Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
ECM in der Cloud aussteuerlicher, rechtlicherund handelsrechtlicher Sicht
Stefan Groß,Steuerberater und CISA
Dr. Axel-Michael WagnerRechtsanwalt
ECM in der Cloud 2
Die vorliegenden Ausführungen geben die persönliche Meinung des Autors zur derzeitigenRechtslage wieder und enthalten lediglich einen Überblick über einzelne Themenkomplexe.Spezielle Umstände einzelner Fallkonstellationen wurden nicht berücksichtigt; diese könnendurchaus zu abweichenden Betrachtungsweisen und/oder Ergebnissen führen. Die dargestelltenAusführungen können daher keine rechtliche oder steuerliche Beratung ersetzen; bitte holen Sieeine auf Ihre Umstände zugeschnittene, weitere Entwicklungen berücksichtigende Empfehlung IhresSteuerberaters oder Wirtschaftsprüfers ein, bevor Sie Entscheidungen über die in diesenAusführungen besprochenen Themen treffen. Die Finanzverwaltung und/oder Gerichte könnenabweichende Auffassungen zu den hier behandelten Themen haben oder entwickeln.
ECM in der Cloud 3
Cloud Computing – „Heiter bis wolkig“
Cloud
ComputingIT-O
utso
urci
ng
SaaS
IT-Infrastruktur
IKS
Datenschutz
IDW RS FAIT 5
PaaS
IaaSSich
erhe
it
Software Internet
BDSG
Risiken
GoBD
HG
B
PublicService Level Agreements
Nutzer
Haf
tung
Pay per usePrivate
DrittstaatenSchnittstellen
rechnungslegungsrelevant
GByte
Flexibilität
IT-Anwendungen
Auf
bew
ahru
ngBetriebsstätte
AO
Impl
emen
tieru
ngÜ
bertr
agun
g
Verantwortung
§§
ECM in der Cloud 4
2719,2 3745,25162,3
6658,78252,12085,7
2910,5
3864
5212,1
6829,3
2.920,0
4.327,3
6.429,7
9.403,0
13.374,1
2014 2015 2016 2017 2018
Cloud Technology Cloud Integration and Consulting Cloud Services
10.983,0
28.455,5
Cloud-Markt in Deutschland
Angaben in Mio. Euro; Quelle: Crisp Research
ECM in der Cloud 5
Was treibt die Unternehmen in die Cloud? Was spricht dagegen?Pro und Contra
Großes Einsparpotenzial durchVerringerung der Fixkosten (z. B.Ersetzen einer eigenen IT-Infrastrukturdurch eine Cloud-Lösung)
Hohe Flexibilität durch freieSkalierbarkeit sowie durch orts- undzeitunabhängigen Zugriff
Zeit- und Aufwandsersparnis durchWegfall von Sicherungs- undSynchronisationserfordernissen derDatenbestände
Reduzierung der Personalkapazitäten(geringerer Verwaltungsaufwand vonHard- und Software-Bereitstellung)
Sicherheit und Zuverlässigkeit derCloud-Dienstleistungen
Abhängigkeit vom Cloud-Anbieter
Wechsel zu einem anderen Anbieteru. U. problematisch (Lock-In-Effekt)
Fehlende „Kontrollierbarkeit“ derDaten auf den fremden Servern
Absicherung des Zugriffs auf die Datenbeim Transfer zwischen Nutzer unddem web-basierten Server
Datenschutz
ECM in der Cloud 6
Risiken für die Ordnungsmäßigkeit beim IT-Outsourcing
Risiken für die Ordnungsmäßigkeit
Risiko derNichteinhaltungsteuerrechtlicherAnforderungenbzgl. Verarbei-tung, Zugriffund Aufbewah-rung (vgl. §§145 ff. AO bzw.GoBD)
Risiko, dassVollständigkeitund Zeitge-rechtheit durchunvollständigeoder verspäteteVerarbeitungvon Geschäfts-vorfällen nichtgegeben ist
Bei Speicherungder Daten inDrittländernRisiko, dassAnforderungenan die Ord-nungsmäßigkeitnach §§ 238 ff.HGB nicht ein-gehalten werden(z. B. Radier-verbot)
Risiko, dassBuchführungs-verfahren zumEinsatz kom-men, die dieAnforderungenan die Beleg-,Journal- undKontenfunktionnicht erfüllen.
Risiko, dassdurch fehler-hafte oderunvollständigeÜbertragung derDaten oderfehlerhafteDatenstrukturVollständigkeitoder Richtigkeitder Daten nichtgegeben ist
Risiko, dassAufbewahrungs-pflichten nach§ 257 HGBunzureichenderfüllt werdenund damitAufbewahrungs-fristen nichteingehaltenwerden bzw.die Unveränder-barkeit nichtgewährleistet ist.
In Anlehnung an IDW RS FAIT 5
ECM in der Cloud 7
Handelsrecht & Steuerrecht im Überblick
§§ 238 HGB, 145 AOBuchführungspflicht
§§ 239 HGB, 146 AOFührung
der Handelsbücher
§§ 257 HGB, 147 AOAufbewahrung
von Unterlagen,Aufbewahrungsfristen
Buchführung muss für einen „sachverständigen Dritten innerhalbangemessener Zeit“ nachvollziehbar sein – Vermittlung einesÜberblicks über die Geschäftsvorfälle sowie über die Lage desUnternehmens
Verpflichtung der Dokumentation (Kopie etc. auf einem Schrift-,Bild- oder anderen Datenträger)
Erforderliche Aufzeichnungen sind vollständig, richtig, zeitgerechtund geordnet vorzunehmen
Buchungen oder Aufzeichnungen dürfen nicht in der Art verändertwerden, dass der ursprüngliche Inhalt nicht mehr feststellbar ist
Bücher und Aufzeichnungen, Inventare, Jahresabschlüsse etc. sindgeordnet aufzubewahren
Unterlagen können auf Datenträgern gespeichert werden, wenndies den Anforderungen der GoBD entspricht
Aufbewahrungsfristen von 6 bzw. 10 Jahren sind unabhängig vomSpeichermedium einzuhalten
ECM in der Cloud
Risiken betreffend die Einhaltung steuerrechtlicher Anforderungen
Stichworte: Aufbewahrung, Datenzugriff und GoBD
Verstoß gegen Aufbewahrungsvorgaben
Stichworte: Aufbewahrungsdauer und Unveränderlichkeit
Verstoß gegen Sicherheits- und Ordnungsmäßigkeitsanforderungen der §§ 238 ff. HGB
Stichworte: Anonymität von Rechenzentren
Mängel in der Dokumentation
Stichworte: Einfache und „unbürokratische“ Verfügbarkeit
Klare Regelung der Aufgaben, Rollen und Verantwortlichkeiten
8
Spezielle Risiken für die Ordnungsmäßigkeit beim Cloud Computing
In Anlehnung an IDW RS FAIT 5
ECM in der Cloud 9
Steuerliche Aspekte
ECM in der Cloud 10
ECM
GoBD =Vorgaben an IT-gestützte Systeme
Die GoBD als Framework beachten
ECM in der Cloud 11
Zentrale Anforderungen der GoBD („Vier-Säulen“)
Kontroll- undProtokollumfeld Dokumentation Datenintegrität Migrations-
beständigkeit
GoBD
ECM in der Cloud 12
Steuerrelevante DV-Systeme sind gegen Verlust zu sichern
Buchungen und Aufzeichnungen dürfen nicht in einer Weise verändert werden, dass derursprüngliche Inhalt nicht mehr feststellbar ist
Spätere Änderungen sind so vorzunehmen, dass sowohl der ursprüngliche Inhalt als auch dieTatsache, dass Veränderungen vorgenommen wurden, erkennbar bleiben
Bei der Änderung von Stammdaten muss die eindeutige Bedeutung in den entsprechendenBewegungsdaten erhalten bleiben
Die reine Ablage von Daten und Dokumenten in einem reinen Dateisystem erfüllt dieAnforderungen der Unveränderbarkeit regelmäßig nicht!
Die Unveränderbarkeit kann durch entsprechende Hardware, Software oder organisatorischeVorkehrungen gewährleistet werden
Unveränderbarkeit von zentraler Bedeutung
ECM in der Cloud 13
Unveränderbarkeit, stets eine Kombination aus …
Hardware Software Organisation Prozess
Unveränderbarkeit
ECM in der Cloud 14
Generische Anforderung an die Aufbewahrung
evtl.Konvertierungen
„OriginäresFormat“
Papieraufbewahrung
Originalkann digitalisiertwerden GoBD
elektronischeAufbewahrung
Papierrechnung
E-Rechnung
ECM in der Cloud 15
Maschinelle Auswertbarkeit muss gewährleistet sein
Mathematisch technischeAuswertungen Volltextsuche Prüfung im weitesten
Sinne
Maschinelle Auswertbarkeit
„IDEA-Auswertbarkeit“ E-Mails / DMS Bildschirmabfragen etc.
bisher originär elektronisch
ECM in der Cloud 16
Die GoBD – Verfahrensdokumentation ist Pflicht
Sicherstellung GoBD (Tax)-ComplianceSicherstellung GoBD (Tax)-Compliance
Sachlogischer Prozess
Anforderungen GoBD Kontrollumfeld!!!
Sicherstellung Kontrollziel/Kontrolle
ECM in der Cloud 17
Mustergliederung für eine Verfahrensdokumentation
Fachliche Beschreibung der Lösung
Relevante weitere Rechtsgrundlagen (außer HGB/AO/UStG) Aktenpläne, Dokumentenarten, Verarbeitungsregeln,
Aufbewahrungsfristen, Vernichtungsregelungen Belegbearbeitung, Belegfluss Prozessdokumentation
Einsatzgebiet und Aufgabenstellung
Aufbau- und Ablauf-Organisation der beteiligten Bereiche Fachliche Aufgabenstellung Mitarbeiterqualifikation
Technische Beschreibung der Lösung
Standorte des IT-Systems Hard- und Softwarekomponenten Datenbankmodelle Parameter-Einstellungen der Programme Technische Verarbeitungsregeln (Datenflüsse, Protokollierungen,
Ablaufpläne etc.) Vorgehensweise Datensicherung Benutzerverwaltung, Berechtigungskonzept Technischer Betrieb (Betriebsvoraussetzungen, Betriebsbedingungen,
Wartung) Vorbereitung Datenzugriff der Finanzverwaltung
Organisations- und Arbeitsanweisungen
Fachliche Prozesse/Standardbetrieb Administrative Prozesse Prozesse für Notfallserien (Restart, Recovery) Change-Management, Test und Abnahme inkl. Aktualisierung der
Verfahrensdokumentation
Kontrollmechanismus/IKS
Übergreifende Konzeption des internen Kontrollsystems Verantwortlichkeiten, Eskalationswege Verfahren zur Sicherstellung der Identität von Verfahrensdokumentation
und gelebter Praxis Verweise auf einzelne organisatorische und technische Kontrollen
Anhänge
Steuerrelevante IT-Anwendungen Steuerrelevante Daten und elektronische Dokumente
ECM in der Cloud
Buchführung und Aufbewahrung im Ausland
Grundsatz: Bücher und Aufzeichnungen müssen im Inland geführt und aufbewahrt werden(§ 146 Abs. 2 S. 1 AO)
Aber: Finanzamt kann auf Antrag die Führung elektronischer Bücher und Aufbewahrungelektronischer Aufzeichnungen im Ausland bewilligen (§ 146 Abs. 2a S. 1 AO)
Der Steuerpflichtige ist gehalten, die steuerlichen Voraussetzungen in die Vertragsgestaltung mitdem Dienstleister einfließen zu lassen:
Aufbewahrungsort der Daten
Sicherstellung des Datenzugriffs sowie der Möglichkeit, Rechnungen per Fernabfrageeinzusehen
Sonderfall: Aufbewahrung von Rechnungen im Gemeinschaftsgebiet nach § 14b Abs. 4 UStGmöglich, wenn Online-Zugriff für zuständige Finanzbehörde sichergestellt
150
ECM in der Cloud 19
EU-Ausland
Antrag nach § 146 Abs. 2a AOGrundsatz: Inland
E-Rechnung § 146 Abs. 2a AO
Drittland
§ 14b UStGOnline-Zugriff
Buchführung und Aufbewahrung im Ausland
ECM in der Cloud 20
Rechtliche Aspekte
ECM in der Cloud
Welche Rechtsgrundlagen bei der Auslagerung zu beachten sind, hängt von der inhaltlichen Natur der Datenab, z. B.:
Steuerrelevante Daten
Buchführungsrelevante Daten
Personenbezogene Daten
Daten, die aufgrund von Geheimhaltungsvereinbarungen mit Dritten geheim gehalten werden müssen
Beispiel personenbezogene Daten:
Jede Verarbeitung (inkl. Erhebung, Speicherung, Übermittlung, Löschung etc.) vonpersonenbezogenen Daten im Auftrag des (im datenschutzrechtlichen Sinne) „Verantwortlichen“ –also insbes. durch einen Cloud-Anbieter – setzt voraus, dass
der Auftragsdatenverarbeiter „hinreichend Garantien“ dafür bietet, dass bei ihm „geeignetetechnische und organisatorische Maßnahmen“ bestehen, damit das Datenschutzrecht bei ihmeingehalten wird, und
im Vertrag mit dem Auftragsdatenverarbeiter bestimmte Regelungsinhalte enthalten sind.
Bei einem „Datenexport“ in ein Drittland muss ein angemessenes Schutzniveau bestehen. Auf diedamit im Zusammenhang stehenden datenschutzrechtlichen Themen (Safe Harbour, Privacy Shield,Angemessenheitsbeschluss oder „geeignete Garantien“ unter der EU-DSGVO) wird hier nicht weitereingegangen. Der Regelungsbedarf kann auch diversen Mustern entnommen, deren „Wirksamkeit“aber im Einzelnen unklar ist.
21
Rechtliche Vorgaben (Compliance-Aspekte)
In Anlehnung an IDW RS FAIT 5
ECM in der Cloud 22
Ausgestaltung des Vertrages mit einem ausländischen Cloud-Anbieter
Grundsätzlich freie Wahl desanzuwendenden Rechts(insbesondere in der Praxisdas Sitzland eines derVertragspartner)
Zwingendes Recht(z. B. zum Daten- oderVerbraucherschutz) kannnicht ausgeschlossen werden
Ein wesentliches Problem beider vertraglichen Absicherungbesteht in den kaumbeherrschbaren„Unterauftragsverhältnissen“
Der vereinbarte Gerichtsstandhat erhebliche Auswirkungenauf die Vollstreckbarkeit einerGerichtsentscheidung
Gerichtsstand undanwendbares Recht sollennicht auseinanderfallen, dasich die Richter ansonsten miteiner Rechtsordnung undVertragsspracheauseinandersetzen müssen, inder sie nicht ausgebildetwurden
Alternative zu Verfahren vorstaatlichen GerichtenSchiedsrichter, Ort,Regelwerk und Sprachefestlegen
Aufgrund ihrer Sachkenntniskönnen Schiedsrichter i. d. R.auch technisch komplizierteVorgänge oder branchen-übliche Verfahren schnellerbeurteilen
Risiko: Wegfall derMöglichkeit einerBerufungsinstanz
Rechtswahl Gerichtsstand Schiedsgerichte
Klare Vereinbarungen sind unerlässlich, denn ausländische Rechtsordnungen sehen gesetzliche Regelungen undvertragliche Gestaltungen vor, die teilweise erheblich vom deutschen Verständnis abweichen.
Für eine ausführliche Darstellung der rechtlichen Probleme und Fragestellungen beim Cloud Computing siehe Wagner/Groß (2011). Überden Wolken: Die Rechtsprobleme des Cloud Computing aus der Sicht des auslagernden Unternehmens. In Betriebs-Berater. BBL2011-36-I.
ECM in der Cloud 23
Leistung, Gewährleistung und Haftung
Definition der vereinbarten Leistung so detailliert,wie möglich
Service Level Agreements (SLA) beschreiben diegeschuldete Leistung näher Festlegungqualitativer und quantitativer Leistungsmerkmalesowie der spezifischen Folgen bei derenNichteinhaltung
Zur Messung der Service Levels sollten geeigneteKey Performance Indicators (KPI) vereinbartwerden bspw. kommen die Verfügbarkeit ineinem bestimmten Zeitraum, Reaktionszeiten aufÄnderungswünsche oder Mängelmitteilungen inBetracht
Erweiterungen und Anpassungen der vereinbartenLeistungen können bereits im Vorfeld vertraglichgeregelt werden, typischerweise Regelungen fürdie Flexibilität und Skalierbarkeit
Die gesetzlichen Regelungen, die
auf Mängel der Cloud-Leistungen (insbes.Mietrecht) bzw.
auf den Haftungsumfang
anwendbar sind, führen ohne weitereModifikationen meist nicht zu praktikablenErgebnissen.
Leistung Gewährleistung und Haftung
Vertrag über die Cloud-Dienstleistung sollteentsprechende Regelungen in den SLA für dieNichteinhaltung von vereinbarten Leistungen
beinhalten und Haftungsfragen klären
ECM in der Cloud
Verantwortlichkeiten hinsichtlich Aufbewahrung und Aushändigung vonUnterlagen, Dokumentationen und Daten
Prüfungsrechte der internen Revision und des Abschlussprüfers desauslagernden Unternehmens bzw. Bereitstellung von Prüfungsberichten
Offenlegung der eingesetzten Subdienstleistungsunternehmen
Vereinbarung über Dokumentation der Kontrollen und Maßnahmen, die zurEinhaltung der gesetzlichen Anforderungen an die Ordnungsmäßigkeit derRechnungslegung des auslagernden Unternehmens erforderlich sind
Rechtzeitige Unterrichtung des auslagernden Unternehmens über relevante Änderungen im Rahmen dererbrachten Dienstleistung, bspw. durch Releasewechsel, Einspielen von Sicherheitspatches oder denAustausch von Subdienstleistungsunternehmen sowie Vereinbarung von Zustimmungsvorbehalten
Ort der Verarbeitung und Speicherung der Daten des auslagernden Unternehmens zur Einhaltungbesonderer rechtlicher Anforderungen aufgrund der inhaltlichen Natur der Daten
Vereinbarungen zur Beendigung des Vertrags und zu nachvertraglichen Pflichten, bspw. zur Rückgabe allergespeicherten Daten einschließlich Datensicherungen in einem definierten Format und vollständige Löschungdieser Daten beim Dienstleister bzw. weitere Aufbewahrung aufbewahrungspflichtiger Daten undInformationen durch den Dienstleister
24
Vertragliche Ausgestaltung - Punkte, die klar geregelt werden sollten
In Anlehnung an IDW RS FAIT 5
ECM in der Cloud 25
Handelsrechtliche Aspekte
ECM in der Cloud 26
Ausganssituation
IKS des auslagernden Unternehmens
DienstleistungsbezogenesIKS des Dienstleisters
Nicht dienstleistungs-bezogenes IKS desDienstleisters
ECM in der Cloud 27
Aktivitätensplit und Kontrollen
Festlegung verbleibende Organisation(Retained Organisation)
Festlegung kompensierende Kontrollen
Durchführung korrespondierendeKontrollen
Übergehende Organisationsteile
Kontrollen durch den Dienstleister
Festlegung korrespondierende Kontrollen
Auslagerndes Unternehmen Dienstleistungsunternehmen
ECM in der Cloud
Einschlägige Standards für den Wirtschaftsprüfer
28
IDW PS 331
Prüfung durch den Abschlussprüfer
IDW PS 951
IDW PS 330
Auslagerndes Unternehmen Dienstleister
ECM in der Cloud
IDW PS 951Prüfung des IKS beim Dienstleister
für die auf ihn ausgelagertenFunktionen
IDW RS FAIT 5Risiken bei der Auslagerung und
Ausgestaltung des IKS beimauslagernden Unternehmen
IDW PS 331Konkretisierung der
Anforderungen von IDW PS 261i.V.m. IDW PS 951 bei der
Auslagerung von Dienstleistungen
29
Der IDW RS FAIT 5
AuslagerndesUnternehmen Dienstleister
Abschlussprüfer
Auslagerung
Bereitstellung Service/IKS
Sub-Dienstleister (opt.)
Prüfung in Anlehnung an IDW PS 330
ECM in der Cloud 30
Vielen Dank für Ihre Aufmerksamkeit
Peters, Schönberger & PartnerRechtsanwälte Wirtschaftsprüfer SteuerberaterSchackstraße 280539 MünchenTel.: +49 89 3 81 72 - 0Fax: +49 89 3 81 72 - 204E-Mail: [email protected]: www.psp.eu
Stefan Groß[email protected]
Referenten
Dr. Axel-Michael [email protected]