Stefan betreibt einen kleinen privaten Yachthafen mit 40 Liegeplätzen. Die Verwaltung will er möglichst einfach halten. Was er für seinen Yachthafenbetrieb benötigt, hat er sich in Excel selbst gebaut. Es gibt eine Exceltabellen für die Verwaltung von Liegeplätzen, Bootszuordnungen, eine Exceltabelle zur Erfassung der umlagefähigen Yachthafenausgaben, eine Exceltabelle mit der er Rechnungen schreibt, eine Exceltabellen für die Zahlungseingänge und noch einige mehr. In Outlook pflegt Stefan all seine Kontaktdaten. Das ist zwar doppelter Pflegeaufwand, aber so kann er auch Emails an seine Kunden verschicken.

Stefan ist recht geübt mit dem Umgang von Office Produkten. Damit er seine Exceltabelle auch jederzeit verfügbar hat, hat er sie in Microsoft OneDrive, dem Cloudspeicher von Microsoft abgelegt. Auf diese Weise hat er seine Daten immer und jederzeit zur Verfügung. Natürlich ist das nicht perfekt, aber dafür kostet es ihn außer seiner Arbeit und der Office Lizenz nichts.

So wie Stefan seine Verwaltung organisiert hat ist nichts ungewöhnliches. Und wer denkt, dass dies nur für kleine Yachthäfen zutrifft irrt sich. Aus zahlreichen Gesprächen mit Yachthafenbetreiber weiß ich, dass selbst Leitzordner und Taschenrechner zur Verwaltung von Yachthäfen noch immer weit verbreitet sind.

Sind solche, auf den ersten Blick vermeintlich pragmatischen Lösungen wirklich eine gute Idee? Sind sie am Ende vielleicht sogar brandgefährlich? Ich bin weder Finanzbeamter noch Jurist und im Zweifelsfall möchte ich Euch bitten einen entsprechenden Experten zu konsultieren. Aber sowohl die GoBD, als auch EU-DSGVO sind im Internet frei verfügbar und ich möchte mir gerne mit der Brille eines Yachthafenbetreibers einmal ansehen, was das Bundesministerium der Finanzen (BMF) und die EU DSGVO von diesem Ansatz hält.

GoBD: Rechnungstellung mit Excel

Hinter der Abkürzung GoBD verbergen sich ausgeschrieben die Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff.  Die GoBD sind zunächst einmal ein Regelwerk für Finanzbeamte, kein Gesetz. Jedoch ist zu bedenken, dass diese Verwaltungsanweisung durch die Finanzbeamten – zu denen natürlich auch die Betriebsprüfer gehören – gegenüber den Steuerpflichtigen anzuwenden ist.

Für wen gelten die GoBD?

Die GobD gelten für jeden Unternehmer bzw. jedes Unternehmen, die ihre unter­nehmerischen Prozesse in IT-gestützter Form abbilden bzw. ihren Buchführungs- und Aufbewahrungs­pflichten damit nachkommen. Die Unternehmensgröße spielt dabei keine Rolle. Die GoBD gelten für Einzel-Selbstständige und Freiberufler genauso wie für gewerbliche Unternehmer jeglicher Art.

Welche Unterlagen sind betroffen?

Betroffen sind alle vom Unternehmer zu führenden Bücher und Aufzeichnungen nach

• steuerlichen und
• außersteuerlichen Vorschriften.

Welche Systeme sind betroffen?

Das DV-System umfasst die Hard- und Software, mit der Daten und Dokumente

• erfasst,
• erzeugt,
• empfangen,
• übernommen,
• verarbeitet,
• gespeichert oder
• übermittelt werden.

Der Begriff DV-System ist weit auszulegen, auf die Bezeichnung oder die Größe des Systems kommt es nicht an.

Wer ist verantwortlich?

Grundsätzlich ist ausschließlich der Steuerpflichtige selbst für die Einhaltung der GoBD-Vorgaben verantwortlich! Dies gilt auch bei einer teilweisen oder gar vollständigen Auslagerung auf Dritte, wie bspw. auf einen Steuerberater oder ein Rechen­zentrum. Deshalb müssen Sie sich mit den Themen auseinanderzusetzen. Schließlich kann ein Ignorieren – teilweise erst nach Jahren – weitreichende und teure Folgen nach sich ziehen.

Die Ordnungsmäßigkeit von Büchern und Aufzeichnungen

Betriebsprüfer haben ein grundsätzliches Problem: Ohne eine gewisse Ordnung des Steuerpflichtigen lassen sich seine Unterlagen nur sehr schlecht prüfen. Dies gilt unabhängig davon, ob diese Unterlagen in Papierform oder in elektronischer Form vorliegen. Dazu sind die folgenden Grundsätze zu beachten

Nachvollziehbarkeit und Nachprüfbarkeit

Einzelnen Geschäftsvorfälle und die erforderlichen Aufzeichnungen müssen nachvollziehbar und nachprüfbar ist. Dies gilt auch für die dabei angewandten Buchführungs- und Aufzeichnungsverfahren. Letztlich müssen sich die Geschäftsvorfälle nachverfolgen lassen. Dies wird erreicht indem Sie alle Buchungen und Aufzeichnungen durch einen Beleg nachweisen können. Außerdem ist eine Verfahrensdokumentation bei der Einhaltung des Grundsatzes der Nachvollziehbarkeit und Nachprüfbarkeit sehr hilfreich.

Wahrheit, Klarheit und fortlaufende Aufzeichnung

Bücher und Aufzeichnungen müssen der Wahrheit entsprechen und klar und fortlaufend erledigt werden. Damit Ihnen dieses gelingt, müssen Sie die nachfolgenden Grundsätze beachten.

Vollständigkeit

Sie müssen Ihre Geschäftsvorfälle vollzählig und lückenlos aufzeichnen. Dies nennt man auch Einzelaufzeichnungspflicht. Der Einzelaufzeichnungspflicht unterliegen Sie nur dann nicht, wenn es Ihnen technisch, betriebswirtschaftlich und praktisch unmöglich ist, Ihre einzelnen Geschäftsvorfälle aufzuzeichnen. So ein Fall liegt beispielsweise vor, wenn Sie eine sog. offene Ladenkasse verwenden und Waren an eine Vielzahl von Personen gegen Barzahlung verkaufen, die Ihnen nicht bekannt sind. Wenn Sie im Zusammenhang mit derartigen Verkäufen hingegen eine elektronische Registrierkasse verwenden, unterliegen Sie nach Auffassung der Finanzverwaltung der Einzelaufzeichnungspflicht.

Richtigkeit

Hierunter versteht man, dass die Geschäftsvorfälle inhaltlich zutreffend, also der Wahrheit und den tatsächlichen Verhältnissen entsprechend, sowie durch Belege abgebildet und aufgezeichnet werden.

Zeitgerechtheit

Dieser Grundsatz der GoBD zielt darauf ab, dass Sie Ihre Geschäftsvorfälle nicht zu lange in der Schwebe halten dürfen, um sie womöglich später anders darstellen zu können. Das BMF hält eine Erfassung von unbaren Geschäftsvorfällen innerhalb von zehn Tagen für unbedenklich. Kasseneinnahmen und Kassenausgaben sind dagegen nach Randziffer 48 der GoBD täglich festzuhalten. Demnach müssen Sie Ihre Kasse täglich führen.

Ordnung

Ordnung steht für Sortierung und den Zustand einer zielführenden Abfolge. Sie erlaubt Ihnen nicht, dass Sie Ihre geschäftlichen Unterlagen planlos sammeln und aufbewahren. Was sich der Gesetzgeber unter Ordnung vorstellt, ist seit langer Zeit klar: Die Geschäftsvorfälle eines Unternehmens sind systematisch, übersichtlich, eindeutig und nachvollziehbar festzuhalten.

Es ist wichtig, dass Sie sich vor Augen halten, dass nicht jede Belegablage auch eine geordnete Belegablage darstellt.

Einige Negativ-Beispiele:

• Belege werden lose und ungeordnet in einem Schuhkarton, Wäschekorb, o. ä. aufbewahrt und in dieser Form an das Steuerberatungsbüro übergeben oder selbst gebucht.
• Ein Unternehmer sammelt seine Belege in Ablagekörben o. ä., nummeriert diese jedoch nicht fortlaufend, auch eine weitergehende Erfassung durch den Unternehmer in Listen findet nicht statt. Einmal im Monat locht der Unternehmer die Belege und übergibt diese seinem Steuerberater zur Verbuchung.

Bei den vorstehenden Fällen mangelt es eindeutig an einer Belegsicherung. Die Unverlierbarkeit des Geschäftsvorfalls ist nicht ausreichend sichergestellt.

Unveränderbarkeit – Allgemeines und Festschreibung

Nach diesem Grundsatz dürfen Eintragungen oder Aufzeichnungen nicht dergestalt verändert werden, dass ihr ursprünglicher Inhalt nicht mehr feststellbar ist. Außerdem dürfen sie nicht so verändert werden, dass ein Betrachter nicht mehr feststellen kann, ob sie ursprünglich oder später gemacht wurden. Die Unveränderbarkeit stellt eines der zentralen Themen des BMF-Schreibens dar. Eingesetzte DV-Verfahren sind so auszugestalten, dass keine Informationen mehr unterdrückt, ohne Kenntlich­machung überschrieben, gelöscht, geändert oder verfälscht werden dürfen.

Vereinfacht ausgedrückt: Alles, was der Anwender eines EDV-Systems mit diesem anstellt, muss von diesem auch dauerhaft so protokolliert werden, dass alle Be- und Verarbeitungsschritte später eindeutig nachvollzogen werden können. Somit empfehlen wir Ihnen dringend, Programme einzusetzen, die Sie als User dazu zwingen, die erzeugten Bewegungen festzuschreiben. Beispiele hierfür ist Up2Boat Yachthafenmanagement in dem nicht nur jegliche Datenänderungen im Hintergrund protokolliert werden, sondern einmal erstellte Rechnungen im Nachhinein nicht mehr veränderbar sind. Erweist sich eine Rechnung im Nachhinein als fehlerhaft, dann kann sie lediglich storniert werden, was automatisch einen negativen Gegenbeleg erzeugt.

Excelrechnung als pdf speichern?

In unserem Beispiel oben ist Stefan der Meinung alles richtig zu machen, indem er seine Excelrechnungen im pdf Format speichert. Bei näherer Betrachtung werden aber die gefährlichen Tücken dieses Missverständnisses deutlich. Zunächst einmal entspricht nur das PDF/A Format der ISO 14721: „Referenzmodell für die digitale Archivierung“. Das „normale“ pdf Format ist durchaus nachträglich veränderbar. Das ist zwar auch mit Excel möglich, diese Funktion ist allerdings etwas versteckt und muss explizit ausgewählt werden. „Versehentliches Vergessen“ ist praktisch vorprogrammiert.

Der zweite Grund ist aber noch schwerwiegender: Mit Excel kann man eine Rechnung mit Rechnungsnummer und Datum jederzeit erneut aufrufen. Preise oder Positionen können verändert und erneut als pdf gespeichert werden. Damit wird klar, den gesetzlichen Anforderungen der Unveränderbarkeit kann man auf diese Weise nicht gerecht werden.

Unveränderbarkeit – Ablage im Dateisystem

Wichtig ist in diesem Zusammenhang Rz. 110 der GoBD: „Die Ablage von Daten und elektronischen Dokumenten in einem Dateisystem erfüllt die Anforderungen der Unveränderbarkeit regelmäßig nicht, soweit nicht zusätzliche Maßnahmen ergriffen werden, die eine Unveränderbarkeit gewährleisten.“ Somit ist die Ablage im Dateisystem problematisch.

Letztlich bedeutet dies, dass Sie als Unternehmer ein Dokumenten­manage­mentsystem einsetzen sollten, sofern sie elektronische Dokumente erstellen, abspeichern, versenden bzw. empfangen. Systeme wie Up2Boat Yachthafenmanagement bieten mit dem integrierten Dokumentenmanagementsystem nicht nur die Möglichkeit Dokumente verschlüsselt zu speichern, sondern diese auch Personen, Booten oder Geschäftsvorfällen zuzuordnen.

Unveränderbarkeit – Officeformate

Auch Officeformate sind problematisch, da es in ihrer Natur liegt, veränderbar zu sein. Auch bei diesen müssen Sie als Anwender zusätzliche Maßnahmen zur Gewährleistung der Unveränderbarkeit ergreifen. Grundsätzlich nicht ausreichend ist eine Umwandlung in das PDF-Format da dieses, wie oben bereits beschrieben, veränderbar ist.

Unveränderbarkeit – Die Quintessenz

„Einfache“ Ablage im Dateisystem:
Ist nach GoBD, ohne zusätzliche Maßnahmen unzulässig.

Officeformate (bspw. Word™/Excel™):
Äußerst problematisch im Kontext der GoBD, da unprotokolliert lösch- und veränderbar. Die Anwendung zusätzlicher Maßnahmen ist erforderlich. Um die Unveränderbarkeit von Rechnungen zu gewährleisten sollten Sie nach unserer Überzeugung unbedingt vermeiden, Rechnungen mit Word oder Excel zu schreiben.

PDF-Dateien:
Sind veränderbar, genügen somit nicht ohne weiteres den Anforderungen der GoBD.

Dokumentenmanagementsysteme:
Genügen den Anforderungen der GoBD im Allgemeinen, verursachen aber Folgekosten.

Was ist mit den Kosten, die Unternehmern zu Erfüllung der Ordnungsmäßigkeitskriterien entstehen?

Bereits seit Jahrzehnten ist einhellige Rechtsauffassung, dass Unternehmer die entstehenden Kosten genauso in Kauf nehmen muss, wie alle anderen Aufwendungen, die sein Betrieb mit sich bringt. Dies entschied der Bundesfinanzhof bereits mit einem Urteil im Jahr 1968, das in den GoBD in der Randziffer 29 zitiert wird.

„Der Grundsatz der Wirtschaftlichkeit rechtfertigt es nicht, dass Grundprinzipien der Ordnungsmäßigkeit verletzt und die Zwecke der Buchführung erheblich gefährdet werden. Die zur Vermeidung einer solchen Gefährdung erforderlichen Kosten muss der Steuerpflichtige genauso in Kauf nehmen wie alle anderen Aufwendungen, die die Art seines Betriebes mit sich bringt.“

EU DSGVO: Personenbezogene Daten in Excel

Nicht erst mit der DSGVO stehen Unternehmen jeder Größenordnung in der Pflicht, umfangreiche Prozesse und Richtlinien zu implementieren um betroffenen Personen mehr Kontrolle über ihre persönlichen Daten zu ermöglichen. Mit der Datenschutz Grundverordnung wurde ein einheitlicher Rechtsrahmen für die Verarbeitung und Speicherung personenbezogener Daten geschaffen. Unternehmen müssen seit dem 25. Mai 2018 jederzeit in der Lage sein, die Rechtmäßigkeit Ihrer Datenverarbeitungstätigkeiten gegenüber Aufsichtsbehörden nachzuweisen.

Die Datensicherheit befasst sich mit dem generellen Schutz von Daten, unabhängig davon, ob diese einen Personenbezug haben oder nicht. Dabei stellt sich die Frage, welche Maßnahmen ergriffen werden müssen, um den Schutz dieser Daten zu gewährleisten und damit schließlich die bestmögliche Datensicherheit zu erreichen. 

Unter Datenschutz versteht man grundsätzlich den Schutz sämtlicher Informationen, die nicht für die Allgemeinheit frei zur Verfügung stehen sollen. Damit sind vornehmlich personenbezogene Daten gemeint, also Daten, die mit Person direkt in Verbindung stehen. Das umfasst also persönliche und private Informationen, aber auch Daten über Sachen oder bestimmte Beziehungen. Der Umgang mit diesen Informationen ist im Bundesdatenschutzgesetz festgelegt.  Wörtlich heißt die Regelung in § 1 Abs. 1 BDSG:

„Zweck dieses Gesetzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.“

Wie schützt man die personenbezogenen Daten seiner Kunden?

Der Gesetzgeber verpflichtet also damit auch jeden Yachthafenbetreiber die Datensicherheit aller personenbezogenen Daten zu gewährleisten. Wer personenbezogene Daten verarbeitet, muss laut DSGVO „geeignete technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“. Diese technischen- und organisatorischen Maßnahmen fasst man in einem sogenannten TOM (Technische Organisatorische Maßnahmen) zusammen.

TOM

Technische Maßnahmen beziehen sich dabei auf den Datenverarbeitungsvorgang als solches. Damit werden Maßnahmen bezeichnet, die sich physisch umsetzen lassen, zum Beispiel durch die Installation einer Firewall oder eines Bandlaufwerks zur nächtlichen Datensicherung und Archivierung. Organisatorische Maßnahmen dagegen beziehen sich auf die Rahmenbedingungen des Datenverarbeitungsvorgangs. Dabei werden Vorgaben und Handlungsanweisungen definiert, die dazu dienen, dass Mitarbeiter den Datenschutz einhalten.

Jedoch benennt die DSGVO dabei keine konkreten Handlungsanweisungen, sondern beschreibt vielmehr Datenschutzziele. Das entscheidende Kriterium bei der DSGVO ist das Risiko Ihrer Datenverarbeitung für die betroffenen Personen. Je riskanter Ihre Verarbeitung personenbezogener Daten ist, desto mehr müssen Sie für Datenschutz und Datensicherheit tun. Konkret: Wie schutzwürdig ist die Information, wer in Ihrem Yachthafen welches Boot liegen hat, wie seine Kontaktdaten lauten und was er für diesen Liegeplatz wann bezahlt hat und welche Rechnungen aktuell offen sind?

Wer seine Liegeplatzdaten mit Hilfsmittel wie Excel oder ähnliches verwaltet, muss sich die Frage stellen, wie die der Datenschutz lokaler Kopien auf dem eigenen Rechner sichergestellt wird. Seine Datendateien in einen Cloudspeicher wie Dropbox oder Onedrive zu legen ist aus Datenschutzgründen keine gute Idee. US-amerikanische Firmen, die Cloud-Dienste anbieten, kommen durch den Cloud Act in die Situation, sich rechtswidrig verhalten zu müssen. Denn es ist nicht möglich, sich als Unternehmen gleichzeitig an den CLOUD Act und an die DSGVO zu halten, da diese sich widersprechen.

Einmal mehr steht zu befürchten, dass Daten, die in der Cloud gespeichert sind, abgerufen oder durchsucht werden könnten. Neu ist diesmal aber, dass wir uns nicht vor Hackern oder menschlichem Versagen fürchten müssen, sondern vor amerikanischen Strafverfolgungsbehörden.

Besonders perfide am CLOUD Act ist, dass es den Cloud-Anbietern ausdrücklich untersagt ist, ihre Nutzerinnen und Nutzer zu informieren, sollte es zu einer Abfrage durch die Behörden kommen. „Europäische Unternehmen zwingt der CLOUD Act in Kombination mit der DSGVO dazu, eine Geldstrafe in Höhe von 20 Millionen Euro oder 4% des weltweiten Umsatzes (je nachdem welcher Betrag höher ist) zu riskieren. Es ist jetzt eindeutig illegal, einen US-amerikanischen Dienst zu verwenden, um jegliche Art von persönlichen Daten zu speichern, ohne dass Ihre Daten zuvor auf dem Client verschlüsselt wurden.

Als Yachthafenbetreiber können nicht garantieren, dass Ihr US-amerikanischer Serviceanbieter keine Offenlegung vornimmt und die Informationen an Dritte weitergibt, da er gesetzlich dazu verpflichtet ist. Es ist nicht von Bedeutung, was Ihr Cloud-Anbieter in seinen allgemeinen Geschäftsbedingungen verspricht, da das Bundesgesetz eine Geschäftsvereinbarung übertrumpft. Das bedeutet im Klartext, die Dateiablage einer Exceltabelle o.ä. in einem Cloudspeicher erfordert zwingend, dass die Daten verschlüsselt abgelegt sind. Dazu gibt es Werkzeuge, aber die kosten Geld und es ist zusätzlicher Aufwand Dateien zu ver- und entschlüsseln, wenn man sie benutzen möchte. Kann man dann noch von einer pragmatisch einfachen Lösung sprechen, wenn man seinen Yachthafen mit Excel verwaltet?

Fazit

Ich wäre ein schlechter Blogger, wenn unsere Geschichte nicht ein Happy End nehmen würde. Stefan war das alles bislang so nicht klar und hat sich am Ende für die Up2Boat Excellent Version entschieden. Damit wird er auf einen Schlag nicht nur den Anforderungen der GoBD, sondern auch denen der EU-DSGVO gerecht. Das Ganze für gerade einmal 9 € pro Monat. Stefan strahlt vor Freude, denn dazu erhält er kostenlos die Up2Boat Smartphone-App mit der seine Kunden ihre personenbezogenen Daten selbst pflegen und unter Kontrolle behalten. Das freut nicht nur Stefan, sondern auch den Finanzbeamten und den Datenschützer.