ECM in der Cloud aussteuerlicher, rechtlicherund handelsrechtlicher Sicht

Stefan Groß,Steuerberater und CISA

Dr. Axel-Michael WagnerRechtsanwalt

ECM in der Cloud 2

Die vorliegenden Ausführungen geben die persönliche Meinung des Autors zur derzeitigenRechtslage wieder und enthalten lediglich einen Überblick über einzelne Themenkomplexe.Spezielle Umstände einzelner Fallkonstellationen wurden nicht berücksichtigt; diese könnendurchaus zu abweichenden Betrachtungsweisen und/oder Ergebnissen führen. Die dargestelltenAusführungen können daher keine rechtliche oder steuerliche Beratung ersetzen; bitte holen Sieeine auf Ihre Umstände zugeschnittene, weitere Entwicklungen berücksichtigende Empfehlung IhresSteuerberaters oder Wirtschaftsprüfers ein, bevor Sie Entscheidungen über die in diesenAusführungen besprochenen Themen treffen. Die Finanzverwaltung und/oder Gerichte könnenabweichende Auffassungen zu den hier behandelten Themen haben oder entwickeln.

ECM in der Cloud 3

Cloud Computing – „Heiter bis wolkig“

Cloud

ComputingIT-O

utso

urci

ng

SaaS

IT-Infrastruktur

IKS

Datenschutz

IDW RS FAIT 5

PaaS

IaaSSich

erhe

it

Software Internet

BDSG

Risiken

GoBD

HG

B

PublicService Level Agreements

Nutzer

Haf

tung

Pay per usePrivate

DrittstaatenSchnittstellen

rechnungslegungsrelevant

GByte

Flexibilität

IT-Anwendungen

Auf

bew

ahru

ngBetriebsstätte

AO

Impl

emen

tieru

ngÜ

bertr

agun

g

Verantwortung

§§

ECM in der Cloud 4

2719,2 3745,25162,3

6658,78252,12085,7

2910,5

3864

5212,1

6829,3

2.920,0

4.327,3

6.429,7

9.403,0

13.374,1

2014 2015 2016 2017 2018

Cloud Technology Cloud Integration and Consulting Cloud Services

10.983,0

28.455,5

Cloud-Markt in Deutschland

Angaben in Mio. Euro; Quelle: Crisp Research

ECM in der Cloud 5

Was treibt die Unternehmen in die Cloud? Was spricht dagegen?Pro und Contra

Großes Einsparpotenzial durchVerringerung der Fixkosten (z. B.Ersetzen einer eigenen IT-Infrastrukturdurch eine Cloud-Lösung)

Hohe Flexibilität durch freieSkalierbarkeit sowie durch orts- undzeitunabhängigen Zugriff

Zeit- und Aufwandsersparnis durchWegfall von Sicherungs- undSynchronisationserfordernissen derDatenbestände

Reduzierung der Personalkapazitäten(geringerer Verwaltungsaufwand vonHard- und Software-Bereitstellung)

Sicherheit und Zuverlässigkeit derCloud-Dienstleistungen

Abhängigkeit vom Cloud-Anbieter

Wechsel zu einem anderen Anbieteru. U. problematisch (Lock-In-Effekt)

Fehlende „Kontrollierbarkeit“ derDaten auf den fremden Servern

Absicherung des Zugriffs auf die Datenbeim Transfer zwischen Nutzer unddem web-basierten Server

Datenschutz

ECM in der Cloud 6

Risiken für die Ordnungsmäßigkeit beim IT-Outsourcing

Risiken für die Ordnungsmäßigkeit

Risiko derNichteinhaltungsteuerrechtlicherAnforderungenbzgl. Verarbei-tung, Zugriffund Aufbewah-rung (vgl. §§145 ff. AO bzw.GoBD)

Risiko, dassVollständigkeitund Zeitge-rechtheit durchunvollständigeoder verspäteteVerarbeitungvon Geschäfts-vorfällen nichtgegeben ist

Bei Speicherungder Daten inDrittländernRisiko, dassAnforderungenan die Ord-nungsmäßigkeitnach §§ 238 ff.HGB nicht ein-gehalten werden(z. B. Radier-verbot)

Risiko, dassBuchführungs-verfahren zumEinsatz kom-men, die dieAnforderungenan die Beleg-,Journal- undKontenfunktionnicht erfüllen.

Risiko, dassdurch fehler-hafte oderunvollständigeÜbertragung derDaten oderfehlerhafteDatenstrukturVollständigkeitoder Richtigkeitder Daten nichtgegeben ist

Risiko, dassAufbewahrungs-pflichten nach§ 257 HGBunzureichenderfüllt werdenund damitAufbewahrungs-fristen nichteingehaltenwerden bzw.die Unveränder-barkeit nichtgewährleistet ist.

In Anlehnung an IDW RS FAIT 5

ECM in der Cloud 7

Handelsrecht & Steuerrecht im Überblick

§§ 238 HGB, 145 AOBuchführungspflicht

§§ 239 HGB, 146 AOFührung

der Handelsbücher

§§ 257 HGB, 147 AOAufbewahrung

von Unterlagen,Aufbewahrungsfristen

Buchführung muss für einen „sachverständigen Dritten innerhalbangemessener Zeit“ nachvollziehbar sein – Vermittlung einesÜberblicks über die Geschäftsvorfälle sowie über die Lage desUnternehmens

Verpflichtung der Dokumentation (Kopie etc. auf einem Schrift-,Bild- oder anderen Datenträger)

Erforderliche Aufzeichnungen sind vollständig, richtig, zeitgerechtund geordnet vorzunehmen

Buchungen oder Aufzeichnungen dürfen nicht in der Art verändertwerden, dass der ursprüngliche Inhalt nicht mehr feststellbar ist

Bücher und Aufzeichnungen, Inventare, Jahresabschlüsse etc. sindgeordnet aufzubewahren

Unterlagen können auf Datenträgern gespeichert werden, wenndies den Anforderungen der GoBD entspricht

Aufbewahrungsfristen von 6 bzw. 10 Jahren sind unabhängig vomSpeichermedium einzuhalten

ECM in der Cloud

Risiken betreffend die Einhaltung steuerrechtlicher Anforderungen

Stichworte: Aufbewahrung, Datenzugriff und GoBD

Verstoß gegen Aufbewahrungsvorgaben

Stichworte: Aufbewahrungsdauer und Unveränderlichkeit

Verstoß gegen Sicherheits- und Ordnungsmäßigkeitsanforderungen der §§ 238 ff. HGB

Stichworte: Anonymität von Rechenzentren

Mängel in der Dokumentation

Stichworte: Einfache und „unbürokratische“ Verfügbarkeit

Klare Regelung der Aufgaben, Rollen und Verantwortlichkeiten

8

Spezielle Risiken für die Ordnungsmäßigkeit beim Cloud Computing

In Anlehnung an IDW RS FAIT 5

ECM in der Cloud 9

Steuerliche Aspekte

ECM in der Cloud 10

ECM

GoBD =Vorgaben an IT-gestützte Systeme

Die GoBD als Framework beachten

ECM in der Cloud 11

Zentrale Anforderungen der GoBD („Vier-Säulen“)

Kontroll- undProtokollumfeld Dokumentation Datenintegrität Migrations-

beständigkeit

GoBD

ECM in der Cloud 12

Steuerrelevante DV-Systeme sind gegen Verlust zu sichern

Buchungen und Aufzeichnungen dürfen nicht in einer Weise verändert werden, dass derursprüngliche Inhalt nicht mehr feststellbar ist

Spätere Änderungen sind so vorzunehmen, dass sowohl der ursprüngliche Inhalt als auch dieTatsache, dass Veränderungen vorgenommen wurden, erkennbar bleiben

Bei der Änderung von Stammdaten muss die eindeutige Bedeutung in den entsprechendenBewegungsdaten erhalten bleiben

Die reine Ablage von Daten und Dokumenten in einem reinen Dateisystem erfüllt dieAnforderungen der Unveränderbarkeit regelmäßig nicht!

Die Unveränderbarkeit kann durch entsprechende Hardware, Software oder organisatorischeVorkehrungen gewährleistet werden

Unveränderbarkeit von zentraler Bedeutung

ECM in der Cloud 13

Unveränderbarkeit, stets eine Kombination aus …

Hardware Software Organisation Prozess

Unveränderbarkeit

ECM in der Cloud 14

Generische Anforderung an die Aufbewahrung

evtl.Konvertierungen

„OriginäresFormat“

Papieraufbewahrung

Originalkann digitalisiertwerden GoBD

elektronischeAufbewahrung

Papierrechnung

E-Rechnung

ECM in der Cloud 15

Maschinelle Auswertbarkeit muss gewährleistet sein

Mathematisch technischeAuswertungen Volltextsuche Prüfung im weitesten

Sinne

Maschinelle Auswertbarkeit

„IDEA-Auswertbarkeit“ E-Mails / DMS Bildschirmabfragen etc.

bisher originär elektronisch

ECM in der Cloud 16

Die GoBD – Verfahrensdokumentation ist Pflicht

Sicherstellung GoBD (Tax)-ComplianceSicherstellung GoBD (Tax)-Compliance

Sachlogischer Prozess

Anforderungen GoBD Kontrollumfeld!!!

Sicherstellung Kontrollziel/Kontrolle

ECM in der Cloud 17

Mustergliederung für eine Verfahrensdokumentation

Fachliche Beschreibung der Lösung

Relevante weitere Rechtsgrundlagen (außer HGB/AO/UStG) Aktenpläne, Dokumentenarten, Verarbeitungsregeln,

Aufbewahrungsfristen, Vernichtungsregelungen Belegbearbeitung, Belegfluss Prozessdokumentation

Einsatzgebiet und Aufgabenstellung

Aufbau- und Ablauf-Organisation der beteiligten Bereiche Fachliche Aufgabenstellung Mitarbeiterqualifikation

Technische Beschreibung der Lösung

Standorte des IT-Systems Hard- und Softwarekomponenten Datenbankmodelle Parameter-Einstellungen der Programme Technische Verarbeitungsregeln (Datenflüsse, Protokollierungen,

Ablaufpläne etc.) Vorgehensweise Datensicherung Benutzerverwaltung, Berechtigungskonzept Technischer Betrieb (Betriebsvoraussetzungen, Betriebsbedingungen,

Wartung) Vorbereitung Datenzugriff der Finanzverwaltung

Organisations- und Arbeitsanweisungen

Fachliche Prozesse/Standardbetrieb Administrative Prozesse Prozesse für Notfallserien (Restart, Recovery) Change-Management, Test und Abnahme inkl. Aktualisierung der

Verfahrensdokumentation

Kontrollmechanismus/IKS

Übergreifende Konzeption des internen Kontrollsystems Verantwortlichkeiten, Eskalationswege Verfahren zur Sicherstellung der Identität von Verfahrensdokumentation

und gelebter Praxis Verweise auf einzelne organisatorische und technische Kontrollen

Anhänge

Steuerrelevante IT-Anwendungen Steuerrelevante Daten und elektronische Dokumente

ECM in der Cloud

Buchführung und Aufbewahrung im Ausland

Grundsatz: Bücher und Aufzeichnungen müssen im Inland geführt und aufbewahrt werden(§ 146 Abs. 2 S. 1 AO)

Aber: Finanzamt kann auf Antrag die Führung elektronischer Bücher und Aufbewahrungelektronischer Aufzeichnungen im Ausland bewilligen (§ 146 Abs. 2a S. 1 AO)

Der Steuerpflichtige ist gehalten, die steuerlichen Voraussetzungen in die Vertragsgestaltung mitdem Dienstleister einfließen zu lassen:

Aufbewahrungsort der Daten

Sicherstellung des Datenzugriffs sowie der Möglichkeit, Rechnungen per Fernabfrageeinzusehen

Sonderfall: Aufbewahrung von Rechnungen im Gemeinschaftsgebiet nach § 14b Abs. 4 UStGmöglich, wenn Online-Zugriff für zuständige Finanzbehörde sichergestellt

150

ECM in der Cloud 19

EU-Ausland

Antrag nach § 146 Abs. 2a AOGrundsatz: Inland

E-Rechnung § 146 Abs. 2a AO

Drittland

§ 14b UStGOnline-Zugriff

Buchführung und Aufbewahrung im Ausland

ECM in der Cloud 20

Rechtliche Aspekte

ECM in der Cloud

Welche Rechtsgrundlagen bei der Auslagerung zu beachten sind, hängt von der inhaltlichen Natur der Datenab, z. B.:

Steuerrelevante Daten

Buchführungsrelevante Daten

Personenbezogene Daten

Daten, die aufgrund von Geheimhaltungsvereinbarungen mit Dritten geheim gehalten werden müssen

Beispiel personenbezogene Daten:

Jede Verarbeitung (inkl. Erhebung, Speicherung, Übermittlung, Löschung etc.) vonpersonenbezogenen Daten im Auftrag des (im datenschutzrechtlichen Sinne) „Verantwortlichen“ –also insbes. durch einen Cloud-Anbieter – setzt voraus, dass

der Auftragsdatenverarbeiter „hinreichend Garantien“ dafür bietet, dass bei ihm „geeignetetechnische und organisatorische Maßnahmen“ bestehen, damit das Datenschutzrecht bei ihmeingehalten wird, und

im Vertrag mit dem Auftragsdatenverarbeiter bestimmte Regelungsinhalte enthalten sind.

Bei einem „Datenexport“ in ein Drittland muss ein angemessenes Schutzniveau bestehen. Auf diedamit im Zusammenhang stehenden datenschutzrechtlichen Themen (Safe Harbour, Privacy Shield,Angemessenheitsbeschluss oder „geeignete Garantien“ unter der EU-DSGVO) wird hier nicht weitereingegangen. Der Regelungsbedarf kann auch diversen Mustern entnommen, deren „Wirksamkeit“aber im Einzelnen unklar ist.

21

Rechtliche Vorgaben (Compliance-Aspekte)

In Anlehnung an IDW RS FAIT 5

ECM in der Cloud 22

Ausgestaltung des Vertrages mit einem ausländischen Cloud-Anbieter

Grundsätzlich freie Wahl desanzuwendenden Rechts(insbesondere in der Praxisdas Sitzland eines derVertragspartner)

Zwingendes Recht(z. B. zum Daten- oderVerbraucherschutz) kannnicht ausgeschlossen werden

Ein wesentliches Problem beider vertraglichen Absicherungbesteht in den kaumbeherrschbaren„Unterauftragsverhältnissen“

Der vereinbarte Gerichtsstandhat erhebliche Auswirkungenauf die Vollstreckbarkeit einerGerichtsentscheidung

Gerichtsstand undanwendbares Recht sollennicht auseinanderfallen, dasich die Richter ansonsten miteiner Rechtsordnung undVertragsspracheauseinandersetzen müssen, inder sie nicht ausgebildetwurden

Alternative zu Verfahren vorstaatlichen GerichtenSchiedsrichter, Ort,Regelwerk und Sprachefestlegen

Aufgrund ihrer Sachkenntniskönnen Schiedsrichter i. d. R.auch technisch komplizierteVorgänge oder branchen-übliche Verfahren schnellerbeurteilen

Risiko: Wegfall derMöglichkeit einerBerufungsinstanz

Rechtswahl Gerichtsstand Schiedsgerichte

Klare Vereinbarungen sind unerlässlich, denn ausländische Rechtsordnungen sehen gesetzliche Regelungen undvertragliche Gestaltungen vor, die teilweise erheblich vom deutschen Verständnis abweichen.

Für eine ausführliche Darstellung der rechtlichen Probleme und Fragestellungen beim Cloud Computing siehe Wagner/Groß (2011). Überden Wolken: Die Rechtsprobleme des Cloud Computing aus der Sicht des auslagernden Unternehmens. In Betriebs-Berater. BBL2011-36-I.

ECM in der Cloud 23

Leistung, Gewährleistung und Haftung

Definition der vereinbarten Leistung so detailliert,wie möglich

Service Level Agreements (SLA) beschreiben diegeschuldete Leistung näher Festlegungqualitativer und quantitativer Leistungsmerkmalesowie der spezifischen Folgen bei derenNichteinhaltung

Zur Messung der Service Levels sollten geeigneteKey Performance Indicators (KPI) vereinbartwerden bspw. kommen die Verfügbarkeit ineinem bestimmten Zeitraum, Reaktionszeiten aufÄnderungswünsche oder Mängelmitteilungen inBetracht

Erweiterungen und Anpassungen der vereinbartenLeistungen können bereits im Vorfeld vertraglichgeregelt werden, typischerweise Regelungen fürdie Flexibilität und Skalierbarkeit

Die gesetzlichen Regelungen, die

auf Mängel der Cloud-Leistungen (insbes.Mietrecht) bzw.

auf den Haftungsumfang

anwendbar sind, führen ohne weitereModifikationen meist nicht zu praktikablenErgebnissen.

Leistung Gewährleistung und Haftung

Vertrag über die Cloud-Dienstleistung sollteentsprechende Regelungen in den SLA für dieNichteinhaltung von vereinbarten Leistungen

beinhalten und Haftungsfragen klären

ECM in der Cloud

Verantwortlichkeiten hinsichtlich Aufbewahrung und Aushändigung vonUnterlagen, Dokumentationen und Daten

Prüfungsrechte der internen Revision und des Abschlussprüfers desauslagernden Unternehmens bzw. Bereitstellung von Prüfungsberichten

Offenlegung der eingesetzten Subdienstleistungsunternehmen

Vereinbarung über Dokumentation der Kontrollen und Maßnahmen, die zurEinhaltung der gesetzlichen Anforderungen an die Ordnungsmäßigkeit derRechnungslegung des auslagernden Unternehmens erforderlich sind

Rechtzeitige Unterrichtung des auslagernden Unternehmens über relevante Änderungen im Rahmen dererbrachten Dienstleistung, bspw. durch Releasewechsel, Einspielen von Sicherheitspatches oder denAustausch von Subdienstleistungsunternehmen sowie Vereinbarung von Zustimmungsvorbehalten

Ort der Verarbeitung und Speicherung der Daten des auslagernden Unternehmens zur Einhaltungbesonderer rechtlicher Anforderungen aufgrund der inhaltlichen Natur der Daten

Vereinbarungen zur Beendigung des Vertrags und zu nachvertraglichen Pflichten, bspw. zur Rückgabe allergespeicherten Daten einschließlich Datensicherungen in einem definierten Format und vollständige Löschungdieser Daten beim Dienstleister bzw. weitere Aufbewahrung aufbewahrungspflichtiger Daten undInformationen durch den Dienstleister

24

Vertragliche Ausgestaltung - Punkte, die klar geregelt werden sollten

In Anlehnung an IDW RS FAIT 5

ECM in der Cloud 25

Handelsrechtliche Aspekte

ECM in der Cloud 26

Ausganssituation

IKS des auslagernden Unternehmens

DienstleistungsbezogenesIKS des Dienstleisters

Nicht dienstleistungs-bezogenes IKS desDienstleisters

ECM in der Cloud 27

Aktivitätensplit und Kontrollen

Festlegung verbleibende Organisation(Retained Organisation)

Festlegung kompensierende Kontrollen

Durchführung korrespondierendeKontrollen

Übergehende Organisationsteile

Kontrollen durch den Dienstleister

Festlegung korrespondierende Kontrollen

Auslagerndes Unternehmen Dienstleistungsunternehmen

ECM in der Cloud

Einschlägige Standards für den Wirtschaftsprüfer

28

IDW PS 331

Prüfung durch den Abschlussprüfer

IDW PS 951

IDW PS 330

Auslagerndes Unternehmen Dienstleister

ECM in der Cloud

IDW PS 951Prüfung des IKS beim Dienstleister

für die auf ihn ausgelagertenFunktionen

IDW RS FAIT 5Risiken bei der Auslagerung und

Ausgestaltung des IKS beimauslagernden Unternehmen

IDW PS 331Konkretisierung der

Anforderungen von IDW PS 261i.V.m. IDW PS 951 bei der

Auslagerung von Dienstleistungen

29

Der IDW RS FAIT 5

AuslagerndesUnternehmen Dienstleister

Abschlussprüfer

Auslagerung

Bereitstellung Service/IKS

Sub-Dienstleister (opt.)

Prüfung in Anlehnung an IDW PS 330

ECM in der Cloud 30

Vielen Dank für Ihre Aufmerksamkeit

Peters, Schönberger & PartnerRechtsanwälte Wirtschaftsprüfer SteuerberaterSchackstraße 280539 MünchenTel.: +49 89 3 81 72 - 0Fax: +49 89 3 81 72 - 204E-Mail: psp@psp.euInternet: www.psp.eu

Stefan Großs.gross@psp.eu

Referenten

Dr. Axel-Michael Wagnera.wagner@psp.eu