GoBD neu - ein Interview bei Amagno

19.08.2019

Auf der Blog-Webseite von AMAGNO http://bit.ly/Amagno_GoBD2 wurde im August 2019 ein Interview zu den überarbeiteten und ergänzten GoBD vom 11.7.2019 von Jens Büscher, Geschäftsführer von Amagno, mit Dr. Ulrich Kampffmeyer, Geschäftsführer von PROJECT CONSULT, veröffentlicht. Das Interview im Wortlaut:

 

NEUE GOBD – INTERVIEW MIT DR. ULRICH KAMPFFMEYER

Im Juli 2019 wurde die neue Fassung der „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD)“ veröffentlicht und ersetzt die bisherige Verordnung aus dem Jahr 2015.

Jens Büscher, Gründer von AMAGNO, freut sich, die interessanten Aspekte der neuen Fassung in einem Interview mit Dr. Ulrich Kampffmeyer, Unternehmensberater für Informationsmanagement in Hamburg, näher zu beleuchten.

Jens Büscher Amagno  Lieber Uli,  die neue Fassung der GoBD ist jetzt offiziell veröffentlicht.
  Nur wenige Jahre liegen zwischen den Veröffentlichungen. Für eine Anpassung
  in Deutschland eine recht kurze Zeit, finde ich.
  Welche Anlässe gab es für die neue Fassung? 
 Wo lagen die Schwerpunkte der Korrektur?

Ulrich Kampffmeyer PROJECT CONSULTNatürlich ging die Diskussion um die Praxis-Tauglichkeit der GoBD nach der Veröffentlichung 2015 erst richtig los, Jens. Schon früh wurden eine Reihe von Aspekten, die z. B. ziemlich viel Aufwand für die Systeme und die Dokumentationen bedeuten, kritisch hinterfragt. Weitere Gesetze, wie zum Beispiel das KassenG, erweitern den Wirkungsbereich. Aber Du hast recht, 4 Jahre ist für eine Bundesbehörde schon ziemlich schnell. Zwischen GoBS und GoBD lagen 20 Jahre, zwischen GDPdU und GoBD 14 Jahre. Da ist technologisch, wie auch steuer- und handelsrechtlich viel passiert.

Wichtig ist daher bei solchen Verordnungen, dass sie technikneutral ausgestaltet werden. Die GoBD „neu“, auch von manchen „GoBD 2.0“ bezeichnet, hat viele kleine Anpassungen und auch einige größere. Positiv ist schon mal, dass die ursprüngliche Nummerierung mit den Randziffern beibehalten wurde. Texte wurden geändert oder ergänzt. Es wäre jetzt müßig, alle Änderungen im Detail zu besprechen: Rz. 15,  20, 26, 39, 50, 55, 64, 68, 76, 130, 135, 154, 164, wenn ich nicht noch welche übersehen habe. Es macht also schon Sinn, die GoBD komplett neu zu betrachten. Wichtige Änderungen sehe ich z. B. bei der Zulässigkeit der Speicherung in der Cloud und in den Staaten der EU, das Scannen mit Smartphones, Erleichterungen beim Inhouse-Format, Fortschreibung der Verfahrensdokumentation, Klärung der Begriffe „Wahrheit“ und „Klarheit“ und Verkürzung der Fristen bei der Aufbewahrung in Altsystemen.

Auch bei den Aufbewahrungsfristen selbst tut sich etwas. Wir rechnen in Kürze damit, dass sich die Aufbewahrungsfrist von 10 Jahren auf 8 Jahre verkürzt. Dann muss halt öfter und schneller – sprich digital – geprüft werden.

Ulrich Kampffmeyer - PROJECT CONSULT - GoBD - Erleichterungen durch GoBD 2.0

Jens Büscher Amagno  Die Unternehmen sehnen sich nach größtmöglicher Einfachheit und geringster Bürokratie,
  mit einem ECM/DMS/Archivsystem die Papierberge zu beseitigen, aber mit größter
  rechtlicher Sicherheit. Dazu bedarf es u. a. einer Verfahrensdokumentation, die auch für
  Papierarchive gilt.
  Wie weit sind wir in Deutschland und der EU auf dem Weg der digitalen Belegarchivierung mit möglichst wenig Aufwand?
Gibt die neue Fassung den Unternehmen noch bessere, einfachere Möglichkeiten?

Ulörich Kampffmeyer PROJECT CONSULTDas Thema Verfahrensdokumentation.  Ja, diese ist weiterhin erforderlich, auch bei kleinen Unternehmen. Aber häufig reichen da schon ein paar saubere Seiten aus, da vielerorts die Buchhaltung und die Belegspeicherung outgesourct ist. Es gibt auch inzwischen zahlreiche Checklisten und Muster-Vorlagen von Verbänden und Beratern. Professionelle Anbieter von ERP-, Fibu- und Aufbewahrungslösungen liefern ihren Kunden gleich vorgefertigte Muster mit, die nur noch ergänzt werden müssen.

Es gibt auch Datenbank-Werkzeuge, die besonders für größere verteilte Organisationen oder Rechenzentren mit vielen Mandanten sehr sinnvoll sind. Einige Anbieter gehen inzwischen soweit, dass sie in ihrem Aufbewahrungs-/Archiv-/DMS-/ECM-/EIM-/ContentServices-/IIM-wie-auch-immer-System eine kleine Musterakte mitliefern, die bereits die Struktur einer Verfahrensdokumentation und die vom Anbieter bereitzustellen Dokumente enthält, so dass man die Verfahrensdokumentation gleich im System mitpflegen kann.

Richtig interessant wird es aber, wenn das System sich selbst dokumentiert. Der größte Teil der notwendigen Informationen wie Berechtigungen, Speicherorte, Aufbewahrungsfristen, Dokumentenklassen, Protokolle, Prozesse u. s. w. liegt doch sowie im System vor und muss nur in eine Form gebracht werden. Änderungen an den Parametern nebst Versionierung und neu geforderter Historisierung, führt das System durch. Der Endanwender muss nur einige wenige Paragrafen manuell ergänzen. Gerade wo alle von Künstlicher Intelligenz (KI) und Analytics philosophieren, böten sich gerade hier einfache Automatisierungschancen. KI ist außerdem für viele Prozesse wie Freigaben, Eskalation oder Merkmalgewinnung beim Erfassen von Informationen sehr sinnvoll.

Ulrich Kampffmeyer  - PROJECT CONSULT - GoBD - Die Finanzverwaltung will auswertbare Daten

Jens Büscher Amagno  Erfassen von Informationen, Uli. Hier geht es auch um das „ersetzende Scannen“ gem. Resiscan.
  Die Richtlinie des BSI (03138) setzt einige Rahmenbedingungen, um Papierdokumente vernichten
  zu dürfen. Die Neufassung der GoBD geht deutlicher auf das mobile Scannen und den Verzicht
  auf elektronische Signaturen ein.
  Wie ist Deine Sichtweise für den Mittelstand, z. B. Rechnungen zu scannen und anschließend
  zu vernichten?
Siehst Du hier jetzt eine Erleichterung für die Unternehmen im Verfahren und der Verfahrensdokumentation?

Ulrich Kampffmeyer PROJECT CONSULT Also mit der Verfahrensdokumentation hat das soweit zu tun, als die Erfassungs- und Verarbeitungsprozesse, also nicht nur das Aufbewahren, dokumentiert werden müssen. Viele Musterverfahrensdokumentationen gehen daher auch auf das Scannen mit Resiscanein. Resiscan und das Signieren beim Scannen sind zwei – nach meiner Meinung – verschiedene Pferde. Man kann sicher scannen, als eine Variante der Erfassung, auch ohne die erfassten Dateien zu signieren. Dies zeigt sich auch beim Scannen mit dem Mobiltelefon, wo man keinen Signatur-Kartenleser anbringen und nutzen kann.

Allerdings gibt es auch hier Anbieter, die inzwischen hierfür Fernsignaturen nach eIDAS anbieten. Aber grundsätzlich gesehen, ist das Signieren ein unnötiger Overkill, wenn die Prozesse sauber, sicher und nachvollziehbar sind. Man schafft sich so auch nicht unterschiedliche Qualität im System, wenn nur gescannte Dokumente signiert und selbsterzeugte, importierte Office-Dokumente, E-Mails, elektronisches Fax etc. nicht signiert sind. Gut kann man mit Zeitstempeln – in der öffentlichen Verwaltung mit Siegeln – bei der automatischen Protokollierung der Aktivitäten im System arbeiten, um Nachweise der Originalität und Unverändertheit zu führen.

Dafür braucht es aber keine personenbezogenen, kartenbasierten qualifizierten elektronischen Signaturen der Vergangenheit. Scannen nach Resiscan heißt nicht, dass man Signaturen unbedingt einsetzen muss. Der erste Teil mit den „Basic“-Anforderungen fürs Scannen reicht schon aus. Und Anwender in der freien Wirtschaft sind nun mal keine Bundesbehörden, die schon eher sich mit dem Thema auseinandersetzen müssen. In Randziffer 138 ist die GoBD aber ziemlich klar. Für steuerliche Zwecke braucht es keine elektronische Signatur. Punkt.

Ulrich Kampffmeyer - PROJECT CONSULT - GoBD - Verfahrensdokumentation als Wissensbasis

Jens Büscher Amagno  Wir verzeichnen als Anbieter einen sprunghaften Anstieg an Kunden für ECM-Lösungen 
  in der Cloud. Insbesondere für Buchhaltungsbelege, wie Rechnungen. Die lokale Datenhaltung
  von Belegen in Deutschland, z. B. einfache Rechnungsbelege, erzeugt für ECM-Anbieter mit
  eigenen Rechenzentren in Deutschland hohe Kosten. Einige Anbieter setzen aus Kostengründen
  schon auf AWS oder Azure mit Speicherung in der EU, die trotzdem dem Cloud-Act aus den USA
  unterliegen. Wie akzeptiert siehst Du die Datenspeicherung von Belegen in der EU bei den
US Cloud-Anbietern durch die Neufassung?
Gibt es hier Bedenken bezüglich der Akzeptanz durch die Finanzbehörden vs. Free Flow of Data?

Ulrich Kampffmeyer PROJECT CONSULTDer Free Flow of Data Act der Europäischen Union erlaubt es in den meisten Fällen, Daten in allen anderen Staaten der EU zu speichern. Einschränkungen gibt es allerdings bei einigen Daten nach GDPR/DSGVO/BDSG. Der Free Flow of Data wird in den GoBD nicht explizit referenziert, aber die Möglichkeit, in der EU Daten zu verarbeiten, zu speichern und zu archivieren, ist gegeben. Dies gilt übrigens nicht nur für die Cloud – wobei man hier noch unterscheiden muss, über was für eine Cloud, private oder public, SaaS, IaaS oder PaaS, man spricht – sondern auch für die Rechenzentren von internationalen Konzernen, wo z. B. das SAP der deutschen Tochter bei der Mutter in Paris läuft.

Wie erwähnt gibt es unterschiedliche Typen von Cloud-Angeboten. Bei IaaS und PaaS mit individuellen Verträgen kann man auch regeln, wo die Primär- und die Sekundär-Sicherungs-Instanzen physisch liegen. Bei SaaS ist das schwieriger, weil meistens nur der primäre Speicherort als in der EU liegend genannt wird und die Sicherungen quer über den Globus verteilt sind. Was übrigens nicht heißen muss, dass die Daten lesbar sind. Bei IaaS und PaaS sollte man auf VPN-Zugänge und kryptografisch verschlüsselte Plattformen achten. Das kann in einem professionellen Rechenzentrum deutlich sicherer sein, als der Server unterm Schreibtisch des IT-Leiters in einer On-Premise-Kleinlösung.

Wichtig ist, dass für die Prüfung die Daten uneingeschränkt zugänglich und auswertbar sind. Beim Z1-Zugriff setzt sich der Prüfer ja auch direkt selbst ans System. Über den tatsächlichen Speicherort weiß er wahrscheinlich nur aus der Lektüre der Verfahrensdokumentation Bescheid. Die neue GoBD ist hier in Bezug auf den Speicherort deutlich offener, längt letztlich alles in die Verantwortung des Steuerpflichtigen. Dieser hat weiterhin die Verantwortung, dass alles ordnungsmäßig ist.

Ulrich Kampffmeyer - PROJECT CONSULT - GioBD - Danke an die Finanzverwaltung

Jens Büscher Amagno  Viele Anbieter in unserer Branche verweisen bei der rechtlich notwendigen
  Verfahrensdokumentation auf externe Wirtschaftsprüfer und führen maximal
  eine Softwareprüfung gem. IDW durch. Dem Kunden hilft das nicht. Die Neuregelung
  der GoBD sieht eine Vereinfachung der Änderungshistorie vor, die es doch einem
  ECM-Anbieter attraktiver machen sollte, dass die Verfahrensdokumentation integraler
Bestandteil der ECM-Lösung ist. Insbesondere, da ein ECM-System seine zu dokumentierende
IT-Umgebung ja kennt und sich die Dokumentation selbst aktualisieren könnte.
Was aber sicher nur ein Teil der Verfahrensdokumentation ist. Wie siehst Du dieses Thema?
Was könnten die ECM-Anbieter hier mehr leisten?

Dr. Ulrich Kampffmeyer - PROJECT CONSULT Unternehmensvberatung GmbHDanke für die Steilvorlage, Jens. Der deutsche Michel vertraut Stempeln und Zertifikaten. Viele Anbieter lassen ihre Systeme dann von Wirtschaftsprüfern, Steuerberatern oder Verbänden „zertifizieren“. Diese „Zertifikate“ bedeuten aber nur, dass bei ordnungsmäßigem Einsatz der Lösung vor Ort theoretisch die Anforderungen durch die eingesetzte Software erfüllt werden können. Die Betonung liegt auf „können“. Die GoBD sind hier eindeutig.

Ein solches Zertifikat der „GoBD-Konformität“ kann bei der Auswahl eines neuen Produktes sinnvoll sein. Es „entfaltet aber keine Bindungswirkung für den Steuerprüfer“, d. h. es ist wertlos. Es gilt, wie das System vor Ort betrieben, genutzt und dokumentiert wird. Es gibt allerdings auch Zertifizierungen die Sinn machen können, die z. B. die Testverfahren und die Qualität der Software beinhalten. Das sind aber nicht die „GoBD-Konformitäts-Stempelchen auf der Produktschachtel“. Ja, die ECM-Anbieter – hatten wir uns auf ECM geeinigt? – können hier mehr tun. Wie oben erwähnt Musterakten mitliefern oder einen – großen – Schritt weitergehen, und sich in Richtung selbstdokumentierende Systeme zu bewegen.

Das Allererste was ein Archivierungssystem überhaupt archivieren sollte, ist sich selbst, mit allen Einstellungen und Parametern. Wie komfortabel man dies macht und ob man eine solche Funktionalität dem Kunden kostenfrei – sozusagen als Wettbewerbsvorteil – durchreicht, muss jeder Anbieter entscheiden. Da aber jedes ECM-Produkt ja schon mit einem Akten-Generator ausgestattet ist, ist die einfachste Form der Mitlieferung einer vorgefertigten Akten- und Registerstruktur entsprechend der Gliederung nach den GoBD in wenigen Tagen zu bewältigen. Und man sollte hier gleich noch einen Schritt weiter denken. Es kommen die ersten Systeme, die sich selbst konfigurieren – ich habe diese „SICS Self Implementing & Configurating Solutions“ getauft. Die Software durchsucht alle Anwendungen, Datenbanken, Speicherorte, entwickelt selbst Klassifikationsstrukturen, Workflows, Audittrails etc., gleicht diese mit Branchen-Mustern ab, prüft gegen Aufbewahrungsrichtlinien- und Aufbewahrungsfristen-Datenbanken, und generiert so einen fertigen Systemvorschlag, der vom Kunden angepasst werden kann. Hier ist spätestens die Selbstdokumentation mit eingebaut.

Ich schätze, dies wird im SaaS-Bereich zuerst losgehen, wird aber auch vor On-Premise nicht haltmachen. Aber nicht nur die ECM-Anbieter können – und sollten – etwas tun, sondern auch die Finanzbehörden. Warum speichern wir eigentlich nicht alle steuerrelevanten Daten auf dem Server der Finanzverwaltung? Man muss sich dann nicht um Sicherheit, Speicherorte, Migration und all die anderen Sachen kümmern. Unrealistisch? Bei elektronischen Rechnungen werden ähnliche Modelle schon in Südamerika und Italien ausprobiert. Keine Rechnung, ohne dass diese über den Server der Finanzverwaltung gelaufen ist. Warum nicht gleich noch mehr?

Jens Büscher - Geschäftsführer Amagno  Vielen Dank für das Interview, Uli.

 

 

 

 

Über Dr. Ulrich Kampffmeyer

Er ist seit 27 Jahren Geschäftsführer der PROJECT CONSULT Unternehmensberatung. Von ihm stammen einige Grundlagenwerke zur revisionssicheren Archivierung und zu Enterprise Content Management (ECM). Von der Computerwoche wurde er 2003 und 2011 zu den einhundert wichtigsten IT-Persönlichkeiten Deutschlands gezählt. Die internationalen Fachverbände für Dokumentenmanagement, AIIM und IMC, verliehen ihm für sein Wirken Auszeichnungen. Er ist unter anderem „Fellow of Merit“ des IMC und Mitglied der „Company of Fellows“ der AIIM international (Quelle: Wikipedia https://de.wikipedia.org/wiki/Ulrich_Kampffmeyer).

 

Kommentare

Neuen Kommentar schreiben

Ich stimme zu, dass die von mir eingegebenen Daten einschließlich der personenbezogenen Daten an PROJECT CONSULT übermittelt und dort zur Prüfung der Freischaltung meines Kommentars verwendet werden. Bei Veröffentlichung meines Kommentars wird mein Name, jedoch nicht meine E-Mail und meine Webseite, angezeigt. Die Anzeige des Namens ist notwendig, um eine individuelle persönliche Kommunikation zu meinem Beitrag zu ermöglichen. Anonyme oder mit falschen Angaben eingereichte Kommentare werden nicht veröffentlicht. Zu Nutzung, Speicherung und Löschung meiner Daten habe die Datenschutzerklärung zur Kenntnis genommen.
Ich versichere, alle gültigen Vorgaben des Urheberrechts beachtet zu haben. Dies betrifft besonders die Nicht-Verwendung von urheberrechtlich geschütztem Material und die Nicht-Verwendung von Inhalten und Links zu Inhalten, die dem Leistungsschutz unterliegen. Für den Inhalt meines Kommentars bin ich trotz Prüfung und Freischaltung durch PROJECT CONSLT ausschließlich selbst verantwortlich. Meine Rechte am Beitrag werden bei PROJECT CONSULT nur durch die CC Creative Commons Vorgaben gewahrt. Für die Verfolgung mißbräuchlicher Nutzung meiner Beiträge durch Dritte bin ich selbst verantwortlich.

This question is for testing whether or not you are a human visitor and to prevent automated spam submissions.