WhatsApp im Unternehmen und Verein

Die Nutzung von WhatsApp im geschäftlichen Einsatz und im Verein ist aus rechtlicher Sicht kritisch zu sehen. Hieran hat die Datenschutzgrundverordnung (DSGVO) im Mai 2018 nichts geändert, die Problematik bestand auch schon mit dem alten Bundesdatenschutzgesetz (BDSG).

Was ist konkret das Problem an WhatsApp?

Nach meiner Auffassung sind es weniger die Inhalte der Kommunikation, die rechtlich bedenklich sind. Vielmehr ist es die notwendige Freigabe der Kontakte, um die App überhaupt sinnvoll nutzen zu können. Im Zusammenhang der Freigabe der Kontakte und deren Übertragung an WhatsApp spricht ein Datenschützer von einer „Datenübermittlung in ein Drittland“. Hierfür bedarf es einer Einwilligung, da keine andere Rechtsgrundlage überhaupt in Frage kommt. Jeder Kontakt muss also aktiv und nachweisbar gefragt werden, ob die Übertragung an WhatsApp in Ordnung ist und zwar vor Freigabe der Kontakte. Dies ist in der Praxis kaum umsetzbar.

Ein zweites Problem ist die geschäftliche Nutzung im Unternehmen oder auch im Verein. Hierfür bedarf es gem. Art. 28 DSGVO einer Vereinbarung zur Auftragsverarbeitung bzw. EU-Standardvertragsklauseln. Dies lässt sich mit WhatsApp nicht umsetzen.

Was ist die Folge der rechtlichen Probleme?

Die logische Folge ist, dass Datenschutzbeauftragte empfehlen müssen, WhatsApp nicht im Unternehmen und Verein einzusetzen.

Gibt es Lösungsansätze, das Problem zu beheben?

Unternehmen tun sich schwer, WhatsApp von den Smartphones zu verbannen. Auch für Vereine ist die Organisation über WhatsApp-Gruppen ein enormer Vorteil. Folgende Lösungsansätze bestehen:

  • Einsatz von Datencontainern auf Smartphones, z.B. „Sicherer Ordner“ bzw. „Knox“ auf Samsung-Geräten. Unabhängig von den Geschäftskontakten kann der Container ausschließlich für private Zwecke verwendet werden einschl. Kontakten und Anwendungen wir WhatsApp (Hilfestellung hierzu: https://www.samsung.com/at/discover/sicherer-ordner-auf-dem-galaxy-s8/).
  • Keine Freigabe der Kontakte: Das Verweigern des Zugriffs auf die Kontakte ist ein weiterer Weg zur Nutzung, der jedoch mit Komforteinbußen verbunden ist.

Über den Autoren:

Markus Olbring ist Inhaber der comdatis it-consulting GmbH & Co. KG in Ahaus-Alstätte. Er ist als IT-Berater und IT-Sachverständiger tätig und berät Unternehmen in den Bereichen Digitalisierung, Verfahrensdokumentation, Datenschutz, externer Datenschutzbeauftragter sowie Informationssicherheit.

Sag mir deine E-Mail-Adresse und ich sag dir wer du bist

„Sag mir deine E-Mail-Adresse und ich sag dir wer du bist.“ Was Datenhändler alles aus einer E-Mail-Adresse ablesen können und wie man sich dagegen am besten wehrt.

E-Mail-Adressen müssen fast überall angegeben werden: z. B. auf Social Media Plattformen, in Online Shops, oder auch bei Bonuskundenkarten-Anbietern.

Nicht zuletzt aus dem Grund der ständigen Präsenz der E-Mail-Adresse ist sie die neue Handelsware. Das ruft natürlich auch viele Unternehmen hervor, die sich mit dem Handel von E-Mail-Adressen und dahinterliegenden Daten befassen.

Einer der größte Datenhändler rühmt sich damit, zu 80 % aller E-Mail-Adressen weiterführende Daten zu besitzen [1]. Darunter Daten wie Alter, Geschlecht, Name, Anschrift, aber auch Daten wie das Einkommen, Kinderzahl, Käufertypisierung wie „Schnäppchenjäger“, „Urlaubsshopper“ oder ob grade eine Schwangerschaft ansteht [2]. Anwendungsbereiche für diese Datensammlungen liefern die Datenkraken gleich mit: wenn man ein Anbieter im Bereich Wellness und Spa ist, wäre es doch schöner wenn man weiß, erstens wie der Kunde heißt, zweitens ob er / sie verheiratet ist oder welchen Geschlechtes er / sie ist, um ihn / sie direkt anzusprechen und ihr / ihm gleich den Grund für den Kauf anzubieten [3].

Die Verknüpfung von Daten darf natürlich laut Datenhändler nicht fehlen, wenn jemand ein Disneyfilm kauft, heißt das noch nicht, dass er Disneyfilme mag – vielleicht ist er Vater und kauft diesen Film für seine Tochter. Das Ausmaß, was solche Unternehmen anhand der E-Mail-Adresse von Ihnen wissen, ist vermutlich erschreckend.

Aus rechtlicher Sicht ist die werbliche Ansprache per Mail als sehr kritisch einzustufen, wenn nicht vorher explizit eingewilligt wurde. Das Gesetz gegen den unlauteren Wettbewerb (UWG) sieht eine unzumutbare Belästigung (§ 7 Abs. 2 Nr. 3), wenn keine ausdrückliche Einwilligung vorliegt.

Wie kann man all das eindämmen?

  1. legen Sie sich mehrere E-Mail-Adressen für verschiedene Einsatzbereiche an
  2. nutzen Sie mindestens eine „Spammail-Adresse“
  3. überlegen Sie sich doch ab und zu mal, eine kostenfreie Wegwerf-E-Mail-Adresse zu nutzen [4]
  4. geben Sie bei Anmeldungen nur die Daten an, die unbedingt für die Anmeldung verpflichtend sind
  5. stimmen Sie nur den Bedingungen zu, die für die Anmeldung erforderlich ist.
  6. Nutzen Sie Ihre Rechte aus dem Datenschutz, also der Datenschutzgrundverordnung (DSGVO), wie z.B. Auskunft oder Löschung

Über den Autoren:

Sven Schüldink ist Berater für Datenschutz bei der comdatis it-consulting GmbH & Co. KG.

[1] https://www.towerdata.com/email-intelligence/email-enhancement

[2] https://info.towerdata.com/hubfs/docs/TowerData%20Data%20Dictionary%202_2017%20Data%20Dictionary.pdf

[3] https://info.towerdata.com/hs-fs/hub/68599/file-439186315-pdf/docs/EmailEnhancement.pdf

[4] https://www.bing.com/search?q=wegwerf+email

Hilfestellungen für kleine und mittlere Unternehmen

Konkrete Hilfestellung für kleine und mittlere Unternehmen hat jetzt das bayLDA veröffentlich. Die Informationen enthalten u.a. konkrete Beispiele für das Verzeichnis der Verarbeitungstätigkeiten.

Folgende Branchen sind enthalten:

  • Vereine
  • KFZ-Werkstatt
  • Handwerksbetrieb
  • Arztpraxis
  • WEG-Verwaltung
  • Produktionsbetrieb
  • Genossenschaftsbank
  • Onlineshop
  • Bäckerei
  • Beherbunbsbetrieb

 

Werbung nach DSGVO!?

Da kommt tatsächlich so etwas wie Panik auf: Darf ich jetzt etwa keine Werbung mehr betreiben mit der DSGVO!?

Doch, natürlich darf das!

Wie verrückt wäre es auch, wenn Unternehmen keine Werbung mehr betreiben dürfen. Das würde dem wirtschaftlichen Gedanken und der Notwendigkeit mehr als widersprechen.

Trotzdem gibt es ein paar Regeln zu beachten, die wir hier einmal zusammenfassen:

  • Es fehlt eine klare Regelung für Werbung in der DSGVO. Daher gilt für die Zulässigkeit der Werbung entweder das Vorliegen einer Einwilligung oder eine Interessenabwägung. In die Bewertung der Interessenabwägung nehmen wir den Erwägungsgrund 47 (Satz 7) hinzu: „Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden.“ Dazu muss eigentlich nichts mehr gesagt werden, oder?
  • Grundsätzlich gilt für die Verarbeitung personenbezogener Daten auch der Grundsatz der Angemessenheit und der Datensparsamkeit (Art. 5 DSGVO)
  • Wichtig ist, dass eine Widerspruchsmöglichkeit (Art. 21 Abs. 2 bis 4 DSGVO), hierauf muss bei der ersten Kommunikation hingewiesen werden!
  • Das Gesetz gegen den unlauteren Wettbewerb (UWG) ist zu beachten. Hier regelt § 7 die „unzumutbaren Belästigen“. Werbung an Verbraucher per Mail, Telefon, Fax und SMS stets nur mit vorheriger ausdrücklicher Einwilligung! E-Mail-Wertung an Bestandskunden kann jedoch zulässig sein (§ 7 Abs. 3 UWG)
  • Informationspflichten gem. Art. 13 und 14 DSGVO sind zu beachten. Ergänzend zu den möglichen AGB muss es zukünftig eine Datenschutzinformation geben. Fraglich ist derzeit noch, wie die Datenschutzinformationen auf maximal einfache Art und Weise bekannt gemacht werden können.
  • Einwilligungen, die bereits nach Bundesdatenschutzgesetz (BDSG) in der Vergangenheit gültig waren, bleiben gültig!
  • Bei Einwilligungen ist das Koppelungsverbot (z.B. fehlende Freiwilligkeit, d.h. Zwang zur Einwilligung) zu beachten.
  • Bei „kostenlosen“ Services, die mit der werblichen Nutzung von Daten „bezahlt“ werden, muss bei Vertragsabschluss klar dargestellt werden, dass dies die Gegenleistung des Nutzers ist.

Detailliertere Informationen befinden sich in der folgenden Information des baylda: https://www.lda.bayern.de/media/baylda_ds-gvo_12_advertising.pdf

GoBD-Verfahrensdokumentation – wieso, weshalb, warum!?

Zunehmend werden Anforderungen kommuniziert, dass jedes Unternehmen zur Erfüllung steuerrechtlicher Anforderungen eine Verfahrensdokumentation erstellen muss. Hintergrund ist ein im November 2014 veröffentlichtes Schreiben des Bundesministeriums der Finanzen (BMF). Bei diesem Schreiben handelt es sich um die sogenannten GoBD, die im Folgenden noch weiter erläutert werden.

Das Schreiben beinhaltet die Anforderungen der Finanzverwaltung an IT-gestützte Buchführungssysteme, also die Führung und Aufbewahrung steuerrelevanter Unterlagen in elektronischer Form.

Die zunehmende Integration der IT-Systeme in Unternehmen, aber auch die Digitalisierung führen in jüngeren Betriebsprüfungen dazu, dass die Bedeutung steuerrelevanter IT-Systeme auch in Betriebsprüfungen zunimmt. Es gibt kaum ein Unternehmen, welches sich nicht bereits in Digitalisierungsprozessen befindet, z.B. durch den Empfang und Versand von Rechnungen per E-Mail.

Obwohl die Anforderung an die Erstellung einer Verfahrensdokumentation bereits seit 1995 besteht, ist vor dem Hintergrund der zunehmenden Digitalisierung erkennbar, dass in aktuellen Betriebsprüfungen vermehrt nach der Dokumentation gefragt wird.

 

Was sind die GoBD?

Die „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“ (GoBD) wurden im November 2014 veröffentlicht. Das Schreiben des Bundesministeriums der Finanzen (BMF) ist für Veranlagungszeiträume ab Januar 2015 gültig und hat die bisherigen Schreiben GoBS aus 1995 und GDPdU aus 2001 abgelöst.

Warum muss eine Verfahrensdokumentation erstellt werden?

Die Anforderung an die Erstellung der Dokumentation ergibt sich konkret aus Tz. 151 der GoBD. Dort heißt es, dass für jedes DV-System eine übersichtlich gegliederte Verfahrensdokumentation vorhanden sein muss, aus der folgende Inhalte vollständig und schlüssig ersichtlich sind:

  • Inhalt des Verfahrens
  • Aufbau des Verfahrens
  • Ergebnis des Verfahrens

Primäre Zielgruppe der Verfahrensdokumentation ist ein sachverständiger Dritter, z.B. ein Betriebsprüfer der Finanzbehörde. Diesem muss die Dokumentation die Möglichkeit geben, das Verfahren in angemessener Zeit nachvollziehen zu können.

Was sind die typischen Inhalte einer Verfahrensdokumentation?

Als typische Inhalte der Verfahrensdokumentation werden in Tz 152 der GoBD genannt:

  • Allgemeine Beschreibung
  • Anwenderdokumentation
  • Systemdokumentation
  • Betriebsdokumentation

Erwähnenswert ist auch die Anforderung, dass die Verfahrensdokumentation der gesetzlichen Aufbewahrungspflicht (10 Jahre) unterliegt. Änderungen an den Verfahren und Systemen müssen historisch belegbar sein. Hier bietet es sich an, für die Dokumentation ein Dokumentenmanagementsystem (DMS) einzusetzen.

Hilfreich zur Konkretisierung der notwendigen Dokumentationsinhalte ist die Tatsache, wenn wir anstelle von Verfahren besser von Geschäftsprozessen sprechen. Die Verfahrensdokumentation ist also nichts anderes als eine Dokumentation der steuerrelevanten Geschäftsprozesse.

Typische Geschäftsprozesse mit Steuerrelevanz sind:

  • Einkauf
  • Verkauf
  • Personalbuchhaltung
  • Kassenführung
  • Digitale Belegablage und E-Mail-Archivierung

Für die konkrete inhaltliche Ausgestaltung hilft Tz. 152 der GoBD: „Die Verfahrensdokumentation beschreibt den organisatorisch und technisch gewollten Prozess, z.B. bei elektronischen Dokumenten von der Entstehung der Informationen über die Indizierung, Verarbeitung und Speicherung, dem eindeutigen Wiederfinden und der maschinellen Auswertbarkeit, der Absicherung gegen Verlust und Verfälschung und der Reproduktion.“

Gibt es Erleichterungen für kleine und mittlere Unternehmen?

Es gibt keine konkreten und klar definierten Erleichterungen für kleine und mittlere Unternehmen. Aus der folgenden Formulierung ergeben sich jedoch Anhaltspunkte für mögliche Erleichterungen:

„Die konkrete Ausgestaltung der Verfahrensdokumentation ist abhängig von der Komplexität und Diversifikation der Geschäftstätigkeit und der Organisationsstruktur des eingesetzten DV-Systems.“ (Tz. 151 GoBD)

Auch Tz. 155 der GoBD deutet mögliche Erleichterungen an:

„Soweit eine fehlende oder ungenügende Verfahrensdokumentation die Nachvollziehbarkeit und Nachprüfbarkeit nicht beeinträchtigt, liegt kein formeller Mangel mit sachlichem Gewicht vor, der zum Verwerfen der Buchführung führen kann.“

Keines der Zitate führt dazu, dass ein Unternehmen keine Verfahrensdokumentation benötigt. Der Umfang der Dokumentation hängt aber von der Komplexität der Geschäftsprozesse und der verwendeten IT-Systeme ab.

Während in größeren Unternehmen integrierte Softwarelösungen (z.B. ERP-System) eingesetzt werden, die vor dem Einsatz durch ein Customizing betriebsbereit gemacht werden, verwenden kleine Unternehmen Softwarelösungen, die kaum Einstellungsmöglichkeiten bieten.

Die Komplexität der Softwarelösungen und der Verfahren geben daher ein Indiz auf die notwendige Verfahrensdokumentation, z.B.:

  • Bei Einsatz von Standardsoftware ohne umfangreiche Einstellungsmöglichkeiten kann eine Verfahrensdokumentation möglicherweise als einfache Exceltabelle der Ablaufschritte dargestellt werden mit einigen Zusatzinformationen (z.B. Internes Kontrollsystem, verwendete Software)
  • Bei Einsatz von Softwareprodukten, die vor dem Einsatz eingerichtet werden muss, ist eine Verfahrensdokumentation voraussichtlich umfangreicher.
  • Für komplexe Dokumentenmanagementlösungen (DMS) wird in der Praxis häufig eine separate Verfahrensdokumentation zu digitalen Belegablage erstellt.

Ist ein Testat des Softwareherstellers nicht ausreichend?

Buchhalterische Softwareprodukte werden von den Softwareherstellern häufig mit einem Testat herausgegeben, welches die Ordnungsmäßigkeit der Software bescheinigt. Der am weitesten verbreitete Standard ist der Prüfungsstandard 880 „Erteilung von Softwarebescheinigungen“ vom Institut der Wirtschaftsprüfer (IDW).

Für Unternehmen hat das Zertifikat im ersten Moment keine unmittelbare Aussagekraft. Das Zertifikat alleine sagt nichts über das eingerichtete System, also die spezifische Implementierung und Anpassung aus. Auch gibt das Zertifikat einem Prüfer keine Hinweise über die steuerrelevanten Prozesse und das interne Kontrollsystem (IKS). Der Mehrwert einer vorhandenen Softwarebescheinigung liegt in der Gewissheit, dass die Software die notwendigen Grundlagen für den ordnungsgemäßen Einsatz im Unternehmen „von Haus aus“ (also vom Softwarehersteller ausgehend) mitbringt. Das ausgelieferte Zertifikat ist daher ein ideales Fundament für die Verfahrensdokumentation zur Erfüllung der Anforderungen aus den GoBD.

Was müssen Unternehmen jetzt machen?

Unternehmen müssen sich darüber im Klaren sein, dass mit zunehmender Digitalisierung die Bedeutung einer Verfahrensdokumentation noch zunehmen wird. Es gibt kaum Unternehmen, die noch keine Rechnungen als Mail empfangen. Alleine an diesem Beispiel ist die Notwendigkeit einer Verfahrensdokumentation einfach erklärt, da der Ausdruck des PDF in der Mail alleine nicht ausreicht, um die Aufbewahrungspflichten zu erfüllen.

Jedes Unternehmen ist daher gut beraten, eine Verfahrensdokumentation zur Erfüllung der Anforderungen der GoBD zu erstellen. Der Umfang der Dokumentation sollte dabei von der Komplexität der Systeme und Prozesse abhängen.

Abschließend muss erwähnt werden, dass das Abwarten der nächsten Betriebsprüfung keine sinnvolle Strategie sein kann. Bereits morgen könnte im Rahmen einer Kassennachschau nach einer Verfahrensdokumentation gefragt werden.

 

Über den Autoren:

Markus Olbring ist Inhaber der comdatis it-consulting in Ahaus-Alstätte. Als IT-Berater und IT-Sachverständiger beschäftigt er sich mit der Erstellung und Prüfung von Verfahrensdokumentationen. Darüber hinaus ist er als IT-Prüfer für Wirtschaftsprüfungsgesellschaften tätig. Weitere Tätigkeitsfelder sind der Datenschutz und die Informationssicherheit, in beiden Bereichen sowohl als Berater als auch als zertifizierter Auditor.

IT-Auditor IDW – Bestanden!

Markus Olbring hat jetzt mit bestandener Prüfung beim Institut der Wirtschaftsprüfer (IDW) die Zertifizierung zum IT-Auditor (IDW) erhalten.

Eine Zertifizierung wie viele andere bzw. was zeichnet den IT-Auditor (IDW) aus? Den IT-Auditor (IDW) kann man nicht ausschließlich durch Lehrgangsteilnahme und Bestehen der Prüfung erwerben. Vielmehr sind für die Anerkennung umfangreiche Tätigkeitsnachweise, also Praxiserfahrung, nachzuweisen. Das macht den IT-Auditor (IDW) dann doch zu etwas Besonderem, nämlich dem Nachweis umfangreicher Praxiserfahrungen im Bereich der IT-Prüfung.

Wir freuen uns und gratulieren zur bestanden Prüfung!

 

Teil 7/7: DSGVO – Hilfsmittel zur Umsetzung

Welche Hilfsmittel gibt es, um in der noch verbleibenden Zeit die Anforderungen umzusetzen?

 

Wir haben hier einige interessante Links zur Verfügung gestellt:

 

Wenn Sie eine unabhängige Beratung zum Datenschutz nutzen möchten oder einen externen Datenschutzbeauftragten bestellen möchten, nehmen Sie gerne Kontakt mit uns auf: https://www.comdatis.de/kontakt

 

Interessiert Sie der Datenschutz so sehr, dass Sie beruflich auf diesem Gebiet tätig werden möchten? Dann werfen Sie doch mal einen Blick auf die folgende Seite:

Berater – Compliance, Datenschutz und Informationssicherheit

Über den Autor:
Faraz Afscharian ist IT-Berater bei der comdatis it-consulting in Ahaus-Alstätte. Er beschäftigt sich u.a. mit der Erstellung von Verfahrensdokumentationen gem. GoBD für IT-gestützte Geschäftsprozesse zur digitalen Belegarchivierung und zum Dokumentenmanagement. Darüber hinaus ist er als Datenschutzberater und IT-Prüfer für Wirtschaftsprüfungsgesellschaften tätig. Er verfügt über eine Ausbildung zum Lead Auditor ISO/IEC 27001.

Teil 6/7: DSGVO: Einwilligung

Wir haben schon viel über die Einwilligungserklärung geschrieben, doch was sind die Voraussetzungen einer Einwilligungserklärung? Denn nur auf Basis einer Einwilligungserklärung kann eine rechtmäßige Datenverarbeitung stattfinden. Der Text der Einwilligungserklärung muss einfach und verständlich sein. Aus der Einwilligung muss der Zweck der Verarbeitung hervorgehen. Der betroffene muss freiwillig die Einwilligung abgeben. Des Weiteren muss sichergestellt sein, dass der Betroffene jederzeit seine Einwilligung widerrufen kann. Eine konkrete Formvorschrift wird nicht genannt, jedoch muss die verantwortliche Stelle im Zweifel den Nachweis erbringen können, dass die betroffene Person in die Verarbeitung der personenbezogenen Daten eingewilligt hat.

Bereits nach derzeitigem Recht erteilte Einwilligungen bleiben i.d.R. weiterhin gültig.

 

Über den Autor:
Faraz Afscharian ist IT-Berater bei der comdatis it-consulting in Ahaus-Alstätte. Er beschäftigt sich u.a. mit der Erstellung von Verfahrensdokumentationen gem. GoBD für IT-gestützte Geschäftsprozesse zur digitalen Belegarchivierung und zum Dokumentenmanagement. Darüber hinaus ist er als Datenschutzberater und IT-Prüfer für Wirtschaftsprüfungsgesellschaften tätig. Er verfügt über eine Ausbildung zum Lead Auditor ISO/IEC 27001.

 

Teil 5/7: DSGVO: Was muss ein Unternehmen noch umsetzen

Datenverarbeitende Unternehmen müssen auf der Homepage, also öffentlich zugänglich, eine Datenschutzerklärung vorhalten. Das war im BDSG bereits geregelt und das hat sich auch mit der DSGVO nicht geändert. Folgende verpflichtende Informationen müssen in der Datenschutzerklärung einfließen:

  • Namen und Kontaktdaten der verantwortlichen Stelle sowie ggf. die der eines Vertreters
  • Die Kontaktdaten des bestellten Datenschutzbeauftragten
  • Die Zwecke für die die personenbezogenen Daten verarbeitet werden sollen
  • Die Rechtsgrundlage für die Datenverarbeitung
  • die berechtigen Interessen, auf die die Datenverarbeitung gestützt wird.
  • Falls vorhanden die Empfänger der personenbezogenen Daten
  • die Weitergabe an ein Drittland oder an eine internationale Organisation
  • Die Dauer der Speicherung
  • Der Nutzer muss darüber informiert werden, dass er ein Recht auf Auskunft, Berichtigung, Löschung oder Einschränkung der Verarbeitung sowie das Bestehen eines Widerspruchsrechts
  • Das Recht der Benutzer auf eine Datenübertragbarkeit
  • Die Möglichkeit die Einwilligung widerrufen zu können
  • Das Bestehen des Beschwerderechts bei einer Aufsichtsbehörde
  • Auf welche Grundlage die personenbezogenen Daten verarbeitet werden (gesetzlich, vertraglich, oder für einen Vertragsabschluss erforderlich ist)

Die Pflichtangaben müssen in präziser, transparenter, verständlicher und leicht zugänglicher Form sowie in einer klaren und einfachen Sprache erfolgen. Hier gilt der Grundsatz der Prägnanz, sodass ausschweifende Erläuterungen zu vermeiden sind. Bei Informationen an Kinder müssen diese auch in kindgerechter Sprache formuliert werden, unter Umständen muss eine bildliche Aufbereitung der Informationen erfolgen.

 

Über den Autor:
Faraz Afscharian ist IT-Berater bei der comdatis it-consulting in Ahaus-Alstätte. Er beschäftigt sich u.a. mit der Erstellung von Verfahrensdokumentationen gem. GoBD für IT-gestützte Geschäftsprozesse zur digitalen Belegarchivierung und zum Dokumentenmanagement. Darüber hinaus ist er als Datenschutzberater und IT-Prüfer für Wirtschaftsprüfungsgesellschaften tätig. Er verfügt über eine Ausbildung zum Lead Auditor ISO/IEC 27001.

Revisionssicher mit Softwarebescheinigung und GoBD-Verfahrensdokumentation

Für viele Softwareuser ist ein Softwaretestat z.B. nach IDW PS 880 irreführend. Häufig wird angenommen, dass das Testat die Revisionssicherheit sichergestellt und die Verfahrensdokumentation nach GoBD ersetzt.

Wir möchten hier die „Mythen“ aus der Welt schaffen. Doch zunächst gehen wir auf die Begrifflichkeiten ein, mit denen sich Unternehmen konfrontiert fühlen:

Wichtige Begriffe und Abkürzungen, wenn wir über Revisionssicherheit sprechen möchten, sind die folgenden:
IDW = Institut der Wirtschaftsprüfer
PS = Prüfungsstandard
GoBD = Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff
GoB = Grundsätze ordnungsmäßiger Buchführung
FAIT = Fachausschuss Informationstechnologie
HGB = Handelsgesetzbuch
AO = Abgabenordnung
BDSG = Bundesdatenschutzgesetz
DSGVO = Datenschutz-Grundverordnung

Das Institut der Wirtschaftsprüfer (IDW) publiziert „IDW-Verlautbarungen“. Nach diesen Grundsätzen können Wirtschaftsprüfer unbeschadet ihrer Eigenverantwortlichkeit ihrer Prüfungstätigkeit nachgehen. Zu den IDW-Verlautbarungen zählen unter anderem „IDW Prüfungsstandards (IDW PS)“, „IDW Stellungsnahmen zur Rechnungslegung (IDW RS)“, „IDW Standards (IDW S)“, „IDW Prüfungshinweise (IDW PH)“, „IDW Rechnungslegungshinweise (IDW RH)“ .

Wir gehen hier konkreter auf den IDW PS 880 („Erteilung von Softwarebescheinigungen“) ein. Die Prüfung orientiert sich an den Anforderungen an Systemprüfungen bei Einsatz von IT (IDW PS 330) sowie den Grundsätzen ordnungsmäßiger Buchführung bei Einsatz von Informationstechnologie (IDW RS FAIT 1). Neben den genannten Verlautbarungen sind ebenfalls rechtliche Aspekte bei der Prüfung zu beachten:
– HGB
– AO
– GoB
– GoBD (bzw. Vorgänger: GDPdU und GoBS)

Nach der Prüfung erhält der Softwarehersteller einen Abschlussbericht sowie die Softwarebescheinigung. Dabei wird die Software dahingehend geprüft, dass der korrekte Einsatz der Software den rechtlichen Aspekten entspreche kann. Typische Prüfungsbereiche sind:
– Softwareentwicklungsprozess
– Dokumentationsprüfung
– Softwaresicherheit
– Programmfunktionen

Für Unternehmen hat das Zertifikat im ersten Moment keine unmittelbare Aussagekraft. Das Zertifikat alleine sagt nichts über das eingerichtete System, also die spezifische Implementierung und Anpassung aus. Auch gibt das Zertifikat einem Prüfer keine Hinweise über die steuerrelevanten Prozesse und das interne Kontrollsystem (IKS). Der Mehrwert einer vorhandenen Softwarebescheinigung liegt in der Gewissheit, dass die Software die notwendigen Grundlagen für den ordnungsgemäßen Einsatz im Unternehmen „von Haus aus“ (also vom Softwarehersteller ausgehend) mitbringt. Das ausgelieferte Zertifikat ist daher ein ideales Fundament für die Verfahrensdokumentation zur Erfüllung der Anforderungen aus den GoBD.

In den GoBD ist ganz klar beschrieben, was zu tun ist, damit Unternehmen ordnungsgemäß arbeiten. In Kapitel 10.1 ist dargestellt, dass für jedes steuerrelevante DV-System eine übersichtlich gegliederte Verfahrensdokumentation vorhanden sein muss. Die Verfahrensdokumentation muss verständlich und damit für einen sachverständigen Dritten (Prüfer) in angemessener Zeit nachvollziehbar sein. In einer Verfahrensdokumentation für die digitale Belegarchivierung wird der organisatorisch und technisch gewollte Prozess beschrieben, dabei wird der gesamte Lebenszyklus der Dokumente und weiterer Daten von der Entstehung der Information über die Indizierung, Verarbeitung und Speicherung, dem eindeutigen Wiederfinden und der maschinellen Auswertbarkeit, der Absicherung gegen Verlust und Verfälschung und der Reproduktion beschrieben. Aus Sicht des Datenschutzes sollte auch auf das Löschen nach Ende der Aufbewahrungspflicht eingegangen werden.

Eine ordnungsgemäße digitale Archivierung im Sinne einer Revisionssicherheit gem. GoBD entsteht also auf Basis eines Softwaretestats und der nachvollziehbaren Beschreibung der Implementierung und abgebildeten Geschäftsprozesse in der Verfahrensdokumentation, die selbstverständlich mit der tatsächlichen Implementierung übereinstimmt.