GoBD – was hat sich geändert?

GRC@SAVISCON: Compliance-Management

von Karin Selzer, Consultant Compliance und Datenschutz bei der SAVISCON GmbH

Nachdem wir in unserem letzten Blog-Beitrag „GRC@SAVISCON: IT-Sicherheit“ der Reihe über unsere Schritte nach der Schutzbedarfsanalyse berichtet haben, soll es heute um Compliance gehen. Ein kurzer Rückblick: Wir als SAVISCON GmbH haben uns dazu entschieden unser Governance, Risk- und Compliance-Management (GRC-Management) mit unserer eigenen GRC-Software (GRC-COCKPIT) strukturiert und digital abzubilden. Dazu haben wir das Programm GRC@SAVISCON mit den drei Projekten Risiko-Management, IT-Sicherheit sowie Compliance- und Datenschutz-Management aufgesetzt. Lesen Sie hier unseren vollständigen initialen Blog-Beitrag. Aber jetzt zurück zum Thema: Compliance.

In meinem letzten Compliance-Blog-Beitrag habe ich über die Vorschrift GoBD geschrieben (GoBD = „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“) und dass sie zuletzt mit dem Stand von November 2019 zum 01.01.2020 aktualisiert wurde. Im GRC-COCKPIT hatten wir die GoBD als Norm bereits hinterlegt, haben jetzt aber festgestellt, dass wir die Aktualisierung der Norm noch durchführen müssen. Um welche Änderungen es sich genau handelt, will ich nun näher ausführen.

Am grundsätzlichen Aufbau der GoBD und der Nummerierung hat sich nicht viel verändert, aber es gibt einige Anpassungen, die aufgrund technischer Entwicklungen und zunehmender Digitalisierung längst überfällig waren. Hier ein paar Beispiele:

Verwendung von Cloudtechnologien

Im Kapitel 1.11 Datenverarbeitungssystem wurde unter Punkt 20 ergänzt, dass die Nutzung von Cloudsystemen ebenso möglich ist. Das Datenverarbeitungs- und Ablagesystem kann auch aus einer Kombination von eigener Hard- bzw. Software und einem Cloudsystem betrieben werden. Wichtiger Hinweis: Befindet sich der Cloud-Server im Ausland, ist eine Genehmigung zur Aufbewahrung der Buchführungsunterlagen im Ausland gem. § 146 Abs. 2 AO erforderlich.

Auszug aus der GoBD Stand 01.01.2015 (alt): Auszug aus der GoBD Stand 01.01.2020 (neu):

Digitalisierung von Belegen

Im Kapitel 9.2 Elektronische Aufbewahrung ist unter Punkt 130 beschrieben, dass Handels- oder Geschäftsbriefe sowie Buchungsbelege in Papierform empfangen und danach elektronisch erfasst (gescannt) werden dürfen. Durch die Aktualisierung wird nun klargestellt, dass auch das mobile Scannen bzw. Abfotografieren mittels Smartphone erlaubt ist. Dies gilt sowohl im In- als auch im Ausland und stellt gerade bei Reisekostenabrechnungen eine erhebliche Erleichterung dar. Das elektronische Dokument muss selbstverständlich weiterhin bildlich mit dem Original übereinstimmen.

Auszug aus der GoBD Stand 01.01.2015 (alt): Auszug aus der GoBD Stand 01.01.2020 (neu):

Umwandlung (Konvertierung) und Aufbewahrung von Belegen

Ebenfalls im Kapitel 9.2 Elektronische Aufbewahrung ist unter Punkt 135 eine weitere Erleichterung zu finden, und zwar ist es zukünftig ausreichend die konvertierte Fassung aufzubewahren, wenn bestimmte Voraussetzungen erfüllt sind (s. nachfolgenden Auszug). Die Ursprungsversion kann dann vernichtet werden.

Auszug aus der GoBD Stand 01.01.2015 (alt): Auszug aus der GoBD Stand 01.01.2020 (neu):

Verfahrensdokumentation

Für jedes buchführungsrelevante IT-System muss eine Verfahrensdokumentation geführt werden (Kapitel 10.1 Verfahrensdokumentation Punkt 154). Bislang war vorgeschrieben, bei Änderungen immer eine neue Version zu erstellen. Dies wurde nun vereinfacht: es reicht zukünftig aus, wenn die Änderungen versioniert sind und eine nachvollziehbare Änderungshistorie vorgehalten wird.

Auszug aus der GoBD Stand 01.01.2015 (alt): Auszug aus der GoBD Stand 01.01.2020 (neu):

Aber es gibt nicht nur Erleichterungen, die die aktualisierte GoBD mit sich bringt. Hier zum Beispiel auch eine verschärfende Anpassung:

Zeitgerechte Buchungen

Bisher wurde eine tägliche Erfassung von Kasseneinnahmen und Kassenausgaben empfohlen, nun ist die tägliche Erfassung verbindlich vorgeschrieben (Kapitel 3.2.3 Zeitgerechte Buchungen und Aufzeichnungen Punkt 48):

Auszug aus der GoBD Stand 01.01.2015 (alt): Auszug aus der GoBD Stand 01.01.2020 (neu):

Weiterentwicklung GRC-COCKPIT

Es ist wichtig bei Neuerungen eines Gesetzes oder einer Vorschrift die Neuerungen zu (er)kennen, einen eventuellen Änderungsbedarf festzustellen, die eigenen Prozesse dahingehend zu prüfen, und daraus passende Maßnahmen / Anpassungen zu ergreifen, wenn notwendig. Um unsere Kunden hierbei mit unserem GRC-COCKPIT unterstützen zu können, entwickeln wir das System kontinuierlich weiter. Bislang ist der Aktualisierungsservice nur für gängige Gesetze (die im Internet abrufbar sind) möglich, doch unsere Entwicklungsabteilung ist gerade dabei, die Funktion technisch zu erweitern. So soll es zukünftig möglich sein, anhand von zwei PDF-Dateien individuell einen Abgleich zu starten, der textliche Änderungen/Ergänzungen hervorbringt. So können auch diverse Vorschriften, wie z. B. eine Neufassung der GoBD über den Aktualisierungsservice aktualisiert werden.
Die Änderungen werden im System in der entsprechenden Norm kenntlich gemacht und es soll ebenso ein Hinweis an den Anwender erfolgen, dass sich etwas geändert hat, ein sogenannter Alert. Bei bestehendem Handlungsbedarf können dann gleich im System Maßnahmen angepasst oder neue Maßnahmen abgeleitet werden.

GoBD in der Praxis

Da wir nun Klarheit haben, welche Änderungen die aktualisierte Version der GoBD beinhaltet, ist die praktische Umsetzung intern in vollem Gange. Wir prüfen unsere Prozesse, führen bei Bedarf Anpassungen durch und ergreifen ggf. neue Maßnahmen. Zum Beispiel haben wir die E-Mail-Archivierung vollständig umgesetzt. Warum ist das wichtig?

Wie in meinem letzten Blog „Zu klein für Compliance?“ bereits ausführlich berichtet, nimmt der Versand von elektronischen Rechnungen und aufbewahrungspflichtigen Handelsbriefen per E-Mail immer mehr zu. Hier ist die GoBD-konforme Aufbewahrung zu beachten und die E-Mail-Archivierung ist unumgänglich. Demnach muss beispielsweise die Buchhaltung E-Mails mit steuerrelevanten Dokumenten elektronisch aufbewahren. Es ist aber nicht ausreichend, die E-Mails einfach im Mailprogramm (ggf. in Unterordner) aufzubewahren. Denn dort sind Grundsätze der GoBD (z. B. Unveränderbarkeit, die zuverlässige Protokollierung von Änderungen und die Indexierung) nicht gewährleistet. Es ist aber auch nicht zwingend notwendig, alle E-Mails zu archivieren. E-Mail-Korrespondenz, die keiner Aufbewahrungspflicht unterliegt und auch keine steuerrelevanten Daten beinhaltet muss nicht archiviert werden.

Wir haben uns im ersten Schritt für eine E-Mail-Archivierung über unseren Hosting-Anbieter entschieden. Uns war wichtig, dass die Sicherung in deutschen Rechenzentren und natürlich GoBD-konform stattfindet. Aufgrund unserer noch überschaubaren Firmengröße ist die Entscheidung erstmal gegen ein professionelles Dokumentenmanagement-System (DMS) gefallen. Aber was nicht ist, kann ja noch werden. Zu einem späteren Zeitpunkt ist ein DMS für uns auf jeden Fall ein nächster Schritt. Durch unsere aktuelle Archivierungslösung sind jedenfalls die maschinelle Auswertbarkeit, die Volltextrecherche und die Unveränderbarkeit gewährleistet.

Wie sieht es bei Ihnen aus? Sind Sie in Ihrem Unternehmen GoBD-konform oder sind noch Anpassungen notwendig?

…to be continued:

Hier die Zusammenfassung unserer neuen Erkenntnisse:

  • Änderungen in Gesetzen und Vorschriften immer im Auge behalten
  • Änderungsbedarf ist immer individuell für jedes Unternehmen zu betrachten
  • Maßnahmen sind ebenso individuell (je nach Risikobetrachtung) verhältnismäßig umzusetzen
  • Klein anfangen (E-Mail-Archivierung über Hosting-Anbieter) und nach und nach optimieren/ausbauen (eigenes DMS)
  • Compliance ist kein Projekt mit einem festen Ende – Compliance ist ein dauerhafter Prozess, der gelebt werden muss

Im nächsten Blog-Beitrag schauen wir wieder gemeinsam in das Projekt Datenschutz: Verzeichnis von Verarbeitungstätigkeiten aufbauen.

Über die Autorin:

Porträtfoto Karin Selzer

Karin Selzer (Consultant Compliance & Datenschutz) im Büro der SAVISCON GmbH.

Karin Selzer ist Consultant für Compliance & Datenschutz und interne Datenschutzbeauftragte bei der SAVISCON GmbH. Seit Januar 2021 kümmert sie sich um maßgebliche Richtlinien und die Umsetzung aller relevanten Themen rund um Compliance und Datenschutz. Zusätzlich steht sie unseren GRC-COCKPIT Kunden und Interessenten mit Rat und Tat zur Seite. Kontakt: 040 80 90 81 446 oder karin.selzer@saviscon.de

GRC@SAVISCON: IT-Sicherheit

Schutzbedarfsfeststellung – und jetzt?

von Ingo Simon, Geschäftsführer bei der SAVISCON GmbH

Im letzten Beitrag aus unserer Reihe GRC@SAVISCON hat Uwe Straßberger über Risikobewertungen geschrieben. Jetzt geht‘s wieder um die IT-Sicherheit. Ein kurzer Rückblick: Wir als SAVISCON GmbH haben uns dazu entschieden unser Governance, Risk- und Compliance-Management (GRC-Management) mit unserer eigenen GRC-Software (GRC-COCKPIT) strukturiert und digital abzubilden. Dazu haben wir das Programm GRC@SAVISCON mit den drei Projekten Risiko-Management, IT-Sicherheit sowie Compliance– und Datenschutz-Management aufgesetzt. Lesen Sie hier unseren vollständigen initialen Blog-Beitrag. Aber jetzt zurück zum Thema: IT-Sicherheit.

IT-Sicherheit: Sprint oder Marathon?

In unserem letzten Beitrag zum Thema IT-Sicherheit haben wir bereits beschrieben, wie wir unsere Assets gesammelt und in eine grobe Struktur gebracht haben. Inzwischen konnten wir unsere IT-Landschaft inklusive aller gehosteten Systeme ins GRC-COCKPIT aufnehmen und dokumentieren. Bis wir eine für uns handhabbare Struktur gefunden und die einzelnen Assets in diese Struktur einsortiert haben, hat es allerdings ein wenig gedauert. Die Diskussionen dazu waren nicht immer einfach – jeder hat seine individuelle Sicht auf die Dinge und sortiert bzw. verknüpft die Assets im Kopf anders. Wir haben nun eine Asset-Sicht, mit der wir erst einmal arbeiten wollen und die gut in unserem GRC-COCKPIT zu visualisieren ist. Wieder einmal haben wir festgestellt: IT-Sicherheit ist ein Prozess, der sich auf dem Weg weiterentwickelt. Also definitiv ein Marathon und kein Sprint.

Schutzbedarfsanalyse nach BSI

Auf der Basis unserer Asset-Struktur haben wir dann den Schutzbedarf der einzelnen Assets analysiert und dokumentiert. Dazu orientierten wir uns an den drei Standard-Grundwerten des Bundesamts für Sicherheit in der Informationstechnik (BSI): Vertraulichkeit, Integrität und Verfügbarkeit. Im GRC-COCKPIT können noch weitere Grundwerte selbst konfiguriert werden, aber wir haben uns erst einmal auf diese drei beschränkt. Eine Herausforderung liegt darin, den Schutzbedarf nicht nur aus dem Bauch heraus mit „normal“, „hoch“ oder „sehr hoch“ zu kategorisieren, sondern auch eine sinnvolle Begründung zu ergänzen, die die Auswahl der eingetragenen Kategorie rechtfertigt bzw. erläutert.

Beispiel Schutzbedarfsfeststellung

Am Beispiel der Fritz!Box im Büro kann man das gut erläutern: Für den Grundwert Verfügbarkeit trugen wir zu Beginn ein „sehr hoch“ ein. Schließlich braucht man ja im Office ein funktionierendes LAN/WLAN. Aber dann fiel uns auf, dass bei einem Ausfall eigentlich immer mit einem mobilen Gerät, also Handy oder Tablet, ein Backup zur Verfügung steht, mit dem ich in LTE-Geschwindigkeit auch mobil die Verbindung nach außen habe. Damit reicht für die Fritz!Box auch eine Verfügbarkeit „hoch“ oder sogar „normal“, weil die MitarbeiterInnen ohnehin derzeit im Homeoffice arbeiten. Zumindest hier im Hamburger Stadtgebiet. Auf dem Land sieht das möglicherweise ganz anders aus und die Standleitung ist da tatsächlich der heiße Draht zur Außenwelt.

Screenshot aus dem GRC-COCKPIT

Blick ins GRC-COCKPIT: So haben wir die Schutzbedarfsfeststellung für unseren FRITZ!Box Router im Büro umgesetzt.

Ach ja, Stichwort Homeoffice: Das muss natürlich bei der Schutzbedarfsanalyse mit einbezogen werden. Wir haben das unter den Standorten miterfasst und die Ausrüstung ist auch jeweils abgebildet, da bei uns jeder seinen eigenen Laptop hat, mit dem er oder sie auch im Homeoffice arbeitet.

Schutzbedarf festgestellt – und jetzt?

Was passiert als nächstes? Wir weichen da in der Reihenfolge ein wenig von der Vorgehensweise des BSI ab. In der aus unserer Sicht großartigen Arbeitshilfe des BSI, in dem am Beispiel der virtuellen RECPLAST GmbH die IT-Grundschutz Methodik von Anfang bis Ende durchgeführt wird, folgt nach der Schutzbedarfsfeststellung die sogenannte Modellierung des Unternehmens. Dort wird auf Basis der dokumentierten Assets geschaut, welche Anforderungen, aus welchen der zehn IT-Grundschutzbausteinen für das Unternehmen überhaupt zutreffen. Das ist notwendig, um dann schlank weiter in die Risikoanalyse zu gehen.

Wir haben uns entschieden, einen anderen Schritt vorzuziehen: Für alle Assets mit der Kategorie „sehr hoch“ in einem oder mehreren Grundwerten, dokumentieren wir erst einmal die Maßnahmen, die wir sowieso schon durchführen oder geplant haben, um entsprechend sicher unterwegs zu sein. So haben wir selbstverständlich das Standardpasswort der Fritz!Box bei Inbetriebnahme geändert. Die Durchführung der Maßnahme wollen wir im GRC-COCKPIT entsprechend dokumentieren. Denn in der Regel ist es ja so, dass schon eine Menge Maßnahmen etabliert sind, die man erst einmal einsammeln und aufschreiben muss. Das spart am Ende dann Arbeit.

…to be continued:

Hier die Zusammenfassung unserer Erkenntnisse:

  • Diskussionen sind wichtig: geben Sie ihnen Zeit und Raum, um eine zufriedenstellende Asset-Sicht auszuarbeiten
  • IT-Sicherheit ist ein Marathon und kein Sprint
  • Nicht immer ist der Schutzbedarf so hoch, wie man ihn im ersten Moment einschätzt
  • Die Arbeitshilfen des BSI sind großartig, jedoch nicht in Stein gemeißelt – man kann die Schritte flexibel den eigenen Bedürfnissen anpassen
  • Es kann sinnvoll sein die bereits bestehenden und geplanten Maßnahmen vorab zu sammeln

Im nächsten Blog-Beitrag schauen wir gemeinsam in das Projekt Compliance-Management: GoBD – was hat sich geändert?

Über den Autor:

Foto Ingo Simon

Ingo Simon (Geschäftsführer SAVISCON GmbH)

Ingo Simon ist Geschäftsführer der SAVISCON GmbH. Er hat das Unternehmen im Jahr 2010 gegründet und war bis 2018 größtenteils mit einigen Beratern in Kundenprojekten auf Basis von Dienstleistungsverträgen unterwegs. Ende 2018 übernahmen er die Software des heutigen GRC-COCKPITs und weitete das Geschäftsfeld von Corporate Communication und Enterprise Content Management auf das GRC-Management aus. Kontakt: 040 80 90 81 446 oder ingo.simon@saviscon.de

SAVISCON GmbH | Heegbarg 16 | 22391 Hamburg | Geschäftsführer: Ingo Simon, Marian Grzabel