Textversion
Wer bietet was Recht Markt Produkte Services Whitepapers Fachartikel Compliance-Kiosk Schwerpunkte Branchen Videothek Schulungen Literatur Governance Webinare Compliance-Lexikon Success Stories Specials Security-Telegramm SaaS / Cloud-Telegramm Compliance-Archiv
Home Fachartikel Recht

Fachartikel


Administration Entscheidungshilfen Hintergrund Kosten Management Recht

Events / Veranstaltungen Datenschutzerklärung Newsletter Marktübersichten Stellenanzeigen - Jobsuche Compliance-Shop Shopping-Portal & Shopping Mall Impressum Kontakt: Pressemitteilungen Links RSS: Compliance-Magazin.de-News Feed abonnieren RSS: IT SecCity.de-News Feed abonnieren Geschäftsbedingungen Wichtiger Hinweis zu Rechtsthemen Compliance-Magazin für Mobile Devices Sitemap Suche Mediadaten

Stammdatenproblematik in der GDPdU


Stammdatenproblematik in der GDPdU: Nicht alle Systeme erfüllen GDPdU-Anforderungen
Daten der Finanzbuchhaltung müssen auch nach Jahren noch im ursprünglichen Originalzustand bereitgestellt werden

Anzeige

Von Jochen Hoffmann, Leiter Softwareentwicklung bei der AvenDATA GmbH

(13.11.06) - Im Rahmen der digitalen Betriebsprüfung nach den GDPdU-Anforderungen müssen die Daten der Finanzbuchhaltung oder anderer steuerlich relevanter Systeme auch nach Jahren noch im ursprünglichen Originalzustand bereitgestellt werden. Trotz der inzwischen bekannten Situation und der "Eingewöhnungszeit" seit Einführung der GDPdU im Jahr 2002 können jedoch immer noch nicht alle Systeme diese Anforderungen erfüllen.

Um die Problematik zu veranschaulichen, stellen wir uns folgendes Beispiel vor: Der Betriebsprüfer möchte bei der Außenprüfung im Jahre 2007 eine Rechnung aus dem Jahre 2003 aus dem damals aktiven (und noch immer eingesetzten) System einsehen. Die Rechnung lässt sich zwar noch extrahieren, stimmt jedoch nicht mehr mit den ebenfalls vorhandenen Bankdaten und den Originaldaten überein.

Woran liegt das? Hierzu muss man die Daten, die für die Rechnung notwendig sind, einmal genauer betrachten: Diese teilen sich in die so genannten Stamm- und Bewegungsdaten auf. Die in der Regel gleich bleibenden Stammdaten bestehen in diesem Fall aus den Daten für den Rechnungskopf (Firma, Adresse, Steuernummer, etc.) und den Artikelstammdaten (Artikelnummer, Bezeichnung, Einzelpreis, etc.); zu den Bewegungsdaten gehören die von der einzelnen Rechnung abhängigen Daten (Rechnungspositionen, Anzahl, etc.). Diese Daten wurden speziell für den einen Vorgang erstellt und werden sich daher im Nachhinein auch nicht mehr verändern, somit entsteht an dieser Stelle auch kein Problem, sollen die Daten nach mehreren Jahren noch in ihrem Originalzustand verfügbar sein.

Anders sieht es bei den vermeintlich unveränderbaren Stammdaten aus. Denn um den benötigten Speicherplatz im System möglichst gering zu halten, haben die Systemhersteller die Daten bei Änderungen früher in der Regel einfach verändert. Bei einer Umfirmierung oder Adressänderung des Kunden hieße dies allerdings, dass die alten Stammdaten mit den neuen Werten überschrieben werden, da es sich ja immer noch um den gleichen Kunden handelt. Für die oben genante Rechnung bedeutet das allerdings, dass die nachträglich erstellte Rechnung auf eine "andere Firma" mit einer unterschiedlichen Adresse als im Originalbeleg ausgestellt wird. Ähnliches ist bei der Änderung der Artikelstammdaten möglich, wenn sich hier die Daten – beispielsweise der Artikelpreis – ändern.

Der Originalbeleg bzw. die Reproduktion des originalen Zustands ist auf diese Weise also nicht mehr möglich. Selbstverständlich ist die Situation bereits bekannt und die meisten Systemhersteller haben sich auf die neuen Anforderungen eingestellt. So ist heute im Großteil der Systeme eine Historisierung der Stammdaten zumindest teilweise möglich. Das bedeutet, dass die ursprünglichen Kundendaten auch nach einer Änderung noch reproduzierbar sind, da die früher überschriebenen Daten heute aufbewahrt werden. In der Praxis treten vor allem die folgenden drei Methoden auf:

Die Stammdaten werden in eine Logdatei geschrieben und so aufbewahrt. Dies hat den Nachteil, dass eine nachträgliche Zusammenführung (joining) so gut wie unmöglich ist.

Es können verschiedene Datensätze bis zu einer festen Maximalzahl mitgeführt werden. Ab Erreichen dieser Maximalzahl entstehen also auch hier Datenverluste.

Die veränderten Stammdaten können in unbegrenzter Anzahl historisiert werden. Dies erfordert zwar das größte Datenvolumen, ist aber bezogen auf die GDPdU die beste Variante.

Allerdings treten auch immer wieder Fälle auf, in denen die gesetzlich verlangte Historisierung noch gar nicht unterstützt wird. Die Kunden solcher Systeme stehen also im Falle einer Betriebsprüfung vor dem Problem, dass die alten Daten unwiederbringlich gelöscht wurden. Dies stellt eine klare Gesetzeswidrigkeit dar, auf deren Grundlage die Buchführung ggf. verworfen werden könnte. Um im Zweifel spätestens jetzt auf dieses Problem zu reagieren, sollten Sie bei Ihrem Systemhersteller oder –verantwortlichem nachfragen, ob die Stammdaten bereits historisiert werden. Ist dies nicht der Fall, sollten Sie dies schleunigst nachholen. Sollte das System nicht in der Lage sein, diese Funktion zu unterstützen, empfehlen wir eine GDPdU-konforme Extraktion und Archivierung der aktuellen Stammdaten in regelmäßigen Intervallen, um so zumindest extern den jeweilig aktuellen Stand verfügbar zu haben. Auf diese Weise können Sie auch dem Betriebsprüfer nachweisen, dass Sie sich um die Problematik bereits gekümmert und entsprechende Schritte eingeleitet haben.

AvenDATA stieß bereits bei verschiedenen GDPdU-Projekten auf diese Thematik und konnten den Kunden somit stets erfolgreich beraten. (AvenDATA: ra)

Lesen Sie auch den Themenschwerpunkt: Steuerrecht - GDPdU und GoBS



Meldungen: Recht

Im Fokus: Unternehmensexterne Compliance-Beratung Mit Urteil vom 08. September 2011 (1 StR 38/11) hatte sich der Bundesgerichtshof in einer Revisionsentscheidung mit grundsätzlichen Fragen zur Vorsatzproblematik beim Straftatbestand der Steuerhinterziehung (§ 370 AO) zu befassen. Dabei hat er sich insbesondere dazu positioniert, inwieweit ein der Steuerhinterziehungsvorsatz durch Irrtümer des Steuerpflichtigen ausgeschlossen werden kann oder - gleichsam als Auffangtatbestand - eine leichtfertige Steuerverkürzung (§ 378 AO) in Betracht kommt.

Compliance bei Datentransfers im Konzern In dem neuen Beitrag aus meiner Artikel-Reihe "Datenschutz im Konzern" geht es um die Sicherstellung der datenschutzrechtlichen Anforderungen bei internationalen Datentransfers in einem Konzern, zum Beispiel wenn eine zentrale Kundendatenbank oder ein konzernweites Personalinformationssystem eingerichtet werden.

Compliance und Datenschutz im Unternehmen Im Unterschied zu vielen anderen Bereichen der betrieblichen Compliance (Corporate Compliance) gibt es für die Organisation der Datenschutz-Compliance konkrete gesetzliche Regelungen: So verpflichtet § 4f des Bundesdatenschutzgesetzes (BDSG) alle größeren Unternehmen einen Datenschutzbeauftragten zu bestellen. Dessen vom Gesetz festgelegte Aufgabe ist es, auf die Einhaltung der Datenschutzvorschriften durch das jeweilige Unternehmen "hinzuwirken".

Arbeitsrecht und Compliance-Regelungen Zu moderner Compliance gehört ein verbindlicher Verhaltenskodex. Dieser stellt sicher, dass die Geschäftspolitik von Mitarbeitern und Geschäftsführung auch wirklich "gelebt" wird und Gesetze eingehalten werden. Darüber, wie man diesen Kodex erarbeitet und im Unternehmen einführt, machen sich nach Ansicht der Kanzlei Aulinger Rechtsanwälte viele Unternehmen jedoch nach wie vor zu wenig Gedanken.

Datenschutzrecht beim Outsourcing Datenverarbeitungsverträge müssen bestimmte Mindestregelungen beinhalten, so will es das neue Bundesdatenschutzgesetz (BDSG). So müssen zum Bespiel Klauseln aufgenommen werden über die Benachrichtigung bei Datenschutzverstößen, Prüfrechte, die Einschaltung von Unterauftragnehmern sowie eine Reihe weiterer Punkte. Betroffen sind zum Beispiel Verträge über die Auslagerung der Lohnbuchhaltung und Gehaltsabrechnung oder Verträge mit Unternehmen, die Personalinformationsssyteme anbieten, auch wenn es sich nur um Tochtergesellschaften oder die Konzernmutter handelt.

Auskunftsrecht und Urheberrechtsverstöße Im digitalen Zeitalter werden Musik- oder Filmdateien über Peer-to-Peer-Netzwerke illegal verbreitet. Gegen diese Art der Urheberrechtsverletzung geht die Musik- und Filmindustrie als Rechteinhaber nun vor. Der "Bundesbeauftragte für den Datenschutz und die Informationsfreiheit" (BfDI) informiert aus aktuellem Anlass in einem Artikel zum Auskunftsrecht bei Urheberrechtsverstößen:

Neu: Änderungen bei Standardvertragsklauseln Am 5. Februar 2010 hat die EU-Kommission eine neue Fassung der "Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern" beschlossen. Standardvertragsklauseln sind ein häufig genutztes Instrument, um datenschutzrechtliche Anforderungen umzusetzen, wenn personenbezogene Daten in einem Land außerhalb der EU und des Europäischen Wirtschaftsraumes (EWR) genutzt oder verarbeitet werden. Am 15. Mai 2010 treten die bisher gültigen Standardklauseln außer Kraft.

AGG und Diskriminierende Bluttests bei Einstellung Wie jüngst bekannt wurde, werden Bewerber des Autobauers Daimler, des Medienriesen Axel Springer und sogar öffentlich-rechtlicher Sendeanstalten vor einer etwaigen Einstellung mittels Blutuntersuchung auf "Herz und Nieren" geprüft. Und zwar pauschal, d.h. auch dann, wenn für den in Rede stehenden Arbeitsplatz keine bestimmte gesundheitliche Eignung erforderlich ist. "Abgesehen von moralischen Bedenken kann ein solches Vorgehen vor dem Hintergrund des Allgemeinen Gleichbehandlungsgesetzes (AGG) für Arbeitgeber teuer werden", warnt Rechtsanwältin Stephanie Musiol von der Kanzlei Bethge.Reimann.Stari in Berlin.

Wesentliche Inhalte der Datenschutz-Reform Der Deutsche Bundestag hat am 3. Juli 2009 und damit am letzten Tag der Sitzungswoche vor der Sommerpause eine Reihe von neuen Bestimmungen im Datenschutz verabschiedet (BT-Drs. 16/12011, 16/13657). Am 10. Juli 2009 haben die Änderungen des Bundesdatenschutzgesetzes (BDSG), des Telemediengesetzes (TMG) und des Telekommunikationsgesetzes (TKG) auch den Bundesrat passiert. Dr. Michael Rath, Rechtsanwalt, Fachanwalt für IT-Recht und Partner bei der Luther Rechtsanwaltgesellschaft mbH, erörtert die wesentlichen Inhalte der Datenschutz-Reform.

Datenschutz: Dienstleisterkontrolle verschärft Der Bundestag hat in seiner Sitzung am 03. Juli nunmehr doch die 2. Datenschutznovelle auf dem Weg gebracht. Die Änderungen des Bundesdatenschutzgesetzes bringen für die praktische Arbeit der Unternehmen erhebliche Konsequenzen mit sich. Die Ankündigungen der Koalitionsparteien im Rahmen des so genannten Datenschutzgipfels im September 2008 wurden nur teilweise umgesetzt. Vergangenen Mittwoch hatten sich die Koalitionsparteien zunächst im Innenausschuss des Bundestages über die Änderungen des Bundesdatenschutzgesetzes geeinigt.

Druckbare Version

Elektronische Signatur Verordnete Sicherheit