorgänge<br />
Vordrucke<br />
E-Mail<br />
Webseite<br />
Prüfung<br />
Auch bei der Nutzung gibt es unterschiedliche Formen, intern <strong>und</strong> fremd. Wenn wir<br />
uns dann hier noch einmal vor Augen führen, worüber wir im Zusammenhang mit<br />
den <strong>GDPdU</strong> sprechen, dann betreffen diese in Hinblick auf die auswertbaren Daten<br />
nur einen ganz kleinen Teil der Informationen. Ein paar Daten, die nur für den Zweck<br />
einer Prüfung benötigt werden, die vielleicht nur alle 4, 5 Jahre einmal durchgeführt<br />
wird.<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 62 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
Zusammenfassung zum Thema <strong>elektronische</strong> <strong>Archivierung</strong><br />
• Archivsysteme schützen Information vor Verlust, Veränderung <strong>und</strong><br />
unautorisierter Benutzung<br />
• Archivsysteme sind Infrastruktur-Komponenten<br />
• Archivsysteme stehen als Dienst jeder Anwendung einheitlich zur<br />
Verfügung<br />
• Archivsysteme bilden die universelle, übergreifend nutzbare Wissensbasis<br />
des Unternehmens<br />
• Archivsysteme speichern alle Formen von Daten <strong>und</strong> Dokumenten <strong>und</strong><br />
erschließen sie über Datenbanken<br />
• Archivsysteme unterstützen die gegen Missbrauch geschützte Nutzung von<br />
Informationen in geschlossenen <strong>und</strong> offenen Kommunikationsgemeinschaften<br />
Fassen wir das Thema <strong>elektronische</strong> <strong>Archivierung</strong> noch einmal kurz zusammen.<br />
Archivsysteme schützen vor Verlust, Veränderung <strong>und</strong> unautorisierter Benutzung. Es<br />
darf ja nur ein Berechtigter Zugriff auf die Informationen bekommen. Archivsysteme<br />
sind eigentlich Infrastrukturkomponenten, die heute in jede moderne IT-Infrastruktur<br />
hinein gehören. Sie sollten als Dienst allen Anwendungen zur Verfügung stehen,<br />
damit nach den gleichen Kriterien <strong>und</strong> übergreifend alle Information erschlossen<br />
werden kann, nicht dass jede Anwendung eigenständig archiviert. Und sie sollten<br />
darauf ausgelegt sein, alle Informationen des Unternehmens als nutzbares Wissen<br />
zu erschließen.<br />
Drei Themen als Ausblick<br />
Werfen wir noch mal einen Blick über den Tellerrand, drei Themen zum Abschluss.<br />
Mit meinem Kollegen Bernhard Zöller habe ich 10 Thesen zum Thema „<strong>GDPdU</strong> <strong>und</strong><br />
<strong>elektronische</strong> <strong>Archivierung</strong>“ formuliert, die ich Ihnen hier, auch mögliche als Ideensammlung<br />
für die abschließende Podiumsdiskussion dieser Veranstaltung, gern<br />
einmal präsentieren möchte.<br />
10 Thesen zu den <strong>GDPdU</strong> <strong>und</strong> zur <strong>elektronische</strong>n <strong>Archivierung</strong><br />
1. Die <strong>GDPdU</strong> betrifft vorrangig Daten in kaufmännischer Software<br />
Die <strong>GDPdU</strong> betrifft in erster Linie Daten in kaufmännischer Software wie<br />
z.B. Finanzbuchhaltungen <strong>und</strong> hat nur indirekt mit <strong>elektronische</strong>r<br />
<strong>Archivierung</strong> zu tun. Erst wenn Daten ausgelagert werden sollen, stellt die<br />
<strong>elektronische</strong> <strong>Archivierung</strong> eine Option dar.<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 63 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
10 Thesen zu den <strong>GDPdU</strong> <strong>und</strong> zur <strong>elektronische</strong>n <strong>Archivierung</strong><br />
2. Der GOBS-konforme Betrieb der Buchhaltungssoftware erfüllt fast alle<br />
Anforderungen der <strong>GDPdU</strong><br />
Bezüglich der Revisionssicherheit gibt es durch die <strong>GDPdU</strong> kaum neue<br />
Anforderungen, die nicht bereits durch die bisherige GOBS geregelt<br />
wären.<br />
3. Die <strong>GDPdU</strong> enthalten keine neue Definition für Revisionssicherheit<br />
Die geänderten Paragraphen der Abgabenordnung setzen bezüglich der<br />
Revisionssicherheit der von Unternehmen zu verwendenden DV-Systeme<br />
wie bisher auf die bereits in den GOBS von 1995 dargestellten<br />
Anforderungen.<br />
4. Neu sind nur Aufbewahrung von <strong>und</strong> Zugriff auf steuerrelevante Daten<br />
Die Dauer der Aufbewahrungsfrist für originär <strong>elektronische</strong> Daten<br />
(anstelle von Papierausdrucken) hat sich verlängert <strong>und</strong> die<br />
Zugriffsmethoden auf die Daten sind in den <strong>GDPdU</strong> neu geregelt.<br />
5. Revisionssicherheit definiert sich nicht allein durch das Speichermedium<br />
Das gesamte Verfahren der Erfassung, Bearbeitung, Speicherung <strong>und</strong><br />
Reproduktion von steuerrechtlich <strong>und</strong> handelsrechtlich relevanten Daten<br />
mit allen organisatorischen, Betriebs- <strong>und</strong> technischen Faktoren muss<br />
revisionssicher sein.<br />
6. Elektronische Archive nur für die <strong>GDPdU</strong> sind unwirtschaftlich<br />
Der Einsatz <strong>elektronische</strong>r Archivsysteme nur zur Erfüllung der rechtlichen<br />
Anforderungen ist unwirtschaftlich. Elektronische Archive müssen als<br />
universeller Wissensspeicher für alle Informationen des Unternehmens<br />
nutzbar sein.<br />
7. Die <strong>GDPdU</strong> schreiben keine besonderen Medien für die Aufbewahrung vor<br />
Die Daten der normalen kaufmännischen Anwendungen können wie<br />
bisher auf denjenigen Speichern aufbewahrt werden, die nach GOBS<br />
zulässig sind. Hierzu zählen Diskette, Magnetband, Magnetplatte, digitale<br />
optische Medien <strong>und</strong> andere <strong>elektronische</strong> Speicher.<br />
8. Strukturierte Daten sind durch wahlfreien Zugriff auswertbar, unstrukturierte<br />
Dokumente nicht<br />
Der Begriff der maschinellen Auswertbarkeit bezieht sich in erster Linie<br />
auf kaufmännische Daten, die in einer Struktur vorliegen, die den direkten<br />
Zugriff auf beliebige Daten erlaubt. Die meisten Dokumente sind in<br />
diesem Sinne nicht maschinell auswertbar, da sie naturgemäß schwach<br />
oder unstrukturiert sind.<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 64 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
10 Thesen zu den <strong>GDPdU</strong> <strong>und</strong> zur <strong>elektronische</strong>n <strong>Archivierung</strong><br />
9. Die Verantwortung für die technische Auslegung liegt beim Steuerpflichtigen<br />
Die <strong>GDPdU</strong> regeln, wie eine Prüfung durchgeführt wird <strong>und</strong> wie Daten<br />
bereitgestellt werden müssen. Sie enthält keine Vorgaben, was für<br />
Systeme beim Steuerpflichtigen vorhanden <strong>und</strong> wie diese ausgelegt sein<br />
müssen.<br />
10. Eine Verfahrensdokumentation nach GoBS ist wichtig<br />
In einer Verfahrensdokumentation nach GoBS wird nachvollziehbar<br />
beschrieben, wie alle kaufmännisch relevanten Informationen entstehen,<br />
geordnet gespeichert, indiziert, geschützt, wiedergef<strong>und</strong>en <strong>und</strong> verlustfrei<br />
reproduziert werden können.<br />
These 1: Meines Erachtens betreffen die <strong>GDPdU</strong> <strong>und</strong> IDEA vorrangig Daten in<br />
kaufmännischer Software. Alles andere sind nur Nebenkriegsschauplätze. Nur auf<br />
diesen strukturierten Daten kann man automatisch Auswertungen durchführen. Nach<br />
der Auswertung möchte der Prüfer Einzelsachverhalte prüfen <strong>und</strong> sieht sich dann<br />
den zugehörigen Beleg an. Liegt der Beleg originär in Papierform vor, dann guckt<br />
man in einen Papierordner, ist er in einem <strong>elektronische</strong>n System gespeichert, dann<br />
sucht man ihn aus dem <strong>elektronische</strong>n System heraus <strong>und</strong> zeigt ihn an.<br />
Der GOBS-konforme Betrieb der Buchhaltungssoftware erfüllt damit schon fast alle<br />
Anforderungen der <strong>GDPdU</strong>. In dieser Software werden die originären, steuerrelevanten<br />
Daten erzeugt <strong>und</strong> verwaltet. Aber es ist nicht nur die Software allein, die<br />
GoBS erwarten, dass auch das gesamte organisatorische Umfeld, die zugehörigen<br />
Prozesse <strong>und</strong> der Betrieb sicher <strong>und</strong> ordnungsgemäß sind.<br />
Die <strong>GDPdU</strong> enthalten drittens keine neue Definition von Revisionssicherheit. Hier<br />
bleibt alles beim alten, entsprechend den GoBS. In den <strong>GDPdU</strong> geht es nur um die<br />
Prüfung. Man muss sich auch eines vor Augen halten, in Großunternehmen haben<br />
die Steuerprüfer z.B. ein eigenes Zimmer mit Kaffeemaschine <strong>und</strong> direktem Zugang<br />
zur EDV, sie gehen mit in die Kantine <strong>und</strong> viele Mitarbeiter wissen gar nicht, dass<br />
dies Steuerprüfer sind.<br />
Neu sind wirklich nur die Aufbewahrungsanforderungen an <strong>elektronische</strong> Daten <strong>und</strong><br />
eben der Zugriff auf steuerrelevante Daten. 10 Jahre stellen hier eine erhebliche<br />
Herausforderung an Ihre IT-Strategie dar.<br />
Fünftens: Revisionssicherheit definiert sich nicht allein durch das Speichermedium.<br />
Lassen Sie sich nicht von den Anbietern sogenannter revisionssicherer Speichermedien<br />
oder Speichersubsysteme vormachen. Eine gute Frage an die Anbieter in<br />
dieser Situation ist, wie der Anbieter sich den haftungsrechtlich abgesichert, oder<br />
versichert hat, wenn Sie in 10 Jahren „<strong>GDPdU</strong>-konform“, mit wahlfreiem Zugriff, mit<br />
quantitativ <strong>und</strong> qualitativ gleichwertigen Auswertungen an die Daten ran müssen.<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 65 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
These 6: Elektronische Archive nur für die Erfüllung der <strong>GDPdU</strong> sind unwirtschaftlich!<br />
Dies muss wirklich einmal in aller Deutlichkeit gesagt werden, nur für den Zweck,<br />
jemanden in ein paar Jahren ein paar Daten heraussuchen zu müssen, ein teueres<br />
Archivsystem anzuschaffen, das ist unwirtschaftlich. Archivsysteme müssen so quasi<br />
nebenbei die Anforderungen der GoBS <strong>und</strong> der <strong>GDPdU</strong> erfüllen, sie die<br />
<strong>elektronische</strong> Wissenspeicher <strong>und</strong> Information hat nur dann einen Wert, wenn sie<br />
auch genutzt wird. Also bitte kein Adhoc-Entscheidungen bei einem Messebesuch.<br />
Viele Anbieter werben mit <strong>GDPdU</strong>-Konformität, Sie sollten aber prüfen, wofür man<br />
die <strong>Archivierung</strong> überhaupt im Unternehmen sinnvoll einsetzen kann.<br />
Wie bereits behandelt: Die <strong>GDPdU</strong> schreibt keine besonderen Medien für die<br />
<strong>Archivierung</strong> vor.<br />
Eines muss deutlicher in der Diskussion differenziert werden: Strukturierte Daten<br />
sind durch wahlfreien Zugriff direkt auswertbar, unstrukturierte Dokumente im Sinne<br />
von Belegen nicht.<br />
These 9: Es nimmt Ihnen keiner die Entscheidung ab, welche Systeme Sie einführen<br />
<strong>und</strong> wie sie die steuerrelevanten Daten qualifizieren. Sie als Steuerpflichtiger sind für<br />
die Systeme verantwortlich, Sie müssen sie ordentlich betreiben <strong>und</strong> sicherstellen,<br />
dass die geforderten Informationen im Zugriff sind. Dies müssen Sie heute bereits<br />
vorbereiten. Die Finanzbehörden können noch 2, 3 oder 4 Jahre lang üben, die<br />
digitale Steuerprüfung erproben <strong>und</strong> weiterentwickeln, bevor sie bei Ihnen vor der<br />
Tür stehen. Geprüft aber werden dann die Daten, die heute, nein nicht nur heute,<br />
sondern seit 2001, bei Ihnen entstanden sind. Sie müssen sich heute auf die digitale<br />
Steuerprüfung vorbereiten, Sie können nicht länger abwarten, Sie müssen jetzt<br />
handeln!<br />
Zum Schluss dieser Thesensammlung: eine Verfahrensdokumentation ist wichtig.<br />
Die Verfahrensdokumentation war schon immer eine Anforderung der GoBS, auch<br />
schon vor 1995, nur gemacht haben dies die Wenigsten. Eine Verfahrensdokumentation<br />
ist aus mehreren Gründen wichtig. Nicht nur, weil die Verordnung sie<br />
vorschreibt, nicht nur, weil der Steuerprüfer Sie danach fragen wird, wo ist<br />
dokumentiert, wie Dein System funktioniert, welche Daten sind wo gespeichert, wie<br />
habe ich Zugriff darauf. Viel wichtiger ist für Sie selbst, das Sie die Veränderungen<br />
Ihres Systems nachhalten, wie die Informationen im System nach Dokumentenklassen<br />
organisiert, geordnet <strong>und</strong> indiziert sind, wer in Ihrem System Veränderungen<br />
vornehmen kann, wie Ihre Prozesse ablaufen, damit wirklich fehlerfrei <strong>und</strong> vollständig<br />
alles im Archiv landet. Eine Verfahrensdokumentation wird nicht einmal erstellt <strong>und</strong><br />
dann „ab in den Schrank“, sie ist ein Dokument, das lebt, das fortgeschrieben werden<br />
muss, das Ihnen die Sicherheit geben soll, irgendwann in der Zukunft die<br />
gespeicherten Daten auch wieder gewinnen zu können.<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 66 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
Ein schwerwiegender Interessenkonflikt<br />
• Der Gesetzgeber fordert Aufbewahrungsfristen von 10 oder mehr Jahren:<br />
Informationen sollen langfristig verfügbar sein<br />
• Der Markt entwickelt sich stürmisch weiter:<br />
jedes Jahr neue Software, neue Hardware, neue Standards ...<br />
Im Umfeld der <strong>elektronische</strong>n Langzeitarchivierung begegnen wir einem ganz<br />
entscheidenden, schwerwiegenden Interessenkonflikt. Der Gesetzgeber fordert von<br />
Ihnen Aufbewahrungsfristen von zehn oder mehr Jahren <strong>und</strong> jeder von uns weiß,<br />
dass jedes Jahr, zu jeder Messe, Ihnen wieder neue Software, neue Releases,<br />
häufig inkompatibel zur installierten Version, angedient werden. Und - wehe Sie<br />
installieren nicht die neueste Version, dann verlieren Sie unter Umständen auch noch<br />
Gewährleistung <strong>und</strong> Service.<br />
Die Konsequenz der Abhängigkeit: Migration<br />
• Das Verschwinden von Produkten <strong>und</strong> Anbietern ist keine Katastrophe,<br />
sondern in Hinblick auf eine langfristige Informationsverfügbarkeit der<br />
Regelfall<br />
• Der Anwender muss sich durch Einhaltung von Standards, offene<br />
Schnittstellen <strong>und</strong> Migration gr<strong>und</strong>sätzlich auf Wechsel von Anbietern,<br />
Produkten <strong>und</strong> Formaten wappnen<br />
• Migrationen sind für wertvolle, über Jahrzehnte aufzubewahrende Daten<br />
<strong>und</strong> Dokumente als „Continuous“, kontinuierliche Migration zu planen<br />
Macht man sich nun noch bewusst, dass viele der Anbieter von Archivsystemen<br />
mittelständische Unternehmen sind, erinnert man sich an den Niedergang am Neuen<br />
Markt, dann muss man sich von vorne herein auf die Konsequenz einrichten:<br />
Migration. Denn das Verschwinden von Produkten <strong>und</strong> Anbietern ist keine<br />
Katastrophe, das ist einfach naturgegeben, das ist unsere freie Marktwirtschaft. Der<br />
Markt konsolidiert sich.<br />
Wenn Sie in Zeiträumen von zehn, zwanzig oder mehr Jahren Aufbewahrung<br />
denken, dann ist ganz klar, dass Sie dann nicht mehr die Software oder den Anbieter<br />
haben werden, die heute bei Ihnen im Hause sind. Das ist ein ganz normaler<br />
Prozess, da muss man sich als Anwender nicht aufregen oder in Panik versetzen<br />
lassen.<br />
Sie müssen sich selbst wappnen, auf den Veränderungsprozess einstellen. Wenn<br />
Sie die Sicherheit haben wollen, dass die Informationen aus den heutigen Systemen<br />
auch in zukünftige überführt werden können, dann müssen Sie ernsthaft Standards<br />
einfordern, sauber dokumentierte Schnittstellen, aussagekräftige Dokumentationen.<br />
Sie müssen auch prüfen, ob die Versprechungen der Anbieter in Punkto Standards<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 67 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
<strong>und</strong> Migration auch wahr sind, Sie müssen Migrationen bereits bei der Erstinstallation<br />
<strong>und</strong> bei folgenden Veränderungen Ihrer Systeme erproben.<br />
Kontinuierliche Migration<br />
Entscheidung<br />
Realisierung<br />
Produktionsbetrieb<br />
Migration<br />
Geänderte<br />
Anforderungen<br />
Migration muss als kontinuierlicher Prozess betrachtet werden. Bereits bei der<br />
Erstinstallation ist bereits der Wechsel auf die nächste Generation vorzuplanen. Aus<br />
dem Produktionsbetrieb ergeben sich bereits Veränderungen, hinzu kommen<br />
veränderte Anforderungen der Anwender, neue Anwendungen, die ebenfalls das<br />
Archiv nutzen wollen, <strong>und</strong> so weiter.<br />
Migration: Beispiele für Ursachen <strong>und</strong> Notwendigkeit<br />
Migration von Informationen<br />
• Umkopieren von Informationen von einem Medium auf ein anderes sowie<br />
den Wechsel von Laufwerken <strong>und</strong> Medien<br />
• Überführung der Zugriffsinformationen (Indizes) in eine andere Datenbank<br />
- bedingt durch die Weiterentwicklung der Speichertechnologien<br />
Migration bei technologischer Weiterentwicklung<br />
• wenn Laufwerke <strong>und</strong> Medien kostengünstiger werden,<br />
• wenn Laufwerke <strong>und</strong> Medien mehr Speicherkapazität haben,<br />
• wenn es neue Speicherstrategien gibt, die einen schnelleren Zugriff<br />
erlauben<br />
• wenn die Neuanschaffung günstiger wird als die Wartungskosten<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 68 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
Migration: Beispiele für Ursachen <strong>und</strong> Notwendigkeit<br />
Migration bei Aufgabenerweiterung <strong>und</strong> Ausbau von Systemen<br />
• Die Skalierbarkeit <strong>und</strong> Kaskadierbarkeit eines Archivsystems ist hier von<br />
Bedeutung<br />
Migration durch Unternehmenszusammenführung<br />
• Die Zusammenführung lässt sich nur durch eine integrierende Middleware<br />
mit Anpassung vorhandener Archive oder durch die Migration in eine<br />
Lösung bewältigen<br />
Je nach dem wie gut <strong>und</strong> sorgfältig Sie Ihre Systeme geplant <strong>und</strong> eingerichtet haben,<br />
gibt es verschiedene Typen der Migration. Harte Migration, diese wird immer dann<br />
notwendig, wenn Sie etwas bei der Systemauswahl falsch gemacht, wenn Sie sich<br />
eine „exotische Insel“ als Lösung angeschafft haben. Bei einem Systemwechsel<br />
müssen dann Anwendung, Datenbank <strong>und</strong> alle Daten migriert werden. Aus<br />
Erfahrung weiß ich, dass dies bei proprietären Lösungen zwei, dreimal so teuer<br />
werden kann, wie die ursprüngliche Installation. Und es ist ein aufwendiger,<br />
langwieriger Prozess.<br />
Hat man sorgfältiger geplant, auf Standards, Schnittstellen <strong>und</strong> Modularität geachtet,<br />
hat man die Möglichkeit einer weichen Migration. Dies bedeutet, dass man die<br />
Speichersubsysteme <strong>und</strong> die Medien weiter benutzen kann, <strong>und</strong> nur die Index-<br />
Datenbank, Anwendung <strong>und</strong> Client migriert.<br />
Der ideale Weg ist aber der, dass man seine Systeme so auslegt, dass man unter<br />
einer Zwischenschicht, einer Middleware, unterschiedlich alte, von verschiedenen<br />
Anbietern stammende <strong>und</strong> beliebig strukturierte Systeme gleichermaßen benutzen<br />
kann. Dies gibt Ihnen die Möglichkeit, alte Archive auszualtern, neue Informationen<br />
nur in die jüngeren Systeme zu schreiben <strong>und</strong> die alten nur noch für den Lesezugriff<br />
zu nutzen, dies alles nur mit einem Client, unter einer Benutzeroberfläche, so dass<br />
der Anwender nicht wissen muss, wo kommt eigentlich die archivierte Information<br />
her. Die Herausforderung der integrativen Migration ist der transparente Zugriff auf<br />
unterschiedliche Systeme.<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 69 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
Harte, weiche <strong>und</strong> integrative Migration<br />
• Harte Migration<br />
o Umkopieren von Index-Datenbanken, Anwendungsinformation <strong>und</strong><br />
Dokumenten in neue Systeme <strong>und</strong> auf neue Medien (bei einer<br />
Systemumstellung)<br />
• Weiche Migration<br />
o Nur umkopieren <strong>und</strong> neu organisieren der Index-Datenbank <strong>und</strong> der<br />
Anwendung bei einer Systemumstellung<br />
o Bestehende Medien werden weiter genutzt<br />
• Integrative Migration<br />
o Paralleler Betrieb unterschiedlicher alter Strukturen oder Hersteller-<br />
Archive unter einer Middleware mit gegebenenfalls Ausalterung alter<br />
Komponenten (bei einer Systemumstellung)<br />
Sie brauchen eine Migrationsstrategie, die Bestandteil Ihrer allgemeinen IT-Strategie<br />
sein muss. Auch bei der Wirtschaftlichkeitsberechnung im Rahmen einer Produktauswahl<br />
muss man bereits die Kosten für die langfristige Verfügbarkeit der Informationen,<br />
für den Betrieb <strong>und</strong> die Migration ehrlich einrechnen. Die Migrationszyklen<br />
sind dabei heute kürzer als die vom Gesetzgeber geforderte Aufbewahrungsfrist.<br />
Migrationsstrategie <strong>und</strong> Migrationskonzept<br />
• Strategie eines Migrationskonzeptes muss sein, über die erste<br />
Realisierungsphase hinaus<br />
o Betrieb,<br />
o Informationsverfügbarkeit,<br />
o Ausbaufähigkeit <strong>und</strong><br />
o Systemwechsel<br />
sicherzustellen<br />
• Das Migrationskonzept sollte bei jeder Ausschreibung Bestandteil der<br />
Anforderungen sein <strong>und</strong> in den Vertrag übernommen<br />
Das Migrationskonzept muss auch die Prüfung von Veränderungen in anderen<br />
Bereichen der IT-Landschaft beinhalten, die Auswirkungen auf das Archivsystem <strong>und</strong><br />
die archivierten Daten haben können. Eigentlich müsste hierfür eine Checkliste bei<br />
Ihren IT-Strategen <strong>und</strong> Systemadministratoren liegen, an Hand der geprüft wird,<br />
welche Auswirkungen die Änderungen einer Datenbankstruktur oder Schnittstelle,<br />
eines neuen Software-Releases, des Updates der Betriebssystemsoftware <strong>und</strong><br />
ähnliche Aktionen auf das Archiv haben. Tun Sie dies nicht, werden Sie irgendwann<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 70 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
einmal auf nicht mehr auswertbare, nicht mehr wiedergewinnbare Datenbestände<br />
stoßen. Dies sollten dann allerdings möglichst keine steuerrelevanten Daten nach<br />
den <strong>GDPdU</strong> sein.<br />
Das Thema Migration macht bereits deutlich, welche Auswirkungen die <strong>elektronische</strong><br />
<strong>Archivierung</strong> auf Ihr Unternehmensinformationen hat. Man kann das Thema aber<br />
auch noch weiter fassen.<br />
Die Herausforderung der Zukunft<br />
Elektronische Archive sind das Gedächtnis der Informationsgesellschaft<br />
EU-Kommissar Erkki Liikanen<br />
Ich liebe diesen Ausspruch von Erkki Likaanen, EU-Kommissar für die Informationsgesellschaft,<br />
den er auf einer großen Tagung in Brüssel vor drei Jahren<br />
gemacht hat: „Elektronische Archive sind das Gedächtnis der Informationsgesellschaft“.<br />
Hiermit bewegen wir uns weit von den paar steuerrelevanten Daten im<br />
Unternehmen weg. Information hat nur dann einen inhärenten Wert, wenn man sie<br />
auch nutzt. Informationen für die Steuerprüfung liegen jahrelang „in der Ecke“ <strong>und</strong><br />
man weiß nicht, ob sie überhaupt benötigt werden. Eine Investition in <strong>elektronische</strong>s<br />
Dokumentenmanagement lohnt nur dann, wenn man Daten <strong>und</strong> Dokumente in<br />
Prozessen zur Verfügung stellt, wenn man sie als Wissen zugänglich macht.<br />
Der Wert von Information<br />
Information hat nur dann einen inhärenten Wert, wenn man die Information als<br />
Wissen auch in Prozessen nutzbar macht.<br />
Man muss sich aber auch klarmachen, dass wir uns in eine immer größere<br />
Abhängigkeit von <strong>elektronische</strong>n Informationen begeben, von ihrer Verfügbarkeit,<br />
ihrer Richtigkeit, ihrer Vollständigkeit.<br />
Die Abhängigkeit von Information<br />
• Die Abhängigkeit von der Verfügbarkeit, Vollständigkeit <strong>und</strong> der Richtigkeit<br />
von <strong>elektronische</strong>r Information wächst ständig<br />
• Unternehmen, Behörden <strong>und</strong> Gesellschaft sind von der Verfügbarkeit von<br />
Information inzwischen existentiell abhängig geworden<br />
Bei den operativen Systemen Dies war schon immer so. Wenn beispielsweise einer<br />
Bank das Zahlungsverkehrsystem oder Börsensystem wegbricht, vier, fünf Tage<br />
stillsteht, die Daten verloren gehen, dann ist das Unternehmen schon fast am Ende.<br />
Wenn sie jetzt auch noch die Dokumente elektronisch erfassen, beispielsweise in<br />
einer Versicherung frühes Erfassen des Posteinganges, nicht mehr mit Papier<br />
arbeiten, dann drehen die Kollegen in der Sachbearbeitung bei einem Systemausfall<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 71 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
nach einer halben St<strong>und</strong>e „Däumchen“. Bei einem längeren Ausfall mit Datenverlust<br />
<strong>und</strong> nicht mehr wiederherstellbaren Archiven können Sie an fünf Fingern abzählen,<br />
wann sie den Weg zum Insolenzrichter gehen müssen. Dies ist der Maßstab, an dem<br />
Sie Ihre Planung für ein <strong>elektronische</strong>s Dokumentenmanagementsystem ausrichten<br />
müssen. Unter diesem Aspekt müssen Sie Ihre Investitionen für die Einführung einer<br />
<strong>elektronische</strong>n <strong>Archivierung</strong>, eines Workflow- oder eines Enterprise Content<br />
Management Systems planen. Wir sind heute schon in einer bedrohlichen Abhängigkeit<br />
von der Verfügbarkeit von <strong>elektronische</strong>n Informationen, besonders in Branchen,<br />
wo keine realen physischen Objekte, Produkte, mehr entstehen, wo es im Geschäft<br />
nur noch um virtuelle Güter, Geld oder Verträge, geht.<br />
Information Overflow<br />
Wir leiden an einer Informationsüberflutung <strong>und</strong> müssen die werthaltige, wichtige<br />
Information mühsam suchen<br />
Wir leben heute einerseits einen Information Overflow. Ich brauch Sie gar nicht an<br />
Ihre eigenen überquellen E-Mail-Postkörbe erinnern. Die wesentliche Aufgabe ist,<br />
Information bewerten <strong>und</strong> auszusondern. Dies kann man natürlich gleich bei der<br />
Qualifizierung steuerrelevanter Daten beginnen <strong>und</strong> auch einmal ergänzend prüfen,<br />
welche Informationen sind denn noch für das Unternehmen wichtig.<br />
Information Gap<br />
Die ersten Lücken in der <strong>elektronische</strong>n Überlieferung treten auf.<br />
Elektronisches Wissen ist bereits unwiederbringlich verloren gegangen<br />
Andererseits haben wir schon die ersten Überlieferungslücken. Da gibt es nicht nur<br />
dieses vielzitierte Beispiel der Bänder der Marsexpedition, wo Millionenwerte<br />
investiert wurden <strong>und</strong> heute kann keiner mehr die Bänder auswerten. Das geht Ihnen<br />
vielleicht in Ihren Unternehmen bereits genauso. Wer kann denn noch die 8“-Diskette<br />
seines Fibu-Systems von vor zehn Jahren einlesen, wenn es denn heute gefordert<br />
würde? Wer hat denn über alle seine Software- <strong>und</strong> Hardwareversionen eine<br />
Abwärtskompatibilität über die letzten zehn Jahren? Andererseits wollen Sie doch<br />
nicht Direktor eines Technikmuseums werden, oder ? Sie müssen Strategien<br />
entwickeln, wie Sie die wertvollen Daten Ihres Unternehmens sichern <strong>und</strong> für Ihr<br />
Unternehmen aus den Daten einen Nutzen ziehen.<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 72 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
Information Divide<br />
Information steht nicht jedem gleichermaßen zur Verfügung.<br />
Die Trennung betrifft Kontinente <strong>und</strong> Gesellschaftsschichten, aber auch die<br />
einzelnen Mitarbeiter in Unternehmen <strong>und</strong> Verwaltung<br />
Und es gibt noch einen dritten Begriff in der aktuellen Diskussion, den ich hier kurz<br />
ansprechen möchte: Information Divide. Er wurde immer nur benutzt, um den<br />
Unterschied deutlich zu machen, zwischen den Nationen der Ersten Welt, die mit<br />
Informationen umgehen können, die Zugang zu Information haben, <strong>und</strong> denen der<br />
Dritten Welt, wo vielleicht auf ein Land so viele Internetzugänge kommen, wie auf<br />
eine mittlere Kleinstadt in Deutschland. Nein, diese Information Divide findet auch in<br />
Ihren Unternehmen statt. Wie heute morgen von den Kollegen von Ernst&Young<br />
angesprochen zeigt sie sich schon darin, dass Ihre IT-Experten <strong>und</strong> Ihre<br />
Steuerspezialisten aneinander vorbeireden oder gar nicht mit einander sprechen. Sie<br />
zeigt sich in der Altersstruktur Ihres Unternehmen, wo jüngere Mitarbeiter mit der<br />
Nintendo-Konsole aufgewachsen sind <strong>und</strong> nicht verstehen, dass Sie es noch nicht<br />
einmal schaffen, einfache Schwarzweiß-Images im Unternehmen zu verteilen, <strong>und</strong><br />
wo andererseits ältere Mitarbeiter mit ständig neuer Software, der Anpassung an<br />
immer neue Abläufe <strong>und</strong> Arbeitswesen ständig überfordert werden. Dies ist ein<br />
Aspekt, den wir bei der Planung <strong>und</strong> Einführung eines Dokumentenmanagementsystems<br />
nicht übersehen dürfen. Und wir müssen an unsere Disposition als Mensch<br />
denken, dem es schwer fällt mit der virtuellen Welt, den ständigen Veränderungen<br />
unserer Arbeitswelt zurecht zu kommen.<br />
Elektronisches Dokumentenmanagement ist unerlässlich<br />
Wir ertrinken in Informationen <strong>und</strong> dürsten nach Wissen.<br />
John Naisbitt, Megatrends 2000<br />
Wir ertrinken heute in Informationen <strong>und</strong> dürsten nach Wissen. Dieser Satz von John<br />
Naisbitt aus den Megatrends 2000, mit dem ich schließen will, zeigt deutlich die<br />
Herausforderung, der Sie sich gegenübersehen.<br />
Fazit<br />
Die <strong>elektronische</strong> <strong>Archivierung</strong> liefert einen wichtigen Beitrag zur Lösung der<br />
Probleme der Bewahrung <strong>und</strong> Erschließung von Information<br />
Elektronische <strong>Archivierung</strong> kann zur Lösung dieser Probleme einen wichtigen Beitrag<br />
liefern, sie ist nicht die Lösung an <strong>und</strong> für sich. Sie liefert einen Beitrag zur<br />
Bewahrung <strong>und</strong> Erschließung von Information, aber nicht mehr.<br />
Vielen Dank für Ihre Aufmerksamkeit.<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 73 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 74 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
Teil C<br />
Die <strong>GDPdU</strong> <strong>und</strong> ihre Anforderungen zur <strong>elektronische</strong>n<br />
<strong>Archivierung</strong><br />
Gemeinsame Stellungnahme von <strong>PROJECT</strong> <strong>CONSULT</strong> Unternehmensberatung <strong>und</strong><br />
Zöller&Partner<br />
Hintergr<strong>und</strong><br />
Für über 3 Millionen Unternehmen in Deutschland gilt seit dem 1.1.2002 im Rahmen<br />
des Handelsgesetzbuches eine neue Abgabenordnung. Diese räumt der<br />
Finanzbehörde im Unterschied zur vorhergehenden AO das ergänzende Recht ein,<br />
„die mit Hilfe eines Datenverarbeitungssystems erstellte Buchführung des<br />
Steuerpflichtigen durch Datenzugriff zu prüfen“. Diese neue Regelung stellt die<br />
dringend erforderliche Anpassung an die Welt des E-Business dar, in der zahlreiche<br />
kaufmännische <strong>und</strong> steuerrelevante Informationen in <strong>elektronische</strong>r Form entstehen<br />
<strong>und</strong> Ausdrucke nur eine Kopie originär digitaler Daten darstellen. Die Regelungen<br />
<strong>und</strong> Verfahren zur Durchführung von Steuerprüfungen nach diesen neuen Gesetzen<br />
sind in der <strong>GDPdU</strong>, den Gr<strong>und</strong>sätzen des Datenzugriffs <strong>und</strong> der Prüfbarkeit digitaler<br />
Unterlagen bereits im Jahr 2001 festgelegt <strong>und</strong> im B<strong>und</strong>esgesetzblatt veröffentlicht<br />
worden.<br />
Obwohl seit Januar 2002 bereits Steuerprüfungen nach diesen Regelungen<br />
durchgeführt werden, ist der Informationsbedarf immer noch sehr groß. In<br />
Seminaren, Diskussionsforen, Artikeln <strong>und</strong> anderen Medien werden die<br />
Auswirkungen der veränderten Gesetzgebung teilweise immer noch kontrovers<br />
diskutiert. Die unterschiedlichen Interpretationen der Gesetzestexte <strong>und</strong><br />
Verordnungen haben mehr zur Verwirrung denn zur Klarheit beigetragen. Dies soll<br />
mit einigen Zitaten verdeutlicht werden:<br />
- „Achtung! CD-R <strong>und</strong> DVD-R <strong>und</strong> einige andere Medien werden von den<br />
Finanzbehörden bei der <strong>Archivierung</strong> nicht als revisionssicher anerkannt.“<br />
- „Generell müssen Sie die archivierten Daten immer verschlüsseln, da Sie<br />
anderenfalls gegen die gesetzlich vorgeschriebene Sorgfaltspflicht verstoßen,<br />
was sogar als Straftatbestand gewertet <strong>und</strong> geahndet werden kann.“<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 75 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
- „Der einfachste Weg, alle diese Kriterien zu erfüllen, liegt in der <strong>Archivierung</strong><br />
auf optischen Medien.“<br />
- "Das IDEA Programm ermöglicht es, sich direkt in die Datenbanken<br />
einzuloggen."<br />
- „Volltextbasierte Archivsysteme sind für die Langzeitarchivierung nicht mehr<br />
zulässig.“<br />
- „COLD-Verfahren, die eine TIFF-Datei erzeugen, sind nicht mehr AOkonform.“<br />
Diese Zitate sind nur einige Beispiele, die beides zeigen: Unkenntnis <strong>und</strong> auch<br />
gewollte Interpretation zu Gunsten oder Lasten bestimmter Produkte. Die Vielfalt<br />
neuer <strong>und</strong> nicht ausreichend definierter Begriffe trägt ein Übriges zur Situation bei.<br />
Letztlich Klarheit schaffen kann nur das BMF (B<strong>und</strong>esministerium der Finanzen). In<br />
Form von Frage-&-Antwort-Katalogen sind erste Ansätze auf der Webseite des BMF<br />
zu finden, deren Rechtsverbindlichkeit jedoch nicht ausreichend erscheint.<br />
<strong>PROJECT</strong> <strong>CONSULT</strong> Unternehmensberatung <strong>und</strong> Zöller & Partner sind als<br />
unabhängige Beratungsunternehmen für Dokumenten-Technologien häufig mit<br />
diesen Fragen <strong>und</strong> Unsicherheiten der Anwender konfrontiert. Aus diesem Gr<strong>und</strong><br />
haben sich beide Unternehmen entschlossen, diese gemeinsame Stellungnahme zu<br />
veröffentlichen, die besonders bei kleineren <strong>und</strong> mittelständischen Unternehmen die<br />
notwendige Klarheit zu den Auswirkungen der <strong>GDPdU</strong> schaffen soll.<br />
Umfeld<br />
Die Änderungen des Handelsgesetzbuches <strong>und</strong> der Steuergesetzgebung sowie die<br />
<strong>GDPdU</strong> betreffen jedes steuerpflichtige Unternehmen in Deutschland. Hierbei wird<br />
kein Unterschied gemacht, ob es sich um eine 1-Personen-GmbH oder eine<br />
100.000-Mitarbeiter-AG handelt. Die Anforderungen sind für jedes Unternehmen die<br />
Gleichen, jedoch trifft der Steuerprüfer auf unterschiedliche technische,<br />
wirtschaftliche <strong>und</strong> organisatorische Voraussetzungen.<br />
Kleinere Unternehmen<br />
Selbstständige <strong>und</strong> kleinere Unternehmen benutzen heute ebenfalls<br />
Software für die Buchhaltung. Erstellung von Rechnungen <strong>und</strong> der Eingang<br />
von kaufmännisch relevanten Unterlagen geschehen aber weitgehend<br />
mittels Papier. Sofern die Daten aus dem Buchhaltungssystem über die<br />
gesetzlich vorgesehene Aufbewahrungsfrist vorgehalten <strong>und</strong> in einem<br />
auswertbaren Format exportiert werden können, sind hier die<br />
Voraussetzungen für den <strong>elektronische</strong>n Datenzugriff in der Regel erfüllt.<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 76 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
Mittelstand<br />
Bei mittelständischen Unternehmen kommen neben kaufmännischen<br />
Programmen auch andere Systeme zum Einsatz, die ebenfalls steuerrelevante<br />
Daten enthalten können. Solange alle originär steuerrelevanten<br />
Informationen aus den verschiedenen Programmumgebungen über die<br />
gesetzlich vorgesehene Aufbewahrungsfrist vorgehalten <strong>und</strong> in einem<br />
auswertbaren Format exportiert werden können, sind auch hier in der Regel<br />
die gr<strong>und</strong>sätzlichen Voraussetzungen erfüllt. Probleme können aber durch<br />
Dokumente entstehen, die originär digital sind <strong>und</strong> nur noch digital vorliegen,<br />
bzw. durch die notwendige Auslagerung von steuerrelevanten Daten aus<br />
den operativen Systemen in nachgelagerte Datensicherungs- <strong>und</strong><br />
Archivsysteme.<br />
Großunternehmen<br />
In Großunternehmen kommen vielfältigste Softwaresysteme zum Einsatz<br />
<strong>und</strong> der Anteil von steuerrelevanten Informationen, der originär elektronisch<br />
ist <strong>und</strong> nur noch in digitaler Form vorliegt, steigt zunehmend. Hier können im<br />
Regelfall nicht alle steuerrelevanten Daten <strong>und</strong> Dokumente immer<br />
recherchier- <strong>und</strong> auswertungsfähig online vorgehalten werden. Sie werden<br />
daher häufig in externe Systeme (z.B. Datensicherungs- oder<br />
Archivsysteme) ausgelagert <strong>und</strong> müssen aus diesen für die <strong>elektronische</strong><br />
Steuerprüfung wieder bereitgestellt werden.<br />
Alle Unternehmen müssen vor dem Gesetz gleichbehandelt werden. Bedingt durch<br />
die Auslegung von <strong>elektronische</strong>n Systemen <strong>und</strong> die Organisation der Unternehmen<br />
sind die möglichen Vorgehensweisen jedoch unterschiedlich. Besonders bei<br />
kleineren <strong>und</strong> mittelständischen Unternehmen kommt man beim <strong>elektronische</strong>n<br />
Datenzugriff durch die Steuerprüfer schnell an Grenzen. Auf diese Unterschiede <strong>und</strong><br />
besonders in Bezug auf die Fragen: „Was sind steuerrelevante Daten“ <strong>und</strong> „Wie<br />
müssen sie auswertbar vorgehalten werden?“, gibt die <strong>GDPdU</strong> keine eindeutige<br />
Antwort. Diese Unsicherheit gilt auch für Begriffe wie „Daten“ <strong>und</strong> „Dokumente“ oder<br />
„nur einmal beschreibbare Speichermedien“ <strong>und</strong> „Revisionssicherheit“ (siehe auch<br />
die Begriffserläuterungen am Ende der gemeinsamen Stellungnahme).<br />
Umsetzung der Anforderungen im Unternehmen<br />
Gr<strong>und</strong>sätzlich ist festzuhalten, dass jedes Unternehmen seit dem 1.1.2002 mit der<br />
<strong>elektronische</strong>n Steuerprüfung rechnen <strong>und</strong> sich auf die Bereitstellung der entsprechenden<br />
Daten für die zu prüfenden Perioden einrichten muss.<br />
Prüfung der Anwendbarkeit der <strong>GDPdU</strong><br />
Bevor jedoch über mögliche technische Umsetzungen oder die Anschaffung neuer<br />
Systeme nachgedacht wird, ist eine sorgfältige Prüfung notwendig, in welchem<br />
Umfang die <strong>elektronische</strong> Steuerprüfung zur Anwendung kommen kann. Für kleinere<br />
Unternehmen reicht hier in der Regel das Gespräch mit dem Steuerberater. Ist die<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 77 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
Buchhaltung z.B. außer Haus gegeben worden, kann es sein, dass die<br />
entsprechenden steuerrelevanten Daten, die ausgewertet werden sollen, gar nicht<br />
beim Steuerpflichtigen im Hause sind, sondern beim Steuerberater in dessen System<br />
vorliegen. Dies enthebt den Steuerpflichtigen jedoch nicht von der Verantwortung,<br />
diese Daten über die Aufbewahrungspflicht elektronisch auswertbar bereitstellen zu<br />
können. Zur Vorbereitung in einem kleineren oder mittelständischen Unternehmen<br />
gehört auch die Prüfung, ob die eingesetzte Finanz-Software in der Lage ist, die<br />
steuerrelevanten Informationen im auswertbaren Format zu liefern, sodass sie auf<br />
ein Übergabespeichermedium wie z.B. eine CD bei Bedarf oder vorsorglich kopiert<br />
werden können.<br />
In größeren Unternehmen ist die Vorprüfung aufwendiger <strong>und</strong> sollte zusammen mit<br />
dem Steuerberater oder Wirtschaftsprüfer alle Aspekte einer möglichen<br />
<strong>elektronische</strong>n Steuerprüfung betrachten. Hierbei sollte auch geprüft werden, welche<br />
Daten dem Steuerprüfer zugänglich gemacht werden müssen. Dies kann<br />
entsprechend den drei verschiedenen Typen des Zugriffs auch unterschiedliche<br />
Maßnahmen zur Folge haben wie die Einrichtung von Berechtigungen oder die<br />
Selektion von Daten für die Übergabe. Für die Durchführung solcher Prüfungen<br />
verfügen Steuerberater oder Wirtschaftsprüfer häufig über entsprechende<br />
Checklisten, die sicherstellen, dass bei der Vorbereitung keine Themen außer Acht<br />
gelassen werden.<br />
Was sind steuerrelevante Daten?<br />
Bei der Prüfung der Voraussetzungen wird der Steuerpflichtige schnell auf ein<br />
Problem stoßen – die Frage: „Was sind steuerrelevante Daten?“. In der <strong>GDPdU</strong> wird<br />
der Begriff nicht eindeutig definiert. Im Zweifelsfall sind alle Daten <strong>und</strong> Unterlagen<br />
relevant, die Kosten- oder Ertrags-relevante Informationen beinhalten. Mit dieser<br />
Definition kann ein Unternehmen aber keine technische Abgrenzung vornehmen,<br />
welche Daten sowie gegebenenfalls Dokumente, Belege <strong>und</strong> andere Unterlagen<br />
elektronisch für den Datenzugriff vorzuhalten sind <strong>und</strong> welche wie bisher behandelt<br />
werden dürfen. Eine Problematik ergibt sich auch für solche steuerrelevanten Daten,<br />
die nicht in den von der <strong>GDPdU</strong> explizit aufgezählten Systemen Finanzbuchhaltung,<br />
Lohnabrechnung oder Anlagenbuchhaltung vorliegen, sondern in anderen Systemen<br />
gespeichert sind. Dies können Nebensysteme sein mit Zeiterfassungsdaten,<br />
Bestelldaten, Registrierkassendaten, in denen ganz offensichtlich auch relevante<br />
Daten originär digital erzeugt <strong>und</strong> vorgehalten werden. Dies können aber auch per E-<br />
Mail ausgetauschte kaufmännische Dokumente, Kalkulationsdateien oder Daten aus<br />
E-Business-Anwendungen sein. Solche Daten <strong>und</strong> Unterlagen liegen in der Regel in<br />
unterschiedlichsten Systemen <strong>und</strong> an verschiedenen Speicherorten vor. Sie sind<br />
teilweise nicht wie die Daten in einer Buchhaltungssoftware direkt auswertbar. Der<br />
Steuerpflichtige muss jedoch in der Lage sein, zu einem Buchungssatz die richtigen<br />
zugehörigen Belege vollständig <strong>und</strong> sehr zeitnah zur Verfügung zu stellen.<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 78 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
Formen des Datenzugriffs<br />
Die <strong>GDPdU</strong> sieht drei Formen des Zugriffs auf steuerrelevante Daten vor, die<br />
inzwischen mit „Z1“, „Z2“ <strong>und</strong> „Z3“ abgekürzt werden. Alle drei Zugriffsarten können<br />
einzeln, aber auch kombiniert nach Bedarf von den prüfenden Finanzbehörden<br />
genutzt werden.<br />
Z1 Unmittelbarer Zugriff<br />
Beim Zugriff nach Z1 werden die Steuerprüfer die installierte Software beim<br />
Steuerpflichtigen nutzen <strong>und</strong> sich einen Arbeitsplatz einrichten lassen. Dies<br />
ist in Großunternehmen seit Jahren bereits üblich. Hierfür sind für die Prüfer<br />
spezielle Berechtigungen einzurichten, die z.B. im SAP-Umfeld bereits<br />
standardisiert wurden. Bei kleineren Unternehmen ist häufig Buchhaltungssoftware<br />
im Einsatz, die nur auf Einzelplätzen läuft oder keine<br />
dedizierte separate Berechtigung für Prüfer im Netzwerk erlaubt. Bei<br />
kleineren Softwarepaketen, für die die Steuerprüfer keine Schulung erhalten,<br />
ist daher auch eher vom Zugriff nach Z2 oder Z3 auszugehen.<br />
Z2 Mittelbarer Zugriff<br />
Beim Zugriff nach Z2 werden sich die Steuerprüfer mit Unterstützung von<br />
Mitarbeitern des Steuerpflichtigen die gewünschten Daten zeigen oder<br />
exportieren lassen. Der Steuerpflichtige ist zu dieser Unterstützung<br />
verpflichtet.<br />
Z3 Datenträgerüberlassung<br />
Bei Z3 sind vom Steuerpflichtigen Datenträger, in der Regel CDs als<br />
Übergabemedium, mit den steuerrelevanten Daten zu erstellen. Es ist davon<br />
auszugehen, dass diese Methode von den Finanzbehörden auch zu Beginn<br />
einer Prüfung genutzt wird, um Unregelmäßigkeiten zu entdecken <strong>und</strong> dann<br />
im Laufe der Prüfung gezielter auf bestimmte Vorgänge zuzugreifen. Die<br />
Software des Steuerpflichtigen muss hierfür über Export-Funktionalität<br />
verfügen, um die geforderten Daten als auswertbare Dateien zur Verfügung<br />
zu stellen.<br />
Es ist in jedem Fall davon auszugehen, dass die Steuerprüfung auch bei kleineren<br />
<strong>und</strong> mittelständischen Unternehmen von den Möglichkeiten Z2 <strong>und</strong> Z3 ausgiebig<br />
Gebrauch macht. Es ist davon auszugehen, dass Z3 besonders zur Vorbereitung der<br />
Prüfung durch die Steuerprüfer genutzt wird. Alle Beteiligten erhoffen sich hierdurch<br />
auch eine Beschleunigung der Prüfungen.<br />
Das Unternehmen sollte ferner prüfen, ob es sinnvoll <strong>und</strong> in seiner Software<br />
einrichtbar ist, zu protokollieren, welche <strong>elektronische</strong>n Daten <strong>und</strong> Vorgänge vom<br />
Steuerprüfer geprüft wurden: Hierdurch kann nachvollzogen werden, auf Basis<br />
welcher Informationen die Finanzbehörden zu bestimmten Schlüssen gekommen<br />
sind. Bisher erlauben aber nur wenige Systeme eine entsprechende Protokollierung.<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 79 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
Speicherung der Daten in der kaufmännischen Software<br />
Die meisten der Daten, die vom Steuerprüfer ausgewertet werden wollen, liegen in<br />
Buchhaltungs- <strong>und</strong> anderen Finanzverwaltungssoftwareanwendungen vor. Eine<br />
Prüfung wird sich daher wie bisher zunächst auf diese Daten stützen. Die Prüfung<br />
erfolgt auf Basis nicht verdichteter Informationen, die jede Buchung transparent<br />
prüfbar macht. Die Prüfung erfolgt nicht nur auf Basis von Summen <strong>und</strong> Salden,<br />
sondern beinhaltet die Auswertung der Einzelbuchungen <strong>und</strong> Einzelwerte. Erst im<br />
zweiten Ansatz wird wie bei den bisherigen Prüfungen bei Bedarf auf die<br />
zugehörigen Belege zurückgegriffen. Sind dies im Original Papierbelege, müssen<br />
diese auch nicht elektronisch bereitgestellt werden. Solange alle Daten eines<br />
Prüfungszeitraums in der kaufmännischen Software vorhanden sind, dort<br />
recherchiert, ausgewertet <strong>und</strong> exportiert werden können, sind die gr<strong>und</strong>sätzlichen<br />
Anforderungen der <strong>GDPdU</strong> zunächst einmal erfüllt. Der Steuerpflichtige muss sich<br />
jedoch über die Lebensdauer seiner Systeme <strong>und</strong> seiner Software Gedanken<br />
machen, z.B. ob <strong>und</strong> wie er auch ältere Versionen der Programme nebst den<br />
vollständigen Daten vorhalten muss. Beim Update oder Wechsel von Systemen<br />
muss die Migration der Daten nachgewiesenermaßen vollständig <strong>und</strong> unverändert<br />
sein. Andernfalls müssten die vorangegangene Softwareversion lauffähig<br />
vorgehalten oder die relevanten Daten in eine andere Umgebung überführt werden.<br />
Ersteres ist aber bei den steuerlichen Aufbewahrungsfristen einerseits <strong>und</strong> den<br />
kurzen Releasezyklen von Software <strong>und</strong> Plattformen andererseits realistischerweise<br />
kaum möglich <strong>und</strong> würde daher unseres Erachtens in den allermeisten Fällen mit<br />
dem Argument der Nicht-Verhältnismäßigkeit vom steuerpflichtigen Unternehmen<br />
abgelehnt werden.<br />
Jede kaufmännische Software muss jedoch zukünftig die Möglichkeit bieten, die<br />
steuerrelevanten Daten in einem der zugelassenen Formate zu exportieren, um sie<br />
auf ein Übergabemedium zu kopieren. Viele kaufmännische Anwendungen sind<br />
heute noch nicht in der Lage, diese Exportdateien zu erzeugen. Es ist aber davon<br />
auszugehen, dass diese Exportfunktion zu einem Standard-Ausstattungsmerkmal<br />
der kaufmännischen Software wird. Ein Wechsel einer im Einsatz befindlichen<br />
Software auf Gr<strong>und</strong> einer heute noch fehlenden Exportfunktion sollte jedoch erst<br />
nach sorgfältiger Prüfung <strong>und</strong> nur dann erfolgen, wenn der Hersteller die benötigte<br />
Funktionalität nicht zeitgerecht bereitstellen kann. Da jede kaufmännische Software<br />
mindestens den Zugriff Z2 unterstützt, kann derzeit jedes Softwareprodukt den<br />
Prüfungszweck erfüllen. Wenn in Kürze aber die meisten Standardprodukte die<br />
Exportfunktion besitzen, wird es auch für kleine Unternehmen schwierig werden zu<br />
begründen, warum die Überlassung eines Datenträgers für den Zugriff Z3 nicht<br />
möglich sein soll. Es ist davon auszugehen, dass der Gr<strong>und</strong>satz der<br />
Verhältnismäßigkeit für die Bereitstellung eines Datenträgers nicht zur Anwendung<br />
kommen kann.<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 80 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
Speicherung der Daten außerhalb der Ursprungssysteme<br />
Bei der Überführung von steuerrelevanten Daten in eine andere Umgebung setzt nun<br />
die Diskussion ein, ob hierfür ein <strong>elektronische</strong>s Archivsystem erforderlich ist. Der<br />
Gesetzgeber kann <strong>und</strong> darf sich hier nicht festlegen, da er dem Steuerpflichtigen<br />
nicht die technische Ausgestaltung vorschreibt. Im Handelsgesetzbuch (§§ 239, 257<br />
HGB) <strong>und</strong> in der Abgabenordnung (§§ 146, 147 AO) sind die gr<strong>und</strong>sätzlichen<br />
Anforderungen an die Verarbeitung <strong>und</strong> die Speicherung von kaufmännischen Daten<br />
<strong>und</strong> Belegen festgelegt. Werden solche Daten aus dem System, in dem sie<br />
ursprünglich entstanden sind <strong>und</strong> verwaltet wurden, in ein anderes ausgelagert, so<br />
hat das empfangende System die gleichen Bedingungen zur Sicherheit,<br />
Unveränderbarkeit, Ordnungsmäßigkeit, Wiederauffindbarkeit <strong>und</strong> Reproduzierbarkeit<br />
wie das Ursprungssystem zu erfüllen. Das empfangende System muss jedoch<br />
nicht über die gleiche Verarbeitungsfunktionalität wie das Ursprungssystem verfügen.<br />
In den Gr<strong>und</strong>sätzen der ordnungsgemäßen Buchführung/Speicherbuchführung<br />
GoBS ist auf Basis des HGB <strong>und</strong> der AO der Rahmen für die Anforderungen<br />
beschrieben. Die <strong>GDPdU</strong> nimmt mehrfach auf die GoBS mit diesen Anforderungen<br />
Bezug.<br />
In einer Buchhaltungsanwendung wird die Übereinstimmung mit den Anforderungen<br />
der GoBS durch die Sicherheitsmechanismen der Software sichergestellt. Eine<br />
besondere Medientechnologie ist nicht gefordert. Kaufmännische Software<br />
verwendet ausnahmslos magnetische Medien zur Speicherung der Daten. Auch die<br />
geforderte Sicherung von Daten kann auf einem beliebigen <strong>elektronische</strong>n Medium<br />
erfolgen. Der Einsatz eines <strong>Archivierung</strong>ssystems mit nur einmal beschreibbaren<br />
Speichern bietet zwar auf der reinen Speicherebene eine höhere Sicherheit als<br />
veränderliche Speichersysteme <strong>und</strong> kann so bei einer Prüfung als Argument für die<br />
Unveränderbarkeit <strong>und</strong> Vollständigkeit benutzt werden. Dies schließt aber die bisher<br />
häufig praktizierte Nutzung anderer Speichertechnologien natürlich nicht aus, wenn<br />
mit Hilfe anderer Schutzverfahren die Anforderungen der GOBS erfüllt werden. Die<br />
Anforderungen an die Sicherheit gehen auch über den Einsatz bestimmter Medien<br />
weit hinaus <strong>und</strong> beinhalten die Gesamtsicherheit des Verfahrens. Es darf nicht<br />
vergessen werden, dass der Einsatz eines solchen Systems allein nicht die<br />
Voraussetzungen von HGB, AO, <strong>und</strong> GoBS erfüllt, da das gesamte Verfahren<br />
einschließlich Organisation, Datensicherung, Arbeitsabläufen, internem Kontrollsystem,<br />
Sicherheit <strong>und</strong> technischer Auslegung den Anspruch an die Revisionssicherheit<br />
erfüllen muss.<br />
Die Bedeutung der Einrichtung von differenzierten Berechtigungen<br />
Für mittelständische <strong>und</strong> Großunternehmen kommt der Organisation von<br />
Berechtigungen für die Beschränkung des Zugriffs auf die verschiedenen<br />
Datenbestände des Unternehmens besondere Bedeutung zu. Für größere<br />
Finanzverwaltungssoftwarepakete sind entsprechende Berechtigungen inzwischen<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 81 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
vordefiniert. Der Zugriff auf die Daten muss nicht nur nach den Prüfungsperioden<br />
(Jahren) möglich sein, sondern das System sollte auch Datenbestände, die nicht der<br />
Steuerprüfung unterliegen, vom Zugriff nach Z1 ausschließen können. Aufwendiger<br />
wird die Speicherung von Dokumenten, die originär elektronisch sind, nach den<br />
Anforderungen der GoBS aufbewahrt werden müssen <strong>und</strong> ebenfalls der<br />
Steuerprüfung unterliegen können. Diese sollten so gespeichert werden, dass sie auf<br />
Anforderung mit einfachen Mitteln, vollständig <strong>und</strong> unverändert bereitgestellt werden<br />
können. So ist z.B. der persönliche Posteingangskorb eines Mitarbeiters im E-Mail-<br />
System nicht dauerhaft geeignet, die Wiederauffindbarkeit <strong>und</strong> Nichtlöschbarkeit<br />
über die gesetzliche Aufbewahrungsfrist zu gewährleisten.<br />
Gleiches gilt auch im Prinzip für kleinere <strong>und</strong> mittelständische Unternehmen. Originär<br />
<strong>elektronische</strong> Handelsbriefe <strong>und</strong> andere steuerrelevante Dokumente außerhalb der<br />
Finanzsoftwaresysteme sind geordnet zu speichern <strong>und</strong> bei Bedarf zugänglich zu<br />
machen. Wie dies technisch umgesetzt wird, bleibt dem Unternehmen überlassen.<br />
Auch hier gilt, dass technische Systeme, die speziell zum Schutz von Informationen<br />
ausgelegt sind, wie z.B. <strong>elektronische</strong> Archive, eine höhere Glaubwürdigkeit der<br />
geordneten <strong>und</strong> sicheren Speicherung bewirken.<br />
Auswertbarkeit von Daten<br />
Der Begriff der maschinellen Auswertbarkeit bezieht sich vorrangig auf strukturierte<br />
Daten <strong>und</strong> nicht auf unstrukturierte Geschäftskorrespondenz. Mit maschineller<br />
Auswertung ist der so genannte wahlfreie Zugriff auf die Daten <strong>und</strong> deren<br />
programmgestützte Auswertung gemeint. In strukturierten Daten kann man bei<br />
Kenntnis der Struktur suchen, sortieren, summieren <strong>und</strong> statistische Auswertungen<br />
durchführen. Dies ist in unstrukturierten Daten kaum möglich. Bei der Durchführung<br />
von Auswertungen ist sicherzustellen, dass durch Operationen die Originaldaten<br />
nicht verändert werden, sondern dem Steuerprüfer nur ein lesender Zugriff gestattet<br />
wird. Allerdings darf der Steuerprüfer bei Z1 <strong>und</strong> Z2 alle Funktionen nutzen, die die<br />
beim Steuerpflichtigen installierte Software besitzt.<br />
Um mit Z3 auswerten zu können, erwarten die Finanzbehörden, dass auf dem<br />
Übergabemedium nicht nur die Daten, sondern auch die zugehörigen Strukturinformationen<br />
zum Aufbau der Dateien, die die Daten enthalten, mitgeliefert werden.<br />
Bei flachen Tabellen reichen hierzu schon die Spaltenbezeichnungen, bei<br />
komplexeren Strukturen empfiehlt es sich, aus der Buchhaltungssoftware heraus ein<br />
Format zu erzeugen, das dem Beschreibungsstandard für die Prüfsoftware IDEA<br />
entspricht.<br />
Originär <strong>elektronische</strong>, unstrukturierte Dokumente wie Briefe, E-Mails etc. müssen<br />
zwar elektronisch auffindbar <strong>und</strong> dem Geschäftsvorfall eindeutig zuordenbar sein,<br />
können aber die Anforderungen der Auswertbarkeit von Daten naturgemäß nicht<br />
erfüllen.<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 82 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
Direktzugriff, Auslagerung <strong>und</strong> Wiederbereitstellung<br />
Solange alle Daten des Prüfungszeitraumes vollständig, auswertbar, unveränderbar<br />
<strong>und</strong> unverdichtet im aktuellen Finanzsoftwaresystem vorliegen, sind Zugriffe nach Z1<br />
<strong>und</strong> Z2 möglich <strong>und</strong> die Bedingungen der <strong>GDPdU</strong> erfüllt. Problematisch wird es,<br />
wenn die ursprüngliche Software nicht mehr lauffähig ist oder die Daten ausgelagert<br />
werden mussten. Letzteres kann notwendig werden, wenn man die Software oder<br />
Softwareversion wechselt oder aus Kapazitätsgründen Daten abgeschlossener<br />
Jahrgänge auslagert. Die meisten angebotenen Finanzsoftwarepakete bieten hierfür<br />
Exportfunktionen an, die jedoch noch nicht alle den Anforderungen der<br />
Auswertbarkeit unabhängig vom ursprünglichen erzeugenden System genügen.<br />
Es kann auch nicht davon ausgegangenen werden, dass ältere ausgelagerte Datenbestände<br />
nach mehreren Jahren in eine neue Softwareversion problemlos <strong>und</strong><br />
verlustfrei wieder importiert werden können. Dies würde auch bedeuten, dass allein<br />
für den Steuerprüfer ein nicht mehr im operativen Betrieb befindliches System<br />
wiederbelebt werden müsste, was nicht dem Gr<strong>und</strong>satz der Verhältnismäßigkeit<br />
entspricht. Der Steuerpflichtige sollte vielmehr die relevanten Daten verfälschungssicher<br />
in einem Format ablegen, das auch ohne die ursprüngliche erzeugende<br />
Software die Auswertbarkeit sicherstellt. Hierfür können zahlreiche Standardformate,<br />
aber auch das von der Finanzverwaltung empfohlene, im Zusammenhang mit der<br />
Prüfsoftware IDEA als Beschreibungsstandard definierte Format verwendet werden.<br />
Die Prüfung von steuerrelevanten Daten mit IDEA<br />
Für die Prüfung der Daten des Steuerpflichtigen setzt die Finanzverwaltung die<br />
Software IDEA ein. Diese Software ist frei am Markt verfügbar, so dass jeder sie<br />
erwerben <strong>und</strong> hinsichtlich der Einsatzmöglichkeiten ausprobieren kann. Vergleichbare<br />
Systeme werden seit Jahren bereits durch Wirtschaftsprüfer genutzt. Die IDEA-<br />
Software wird auf Notebooks der Steuerprüfer eingesetzt. Auf den Notebooks kann<br />
keine Software des Steuerpflichtigen installiert werden. Das Notebook oder die IDEA-<br />
Software des Steuerprüfers kann nicht in die Systeme des Steuerpflichtigen<br />
eingeb<strong>und</strong>en werden oder direkt auf die Daten zugreifen. Für die Auswertung auf<br />
dem Notebook werden ausschließlich flache Dateien vom Übergabemedium<br />
importiert. Beim Import <strong>und</strong> für die Auswertung werden zahlreiche Formate<br />
unterstützt, die weit verbreitet sind.<br />
Die <strong>GDPdU</strong> selbst enthält keine Liste vorgesehener oder unterstützter Dateiformate.<br />
Vom B<strong>und</strong>esministerium der Finanzen wurde erst später eine Übersicht von<br />
Formaten veröffentlicht, die IDEA auswerten kann. Die Liste enthält einfache<br />
Formate wie ASCII <strong>und</strong> EBCDIC mit Werten fester Länge oder durch Kommata<br />
getrennt, bestimmte Ausgabeformate aus großen kaufmännischen Anwendungen<br />
wie SAP/AIS, Ausgabedateien aus speziellen Programmsystemumgebungen wie<br />
AS400, einfache Listendruckformate auf Basis von ASCII <strong>und</strong> auch Formate aus<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 83 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
dem Office-Umfeld wie Excel, dBase, Access oder Lotus 123. Die Aufzählung von<br />
Datenbankprodukten wie Access <strong>und</strong> dBase hat nur indirekt mit Dateiformaten zu tun<br />
<strong>und</strong> meint sicherlich die Standardformate, die aus diesen Datenbanken exportiert<br />
werden. Der ebenfalls aufgeführte Begriff ODBC beschreibt jedoch kein Dateiformat,<br />
sondern eine Zugriffstechnik. Zu einem späteren Zeitpunkt wurde auch das Format<br />
des IDEA-Beschreibungsstandards hinzugefügt. Es ist davon auszugehen, dass die<br />
Liste keinen endgültigen, den Aufbewahrungsfristen adäquat angemessen Charakter<br />
besitzt <strong>und</strong> auch in Zukunft Veränderungen unterliegen wird.<br />
Der Beschreibungsstandard wurde vom deutschen Vertreiber der IDEA-Software, der<br />
Firma audicon, zusammen mit den B<strong>und</strong>esfinanzbehörden auf Basis der weltweit<br />
standardisierten Beschreibungssprache XML entwickelt. Er erlaubt Strukturen <strong>und</strong><br />
Daten einheitlich zu exportieren <strong>und</strong> zu importieren. Von den Anbietern von<br />
kaufmännischer Software wird dieses Format zunehmend unterstützt. Der Steuerpflichtige<br />
ist jedoch nicht gezwungen, seine Daten in diesem Format abzulegen.<br />
Auch alle anderen, oben aufgeführten Formate, die den gr<strong>und</strong>sätzlichen<br />
Anforderungen der <strong>GDPdU</strong> entsprechen, sind zulässig.<br />
Wird die Buchhaltung nicht mit einem eigenen System im Hause, sondern vom<br />
Steuerberater durchgeführt, ist zu prüfen, ob seitens des Steuerberaters die Daten<br />
entsprechend gesichert <strong>und</strong> in den geforderten Formaten bereitgestellt werden<br />
können. Die meisten Steuerberater sind heute bereits in der Lage, einen<br />
entsprechenden Datenträger für Z3 zu erstellen, dessen Dateien in IDEA eingelesen<br />
werden können.<br />
Zugriff auf andere steuerrelevante <strong>elektronische</strong> Dokumente<br />
Bei der Prüfung, welche Daten steuerrelevant sind, wird man auch auf eine<br />
Grauzone stoßen. Hierzu gehören z.B. Kalkulationsdateien, die per E-Mail mit<br />
Geschäftspartnern ausgetauscht wurden, Datensätze, die mit anderen Systemen als<br />
der kaufmännischen Software erstellt <strong>und</strong> verarbeitet wurden, <strong>elektronische</strong><br />
Übermittlungen von Geschäftsbriefen in Gestalt von E-Mails, die in Bürokommunikationsumgebungen<br />
vorliegen, <strong>und</strong> andere Informationen. Sind diese<br />
Informationen steuerrelevant, so müssen seitens des Steuerpflichtigen Maßnahmen<br />
ergriffen werden, die nach der GoBS die Sicherheit <strong>und</strong> Wiederauffindbarkeit<br />
garantieren. In Zukunft muss sich der Steuerpflichtige, zumindest bei<br />
mittelständischen <strong>und</strong> Großunternehmen, auch auf den Erhalt elektronisch signierter<br />
Dokumente oder die Abgabe von steuerrelevanten Daten mit <strong>elektronische</strong>r Signatur<br />
einrichten. Diese Dokumente liegen originär nur noch elektronisch vor <strong>und</strong> müssen<br />
mit geeigneten Mitteln verwaltet werden. Beim Zugriff auf diese Dokumente geht es<br />
nicht um den Begriff der „Auswertbarkeit“, sondern die Dokumente müssen<br />
unverändert im Originalformat vorgehalten werden, das durchaus bei <strong>elektronische</strong>r<br />
Eingangspost ein Bildformat wie TIFF oder ein kombiniertes Grafik/Text-Format wie<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 84 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
PDF sein kann. Es ist daher von einem zweistufigen Zugriff auszugehen: Im ersten<br />
Schritt wird über eine Datenbank oder eine andere geeignete Recherchemöglichkeit<br />
das Dokument gef<strong>und</strong>en; erst im zweiten Schritt kann es dann, wenn es sich um<br />
strukturierte Daten wie z.B. eine Liste handelt, ausgewertet werden. Auch für den<br />
Zugriff auf diese Dokumente gilt, dass der Steuerpflichtige dafür Sorge tragen muss,<br />
die Bestände durch das Berechtigungssystem zu schützen <strong>und</strong> beim Zugriff<br />
zwischen steuerrelevanten <strong>und</strong> nicht relevanten Daten zu differenzieren.<br />
Der Einsatz von sicheren Speichersystemen<br />
In der öffentlichen Diskussion um die <strong>GDPdU</strong> spielt die <strong>elektronische</strong> <strong>Archivierung</strong><br />
mit nur einmal beschreibbaren optischen Speichermedien, so genannten WORMs<br />
(Write Once Read Many), ein wichtige Rolle.<br />
Solange alle Daten von der kaufmännischen Software selbst verwaltet <strong>und</strong><br />
kontrolliert werden, spielen unabhängige, externe Speichersysteme keine Rolle.<br />
Letztere können aber eingesetzt werden, um zur Entlastung von kaufmännischen<br />
Softwaresystemen exportierte Daten aufzunehmen, wieder aufzufinden <strong>und</strong> für eine<br />
Auswertung bereitzustellen. Handelt es sich bei diesen externen Speichersystemen<br />
um <strong>elektronische</strong> Archivsysteme, dann sind in der Regel bereits eine Reihe von<br />
Funktionen vorhanden, die auch von der GoBS gefordert werden. Archivsysteme<br />
sind besonders geeignet, Vollständigkeit, Sicherheit, Unveränderbarkeit,<br />
Ordnungsmäßigkeit, Berechtigungsschutz <strong>und</strong> Indizierung zu unterstützen. Sie sind<br />
daher eine Option, die Anforderungen der <strong>GDPdU</strong> nach einer sicheren<br />
Aufbewahrung zu erfüllen. Archivsysteme dienen vorrangig dazu, basierend auf<br />
Indexmerkmalen beliebige Daten, Informationen, Dokumente <strong>und</strong> digitale Objekte<br />
eines Unternehmens, unabhängig von Quelle, Format <strong>und</strong> Verwendungszweck zu<br />
speichern <strong>und</strong> als Wissensbasis zu erschließen. Dateien in Formaten, die von IDEA<br />
ausgewertet werden können, sind nur ein Datentyp unter vielen <strong>und</strong> steuerrelevante<br />
Daten nur eine Informationsart, die mit Archivsystemen verwaltet werden kann.<br />
Unterstützt ein Archivsystem die Anforderungen des HGB <strong>und</strong> der GoBS für eine<br />
sichere langzeitige Informationsaufbewahrung, spricht man von einem<br />
„revisionssicheren <strong>elektronische</strong>n Archivsystem“. Die Nutzung eines solchen<br />
Systems wird jedoch durch die <strong>GDPdU</strong> nicht unbedingt vorausgesetzt.<br />
Elektronische Archivsysteme setzen in der Regel spezielle Speichersysteme ein, die<br />
durch ihre Eigenschaften ein Löschen, Überschreiben <strong>und</strong> Verändern der<br />
gespeicherten Information verhindern. Hier sind mehrere Technologien von Medien<br />
<strong>und</strong> den zugehörigen Speichersystemen zu unterscheiden.<br />
- Speichersysteme, die mit einem Laser auf der Medienoberfläche eine<br />
physische, irreversible Veränderung durchführen. Hierzu gehören heute<br />
spezielle CD- <strong>und</strong> DVD-Medien (Beispiele: CD-R <strong>und</strong> DVD-R). Auch bei den<br />
ursprünglichen WORM-Medien in einer Schutzhülle wurde die Medien-<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 85 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
oberfläche beim Schreiben so verändert, dass einmal genutzte<br />
Speicherbereiche nicht verändert, überschrieben oder gelöscht werden<br />
konnten. Diese so genannten „True-WORM“-Medien sind heute praktisch am<br />
Markt nicht mehr verfügbar. Die Unveränderbarkeit der gespeicherten<br />
Informationen wird hierbei direkt durch das Medium sichergestellt.<br />
- Speichersysteme, die mit Medien arbeiten, die im Prinzip technisch<br />
veränderbar <strong>und</strong> überschreibbar sind. Hierbei gibt es ebenfalls verschiedene<br />
Varianten. Bei 5,25-Zoll-„Soft-WORM“-Systemen erkennt das Laufwerk<br />
anhand von Informationen auf der Oberfläche des Mediums, dass ein einmal<br />
beschriebener Sektor nicht überschrieben werden darf. Es handelt sich um<br />
einen effektiven Schutz, der fest in das Laufwerk integriert ist (Beispiele:<br />
Fujitsu, Plasmon oder Sony WORM). Die meisten heutigen 5,25-Zoll-WORM-<br />
Laufwerke in automatischen Plattenwechselautomaten (Jukeboxen) arbeiten<br />
mit diesem Verfahren. Ähnliche Verfahren gibt es auch im Magnetbandbereich<br />
mit WORM-Tapes, die auf herkömmlicher Magnetbandtechnologie basieren.<br />
Hier kommen spezielle Bandkassetten <strong>und</strong> Laufwerke zum Einsatz, die die<br />
gleiche Sicherheit bieten wie die herkömmlichen „Soft-WORM“-<br />
Speicherplatten (Beispiele: SONY AIT oder StorageTek VolSafe). Die<br />
Unveränderbarkeit der gespeicherten Informationen wird hierbei durch das<br />
Medium nur in Verbindung mit einem Laufwerk <strong>und</strong> spezieller Betriebssoftware<br />
sichergestellt.<br />
- Speichersysteme, die durch Anwendungssoftware sicherstellen, dass Objekte<br />
in den Speicherbereichen auf Magnetplattenspeichern geschützt sind. Hierzu<br />
gehören die Schutzmechanismen, die in handelsüblichen Buchführungssystemen<br />
eingesetzt werden, <strong>und</strong> Verfahren wie z.B. CAS Content Adressed<br />
Storage (Beispiel: EMC 2 Centera), die von einer spezifischen Anwendung<br />
unabhängig sind. Hierbei wird aus dem Inhalt eines Objektes eine eindeutige<br />
Signatur erzeugt, die gleichzeitig auch als Objekt-ID fungiert. Sollte das Objekt<br />
verändert werden, stimmt die Signatur nicht mehr überein. Es entsteht<br />
automatisch eine neue Version <strong>und</strong> das Original bleibt unverändert. Die<br />
Unveränderbarkeit der gespeicherten Informationen wird hierbei nicht durch<br />
das Medium, sondern durch die Software, die gesamte Systemumgebung <strong>und</strong><br />
den ordnungsgemäßen Betrieb der Lösungen sichergestellt.<br />
Bei der Diskussion um die <strong>GDPdU</strong> ist ferner zu unterscheiden, auf welchem Medium<br />
beim Anwender langfristig aufbewahrt wird <strong>und</strong> auf welchem Medium die Daten nach<br />
Z3 an den Steuerprüfer übergeben werden. Die <strong>GDPdU</strong> bezieht sich hier auf das<br />
Übergabemedium, wobei zurzeit CDs mit flachen, Dateisystem-basierenden<br />
Strukturen zum Import bevorzugt werden. Es sind jedoch auch andere<br />
Übergabemedien wie Diskette <strong>und</strong> DVD erlaubt. Wie die Sicherung der<br />
gespeicherten Daten <strong>und</strong> Dokumente in den Systemen beim Steuerpflichtigen<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 86 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
erfolgt, liegt in dessen Verantwortung <strong>und</strong> hat sich wie bisher an den Anforderungen<br />
von HGB, AO <strong>und</strong> GoBS zu orientieren.<br />
Die Sicherstellung der Langzeitverfügbarkeit von gespeicherten Daten<br />
Für alle Unternehmen unabhängig von ihrer Größe ergibt sich das Problem der<br />
Sicherstellung der Lesbarmachung nach Jahren oder gar einem Jahrzehnt. Die<br />
Anforderungen nach Unverändertheit <strong>und</strong> Wiederlesbarmachung auch nach 10<br />
Jahren widersprechen sich hier. Formate von Dateien ändern sich in kurzen<br />
Zeiträumen. Bestimmte Formate, z.B. Tabellenkalkulationen, besitzen<br />
Verarbeitungsregeln <strong>und</strong> ausführbare Funktionen, die von einer bestimmten<br />
Softwareversion abhängig sind. Bei diesen Formaten kann nicht gewährleistet<br />
werden, dass sie in 10 Jahren noch verlustfrei <strong>und</strong> unverändert angezeigt werden<br />
können. Eine Wandlung in Formate wie TIFF oder PDF ist zwar technisch möglich,<br />
jedoch ist hinterher diese Datei nicht mehr maschinell auswertbar <strong>und</strong> hinterlegte<br />
Regeln <strong>und</strong> Funktionen gehen verloren. Im Prinzip besteht die Möglichkeit,<br />
Originaldatei <strong>und</strong> gewandelte Datei unter dem gleichen Index zu verwalten <strong>und</strong><br />
gemeinsam wiederauffindbar zu machen, jedoch löst dies nicht das generelle<br />
Problem.<br />
Formate wie TIFF <strong>und</strong> PDF gelten als relativ stabil <strong>und</strong> langlebig. Die Wandlung in<br />
ein solches Format wird durch die <strong>GDPdU</strong> aber für die Speicherung von originär<br />
<strong>elektronische</strong>n, auswertbaren Daten nicht gestattet. Dennoch werden durch<br />
Scannen, E-Mail-Kommunikation <strong>und</strong> <strong>elektronische</strong>s Fax auch solche Formate bei<br />
kaufmännisch- oder steuerrelevanten Fremddokumenten vorkommen. Auch bei<br />
Bildformaten können durch technologische Weiterentwicklung die Migration von<br />
ursprünglichen Datenbeständen <strong>und</strong> die Konvertierung erforderlich werden.<br />
Migrationen, die in keiner der gesetzlichen Regelungen berücksichtigt sind, müssen<br />
immer nachweislich, vollständig <strong>und</strong> ohne Veränderung der gespeicherten Daten <strong>und</strong><br />
ihrer Zugriffsinformationen erfolgen.<br />
Die Absicherung des Gesamtverfahrens<br />
Wichtig ist die Tatsache, dass nicht allein das Medium oder ein Archivsystem den<br />
Anspruch an die Revisionssicherheit erfüllt, sondern dass der gesamte Betrieb, die<br />
Arbeitsabläufe, die Absicherung des Zugriffs, die regelmäßige Prüfung der<br />
Nutzbarkeit <strong>und</strong> Reproduktionsfähigkeit, das Sicherheitssystem, Sorgfalt bei Eingabe<br />
<strong>und</strong> Indizierung zur Sicherstellung der Wiederauffindbarkeit <strong>und</strong> richtigen sachlichen<br />
Zuordnung sowie die Nutzung den Anforderungen entsprechen.<br />
Die Anschaffung einer Software, die mit „Zertifikaten“ der Erfüllung der Anforderungen<br />
der <strong>GDPdU</strong> oder der GoBS beworben wird, ist hier nicht ausreichend. Es<br />
gibt kein offizielles Zertifikat der Finanzbehörden für Archivsystemprodukte <strong>und</strong> die<br />
Zertifikate von Wirtschaftsprüfergesellschaften beziehen sich immer nur auf eine<br />
individuelle Einsatzsituation beim Anwender oder aber nur auf die gr<strong>und</strong>sätzlich<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 87 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
vorhandenen Funktionen, die einen ordnungsgemäßen Betrieb möglich machen.<br />
Entscheidend ist jedoch, wie das System beim Anwender eingesetzt wird. Ein<br />
„Zertifikat“ zeigt nur an, dass das System in einer bestimmten Situation schon einmal<br />
nach den Kriterien geprüft wurde, nicht jedoch dass der Einsatz automatisch den<br />
Anforderungen der Prüfer genügt. Ein System muss immer individuell auf die<br />
technische, organisatorische <strong>und</strong> geschäftliche Umgebung beim Anwender<br />
eingerichtet werden. Nach GoBS wird jedes System in seiner individuellen<br />
Ausprägung beim Anwender geprüft.<br />
Im Umfeld steuerrelevanter Informationen ist außerdem zu berücksichtigen, dass<br />
unter Umständen mehrere Systeme betroffen sind. Beim Einsatz eines<br />
Archivsystems für die Speicherung steuerrelevanter Daten ist das kaufmännische<br />
System, in dem die Daten originär entstanden sind, immer noch das führende<br />
System. Der Übergang von Daten aus einem System in ein anderes System muss<br />
daher sicher, nachvollziehbar, vollständig, prüfbar <strong>und</strong> ohne Veränderung der Inhalte<br />
erfolgen. Hieraus leitet sich auch ab, dass für die Bereitstellung auswertbarer Daten<br />
für die Steuerprüfung im Regelfall nicht ein Archivsystem verantwortlich ist, sondern<br />
das die originären Daten erzeugende kaufmännische System. Der Ausnahmefall<br />
wäre, wenn aus dem Buchhaltungssystem aus den genannten Gründen Daten<br />
ausgelagert wurden. In diesem Fall wäre das Archivsystem zuständig, die Daten zur<br />
Auswertung zur Verfügung zu stellen.<br />
Prozesse, verarbeitete Daten <strong>und</strong> Dokumente mit ihren Formaten <strong>und</strong><br />
Eigenschaften, Speicherung <strong>und</strong> Indizierung, Nutzung <strong>und</strong> Arbeitsanweisungen,<br />
Berechtigungen <strong>und</strong> Systemeinstellungen etc. werden in einer Verfahrensdokumentation<br />
nach GoBS dokumentiert. Eine Verfahrensdokumentation ist ein<br />
Dokument, das lebt. In ihr werden nicht nur die Informationen nachgehalten, die vom<br />
Gesetzgeber vorgegeben sind, sondern auch alle notwendigen Angaben für einen<br />
sicheren Betrieb, die Sicherstellung der Verfügbarkeit <strong>und</strong> die Strukturbeschreibungen,<br />
die für Weiterentwicklung des Systems, Prüfung bei Veränderungen<br />
der Systemlandschaft, zukünftigen Ausbau <strong>und</strong> Wechsel der Lösung notwendig sind.<br />
Die Verfahrensdokumentation für ein revisionssicheres <strong>elektronische</strong>s Archivsystem<br />
beschreibt daher nicht nur dessen technische Umgebung <strong>und</strong> Nutzung, sondern das<br />
gesamte Umfeld mit allen beteiligten Systemen <strong>und</strong> Abläufen. Eine solche<br />
Verfahrensdokumentation kann durch Wirtschaftsprüfer oder Gutachter, wie z.B. den<br />
TüVIT, abgenommen werden <strong>und</strong> gibt dem Anwender eine zusätzliche Sicherheit,<br />
alle notwendigen Vorkehrungen für die Erfüllung der Anforderungen des<br />
Gesetzgebers getroffen zu haben.<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 88 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
Die 10 <strong>GDPdU</strong>-Merksätze von <strong>PROJECT</strong> <strong>CONSULT</strong> <strong>und</strong> Zöller &<br />
Partner<br />
1 Die <strong>GDPdU</strong> betrifft vorrangig Daten in kaufmännischer Software<br />
Die <strong>GDPdU</strong> betrifft in erster Linie Daten in kaufmännischer Software wie z.B.<br />
Finanzbuchhaltungen <strong>und</strong> hat nur indirekt mit <strong>elektronische</strong>r <strong>Archivierung</strong> zu tun. Erst wenn<br />
Daten ausgelagert werden sollen, stellt die <strong>elektronische</strong> <strong>Archivierung</strong> eine Option dar.<br />
2 Der GoBS-konforme Betrieb der Buchhaltungssoftware erfüllt fast alle Anforderungen<br />
der <strong>GDPdU</strong><br />
Bezüglich der Revisionssicherheit gibt es durch die <strong>GDPdU</strong> kaum neue Anforderungen, die<br />
nicht bereits durch die bisherige GoBS geregelt wären.<br />
3 Die <strong>GDPdU</strong> enthalten keine neue Definition für Revisionssicherheit<br />
Die geänderten Paragraphen der Abgabenordnung setzen bezüglich der Revisionssicherheit<br />
der von Unternehmen zu verwendenden DV-Systeme wie bisher auf die bereits in den GoBS<br />
von 1995 dargestellten Anforderungen.<br />
4 Neu sind nur Aufbewahrung von <strong>und</strong> Zugriff auf steuerrelevante Daten<br />
Die Dauer der Aufbewahrungsfrist für originär <strong>elektronische</strong> Daten (anstelle von<br />
Papierausdrucken) hat sich verlängert <strong>und</strong> die Zugriffsmethoden auf die Daten sind in den<br />
<strong>GDPdU</strong> neu geregelt.<br />
5 Revisionssicherheit definiert sich nicht allein durch das Speichermedium<br />
Das gesamte Verfahren der Erfassung, Bearbeitung, Speicherung <strong>und</strong> Reproduktion von<br />
steuerrechtlich <strong>und</strong> handelsrechtlich relevanten Daten mit allen organisatorischen, Betriebs<strong>und</strong><br />
technischen Faktoren muss revisionssicher sein.<br />
6 Elektronische Archive nur für die <strong>GDPdU</strong> sind unwirtschaftlich<br />
Der Einsatz <strong>elektronische</strong>r Archivsysteme nur zur Erfüllung der rechtlichen Anforderungen ist<br />
unwirtschaftlich. Elektronische Archive müssen als universeller Wissensspeicher für alle<br />
Informationen des Unternehmens nutzbar sein.<br />
7 Die <strong>GDPdU</strong> schreibt keine besonderen Medien für die Aufbewahrung vor<br />
Die Daten der normalen kaufmännischen Anwendungen können wie bisher auf denjenigen<br />
Speichern aufbewahrt werden, die nach GoBS zulässig sind. Hierzu zählen Diskette,<br />
Magnetband, Magnetplatte, digitale optische Medien <strong>und</strong> andere <strong>elektronische</strong> Speicher.<br />
8 Strukturierte Daten sind durch wahlfreien Zugriff auswertbar,<br />
unstrukturierte Dokumente nicht<br />
Der Begriff der maschinellen Auswertbarkeit bezieht sich in erster Linie auf kaufmännische<br />
Daten, die in einer Struktur vorliegen, die den direkten Zugriff auf beliebige Daten erlaubt. Die<br />
meisten Dokumente sind in diesem Sinne nicht maschinell auswertbar, da sie naturgemäß<br />
schwachstrukturiert oder unstrukturiert sind.<br />
9 Die Verantwortung für die technische Auslegung liegt beim Steuerpflichtigen<br />
Die <strong>GDPdU</strong> regeln, wie eine Prüfung durchgeführt wird <strong>und</strong> wie Daten bereitgestellt werden<br />
müssen. Sie enthält keine Vorgaben, was für Systeme beim Steuerpflichtigen vorhanden <strong>und</strong><br />
wie diese ausgelegt sein müssen.<br />
10 Eine Verfahrensdokumentation nach GoBS ist wichtig<br />
In einer Verfahrensdokumentation nach GoBS wird nachvollziehbar beschrieben, wie alle<br />
kaufmännisch relevanten Informationen entstehen, geordnet gespeichert, indiziert, geschützt,<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 89 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
wiedergef<strong>und</strong>en <strong>und</strong> verlustfrei reproduziert werden können.<br />
Offene Fragen<br />
Die <strong>GDPdU</strong> wirft eine Reihe von Fragen auf, für die es noch keine konkrete oder<br />
abschließende Antwort gibt. Bei einigen Fragen ist auch kurzfristig keine Antwort zu<br />
erwarten, da erst die Praxis Handlungsrahmen, Verfahren <strong>und</strong> Umfang der <strong>elektronische</strong>n<br />
Steuerprüfung definieren wird. Die Finanzverwaltung ist auch gut beraten,<br />
sich nicht auf technische Details festzulegen, da Gesetze <strong>und</strong> Verordnungen<br />
technologieunabhängig <strong>und</strong> langfristig stabil sein sollten. Im Folgenden sind einige<br />
solcher Fragen erläutert, die uns wichtig erscheinen.<br />
Was sind steuerrelevante Daten?<br />
Die Antwort des BMF auf diese Frage ist einfach: Alles was bisher steuerrelevant<br />
war, ist es auch weiterhin. Die Finanzbehörden wollen hier keine Abgrenzung<br />
vornehmen, um sich nicht die eigenen Handlungsspielräume bei Prüfungen<br />
einzuengen.<br />
Für den Steuerpflichtigen entsteht aber ein Abgrenzungsproblem, das er vorher nicht<br />
hatte. Vor dem 1.1.2002 konnte er Daten aus seiner Buchhaltung auslagern, indem<br />
er sie ausdruckte, auf Mikrofilm ausgab oder elektronisch in einem beinahe<br />
beliebigen Format ablegte. Das war sowohl nach Handels- als auch nach<br />
Steuerrecht erlaubt. Die <strong>GDPdU</strong> sehen jedoch nunmehr vor, dass originär<br />
<strong>elektronische</strong> Daten über den Aufbewahrungszeitraum auswertbar vorgehalten<br />
werden müssen. Für den Steuerpflichtigen entstehen so technologische<br />
Abhängigkeiten, die kaum vorausschauend lösbar sind. Er muss heute entscheiden,<br />
wie er welche Daten auf Jahre hinaus vorhält. Hinzu kommt, dass er häufig nicht<br />
weiß oder nachvollziehen kann, wie <strong>und</strong> wo in seinen Systemen die steuerrelevanten<br />
Daten gespeichert werden. In Stellungnahmen <strong>und</strong> Beiträgen der Finanzverwaltung<br />
werden zudem Unterlagen erwähnt, die nicht den auswertbaren Daten zuzuordnen<br />
sind, sondern <strong>elektronische</strong> Handelsbriefe <strong>und</strong> andere <strong>elektronische</strong> Dokumente<br />
umfassen können. Es bleibt daher eine Unsicherheit, welche Daten der Steuerprüfer<br />
in vielleicht erst 10 Jahren auswerten <strong>und</strong> prüfen will.<br />
In welchem Format sollen eingehende <strong>elektronische</strong> Dokumente aufbewahrt<br />
werden?<br />
Einerseits sollen Daten <strong>und</strong> Unterlagen gemäß § 146, Abs. 4 AO nicht geändert<br />
werden, andererseits sollen Daten für einen, angesichts der kurzen<br />
Innovationszyklen der Informationstechnik, sehr langen Zeitraum lesbar <strong>und</strong> sogar<br />
auswertbar vorgehalten werden. Für strukturierte Daten in Datenbanktabellen kann<br />
dies noch nachvollzogen werden, für Dokumente in proprietären Dokumentformaten<br />
wird dies jedoch schwierig. Derzeit gilt der Gr<strong>und</strong>satz: Originalformate nicht ändern,<br />
sondern so aufbewahren, wie sie entstanden sind.<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 90 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
Hier widerspricht die Forderung nach Unveränderbarkeit der Daten der<br />
Notwendigkeit, Unterlagen auch noch in 10 Jahren lesbar, bzw. nach <strong>GDPdU</strong> sogar<br />
auswertbar zu machen. Die Finanzbehörden fordern zum Teil heute, empfangene E-<br />
Mail mit einem Dateianhang aufzubewahren. Handelt es sich bei dem Anhang zum<br />
Beispiel um ein Kalkulationsdatei, die versionsabhängig sogar ausführbaren<br />
Programmcode enthält (Beispiel: ein Excel Spreadsheet mit aktiven Makros), ist es<br />
sehr fraglich, ob diese Datei noch korrekt in 10 Jahren angezeigt werden kann.<br />
Selbst das Vorhalten der Software, mit der diese Datei erzeugt wurde, ist technisch<br />
<strong>und</strong> wirtschaftlich kaum möglich. Der Empfänger der E-Mail kann zudem nicht<br />
kontrollieren, in welchem Format <strong>und</strong> in welcher Form er eine Datei erhält. Das<br />
Unternehmen darf aber nicht aus eigenem Ermessen die Originalformate in ein<br />
seiner Meinung nach langzeitig stabileres Format wie XML, PDF oder TIFF etc.<br />
überführen, da hierbei sowohl die Auswertbarkeit der originären Kalkulationsdatei<br />
verloren geht <strong>und</strong> zweitens der Gr<strong>und</strong>satz der nachweislich unveränderten<br />
Aufbewahrung durchbrochen wird. Bleibt nur die Möglichkeit, kontrolliert eine<br />
Archivkopie (Rendition) zusätzlich zu erzeugen <strong>und</strong> unter dem gleichen Index<br />
zusammen mit dem Original wiederauffindbar zu machen.<br />
Wie sind red<strong>und</strong>ante Daten in Vor- <strong>und</strong> Nebensystemen zu handhaben?<br />
Bereits viele mittelständische Unternehmen betreiben Vor- <strong>und</strong> Nebensysteme in<br />
denen steuerrelevante Daten erzeugt werden. Hierzu können Zeiterfassungs-,<br />
Reisekostenabrechnungs-, E-Billing-, Lagerbestandsverwaltungs-, EDI-<br />
Übermittlungs-, E-Commerce-, E-Business- <strong>und</strong> viele andere Anwendungen<br />
gehören. Diese Systeme geben Daten häufig automatisiert an andere Systeme<br />
weiter, zum Beispiel zur Verbuchung. Für viele Anwender stellt sich hier die Frage,<br />
ob man die Quelldaten aus diesen Systemen löschen darf, wenn sichergestellt ist,<br />
dass alle Daten ohne Verdichtung im nachgelagerten Buchhaltungssystem abgelegt<br />
<strong>und</strong> sie dort für den Datenzugriff vorgehalten werden.<br />
Wenn eine vollständige, unverdichtete Übergabe der Daten in das kaufmännische<br />
System sichergestellt <strong>und</strong> nachvollziehbar ist, können die Quelldateien eigentlich<br />
gelöscht werden. Häufig werden sie außerdem in den Ursprungssystemen in proprietären<br />
Formaten vorgehalten, die keine direkte Auswertung zulassen. Strittig ist<br />
derzeit, wie mit originär <strong>elektronische</strong>n Daten umzugehen ist, die in einem Vor- oder<br />
Nebensystem verarbeitet <strong>und</strong> dabei transformiert werden. Die originäre Information<br />
wäre dann nach dem Löschen der Bestands- oder Übergabedateien nicht mehr<br />
vorhanden <strong>und</strong> die Prüfbarkeit gegebenenfalls eingeschränkt.<br />
Wie sollen sich verändernde Stammdaten vorgehalten werden?<br />
Zu Buchungssätzen in kaufmännischen Systemen gehören immer Stammdaten wie<br />
z.B. Kreditoren- <strong>und</strong> Debitoren-Daten, Kontenspiegel etc. Nur durch die<br />
referenzierten Stammdaten lassen sich Buchungen vollständig <strong>und</strong> richtig auswerten.<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 91 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
Solche Stammdaten können sich ändern. Umfirmierung von Lieferanten, Fusionen<br />
von K<strong>und</strong>enunternehmen, Aufteilung von Konten bei sich verändernder<br />
Besteuerungsgr<strong>und</strong>lage <strong>und</strong> andere Veränderungen, die sich in den Stammdaten<br />
niederschlagen, sind über einen Zeitraum von Jahren eher der Regelfall als die<br />
Ausnahme. In mehreren Veröffentlichungen haben die Finanzbehörden darauf<br />
hingewiesen, dass frühere Stammdaten vorgehalten werden müssen. Es stellt sich<br />
nun die Frage, ob <strong>und</strong> wie solche Veränderungen versioniert <strong>und</strong> historisiert werden<br />
müssen.<br />
Heute übliche Buchhaltungsanwendungen sind auf solche Veränderungen nicht<br />
eingerichtet. Sie besitzen nicht die Möglichkeit, zu einem Buchungssatz den<br />
jeweiligen Stand der zugehörigen Stammdaten zu sichern. Die Forderung der<br />
Finanzbehörden ist daher mit heutigen Mitteln kaum zu realisieren.<br />
Was ist bei einer System- oder Software-Migration zu tun?<br />
Der technologische Wandel zwingt Unternehmen heute in mehr oder weniger<br />
kürzeren Abständen zur Aktualisierung <strong>und</strong> Anpassung ihrer Hard- <strong>und</strong><br />
Softwaresysteme. Hierbei müssen Programme <strong>und</strong> zugehörige Daten auf neue<br />
Plattformen <strong>und</strong> in aktualisierte Betriebssystemumgebungen gebracht werden. Auch<br />
Buchhaltungs- <strong>und</strong> andere kaufmännische Softwaresysteme unterliegen Updates<br />
<strong>und</strong> Anpassungen. Wie bereits mehrfach in den vorangegangenen Fragestellungen<br />
diskutiert, ergibt sich hier für den Anwender ein Widerspruch: Einerseits muss die<br />
Information unveränderbar gespeichert werden, andererseits muss sie aber auch in<br />
einer veränderten technischen Umgebung nach 10 Jahren noch vollständig lesbar<br />
bzw. auswertbar bereitgestellt werden können.<br />
Bei einer Migration von Systemen oder Anwendungen müssen Daten umkopiert<br />
werden. Hiervon sind meistens die Verwaltungs-, Zugriffs- <strong>und</strong> Stammdaten<br />
betroffen, auch wenn die Nutzdaten weiterhin unverändert auf einem Speichersystem<br />
gehalten werden können. Müssen alle Daten im Rahmen einer Migration umkopiert<br />
werden, so werden sie ausgelesen <strong>und</strong> erneut geschrieben. Hierbei verändern sich<br />
auch Systeminformationen wie z.B. das Speicherdatum <strong>und</strong> Speicherorte. Bei einer<br />
Migration von Anwendungen <strong>und</strong> Speichersystemen mit steuerrelevanten Daten <strong>und</strong><br />
handelsrechtlich relevanten Dokumenten entsteht so eine rechtliche Grauzone. Nur<br />
durch Protokollierung des gesamten Prozesses mit Nachweis, dass alle Daten<br />
vollständig <strong>und</strong> unverändert migriert wurden, kann das rechtliche Risiko<br />
eingeschränkt werden. Gehen bei einer Migration Daten verloren oder wurden Daten<br />
verändert, so liegt dies in der Verantwortung des Steuerpflichtigen. Bei<br />
Systemwechseln oder Anpassungen der vorhandenen Systeme ist daher besonders<br />
sorgfältig vorzugehen, es sind Sicherheitskopien zu fertigen, die Verfügbarkeit <strong>und</strong><br />
Vollständigkeit ausführlich zu testen sowie die Leistungen von Programmierern oder<br />
Systemhäusern entsprechend sorgfältig zu prüfen.<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 92 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
Wieviel Spielraum bietet der Gr<strong>und</strong>satz der Verhältnismäßigkeit?<br />
In der <strong>GDPdU</strong> ist der Gr<strong>und</strong>satz der Verhältnismäßigkeit verankert. Die<br />
Ermöglichung des Zugriffs nach Z1 <strong>und</strong> Z2 sowie die Bereitstellung von Datenträgern<br />
im Rahmen von Z3 geschehen auf Kosten des Steuerpflichtigen.<br />
Es kann vom Steuerpflichtigen jedoch nicht verlangt werden, ein seit Jahren nicht<br />
mehr installiertes Programmsystem wieder in Betrieb zu nehmen, wenn Hard- <strong>und</strong><br />
Software des Unternehmens dies nicht mehr gestatten <strong>und</strong> die Daten für die Prüfung<br />
elektronisch weiterhin auswertbar vorliegen. Auch gibt es Einschränkungen für die<br />
Bereitstellung von Arbeitsplatz <strong>und</strong> Rechnerausstattung in kleinen Unternehmen, die<br />
letztlich nach der Betriebsprüfungsordnung BPO nur eine Prüfung mittels Z3<br />
zulassen werden. Trotz einiger Aussagen von Vertretern der Finanzbehörden kann<br />
dem Steuerpflichtigen nicht auferlegt werden, nicht mehr benötigte DV-Systeme<br />
weiterhin betriebsfähig vorzuhalten, wenn die Prüfung auf Basis von Daten in neuen<br />
Systemen oder mittels Z3 erfolgen kann. Wie weit der Spielraum des Gr<strong>und</strong>satzes<br />
der Verhältnismäßigkeit reicht, wird allerdings erst die Prüfungspraxis zeigen.<br />
Begriffsklärungen<br />
AO<br />
Abgabenordnung. In der Regel ist die Abgabenordnung vom 16.03.1976 gemeint<br />
(AO 1977, BGBl. I S. 613, ber. 1977 I S. 269) mit den jüngsten Änderungen durch<br />
Gesetz vom 26.06.2001 (BGBl. I 2001 S. 1310). Vorschriften zur Aufbewahrung von<br />
Daten <strong>und</strong> Unterlagen finden sich vor allem in den §§ 146 <strong>und</strong> 147 AO. Beide<br />
Paragraphen sowie § 200 wurden mit Wirkung zum 1.1.2002 geändert.<br />
HGB<br />
Handelsgesetzbuch vom 10.05.1897 (RGBl. S. 219; BGBl. III 4100-1). Zuletzt<br />
geändert durch Gesetz vom 30.03.2000 (BGBl. I 2000 S. 330).<br />
Aufbewahrungsrelevante Vorschriften finden sich vor allem im Dritten Buch<br />
(Handelsbücher), erster Abschnitt (Vorschriften für alle Kaufleute) in § 239 sowie in<br />
Hinblick auf aufbewahrungspflichtige Dokumente in § 257 HGB.<br />
<strong>GDPdU</strong><br />
Die „Gr<strong>und</strong>sätze zum Datenzugriff <strong>und</strong> zur Prüfbarkeit digitaler Unterlagen“ sind im<br />
B<strong>und</strong>essteuerblatt als BMF-Schreiben vom 16.7.2001 veröffentlicht worden. Die<br />
<strong>GDPdU</strong> beschreiben, wie Steuerprüfungen mit <strong>elektronische</strong>m Datenzugriff ab dem<br />
1.1.2002 durchgeführt werden.<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 93 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
GoBS<br />
Die „Gr<strong>und</strong>sätze ordnungsmäßiger DV-gestützter Buchführungssysteme“ wurden von<br />
der AWV Arbeitsgemeinschaft für wirtschaftliche Verwaltung erarbeitet <strong>und</strong> mit einem<br />
zugehörigen BMF-Schreiben im B<strong>und</strong>essteuerblatt im November 1995 veröffentlicht.<br />
Die Referenzierung GoBS bezieht sich auf beide zusammengehörige Dokumente.<br />
IDEA<br />
Die Abkürzung IDEA steht für „Interactive Data Extraction and Analysis“ <strong>und</strong> ist der<br />
Name der Prüfsoftware, mit der die Finanzbehörden die Außenprüfer ausgestattet<br />
haben. Mit der IDEA-Software werden Analysen der nach Z3 überlassenen Daten<br />
durchgeführt. Der IDEA-Beschreibungsstandard definiert ein XML-Format für die<br />
Strukturierung, Übergabe <strong>und</strong> Speicherung von Daten, die mit IDEA direkt verarbeitet<br />
werden können.<br />
Außenprüfung<br />
Die <strong>GDPdU</strong> beziehen sich auf verschiedene Formen der Außenprüfung. Hierzu<br />
gehören die Allgemeine steuerliche Betriebsprüfung, die Umsatzsteuer-<br />
Sonderprüfung <strong>und</strong> die Lohnsteuer-Außenprüfung. Elektronisch geprüft werden<br />
vorrangig Finanzbuchhaltung, Anlagenbuchhaltung <strong>und</strong> Lohnbuchhaltung sowie<br />
andere Bereiche des Datensystems, soweit sich hier steuerrelevante Daten befinden.<br />
<strong>Archivierung</strong><br />
Der Begriff <strong>Archivierung</strong> im Sinne <strong>elektronische</strong>r <strong>Archivierung</strong> wird lediglich in den<br />
GoBS <strong>und</strong> den <strong>GDPdU</strong> benutzt. In B<strong>und</strong>esgesetzen <strong>und</strong> anderen Verordnungen wird<br />
im Übrigen medienunabhängig nur von Aufbewahrung, Speicherung <strong>und</strong><br />
Datensicherung gesprochen.<br />
Revisionssichere <strong>elektronische</strong> <strong>Archivierung</strong><br />
Nach den „Gr<strong>und</strong>sätzen der <strong>elektronische</strong>n <strong>Archivierung</strong>“ des VOI Verband<br />
Organisations- <strong>und</strong> Informationssysteme werden solche <strong>elektronische</strong>n<br />
Archivsysteme als revisionssicher bezeichnet, die den Anforderungen der §§ 146,<br />
147 AO, §§ 239, 257 HGB sowie der GoBS vollständig entsprechen. Der Begriff<br />
„Revisionssicherheit“ ist gesetzlich nicht verankert <strong>und</strong> es existiert keine offizielle<br />
Zertifizierung für „revisionssichere“ Archivsystemprodukte.<br />
WORM<br />
Mit dem Begriff WORM als Abkürzung für „Write Once Read Many“ werden<br />
Speichermedien <strong>und</strong> Speichersysteme bezeichnet, die mittels physischer<br />
Eigenschaften des Mediums oder abgesicherter Software in einer geschlossenen<br />
Systemumgebung die Unveränderbarkeit <strong>und</strong> Nichtlöschbarkeit gespeicherter<br />
Informationen sicherstellen. WORM ist dabei heute als Verfahren anzusehen, da die<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 94 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
physische Eigenschaft der Unveränderbarkeit allein nicht ausreichend ist, um das<br />
geordnete, vollständige, unveränderte <strong>und</strong> abgesicherte Wiederfinden, Bereitstellen<br />
<strong>und</strong> Anzeigen von Informationen zu gewährleisten.<br />
Quellen<br />
AO Abgabenordnung<br />
B<strong>und</strong>esgesetzblatt BGBl. I S. 613, ber. 1977 I S. 269; BGBl. I 2001 S. 1310.<br />
B<strong>und</strong>esministerium der Finanzen<br />
Fragen <strong>und</strong> Antworten zum Datenzugriffsrecht der Finanzverwaltung. BMF<br />
B<strong>und</strong>esministerium der Finanzen, Referat IV D2, Berlin, März 2003. Abrufbar auf der<br />
Webseite des BMF.<br />
BpO Betriebsprüfungsordnung<br />
B<strong>und</strong>essteuerblatt 2001, BStBl. Teil I, S. 368f; S. 502f<br />
<strong>GDPdU</strong> Gr<strong>und</strong>sätze zum Datenzugriff <strong>und</strong> zur Prüfbarkeit digitaler Unterlagen<br />
BMF-Schreiben vom 16.7.2001, B<strong>und</strong>essteuerblatt 2001, BStBl. Teil I, Seite 415 ff<br />
GoBS Gr<strong>und</strong>sätze ordnungsgemäßer DV-gestützter Buchführungssysteme<br />
BMF-Schreiben vom 7.11.1995, B<strong>und</strong>essteuerblatt 1995, BStBl. Teil I, Seite 738 ff<br />
Henstorf, Karl-Georg; Kampffmeyer, Dr. Ulrich; Prochnow, Jan<br />
Gr<strong>und</strong>sätze der Verfahrensdokumentation nach GoBS. VOI Code of Practice 2. VOI-<br />
Schriftenreihe Kompendium Band 4, VOI Verband Organisations- <strong>und</strong><br />
Informationssysteme e.V., Darmstadt, 1999.<br />
Hentschel, Bernd<br />
Digitale Betriebsprüfung. eDatenzugriff der Finanzverwaltung. Datakontext Verlag,<br />
Frechen, 2002.<br />
HGB Handelsgesetzbuch<br />
Stand Oktober 2002<br />
IDW Institut der Wirtschaftsprüfer<br />
Entwurf IDW Stellungnahme zur Rechnungslegung: Gr<strong>und</strong>sätze ordnungsgemäßer<br />
Buchführung bei Einsatz von Electronic Commerce. IDW ERS FAIT 2.<br />
Rechnungslegung <strong>und</strong> Prüfung beim Einsatz von Informationstechnologie, IDW-<br />
Verlag GmbH, Düsseldorf, 2003.<br />
IDW Institut der Wirtschaftsprüfer<br />
Entwurf IDW Stellungnahme zur Rechnungslegung: Gr<strong>und</strong>sätze ordnungsgemäßer<br />
Buchführung bei Einsatz von Informationstechnologie. IDW ERS FAIT 1.<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 95 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
Rechnungslegung <strong>und</strong> Prüfung beim Einsatz von Informationstechnologie, IDW-<br />
Verlag GmbH, Düsseldorf, 2003.<br />
Kampffmeyer, Dr. Ulrich<br />
<strong>GDPdU</strong> – ein Entwurf wird Realität. <strong>PROJECT</strong> <strong>CONSULT</strong> Newsletter 20010710.<br />
<strong>PROJECT</strong> <strong>CONSULT</strong> Unternehmensberatung, Hamburg, 2001. Abrufbar auf der<br />
Webseite von <strong>PROJECT</strong> <strong>CONSULT</strong>.<br />
Kampffmeyer, Dr. Ulrich<br />
Elektronische Steuerprüfung – Was kommt auf die Unternehmen zu? BIT, Heft 5,<br />
2001, Weinbrenner Verlag, Stuttgart, 2001.<br />
Kampffmeyer, Dr. Ulrich<br />
<strong>GDPdU</strong> – Datenzugriff <strong>und</strong> Prüfbarkeit digitaler Unterlagen. nfd Nachrichten für<br />
Dokumentation, Heft 8, Darmstadt, 2001.<br />
Kampffmeyer, Dr. Ulrich<br />
What an IDEA! DoQ, Heft 5, 2002, H&T Verlag, München, 2002.<br />
Kampffmeyer, Dr. Ulrich; Rogalla, Jörg<br />
Gr<strong>und</strong>sätze der <strong>elektronische</strong>n <strong>Archivierung</strong>. VOI Code of Practice 1. VOI-<br />
Schriftenreihe Kompendium Band 3, VOI Verband Organisations- <strong>und</strong><br />
Informationssysteme e.V., Darmstadt, 1997.<br />
Lindgens, Bernhard<br />
So prüft die Finanzverwaltung. Creditreform, Heft 4, 2002, Neuss, 2002.<br />
StSenkG Steuersenkungsgesetz<br />
B<strong>und</strong>esgesetzblatt 2000, BGBl.Teil I, S. 1433 ff<br />
Tsambasis, Konstantinos<br />
Die digitalen <strong>Archivierung</strong>spflichten gemäß den Gr<strong>und</strong>sätzen §§ 145-147 AO unter<br />
Bezugnahme auf das Schreiben des B<strong>und</strong>esministers der Finanzen vom 16. Juli<br />
2001 zu <strong>GDPdU</strong> – IV D 2 – S 0316 – 136/01. Digitale Aufbewahrungspflichten,<br />
REVIDATA AG, Düsseldorf, 2002.<br />
VOI Verband Organisations- <strong>und</strong> Informationssysteme e.V.<br />
PK-DML Prüfkriterien für Dokumentenmanagement-Lösungen. VOI-Schriftenreihe<br />
Band 5, VOI Verband Organisations- <strong>und</strong> Informationssysteme e.V. in<br />
Zusammenarbeit mit dem TüVIT, Darmstadt, 2000.<br />
Zöller, Bernhard<br />
Elektronische <strong>Archivierung</strong>: Kein Druck vom Finanzamt; Computerwoche Extra<br />
August 2002, IDG Verlag, München, 2002.<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 96 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
Zöller, Bernhard<br />
<strong>GDPdU</strong>: Was sind revisionssichere Medien?, Rubrik Bit kontrovers, BIT, Heft 2,<br />
2003, Weinbrenner Verlag, Stuttgart, 2003.<br />
Webseiten<br />
B<strong>und</strong>esministerium der Finanzen<br />
http://www.b<strong>und</strong>esfinanzministerium.de<br />
Gesetze als recherchierfähiger Volltext<br />
http://www.recht-in.de<br />
http://dejure.org/<br />
http://b<strong>und</strong>esrecht.juris.de/<br />
<strong>PROJECT</strong> <strong>CONSULT</strong><br />
http://www.<strong>PROJECT</strong>-<strong>CONSULT</strong>.com<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 97 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
Anschrift des Autors<br />
<strong>PROJECT</strong> <strong>CONSULT</strong> GmbH, Büro Hamburg<br />
Oderfelder Str. 17<br />
D-20149 Hamburg<br />
E-Mail: Ulrich.Kampffmeyer@<strong>PROJECT</strong>-<strong>CONSULT</strong>.com<br />
Autorenrecht <strong>und</strong> CopyRight<br />
Autor: Dr. Ulrich Kampffmeyer<br />
<strong>PROJECT</strong> <strong>CONSULT</strong> Unternehmensberatung GmbH<br />
Oderfelder Str. 17<br />
D-20149 Hamburg<br />
Tel.: 040 / 460 762 20<br />
Fax: 040 / 460 762 29<br />
E-Mail: Presse@<strong>PROJECT</strong>-<strong>CONSULT</strong>.com<br />
Web: www.<strong>PROJECT</strong>-<strong>CONSULT</strong>.com<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> Unternehmensberatung GmbH 2003. Alle Rechte vorbehalten<br />
Der gesamte Inhalt ist, sofern nicht gesondert zitiert, ein Originaltext des Autors. Jeglicher Abdruck,<br />
auch auszugsweise oder als Zitat in anderen Veröffentlichungen, ist durch den Autor vorab zu<br />
genehmigen. Die Verwendung von Texten, Textteilen, grafischen oder bildlichen Elementen ohne<br />
Kenntlichmachung der Autorenschaft ist ein Verstoß gegen geltendes Urheberrecht. Belegexemplare,<br />
auch bei auszugsweiser Veröffentlichung oder Zitierung, sind unaufgefordert einzureichen.<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 98 von 99
<strong>GDPdU</strong> <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong><br />
Vortrag Dr. Ulrich Kampffmeyer am 26.11.2003<br />
ÜBERREUTER MANAGER AKADEMIE<br />
Tagung „Digitale Betriebsprüfung <strong>und</strong> <strong>elektronische</strong> <strong>Archivierung</strong>“<br />
Profil des Autors<br />
Dr. Ulrich Kampffmeyer, Jahrgang 1952, ist Gründer <strong>und</strong> Geschäftsführer<br />
der <strong>PROJECT</strong> <strong>CONSULT</strong> Unternehmensberatung GmbH,<br />
Hamburg, eine der führenden produkt- <strong>und</strong> herstellerunabhängigen<br />
Beratungsgesellschaften für ECM Enterprise Content Management,<br />
BPM Business Process Management, Knowledge Management <strong>und</strong><br />
andere DRT Document Related Technologies. Er ist Gründer <strong>und</strong><br />
Managing Partner der <strong>PROJECT</strong> <strong>CONSULT</strong> International Ltd.,<br />
London. Er beriet namhafte K<strong>und</strong>en aller Branchen im In- <strong>und</strong> Ausland<br />
bei der Konzeption <strong>und</strong> Einführung von DRT-Lösungen. Von der IT-<br />
Zeitschrift ComputerWoche wurde er im Jahr 2002 zu den 100<br />
wichtigsten IT-Machern Deutschlands <strong>und</strong> von der Fachzeitschrift<br />
DoQ im Jahr 2001 als einziger Berater zu den 25 wichtigsten Köpfen<br />
der DMS-Branche gezählt.<br />
Als Gründer <strong>und</strong> langjähriger Vorstandssitzender des VOI Verband<br />
Organisations- <strong>und</strong> Informationssysteme e.V. von 1991 bis 1998 prägte er wesentlich den deutschen<br />
Markt für Dokumenten-Management. Beim internationalen Dokumenten-Management-Anbieter<br />
Fachverband IMC war von 1993 bis 1998 Mitglied des Board of Directors. Seit dem<br />
Zusammenschluss des IMC <strong>und</strong> der AIIM 1999 hat er aktiv die AIIM International, den weltweiten<br />
Dachverband von Anwendern <strong>und</strong> Anbietern von Enterprise Content Management Lösungen,<br />
unterstützt. Von 1999 bis 2002 war er stellvertretender Vorsitzender des European Board of Directors<br />
der AIIM Europe <strong>und</strong> ist seit 2002 Mitglied des internationalen Board der AIIM International sowie<br />
Vorsitzender von mehreren AIIM Komitees.<br />
Dr. Kampffmeyer ist Mitglied des DLM-Monitoring Komitee der Europäischen Kommission, leitete das<br />
DLM Scientific Committee der DLM-Forum Konferenz in Bacelona 2002 <strong>und</strong> wirkt als Mitglied im<br />
Steering Committee des DLM-Network of Excellence mit.<br />
Dr. Kampffmeyer ist anerkannter Kongreßleiter, Referent <strong>und</strong> Moderator zu Themen wie <strong>elektronische</strong><br />
<strong>Archivierung</strong>, Records-Management, Dokumenten-Management, Workflow, Rechtsfragen, Business<br />
Re-engineering, Wissensmanagement <strong>und</strong> Projektmanagement. Auf zahlreichen nationalen <strong>und</strong><br />
internationalen Kongressen <strong>und</strong> Konferenzen wirkte er als Keynote-Sprecher mit.<br />
Er veröffentlichte zahlreiche Bücher <strong>und</strong> Artikel, beispielsweise die deutschen „Codes of Best Practice<br />
zur <strong>elektronische</strong>n <strong>Archivierung</strong>“ <strong>und</strong> das Handbuch „Dokumentenmanagement – Gr<strong>und</strong>lagen <strong>und</strong><br />
Zukunft“. Er ist Herausgeber der sechs DLM/AIIM Industry Whitepapers für <strong>elektronische</strong>s<br />
Dokumenten-, Records- <strong>und</strong> Content Management für den öffentlichen Sektor in Europa. Fachartikel<br />
in mehreren Sprachen <strong>und</strong> ständige Kolumnen werden regelmäßig in führenden Zeitschriften<br />
veröffentlicht.<br />
Dr. Kampffmeyer ist Mitglied in mehreren internationalen Standardisierungsgremien im Umfeld des<br />
Workflow-, Dokumenten- <strong>und</strong> Records-Management.<br />
K<strong>und</strong>e: UEBERREUTER Projekt: Tagung <strong>GDPdU</strong> Autor: Kff<br />
Thema: <strong>GDPdU</strong> <strong>und</strong> <strong>Archivierung</strong> Topic: Teilnehmerhandout Status: fertig<br />
Datei: Handout_Text_Ueberreuter_Kampffm Datum:<br />
eyer_<strong>GDPdU</strong>.doc<br />
28.11.2003 Version: 1.0<br />
© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2003 Seite 99 von 99