Cybercrime und andere elementare Datenverluste in der Steuerwelt

Allgemeines

In der analogen Welt wurden Wertsachen in Form von Geld und Schmuck häufig unter dem Kopfkissen oder in der Matratze gelagert. In der digitalen datengetriebenen Welt lagern wir unsere virtuellen Schätze (Passwörter, Dateien, Kryptowährungen …) lokal auf Festplatten, in der Cloud oder im „Schlüsselbund“ bzw. dem Wallet des Smartphones. Früher musste ein Dieb mit großem Sack in das Schlafzimmer einsteigen, um die Wertsachen mitzunehmen. Heutzutage kann der Dieb von irgendeiner entlegenen Insel auf der Welt die Wertsachen stehlen. Hierfür benötigt er nur eine Internetverbindung und ggf. eine massenhaft versandte E-Mail. 

Bei diesen digital-kriminellen Aktionen spricht man von Cybercrime bzw. Computerkriminalität. Hierbei handelt es sich um Straftaten, die grob gesagt im digitalen Bereich begangen werden. 

Arten des Cybercrime 

Typische Betrugsfelder sind u.a.: 

  • E-Mail- oder Internetbetrug,
  • Identitätsbetrug (persönliche Daten werden gestohlen und missbraucht),
  • Diebstahl von Kreditkarten und anderen finanziellen Daten,
  • Diebstahl von Unternehmensdaten,
  • Cyber-Erpressung (Hacker verlangen Geld, um drohende Angriffe abzuwenden),
  • Angriffe durch Ransomware,(Ransomware ist eine Malware und verschlüsselt alle Dateien auf dem Rechner. Ohne einen entsprechenden Key können die Daten oder der komplette Computer nicht mehr genutzt werden. Bei Zahlung eines Lösegeldes (häufig Kryptowährungen) wird das Entschlüsselungstool geliefert (in den meisten Fällen) 
  • Cryptojacking (zum Generieren von Cryptowährungen benutzen Hacker Ressourcen, die sie nicht besitzen),
  • Cyberspionage (Hacker verschaffen sich Zugriff auf Regierungs- oder Unternehmensdaten).

Bezug zur Steuerwelt 

Anforderungen an Buchungen und Aufzeichnungen

Nach § 146 Abs.1 S. 1 AO sind die Buchungen und die sonst erforderlichen Aufzeichnungen einzeln, vollständig, richtig, zeitgerecht und geordnet vorzunehmen. 

Insbesondere der Diebstahl von Unternehmensdaten von ehemaligen Mitarbeitern, etwa wenn Passwörter nach dem Ausscheiden nicht abgeändert oder wenn zwischen Kündigung und Ausscheiden aus der Firma empfindliche Unternehmensdaten durch die scheidende Person für nichtbetriebliche Zwecke gesichert werden, erzeugen Relevanz für die Steuerwelt. Oder wenn Cyber-Erpressungen bei Systemkassen, wie kürzlich in Schweden passiert, stattfinden.

Diese und ähnlich gelagerte Sachverhalte führen in der Praxis in vielen Fällen zu empfindlichen Datenverlusten. Vielfach sind diese Daten nicht separat gesichert oder unterliegen keinem betrieblichen Sicherheitskonzept (etwa einem internen Kontrollsystem). 

Folglich können diese Daten nicht die sachliche Richtigkeit der Besteuerungsgrundlagen bestätigen. 

Beispiele aus der Praxis:

Werden diese Aufzeichnungen lokal durch einen Cyberangriff, ähnlich wie in Schweden, durch einen Hacker unlesbar verschlüsselt, kann der Steuerpflichtige den gesetzlichen Vorgaben nicht nachkommen, mit der Folge, dass die Buchführung nicht ordnungsmäßig ist.

Zur gleichen Beurteilung muss man kommen, wenn etwa die Einzelaufzeichnungen aus dem Kassensystem ungesichert in einer Cloud gespeichert werden. 

Vor einigen Monaten sorgte folgende Schlagzeile für Aufruhr: 

Brand im Rechenzentrum: Warum eine Cloud-Strategie so wichtig ist!

Nach einem Feuer beim französischen IT-Dienstleister OVH sind viele Daten unwiederbringlich verloren. Erfolgten zuvor keine Datensicherungen beim Steuerpflichtigen, wird es auch hier unmöglich sein, formell ordnungsmäßige Buchführungsunterlagen erstellen zu können. 

Bezug für die Allgemeinheit

Beispiel: Hackerangriffe auf Behörden

Dass auch Verwaltungen durch Cyber-Angriffe betroffen sein können, zeigt uns ein Artikel vom 11.07.2021. Betroffen war der Landkreis Anhalt-Bitterfeld. Dieser hatte nach einem Cyberangriff den ersten „Cyber-Katastrophenfall“ Deutschlands ausgerufen. Die Cyber-Attacke hatte zur Folge, dass Sozial- und Unterhaltsleistungen nicht ausgezahlt werden konnten. Was ist hier konkret passiert? Nun darüber schweigen sich die Behörden aus. 

Ein weiteres Beispiel lässt zumindest erahnen, wieso eine Cyber-Attacke so einfach sein kann. In 2019 offenbarte dies die Emotet-Attacke auf das Berliner Kammergericht . Das Gericht verwendete als Betriebssystem Windows 95. 95 steht dabei für die Jahreszahl, in dem die Version veröffentlicht wurde (1995). Den Support für diese Version stellte Microsoft bereits in 2001 ein. 

Gerade letzteres Beispiel tritt in Betrieben häufig in Form von veralteter Software oder dem Einsatz von elektronischen Kassen in 2021, die etwa seit 2017 nicht mehr im Einsatz sein dürfen, auf. Dass dann ein Hacker-Angriff oder eine Manipulation möglich wird, liegt auf der Hand.

Datenverluste durch Naturkatastrophen wie „Tief Bernd“

„Tief Bernd“ hinterließ in den letzten Tagen katastrophale Schäden in Deutschland. Verbände und Versicherer schätzen neben den menschlichen Verlusten die Sachschäden auf mehrere Milliarden Euro. Die nachgelagerten Schäden, etwa wenn analoge oder digitale Buchführungsunterlagen verloren gegangen sind, nicht mit eingerechnet. Vielfach werden Unterlagen gar nicht mehr vorhanden sein. Wie wird man mit diesen Situationen im Besteuerungsverfahren umgehen?

Das Finanzministerium NRW veröffentlichte hierzu einen „Katastrophenerlass“ der insbesondere in Tz. 3 eine Antwort auf die Frage im Umgang mit dem Besteuerungsverfahren gibt:

Verlust von Buchführungsunterlagen 

Sind unmittelbar durch das Schadensereignis Buchführungsunterlagen und sonstige Aufzeichnungen vernichtet worden oder verloren gegangen, so sind hieraus steuerlich keine nachteiligen Folgerungen zu ziehen. Der betroffene Steuerpflichtige sollte die Vernichtung bzw. den Verlust zeitnah dokumentieren und soweit wie möglich nachweisen oder glaubhaft machen. 

Dies bestätigt auch Drüen in Tipke/Kruse, AO/FGO, 166. Lieferung 05.2021, § 147 AO in Tz. 65: 

„Zwar nimmt auch ein unverschuldeter Verlust aufbewahrungspflichtiger Unterlagen der Buchführung die Ordnungsmäßigkeit […] aber liegen jedoch keine Anhaltspunkte dafür vor, dass die Buchführung auch aus anderen Gründen nicht ordnungsgemäß ist, so hat nach § 163 Satz 1 Alt. 2 das Fehlen aufbewahrungspflichtiger Unterlagen unberücksichtigt zu bleiben […]“. Dies bestätigen Ländererlasse bei Verlust von Unterlagen im speziellen Fall von Hochwasserrschäden. Nach Drüen dürfen auch Datenverluste durch Feuer, Terroranschläge oder „Hacker-Angriffe“ nicht zu steuerlich nachteiligen Folgen führen. 

Hier wird es in der Praxis sicherlich darauf ankommen, Art und Umfang des Verlustes zeitnah und sicher zu dokumentieren. Aber: zusätzlich dürfen keine materiellen Mängel erkennbar sein!

Was hilft effektiv gegen Datenverlust?

Ein erster Schritt ist das Einrichten einer unternehmerischen Datenstrategie, die sich mit dem Datenbestand, IT- oder Datenverarbeitungssystemen, Prozessen aber auch der Daten-Security befasst. Lt. Liekenbrock kann das der Steuerbereich nicht allein lösen, sondern es ist erforderlich, dass sich auch das Unternehmen dem Thema strategisch zuwendet um eine Data Governance zu etablieren (s. a. Blogbeitrag vom 26. Oktober 2020). 

Dadurch ließe sich ein Schutzschild bilden, um einen Cyber-Angriff nicht chancenlos unterlegen zu sein. 

Lösegeldzahlungen wie etwa bei der Cyber-Attacke auf die schwedischen Kassen, in Kryptowährung gefordert, sind dauerhaft keine Lösung. Denn wer einmal zahlt, zahlt auch beim nächsten Mal. 

Bei Naturkatastrophen ist die Datensicherung schwieriger, aber auch hier ist eine cloudbasierte Lösung denkbar, die auch im Brandfall der Rechenzentrum-Server, Daten nachhaltig speichern kann.

Links

Katastrophenerlass Finanzministerium Rheinland-Pfalz 

https://fm.rlp.de/fileadmin/fm/PDF-Datei/Presse/2021-07-16_RP_Katastrophenerlass.pdf

Katastrophenerlass Bayerisches Landesamt für Steuern https://www.finanzamt.bayern.de/Informationen/Steuerinfos/Weitere_Themen/Steuerliche_Hilfsmassnahmen/2021-07-20_Unwettererlass_StMFH_Juli_2021.pdf