OBENHAUS International Tax Double Taxation Defense

Der Prüfer sieht nur, was er sehen darf.
Oder alles — weil niemand widerspricht.

Tax Transparency und Tax Privacy stehen sich gegenüber. Das Steuerrecht kennt umfassende Mitwirkungspflichten. Es kennt aber auch Grenzen — Verhältnismässigkeit, Datenschutz, Berufsgeheimnisse, Zugriffsformen. Wer den Datenzugriff kontrolliert, kontrolliert die Prüfung.

Verfahrenslage einordnen lassen GoBD & Datenzugriff →

Fünf Themenstränge

Datenzugriff ist eine Machtfrage — nicht nur eine Technikfrage.

A

Das Grundproblem

B

Z1, Z2, Z3

C

GoBD & Zugriffsbereitschaft

D

Steuerdatenschutz

E

Verfahrensstrategie

Strang A

Das Grundproblem: Reflexpraxis "alles rausgeben".

In der Praxis sieht es so aus: Der Betriebsprüfer kommt, nennt die Systeme und Zeiträume, die er sehen möchte — und der Unternehmer gibt alles. Ohne zu prüfen, ob eine Zugriffsform günstiger wäre. Ohne zu prüfen, welche Daten tatsächlich der Vorlagepflicht unterliegen. Ohne zu prüfen, ob personenbezogene Daten Dritter mitgeliefert werden, die dort nicht hingehören.

Das ist keine böse Absicht — es ist Reflex. Und es kostet Kontrolle.

A.1 Mitwirkungspflicht ist nicht unbegrenzte Auskunftspflicht

§ 200 AO verpflichtet zur Mitwirkung bei der Aussenprüfung. Diese Pflicht umfasst die Vorlage von Büchern, Aufzeichnungen, Belegen und sonstigen Unterlagen, die für die Besteuerung von Bedeutung sind. Die Pflicht ist real und weitreichend.

Sie ist aber nicht unbegrenzt. Der Prüfer kann verlangen, was er für prüfungsrelevant hält — aber er muss das begründen. Die Vorlagepflicht besteht für steuerlich relevante Unterlagen. Unterlagen, die keine steuerliche Relevanz haben, müssen nicht vorgelegt werden. Unterlagen, deren steuerliche Relevanz erst behauptet, aber nicht plausibel gemacht wird, können in Frage gestellt werden.

A.2 Die eigentliche Frage: Welche Zugriffsform?

Noch vor der Frage, welche Daten vorgelegt werden müssen, steht die Frage, wie sie vorgelegt werden. § 147 Abs. 6 AO kennt drei Zugriffsformen — und die Wahl zwischen ihnen ist keine Formsache. Sie entscheidet darüber, welche Daten der Prüfer sieht, in welchem Kontext er sie sieht, und wie viel Kontrolle das Unternehmen während der Prüfung behält.

Grundsatz der Verhältnismässigkeit

Auch im Steuerverfahren gilt: Das mildeste Mittel hat Vorrang, wenn es gleich geeignet ist. Eine Datenträgerüberlassung mit dem exakt benötigten Datenexport ist gleichwertig mit einem unmittelbaren Systemzugriff — und deutlich weniger invasiv. Wer das nicht einwendet, verschenkt einen Verfahrensvorteil.

Strang B

Z1, Z2, Z3 — drei Zugriffsformen, drei Machtverhältnisse.

§ 147 Abs. 6 AO gibt dem Finanzamt ein Wahlrecht zwischen drei Zugriffsformen. Aber das Unternehmen kann steuern: Wer eine gleichwertige Alternative anbietet, bevor der Prüfer sein Recht ausübt, behält die Initiative.

Z1

Unmittelbarer Datenzugriff

Der Prüfer liest selbst am EDV-System des Unternehmens — mit Leseberechtigung für die buchführungsrelevanten Daten. Er kann navigieren, filtern, nach Mustern suchen.

Was er dabei sieht, ist nicht auf das steuerlich Relevante beschränkt — er sieht alles, was das System zeigt.

Machtbewertung

Höchster Kontrollverlust.

Das Unternehmen hat keine Kontrolle darüber, welche Daten der Prüfer sich ansieht, welche Abfragen er stellt, welche Nebenfelder er liest.

Z2

Mittelbarer Datenzugriff

Der Prüfer benennt die Abfragen, die er stellen möchte. Das Unternehmen führt sie im eigenen System durch und übermittelt die Ergebnisse.

Das Unternehmen bleibt am System — und kann prüfen, ob die angeforderten Daten tatsächlich der Vorlagepflicht unterliegen, bevor es sie übergibt.

Machtbewertung

Kontrollierbare Mitwirkung.

Jede Abfrage kann vor der Ausführung bewertet werden. Was herausgegeben wird, ist dokumentierbar. Das ist die strategisch günstigste Form.

Z3

Datenträgerüberlassung

Das Unternehmen übergibt eine Datei (GDPdU/GoBD-Export), die der Prüfer in der Behörde mit einer Prüfsoftware (IDEA, ACL o.ä.) auswertet.

Der Vorteil: kein Fremder am Unternehmens-EDV. Der Nachteil: der Datei-Inhalt steht dem Prüfer vollständig zur Verfügung — zeitlich unbegrenzt.

Machtbewertung

Datenverlust ohne Zeitdruck.

Was in der Datei ist, ist beim Finanzamt. Welche Auswertungen daraus folgen — das entscheidet der Prüfer in Ruhe, ohne das Unternehmen dabei.

Die Initiative liegt beim Unternehmen — aber nur, wenn es sie ergreift

Das Finanzamt wählt die Zugriffsform. Aber: Wer proaktiv Z2 oder einen vollständigen, GoBD-konformen Z3-Export anbietet, bevor der Prüfer Z1 beantragt, setzt den Standard. Ein solches Angebot kann Z1 praktisch ausschliessen — wenn es gleichwertig ist und das Finanzamt keinen sachlichen Grund für den unmittelbaren Systemzugriff vorträgt.

Strang C

GoBD und Zugriffsbereitschaft — was muss, was muss nicht.

Die GoBD (BMF-Schreiben vom 28.11.2019) regeln nicht nur, wie Buchführungsdaten aufzubewahren sind — sie regeln auch, wie sie im Prüfungsfall zugänglich sein müssen. Das ist nicht dasselbe.

C.1 Was zugriffsbereit sein muss

Steuerlich relevante Daten müssen während der Aufbewahrungsfrist (§ 147 AO: 10 Jahre für Bücher und Belege, 6 Jahre für sonstige Unterlagen) maschinell auswertbar vorgehalten werden. Das schliesst ein:

  • Alle digitalen Buchführungsdaten (Konten, Belege, Buchungssätze)
  • Kassensysteme mit Einzelaufzeichnung (§ 146 Abs. 1 AO)
  • Lohnkonten, Debitoren, Kreditoren
  • Digital erstellte Ausgangs- und Eingangsrechnungen (sofern nicht ausgedruckt und digital vernichtet)

C.2 Was nicht zugriffsbereit sein muss

Nicht jede Unternehmens-IT ist vorlagepflichtig. Zugriffsbereit sein müssen nur steuerlich relevante Daten. Was nicht zugriffsbereit sein muss:

  • Operative Systeme ohne steuerliche Funktion (CRM, Projektmanagement, Kommunikationssysteme)
  • Interne Strategiedokumente ohne steuerliche Relevanz
  • Personaldaten über das steuerrelevante Mass hinaus (Gehalt, Zuschläge, Sachbezüge — ja; private Notizen, Beurteilungen — nein)

Die Grenzziehung muss aktiv vorgenommen werden — und dokumentiert.

C.3 Auslandsunterlagen im Konzern

Eine besondere Problematik entsteht, wenn das zu prüfende Unternehmen Teil einer Unternehmensgruppe ist und relevante Unterlagen bei einer ausländischen Konzerngesellschaft liegen. Das Finanzamt kann sich nicht direkt an die ausländische Gesellschaft wenden — aber es kann vom inländischen Unternehmen verlangen, auf seine "tatsächliche Einflussmöglichkeit" zu bestehen, um die Unterlagen beizubringen (§ 90 Abs. 2 AO).

Was das in der Praxis bedeutet

Das inländische Unternehmen ist nicht zur Vorlage verpflichtet, wenn es die Unterlagen nicht hat und keinen rechtlichen Anspruch auf sie hat. Es muss aber nachweisen, dass es alles zumutbar Mögliche unternommen hat. "Keine Antwort von der Muttergesellschaft" reicht nicht — wenn die Konzernstruktur eine Zugriffsmöglichkeit nahelegt, muss dokumentiert werden, dass und wie versucht wurde, die Unterlagen zu beschaffen.

C.4 Vor der Prüfung behebbare Mängel

GoBD-Mängel, die vor Prüfungsbeginn behoben werden können, sollten behoben werden — und das sollte dokumentiert sein. Ein Mangel, der erst in der Prüfung entdeckt wird, wirkt wie ein Fehler. Derselbe Mangel, der nachweislich vor der Prüfung erkannt und behoben wurde, ist ein Hinweis auf ein funktionierendes internes Kontrollsystem (IKS).

Das GoBD-Konzept der "Berichtigungsmöglichkeit" ist hier relevant: Wer bei einem erkannten Fehler im Buchführungssystem eine nachvollziehbare Dokumentation des Fehlers und seiner Behebung vorlegt, nimmt dem Prüfer den Anlass für eine systematische Schätzungsbefugnis wegen grundsätzlicher Unzuverlässigkeit.

Kassenbuchführung und GoBD-Mängel

Strang D

Steuerdatenschutz — was das Finanzamt nicht sehen darf.

Datenschutz im Steuerverfahren ist kein Widerspruch. Die DSGVO gilt auch hier. Der Grundsatz der Verhältnismässigkeit gilt auch hier. Wer das kennt, kann Grenzen ziehen.

D.1 Verhältnismässigkeit

Der Datenzugriff nach § 147 Abs. 6 AO steht unter dem Vorbehalt der Verhältnismässigkeit. Das bedeutet: Das Finanzamt darf nicht mehr verlangen, als zur Durchführung der Prüfung erforderlich ist. Massenabfragen, die zu 90 % nicht prüfungsrelevant sind, sind unverhältnismässig — auch wenn das Finanzamt sie formal stützen könnte.

In der Praxis wird dieser Einwand selten erhoben — weil er unbekannt ist, oder weil niemand im Raum ihn kennt und einbringt. Er ist aber berechtigt und vor dem Finanzgericht durchsetzbar.

D.2 Personenbezogene Daten Dritter

Buchführungsdaten enthalten typischerweise personenbezogene Daten: Namen und Adressen von Kunden, Lieferanten, Mitarbeitern. Diese Daten unterliegen der DSGVO — auch wenn das Unternehmen sie aus steuerlichen Gründen aufbewahren muss.

Das Finanzamt darf personenbezogene Daten Dritter verarbeiten, soweit das zur Steuerfestsetzung erforderlich ist. Was es nicht darf: diese Daten für andere Zwecke verwenden oder über das Erforderliche hinaus erheben. Ein GoBD-Export, der bewusst auf das steuerlich Relevante beschränkt ist, schützt Drittdaten ohne Verlust der Prüfungssubstanz.

D.3 Berufsgeheimnisse

Wenn das zu prüfende Unternehmen selbst ein berufsgeheimnisträgernahes Unternehmen ist (Steuerberatungsgesellschaft, Arztpraxis, Anwaltskanzlei) oder wenn Unterlagen Kommunikation mit Berufsgeheimnisträgern enthalten, gelten besondere Regeln.

Unterlagen, die der Verschwiegenheitspflicht eines Rechtsanwalts, Steuerberaters oder Arztes unterliegen, sind von der Vorlagepflicht ausgenommen — auch wenn sie sich im Unternehmen befinden. Das gilt für Korrespondenz mit dem eigenen Anwalt zur rechtlichen Beurteilung des Sachverhalts, der gerade geprüft wird.

D.4 Bankdaten

Kontoauszüge und Bankunterlagen sind vorlagepflichtig, soweit sie steuerlich relevante Geschäftsvorfälle dokumentieren. Das schliesst alle betrieblichen Konten ein — Girokonten, Kreditkartenkonten, Unterkonten.

Was nicht vorlagepflichtig ist: private Konten des Unternehmers (ausser bei Betriebsaufspaltung oder gemischter Nutzung), Konten ohne Bezug zum geprüften Unternehmen, Kontoauszüge für Zeiträume ausserhalb des Prüfungszeitraums.

Kontenabfrage durch das Finanzamt

Das Finanzamt kann über § 93b AO (Kontenabrufverfahren) Kontostammdaten beim Bundeszentralamt für Steuern abfragen. Das ist kein Zugriff auf Kontoauszüge — nur auf Kontostammdaten (Name, IBAN, Eröffnung, Schliessung). Kontoauszüge selbst müssen vom Unternehmen vorgelegt oder direkt bei der Bank angefordert werden.

Strang E

Verfahrensstrategie: vier Stellschrauben.

Der Datenzugriff ist keine isolierte Frage — er ist eingebettet in die Gesamtstrategie der Prüfungsverteidigung. Vier Stellschrauben bestimmen, wie viel Kontrolle das Unternehmen behält.

E.1 Prüfungsort

Wo die Prüfung stattfindet, bestimmt, auf welches EDV-System der Prüfer physisch Zugriff hat. Bei einer Prüfung im Unternehmen kann er Z1 beantragen. Bei einer Prüfung in der Kanzlei des Steuerberaters ist Z1 strukturell schwieriger — der Zugriff auf das Unternehmens-EDV ist räumlich getrennt. Bei einer Verlagerung auf das Finanzamt entfällt Z1 praktisch vollständig.

Der Prüfungsort ist beeinflussbar — § 200 Abs. 2 AO regelt die Grundsätze. Widerspruch gegen den vom Prüfer gewünschten Ort ist möglich.

Prüfungsort Betriebsprüfung

E.2 Welche Daten

Vor Beginn der Datenzugriffsphase muss klar sein, welche Datensätze vorlagepflichtig sind — und welche nicht. Das erfordert eine Analyse der Buchführungsstruktur: Welche Systeme enthalten steuerlich relevante Daten? Welche nicht? Wo überschneiden sich steuerrelevante und nicht-steuerrelevante Daten in denselben Tabellen oder Datenbankfeldern?

Wer das nicht vorab analysiert, riskiert, mehr zu übergeben als erforderlich — und damit dem Prüfer Zugang zu Informationen zu geben, die ausserhalb des zulässigen Prüfungsrahmens liegen.

E.3 Wer dabei ist

Bei der Datenzugriffsphase sollte immer eine Person anwesend sein, die verstehen kann, was der Prüfer abfragt und sieht. Das kann ein technisch versierter Mitarbeiter sein, der Steuerberater oder der Anwalt. Wer dem Prüfer bei Z1 alleine am System lässt, gibt die Kontrolle vollständig ab.

Bei Z2 und Z3 gilt: Jede Abfrage und jede übergebene Datei dokumentieren. Was wann in welchem Format übergeben wurde, muss nachweisbar sein — für spätere Einwände gegen die Verwendung.

E.4 Wie lange

Die Dauer des Datenzugriffs ist ein oft übersehener Faktor. Je länger der Prüfer am System sitzt oder je umfangreicher der exportierte Datensatz ist, desto mehr Auswertungsmöglichkeiten hat er. Bei Z3 ist der zeitliche Rahmen für die behördliche Auswertung rechtlich nicht begrenzt.

Proaktive Begrenzung — durch einen gezielten, präzisen Export statt eines Gesamtexports — reduziert nicht die Prüfungsqualität, aber die Fläche für Zufallsfunde ausserhalb des eigentlichen Prüfungsgegenstands.

Die Gesamtstrategie entscheidet

Prüfungsort, Zugriffsform, Datenselektion und Präsenz im Raum sind keine isolierten Entscheidungen — sie hängen zusammen. Wer Z3 anbietet, aber einen unkontrollierten Gesamtexport liefert, hat wenig gewonnen. Wer Z2 durchsetzt, aber den Prüfer ohne Begleitung die Abfragen stellen lässt, hat die Kontrolle trotzdem verloren. Die Strategie muss als Einheit gedacht werden — bevor die Prüfung beginnt.

Datenzugriff gesteuert — oder überlassen?

Die Entscheidung, welche Zugriffsform gilt, welche Daten herausgegeben werden und unter welchen Bedingungen der Prüfer am System ist, fällt oft in den ersten Stunden der Prüfung. Danach ist sie schwer revidierbar.

Vertraulich — auch wenn die Prüfung bereits läuft.

Verfahrenslage einordnen lassen

Weiterführend auf dieser Website

Verwandte Themen

FAQ Datenzugriff und Steuerdatenschutz

Welche drei Zugriffsformen kennt § 147 Abs. 6 AO?
§ 147 Abs. 6 AO unterscheidet drei Zugriffsformen: Z1 (unmittelbarer Datenzugriff — Prüfer liest selbst am EDV-System des Unternehmens), Z2 (mittelbarer Datenzugriff — Prüfer benennt Abfragen, Unternehmen führt sie aus und übermittelt Ergebnisse) und Z3 (Datenträgerüberlassung — Übergabe einer Datei, die der Prüfer in der Behörde auswertet). Z2 ist die kontrollierbarste Form: Das Unternehmen behält die Kontrolle darüber, was genau übergeben wird.
Muss ich dem Betriebsprüfer unmittelbaren Zugriff auf mein Buchführungssystem gewähren?
Nicht zwingend. Das Gesetz räumt dem Finanzamt ein Wahlrecht zwischen den drei Zugriffsformen ein — aber der Unternehmer kann Z1 durch das Angebot einer gleichwertigen Zugriffsalternative (Z2 oder Z3) abwenden. Entscheidend ist, dass die geforderten Daten vollständig und in auswertbarer Form bereitgestellt werden. Eine vollständige GoBD-konforme Datei (Z3) erfüllt in der Regel die Anforderungen — und vermeidet unkontrollierten Systemzugriff.
Darf der Betriebsprüfer auch Daten einsehen, die nicht steuerlich relevant sind?
Nein. Der Datenzugriff nach § 147 Abs. 6 AO beschränkt sich auf steuerlich relevante Daten. Der Grundsatz der Verhältnismässigkeit gilt auch im Steuerverfahren. Personenbezogene Daten Dritter (Kunden, Mitarbeiter) dürfen nur verarbeitet werden, soweit das zur Steuerfestsetzung erforderlich ist. Unterlagen, die dem Berufsgeheimnis unterliegen, oder Bankdaten, die über die relevante Geschäftsverbindung hinausgehen, sind nicht zugänglich zu machen.

Kontakt

Prüfungsanordnung oder laufende Betriebsprüfung — wir übernehmen ab sofort.

Verschlüsselte Nachricht senden* Teams-Termin →

*Um Ihre Nachricht mit der gebotenen Anwaltsvertraulichkeit zu behandeln, öffnet sich ein Fenster, wo Sie uns eine verschlüsselte Nachricht zusenden können. Sie können Anhänge beifügen. Nach dem Absenden erscheint eine Bestätigung und Sie haben die Möglichkeit, die Nachricht zu downloaden.

Mit Ihrer Kontaktaufnahme erklären Sie sich damit einverstanden, dass wir Ihre Angaben intern an die jeweilige unserer Kanzleien weitergeben, der Ihre Anfrage fachlich zuzuordnen ist.

Telefonisch: +49 40 49 20 93 43