Reinhold OkonBVI-Datenschutzbeauftragter

ista Seminarreihe

2017 in Osnabrück, Rastede und

Bremen

Alle Welt redet von

Digitalisierung -

Die Tücken im Einstieg

Rein

hold

Okon.

DS

B-O

kon M

ünchen

Studie zur Automatisierungsstufe für Bundesministerium

für Arbeit und Soziales

Quelle: https://www.iit-berlin.de/de/publikationen/foresight studie...arbeitswelt/at.../download%20Im%C2%A0Cache

Rein

hold

Okon.

DS

B-O

kon M

ünchen

Digitalisierung aber nur über„GoBD“

Bitte was?Seit dem 1.1.2017 sind Unternehmen verpflichtet steuerrelevanteDokumente (also alle Dokumente, die in digitaler Form erhaltenwurden) zu archivieren. Die sogenannte „Langzeitarchivierung“.

Die GoBD (Grundsätze zur ordnungsmäßigen Führung undAufbewahrung von Büchern, Aufzeichnungen und Unterlagen inelektronischer Form sowie zum Datenzugriff) gilt für alleUnternehmen, welche zur Buchführung verpflichtet sind.

Kleine Besonderheit: Wirtschaftsprüfer werden dazu angehaltenUnternehmen zu melden, wenn diese keine ordnungsgemäßeArchivierung vornehmen.

Rein

hold

Okon.

DS

B-O

kon M

ünchen

Einstieg in die Digitalisierung

Die häufigste Art der Digitalisierung ist z.B. die langfristigeUmstellung auf ein papierloses Büro.

Dokumentenmanagementsystem DMSUnter dem klassischen DMS im engeren Sinn ist eine Lösung zuverstehen, die Instrumente und Verfahren für die Verwaltungder wachsenden Dokumentenbestände zur Verfügung stellt.

• Visualisierte Ordnungsstrukturen• Daten können parallel angezeigt und bereitgestellt werden• Metadatenverwaltung zur Indizierung und Suchtechnologien.• Gekennzeichnete Dokumente sind über mehrInformationsfelder recherchierbar, als sie ein Dateisystem zurVerfügung stellt.

Rein

hold

Okon.

DS

B-O

kon M

ünchen

Einstieg in die Digitalisierung

DMS ist im weiteren Sinn• Bürokommunikation,• Scannen,• Vorgangssteuerung (Workflow)• elektronische Aufbewahrung bis zum Übergang inArchivsysteme.

• Alle sind im starkem Maße voneinander abhängig, der Einsatzeiner Komponente ist im Allgemeinen nicht ohne den Zugriffauf andere Komponenten sinnvoll.

• Alle Module haben gemeinsam, dass unterschiedliche Artenvon Dokumenten datenbankgestützt verwaltet werden.

Beispiele für Module sind die Addins in div. Prog. Outlook,Word

Rein

hold

Okon.

DS

B-O

kon M

ünchen

Einstieg in die Digitalisierung

Ziele DMS

• Vollständig elektronisch geführten Akte

• Ablösung der alten Strukturen (Ordner, Belege, etc)

• Einfacher und aktueller recherchierbarer Datenbestand

• Schaffung von automatisierten Schnittstellen – z. B. über eineSchnittstelle zu den Office-Produkten und anderen Anwendungen

• Einfache Bereitstellung allgemein zugänglicher Informationen (z.B. für Dokumente ohne Personenbezug)

• Wissensmanagement (Jeder soll möglichst viel erfahren. Dieskann zur Vervollständigung der Entscheidungsgrundlagen unddamit auch zur Verbesserung der Entscheidungsqualität vonNutzen sein, führt aber in der Regel zum Interessenskonflikt mitdem Datenschutz (need-to-know).

Rein

hold

Okon.

DS

B-O

kon M

ünchen

Einstieg in die DigitalisierungNachteile DMS

Aber ein Dokumentenmanagementsystem weist nicht nur Vorteileauf, es existiert auch eine Reihe von Nachteilen:

• aufwändige Erfassung: z. B. Scannen – weniger als 50 % derDokumente einer Firma liegen in elektronischer Form vor

• Hoher Anteil an Bildschirmarbeit (Arbeitsplatzgestaltung),einseitige Körperhaltung (freie Lesehaltung bei Papier)

• Anschaffung neuer, leistungsfähiger Hardware, teureLizenzkosten, Fachpersonal

• Schulungsaufwand: ca. ein bis zwei Wochen für Anwender• Betreuungsaufwand für DMS-Pflege, Berechtigungskonzept usw.• Unkenntnis über Einsatzmöglichkeiten

Rein

hold

Okon.

DS

B-O

kon M

ünchen

Einstieg durch externe Dienstleister

Beispiel: Post durch ePostscan

Quelle: https://www.deutschepost.de/de/e/epost-solutions/loesungen/e-postscan-business.html

Rein

hold

Okon.

DS

B-O

kon M

ünchen

Einstieg durch externe Dienstleister

Beispiel: Post durch ePostscan

WAS IST E-POSTSCAN?E-POSTSCAN ist der Scanservice der deutschen Post.

Service:• Sämtliche Briefpost wird zuerst eingescannt und digitalisiert.• Die eingescannten Dokumente werden dann ins E-POST-Portal übertragen

und dort bereitgestellt.• Alles Dokumente können dann entweder über den Browser oder die E-

POST App abgerufen werden.

Rein

hold

Okon.

DS

B-O

kon M

ünchen

Einstieg durch externe DienstleisterBeispiel: Post durch ePostscan

Rein

hold

Okon.

DS

B-O

kon M

ünchen

NachteileBeispiel: Post durch ePost

• Teuer (Grundpreis 25,- € netto

• Keine Ende-zu-Ende-Verschlüsselung (für kleine Unternehmen)

• Weiterleitung an eigenes Postfach

• Manchmal wird nicht eingescannt, sondern zugestellt

• Es kann nicht alles digitalisiert werden, da nicht die Post alleine ein

„Zustellermonopol“ hat.

• Es ist nicht schneller, sogar langsamer

• Datenschutz??

Rein

hold

Okon.

DS

B-O

kon M

ünchen

Einstieg durch externe DienstleisterBeispiel: Post durch „Digitalkasten“

Rein

hold

Okon.

DS

B-O

kon M

ünchen

Einstieg in die Digitalisierung

Dokumentenmanagementsysteme werden sich weiter verbreiten, da ihreBedienung zunehmend einfacher wird und sie immer preisgünstiger zuerwerben sind.

Auch aus Datenschutzsicht ist gegen den Einsatz von DMS nichtseinzuwenden, soweit sie datenschutzgerecht gestaltet sind und folgendePunkte berücksichtigen:

• Beachtung der Datenschutzbelange bereits bei der Planung eines DMS• Erstellung eines Sicherheitskonzeptes vor der Inbetriebnahme• Beschränkung der Zugriffsberechtigungen (need-to-know)• Datenschutzgerechte Vorgangsbearbeitung• Am besten zertifiziert• Welches DMS ist sinnvoll?

Rein

hold

Okon.

DS

B-O

kon M

ünchen

Ist DMS drin?

Nicht überall, wo DMS drauf steht, ist auch DMS drin.

• Software Beispiele

Nachteile:

• Keine Netzwerkfähigkeit• Einige nicht mit Word kompatibel• Datenbank nicht konfigurierbar• Nur mit Zusatzmodulen zu betreiben (Datev)

• Aber auch viele Verwalterprogramme haben kein richtigesDMS

Rein

hold

Okon.

DS

B-O

kon M

ünchen

Einstieg in die Digitalisierung

MerkeWer kein richtiges (echtes) DMS einsetzt, sollte noch nicht zugänzlichem Löschen von Dokumenten übergehen.

Es geht dort um technische Maßnahmen wie Zeitstempel, aberauch um organisatorische Aspekte wie stichprobenartigeQualitätskontrollen. Kleinstunternehmen sollten zumindest bei derDienstleisterwahl auf zertifizierte Anbieter achten.

Beispiel für Kleinunternehmen: ELO (Elektronischer Leitz-Ordner)

Rein

hold

Okon.

DS

B-O

kon M

ünchen

Fragen rund um DMS

Rein

hold

Okon.

DS

B-O

kon M

ünchen

Wichtige Fragen

Werden gescannte Unterlagen von allen Behörden akzeptiert?

Bis jetzt nur Finanzbehörden. Alle digitalisierten Dokumente, die

steuerrelevanten Charakter haben werden schon seit langer Zeit von

den Finanzbehörden akzeptiert. (§§ 239 Abs. 4, 257 Abs. 3 HGB, §

147 Abs. 2 AO);

Lediglich Bilanzen und Abschlüsse müssen im Original aufbewahrt

werden.

Andere Behörden ziehen bald nach. Siehe Zulassungsstelle mit

elektronischer Doppelkarte.

Rein

hold

Okon.

DS

B-O

kon M

ünchen

Wichtige Fragen

STB MARKUS GUTENBERG UND STB RA HANS-JÖRG STEMMER

vertreten folgende Ansicht:

„Beweiswert gescannter Dokumente vor Gericht

Die Beweisvorschriften der Zivilprozessordnung und der auf diese verweisende

§ 82 FGO (Finanzgerichtsordnung)kennen auch nach den Änderungen durch

das E-Justice-Gesetz keinen Beweisantritt durch Übermittlung von Scan-

Produkten (Dateien) oder durch Vorlage von Ausdrucken derselben. Lediglich

die von einer Behörde oder einem Notar gescannten Dokumente haben

unter bestimmten Voraussetzungen die gleiche Beweiskraft wie eine

öffentliche Urkunde (§ 371b ZPO). Damit unterliegen die von Privatpersonen

und Unternehmen erzeugten Dateien als Objekte des Augenscheins (§ 371 Abs.

1 S. 2 ZPO) der freien Beweiswürdigung durch das Gericht.“

Quelle: http://www.iww.de/kp/kanzleifuehrung/digitale-kanzlei-rechtssicheres-

dokumentenersetzendes-scannen-nutzen-sie-die-moeglichkeiten-f80749

Rein

hold

Okon.

DS

B-O

kon M

ünchen

Wichtige Fragen

Werden eingescannte Dokumente von Gerichten akzeptiert?

• Das Steuerrecht sowie auch das Handelsrecht erkennen nahezu

alle digitalen Dokumente an.

• Momentan reagieren Richter noch misstrauisch auf eingescannte

Dokumente.

• Je besser ein Unternehmen jeden Scanvorgang dokumentiert,

desto höher wird wohl seitens der Richter das Vertrauen in die

gescannten Dokumente sein.

• 2013 sorgte der „Xerox-Fall“ für Aufsehen und stellte die

Digitalisierung von Dokumenten, Belegen, etc. in ein anderes

Licht.

Rein

hold

Okon.

DS

B-O

kon M

ünchen

Der Xerox-Fall

Ein Fehler in der Software machte aus einer 6 eine 8 / 17 eine 14

Fehler wurde von Mathematiker erst nach neun Monaten entdeckt.

Rein

hold

Okon.

DS

B-O

kon M

ünchen

Entscheidung für DMS

Mit dem Schreiben des Bundesfinanzministeriumsvom 14. November 2014 zu »Grundsätzen zurordnungsmäßigen Führung und Aufbewahrung vonBüchern, Aufzeichnungen und Unterlagen inelektronischer Form sowie zum Datenzugriff(GoBD)« beschreibt die Finanzverwaltung,

welche Vorgaben für IT-gestützteBuchführungsprozesse künftig gelten.

Dabei nehmen die Anforderungen an dieAufbewahrung einen breiten Raum ein. Diewichtigsten Anforderungen an die elektronischeArchivierung unter GoBD-Aspekten sind in denfolgenden zehn Merksätzen dargestellt.

Rein

hold

Okon.

DS

B-O

kon M

ünchen

10 Merksätze GoBD

1. Elektronische Archivierung ist technologieneutral

Technische Vorgaben und Standards für das zu verwendendeelektronische Archivsystem sind nicht vorgeschrieben und könnenauch angesichts der sehr großen Unterschiede imorganisatorischen Umfeld der verschiedenen Unternehmen nichtvorgeschrieben werden.

Der Unternehmer ist damit frei in der Wahl einerentsprechenden Lösung, soweit diese den Vorgaben füreine ordnungsgemäße Buchführung und Dokumentationentspricht.

Rein

hold

Okon.

DS

B-O

kon M

ünchen

10 Merksätze GoBD

2. Die Archivierung von Belegen hat zeitnah zu erfolgen

Belege in Papierform oder in elektronischer Form sind zeitnah, d.h. möglichst unmittelbar nach Eingang oder Entstehung gegenVerlust zu sichern. Sofern die Aufbewahrung in einemelektronischen Archivsystem erfolgt, hat die Archivierung zumfrühestmöglichen Zeitpunkt zu erfolgen, um mögliche Verlusteund Manipulationen auszuschließen. Dies lässt sich einerseitsdurch organisatorische Vorkehrungen bewerkstelligen, um zuarchivierende Dokumente und Daten rechtzeitig demArchivierungsprozess zuzuführen. Andererseits ist durchtechnische Maßnahmen zu gewährleisten, dass die Archivdatenmöglichst zeitnah auf das endgültigeArchivierungsmediumübertragen werden.

Rein

hold

Okon.

DS

B-O

kon M

ünchen

10 Merksätze GoBD

3. Die elektronische Archivierung muss eineUnveränderbarkeit sicherstellen

Eine zentrale Anforderung der GoBD betrifft die Unveränderbarkeit.Gewährleisten lässt sich dies hardwareseitig (z. B. durchunveränderbare und fälschungssichere Datenträger),softwareseitig (z. B. durch Sicherungen, Sperren,Festschreibung, Löschmerker, automatische Protokollierung,Historisierungen, Versionierungen) wie auch organisatorisch(z. B. mittels Zugriffsberechtigungskonzepten) – auchKombinationen sind zulässig. Eine bloße Ablage im Dateisystemerfüllt die Anforderungen zur Unveränderbarkeit ohne zusätzlicheMaßnahmen nicht.

Rein

hold

Okon.

DS

B-O

kon M

ünchen

10 Merksätze GoBD

4. Archivierte Objekte müssen mit einem Index versehenwerden

Alle Archivierungsobjekte sind mit einem nachvollziehbaren undeindeutigen Index zu versehen (z. B. Dokumenten-ID,Dokumentenart, Zuordnung zu Stammdaten, Belegnummer,zeitliche Zuordnung). In der Folge ist sicherzustellen, dass daselektronische Dokument unter dem zugeteilten Index verwaltetwird und recherchiert werden kann. Soweit eine Konvertierung inein Inhouse-Format oder sonstiges Format vorgenommen wirdoder ein bereits elektronisch archiviertes Papierdokumentweiterverarbeitet wird, sind beide elektronischen Versionen zuarchivieren, beide unter demselben Index zu verwalten und diekonvertierte Version als solche zu kennzeichnen.

Rein

hold

Okon.

DS

B-O

kon M

ünchen

10 Merksätze GoBD

5. Elektronisch archivierte Objekte müssen lesbar undauswertbar bleiben

Aus Sicht der GoBD hat der Anwender die freie Wahl unter dentechnischen Bild- und Archivierungsformaten, solange dieLesbarkeit und ggf. die maschinelle Auswertbarkeit sichergestelltsind (Formatfreiheit). In Bezug auf die Aufrechterhaltung dermaschinellen Auswertbarkeit darf während desArchivierungsvorgangs keine »Verdichtung« unter Verluststeuerlich relevanter Daten erfolgen.

Papierdokumente können vernichtet werden, wenn eineordnungsgemäße elektronische Archivierung nebstVerfahrensdokumentation sichergestellt ist und gesetzliche(außersteuerliche) Gründe nicht dagegen sprechen.

Rein

hold

Okon.

DS

B-O

kon M

ünchen

10 Merksätze GoBD

6. Steuerrelevante Daten dürfen im elektronischenArchivsystem aufbewahrt werden

Aufbewahrungspflichtige (steuerrelevante) Daten dürfen auch imArchivsystem aufbewahrt werden. Dabei ist sicherzustellen, dassdas Archivsystem oder ein anderes System in quantitativer undqualitativer Hinsicht die gleichen Auswertungen der aufzeichnungs-und aufbewahrungspflichtigen Daten ermöglicht, als wären dieDaten noch im Produktivsystem.

Rein

hold

Okon.

DS

B-O

kon M

ünchen

10 Merksätze GoBD

7. Elektronisch archivierte Objekte unterliegen derBetriebsprüfung

Im Rahmen einer Betriebsprüfung hat die Finanzverwaltung dasRecht, Einsicht in elektronische Dokumente zu nehmen unddie EDV des Unternehmens zur Prüfung bzw. Sichtung dieserDokumente zu nutzen. Dabei steht der Finanzverwaltung auch dieMöglichkeit offen, im Rahmen einer Volltextsuche elektronischeDokumente zu recherchieren bzw. diese – je nach Dateityp –maschinell auszuwerten. Auch im Fall digitalisierter (gescannter)Rechnungen ist dem Betriebsprüfer auf Verlangen die Einsicht in dieelektronischen Rechnungen zu gestatten.

Rein

hold

Okon.

DS

B-O

kon M

ünchen

10 Merksätze GoBD

8. Das elektronische Archivsystem darf vom Betriebsprüfergenutzt werden

Im Fall der elektronischen Belegarchivierung hat dasUnternehmen dem Betriebsprüfer eine Einsichtnahme in dieelektronischen Belege unmittelbar am Bildschirm über diebetriebsinterne Hard- und Software zu gestatten.

Dies gilt auch dann, wenn die Belege noch als Papieroriginalevorhanden sind. Zudem steht dem Betriebsprüfer im Rahmen desunmittelbaren Datenzugriffs die Möglichkeit offen, mittelsVolltextsuche Textdokumente innerhalb der Archivumgebungdateiübergreifend zu durchsuchen.

Rein

hold

Okon.

DS

B-O

kon M

ünchen

10 Merksätze GoBD

9. Die elektronische Archivierung darf unter bestimmtenVoraussetzungen auch im Ausland erfolgen

Elektronische Bücher, Aufzeichnungen und Rechnungen dürfenunter bestimmten Voraussetzungen auch im Ausland archiviertwerden. Der Unternehmer kann dazu beim zuständigen Finanzamteinen schriftlichen Antrag stellen. Für elektronische Rechnungenexistiert eine Sondervorschrift. Danach muss bei einerelektronischen Aufbewahrung im übrigen Gemeinschaftsgebietinsbesondere eine vollständige Fernabfrage (Online-Zugriff) derbetreffenden Daten sowie deren Herunterladen und Verwendunggewährleistet sein. Dabei hat der Unternehmer dem Finanzamtden jeweiligen Aufbewahrungsort mitzuteilen. Ein Antrag desUnternehmers und dessen Bewilligung durch das Finanzamt sindinsoweit nicht erforderlich.

Cloudgestütztes Archiv

Rein

hold

Okon.

DS

B-O

kon M

ünchen

10 Merksätze GoBD

10. Das elektronische Archivierungsverfahren ist zudokumentieren

Das elektronische Archivierungsverfahren ist in einerVerfahrensdokumentation zu beschreiben. Dabei muss sichaus der Verfahrensdokumentation insbesondere ergeben, wie diein den GoBD definierten Ordnungsvorschriften umgesetztwurden. Die Verfahrensdokumentation muss für einensachverständigen Dritten verständlich und inangemessener Zeit nachprüfbar sein sowie über diegesetzliche Aufbewahrungsfrist vorgehalten werden.Änderungen der Verfahrensdokumentation müssennachvollziehbar sein. Insgesamt hat sich der Umfang derVerfahrensdokumentation an der Komplexität derGeschäftstätigkeit und des eingesetzten DV-Systems zuorientieren.

Rein

hold

Okon.

DS

B-O

kon M

ünchen

Datensicherheit ist PflichtZur Gewährleistung der genannten Sicherheitsziele müssengeeignete technisch-organisatorisch Maßnahmen ergriffen werden.Insbesondere ist dabei an folgende Maßnahmen zu denken:

• Vorabkontrolle• Analyse des Schutzbedarfs der Dokumente• Erstellung eines Sicherheits- und Berechtigungskonzeptes• sichere Authentifizierungsverfahren• Schutz- und Sicherheitsmaßnahmen beim Scannen• revisionssichere Archivierung• sichere Aufbewahrung von Papierschriftgut• Regelung der Aufbewahrungs- und Löschungsfristen• datenschutzgerechtes Entsorgungskonzept• Datenverschlüsselung (auch für abgespeicherte sensible Daten)• elektronische Signatur (zumindest in „fortgeschrittener“ Form)• Protokollierung (auch von Rechteänderungen)• Betriebsvereinbarung• Betriebsanweisung• Schulungskonzept (Zeitaufwand nicht unterschätzen)• Maßnahmen zur Zutritts- und Zugangskontrolle• Katastrophenvorsorge (Datensicherung, Backup-Rechner,gespiegelte Platten etc.)

Rein

hold

Okon.

DS

B-O

kon M

ünchen

Welche Unterlagen müssen in Papierform

aufbewahrt werden?

Frage: welche Dokumente kann ich nach dem einscannenbedenkenlos vernichten?

Antwort:• Alle Dokumente, die einst selbst erstellt worden undausgedruckt worden sind.

• Lieferscheine, Belege, Informationsschriften, Handbücher,Betriebsanleitungen, Ausschreibungen, Mitteilungen

• Wichtig!! Alle müssen tatsächlich in digitaler Formexistieren.

Rein

hold

Okon.

DS

B-O

kon M

ünchen

Welche Unterlagen müssen in Papierform

aufbewahrt werden?

Frage: welche Dokumente sollte ich unbedingt aufheben?

Antwort:• Alle Dokumente die eine Unterschrift aufweisen sollten nochaufbewahrt werden.

• Jahresabschlüsse• Eröffnungsbilanzen• Zollunterlagen• Wichtige Urkunden und Verträge• Bürgschaftserklärung• Beglaubigungen (notariell)• Alle Dokumente, die durch besondere Sicherheitsmerkmalegekennzeichnet sind (Prägung, Siegel, Wasserzeichen)

• Teilungserklärungen• Gerichtsurteile

Rein

hold

Okon.

DS

B-O

kon M

ünchen

Rechtsstreit ohne Originaldokumente?

Frage: wenn ich als Verwalter nun einen Rechtsstreit habe,bei welchem ich Originaldokumente vorlegen muss, wie istdann die rechtliche Situation?

Antwort: Schwammig (siehe GoBD Merksatz 5)

Problem: Die große Frage ist, ob die Scans in einem Rechtsstreitausreichen, um Beweis zu führen. Dazu gab es bisher keinerichterlichen Entscheidungen, an denen man sich orientieren könnte.

In einer Studie mit dem Softwareanbieter Datev wurden 14 Prozessesimuliert – mit echten Richtern, Anwälten und Gutachtern.

Worum ging es im Detail?

Quelle: Rechtswissenschaftler Alexander Roßnagel

Rein

hold

Okon.

DS

B-O

kon M

ünchen

Einstieg in die Digitalisierung

Die Hälfte der Fälle haben ein Finanzgericht betroffen, die andereHälfte ein Amtsgericht. Bei den Steuerunterlagen ging esbeispielsweise darum, ob das Finanzamt Quittungenakzeptieren muss, welche während des Scannensautomatisch verbessert worden sind. Im zivilrechtlichenVerfahren gab es zum Beispiel einen Fall, in dem Arbeitgeber undArbeitnehmer einen schwer lesbaren digitalisierten Stundenzettelunterschiedlich auslegten.

In allen Fällen wurden die Scans als Beweismittelanerkannt. Allerdings kann nicht derselbe Beweiswert wie mit denPapieroriginalen erreicht werden. Das Finanzgericht zeigte sichrelativ großzügig – nur wenn das Finanzamt berechtigte Zweifel ander Echtheit der Dokumente hatte, gab es genauere Prüfungen.

Anders war das in den zivilrechtlichen Prozessen: Hier berufen sichoft beide Seiten auf dasselbe Ursprungsdokument. Entsprechendstehen Fälschungsvorwürfe schnell im Raum.

Quelle: Rechtswissenschaftler Alexander Roßnagel

Rein

hold

Okon.

DS

B-O

kon M

ünchen

Belegprüfung

Beschaffungspflicht und Nachweisbarkeit

• Bekommt ein Hausverwalter eine Rechnung per E-Mail, sobesteht keine Beschaffungspflicht der Originale

• Es besteht die Nachweispflicht über die Herkunft.• D. h. zum Beispiel bei einer Belegprüfung könnten Sie digitaleBelege vorlegen, die Sie von einem Lieferanten eben auch digitalerhalten haben. Der Rechnungsprüfer könnte zwar monieren,dass die vorgelegten Belege digitalisiert sind, Sie aber alsHausverwalter müssen einfach nur nachweisen, dass Sie dieseDokumente ebenfalls digital erhalten haben. Sie sind nichtverpflichtet die Originaldokumente (Beschaffungspflicht)herbeizubringen. Aber es ist durchaus möglich, dass es dann zuAuseinandersetzungen kommen könnte.

• Deswegen ist Emailarchivierung Pflicht

Rein

hold

Okon.

DS

B-O

kon M

ünchen

Emails und Archivierung

Frage: wenn ich Emails mit Anhang bekomme und denAnhang speichere, kann ich dann die Email löschen?

Antwort:• Die E-Mail könnten Sie eigentlich vernichten. Denn die E-Mailals solches ist wie ein Briefumschlag zu sehen.

• Jedoch empfiehlt sich immer die ganze E-Mail zu archivierenund nicht nur den Datei- Anhang. Warum? Denn die Definitionder Steuerrelevanz durch den Steuerprüfer obliegt ihm selbstund nicht dem Empfänger.

• Deswegen empfiehlt sich hier immer eine E-Mail-Archivierung.Voraussetzung für eine vernünftige Archivierung ist immer dieRechtssicherheit und die Revisionssicherheit.

• Die Revisionssicherheit ist dadurch gegeben, dass einZeitstempel auf der digitalen Information (E-Mail) aufgebrachtist und diese dadurch nicht veränderbar ist. Das sind diewichtigsten Voraussetzungen dafür, dass der Steuerprüfer hiersicher gehen kann, dass nichts manipuliert worden ist.

Rein

hold

Okon.

DS

B-O

kon M

ünchen

Emails und Archivierung

Frage: Wird eine Rechnung per Email gesendet, was mussich dann tun?

Antwort:• Der Empfänger/Versender muss jedes dieser elektronischenDokumente – und als solches ist auch eine E-Mail zu verstehen– rückholbar abspeichern.

• Der Empfänger/Versender muss die Integrität der Daten prüfenund das Ergebnis dokumentieren.

• Der Empfänger/Versender muss die Rechnung auf einemTrägermedium speichern, das Änderungen nicht mehr zulässt.

Beispiel Software zur Mailarchivierung

Rein

hold

Okon.

DS

B-O

kon M

ünchen

Beispiel „Mailstore“

Rein

hold

Okon.

DS

B-O

kon M

ünchen

Technische Pflichten

Art. 25 EU-DSGVO

Strategien?Der Verantwortliche trifft geeignete technische und organisatorische

Maßnahmen, die sicherstellen, dass …

…personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der

Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht

werden.

Vorgaben der technischen Anforderung nach Art. 25 EU-DSGVODer für die Verarbeitung Verantwortliche (Verwalter) sollte interne Strategien

festlegen und Maßnahmen treffen, die insbesondere dem Grundsatz des

Datenschutzes durch Technik und durch datenschutzfreundliche

Voreinstellungen sicherstellen.

Rein

hold

Okon.

DS

B-O

kon M

ünchen

Was fordert die neue EU-

Datenschutzverordnung EU-DSGVO?

Unter Berücksichtigung des Stands der Technik, der

Implementierungskosten und der Art, des Umfangs, der Umstände und der

Zwecke der Verarbeitung sowie der unterschiedlichen

Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und

Freiheiten natürlicher Personen treffen der Verantwortliche und der

Auftragsverarbeiter geeignete technische und organisatorische

Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu

gewährleisten.

TECHNISCH-ORGANISATORISCHE MAßNAHMEN„Sicherheit der Verarbeitung“, Art. 32

Sie fordert zum Prüfen und Handeln

Wer arbeitet mit uns und wie sicher ist mein Dienstleister

Rein

hold

Okon.

DS

B-O

kon M

ünchen

Das BfSI

Viele Geräts verbinden sich ohne Wissen des Users ins Internet

Doch die Sicherheit hält mit der Vernetzung vielfach nicht Schritt.

Rein

hold

Okon.

DS

B-O

kon M

ünchen

Immer online = Immer angreifbar

Viele Geräts verbinden sich ohne Wissen des Users ins Internet

Rein

hold

Okon.

DS

B-O

kon M

ünchen

Was tun?

Investitionen in Technik und

Mitarbeiter

▪ Wireless Controller for

Astaro Access Points

▪ Multi-Zone (SSID) support

Wireless

Security

▪ Intrusion Prevention

▪ IPSec/SSL VPN

▪ Branch Office Security

Network

Security

▪ URL Filter

▪ Antivirus & Antispyware

▪ IM & P2P Control

Web Security

▪ Reverse Proxy

▪ Web Application Firewall

▪ Antivirus

Web Application

Security

▪ Anti Spam & Phishing

▪ Dual Virus Protection

▪ Email Encryption

Mail Security

▪ Stateful Firewall

▪ Network Address Translation

▪ PPTP/L2TP Remote Access

Firewall

Rein

hold

Okon.

DS

B-O

kon M

ünchen

Investitionen. Warum?

Durchschnittliche „Hackzeit“ verschiedener Router• Fritz!Box (Gen. Bis 6.x) ca: 8 Minuten

• Telekom Speedport 7.2x V ca. 7 Minuten

• D-Link DL 3xx ca. 7 Minuten

• BHU "Tiger Will Power“ ca. 1 Minuten

• DrayTec Gen bis 2015 ca. 15 Minuten

Echte Firewalls (Konfiguration notwendig)• Sonicwall ab 300 Minuten evtl. möglich

• Sophos ab 300 Minuten evtl. möglich

• PaloAlto ab 300 Minuten evtl. möglich

• Watchguard ab 300 Minuten evtl. möglich

• Juniper ab 300 Minuten evtl. möglich

Rein

hold

Okon.

DS

B-O

kon M

ünchen

Prüfen Sie genau

Mit wem arbeiten wir zusammen?Was haben wir derzeit?Definition des Backups Wie sicher ist unser System?Testen Sie Ihr SystemStresstest (Backup und Internet)Prüfung durch unabhängigen DL

Rein

hold

Okon.

DS

B-O

kon M

ünchen

IT-Sicherheitsrichtlinie

Sicherheitsleitlinie (Festlegung der Sicherheitsziele)

Regelung der Zuständigkeiten und der Aufgabenzuordnung

Schutzbedarfsfeststellung

Bedrohungs-/Schwachstellen- und Risikoanalyse

Erstellung einer Security Policy

Überprüfung, Aufrechterhaltung und Fortschreibung

Realisierung

Rein

hold

Okon.

DS

B-O

kon M

ünchen

Fit für Digitalisierung?

Ein Profi sollte Sie trainieren!