Compliance Wie IT hilft, den Anforderungen des Gesetzgebers gerecht zu werden

Es ist ratsam, statt auf Einzellösungen auf ganzheitliche Lösungen für den IT-bezogenen Teil der Compliance-Projekte zu setzen. Außerdem: Unternehmen, die sich über die sie betreffenden IT-Compliance-Anforderungen genau informieren und diese zielgerichtet und nutzenorientiert im Rahmen einer IT-Strategie erfüllen, treffen bessere Entscheidungen auf einer sichereren Basis.

Hinter der Erfüllung von Compliance-Anforderungen sollte für Unternehmen also keine technische Frage stehen, sondern die Einsicht in die Tatsache, dass IT-Compliance eng mit allen Bereichen eines Unternehmens verbunden ist.

Datenschutz ist für jedes Unternehmen von existenzieller Bedeutung. Mobilität und moderne Kommunikationstechnologien stellen ebenso wie externe Ein- und Angriffe große Anforderungen an den Schutz. Auf der anderen Seite bedrohen Aktivitäten von Hackern, Sabotage, Diebstahl und Unfälle die Sicherheit. In den letzen Jahren sind die Entwicklungen in der Digitaltechnik rasant vorangeschritten. So vereinfachten sich Erfassung, Haltung, Weitergabe und Analyse von Daten spektakulär. Technische Entwicklungen wie Internet, E-Mail, Mobiltelefonie, Videoüberwachung und elektronische Zahlungsmethoden erschlossen neue Möglichkeiten der Datenerfassung. Zudem nimmt das Interesse an personenbezogenen Informationen, aber auch an unternehmenskritischen Daten stetig zu. Vor allem durch die weltweite Vernetzung, insbesondere durch das Internet, steigen die Gefahren hinsichtlich des Schutzes von Daten.

Datenschutz ist auch extern möglich

Eine konkrete IT-Compliance-Anforderung des Gesetzgebers ist daher der Datenschutz. Das Bundesdatenschutzgesetz (BDSG) verlangt in diesem Zusammenhang von Unternehmen, dass ein betrieblicher Datenschutzbeauftragter (§4f) bestellt wird, wenn mehr als neun Mitarbeiter mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Dabei muss jeder Mitarbeiter, der am PC die Daten von Kunden, Interessenten, Lieferanten oder Mitarbeitern bearbeitet, mit eingerechnet werden. Wird in einem Unternehmen die Bestellung eines Datenschutzbeauftragten versäumt, dann kann dies eine Ordnungswidrigkeit sein und ein Bußgeld von bis zu immerhin 25.000 Euro nach sich ziehen.

Angesichts dieser juristischen und möglicherweise existenziellen Relevanz kann es deshalb sinnvoll sein, die Aufgabe des betrieblichen Datenschutzbeauftragten extern zu vergeben. Der zu beauftragende Dienstleister sollte zur Erfüllung dieser anspruchsvollen Aufgaben seine Fachkenntnis und Zuverlässigkeit ausdrücklich erklären. In den Dienstleistungsvertrag sollte außerdem aufgenommen werden, dass er auf dem Gebiet des Datenschutzes weisungsfrei ist und ein unmittelbares Vortragsrecht gegenüber der Geschäftsführung bzw. dem Vorstand hat. Von Vorteil ist es auch, den voraussichtlichen Zeitaufwand im Geschäftsbesorgungsvertrag zu fixieren, um die Kosten in einem bestimmten Rahmen zu halten.

Elektronisch eingehende Rechnungen

Unternehmen, die eingehende PDF-Rechnungen ausdrucken und dann in Papierform weiter bearbeiten, riskieren ihren Vorsteueranspruch. Für elektronische Rechnungen gelten in Deutschland besondere Vorschriften, die nach Erkenntnissen des Messaging-Experten Retarus aber von 80 Prozent der Unternehmen nicht eingehalten werden.

Die Vorteile elektronischer Kommunikation kommen auf geschäftlicher Ebene mit gesetzlichen Vorgaben in Konflikt. Zumeist werden geschäftliche Rechnungen als PDF-Anhang versandt – beim Finanzamt hat der Abzug der Vorsteuer aber nur Bestand, wenn die Rechnung auch über eine „qualifizierte elektronische Signatur“ verfügt, die man bei der Steuerprüfung auch nachweisen können muss. §14 des Umsatzsteuergesetzes lässt hier keinen Spielraum!

Umsicht bei der Vorsteuerberechnung

So tickt in vielen Buchhaltungen eine Zeitbombe, die bei der nächsten Steuerprüfung ein empfindliches Loch in die Bilanz reißen kann. Eine Rechnung erreicht das Unternehmen als PDF-Anhang per Mail, der Mitarbeiter druckt sie aus und heftet sie ab: Das passiert in deutschen Unternehmen jeden Arbeitstag unzählige Male, es ist aber – zumindest unter steuerlichen Aspekten – vergebliche Liebesmühe. Mit dem Ausdruck einer PDF-Datei erhält der Unternehmer keine gültige Eingangsrechnung, es ist hiervon also kein Vorsteuerabzug gemäß §15 Absatz 1 Umsatzsteuergesetz zulässig. Der Unternehmer muss im Gegenteil damit rechnen, die unberechtigt abgezogene Vorsteuer bei der nächsten Betriebsprüfung wieder zurückzahlen zu müssen.

Für elektronische Rechnungen – darunter fallen auch PDF-Rechnungen – gelten im Umsatzsteuergesetz nach §14 Absatz 3 besondere Vorschriften. Wer sie nicht einhält, riskiert seinen Erstattungsanspruch und es gibt nicht einmal für Kleinbeträge eine Ausnahmeregelung.

Ob elektronische oder Papierrechnung: Bei vielen Unternehmen wird alles, was eingeht, abgeheftet und damit ist der Fall erledigt – hofft man zumindest. Aus steuerlicher Sicht macht es allerdings keinen Unterschied, ob der Buchhalter die eingehende PDF-Rechnung ausdruckt und abheftet oder sich daraus einen Papierflieger bastelt.