ComplianceWie IT hilft, den Anforderungen des Gesetzgebers gerecht zu werden

Der Begriff Compliance umschreibt generell die Auswirkungen gesetzlicher Bestimmungen auf das unternehmerische Handeln; entsprechend steht die „IT-Compliance“ für die Zusammenfassung der gesetzlichen Regelungen im Bereich der IT-Landschaft im Unternehmen. Hier sind die Anforderungen an die Unternehmer infolge immer neuer Gesetze in den letzten Jahren enorm angestiegen – Anforderungen, deren Erfüllung den Entscheidern häufig Kopfschmerzen bereitet. „Teuer“ und „kompliziert“, so vielfach die Kommentare zu den diversen IT-Compliance-Anforderungen. Mittlerweile setzt sich aber auch die Erkenntnis durch, dass Compliance-Investitionen durchaus sehr positiv für das Unternehmen sein können.

Eine Frage stellt sich vorab: Was bedeutet das konkret für das einzelne Unternehmen? Es bedeutet zunächst einmal, dass der Begriff Compliance auf das ganze Unternehmen zu übertragen und als Anforderung daher nichts Neues ist. Was in den letzten Jahren hinzugekommen ist, sind zum Teil umfangreiche Gesetze, Regeln und Vorschriften, die mit dem IT-Einsatz in den Unternehmen zu tun haben.

Der Einsatz von IT ist also längst nicht mehr alleine Sache der Unternehmen und der Unternehmer beziehungsweise Entscheider. Der Gesetzgeber hat ein engmaschiges Regelwerk zum Umgang mit den eigenen, aber auch mit fremden Daten entwickelt. Dazu gehören beispielsweise Aufbewahrungspflichten, Auskunftsrechte, Schutz vor unbefugtem Zugriff und Schutz vor Weitergabe an Dritte, Fristen und Verfahren zur Archivierung und zum Zugriff elektronischer Dokumente. Verantwortlich für die Einhaltung der Regeln und Verpflichtungen so wie für die Konsequenzen bei Nichteinhaltung sind die Verantwortlichen eines Unternehmens, also die Unternehmer selbst oder die Entscheider wie zum Beispiel Geschäftsführer, Prokuristen und IT-Leiter. Das ist nicht anders als im operativen oder kaufmännischen Teil des Unternehmens.

In vielen mittelständischen Unternehmen werden die externen Compliance-Anforderungen, die sich auf die Datenhaltung, Datenkommunikation und Datensicherheit beziehen, noch immer als lästige und nur mit gewaltigem Aufwand zu bewältigende Aufgabe betrachtet. In vielen Unternehmen sind die Anforderungen auch gar nicht bekannt, was fatale Folgen für den Unternehmer und das Unternehmen haben kann. Beide Haltungen zum Thema IT-Compliance sind aus unternehmerischer Sicht mehr als fahrlässig. Unternehmen dagegen, die sich ernsthaft der Herausforderung stellen, können bei bewusster Wahl von Standards gezielt und pragmatisch Risiken minimieren. Schließlich beinhalten die gesetzlichen IT-Compliance-Anforderungen strenge Kontrollmechanismen, die das Management eines Unternehmens genau so nutzen kann, um das Unternehmen transparent zu machen. Ganz nebenbei entsteht so auch eine Basis für die schnelle Anpassung an kommende, von außen geforderte Standards.

Viele Unternehmen haben erkannt, dass die Erfüllung der Compliance-Anforderungen nur durch zusätzliche IT-Investitionen möglich ist. Unter den generellen Gründen für Entscheidungen hinsichtlich IT-Investitionen sind die gesetzlichen Anforderungen der wichtigste Impuls, so eine Untersuchung der InformationWeek und Steria Mummert Consulting.

Zwar bereiten die Compliance-Anforderungen vielen Mittelständlern Kopfschmerzen, weil natürlich erst einmal Investitionen anfallen, aber beispielsweise auch nicht im Detail geregelt ist, welche digitalen Informationen aufzubewahren sind und welche nicht. Hinsichtlich einer angedachten Fremdfinanzierung machen sich die Investitionen aber durchaus bezahlt.

[Bild: G+F Verlags- und Beratungs-GmbH]

Verbindliche Regeln über die revisionssichere Aufbewahrungsteuer- und geschäftsrelevanter Firmeninformationen betreffen nicht nur große, sondern im selben Maße kleine und mittlere Unternehmen. Jedes Unternehmen, das per E-Mail Geschäfte abwickelt, muss sich mit dem Thema beschäftigen und gegebenenfalls seine IT-Infrastruktur anpassen.

Die Basel-II-Vorgaben setzen ebenfalls spezielle Anforderungen an den schnellen Zugriff auf Unternehmensdaten. Ist ein Unternehmen beispielsweise in der Lage, die Basel-II-Kennzahlen schnell bereitzustellen, verfügt es über eine gute Grundlage für das interne Rating. Es kann auch hilfreich sein, wenn der Schriftverkehr zu früheren Projekten rasch abrufbar ist, um die damals gefällten Entscheidungen schnell nachvollziehen zu können.

Eine fertige Paketlösung zur Erfüllung der Compliance-Anforderungen finden die Unternehmen kaum vor. Ein positiver Aspekt ist daher, dass durch Compliance-Anforderungen der Druck entsteht, sich mit eigenen Prozessen auseinanderzusetzen, so ein Ergebnis einer Studie, die die Universität Erlangen-Nürnberg mit Unterstützung von Novell durchgeführt hat. Unternehmen würden den Zwang zur Compliance oftmals für Prozessoptimierungen nutzen, mit dem Ergebnis, dass 70 Prozent des Compliance-Erfolges durch Prozessverbesserungen erzielt würden. Um IT-Compliance zu erfüllen, sei die weitere Automatisierung von Prozessen notwendig. Gleichzeitig müssten immer mehr Compliance-Aufgaben bei gleichbleibender Anzahl an Mitarbeitern berücksichtigt werden.

Die Erfüllung von Compliance-Anforderungen führt zwar zunächst zu Kosten und stößt eventuell auf Akzeptanzprobleme, gleichzeitig werden aber auch interne Geschäftsprozesse beleuchtet und bringen so eine gute Grundlage für das interne Rating.

Basel II ist eine Sammlung der Eigenkapitelvorschriften für Banken und Finanzinstitute. Diese Regelungen sind darauf ausgelegt, insbesondere bei Unternehmen vor jeder Kreditentscheidung eines Kreditgebers eine individuelle Einschätzung der Bonität vorzunehmen. Diese erfolgt auf der Basis interner Rating-Systeme der kreditgewährenden Finanzinstitute oder durch externes Rating. Mit in die Entscheidung über eine Kreditentscheidung fließen sowohl Markt- und Kreditrisiken auf Seiten der Bank als auch Risiken der Umsetzung des kreditnehmenden Unternehmensmit ein.

Zu den Risiken, die für den Unternehmer entstehen können, gehört auch der Einsatz von Informationstechnologie in den Unternehmensprozessen. Hierbei sei vor allem auf die Notwendigkeit eines aktiven IT-Risiko-Managements verwiesen, das sich mit allen Aspekten der IT-Sicherheit für das jeweilige Unternehmen befasst. Diese IT-Managementaufgaben sollten, Risiko minimierend, die Sicherheit sowie die stete Verfügbarkeit verwendeter IT-Systeme beinhalten, Vorsorgen für System-Notfälle bedenken und die Redundanz wichtiger Systemeinheiten gewährleisten. Grundsätzlich gilt: Höheres Risiko resultiert in höheren Zinsen. Das Unternehmen mit dem besten Rating erhält die günstigsten Kreditkonditionen. Für mittelständische und KMUs gilt eine Sonderregelung: Wenn Unternehmen wenig Eigenkapitel in die Fremdfinanzierung mit einbringen können, gelten hier andere Maßstäbe der Eigenkapitelbemessung der Bank. Davon bleibt aber die Kreditwürdigkeitsprüfung durch die Bank unberührt!

Die Sicherheit in der Informations- und Kommunikationstechnik gehört in den wenigsten mittelständischen Unternehmen zur Kernkompetenz. Dennoch ist den Verantwortlichen in Management und IT dringend geraten, sich entweder selbst oder mit Unterstützung des IT-Partners um folgende Fragen zu kümmern: Welche Sicherheitsstandards gibt es? – Welcher Sicherheitsstandard ist im Unternehmen notwendig oder sinnvoll? – Wie wird dieser implementiert? – Wer ist dafür verantwortlich?

Die Auswahl von Sicherheitsstandards gehört zu den Grundlagen der IT-Strategie eines Unternehmens. Sie kann daher nicht nur aus Gründen der Compliance-Anforderungen erfolgen. Sie muss im Sinne der Wertschöpfung von IT dem Unternehmen auch einen Nutzen bringen, indem sie tatsächlich die Sicherheit erhöht und Risiken minimiert!

Es ist ratsam, statt auf Einzellösungen auf ganzheitliche Lösungen für den IT-bezogenen Teil der Compliance-Projekte zu setzen. Außerdem: Unternehmen, die sich über die sie betreffenden IT-Compliance-Anforderungen genau informieren und diese zielgerichtet und nutzenorientiert im Rahmen einer IT-Strategie erfüllen, treffen bessere Entscheidungen auf einer sichereren Basis.

Hinter der Erfüllung von Compliance-Anforderungen sollte für Unternehmen also keine technische Frage stehen, sondern die Einsicht in die Tatsache, dass IT-Compliance eng mit allen Bereichen eines Unternehmens verbunden ist.

Datenschutz ist für jedes Unternehmen von existenzieller Bedeutung. Mobilität und moderne Kommunikationstechnologien stellen ebenso wie externe Ein- und Angriffe große Anforderungen an den Schutz. Auf der anderen Seite bedrohen Aktivitäten von Hackern, Sabotage, Diebstahl und Unfälle die Sicherheit. In den letzen Jahren sind die Entwicklungen in der Digitaltechnik rasant vorangeschritten. So vereinfachten sich Erfassung, Haltung, Weitergabe und Analyse von Daten spektakulär. Technische Entwicklungen wie Internet, E-Mail, Mobiltelefonie, Videoüberwachung und elektronische Zahlungsmethoden erschlossen neue Möglichkeiten der Datenerfassung. Zudem nimmt das Interesse an personenbezogenen Informationen, aber auch an unternehmenskritischen Daten stetig zu. Vor allem durch die weltweite Vernetzung, insbesondere durch das Internet, steigen die Gefahren hinsichtlich des Schutzes von Daten.

Eine konkrete IT-Compliance-Anforderung des Gesetzgebers ist daher der Datenschutz. Das Bundesdatenschutzgesetz (BDSG) verlangt in diesem Zusammenhang von Unternehmen, dass ein betrieblicher Datenschutzbeauftragter (§4f) bestellt wird, wenn mehr als neun Mitarbeiter mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Dabei muss jeder Mitarbeiter, der am PC die Daten von Kunden, Interessenten, Lieferanten oder Mitarbeitern bearbeitet, mit eingerechnet werden. Wird in einem Unternehmen die Bestellung eines Datenschutzbeauftragten versäumt, dann kann dies eine Ordnungswidrigkeit sein und ein Bußgeld von bis zu immerhin 25.000 Euro nach sich ziehen.

Angesichts dieser juristischen und möglicherweise existenziellen Relevanz kann es deshalb sinnvoll sein, die Aufgabe des betrieblichen Datenschutzbeauftragten extern zu vergeben. Der zu beauftragende Dienstleister sollte zur Erfüllung dieser anspruchsvollen Aufgaben seine Fachkenntnis und Zuverlässigkeit ausdrücklich erklären. In den Dienstleistungsvertrag sollte außerdem aufgenommen werden, dass er auf dem Gebiet des Datenschutzes weisungsfrei ist und ein unmittelbares Vortragsrecht gegenüber der Geschäftsführung bzw. dem Vorstand hat. Von Vorteil ist es auch, den voraussichtlichen Zeitaufwand im Geschäftsbesorgungsvertrag zu fixieren, um die Kosten in einem bestimmten Rahmen zu halten.

Unternehmen, die eingehende PDF-Rechnungen ausdrucken und dann in Papierform weiter bearbeiten, riskieren ihren Vorsteueranspruch. Für elektronische Rechnungen gelten in Deutschland besondere Vorschriften, die nach Erkenntnissen des Messaging-Experten Retarus aber von 80 Prozent der Unternehmen nicht eingehalten werden.

Die Vorteile elektronischer Kommunikation kommen auf geschäftlicher Ebene mit gesetzlichen Vorgaben in Konflikt. Zumeist werden geschäftliche Rechnungen als PDF-Anhang versandt – beim Finanzamt hat der Abzug der Vorsteuer aber nur Bestand, wenn die Rechnung auch über eine „qualifizierte elektronische Signatur“ verfügt, die man bei der Steuerprüfung auch nachweisen können muss. §14 des Umsatzsteuergesetzes lässt hier keinen Spielraum!

So tickt in vielen Buchhaltungen eine Zeitbombe, die bei der nächsten Steuerprüfung ein empfindliches Loch in die Bilanz reißen kann. Eine Rechnung erreicht das Unternehmen als PDF-Anhang per Mail, der Mitarbeiter druckt sie aus und heftet sie ab: Das passiert in deutschen Unternehmen jeden Arbeitstag unzählige Male, es ist aber – zumindest unter steuerlichen Aspekten – vergebliche Liebesmühe. Mit dem Ausdruck einer PDF-Datei erhält der Unternehmer keine gültige Eingangsrechnung, es ist hiervon also kein Vorsteuerabzug gemäß §15 Absatz 1 Umsatzsteuergesetz zulässig. Der Unternehmer muss im Gegenteil damit rechnen, die unberechtigt abgezogene Vorsteuer bei der nächsten Betriebsprüfung wieder zurückzahlen zu müssen.

Für elektronische Rechnungen – darunter fallen auch PDF-Rechnungen – gelten im Umsatzsteuergesetz nach §14 Absatz 3 besondere Vorschriften. Wer sie nicht einhält, riskiert seinen Erstattungsanspruch und es gibt nicht einmal für Kleinbeträge eine Ausnahmeregelung.

Ob elektronische oder Papierrechnung: Bei vielen Unternehmen wird alles, was eingeht, abgeheftet und damit ist der Fall erledigt – hofft man zumindest. Aus steuerlicher Sicht macht es allerdings keinen Unterschied, ob der Buchhalter die eingehende PDF-Rechnung ausdruckt und abheftet oder sich daraus einen Papierflieger bastelt.

Die Rechtslage ist eindeutig: Ein selbst erstellter Ausdruck einer PDF-Eingangsrechnung ist kein gültiges Rechnungsdokument im umsatzsteuerlichen Sinne. Jede Rechnung, die auf elektronischem Wege übermittelt wird, muss vom Versender mit einer qualifizierten elektronischen Signatur versehen werden. Der Empfänger muss diese Signatur vor Geltendmachung der Umsatzsteuer prüfen, die Prüfung dokumentieren und das PDF gemeinsam mit Signatur und Prüfprotokoll zehn Jahre elektronisch archivieren. Für das Finanzamt ist nur die PDF-Datei mit Signatur ein relevantes Rechnungsdokument. Der Rechnungsempfänger muss sie ihm auf Anfrage bereitstellen, die erfolgreiche Signaturprüfung nachweisen und sie gegebenenfalls noch einmal durchführen können.

Der BITKOM bietet auf seiner Website mit dem „Leitfaden zum elektronischen Datenzugriff der Finanzverwaltung“ wichtige und vertiefende Erläuterungen zu den steuerrechtlichen Anforderungen sowie den Archivierungstechnologien. Diesen und andere interessante Leitfäden, wie zum Beispiel auch zur E-Mail-Archivierung, finden Sie auf www.bitkom.org.

Die Anforderung an ein mittelständisches Unternehmen, sämtliche interne und externe E-Mail-Korrespondenz an einem sicheren Ort zu archivieren, vor unerlaubtem Zugriff und Datenverlust zu schützen und dennoch bei Bedarf schnell darauf zuzugreifen stellt eine langfristig zu betrachtende Herausforderung der besonderen Art dar.

Ein Blick in die journalistische Berichterstattung zum Thema zeigt auf, dass vielerorts ein beschwichtigender Ton vorherrscht. Dennoch sollte die Führungsebene des Unternehmens mit den wichtigsten Gesetzen vertraut, sich ihrer zumindest bewusst sein und dementsprechend auch eine Archivierungskultur in ihrem Unternehmen einführen. Mit § 147 der Abgabeordnung (AO) und den Grundsätzen der Prüfung digitaler Unterlagen (GDPdU) seien hier die relevantesten Gesetze genannt.

Unternehmen müssen heute eine kostengünstige und bequeme Möglichkeit implementieren, auch große Mengen elektronischen Schriftverkehrs in Übereinstimmung mit den handels- und steuerrechtlichen Vorschriften zu verwalten und E-Mails so aufzubewahren, dass sie im Streitfall vor Gericht als Beweismittel Bestand haben.

Ein externer Archivierungsservice kann Unternehmen von den Kosten, dem Aufwand und dem Verbrauch an Speicherplatz, die mit einer internen E-Mail-Archivierung einhergehen, teilweise entlasten.

Einfach zu bedienende Such- und Wiederherstellungsfunktionen, Möglichkeiten zur Definition von Richtlinien sowie Überwachungs- und Analysetools sind Leistungen, die gerade in kleinen bis mittelständischen Unternehmen aus eigener Kraft nur schwer bereitzustellen sind, erleichtern die Erfüllung der Anforderungen. Hinzu kommen die von externen Dienstleistern in der Regel zusätzlich angebotenen Services wie beispielsweise Anti-Spam, Anti-Virus und Web Security. Unternehmen können bei Auslagerung dieser Archivierungsaufgaben also auch davon profitieren, dass sie alle Messaging- und Sicherheits-Services integriert von einem Anbieter bereitgestellt bekommen. Das sorgt für Transparenz und Kalkulierbarkeit der Kosten.

Mit dem IT-Beauftragten der Bundesregierung wurde 2007 eine zentrale Anlaufstelle geschaffen, die die Bereiche der Wirtschaft und der Verwaltung auf Landes- und Bundesebene in IT-Fragen berät. Ein aktuelles Projekt sieht vor, dass E-Mails ab 2010 unter staatlich zertifizierten Bedingungen hohen Sicherheits- und Datenschutzbestimmungen genügen. Mit dem Projekt „De-Mail“ soll E-Mail-Post ebenso sicher und unveränderbar werden wie Briefpost, so der Anspruch.

• Zertifizierungsverfahren gewährleisten stets aktuelle Sicherheits- und Datenschutzgewährleistung
• Ergänzend kommen eine sichere, da verschlüsselte Dokumentenablage (De-Safe) und ein benutzerfreundlicher Identitätsnachweis (De-Ident) hinzu
• Gerade im E-Businessbereich ist immer nachvollziehbar, wer hinter einer De-Mail-Adresse steht
• Die De-Mail-Anbieter werden in regelmäßigen Abständen durch unabhängige Dritte überprüft
• Ähnlich wie beim Online-Banking werden Empfang und Versand der E-Mail über verschlüsselte Verfahren realisiert
• Um den Versand und die Zustellung einer De-Mail nachzuweisen, können Nutzer entsprechende Bestätigungen anfordern, die qualifiziert elektronisch signiert sind und somit eine hohe Beweiskraft haben.

Handels- und Steuerrecht

• Handelsgesetzbuch (HGB)
• Abgabeverordnung (AO)
• Umsatzsteuergesetz (UStG)
• Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU)

Datenschutz

• Bundesdatenschutzgesetz
• Telekommunikationsgesetz

Finanzwirtschaft

• Basel II (die Regelungen der Eigenkapitalvorschriften stehen als PDF-Download zur Verfügung)
• Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG)