Mit GoBD-Compliance und Tax CMS zum sicheren Betriebsausgabenabzug – auch im Falle einer Lösegeldzahlung.
Wer in IT-Sicherheit, GoBD-Konformität und ein wirksames Tax Compliance Management System (Tax CMS) investiert, schützt nicht nur seine Buchführung – er sichert sich aktiv den Betriebsausgabenabzug, reduziert Haftungsrisiken der Geschäftsleitung und schafft im Streitfall eine deutlich bessere Verhandlungsposition gegenüber der Finanzverwaltung. Was passiert, wenn die IT-Struktur nicht stimmig ist, zeigt der folgende Beitrag.
Wenn Compliance-Verantwortliche an Cyberangriffe denken, geht es meist um IT-Wiederherstellung, Krisenkommunikation und Versicherungsschutz. Eine Dimension wird dabei systematisch unterschätzt: die steuerlichen Folgen mangelnder IT-Sicherheit. Denn wer durch Ransomware, veraltete Systeme oder fehlende Backups die Ordnungsmäßigkeit seiner Buchführung verliert, riskiert weit mehr als nur einen Betriebsausfall – er öffnet der Finanzverwaltung die Tür zur Schätzung nach § 162 AO, zu Bußgeldern nach § 379 AO und im schlimmsten Fall zu strafrechtlichen Konsequenzen. Ebenso wird ein möglicher Betriebsausgabenabzug von Lösegeldzahlungen aufs Spiel gesetzt.
Dieser Beitrag ordnet die wichtigsten IT-Sicherheitsrisiken aus steuerlicher Sicht ein, zeigt Compliance-Verantwortlichen, wo die größten Fallstricke liegen – und erklärt, warum eine zertifizierte GoBD-Compliance nach IDW PH 9.860.4 in Verbindung mit einem Tax CMS nach IDW Praxishinweis 1/2016 zum echten Gamechanger werden kann.
1. Wenn die IT crasht, zittert die Steuererklärung mit
Die rechtliche Brücke zwischen IT-Sicherheit und Steuerrecht schlagen die GoBD – die Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff. Das BMF-Schreiben vom 28.11.2019 konkretisiert die Anforderungen aus § 145 ff. AO und § 257 HGB für die digitale Welt. Sie gelten für jedes Unternehmen, das steuerrelevante Daten elektronisch erfasst, verarbeitet oder speichert – unabhängig von Größe und Branche.
Drei Kernanforderungen sind aus Compliance-Sicht besonders relevant:
Vollständigkeit, Richtigkeit, Zeitgerechtigkeit und Ordnung der Aufzeichnungen nach § 146 Abs. 1 AO. Buchungen müssen einzeln, vollständig, richtig, zeitgerecht und geordnet erfolgen.
Unveränderbarkeit nach § 146 Abs. 4 AO. Eine Buchung oder Aufzeichnung darf nicht in einer Weise verändert werden, dass der ursprüngliche Inhalt nicht mehr feststellbar ist.
Datenzugriff und Lesbarkeit nach § 147 Abs. 5 und 6 AO. Steuerrelevante Unterlagen müssen während der gesamten Aufbewahrungsfrist – regelmäßig sechs, acht bzw. zehn Jahre – jederzeit verfügbar, unverzüglich lesbar und maschinell auswertbar sein.
Wird eine dieser Anforderungen durch einen Cybervorfall verletzt, ist die Buchführung formell nicht mehr ordnungsgemäß. Genau hier setzt § 162 AO an: Die Finanzbehörde darf die Besteuerungsgrundlagen schätzen, soweit sie diese nicht ermitteln oder berechnen kann oder die Daten nicht über eine vorgegebene Schnittstelle verfügbar gemacht werden. Schätzungen fallen in der Praxis immer zum Nachteil des Steuerpflichtigen aus.
2. Vier IT-Schwachstellen, die das Unternehmen teuer zu stehen bringen
2.1 Ransomware: Wenn der Angreifer auch das Finanzamt mitbringt – Risiko: kritisch
Wenn Ransomware Buchführungsdaten verschlüsselt oder vernichtet, ist der Steuerpflichtige seiner Pflicht zur ordnungsgemäßen Buchführung schlagartig nicht mehr nachgekommen. Selbst wenn das Lösegeld gezahlt wird und Entschlüsselungsschlüssel ausgeliefert werden, bleiben in der Praxis häufig Datenlücken: korrupte Dateien, unvollständige Wiederherstellungen, Inkonsistenzen zwischen Vor- und Nachzustand der Systeme.
Die steuerlichen Folgen sind erheblich. Die Finanzverwaltung kann die Buchführung verwerfen und die Besteuerungsgrundlagen nach § 162 AO schätzen – auf Basis von Branchenvergleichen, Zeitreihenanalysen oder Richtsatzsammlungen. Für betroffene Unternehmen bedeutet das regelmäßig deutliche Mehrsteuern, weil Schätzungen bewusst Sicherheitsaufschläge enthalten.
Hinzu kommt das Risiko nach § 379 AO: Wer Daten (oder Belege) nicht oder nicht ordnungsgemäß aufbewahrt oder die GoBD-Konformität seiner Systeme nicht sicherstellt, läuft Gefahr, eine Steuerordnungswidrigkeit zu begehen (s.a. Rebant/Danielmeyer, beck.digitax 1.2026, 20). Die Bußgelder können nach aktueller Rechtslage je nach Schwere des Verstoßes empfindlich ausfallen. Bei bewusster Manipulation oder grober Fahrlässigkeit kommen zusätzlich strafrechtliche Konsequenzen in Betracht – insbesondere bei Verdacht auf Steuerhinterziehung nach § 370 AO.
Wichtige Differenzierung: Die Rechtsprechung und einschlägige Ländererlasse (etwa der NRW-Katastrophenerlass) gehen davon aus, dass ein unverschuldeter Verlust von Buchführungsunterlagen – etwa durch Hochwasser, Brand oder eben einen Cyberangriff – nicht zwangsläufig zu nachteiligen steuerlichen Folgen führen muss. Voraussetzung ist allerdings, dass keine zusätzlichen materiellen Mängel vorliegen und der Steuerpflichtige Art und Umfang des Verlustes zeitnah und belastbar dokumentiert hat. In der Praxis hängt vieles davon ab, ob das Unternehmen den Cyberangriff tatsächlich als unverschuldet darstellen kann – und genau hier liegt die nächste Hürde.
Exkurs: Steuerliche Behandlung der Lösegeldzahlung selbst. Wird im Krisenfall ein Lösegeld gezahlt, stellt sich die Frage nach der steuerlichen Behandlung. Vier Punkte sind für Compliance-Verantwortliche wichtig:
Empfängerbenennung nach § 160 AO – die zentrale Hürde
Nach § 160 Abs. 1 S. 1 AO kann das Finanzamt verlangen, dass der Empfänger einer Zahlung benannt wird. Kann oder will der Steuerpflichtige das nicht, sind die Aufwendungen regelmäßig nicht abzugsfähig – auch wenn sie dem Grunde nach Betriebsausgaben darstellen. Bei Cyberkriminellen ist eine Benennung mit Name und Anschrift faktisch unmöglich: Die Täter agieren anonym oder pseudonym, fordern Kryptowährungen und treten unter Pseudonymen auf. Entscheidend ist, dass § 160 AO eine Ermessensnorm ist und das Benennungsverlangen zumutbar sein muss. Bei objektiver Unmöglichkeit der Identifizierung – belegbar durch IT-Forensik, Strafanzeige und BSI-Meldung – sowie bei erkennbar im Ausland ansässigen Empfängern ohne inländische Steuerpflicht fehlt es regelmäßig am Normzweck. Eine umfassende Dokumentation ist hier der entscheidende Hebel, um den Abzug zu retten. Zu beachten ist zudem § 90 Abs. 2 AO: Bei Auslandssachverhalten – und Krypto-Lösegelder fließen nahezu immer ins Ausland – treffen den Steuerpflichtigen erhöhte Mitwirkungs- und Beweisvorsorgepflichten. Wer hier von Anfang an strukturiert dokumentiert, erleichtert sich die spätere Verteidigung erheblich. Zur höchstrichterlichen Rechtsprechung: Eine spezifische BFH-Entscheidung zu Krypto-Ransomware-Zahlungen liegt bislang nicht vor. Maßgeblich bleiben die allgemeinen Grundsätze zur Empfängerbenennung sowie das BFH-Urteil vom 30.10.1980 (IV R 27/77) zu klassischen Entführungsfällen, das zwischen privater und betrieblicher Veranlassung differenziert.
Kein generelles Abzugsverbot nach § 4 Abs. 5 EStG
Die typischen Abzugsverbote – insbesondere § 4 Abs. 5 Nr. 8 EStG (Geldbußen, Ordnungsgelder) und Nr. 10 EStG (Bestechungsgelder) – greifen bei Ransomware-Lösegeldern regelmäßig nicht. Zu beachten bleibt aber, dass § 4 Abs. 5 Nr. 10 EStG den Abzug ausschließt, wenn die Zuwendung selbst eine Straftat darstellt. Bei Zahlungen an sanktionierte Empfänger oder kriminelle Vereinigungen (§ 129 StGB) kann der Abzug daher mittelbar doch versagt werden – die Sanktionslistenprüfung ist hier auch steuerlich entscheidend.
Bilanzielle Erfassung als Sofortaufwand
Lösegeldzahlungen werden im Regelfall als sonstiger betrieblicher Aufwand erfasst (Kontierung typischerweise als „Sonstige betriebliche Aufwendungen“, „Schadensaufwendungen“ oder einer eigens eingerichteten Position für IT-Sicherheitsvorfälle). Eine Aktivierung kommt nur ausnahmsweise in Betracht, wenn durch die Zahlung tatsächlich ein dauerhaft nutzbares Wirtschaftsgut geschaffen wird – was bei reinen Entschlüsselungs- oder Schweigegeldern praktisch nicht der Fall ist.
Kein Vorsteuerabzug
Da bei Cybererpressungen weder eine ordnungsgemäße Rechnung vorliegt, noch ein identifizierbarer Unternehmer als Leistender auftritt, noch eine steuerbare Leistung im umsatzsteuerlichen Sinne erbracht wird, scheidet ein Vorsteuerabzug aus. Die Zahlung erfolgt typischerweise brutto und mindert den Gewinn in voller Höhe – sofern die oben genannten Hürden überwunden sind.
Versicherungsleistungen als Betriebseinnahmen
Erstattungen aus Cyber-, D&O- oder Vertrauensschadenversicherungen sind als steuerpflichtige Betriebseinnahmen zu erfassen. Sie kürzen den abzugsfähigen Schaden entsprechend – aus rein steuerlicher Sicht ist das ein Nullsummenspiel, aus Liquiditätssicht selbstverständlich nicht.
2.2 Veraltete Systeme: Wer nicht patcht, zahlt doppelt – Risiko: hoch
Wer bekannte Sicherheitslücken nicht schließt, veraltete Betriebssysteme weiterbetreibt oder Patches monatelang ignoriert, kann sich auf das Argument des „unverschuldeten Datenverlusts“ nicht mehr berufen. Aus Sicht der Finanzverwaltung handelt es sich dann um einen vermeidbaren Verstoß gegen die GoBD – konkret gegen die Pflicht zur Sicherung des Datenverarbeitungssystems gegen Verlust und unberechtigte Veränderung.
Die GoBD verlangen ausdrücklich Sicherheitsvorkehrungen zum Schutz vor Verfälschung und Datenverlust. Werden diese Vorkehrungen nachweislich nicht oder nur unzureichend getroffen, liegt ein Dokumentationsmangel vor, der die formelle Ordnungsmäßigkeit der Buchführung beseitigt – auch dann, wenn (noch) kein Schadensfall eingetreten ist.
Für die Compliance-Funktion bedeutet das: Patch-Management, Lifecycle-Management der eingesetzten Systeme und ein dokumentiertes Update-Regime sind nicht nur IT-Themen, sondern Bestandteil der steuerlichen Compliance. Eine fehlende oder lückenhafte Verfahrensdokumentation verstärkt das Risiko zusätzlich. Zwar gilt eine fehlende Verfahrensdokumentation isoliert nicht zwingend als schwerer formeller Mangel – die Nachvollziehbarkeit der Buchführung muss erhalten bleiben. In Kombination mit einem Sicherheitsvorfall wirkt sie aber wie ein Brandbeschleuniger: Der Prüfer hat keinen objektiven Maßstab, an dem er die Ordnungsmäßigkeit prüfen kann, und neigt im Zweifel zur Verwerfung.
2.3 Keine Logs, kein Vertrauen: Der stille Killer der Glaubwürdigkeit – Risiko: mittel
Wer kann wann auf welche Buchführungsdaten zugreifen – und lässt sich das im Nachhinein lückenlos nachvollziehen? Diese Frage ist GoBD-rechtlich nicht optional. Der Grundsatz der Unveränderbarkeit verlangt, dass jede Änderung an steuerrelevanten Daten protokolliert und nachvollziehbar bleibt. Fehlt diese Protokollierung, kann der Steuerpflichtige im Zweifel nicht beweisen, dass die Daten nicht manipuliert wurden.
Die Folgen reichen weiter, als auf den ersten Blick ersichtlich. Bei der Betriebsprüfung führt eine fehlende Zugriffsprotokollierung durchaus zu einem Manipulationsverdacht, einem deutlich erhöhten Prüfungsaufwand und – fast noch gravierender – zu einem Glaubwürdigkeitsverlust gegenüber der Finanzverwaltung. Ein einmal entstandenes Misstrauen prägt erfahrungsgemäß auch nachfolgende Prüfungen und kann das Unternehmen in eine dauerhaft defensivere Position bringen.
Besonders heikel wird es bei Ransomware-Angriffen, bei denen Daten exfiltriert wurden. Wenn unklar ist, ob die Angreifer auch schreibend zugegriffen, also Daten verändert haben, kann die Finanzverwaltung argumentieren, dass die Integrität der gesamten Buchführung kompromittiert sei. Ohne aussagekräftige Protokolle ist dieser Vorwurf kaum zu entkräften.
2.4 Backup oder Bauchlandung: Ohne Wiederherstellung kein Abzug – Risiko: hoch
Ein fehlendes oder unzureichendes Backup-Konzept ist aus steuerlicher Sicht doppelt problematisch. Erstens verstößt es bereits präventiv gegen die GoBD-Pflicht zur Datensicherung und Archivierung. Zweitens macht es im Schadensfall jede Argumentation gegenüber dem Finanzamt extrem schwierig.
Wenn nach einem Ransomware-Angriff oder einem Hardware-Ausfall keine funktionierenden Backups verfügbar sind, ist die Datenwiederherstellung schlicht unmöglich. Die mühsame Rekonstruktion aus Drittquellen – Kontoauszügen, Lieferantenrechnungen, Kundenbestätigungen – ist nicht nur zeitaufwendig und teuer, sondern steuerlich problematisch: Rekonstruierte Daten sind keine vollständigen Originalaufzeichnungen im Sinne der GoBD. Selbst wenn die Rekonstruktion gelingt, bleibt häufig ein materieller Mangel bestehen, der zu Schätzungen führen kann.
Erschwerend kommt hinzu: Lokale Backups, die im selben Netzwerk liegen wie die produktiven Systeme, werden bei modernen Ransomware-Angriffen regelmäßig mitverschlüsselt. Sie bieten daher keinen wirksamen Schutz und erfüllen oft auch nicht die Anforderungen an eine revisionssichere Archivierung. Erforderlich ist ein mehrstufiges Konzept mit physisch oder logisch getrennten Sicherungen, idealerweise nach dem klassischen 3-2-1-Prinzip, ergänzt um Offline- oder Immutable-Backups, die selbst bei vollständiger Kompromittierung der Systeme unangetastet bleiben.
3. Die Belohnung: Aus Compliance-Pflicht wird Steuerschutz
Wer die genannten Risiken kennt, hat den ersten Schritt getan. Der entscheidende zweite Schritt ist der Aufbau einer belastbaren Compliance-Architektur, die im Ernstfall nicht nur die Buchführung schützt, sondern auch den Betriebsausgabenabzug absichert und persönliche Haftungsrisiken der Geschäftsleitung deutlich reduziert. Hier kommen zwei Standards des Instituts der Wirtschaftsprüfer (IDW) ins Spiel, die sich perfekt ergänzen – und gemeinsam zum eigentlichen Gamechanger werden.
3.1 IDW PH 9.860.4: Das WP-Testat, das die Beweislast dreht
Der IDW Prüfungshinweis 9.860.4 (07.2021) „Die Prüfungen der GoBD-Compliance“ ist der zentrale Standard, an dem sich Wirtschaftsprüfer bei der Beurteilung der Einhaltung der GoBD orientieren. Erarbeitet wurde er vom Fachausschuss für Informationstechnologie (FAIT) des IDW und veröffentlicht in IDW Life 8/2021. Er konkretisiert die Anforderungen des BMF-Schreibens vom 28.11.2019 (GoBD) und basiert methodisch auf IDW PS 860, der die Vorgehensweise für IT-Prüfungen außerhalb der Abschlussprüfung festlegt.
Für Compliance-Verantwortliche ist der IDW PH 9.860.4 aus zwei Gründen extrem wertvoll:
Erstens definiert er einen objektiven, von der Berufsorganisation der Wirtschaftsprüfer anerkannten Prüfungsmaßstab für GoBD-Konformität. Wer eine entsprechende Prüfung mit positivem Ergebnis durchlaufen hat, verfügt über ein hochwertiges, externes Testat – und damit über ein starkes Beweismittel im Streit mit der Finanzverwaltung. Die Beweislast verschiebt sich faktisch: Statt selbst die Ordnungsmäßigkeit der Buchführung darzulegen, kann das Unternehmen auf die unabhängige Prüfung verweisen.
Zweitens wirkt eine Prüfung nach IDW PH 9.860.4 wie ein Frühwarnsystem. Schwachstellen in Verfahrensdokumentation, Zugriffsprotokollierung, Datensicherung oder IT-Sicherheit werden identifiziert, bevor sie im Krisenfall – etwa nach einem Ransomware-Angriff – zum Verhängnis werden. Genau das ist der Punkt, an dem die Compliance-Investition vom „Dokumentations-Pflichtprogramm“ zum aktiven Schutzmechanismus wird.
Praktisch deckt die Prüfung typischerweise die folgenden Bereiche ab: die ordnungsmäßige Erfassung, Verarbeitung und Aufbewahrung steuerrelevanter Daten, die internen Kontrollen zur Sicherstellung der Unveränderbarkeit, das Berechtigungsmanagement, die Datensicherung sowie die Verfahrensdokumentation. Damit liegt der IDW PH 9.860.4 punktgenau auf den Risikofeldern, die in Abschnitt 2 dieses Beitrags beschrieben sind – und das ist kein Zufall.
3.2 Tax CMS: Steuerrisiken systematisch im Griff statt im Bauchgefühl
Während der IDW PH 9.860.4 die technisch-organisatorische GoBD-Konformität adressiert, geht ein Tax Compliance Management System (Tax CMS) systematisch einen Schritt weiter und organisiert sämtliche steuerrelevanten Prozesse so, dass Risiken früh erkannt, kontrolliert und dokumentiert werden. Maßgeblicher Standard hierfür ist der IDW Praxishinweis 1/2016: „Ausgestaltung und Prüfung eines Tax Compliance Management Systems gemäß IDW PS 980″, in seiner mit IDW PS 980 n.F. (verpflichtend für neue Prüfungen seit dem 1. Januar 2023) konkretisierten Fassung.
Der Praxishinweis definiert sieben Grundelemente eines wirksamen Tax CMS:
– Tax Compliance-Kultur – Die Haltung der Unternehmensleitung („Tone from the Top“) prägt das gesamte Steuerrisikobewusstsein
– Tax Compliance-Ziele – Klare, messbare Ziele und ein eindeutig definierter Geltungsbereich
– Tax Compliance-Organisation – Verantwortlichkeiten und Schnittstellen von der Fachabteilung bis zur Geschäftsleitung
– Tax Compliance-Risiken – Systematische Identifikation, Bewertung und Steuerung steuerlicher Risiken
– Tax Compliance-Programm – Richtlinien, Kontrollen, Schulungen und IT-gestützte Prozesse
– Tax Compliance-Kommunikation – Transparentes Berichtswesen und Whistleblowing-Strukturen
– Tax Compliance-Überwachung und -Verbesserung – Laufendes Monitoring und kontinuierliche Weiterentwicklung
3.3 1+1=3: Warum die Kombination beider Standards der Gamechanger ist
Die wahre Schutzwirkung entfaltet sich, wenn beide Standards ineinandergreifen. Das Tax CMS bildet IT-Risiken wie Ransomware, fehlende Patches oder mangelhafte Backups als steuerliche Compliance-Risiken auf der konzeptionellen Ebene ab. Der IDW PH 9.860.4 liefert die objektive, prüferische Bestätigung, dass die zugehörigen technischen und organisatorischen Maßnahmen auch tatsächlich umgesetzt sind und funktionieren. Damit wird IT-Sicherheit aus dem Silo der IT-Abteilung herausgeholt und in die steuerliche Verantwortung der Geschäftsleitung integriert – mit einem unabhängigen Testat als Beleg.
Diese Kombination entfaltet Schutzwirkung auf mehreren Ebenen:
Steuerstrafrechtliche Indizwirkung: Das BMF hat im Anwendungserlass zu § 153 AO vom 23. Mai 2016 ausdrücklich klargestellt, dass ein innerbetriebliches Kontrollsystem, das der Erfüllung steuerlicher Pflichten dient, ein gewichtiges Indiz gegen den Vorwurf von Vorsatz oder Leichtfertigkeit bei fehlerhaften Steuererklärungen sein kann. Wer ein wirksames Tax CMS – idealerweise flankiert durch eine GoBD-Compliance-Prüfung nach IDW PH 9.860.4 – nachweisen kann, hat erheblich bessere Karten, im Zweifelsfall eine sanktionsfreie Berichtigung nach § 153 AO statt eines Strafverfahrens nach § 370 AO oder einer Ordnungswidrigkeit nach § 378 AO zu erreichen. Praktisch bedeutsam: Stellt sich nach einem Cybervorfall heraus, dass bereits eingereichte Steuererklärungen aufgrund kompromittierter Daten unrichtig waren, besteht eine Berichtigungspflicht nach § 153 AO. Ein dokumentiertes Tax CMS ist hier oft die einzige belastbare Grundlage, um schnell den korrekten Sachverhalt zu rekonstruieren und die Berichtigung sauber abzuwickeln – das ist mehr als ein theoretischer Vorteil.
Bußgeldmindernde Wirkung: Der Bundesgerichtshof hat mit Urteil vom 9. Mai 2017 festgestellt, dass ein effizientes Compliance-Management bußgeldmindernd nach § 30 OWiG wirken kann. Für Unternehmen kann das im Einzelfall sechs- oder siebenstellige Beträge bedeuten.
Persönliche Haftungsentlastung: Nach § 93 AktG und § 43 GmbHG haften Vorstände und Geschäftsführer persönlich für Organisationsmängel. Das OLG Nürnberg hat mit Urteil vom 30. März 2022 die Bedeutung wirksamer Compliance-Strukturen für die Reduktion der Organhaftung bestätigt. Ein dokumentiertes Tax CMS in Verbindung mit einem positiven IDW-PH-9.860.4-Testat ist damit nicht nur Unternehmens-, sondern auch persönlicher Schutz für die Organe.
Erleichterungen bei Betriebsprüfungen: Mit § 38 EGAO hat der Gesetzgeber durch das DAC7-Umsetzungsgesetz eine neue Tür geöffnet. Unternehmen mit einem wirksamen Steuerkontrollsystem können in der EGAO-Pilotphase künftig von Prüfungserleichterungen profitieren – ein konkreter, wirtschaftlich messbarer Nutzen, der das Tax CMS endgültig vom „Nice-to-have“ zum strategischen Instrument macht.
Argumentative Überlegenheit im Cyber-Schadensfall: Im konkreten Krisenfall – etwa nach einem Ransomware-Angriff – wirkt diese Compliance-Architektur wie eine Versicherungspolice. Das Unternehmen kann gegenüber der Finanzverwaltung nicht nur behaupten, sondern durch ein unabhängiges IDW-Testat belegen, dass IT-Sicherheit, GoBD-Konformität und steuerliche Compliance systematisch gesteuert wurden. Damit wird der Schritt vom „verschuldeten zum unverschuldeten“ Datenverlust deutlich leichter, und der Betriebsausgabenabzug für Wiederherstellungs-, Beratungs- und gegebenenfalls auch Lösegeldkosten ist deutlich besser zu verteidigen.
3.4 NIS-2, DSGVO, GoBD: Compliance-Synergien statt Silodenken
Compliance-Verantwortliche sollten die steuerliche Compliance nicht isoliert betrachten. Seit dem 6. Dezember 2025 ist in Deutschland das NIS-2-Umsetzungsgesetz in Kraft, das rund 29.500 Unternehmen unmittelbar betrifft – und damit weit über den klassischen KRITIS-Bereich hinausreicht. Die Geschäftsleitung muss Risikomanagementmaßnahmen billigen, überwachen und ihre Umsetzung verantworten. Diese Pflicht ist ausdrücklich nicht delegierbar und in § 38 BSIG verankert. Bei Verstößen drohen Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes – plus persönliche Haftung der Geschäftsleitung über § 43 GmbHG bzw. § 93 AktG.
Hinzu kommt die DSGVO: Bei einer Datenpanne sind Meldungen an die Aufsichtsbehörde innerhalb von 72 Stunden erforderlich; bei Verstößen gegen die Pflicht zu angemessenen technisch-organisatorischen Maßnahmen drohen Bußgelder bis 4 Prozent des weltweiten Jahresumsatzes.
Der Punkt für Compliance-Verantwortliche: Die Anforderungen aus GoBD, NIS-2 und DSGVO überlappen sich erheblich. Risikomanagement, Zugriffsprotokollierung, Backup-Konzept, Incident Response und Schulung der Geschäftsleitung sind in allen drei Regelwerken zentrale Bausteine. Wer ein integriertes Compliance-Management aufsetzt, das GoBD, NIS-2, DSGVO und Tax CMS gemeinsam adressiert, vermeidet Doppelarbeit, schließt Regulierungslücken und schafft eine konsistente, prüfbare Architektur. Diese Integration ist für viele Unternehmen 2026 keine Kür mehr, sondern Pflichtprogramm.
3.5 Schlank statt schwerfällig: Compliance mit Augenmaß
Beide Standards sind in ihrer Vollausprägung primär auf größere Unternehmen zugeschnitten. Für mittelständische Unternehmen empfiehlt sich ein an die individuelle Risikolage angepasstes, schlankes Compliance-Konzept, das die Kernanforderungen in angemessener Tiefe abbildet, ohne in administrativem Aufwand zu ersticken. Auch eine GoBD-Prüfung nach IDW PH 9.860.4 muss nicht zwingend den vollen Umfang einer Wirtschaftsprüferprüfung haben – häufig sind gezielte Teilprüfungen oder ein iterativer Aufbau über mehrere Jahre der wirtschaftlich und organisatorisch sinnvollere Weg. Entscheidend ist nicht die Komplexität, sondern die Wirksamkeit – also der nachweisbare Beitrag zur Risikosteuerung im konkreten Unternehmenskontext.
4. Sieben Schritte vom Risiko zur Resilienz
Verfahrensdokumentation auf den Stand bringen
Die Verfahrensdokumentation muss alle technischen und organisatorischen Prozesse rund um die digitale Buchführung abbilden – einschließlich Datensicherung, Zugriffsschutz und Sicherheitsvorkehrungen. Sie ist das wichtigste Beweismittel im Streit mit der Finanzverwaltung und zugleich Grundlage für jede Prüfung nach IDW PH 9.860.4.
Patch- und Lifecycle-Management dokumentieren
Wer regelmäßig patcht, sollte das auch nachweisen können. Ein dokumentierter Patch-Prozess mit Zeitstempeln, Verantwortlichkeiten und Eskalationspfaden hilft im Schadensfall enorm, das Argument des „unverschuldeten Datenverlusts“ zu untermauern.
Zugriffsprotokollierung verbindlich einführen
Logging muss revisionssicher, manipulationsgeschützt und mindestens für die Dauer der steuerlichen Aufbewahrungsfrist gespeichert werden. Idealerweise in einem System, das organisatorisch und technisch von den produktiven Buchführungssystemen getrennt ist – damit ein Angreifer nicht zugleich seine Spuren verwischen kann.
Backup-Strategie überprüfen und testen
Ein Backup, das im Ernstfall nicht funktioniert, ist kein Backup. Regelmäßige Wiederherstellungstests gehören zur Pflicht. Mindestens eine Sicherungsgeneration sollte offline oder immutable vorgehalten werden. Daten, die der deutschen Buchführungspflicht unterliegen, müssen zudem die Anforderungen an die Speicherorte beachten.
GoBD-Compliance-Prüfung nach IDW PH 9.860.4 ins Auge fassen
Eine Prüfung durch einen Wirtschaftsprüfer nach IDW PH 9.860.4 schafft objektive Klarheit über den Status der GoBD-Konformität. Sie identifiziert Schwachstellen, bevor sie zum Problem werden, und liefert im Krisenfall ein hochwertiges Beweismittel.
Tax CMS implementieren oder weiterentwickeln
Auch ein schlankes, an die Unternehmensgröße angepasstes Tax CMS nach IDW Praxishinweis 1/2016 entfaltet die beschriebenen Schutzwirkungen. Für Unternehmen, die bereits ein allgemeines Compliance Management System haben, ist der Schritt zum Tax CMS oft kleiner als gedacht – häufig geht es darum, bestehende Prozesse steuerspezifisch zu schärfen und zu dokumentieren.
Incident-Response-Plan steuerlich anschlussfähig machen
Im Krisenfall gehört zur Aufgabenliste nicht nur IT-Wiederherstellung und externe Kommunikation, sondern auch die zeitnahe Dokumentation des Schadensumfangs, eine Strafanzeige bei der Polizei und die unverzügliche Information des Steuerberaters. Diese Schritte sind später entscheidend für die Argumentation gegenüber der Finanzverwaltung.
Regelmäßige Compliance-Reviews
IT-Sicherheit ist kein Projekt, sondern ein Prozess. Mindestens jährlich sollten die GoBD-Konformität, die Verfahrensdokumentation, das Tax CMS und die Wirksamkeit der technischen und organisatorischen Maßnahmen überprüft werden – idealerweise im Rahmen eines Internen Kontrollsystems, das auch die Schnittstelle zwischen IT und Steuerfunktion abbildet.
5. Fazit: IT-Sicherheit ist Steuerstrategie
Ransomware, veraltete Systeme, fehlende Zugriffsprotokollierung und mangelhafte Backups sind primär IT-Risiken – aber sie entfalten ihre volle Wucht erst auf der steuerlichen Ebene. Eine verworfene Buchführung, eine Schätzung nach § 162 AO oder ein Bußgeldverfahren nach § 379 AO können wirtschaftlich gravierender sein als der eigentliche Cybervorfall.
Die gute Nachricht: Mit dem IDW PH 9.860.4 für die GoBD-Compliance-Prüfung und dem IDW Praxishinweis 1/2016 für das Tax CMS stehen zwei etablierte, sich ergänzende Standards zur Verfügung, die Compliance-Verantwortlichen einen klaren Rahmen geben. Wer beide systematisch umsetzt, sichert sich nicht nur den Betriebsausgabenabzug (Lösegeldzahlungen) im Bedarfsfall ab, sondern profitiert von steuerstrafrechtlicher Indizwirkung, bußgeldmindernder Wirkung, persönlicher Haftungsentlastung der Geschäftsleitung und – durch § 38 EGAO – künftig auch von konkreten Erleichterungen bei Betriebsprüfungen.
Diese Kombination ist der eigentliche Gamechanger. Sie verbindet IT-Sicherheit, Buchführungsordnung und Steuerrecht zu einer belastbaren, geschäftsleitungsentlastenden Architektur. Für Compliance-Verantwortliche heißt das: Wer IT-Sicherheit, Verfahrensdokumentation, Zugriffsprotokollierung, Backup-Konzept, GoBD-Compliance-Prüfung nach IDW PH 9.860.4 und Tax CMS als integrierte Bestandteile eines Compliance-Systems begreift, schützt nicht nur die eigene Buchführung, sondern reduziert spürbar das Risikoprofil des Unternehmens und seiner Organe. Das ist am Ende sowohl die wirtschaftlich als auch die steuerlich klügste Strategie.
