Social Engineering

Der Begriff stammt ursprünglich aus den Sozialwissenschaften und meint die Beeinflussung von Einstellungen und Verhalten mit sozialen Mitteln für soziale Zwecke. Dahinter steht die Annahme, Mensch und die sozialen Strukturen, in denen sie sich bewegen funktionieren ähnlich wie Maschinen nach vorhersehbaren Regeln.

Beim Social Engineering – auch Soziale Manipulation – genannt, richten sich Angriffe nicht auf technische Systeme, sondern auf ihre Benutzer.

Also richtet sich der Angriff im Gegensatz zum normalen (technischen) Hacking nicht auf die Schwachstelle eines Computersystems, um an geheime Informationen zu gelangen, sondern auf die Schwachstelle des Menschen.

Hier wird auch sehr häufig von „Social Hacking“ gesprochen. Das Ziel ist Informationsgewinnung. Dabei führt ein Benutzer (aus dem System) die vom Angreifer gewünschten Aktionen aus. Die Wahl der Person, die ausspioniert werden soll, kann zufällig (z.B. im Bus oder Bahn) oder durch eine gezielte Suche über die Sozialen Netzwerke erfolgen. Diese bieten eine gute Basis für das Social Engineering. Über die jeweiligen Plattformen können viele Informationen über Personen gefunden werden. Diese unerschöpfliche Informationsquelle dient als Grundlage für die weitere Informationsbeschaffung. Zudem ist es unter den Nutzern Sozialer Netzwerke weitverbreitet, dass der Nutzer viele seiner „Freunde“ nicht kennt. Auch dadurch können Social Engineers direkt mit ihren Opfern in Kontakt treten. Wichtig ist die Konfiguration sicherer Datenschutzeinstellungen in sozialen Netzwerken, auch wenn diese vornehmlich oder in vollem Umfang privat genutzt werden. Letztlich führt dies auch im betrieblichen Umfeld zu einer Risikoreduzierung bezogen auf „Social Engineering“.

Dringt ein Angreifer durch, können dem Unternehmen große Schäden entstehen, sei es durch Industriespionage, Identitätsdiebstahl, Image- oder Rufschädigung, Erpressung oder der einfache Zugriff auf firmeninterne Datensysteme.

Bei IT-Sicherheit wird oft zuerst oder ausschließlich an die Technik gedacht und zu wenig an den Faktor Mensch. Dieser sollte mehr beachtet werden, denn diese Gefahr gibt es immer, sei es bei Freunden, Verwandten, dem Partner oder dem Sitznachbarn im Bus oder Bahn. Dabei kann jede menschliche Schwäche ausgenutzt werden.

Hilfsbereitschaft, Vertrauen, Angst, Stolz, Neid oder Schuldgefühle können ausgenutzt werden, um an Information zu kommen. Die Angreifer bleiben meist im Hintergrund und werden nicht wahrgenommen. Das Opfer erfährt meist nicht, dass er ausspioniert worden ist.

Das Telefon spielt beim Social Engineering eine wichtige Rolle. Angreifer greifen für die erste persönliche Kontaktaufnahme gerne zum Telefon. Dieses Medium ermöglicht es ihnen Distanz zu wahren und ihre wahre Identität zu verschleiern, aber dennoch flexibel auf die Reaktion des Opfers einzugehen. Sie bauen eine persönliche Beziehung zum Opfer auf und wollen so das Vertrauen gewinnen, um an vertrauliche Informationen zu kommen.

Wie kann es verhindert werden?

Eine Verhinderung des Social Engineering gibt es nicht, jedoch können die Unternehmen Ihre Mitarbeiter sensibilisieren. Die Sensibilisierung lässt sich mit Schulungen und anderen Maßnahmen realisieren. Neben Schulungen spielen auch die Geschäftsführung und die Arbeitskollegen eine wichtige Rolle. Fühlt sich ein Mitarbeiter im Unternehmen nicht wohl und vermisst er die Anerkennung durch die Geschäftsführung oder den Kollegen, dann ist er wesentlich empfänglicher für Lob und Schmeicheleien von außen. Eine weitere Herausforderung für Unternehmen ist es die Loyalität der Mitarbeiter zu stärken und zu fördern. Täter können auch aus der eigenen Firma kommen. Der Verkauf von Daten kann teilweise sehr lukrativ für Innentäter sein.

Besprechung von firmeninternen Angelegenheiten sollten nie an öffentlichen Orten durchgeführt werden. Vermeiden Sie Shoulder-Surfing durch Hilfsmittel. Lassen Sie sich nicht auf den Bildschirm schauen, wenn Sie mit Ihren mobilen Geräten an öffentlichen Stellen arbeiten.

Benutzen Sie keine unsicheren Downloadkanäle (z.B. Apps aus nicht offiziellen Quellen).

E-Mails müssen kritisch hinterfragt werden. Geben Sie niemals firmeninternes oder Passwörter per Mail weiter. E-Mails können gefälscht werden. Der Absender mag Ihnen bekannt vorkommen, es kann sich jedoch um eine Fälschung handeln. Öffnen Sie niemals ausführbare Dateien, die per Mail ankommen.

Geben Sie keine Informationen, wie bspw. Passwörter oder Transaktionsnummern am Telefon oder per Mail weiter, auch wenn Sie der Meinung sind, dass derjenige gegenüber nur helfen möchte. Seien Sie besonders skeptisch gegenüber unerwarteten Anrufen und überprüfen sie die Identität des Anrufers. Holen Sie sich stets eine zweite Meinung ein, wenn Sie sich über ein technisches Thema im Unklaren sind oder wenn Sie nicht wissen, wie vertraulich eine Information wirklich ist.

Verzichten Sein auf USB-Sticks, wenn Sie Ihnen als Geschenk angeboten werden. Stecken Sie gefundene USB-Sticks niemals an Ihren Computer an.

Sensibilisieren Sie Ihre Mitarbeiter darauf, dass sie auffälliges Verhalten an die Geschäftsführung oder eine Vertrauensperson (z.B. dem Datenschutzbeauftragten) melden.

Nehmen Sie die Angst – auch wenn ein Mitarbeiter Opfer eines Angriffs geworden ist und dies erst im Nachhinein bemerkt, sollte er keine Angst vor Abmahnungen oder der fristlosen Kündigung haben. Diese Mitarbeiter sollten als Opfer und nicht als Mittäter angesehen werden. Erfährt ein Unternehmen zeitnah von den Sicherheitsvorfällen, können vielleicht noch größere Schäden vermieden werden und weitere Angriffe verhindert werden. Auch das stärkt das Loyalitätsbewusstsein bei den Mitarbeitern.

 

Über den Autoren:

Faraz Afscharian ist IT-Berater bei der comdatis it-consulting in Ahaus-Alstätte. Er beschäftigt sich u.a. mit der Erstellung von Verfahrensdokumentationen gem. GoBD für IT-gestützte Geschäftsprozesse zur digitalen Belegarchivierung und zum Dokumentenmanagement. Darüber hinaus ist er als Datenschutzberater und IT-Prüfer für Wirtschaftsprüfungsgesellschaften tätig. Er verfügt über eine Ausbildung zum Lead Auditor ISO/IEC 27001.

Wann muss ein Datenschutzbeauftragter benannt werden?

Ab Mai 2018 gilt die EU-Datenschutzgrundverordnung (DSGVO), diese vereinheitlicht den Datenschutz europaweit. So wird es auch eine europaweit geltende Pflicht zur Bestellung eines Datenschutzbeauftragten (DSB) geben. Was wird sich für Deutschland ändern?

Anforderungen aus dem aktuellen Bundesdatenschutzgesetz (BDSG)

Nach dem derzeit noch geltenden Bundesdatenschutzgesetz (BDSG) besteht die Pflicht zur Bestellung eines Datenschutzbeauftragten, wenn

  • mehr als neun Personen mit der automatisierten Verarbeitung personenbezogener Daten in Berührung kommen. Dabei ist nicht relevant, ob es sich um eigene Angestellte handelt oder nicht. (§4f Abs. 1 BDSG)
  • wenn die verantwortliche Stelle automatisierte Datenverarbeitungsvorgänge vornimmt, die eine Vorabkontrolle verlangen. (§4f Abs. 1 BDSG, §3 Abs. 9 BDSG)
  • wenn die verantwortliche Stelle personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung oder der anonymisierten Übermittlung erhebt, verarbeitet oder nutzt. Dies gilt unabhängig von der Anzahl der Beschäftigten. (§4f Abs. 1 BDSG)
  • wenn die verantwortliche Stelle mindestens zwanzig Personen regelmäßig mit nichtautomatisierter Datenerhebung, -verarbeitung oder -nutzung beschäftigt (§4f Abs. 5 BDSG)

Eine „automatisierte Verarbeitung“ liegt beispielsweise vor, wenn personenbezogene Daten unter Einsatz von IT-Systemen erhoben, verarbeitet oder genutzt werden. Dies kann bereits für eine einfache Textverarbeitung vorliegen oder bei der Pflege von Kundendaten in einer Warenwirtschafts- oder Fakturalösung.

Die Bestellung des Datenschutzbeauftragten muss zwingend schriftlich durch die Unternehmensleitung erfolgen. Des Weiteren müssen die Mitarbeiter der Organisation der Datenschutzbeauftragte bekanntgemacht werden. Es besteht jedoch keine Pflicht der Aufsichtsbehörde die Bestellung mitzuteilen. Falls diese jedoch nach dem Datenschutzbeauftragten fragt, besteht eine Meldepflicht.

Sachverhalt mit DSGVO und neuem Bundesdatenschutzgesetz

In der DSGVO reduziert sich die Zahl der zur Bestellung eines DSB verpflichteten Unternehmen drastisch. Es ist bspw. keine Mindestzahl an Beschäftigten vorgegeben. Doch für die DSGVO gibt es eine Öffnungsklausel für nationale Ausnahmeregelungen. Hier kommt das ABDSG (Allgemeine Bundesdatenschutzgesetz) ins Spiel, das Nachfolgegesetz zum heutigen Bundesdatenschutzgesetz (BDSG).

Die Bestellpflicht für einen Datenschutzbeauftragten besteht für nicht öffentliche Unternehmen demnach unverändert fort gem. § 38 BDSGneu:

  • in der Regel sind mindestens 10 Mitarbeiter ständig mit der Verarbeitung personenbezogener Daten beschäftigt oder
  • es werden Daten verarbeitet, die einer Datenschutz-Folgeabschätzung unterliegen oder
  • personenbezogene Daten werden geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- und Meinungsforschung verarbeitet

Nach der DSGVO muss die verantwortliche Stelle die Kontaktdaten des Datenschutz-beauftragten veröffentlichen und der zuständigen Aufsichtsbehörde melden. Das ermöglicht eine einfache und schnelle Kommunikation. Geschieht dies nicht, drohen Bußgelder. Diese können gem. § 83 Abs. 4 bis zu einer Höhe von 10 Millionen Euro oder 2% des weltweiten Umsatzes verhängt werden.

Doch wie ist der Datenschutzbeauftragte auszuwählen? Im Grunde hat jedes Unternehmen das Recht zu wählen, ob die Position intern oder extern besetzt werden soll. Im Unternehmen sollte man die Vor- und Nachteile eines internen oder externen abwägen. In Artikel 39 der Datenschutzgrundverordnung sind die Aufgaben des Datenschutzbeauftragten klar aufgelistet. Hierzu zählen:

  • Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach der DSGVO sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedsstaaten
  • Überwachung der Einhaltung der DSGVO, anderer Datenschutzvorschriften der Union bzw. der Mitgliedsstaaten sowie der Strategie des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen
  • Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgeabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35 „Datenschutz-Folgeabschätzung“
  • Zusammenarbeit mit der Aufsichtsbehörde
  • Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 36 „Vorherige Konsultation“, und ggf. Beratung zu allen sonstigen Fragen.

Der Datenschutzbeauftragte trägt bei der Erfüllung seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung, wobei er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt.

Die oben genannten Aufgaben plus eine berufliche Qualifikation sowie das Fachwissen auf dem Gebiet des Datenschutzes und der Datenschutzpraxis und die Fähigkeit zur Erfüllung der gesetzlichen Aufgaben müssen bei der Benennung beachtet und umgesetzt werden. Eine stetige Weiterbildung sowohl im IT-Bereich, als auch im juristischen Bereich sind von Nöten. Demnach dürfte dann jedermann, der qualifiziert ist im Datenschutzbereich, aktiv werden.

Unternehmen, die einen internen Datenschutzbeauftragten benennen wollen, müssen drauf achten, dass keine Interessenskonflikte entstehen. Doch was heißt das? Das heißt, dass wenn der Datenschutzbeauftragte einer weiteren Tätigkeit nachgeht (was bei einem internen Datenschutzbeauftragten in der Regel der Fall ist), darf er sich nicht selbst kontrollieren. Demnach darf kein Mitarbeiter aus der IT-Abteilung, der Personalabteilung oder gar aus der Geschäftsführung benannt werden.

Neu ist ferner, dass nach BDSG-Neu öffentliche Stellen nach §5 Abs. 4 einen externen Datenschutzbeauftragten benennen können. Die öffentliche Stelle muss die Kontaktdaten der oder des Datenschutzbeauftragten veröffentlichen und diese auch an den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit mitteilen. Nach dem alten BDSG durften externe Datenschutzbeauftragte nicht für eine öffentliche Stelle benannt werden.

 

Über den Autoren:

Faraz Afscharian ist IT-Berater bei der comdatis it-consulting in Ahaus-Alstätte. Er beschäftigt sich u.a. mit der Erstellung von Verfahrensdokumentationen gem. GoBD für IT-gestützte Geschäftsprozesse zur digitalen Belegarchivierung und zum Dokumentenmanagement. Darüber hinaus ist er als Datenschutzberater und IT-Prüfer für Wirtschaftsprüfungsgesellschaften tätig.

GoBD-Verfahrensdokumentation für steuerrelevante Systeme

Die „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“ (GoBD) haben im November 2014 für Furore gesorgt. Das Schreiben des Bundesministeriums der Finanzen (BMF) ist für Veranlagungszeiträume ab Januar 2015 gültig und hat die bisherigen Schreiben GoBS aus 1995 und GDPdU aus 2001 abgelöst.

Ein Thema, welches sich im Großen und Ganzen gar nicht wesentlich verändert hat, ist das Thema Verfahrensdokumentation. Gemäß Tz. 151 der GoBD ist eine Verfahrensdokumentation für jedes steuerrelevante IT-System zu erstellen. Weiter führen die GoBD aus, dass eine Verfahrensdokumentation in der Regel aus folgenden Dokumentationen (Tz. 152) besteht:

  • Allgemeine Beschreibung
  • Anwenderdokumentation
  • Technische Systemdokumentation
  • Betriebsdokumentation

GoBD-Zertifizierungen beim Softwarehersteller kann es nicht geben. Maximal GoBD-Konformitätsbescheinigungen durch unabhängige Prüfungsinstanzen sind denkbar mit der Aussage, dass eine Software GoBD-konform ist, wenn sie im konkreten Einsatz im Unternehmen richtig eingerichtet ist.

Zugegeben, auch daraus wird ein steuerpflichtiges Unternehmen nicht wirklich schlauer: Zu Abstrakt und oberflächlich sind die Anforderungen in den GoBD und vermeintlichen GoBD-Zertifikaten dargestellt. Insbesondere die weiteren Ausführungen zur Anforderung der Verfahrensdokumentation in den GoBD helfen nicht, um eine Dokumentation praktikabel in der Praxis umsetzen zu können.

Hilfreich zur Konkretisierung der notwendigen Dokumentationsinhalte ist die Tatsache, wenn wir anstelle von Verfahren besser von Geschäftsprozessen sprechen. Die Verfahrensdokumentation ist also nichts anderes als eine Dokumentation der steuerrelevanten Geschäftsprozesse.

Das klingt schon etwas einfacher darstellbar. Wie konkretisieren wir nun im zweiten Schritt den Begriff „steuerrelevant“? In vergangenen Beratungsprojekten haben wir uns in Workshops einem Prüfungshinweis des Instituts der Wirtschaftsprüfer (IDW) bedient: „Prüfung von IT-gestützten Geschäftsprozessen im Rahmen der Abschlussprüfung“ (IDW PH 9.330.2). Die Geschäftsprozesse Beschaffung und Absatz sind im Prüfungshinweis auf abstrakter Ebene dargestellt, ideal um Workshops zur Prozessaufnahme durchzuführen.

  • Beschaffung

  • Absatz

Die Aufnahme dieser beiden Prozesse in Gesprächen mit Mitarbeitern in Unternehmen trägt in erheblichem Umfang zur Inhaltsgenerierung für eine GoBD-Verfahrensdokumentation bei. Möglicherweise tauchen im Prozess plötzlich steuerrelevante Excel-Tabellen auf, die aufbewahrungspflichtig sind. Auch die Diskussion darüber, welche Mail denn nun aufbewahrungspflichtig ist, wird regelmäßig geführt.

Möglicherweise sind noch weitere Prozesse steuerrelevant, wie z.B. im Personalbereich. Wir belassen es in diesem Beitrag aber bei den beiden Geschäftsprozessen Beschaffung und Absatz.

Wie kann nach einer erfolgten Prozess- und Systemaufnahme die inhaltliche Gestaltung einer Verfahrensdokumentation erfolgen? Für die Prozesse der digitalen Archivierung mit Dokumentenmanagementlösungen existieren ausgereifte Beratungslösungen und auch Mustervorlagen, z.B. von der Bundessteuerberaterkammer oder von der AWV.

Für alle anderen steuerrelevanten Geschäftsprozesse und Systeme fehlt eine brauchbare Vorlage, auch vor dem Hintergrund, dass die Dokumentation in jedem Unternehmen unterschiedlich komplex ist. Wir haben unsere Erfahrungswerte einmal generisch in einem Dokument als Hilfsmittel dargestellt. Das Dokument mit unserem Vorschlag zur inhaltlichen Ausgestaltung stellen wir Ihnen über folgenden Link zur Verfügung:

Download: Inhaltliche Ausgestaltung einer GoBD-Verfahrensdokumentation

Über den Autoren:

Markus Olbring ist Inhaber der comdatis it-consulting in Ahaus-Alstätte. Als IT-Berater und IT-Sachverständiger beschäftigt er sich mit der Erstellung und Prüfung von Verfahrensdokumentationen. Darüber hinaus ist er als IT-Prüfer für Wirtschaftsprüfungsgesellschaften tätig. Weitere Tätigkeitsfelder sind der Datenschutz und die Informationssicherheit, in beiden Bereichen sowohl als Berater als auch als zertifizierter Auditor.

#comdatis #GoBD #GoBS #GDPdU #Ordnungsmäßigkeit #Digitalisierung #Verfahrensdokumentation #Nachvollziehbarkeit

Datenschutzprüfung durch Aufsichtsbehörde in Unternehmen

Wie könnten die Aufsichtsbehörden die höheren Überwachungspflichten in Unternehmen ab Mai 2018 prüfen? Am 25. Mai 2018 müssen Unternehmen die Anforderungen der EU #Datenschutzgrundverordnung (#DSGVO) umgesetzt haben. Die Aufsichtsbehörden sind in der Pflicht, die Umsetzung zu prüfen.

Es liegt auf der Hand, dass die zuständigen Behörden in 2018 anfangen, den Unternehmen Fragebögen bzgl. der Umsetzung zuzusenden. Die häufig in der Praxis diskutierte Frage, ob ein #Datenschutzbeauftragter zu bestellen ist, wird mit den EU-Vorgaben erweitert um eine Veröffentlichung und Meldepflicht (Art. 37 Abs. 8 #DS-GVO) gegenüber der Datenschutzaufsicht.

Diejenigen Unternehmen, die ihre Pflichten im Datenschutz erfüllt haben, wissen, dass alleinig die Bestellung eines #DSB nicht alle Anforderungen erfüllt. Viele Weitere Begrifflichkeiten tauchen auf: #Auftragsverarbeitung #ADV #Verarbeitungstätigkeiten #Verfahrensverzeichnis #Betroffenenrechte #Risikobewertung #Datenschutzverletzungen #PIA #Löschkonzept

Was sind jetzt aber konkret die Anforderungen und vor allem, wie könnten die Aufsichtsbehörden die Umsetzung in Unternehmen prüfen? Die bayerische Landesdatenschutzaufsicht (BayLDA) hat hierzu eine Antwort geliefert und exakt ein Jahr vor Ende der Übergangsfrist zur DS-GVO einen beispielhaften Fragebogen veröffentlicht.

Den Fragebogen (PDF) haben wir hier zum Download bereitgestellt.

Der Fragebogen ist sehr gut auch als Checkliste geeignet, anhand derer die Anforderungen zur Umsetzung im Projekt abgearbeitet werden können.

Die IT-Berater und IT-Sachverständigen der #comdatis unterstützen Sie gerne bei der Umsetzung der Anforderungen. Für Unternehmen verschiedener Größenordnung und Branche sind wir seit vielen Jahren als #Datenschutzberater und externe #Datenschutzbeauftragte tätig.

Ransomware – wie schützen?

Aktueller denn je: #Ransomware

Hier ein paar Tipps von Europol zum Schutz:

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

#cybersecurity #comdatis #ransomware #informationssicherheit #wirtschaftsspionage #digitalisierung

ISO 27001 Auditor – Glückwunsch zur bestandenen Prüfung!

Wieder eine bestandene Prüfung bei unseren Mitarbeitern. Wir gratulieren unserem Mitarbeiter Faraz Afscharian zur bestandenen Prüfung zum „ISO/IEC 27001 Lead Auditor“.

Die ISO 27001 ist eine internationale Norm im Bereich der Informationssicherheit, nach der sich Unternehmen zertifizieren lassen können.

Erfahren Sie hier mehr über unsere Beratungs- und Prüfungslösungen zur Informationssicherheit.

Was ist eine Verfahrensdokumentation nach GoBD für die digitale Belegarchivierung?

Bevor die Erklärung zur Verfahrensdokumentation nach GoBD beginnt, muss die Abkürzung „GoBD“ aufgelöst und erläutert werden. Die Abkürzung GoBD steht für „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“. Das 38-seitige des Bundesministeriums der Finanzen („BMF-Schreiben“) vom 14.11.2014 mit 184 Randziffern löste die GoBS und die GDPdU ab.

Die Verfahrensdokumentation nach GoBD dient dazu, nachweisen zu können, dass die Anforderungen des Handelsgesetzbuches (HGB), der Abgabenordnung (AO) und den GoBD für die Aufbewahrung der Daten und Belegen erfüllt sind. So beschriebt Wikipedia die Verfahrensdokumentation nach GoBD. Die Verpflichtung zur Erstellung einer Verfahrensdokumentation für steuerrelevante IT-Systeme ergibt sich aus Rz. 151 der GoBD. Systeme zur digitalen Belegarchivierung zählen zu den steuerrelevanten IT-Systemen in Unternehmen.

Vorab: im Großen und Ganzen ändert sich im Unternehmen nicht viel. Denn die Grundsätze zur ordnungsmäßigen Führung von Büchern sollten einem Unternehmer bekannt sein. Also warum eine Änderung? Bei den GoBD geht es darum die Grundsätze an die elektronische Buchführung anzupassen. Dies Bedarf gewisse Regelungen die in den GoBD zeitgemäß beschrieben sind und für jeden Unternehmer gelten.

Worum geht es nun also konkret in der Verfahrensdokumentation für das digitale Dokumentenmanagement? Die Verfahrensdokumentation beschreibt die steuerrelevanten Geschäftsprozesse des Unternehmens, wie beispielsweise die ausschließlich digitale Archivierung von Eingangsrechnungen. Das fängt bei der Entstehung/ Erfassung an, geht über die Indizierung, Speicherung, dem eindeutigen Wiederfinden, der Absicherung gegen Verlust und Verfälschung bis hin zur Reproduktion der archivierten Daten, Dokumente und Informationen.

Bei der Erstellung der Verfahrensdokumentation müssen die Anforderungen an die Archivierung von kaufmännischen Unterlagen beachtet werden. Dabei ist es irrelevant, ob diese in Papierform oder in einem elektronischen Archiv aufbewahrt werden.

Die Folgenden Gesichtspunkte müssen bei der Implementierung beachtet und umgesetzt werden:
– Nachvollziehbarkeit
– Nachprüfbarkeit
– Vollständigkeit
– Richtigkeit
– Zeitgerechtheit
– Ordnung
– Unveränderbarkeit

Der Nachweis der Erfüllung dieser Punkte wird durch eine Verfahrensdokumentation erbracht. Bei der Verfahrensdokumentation spielen der Aufbau und der Umfang keine Rolle. Es muss lediglich gewährleistet werden, dass ein sachverständiger Dritter anhand der Verfahrensdokumentation den ordnungsgemäßen Einsatz überprüfen und nachvollziehen kann. Der genaue Umfang der Verfahrensdokumentation ergibt sich aus der Komplexität der implementierten DMS-Lösung.

Neben den oben genannten Punkten ist das interne Kontrollsystem (IKS) zu beschreiben, welches beispielsweise die Funktionstrennung oder die Abstimmungskontrollen bei der Dateneingabe und -erfassung beschreibt.

Was passiert, wenn die Verfahrensdokumentation fehlt? In der GoBD ist unter Randziffer 155 geschrieben: „Soweit eine fehlende oder ungenügende Verfahrensdokumentation die Nachvollziehbarkeit und Nachprüfbarkeit nicht beeinträchtigt, liegt kein formeller Mangel mit sachlichem Gewicht vor, der zum Verwerfen der Buchführung führen könnte.“

Sind die Geschäftsprozesse so einfach gestaltet, dass ein sachverständiger Dritter innerhalb einer angemessenen Zeit die Prozesse nachvollziehen kann – sowohl progressiv, als auch retrograd – dann ist eine separate Verfahrensdokumentation unter Umständen gar nicht notwendig. Sobald für eine Dokumentenmanagementlösung ein Customizing für den Einsatz im Unternehmen notwendig ist, muss unseres Erachtens eine Verfahrensdokumentation erstellt werden. Unter Customizing verstehen wir z.B. die Einrichtung von Dokumenttypen mit Aufbewahrungsfristen, Backupszenarien, Berechtigungskonzept usw.

Ist bei fehlender Verfahrensdokumentation die Nachvollziehbarkeit und Nachprüfbarkeit nicht gegeben, ist davon auszugehen, dass dies finanzielle Sanktionen (z.B. Streichung von Betriebsausgaben) zur Folge hat. Des Weiteren ist denkbar, dass neben den finanziellen Sanktionen auch ein Verzögerungsgeld festgesetzt wird.

Generell ist zu beachten, dass eine Verfahrensdokumentation nicht nur erstellt werden muss, sondern auch gepflegt. Es bedarf einer definierten Dokumentenlenkung: Das Dokument lebt mit den Geschäftsprozessen im Unternehmen und muss aktualisiert werden. Jede Verfahrensdokumentation beinhaltet eine Änderungshistorie, die gepflegt werden muss, um auch historischen Situationen nachvollziehbar zu halten. Die Verfahrensdokumentation ist ebenfalls aufbewahrungspflichtig (10 Jahre).

Über den Autoren:
Faraz Afscharian ist IT-Berater bei der comdatis it-consulting in Ahaus-Alstätte. Er beschäftigt sich u.a. mit der Erstellung von Verfahrensdokumentationen für IT-gestützte Geschäftsprozesse zur digitalen Belegarchivierung und zum Dokumentenmanagement. Darüber hinaus ist er als IT-Prüfer tätig für Wirtschaftsprüfungsgesellschaften, die implementierte DMS-Lösungen in Unternehmen prüfen und bewerten.

Verfahrensdokumentation und Tax-Compliance

Die Verfahrensdokumentation ist integraler Bestandteil des Tax-Compliance-Managements in Unternehmen.
Die GoBD wurden im November 2014 veröffentlicht und werfen auch heute noch viele Fragen auf:
  • Was bedeutet eigentlich „Verfahrensdokumentation“?
  • Welche Sanktionen drohen, wenn die Dokumentation fehlt?
  • Was sind die Inhalte einer Verfahrensdokumentation?
  • Wann muss eine Verfahrensdokumentation erstellt werden?
Die PSP aus München geht in der Reihe „Experten erläutern die GoBD“ auf diese und andere Fragen ein:

Guter Vorsatz für’s neue Jahr: Sichere Kennwörter

„hallo“ ist das meistgenutzte deutsche Passwort, wie es heise im folgenden Artikel vom 22.12.2016 darstellt (öffnet in neuem Tab):

heise.de Artikel

Wie wäre es mit einem guten Vorsatz für’s neue Jahr: Sichere Kennwörter

Hierbei bitte folgende Regeln beachten:

  • Je länger ein Kennwort ist, desto besser
  • Ein gutes Kennwort enthält Groß-, Kleinbuchstaben, Zahlen und Sonderzeichen
  • Kennwörter sollten regelmäßig geändert werden
  • für jeden Dienst im Web wird ein eigenes Kennwort verwendet
  • je nach verwendetem Dienst kann eine Zwei-Faktor-Authentifizierung verwendet werden (z.B. Benutzername und Kennwort und Einmal-Kennung aus einer SMS oder App)

Das weltweit am meisten verwendete Kennwort ist übrigens 123456.

Unterschiedliche Kennwörter für verschiedene Dienste sind insbesondere deswegen wichtig, weil wir als Anwender von Webdiensten nicht wissen, wie sicher die Kennwörter beim Anbieter gespeichert werden. Im schlimmsten Fall liegen die Kennwörter unverschlüsselt in einer Datenbank beim Anbieter.

Haben Sie als Unternehmen Fragen zu Sicherheit & Datenschutz? Sprechen Sie uns gerne an.

 

 

 

 

GoBD-Übergangsfrist endet 2016?

074Immer wieder werden wir in den vergangenen Wochen und Monaten gefragt, was zu tun ist, um eine GoBD-konforme Mailarchivierung einzuführen. Die Handlungsnot wird mit einer Übergangsfrist bezüglich GoBD begründet, die am 31.12.2016 ausläuft. Insbesondere die Anbieter professioneller Mailarchivierungslösung sind vor diesem Hintergrund derzeit sehr aktiv.

Und tatsächlich: Eine Übergangsfrist mit GoBD-Bezug gibt es und diese endet auch am 31.12.2016. Diese gilt jedoch ausschließlich in Verbindung mit Kassensystemen, wie sie z.B. bei Einzelhändlern im Einsatz sind. Die Frist besagt, dass bei älteren Systemen, die die technischen Voraussetzungen (z.B. Protokollierungsanforderungen der GoBD) nicht erfüllen, deren Einsatz nicht zwangsläufig beanstandet wird. Die Nichtbeanstandung endet nun am 31.12.2016.

Mehr sagt die Übergangsfrist nicht! Die GoBD selber wurden am 14.11.2014 veröffentlicht und gelten für Veranlagungszeiträume ab 2015.

Die Notwendigkeit zur Aufbewahrung von E-Mails hat sich im Übrigen nicht wesentlich verändert mit den GoBD: Auch schon vor 2015 waren E-Mails aufbewahrungspflichtig, wenn diese z.B. als Handelsbrief anzusehen sind. Die Mails müssen im Originalformat aufbewahrt werden, d.h. ein Ausdruck reicht nicht zur Erfüllung der Aufbewahrungspflichten.

Haben Sie Fragen zu den GoBD oder zur Verfahrensdokumentation? Dann nehmen Sie gerne Kontakt mit uns auf.