Reinhold OkonBVI-Datenschutzbeauftragter
ista Seminarreihe
2017 in Osnabrück, Rastede und
Bremen
Alle Welt redet von
Digitalisierung -
Die Tücken im Einstieg
Rein
hold
Okon.
DS
B-O
kon M
ünchen
Studie zur Automatisierungsstufe für Bundesministerium
für Arbeit und Soziales
Quelle: https://www.iit-berlin.de/de/publikationen/foresight studie...arbeitswelt/at.../download%20Im%C2%A0Cache
Rein
hold
Okon.
DS
B-O
kon M
ünchen
Digitalisierung aber nur über„GoBD“
Bitte was?Seit dem 1.1.2017 sind Unternehmen verpflichtet steuerrelevanteDokumente (also alle Dokumente, die in digitaler Form erhaltenwurden) zu archivieren. Die sogenannte „Langzeitarchivierung“.
Die GoBD (Grundsätze zur ordnungsmäßigen Führung undAufbewahrung von Büchern, Aufzeichnungen und Unterlagen inelektronischer Form sowie zum Datenzugriff) gilt für alleUnternehmen, welche zur Buchführung verpflichtet sind.
Kleine Besonderheit: Wirtschaftsprüfer werden dazu angehaltenUnternehmen zu melden, wenn diese keine ordnungsgemäßeArchivierung vornehmen.
Rein
hold
Okon.
DS
B-O
kon M
ünchen
Einstieg in die Digitalisierung
Die häufigste Art der Digitalisierung ist z.B. die langfristigeUmstellung auf ein papierloses Büro.
Dokumentenmanagementsystem DMSUnter dem klassischen DMS im engeren Sinn ist eine Lösung zuverstehen, die Instrumente und Verfahren für die Verwaltungder wachsenden Dokumentenbestände zur Verfügung stellt.
• Visualisierte Ordnungsstrukturen• Daten können parallel angezeigt und bereitgestellt werden• Metadatenverwaltung zur Indizierung und Suchtechnologien.• Gekennzeichnete Dokumente sind über mehrInformationsfelder recherchierbar, als sie ein Dateisystem zurVerfügung stellt.
Rein
hold
Okon.
DS
B-O
kon M
ünchen
Einstieg in die Digitalisierung
DMS ist im weiteren Sinn• Bürokommunikation,• Scannen,• Vorgangssteuerung (Workflow)• elektronische Aufbewahrung bis zum Übergang inArchivsysteme.
• Alle sind im starkem Maße voneinander abhängig, der Einsatzeiner Komponente ist im Allgemeinen nicht ohne den Zugriffauf andere Komponenten sinnvoll.
• Alle Module haben gemeinsam, dass unterschiedliche Artenvon Dokumenten datenbankgestützt verwaltet werden.
Beispiele für Module sind die Addins in div. Prog. Outlook,Word
Rein
hold
Okon.
DS
B-O
kon M
ünchen
Einstieg in die Digitalisierung
Ziele DMS
• Vollständig elektronisch geführten Akte
• Ablösung der alten Strukturen (Ordner, Belege, etc)
• Einfacher und aktueller recherchierbarer Datenbestand
• Schaffung von automatisierten Schnittstellen – z. B. über eineSchnittstelle zu den Office-Produkten und anderen Anwendungen
• Einfache Bereitstellung allgemein zugänglicher Informationen (z.B. für Dokumente ohne Personenbezug)
• Wissensmanagement (Jeder soll möglichst viel erfahren. Dieskann zur Vervollständigung der Entscheidungsgrundlagen unddamit auch zur Verbesserung der Entscheidungsqualität vonNutzen sein, führt aber in der Regel zum Interessenskonflikt mitdem Datenschutz (need-to-know).
Rein
hold
Okon.
DS
B-O
kon M
ünchen
Einstieg in die DigitalisierungNachteile DMS
Aber ein Dokumentenmanagementsystem weist nicht nur Vorteileauf, es existiert auch eine Reihe von Nachteilen:
• aufwändige Erfassung: z. B. Scannen – weniger als 50 % derDokumente einer Firma liegen in elektronischer Form vor
• Hoher Anteil an Bildschirmarbeit (Arbeitsplatzgestaltung),einseitige Körperhaltung (freie Lesehaltung bei Papier)
• Anschaffung neuer, leistungsfähiger Hardware, teureLizenzkosten, Fachpersonal
• Schulungsaufwand: ca. ein bis zwei Wochen für Anwender• Betreuungsaufwand für DMS-Pflege, Berechtigungskonzept usw.• Unkenntnis über Einsatzmöglichkeiten
Rein
hold
Okon.
DS
B-O
kon M
ünchen
Einstieg durch externe Dienstleister
Beispiel: Post durch ePostscan
Quelle: https://www.deutschepost.de/de/e/epost-solutions/loesungen/e-postscan-business.html
Rein
hold
Okon.
DS
B-O
kon M
ünchen
Einstieg durch externe Dienstleister
Beispiel: Post durch ePostscan
WAS IST E-POSTSCAN?E-POSTSCAN ist der Scanservice der deutschen Post.
Service:• Sämtliche Briefpost wird zuerst eingescannt und digitalisiert.• Die eingescannten Dokumente werden dann ins E-POST-Portal übertragen
und dort bereitgestellt.• Alles Dokumente können dann entweder über den Browser oder die E-
POST App abgerufen werden.
Rein
hold
Okon.
DS
B-O
kon M
ünchen
Einstieg durch externe DienstleisterBeispiel: Post durch ePostscan
Rein
hold
Okon.
DS
B-O
kon M
ünchen
NachteileBeispiel: Post durch ePost
• Teuer (Grundpreis 25,- € netto
• Keine Ende-zu-Ende-Verschlüsselung (für kleine Unternehmen)
• Weiterleitung an eigenes Postfach
• Manchmal wird nicht eingescannt, sondern zugestellt
• Es kann nicht alles digitalisiert werden, da nicht die Post alleine ein
„Zustellermonopol“ hat.
• Es ist nicht schneller, sogar langsamer
• Datenschutz??
Rein
hold
Okon.
DS
B-O
kon M
ünchen
Einstieg durch externe DienstleisterBeispiel: Post durch „Digitalkasten“
Rein
hold
Okon.
DS
B-O
kon M
ünchen
Einstieg in die Digitalisierung
Dokumentenmanagementsysteme werden sich weiter verbreiten, da ihreBedienung zunehmend einfacher wird und sie immer preisgünstiger zuerwerben sind.
Auch aus Datenschutzsicht ist gegen den Einsatz von DMS nichtseinzuwenden, soweit sie datenschutzgerecht gestaltet sind und folgendePunkte berücksichtigen:
• Beachtung der Datenschutzbelange bereits bei der Planung eines DMS• Erstellung eines Sicherheitskonzeptes vor der Inbetriebnahme• Beschränkung der Zugriffsberechtigungen (need-to-know)• Datenschutzgerechte Vorgangsbearbeitung• Am besten zertifiziert• Welches DMS ist sinnvoll?
Rein
hold
Okon.
DS
B-O
kon M
ünchen
Ist DMS drin?
Nicht überall, wo DMS drauf steht, ist auch DMS drin.
• Software Beispiele
Nachteile:
• Keine Netzwerkfähigkeit• Einige nicht mit Word kompatibel• Datenbank nicht konfigurierbar• Nur mit Zusatzmodulen zu betreiben (Datev)
• Aber auch viele Verwalterprogramme haben kein richtigesDMS
Rein
hold
Okon.
DS
B-O
kon M
ünchen
Einstieg in die Digitalisierung
MerkeWer kein richtiges (echtes) DMS einsetzt, sollte noch nicht zugänzlichem Löschen von Dokumenten übergehen.
Es geht dort um technische Maßnahmen wie Zeitstempel, aberauch um organisatorische Aspekte wie stichprobenartigeQualitätskontrollen. Kleinstunternehmen sollten zumindest bei derDienstleisterwahl auf zertifizierte Anbieter achten.
Beispiel für Kleinunternehmen: ELO (Elektronischer Leitz-Ordner)
Rein
hold
Okon.
DS
B-O
kon M
ünchen
Fragen rund um DMS
Rein
hold
Okon.
DS
B-O
kon M
ünchen
Wichtige Fragen
Werden gescannte Unterlagen von allen Behörden akzeptiert?
Bis jetzt nur Finanzbehörden. Alle digitalisierten Dokumente, die
steuerrelevanten Charakter haben werden schon seit langer Zeit von
den Finanzbehörden akzeptiert. (§§ 239 Abs. 4, 257 Abs. 3 HGB, §
147 Abs. 2 AO);
Lediglich Bilanzen und Abschlüsse müssen im Original aufbewahrt
werden.
Andere Behörden ziehen bald nach. Siehe Zulassungsstelle mit
elektronischer Doppelkarte.
Rein
hold
Okon.
DS
B-O
kon M
ünchen
Wichtige Fragen
STB MARKUS GUTENBERG UND STB RA HANS-JÖRG STEMMER
vertreten folgende Ansicht:
„Beweiswert gescannter Dokumente vor Gericht
Die Beweisvorschriften der Zivilprozessordnung und der auf diese verweisende
§ 82 FGO (Finanzgerichtsordnung)kennen auch nach den Änderungen durch
das E-Justice-Gesetz keinen Beweisantritt durch Übermittlung von Scan-
Produkten (Dateien) oder durch Vorlage von Ausdrucken derselben. Lediglich
die von einer Behörde oder einem Notar gescannten Dokumente haben
unter bestimmten Voraussetzungen die gleiche Beweiskraft wie eine
öffentliche Urkunde (§ 371b ZPO). Damit unterliegen die von Privatpersonen
und Unternehmen erzeugten Dateien als Objekte des Augenscheins (§ 371 Abs.
1 S. 2 ZPO) der freien Beweiswürdigung durch das Gericht.“
Quelle: http://www.iww.de/kp/kanzleifuehrung/digitale-kanzlei-rechtssicheres-
dokumentenersetzendes-scannen-nutzen-sie-die-moeglichkeiten-f80749
Rein
hold
Okon.
DS
B-O
kon M
ünchen
Wichtige Fragen
Werden eingescannte Dokumente von Gerichten akzeptiert?
• Das Steuerrecht sowie auch das Handelsrecht erkennen nahezu
alle digitalen Dokumente an.
• Momentan reagieren Richter noch misstrauisch auf eingescannte
Dokumente.
• Je besser ein Unternehmen jeden Scanvorgang dokumentiert,
desto höher wird wohl seitens der Richter das Vertrauen in die
gescannten Dokumente sein.
• 2013 sorgte der „Xerox-Fall“ für Aufsehen und stellte die
Digitalisierung von Dokumenten, Belegen, etc. in ein anderes
Licht.
Rein
hold
Okon.
DS
B-O
kon M
ünchen
Der Xerox-Fall
Ein Fehler in der Software machte aus einer 6 eine 8 / 17 eine 14
Fehler wurde von Mathematiker erst nach neun Monaten entdeckt.
Rein
hold
Okon.
DS
B-O
kon M
ünchen
Entscheidung für DMS
Mit dem Schreiben des Bundesfinanzministeriumsvom 14. November 2014 zu »Grundsätzen zurordnungsmäßigen Führung und Aufbewahrung vonBüchern, Aufzeichnungen und Unterlagen inelektronischer Form sowie zum Datenzugriff(GoBD)« beschreibt die Finanzverwaltung,
welche Vorgaben für IT-gestützteBuchführungsprozesse künftig gelten.
Dabei nehmen die Anforderungen an dieAufbewahrung einen breiten Raum ein. Diewichtigsten Anforderungen an die elektronischeArchivierung unter GoBD-Aspekten sind in denfolgenden zehn Merksätzen dargestellt.
Rein
hold
Okon.
DS
B-O
kon M
ünchen
10 Merksätze GoBD
1. Elektronische Archivierung ist technologieneutral
Technische Vorgaben und Standards für das zu verwendendeelektronische Archivsystem sind nicht vorgeschrieben und könnenauch angesichts der sehr großen Unterschiede imorganisatorischen Umfeld der verschiedenen Unternehmen nichtvorgeschrieben werden.
Der Unternehmer ist damit frei in der Wahl einerentsprechenden Lösung, soweit diese den Vorgaben füreine ordnungsgemäße Buchführung und Dokumentationentspricht.
Rein
hold
Okon.
DS
B-O
kon M
ünchen
10 Merksätze GoBD
2. Die Archivierung von Belegen hat zeitnah zu erfolgen
Belege in Papierform oder in elektronischer Form sind zeitnah, d.h. möglichst unmittelbar nach Eingang oder Entstehung gegenVerlust zu sichern. Sofern die Aufbewahrung in einemelektronischen Archivsystem erfolgt, hat die Archivierung zumfrühestmöglichen Zeitpunkt zu erfolgen, um mögliche Verlusteund Manipulationen auszuschließen. Dies lässt sich einerseitsdurch organisatorische Vorkehrungen bewerkstelligen, um zuarchivierende Dokumente und Daten rechtzeitig demArchivierungsprozess zuzuführen. Andererseits ist durchtechnische Maßnahmen zu gewährleisten, dass die Archivdatenmöglichst zeitnah auf das endgültigeArchivierungsmediumübertragen werden.
Rein
hold
Okon.
DS
B-O
kon M
ünchen
10 Merksätze GoBD
3. Die elektronische Archivierung muss eineUnveränderbarkeit sicherstellen
Eine zentrale Anforderung der GoBD betrifft die Unveränderbarkeit.Gewährleisten lässt sich dies hardwareseitig (z. B. durchunveränderbare und fälschungssichere Datenträger),softwareseitig (z. B. durch Sicherungen, Sperren,Festschreibung, Löschmerker, automatische Protokollierung,Historisierungen, Versionierungen) wie auch organisatorisch(z. B. mittels Zugriffsberechtigungskonzepten) – auchKombinationen sind zulässig. Eine bloße Ablage im Dateisystemerfüllt die Anforderungen zur Unveränderbarkeit ohne zusätzlicheMaßnahmen nicht.
Rein
hold
Okon.
DS
B-O
kon M
ünchen
10 Merksätze GoBD
4. Archivierte Objekte müssen mit einem Index versehenwerden
Alle Archivierungsobjekte sind mit einem nachvollziehbaren undeindeutigen Index zu versehen (z. B. Dokumenten-ID,Dokumentenart, Zuordnung zu Stammdaten, Belegnummer,zeitliche Zuordnung). In der Folge ist sicherzustellen, dass daselektronische Dokument unter dem zugeteilten Index verwaltetwird und recherchiert werden kann. Soweit eine Konvertierung inein Inhouse-Format oder sonstiges Format vorgenommen wirdoder ein bereits elektronisch archiviertes Papierdokumentweiterverarbeitet wird, sind beide elektronischen Versionen zuarchivieren, beide unter demselben Index zu verwalten und diekonvertierte Version als solche zu kennzeichnen.
Rein
hold
Okon.
DS
B-O
kon M
ünchen
10 Merksätze GoBD
5. Elektronisch archivierte Objekte müssen lesbar undauswertbar bleiben
Aus Sicht der GoBD hat der Anwender die freie Wahl unter dentechnischen Bild- und Archivierungsformaten, solange dieLesbarkeit und ggf. die maschinelle Auswertbarkeit sichergestelltsind (Formatfreiheit). In Bezug auf die Aufrechterhaltung dermaschinellen Auswertbarkeit darf während desArchivierungsvorgangs keine »Verdichtung« unter Verluststeuerlich relevanter Daten erfolgen.
Papierdokumente können vernichtet werden, wenn eineordnungsgemäße elektronische Archivierung nebstVerfahrensdokumentation sichergestellt ist und gesetzliche(außersteuerliche) Gründe nicht dagegen sprechen.
Rein
hold
Okon.
DS
B-O
kon M
ünchen
10 Merksätze GoBD
6. Steuerrelevante Daten dürfen im elektronischenArchivsystem aufbewahrt werden
Aufbewahrungspflichtige (steuerrelevante) Daten dürfen auch imArchivsystem aufbewahrt werden. Dabei ist sicherzustellen, dassdas Archivsystem oder ein anderes System in quantitativer undqualitativer Hinsicht die gleichen Auswertungen der aufzeichnungs-und aufbewahrungspflichtigen Daten ermöglicht, als wären dieDaten noch im Produktivsystem.
Rein
hold
Okon.
DS
B-O
kon M
ünchen
10 Merksätze GoBD
7. Elektronisch archivierte Objekte unterliegen derBetriebsprüfung
Im Rahmen einer Betriebsprüfung hat die Finanzverwaltung dasRecht, Einsicht in elektronische Dokumente zu nehmen unddie EDV des Unternehmens zur Prüfung bzw. Sichtung dieserDokumente zu nutzen. Dabei steht der Finanzverwaltung auch dieMöglichkeit offen, im Rahmen einer Volltextsuche elektronischeDokumente zu recherchieren bzw. diese – je nach Dateityp –maschinell auszuwerten. Auch im Fall digitalisierter (gescannter)Rechnungen ist dem Betriebsprüfer auf Verlangen die Einsicht in dieelektronischen Rechnungen zu gestatten.
Rein
hold
Okon.
DS
B-O
kon M
ünchen
10 Merksätze GoBD
8. Das elektronische Archivsystem darf vom Betriebsprüfergenutzt werden
Im Fall der elektronischen Belegarchivierung hat dasUnternehmen dem Betriebsprüfer eine Einsichtnahme in dieelektronischen Belege unmittelbar am Bildschirm über diebetriebsinterne Hard- und Software zu gestatten.
Dies gilt auch dann, wenn die Belege noch als Papieroriginalevorhanden sind. Zudem steht dem Betriebsprüfer im Rahmen desunmittelbaren Datenzugriffs die Möglichkeit offen, mittelsVolltextsuche Textdokumente innerhalb der Archivumgebungdateiübergreifend zu durchsuchen.
Rein
hold
Okon.
DS
B-O
kon M
ünchen
10 Merksätze GoBD
9. Die elektronische Archivierung darf unter bestimmtenVoraussetzungen auch im Ausland erfolgen
Elektronische Bücher, Aufzeichnungen und Rechnungen dürfenunter bestimmten Voraussetzungen auch im Ausland archiviertwerden. Der Unternehmer kann dazu beim zuständigen Finanzamteinen schriftlichen Antrag stellen. Für elektronische Rechnungenexistiert eine Sondervorschrift. Danach muss bei einerelektronischen Aufbewahrung im übrigen Gemeinschaftsgebietinsbesondere eine vollständige Fernabfrage (Online-Zugriff) derbetreffenden Daten sowie deren Herunterladen und Verwendunggewährleistet sein. Dabei hat der Unternehmer dem Finanzamtden jeweiligen Aufbewahrungsort mitzuteilen. Ein Antrag desUnternehmers und dessen Bewilligung durch das Finanzamt sindinsoweit nicht erforderlich.
Cloudgestütztes Archiv
Rein
hold
Okon.
DS
B-O
kon M
ünchen
10 Merksätze GoBD
10. Das elektronische Archivierungsverfahren ist zudokumentieren
Das elektronische Archivierungsverfahren ist in einerVerfahrensdokumentation zu beschreiben. Dabei muss sichaus der Verfahrensdokumentation insbesondere ergeben, wie diein den GoBD definierten Ordnungsvorschriften umgesetztwurden. Die Verfahrensdokumentation muss für einensachverständigen Dritten verständlich und inangemessener Zeit nachprüfbar sein sowie über diegesetzliche Aufbewahrungsfrist vorgehalten werden.Änderungen der Verfahrensdokumentation müssennachvollziehbar sein. Insgesamt hat sich der Umfang derVerfahrensdokumentation an der Komplexität derGeschäftstätigkeit und des eingesetzten DV-Systems zuorientieren.
Rein
hold
Okon.
DS
B-O
kon M
ünchen
Datensicherheit ist PflichtZur Gewährleistung der genannten Sicherheitsziele müssengeeignete technisch-organisatorisch Maßnahmen ergriffen werden.Insbesondere ist dabei an folgende Maßnahmen zu denken:
• Vorabkontrolle• Analyse des Schutzbedarfs der Dokumente• Erstellung eines Sicherheits- und Berechtigungskonzeptes• sichere Authentifizierungsverfahren• Schutz- und Sicherheitsmaßnahmen beim Scannen• revisionssichere Archivierung• sichere Aufbewahrung von Papierschriftgut• Regelung der Aufbewahrungs- und Löschungsfristen• datenschutzgerechtes Entsorgungskonzept• Datenverschlüsselung (auch für abgespeicherte sensible Daten)• elektronische Signatur (zumindest in „fortgeschrittener“ Form)• Protokollierung (auch von Rechteänderungen)• Betriebsvereinbarung• Betriebsanweisung• Schulungskonzept (Zeitaufwand nicht unterschätzen)• Maßnahmen zur Zutritts- und Zugangskontrolle• Katastrophenvorsorge (Datensicherung, Backup-Rechner,gespiegelte Platten etc.)
Rein
hold
Okon.
DS
B-O
kon M
ünchen
Welche Unterlagen müssen in Papierform
aufbewahrt werden?
Frage: welche Dokumente kann ich nach dem einscannenbedenkenlos vernichten?
Antwort:• Alle Dokumente, die einst selbst erstellt worden undausgedruckt worden sind.
• Lieferscheine, Belege, Informationsschriften, Handbücher,Betriebsanleitungen, Ausschreibungen, Mitteilungen
• Wichtig!! Alle müssen tatsächlich in digitaler Formexistieren.
Rein
hold
Okon.
DS
B-O
kon M
ünchen
Welche Unterlagen müssen in Papierform
aufbewahrt werden?
Frage: welche Dokumente sollte ich unbedingt aufheben?
Antwort:• Alle Dokumente die eine Unterschrift aufweisen sollten nochaufbewahrt werden.
• Jahresabschlüsse• Eröffnungsbilanzen• Zollunterlagen• Wichtige Urkunden und Verträge• Bürgschaftserklärung• Beglaubigungen (notariell)• Alle Dokumente, die durch besondere Sicherheitsmerkmalegekennzeichnet sind (Prägung, Siegel, Wasserzeichen)
• Teilungserklärungen• Gerichtsurteile
Rein
hold
Okon.
DS
B-O
kon M
ünchen
Rechtsstreit ohne Originaldokumente?
Frage: wenn ich als Verwalter nun einen Rechtsstreit habe,bei welchem ich Originaldokumente vorlegen muss, wie istdann die rechtliche Situation?
Antwort: Schwammig (siehe GoBD Merksatz 5)
Problem: Die große Frage ist, ob die Scans in einem Rechtsstreitausreichen, um Beweis zu führen. Dazu gab es bisher keinerichterlichen Entscheidungen, an denen man sich orientieren könnte.
In einer Studie mit dem Softwareanbieter Datev wurden 14 Prozessesimuliert – mit echten Richtern, Anwälten und Gutachtern.
Worum ging es im Detail?
Quelle: Rechtswissenschaftler Alexander Roßnagel
Rein
hold
Okon.
DS
B-O
kon M
ünchen
Einstieg in die Digitalisierung
Die Hälfte der Fälle haben ein Finanzgericht betroffen, die andereHälfte ein Amtsgericht. Bei den Steuerunterlagen ging esbeispielsweise darum, ob das Finanzamt Quittungenakzeptieren muss, welche während des Scannensautomatisch verbessert worden sind. Im zivilrechtlichenVerfahren gab es zum Beispiel einen Fall, in dem Arbeitgeber undArbeitnehmer einen schwer lesbaren digitalisierten Stundenzettelunterschiedlich auslegten.
In allen Fällen wurden die Scans als Beweismittelanerkannt. Allerdings kann nicht derselbe Beweiswert wie mit denPapieroriginalen erreicht werden. Das Finanzgericht zeigte sichrelativ großzügig – nur wenn das Finanzamt berechtigte Zweifel ander Echtheit der Dokumente hatte, gab es genauere Prüfungen.
Anders war das in den zivilrechtlichen Prozessen: Hier berufen sichoft beide Seiten auf dasselbe Ursprungsdokument. Entsprechendstehen Fälschungsvorwürfe schnell im Raum.
Quelle: Rechtswissenschaftler Alexander Roßnagel
Rein
hold
Okon.
DS
B-O
kon M
ünchen
Belegprüfung
Beschaffungspflicht und Nachweisbarkeit
• Bekommt ein Hausverwalter eine Rechnung per E-Mail, sobesteht keine Beschaffungspflicht der Originale
• Es besteht die Nachweispflicht über die Herkunft.• D. h. zum Beispiel bei einer Belegprüfung könnten Sie digitaleBelege vorlegen, die Sie von einem Lieferanten eben auch digitalerhalten haben. Der Rechnungsprüfer könnte zwar monieren,dass die vorgelegten Belege digitalisiert sind, Sie aber alsHausverwalter müssen einfach nur nachweisen, dass Sie dieseDokumente ebenfalls digital erhalten haben. Sie sind nichtverpflichtet die Originaldokumente (Beschaffungspflicht)herbeizubringen. Aber es ist durchaus möglich, dass es dann zuAuseinandersetzungen kommen könnte.
• Deswegen ist Emailarchivierung Pflicht
Rein
hold
Okon.
DS
B-O
kon M
ünchen
Emails und Archivierung
Frage: wenn ich Emails mit Anhang bekomme und denAnhang speichere, kann ich dann die Email löschen?
Antwort:• Die E-Mail könnten Sie eigentlich vernichten. Denn die E-Mailals solches ist wie ein Briefumschlag zu sehen.
• Jedoch empfiehlt sich immer die ganze E-Mail zu archivierenund nicht nur den Datei- Anhang. Warum? Denn die Definitionder Steuerrelevanz durch den Steuerprüfer obliegt ihm selbstund nicht dem Empfänger.
• Deswegen empfiehlt sich hier immer eine E-Mail-Archivierung.Voraussetzung für eine vernünftige Archivierung ist immer dieRechtssicherheit und die Revisionssicherheit.
• Die Revisionssicherheit ist dadurch gegeben, dass einZeitstempel auf der digitalen Information (E-Mail) aufgebrachtist und diese dadurch nicht veränderbar ist. Das sind diewichtigsten Voraussetzungen dafür, dass der Steuerprüfer hiersicher gehen kann, dass nichts manipuliert worden ist.
Rein
hold
Okon.
DS
B-O
kon M
ünchen
Emails und Archivierung
Frage: Wird eine Rechnung per Email gesendet, was mussich dann tun?
Antwort:• Der Empfänger/Versender muss jedes dieser elektronischenDokumente – und als solches ist auch eine E-Mail zu verstehen– rückholbar abspeichern.
• Der Empfänger/Versender muss die Integrität der Daten prüfenund das Ergebnis dokumentieren.
• Der Empfänger/Versender muss die Rechnung auf einemTrägermedium speichern, das Änderungen nicht mehr zulässt.
Beispiel Software zur Mailarchivierung
Rein
hold
Okon.
DS
B-O
kon M
ünchen
Beispiel „Mailstore“
Rein
hold
Okon.
DS
B-O
kon M
ünchen
Technische Pflichten
Art. 25 EU-DSGVO
Strategien?Der Verantwortliche trifft geeignete technische und organisatorische
Maßnahmen, die sicherstellen, dass …
…personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der
Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht
werden.
Vorgaben der technischen Anforderung nach Art. 25 EU-DSGVODer für die Verarbeitung Verantwortliche (Verwalter) sollte interne Strategien
festlegen und Maßnahmen treffen, die insbesondere dem Grundsatz des
Datenschutzes durch Technik und durch datenschutzfreundliche
Voreinstellungen sicherstellen.
Rein
hold
Okon.
DS
B-O
kon M
ünchen
Was fordert die neue EU-
Datenschutzverordnung EU-DSGVO?
Unter Berücksichtigung des Stands der Technik, der
Implementierungskosten und der Art, des Umfangs, der Umstände und der
Zwecke der Verarbeitung sowie der unterschiedlichen
Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und
Freiheiten natürlicher Personen treffen der Verantwortliche und der
Auftragsverarbeiter geeignete technische und organisatorische
Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu
gewährleisten.
TECHNISCH-ORGANISATORISCHE MAßNAHMEN„Sicherheit der Verarbeitung“, Art. 32
Sie fordert zum Prüfen und Handeln
Wer arbeitet mit uns und wie sicher ist mein Dienstleister
Rein
hold
Okon.
DS
B-O
kon M
ünchen
Das BfSI
Viele Geräts verbinden sich ohne Wissen des Users ins Internet
Doch die Sicherheit hält mit der Vernetzung vielfach nicht Schritt.
Rein
hold
Okon.
DS
B-O
kon M
ünchen
Immer online = Immer angreifbar
Viele Geräts verbinden sich ohne Wissen des Users ins Internet
Rein
hold
Okon.
DS
B-O
kon M
ünchen
Was tun?
Investitionen in Technik und
Mitarbeiter
▪ Wireless Controller for
Astaro Access Points
▪ Multi-Zone (SSID) support
Wireless
Security
▪ Intrusion Prevention
▪ IPSec/SSL VPN
▪ Branch Office Security
Network
Security
▪ URL Filter
▪ Antivirus & Antispyware
▪ IM & P2P Control
Web Security
▪ Reverse Proxy
▪ Web Application Firewall
▪ Antivirus
Web Application
Security
▪ Anti Spam & Phishing
▪ Dual Virus Protection
▪ Email Encryption
Mail Security
▪ Stateful Firewall
▪ Network Address Translation
▪ PPTP/L2TP Remote Access
Firewall
Rein
hold
Okon.
DS
B-O
kon M
ünchen
Investitionen. Warum?
Durchschnittliche „Hackzeit“ verschiedener Router• Fritz!Box (Gen. Bis 6.x) ca: 8 Minuten
• Telekom Speedport 7.2x V ca. 7 Minuten
• D-Link DL 3xx ca. 7 Minuten
• BHU "Tiger Will Power“ ca. 1 Minuten
• DrayTec Gen bis 2015 ca. 15 Minuten
Echte Firewalls (Konfiguration notwendig)• Sonicwall ab 300 Minuten evtl. möglich
• Sophos ab 300 Minuten evtl. möglich
• PaloAlto ab 300 Minuten evtl. möglich
• Watchguard ab 300 Minuten evtl. möglich
• Juniper ab 300 Minuten evtl. möglich
Rein
hold
Okon.
DS
B-O
kon M
ünchen
Prüfen Sie genau
Mit wem arbeiten wir zusammen?Was haben wir derzeit?Definition des Backups Wie sicher ist unser System?Testen Sie Ihr SystemStresstest (Backup und Internet)Prüfung durch unabhängigen DL
Rein
hold
Okon.
DS
B-O
kon M
ünchen
IT-Sicherheitsrichtlinie
Sicherheitsleitlinie (Festlegung der Sicherheitsziele)
Regelung der Zuständigkeiten und der Aufgabenzuordnung
Schutzbedarfsfeststellung
Bedrohungs-/Schwachstellen- und Risikoanalyse
Erstellung einer Security Policy
Überprüfung, Aufrechterhaltung und Fortschreibung
Realisierung
Rein
hold
Okon.
DS
B-O
kon M
ünchen
Fit für Digitalisierung?
Ein Profi sollte Sie trainieren!