Entwurf IDW Stellungnahme zur Rechnungslegung: Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Electronic Commerce (IDW ERS FAIT 2)

Größe: px
Ab Seite anzeigen:

Download "Entwurf IDW Stellungnahme zur Rechnungslegung: Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Electronic Commerce (IDW ERS FAIT 2)"

Transkript

1 Entwurf IDW Stellungnahme zur Rechnungslegung: Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Electronic Commerce (IDW ERS FAIT 2) (Stand: ) 1 Der Fachausschuss für Informationstechnologie (FAIT) des IDW hat den nachfolgenden Entwurf einer IDW Stellungnahme zur Rechnungslegung verabschiedet. Änderungs- und Ergänzungsvorschläge zu dem Entwurf werden schriftlich an die Geschäftsstelle des IDW, Postfach , Düsseldorf, bis zum erbeten. Der Entwurf steht bis zu seiner endgültigen Verabschiedung als IDW Stellungnahme zur Rechnungslegung im Internet (http://www.idw.de) unter der Rubrik Verlautbarungen als Download-Angebot zur Verfügung. 1. Vorbemerkungen Grundlagen des E-Commerce Ausprägungen des E-Commerce Arten von E-Commerce-Aktivitäten Differenzierung von E-Commerce nach den beteiligten Wirtschaftssubjekten Rechtliches, technisches und organisatorisches Umfeld Rechtliches Umfeld Technisches und organisatorisches Umfeld Verpflichtungen der gesetzlichen Vertreter im Zusammenhang mit E-Commerce Besondere IT-Risiken beim Einsatz von E-Commerce-Systemen Risiken aus der Kommunikation Risiken aus der Verarbeitung Sicherheit und Ordnungsmäßigkeit beim Einsatz von E-Commerce- Systemen Belegfunktion Journal- und Kontenfunktion Dokumentation Aufbewahrungspflichten Aufbewahrungspflichten beim Einsatz von EDI Einrichtung eines E-Commerce-Systems IT-Umfeld und IT-Organisation bei Einsatz von E-Commerce- Systemen Verabschiedet vom Fachausschuss für Informationstechnologie (FAIT) als Entwurf am

2 6.2. IT-Organisation bei Einsatz von E-Commerce-Systemen E-Commerce-Infrastruktur E-Commerce-Anwendungen E-Commerce Geschäftsprozesse Überwachung des IT-Kontrollsystems bei Einsatz von E- Commerce-Systemen Internet-Service-Provider/Outsourcing...21 Anhang 1: Besonderheiten hinsichtlich der Risiken und Anforderungen beim Einsatz von E-Commerce Sicherheit und Ordnungsmäßigkeit beim Einsatz von E-Commerce Sicherheitsanforderungen Integrität Verfügbarkeit Vertraulichkeit Authentizität Autorisierung Verbindlichkeit Ordnungsmäßigkeit Vollständigkeit Richtigkeit Zeitgerechtheit Ordnung Nachvollziehbarkeit Unveränderlichkeit...37 Anhang 2: Glossar Vorbemerkungen (1) E-Commerce beinhaltet die Anbahnung und Abwicklung von Geschäftsvorfällen (von der Kontaktaufnahme bis zum Zahlungsverkehr) zwischen Marktteilnehmern in elektronischer Form unter Verwendung verschiedener Informations- und Kommunikationstechnologien über öffentlich zugängliche Netzwerke. E-Commerce umfasst somit alle Aktivitäten, die das Ziel verfolgen, den Handel mit Informationen, Gütern und Dienstleistungen über alle Phasen der Geschäftsabwicklung hinweg elektronisch zu ermöglichen (vgl. IDW Prüfungsstandard: Die Durchführung von WebTrust-Prüfungen (IDW PS 890) 2, Tz. 5). Als E-Commerce-Systeme i.s.d. IDW Stellungnahme zur Rechnungslegung werden diejenigen Komponenten des IT-Systems ver- 2 WPg 2001, S. 458 ff. 2

3 standen, die ausschließlich oder überwiegend zur Durchführung des E- Commerce eingesetzt werden (vgl. in diesem Zusammenhang Entwurf IDW Stellungnahme zur Rechnungslegung: Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Informationstechnologie (IDW ERS FAIT 1) 3, Tz. 6). (2) Rechnungslegungsrelevante E-Commerce-Systeme lassen Informationen und Daten über betriebliche Aktivitäten entweder direkt (d.h. ohne manuelle Eingaben) in die IT-gestützte Rechnungslegung einfließen oder stellen diese Informationen und Daten in elektronischer Form als Grundlagen für Buchungen im Rechnungslegungssystem zur Verfügung. (3) Diese IDW Stellungnahme zur Rechnungslegung konkretisiert die aus den 238, 239 und 257 HGB resultierenden Anforderungen an die Führung der Handelsbücher mittels IT-gestützter Systeme. Sie verdeutlicht damit die im IDW ERS FAIT 1 dargestellten Ordnungsmäßigkeits- und Sicherheitsanforderungen im Bereich von E-Commerce und stellt ergänzende, über den IDW ERS FAIT 1 hinausgehende Anforderungen auf, um den mit dem Einsatz von E-Commerce-Systemen zusammenhängenden besonderen IT- Risiken zu begegnen. (4) Wirtschaftszweigspezifische (z.b. bei Kreditinstituten und Versicherungsunternehmen) und sonstige Besonderheiten, die im Einzelfall zusätzlich zu berücksichtigen sind, bleiben in dieser IDW Stellungnahme zur Rechnungslegung außer Betracht. (5) Zu Prüfungen von E-Commerce-Systemen im Rahmen von WebTrust vergleiche IDW PS 890. (6) Diese IDW Stellungnahme zur Rechnungslegung ersetzt die Stellungnahme FAMA 1/1995: Aufbewahrungspflichten beim Einsatz von EDI Grundlagen des E-Commerce 2.1. Ausprägungen des E-Commerce Arten von E-Commerce-Aktivitäten (7) E-Commerce-Aktivitäten lassen sich grundsätzlich in folgende Kategorien einteilen, die unterschiedliche Relevanz für die Rechnungslegung aufweisen: Information: Die einfachste Form des E-Commerce ist die rein informierende Darstellung des Unternehmens sowie seiner Produkte und Dienstleistungen im Internet. Das Leistungsspektrum reicht von Produktdemonstrationen und Preisübersichten bis hin zu individuellen Angebotsabrufen wie z.b. Flug- 3 4 WPg 2001, S. 512 ff. WPg 1995, S. 168 ff. 3

4 plänen. In der Regel entfalten diese Informationsangebote keine Rechnungslegungsrelevanz. Interaktion: Eine über die reine Information hinausgehende und sich häufig daran unmittelbar anschließende Form von E-Commerce-Aktivitäten ist die Kommunikation als Austausch von Daten und/oder Informationen über das Internet (z.b. in Form von s). Transaktion: Unter Transaktion i.s.d. IDW Stellungnahme zur Rechnungslegung wird die Abwicklung von Geschäftsvorfällen im Rahmen von E-Commerce- Geschäftsprozessen verstanden, die die Veränderung von Rechtspositionen zum Gegenstand haben, und damit das Eingehen von Rechten und Pflichten betreffen. Die wichtigsten Beispiele sind Bestellung bzw. Vertragsabschluss, Lieferung, Rechnungsstellung und Zahlung. Integration: Die Integration ist gekennzeichnet durch die unternehmensübergreifende Abwicklung von Transaktionen im Rahmen von E-Commerce- Geschäftsprozessen. Vormals isolierte Teilgeschäftsprozesse werden mittels IT zu einem E-Commerce-Geschäftsprozess zusammengeführt. Diese Integration betrifft insbesondere die Bereiche Ein- und Verkauf, Logistik und Produktion und ist durch eine weitgehend automatisierte und internetbasierte Abwicklung gekennzeichnet. Diese Abwicklungsform von E- Commerce-Geschäftsprozessen wird auch als E-Business bezeichnet und findet zunehmend über sog. elektronische Marktplätze, E-Customer- Relationship-Management und E-Procurement statt. (8) Einfluss auf die Rechnungslegung haben vornehmlich die E-Commerce- Aktivitäten Transaktionen und Integration, die Gegenstand der weiteren Betrachtung dieser IDW Stellungnahme zur Rechnungslegung sind. Im Zusammenhang mit der Kommunikation können bereits dokumentationspflichtige Vorgänge vorliegen, z.b. durch den Versand von Erläuterungen bzw. Konkretisierungen zu einem Geschäftsvorfall. 4

5 Differenzierung von E-Commerce nach den beteiligten Wirtschaftssubjekten (9) E-Commerce wird anhand der beteiligten Wirtschaftssubjekte wie folgt eingeteilt: Nachfrager Verbraucher (Consumer) Geschäftspartner (Business) Verwaltung (Administration) Anbieter Geschäfts - partner Verbraucher (Consumer) (Business) C2C C2B C2A B2C B2B B2A Verwaltung (Administration) A2C A2B A2A Im Vordergrund dieser IDW Stellungnahme zur Rechnungslegung stehen die Business-to-Business (B2B) und Business-to-Consumer (B2C)-Beziehungen. (10) Im Business-to-Business-Bereich (B2B) ist sowohl der Anbieter der Lieferung oder Leistung als auch der Nachfrager ein Unternehmen. Die Einsatzmöglichkeiten erstrecken sich hierbei auf alle Wertschöpfungsstufen sowie interne und externe Geschäftsprozesse, wie z.b. Beschaffung, Produktion, Absatz, Zahlungsverkehr, Rechnungswesen, Forschung und Entwicklung oder Personal. Typisch für B2B sind die individuell zwischen den Partnern bestehenden Geschäftsbeziehungen auf der Basis von individuellen Vereinbarungen. Dabei kann es sich sowohl um langfristig ausgehandelte Rahmenverträge als auch um eine einmalige Vertragsbeziehung handeln. (11) Im Business-to-Consumer-Bereich (B2C) ist der Anbieter der Lieferung oder Leistung ein Unternehmen, der Nachfrager ein Verbraucher Rechtliches, technisches und organisatorisches Umfeld Rechtliches Umfeld (12) Neben den rechnungslegungsspezifischen Vorschriften des HGB ( 238 f. HGB) und der Grundsätze ordnungsmäßiger Buchführung (GoB) bestehen beim Einsatz von E-Commerce zahlreiche weitere rechtliche Anforderungen. Diese betreffen beispielsweise den Schutz von personenbezogenen Daten 5

6 oder bei Rechtsgütern wie Urheberschutzrechten das anzuwendende Vertragsrecht. Darüber hinaus sorgt die Internationalität des Internets und damit verbunden die grenzüberschreitende Geschäftsabwicklung für weitere rechtliche Problemstellungen. Diese betreffen z.b. nationale und internationale Rechtsfragen des Handelsrechts, des Steuerrechts, des Strafrechts, des Zivilrechts oder des Datenschutzes. (13) Mit dem Gesetz zur Regelung der Rahmenbedingungen für Informationsund Kommunikationsdienste (IuKDG) hat der Gesetzgeber spezielle Rechtsnormen erlassen, wie z.b. das Gesetz zur digitalen Signatur (SigG), das Teledienstegesetz (TDG), das Teledienstedatenschutzgesetz (TDDSG) und das Fernabsatzgesetz (FernAbsG), um die Rechtssicherheit und die informationelle Selbstbestimmung beim E-Commerce zu gewährleisten. (14) Insbesondere bei WebTrust-Prüfungen (vgl. IDW PS 890) werden die zu den Bereichen Datenschutz und Datensicherheit vom Unternehmen im Internet getätigten Angaben zur Abwicklung des elektronischen Geschäftsverkehrs auf ihre Einhaltung hin überprüft. Werden dem Abschlussprüfer im Rahmen der Durchführung von Abschlussprüfungen schwerwiegende Verstöße der gesetzlichen Vertreter oder der Arbeitnehmer gegen gesetzliche Anforderungen, wie z.b. das BDSG oder das TDDSG, bekannt, so ist hierüber nach 321 Abs. 1 Satz 3 HGB im Prüfungsbericht Bericht zu erstatten Technisches und organisatorisches Umfeld (15) Das Internet ist ein weltweites öffentliches Netz von IT-Systemen, das unter Beachtung von technischen und administrativen Rahmenbedingungen prinzipiell jedem Unternehmen, jeder Institution und jeder Privatperson zur Verfügung steht und in dem standardisierte Dienste bereitgestellt werden. Es erlaubt die elektronische Kommunikation zwischen allen Teilnehmern auf Basis des Internet-Protokolls (IP). Hierzu erhält jeder an das Internet angeschlossene Computer oder jedes andere Endgerät (z.b. Mobiltelefon etc.) seine (dauerhafte oder temporäre) IP-Adresse (zur Erläuterung internetspezifischer Begriffe und Abkürzungen vgl. Anhang 2: Glossar). (16) In der Regel wählen sich private Internetnutzer direkt in das Netzwerk eines Internet-Service-Providers (ISP) ein, während Unternehmen oder Institutionen ihr internes Netzwerk mit dem Netzwerk des ISP (z.b. Router und Firewall) verbinden. Der Router ist die Schnittstelle zwischen dem internen Netzwerk und der Datenleitung zum ISP. Das Firewallsystem soll das interne Netzwerk schützen und sichern. (17) Die technische Abwicklung von E-Commerce ist im Wesentlichen gekennzeichnet durch die Nutzung ungeschützter, öffentlich zugänglicher Netzwerke, die Anonymität der Geschäftspartner, insbesondere im B2C-Bereich, 6

7 den Austausch von Handelsbriefen und Dokumenten, denen Belegfunktion zukommt, in elektronischer Form, Schnittstellen der im Unternehmen eingesetzten IT-Systeme zu öffentlich zugänglichen Netzwerken, wie z.b. zum Internet, automatisierte Geschäftsprozesse, die teilweise auch unternehmensübergreifend ohne personenbezogene Kontrollen oder Sicherungsmaßnahmen abgewickelt werden. 3. Verpflichtungen der gesetzlichen Vertreter im Zusammenhang mit E-Commerce (18) Die gesetzlichen Vertreter haben unabhängig von der eingesetzten Informationstechnologie, den implementierten Geschäftsprozessen oder der angewandten Geschäftsmodelle bei der Verarbeitung rechnungslegungsrelevanter Daten und Informationen die Einhaltung der gesetzlichen Anforderungen an die Ordnungsmäßigkeit der Rechnungslegung sicherzustellen. (19) Die Einhaltung der gesetzlichen Anforderungen beim Einsatz von E- Commerce-Systemen ist von den gesetzlichen Vertreter bei der Entwicklung und Umsetzung der IT-Strategie und des daraus abgeleiteten Sicherheitskonzeptes angemessen zu gewährleisten. Relevant für die Einhaltung der datenschutzrechtlichen Anforderungen sind insbesondere die aus den Sicherheitsanforderungen des IDW ERS FAIT 1 (die in der Anlage 1 im Bezug auf den Einsatz von E-Commerce-Systemen konkretisiert werden) abgeleiteten Maßnahmen. In diesem Zusammenhang ist darauf hinzuweisen, dass die gesetzlichen Anforderungen an den Schutz personenbezogener Daten auch Sicherungsmaßnahmen betreffen, die nicht mit der Rechnungslegung im Zusammenhang stehen, bspw. Sicherungsmaßnahmen des BDSG gegen das unbefugte Abfragen von Daten aller Art (vgl. Stellungnahme FAMA 1/1979: Bundesdatenschutzgesetz und Jahresabschlussprüfung 5 ). 4. Besondere IT-Risiken beim Einsatz von E-Commerce-Systemen Durch den Einsatz von internetbasierten Kommunikationstechnologien, die Erweiterung des Kreises der möglichen Geschäftspartner sowie die Beeinflussung durch Dritte z.b. ISP oder anderer in der Geschäftsabwicklung ergeben sich E-Commerce spezifische Probleme und Risiken. Bei deren Analyse und Wertung kann unterschieden werden zwischen den Risiken, die sich aus der Kommunikation, und den Risiken, die sich aus der Verarbeitung ergeben. 5 WPg 1979, S. 440 ff. 7

8 Internet Internet Service Provider 1 Kommunikation Internet Service Provider 2 E-Commerce- Anwendung Verarbeitung E-Commerce- Anwendung ERP System ERP System Nachfrager Anbieter 4.1. Risiken aus der Kommunikation (20) Die Kommunikation über öffentlich zugängliche Netzwerke beginnt ab dem Punkt, an dem der Absender bewusst die Einwirkungsmöglichkeit über die zu übermittelnden Daten (bspw. Transaktionsdaten) verliert, bis zu dem Punkt, an dem diese Daten dem Empfänger zugehen. (21) Ein Zugang ist dann erfolgt, wenn die übermittelten Daten in einer maschinell und/oder visuell lesbaren Form in den Verantwortungsbereich des Empfängers gelangt sind. Auf dem Weg vom Absender bis zum Empfänger bleibt das Risiko der unvollständigen, unrichtigen oder verspäteten Zustellung bzw. die Nachweispflicht über die erfolgte Zustellung auch bei elektronischer Versendung beim Absender. Entsprechend den herkömmlichen unterschiedlichen Versendungsformen bleibt es ihm überlassen, dieses Risiko u.a. durch elektronische Empfangsbestätigungen zu reduzieren. (22) Darüber hinaus ergeben sich bei der Kommunikation Risiken insbesondere aus der fehlenden Kontrolle über den Datentransfer im Internet, die wie folgt differenziert werden können: Daten werden häufig ohne oder mit unzureichendem Schutz vor Verfälschung übertragen, was zu Integritätsverletzungen führen kann (Verlust der Integrität). Daten werden häufig unverschlüsselt oder unter Verwendung einer unsicheren Verschlüsselung übertragen, was eine Gefährdung der Vertraulichkeit bedeutet (Verlust der Vertraulichkeit). Der Anschluss eines IT-Systems an das Internet birgt die Gefahr, Ziel von Angriffen zu werden, bspw. durch Viren, Trojanische Pferde oder Hacker, 8

9 die zu einer Gefährdung der Verfügbarkeit des IT-Systems führen (Verlust der Verfügbarkeit). Es existieren keine wirksamen Authentisierungsmechanismen zwischen den im Internet angeschlossenen Rechnern, bzw. es ist leicht möglich, falsche Adressen (IP-Spoofing) oder Rechnernamen (DNS-Spoofing) zu verwenden (Verlust der Authentizität). Beim Datentransfer können Hilfsprogramme (Java, Active-X) zu unautorisierten Zugriffen auf IT-Systeme führen (Verlust der Autorisierung). Eine unzureichende Protokollierung der Transaktionsdaten kann dazu führen, dass der Nachweis über die Geschäftstätigkeit nicht hinreichend erbracht werden kann. Darüber hinaus bergen fehlende national sowie international gültige Regelungen bezüglich der internetbasierten Geschäftsabwicklung die Gefahr, dass gewollte Rechtsfolgen nicht bindend herbeigeführt werden können (Verlust der Verbindlichkeit) Risiken aus der Verarbeitung (23) Die Verarbeitung der Transaktionsdaten in der E-Commerce-Anwendung reicht von dem Punkt des Zugangs bis zu dem Punkt, an dem die Daten vom Front-End (Zugangs-/Erfassungssysteme) an die Rechnungslegungssysteme (z.b. ERP-Systeme) übergeben werden. Die Risiken ergeben sich aus der Transaktionsdatenverarbeitung in der E-Commerce-Anwendung sowie insbesondere aus der Konvertierung, Entschlüsselung und Formatierung von Daten in der Schnittstelle zu anderen Teilen des IT-Systemen. (24) Zu den Risiken bei der Verarbeitung führen insbesondere folgende Sachverhalte: Integritätsverletzungen bei Daten führen dazu, dass aufzeichnungspflichtige Geschäftsvorfälle nicht oder unvollständig erfasst werden (Verletzung des Vollständigkeitsgrundsatzes). Mangelnde Authentizität und Autorisierung bewirkt, dass Geschäftsvorfälle inhaltlich unzutreffend abgebildet werden (Verletzung des Grundsatzes der Richtigkeit). Die fehlende Verfügbarkeit des E-Commerce-Systems und eine unzureichende Protokollierung des Datenverkehrs verhindern eine zeitgerechte Aufzeichnung des Geschäftsvorfalls (Verletzung des Grundsatzes der Zeitgerechtigkeit). Eine unzureichende Aufzeichnung der eingehenden Daten kann zu einer Beeinträchtigung der Nachvollziehbarkeit der Buchführung (Verletzung des Grundsatzes der Nachvollziehbarkeit) und zu einem Verstoß gegen die Aufbewahrungspflichten ( 257 HGB) führen. (25) Aufgrund dieser besonderen Risiken beim Einsatz von E-Commerce- Systemen ist die Einhaltung der Sicherheitsanforderung als Voraussetzung 9

10 der Ordnungsmäßigkeit der IT-gestützten Rechnungslegung von besonderer Bedeutung (vgl. IDW ERS FAIT 1, Tz. 19). Die Sicherheitsanforderungen beziehen sich sowohl auf den Übertragungsweg und damit auf die im öffentlichen Netz übertragenen Informationen und durchgeführten Transaktionen, als auch auf die Verarbeitung der Informationen und Transaktionen in den IT- Systeme der Marktpartner. 5. Sicherheit und Ordnungsmäßigkeit beim Einsatz von E-Commerce- Systemen (26) Die Kriterien zur Beurteilung der Ordnungsmäßigkeit und Sicherheit beim Einsatz von IT sind im IDW ERS FAIT 1 dargestellt. Die konkrete Ausgestaltung des IT-Kontrollsystems zur Gewährleistung dieser Sicherheits- und Ordnungsmäßigkeitsanforderungen ist im Einzelfall festzulegen in Abhängigkeit von der Risikosituation und dem daraus abgeleiteten Sicherheitskonzept, das den erforderlichen Grad an Informationssicherheit definiert. (27) Technologiebedingt kann eine IT-Kontrolle sowohl dazu geeignet sein, Sicherheits- als auch Ordnungsmäßigkeitsanforderungen zu gewährleisten. Eine IT-Kontrolle, die bspw. umgesetzt wurde, um die Sicherheitsanforderung Integrität im Bezug auf die Kommunikation zu gewährleisten, kann auch dazu führen, die Ordnungsmäßigkeitsanforderung Vollständigkeit bei der Verarbeitung sicherzustellen. Daher sind die einzelnen IT-Kontrollen nicht nur isoliert zu betrachten, sondern ganzheitlich im Hinblick auf ihr Zusammenwirken im internen Kontrollsystem. Die Besonderheiten zu den Risiken und Anforderungen beim Einsatz von E-Commerce sind im Anhang 1 tabellarisch dargestellt Belegfunktion (28) Die in 238 Abs. 1 Satz 3 HGB geforderte Nachvollziehbarkeit der Geschäftsvorfälle in ihrer Entstehung und Abwicklung setzt voraus, dass die Berechtigung jeder Buchung durch einen Beleg nachgewiesen wird (Grundsatz der Belegbarkeit). Die Belegfunktion ist somit die Grundvoraussetzung für die Beweiskraft der Buchführung. (29) Die für die papiergebundenen Belege geltenden Anforderungen sind analog auch bei Einsatz von E-Commerce zu erfüllen. Aus dem GoB-Bezug in 239 Abs. 4 HGB kann allerdings nicht abgeleitet werden, dass an E-Commerce- Belege höhere Anforderungen als an Papierbelege zu stellen sind. (30) Nicht alle Daten über E-Commerce-Aktivitäten, die beim Empfänger eingehen, führen zu einer Buchung und sind damit als dokumentations- und aufbewahrungspflichtiger Vorgang anzusehen (vgl. aber Tz. 10). Vielmehr sind folgende Voraussetzungen zu erfüllen: Der Vorgang muss durch den Empfänger autorisiert sein. 10

11 Es muss ein buchungspflichtiger Vorgang vorliegen. Der Vorgang muss den Bilanzierenden erreichen. (31) Die Autorisierung soll sicherstellen, dass keine unberechtigten bzw. keine fiktiven Geschäftsvorfälle in das System eingehen. Es muss festgelegt sein, wann, wie und durch wen die Autorisierung erfolgt. (32) Eine elektronische Unterschrift des Absenders bzw. eine Verschlüsselung der Nachrichten ist generell nicht zwingend erforderlich: Eine Buchung aufgrund einer E-Commerce-Transaktion wird nicht durch die Unterschrift oder die digitale Signatur des Absenders bzw. durch die Verschlüsselungstechnik begründet, sondern durch den vom Empfänger als buchungspflichtig erkannten Inhalt der übermittelten Daten. Allerdings ist eine digitale Signatur des Absenders bzw. eine Verschlüsselung der Daten insbesondere in Bereichen mit erhöhten Sicherheitsanforderungen zu empfehlen. Ebenso können digitale Signaturen und Datenverschlüsselungen unverzichtbar sein, wenn anderenfalls eine Akzeptanz der übermittelten Daten nicht begründet werden kann. (33) Sofern E-Commerce-Geschäftprozesse automatisierte Buchungen auf Grundlage der übermittelten Transaktionsdaten auslösen und ein Nachweis durch konventionelle Belege nicht erbracht werden kann, ist die Belegfunktion über den verfahrensmäßigen Nachweis des Zusammenhangs zwischen der jeweiligen E-Commerce-Transaktion und ihrer Buchung zu erfüllen. Nach IDW ERS FAIT 1, Tz. 34 sind nachfolgende Anforderungen zu erfüllen: Dokumentation der programminternen Vorschriften zur Generierung der Buchungen Nachweis, dass die in der Dokumentation enthaltenen Vorschriften einem autorisierten Änderungsverfahren unterlegen haben (u.a. Zugriffsschutz, Versionsführung, Test- und Freigabeverfahren) Nachweis der tatsächlichen Durchführung der einzelnen Buchung Journal- und Kontenfunktion (34) Das Buchführungsverfahren muss gewährleisten, dass die buchungspflichtigen Geschäftsvorfälle sowohl in zeitlicher Ordnung (Journalfunktion) als auch in sachlicher Ordnung (Kontenfunktion) dargestellt werden können. Die Daten müssen innerhalb angemessener Zeit festgestellt und optisch lesbar gemacht werden können ( 239 Abs. 4 HGB). (35) Im Rahmen des E-Commerce gilt diese Forderung in gleicher Weise für die Konvertierung und die Verarbeitung der rechnungslegungsbezogenen Daten in den E-Commerce-Anwendungen. So ist sicherzustellen, dass die versandten bzw. empfangenen Daten chronologisch aufgezeichnet werden sowie die sachliche Ordnung bei Transaktionen mit mehreren Transaktionsschritten gewahrt bleibt. 11

12 (36) Die Erfüllung der Journalfunktion kann durch eine auswertbare Speicherung (Einzelnachweis) der Buchung im E-Commerce-System bei Sammelbuchungen in das Rechnungslegungssystem übertragen werden. Voraussetzung dafür ist, dass im Rahmen des E-Commerce-Systems die Ordnungsmäßigkeitsanforderungen an die Buchführung eingehalten werden. Sofern keine Autorisierung im E-Commerce-System erfolgt, sind die erfassten Daten als Erfassungsprotokolle und nicht als Journale einzustufen (vgl. IDW ERS FAIT 1, Tz. 42) Dokumentation (37) Für die Verfahrensdokumentation von E-Commerce-Systemen gelten die allgemeinen Anforderungen an die Dokumentation von IT-Systemen entsprechend (vgl. IDW ERS FAIT 1, Tz. 13). Aufbau, Inhalt und Umfang der Verfahrensdokumentation müssen es einem sachverständigen Dritten ermöglichen, das Rechnungslegungsverfahren in angemessener Zeit nachvollziehen zu können. (38) Den Schwerpunkt der Verfahrensdokumentation beim Einsatz von E-Commerce bildet die Beschreibung der technischen Einrichtungen und Verfahren zur Verarbeitung und Übertragung der Daten (z.b. Ver- und Entschlüsselung). Dies sind z.b.: Beschreibung der eingesetzten Hard- und Software (z.b. Router, Firewall und Virenscanner) Darstellung der Netzwerkarchitektur, insbesondere die Anbindung an einen ISP Beschreibung der zur Übertragung verwendeten Protokolle (z.b. TCP/IP) Beschreibung der verwendeten Verschlüsselungsverfahren Beschreibung der eingesetzten Signaturverfahren Datenflusspläne vom Eingang der Daten im Unternehmen bis zu den weiterverarbeitenden Rechnungslegungssystemen Beschreibung der Schnittstellen sowie der darauf bezogenen Kontrollen bei mit dem Rechnungslegungssystem nicht integrierten E-Commerce- Systemen Dokumentation der Autorisierungsverfahren einschließlich der Verfahren zur Generierung automatisierter Buchungen Beschreibung der Rechte und Pflichten von beauftragten Providern. (39) Neben den technischen Gegebenheiten sind in der Verfahrensdokumentation auch die organisatorischen Maßnahmen und insbesondere die Kontrollen zur Gewährleistung der Sicherheit und Ordnungsmäßigkeit beim Einsatz von E- Commerce zu beschreiben. Hierzu rechnen beispielsweise Beschreibungen zur 12

13 Selektion und Protokollierung der rechnungslegungsrelevanten Geschäftsvorfälle aus den empfangenen Daten, Abstimmung der vollständigen, richtigen und zeitgerechten Verarbeitung der empfangenen Daten, manuellen Nachkorrektur unvollständiger oder nicht formatgerechter Daten Aufbewahrungspflichten (40) Nicht alle im Zusammenhang mit E-Commerce-Aktivitäten stehenden Daten sind aufbewahrungspflichtig. Gemäß 257 HGB umfasst die Aufbewahrungspflicht die empfangenen und abgesandten Handelsbriefe, Buchungsbelege sowie zum Verständnis der Buchführung erforderlichen Arbeitsanweisungen und sonstige Organisationsunterlagen. (41) Die empfangenen Daten gelten als empfangener Handelsbrief, sofern diese ein Handelsgeschäft betreffen. Sie sind analog 257 Abs. 1 Nr. 2 i.v.m. Abs. 4 HGB für eine Dauer von sechs Jahren aufzubewahren. Um die Beweiskraft der empfangenen Daten sicherzustellen, müssen technische und organisatorische Vorkehrungen gewährleisten, dass ein Verlust oder eine Veränderung des Originalzustands der übermittelten Daten (Originaldaten) über den Zeitraum der gesetzlichen Aufbewahrungsfrist verhindert wird. Werden Konvertierungs- bzw. Signatur- oder Verschlüsselungsverfahren eingesetzt, so ist durch den Buchführungspflichtigen sicherzustellen, dass durch das eingesetzte Konvertierungs- bzw. Entschlüsselungsverfahren die Integrität der in eine lesbare Form überführten Daten (Inhouse-Format), die Authentizität des verwendeten Schlüssels sowie die Unveränderlichkeit der im Inhouse-Format gespeicherten Daten während der gesetzlichen Aufbewahrungsfrist gewährleistet werden. Soweit ein nachweislich zuverlässiges Konvertierungs- bzw. Entschlüsselungsverfahren eingesetzt wird, genügt die Archivierung im Inhouse-Format. Eine redundante Datenhaltung ist in diesem Fall nicht erforderlich. (42) Werden die Originaldaten in verschlüsselter Form gespeichert, sind Schlüssel und Algorithmen zur Entschlüsselung während der gesamten Aufbewahrungsfrist vorzuhalten. Ebenso muss es im Rahmen der Archivierung der zur Entschlüsselung verwendeten Verfahren möglich sein, die Daten in angemessener Zeit lesbar zu machen. Soweit die in verschlüsselter Form gespeicherten eingehenden Handelsbriefe Belegfunktion besitzen, ist zusätzlich eine Archivierung im Inhouse-Format notwendig, also in dem Format und in der Form, in denen der Handelsbrief bei Autorisierung des Geschäftsvorfalls vorgelegen hat. (43) Die Aufbewahrungsfrist für die Daten mit Belegfunktion beträgt gemäß 257 Abs. 1 Nr. 4 i.v.m. Abs. 4 HGB zehn Jahre. 13

14 (44) Vor dem Hintergrund der mit Wirkung ab dem 1. Januar 2002 in Kraft getretenen Änderung der Abgabenordung und dem in diesem Zusammenhang erlassenen BMF-Schreiben "Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen" (GDPdU) wird auf die besonderen Aufbewahrungsanforderungen für Abrechnungen i.s.d. 14 Abs. 4 Satz 2 UStG und für sonstige aufbewahrungspflichtige Unterlagen i.s.d. 147 Abs. 1 AO hingewiesen. Diese Anforderungen betreffen Unterlagen, die in digitalisierter Form übermittelt werden und für die Besteuerung von Bedeutung sind. Nach Auffassung der Finanzverwaltung sind derzeit abweichend von den handelsrechtlichen Anforderungen empfangene Daten in ihrer ursprünglichen Form (Originaldaten) und bei Konvertierung in ein unternehmenseigenes Format (Inhouse-Format) auch in der umgewandelten Form zu archivieren. Diese Anforderung besteht unabhängig davon, ob ein zuverlässiges Konvertierungsverfahren eingesetzt wird. Werden Signatur- bzw. Verschlüsselungsverfahren eingesetzt, so sind die verwendeten Schlüssel und Algorithmen ebenfalls während der gesetzlichen Aufbewahrungsfrist vorzuhalten und sowohl die in verschlüsselter Form erhaltenen Daten als auch die entschlüsselte Form aufzubewahren. Dies gilt unabhängig davon, ob ein zuverlässiges Entschlüsselungsverfahren eingesetzt wird. Aufgrund der steuerrechtlichen Anforderungen kann es deshalb derzeit geboten sein, die Daten redundant, d.h. in der ursprünglichen und in der lesbaren (sog. Inhouse-Format) Form zu archivieren. Auf die darüber hinaus bestehenden zusätzlichen Aufbewahrungspflichten im Zusammenhang mit Abrechnungen i.s.d. 14 Abs. 4 Satz 2 UStG wird hingewiesen. (45) Sofern versandte Daten abgesandten Handelsbriefen gleichzusetzen sind, ergeben sich keine Besonderheiten gegenüber herkömmlichen Verfahren, da 257 Abs. 1 Nr. 3 i.v.m. Abs. 3 Nr. 1 HGB lediglich eine inhaltliche Wiedergabe fordert. Die Verfahrensdokumentation beim Einsatz von E-Commerce ist gemäß 257 Abs. 1 Nr. 1 i.v.m. Abs. 4 HGB zehn Jahre aufzubewahren Aufbewahrungspflichten beim Einsatz von EDI (46) Ebenso wie beim E-Commerce stellt sich generell bei der elektronischen Datenübermittlung die Frage, wie die ausgetauschten elektronischen Nachrichten zu behandeln sind, um den Aufbewahrungspflichten gerecht zu werden. Grundsätzlich sind eingehende EDI-Nachrichten insoweit aufbewahrungspflichtig, als Daten, die über dieses standardisierte Verfahren übermittelt werden, Handelsbrief- oder Belegfunktion entfalten. (47) Zur Archivierung von EDI-Daten, die durch den Empfänger akzeptiert (autorisiert) wurden, bestehen keine besonderen Anforderungen an ein bestimmtes Aufbewahrungsformat. (48) Soweit eine EDI-Nachricht Belegfunktion hat, hat die Archivierung im Inhouse-Format zu erfolgen (vgl. Tz. 46). Das zur Archivierung von EDI-Daten verwendete Verfahren muss sicherstellen, dass die Daten in angemessener 14

15 Zeit lesbar gemacht werden können. Dies kann bei der getrennten Speicherung von Schlüsseldateien und EDI-Nachricht über einen längeren Zeitraum schwierig sein, da hierfür eine exakte Historienführung der Stammdatenänderung Voraussetzung ist. 6. Einrichtung eines E-Commerce-Systems (49) Um die Unternehmensziele zu erreichen und erkannte Risiken zu bewältigen, stimmen die gesetzlichen Vertreter ihre IT-Strategie mit der Unternehmensstrategie ab. Hierfür ist ein angemessenes IT-Kontrollsystem einzurichten. (50) Gegenstand der IT-Strategie ist auch der Einsatz von E-Commerce- Systemen. Daher sind die E-Commerce-Aktivitäten in den Rahmen der IT- Strategie zu integrieren und auch in das Sicherheitskonzept einzubeziehen. Die Überwachung der Umsetzung der IT-Strategie und die Implementierung eines angemessenen und wirksamen IT-Kontrollsystems ist Aufgabe der gesetzlichen Vertreter. (51) Das Sicherheitskonzept umfasst eine Gefährdungs- bzw. Risikoanalyse sowie daraus abgeleitet die Festlegung des angemessenen Sicherheitsniveaus und die sich daraus ergebenden zusätzlichen Sicherungsmaßnahmen. Es muss daher in Übereinstimmung mit der IT-Strategie und der IT-Organisation stehen und eine Bewertung der spezifischen Sicherheitsrisiken der E- Commerce-Aktivitäten des Unternehmens enthalten. Ein solches Sicherheitskonzept wird durch Ausführungsanweisungen etwa im Bereich des IT- Betriebs, des Netzbetriebs und der Administration sowie bei der Gestaltung von Zugriffsschutzverfahren konkretisiert. (52) Wenn Unternehmen ganz oder teilweise Elemente des E-Commerce- Systems auslagern, müssen die gesetzlichen Vertreter beurteilen, wie sich dies auf das IT-Kontrollsystem auswirkt. Die Verantwortlichkeit der gesetzlichen Vertreter des Unternehmens erstreckt sich in diesem Fall auf die ausgelagerten Teile des IT-Systems. Insbesondere für Unternehmen, deren Geschäftstätigkeit ausschließlich oder überwiegend E-Commerce umfasst, können die damit verbundenen IT- Risiken bestandsgefährdend sein. Sie müssen deshalb im Risikofrüherkennungssystem festgestellt, analysiert und bewertet werden. Die risikobezogenen Informationen sind in systematisch geordneter Weise an die verantwortlichen Personen weiterzuleiten (vgl. IDW Prüfungsstandard: Die Prüfung des Risikofrüherkennungssystems nach 317 Abs. 4 HGB (IDW PS 340) 6, Tz. 4) IT-Umfeld und IT-Organisation bei Einsatz von E-Commerce-Systemen (53) Voraussetzung für ein geeignetes IT-Umfeld beim E-Commerce ist eine angemessene Grundeinstellung zum Einsatz von E-Commerce und ein Prob- 6 WPg 1999, S. 658 ff. 15

16 lembewusstsein für mögliche Risiken aus dem Einsatz von E-Commerce- Systemen bei den gesetzlichen Vertretern und den Mitarbeitern. Dies betrifft insbesondere ein ausgeprägtes Bewusstseins für die Sicherheitsrisiken bei der Nutzung des Internets in der Unternehmensorganisation. Dieses ist zugleich eine wesentliche Bedingung für die angemessene Umsetzung des Sicherheitskonzepts. Soweit kein hinreichendes Sicherheitsbewusstsein vorhanden ist, besteht das Risiko, dass die zur Vermeidung von E-Commerce- Risiken umgesetzten Maßnahmen ganz oder teilweise unwirksam bleiben IT-Organisation bei Einsatz von E-Commerce-Systemen (54) Die IT-Organisation umfasst auch die Verantwortlichkeiten und Kompetenzen im Zusammenhang mit dem Einsatz von E-Commerce-Systemen im Unternehmen. Sie beinhaltet insbesondere organisatorische und dem Betrieb angemessene Sicherungs- und Schutzverfahren (z.b. Einsatz von Firewalls zum Schutz vor unautorisierten Systemzugriffen, Einsatz von Intrusion Detection Systemen zur Aufdeckung von unerlaubten Angriffen, Einsatz von kryptographischen Verfahren zur Vermeidung von Datenmanipulationen u.a.). (55) Die Anforderungen an die Gestaltung der IT-Organisation betreffen die Aufbau- und Ablauforganisation des E-Commerce-Systems. Im Rahmen der Aufbauorganisation werden die Verantwortlichkeiten und Kompetenzen im Zusammenhang mit dem Einsatz von E-Commerce-Systemen geregelt. Die Ablauforganisation betrifft sowohl die Organisation der Entwicklung, Einführung und Änderung als auch die Steuerung des Einsatzes von E-Commerce- Anwendungen. Auch im Rahmen des E-Commerce-Betriebs müssen Aufgaben, Kompetenzen und Verantwortlichkeiten der Mitarbeiter klar definiert sein. Übliche Instrumente hierfür sind Prozess- und Funktionsbeschreibungen oder Organisationshandbücher E-Commerce-Infrastruktur (56) Die E-Commerce-Infrastruktur umfasst die technischen Ressourcen und die Regelungen des IT-Betriebs im Bezug auf den Einsatz des E-Commerce- Systems. Dies schließt die notwendige Systemsoftware sowie sonstige Hilfsprogramme ein, die zur Verbindung des IT-Systems mit öffentlichen Netzen, dritten Anwendern und Unternehmen dienen und den ordnungsmäßigen und sicheren Einsatz von E-Commerce- Anwendungen durch geeignete Schutz- und Steuerungsmaßnahmen unterstützt. Die E-Commerce-Infrastruktur umfasst damit typischerweise Komponenten wie z.b. Web-Server, Firewallsysteme als Schutzvorrichtung, Router zur Steuerung des Datenflusses sowie die für die E-Commerce-Dienste erforder- 16

17 liche Software (z.b. Web-Applikationen und Directory Services; http- und Mail-Services sowie Betriebssysteme). Weitere Hilfsprogramme, die z.b. dem Virenschutz oder der Überwachung von Angriffen von außen dienen (Intrusion-Detection-Programme), sind ebenfalls der E-Commerce- Infrastruktur zuzuordnen. (57) Die IT-Ressourcen und die Verfahren für einen sicheren und geordneten IT- Betrieb sollen insbesondere die Integrität und Verfügbarkeit des E-Commerce-Systems auf der Grundlage des Sicherheitskonzepts gewährleisten. (58) Die aus dem Sicherheitskonzept abgeleiteten Sicherungsmaßnahmen umfassen physische Sicherungsmaßnahmen und logische Zugriffskontrollen sowie Datensicherungs- und Auslagerungsverfahren. (59) IT-Grundlage für die Bereitstellung der E-Commerce-Anwendungen und damit für die Realisierung der E-Commerce-Aktivitäten im Internet sind Internet- Server, die entweder von den Unternehmen selbst betrieben oder von Internet-Service-Providern zur Verfügung gestellt werden. Dem entsprechend sind Internet-Server wie die gesamte E-Commerce-Infrastruktur durch physische Sicherungsmaßnahmen zu schützen (vgl. IDW ERS FAIT 1, Tz. 80). (60) Zur Absicherung des E-Commerce-Systems kommen Firewallsysteme zum Einsatz. Sie dienen der Trennung des E-Commerce-Systems und des öffentlich zugänglichen Internets und schützen gegen Angriffe aus dem Internet. Firewallsysteme bestehen aus einer Kombination von Hard- und Software, die als alleiniger Übergang zwischen dem E-Commerce-System des Unternehmens und dem davon zu trennenden Internet (TCP/IP-Netz) dient. Durch den Einsatz von speziellen Firewall-Komponenten (Application- Gateway/Packet-Filter) wird der Datentransfer auf unerwünschte Inhalte hin untersucht bzw. werden unerwünschte Zugriffe unterbunden. Die wesentlichen Hardware-Komponenten der E-Commerce-Infrastruktur sollten redundant ausgelegt sein. (61) Ein weiteres wesentliches Element der E-Commerce-Infrastruktur sind kryptographische Verfahren, die als Hardwarekomponenten oder Softwareprogramme die Integrität, Authentizität und Vertraulichkeit und damit die Ordnungsmäßigkeit und Sicherheit von Daten und Informationen sicherstellen. (62) Bei den Datensicherungs- und Auslagerungsverfahren ergeben sich beim Einsatz von E-Commerce-Systemen Besonderheiten (vgl. IDW ERS FAIT 1, Tz. 82 ff.), soweit diese im Outsourcing betrieben werden. Das Unternehmen muss daher sicherstellen, dass die eingesetzten Datensicherungs- und Auslagerungsverfahren für den dezentralen Betrieb angemessen sind und von den verantwortlichen Stellen (eigene dezentrale Einheiten oder Outsourcingpartner) entsprechend durchgeführt werden. Dies erfordert einerseits zusätzliche interne Überwachungsmaßnahmen, andererseits explizite vertragliche Vereinbarungen und Service Level Agreements mit den Outsourcing- Partnern. 17

18 6.4. E-Commerce-Anwendungen (63) E-Commerce-Anwendungen bilden typischerweise diejenigen Funktionalitäten ab, die für eine Abbildung, Kommunikation und Verarbeitung von E-Commerce-Geschäftsprozessen notwendig sind. Beim Empfänger sind dies die Funktionalitäten, die zur Realisierung der E- Commerce-Aktivitäten über das Internet sowie zur Übernahme und Verarbeitung der über das E-Commerce-System übermittelten Daten notwendig sind, bis diese in dem unternehmenseigenen Format (sog. Inhouse- Format) verarbeitungsfähig vorliegen. Beim Sender sind dies die Funktionalitäten, die die für den Versand über das Internet bestimmten Daten aufbereiten und über die E-Commerce- Infrastruktur übermitteln. Dementsprechend bilden E-Commerce-Anwendungen typischerweise Funktionalitäten der Präsentation, des Datentransfers sowie deren Aufbereitung im Rahmen von Shop-Systemen und elektronischen Marktplätzen ab, oder sind auf die Abwicklung der Bestell- oder Auftragsabwicklungsvorgänge oder des Zahlungsverkehrs ausgerichtet. Soweit rechnungslegungsrelevante Funktionalitäten durch E-Commerce- Anwendungen abgebildet werden, sind die Ordnungsmäßigkeitsanforderungen an die Buchführung einzuhalten; insbesondere muss die Beleg-, Journalund Kontofunktion gewährleistet sein (vgl. IDW ERS FAIT 1). (64) Bei dem Einsatz von E-Commerce-Anwendungen muss gewährleistet sein, dass die in der IT-Strategie in Bezug auf die Funktionalität dieser Anwendungen formulierten Anforderungen eingehalten werden. Neben der Einführung von anwendungsbezogenen IT-Kontrollen müssen generelle Kontrollen dafür sorgen, dass die E-Commerce-Anwendungen den Ordnungsmäßigkeitsanforderungen entsprechen. Dies gilt damit auch für die verarbeiteten Daten, die direkt in das Rechnungslegungssystem eingehen. Diese Forderung betrifft sowohl die Verarbeitungsfunktionalitäten als auch die sicherheitsrelevanten Funktionalitäten wie den Zugriffsschutz, die Sicherungs- und Wiederanlaufverfahren sowie die Programmentwicklung, -wartung und -freigabe (vgl. IDW ERS FAIT 1, Tz. 90 ff.) E-Commerce Geschäftsprozesse (65) Die Implementierung von E-Commerce-Geschäftsprozessen führt prinzipiell zu einer ganzheitlichen Betrachtung und Analyse aller mit dem E-Commerce- Geschäftsprozess im Zusammenhang stehenden Wertschöpfungsprozesse, wobei operative Logistik- und Produktionsprozesse nur eine Teilmenge bilden. Insbesondere bei unternehmensübergreifenden E-Commerce- Geschäftsprozessen (Integration) kann es notwendig sein, Geschäftprozesse, die externe Geschäftsbeziehungen betreffen, zu restrukturieren und neu 18

19 auszurichten. Dabei ist es für eine sachgerechte Umsetzung der Unternehmensstrategie, von entscheidender Bedeutung, dass die Einrichtung des E-Commerce-Systems sowie der betroffenen E-Commerce- Geschäftsprozesse in Übereinstimmung mit der IT-Strategie und dem Sicherheitskonzept erfolgt. (66) Insbesondere E-Commerce-Aktivitäten in Form der Transaktion und Integration führen dazu, dass Informationen und Daten über betriebliche Aktivitäten direkt in das Rechnungslegungssystem, und damit in die IT-gestützte Rechnungslegung, einfließen. Komplexe E-Commerce-Geschäftsprozesse können mit ihren Teilprozessen mehrere funktionale Bereiche im Unternehmen mit nicht integrierten Bestandteilen von IT-Anwendungen bzw. der IT-Infrastruktur betreffen. Bei unternehmensübergreifenden Wertschöpfungsketten sind komplexe rechnungslegungsrelevante E-Commerce-Geschäftsprozesse durch eine direkte Übernahme der Transaktionsdaten vom Geschäftspartner in das E-Commerce-System gekennzeichnet, was zu einer Vermeidung von Mehrfacherfassungen und Medienbrüchen führt. Damit verbunden ist die vermehrte Anbindung von IT-Anwendungen an das E-Commerce-System, die somit den Geschäftspartnern (so genannte available-to-promise- Applikationen ) zur Bestätigung von Aufträgen oder Lieferzeitpunkten zur Verfügung gestellt werden. Hier birgt eine auf Teilsysteme ausgerichtete Analyse der Sicherheits- und Ordnungsmäßigkeitsrisiken sowie eine auf den Funktionsbereich isoliert ausgerichtete Implementierung des IT- Kontrollsystems die Gefahr, dass Risiken aus dem geschäftsprozessbedingten Datenaustausch zwischen den Teilsystemen unberücksichtigt bleiben. Damit im Zusammenhang steht auch die Gefahr einer mangelnden Berücksichtigung der systemtechnischen Zusammenhänge. Sie beinhaltet die Gefahr, dass bspw. Zugriffsrechte oder Datensicherungsmaßnahmen lediglich bezüglich der einzelnen IT-Teilsysteme wirksam sind und damit für den Teilprozess, jedoch nicht für den Gesamtprozess. (67) Beim Einsatz internetbasierter Kommunikationsprotokolle, wie z.b. TCP/IP, Datentransferformate wie bspw. XML (Extended Markup Language), XBRL (Extensible Business Reporting Language) oder im Falle von EDI bei der Nutzung strukturierter und normierter Datentransferformate besteht aufgrund unzureichender implementierter Schnittstellen oder nicht sachgerecht konfigurierter Konvertierungsprogramme die Gefahr, dass Daten unvollständig oder unrichtig in das weiterzuverarbeitenden Inhouse-Format überführt werden. Wesentliche Voraussetzung für eine vollständige und richtige Weiterverarbeitung im Rechnungslegungssystem ist die sachgerechte Implementierung von Schnittstellen- und Konvertierungsprogrammen, deren korrekte Funktionsweise durch prozessintegrierte Kontrollen und Sicherungsmaßnahmen zu gewährleisten ist. In diesem Zusammenhang kommt der Protokollierung des Datentransfers auf Schnittstellenebene besondere Bedeutung zu. Neben einer automatischen Protokollierung ist die Einrichtung von Eskalationsverfahren sicherzustellen, die unvollständige bzw. fehlerbehaftete 19

20 Transaktionsdatensätze ggf. automatisch an die verantwortliche Stelle zur Sachverhaltsklärung weiterleiten Überwachung des IT-Kontrollsystems bei Einsatz von E-Commerce- Systemen (68) Unter der Überwachung des IT-Kontrollsystems beim Einsatz von E-Commerce-Systemen ist die prozessunabhängige Beurteilung der Wirksamkeit des E-Commercere-relevanten IT-Kontrollsystems im Zeitablauf zu verstehen. Dabei ist zu beurteilen, ob das IT-Kontrollsystem sowohl angemessen ist, als auch kontinuierlich funktioniert. Darüber hinaus haben die gesetzlichen Vertreter dafür Sorge zu tragen, dass festgestellte Mängel im IT-Kontrollsystem abgestellt werden. (69) IT-Kontrollsysteme sind beim Einsatz von E-Commerce-Systemen um diejenigen Grundsätze, Verfahren und Maßnahmen (Regelungen) zu ergänzen bzw. zu erweitern, die zur Bewältigung der IT-Risiken aus dem Einsatz der Durchführung von E-Commerce resultieren. Hierzu gehören Regelungen zur Steuerung des Einsatzes von E-Commerce im Unternehmen (internes Steuerungssystem) und Regelungen zur Überwachung der Einhaltung dieser Regelungen (internes Überwachungssystem) (vgl. IDW Prüfungsstandard: Das interne Kontrollsystem im Rahmen der Abschlussprüfung (IDW PS 260) 7, Tz. 5, 6). (70) Zu den E-Commerce-bezogenen IT-Kontrollen zählen die prozessintegrierten Kontrollen und organisatorischen Sicherungsmaßnahmen (z.b. die Überprüfung von Dateiinhalten in der Firewall) ebenso wie die generellen Kontrollen, die sich auf das gesamte E-Commerce-System auswirken (z.b. im Rahmen der Entwicklung von E-Commerce-Anwendungen, Changemanagement). Die prozessunabhängigen Überwachungsmaßnahmen werden durch die Interne Revision oder durch unmittelbare Überwachungsmaßnahmen der gesetzlichen Vertreter durchgeführt. Dies erfolgt beispielsweise in der Form von Abweichungsanalysen bzw. anhand der Feststellung des Zielerreichungsgrades der umgesetzten IT-Strategie. (71) Neben der Beurteilung der sachgerechten Umsetzung der IT-Strategie in Übereinstimmung mit der Unternehmensstrategie sind in regelmäßigen Abständen das Sicherheitskonzept und das eingerichtete IT-Kontrollsystem insbesondere im Hinblick auf die sehr kurzen Innovationszyklen im Bereich der Sicherheitstechnologie auf ihre Angemessenheit und Wirksamkeit hin zu überwachen. (72) Für die kontinuierliche Überwachung der Angemessenheit und Wirksamkeit des IT-Kontrollsystems bietet sich bspw. der Einsatz spezieller Programme ( Scanner ) an, die systematisch nach Sicherheitslücken suchen. Zudem haben sich programmgestützte Angriffssimulationen (Penetration-Test- 7 WPg 2001, S. 821 ff. 20

IDW-RS-FAIT-2 - IDW Stellungnahme zur Rechnungslegung: Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Electronic Commerce (IDW RS FAIT 2)

IDW-RS-FAIT-2 - IDW Stellungnahme zur Rechnungslegung: Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Electronic Commerce (IDW RS FAIT 2) Institut der Wirtschaftsprüfer - Fachausschuss für Informationstechnologie (FAIT) Stellungnahme vom 29.09.2003 0800686 IDW-RS-FAIT-2 - IDW Stellungnahme zur Rechnungslegung: Grundsätze ordnungsmäßiger

Mehr

Compliance im Rechnungswesen Anforderungen an die IT

Compliance im Rechnungswesen Anforderungen an die IT Information Risk Management Compliance im Rechnungswesen Anforderungen an die IT Dietmar Hoffmann Köln, 3. Mai 2007 ADVISORY Inhalt 1 Überblick 2 Rechtliche Rahmenbedingungen 3 Auswirkungen 4 Prüfungen

Mehr

Einsatz neuer Technologien - e-commerce und e-invoice aus der Sicht von Wirtschaftsprüfung und Steuerberatung. Northeim, 7.

Einsatz neuer Technologien - e-commerce und e-invoice aus der Sicht von Wirtschaftsprüfung und Steuerberatung. Northeim, 7. Einsatz neuer Technologien - e-commerce und e-invoice aus der Sicht von Wirtschaftsprüfung und Steuerberatung Northeim, 7. März 2013 Einsatz neuer Technologien - e-commerce Als e-commerce-aktivitäten werden

Mehr

Rechtliche Anforderungen am Beispiel der E-Mail-Archivierung

Rechtliche Anforderungen am Beispiel der E-Mail-Archivierung Rechtliche Anforderungen am Beispiel der E-Mail-Archivierung KUMAtronik Systemhaus GmbH Vortrag zur symantec-veranstaltung am 24.04.2007 (it.sec) Inhalt: 1. Rechtliche Anforderungen an E-Mails 2. Compliance-Anforderungen

Mehr

FAQ-Katalog zur Musterverfahrensdokumentation

FAQ-Katalog zur Musterverfahrensdokumentation FAQ-Katalog zur Musterverfahrensdokumentation Nr. Frage Antwort 1 Befasst sich die Musterverfahrensdokumentation (MVD) auch mit der Behandlung elektronischer Dokumente (E-Rechnung, elektronische Kontoauszüge,

Mehr

WBH Wirtschaftsberatung GmbH Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft Hannover K U R Z T E S T A T

WBH Wirtschaftsberatung GmbH Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft Hannover K U R Z T E S T A T Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft Hannover K U R Z T E S T A T über die Softwarezertifizierung des Programms tacoss.etrade Tacoss Software GmbH Tarp Inhaltsverzeichnis Seite 1.

Mehr

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten?

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Hamburg/Osnabrück/Bremen 18./25./26. November 2014 Gerd Malert Agenda 1. Kernziele des Gesetzesentwurfes 2.

Mehr

Neue Herausforderung für kleine und mittlere Unternehmen.

Neue Herausforderung für kleine und mittlere Unternehmen. E-Mail-Archivierung Neue Herausforderung für kleine und mittlere Unternehmen. Dipl. Ing. Detlev Bonkamp E-Mail-Archivierung: Motivation Gesetzliche Vorgaben GDPdU (Grundsätze zum Datenzugriff und zur Prüfbarkeit

Mehr

SerNet. Best of Audit 2012 IT-Sicherheit? Evaluieren wir gerade. 28. Februar 2013. Alexander Koderman. SerNet GmbH, Berlin

SerNet. Best of Audit 2012 IT-Sicherheit? Evaluieren wir gerade. 28. Februar 2013. Alexander Koderman. SerNet GmbH, Berlin Best of Audit 2012 IT-Sicherheit? Evaluieren wir gerade. 28. Februar 2013 Alexander Koderman GmbH, Berlin Übersicht Wieso werde ich auditiert? IS-Audits, Grundlagen, Standards Was erwartet mich? Inhalte,

Mehr

2.4.7 Zugriffsprotokoll und Kontrollen

2.4.7 Zugriffsprotokoll und Kontrollen 2.4.7 Zugriffsprotokoll und Kontrollen Die Vermeidung der missbräuchlichen Nutzung von personenbezogenen oder personenbeziehbaren Daten ist ein Kernpunkt der Regelungen zum Einsatz von Personalinformationssystemen.

Mehr

erechnung Uwe K. Franz aus steuerlicher und rechtlicher Sicht Fachanwalt für Handels- und Gesellschaftsrecht Cornea Franz Rechtsanwälte

erechnung Uwe K. Franz aus steuerlicher und rechtlicher Sicht Fachanwalt für Handels- und Gesellschaftsrecht Cornea Franz Rechtsanwälte erechnung aus steuerlicher und rechtlicher Sicht Uwe K. Franz Rechtsanwalt Fachanwalt für Steuerrecht Fachanwalt für Handels- und Gesellschaftsrecht Cornea Franz Rechtsanwälte 1 Bedeutung der Rechnung

Mehr

Lösungsansätze zum. aus Sicht des Rechnungsstellers. Elektronic Invoicing. Oldenburg, 3. Februar 2005. Derk Fischer

Lösungsansätze zum. aus Sicht des Rechnungsstellers. Elektronic Invoicing. Oldenburg, 3. Februar 2005. Derk Fischer Lösungsansätze zum Elektronic Invoicing aus Sicht des Rechnungsstellers Derk Fischer Oldenburg, 3. Februar 2005 Thesen Es gibt eigentlich keine Gründe mehr für den Versand von Papierrechnungen. Der Erfolg

Mehr

RECHTSANWALTSKANZLEI ROHNER Medienrecht Urheberrecht Internetrecht Arbeitsrecht

RECHTSANWALTSKANZLEI ROHNER Medienrecht Urheberrecht Internetrecht Arbeitsrecht Rechtliche Rahmenbedingungen im Bereich der elektronischen Rechnung und Archivierung Vortrag im Rahmen der Abendveranstaltung Datensicherung und Archivierung 4. Februar 2015, 19.00 21.00 Uhr in der Handwerkskammer

Mehr

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit Elektronische Signatur praktischer Nutzen für Unternehmen Grundlagen der Informationssicherheit Knut Haufe Studium der Wirtschaftsinformatik an der Technischen Universität Ilmenau Vom Bundesamt für Sicherheit

Mehr

Elektronische Rechnungen Von Rechtsanwalt Dr. Ivo Geis

Elektronische Rechnungen Von Rechtsanwalt Dr. Ivo Geis Elektronische Rechnungen Von Rechtsanwalt Dr. Ivo Geis Die Rechnung ist Kernelement des Mehrwertsteuersystems in Europa, denn sie gilt als Beleg für das Recht des Käufers zum Vorsteuerabzug. Der wachsende

Mehr

7. Überwachung des IT-Outsourcings... 30 8. Beendigung des IT-Outsourcings... 30

7. Überwachung des IT-Outsourcings... 30 8. Beendigung des IT-Outsourcings... 30 Entwurf einer IDW Stellungnahme zur Rechnungslegung: Grundsätze ordnungsmäßiger Buchführung bei Auslagerung von rechnungslegungsrelevanten Dienstleistungen einschließlich Cloud Computing (IDW ERS FAIT

Mehr

Mandanten- Informationsbrief zu den neuen GoBD

Mandanten- Informationsbrief zu den neuen GoBD Steuerberatung Bulek Feuerhausstr. 11 A 82256 Fürstenfeldbruck Mandanten- Informationsbrief zu den neuen GoBD zum 15. Juni 2015 Inhalt 1) Anwendungsbereich 2) Anforderungen an die Ordnungsmäßigkeit der

Mehr

Entwurf IDW Stellungnahme zur Rechnungslegung: Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Informationstechnologie (IDW ERS FAIT 1)

Entwurf IDW Stellungnahme zur Rechnungslegung: Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Informationstechnologie (IDW ERS FAIT 1) Entwurf IDW Stellungnahme zur Rechnungslegung: Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Informationstechnologie (IDW ERS FAIT 1) (Stand: 08.03.2001) 1 Der Fachausschuß für Informationstechnologie

Mehr

Willkommen bei DATEV. it-sa 2013: Forum Rot. PRISM - Gerade deswegen ist Datenschutz noch wichtiger!

Willkommen bei DATEV. it-sa 2013: Forum Rot. PRISM - Gerade deswegen ist Datenschutz noch wichtiger! Willkommen bei DATEV it-sa 2013: Forum Rot PRISM - Gerade deswegen ist Datenschutz noch wichtiger! Wer ist DATEV? Softwarehaus und IT-Dienstleister mit über 40 Jahren Erfahrung mit Software, Services und

Mehr

(Stand: 11.07.2006) [1] Institut der Wirtschaftsprüfer - Fachausschuss für Informationstechnologie (FAIT) Verlautbarung vom 11.07.

(Stand: 11.07.2006) [1] Institut der Wirtschaftsprüfer - Fachausschuss für Informationstechnologie (FAIT) Verlautbarung vom 11.07. Institut der Wirtschaftsprüfer - Fachausschuss für Informationstechnologie (FAIT) Verlautbarung vom 11.07.2006 0802598 IDW-RS-FAIT-3 - IDW Stellungnahme zur Rechnungslegung: Grundsätze ordnungsmäßiger

Mehr

Fragen und Antworten zur Vereinfachung der elektronischen Rechnungsstellung

Fragen und Antworten zur Vereinfachung der elektronischen Rechnungsstellung 2011/0604162 IV D 2 - S 7287-a/09/10004 26. Juli 2011 Fragen und Antworten zur Vereinfachung der elektronischen Rechnungsstellung Durch das Steuervereinfachungsgesetz 2011 sollen durch Änderungen im Umsatzsteuergesetz

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: Energieversorgung Marienberg

Mehr

Wir begrüßen Sie herzlich zum Workshop. Digitale Archivierung im Rahmen der GoBD

Wir begrüßen Sie herzlich zum Workshop. Digitale Archivierung im Rahmen der GoBD Wir begrüßen Sie herzlich zum Workshop Digitale Archivierung im Rahmen der GoBD 1 Ihre Referenten Harald Hensle Frank Behrens In Kooperation mit: Stb. Oliver Frank 2 Agenda GoBD seit 01.01.2015 (Frank

Mehr

Prüfungsbericht. IDEAL Lebensversicherung a.g. Berlin

Prüfungsbericht. IDEAL Lebensversicherung a.g. Berlin Prüfungsbericht IDEAL Lebensversicherung a.g. Berlin Prüfungsbericht zur Angemessenheit des Compliance-Management- Systems der IDEAL Lebensversicherung a.g. zur Umsetzung geeigneter Grundsätze und Maßnahmen

Mehr

Haufe-Lexware Real Estate AG Schloß Holte-Stukenbrock. Softwarebescheinigung zur wowi c/s Release 3.06. Oktober 2013. MOORE STEPHENS Düsseldorf AG

Haufe-Lexware Real Estate AG Schloß Holte-Stukenbrock. Softwarebescheinigung zur wowi c/s Release 3.06. Oktober 2013. MOORE STEPHENS Düsseldorf AG Haufe-Lexware Real Estate AG Schloß Holte-Stukenbrock Softwarebescheinigung zur wowi c/s Release 3.06 Oktober 2013 MOORE STEPHENS Düsseldorf AG 40213 Düsseldorf / Ratinger Straße 25 Tel. 0211.301025-0

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI) (Stand: 20110101)

Vereinbarung über den elektronischen Datenaustausch (EDI) (Stand: 20110101) Vereinbarung über den elektronischen Datenaustausch (EDI) (Stand: 20110101) RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: und Energie

Mehr

- zur Aufzeichnung der Geschäftsvorfälle in sachlicher Ordnung (5.3), - zum internen Kontrollsystem (6.) und zur Datensicherheit (7.

- zur Aufzeichnung der Geschäftsvorfälle in sachlicher Ordnung (5.3), - zum internen Kontrollsystem (6.) und zur Datensicherheit (7. An das Bundesministerium der Finanzen z. Hd. Herrn MDg Dr. Misera Wilhelmstraße 97 10117 Berlin Düsseldorf, 2. September 2013 495/608 Entwurf eines BMF-Schreibens Grundsätze zur ordnungsmäßigen Führung

Mehr

Was bedeuten die neuen GoBD für ERP-Systeme? Von Andreas Wenzel, HLB Dr. Stückmann und Partner mbb

Was bedeuten die neuen GoBD für ERP-Systeme? Von Andreas Wenzel, HLB Dr. Stückmann und Partner mbb Was bedeuten die neuen GoBD für ERP-Systeme? Von Andreas Wenzel, HLB Dr. Stückmann und Partner mbb Das BMF hat nach langen und kontroversen Diskussionen mit den Verbänden nach mehr als anderthalb Jahren

Mehr

Alles sicher? Backup und Archivierung aus rechtlicher Sicht. Gelsenkirchen, 25. März 2014. Rechtsberatung. Steuerberatung. Luther.

Alles sicher? Backup und Archivierung aus rechtlicher Sicht. Gelsenkirchen, 25. März 2014. Rechtsberatung. Steuerberatung. Luther. Alles sicher? Backup und Archivierung aus rechtlicher Sicht Dr. Maximilian Dorndorf Johanna Langer, LL.M. Gelsenkirchen, 25. März 2014 Rechtsberatung. Steuerberatung. Luther. Agenda I. Begriffsbestimmungen

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: enwag energie- und wassergesellschaft

Mehr

Vereinbarung über den Elektronischen Datenaustausch (EDI)

Vereinbarung über den Elektronischen Datenaustausch (EDI) Vereinbarung über den Elektronischen Datenaustausch (EDI) zwischen und Energie- und Wasserversorgung Bruchsal GmbH Schnabel-Henning-Straße 1a 76646 Bruchsal im Folgenden Parteien genannt EDI Stand 10.2009

Mehr

IT-Outsourcing aus Sicht der Wirtschaftsprüfer

IT-Outsourcing aus Sicht der Wirtschaftsprüfer IT-Outsourcing aus Sicht der Wirtschaftsprüfer Roundtable der matrix technology AG München, 6. November 2008 Lothar Schulz Wirtschaftsprüfer - Steuerberater Prüfer für Qualitätskontrolle AGENDA 1. IT-Prüfung

Mehr

www.pwc.com Absehbare rechtliche Änderungen zum elektronischen Rechnungsaustausch

www.pwc.com Absehbare rechtliche Änderungen zum elektronischen Rechnungsaustausch www.pwc.com Absehbare rechtliche Änderungen zum elektronischen Rechnungsaustausch 1. Begrüßung Ihr Referent Carsten Crantz Tel: +49 40 6378-1836 Fax: +49 69 9585-949145 Mobil: +49 160 972 24 434 carsten.crantz@de.pwc.com

Mehr

Sozietät Franz & Näther Steuerberater Rechtsanwalt/FA für Steuerrecht

Sozietät Franz & Näther Steuerberater Rechtsanwalt/FA für Steuerrecht Prenzlauer Allee 39 / Marienburger Str.1, 10405 Berlin Telefon: 030 / 44 36 99 0, Fax: 030 / 44 36 99 24, Email: mail@ franz-naether.de Internet: www.franz-naether.de Informationen zu den Grundsätzen zur

Mehr

Die E-Rechnung im Lichte der GoBD. Stefan Groß Steuerberater CISA (Certified Information Systems Auditor)

Die E-Rechnung im Lichte der GoBD. Stefan Groß Steuerberater CISA (Certified Information Systems Auditor) Die E-Rechnung im Lichte der GoBD Stefan Groß Steuerberater CISA (Certified Information Systems Auditor) Die E-Rechnung im Lichte der GoBD 2 Die vorliegenden Ausführungen geben die persönliche Meinung

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI) Energieversorgung Selb-Marktredwitz GmbH. Gebrüder-Netzsch-Str. 14.

Vereinbarung über den elektronischen Datenaustausch (EDI) Energieversorgung Selb-Marktredwitz GmbH. Gebrüder-Netzsch-Str. 14. Vereinbarung über den elektronischen Datenaustausch (EDI) zwischen Energieversorgung Selb-Marktredwitz GmbH Gebrüder-Netzsch-Str. 14 95100 Selb (Netzbetreiber) und (Transportkunde / Netznutzer) - nachfolgend

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen:, Unterkotzauer Weg 25, 95028

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) zwischen Stadtwerke Bebra GmbH, Wiesenweg 1,36179 Bebra. (Name, Adresse) und. (Name, Adresse) - nachfolgend die Vertragspartner genannt Seite 1

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: STADTWERKE HEIDE GmbH und

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Anlage 3 Vereinbarung über den elektronischen Datenaustausch (EDI) Stadtwerke Haslach Alte Hausacherstraße 1 77716 Haslach zwischen und - nachfolgend die Vertragspartner genannt Seite 1 von 6 1 Zielsetzung

Mehr

Datenschutz und Datensicherheit

Datenschutz und Datensicherheit Datenschutz und Datensicherheit Gliederung 1. Datenschutz 2. Datensicherheit 3. Datenschutz und sicherheit in der Verbandsarbeit 12.01.14 Raphael Boezio 2 Datenschutz Was ist Datenschutz? Datenschutz ist

Mehr

Audit in real life Auf was sollte man vorbereitet sein?

Audit in real life Auf was sollte man vorbereitet sein? IT ADVISORY Audit in real life Auf was sollte man vorbereitet sein? Novell Security Event 03.04.2008 v3 FINAL DRAFT DI Christian Focke Supervisor IT Advisory Wien Agenda Motivation Die Konsequenz Was ist

Mehr

Aktuelle bankaufsichtliche Entwicklungen in der IT 13. FI-TS Management-Forum 2014

Aktuelle bankaufsichtliche Entwicklungen in der IT 13. FI-TS Management-Forum 2014 www.pwc.de Aktuelle bankaufsichtliche Entwicklungen in der IT 13. FI-TS Management-Forum 2014 WP StB Marc Billeb Partner Financial Services Technology & Processes Agenda 1 Regulatorische Anforderungen

Mehr

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) I. Ziel des Datenschutzkonzeptes Das Datenschutzkonzept stellt eine zusammenfassende Dokumentation der datenschutzrechtlichen Aspekte

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: ZVO Energie GmbH und...

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) Zwischen dem Netzbetreiber Strom und Gas Netze BW GmbH Schelmenwasenstr. 15, 70567 Stuttgart und dem Lieferanten / dem Transportkunden: Name:.

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) zwischen Energie- und Wasserversorgung Hamm GmbH, Südring 1/3, 59065 Hamm und XXX -nachfolgend "die Parteien" genannt.- Seite 1 von 6 1 Zielsetzung

Mehr

Vereinbarung über den elektronischen Datenaustausch

Vereinbarung über den elektronischen Datenaustausch Vereinbarung über den elektronischen Datenaustausch RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: Stadtwerke Heidelberg Netze GmbH

Mehr

Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports

Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports 1. Anwendungsbereich Im Rahmen des Supports für das JURION Portal, die jdesk-software einschließlich

Mehr

Stadtwerke Homburg GmbH Lessingstraße 3 66424 Homburg

Stadtwerke Homburg GmbH Lessingstraße 3 66424 Homburg Vereinbarung über den elektronischen Datenaustausch (EDI) RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: Stadtwerke Homburg GmbH

Mehr

Anlage 3 Vereinbarung über den elektronischen Datenaustausch (EDI)

Anlage 3 Vereinbarung über den elektronischen Datenaustausch (EDI) Anlage 3 Vereinbarung über den elektronischen Datenaustausch (EDI) RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: Stadtwerke Rinteln

Mehr

Zwischen den Stühlen: Datenschutz, IT-Sicherheit und Aufbewahrungspflichten

Zwischen den Stühlen: Datenschutz, IT-Sicherheit und Aufbewahrungspflichten Zwischen den Stühlen: Datenschutz, IT-Sicherheit und Aufbewahrungspflichten Die Email-Falle RA Thomas Brehm Hamburg Aus der Vortragsreihe der Systemhaus for you GmbH Heidenkampsweg 66 20097 Hamburg Bei

Mehr

EDI-Rahmenvereinbarung

EDI-Rahmenvereinbarung EDI-Rahmenvereinbarung über den elektronischen Datenaustausch der RECHTLICHE BESTIMMUNGEN - Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen zwischen: Sandkaule 2 53111 Bonn

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI) von Rechnungen

Vereinbarung über den elektronischen Datenaustausch (EDI) von Rechnungen RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: Linde Hydraulics GmbH & Co.KG Carl-von-Linde-Platz, 63743 Aschaffenburg und - Lieferantenname

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: und EWR Netze GmbH Friedrichstr.

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Anlage 3 Vereinbarung über den elektronischen Datenaustausch (EDI) RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: zwischen Stadtwerke

Mehr

RECHTLICHE BESTIMMUNGEN

RECHTLICHE BESTIMMUNGEN Seite 1 von 5 Anlage 4 zum Netznutzungsvertrag (Erdgas) EDI-Rahmenvereinbarung RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen zwischen: Alliander Netz

Mehr

Winfried Rau Tankstellen Consulting

Winfried Rau Tankstellen Consulting Winfried Rau Tankstellen Consulting Teil 1 Wer muss einen Datenschutzbeauftragten bestellen?... 4f BDSG, nicht öffentliche Stellen die personenbezogene Daten automatisiert verarbeiten innerhalb eines Monats

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) zwischen und, Ludwigshafener Straße 4, 65929 Frankfurt am Main - im Folgenden die Parteien genannt - 1 Zielsetzung und Geltungsbereich 1.1 Die

Mehr

Anlage 3: Rahmenvertrag über den elektronischen Datenaustausch (EDI)

Anlage 3: Rahmenvertrag über den elektronischen Datenaustausch (EDI) Anlage 3: Rahmenvertrag über den elektronischen Datenaustausch (EDI) Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen:...... und Emmericher Straße 11-29 46485

Mehr

Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen:

Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: Anlage 3: Vereinbarung über den elektronischen Datenaustausch (EDI) RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: Stadtwerke Erkrath

Mehr

Anlage 3 zum Lieferantenrahmenvertrag

Anlage 3 zum Lieferantenrahmenvertrag Anlage 3 zum Lieferantenrahmenvertrag Mustervereinbarung über den elektronischen Datenaustausch (EDI) Artikel 1 Zielsetzung und Geltungsbereich 1.1 Die "EDI-Vereinbarung", nachfolgend "die Vereinbarung"

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: Stadtwerke Torgau GmbH,

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: und nachfolgend "die Parteien"

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: und Stadtwerke Bad Salzuflen

Mehr

E-MAIL-ARCHIVIERUNG GESETZLICHE VORGABEN UND RECHTLICHE PROBLEME

E-MAIL-ARCHIVIERUNG GESETZLICHE VORGABEN UND RECHTLICHE PROBLEME E-MAIL-ARCHIVIERUNG GESETZLICHE VORGABEN UND RECHTLICHE PROBLEME Rechtsanwalt Dr. jur. Walter Felling Dipl.-Betriebswirt Referent: Rechtsanwalt Dr. jur. Walter Felling Dipl.-Betriebswirt Ausbildung: Industriekaufmann;

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: und Stadtwerke Marburg GmbH,

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: Energieversorgung Filstal GmbH & Co. KG Großeislinger

Mehr

Risiken und Haftungsfragen für Sicherheits- und Führungskräfte

Risiken und Haftungsfragen für Sicherheits- und Führungskräfte Risiken und Haftungsfragen für Sicherheits- und Führungskräfte mag. iur. Maria Winkler Geschäftsführerin der IT & Law Consulting GmbH SSI-Fachtagung vom 28.10.2010 Unternehmenssicherheit - Neue Herausforderungen

Mehr

Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten.

Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten. AT 9 der MaRisk Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten. MC-Bankrevision, www.mc-bankrevision.de Stand 18.04.2013 1 Outsourcing nach AT 9 der MaRisk

Mehr

Elektronische Rechnungen Compliance, Chancen, Risiken und erste Erfahrungen aus der neuen Rechtslage

Elektronische Rechnungen Compliance, Chancen, Risiken und erste Erfahrungen aus der neuen Rechtslage Elektronische Rechnungen Compliance, Chancen, Risiken und erste Erfahrungen aus der neuen Rechtslage Stefan Groß Steuerberater CISA (Certified Information Systems Auditor) Compliance bei elektronischen

Mehr

1. Aufbewahrungsfristen für Personalakten

1. Aufbewahrungsfristen für Personalakten Aufbewahrungsfristen für Personalakten X AUFBEWAHRUNG, ARCHIVIERUNG, BEWEIS- VERWERTBARKEIT, ORDNUNGSMÄßIGKEIT 1. Aufbewahrungsfristen für Personalakten Ein allgemeiner Rahmen für die Dauer der Personalaktenführung

Mehr

E-Mailarchivierung für den Mittelstand

E-Mailarchivierung für den Mittelstand E-Mailarchivierung für den Mittelstand SaaS-Lösung von PIRONET NDH PIRONET NDH Datacenter GmbH 1 E-Mailarchivierung Agenda: E-Mailarchivierung warum? Wer muss archivieren? Welche E-Mails sind zu archivieren?

Mehr

Elektronische Rechnung

Elektronische Rechnung Elektronische Rechnung Rechtliche Grundlagen Dr. Stefan Melhardt, BMF Hintergrund Richtlinie 2010/45/EU des Rates vom 13.7.2010 zur Änderung der MWSt-RL 2006/112/EG: - Vereinfachung, Modernisierung und

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: Stadtwerke Vilshofen GmbH

Mehr

Anlage 1b zum Lieferantenrahmenvertrag (Strom) Vereinbarung über den elektronischen Datenaustausch (EDI)

Anlage 1b zum Lieferantenrahmenvertrag (Strom) Vereinbarung über den elektronischen Datenaustausch (EDI) Anlage 1b zum Lieferantenrahmenvertrag (Strom) Vereinbarung über den elektronischen Datenaustausch (EDI) Artikel 1 Zielsetzung und Geltungsbereich 1) Die "EDI-Vereinbarung", nachfolgend "die Vereinbarung"

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI) ED Netze GmbH. Schildgasse 20. 79618 Rheinfelden (Baden)

Vereinbarung über den elektronischen Datenaustausch (EDI) ED Netze GmbH. Schildgasse 20. 79618 Rheinfelden (Baden) Vereinbarung über den elektronischen Datenaustausch (EDI) zwischen ED Netze GmbH Schildgasse 20 79618 Rheinfelden (Baden) und - nachfolgend die Vertragspartner genannt - ED Netze GmbH / Stromlieferant

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: Stadtwerken Fröndenberg

Mehr

Mustervereinbarung über den elektronischen Datenaustausch (EDI)

Mustervereinbarung über den elektronischen Datenaustausch (EDI) Mustervereinbarung über den elektronischen Datenaustausch (EDI) RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: Stadtwerke Waldkirch

Mehr

Mustervereinbarung über den elektronischen Datenaustausch (EDI)

Mustervereinbarung über den elektronischen Datenaustausch (EDI) Mustervereinbarung über den elektronischen Datenaustausch (EDI) RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: Energie- und Wassersorgung

Mehr

IT-Sicherheit und Datenschutz im Cloud Computing

IT-Sicherheit und Datenschutz im Cloud Computing Definition von bezeichnet das dynamische Bereitstellen von Ressourcen wie Rechenkapazitäten, Datenspeicher oder fertiger Programmpakete über Netze, insbesondere über das Internet. und dazu passende Geschäftsmodelle

Mehr

EDI-Rahmenvertrag Vereinbarung über den elektronischen Datenaustausch (EDI)

EDI-Rahmenvertrag Vereinbarung über den elektronischen Datenaustausch (EDI) EDI-Rahmenvertrag 1/6 EDI-Rahmenvertrag Vereinbarung über den elektronischen Datenaustausch (EDI) zwischen Stadtwerke Porta Westfalica GmbH Fähranger 18 32457 Porta Westfalica (nachfolgend Netzbetreiber)

Mehr

Fit für Spitzenleistungen

Fit für Spitzenleistungen Fit für Spitzenleistungen Betriebsprüfung im Gastgewerbe Dipl.-Kfm./ Dipl. BW Dirk Ellinger Hauptgeschäftsführer DEHOGA Thüringen e.v. 1 Grundlagen Buchführung und Aufzeichnung Inhalte der Buchführungspflichten

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen Gemeindewerke Niefern-Öschelbronn

Mehr

Checkliste zum Umgang mit Personalakten

Checkliste zum Umgang mit Personalakten Checkliste zum Umgang mit Personalakten 1.1 Was müssen Sie über den rechtskonformen Umgang mit Personalakten wissen? Personalakten, ob digital oder analog, beinhalten personenbezogene und damit schützenswerte

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) zwischen Appenweierer Str. 54 77704 Oberkirch und (Stempel) nachfolgend Vertragspartner genannt Seite 1 von 5 1. Zielsetzung und Geltungsbereich

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: Stadtwerke Greven GmbH Saerbecker

Mehr

Leitfaden zur rechtssicheren E-Mail-Archivierung

Leitfaden zur rechtssicheren E-Mail-Archivierung Leitfaden zur rechtssicheren bietet nicht nur zahlreiche technische und wirtschaftliche Vorteile, sie stellt für Unternehmen zudem eine zwingende Notwendigkeit dar. Geltende rechtliche Anforderungen können

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) zwischen Energiewerke Zeulenroda GmbH Lohweg 8 07937 Zeulenroda-Triebes und nachfolgend die Parteien genannt Seite 1 von 5 Artikel 1: Zielsetzung

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: Lieferant: und Netzbetreiber:

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen zwischen: Greizer Energienetze GmbH Mollbergstr. 20 07973 Greiz (Verteilnetzbetreiber)

Mehr