Читать книгу Internal Investigations - Dennis Bock - Страница 351

46

Die GoBD[8] haben die Vorschriften zu den Grundsätzen zum Datenzugriff und zur Prüfbarkeit Digitaler Unterlagen („GDPdU[9]“) abgelöst. Sie begründen und konkretisieren umfangreiche Zugriffsrechte der Finanzverwaltung auf steuerrelevante Unternehmensdaten, die zu einem leicht abrufbaren und bereits aufbereiteten Datenpool führen. Durch die GoBD wird seitens der Finanzverwaltung für jedes steuerrelevante DV-System eine übersichtlich gegliederte Verfahrensdokumentation gefordert. Diese stellt für den Ermittler eine gute Informationsquelle zur Generierung eines ersten Verständnisses von den IT-gestützten Geschäftsprozessen, den Kontrollen im Rahmen des IKS sowie den gespeicherten Daten dar. Da mit einer fehlenden oder unzureichenden Verfahrensdokumentation weitreichende Sanktionsmechanismen verbunden wurden, ist in Zukunft mit einer entsprechenden Erfüllung dieser Anforderung zu rechnen. Das BMF-Schreiben gilt für Veranlagungszeiträume, die nach dem 31.12.2014 beginnen.

47

Auf Grund ihrer Relevanz für die Verfügbarkeit von Unternehmensdaten in einer für die Massendatenanalyse bereits aufbereiteten Form werden im Folgenden die wesentlichen Inhalte der GoBD hinsichtlich des Datenzugriffs und deren praktische Verwendung am Beispiel von SAP dargestellt.

48

Nach § 147 Abs. 6 AO ist der Finanzbehörde das Recht eingeräumt, die mit Hilfe eines Datenverarbeitungssystems erstellte Buchführung des Steuerpflichtigen durch Datenzugriff im Rahmen einer steuerlichen Außenprüfung zu prüfen. Dies betrifft alle ab dem 1.1.2002 generierten steuerrelevanten Daten sowie Daten, die sich nach dem 1.1.2002 in den IT-Produktivsystemen befanden, auch wenn sie vor diesem Stichtag generiert wurden. Zu den steuerrelevanten Daten zählen regelmäßig die Daten der Finanzbuchhaltung, der Anlagenbuchhaltung und der Lohnbuchhaltung sowie bestimmte Bestandteile der Materialwirtschaft.

49

Bei der Ausübung des Rechts auf Datenzugriff stehen der Finanzbehörde drei Möglichkeiten zur Verfügung:

–	unmittelbarer Zugriff auf das Datenverarbeitungssystem in Form eines Nur-Lesezugriffs unter Nutzung der durch das System gegebenen Auswertungsmöglichkeiten;
–	mittelbarer Zugriff durch einen durch das Unternehmen zur Verfügung gestellten Sachverständigen, der auf Anweisung des Außenprüfers Daten maschinell auswertet;
–	die Finanzverwaltung kann ferner verlangen, dass ihr die gespeicherten Unterlagen auf einem maschinell verwertbaren Datenträger zur Auswertung überlassen werden.

50

Aus diesen Anforderungen an Unternehmen ergibt sich in der Praxis die Konsequenz, dass für den mittel- und unmittelbaren Zugriff auf die betrieblichen IT-Systeme bereits entsprechende Nutzerrollen mit Nur-Leserechten eingerichtet sind, die weitgehenden, lesenden Zugriff auf die Unternehmensdaten für Prüfungszwecke erlauben. Ferner verfügen moderne ERP-Systeme zwecks Datenträgerüberlassung regelmäßig über explizit für Zwecke der GoBD bzw. GDPdU entwickelte Schnittstellen, die einen komfortablen und für Prüfungszwecke optimierten Zugriff auf steuerrelevante Unternehmensdaten ermöglichen.

51

Die explizite Entwicklung solcher Schnittstellen durch die Systemhersteller resultierte insbesondere aus der teilweisen Überforderung der Unternehmen steuerrelevante Daten in hochkomplexen Systemstrukturen zu identifizieren und abzugrenzen. Auch die Pflicht, Daten in einer bestimmten Form bzw. einem speziellen Format, angereichert mit sogenannten Metainformationen vorzuhalten und im Falle einer Prüfung unverzüglich auszuhändigen, fördert diese Entwicklung.

dd) Exkurs: Data Retention Tool („DART“)

52

Einer der Marktführer für ERP-Software, die SAP AG, hat mit dem Data Retention Tool (kurz „DART“) eine solche Schnittstelle geschaffen. Sie enthält bereits einen vordefinierten Feldkatalog mit – zumindest für die standardisierten Bestandteile – als steuerrelevant identifizierten Daten. Der Datenkatalog wird in einem wechselseitigen Abstimmungs- und Lernprozess zwischen Anwendern und Finanzverwaltung kontinuierlich fortentwickelt und an die aktuelle Rechtslage angepasst. Der Feldkatalog liefert eine gute erste Übersicht über die über die DART-Schnittstelle abrufbaren Daten.

53

Das Vorhandensein der DART-Schnittstelle ermöglicht es dem Prüfer quasi per Knopfdruck den gesamten Buchungsstoff eines oder mehrerer Geschäftsjahre zu exportieren und ohne größeren Aufwand in ein Tool zur Massendatenanalyse zu importieren. Anschließend kann der Buchungsstoff auf Unregelmäßigkeiten bzw. in der Planungsphase definierte red flags hin untersucht werden. Die Daten können in Massendatenanalyse-Tools, wie bspw. WinIDEA[10] und AIS TaxAudit zu sog. Standard-Prüfungstabellen aufbereitet werden, wodurch der Einsatz von vordefinierten Prüfmakros ermöglicht wird, die es auch unerfahreneren Prüfern erlauben Massendaten effizient zu verarbeiten.

54

Die Abfrage von Risikoprofilen im Ermittlungsverfahren, bspw. im Kontext von Vertriebsunregelmäßigkeiten (vgl. Rn. 19), ist u.a. durch die Kombination der Indikatoren „Zahlungen an Lieferanten mit Sitz in Steueroasen“ und „abweichender Sitz des Unternehmens und Bankland“, für nahezu unbegrenzt große Datenvolumina in kürzester Zeit durchführbar.

55

Das zu exportierende Datenvolumen kann sowohl zeitlich als auch inhaltlich eingegrenzt werden. Sollen bspw. aus datenschutzrechtlicher Sicht sensible Personalstammdaten mit Kreditorenstammdaten auf übereinstimmende Bankverbindungen untersucht werden, ist es leicht möglich, jeweils nur Datenfelder für Bankleitzahlen und Kontonummern zu exportieren. Ergibt sich ein konkreter Verdacht, können zur Wahrung berechtigter Interessen des Unternehmens die fehlenden Daten durch einen zweiten Export oder Abfrageroutinen in den IT-Systemen ermittelt werden. Durch diese zweistufige Vorgehensweise werden mögliche datenschutzrechtliche Konflikte vermieden.

56

Über Schnittstellen zum Datenexport steuerrelevanter Daten auf Knopfdruck verfügen mittlerweile alle marktüblichen ERP-Systeme. Sollte eine solche Schnittstelle bei einem proprietären System nicht zur Verfügung stehen, bietet sich die Abfrage der Daten über sog. Queries (bspw. SQL) auf Datenbankebene an.