Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

10.01.2003 - 

SAP-Anwender haben die Anwendbarkeit der GDPdU-Bestimmungen ausgelotet

Das Gesetz fordert Unmögliches

10.01.2003
MÜNCHEN (CW) - Die "Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen" (GDPdU) Wort für Wort zu erfüllen ist ein Ding der Unmöglichkeit, fand die Deutsche SAP-Anwendergruppe e.V. (DSAG) heraus. Gleichzeitig entwickelte sie Vorschläge für eine realitätsnahe Umsetzung.

Die Finanzverwaltungen drohen mit Ungemach, die Anwender lassen sich einschüchtern, und die Berater nehmen den Ball dankbar auf, weil sie das große Geschäft wittern. So stellen sich die Auswirkungen der vor einem Jahr in Kraft getretenen GDPdU heute dar. Vor allem Großunternehmen fragen sich, was sie eigentlich in die Wege leiten müssen, um den Buchstaben des Gesetzes zu erfüllen, demzufolge sie ihre ab dem 1. Januar 2002 gesammelten "steuerrelevanten" Daten nicht nur über einen Zeitraum von zehn Jahren aufbewahren, sondern offenbar auch für den Online-Zugriff durch den Steuerprüfer bereithalten sollen.

Die allgemeine Verunsicherung rief die SAP-Anwendergruppe auf den Plan. Zum einen sind ihre Mitglieder von den veränderten gesetzlichen Bestimmungen direkt betroffen (die meisten deutschen Großunternehmen erledigen ihre Finanzbuchhaltung nun einmal mit der Software aus Walldorf), zum anderen hat sie sich "die Einflussnahme bei der funktionalen Erweiterung und Verbesserung der SAP-Produkte" auf die Fahne geschrieben.

Unter der Leitung von Albert Kraus beschäftigte sich eine aus IT- und Steuerfachleuten bestehende DSAG-Arbeitsgruppe intensiv mit der technischen Umsetzbarkeit der Gesetzesänderung. Wie sie dabei herausfand, gibt es bislang keine detaillierten Angaben darüber, auf welche Weise die elektronische Steuerprüfung technisch dargestellt werden soll: "Was den Prüfungsumfang anbelangt, wären Konkretisierungen in der Gesetzgebung wünschenswert gewesen, um mehr Rechtssicherheit für die betroffenen Unternehmen zu erreichen."

Da, wo die Bestimmungen deutlich genug werden, hat die "Arbeitsgruppe GDPdU" hingegen eine Diskrepanz zwischen Theorie und Praxis festgestellt: "Der Wunsch der Finanzverwaltung, bei kleineren Unternehmen die Datenträgerüberlassung und bei größeren den Online-Zugriff zu praktizieren, steht in krassem Gegensatz zur Realität in den steuerpflichtigen Unternehmen", so ihr Fazit. Besonders die für den Online-Zugriff geforderte Vorhaltezeit von zehn Jahren sei schlicht "nicht machbar". In den Unternehmen sammelten sich gewaltige Datenbestände an, die in Konflikt mit den begrenzten Hardwareressourcen gerieten. Deshalb sei es im Hinblick auf einen "performanten Tagesbetrieb" erforderlich, "regelmäßig und in kürzeren Abständen" die nicht mehr unmittelbar benötigten Daten extern zu archivieren.

Für den Zugriff auf diese Daten wird SAP das für die USA entwickelte "Data Retention Tool" (Dart) zur Verfügung stellen - im Rahmen der normalen Support-Packages, wie Kraus beteuert. Dart erzeuge aus der Online-Datenbank heraus einen Datenextrakt (ein komprimiertes Flatfile) mit den für eine Finanzprüfung relevanten Daten. Welche das sind, hat die Arbeitsgruppe in Form eines Katalogs zusammengetragen, der sich firmenindividuell anpassen lässt. Nach der Definition des Gesetzgebers fallen darunter die Daten aus Finanz-, Anlagen- und Lohnbuchhaltung. Den Erkenntnissen der Arbeitsgruppe zufolge können aber auch Daten aus Materialwirtschaft, Fakturiersystemen und Kostenrechnung sowie beschreibende Tabellen und Stammdaten für die Steuerbehörde interessant sein.

Stimmungswechsel in der Finanzverwaltung?

Der Einsatz von Dart ersetzt nach Ansicht der Arbeitsgruppe quasi den Online-Zugriff auf die Finanzdaten vergangener Jahre, wie er im Falle einer nicht zeitnahen Prüfung notwendig wäre. Zudem sei es im Rahmen des SAP-Standards möglich, Auswertungen auf den archivierten Datenbestand vorzunehmen. In das operative System "zurückladen" und dort auswerten lassen sich diese Daten aber nur in seltenen Spezialfällen beziehungsweise in eingeschränkter Form, weil dadurch der Rechenzentrumsbetrieb behindert und die Datenkonsistenz des Produktivsystems gefährdet würden.

Besonders schwierig ist die Konservierung der Daten, wenn innerhalb der fraglichen zehn Jahre ein Systemwechsel stattfindet. Wegen technischer Restriktionen oder aus Kapazitätsgründen werden dabei oft nicht alle Daten in das neue System migriert. Die Wartung der Altsysteme über einen derart langen Zeitraum aufrechtzuerhalten, dürften die Hersteller jedoch als unzumutbar empfinden, und mit hoher Wahrscheinlichkeit stehen die entsprechend ausgebildeten Mitarbeiter über kurz oder lang nicht mehr zur Verfügung. Allerdings müssen die Unternehmen, so Kraus, in diesem Fall für "steuerliche Datenkonserven", sprich: maschinell auswertbare Auslagerungen in manipulationssicherer Umgebung, sorgen.

Die kritischen Anmerkungen der DSAG-Arbeitsgruppe haben bei der Finanzverwaltung zunächst einen "Aufschrei" ausgelöst, berichtet der Gruppenleiter. In Gesprächen mit Vertretern der Finanzverwaltung habe er aber mittlerweile einen Stimmungswechsel festgestellt. Mit anderen Worten: Es sehe ganz so aus, als würden die Behörden eine Datenauslagerung und den Zugriff via Dart akzeptieren.

Anwender fürchten den Datenmissbrauch

Neben der technischen Realisierung des Zugriffs beschäftigte sich die DSAG-Arbeitsgruppe auch mit der Frage, welche Berechtigung den Finanzbehörden eigentlich zugestanden werden sollte. Die Unternehmen befürchten den Missbrauch ihrer kritischen Daten durch den externen Zugriff.

Grundsätzlich sollte dem Prüfer nur eine Leseberechtigung eingeräumt werden. Dank der Vorarbeit durch die DSAG hat die SAP in ihre Software eine Berechtigungsrolle "Steuerprüfer" integriert, in der sich die Vorschläge der User Group für den Umfang der steuerlich relevanten Daten widerspiegeln. Über eine Standarderweiterung lässt sich der Datenzugriff auch zeitlich begrenzen. Laut Kraus arbeitet der Softwareanbieter überdies daran, die Prüferzugriffe durch ein Log-Protokoll nachvollziehbar zu machen.

Unabhängig davon plädiert die Arbeitsgruppe dafür, dem Sicherheitsaspekt schon bei der Ausstattung des "Prüfer-Arbeitsplatzes" Rechnung zu tragen. Dem Finanzprüfer sollte eine Firmen-Workstation zur Verfügung gestellt werden, die aber weder Diskettenstation noch USB-Ports, Internet-Anschluss oder CD-Brenner besitzt. Für die Kommunikation mit den Betriebsprüfern vor Ort lässt sich ein Daten-Share im Firmennetz einrichten. Wenn der Prüfer Unternehmensdaten mitnehmen will, sollte er sie in jedem einzelnen Fall anfordern und den Erhalt quittieren. (qua)