Teil 2/7: DSGVO – Grundsätze der Verarbeitung

Die Grundsätze der Datenschutzgrundverordnung sind in Kapitel 2 (Artikel 5 bis 11) beschrieben. Die folgenden Grundsätze sind dort beschrieben:

  • Grundsätze für die Verarbeitung personenbezogener Daten
  • Rechtmäßigkeit der Verarbeitung
  • Bedingungen für die Einwilligung
  • Bedingungen für die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft
  • Verarbeitung besonderer Kategorien personenbezogener Daten
  • Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten
  • Verarbeitung, für die eine Identifizierung der betroffenen Person nicht erforderlich ist

Einer der wichtigsten Grundsätze ist das Verbot mit Erlaubnisvorbehalt. Jede Verarbeitung personenbezogener Daten ist unzulässig, wenn keine Ausnahmeregelung vorliegt. Die Verarbeitung personenbezogener Daten darf nur dann erfolgen, wenn eine Einwilligung des Betroffenen vorliegt oder eine gesetzliche Ausnahmeregelung besteht. Die gesetzlichen Ausnahmeregelungen sind

  • Erfüllung vertraglicher Pflichten
  • Erfüllung rechtlicher Verpflichtungen
  • Schutz lebenswichtiger Interessen

Von besonderer Bedeutung ist auch Art. 5 DSGVO. Die Grundsätze für die Verarbeitung personenbezogener Daten.

Transparenzgrundsatz (Art. 5 Abs. 1 a DSGVO)

Personenbezogene Daten müssen auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden.

Grundsatz der Zweckbindung (Art. 5 Abs. 1 b DSGVO)

Personenbezogene Daten müssen für festgelegte, eindeutige und legitime Zwecke erhoben werden. Einschränkungen bestehen hier für die bei der Verarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke.

Grundsatz der Datenminimierung (Art. 5 Abs. 1 c DSGVO)

Personenbezogene Daten müssen dem Zweck angemessen sein.

Grundsatz der Richtigkeit (Art. 5 Abs. 1 d DSGVO)

Personenbezogene Daten müssen sachlich und auf dem neusten Stand sein. Es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf den Zweck ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden.

Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 e DSGVO)

Personenbezogene Daten müssen in einer Form gespeichert werden, welche die Identifizierung der betroffenen Personen nur so lange zulässt, wie es für den Zweck der Verarbeitung erforderlich ist. Eine längere Speicherung ist nur dann zulässig, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen (kurz: ToM), die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke verarbeitet werden.

Grundsatz der Integrität (Art. 5 Abs. 1 f DSGVO)

Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet. Das schließt den Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder Schädigung durch geeignete technische und organisatorische Maßnahmen ein.

Über den Autor:
Faraz Afscharian ist IT-Berater bei der comdatis it-consulting in Ahaus-Alstätte. Er beschäftigt sich u.a. mit der Erstellung von Verfahrensdokumentationen gem. GoBD für IT-gestützte Geschäftsprozesse zur digitalen Belegarchivierung und zum Dokumentenmanagement. Darüber hinaus ist er als Datenschutzberater und IT-Prüfer für Wirtschaftsprüfungsgesellschaften tätig. Er verfügt über eine Ausbildung zum Lead Auditor ISO/IEC 27001.

 

Bock auf Digitalisierung, Datenschutz und Informationssicherheit?

Wenn ja, dann suchen wir dich als Berater/Beraterin in Vollzeit oder Teilzeit. Auch als freiberufliche Mitarbeit, Wiedereinsteiger, studentische Hilfskraft oder für Abschluss-/Projektarbeiten.

Was wir bieten? Selbständige Arbeitsorganisation, gute IT-Ausstattung und smarte Services, freie Arbeitszeitgestaltung, Home-Office

Was wir erwarten? DSGVO, BDSG, GoBD, Verfahrensdokumentation, ISO 27001, VdS 3473 – nicht alles sind Fremdworte für dich. Außerdem fällt es dir nicht schwer, diesen Text ins Englische zu übersetzen.

 Bewerbungen gerne per Mail an jobs@comdatis.it oder auch schriftlich.

#bockaufdatenschutz #bockaufdigitalisierung #bockaufinformationssicherheit #comdatis #ahaus #berater #job #digitalisierung #gobd #dsgvo #muensterland #verfahrensdokumentation #iso27001

Bildnachweis: Leigh Prather / fotolia.de

Datenschutz für KMU

Auch kleine Unternehmen fangen an, sich mit der Datenschutzgrundverordnung zu beschäftigen. Wir werden immer mal wieder gefragt, welche Informationen es hierzu gibt und vor allem, was zu tun ist.

Wir haben dies zum Anlass genommen, die aus unserer Sicht interessantesten Informationen zusammenzutragen und nachfolgend bereitzustellen:

Wer ist zur Ernennung eines Datenschutzbeauftragten verpflichtet? Link zur Datenschutzaufsicht NRW

Wer muss ein Verzeichnis von Verarbeitungstätigkeiten führen und was sind die Inhalte? Welche Erleichterungen gibt es hierbei für KMU? Link zum Kurzpapier beim LDI NRW

Sammlung aller Kurzpapiere der Datenschutzkonferenz (DSK) Link zum BayLDA

Wie könnte eine Prüfung der Umsetzung des Datenschutzes aussehen? Fragebogen BayLDA

Fragebogen der Datenschutzaufsicht Niedersachsen zur Umsetzung der DSGVO: Link zum Lfdi Niedersachsen

Wie kann ein KMU selber den Stand der Informationssicherheit bewerten? Link zum VdS-Quick-Check (Online-Fragebogen)

Checkliste mit einfachen Sicherheitsmaßnahmen für KMU: comdatis-Checkliste: Informationssicherheit für KMU

Wie kann ich ermitteln, ob meine Mailadresse einem Identitätsdiebstahl zum Opfer gefallen ist? Link zum „Identity Leal Checker“

 

Abschließend noch ein Hinweis in eigener Sache: Am 13. März 2018 wird es beim AIW in Stadtlohn eine Schulung zum Thema geben. Anmeldeinformationen hierzu finden Sie in Kürze auf der Homepage des AIW.

Teil 1/7: Grundsätzliches zur Datenschutz-Grundverordnung (DS-GVO)

EU-DSGVO (Datenschutzgrundverordnung) ist ein nicht sehr übersichtliches Gesetz:

· 99 Artikel

· 11 Kapitel

· 173 Erwägungsgründe (Erläuternde Hinweise zum eigentlichen Gesetzestext. – Bsp.: Der Schutz personenbezogener Daten ist als Grundrecht anzusehen. Des Weiteren gibt es in den Erwägungsgründen hinweise, wann und in welcher Form Bußgelder zu verhängen sind)

Doch was ist wichtig für die Unternehmer?

Um den beruflichen Alltag datenschutzkonform zu gestalten und die internen Arbeitsprozesse auf die DSGVO umzustellen, sollten Unternehmen sich primär die Bestimmungen der Kapitel 1 bis 5 widmen.

Doch es gilt zu beachten, dass die DSGVO alleine nicht weiterhilft. Es muss auch das nationale Datenschutzrecht hinzugezogen werden. Hier sind die nationalen Datenschutzbehörden aufgefordert Handlungs- und Orientierungshilfen zu erstellen und diese für alle kostenfrei bereitzustellen.

Die DSGVO gilt zwar unmittelbar in den EU-Ländern, jedoch sind sogenannte Öffnungsklauseln vorhanden, die den nationalen Gesetzgebern bestimmte Regelungskompetenzen zugestehen. Also ist das BDSG (Bundesdatenschutzgesetz) weiterhin notwendig, eine grundlegend novellierte Fassung mit Gültigkeit ab 25. Mai 2018 ist bereits verfügbar. Diese gilt als Ergänzung zur DSGVO und zwar dann, wenn es keine spezielleren gesetzlichen Regelungen gibt. Das TMG (Telemediengesetz) für den Onlinebereich (z.B. Unternehmen, die einen Internetauftritt betreiben) ist hier ebenfalls zu nennen.

Kommen wir zu den ersten Artikeln der DSGVO. In Art. 1 sind Gegenstand und Ziele benannt. In Absatz 1 ist geschrieben, dass der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr dienen. Die Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten. Um zu erfahren, für wen genau und wann die DSGVO gilt, sollte man sich Art. 2 der DSGVO Abs. 1 anschauen. Danach gilt die DSGVO für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Es geht also letzten Endes immer um die Verarbeitung personenbezogener Daten. In Absatz 2 sind die Ausnahmen von dem

Anwendungsbereich erläutert. Danach findet die DSGVO keine Anwendung auf die Verarbeitung personenbezogener Daten

· im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt

· durch die Mitgliedsstaaten im Rahmen von Tätigkeiten, die in den Anwendungsbereich von „Titel V Kapitel 2 EUV“ fallen (Bsp. EU- Außen- und Sicherheitspolitik)

· durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten

· durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit.

Kurz und knapp gesagt, gilt die DSGVO beim Umgang mit personenbezogenen Daten für alle unternehmerischen Tätigkeiten. Ausgenommen sind der private Bereich und einige bestimmte staatliche Tätigkeiten (Bsp. Strafverfolgung).

Das trifft dann auf alle zu, die in der EU niedergelassen sind, die betroffene Person in der EU niedergelassen ist oder der Ort der Datenverarbeitung aufgrund internationalen Rechts, dem Recht eines EU-Mitgliedsstaates unterliegt. Auch hier ist kurz und knapp zu sagen, das die DSGVO dann greift, wenn der Verantwortliche und/ oder der Betroffene in der EU ansässig sind. Oder wenn beide außerhalb der EU ansässig sind, aber die Verarbeitung der Daten in der EU stattfindet (z.B. Botschaften). Auch Unternehmen aus nicht EU-Staaten müssen die DSGVO beachten, sofern sie Waren oder Dienstleistungen EU-Bürgern anbieten.

 

Über den Autor:
Faraz Afscharian ist IT-Berater bei der comdatis it-consulting in Ahaus-Alstätte. Er beschäftigt sich u.a. mit der Erstellung von Verfahrensdokumentationen gem. GoBD für IT-gestützte Geschäftsprozesse zur digitalen Belegarchivierung und zum Dokumentenmanagement. Darüber hinaus ist er als Datenschutzberater und IT-Prüfer für Wirtschaftsprüfungsgesellschaften tätig. Er verfügt über eine Ausbildung zum Lead Auditor ISO/IEC 27001.

Webcast: GoBD & Verfahrensdokumentation

Aufzeichnung unseres Webcast vom 15. September 2017 mit der paperless solutions aus Köln zu den Themen GoBD und Verfahrensdokumentation für steuerrelevante Geschäftsprozesse sowie die digitale Belegarchivierung.

Informationssicherheit ist für jedes Unternehmen wichtig

Der Begriff Informationssicherheit ist sehr komplex. Auf die Frage was Informationssicherheit ist, bekommt man immer eine andere Antwort und nahezu alle Antworten sind in irgendeine Art und Weise richtig. Häufig fallen auch andere Begriffe, wie bspw. Datenschutz, Datensicherung oder IT-Sicherheit, um den Begriff Informationssicherheit zu erläutern. Wikipedia definiert den Begriff Informationssicherheit so: „Als Informationssicherheit bezeichnet man Eigenschaften von informationsverarbeitenden und -lagernden (technischen oder nicht technischen) Systemen, die die Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität sicherstellen. Informationssicherheit dient dem Schutz vor Gefahren bzw. Bedrohungen, der Vermeidung von wirtschaftlichen Schäden und der Minimierung von Risiken.“

Im heutigen Zeitalter sind Informationen und Daten wertvolle Güter, die es zu schützen gilt. Fehleinschätzungen über die Sicherheitszustände im Unternehmen können fatale Auswirkungen auf die Konkurrenzfähigkeit (Wirtschaftsspionage), Partnerschaften oder Kundenbeziehungen haben. Für die Implementierung eines ISMS (Information Security Management System) benötigt man Verfahren und Regeln im Unternehmen, um die Informationssicherheit und die Sicherheitsstandards einzuhalten. Diese Verfahren bilden die Grundlage für die Umsetzung des ISMS im Unternehmen.

Die Verantwortung liegt hierbei nicht in der IT-Abteilung eines Unternehmens, sondern bei der obersten Führungsetage. Ohne dessen volle Rückendeckung wäre das Vorhaben ein ISMS aufzubauen und es zu betreiben von Anfang an zum Scheitern verurteilt. Zumal der Aufbau und Betrieb eines ISMS kein Vorhaben ist, dass an eine einzelne Fachabteilung oder eine Person delegiert werden kann. Alle Unternehmensabteilungen sind von der Implementierung betroffen und müssen die Richtlinien, die im Zuge eines ISMS aufgestellt werden beachten und umsetzen. Des Weiteren benötigt der Aufbau und Betrieb eines ISMS Ressourcen in Form von Personal, Geld und Zeit. Diese Ressourcen sind nicht nur beim Aufbau enorm. Auch der Betrieb und die Weiterentwicklung benötigt die genannten Ressourcen. Besonders wichtig ist die Einbindung der Mitarbeiter in den implementierten Prozessen. Die Prozesse und Verfahren sollen leben und nicht nur beschrieben sein. Aus diesem Grund ist es immens wichtig, dass alle Mitarbeiter des Unternehmens von Anfang an über die Notwendigkeit eines ISMS zu informieren. Die Mitarbeiter müssen alle geschult und sensibilisiert werden, damit die Implementierung und der Betrieb eines ISMS Erfolg hat. Den Mitarbeitern sollten die Richtlinien bekannt und jederzeit verfügbar sein.

Nach dem Aufbau eines ISMS ist es sinnvoll, dass es nach außen kommuniziert wird. Die Zertifizierung durch externe Auditoren bestätigt die entwickelten und implementierten Verfahren. Neben der Tatsache, dass der Umgang und die Verarbeitung mit Informationen weniger risikobehaftet ist, ist die Zertifizierung zugleich auch ein Pluspunkt für das Marketing. Umgangssprachlich ist es ein Siegel für den sicheren Umgang mit Informationen (Kundeninformationen / Lieferanteninformationen).

Alle Standards haben die PDCA Vorgabe, um die Qualität des Prozesses stetig weiter zu verbessern, zumal die Technologie sich immer schneller weiterentwickelt. PDCA steht für Plan, Do, Check und Act. Die PDCA-Methodik sorgt dafür, dass die Prozesse und Werte nicht nur einmal entwickelt und identifiziert werden, sie sorgt auch dafür, dass eine Dynamik entsteht und die neuen oder geänderten Rahmenbedingungen und Anforderungen angepasst werden.

Unternehmen stehen einige Standards zur Verfügung an denen sie sich orientieren können, um die Sicherheitsmaßnahmen zu realisieren. Folgend sind einige Standards aufgelistet und kurz beschrieben:

 

BSI IT-Grundschutz:

Der IT-Grundschutz wurde vom BSI (Bundesamt für Informationssicherheit) entwickelt. Der Grundschutzkatalog umfasst ca. 4000 Seiten, wird jedoch derzeit umfangreich umgestellt. Diese sind gegliedert in Bausteine, Maßnahmen und Gefährdungskatalogen Die Umsetzung erfolgt auf Basis der vom BSI definierten Maßnahmen. Die Standards beschreiben ziemlich genau die Vorgehensweise bei der Implementierung. Des Weiteren geben sie mit ergänzenden Dokumenten Hinweise, wie das System auszusehen hat. Ein Vorteil sind die vorgegebenen Maßnahmen, die wenig Spielraum lassen. National ist der IT-Grundschutz anerkannt, international ist der Standard jedoch weitestgehend unbekannt.

ISO 27001

Der Standard gibt allgemeine Anforderungen an die IT-Sicherheit vor. Die ISO ist im Gegensatz zum IT-Grundschutz ein weltweit anerkannter Standard mit ca. 30 Seiten. Der Standard ist kompatibel mit weiteren ISO-Normen, Unternehmen mit einer QM-Zertifzierung (z.B. ISO 9001) wird die Arbeit mit der 27001 leicht fallen. Die praktische Umsetzung ist komplex, da die Anforderungen an die IT-Sicherheit nicht konkretisiert werden.

ISIS12

ISIS 12 wurde speziell für KMU und Kommunen entwickelt. Die wesentlichen Punkte basieren auf dem Grundschutzkatalog des BSI. Die Implementierung erfolgt, wie der Name es schon sagt in 12 Schritten. Vorteile bieten sich hier für kleine Unternehmen und Kommunen, da geringere Anforderungen an die IT-Sicherheit gestellt wird. Die ISIS 12 betrachtet nur unternehmerische Anwendungen und bietet dementsprechend weniger umfangreiche Maßnahmen. Der Standard ist nicht international anerkannt. Es dient jedoch sehr gut als Vorstufe zur einer Zertifizierung nach BSI IT-Grundschutz und ISO 27001.

VdS 3473

Die Richtlinie enthält Vorgaben und Hilfestellungen speziell für kleine und mittlere Organisationen mit der Zielsetzung ein angemessenes Schutzniveau zu erreichen. Der Standard ist nicht international anerkannt. Der sechsstufige Maßnahmen Katalog bietet jedoch eine einfache Implementierung des Standards. Das Unternehmen VdS Schadenverhütung GmbH hat diesen Standard entwickelt. Da das Unternehmen zum „Gesamtverband der Deutschen Versicherungswirtschaft e.V.“ (GDV) gehört, lassen sich ggf. Vereinfachungen für den Abschluss einer Versicherung im Cybersicherheitsumfeld realisieren.

 

Warum eigentlich Informationssicherheit?

Die zunehmende Digitalisierung in den Unternehmen, steigende Risiken im Bereich der Onlineaktivitäten, steigende Anforderungen an den Datenschutz durch die Datenschutz-Grundverordnung (DS-GVO) und eine zunehmende Wirtschaftsspionage sind nur einige Beispiele für die Notwendigkeit der Informationssicherheit in allen Unternehmen. Ob und wenn ja welcher der vorhandenen Standards und Normen zur Informationssicherheit gewählt wird, hängt von vielen Faktoren ab. Neben einer möglicherweise notwendigen Außendarstellung ist auch die Wirtschaftlichkeit, insbesondere bei kleinen und mittleren Unternehmen, von großer Bedeutung. Die Verwendung eines Standards ist in jedem Fall empfehlenswert, auch wenn keine Zertifizierung angestrebt wird, die Standards können auch als Orientierungsrahmen verwertet werden.

Erfahren Sie mehr über die comdatis auf www.comdatis.de

Über die Autoren:

Markus Olbring ist Inhaber der comdatis it-consulting. Als IT-Berater und IT-Sachverständiger beschäftigt er sich mit der Erstellung und Prüfung von Verfahrensdokumentationen. Darüber hinaus ist er als IT-Prüfer (CISA) für Wirtschaftsprüfungsgesellschaften tätig. Weitere Tätigkeitsfelder sind der Datenschutz und die Informationssicherheit, in beiden Bereichen sowohl als Berater als auch als zertifizierter Auditor.

Faraz Afscharian ist IT-Berater bei der comdatis it-consulting in Ahaus-Alstätte. Er beschäftigt sich u.a. mit der Erstellung von Verfahrensdokumentationen gem. GoBD für IT-gestützte Geschäftsprozesse zur digitalen Belegarchivierung und zum Dokumentenmanagement. Darüber hinaus ist er als Datenschutzberater und IT-Prüfer für Wirtschaftsprüfungsgesellschaften tätig. Er verfügt über eine Ausbildung zum Lead Auditor ISO/IEC 27001.

 

Digitalisierung & Softwarebescheinigung: Aussagekraft, Nutzen und Internationalität

Was ist eine Softwarebescheinigung nach IDW PS 880?

Der Prüfungsstandard (PS) 880 von „Institut der Wirtschaftsprüfer“ (IDW) bezieht sich auf „Die Prüfung von Softwareprodukten“. Der Standard wurde zuletzt im März 2010 überarbeitet und berücksichtigt die Anforderungen des internationalen Prüfungsstanrds ISAE 3000 („Assurance Engagements Other Than Audits or Reviews of Historical Financial Information“).

Gegenstand von Softwareprüfungen sind Softwareprodukte unabhängig von deren Implementierung und Produktivsetzung beim Softwareanwender.

Neben den Funktionen des Softwareproduktes einschl. der Softwaresicherheit erfolgt auch eine Prüfung des Softwareentwicklungsverfahrens sowie der relevanten Funktionen. Die Prüfungen können sich ganzheitlich auf die Software beziehen oder auch nur einzelne Module berücksichtigen.

Was ist eine Bescheinigung nach ISAE 3000?

Der Prüfungsstandard ISAE 3000 ist ein internationaler Prüfungsstandard zur Abdeckung von Prüfaufträgen, die keine Prüfungen oder prüferische Durchsichten von historischen Finanzinformationen sind („Assurance Engagements Other Than Audits or Reviews of Historical Financial Information“). Die Prüfungen werden bei internationaler Aktivität von Softwareherstellern bedeutsamer.

Herausgegeben wurde der Prüfungsstandard von der „International Federation of Accountants“ (IFAC), dem globalen Dachverband der Wirtschaftsprüfer. Die IFAC veröffentlicht die internationalen Prüfungsstandards „International Standards on Assurance Engagement“ (ISAE).

In der IFAC sind Mitgliedsorganisationen aus mehr als 130 Ländern vertreten. Eine Übersicht der Länder kann über folgenden Link aufgerufen werden:

http://www.ifac.org/about-ifac/membership/member-organizations-and-country-profiles

Welche Aussagekraft können die Bescheinigungen entfalten?

Der Mehrwert einer Softwarebescheinigung gem. IDW PS 880 und/oder ISAE 3000 besteht darin, dass eine Aussage einer unabhängigen Prüfinstanz zur grundsätzlichen Ordnungsmäßigkeit des Softwareproduktes im geprüften Einsatzgebiet gegeben ist. In Unternehmen, die gem. der genannten Standards geprüfte Softwareprodukte einsetzen, besteht die Möglichkeit der Verwertbarkeit der Prüfungsergebnisse durch deren Wirtschaftsprüfer auf Basis des Testats und des Berichtes. Softwarebescheinigungen sind somit ein ideales Nachweisdokument der grundsätzlichen Ordnungsmäßigkeit eines Softwareproduktes.

Um auch die fiskalischen Anforderungen zu erfüllen, ist gem. Tz 151 der GoBD eine Verfahrensdokumentation der Geschäftsprozesse (=Verfahren) zu erstellen, die unter Einsatz der Software IT-gestützt und steuerrelevant umgesetzt sind. Bei Vorliegen einer positiven Softwarebescheinigung kann sich die Verfahrensdokumentation auf die spezifische Implementierung der Lösung beschränken, z.B.:

  • Die grundsätzliche Ordnungsmäßigkeit eines Berechtigungskonzepts ist über die Softwarebescheinigung gegeben, wie z.B. die Einschränkung von Löschrechten aufbewahrungspflichtiger Dokumente
  • Die spezifische Verfahrensdokumentation enthält den Nachweis, das tatsächlich niemand über Löschrechte aufbewahrungspflichtiger Dokumente verfügt.

Gegenüber der Finanzverwaltung muss eine Softwarebescheinigung gem. PS 880 und/oder ISAE 3000 keine bindende Wirkung haben (vgl. Tz 181 GoBD). Diese Aussage führt dazu, dass es ein GoBD-Testat gar nicht geben kann. Lediglich eine Konformitätsbescheinigung zu den GoBD ist denkbar.

Der IDW PS 880 ist ein nationaler Prüfungsstandard. Er findet häufig Akzeptanz im deutschsprachigen Raum. Die GoBD sind eine Anforderung des Bundesministeriums der Finanzen (BMF) und damit ausschließlich national anwendbar.

Der ISAE 3000 eröffnet die Möglichkeit der internationalen Verwertbarkeit. Eine Verwertbarkeit durch Wirtschaftsprüfer ist in den Ländern anzunehmen, deren Berufsverbände in der IFAC organisiert sind. Eine Auflistung kann über den Link in Nr. 2 aufgerufen werden.

Da Wirtschaftsprüfer stets unabhängig und unbefangen vorgehen müssen, kann es keine Garantie für eine Verwertbarkeit geben. Die Entscheidung über den Umfang der Verwertbarkeit liegt im eigenen Ermessen beim verantwortlichen Wirtschaftsprüfer in den Unternehmen.

Gibt es Informationen zur Vernichtung buchhalterischer Dokumente nach der Digitalisierung bei internationalem Fokus?

Die Möglichkeit zur Vernichtung von buchhalterisch und steuerrelevanter Dokumente nach der Digitalisierung ist in den einzelnen Ländern unterschiedlich gestaltet. Eine pauschale Antwort auf die Frage ist unmöglich, da neben den Gesetzgebungen und Verlautbarungen ggf. auch gerichtliche Urteile Berücksichtigung finden müssen.

Es gibt jedoch einige Informationen, die zumindest als Leitfaden verwendet werden können. Nachfolgende Informationen können unterstützen:

Was bieten die Softwarehersteller zur Einhaltung der Anforderungen?

Verschiedene Softwarelösungen werden regelmäßig durch unabhängige Wirtschaftsprüfungsgesellschaften oder andere Sachverständige bei den Softwareherstellern geprüft. Softwarebescheinigungen zur Erfüllung der Anforderungen des IDW PS 880 und teilweise des ISAE 3000 werden durch Wirtschaftsprüfer ausgestellt. Softwarebescheinigungen sind ein Nachweisdokument der grundsätzlichen Ordnungsmäßigkeit eines Softwareproduktes und des Entstehungsprozesses des geprüften Releases.

Diese Ausarbeitung gibt die persönliche Meinung der Autoren wieder und enthält lediglich einen groben Überblick über die komplexen Themen und ersetzt im Einzelfall keine Beratung/Prüfung zu den angesprochenen Themen.

Die comdatis bietet Beratungs- und Prüfungslösungen zum Thema Verfahrensdokumentation und digitale Archivierung. Prüfungslösungen der comdatis werden häufig in Zusammenarbeit mit unabhängigen Wirtschaftsprüfungsgesellschaften erbracht.

Über die Autoren:

Markus Olbring ist Inhaber der comdatis it-consulting. Als IT-Berater und IT-Sachverständiger beschäftigt er sich mit der Erstellung und Prüfung von Verfahrensdokumentationen. Darüber hinaus ist er als IT-Prüfer (CISA) für Wirtschaftsprüfungsgesellschaften tätig. Weitere Tätigkeitsfelder sind der Datenschutz und die Informationssicherheit, in beiden Bereichen sowohl als Berater als auch als zertifizierter Auditor

Faraz Afscharian ist IT-Berater bei der comdatis it-consulting. Er beschäftigt sich u.a. mit der Erstellung von Verfahrensdokumentationen gem. GoBD für IT-gestützte Geschäftsprozesse zur digitalen Belegarchivierung und zum Dokumentenmanagement. Darüber hinaus ist er als Datenschutzberater und IT-Prüfer für Wirtschaftsprüfungsgesellschaften tätig.