IT-Security Compliance auch für KMU?

Im Bereich der Mehrwertsteuer (MWSt) gelten besonders hohe Anforderungen vor allem dann, wenn Belege elektronisch aufbewahrt werden sollen. Die Eidgenössische Steuerverwaltung (EStV) hat die Anforderungen in einer besonderen Verordnung festgelegt, der sogenannten ElDI-Verordnung (Verordnung des EFD vom 30. Januar 2002 über elektronisch übermittelte Daten und Informationen). Die Anforderungen an eine MWSt-gerechte elektronische Datenaufbewahrung sind so hoch, dass sie zurzeit in der Schweiz nur von etwa einem Dutzend Unternehmen erfüllt werden. Praktiker raten streng davon ab, solche Lösungen einzuführen, ohne dies mit der EStV abzustimmen.

Vielfach unbekannt ist, dass mangelhafte Compliance im organisatorischen Bereich nicht nur zivil- und steuerrechtliche Folgen haben kann, sondern auch das Risiko strafrechtlicher Konsequenzen birgt. Bundesgerichtliche Entscheide aus dem Jahr 1990 beziehungsweise 1991 (BGE 116 IV 26, BGE 117 IV 163) belegen, dass Verurteilungen Realität sind. Strafbar ist auch, wer mit so genanntem Eventualvorsatz handelt, das heisst wer trotz der Möglichkeit, dass die Buchführung möglicherweise nicht korrekt ist, geeignete Kontrollen und allenfalls Massnahmen unterlässt. Eine relativ neue Ergänzung des Strafgesetzbuches (StGB, Art. 100quater) eröffnet zudem die Möglichkeit, Unternehmen mit Busse bis zu fünf Millionen Franken zu belegen, wenn die wirklichen Täter im Unternehmen wegen undurchsichtiger oder ungenügender Unternehmensorganisation nicht eruiert werden können.

Compliance mit den heutigen Anforderungen an die IT-Security ist also eine komplexe Aufgabe, und auch die Umsetzung im Unternehmen ist keineswegs einfach. Die Risiken aus lückenhafter Compliance sind schwer eingrenzbar, die Konsequenzen unter Umständen sehr unerfreulich. Aber anders als grosse und internationale Unternehmen haben KMU keine eigene Rechtsabteilung, die mit Argusaugen für Compliance sorgt und das Notwendige in die Wege leitet. Die meisten KMU kennen mutmasslich kaum die wichtigsten gesetzlichen Vorschriften, geschweige denn wie man sie kostengünstig und verlässlich umsetzen könnte. Sie stellen sich auf den Standpunkt, dass sie auch keine Zeit und kein Geld für solche Dinge haben. Das böse Erwachen kommt zum Beispiel bei der ersten MWSt-Revision, wenn die vorhandenen Belege den Anforderungen nicht genügen, zum Beispiel weil sie einfach als pdf-Kopie eingescannt und elektronisch gespeichert werden. Oder im Gerichtsverfahren, wenn die Gegenseite die Echtheit einer ausgedruckten E-Mail anzweifelt. Oder bei Ansprüchen aus Garantie oder Produktehaftung, wenn verlässliche Aufzeichnungen fehlen.

Dass die KMU mit diesen Anforderungen und Risiken weitgehend allein gelassen werden, ist offensichtlich. Das Seco (Staatssekretariat für Wirtschaft) hat am 13. Oktober 2006 eine Untersuchung veröffentlicht, gemäss welcher die KMU dringend von Bürokratie entlastet werden sollten, mit welcher sie im Durchschnitt pro Jahr und Mitarbeiter 41,3 Stunden verbringen (http://www.seco.admin.ch/news/00848). Vollumfängliche Compliance mit IT-Security-Anforderungen ist in dieser Zahl kaum enthalten, aber Wegschauen hilft nicht. Es sind also mutige Schritte gefragt, wohl vor allem seitens der Gewerbeverbände und Standesorganisationen, die geeignete Checklisten, Risiko-Evaluierungs-Tools und Massnahmenpakete erarbeiten und zur Verfügung stellen sollten.

Weitere Informationen

Sarbanes-Oxley:Das Sarbanes-Oxley Gesetz von 2002 (oft abgekürzt als SarbOx oder nur SOx ist ein amerikanisches Gesetz zur Verbesserung der Transparenz in Unternehmen. Das Gesetz entstand nach den Bilanzskandalen um Enron und Worldcom. Basel II: bezeichnet ein Gesamtpaket von Vorschriften für das Eigenkapital von Banken. Die Regeln treten an sich erst per 1. Januar 2008 in Kraft, werfen aber ihre Schatten weit voraus. Portal für KMU: Der Bund unterhält ein KMU-Webportal auf www.kmu.admin.ch. Ein guter Start - mehr leider (noch) nicht.