Das papierlose Büro kommt einen Schritt näher.
Elektronische Rechnungen sind seit Mitte 2011 der klassischen Papierrechnung formal gleichgestellt.
Allerdings nicht nur im Bereich der Gültigkeit, sondern auch, was Aufbewahrungsfristen angeht. Und auch schon für klassische Rechnungen in gedruckter Form gelten bei der steuerlichen Berücksichtigung mehrere Vorschriften parallel.
So ist im gewerblichen Bereich zuerst einmal zu berücksichtigen, was das Handelsgesetzbuch (HGB) regelt:
- Rechnungen müssen im Original dem Empfänger vorgelegt werden.
- Die Zustellung muss zu Lasten des Absenders erfolgen
- Den Nachweis des Zugang muss der Absender führen.
Allein diese drei Forderungen konnten und können im Bereich der elektronischen Rechnung kaum erfüllt werden. Der letzte Punkt zum Beispiel ist beim Versand von eMails nicht zu führen. Der Absender erhält systembedingt nur den Hinweis, dass eine Mail erfolgreich an einen anderen Mailserver zugestellt wurde. Den verbindlichen Zugang in den Verfügungsbereich des Empfängers kann der Absender also nicht immer und automatisiert erbringen. (Anmerkung: Auch im Bereich der klassischen Post kann der Absender das im Grunde nicht nachweisen. Hier wird aber aufgrund der geschichtlichen Situation mit der Bundespost von einer gesicherten Zustellung bei Gericht ausgegangen, wenn der Absender ein durchgehendes Postausgangsbuch führt.)
Die Zustellung erfolgt auch nicht wirklich zu Lasten des Absenders, da der Empfänger ja die entsprechende Empfangsinfrastruktur aufbauen muss. Und ob die Rechnung im Original vorliegt, ist durchaus auch zweischneidig.
Daneben gelten seit Mitte 2011 nun die Änderungen der Finanzverwaltung. Die Finanzverwaltungen akzeptieren seitdem auch selbst ausgedruckte Rechnungen, die aber zusätzlich als elektronisches Dokument vorlegbar sein müssen. Das sagt nun zweierlei aus: Einmal unterliegen diese elektronischen Rechnungen der vorgeschriebenen Aufbewahrungsfrist von 10 Jahren ab Ablauf des Rechnungsjahres. Und sie müssen im elektronischen Original vorliegen.
Klingt doch gut, nur was ist das Original? Graben wir mal etwas tiefer.
Formal muss eigentlich die eMail im Postfach es Servers angesehen werden. Denn dies ist das elektronische Postfach, an dem das Dokument in den Verfügungsbereich des Empfängers gelangt. Im Grunde müsste also an dieser Stelle eine 1:1-Kopie des Ordners auf dem Server angefertigt werden, die 10 Jahre aufbewahrt wird.
An dem Punkt war es früher kompliziert. Nein. Sogar widersprüchlich.
Wir haben nämlich in Deutschland bald/vielleicht/irgendwann die Möglichkeit per deMail unsere Dokumente verbindlich und per Kryptografie verschlüsselt auszutauschen. Basis ist unter anderem das Signaturgesetz bei dem festgelegt wurde, wie das passiert. Ein zentraler Aspekt dabei ist ein kryptografischer Schlüssel für die an einer solchen Kommunikation teilnehmenden Person. Dieser Schlüssel gilt 5 Jahre. 5 Jahre? Okay, das ist eine lange Zeit für einen kryptografischen Schlüssel. Aber ein zu kurzer für die vorgeschriebene Aufbewahrungsfrist von 10 Jahren.
Kombinieren wir zuerst einmal die Sachverhalte.
- Fakt 1: Nur das als Original im Server abgelegte und auf das Archivmedium abgelegte Dokument ist das Original.
- Fakt 2: Dieses Original ist mit einem fünf Jahre lang geltenden Schlüssel verschlüsselt und nur damit lesbar.
- Fakt 3: Das Original muss 10 Jahre aufbewahrt werden und 10 Jahre lesbar sein.
Schlussfolgerung: Das System kann ohne Anpassung gar nicht funktionieren. Denn der im sechsten Jahr ungültige Schlüssel kann das Dokument nicht mehr entschlüsseln.
Hierfür gibt es im Signaturgesetz eine Möglichkeit. Man kann das für den ungültig werdenden Schlüssel verschlüsselte Dokument kurz vor Ablauf entschlüsseln und dann mit einem neuen Schlüssel erneut verschlüsseln. Wenn dies in einem besonders gesicherten Verfahren über einen zertifizierten Dienstleister erfolgt, gilt das dann entstehende Dokument als Original.
Das Problem dabei: Dieses Verfahren muss in der gesetzlichen Aufbewahrungspflicht zweimal durchgeführt werden. Die Verwaltung der Schlüsselgültigkeiten und die dann notwendigen “Umschlüsselungen” stellen eine echte Herausforderung für ein elektronisches Archiv dar.
Was ebenfalls zu klären ist: Was passiert beim Ausscheiden eines Mitarbeiters, für dessen Schlüssel das Dokument verschlüsselt wurde? Der Schlüssel selbst ist personenbezogen und gehört dem Mitarbeiter. Das Dokument gehört aber zur Firma. Also muss bei Ausscheiden eines Mitarbeiters ebenfalls eine solche Umschlüsselung erfolgen.
An dem Punkt hat offenbar heimlich und leise die Lobby großer Unternehmen angefangen auf die Entscheider einzutrommeln. Denn gerade für große Konzerne lässt sich so eine Infrastruktur kaum aufbauen, ohne exorbitante Kosten zu verursachen. Die damit eigentlich angestrebte Kostenreduzierung bei Porto und Versand würde mit Sicherheit um ein Vielfaches aufgefressen.
Also ist es durchaus sinnvoll, den Verzicht auf die elektronische Signatur festzuschreiben.
Eine Bewertung, ob mit dieser Änderung die Anforderungen des HGB erfüllt sind, wird sich erst in der Zukunft zeigen. Und das HGB bildet die Grundlage für die Buchführungsvorschriften bilanzierungspflichtiger Unternehmen.
Jetzt aber weiter im Thema “Papierloses Büro (light)”.
Richten wir den Blick einmal auf das, was dann heute machbar ist. Der Versand einer Rechnung als PDF-Anhang entspricht den obigen Anforderungen der Finanzverwaltung im Grunde.
Einzige Voraussetzung: Das PDF-Dokument muss beim Empfänger auch in der zehnjährigen Aufbewahrungsfrist aus einem Backup gefischt und lesbar gemacht werden können. Das bedeutet: Der Anwender muss ein Archiv/Backup für diesen Zeitraum sicherstellen können, um der Aufbewahrungspflicht nachzukommen.
Hierzu gibt es seit mehreren Jahren Regeln, die beim Umgang mit einer solchen Ablage gelten müssen, damit sie revisionssicher wird:
- Die Aufbewahrung muss den gesetzlichen Regeln und den organisatorischen Anforderungen des Unternehmens genügen.
- Die Archivierung muss vollständig sein.
- Die Archivierung muss zum frühestmöglichen Zeitpunkt stattfinden.
- Das archivierte Dokument muss dem Original entsprechen und muss unverändert sein.
- Das archivierte Dokument darf nur von berechtigten Personen eingesehen werden.
- Es muss in angemessener Zeit gefunden und reproduziert werden können.
- Ein Dokument darf frühestens nach Ablauf geltender Fristen aus dem Archiv gelöscht werden.
- Änderungen im Archiv müssen für Audits nachvollziehbar protokolliert werden.
- Abläufe und technische Verfahren können von Dritten geprüft werden.
Dies alles muss also im Grunde für jedes Archiv/Backup gelten, damit es dem immer wieder geforderten Stand der Technik entspricht.
Geht das nicht auch anders? Bieten nicht externe Dienstleister hier Möglichkeiten?
Bestimmt bieten sie das für den Ersteller von elektronischen Rechnungen. Bis hin zum Backup. Aber entspricht das den Anforderungen des Bundesdatenschutzgesetzes? Im Grunde ist das eine automatischen Auftragsdatenverarbeitung. Wenn ich so einen Dienstleister nutze, muss ich mich nach Maßgabe des Gesetzes regelmäßig davon überzeugen, dass der Auftragnehmer alles dem Rahmen entsprechend abwickelt. Die Frage muss also lauten: Kann ich beim Anbieter wirklich im Rechenzentrum den physikalischen Zutrittsschutz überprüfen? Und die Notfallmaßnahmen bei Abhandenkommen von Daten?
Als Empfänger solcher Dokumente habe ich formal keine andere Möglichkeit als das oben beschriebene Verfahren in Gang zu setzen.
Wie so oft wird auch hier die gelebte Rechtsprechung in den nächsten Jahren zeigen, wie sich Theorie und Praxis unterscheiden. Die Tatsache, dass Finanzbehörden schon jetzt davon sprechen, dass eine problembehaftete Datei nicht zum Verlust des Vorsteuerabzugs führt, spricht eigentlich eine deutliche Sprache. Aber verlassen würde ich mich zu diesem Zeitpunkt darauf nicht!