Steuerberatung - Fragen GoBD - Audicon

Vorab die Bedingungen, die im Rahmen der GDPdU (von GoBD abgelöst), erforderlich sind:

  • Sichere Aufbewahrung
  • Vollständigkeit
  • Maschinelle Auswertbarkeit
  • Nachvollziehbarkeit
  • Verfahrensdokumentation
  • Aufbewahrungszeit von 10 Jahren

Aus einer Mail von einem Controller wurden folgende Fragen gestellt:

1. Export-Zertifikat nach GDPdU

a) Aussteller des Zertifikats

FRAGE: Bereits der Aussteller des Zertifikats wirft hier Zweifel auf. Das Zertifikat wurde seitens der Audicon GmbH erstellt. Die Firma Audicon GmbH vertreibt in Deutschland die Software „IDEA“ (https://audicon.net/software/idea-solutions/idea/). Dies ist die Software, die die Finanzverwaltung bei der digitalen Betriebsprüfung (GDPdU) zur Datenanalyse und -auswertung einsetzt. Somit wurde das Zertifikat von der Firma ausgestellt, die die Software vertreibt, die das Finanzamt zur Analyse der Kassendaten verwenden wird.

Das ist richtig. Die Firma Audicon bietet eine Software, die große Datenmengen analysiert, um diese auf Unregelmäßigkeiten zu prüfen. Diese Lösung wird u.a. von der Finanzverwaltung, Wirtschaftsprüfern und Steuerberatern eingesetzt. Mit diesem Zertifikat geben wir dem Kunden die Sicherheit, dass bei einer Betriebsprüfung der GDPdU-Export von einem Betriebsprüfer ausgelesen werden kann. Welches Zertifikat könnte besser geeignet sein, als das des Herstellers des Programmes mit dem die Finanzbehörde arbeitet? Dies stellt sicher, dass Gastronovi den geforderten GDPdU-Export im Sinne des BMF-Schreibens vom 14.November 2014 entspricht. Daher stellt das Zertifikat lediglich dar, dass Gastronovi im Rahmen der GDPdU in der Lage ist den gewünschten Export so zu leisten, wie es in den Vorschriften der Finanzverwaltung vorgesehen ist.

FRAGE: Die Firma Audicon ist dabei weder eine Steuerberatungsgesellschaft i. S. des Steuerberatungsgesetzes (StBerG), noch eine Wirtschaftsprüfungsgesellschaft i. S. der Wirtschaftsprüferordnung (WPO). Daher darf diese Gesellschaft berufsrechtlich bereits keine Hilfeleistung in Steuersachen i. S. d. §§ 1 und 2 StBerG erteilen.

Hier stellt sich die Frage, ob die genannten Institute besser bescheinigen können, dass der GDPdU-Export ausgelesen werden kann und wo da der Zusammenhang besteht? Diese Aussage erschließt sich mir nicht ganz.

b) Alter des Zertifikats

FRAGE: Das Zertifikat wurde bereits in 2014 ausgestellt. Wie Sie als Kassenhersteller selbst schreiben, wurden in den letzten Jahren einige Änderungen an den Anforderungen vorgenommen. Sind diese bereits berücksichtigt? Gibt es eine neuere Version des Zertifikats?

Da sich im Zuge der Ablösung der GDPdU durch die GoBD keine Änderung ergeben haben, bedurfte es Seitens der Exportfunktion für den GDPdU-Export keiner Neuerung und hat nach wie vor seinen Bestand.

c) Inhalt des Zertifikats

FRAGE: Auch in inhaltlicher Hinsicht sagt das Zertifikat unseres Erachtens nach nur aus, dass die Daten, die aus dem Kassensystem zwecks Prüfung durch das Finanzamt ausgelesen werden, dem entsprechen, was die Finanzbehörden als „empfohlenen Beschreibungsstandards“ bezeichnen. Damit ist unseres Erachtens nach nur die Datenstruktur gemeint. Somit war die Prüfungshandlung folglich nur, ein erfolgreicher Datenexport aus der Kasse sowie ein erfolgreicher Datenimport in die Prüfsoftware IDEA, die die Finanzverwaltung für die GDPdU-Prüfung einsetzt. Eine über diese Aussage hinausgehende Sicherheit sehen wir anhand des Zertifikates jedoch nicht.

Wie oben beschrieben ist das Zertifikat für die Gewährleistung des GDPdU-Exports gedacht. Im Zusammenhang mit der Sicherheit gehe ich weiter unten auf diesen Aspekt ein. Alle Informationen finden Sie nachstehend und in der Verfahrensdokumentation sowie unserem Sicherheitskonzept.

FRAGE: Das Institut der Wirtschaftsprüfer (IDW) hat für die Prüfungshandlungen bei der Prüfung von Softwareprodukten und der Erteilung von Bescheinigungen zu Softwareprodukten den Prüfungsstandard IDW PS 880 entwickelt. Liegt Ihnen, gastronovi, auch eine solche „Softwarebescheinigung nach IDW PS 880“ vor. Diese wird von einem unabhängigen Wirtschaftsprüfer geprüft und ausgestellt. Diese bietet zwar auch keine einhundertprozentige Sicherheit, da insoweit (lediglich) die ordnungsgemäße Funktion der Software bei „sachgerechter Anwendung“ (IDW PS 880, Tz. 16) bescheinigt wird.

In Deutschland gibt es keine offizielle Zertifizierung. Von Seiten der Finanzbehörden werden keine Positivtestate oder Softwarebescheinigungen, wie u.a. die IDW PS 880 eine ist, erteilt. Der Prüfungsstandard stellt eine Art Qualitätssiegel dar, ist jedoch keine rechtsverbindliche Prüfung (Bindungswirkung)(Gemäß §89 Abs. 2AO., Quelle: Theodor Böhm, Internes Kontrollsystem für die Personal- und Abrechnungspraxis: Ein Leitfaden mit Praxisbeispielen und Mustern unter Berücksichtigung der neuen GoBD, S.85f.).

Wir haben uns bewusst gegen eine Prüfung entschieden, da wir als Cloud System die Manipulationssicherheit und Datensicherheit implementiert haben.

Ergänzend sei erwähnt, dass wir in Frankreich die sehr umfangreiche Zertifizierung NF525 bestanden haben, die der IDW PS 880 ähneld. Die NF525 wird jedes Jahr durch ein Re-Audit neu vergeben und ist somit noch strikter als die IDW PS 880. Dies steht in Kürze wieder an. Ein entsprechendes Zertifikat (Nachweis) finden Sie im Anhang und unter folgendem Link:

2. Zertifizierung durch das Bundesamt für Sicherheit in der Informationstechnik (BSI)

FRAGE: Nach den geltenden Regelungen der Finanzverwaltung müssen Registrierkassen grundsätzlich ab dem 01.01.2020 über einen Schutzmechanismus in Form einer sog. „zertifizierten technischen Sicherheitseinrichtung (TSE)“ verfügen. Dies ist ein Zertifikat, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) ausstellt. Zwar hat die Finanzverwaltung die Einführung insoweit entschärft, dass es seitens der Finanzverwaltung nicht beanstandet wird, wenn das Zertifikat nicht vor Oktober 2020 vorliegt.

Wie wollen/werden Sie, gastronovi, mit den Erfordernissen umgehen? Und was gilt bei Altsystemen?

Datum der Anschaffung nach dem 25.11.2010: Ist das Kassensystem auf BSI-Zertifizierung nachrüstbar? Falls ja, kann das System noch bis 1. Januar 2020 auf BSI-Zertifizierung umgerüstet werden. Falls nein, greift eine Schonfrist bis 1. Januar 2023. Erst dann muss ein neues Kassensystem mit BSI-Zertifizierung angeschafft werden. Voraussetzung ist jeweils, dass das aktuelle Kassensystem bereits die seit 2010 geltenden Anforderungen der Finanzverwaltung erfüllt.

Datum der Anschaffung vor dem 25.11.2010: Ist das Kassensystem auf BSI-Zertifizierung nachrüstbar? Falls ja, kann das System noch bis 1. Januar 2020 auf BSI-Zertifizierung umrüstet werden. Falls nein ist ab dem 1. Januar 2020 ein neues Kassensystem mit BSI-Zertifizierung notwendig (keine Schonfrist). In beiden Fällen greift aber die o.g. Nichtbeanstandungsregelung seitens des Finanzamtes (bis Oktober 2020).)

Kürzlich haben wir unsere Kunden, in der KW46, in einem Newsletter darüber informiert, wie wir mit der TSE (Technischen Sicherheitseinrichtung) verfahren werden. Nachstehend die E-Mail an unsere Kunden, diese sende ich gerne separat an Herrn Walter zur Weiterleitung an Sie. Ein ähnliches Verfahren wurde bereits in Österreich seit dem 01.01.2017 implementiert (RKSV). Dieses Verfahren haben wir dort bereits erfolgreich ein- und bis dato durchgeführt.

FRAGE: Wir benötigen den technischen/organisatorischen Nachweis, dass weder durch unsere Verwaltung (Geschäftsführung, Rechnungswesen, Controlling, etc.) noch durch die operativen Mitarbeiter (Restaurantleiter, Kellner, o. a.) eine Manipulation des Systems möglich ist.

Bezüglich der Sicherheitsmerkmale möchte ich Sie an unsere Verfahrensdokumentation unter 3.4 Sicherheitsmerkmale verweisen.

Link zum PDF:

Hilfreich?

Ja Nein
Änderungen der Software und Spezifikationen bleiben ohne Vorankündigung jederzeit vorbehalten.