Man wird bei der Verfolgung zur Kontroverse um die Onlinekontoauszüge den Eindruck nicht los, dass
sich hier die Streitenden in Spezialnormen verfangen haben und dabei ein wenig den Blick für die
nicht minder wichtigen Rahmengesetze zur elektronischen Form verloren haben. Denn es gibt für die
aufgeworfene Frage zur Integrität von Onlinekontoauszügen gesetzliche Regelungen. Ein
Meinungsstreit ist nicht angezeigt, es kommt auf die Anwendung geltenden Rechts an.
So verkennt die OFD München, dass der Bankkunde beim Erhalt von (formgerechten) Online-
Kontoauszügen genau diese zu archivieren hat und nicht gezwungen ist, Papierauszüge anzufordern.
Denn die elektronische Form ist ja eben gerade der Schriftform gleichgestellt worden (u. a. §126a
BGB). Eine Forderung nach zusätzlichen Papierbelegen ist abwegig.
Aber auch Eller schießt übers Ziel hinaus, wenn er die Forderung der OFD München nach einer
Sicherstellung der Datenintegrität für Online- Kontoauszüge als unerlaubte Pflichtenausdehnung für
den Steuerbürger abtut.
Auch kann kein Zweifel daran bestehen, dass es sich bei einem Online- Kontoauszug um eine
elektronische Datei handelt. Ob diese für die Finanzbehörden auswertbar sein muss, soll nachfolgend,
mangels Kenntnis des Einzelfalls, nicht einer eingehenden Prüfung unterzogen werden. Nach der hier
vertretenen Auffassung hängt es aber ganz davon ab, ob der Steuerbürger diese maschinell
verarbeitet oder nicht. Wenn er dies nicht tut, handelt es sich lediglich um einen steuerrelevanten
Beleg, der nicht nachträglich in eine Datenbank zu überführen ist, um diesen maschinenlesbar zu
machen.
Diese Feststellungen ändern aber nichts an dem wohl berechtigten Einwand der OFD hinsichtlich der
Sicherstellung von Datenintegrität für Online-Kontoauszüge, oder besser Kontoauszugsdateien, denn
um diese handelt es sich hier. Die Berechtigung für diese Forderung ergibt sich ohne weiteres bereits
aus § 238 ff HGB. In dieser auch als „Radierparagraf“ bekannten Norm kommt eine Grundfeste der
handelsrechtlichen Aufzeichnungs- und Aufbewahrungspflicht zum Ausdruck: die Revisionierbarkeit.
Alle Einträge, auch Änderungen und Streichungen, müssen jederzeit ersichtlich sein. Auch unterstellt der Gesetzgeber, dass die Belege oder privaten Urkunden „echt“, also unverändert, sind. Unter
Strafandrohung ist es verboten, Belege oder private Urkunden, die Grundlage einer
Buchaufzeichnung im Sinne des § 238 HGB sind, zu verändern. Dieser Grundsatz trifft
selbstverständlich auch auf elektronische Belege oder Datensätze zu.
Auch in den Grundsätzen ordnungsgemäßer DV- gestützter Buchführungssysteme (GoBS) wird
nochmals auf die Regelung aus dem § 239 HGB Bezug genommen. Dort heißt es (Tz. VIII b):
„Bei originär digitalen Dokumenten muss Hard- und softwaremäßig sichergestellt sein,
dass während des Übertragungsvorgangs auf das Speichermedium eine Bearbeitung nicht möglich
ist.“
Die GoBs unterstellt (vielleicht etwas voreilig), dass Daten und Belege vor der Übertragung zur
Archivierung revisionsfest sind, also vor Veränderungen sicher geschützt waren. Es muss also davon
ausgegangen werden, dass der Gesetzgeber stets von der Revisionssicherheit von steuerrelvanten
Daten und Belegen ausgeht und diese als Grundlage stets unterstellt. In Papierform sind eben die
Originale aufzubewahren, um eine Verifikation zu ermöglichen.
Bezogen auf die hier fraglichen Online-Kontoauszugsdateien regelt als technische Maßstabsnorm das
Signaturgesetz (SigG) den „Stand der Technik“ hinsichtlich einer Sicherstellung von Datenintegrität.
Für den Kontext der Online-Kontoauszugsdateien ist insbesondere § 2 Abs. 14 SigG (Zeitstempel)
anzuwenden.
Denn mit Hilfe eines qualifizierten Zeitstempels ist man ohne weiteres in der Lage Online-Kontoauszugsdateien
revisionssicher einzufrieren. Dazu werden mathematische Algorithmen
(Hashverfahren) verwendet, um eindeutige Fingerabdrücke (Hashwerte) der Dokumente bei
unabhängigen und staatlich geprüften Stellen (TrustCentern) zu hinterlegen. Die amtliche Zeit der
Hinterlegung des Fingerabdruckes wird jeweils festgestellt und in der Zeitstempeldatei bescheinigt.
Eine elektronische Signatur des Empfängers oder Ausstellers bedarf es dagegen nicht. Denn es wird
mit dem Kontoauszug regelmäßig keine Willenserklärung durch die Bank oder den Bankkunden
abgegeben.
Durch die Aufbewahrung der Online- Kontoauszugsdatei einschl. des dazugehörigen Zeitstempels,
kann bis zu 30 Jahre nach der Ausstellung zweifelsfrei ihre Integrität verifiziert werden. Alle Trust-Center
bieten solche Zeitstempeldienste an. Eine kostenlose Software zum Bezug von Zeitstempeln
der Trust Center Deutsche Post und Auhentidate findet man unter www.webcert.net.
Das ein Vorgehen nach dem Signaturgesetz für die Sicherstellung von Datenintegrität auch die
Online-Kontoauszugsdateien betrifft, wird im neuen JKommG deutlich. Dort wird mit der Streichung
des § 292a ZPO und der Neueinführung des § 371a ZPO unter Aufgabe der oft missverstandenen
Formulierung hinsichtlich der Abgabe von „ Willenserklärungen“ nunmehr klargestellt, dass der Anschein der Echtheit durch die qualifizierte Signatur nicht nur für Willenserklärungen gilt, sondern
eben auch für die Integrität schlichter Belege, Urkunden oder öffentlicher Aktenauszüge. Genau hier
kommt der Zeitstempel zur Anwendung. So ist es eben möglich, mit dem Zeitstempel in einem völlig
automatisierten Prozess Daten jeder Art revisionssicher einzufrieren.
Fraglich ist in diesem Zusammenhang noch, wer zuständig ist für die Sicherung der Online-Kontoauszugsdateien
durch Zeitstempelanbringung. Nach der hier vertretenen Auffassung sind in
erste Linie die ausstellenden Banken in der Verantwortung. Diese muss ja bereits sicherstellen, dass
die Daten während der Übertragung zum Kunden nicht verändert werden.
Dies kann sie vollautomatisch und mit sehr geringen Kosten dadurch erreichen, dass die an den
Kunden versandten Kontoauszugsdateien mit einem Zeitstempel versehen werden und dem Kunden
in einem gesonderten Dokument die gültigen Hahsummen je Datei (Kto- Auszug oder Datenpaket)
zugänglich gemacht werden. So weiß zunächst der Kunde, dass die Datei tatsächlich unverändert ist,
dass diese wirklich von seiner Bank stammt, und der Kunde kann die Kontoauszugdatei elektronisch
mit der Zeitstempeldatei archivieren. Dies kann und muss dann auch den Finanzbehörden genügen.
Denn diese können jederzeit durch Ermittlung der aktuellen Haschsumme und unter Vergleich mit der
Hahsumme aus dem Zeitstempel sowie einer ggf. erforderlichen Verifikation des Zeitstempels (also
der Verifikation der Signatur des bescheinigenden Trust-Centers) prüfen, ob die Online-Kontoauszugsdatei
integer ist.
Wird dieser Service nicht von der Bank erbracht, so ist spätestens der Steuerpflichtige gefordert, die
erhaltenen Online-Kontoauszugsdateien sofort nach Eingang zu sichern und diesen Ablauf und die
zugriffsberechtigten Personen in einer entsprechend Ablaufdokumentation zu beschreiben. Nichts
anderes wird z.B. auch bei der Speicherung steuerrelevanter E- mails allgemein vertreten.
In der Regel wird jedoch die Bank den Zeitstempel anbringen, denn die Kosten, die mit einem
Umstieg auf Papier verbunden sind, wären ohne Zweifel deutlich höher. Wenn es zwischen Bank und
Bankkunde bereits eine verbindliche Vereinbarung zur nur noch elektronischen Übermittlung von
Online-Kontoauszugsdateien gibt, ist sie nach der hier vertretenen Auffassung bereits vertraglich
verpflichtet, den Zeitstempel zu liefern. Denn ein Kontoauszug ist aus bankrechtlichen Verpflichtungen
formgerecht zu erteilen. Es würde, etwas überspitz formuliert, auch niemand auf die Idee kommen
vom Bankkunden zu verlangen, er möge mit Bleistift erstellte Kontoauszüge akzeptieren.
|
