Maßnahmen zur Einhaltung der GoBs sowie der GoBD (Deutschland)

Das Bundesministerium für Finanzen (BMF, Deutschland) hat mit Schreiben vom 14. November 2014 die Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD) festgelegt.

 PDF

Die GoBD ergänzen die bis zu diesem Zeitpunkt gültigen Vorschriften der GDPdU. Diese beschreiben drei Zugriffsvarianten auf Daten, die „originär digital“ erzeugt wurden, also mit Hilfe eines Datenverarbeitungssystems. Im Falle von Amadeus II fallen alle einzelnen Buchungen in diese Kategorie.

Datenzugriff

Das BMF hat in oben genannten Schreiben drei Arten des Datenzugriffs definiert. Wie diese in Amadeus II abgebildet sind, wird im Folgenden beschrieben. Bei Auszügen aus dem oben genannten Schreiben (kursiv) ist mit „Sie“ die Finanzbehörde gemeint.

Z1, Unmittelbarer Lesezugriff:

Sie hat das Recht, selbst unmittelbar auf das Datenverarbeitungssystem dergestalt zuzugreifen, dass sie in Form des Nur-Lesezugriffs Einsicht in die gespeicherten Daten nimmt und die vom Steuerpflichtigen oder von einem beauftragten Dritten eingesetzte Hard- und Software zur Prüfung der gespeicherten Daten einschließlich der Stammdaten und Verknüpfungen (Daten) nutzt (unmittelbarer Datenzugriff). Dabei darf sie nur mit Hilfe dieser Hard- und Software auf die elektronisch gespeicherten Daten zugreifen. Dies schließt eine Fernabfrage (Online-Zugriff) auf das Datenverarbeitungssystem des Steuerpflichtigen durch die Finanzbehörde aus.

Der Nur-Lesezugriff umfasst das Lesen, Filtern und Sortieren der Daten gegebenenfalls unter Nutzung der im Datenverarbeitungssystem vorhandenen Auswertungs-Möglichkeiten.

Diese Art des Zugriffs entspricht bei Amadeus II der Zugriff auf das Reportingmodul. Hier können alle in der Amadeus II Datenbank gespeicherten Daten abgerufen, aber nicht mehr verändert werden.

Z2, Mittelbarer Lesezugriff:

Sie kann vom Steuerpflichtigen auch verlangen, dass er an ihrer Stelle die Daten nach ihren Vorgaben maschinell auswertet oder von einem beauftragten Dritten maschinell auswerten lässt, um den Nur-Lesezugriff durchführen zu können (mittelbarer Datenzugriff). Es kann nur eine maschinelle Auswertung unter Verwendung der im Datenverarbeitungssystem des Steuerpflichtigen oder des beauftragten Dritten vorhandenen Auswertungsmöglichkeiten verlangt werden.

Amadeus II stellt hierfür ebenfalls über das Reportingmodul csv-Exporte für die meisten Berichte zur Verfügung. CSV ist ein gängiges maschinenlesbares Format und erfüllt somit die Anforderungen des Datenzugriffs Z2.

Z3, Datenträgerüberlassung in verschiedenen Formaten:

Sie kann ferner verlangen, dass ihr die gespeicherten Unterlagen auf einem maschinell verwertbaren Datenträger zur Auswertung überlassen werden (Datenträgerüberlassung). Der zur Auswertung überlassene Datenträger ist spätestens nach Bestandskraft der aufgrund der Außenprüfung ergangenen Bescheide an den Steuerpflichtigen zurückzugeben oder zu löschen.

In Amadeus II gibt es hierfür die IDEA-Schnittstelle, die alle relevanten Daten in dem vom BMF empfohlen Format (Beschreibungsstandard) darstellt. Den IDEA-Export finden Sie im Amadeus II Backoffice unter dem Punkt „Point of Sales => Stammdaten => Import/Export. Die genaue Beschreibung dieser Funktion entnehmen Sie bitte dem Punkt IDEA-Schnittstelle weiter oben in dieser Dokumentation.

Über Amadeus II können also alle drei Varianten des Datenzugriffs abgebildet werden.

Stammdatenänderung der Artikel

Die Änderung der Artikelstammdaten kann im Amadeus II über das Buchungsjournal verfolgt werden. Mit jeder Buchung werden neben dem Namen des Artikels der Verkaufspreis, die Anzahl, der Steuersatz, der entsprechende Kellner sowie weitere Daten gespeichert. Aus diesen Daten lässt sich jede Stammdatenänderung seit der Erstprogrammierung nachvollziehen. Dieses Verfahren kann mit jeder Amadeus II - Version angewandt werden. 

Änderungen mit Version 1.4.6, ab Anfang Dezember 2018: Im Amadeus II Reporting kann unter dem Punkt "Auswertungen/Export" das Stammdatenänderungsprotokoll exportiert werden. In diesem Protokoll werden die folgenden Änderungen an Artikelstammdaten erfasst: 

  • Artikelname
  • Artikelpreis je Verkaufsstelle und Preislevel

Besonderheiten dieses Exportformats: Artikel mit freier Preiseingabe werden bei jeder Bonierung, bei der ein geänderter Preis zur letzten Bonierung eingegeben wird in diesem Protokoll als "Preisänderung" erfasst. In diesem Protokoll nicht erfasst sind Änderungen der Steuersätze, da der Steuersatz erst final mit der Bonierung bzw. mit Rechnungsabschluss festgelegt wird und daher in den Bewegungsdaten erfasst ist. Änderungen an Artikelstammdaten werden erst mit der ersten Bonierung der neuen Stammdaten im Änderungsprotokoll erfasst. 

Änderungen mit Version 1.4.7, ab Februar 2019: Ab Version 1.4.7 können die folgenden Protokolle über das Amadeus II Reporting abgerufen werden: 

  • Änderungsprotokoll der Artikelstammdaten
  • Änderungen der Bediener
  • Änderungen der Kellnerrollen (Berechtigungen)
  • Änderungen der Finanzwege


Zum Thema der "Programmierprotokolle" bzw. der Stammdatenänderung und deren Speicherung gibt es auch einige Entscheidungen den BFH. In diesen geht das BFH davon aus, dass, sofern der Beweis erbracht werden kann, dass die Kasse nicht manipuliert wurde, die Änderung der Artikelstammdaten auch in den Bewegungsdaten enthalten sein kann. Das Einführen der erweiterten Protokollierung mit Version 1.4.7 dient lediglich einer vereinfachten Prüfung dieser Änderungen. Die eigentlich relevanten Daten sind nach wie vor die Bewegungsdaten, da nur diese die tatsächlich getätigten und auf der Rechnung ausgewiesenen Umsätze enthalten. 

     PDF PDF PDF

Unveränderbarkeit der Daten

Weiterhin verlangt die Vorschrift der GoBD, dass originär digitale Daten unveränderbar abgelegt werden bzw. belegbar ist, dass die Daten nachträglich nicht mehr verändert werden. Die Unveränderbarkeit wird in Amadeus II über mehrere Mechanismen sichergestellt.

Zugriff auf die Datenbank

Die Datenbank in Amadeus II ist vor direktem Zugriff durch den Anwender geschützt. Die für den schreibenden und lesenden Zugriff nötigen Passwörter sind weder dem Anwender noch dem Kassentechniker bekannt, nur der Hersteller der Software und deren Mitarbeiter können direkt auf die Datenbank zugreifen. Der direkte Zugang zur Datenbank kann den Finanzbehörden auf Anfrage ermöglicht werden. Gleichzeitig muss festgehalten werden, dass eine auf einem lokalen Datenträger gehaltene Datenbank nach heutigem Stand der Technik nicht zu 100% abgesichert werden kann.

Eindeutige Schlüssel für Buchungen und Rechnungen

Vor allem aufgrund der nicht zu 100% garantierten Unveränderbarkeit der Daten in einer lokal abgelegten Datenbank wird in Amadeus II jede Buchung sowie jede Rechnung mit einem aus den Daten der Buchung oder der Rechnung erzeugten Schlüssel „signiert“, es wird ein Hash-Wert gebildet. Der Algorithmus zur Bildung dieses Hash-Wertes ist nur der Entwicklungsabteilung der Gastro-MIS bekannt. Auf Anfrage kann somit jede Buchung und jeder Rechnungsdatensatz (Finanzweg) auf nachträgliche Manipulation geprüft werden.

Nachweis der Signatur

Zusätzlich zur Speicherung der Hash-Werte wir auf den gedruckten Beleg (Rechnung) dieser Hash-Wert mit angedruckt, sodass eine Kontrolle der Daten auch über den gedruckten Beleg im Vergleich mit den für diesen Beleg gespeicherten Daten in der Datenbank möglich ist. Eine fortlaufende Nummer jedes Belegs, welche Bestandteil des Hash-Wertes ist, verhindert das Löschen ganzer Datensätze.

Kombination der Maßnahmen

Jede der oben genannten Sicherungsmaßnahmen für sich stellt die Unveränderbarkeit der Buchungsdaten nicht zu 100% sicher. Erst die Kombination dieser drei Maßnahmen ermöglicht es Amadeus II auf einem per se veränderbaren Datenträger (Festplatte) eine hohe Quote an Unveränderbarkeit herzustellen. Selbst im Falle eines Einbruchs in die Datenbank kann jede einzelne Buchung anhand der Hash-Werte überprüft werden. Im Falle des kompletten Entfernens einzelner Buchungen, würde die Differenz, zur ebenfalls per Hash abgesicherten Rechnungssumme, einen Hinweis auf Manipulation geben. Schließlich verhindert sowohl die fortlaufende Rechnungsnummer als auch das Andrucken der Signatur auf der Rechnung, dass Rechnungsdaten gelöscht werden können.

Nach heutigem Stand der Technik und bestem Wissen und Gewissen des Herstellers ist durch die Kombination dieser drei Mechanismen eine Manipulation der Daten/Buchungen in Amadeus II ausgeschlossen. Alle drei Mechanismen müssen im Falle eines Verdachts geprüft werden und stellen nur zusammen eine qualifizierte Prüfung sicher.  

Zertifizierung der Export-Schnittstelle

Amadeus II verfügt über eine durch den Hersteller der Prüfsoftware IDEA zertifizierten Export-Schnittstelle für alle steuerrelevanten Daten. 

 PDF