Homeoffice in der Corona-Pandemie

Diese Kosten können Sie steuerlich absetzen

Zum Schutz der Mitarbeiter und um ein Infektionsrisiko im Betrieb möglichst gering zu halten, haben viele Unternehmen ihre Belegschaft oder zumindest Teile davon ins Homeoffice geschickt. Doch wann ist Homeoffice erlaubt und welche Kosten lassen sich dabei steuerlich absetzen?

Grundsätzlich hat ein Arbeit­neh­mer nur dann Anspruch auf Arbeit im Homeof­fice, wenn dies ver­trag­lich gere­gelt ist. Auch wenn ein Arbeit­neh­mer befürch­tet, sich im Betrieb des Arbeit­ge­bers mit dem Coro­na­vi­rus anzu­ste­cken, besteht kein Anspruch dar­auf, die Arbeits­leis­tung im Homeof­fice zu erbrin­gen. Allerdings muss der Arbeit­ge­ber im Rah­men sei­ner arbeitsrechtlichen Für­sor­gepf­licht ent­schei­den, ob er dem Arbeit­neh­mer diese Mög­lich­keit anbie­tet.

Dabei wird regel­mä­ßig ent­schei­dend sein, wie hoch das Anste­ckungs­ri­siko im kon­k­re­ten Fall ist, ob im Betrieb keine geeig­ne­ten Schutz­maß­nah­men getrof­fen wer­den kön­nen und in wel­cher gesund­heit­li­chen Ver­fas­sung sich der Arbeit­neh­mer ohne­hin befin­det. Arbeit­ge­ber und Arbeit­neh­mer kön­nen sich immer eini­gen und so (auch befris­tet) Home­of­fice ver­ein­ba­ren. Vor­aus­set­zung wird jedoch sein, dass der hei­mi­sche Arbeits­platz so ausgestattet ist, dass der Arbeitnehmer von dort aus der Arbeitspf­licht nachkommen kann.

Was lässt sich steuerlich absetzen?

Mitarbeiter können Kosten für das Homeoffice unter bestimmten Voraussetzungen steuerlich geltend machen. Wird ein Mit­ar­bei­ter durch den Arbeit­ge­ber ange­wie­sen, nicht mehr in dem zur Ver­fü­gung ste­hen­den Büro im Betrieb des Arbeit­ge­bers, son­dern aus­sch­ließ­lich von sei­nem Homeoffice aus zu arbei­ten, kann der Mit­ar­bei­ter die Kos­ten des Homeoffice steu­er­lich als Wer­bungs­kos­ten gel­tend machen.

Der Wer­bungs­kos­ten­ab­zug ist auf jähr­lich 1.250 Euro gede­ckelt. Die­ser Höchst­be­trag kommt auch bei nicht ganz­jäh­ri­ger Nut­zung des Homeoffice zur Anwen­dung.

Dafür erfor­der­lich ist aller­dings, dass das Homeoffice als häus­li­ches Arbeits­zim­mer qua­li­fi­ziert ist. Es muss sich dabei um einen abge­sch­los­se­nen Raum han­deln, der aus­sch­ließ­lich beziehungsweise ganz über­wie­gend für die beruf­li­che Tätig­keit genutzt wird. Eine ledig­lich als Büro ein­ge­rich­tete Arbeits­e­cke in einem ander­wei­tig genutz­ten Raum wird hin­ge­gen steu­er­lich nicht als häus­li­ches Arbeits­zim­mer aner­kannt.

Einrichtungsgegenstände können geltend gemacht werden

Als Kos­ten des häus­li­chen Arbeits­zim­mers kom­men insbesondere die antei­li­gen Miet- und Miet­ne­ben­kos­ten beziehungsweise im Falle eines Eigen­heims die antei­li­gen Gebäu­de­kos­ten (inklusive Absch­rei­bung) in Betracht. Zusätz­lich kön­nen noch Kos­ten für Ein­rich­tungs­ge­gen­stände, wie Sch­reib­tisch und Stuhl, gel­tend gemacht wer­den.Tech­ni­sche Geräte, wie zum Beispiel Computer, dürf­ten regel­mä­ßig durch den Arbeit­ge­ber ges­tellt wer­den.

Im Fall der Anschaf­fung für die aus­sch­ließ­li­che beruf­li­che Nut­zung kön­nen auch die dabei anfal­len­den Kos­ten sog­leich berück­sich­tigt wer­den, sofern diese nicht 800 Euro zuzüglich Umsatz­steuer, somit 952 Euro, über­s­tei­gen, andern­falls ist das Wirt­schafts­gut über die Nut­zungs­dauer abzu­sch­rei­ben. Wei­ter kön­nen die durch die Tätig­keit im Homeoffice anfal­len­den Tele­kom­mu­ni­ka­ti­ons­kos­ten ohne Ein­zel­nach­weis pau­schal mit 20 Prozent des Rech­nungs­be­trags, maxi­mal 20 Euro monat­lich, als Wer­bungs­kos­ten berück­sich­tigt wer­den.

Aktuelles Urteil des BGH – Aktives Ja zu Cookies muss sein

Gavel, scales of justice and law books

Neues BGH Urteil

Aktives Ja zu Cookies muss sein

Internet-Cookies sammeln Nutzerdaten. Oft ist die Erlaubnis dazu voreingestellt, doch das darf nicht sein, hat der Bundesgerichtshof entschieden. Die Nutzer müssten aktiv ankreuzen, wenn sie einverstanden seien.

Gavel, scales of justice and law books

Wer auf Internetseiten Cookies setzen will, mit denen ein Anbieter das Verhalten des Nutzers im Internet erfasst, ein Nutzerprofil von ihm erstellt und ihm dann darauf abgestimmte Werbung zusendet, der braucht in jedem Fall die aktive Zustimmung des Nutzers. Ein voreingestellter Haken im Feld zur Cookie-Einwilligung benachteilige den Nutzer unangemessen.

Das entschied der Bundesgerichtshof (BGH) in einer Klage gegen einen Gewinnspielanbieter. Eine Gewinnspielseite enthielt ein Kästchen, das bereits mit einem Häkchen versehen war. Dadurch stimmte der Internetnutzer dem Setzen von Cookies zu Werbezwecken automatisch zu so der BGH.

Mitarbeiter sicher ins Homeoffice verlagern

Man sitting at desk working from home on computer

Mitarbeiter sicher ins Homeoffice verlagern

Durch die Covid19 Krise werden Unternehmer immer wieder vor neue Herausforderungen gestellt. Dabei stellt sich unter anderem auch die Frage wie gewährleiste ich, dass meine Mitarbeiter im Homeoffice halbwegs sicher arbeiten können. Wer den völligen Stillstand in seinem Unternehmen verhindern möchte, dem sei es anzuraten sich mit dieser Thematik zu beschäftigen. Es sei allerdings vorab angemerkt: Ohne entsprechenden Aufwand und auch finanzielle Mittel läßt sich das nicht umsetzen.

Wir werden versuchen Ihnen Ansätze zur Umsetzung dieser Thematik zu vermitteln.

Office workplace with keyboard, notepad, glasses and pen

1. Vorbereitung und Abstimmung mit den Mitarbeitern

Zunächst ist eine Abstimmung mit den Mitarbeitern hinsichtlich Home Office als Arbeitsort erforderlich. Sie haben noch keine Regelung zum Home Office, keine Bange, sprechen Sie mit Ihren Mitarbeitern und erklären Ihnen, dass:
– die Arbeit von zu Hause/ aus dem Home Office, ab sofort erlaubt ist 
– sich die Regeln nach den IT- und Datenschutzrichtlinien für das Home Office richten (dazu unter 5. mehr) 

Eine Absprache mit den Mitarbeitern ist als “Dringend nötig!” Wenn im Arbeitsvertrag des Mitarbeiters/der Mitarbeiterin das Büro als Arbeitsplatz festgelegt ist, können Sie diese nicht einfach ins Home Office schicken. In der aktuellen Lage werden die Mitarbeiter sich vermutlich freuen die Möglichkeit zu haben von zu Hause aus zu arbeiten. Durch die Unterzeichnung der IT– und Datenschutzrichtlinien (mehr dazu bei 5.) für das Home Office, können Sie die Zustimmung zur Arbeit von zu Hause einholen. 

2. Abstimmung mit den Mitarbeitern hinsichtlich der Nutzung ihrer eigenen Hardware dem Grunde nach 

Sie können Ihre Mitarbeiter*innen nicht anweisen Ihre privaten Geräte für die Arbeit zu gebrauchen. Deswegen stimmen Sie sich mit Ihnen ab. Auch hier werden Ihre Mitarbeiter*innen, angesichts der aktuellen Lage, im Zweifel bereit sein, Ihre privaten Geräte zu nutzen (und wenn auch nur bis Arbeitsgeräte an geschaffen wurden), um im Home Office arbeiten zu können und dadurch sich und andere zu schützen. 

Aus Gründen des Datenschutzes und der Datensicherheit ist es wichtig, passende IT- und Datenschutzrichtlinien für das Home Office zu vereinbaren, die die Mitarbeiter auf Pflichten zum Datenschutz und der IT- Sicherheit, wenn Sie Ihre eigenen Geräte dienstlich nutzen. Deswegen müssen Sie die folgenden Aufwendungen aufbringen. 

3.  Sichere Kommunikation und Ablage der Daten
VPN-Tunnel oder Zur Verfügungstellung einer sicheren Cloud-Lösung (inkl. Backup-Funktionen) 

Natürlich müssen die Mitarbeiter*innen weiterhin an Ihre Arbeitsdokumente herankommen und diese nach Bearbeitung auch sicher ablegen können.  

1. Möglichkeit: Einrichtung eines „Virtuell-Private-Networks“ – VPN 

Vereinfacht, es wird ein privates, geschütztes Netzwerk geschaffen, wodurch Ihre Mitarbeiter von zu Hause aus auf den Server der Firmer zugreifen können. Um dies zu ermöglichen müssen VPN-Zugänge/Schnittstellen auf dem Firmenserver eingerichtet sein, oder eingerichtet werden. Den Mitarbeiter*innen muss nun die VPN-Einstellung mitgeteilt und das VPN auf Ihrem Laptop eingerichtet werden. Wenn Sie selbst nicht über hinreichende IT-Kenntnisse verfügen und zurzeit auch nicht auf hinreichenden IT-Support zurückgreifen können, gibt es noch eine weitere Lösung. 

2. Möglichkeit: Sicherer Cloudanbieter mit automatischen Backup-Funktion 

Wenn Sie sich nun Sorge bei der Bezeichnung Cloud haben, Ihr Server ist auch eine Art Cloud – ein Server, auf den Ihre Mitarbeiter*innen zugreifen. Und vermutlich ist dieser nicht so gut gesichert wie die Server und Cloudlösungen, die nun vorgestellt werden. Hier werden exemplarisch nur ein paar genannt, um den Rahmen nicht zu sprengen. Zwei Anbieter bieten Ihnen Cloud-Services zur Speicherung von Daten, Backups, sowie einfache Lösungsmöglichkeiten zum sicheren Versenden von Daten an Firmenexterne/Dritte und kollaborativen Zugriff auf diese Dateien mit Berechtigungskonzepten, diese sind Dracoon und Teamdrive. Der Vorteil dieser ist, dass sie die Daten sowohl beim Hoch- wie auch Runterladen Ende-zu-Ende verschlüsselt sind. Der Schlüssel liegt nicht bei den Anbietern, sondern nur bei Ihnen, somit können nur Sie auf die Dateien zugreifen. Beide arbeiten DSGVO-konform (mit European Privacy Seal) und sind ISO-zertifiziert. OneDrive, G-Suite und Dropbox Pro bieten Ihnen das nicht. Die Einrichtung ist einfach und von jedem umsetzbar. Ihr Unternehmen muss nur den Client herunterladen (Webanwendung kann auch genutzt werden), Schlüssel gemäß der Anwendung erstellen und die Speicherplätze mit der Anwendung verbinden. Danach werden die Mitarbeiter*innen in die Anwendung bzw. den Speicherplatz eingeladen, die Zugriffsrechte können dezidiert vergeben werden, was bedeutet jede/r Mitarbeiter*in kann zu bestimmten Speicherplätzen eingeladen werden und zu anderen nicht. Außerdem können diese Zugriffe noch konfiguriert werden – z.B. nur Lesen, Lesen&Schreiben, Lesen&Schreiben&Löschen. Sobald die Verbindung erfolgt ist, sehen die Mitarbeiter*innen dies auf Ihren Computern und können auf die Speicherplätze zugreifen. Für die Mitarbeiter*innen ist die Installation auch einfach. 

Wir empfehlen die Cloud-Lösung. Sie ist einfacher und geht schneller als das Einrichten eines VPN. Außerdem haben Sie ein vernünftiges Backup und die Möglichkeit Berechtigungskonzepte ein- und umzusetzen. Das Löschen von Daten obliegt weiterhin nur Ihnen und Sie können jeder Zeit die Verbindung auf dem Heimcomputern Ihrer Mitarbeiter*innen trennen.  

Diese Lösung ist sinnvoll, vor allem wenn bisher keine Infrastruktur besteht. 

4. E-Mail 

Wir gehen heute davon aus, dass nahezu jeder E-Mailanbieter ein Webinterface für die Nutzung von E-Mails bereitstellt. Nahezu alle gängigen Lösungen wie zum Beispiel Exchange von Microsoft. Falls diese Methode in ihrem Unternehmen nicht genutzt wird, so sollte ich die Aktivierung des Webinterfaces jedoch durch einen Klärung mit dem Anbieter auch nachträglich freischalten lassen. Nahezu in jedem fall lassen sich auch bei eigenenen Firmendomains die Mails über IMAP oder POP abrufen. Im Optimalfall haben Ihre Mitarbeiter*innen schon die Möglichkeit sich per Weboberfläche auf Ihr Postfach zuzugreifen. Also geben Sie die Anweisungen den Webaccess zu nutzen. Verbieten Sie den Download der E-Mails auf den privaten Computern z.B. durch das Einrichten des E-Mail Accounts im eigenem Outlook, denn dadurch haben Sie keine Kontrolle mehr über die heruntergeladenen E-Mails.  

5. Knackige IT- und Datenschutzrichtlinie für Home Office und B-/UYOD 

BYOD – bring your own device 

Wenn Sie später keine Probleme im Bereich IT-Sicherheit und Datenschutz bekommen wollen, sollten Sie sich an diese Regeln für eine IT- und Datenschutzrichtlinie orientieren, da Sie damit die Sicherungsmaßnahmen dokumentieren (organisatorische Maßnahmen i.S.v. Art. 32 DSGVO). 

a. Regelung zum Home Office an sich 

Sie müssen sicherstellen, dass das Home Office gemäß den folgenden Regelungen gestattet ist, auch wenn der Arbeitsvertrag bisher vorsah, dass Ihre Mitarbeiter*innen ausschließlich im Büro/in der Firma arbeiten. 

b. Regelung zu UYOD – Verpflichtung, das Device umgehend zu sichern (neueste Updates, Virenschutz), Kosten 

Der Gebrauch der privaten Endgeräte für dienstliche Tätigkeiten muss geregelt werden, dazu müssen Ihre Mitarbeiter*innen sich verpflichten: 
die Software des Geräts auf dem neusten Stand zu halten  

  • Systemupdates herunterladen/installieren 
  • auch die des Virenschutzprogrammes 
  • Systemeinstellungen zu überprüfen und die datenschutzfreundlichste Einstellung einzustellen (z.B. Ausschalten von Cortana und ähnlichen) 

Geben Sie dazu Hinweise, wie das umzusetzen ist. Wenn einer Ihrer Mitarbeiter*innen über keinen Internetzugang bzw. nur einen eingeschränkten in Form von begrenzten Datenvolumen verfügt, sollten Sie eine Regelung für die anfallenden Kosten finden. Allerdings heutzutage nur noch selten nötig. 

c. Speicherung von Dokumenten/Daten 

Die Dokumente dürfen nur auf den dafür vorgesehenen Speicherplätzen, in ihrem Cloud-System abgelegt werden oder im Falle der Nutzung des VPN ausschließlich auf dem Firmenserver. Sollten Dokumente zwischenzeitlich auf den privaten Endgeräten gespeichert werden, klären Sie, dass die Dokumente sobald diese dem Firmenserver übermittelt wurden umgehend gelöscht werden. Verpflichten Sie Ihre Mitarbeiter*innen dazu! 

d. Passwörter 

Weisen Sie Ihre Mitarbeiter*innen an für alle Accounts (Cloudspeicher, Mail, VPN Zugang und alle anderen) ein sicheres Passwort zu nutzen.  

  • sicher bedeutet min. 20 Zeichen, Zahlen und Sonderzeichen.  

  • dies einzuhalten sollte obligatorisch sein 

e. Datenschutz im Home Office: Sichtschutz, Dokumente nach der Arbeit weglegen und verschließen.  Arbeitsplatz sperren etc. 

Außerdem müssen Ihre Mitarbeiter*innen darauf achten den Datenschutz einzuhalten, soll heißen er oder sie müssen so arbeiten, dass Betriebsfremde (darunter fällt auch die Familie) keine Sicht auf die Dokumente und die Arbeit nehmen können. Der virtuelle Arbeitsplatz muss gesperrt werden sobald der Computer verlassen wird und Dokumente weggeschlossen. Um dies zu ermöglichen, stellen Sie einfach abschließbare Boxen zur Verfügung. 

f. Sanktionsandrohung bei Verstößen 

Damit die Regelungen rechtsverbindlich sind, Sie sie im Zweifel auch durchsetzen können und ein Organisationsverschulden Ihrerseits bestmöglich ausgeschlossen wird, bedarf dieses Dokument, wie jedes arbeitsrechtliche Dokument, auch der Sanktionsandrohung bei Verstößen. Das heißt, Sie müssen klar darlegen, dass Verstöße gegen die Richtlinie mit arbeits-, zivil- sowie gegebenenfalls strafrechtlichen Konsequenzen verbunden sein wird (Abmahnungen, Kündigung, Schadensersatz). 

Diese Richtlinie soll verbindlich sein! Sie müssen nachweisen, dass Ihre Mitarbeiter*innen diese Richtlinien gesehen und die darin enthaltenen Verpflichtungen eingewilligt haben, am Einfachsten lösen Sie das durch die Unterschrift Ihrer Mitarbeiter*innen.  

6. Erläuterungen für die Mitarbeiter*innen 

WICHTIG: Sie haben Ihre Mitarbeiter*innen ohne umfassende Vorbereitung ins Home Office geschickt und diese nutzen aus er Not heraus Ihre privaten Geräte á la UYOD, sprechen Sie mit Ihnen und stellen Sie Erläuterungen zur Verfügung: 

  • kommunizieren Sie, dass gemeinsam eine verbindliche Regelung für die Arbeit von zu Hause getroffen werden muss, um spätere Streitigkeiten zu verbinden  und weil es eine gesetzliche Anforderung ist 

erläutern Sie 

  • wie sichert man den Laptop 
  • woher Updates bekommen 
  • wie aktiviert man den Virenschutz  

Anleitungen dazu finden Sie im Netz 

  • wie richtet man den VPN- Zugang ein, oder 
  • wie nutzt man die Cloud-Lösung 
  • wie gelangt man über die Weboberfläche an die E-Mails(wenn es bisher keinen Webaccess gabe) 

und nicht vergessen  

  • rufen Sie die Probleme des Social Engineerings und Social Hacking in Erinnerung  

Die bessere und einfachere Variante: Firmenlaptops 

Ihre Mitarbeiter*innen verfügen bereits über mobile firmeneigene Geräte. Perfekt! Denn das bedeutet der Laptop für das Home Office ist von Seiten der Sicherheit und Updates auf dem neusten Stand und vermutlich liegt auch schon ein Zugang zum VPN vor. 

Datenschutz und Datensicherheit in Zeiten von Covid-19

Share on facebook
Facebook
Share on twitter
Twitter

Vermeiden Sie böse und teuere Fehler

Die Bunderegierung fordert, dass von zu Hause aus gearbeitet wird, wo immer es möglich ist. Aber das ist nicht gleichbedeutend mit „absoluter Narrenfreiheit“ für die Beschäftigten, wenn es um das Thema Datenschutz geht. Auch in dieser Situation gilt es besonnen zu agieren und die Mitarbeiter für das Thema zu sensibilisieren und den verantwortungsvollen und sicheren Umgang mit Firmen- und Kundendaten sicherzustellen. Diese Daten sind das Heiligtum des Unternehmens und ein zu lascher und unvorsichtiger Umgang damit kann extreme Auswirkungen auf die Zukunft Ihres Unternehmens haben. Das gilt es dringend zu vermeiden.

Schnell-Check “Home Office für meine Mitarbeiter”

Sind in den Arbeitsverträgen meiner Mitarbeiter Regelung zur Arbeit im Homeoffice getroffen?

Ja: Prüfen Sie ob diese Regelungen auch längere Zeiten im Home Office abdecken.
Nein: Holen Sie das Einverständnis der Arbeitnehmer ein bzw. ergänzen Sie die Arbeitsverträge um einen Passus zum Home-Office.

Haben Sie mit allen Mitarbeitern eine Vereinbarung zum Datenschutz im Home-Office getroffen?

Ja: Super. Prüfen Sie bitte, ob dies Vereinbarungen aktuell sowie inhaltlich und rechtlich korrekt formuliert sind.
Nein: Erstellen Sie eine DSGVO-Regelung zum Home Office.

Habe ich meinen Arbeitnehmer mit technischen Vorkehrungen zur Arbeit im Homeoffice ausgestattet? 
Dazu gehören insbesondere:

  • eine ausreichend stabile und schnelle Internetverbindung
  • die telefonische Erreichbarkeit über eine Büronummer
  • Ein Arbeits-Computer, dessen Software auf aktuellem Stand ist
  • Anweisungen und Hinweise zu Passwörtern und Datensicherheit im Home-Office

Ja: Prüfen Sie ob diese Regelungen auch längere Zeiten im Home Office abdecken.
Nein: Sorgen Sie für die entsprechenden Voraussetzungen und das notwendige technische Equipment, sowie die notwenidgen Dinge wie ggf. einen neuen PC oder Notwebook mit einer gesicherten Arbeitsumgebung und Internetanbindung

Wir die ALN helfen ihnen gerne gemeinsam mit unserem Partner der EXO3 GmbH bei der Umsetzung aller notwendigen Aufgaben, sowie bei der Beschaffung und Anbindung eines Home-Office Arbeitsplatzes für ihre Mitarbeiter. Rufen sie uns an, oder kontaktieren sie uns.

Schutz von Geschäftsgeheimnissen und Knowhow

Share on facebook Facebook Share on twitter Twitter Im April 2019 ist in Deutschland das „Gesetz zum Schutz von Geschäftsgeheimnissen“ in Kraft getreten. Dieses Gesetz gibt Unternehmern neue Möglichkeiten, aber auch neue Aufgaben beim Schutz ihres Knowhows. Wurde in der Vergangenheit in erster Linie über Urheberrechte, Marken, Designs und Patente diskutiert, die Unternehmen schützen konnten, befasst sich es das neue Gesetz nun mit dem Schutz von Knowhow in Form von Kundenlisten, Geschäftszahlen, Strategien, Algorithmen etc. Um diesen Knowhow-Schutz in Anspruch nehmen zu können, müssen Unternehmen intern allerdings entsprechende Maßnahmen umsetzen, um den neuen Anforderungen und auch damit einhergehenden Pflichten gerecht zu werden.

Was versteht das neue Gesetz unter „Geschäftsgeheimnissen“?

Der deutsche Gesetzgeber verstht darunter eine Information,
  • die geheim ist, weil sie weder insgesamt noch in der genauen Anordnung und Zusammensetzung ihrer Bestandteile den Personen in den Kreisen, die üblicherweise mit dieser Art von Informationen umgehen, allgemein bekannt oder ohne weiteres zugänglich ist
  • und von wirtschaftlichem Wert ist, weil sie geheim ist
  • und der Gegenstand von den Umständen nach angemessenen Schutzmaßnahmen ist
  • und an der ein berechtigtes Interesse an der Geheimhaltung besteht.
Geschützt sind damit weiterhin Informationen im weitesten Sinne, also kaufmännische Informationen („Geschäftsgeheimnisse“) und technisches Know-how („Betriebsgeheimnisse“), wobei diese Unterscheidung nicht mehr weiter von Bedeutung ist. Gemeint sind Informationen wie Verfahren, Konstruktionspläne, Algorithmen, Prototypen, Rezepturen, Kundenlisten, Business-Pläne, Werbestrategien usw. Das Merkmal „geheim“ ist hier allerdings ein relativer, kein absoluter Begriff. Entscheidend ist nicht, wer die Information geschöpft bzw. „ins Leben gerufen“ hat, sondern wer den Zugang dazu hat und sie schützt. Besteht die Information aus mehreren Bestandteilen, wobei jeder Bestandteil für sich bekannt ist, bedeutet das nicht automatisch im Umkehrschluss, dass auch die Gesamtinformation deswegen offenkundig und damit kein Geschäftsgeheimnis mehr ist – wie bei einem Puzzle kann die genaue Anordnung und Zusammensetzung der Einzelteile entscheidend sein. So kann beispielsweise eine Kundenliste auch dann eine geheime Information darstellen, wenn alle darin enthaltenen Kundendaten einzeln im Internet recherchierbar sind. Die geheime Information muss im Übrigen nicht zwingend einen materiellen Wert bzw. Vermögenswert haben – es ist ausreichend, dass ihre Offenbarung den Geheimnisinhaber schädigen kann. So können auch solche Informationen nach dem GeschGehG geschützt sein, deren Wert bisher noch gar nicht klar ist wie nicht veröffentlichte Forschungsergebnisse, neue technische Erkenntnisse, Datensammlungen etc.

Wer ist Inhaber von Geschäftsgeheimnissen?

Auch wer „Inhaber“ eines Geschäftsgeheimnisses sein kann, wird im GeschGehG definiert:  „Jede natürliche oder juristische Person, die die rechtmäßige Kontrolle über ein Geschäftsgeheimnis hat.“ Da es – anders als z.B. im Urheberrecht – nicht entscheidend darauf ankommt, wer die Information generiert bzw. geschöpft hat, sondern wer diesbezüglich die rechtmäßige Kontrolle, also insbesondere auch den Zugang dazu hat, kommen vor allem in arbeitsteilig agierenden Unternehmen und Betrieben durchaus mehrere Personen grundsätzlich als potentielle Geheimnisinhaber in Betracht. Zu denken ist hier insbesondere an Unternehmen, in denen verschiedene Abteilungen/ Gewerke an einem Projekt arbeiten, z.B. das neue Automodell, das entworfen, gefertigt und mit Vorrichtungen zur Datensammlung versehen sowie ggf. später „ausgelesen“ oder repariert wird. In arbeitsteiligen Organisationen soll dabei eine Wissenszurechnung stattfinden, sodass z.B. Beschäftigte im Hinblick auf die Erledigung ihrer Aufgaben sog. „Wissensmittler“ der Geschäftsleitung sein können. Es wird interessant sein zu sehen, wie die deutsche Rechtsprechung das unbestimmte Kriterium der „rechtmäßigen Kontrolle“ auslegen wird.

Was sind angemessene Geheimhaltungsmaßnahmen?

Was den „Umständen nach angemessene Geheimhaltungsmaßnahmen“ sind, ist eine weitere unbestimmte Variable in der gesetzlichen Definition des Geschäftsgeheimnisses – von dieser hängt jedoch viel ab. Denn eine Information – so wichtig sie für ein Unternehmen bzw. dessen Erfolg auch praktisch sein mag – ist kein Geschäftsgeheimnis im Sinne des GeschGehG, wenn der Inhaber sie nicht angemessenen Geheimhaltungsmaßnahmen unterwirft bzw. dies im Streitfall nicht nachweisen kann. Das Ergreifen von angemessenen Schutzmaßnahmen ist damit erforderlich, um überhaupt in den Anwendungs- und damit Schutzbereich des GeschGehG zu gelangen. Nach der Intention des Gesetzgebers soll demjenigen der Rechtsschutz durch das GeschGehG verwehrt sein, der seinen Vertraulichen Informationen nicht gerecht wird, beispielsweise indem er die objektiv naheliegenden, kostengünstigen Maßnahmen zum Schutz seiner Geschäftsgeheimnisse nicht ergreift. Der Maßstab bei der Betrachtung, welche Maßnahme im Einzelfall angemessen ist, soll objektiv sein – ein optimaler und lückenloser Schutz wird dabei jedoch wohl nicht verlangt. Fraglich ist an dieser Stelle aber, ob der Geheimnisschutz auch dann versagt wird, wenn unbeabsichtigte Sicherheitslücken zur Offenlegung der geheimen Informationen führen. Es ist jeweils anhand der Umstände des Einzelfalls zu ermitteln, welche Arten von vertraulichen Informationen überhaupt vorliegen, ob und wie sich diese ggf. kategorisieren und dann entsprechend durch angemessene Maßnahmen schützen lassen. Das wird in den meisten Fällen auch eine Identifikation von typischen Bedrohungslagen umfassen. Ob Sie sich dabei an den inzwischen kursierenden Kategorien („sensible Informationen, wichtige Informationen, Kronjuwelen“) orientieren oder eigene Kategorien bilden, bleibt Ihnen überlassen.

Mögliche Ansprüche aus dem GeschGehG

Nach dem GeschGehG können Ansprüche geltend gemacht werden auf:
  • Unterlassung und Beseitigung (z.B. Rückruf, Vernichtung etc.),
  • Auskunft (z.B. bezogen auf rechtsverletzende Produkte, Verkörperungen des Geheimnisses, „verratende“ Personen),
  • Schadenersatz,
  • Abfindung

Fazit

Ob der Volksmund mit seiner Annahme „Was lange währt, wird endlich gut“ hier recht behält, wird sich noch zeigen. Zu begrüßen ist das Bestreben des Gesetzgebers, die Vorschriften für den Geheimnisschutz zu konsolidieren und europaweit wie auch international zunehmend anzugleichen. Auch die stärkere Betonung der Eigenverantwortung der Unternehmen für den Schutz ihrer vertraulichen Informationen, die mit den Datenschutzthemen zum Teil Hand in Hand gehen dürften, ist ein Schritt in die richtige Richtung. Ob die geschaffene Zuständigkeit für Geheimnisschutzsachen tatsächlich zu einer weniger fragmentierten Rechtsdurchsetzung führen wird, erscheint fraglich – können die „special effects“, die das GeschGehG gewährt, in anderen, zum Teil mit dem Geheimnisschutz inhaltlich zusammenhängenden Angelegenheiten wie Urheber-, Marken-, Patentstreitigkeiten nicht gezündet werden.

Unzulässige Werbung beim Versand von Rechnungen

BGH: Verknüpfung von Rechnungsversand und Werbung unzulässig

Die unaufgeforderte Bitte in Rechnungs-Emails um eine Kundenbewertung ist unzulässige Werbung, das hat kürzlich der BGH festgestellt.

Im digitalen Zeitalter hat sich die Werbemail als einfaches und effizientes Werbemittel herausgestellt, um den Kunden an ein Produkt oder das Unternehmen heranzuführen. Doch der Einsatz von Werbung unterliegt strengen rechtlichen Anforderungen, die für den juristischen Laien nicht immer offensichtlich sind.

Das bekam kürzlich ein Unternehmen zu spüren, welches einen Kunden nach Kauf per Email um eine Bewertung gebeten hatte. Der Fall ging durch die gerichtlichen Instanzen und landete beim BGH, der schließlich entschied, dass eine Kundenbefragung in einer Rechnungsemail unter den Begriff der Werbung fällt, welche ohne Einwilligung des Empfängers grundsätzlich einen Eingriff in seine geschützte Privatsphäre und damit in sein allgemeines Persönlichkeitsrecht darstellt

Hintergrund der Entscheidung

Was war geschehen? Der Kunde bestellte bei dem Unternehmen über den Amazon Marketplace. Einige Tage nach dem Kauf sendete das Unternehmen dem Kunden eine Email mit der Rechnung zur Bestellung und der Bitte um eine Kundenbewertung. Der Kunde sah darin eine unzulässige Werbung und klagte dagegen beim AG Braunschweig, welches die Klage abwies . Auch die dagegen gerichtete Berufung beim LG Braunschweig wurde zurückgewiesen. Mit seinem Urteil im Revisionsverfahren gab nunmehr auch der Bundesgerichtshof dem Kunden Recht: Er stellte fest, dass es sich bei der Kundenzufriedenheitsbefragung um Werbung handelte. Da das Unternehmen keine Einwilligung des Kunden in den Erhalt von Werbung eingeholt hatte, handele es sich bei der Befragung um einen rechtswidrigen Eingriff in dessen Persönlichkeitsrecht.

Eine Bitte um Kundenbewertung soll schon Werbung sein?

Was rechtlich unter Werbung verstanden wird, verdeutlicht der BGH in seinem Urteil. Durch die Bitte um Kundenbewertung bringe sich der Unternehmer nach Ansicht des BGH bei dem Kunden in Erinnerung. Darüber hinaus erwecke er den Anschein, dass er sich auch nach dem Geschäftsabschluss um den Kunden sorge. Das sei hinsichtlich Kundenbindung und Weiterempfehlung förderlich, was im Ergebnis auf weitere Geschäftsabschlüsse ziele. Demzufolge falle eine Kundenbewertung unter den Werbebegriff.

Allerdings hat das Unternehmen die Bitte um eine Kundenzufriedenheitsbefragung mit dem Versand der Rechnungsemail verknüpft. Der Versand einer Rechnungsemail ist keine Werbung und insoweit zulässig. Müsste man nicht hier die Email als Ganzes verstehen und ihr so dem Werbecharakter absprechen? Dieser Idee erteilt der BGH eine eindeutige Absage: Er sah in der Email zwei eigenständige Zwecke; einen werbenden und einen den Rechnungsversand betreffenden. Daher könne die Verknüpfung mit dem Versand der Rechnung nichts an der Einordnung der Befragung als Werbung ändern.

Handlungsempfehlungen für den E-Commerce

Mit der Entscheidung verschärft der BGH seine Regeln zur Werbung weiter: Die Wertungen des UWG sind auch bei Eingriffen in das Allgemeine Persönlichkeitsrecht zu beachten. Eine Bitte um Kundenbewertung per Email ist damit in jedweder Gestaltung rechtswidrig, wenn nicht in ihren Erhalt ausdrücklich eingewilligt wurde.

Unternehmen sollten angesichts des Urteils besonders darauf achten, Werbung ohne vorherige Einwilligung zu vermeiden, um entsprechenden Abmahnungen durch Empfänger oder Wettbewerber aus dem Weg zu gehen. Dabei sollte beachtet werden

  • dass auch Kundenzufriedenheitsumfragen Werbung darstellen.
  • dass eine Verknüpfung von Werbung mit der Rechnungslegung ohne vorherige Einwilligung des Kunden nicht zulässig ist.

Empfehlungen

  1. Integrieren Sie die Einwilligung für Werbezusendungen im Check-Out Prozess.
  2. Bitten Sie in der Rechnungs-Email um die Einwilligung für Werbezusendungen.

Das Ende von Windows 7

Geräteentsorgung nach Win-7-Aus

Diese 6 Punkte sind wichtig für Ihr Unternehmen

bereits am 14.1.2020 lief der Support für das Betriebssystem Windows 7 aus. Seitdem werden keine Sicherheitsupdates mehr für das Betriebssystem Windows 7 ausgeliefert. Sofern es in Ihrem Unternehmen noch Windows-7-Installationen gab, hoffe ich, dass sich die Chefetage dazu entschlossen hat, Geräte mit dem veralteten Betriebssystem auszumustern.

Warum sollten sie handeln
Schließlich birgt ein Betriebssystem ohne neue Sicherheitsupdates große Risiken. Doch was passiert mit den ausgemusterten Geräten? Geben Sie die folgenden Tipps, damit bei der Entsorgung der Geräte nichts schiefläuft:

1. Aufgepasst beim Verschenken oder der Weitergabe von Geräten
Geräte mit einem veralteten Betriebssystem sind durchaus noch funktionstüchtig – und zu Bildungszwecken herrscht bekanntermaßen ein Mangel an IT-Geräten. Kommt die Idee auf, die Geräte beispielsweise an soziale Einrichtungen zu spenden oder an Schulen oder Kindergärten abzugeben, machen Sie diesen Vorschlag auf keinen Fall schlecht – auch wenn Sie zunächst ein ungutes Gefühl haben.

Hier gilt zu beachten: Vor Abgabe der Geräte müssen die enthaltenen Speichermedien (z. B. Festplatten) sicher gelöscht werden. Beispielsweise durch mehrfaches Überschreiben.

Auf Nummer sicher zu gehen
Weisen Sie darauf hin, dass die Löschung der Daten in Ihrem Unternehmen stattfinden sollte. Nur so haben die Verantwortlichen die Kontrolle darüber, dass eine sichere Löschung wirklich erfolgt. Ansonsten können böse Überraschungen und negative Folgen für Ihr Unternehmen drohen. Nämlich dann, wenn ein mit der Löschung beauftragter Dienstleister seinen Job nicht sorgfältig genug erledigt und im Nachhinein schutzwürdige Informationen in die falschen Hände geraten.

2. Sicheres Löschen muss nicht unbedingt Kosten verursachen

Auch dann, wenn die Geräte weiter im Unternehmen zum Einsatz kommen sollen, ist es unbedingt erforderlich, dass die darauf gespeicherten Daten sicher gelöscht werden. Damit die Geräte funktionstüchtig bleiben, darf durch den Löschvorgang die Speichertechnik nicht beschädigt oder zerstört werden. Hier können Sie den Einsatz spezieller Löschprogramme empfehlen. Es gibt verschiedene kostenpflichtige Programme, die für eine sichere Löschung sorgen, aber auch Freeware wie z. B. Dariks Boot and Nuke, kurz DBAN, die sich dafür nutzen lässt. Kaufsoftware wie Blancco Drive Eraser oder Miray HD Schredder bietet umfassendere Möglichkeiten (z. B. Löschprotokoll). Die Anschaffungskosten sind überschaubar, das Geld ist gut investiert.

Übrigens: Wie viele Male eine Festplatte überschrieben werden muss, ist selbst bei Experten umstritten. Minimum ist einmal. Im Regelfall reicht dreimal, um auf Nummer sicher zu gehen.

Wichtig zu wissen: Auf die Schutzwürdigkeit der Daten kommt es an

Bei der Antwort auf die Frage, wie oft eine Festplatte überschrieben werden sollte, ist die Schutzwürdigkeit der Daten maßgeblich. Bei „harmlosen“ Daten, wie etwa einer Datenbank mit Katalogempfängern, kann das einmalige Überschreiben vollkommen ausreichen. Geht es allerdings um das Notebook des Personalleiters, kann nur das mehrfache Überschreiben der Festplatte die richtige Wahl sein.

3. Keine halben Sachen machen

Manch einer geht davon aus, dass es für eine sichere Löschung ausreichend ist, nur bestimmte Ordner wie z. B. „Eigene Dateien“ mehrfach zu überschreiben. Doch Vorsicht! Möglicherweise sind auch an anderen Orten schützenswerte Daten zu finden.

Gerade in Programmordnern oder sogenannten Temp-Ordnern finden sich beispielsweise Zwischenspeicherungen, Speicherabbilder oder Dateibruchstücke. Wenn der Speicherort und das Dateiformat unbekannt sind, werden diese Daten auch bei intensiver Suche übersehen. Deshalb raten Sie immer dazu, die Festplatte komplett zu löschen.

4. Nicht alle Datenträger sind gleich

In jedem Unternehmen gibt es besonders schützenswerte Daten, die keinen Personenbezug haben. So z. B. Informationen, die sich auf Geräten befinden, die in der Entwicklungsabteilung zum Einsatz kommen – oder denken Sie an die Smartphones oder Notebooks der Geschäftsführung.

Bei diesen Geräten ist auf jeden Fall auf Nummer sicher zu gehen: Die Löschung sollte ggf. zusätzlich durch mechanische Zerstörung sichergestellt werden. Dadurch schließen Sie die Nutzbarkeit des Geräts und damit auch die Datenwiederherstellungen physisch aus.

5. Dokumentation nicht vergessen

Einfach die Daten zu löschen und die ganze Sache zu vergessen reicht nicht aus. Seit Anwendung der Datenschutz-Grundverordnung (DSGVO) gilt mehr denn je, dass die Dokumentation nicht fehlen darf. Auch beim Thema Löschen heißt es deshalb: Wenn Daten gelöscht werden, ist dies zu dokumentieren. Idealerweise erstellt ein verwendetes Programm automatisch ein Löschprotokoll.

Aber auch andere Möglichkeiten sind denkbar, beispielsweise ein Foto- oder Videoprotokoll. Wichtig ist, dass die Seriennummer der gelöschten Festplatte gut erkennbar ist. Das reicht aus, um im Fall der Fälle eine erfolgte Löschung nachweisen zu können.

6. Verweisen Sie auf das Gesetz

Treffen Sie auf Datenschutzignoranten, die bei Ihren Löschtipps nur müde abwinken, dann verweisen Sie auf das Gesetz. Zeigen Sie auf, dass das Löschen von personenbezogenen Daten nicht Ihr persönliches Anliegen ist, sondern eine gesetzliche Pflicht – die entsprechende Regelung ist z. B. in Art. 17 Abs. 1 DSGVO zu finden. Erläutern Sie, dass eine Weitergabe oder ein Offenbaren personenbezogener Daten an Unbefugte zu erheblichen Konsequenzen führen kann. Neben einem Bußgeld droht auch ein erheblicher Imageschaden.

EINE VERFAHRENSDOKUMENTATION IST KEINE KÜR, SONDERN PFLICHT!

Computer programming
Computer programming

Wollen Unternehmen in Betriebsprüfungen keine Hinzuschätzungen riskieren, müssen sie eine Verfahrensdokumentation vorlegen können, die grundsätzlich aus einer allgemeinen Beschreibung, einer Anwender-, einer technischen System- und einer Betriebsdokumentation besteht. Die Sonderausgabe zeigt, welche Informationen enthalten sein müssen und was wie dokumentiert werden muss. Wollen Unternehmen in Betriebsprüfungen keine Hinzuschätzungen riskieren, müssen sie eine Verfahrensdokumentation vorlegen können, die grundsätzlich aus einer allgemeinen Beschreibung, einer Anwender-, einer technischen System- und einer Betriebsdokumentation besteht. Die Sonderausgabe zeigt, welche Informationen enthalten sein müssen und was wie dokumentiert werden muss.

Vorbemerkungen

Dass eine Verfahrensdokumentation erforderlich ist, ergibt sich aus den „Grundsätzen zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (kurz: GoBD)“. Dieses Schreiben des Bundesfinanzministeriums (14.11.2014, BStBl I 2014, S. 1450) ist bereits seit Anfang 2015 in Kraft. Nach Rn. 151 der GoBD muss für jedes Datenverarbeitungssystem (DV-System) eine übersichtlich gegliederte Verfahrensdokumentation vorhanden sein, aus der Inhalt, Aufbau, Ablauf und Ergebnisse des DV-Verfahrens vollständig und schlüssig ersichtlich sind.

Praxishinweis: 

Die Finanzämter fragen oft schon bei Versendung der Prüfungsanordnung, spätestens aber bei Beginn der Betriebsprüfung nach einer Verfahrensdokumentation. Aber: Soweit eine fehlende oder ungenügende Verfahrensdokumentation die Nachvollziehbarkeit und Nachprüfbarkeit nicht beeinträchtigt, liegt kein formeller Mangel mit sachlichem Gewicht vor, der zum Verwerfen der Buchführung führen kann. Das ist in den GoBD in der Rn. 155 ausdrücklich festgehalten. Dennoch sollte umgehend eine Verfahrensdokumentation erstellt werden, soweit dies noch nicht erfolgt ist. Denn kommt es neben formellen auch zu materiellen Beanstandungen, dürfte eine fehlende Verfahrensdokumentation „schätzungserhöhend“ wirken.

Mitarbeiter in die Erstellung einbeziehen

In jedem Betrieb gibt es Organisations- und Arbeitsanweisungen. In vielen kleinen und mittleren Betrieben (KMU) sind sie aber nur mündlich erteilt oder es gibt nur für bestimmte Arbeitsbereiche schriftliche Anweisungen. Häufig haben sich Mitarbeiter selbst Arbeitsorganisationen geschaffen.

Daher empfiehlt es sich immer, Mitarbeiter in die Überlegungen einzubeziehen. Sie sind es, die das „Erfahrungswissen“ in ihren Köpfen gespeichert haben. Das vorhandene Wissen ist zur Erstellung einer wirklichkeitsnahen Verfahrensdokumentation unbedingt notwendig.

Richtig umgesetzt stellt das Verlangen der Finanzverwaltung, eine Verfahrensdokumentation vorzulegen, für alle KMU eine große Chance dar. Können doch durch Prozessbeschreibungen Abläufe vereinheitlicht und vereinfacht, Strukturen und Zuständigkeiten durchdacht und schließlich schriftlich festgehalten werden.

Beachten Sie: Die Erfahrung zeigt: KMU erreichen hierdurch deutliche Einsparungen in vielen Bereichen.
Eine Verfahrensdokumentation muss auch „gelebt“ werden. Abweichungen zwischen der Beschreibung und den tatsächlichen Abläufen können nicht nur bei einer steuerlichen Betriebsprüfung zu erheblichen Nachteilen führen. Vereinzelt werden auch Opportunitätsüberlegungen angestellt, in denen die Wahrscheinlichkeit und mögliche Höhe einer Zuschätzung mit den Kosten zur Erstellung einer Verfahrensdokumentation verglichen werden.
Derartige Spekulationen sind gefährlich, da Steuernachforderungen und Zinsen darauf sowie mögliche strafrechtliche Konsequenzen existenzgefährdend sein können.

Wesentliche Bestandteile einer Verfahrensdokumentation

Trotz der in den GoBD enthaltenen Anforderungen an eine Verfahrensdokumentation gibt es noch genügend Raum für Interpretationen. Die Zielsetzung der Finanzverwaltung scheint klar: Jeder Unternehmer soll seine Verfahrensdokumentation erstellen. Ob sie als geeignet anerkannt wird, entscheidet der jeweilige Betriebsprüfer. „Sicherheit“ wird wohl erst dann vorliegen, wenn sich die Finanzgerichte mit der Ausgestaltung der Verfahrensdokumentation beschäftigt haben.

Anforderungen nach den GoBD
GoBD Rn. 152: Die Verfahrensdokumentation beschreibt den organisatorisch und technisch gewollten Prozess, z. B. bei elektronischen Dokumenten von der Entstehung der Informationen über die Indizierung, Verarbeitung und Speicherung, dem eindeutigen Wiederfinden und der maschinellen Auswertbarkeit, der Absicherung gegen Verlust und Verfälschung und der Reproduktion.

GoBD Rn. 153: Die Verfahrensdokumentation besteht in der Regel aus einer allgemeinen Beschreibung, einer Anwenderdokumentation, einer technischen Systemdokumentation und einer Betriebsdokumentation.

Belege, Unterlagen und Dokumente in Papierform sind in der Verfahrensdokumentation wie elektronische Dateien zu berücksichtigen. Der Verzicht auf einen Papierbeleg darf die Möglichkeit der Nachvollziehbarkeit und Nachprüfbarkeit nicht beeinträchtigen (GoBD Rn. 141).
Daraus lassen sich die wesentlichen Inhalte einer Verfahrensdokumentation bestimmen:
Allgemeine Beschreibung der

• Organisation des Unternehmens,
• Mitarbeiter-Verantwortlichkeiten (z. B. für bestimmte Aufgaben),
• Mitarbeiter-Tätigkeiten (z. B. für bestimmte Aufgaben),
• Tätigkeitsbereiche.

Anwenderdokumentation (z. B. die Bedienungsanleitung für sachgerechte Nutzung der eingesetzten EDV- bzw. IT-Systeme).
Bei der technischen Dokumentation geht es um die Beschreibung der EDV-Umgebung. Zu beantworten sind u. a. folgende Fragen:
• Welche Software wird genutzt?
• Welche Hardware, Netzwerke, ASP- oder Cloud-Anwendungen sind im Einsatz?
• Welche Daten-Strukturen bestehen?
• Wie arbeiten die einzelnen EDV-Bereiche (z. B. Schnittstellen für Datenübertragungen) zusammen?
• Wie sind Datenschutz und Datensicherung organisiert?

Bei der Erstellung der Betriebsdokumentation geht es um die Beschreibung der Belegorganisation sowie der Einhaltung der Vorgaben der Software-Programme.
Gerade bei KMU überschneiden sich die Bereiche. Da jeder Beleg Auswirkungen auf die Inhalte eines oder mehrerer DV-Systeme haben kann, also Bestandteil eines Vorsystems sein kann, müssen auch die Abläufe der Vor- und Nebensysteme beschrieben werden. Die Darstellung muss Struktur, Aufbau und Ergebnisse aller EDV-Verfahren vollständig und schlüssig umfassen.

Als DV-System im Sinne der GoBD gelten insbesondere das Hauptbuchführungssystem und die Vor- und Nebensysteme, z. B. Anlagenbuchführung, Lohn- und Gehaltsabrechnung, Kassensysteme, Zahlungsverkehrssystem, Geldspielgeräte sowie die Behandlung und Bearbeitung von Eingangsrechnungen und Ausgangsrechnungen.
Falls vorhanden, gehören auch Systeme wie Taxameter, elektronische Waagen, Materialwirtschaft, Zeiterfassung, Archivsystem und Dokumentenmanagementsystem zu den DV-Systemen.

Beachten Sie: Soweit Schnittstellen zwischen den DV-Systemen bestehen, sind diese zu beschreiben.

Internes Kontrollsystem
Für die Einhaltung der Ordnungsvorschriften für die Buchführung und für Aufzeichnungen müssen Steuerpflichtige Kontrollen einrichten, ausüben und protokollieren (z. B. Zugangs- und Zugriffsberechtigungskontrollen).
Die konkrete Ausgestaltung des Kontrollsystems ist abhängig von der Komplexität und Diversifikation der Geschäftstätigkeit, der Organisationsstruktur sowie des DV-Systems.

Merke: Die Beschreibung des für jeden Unternehmer unverzichtbaren internen Kontrollsystems (IKS) ist Bestandteil der Verfahrensdokumentation (vgl. Rn. 102 der GoBD).

Ein funktionierendes IKS kann auch bei Fehlerberichtigungen des Steuerpflichtigen von enormer Bedeutung sein. Hier stellt sich nämlich oft die Frage, ob eine „einfache“ Berichtigung nach § 153 der Abgabenordnung (AO) genügt oder ob eine Selbstanzeige nach § 371 AO erforderlich ist.
Hierzu heißt es in Rn. 2.6 des Anwendungserlasses zu § 153 AO: „Hat der Steuerpflichtige ein innerbetriebliches Kontrollsystem eingerichtet, das der Erfüllung der steuerlichen Pflichten dient, kann dies ggf. ein Indiz darstellen, das gegen das Vorliegen eines Vorsatzes oder der Leichtfertigkeit sprechen kann, jedoch befreit dies nicht von einer Prüfung des jeweiligen Einzelfalls.“ Ein IKS ist also unverzichtbar.

Zeitrahmen der Einführung einer Verfahrensdokumentation
Seit dem Inkrafttreten der GoBD, das ist der 1.1.2015, muss eine Verfahrensdokumentation vorliegen. Falsch sind vor allem im Internet verbreitete Hinweise auf Schonfristen bezüglich eines späteren Inkrafttretens.

Bei Betriebsprüfungen wird offenbar vereinzelt die Ansicht vertreten, die Verpflichtung zur Vorlage einer Verfahrensdokumentation bestehe schon seit Inkrafttreten der GoBS (Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme vom 7.11.1995 [BStBl I 2015, S. 738], in Kraft getreten am 14.12.1995).

Aus einer Nichtvorlage der Verfahrensdokumentation für die Zeit vor dem 1.1.2015 für den jeweiligen Unternehmer nachteilige Folgen anzunehmen, dürfte nach der hier vertretenen Auffassung eine unzulässige rückwirkende Verschärfung darstellen. Denn der im Übrigen nur die Finanzverwaltung bindende Hinweis in der Rn. 155 der GoBD (vgl. hierzu die Ausführungen unter 1.) ist erst am 1.1.2015 in Kraft getreten.

Daran ändert es auch nichts, dass der Begriff „Verfahrensdokumentation“ in den GoBS vom 7.11.1995 mehrfach genannt wurde. Denn weder die Finanzverwaltung noch die Unternehmer und deren Berater konnten genau beurteilen, was hierunter zu verstehen ist. Noch viel weniger mussten Unternehmer mit derart einschneidenden Folgen rechnen. Im Übrigen ist selbst bei der Rechtslage seit dem 1.1.2015 derzeit nicht gewiss, was die Finanzverwaltung unter „ungenügender Verfahrensdokumentation“ im Einzelfall versteht.

Besonderes Augenmerk erlangt die Verfahrensdokumentation auch vor der ab 1.1.2018 möglichen Kassen-Nachschau.

Hintergrund: Die Kassen-Nachschau ist ein eigenständiges Verfahren zur zeitnahen Aufklärung steuererheblicher Sachverhalte, u. a. im Zusammenhang mit der ordnungsgemäßen Erfassung von Geschäftsvorfällen. Die Kassen-Nachschau erfolgt grundsätzlich beim Steuerpflichtigen durch einen Amtsträger der Finanzbehörde – und zwar ohne vorherige Ankündigung und außerhalb einer Außenprüfung.
In dem Entwurfsschreiben des Bundesfinanzministeriums zum Anwendungserlass zu § 146b AO (= Kassen-Nachschau) heißt es u. a. „Auf Anforderung des Amtsträgers (ist) die Verfahrensdokumentation … vorzulegen, …“ Es ist damit zu rechnen, dass die Finanzbeamten hiervon Gebrauch machen werden. Mögliche Folgen einer Nichtvorlage sind derzeit noch nicht bekannt.

Eine schriftliche Verfahrensdokumentation fehlt – was tun?
Liegt keine schriftliche Verfahrensdokumentation vor, dürfte es zielführend sein, möglichst umgehend mit der Erstellung unter Berücksichtigung der aktuellen Abläufe im Unternehmen zu beginnen. Hierbei kann es sehr hilfreich sein, sich auf alle vorhandenen Beschreibungen (vergleiche auch unter 2.) zu stützen und diese als Basis zu verwenden. In Betracht kommen beispielsweise:

  • Vorhandene schriftliche Arbeits- und Organisationsanweisungen (in manchem nicht beachteten Ordner mit derartigen Dokumenten findet man mitunter Regelungen, an die man gar nicht mehr gedacht hat, die aber im Unternehmen immer noch gültig sind),
  • Niederschrift aller mündlich erteilten und im Unternehmen „gelebten“ Organisationsanweisungen,
  • von Mitarbeitern individuell erzeugte Notizen über Betriebsabläufe (z. B. als Arbeitshilfe für Urlaubs- und Krankheitsvertretungen),
  • Niederschriften über besondere Arbeitsabläufe,
  • Heranziehung von EDV–Programmbeschreibungen,
  • Berücksichtigung von EDV-Bedienungsanleitungen (z. B. zum Ablauf der Datensicherung),
  • Heranziehung der Sicherheitsrichtlinien und des EDV-Sicherheitskonzepts.

Merke: Diese Liste wird je nach Unternehmen kürzer oder länger sein und auch viele nicht benötigte Informationen enthalten. Daher ist sie an den von der Finanzverwaltung geforderten Umfang einer Verfahrensdokumentation anzupassen.

Wichtig ist bei der Verfahrensdokumentation insbesondere, dass sie

• vollständig ist,
• klare Strukturen enthält und
• widersprüchliche Anweisungen oder Beschreibungen vermeidet.

Beachten Sie: Fehlende Ablaufbeschreibungen müssen Zug um Zug erarbeitet und eingefügt werden.

Fehlende oder ungenügende Verfahrensdokumentation
Sanktioniert werden kann eine fehlende oder ungenügende Verfahrensdokumentation.
Es liegt immer eine Art Verfahrensdokumentation vor. Der Begriff „Fehlen“ kann sich also nur darauf beziehen, dass keine schriftliche Verfahrensdokumentation vorliegt. Wenn hierdurch die Nachvollziehbarkeit und Nachprüfbarkeit nicht beeinträchtigt ist, liegt kein formeller Mangel vor. Dieses Argument wird natürlich bei zunehmender Digitalisierung immer schwächer.

Die Entscheidung liegt beim jeweiligen Betriebsprüfer. Es wird von einfacheren Fällen berichtet, in denen dem Prüfer die Abläufe mündlich erklärt wurden, sodass er seine Prüfung in angemessener Zeit durchführen konnte. Hier erfolgte dann aber auch der – unbedingt zu beachtende – Hinweis, dass bei der nächsten Prüfung eine schriftliche Verfahrensdokumentation vorgelegt werden muss.
Bei der Annahme einer ungenügenden Verfahrensdokumentation wird man darüber befinden müssen, ob sie – gegebenenfalls zusammen mit ergänzenden Erläuterungen – doch noch ausreicht.
Selbst wenn man nach bestem eigenen Ermessen eine „genügende“ Verfahrensdokumentation erstellt hat, kann es vorkommen, dass der Betriebsprüfer diese als ungenügend bezeichnet und als Folge die Buchführung verwerfen möchte.
Praxishinweis: Wie so oft im Steuerrecht kommt es auf den jeweiligen Einzelfall an. Da klare Vorgaben seitens der Finanzverwaltung fehlen, bleibt es wohl der Rechtsprechung vorbehalten, für „weitere“ Klarheit zu sorgen.

Rückwirkende Erstellung und Versionierung
In Rn. 154 der GoBD verlangt die Finanzverwaltung, dass die Verfahrensdokumentation bei Änderungen zu versionieren und eine nachvollziehbare Änderungshistorie vorzuhalten ist.
Für die Zukunft bedeutet das, dass man sich einen Erinnerungstermin (zum Beispiel nach sechs oder längstens nach zwölf Monaten) vormerkt, zu dem die bisherige Version überprüft und gegebenenfalls durch eine neue ersetzt wird. Hierbei handelt es sich um eine Vollversion, die alle Änderungen enthält. Die bisherige Version muss, versehen mit Gültigkeitsdatum, aufbewahrt werden.
Bei einer Erstellung für die Vergangenheit ist zu beachten, dass formelle Mängel mit sachlichem Gewicht grundsätzlich nicht rückwirkend behoben werden können.

Die Verfahrensdokumentation muss wahr sein
Die Verfahrensdokumentation muss verständlich und damit für einen sachverständigen Dritten in angemessener Zeit nachprüfbar sein (GoBD, Rn. 151).
Vor allem muss die Verfahrensdokumentation wahr sein. Es wäre ein großer Fehler, wenn dort Prozesse anders beschrieben sind, als sie in der Praxis ablaufen. Der Prüfer würde in einem solchen Fall wohl zu Recht einwenden können, dass er durch derartige Falschinformationen in seiner Prüfung behindert wurde.
Daher sollte nach der erstmaligen Einführung der Verfahrensdokumentation in zunächst kurzen Zeitabschnitten überprüft werden, ob alles tatsächlich so abläuft, wie es beschrieben wurde. Wenn nein, gibt es zwei Möglichkeiten:

  • Die Abläufe werden an die Beschreibungen angepasst. Denn schließlich hat man sich ja bei der Erstformulierung etwas gedacht und auch vorgenommen.
  • Die Verfahrensdokumentation wird an die tatsächlichen Abläufe angepasst, weil man inzwischen bessere Erkenntnisse hat. Grundsätzlich muss dann aber eine neue Version erstellt werden. Beachten Sie: Die Überprüfungsintervalle können nach der Einführungszeit verlängert werden.10. Muster-Verfahrensdokumentation Eine Verfahrensdokumentation „per Knopfdruck“ ist nicht möglich. Um die Prozesse verständlich darzustellen, sind schon etwas Zeit und Akribie notwendig. Die Ausgestaltung hängt u. a. auch von der jeweiligen Branche und der vorhandenen Digitalisierung ab. Checklisten und Muster dürften aber zumindest für Arbeitserleichterung sorgen. An dieser Stelle soll exemplarisch auf zwei Muster-Verfahrensdokumentationen hingewiesen werden:
  • Muster-Verfahrensdokumentation zur Digitalisierung und elektronischen Aufbewahrung von Belegen inkl. Vernichtung der Papierbelege (gemeinsam erarbeitet durch die Bundessteuerberaterkammer und den Deutschen Steuerberaterverband e. V..

    AWV Muster-Verfahrensdokumentation zur Belegablage (erstellt durch den Arbeitskreis „Auslegung der GoB beim Einsatz neuer Organisationstechnologien“ der Arbeitsgemeinschaft für wirtschaftliche Verwaltung e. V.

Zuständigkeiten bei der Belegablage
Das Verfahren der Belegablage ist im Kapitel … in seinen Einzelschritten dargestellt. Im Folgenden werden die Mitarbeiter benannt, die jeweils zur Durchführung einzelner Verarbeitungsschritte eingewiesen und autorisiert sind.

Tätigkeit

  1. Posteingang (konventionell in Papierform; zum digitalen Posteingang – insbesondere per E-Mail – vgl. unter …) und Vorsortierung der relevanten Dokumente
  2. Identifikation der Belege inkl. Prüfung auf Echtheit (buchführungs-/aufzeichnungspflichtige und somit aufbewahrungspflichtige Dokumente in Papierform als auch originär digital eingehende Dokumente)
  3. Prüfung der eingehenden Rechnungen (insbesondere auch elektronische Rechnungen) im Hinblick auf die Vollständigkeit und Richtigkeit (insbesondere Pflichtangaben des § 14 Abs. 4 UStG) und im Hinblick auf die korrekte Übermittlung bei elektronischen Rechnungen (Gewährleistung der Echtheit der Herkunft, der Unversehrtheit des Inhalts sowie der Lesbarkeit)
  4. Digitalisierung von ursprünglich im Original in Papierform eingegangenen Dokumenten
  5. Ablage der Belege in der vorgesehenen Ordnung
  6. Aufbereitung der Belege für die weitere Bearbeitung, insbesondere Buchung
  7. Weitergabe und/oder Entgegennahme/Rücknahme von Belegen an bzw. von Dritte(n) für Zwecke der (Aufbereitung, Buchung und/oder Archivierung)
  8. Archivierung der Belege nach der Erfassung in Grund(buch)aufzeichnungen oder Buchungen
  9. Die postalische Entgegennahme, Identifikation, Ablage, Aufbereitung und Archivierung von Dokumenten mit Belegfunktion, die laut unternehmensinterner Vorgaben (vgl. Anlage … ) als besonders schutzwürdig gelten, ist nur folgenden Personen gestattet
  10. Die Ablage erfolgt in diesen Fällen gesondert (auf einem eigenen Export-Datenpfad, der Zugang auf diesen ist nur diesen Personen gestattet, zur Sicherstellung dient (Verfahren, z. B. Login)). Zusätzlich sind die Dokumente individuell mit einem Passwortschutz zu versehen. Der Passwortschutz wird durch [Programmname, Version] sichergestellt.
  11. Freigabe zur Vernichtung von Papierbelegen (nicht vor Ablauf der Aufbewahrungsfrist)

Die Vernichtung der originären Papierbelege erfolgt durch (interne Stelle/externen Dienstleister)
Freigabe zur Löschung der digitalen Archivbestände (nicht vor Ablauf der Aufbewahrungsfrist)
Löschung der digitalen Archivbestände

  • ggf. Personalnummer oder Organisationseinheit bzw. Funktion im Unternehmen

Haftungsausschluss
Der Inhalt des Rundschreibens ist nach bestem Wissen und Kenntnisstand erstellt worden. Die Komplexität und der ständige Wandel der Rechtsmaterie machen es notwendig, Haftung und Gewähr auszuschließen. Das Rundschreiben ersetzt nicht die individuelle persönliche Beratung.

Bundesbeauftragter für Datenschutz nutzt erstmals Konsultationsverfahren

In dieser Woche beginnt der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Ulrich Kelber seine erste öffentliche Konsultation, und dies zu einem aktuellen und zugleich komplexen Thema.

Bundesbeauftragter für Datenschutz führt Konsultationsverfahren zu Anonymisierung durch Ist die Anonymisierung von Daten eine Verarbeitung? Welche Rechtsgrundlage wird benötigt? Die unklare juristische Situation will der BfDI mit einem Konsultationsverfahren klären. Betroffene Unternehmen, Verbände, Behörden und Co sollen sich jetzt äußern. Im ersten Konsultationsverfahren des BfDI geht es um die Anonymisierung personenbezogener Daten. Die Behörde bittet Experten um ihre Meinung, denn die Rechtslage ist in dieser Hinsicht nicht eindeutig. Im Fokus sollen bei der Beratung Daten im Bereich der Telekommunikation stehen. Als Beispiel nennt der BfDI Standortdaten im Mobilfunknetz.

Ist Anonymisierung eine Verarbeitung?
Die zentrale Frage ist, ob und wann das Anonymisieren von Daten eine Verarbeitung im Sinne des Datenschutzrechts darstellt. Dabei gilt es auch zu beantworten, welche Rechtsgrundlage die Verantwortlichen dafür benötigen.

Wer ist an der Konsultation beteiligt?
Der BfDI bietet auf seiner Webseite eine Diskussionsgrundlage. Das Dokument beschreibt die Position der Behörde zum Thema Anonymisierung.

Im Rahmen der Konsultation sollen

  • betroffene Fachkreise,
  • öffentliche und nicht-öffentliche Stellen sowie
  • gesellschaftliche Organisationen
    den Entwurf kommentieren und Stellungnahmen dazu abgeben. In diesem konkreten Fall sind insbesondere die Anbieter von Telekommunikations-Diensten und deren Verbänden gefordert.

Was ist das Ziel des Verfahrens?
Das Ziel der Konsultation ist es, eine öffentliche Diskussion über die Anonymisierung personenbezogener Daten anzustoßen. Anschließend wird der BfDI die im Rahmen der Konsultation eingegangenen Stellungnahmen auswerten. Dazu wird Kelbers Behörde dann ein Positionspapier veröffentlichen. Ziel ist es, somit allen Verantwortlichen Orientierung zur Anonymisierung zu geben.

Stellungnahmen können bis zum 9. März eingereicht werden. Dazu hat der BfDI die E-Mail-Adresse „konsultation@bfdi.bund.de” eingerichtet.

In Zukunft mehr Konsultationen
Diese Konsultation soll kein Einzelfall bleiben. Dazu führt Professor Ulrich Kelber aus: „Das Konsultationsverfahren ist ein weiterer Schritt zu noch mehr Transparenz in meiner Behörde. Der Datenschutz lebt von einer breiten gesellschaftlichen Diskussion. Daher werde ich zukünftig vermehrt auf dieses Mittel der Öffentlichkeitsbeteiligung zurückgreifen. Wir wollen alle Stimmen hören, um gemeinsam konstruktive Vorschläge zu erarbeiten. Ich fordere die Expertinnen und Experten auf, diese Möglichkeit intensiv zu nutzen.”

Betroffene kommen zu Wort
Gerade die Verbände aus der ITK-Industrie äußern sich häufig kritisch zur DSGVO und deren Umsetzung. Deshalb scheint die öffentliche Konsultation ein geeigneter Schritt zu sein. So werden die unmittelbar Betroffenen auch zu Beteiligten des Verfahrens. Inwieweit die eingeladenen öffentlichen und nicht-öffentlichen Stellen diese Möglichkeit nutzen, wird das Positionspapier zeigen.

Elektronische Patientenakte

Doctors brainstorming

Röntgenbilder, Impfausweis und Mutterpass auf dem Smartphone 

Doctors brainstorming


Ab 2021 sollen es eine digitale Patientenakte geben. Das Gesundheitsministerium hat Details dazu vorgestellt. Patienten sollen auch selbst auf die Daten zugreifen können.

Bundesgesundheitsminister Jens Spahn (CDU) treibt die Pläne für eine sogenannten elektronischen Patientenakte voran. Spahn gab den Entwurf für ein “Patientendaten-Schutzgesetz” zur Abstimmung in die Bundesregierung. Das Gesetz soll sicherstellen, dass die Daten sicher sind. “Ziel ist, dass elektronische Patientendaten nicht in falsche Hände geraten“, sagte Spahn. “Ziel ist es aber auch, Patientinnen und Patienten die Chance zu geben, ihre Daten auch vernünftig nutzen zu können.”

Ab dem 1. Januar 2021 sollen Ärztinnen, Ärzte und Krankenhäuser auf Wunsch der Patienten für diese eine elektronische Akte anlegen können. Dort können Röntgenbilder, ärztliche Befunde, Behandlungsberichte oder Angaben über regelmäßig eingenommene Medikamente hinterlegt werden. Die Patienten sollen auf diese Daten dann aber auch selbst Zugriff bekommen, und zwar über eine Smartphone-App, die ihnen Krankenkassen zur Verfügung stellen. Zusätzlich können Patienten eigene Daten eintragen, wie Werte von Blutzuckermessungen. Die Idee: Jeder hätte damit, egal wo er behandelt wird, seine medizinische Vorgeschichte immer mit dabei.

Spahn verwies am Donnerstag aber darauf, dass die Erstellung einer solchen E-Akte freiwillig sei. Auch werden nicht gleich mit dem Start 2021 alle Funktionen vorhanden sein. Erst ab 2022 können auch Impfdaten, das Zahn-Bonusheft, der Mutterpass oder das gelbe U-Heft für Kinder in der Patientenakte hinterlegt werden. Ebenfalls erst ab 2022 wird es möglich sein, für jedes einzelne Dokument in der Akte festzulegen, welcher Arzt darauf Zugriff haben soll und welcher nicht. In der Anfangsphase können Patienten dem Arzt nur die ganze Akte zur Einsicht freigeben oder gar nichts. Der Vorstand der Deutschen Stiftung Patientenschutz, Eugen Brysch, nannte das am Donnerstag einen “Geburtsfehler”. So schaffe Gesundheitsminister kein Vertrauen bei den Patienten, kritisierte er.

Das Rezept kommt per Handy

Zur Frage, wie gut die eigenen Gesundheitsdaten gesichert sein können, wenn sie über eine App auf dem Handy abrufbar sind, sagte Spahn, die Apps der Krankenkassen müssten den höchsten Sicherheitsansprüchen Rechnung tragen. Er verwies als Beispiel auf andere Anwendungen, wie das Onlinebanking auf dem Smartphone mit sogenannter Zwei-Faktor-Authentifizierung, wo ein Zugriff auf das Konto nur mit PIN-Nummer oder Fingerabdruck und zusätzlicher Transaktionsnummer (TAN) möglich ist.

Ab 2023 sollen Versicherte die Daten auf ihrer Patientenakte auch freiwillig für Forschungszwecke zur Verfügung stellen können. Geplant ist außerdem die Einführung einer App für Rezepte. Ärzte sollen die Verschreibung künftig direkt auf das Handy des Patienten schicken können, zum Beispiel, wenn ein neues Rezept für ein Dauermedikament nötig wird. Die Rezept-App soll unabhängig von der E-Patientenakte sein und im Laufe des Jahres 2021 zur Verfügung gestellt werden.

Die Bereitschaft, solche Angebote zu nutzen, scheint da: Eine Umfrage des Digitalverbands Bitkom hatte im vorigen Jahr ergeben, dass fast zwei Drittel der Bevölkerung E-Akten “auf jeden Fall” oder “eher” nutzen würden