17. August 2019

Neue GoBD – Interview mit Dr. Ulrich Kampffmeyer

Neue GoBD – Interview mit Dr. Ulrich Kampffmeyer

Im Juli 2019 wurde die neue Fassung der „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD)“ veröffentlicht und ersetzt die bisherige Verordnung aus dem Jahr 2015.

Jens Büscher, Gründer von AMAGNO, freut sich, die interessanten Aspekte der neuen Fassung in einem Interview mit Dr. Ulrich Kampffmeyer, Unternehmensberater für Informationsmanagement in Hamburg, näher zu beleuchten.

Aktueller Hinweis: Das BMF hat temporär die neue GoBD von der Veröffentlichung zurückgezogen. Es wird mit einer baldigen neuen Veröffentlichung gerechnet.

Jens B 150x150 - Neue GoBD - Interview mit Dr. Ulrich KampffmeyerLieber Uli,  die neue Fassung der GoBD ist jetzt offiziell veröffentlicht. Nur wenige Jahre liegen zwischen den Veröffentlichungen. Für eine Anpassung in Deutschland eine recht kurze Zeit, finde ich. Welche Anlässe gab es für die neue Fassung? Wo lagen die Schwerpunkte der Korrektur?

uli2 114x150 - Neue GoBD - Interview mit Dr. Ulrich KampffmeyerNatürlich ging die Diskussion um die Praxis-Tauglichkeit der GoBD nach der Veröffentlichung 2015 erst richtig los, Jens. Schon früh wurden eine Reihe von Aspekten, die z. B. ziemlich viel Aufwand für die Systeme und die Dokumentationen bedeuten, kritisch hinterfragt. Weitere Gesetze, wie zum Beispiel das KassenG, erweitern den Wirkungsbereich. Aber Du hast recht, 4 Jahre ist für eine Bundesbehörde schon ziemlich schnell. Zwischen GoBS und GoBD lagen 20 Jahre, zwischen GDPdU und GoBD 14 Jahre. Da ist technologisch, wie auch steuer- und handelsrechtlich viel passiert.

Wichtig ist daher bei solchen Verordnungen, dass sie technikneutral ausgestaltet werden. Die GoBD „neu“, auch von manchen „GoBD 2.0“ bezeichnet, hat viele kleine Anpassungen und auch einige größere. Positiv ist schon mal, dass die ursprüngliche Nummerierung mit den Randziffern beibehalten wurde. Texte wurden geändert oder ergänzt. Es wäre jetzt müßig, alle Änderungen im Detail zu besprechen: Rz. 15,  20, 26, 39, 50, 55, 64, 68, 76, 130, 135, 154, 164, wenn ich nicht noch welche übersehen habe. Es macht also schon Sinn, die GoBD komplett neu zu betrachten. Wichtige Änderungen sehe ich z. B. bei der Zulässigkeit der Speicherung in der Cloud und in den Staaten der EU, das Scannen mit Smartphones, Erleichterungen beim Inhouse-Format, Fortschreibung der Verfahrensdokumentation, Klärung der Begriffe „Wahrheit“ und „Klarheit“ und Verkürzung der Fristen bei der Aufbewahrung in Altsystemen.

Auch bei den Aufbewahrungsfristen selbst tut sich etwas. Wir rechnen in Kürze damit, dass sich die Aufbewahrungsfrist von 10 Jahren auf 8 Jahre verkürzt. Dann muss halt öfter und schneller – sprich digital – geprüft werden.

Jens B 150x150 - Neue GoBD - Interview mit Dr. Ulrich KampffmeyerDie Unternehmen sehnen sich nach größtmöglicher Einfachheit und geringster Bürokratie, mit einem ECM/DMS/Archivsystem die Papierberge zu beseitigen, aber mit größter rechtlicher Sicherheit. Dazu bedarf es u. a. einer Verfahrensdokumentation, die auch für Papierarchive gilt. Wie weit sind wir in Deutschland und der EU auf dem Weg der digitalen Belegarchivierung mit möglichst wenig Aufwand? Gibt die neue Fassung den Unternehmen noch bessere, einfachere Möglichkeiten?

uli2 114x150 - Neue GoBD - Interview mit Dr. Ulrich KampffmeyerDas Thema Verfahrensdokumentation.  Ja, diese ist weiterhin erforderlich, auch bei kleinen Unternehmen. Aber häufig reichen da schon ein paar saubere Seiten aus, da vielerorts die Buchhaltung und die Belegspeicherung outgesourct ist. Es gibt auch inzwischen zahlreiche Checklisten und Muster-Vorlagen von Verbänden und Beratern. Professionelle Anbieter von ERP-, Fibu- und Aufbewahrungslösungen liefern ihren Kunden gleich vorgefertigte Muster mit, die nur noch ergänzt werden müssen.

Es gibt auch Datenbank-Werkzeuge, die besonders für größere verteilte Organisationen oder Rechenzentren mit vielen Mandanten sehr sinnvoll sind. Einige Anbieter gehen inzwischen soweit, dass sie in ihrem Aufbewahrungs-/Archiv-/DMS-/ECM-/EIM-/ContentServices-/IIM-wie-auch-immer-System eine kleine Musterakte mitliefern, die bereits die Struktur einer Verfahrensdokumentation und die vom Anbieter bereitzustellen Dokumente enthält, so dass man die Verfahrensdokumentation gleich im System mitpflegen kann.

Richtig interessant wird es aber, wenn das System sich selbst dokumentiert. Der größte Teil der notwendigen Informationen wie Berechtigungen, Speicherorte, Aufbewahrungsfristen, Dokumentenklassen, Protokolle, Prozesse u. s. w. liegt doch sowie im System vor und muss nur in eine Form gebracht werden. Änderungen an den Parametern nebst Versionierung und neu geforderter Historisierung, führt das System durch. Der Endanwender muss nur einige wenige Paragrafen manuell ergänzen. Gerade wo alle von Künstlicher Intelligenz (KI) und Analytics philosophieren, böten sich gerade hier einfache Automatisierungschancen. KI ist außerdem für viele Prozesse wie Freigaben, Eskalation oder Merkmalgewinnung beim Erfassen von Informationen sehr sinnvoll.

Jens B 150x150 - Neue GoBD - Interview mit Dr. Ulrich KampffmeyerErfassen von Informationen, Uli. Hier geht es auch um das „ersetzende Scannen“ gem. Resiscan. Die Richtlinie des BSI (03138) setzt einige Rahmenbedingungen, um Papierdokumente vernichten zu dürfen. Die Neufassung der GoBD geht deutlicher auf das mobile Scannen und den Verzicht auf elektronische Signaturen ein. Wie ist Deine Sichtweise für den Mittelstand, z. B. Rechnungen zu scannen und anschließend zu vernichten? Siehst Du hier jetzt eine Erleichterung für die Unternehmen im Verfahren und der Verfahrensdokumentation?

uli2 114x150 - Neue GoBD - Interview mit Dr. Ulrich KampffmeyerAlso mit der Verfahrensdokumentation hat das soweit zu tun, als die Erfassungs- und Verarbeitungsprozesse, also nicht nur das Aufbewahren, dokumentiert werden müssen. Viele Musterverfahrensdokumentationen gehen daher auch auf das Scannen mit Resiscan ein. Resiscan und das Signieren beim Scannen sind zwei – nach meiner Meinung – verschiedene Pferde. Man kann sicher scannen, als eine Variante der Erfassung, auch ohne die erfassten Dateien zu signieren. Dies zeigt sich auch beim Scannen mit dem Mobiltelefon, wo man keinen Signatur-Kartenleser anbringen und nutzen kann.

Allerdings gibt es auch hier Anbieter, die inzwischen hierfür Fernsignaturen nach eIDAS anbieten. Aber grundsätzlich gesehen, ist das Signieren ein unnötiger Overkill, wenn die Prozesse sauber, sicher und nachvollziehbar sind. Man schafft sich so auch nicht unterschiedliche Qualität im System, wenn nur gescannte Dokumente signiert und selbsterzeugte, importierte Office-Dokumente, E-Mails, elektronisches Fax etc. nicht signiert sind. Gut kann man mit Zeitstempeln – in der öffentlichen Verwaltung mit Siegeln – bei der automatischen Protokollierung der Aktivitäten im System arbeiten, um Nachweise der Originalität und Unverändertheit zu führen.

Dafür braucht es aber keine personenbezogenen, kartenbasierten qualifizierten elektronischen Signaturen der Vergangenheit. Scannen nach Resiscan heißt nicht, dass man Signaturen unbedingt einsetzen muss. Der erste Teil mit den „Basic“-Anforderungen fürs Scannen reicht schon aus. Und Anwender in der freien Wirtschaft sind nun mal keine Bundesbehörden, die schon eher sich mit dem Thema auseinandersetzen müssen. In Randziffer 138 ist die GoBD aber ziemlich klar. Für steuerliche Zwecke braucht es keine elektronische Signatur. Punkt.

Jens B 150x150 - Neue GoBD - Interview mit Dr. Ulrich KampffmeyerWir verzeichnen als Anbieter einen sprunghaften Anstieg an Kunden für ECM-Lösungen in der Cloud. Insbesondere für Buchhaltungsbelege, wie Rechnungen. Die lokale Datenhaltung von Belegen in Deutschland, z. B. einfache Rechnungsbelege, erzeugt für ECM-Anbieter mit eigenen Rechenzentren in Deutschland hohe Kosten. Einige Anbieter setzen aus Kostengründen schon auf AWS oder Azure mit Speicherung in der EU, die trotzdem dem Cloud-Act aus den USA unterliegen. Wie akzeptiert siehst Du die Datenspeicherung von Belegen in der EU bei den US Cloudanbietern durch die Neufassung? Gibt es hier Bedenken bezüglich der Akzeptanz durch die Finanzbehörden vs. Free Flow of Data?

uli2 114x150 - Neue GoBD - Interview mit Dr. Ulrich KampffmeyerDer Free Flow of Data Act der Europäischen Union erlaubt es in den meisten Fällen, Daten in allen anderen Staaten der EU zu speichern. Einschränkungen gibt es allerdings bei einigen Daten nach GDPR/DSGVO/BDSG. Der Free Flow of Data wird in den GoBD nicht explizit referenziert, aber die Möglichkeit, in der EU Daten zu verarbeiten, zu speichern und zu archivieren, ist gegeben. Dies gilt übrigens nicht nur für die Cloud – wobei man hier noch unterscheiden muss, über was für eine Cloud, private oder public, SaaS, IaaS oder PaaS, man spricht – sondern auch für die Rechenzentren von internationalen Konzernen, wo z. B. das SAP der deutschen Tochter bei der Mutter in Paris läuft.

Wie erwähnt gibt es unterschiedliche Typen von Cloud-Angeboten. Bei IaaS und PaaS mit individuellen Verträgen kann man auch regeln, wo die Primär- und die Sekundär-Sicherungs-Instanzen physisch liegen. Bei SaaS ist das schwieriger, weil meistens nur der primäre Speicherort als in der EU liegend genannt wird und die Sicherungen quer über den Globus verteilt sind. Was übrigens nicht heißen muss, dass die Daten lesbar sind. Bei IaaS und PaaS sollte man auf VPN-Zugänge und kryptografisch verschlüsselte Plattformen achten. Das kann in einem professionellen Rechenzentrum deutlich sicherer sein, als der Server unterm Schreibtisch des IT-Leiters in einer On-Premise-Kleinlösung.

Wichtig ist, dass für die Prüfung die Daten uneingeschränkt zugänglich und auswertbar sind. Beim Z1-Zugriff setzt sich der Prüfer ja auch direkt selbst ans System. Über den tatsächlichen Speicherort weiß er wahrscheinlich nur aus der Lektüre der Verfahrensdokumentation Bescheid. Die neue GoBD ist hier in Bezug auf den Speicherort deutlich offener, längt letztlich alles in die Verantwortung des Steuerpflichtigen. Dieser hat weiterhin die Verantwortung, dass alles ordnungsmäßig ist.

Jens B 150x150 - Neue GoBD - Interview mit Dr. Ulrich KampffmeyerViele Anbieter in unserer Branche verweisen bei der rechtlich notwendigen Verfahrensdokumentation auf externe Wirtschaftsprüfer und führen maximal eine Softwareprüfung gem. IDW durch. Dem Kunden hilft das nicht. Die Neuregelung der GoBD sieht eine Vereinfachung der Änderungshistorie vor, die es doch einem ECM-Anbieter attraktiver machen sollte, dass die Verfahrensdokumentation integraler Bestandteil der ECM-Lösung ist. Insbesondere, da ein ECM-System seine zu dokumentierende IT-Umgebung ja kennt und sich die Dokumentation selbst aktualisieren könnte. Was aber sicher nur ein Teil der Verfahrensdokumentation ist. Wie siehst Du dieses Thema? Was könnten die ECM-Anbieter hier mehr leisten?

uli2 114x150 - Neue GoBD - Interview mit Dr. Ulrich KampffmeyerDanke für die Steilvorlage, Jens. Der deutsche Michel vertraut Stempeln und Zertifikaten. Viele Anbieter lassen ihre Systeme dann von Wirtschaftsprüfern, Steuerberatern oder Verbänden „zertifizieren“. Diese „Zertifikate“ bedeuten aber nur, dass bei ordnungsmäßigem Einsatz der Lösung vor Ort theoretisch die Anforderungen durch die eingesetzte Software erfüllt werden können. Die Betonung liegt auf „können“. Die GoBD sind hier eindeutig.

Ein solches Zertifikat der „GoBD-Konformität“ kann bei der Auswahl eines neuen Produktes sinnvoll sein. Es „entfaltet aber keine Bindungswirkung für den Steuerprüfer“, d. h. es ist wertlos. Es gilt, wie das System vor Ort betrieben, genutzt und dokumentiert wird. Es gibt allerdings auch Zertifizierungen die Sinn machen können, die z. B. die Testverfahren und die Qualität der Software beinhalten. Das sind aber nicht die „GoBD-Konformitäts-Stempelchen auf der Produktschachtel“. Ja, die ECM-Anbieter – hatten wir uns auf ECM geeinigt? – können hier mehr tun. Wie oben erwähnt Musterakten mitliefern oder einen – großen – Schritt weitergehen, und sich in Richtung selbstdokumentierende Systeme zu bewegen.

Das Allererste was ein Archivierungssystem überhaupt archivieren sollte, ist sich selbst, mit allen Einstellungen und Parametern. Wie komfortabel man dies macht und ob man eine solche Funktionalität dem Kunden kostenfrei – sozusagen als Wettbewerbsvorteil – durchreicht, muss jeder Anbieter entscheiden. Da aber jedes ECM-Produkt ja schon mit einem Aktengenerator ausgestattet ist, ist die einfachste Form der Mitlieferung einer vorgefertigten Akten- und Registerstruktur entsprechend der Gliederung nach den GoBD in wenigen Tagen zu bewältigen. Und man sollte hier gleich noch einen Schritt weiter denken. Es kommen die ersten Systeme, die sich selbst konfigurieren – ich habe diese „SICS Self Implementing & Configurating Solutions“ getauft. Die Software durchsucht alle Anwendungen, Datenbanken, Speicherorte, entwickelt selbst Klassifikationsstrukturen, Workflows, Audittrails etc., gleicht diese mit Branchen-Mustern ab, prüft gegen Aufbewahrungsrichtlinien- und Aufbewahrungsfristen-Datenbanken, und generiert so einen fertigen Systemvorschlag, der vom Kunden angepasst werden kann. Hier ist spätestens die Selbstdokumentation mit eingebaut.

Ich schätze, dies wird im SaaS-Bereich zuerst losgehen, wird aber auch vor On-Premise nicht haltmachen. Aber nicht nur die ECM-Anbieter können – und sollten – etwas tun, sondern auch die Finanzbehörden. Warum speichern wir eigentlich nicht alle steuerrelevanten Daten auf dem Server der Finanzverwaltung? Man muss sich dann nicht um Sicherheit, Speicherorte, Migration und all die anderen Sachen kümmern. Unrealistisch? Bei elektronischen Rechnungen werden ähnliche Modelle schon in Südamerika und Italien ausprobiert. Keine Rechnung, ohne dass diese über den Server der Finanzverwaltung gelaufen ist. Warum nicht gleich noch mehr?

Vielen Dank für das Interview, Uli.

Über Dr. Ulrich Kampffmeyer:

Er ist seit 27 Jahren Geschäftsführer der PROJECT CONSULT Unternehmensberatung. Von ihm stammen einige Grundlagenwerke zur revisionssicheren Archivierung und zu Enterprise Content Management (ECM). Von der Computerwoche wurde er 2003 und 2011 zu den einhundert wichtigsten IT-Persönlichkeiten Deutschlands gezählt. Die internationalen Fachverbände für Dokumentenmanagement, AIIM und IMC, verliehen ihm für sein Wirken Auszeichnungen. Er ist unter anderem „Fellow of Merit“ des IMC und Mitglied der „Company of Fellows“ der AIIM international (Quelle: Wikipedia https://de.wikipedia.org/wiki/Ulrich_Kampffmeyer).

Jens Büscher
Jens Büscher, Gründer und CEO. Nach seiner Tätigkeit als Product Manager für die RedDot Solutions AG (Heute OpenText) gründete er 2010 AMAGNO als innovative Enterprise Content Management Lösung.

Hinterlassen Sie einen Kommentar