Compliance

Definition Compliance

Compliance ist die Übereinstimmung mit und die Erfüllung von gesetzlichen und regulativen Vorgaben.

Compliance

Auch wenn es Compliance-Anforderungen schon immer, auch im Ursprungsland des Begriffes - den USA - gab, so haben sie nach den Skandalen um Enron und Worldcom eine brisante Qualität erhalten: neue, strafbewehrte Anforderungen zur Aufbewahrung geschäftsrelevanter elektronischer Informationen. Auch in Europa gab es entsprechende Skandale, ohne dass sich dies in ähnlich rigiden Maßnahmen wie den USA niedergeschlagen hätte.
In der Vergangenheit gab es schon immer eine Reihe von rechtlichen Anforderungen; so musste beispiels-weise Finanzbuchhaltungssoftware schon immer Compliance-Standards erfüllen. Mit dem steigendem Aufkommen und der wachsenden Bedeutung von E-Mails und E-Commerce gewann die Notwendigkeit der Dokumentation und elektronischen Archivierung von Geschäftsvorgängen immer mehr Bedeutung.

Compliance ist schwer ins Deutsche übersetzbar

Compliance ist die Übereinstimmung mit und die Erfüllung von gesetzlichen und regulativen Vorgaben.
Betrachtet man die einzelnen Begriffe der deutschen Übertragung der Definition von Compliance „Übereinstimmung mit und Erfüllung von gesetzlichen und regulativen Vorgaben“, dann werden unterschiedliche Aspekte von Compliance-Anforderungen deutlich.

„Übereinstimmung“

Zur Erreichung der „Übereinstimmung“ wird vorausgesetzt, dass es nachlesbare, definierte, offizielle Vorgaben gibt, die die Regeln enthalten, was zu tun ist. Hier ist „Übereinstimmung“ gefordert, ohne das die Regeln meistens eine technische Vorgabe enthalten, wie die Anforderung umzusetzen ist. Dies ist auch sinnvoll, da sich solche Vorgaben nicht an einer Technologie festmachen sollten, die in ein paar Jahren schon wieder obsolet ist. Die Übereinstimmung ist der „statische Aspekt“ von Compliance.

„Erfüllung“

Der Begriff „Erfüllung“ impliziert zweierlei: Einmal, dass die Anforderungen in einer Lösung umgesetzt werden müssen, und zum Zweiten, dass dies ein Prozess ist, keine einmalige Aktion. Das Unternehmen oder die Organisation muss kontinuierlich für die Ein-haltung der Vorgaben Sorge tragen. „Erfüllung“ geht dabei meistens über eine rein technische Lösung hinaus und beinhaltet auch organisatorische und Mana-gement-Aspekte. Die kontinuierliche Erfüllung ist der „dynamische Aspekt“ von Compliance.

„Gesetzliche Vorgaben“

Hierbei handelt es sich um Gesetze oder behördliche Verordnungen, die bestimmte Unternehmen, Organisationen oder Personen verpflichten, die jeweils aufgeführten Regelungen einzuhalten. Hier kann man sich auch nicht um die Erfüllung „drücken“, lediglich in Hinblick auf Auslegung, Umfang und Umsetzungsweise besteht Handlungsspielraum.

„Regulative Vorgaben“

Man unterschiedet zwischen „rechtlich“ und „regulativ“, da es eine Reihe von Vorgaben, die nicht direkt auf Gesetzen basieren wie z.B. Normen, Standards, Codes of Best Practice oder andere Vorgaben. Vielfach ergeben sich aus gesetzlichen Vorgaben für einen An-wendungsfall auch Auswirkungen und implizite An-forderungen für andere Fälle. Diese werden als „regulative Vorgaben“ abgegrenzt.

Unterschiedliche Auswirkungen

Grundsätzlich gelten alle gesetzlichen, rechtlichen und regulativen Vorgaben auch in der elektronischen Welt. Häufig sind die Anforderungen der IT-Welt jedoch noch nicht oder nicht direkt enthalten und müssen daher adäquat abgeleitet werden.

„Direkte Betroffenheit“

Dies betrifft besonders Gesetze und gesetzesgleiche Verordnungen, die in jedem Fall eingehalten werden müssen. Hier kann man lediglich den Umfang und die Ausprägung interpretieren. Neben generell gültigen Vorgaben treten besondere, die auf die Branche oder Geschäftstätigkeit bezogen sind.

„Indirekte Betroffenheit“

Hier beginnt die große Grauzone, wo es darum geht, zunächst die für das Unternehmen oder die Organisation zutreffenden Regelungen zu ermitteln und zu be-werten. So betrifft beispielsweise Basel II nicht nur die Banken, sondern jedes kreditnehmende Unternehmen, da die Dokumentations- und Transparenzauflagen an die Kunden weitergegeben werden. Für direkte und indirekte Auswirkungen gibt es zahlreiche Compliance-Regeln, die sowohl die herkömmliche Papierdoku-mentation wie auch die eingesetzte EDV betreffen.
Der bindende Charakter einer Vorgabe kann also sehr unterschiedlich sein. Nicht zuletzt Steckdosen, Lebensmittel, Flugzeuge, elektrische Geräte, Medikamente, Kindergärten, Bildschirme usw. müssen auch be-stimmte Compliance-Anforderungen erfüllen, die sich beispielsweise in Prüfsiegeln niederschlagen.

Information Management Compliance

Ein Abgleich der unterschiedlichen Anforderungen und Ausprägungen mit dem, was heute unter dem Schlagwort „Compliance“ bei informationstechnologischen Lösungen verstanden wird, zeigt aber große Unterschiede. Daher wird im Folgenden konkreter im Sinne von „IMC“, „Information Management Compliance“, gesprochen.
Information Management Compliance ist die Übertragung des Compliance-Begriffes auf die Handhabung von Informationen. Sie spielt eine besondere Bedeutung bei der Nutzung von Informationssystemen, die Compliance-Anforderungen unterliegen. Dies be-schränkt sich nicht auf Dokumentenmanagement- und Archivsysteme sondern umfasst alle Informationssysteme im Unternehmen.
Information Management Compliance darf nicht isoliert betrachtet werden.
Compliance muss Bestandteil der Corporate Governance des Unternehmens und ständiger Begleiter aller Prozesse werden.

Compliance-Vorgaben

Beim Thema Compliance geht es direkt um die Umset-zung von Anforderungen in Organisation und Technik. Grundlage sind aber auch hier Vorgaben der Governance im Unternehmen und Regelwerke, Policies im Englischen, die den Umgang mit Information verbindlich machen. Hier greifen Governance und Compliance direkt ineinander. Führungs-, Organisations- und Technik-Aspekte lassen sich hier nicht mehr trennen. Da immer mehr Information originär elektronisch entsteht und ein Ausdruck in Papier nur eine mögliche Form der Repräsentation des originär elekt-ronischen Inhalts darstellt, muss sich die gesamte Or-ganisation des Unternehmens auf die elektronische Welt einlassen und Informationssysteme bei allen Governance- und Compliance-Fragen berücksichtigen.
Die Verantwortung für die Einhaltung von Compliance-Vorgaben liegt bei Vorständen, Aufsichtsräten und Geschäftsführern.
Man sollte sich auch in diesem Umfeld auf verschärfte Vorgaben einrichten, wie sie zum Beispiel in den USA mit dem Sarbanes-Oxley Act, e-Discovery oder dem Patriot Act bereits gang und gäbe sind. Mit der sogenannten 8. Direktive wurde bereits eine Richtlinie der Europäischen Kommission verbindlich, die ähnlich wie der Sarbanes-Oxley Act die Prüfung der Unternehmen regelt und damit auch automatisch eine Brücke zwi-schen Compliance- und Governance-Fragen schlägt.

Ausgewählte internationale Vorgaben

Basel II

Als gutes Beispiel für direkte und indirekte Auswirkungen der Gesetzgebung kann Basel II angeführt werden. Mit Basel II wird die Neugestaltung der Eigenkapitalvorschriften der Kreditinstitute bezeichnet. Finanzdienstleister müssen umso mehr Eigenkapital vorhalten, je höher das Risiko des Kreditnehmers ist. Auch wenn man in Bezug auf die Kreditvergabe und die Dokumentationspflichten hier zunächst nur an die Banken denkt, hat Basel II auch erhebliche Auswirkungen auf alle Unternehmen.
Ziel von Basel II ist es, die Stabilität des internationalen Finanzsystems zu erhöhen. Dazu sollen die Risiken im Kreditgeschäft besser erfasst und die Eigenkapitalvorsorge der Kreditinstitute risikogerechter ausgestaltet werden.
Basel II hat eine Vielzahl von Auflagen für die Doku-mentation nach sich gezogen, die in einer elektronischen Welt nur mit Informationsmanagementlösungen vollzogen werden können.

Ausgewählte europäische Vorgaben

Auf europäischer Ebene werden durch die Europäische Kommission zahlreiche Richtlinien entwickelt, die von den Mitgliedstaaten in nationales Recht überführt werden müssen. Bereits durch die Richtlinien zum E-Commerce und zur elektronischen Signatur ist eine Reihe von Anforderungen für Compliance entstanden. Der elektronische Geschäftsverkehr und die Umstellung der öffentlichen Verwaltung auf elektronisch unterstützte Verfahren werden weitere Compliance-Anforderungen nach sich ziehen.
Beispiele für europäische Richtlinien mit Gesetzescharakter, die Bedeutung für die Rechtskraft elektronischer Dokumente besitzen und Dokumentationspflichten nach sich ziehen, sind z.B.:

„E-Commerce“

E-Commerce-Richtlinie, die genau festlegt, was im elektronischen Geschäftsverkehr erlaubt und verboten ist. Hierzu gehören auch Nachweis- und Dokumentationspflichten.

„E-Signatur“

Basis für die Signaturgesetzgebung in der EU ist die EG-Richtlinie 1999/93/EG
Sie definiert die Vorgaben für die Regelungen elektronischer Signaturen, die durch die Mitgliedstaaten und die anderen Staaten des europäischen Wirtschaftsraumes in nationalen Gesetzen umgesetzt werden. Der Einsatz der elektronischen Signatur ersetzt unter bestimmten Voraussetzungen das Papier. Die elektronische Signatur ist daher Bestandteil zahlreicher Compliance-Regelungen.
Zahlreiche andere Richtlinien der Europäischen Kommission haben ebenfalls Compliance- und Dokumentationspflichten nach sich gezogen. Hierzu gehört auch Solvency II. Die größte Wirkung entwickeln jedoch zurzeit die sogenannte 8. Direktive und die europäische Dienstleistungsrichtlinie.

Solvency II

Solvency II ist ein Projekt der EU-Kommission zu einer grundlegenden Reform des Versicherungsaufsichtsrechts in Europa, vor allem der Solvabilitätsvorschriften für die Eigenmittelausstattung von Versicherungsunternehmen. Am 10. Juli 2007 hat die Europäische Kommission einen Vorschlag für eine Solvency II-Rahmenrichtlinie dem Europäischen Parlament und Rat vorgelegt. Eine Verabschiedung der Richtlinie ist für Ende 2008 geplant. Nach Erlass der entsprechenden Durchführungsbestimmungen wird Solvency II voraussichtlich von 2012 an national umgesetzt.
Wie bei Basel II wird ein 3-Säulen-Ansatz verfolgt, anders als bei der Bankenbranche stehen aber weniger die Einzelrisiken, als vielmehr ein ganzheitliches System zur Gesamtsolvabilität im Zentrum. Neben quantitativen (steht jederzeit ein ausreichendes Solvenzkapital zur Verfügung?) werden hier auch qualitative Aspekte (besteht ein adäquates Risikomanagementsystem im Unternehmen?) betrachtet.

8. Direktive

Die 8. Direktive (auch 8. EU-Richtlinie oder Euro-SOX genannt) ist in der europäischen Gemeinschaft bereits seit dem 29.06.2006 in Kraft und musste bis zum 29.06.2008 in nationales Recht umgesetzt werden. Sie enthält ausführliche Vorschriften über die Durchführung der Abschlussprüfung von Jahresabschlüssen sowie über damit verbundene Anforderungen an den beauftragten Abschlussprüfer. Die 8. Direktive verfolgt das Ziel, international einheitliche Regelungen für die Prüfung des Finanzabschlusses zu schaffen.
Die 8. Direktive betrifft in erster Linie also die Wirtschaftsprüfer sowie alle Unternehmen, die Finanzabschlüsse tätigen müssen. Aus ihr leiten sich eine Reihe von Offenlegungs- und Dokumentationsanforderungen ab. Die Nachvollziehbarkeit der Abschlüsse ist eine wesentliche Voraussetzung, die geordnete Ablagen mit vollständigen und inhaltlich richtigen Dokumentationen voraussetzt.

Dienstleistungsrichtlinie

Die EU-Dienstleistungsrichtlinie, die bis Ende 2009 in nationale Gesetzgebung umzusetzen ist, soll die Zulassung von Dienstleistungserbringern in der EU vereinfachen. Die Dienstleistungsrichtlinie hat den Abbau von bürokratischen Hindernissen und zwischenstaatlichen Hemmnissen sowie die Förderung des grenzüberschreitenden Handels mit Dienstleistungen zum Ziel. Alle Verfahren und Formalitäten müssen zukünftig elektronisch durchgeführt werden können. Dementsprechend sind elektronische Informationsangebote, die Möglichkeit elektronischer Kommunikation zwischen Dienstleistern und Ansprechpartnern oder zuständigen Stellen gefordert, aber auch die ganzheitlich elektronische Abwicklung von kompletten Verwaltungsverfahren. Ein weiterer bedeutender Bestandteil der Forderungen der Richtlinie ist auch der Datenaustausch zwischen den Verwaltungen der europäischen Staaten.
Ausdrücklich hat die EU Kommission in dem zugehörigen Handbuch deutlich gemacht, dass die Richtlinie nicht mit einfachen Mitteln der elektronischen Kommunikation realisiert werden soll, wie z.B. über Internetportale oder E-Mail, vielmehr ist eine integrierte Entwicklung IT-gestützter Kommunikation zwischen den öffentlichen Verwaltungen und deren Zielgruppen gewünscht. Verwaltungsverfahren müssen also vollständig durch Online-Interaktionen oder gar -Transaktionen unterstützt werden und ausländischen wie auch einheimischen Dienstleistungsanbietern zugänglich sein. Erstmals ist also ein rechtlicher Zwang zur Realisierung von e-Government-Anwendungen gegeben. Als IT-Basisdienste wurden folgende Kom-ponenten identifiziert: Elektronischer Zugang, Portale, Wissensmanagement, Verwaltungsnetze, Elektronische Identifizierung, e-Signatur, Formularservice, Online-Zahlverfahren, Verschlüsselung, Dokumentenmanagement und Dokumentensafe. Vor dem Hintergrund der Behörden- und Länderübergreifenden Verwaltungsprozesse ist die Festlegung von nationalen und EU-weiten Standards eine der Kernvoraussetzungen.

Ausgewählte Vorgaben aus den USA

In den USA gab es schon sehr lange Compliance-Anforderungen an Softwaresysteme und die Dokumentation von Geschäftsprozessen. Am bekanntesten und am engsten mit dem Begriff Compliance ist jedoch der Sarbanes-Oxley Act verknüpft.

Sarbanes-Oxley Act

Durch die Skandale um ENRON, WorldCom und einige andere Unternehmen rückte das Thema Compliance in den Mittelpunkt des allgemeinen Interesses. Anlass waren „geschönte“ Prüfungen von Wirtschaftsprüfern und die Geschäftsberichte der Unternehmen. E-Mail wurde dabei als eine der möglichen Nachweisquellen für ungesetzliches Handeln entdeckt. Dies führte im Jahr 2002 zum Sarbanes-Oxley Act, allgemein SOA oder SOX abgekürzt. Typisch amerikanisch wurde es nach den beiden Leitern der Kommission benannt, die das Gesetz entworfen hat. Das Gesetz findet Anwendung für alle Unternehmen, die an der New York Stock Exchange gelistet sind.
SOX hat die Aufgabe, die Transparenz und Nachvollziehbarkeit in den Unternehmen bei Prüfungen durch die SEC, Securities und Exchange Commission, zu verbessern.
Unternehmen werden verpflichtet, u. a. ein internes Kontrollsystem für die Rechnungslegung zu unterhalten, die Wirksamkeit der Systeme zu beurteilen und die Richtigkeit der Jahres- und Quartalsberichte beglaubigen zu lassen.
SOX hat in den USA besonders auf Grund von Abschnitt 802 Bedeutung erlangt, weil hier empfindliche Strafen in der Strafgesetzgebung verankert worden sind. Die Zerstörung oder Veränderung von aufbewahrungspflichtigen Unterlagen kann mit bis zu 20 Jahren Gefängnis bestraft werden.
Besonders die Wirtschaftsprüfer legen in ihrer Beratung nunmehr sehr viel Wert auf Compliance, da im Rahmen der Skandale große, namhafte Wirtschaftsberatungsfirmen wie Arthur Andersen vom Markt verschwanden.

e-Discovery

Die in den USA am 1. Dezember 2006 in Kraft getretenen Änderungen der FRCP Federal Rules of Civil Pro-cedure können als signifikanter Wendepunkt von den herkömmlichen papierbasierten hin zu elektronischen Beweisführungsregeln gesehen werden. Die wachsende Bedeutung von elektronisch gespeicherten Daten wurde somit auch durch den obersten Gerichtshof unerstrichen.
Electronic discovery, auch e-discovery oder eDiscovery, bezieht sich dabei auf jeden Prozess bei dem elektronische Daten abgefragt, gefunden, gesichert und gesucht werden, mit dem Ziel, sie bei einem Gerichtsverfahren zu verwenden. Dabei können sämtliche Daten, wie z.B. Texte, Bilder, Datenbanken, Audio-Dateien, Animationen, Webseiten und Programme als Beweis dienen. Die wertvollsten Quellen für strafrechtliche oder zivile Gerichtsverfahren stellen aber oft E-Mails dar.
Nachdem mit Sarbanes-Oxley bereits die elektronische Information vor Gericht aufgewertet worden war schafft eDiscovery nun die rechtliche Grundlage für die Anerkennung elektronsicher Informationen in Gerichtsverfahren. Alle Formen von elektronischen Informationen, nicht nur als Record definierte Dokumente, können als Beweismittel vorgebracht werden. Anders als in Europa und besonders in Deutschland spielt die elektronische Signatur dabei keine Rolle. Bei der Ermittlung gilt das als gültig, was von den ermittelnden Behörden vorgefunden wurde. Bei der Beweissicherung galten bisher nur Papierdokumente als sicherer Nachweis. Durch die Möglichkeiten der elektronischen Recherche ändert sich dies.
eDiscovery wird nicht nur die sichere, unveränderbare Speicherung von Informationen fördern sondern mehr noch den Schutz des Zugriffs und andere Sicherheitsaspekte. Policies zur kontrollierten Entsorgung von Information werden dabei zunehmend wichtiger.
Es sind aber nicht allein SOX und FRCP, die den Druck in bezug auf umfassende Dokumentationsanforderungen im Umfeld der Steuerprüfung und Steuerfahndung erhöht haben.
Viele dieser Regelwerke beziehen sich auf die neu gefassten FSG, Federal Sentencing Guidelines, von 2002, so dass Verstöße mit erheblichen Strafen belegt werden können.
Gesetze und Regularien in den USA haben auch Auswirkungen auf Unternehmen im Ausland, wenn sie Tochtergesellschaften oder Muttergesellschaften amerikanischer Unternehmen sind, oder bestimmte Geschäfte in den USA abwickeln.

SEC

Die United States Securities and Exchange Commission (SEC) sind für die Kontrolle des Wertpapierhandels in den Vereinigten Staaten zuständig. Die SEC wurde als Reaktion auf den Börsenkrach von 1929 im Jahre 1934 durch den Securities Exchange Act gegründet, um eine staatliche Aufsicht über die bis dato unkontrolliert ablaufenden Wertpapiergeschäfte zu schaffen. Ihre Aufgaben sind die Überprüfung des Handels auf Recht- und Ordnungsmäßigkeit und der Einhaltung börsenrechtlicher Anordnungen. Zur Erfüllung dieser Aufgaben wurden ihr umfangreiche legislative, exekutive sowie judikative Kompetenzen eingeräumt, so dass sie manchmal auch als "Vierte Gewalt" bezeichnet wird. Alle Unternehmen, die den amerikanischen Kapitalmarkt nutzen möchten, müssen sich bei der SEC registrieren lassen. Nur wenn die SEC ihr Einverständnis gibt, kann ein Unternehmen sich an der New York Stock Exchange listen lassen. Die SEC stellt sicher, dass die Unternehmen Informationen, die für die Anleger wichtig sein könnten, wie zum Beispiel Informationen über die finanzielle Situation des Unternehmens, veröffentlichen.

Ausgewählte Vorgaben aus Deutschland

In Deutschland wird der Begriff „Compliance“ zwar noch selten verwendet, doch die Anforderungen gibt es schon längst. Die Anzahl der Gesetze und Verordnungen in Deutschland, die Auswirkungen auf die Ausgestaltung von GRC-Lösungen haben, sind schier endlos. Zwei Aspekte sind dabei generell von Bedeutung: zum einen der Rechtscharakter elektronischer Information und zweitens die Nachvollziehbarkeit der Entstehungs-, Nutzungs- und Speicherprozesse der Information. In Deutschland sind BGB und ZPO maßgebliche Gesetze, die sich allgemein mit dem Rechtscharakter von Information beschäftigen. HGB, AO, GAufZ, GoBS und GDPdU beschäftigen sich dagegen sehr konkret mit den Anforderungen, wie Information bereitgehalten werden muss. Ebenso wie beim Thema E-Mail-Archivierung gibt es hier sehr konkrete Vorgaben, die direkt in technischen Lösungen münden. Auch in Deutschland werden die Gesetze, wie BGB, ZPO oder HGB, immer mehr den Anforderungen der Informationsgesellschaft angepasst sowie Richtlinien der Europäischen Kommission in nationales Recht übertragen. In diesem Umfeld kommt der elektronischen Signatur eine besondere Bedeutung zu.

Elektronische Signatur

Der Einsatz der elektronischen Signatur findet sich inzwischen in nahezu allen jüngeren Gesetzen. So z.B. auch bei der elektronischen Rechnung. Zum Vorsteuerabzug berechtigen den Empfänger nach § 14 Abs. 4 Satz 2 UStG nur elektronisch signierte Rechnungen. Da die elektronische Rechnung das Original darstellt, ist es auch elektronisch aufzubewahren. Hier greifen die verschiedenen neuen Gesetze und Regelungen ineinander. Das Signaturgesetz und die Änderungen von BGB Bürgerlichem Gesetzbuch und ZPO Zivilprozessordnung zur Verankerung der elektronischen Signatur finden ihren Widerhall in der Handels- und Steuergesetzgebung. Aktuelle Beispiele sind das EHUG und die Erweiterung des Anwendungsbereiches der GDPdU durch aktuelle Gerichtsurteile. In eine ähnliche Kerbe wie die GDPdU schlägt auch das Gesetz zu den Dokumentationspflichten bei Verrechnungspreisen die Gewinnabgrenzungsaufzeichnungsverordnung (GAUFZ).

EHUG & E-Mails

Das bundesweite Elektronische Handels- und Genossenschaftsregister (EHUG), das am 1. Januar 2007 in Kraft getreten ist, stellt eine digitale Version des Handelsregisters dar. Kapitalgesellschaften sind verpflichtet, ihre Abschlüsse beim elektronischen Bundesanzeiger einzureichen. Verstöße gegen die Offenlegungspflicht werden mit bis zu 25.000 Euro von den Verwaltungsbehörden, welche vom elektronischen Bundesanzeiger informiert werden, geahndet.
Das EHUG hat eine Reihe von Änderungen auch in anderen Gesetzen wie z.B. für GmbHs und AGs nach sich gezogen. Eine Regelung betrifft die Angabe der kompletten Firmierungs- und Verantwortungsangaben in der Signatur von E-Mails. Was längst schon galt wird hierdurch jetzt jedem deutlich gemacht: E-Mails sind Geschäftsbriefe und sind dementsprechend aufzubewahren.
Dabei wird häufig übersehen, dass E-Mails in einen Geschäftszusammenhang gehören und nicht isoliert archiviert werden sollten. Sie müssen zusammen mit anderen Dokumenten in Kunden-, Sach-, Projekt- oder anderen Akten gemeinsam verwaltet werden, damit die Vollständigkeit und Nachvollziehbarkeit des Geschäftsganges gewährleistet ist. Da jeder Mitarbeiter im Unternehmen Empfänger wie Versender von geschäftsrelevanten E-Mails sein kann, ist jedwede technische Lösung durch organisatorische Maßnahmen zu unterfüttern.

GDPDU

Nach den Grundsätzen zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) sind alle steuerlich relevanten Daten auswertbar über den Zeitraum der Aufbewahrungsfristen nach HGB auswertbar aufzubewahren und für Prüfungen zugänglich zu machen.
Die GDPdU sind eine Verordnung, die auf den Änderungen im Steueränderungsgesetz und HGB Abgabenordnung, §§ 146, 147 und 200, basiert. Sie stellen eine Richtlinie für das Vorgehen der Finanzbehörden bei Außenprüfungen dar. Die Unternehmen müssen sicherstellen, dass alle steuerrelevanten Daten identifiziert, unverändert und vollständig und über einen Zeitraum von 10 Jahren aufbewahrt werden. Die originalen Daten müssen vollständig, richtig und auswertbar entweder in den sie erzeugenden Systemen vorgehalten oder aber in elektronische Archive ausgelagert werden. Auch bei den GDPdU spielen inzwischen Dokumente und E-Mails neben den Daten aus ERP- und Buchhaltungssystemen eine zunehmend wichtigere Rolle.
Bereits in einer Reihe von Verfahren vor Finanzgerichten war die Auslegung der GDPdU ein Thema. Während frühere Urteile der Finanzgerichte Rheinland-Pfalz und Hamburg aus dem Jahr 2006 das Recht auf Datenzugriff noch an vielen Stellen eingeschränkt und damit den Steuerpflichtigen unterstützt haben, weisen die Urteile der Düsseldorfer Finanzrichter nun in eine andere Richtung. Beide Entscheidungen vom 5. Februar 2007 beschäftigen sich im Kern mit der Reichweite des Datenzugriffs, also mit dem Umfang, welcher einer digitalen Betriebsprüfung zu Grunde zu legen ist und interpretieren diesen in einer Art, welche über das bisherige Verständnis von Literatur und Verwaltung hinausgeht. Dazu haben die Richter teilweise eigenständige Definition von GDPdU-Begrifflichkeiten vorgenommen und damit neue Diskussionspunkte eröffnet.
Die Finanzbehörde darf im Rahmen des steuerlichen Datenzugriffs auch auf solche Konten der handelsrechtlichen Finanzbuchhaltung zugreifen, auf denen steuerlich nicht abzugsfähige Betriebsausgaben verbucht werden. Auf der Grundlage des § 147 Abs. 1 i. V. m. Abs. 6 AO darf die Finanzverwaltung für Zwecke der steuerlichen Außenprüfung ausschließlich auf Daten zugreifen, die für die Besteuerung von Bedeutung sind. Die vom Datenzugriff betroffenen Unternehmen sind deshalb seit jeher darauf bedacht, das digitale Suchfeld des Betriebsprüfers auf solche Datenbestände zu begrenzen, die vom Sinn und Zweck des Rechts auf Datenzugriff gedeckt sind. Das Finanzgericht Düsseldorf gab der Auffassung des Finanzamts Recht und sah keine ernstlichen Zweifel an der Rechtmäßigkeit des Datenzugriffs auf die ursprünglich gesperrten Konten. Bei den fraglichen digitalen Kontoaufzeichnungen handele es sich um „Bücher“ i.S.d. § 147 Abs. 1 Nr. 1 AO, die – anknüpfend an das Handelsrecht – die Funktion erfüllen, für einen Kaufmann seine Handelsgeschäfte und die Lage seines Unternehmens zu dokumentieren. Die im Rahmen der GDPdU geforderte steuerliche Relevanz kann nicht mit der vom betroffenen Unternehmen angeführten steuerlichen Auswirkung gleichgesetzt werden. Dabei habe sich die eigentliche Steuerrelevanz stets auch daran zu orientieren, inwieweit die in Frage kommenden Unterlagen einen Bezug zur Buchführung aufwiesen und mithin zu deren Verständnis erforderlich seien.
Werden Eingangsbelege beim Steuerpflichtigen gescannt, gespeichert und die Originale anschließend vernichtet, so erstreckt sich das Zugriffsrecht im Rahmen der elektronischen Steuerprüfung auch auf derart erzeugte Datenbestände. Der Steuerpflichtige muss diese Datenbestände so organisieren, dass bei einer zulässigen Einsichtnahme keine geschützten Bereiche des Unternehmens tangiert werden. Der EDV-Zugriff der Finanzverwaltung bezieht sich grundsätzlich auf solche Datenbestände, die originär bereits in elektronischer Form vorliegen. Dies schließt eine Verpflichtung zum Einscannen oder Digitalisieren von Papierdokumenten aus. In Bezug auf den viel diskutierten Umfang einer digitalen Betriebsprüfung stellt sich jedoch vermehrt die Frage, inwieweit digitalisierte Eingangsbelege, deren Papieroriginal vernichtet wurde, dem Betriebsprüfer auch in digitaler Form zur Verfügung zu stellen sind. Das Finanzgericht Düsseldorf gestand dem Finanzamt das Recht zu, auf die fraglichen Belege aus dem System des Unternehmens heraus zuzugreifen und diese am Bildschirm einzusehen. Die Rechtsgrundlage hierfür ergibt sich nach Auffassung der Richter bereits aus § 147 Abs. 6 Satz 1 AO.
Während die bisherige Rechtsprechung eher in Richtung Unternehmensseite tendierte, verschaffen die beiden nun vorliegenden vorläufigen Entscheidungen aus Düsseldorf der Finanzverwaltung einen deutlichen Rückenwind. Die Unternehmen sollten insbesondere das Urteil betreffend die digitalisierten Originalbelege in ihre künftige GDPdU-Strategie einbeziehen und einen adäquaten Datenzugriff nebst Trennung in steuerlich relevante und irrelevante Unterlagen einplanen. Was man in diesem Zusammenhang nicht vergessen sollte, ist das derzeit häufig bemühte Thema der Verfahrensdokumentation. In dem Maße, wie der Außenprüfer selbst solche Systeme für den Z1- und Z2-Zugriff benutzt, wird der Nachweis von ordnungsgemäßer Verarbeitung, Nutzung und Betrieb immer wichtiger.
Mit dem Jahressteuergesetz 2009 erhielten die GDPdU ein „Preisschild“; das Verzögerungsgeld. Kommt ein steuerpflichtiges Unternehmen der Bereitstellung der geforderten Daten und Informationen nicht zeitgerecht nach, können die Finanzbehörden eine Verzögerungsgeld zwischen mindestens 2.500 und 250.000 € verhängen. Damit wird die Bedeutung der GDPdU unterstrichen, die seit 2002 Gültigkeit hat. Die Schonfrist ist vorbei, wie auch die oben aufgeführten Urteile von Finanzgerichten zeigen.

GoBS und GoBIT

In den GoBS, Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme, wird die Behandlung aufbewahrungspflichtiger Daten und Belege in elektronischen Buchführungssystemen sowie in revisionssicheren Dokumentenmanagement- und Archivsystemen geregelt. Die GoBS behandeln dabei auch Verfahrenstechniken wie Scannen und Datenübernahme. Ein wesentlicher Kernpunkt ist das so genannte Interne Kontrollsystem (IKS). Aus HGB, AO und GoBS leiten sich auch die grundsätzlichen Anforderungen an die Dokumentation und Aufbewahrung ab.

Die Anforderungen an eine Verfahrensdokumentation sind ebenfalls in den GoBS niedergelegt. Sie stellen quasi eine Übertragung der Anforderungen, die ursprünglich für eine papiergebundene Dokumentation gedacht waren, in die elektronische Welt dar.

Dokumentationspflichten ergeben sich jedoch nicht nur für den handelsrechtlichen und steuerrechtlichen Bereich, sondern gelten auch alle anderen Anwendungsgebiete, die gesetzlich oder regulativ betroffen sind. Die oben aufgeführten Grundsätze aus dem Handelsrecht gelten so im Prinzip für alle Compliance-relevanten Anforderungen.

Zukünftig sollen die GoBS, die bereits aus dem Jahr 1995 stammen, durch die GoBIT, Grundsätze ordnungsmäßiger Buchführung beim IT-Einsatz, abgelöst werden. In den GoBIT, mit denen im Jahr 2010 zu rechnen ist, werden auch Widersprüche aufgelöst, die sich durch jüngere Verordnungen und die technologische Weiterentwicklung ergeben haben. Entwickelt wurden die GoBIT von einer Arbeitsgruppe der AWV Arbeitsgemeinschaft für wirtschaftliche Verwaltung e.V. in Zusammenarbeit mit Verwaltungsexperten, IT-Spezialisten, Wirtschaftsprüfern und Mitarbeitern der Finanzverwaltung.

Vorgehen bei der Bewertung von Compliance-Vorgaben

Nicht jede Vorgabe betrifft jedes Unternehmen und auch der Umfang der Maßnahmen unterscheidet sich. Man darf sich nicht von der Vielzahl der Vorgaben verunsichern lassen sondern muss für jedes Unternehmen individuell die Vorgaben, ihre Auswirkungen und die notwendigen Umsetzungsmaßnamen bewerten.
Hierfür bietet es sich an, zunächst einen Katalog der möglicherweise zutreffenden Regularien zu erstellen und diesen nach folgenden Kriterien zu klassifizieren:

  • Worum handelt es sich bei der Vorgabe?
    Hier ist zu unterscheiden, was wirklich ein Gesetz ist und was eine Art "Ausführungsvorgabe" darstellt. Hier würden Kriterien wie Gesetz, Verordnung, Code of Practice oder gesetzlich vorgeschriebene oder referenzierte Norm zum Tragen kommen. Es ist zu berücksichtigen, dass natürlich alle Regeln der Papierwelt auch für die elektronische Welt gelten.
  • Gilt dies auch im Land oder Tätigkeitsumfeld meines Unternehmens?
    Hier sind die unterschiedlichen Rechtsräume zu berücksichtigen, die des Firmenstandortes, des Vertriebsgebietes, der Niederlassungen usw. Nicht zu unterschätzen ist, dass manche Nationen wie die USA ihr Recht überall hin „mitnehmen“. Kriterien wären hier internationale Gültigkeit, europäische Gültigkeit, national „importierte“ Gültigkeit, Gültigkeit im Land des Standortes, Gültigkeit nach Herkunftslandprinzip usw.
  • Betrifft dies abhängig von der Rechts- und Gesellschaftsform meines Unternehmens?
    Bei diesen Anwendbarkeitsbereichen ist die Form des Unternehmens, der Organisation oder der Verwaltung zu unterscheiden. Kriterien sind hier z.B.: Betrifft die Vorgabe nur die öffentliche Verwaltung, privatwirtschaftliche Unternehmen, Vereine, andere Organisationen (einschließlich supranationale), Einrichtungen, politische Gremien, Jurisprudenz oder aber auch Privatpersonen. Hierzu gehören auch die "Grauzonen" z.B. öffentlich-rechtliche Unternehmen, die sowohl den Vorgaben der öffentlichen Verwaltung sowie den Vorgaben für die freie Wirtschaft unterliegen sowie indirekt weitergereichte Verpflichtungen durch Beteiligungen, Lieferungen und Leistungen in andere oder aus anderen Rechtsräumen, usw.
  • Wie ist mein Unternehmen betroffen?
    Bei den Kriterien ist zu betrachten, wie stark, wie direkt oder indirekt das Unternehmen durch eine Vorgabe betroffen ist. Es kann differenziert werden zwischen direkt betroffen, d.h. in jedem Fall umzusetzen, indirekt betroffen, d.h. gegebenenfalls umzusetzen (z.B. wenn in einer Supply Chain vom Abnehmer Anforderungen an die Lieferanten „durchgereicht" werden), möglicherweise zutreffend, d.h. gegebenenfalls umzusetzen (für bestimmte Arten von Tätigkeiten), betroffen durch Einbindung Dritter oder Erbringung von Dienstleistungen (z.B. Outsourcing), d.h. durch entsprechende Vorgaben, Verträge und Prüfungen umzusetzen, usw.
  • Wie sind die Anforderungen zu beurteilen?
    Bei der Beurteilung geht es um die Bewertung und die Abwägung im Rahmen der rechtlichen Würdigung und des Risiko Managements. Kriterien können sein: unbedingt vollständig zu erfüllen, abwägbar im Rahmen der Grundsätze der Verhältnismäßigkeit, abwägbar im Rahmen des Risikomanagements und andere.
  • Wie geht man mit widersprüchlichen Anforderungen um?
    Gesetze und Verordnungen können sich widersprechen, auf nationaler Ebene, in unterschiedlichen Rechtsbereichen (siehe z.B. die Frage des Datenschutzes im Verhältnis zu den Aufbewahrungspflichten des Handelsrechtes) und natürlich auch international. Kriterien können hier der Datenschutz, konkurrierende Regelungen (hier nimmt man meistens die umfassendste), Offenlegungsverpflichtungen (z.B. Informationsfreiheitsgesetz) etc. sein.
  • In welchem Umfang sind die Regeln gültig?
    Hat man ermittelt, welche Regularien überhaupt zutreffend sind, ist noch dem Umfang der Gültigkeit und damit auch der Umfang der notwendigen Maßnahmen zu definieren. Hierzu gehören Kriterien wie generelle Gültigkeit (z.B. Handelsgesetz für alle Unternehmen), teilweise Gültigkeit (z.B. nur für bestimmte Bereiche oder mit Einschränkungen), branchenspezifische Gültigkeit (z.B. nur für Pharma, Krankenhäuser, etc.), tätigkeitsspezifische Gültigkeit (z.B. Verbraucherschutz etc.), nachgeordnete Gültigkeit (z.B. durch interne Qualitätsrichtlinien, Records-Management-Prinzipien) und weitere.
  • Welche internen Regelungen sind zusätzlich zu berücksichtigen?
    Jedes Unternehmen setzt sich Ziele und befolgt interne Regelungen, wie diese Ziele im Rahmen der Geschäftstätigkeit umzusetzen sind. Auch diese internen Regelungen können unterschiedliche Qualität und Gültigkeit besitzen. Hier können Kriterien wie Bestandteil der Corporate Governance, Bestandteil der IT-Governance, Bestandteil des Qualitätsmanagementsystems, Arbeitsanweisung, Betriebsvereinbarung, Datenschutz & Datensicherheit, und andere notwendig werden. Vielfach leiten sich solche Vorgaben bereits aus rechtlichen oder regulativen Vorgaben ab.

An die Umsetzung von Compliance-Vorgaben sollte man erst schreiten, wenn diese Analyse und Bewertung vorgenommen wurde. Die Verantwortung hierfür liegt bei Geschäftsführern und Vorständen. In der Regel wird eine solche Bewertung (je nach Unternehmensgröße und –aufstellung) zusammen mit der Rechtsabteilung, der Revision, dem Controlling, Wirtschaftsprüfern, Anwälten oder Unternehmensberatern durchgeführt. Diese bewertete Aufstellung wird in der Governance-Richtlinie verankert und ist der Maßstab für das Risikomanagement und den Umfang der Compliance-Maßnahmen.