Entwerten digitaler Belege
An den Digitalausschuss wurde eine Beratungsanfrage nach Empfehlungen der Aufsicht und des Prüfdienstes zum „Entwerten“ digitaler Belege herangetragen.
Gemäß § 5 Abs. 2 SVRV ist sicherzustellen, dass eine nochmalige Verwendung von Belegen ausgeschlossen ist. Hierzu ist es erforderlich, dass Unterlagen eindeutig und unverwechselbar als bereits verwendet gekennzeichnet werden. Bei Papierunterlagen erfolgt dies häufig durch einen Stempelaufdruck oder eine Lochprägung.
Gemäß § 6 Abs. 3 SVRV können auch elektronisch erzeugte Dateien oder Datensätze Belege im Sinne der SVRV sein. In § 9 Abs. 1 S. 2 und 3 SRVwV ist ausgeführt, dass bei elektronisch erzeugten Dateien oder Datensätzen insbesondere sichergestellt sein muss, dass die Daten verfügbar sind und innerhalb angemessener Frist lesbar gemacht und ausgedruckt werden können. Mehrausfertigungen von Belegen müssen als solche erkennbar sein.
Grundsätzlich sind beim Einsatz von IT-gestützten Verfahren bei der Anordnung und Feststellung von Zahlungen §§ 40 Abs. .5, 41a SRVwV sowie Anlage 9 zur SRVwV und § 17 SVRV zu beachten. Es muss eine gleichwertige Sicherheit zu einem papiergebundenen Verfahren gewährleistet sein und durch die in den genannten Vorschriften geforderten Dokumentationen nachgewiesen werden. Für die Herstellung eines gleichwertigen Sicherheitsniveaus kommen unterschiedliche ineinandergreifende technische und organisatorische Maßnahmen (sog. TOMs) in Betracht, die von dem jeweiligen Sozialversicherungsträger auf Grundlage einer Gefährdungsanalyse je nach bestehendem Risikograd festzulegen sind. Weiterführende Hinweise zur Umsetzung sind auf der Internet-Seite des BAS im „Leitfaden Elektronische Kommunikation und Langzeitspeicherung elektronischer Daten“ des Prüfdienstes sowie in dem Rundschreiben „Anforderungen an IT-gestützte Verfahren des Rechnungswesens zur Ersetzung von Schriftformerfordernissen“ vom 22. Juni 2020 abrufbar.
Bei der Umwandlung von konventionellen (Papier-)Belegen in elektronische Dokumente empfiehlt das BAS überdies, die Richtlinie des Bundesamtes für Sicherheit in der Informationstechnik (BSI) TR RESISCAN (BSI TR 03138) zu beachten. Die Entscheidung über den Umsetzungsgrad dieser Vorgaben sollte auf einer trägerspezifischen Risikoanalyse für die unterschiedlichen Belegarten basieren, bei der auch Wirtschaftlichkeitsaspekte beachtet werden.
Im Ergebnis gibt es aus aufsichtsrechtlicher Sicht keine „richtige Lösung“, wie das „Entwerten“ von elektronischen Belegen zu handhaben ist. Die gleichwertige Sicherheit zum papiergebundenen Verfahren wird vielmehr durch ein Bündel an technischen und organisatorischen Maßnahmen sichergestellt, das unterschiedlich zusammengesetzt sein kann. Es gibt mehrere Gestaltungsmöglichkeiten, bei deren konkreter Auswahl neben hard- und softwareseitigen Voraussetzungen (nicht nur beim SV-Träger selbst, sondern auch bei eingesetzten IT-Dienstleistern) auch organisatorische Gegebenheiten und wirtschaftliche Aspekte zu berücksichtigen sind. Wichtige Bausteine eines solchen Maßnahmenbündels sind an den jeweiligen Schutzbedarf angepasste Berechtigungskonzepte und Authentifizierungslösungen sowie die revisionssichere Archivierung. Sind bereits solche grundlegenden Mechanismen zum Schutz vor unberechtigter Veränderung etabliert, könnte die „Entwertung“ eines Belegs z.B. unter anderem kenntlich gemacht werden, indem ein eindeutig zu einem Geschäftsvorgang zugeordneter und mit einer bestimmten Kontierung verknüpfter elektronischer Beleg fest und untrennbar mit einem elektronischen Stempel oder elektronischer Kennzeichnung versehen wird und unprotokollierte Änderungen nicht mehr möglich sind. Hier sind jedoch ganz unterschiedliche Lösungsmöglichkeiten denkbar. Für konkrete Lösungsvorschläge sind die jeweiligen IT-Dienstleister der SV-Träger die ersten Ansprechpartner.
Zu beachten ist, dass der SV-Träger mit einer alleinigen Kenntlichmachung der bereits erfolgten Verwendung des digitalen Beleges ohne eine solche feste technische Verbindung mit dem Beleg der Intention des „Entwertens“ nicht abschließend gerecht wird. Vielmehr soll die Entwertung von (Original-Papier-)Belegen ihre Doppelverwendung und somit eine Doppelzahlung vermeiden. In der Praxis haben die implementierten TOMs (Basis für ein fundiertes internes Kontrollsystem und somit zentrale Schlüsselfunktion der Kassensicherheit) dann ergänzend durch Mechanismen sicherzustellen, dass z.B. im Fachverfahren aufgrund von Mehrfacheinreichungen eines Beleges keine erneute bzw. unberechtigte Zahlung generiert werden kann. Das interne Kontrollsystem bzw. IT-System hat dies zuverlässig zu erkennen und Doppelzahlungen zu vermeiden.
Aus aufsichtsrechtlicher Sicht ist wichtig, dass die Festlegung des konkreten Maßnahmenpakets auf der Grundlage einer trägerspezifischen Gefährdungsanalyse erfolgt.
(Stand: 15.07.2021)