Aufbewahrung von elektronischen Dokumenten - gehört zur Buchprüfung in Zukunft auch eine IT- Revision

Aufbewahrung von elektronischen Dokumenten - gehört zur Buchprüfung in Zukunft auch eine IT- Revision Referat vom 15. November 2007 Veranstaltung des Wirtschaftsverbandes Stadt Luzern Ursula Sury Rechtsanwältin und Professorin an der Hochschule Luzern-Wirtschaft

Fragen Welche Voraussetzungen muss ein Unternehmen erfüllen um in Zukunft die Bücher medienbuchfrei zu führen und aufzubewahren? Ist elektronische Archivierung für KMU rentabel? Was ist bei der Archivierung aus Sicht des Datenschutzes zu beachten? Was bedeutet: Die Integrität der elektronisch archivierten Akten muss während der gesamten Archivierungsdauer sichergestellt werden? E-Billing

Archivierung als IT-Projekt? Die Erfüllung der Dokumentationspflichten in einem Unternehmen umfasst immer die beiden folgenden Fragen: Was: Welche Dokumente müssen im eigenen Unternehmen wie lange archiviert werden? Wie: Welche technischen und organisatorischen Massnahmen müssen dabei laut Gesetz ergriffen werden? 3

Gründe für Archivierung Kaufmännische Buchführung Beweissicherung Nachvollziehbarkeit des Handelns Dokumentation von historisch, kulturell oder wirtschaftlich wichtigen Ereignissen (Bund, Kantone) 4

Gesetzliche Grundlagen Obligationenrecht (Kaufmännische Buchführung, Art. 957 ff. OR) Prozessrecht Archivgesetze (Bund, Kantone, Gemeinden) Branchenspezifische Spezialgesetze (Banken, Pharma, etc.) 5

Aufbewahrungspflichtige Dokumente: WAS Betriebsrechnung und Bilanz schriftlich und unterzeichnet im Original Bücher, Buchungsbelege und die Geschäftskorrespondenz schriftlich, elektronisch oder in vergleichbarer Weise in der Regel 10 Jahre 6

Geschäftsbücherverordnung Die GeBüV legt fest, wie die Geschäftsunterlagen geführt und aufbewahrt werden müssen, damit diese dieselbe Beweiskraft haben wie Papierunterlagen. Ist auch anwendbar auf Papierdokumente, welche eingescannt und elektronisch abgelegt werden! 7

Aufbewahrungsform (Art. 2 GeBüV) Aufbewahrungsform Dokument Bilanz und Erfolgsrechnung Geschäftsbücher Buchungsbelege Geschäftskorrespondenz Schriftlich und unterzeichnet X Schriftlich, elektronisch oder in vergleichbarer Form X X X 8

Geschäftskorrespondenz Alle mit Dritten ausgetauschten Unterlagen, welche Aufschluss über den Abschluss und die Abwicklung von Rechtsgeschäften geben (Verträge, ein- und ausgehende Briefe, Statuten, Korrespondenz mit Steuerbehörden, etc.). [Berner Kommentar, Käfer, Art. 962 N 49a] 9

Geschäftskorrespondenz und Buchungsbelege Geschäftskorrespondenz Buchungsbelege ein- und ausgehende Brief e Verträge Telegramme, Fax, E-M ails Statuten und Gesellschaftsverträge Prozessakt en, Gericht surt eile, V ergleiche Dokumente aus A rbeitsverhältnissen, Dokumente aus W erkverträgen, Dokumente aus dem Verkehr mit Behörden (Steuer und Sozialv ersicherungen) Bank- und Post belege Kont o- Depot auszüge Lief erscheine Lohnabrechnungen Daten mit Belegcharakter Rechnungen und Quit t ungen Spesenabrechungen buchungsrelevant 10

Archivierung aus Gründen der Beweissicherung Wann müssen zusätzliche Dokumente archiviert werden? Wann müssen Dokumente länger als nach Art. 957 ff. OR archiviert werden? Wann sollen Dokumente zusätzlich in Papierform aufbewahrt werden? 11

Beweiskraft elektronischer Dokumente Elektronisch geführte und aufbewahrte Dokumente haben die selbe Beweiskraft wie Papierdokumente, wenn die Voraussetzungen der Geschäftsbücherverordnung (GeBüV) erfüllt sind. 12

Organisation (Art. 7 GeBüV) Die archivierten Daten müssen von den aktuellen Informationen getrennt und systematisch archiviert werden. Die Zuständigkeit für die archivierten Daten ist genau festzulegen. Zugriffe und Zutritte sind aufzuzeichnen Zugriff innert nützlicher Frist muss möglich sein! 13

Integrität (Art. 3 GeBüV) Die Bücher müssen so geführt und aufbewahrt werden, dass sie nicht geändert werden können, ohne dass sich dies feststellen lässt. Es wird keine absolute Unabänderbarkeit verlangt! 14

Dokumentationspflichten (Art. 4 GeBüV) Umfangreiche Dokumentationspflichten stellen sicher, dass die Geschäftsbücher, Buchungsbelege und die Geschäftskorrespondenz während der gesamten Aufbewahrungsdauer verstanden werden können. Die Dokumentationen sind aktuell zu halten und müssen gleich lang aufbewahrt werden, wie die Geschäftsbücher. 15

Verfügbarkeit (Art. 6 GeBüV) Die aufbewahrten Dokumente müssen innerhalb einer angemessenen Frist von berechtigten Personen eingesehen und überprüft werden können. Personal, Geräte und Hilfsmittel sind während der gesamten Aufbewahrungsdauer zur Verfügung zu halten! Die Dokumente müssen auch in Papierform vorgelegt werden können. 16

Überprüfung und Migration (Art. 10 GeBüV) Die archivierten Dokumente müssen regelmässig auf ihre Lesbarkeit überprüft werden. Die Migration auf andere Formate oder andere Datenträger ist zulässig, muss aber protokolliert werden. Die Protokolle sind aufzubewahren! 17

Archivierung ist Chefsache! Verstoss gegen die Grundsätze der ordnungsgemässen Buchführung bzw. ordnungswidrige Führung der Geschäftsbücher erfüllt unter anderem die Tatbestände der Artikel 166 und/oder 325 StGB. Evtl. Verlust von Forderungen mangels gültiger Beweise Verantwortlich ist in erster Linie die Geschäftsleitung 18

Fazit Die gesetzlichen Vorschriften (Art. 957 ff OR und GeBüV) sind technologieneutral formuliert. Die Identifikation der aufzubewahrenden Dokumente ist eine Daueraufgabe, welche das betroffene Unternehmen wahrzunehmen hat. Die elektronische Archivierung von Geschäftsdokumenten ist kein reines IT-Projekt! 19

Was ist Datenschutz? Kein Schutz der Daten... sondern Schutz der Personen, über die Daten bearbeitet werden. Datenschutz ist Persönlichkeitsschutz! 20

Rechtsgrundlagen Datenschutzgesetz Bund (seit 1993) Datenbearbeitung durch - Bundesbehörde - Private - Teilrevision Anfang 2008 Kantonale Datenschutzgesetzgebungen Datenbearbeitung durch - kantonale und - kommunale Behörden 21

Revision des DSG Die Revision tritt am 1. Januar 2008 in Kraft. Sie bringt unter anderem die folgenden Neuerungen (Auszug): Informationspflichten bei der Erhebung von Personendaten Vereinfachung der Meldepflicht bei der Übermittlung von Daten ins Ausland Untersagung der Datenbearbeitung durch Private Förderung der Selbstregulierung 22

Personendaten (Art. 3 DSG) Personendaten: Alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen; Besonders schützenswerte Personendaten sind Daten über: - religiöse, weltanschauliche oder politische Haltung - Intimsphäre, Gesundheit, ethnische Zugehörigkeit - Massnahmen der Sozialhilfe - administrative und strafrechtliche Massnahmen und Sanktionen Persönlichkeitsprofile: Zusammenstellung von Daten, die eine Beurteilung wesentlicher Aspekte der natürlichen Person erlaubt. 23

Bearbeiten von Personendaten = jeder Umgang mit Personendaten Unabhängig von den angewendeten Mitteln und Verfahren Erheben, Beschaffen, Aufzeichnen, Sammeln, Verwenden, Umarbeiten, Bekanntgeben, Archivieren, Vernichten usw. 24

Rechtmässigkeit Verhältnismässigkeit 25 Zweckbindung Integrität Transparenz Verantwortung Datensicherheit Bearbeitungsprinzipien

Prinzip der Rechtmässigkeit Bearbeitung durch Private (Art. 12 ff. DSG) Ist grundsätzlich nicht zulässig, ausser es liegt ein Rechtfertigungsgrund (z.b. vertragliche Beziehungen oder Einwilligung) vor. Bearbeitung durch öffentliche Organe (Art. 16 ff. DSG) Personendaten dürfen nur bearbeitet werden, wenn eine gesetzliche Grundlage besteht. 26

Prinzip der Verhältnismässigkeit Bearbeitung nur soweit wie für Aufgabenerfüllung notwendig und geeignet Beschränkung auf das Notwendige und tatsächlich Erforderliche Nicht mehr benötigte Daten sind zu löschen oder zu archivieren 27

Prinzip der Zweckgebundenheit Verwendung der Daten nur zum vorgegebenen Zweck Bei Zweckänderung muss die Einwilligung der betroffenen Person eingeholt werden Keine Datensammlungen auf Vorrat 28

Prinzip der Integrität Daten müssen richtig (und vollständig) sein Dem Verwendungszweck entsprechend genügend genau, vollständig und nachgeführt Falsche Daten müssen berichtigt werden 29

Erheben von Personendaten Neu muss die Beschaffung von Personendaten für die betroffene Person erkennbar sein. Bei der Beschaffung von besonders schützenswerten Personendaten und Persönlichkeitsprofilen besteht neu eine Informationspflicht. 30

Datensicherheit IT-Sicherheit Schutz der Schutz der Schutz der Vertraulichkeit Integrität Verfügbarkeit eine bestimmte Information dem zuständigen Anwender Unversehrtheit und Korrektheit der Daten zur rechten Zeit am rechten Ort 31

Datensicherheit (Art. 7 DSG) Personendaten müssen durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten geschützt werden. Organisatorische Massnahmen: Abschliessen von Schränken und Räumen, der Erlass von Weisungen und Richtlinien, die Schulung von Mitarbeitern etc. Technische Massnahmen: Gebrauch von Passwörtern, Virenschutzsoftware, Firewall, Zugriffsberechtigungen, Verschlüsselungstechnologien etc. 32

Datenschutzfreundliche IT-Systeme Bereits bei der Gestaltung des Systems soll darauf geachtet werden, dass das System nicht mehr kann, als es können darf! Nur diejenigen Personendaten werden bearbeitet, die für den verfolgten Zweck erforderlich und geeignet sind. Die Personendaten werden nur zu dem definierten Zweck bearbeitet, eine zweckfremde Bearbeitung sollte bereits durch das System verunmöglicht werden. Die Sicherheit der Daten wird durch das System garantiert. 33

E-Invoicing Wird ein Papierbeleg eingescannt, dann muss dieser auch in Papierform übermittelt werden - es handelt sich somit um die klassische Rechnungstellung mit elektronischer Archivierung des Belegs. Im Rahmen von E-Invoicing erfolgt die Rechnungstellung ohne Medienbruch - der Beleg wird elektronisch erstellt, übermittelt, empfangen und archiviert. 34

Gesetzliche Grundlagen Mehrwertsteuergesetz (Art. 58 und 90 Abs. 2 lit. h MWSTG) Art. 957 ff OR (Kaufmännische Buchführung) Geschäftsbücherverordnung (GeBüV) Mehrwertsteuerverordnung (Art. 43, 44, 45 MWSTGV) Verordnung des EFD über elektronische Daten und Informationen (ElDI-V) vom 30. Januar 2002 (Stand 1. November 2007) 35

Anforderungen Unternehmen dürfen ihre Bücher, Buchungsbelege und die Geschäftskorrespondenz auch elektronisch führen und aufbewahren, wenn sie die Anforderungen der Geschäftsbücherverordnung (GeBüV) erfüllen. Die Betriebsrechnung und die Bilanz müssen weiterhin schriftlich und unterzeichnet im Original aufbewahrt werden. Rechnungsbelege, welche elektronisch erstellt und elektronisch übermittelt und empfangen werden, berechtigen zum Vorsteuerabzug, wenn die Voraussetzungen der Verordnung des EFD über elektronisch übermittelte Daten und Informationen (ElDI-V) erfüllt werden. 36

Der elektronische Beleg in der Mehrwertsteuer Das ESTV akzeptiert im Bereich MWST elektronische Belege, die für den Vorsteuerabzug, die Steuererhebung oder den Steuerbezug relevant sind: Eingescannte Papierbelege, wenn die Voraussetzungen der GeBüV erfüllt sind Elektronische Ursprungsbelege, wenn die Voraussetzungen der ElDI-V erfüllt sind 37

Neue Bestimmung in der ElDI-V Signatur der Rechnung gemäss ZertEs vom 2003 Pflicht zur Verfahrensdokumentation gemäss GeBüV vom 2004 38

Beweiskraft (Art. 43 MWSTGV) Der elektronische Beleg, der im Rahmen des E-Invoicings erstellt wird, hat die selbe Beweiskraft wie ein Beleg, der ohne Hilfsmittel lesbar ist, wenn die folgenden Voraussetzungen erfüllt sind: Nachweis des Ursprungs Nachweis der Integrität Nichtabstreitbarkeit von Versand und Empfang 39

ElDI-V vom 30.Januar 2002 (Stand 1. November 2007) Die ElDI-V legt fest, welche Voraussetzungen im Bereich E-Invoicing erfüllt sein müssen, damit ihnen die Eidg. Steuerverwaltung anlässlich von Kontrollen dieselbe Beweiskraft zuerkennt wie Papierbelegen. Eine absolute Verhinderung von Manipulationen ist weder bei Papierbelegen noch bei elektronischen Belegen möglich! 40

Anwendungsbereich der ElDI-V Daten, welche elektronisch übermittelt und aufbewahrt werden (Kreditoren) sowie Daten, die der Steuerpflichtige selbst elektronisch erstellt hat und elektronisch übermittelt und aufbewahrt (Kopien der Debitorenrechnungen) werden. Die ElDI-V ist nicht anwendbar auf eingescannte Papierbelege! 41

Beweiskraft Übermittlung und Aufbewahrung muss mittels digitaler Signatur abgesichert sein. Zertifikat eines anerkannten Anbieters von Zertifizierungsdiensten, das im Zeitpunkt der Signaturerstellung gültig sein muss. Verifizierung der Daten vor ihrer Verwendung und Dokumentation des Ergebnisses Aufbewahrung des öffentlichen Schlüssels und Verwendung sicherer Signaturen Aufbewahrung des Schlüssels zur Entschlüsselung bei Verwendung von Kryptographie 42

Datensicherung (Art. 4 ElDI-V) Eine nachträgliche Bearbeitung muss feststellbar sein! Periodische Datensicherung mit Sicherungskopien Zugriffs- und Zugangskontrollen Periodisches Umkopieren auf neue Datenträger Periodische Konvertierung oder Migration Emulation, d.h. künstliches Nachbauen von Lesegeräten damit das alte Format lesbar ist Speicherung der Daten in standardisiertem Format Systematische Verzeichnisse Aufbewahrung in gesicherten Räumen 43

Prüfbarkeit (Art. 5 ElDI-V) Eine Verfahrensdokumentation für das Datenverarbeitungssystem muss sicherstellen, dass ein buchhaltungskundiger Dritter die Funktionsweise des Systems ohne zusätzliche Abklärungen innert angemessener Frist versteht. Auch bei fremderworbener Software liegt die Verantwortung für deren Vollständigkeit und Informationsgehalt beim Steuerpflichtigen! 44

Wiedergabe (Art. 6 ElDI-V) Die Daten und die zum Verständnis erforderlichen Arbeitsanweisungen müssen ohne unzumutbare zeitliche Verzögerung lesbar gemacht werden können. Der Inhalt der Wiedergabe muss mit den gespeicherten Daten übereinstimmen. 45

Zugriff durch die Steuerverwaltung (Art. 7 ElDI-V) Die Steuerverwaltung hat die Möglichkeit der Prüfung vor Ort oder in den eigenen Räumen (Datenträger oder Online-Zugriff). Beschränkung der Einsichtnahme auf die relevanten Daten Das Risiko der Datenveränderung und die Kosten trägt der Steuerpflichtige. 46

Prüfpfad (Art. 8 ElDI-V) Überprüfung zwischen Beleg - Buchhaltung - MWST-Abrechnung und umgekehrt ist sicherzustellen. In einem Transaktionsjournal müssen die Geschäftsvorfälle chronologisch erfasst werden - nur der Prüfpfad, nicht jedoch der gesamte Inhalt muss festgehalten werden! 47

Outsourcing (Art. 9 ElDI-V) Outsourcing wie z.b. Rechnungsstellung durch Dritte ist zulässig. Der Rechnungsteller muss vertraglich zur Daten- weiterleitung ermächtigt werden. Werden die Daten vor der Weiterleitung verarbeitet, dann muss dies nachträglich feststellbar sein. Das Risiko und die Verantwortung bleibt beim Steuerpflichtigen. 48

Aufbewahrung (Art. 10 ElDI-V) Im Bereich E-Invoicing müssen die Daten elektronisch archiviert werden, eine Archivierung nur in Papierform ist nicht zulässig! Aufbewahrung im Ausland ist nur zulässig, wenn der Zugriff, die Lesbarmachung und die Auswertung der Daten jederzeit gewährleistet ist! 49

Ihr Partner für umfassende Informatik-Lösungen

Ich danke für Ihre Aufmerksamkeit HINWEISE AUF PUBLIKATIONEN www.dieadvokatur.ch www.itandlaw.ch WEITERBILDUNGSMÖGLICHKEITEN AUCH IT-RECHT www.hslu.ch Ursula Sury, Rechtsanwältin Prof. an der HSLU-W DIE ADVOKATUR SURY Luzern und Zug