Digital Business Concepts - Online-Handel / E-Commerce

 

Teil 3: Technische Grundlagen des E-Commerce im steuerlichen Kontext

In unserer dreiteiligen Reihe „Digital Business Concepts - Online-Handel / E-Commerce“ erfahren Sie, was für ein erfolgreiches „Digital Business“ in Bezug auf

  • die steuerlichen Besonderheiten und 
  • die rechtlichen Rahmenbedingungen des E-Commerce zu beachten ist und
  • erhalten erste Einblicke in die technischen Grundlagen des E-Commerce.

Zum Start unserer dreiteiligen Reihe haben wir Sie auf einige steuerliche Stolperfallen des E-Commerce hingewiesen, in die Unternehmen am besten gar nicht erst hineintreten. 

Im zweiten Beitrag geht es um wichtige rechtliche Aspekte, die beim Aufbau eines Webshops zu beachten sind

In unserem letzten Teil der Reihe stellen wir nun weitere steuerliche Besonderheiten, im technischen Kontext betrachtet, dar.

Ordnungsmäßigkeit im E-Commerce

Durch den Einsatz von E-Commerce im Unternehmen ergeben sich Risiken, denen Unternehmen nachweislich entgegenwirken sollten. Das sind zum einen Kommunikations- und Verarbeitungsrisiken, wie die unvollständige, unrichtige oder verspätete Zustellung von Transaktionsdaten. Hieran knüpft die Nachweispflicht über die erfolgte Zustellung für den Absender, der man durch Empfangsbestätigungen für Bestellungen nachkommen kann. Zum anderen besteht das Risiko, dass die technischen Sicherheitsanforderungen, also Integrität, Verfügbarkeit, Vertraulichkeit, Authentizität, Autorisierung und Verbindlichkeit nicht oder nicht dauerhaft gewährleistet werden können. Ein Integritätsverlust liegt z.B. bei Veränderungen bzw. Verlust von Daten auf der Übertragungsstrecke (z.B. von einem Online-Shop an den Zahlungsanbieter) durch Manipulation, nicht autorisierter Änderungen sowie aufgrund des Auftretens von technischen Fehlern vor. Darüber hinaus müssen bestimmte Anforderungen an die Ordnungsmäßigkeit von E-Commerce-Systemen gewährleistet werden. Während eine unvollständige oder mangelhafte Erfassung von aufzeichnungspflichtigen Geschäftsvorfällen eine Verletzung des Vollständigkeitsgrundsatzes darstellt, kommt es bei einer unzutreffenden inhaltlichen Abbildung von Geschäftsvorfällen zu einer Verletzung des Grundsatzes der ordnungsgemäßen Richtigkeit. Sind Zeitpunkt und Ort des Eingangs einer Transaktion nicht (eindeutig) zu bestimmen, kann dies im Sinne der zeitgerechten Aufzeichnung von Geschäftsvorfällen problematisch sein. Zudem sind in Fällen, in denen keine sofortige Übertragung der Transaktionsdaten in das Rechnungslegungssystem erfolgt, bestimmte Maßnahmen zu treffen, um eine Ordnungsmäßigkeit der buchführungsrelevanten Daten zu gewährleisten. Sowohl dabei als auch generell ist es wichtig, die Abläufe und Verfahren der maschinellen Prozesse für jeden leicht verständlich und nachvollziehbar darzulegen. Um die vorgenannten Grundsätze und die Ordnungsmäßigkeit des Systems zu gewährleisten, sind die folgenden Sicherheitsanforderungen zu erfüllen.

Anforderung zur Sicherstellung der Sicherheitsanforderungen

Die für die papiergebundenen Belege geltenden Anforderungen sind analog auch bei Einsatz von E-Commerce zu erfüllen. Dokumentations- und aufbewahrungspflichtige Vorgänge müssen 

  • buchungspflichtig sein, 
  • den Bilanzierenden erreichen und
  • durch den Empfänger autorisiert sein. Hierbei steht die Authentifizierung von Verkäufer und Käufer (z.B. bei Kreditartenzahlungen) im Vordergrund (vgl. Punkt Qualifizierte und automatisierte Abfrage der Umsatzsteueridentifikationsnummer).

Die Autorisierung soll sicherstellen, dass keine unberechtigten bzw. keine fiktiven Geschäftsvorfälle in das System eingehen. Es muss festgelegt sein, wann, wie und durch wen die Autorisierung erfolgt. Nicht alle E-Commerce-Aktivitäten führen zu einer Buchung. Beispielsweise ist eine Kundenanfrage, ob ein bestimmter Artikel wieder lieferbar ist, kein buchführungsrelevanter Sachverhalt.

Im Rahmen der Journal- und Kontenfunktion ist in den E-Commerce-Anwendungen sicherzustellen, dass die versandten bzw. empfangenen Daten chronologisch und lückenlos aufgezeichnet werden (fortlaufende Rechnungsnummer) und die sachliche Ordnung bei Transaktionen mit mehreren Transaktionsschritten bestehen bleibt. Da die Geschäftsvorgänge mehrheitlich maschinell ablaufen (ohne manuelle Kontrollen) und physische Belege nicht vorliegen, gibt es erhöhte Anforderungen an die Dokumentation dieser Prozesse. So ist es nötig, den Zusammenhang zwischen der Transaktion und der Buchung über einen verfahrensmäßigen Nachweis herzustellen, damit gewährleistet ist, dass die Transaktionsdaten vollständig und richtig in das Buchführungssystem übernommen wurden. Insbesondere dann, wenn übermittelte Transaktionsdaten von E-Commerce- Geschäftsprozessen automatisch zu Buchungen führen. Daten müssen in Datenverarbeitungssystemen im Internet, insbesondere Online-Shops, unveränderbar aufgezeichnet werden. Das heißt, es unzulässig, eine einmal an den Kunden übermittelte Rechnung zu ändern. So darf man z.B. die Anschrift bei einer übermittelten Rechnung nicht nachträglich im System ändern, auch wenn der Kunde eine neue Anschrift angibt.

Maßnahmen zur Sicherstellung der Sicherheitsanforderungen

Zugangskontrollen sollen sicherstellen, dass Dritte keinen digitalen Zugriff auf Datenverarbeitungsanlagen erhalten. Dies kann durch Verschlüsselungen, Mehr-Faktor-Authentifizierung oder strenge Passwortverfahren erfolgen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt einen regelmäßigen Wechsel des Passworts inzwischen nicht mehr. Vielmehr soll die Komplexität des Passworts eine hinreichende Sicherheit gewährleisten. Weiterhin ist durch Zugriffskontrollen sicherzustellen, dass unbefugte Dritte keinen Schreib- oder Lesezugang zu sensiblen Daten erhalten. Auch die Möglichkeit, Daten unbefugt zu kopieren oder zu löschen, darf nicht gegeben sein.  Das ist durch strenge Berechtigungskonzepte und der Einhaltung des Prinzips des Funktionstrennung erreichbar. Ein umfassendes Berechtigungskonzept muss damit alle Ebenen eines Unternehmens abdecken und dem sogenannten Need-to-know-Prinzip (Minimalprinzip) entsprechen. 

Darüber hinaus empfiehlt es sich, Kontrollen für die Weitergabe von Daten einzurichten, sodass unbefugte Dritte auch bei der Übertragung von Daten keinen Zugriff erlangen. Eine ausreichende Verschlüsselung kann das verhindern. Eingabekontrollen, wie z.B. Protokollierungssysteme, ermöglichen es, jede Änderung oder Löschung nachzuvollziehen. Eine funktionierende Verfügbarkeitskontrolle schützt Daten vor ungewünschten Verlusten oder Angriffen und hilft dabei, Daten wiederherzustellen. Dazu gehören z.B. Firewalls und Backups oder auch RAID-Systeme. Ein RAID (Redundant Array of Independent Disks) zielt darauf ab, Daten sicher zu speichern, ohne dass diese verloren gehen. Dabei verwendet das RAID-System meist ein redundantes Verfahren. Der Einsatz von separaten Systemen kann gewährleisten, dass für unterschiedliche Zwecke erhobene Daten nur für den jeweiligen Erhebungszweck verwendet werden. 

Hosting von Webseiten 

Typischerweise beauftragt man zur Abwicklung von E-Commerce sogenannte Internet-Service-Provider (ISP), die ganz oder teilweise die Elemente des E-Commerce-Systems, wie z.B. den Web-Server, den Zugang zum Internet sowie weitere Internetdienste (z.B. Website-Hosting) zur Verfügung stellen, beauftragt. Lagert man Elemente des E-Commerce-Systems aus, so bleibt trotzdem das auslagernde Unternehmen für die Erfüllung der Anforderungen an die Ordnungsmäßigkeit und Sicherheit durch den ISP verantwortlich. Konkret ist sicherzustellen, dass der ISP die technischen und rechtlichen Anforderungen im E-Commerce erfüllt. Die Auswahl des ISP ist umso bedeutender, weil er nach Beendigung der vertraglichen Zusammenarbeit weiterhin zur Einhaltung der Ordnungsmäßigkeits- und Sicherheitsanforderungen verpflichtet ist. Die Einhaltung der Aufbewahrungspflichten sowie der Prüfungsrechte durch die eigene Interne Revision als auch durch den Abschlussprüfer sollten hierbei vertraglich mit dem ISP geregelt werden. Darüber hinaus ist durch Service Level Agreements (SLAs) z.B. die Verfügbarkeit der Dienste durch vertragliche Regelungen zu berücksichtigen. 

Im steuerlichen Sinne unterliegen Datenverarbeitungssysteme, über die eine erstmalige Erfassung von Geschäftsvorfällen erfolgt, wie es z.B. bei Online-Shops der Fall ist, gleichermaßen wie Buchhaltungssysteme den “Grundsätzen zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD). Das bedeutet, dass dieselben hohen Anforderungen an die Ordnungsmäßigkeit des Datenverarbeitungssysteme gestellt werden und zudem zwingend eine Verfahrensdokumentation zu erstellen ist. Über die GoBD haben wir bereits ausführlich in unserem Blog berichtet

Aus steuerlichen Aspekten ist zudem der Ort der Datenhaltung relevant. Neben den Daten aus der Buchführung müssen auch die Daten und sonstigen erforderlichen Aufzeichnungen aller anderen für die Buchführung relevanten Datenverarbeitungssysteme im Inland oder in einem anderen Mitgliedstaat der EU geführt und aufbewahrt werden. Soll die Datenhaltung jedoch im Drittland erfolgen, bedarf dies im Vorfeld einer Genehmigung der zuständigen Finanzbehörde. Es ist also von wesentlicher Bedeutung, wo der Server steht, auf dem die Daten liegen oder ob es z.B. durch cloudbasierte Anwendungen zu einer Verlagerung der Daten innerhalb der Cloud in das Drittland kommen kann. Darüber hinaus kann die Datenhaltung auf einem Server im Ausland, über den der Unternehmer die alleinige Verfügungsmacht besitzt zu einer sogenannten Serverbetriebsstätte führen und damit eine Steuerpflicht im Ausland auslösen. Und das unabhängig davon, ob es sich um seinen eigenen oder lediglich einen angemieteten Server handelt.

Qualifizierte und automatisierte Abfrage der Umsatzsteueridentifikationsnummer

Aufgrund der Erfahrung, dass die automatisierte Abfrage der Umsatzsteueridentifikationsnummer (USt-IdNr.) immer noch keine gängige Praxis ist, möchten wir nachfolgend die Bedeutung des Themas sowie die Möglichkeit, die Abfrage zu automatisieren, vorstellen. Im E-Commerce ist wegen der Rechnungsstellung und der steuerlichen Abwicklung bei der Generierung eines Umsatzes zunächst zu prüfen, ob es sich um eine Privatperson oder einen Unternehmer handelt. Das wesentliche Merkmal zur Abgrenzung eines Kunden, der eine Leistung für sein Unternehmen bezieht, von einem Privatkunden ist im E-Commerce dessen Auftreten mit einer USt-IdNr. Die Angabe einer USt-IdNr. in der Zusammenfassenden Meldung ermöglicht es bei Erfüllung weiterer Voraussetzungen, eine innergemeinschaftliche Lieferung steuerfrei zu stellen und bei innergemeinschaftlichen Dienstleistungen die Steuerpflicht auf den Leistungsempfänger zu verlagern. Hierzu zeigt der Unternehmer in einem anderen EU-Land an, dass er einen Umsatz ausgeführt hat, der in diesem Land von einem anderen Unternehmer, der anhand seiner USt-IdNr. zu identifizieren ist versteuert werden muss. Gibt ein Kunde bei einer Auftragserteilung im E-Commerce eine fehlerhafte USt-IdNr. an, z.B. in einem Online-Formular, geht dies zulasten des leistenden Unternehmers, wenn dieser nicht erkennt, dass die USt-IdNr. fehlerhaft oder nicht gültig ist. Daher hat sich der Unternehmer mittels einer qualifizierten Abfrage der USt-IdNr. beim Bundeszentralamt für Steuern (BZSt), davon zu überzeugen, dass diese richtig ist. Das Ergebnis der Abfrage ist als Nachweis aufbewahrungspflichtig. Aufgrund der Vielzahl nicht mehr händisch zu bearbeitenden Abfragen im E-Commerce empfiehlt das BZSt eine Serverabfrage über eine sogenannte XML-RPC-Schnittstelle. Damit ist es möglich ausländische USt-IdNr. zu prüfen, in das eigene Softwaresystem einzubinden und automatisiert abzufragen. Als ausreichender Nachweis einer durchgeführten qualifizierten Abfrage gilt in diesem Fall der vom BZSt empfangene Datensatz. Hier gibt es weitere Informationen zu der Schnittstelle. 

Cyber-Security

Im Rahmen der Cyber Security sollten IT-Sicherheitsanalysen und/oder Sicherheits-Checks (Penetrationstests) bezüglich des E-Commerce System durchgeführt werden. Unabdingbar sind ein durchdachtes IT-Notfall- und Krisenmanagement sowie Mitarbeiter Awareness. 

Besonders wenn IT-Systeme ausfallen, kann dies Unternehmen in große Schwierigkeiten bringen. Gerade im Bereich E-Commerce stehen mittelständische Unternehmen in direkter Konkurrenz zu Großkonzernen. Um hohe eine Kundenzufriedenheit zu erreichen, sollten Online-Händler vor allem für Sonderaktionen, wie Black Friday, ausreichend Serverkapazitäten bereithalten. Doch unabhängig von der Kapazität, können zielgerichtete Hacker-Angriffe den Webshop ausbremsen oder gar lahmlegen.

Die Verwendung von Secure Sockets Layer (SSL) hilft bei der Authentifizierung und Verschlüsselung von Verbindungen zwischen vernetzten Computern. Hat man ein SSL-Zertifikat für seine E-Commerce-Website, kann man von HTTP zu HTTPS wechseln, was den Kunden signalisiert, dass die Website sicher ist.

DDoS-Attacken (Distributed Denial of Service) kommen immer häufiger vor. Dabei wird gezielt eine Überlastung des Datennetzes angestrebt, sodass die E-Commerce-Website nicht mehr verfügbar ist. Sichere Kennwörter für Router und Netzwerke zählen als grundlegende Gegenmaßnahmen gegen Überlastung. Als „Qualitätssicherung der Prävention (gegen Cyberattacken)“ beschreibt das BSI die Detektion und anschließende Reaktion, die Unternehmen durch das frühzeitige Erkennen von Schwachstellen und Hackingversuchen erst schnell reaktionsfähig macht. Dafür sollten Intrusion Detection Systems implementiert werden. Network Based Intrusion Detection Systems (NIDS) überwachen den ein- und ausgehenden Datenverkehr, erkennen Anomalien und werten diese aus. So ist es möglich, Attacken schneller zu erkennen und das Gefährdungspotenzial für den Geschäftsbetrieb zu minimieren. Über externe Dienstleister lassen sich Services wie z.B. ein SOC buchen. Auch die dhpg bietet ihren Mandanten einen solchen Full-Service an

Fazit

Es gilt, die digitale Transformation, die Unternehmen derzeit durchlaufen, auch prozessual zu unterstützen. Dabei bietet die dhpg neben der ganzheitliche Prozessbetrachtung und strukturierten Prozessdokumentation, Beratung und Unterstützung bei Einführungen von Gesetzen, Normen und Frameworks sowie bei der Erstellung von Verfahrensdokumentationen. Es empfiehlt sich, ein „Digital Business Concept“ daher immer aus steuerlichen, rechtlichen und technischen Blickwinkeln zu betrachten. 

Markus Müller

Diplom-Wirtschaftsinformatiker, Certified Information Systems Auditor (CISA), Certified Data Privacy Solutions Engineer (CDPSE)

Zum Profil von Markus Müller

Felicitas Kellermann

IT-Consultant

Zum Profil von Felicitas Kellermann

Gert Klöttschen

Steuerberater

Zum Profil von Gert Klöttschen

Ramona Fleck

Steuerberaterin

Zum Profil von Ramona Fleck

Kontakt

Nehmen Sie mit uns Kontakt auf

Briefumschlag Kontaktformular Telefon +49 228 81000 0 Newsletter Newsletter
Durch das Laden des YouTube Videos erklären Sie sich damit einverstanden, dass Cookies durch YouTube und Google gesetzt werden, und dadurch Daten an diese Anbieter übermittelt werden. Wir verarbeiten die Daten um die Zugriffe auf unsere YouTube-Videos analysieren zu können oder die Wirksamkeit unserer Werbung und Anzeigen auszuwerten. YouTube und Google verarbeiten die Daten auch zu eigenen Zwecken. Zudem erklären Sie sich auch damit einverstanden, dass Ihre Daten in die USA übermittelt werden, obwohl in den USA das Risiko besteht, dass US-Behörden zu Überwachungszwecken Zugriff auf Ihre Daten erhalten und Ihnen dagegen möglicherweise keine ausreichenden Rechtsschutzmöglichkeiten zustehen. Weitere Informationen finden Sie in unserer Datenschutzerklärung.
YouTube Video laden
Permalink