Entwurf IDW Stellungnahme zur Rechnungslegung: Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Electronic Commerce (IDW ERS FAIT 2)

Größe: px
Ab Seite anzeigen:

Download "Entwurf IDW Stellungnahme zur Rechnungslegung: Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Electronic Commerce (IDW ERS FAIT 2)"

Transkript

1 Entwurf IDW Stellungnahme zur Rechnungslegung: Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Electronic Commerce (IDW ERS FAIT 2) (Stand: ) 1 Der Fachausschuss für Informationstechnologie (FAIT) des IDW hat den nachfolgenden Entwurf einer IDW Stellungnahme zur Rechnungslegung verabschiedet. Änderungs- und Ergänzungsvorschläge zu dem Entwurf werden schriftlich an die Geschäftsstelle des IDW, Postfach , Düsseldorf, bis zum erbeten. Der Entwurf steht bis zu seiner endgültigen Verabschiedung als IDW Stellungnahme zur Rechnungslegung im Internet (http://www.idw.de) unter der Rubrik Verlautbarungen als Download-Angebot zur Verfügung. 1. Vorbemerkungen Grundlagen des E-Commerce Ausprägungen des E-Commerce Arten von E-Commerce-Aktivitäten Differenzierung von E-Commerce nach den beteiligten Wirtschaftssubjekten Rechtliches, technisches und organisatorisches Umfeld Rechtliches Umfeld Technisches und organisatorisches Umfeld Verpflichtungen der gesetzlichen Vertreter im Zusammenhang mit E-Commerce Besondere IT-Risiken beim Einsatz von E-Commerce-Systemen Risiken aus der Kommunikation Risiken aus der Verarbeitung Sicherheit und Ordnungsmäßigkeit beim Einsatz von E-Commerce- Systemen Belegfunktion Journal- und Kontenfunktion Dokumentation Aufbewahrungspflichten Aufbewahrungspflichten beim Einsatz von EDI Einrichtung eines E-Commerce-Systems IT-Umfeld und IT-Organisation bei Einsatz von E-Commerce- Systemen Verabschiedet vom Fachausschuss für Informationstechnologie (FAIT) als Entwurf am

2 6.2. IT-Organisation bei Einsatz von E-Commerce-Systemen E-Commerce-Infrastruktur E-Commerce-Anwendungen E-Commerce Geschäftsprozesse Überwachung des IT-Kontrollsystems bei Einsatz von E- Commerce-Systemen Internet-Service-Provider/Outsourcing...21 Anhang 1: Besonderheiten hinsichtlich der Risiken und Anforderungen beim Einsatz von E-Commerce Sicherheit und Ordnungsmäßigkeit beim Einsatz von E-Commerce Sicherheitsanforderungen Integrität Verfügbarkeit Vertraulichkeit Authentizität Autorisierung Verbindlichkeit Ordnungsmäßigkeit Vollständigkeit Richtigkeit Zeitgerechtheit Ordnung Nachvollziehbarkeit Unveränderlichkeit...37 Anhang 2: Glossar Vorbemerkungen (1) E-Commerce beinhaltet die Anbahnung und Abwicklung von Geschäftsvorfällen (von der Kontaktaufnahme bis zum Zahlungsverkehr) zwischen Marktteilnehmern in elektronischer Form unter Verwendung verschiedener Informations- und Kommunikationstechnologien über öffentlich zugängliche Netzwerke. E-Commerce umfasst somit alle Aktivitäten, die das Ziel verfolgen, den Handel mit Informationen, Gütern und Dienstleistungen über alle Phasen der Geschäftsabwicklung hinweg elektronisch zu ermöglichen (vgl. IDW Prüfungsstandard: Die Durchführung von WebTrust-Prüfungen (IDW PS 890) 2, Tz. 5). Als E-Commerce-Systeme i.s.d. IDW Stellungnahme zur Rechnungslegung werden diejenigen Komponenten des IT-Systems ver- 2 WPg 2001, S. 458 ff. 2

3 standen, die ausschließlich oder überwiegend zur Durchführung des E- Commerce eingesetzt werden (vgl. in diesem Zusammenhang Entwurf IDW Stellungnahme zur Rechnungslegung: Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Informationstechnologie (IDW ERS FAIT 1) 3, Tz. 6). (2) Rechnungslegungsrelevante E-Commerce-Systeme lassen Informationen und Daten über betriebliche Aktivitäten entweder direkt (d.h. ohne manuelle Eingaben) in die IT-gestützte Rechnungslegung einfließen oder stellen diese Informationen und Daten in elektronischer Form als Grundlagen für Buchungen im Rechnungslegungssystem zur Verfügung. (3) Diese IDW Stellungnahme zur Rechnungslegung konkretisiert die aus den 238, 239 und 257 HGB resultierenden Anforderungen an die Führung der Handelsbücher mittels IT-gestützter Systeme. Sie verdeutlicht damit die im IDW ERS FAIT 1 dargestellten Ordnungsmäßigkeits- und Sicherheitsanforderungen im Bereich von E-Commerce und stellt ergänzende, über den IDW ERS FAIT 1 hinausgehende Anforderungen auf, um den mit dem Einsatz von E-Commerce-Systemen zusammenhängenden besonderen IT- Risiken zu begegnen. (4) Wirtschaftszweigspezifische (z.b. bei Kreditinstituten und Versicherungsunternehmen) und sonstige Besonderheiten, die im Einzelfall zusätzlich zu berücksichtigen sind, bleiben in dieser IDW Stellungnahme zur Rechnungslegung außer Betracht. (5) Zu Prüfungen von E-Commerce-Systemen im Rahmen von WebTrust vergleiche IDW PS 890. (6) Diese IDW Stellungnahme zur Rechnungslegung ersetzt die Stellungnahme FAMA 1/1995: Aufbewahrungspflichten beim Einsatz von EDI Grundlagen des E-Commerce 2.1. Ausprägungen des E-Commerce Arten von E-Commerce-Aktivitäten (7) E-Commerce-Aktivitäten lassen sich grundsätzlich in folgende Kategorien einteilen, die unterschiedliche Relevanz für die Rechnungslegung aufweisen: Information: Die einfachste Form des E-Commerce ist die rein informierende Darstellung des Unternehmens sowie seiner Produkte und Dienstleistungen im Internet. Das Leistungsspektrum reicht von Produktdemonstrationen und Preisübersichten bis hin zu individuellen Angebotsabrufen wie z.b. Flug- 3 4 WPg 2001, S. 512 ff. WPg 1995, S. 168 ff. 3

4 plänen. In der Regel entfalten diese Informationsangebote keine Rechnungslegungsrelevanz. Interaktion: Eine über die reine Information hinausgehende und sich häufig daran unmittelbar anschließende Form von E-Commerce-Aktivitäten ist die Kommunikation als Austausch von Daten und/oder Informationen über das Internet (z.b. in Form von s). Transaktion: Unter Transaktion i.s.d. IDW Stellungnahme zur Rechnungslegung wird die Abwicklung von Geschäftsvorfällen im Rahmen von E-Commerce- Geschäftsprozessen verstanden, die die Veränderung von Rechtspositionen zum Gegenstand haben, und damit das Eingehen von Rechten und Pflichten betreffen. Die wichtigsten Beispiele sind Bestellung bzw. Vertragsabschluss, Lieferung, Rechnungsstellung und Zahlung. Integration: Die Integration ist gekennzeichnet durch die unternehmensübergreifende Abwicklung von Transaktionen im Rahmen von E-Commerce- Geschäftsprozessen. Vormals isolierte Teilgeschäftsprozesse werden mittels IT zu einem E-Commerce-Geschäftsprozess zusammengeführt. Diese Integration betrifft insbesondere die Bereiche Ein- und Verkauf, Logistik und Produktion und ist durch eine weitgehend automatisierte und internetbasierte Abwicklung gekennzeichnet. Diese Abwicklungsform von E- Commerce-Geschäftsprozessen wird auch als E-Business bezeichnet und findet zunehmend über sog. elektronische Marktplätze, E-Customer- Relationship-Management und E-Procurement statt. (8) Einfluss auf die Rechnungslegung haben vornehmlich die E-Commerce- Aktivitäten Transaktionen und Integration, die Gegenstand der weiteren Betrachtung dieser IDW Stellungnahme zur Rechnungslegung sind. Im Zusammenhang mit der Kommunikation können bereits dokumentationspflichtige Vorgänge vorliegen, z.b. durch den Versand von Erläuterungen bzw. Konkretisierungen zu einem Geschäftsvorfall. 4

5 Differenzierung von E-Commerce nach den beteiligten Wirtschaftssubjekten (9) E-Commerce wird anhand der beteiligten Wirtschaftssubjekte wie folgt eingeteilt: Nachfrager Verbraucher (Consumer) Geschäftspartner (Business) Verwaltung (Administration) Anbieter Geschäfts - partner Verbraucher (Consumer) (Business) C2C C2B C2A B2C B2B B2A Verwaltung (Administration) A2C A2B A2A Im Vordergrund dieser IDW Stellungnahme zur Rechnungslegung stehen die Business-to-Business (B2B) und Business-to-Consumer (B2C)-Beziehungen. (10) Im Business-to-Business-Bereich (B2B) ist sowohl der Anbieter der Lieferung oder Leistung als auch der Nachfrager ein Unternehmen. Die Einsatzmöglichkeiten erstrecken sich hierbei auf alle Wertschöpfungsstufen sowie interne und externe Geschäftsprozesse, wie z.b. Beschaffung, Produktion, Absatz, Zahlungsverkehr, Rechnungswesen, Forschung und Entwicklung oder Personal. Typisch für B2B sind die individuell zwischen den Partnern bestehenden Geschäftsbeziehungen auf der Basis von individuellen Vereinbarungen. Dabei kann es sich sowohl um langfristig ausgehandelte Rahmenverträge als auch um eine einmalige Vertragsbeziehung handeln. (11) Im Business-to-Consumer-Bereich (B2C) ist der Anbieter der Lieferung oder Leistung ein Unternehmen, der Nachfrager ein Verbraucher Rechtliches, technisches und organisatorisches Umfeld Rechtliches Umfeld (12) Neben den rechnungslegungsspezifischen Vorschriften des HGB ( 238 f. HGB) und der Grundsätze ordnungsmäßiger Buchführung (GoB) bestehen beim Einsatz von E-Commerce zahlreiche weitere rechtliche Anforderungen. Diese betreffen beispielsweise den Schutz von personenbezogenen Daten 5

6 oder bei Rechtsgütern wie Urheberschutzrechten das anzuwendende Vertragsrecht. Darüber hinaus sorgt die Internationalität des Internets und damit verbunden die grenzüberschreitende Geschäftsabwicklung für weitere rechtliche Problemstellungen. Diese betreffen z.b. nationale und internationale Rechtsfragen des Handelsrechts, des Steuerrechts, des Strafrechts, des Zivilrechts oder des Datenschutzes. (13) Mit dem Gesetz zur Regelung der Rahmenbedingungen für Informationsund Kommunikationsdienste (IuKDG) hat der Gesetzgeber spezielle Rechtsnormen erlassen, wie z.b. das Gesetz zur digitalen Signatur (SigG), das Teledienstegesetz (TDG), das Teledienstedatenschutzgesetz (TDDSG) und das Fernabsatzgesetz (FernAbsG), um die Rechtssicherheit und die informationelle Selbstbestimmung beim E-Commerce zu gewährleisten. (14) Insbesondere bei WebTrust-Prüfungen (vgl. IDW PS 890) werden die zu den Bereichen Datenschutz und Datensicherheit vom Unternehmen im Internet getätigten Angaben zur Abwicklung des elektronischen Geschäftsverkehrs auf ihre Einhaltung hin überprüft. Werden dem Abschlussprüfer im Rahmen der Durchführung von Abschlussprüfungen schwerwiegende Verstöße der gesetzlichen Vertreter oder der Arbeitnehmer gegen gesetzliche Anforderungen, wie z.b. das BDSG oder das TDDSG, bekannt, so ist hierüber nach 321 Abs. 1 Satz 3 HGB im Prüfungsbericht Bericht zu erstatten Technisches und organisatorisches Umfeld (15) Das Internet ist ein weltweites öffentliches Netz von IT-Systemen, das unter Beachtung von technischen und administrativen Rahmenbedingungen prinzipiell jedem Unternehmen, jeder Institution und jeder Privatperson zur Verfügung steht und in dem standardisierte Dienste bereitgestellt werden. Es erlaubt die elektronische Kommunikation zwischen allen Teilnehmern auf Basis des Internet-Protokolls (IP). Hierzu erhält jeder an das Internet angeschlossene Computer oder jedes andere Endgerät (z.b. Mobiltelefon etc.) seine (dauerhafte oder temporäre) IP-Adresse (zur Erläuterung internetspezifischer Begriffe und Abkürzungen vgl. Anhang 2: Glossar). (16) In der Regel wählen sich private Internetnutzer direkt in das Netzwerk eines Internet-Service-Providers (ISP) ein, während Unternehmen oder Institutionen ihr internes Netzwerk mit dem Netzwerk des ISP (z.b. Router und Firewall) verbinden. Der Router ist die Schnittstelle zwischen dem internen Netzwerk und der Datenleitung zum ISP. Das Firewallsystem soll das interne Netzwerk schützen und sichern. (17) Die technische Abwicklung von E-Commerce ist im Wesentlichen gekennzeichnet durch die Nutzung ungeschützter, öffentlich zugänglicher Netzwerke, die Anonymität der Geschäftspartner, insbesondere im B2C-Bereich, 6

7 den Austausch von Handelsbriefen und Dokumenten, denen Belegfunktion zukommt, in elektronischer Form, Schnittstellen der im Unternehmen eingesetzten IT-Systeme zu öffentlich zugänglichen Netzwerken, wie z.b. zum Internet, automatisierte Geschäftsprozesse, die teilweise auch unternehmensübergreifend ohne personenbezogene Kontrollen oder Sicherungsmaßnahmen abgewickelt werden. 3. Verpflichtungen der gesetzlichen Vertreter im Zusammenhang mit E-Commerce (18) Die gesetzlichen Vertreter haben unabhängig von der eingesetzten Informationstechnologie, den implementierten Geschäftsprozessen oder der angewandten Geschäftsmodelle bei der Verarbeitung rechnungslegungsrelevanter Daten und Informationen die Einhaltung der gesetzlichen Anforderungen an die Ordnungsmäßigkeit der Rechnungslegung sicherzustellen. (19) Die Einhaltung der gesetzlichen Anforderungen beim Einsatz von E- Commerce-Systemen ist von den gesetzlichen Vertreter bei der Entwicklung und Umsetzung der IT-Strategie und des daraus abgeleiteten Sicherheitskonzeptes angemessen zu gewährleisten. Relevant für die Einhaltung der datenschutzrechtlichen Anforderungen sind insbesondere die aus den Sicherheitsanforderungen des IDW ERS FAIT 1 (die in der Anlage 1 im Bezug auf den Einsatz von E-Commerce-Systemen konkretisiert werden) abgeleiteten Maßnahmen. In diesem Zusammenhang ist darauf hinzuweisen, dass die gesetzlichen Anforderungen an den Schutz personenbezogener Daten auch Sicherungsmaßnahmen betreffen, die nicht mit der Rechnungslegung im Zusammenhang stehen, bspw. Sicherungsmaßnahmen des BDSG gegen das unbefugte Abfragen von Daten aller Art (vgl. Stellungnahme FAMA 1/1979: Bundesdatenschutzgesetz und Jahresabschlussprüfung 5 ). 4. Besondere IT-Risiken beim Einsatz von E-Commerce-Systemen Durch den Einsatz von internetbasierten Kommunikationstechnologien, die Erweiterung des Kreises der möglichen Geschäftspartner sowie die Beeinflussung durch Dritte z.b. ISP oder anderer in der Geschäftsabwicklung ergeben sich E-Commerce spezifische Probleme und Risiken. Bei deren Analyse und Wertung kann unterschieden werden zwischen den Risiken, die sich aus der Kommunikation, und den Risiken, die sich aus der Verarbeitung ergeben. 5 WPg 1979, S. 440 ff. 7

8 Internet Internet Service Provider 1 Kommunikation Internet Service Provider 2 E-Commerce- Anwendung Verarbeitung E-Commerce- Anwendung ERP System ERP System Nachfrager Anbieter 4.1. Risiken aus der Kommunikation (20) Die Kommunikation über öffentlich zugängliche Netzwerke beginnt ab dem Punkt, an dem der Absender bewusst die Einwirkungsmöglichkeit über die zu übermittelnden Daten (bspw. Transaktionsdaten) verliert, bis zu dem Punkt, an dem diese Daten dem Empfänger zugehen. (21) Ein Zugang ist dann erfolgt, wenn die übermittelten Daten in einer maschinell und/oder visuell lesbaren Form in den Verantwortungsbereich des Empfängers gelangt sind. Auf dem Weg vom Absender bis zum Empfänger bleibt das Risiko der unvollständigen, unrichtigen oder verspäteten Zustellung bzw. die Nachweispflicht über die erfolgte Zustellung auch bei elektronischer Versendung beim Absender. Entsprechend den herkömmlichen unterschiedlichen Versendungsformen bleibt es ihm überlassen, dieses Risiko u.a. durch elektronische Empfangsbestätigungen zu reduzieren. (22) Darüber hinaus ergeben sich bei der Kommunikation Risiken insbesondere aus der fehlenden Kontrolle über den Datentransfer im Internet, die wie folgt differenziert werden können: Daten werden häufig ohne oder mit unzureichendem Schutz vor Verfälschung übertragen, was zu Integritätsverletzungen führen kann (Verlust der Integrität). Daten werden häufig unverschlüsselt oder unter Verwendung einer unsicheren Verschlüsselung übertragen, was eine Gefährdung der Vertraulichkeit bedeutet (Verlust der Vertraulichkeit). Der Anschluss eines IT-Systems an das Internet birgt die Gefahr, Ziel von Angriffen zu werden, bspw. durch Viren, Trojanische Pferde oder Hacker, 8

9 die zu einer Gefährdung der Verfügbarkeit des IT-Systems führen (Verlust der Verfügbarkeit). Es existieren keine wirksamen Authentisierungsmechanismen zwischen den im Internet angeschlossenen Rechnern, bzw. es ist leicht möglich, falsche Adressen (IP-Spoofing) oder Rechnernamen (DNS-Spoofing) zu verwenden (Verlust der Authentizität). Beim Datentransfer können Hilfsprogramme (Java, Active-X) zu unautorisierten Zugriffen auf IT-Systeme führen (Verlust der Autorisierung). Eine unzureichende Protokollierung der Transaktionsdaten kann dazu führen, dass der Nachweis über die Geschäftstätigkeit nicht hinreichend erbracht werden kann. Darüber hinaus bergen fehlende national sowie international gültige Regelungen bezüglich der internetbasierten Geschäftsabwicklung die Gefahr, dass gewollte Rechtsfolgen nicht bindend herbeigeführt werden können (Verlust der Verbindlichkeit) Risiken aus der Verarbeitung (23) Die Verarbeitung der Transaktionsdaten in der E-Commerce-Anwendung reicht von dem Punkt des Zugangs bis zu dem Punkt, an dem die Daten vom Front-End (Zugangs-/Erfassungssysteme) an die Rechnungslegungssysteme (z.b. ERP-Systeme) übergeben werden. Die Risiken ergeben sich aus der Transaktionsdatenverarbeitung in der E-Commerce-Anwendung sowie insbesondere aus der Konvertierung, Entschlüsselung und Formatierung von Daten in der Schnittstelle zu anderen Teilen des IT-Systemen. (24) Zu den Risiken bei der Verarbeitung führen insbesondere folgende Sachverhalte: Integritätsverletzungen bei Daten führen dazu, dass aufzeichnungspflichtige Geschäftsvorfälle nicht oder unvollständig erfasst werden (Verletzung des Vollständigkeitsgrundsatzes). Mangelnde Authentizität und Autorisierung bewirkt, dass Geschäftsvorfälle inhaltlich unzutreffend abgebildet werden (Verletzung des Grundsatzes der Richtigkeit). Die fehlende Verfügbarkeit des E-Commerce-Systems und eine unzureichende Protokollierung des Datenverkehrs verhindern eine zeitgerechte Aufzeichnung des Geschäftsvorfalls (Verletzung des Grundsatzes der Zeitgerechtigkeit). Eine unzureichende Aufzeichnung der eingehenden Daten kann zu einer Beeinträchtigung der Nachvollziehbarkeit der Buchführung (Verletzung des Grundsatzes der Nachvollziehbarkeit) und zu einem Verstoß gegen die Aufbewahrungspflichten ( 257 HGB) führen. (25) Aufgrund dieser besonderen Risiken beim Einsatz von E-Commerce- Systemen ist die Einhaltung der Sicherheitsanforderung als Voraussetzung 9

10 der Ordnungsmäßigkeit der IT-gestützten Rechnungslegung von besonderer Bedeutung (vgl. IDW ERS FAIT 1, Tz. 19). Die Sicherheitsanforderungen beziehen sich sowohl auf den Übertragungsweg und damit auf die im öffentlichen Netz übertragenen Informationen und durchgeführten Transaktionen, als auch auf die Verarbeitung der Informationen und Transaktionen in den IT- Systeme der Marktpartner. 5. Sicherheit und Ordnungsmäßigkeit beim Einsatz von E-Commerce- Systemen (26) Die Kriterien zur Beurteilung der Ordnungsmäßigkeit und Sicherheit beim Einsatz von IT sind im IDW ERS FAIT 1 dargestellt. Die konkrete Ausgestaltung des IT-Kontrollsystems zur Gewährleistung dieser Sicherheits- und Ordnungsmäßigkeitsanforderungen ist im Einzelfall festzulegen in Abhängigkeit von der Risikosituation und dem daraus abgeleiteten Sicherheitskonzept, das den erforderlichen Grad an Informationssicherheit definiert. (27) Technologiebedingt kann eine IT-Kontrolle sowohl dazu geeignet sein, Sicherheits- als auch Ordnungsmäßigkeitsanforderungen zu gewährleisten. Eine IT-Kontrolle, die bspw. umgesetzt wurde, um die Sicherheitsanforderung Integrität im Bezug auf die Kommunikation zu gewährleisten, kann auch dazu führen, die Ordnungsmäßigkeitsanforderung Vollständigkeit bei der Verarbeitung sicherzustellen. Daher sind die einzelnen IT-Kontrollen nicht nur isoliert zu betrachten, sondern ganzheitlich im Hinblick auf ihr Zusammenwirken im internen Kontrollsystem. Die Besonderheiten zu den Risiken und Anforderungen beim Einsatz von E-Commerce sind im Anhang 1 tabellarisch dargestellt Belegfunktion (28) Die in 238 Abs. 1 Satz 3 HGB geforderte Nachvollziehbarkeit der Geschäftsvorfälle in ihrer Entstehung und Abwicklung setzt voraus, dass die Berechtigung jeder Buchung durch einen Beleg nachgewiesen wird (Grundsatz der Belegbarkeit). Die Belegfunktion ist somit die Grundvoraussetzung für die Beweiskraft der Buchführung. (29) Die für die papiergebundenen Belege geltenden Anforderungen sind analog auch bei Einsatz von E-Commerce zu erfüllen. Aus dem GoB-Bezug in 239 Abs. 4 HGB kann allerdings nicht abgeleitet werden, dass an E-Commerce- Belege höhere Anforderungen als an Papierbelege zu stellen sind. (30) Nicht alle Daten über E-Commerce-Aktivitäten, die beim Empfänger eingehen, führen zu einer Buchung und sind damit als dokumentations- und aufbewahrungspflichtiger Vorgang anzusehen (vgl. aber Tz. 10). Vielmehr sind folgende Voraussetzungen zu erfüllen: Der Vorgang muss durch den Empfänger autorisiert sein. 10

11 Es muss ein buchungspflichtiger Vorgang vorliegen. Der Vorgang muss den Bilanzierenden erreichen. (31) Die Autorisierung soll sicherstellen, dass keine unberechtigten bzw. keine fiktiven Geschäftsvorfälle in das System eingehen. Es muss festgelegt sein, wann, wie und durch wen die Autorisierung erfolgt. (32) Eine elektronische Unterschrift des Absenders bzw. eine Verschlüsselung der Nachrichten ist generell nicht zwingend erforderlich: Eine Buchung aufgrund einer E-Commerce-Transaktion wird nicht durch die Unterschrift oder die digitale Signatur des Absenders bzw. durch die Verschlüsselungstechnik begründet, sondern durch den vom Empfänger als buchungspflichtig erkannten Inhalt der übermittelten Daten. Allerdings ist eine digitale Signatur des Absenders bzw. eine Verschlüsselung der Daten insbesondere in Bereichen mit erhöhten Sicherheitsanforderungen zu empfehlen. Ebenso können digitale Signaturen und Datenverschlüsselungen unverzichtbar sein, wenn anderenfalls eine Akzeptanz der übermittelten Daten nicht begründet werden kann. (33) Sofern E-Commerce-Geschäftprozesse automatisierte Buchungen auf Grundlage der übermittelten Transaktionsdaten auslösen und ein Nachweis durch konventionelle Belege nicht erbracht werden kann, ist die Belegfunktion über den verfahrensmäßigen Nachweis des Zusammenhangs zwischen der jeweiligen E-Commerce-Transaktion und ihrer Buchung zu erfüllen. Nach IDW ERS FAIT 1, Tz. 34 sind nachfolgende Anforderungen zu erfüllen: Dokumentation der programminternen Vorschriften zur Generierung der Buchungen Nachweis, dass die in der Dokumentation enthaltenen Vorschriften einem autorisierten Änderungsverfahren unterlegen haben (u.a. Zugriffsschutz, Versionsführung, Test- und Freigabeverfahren) Nachweis der tatsächlichen Durchführung der einzelnen Buchung Journal- und Kontenfunktion (34) Das Buchführungsverfahren muss gewährleisten, dass die buchungspflichtigen Geschäftsvorfälle sowohl in zeitlicher Ordnung (Journalfunktion) als auch in sachlicher Ordnung (Kontenfunktion) dargestellt werden können. Die Daten müssen innerhalb angemessener Zeit festgestellt und optisch lesbar gemacht werden können ( 239 Abs. 4 HGB). (35) Im Rahmen des E-Commerce gilt diese Forderung in gleicher Weise für die Konvertierung und die Verarbeitung der rechnungslegungsbezogenen Daten in den E-Commerce-Anwendungen. So ist sicherzustellen, dass die versandten bzw. empfangenen Daten chronologisch aufgezeichnet werden sowie die sachliche Ordnung bei Transaktionen mit mehreren Transaktionsschritten gewahrt bleibt. 11

12 (36) Die Erfüllung der Journalfunktion kann durch eine auswertbare Speicherung (Einzelnachweis) der Buchung im E-Commerce-System bei Sammelbuchungen in das Rechnungslegungssystem übertragen werden. Voraussetzung dafür ist, dass im Rahmen des E-Commerce-Systems die Ordnungsmäßigkeitsanforderungen an die Buchführung eingehalten werden. Sofern keine Autorisierung im E-Commerce-System erfolgt, sind die erfassten Daten als Erfassungsprotokolle und nicht als Journale einzustufen (vgl. IDW ERS FAIT 1, Tz. 42) Dokumentation (37) Für die Verfahrensdokumentation von E-Commerce-Systemen gelten die allgemeinen Anforderungen an die Dokumentation von IT-Systemen entsprechend (vgl. IDW ERS FAIT 1, Tz. 13). Aufbau, Inhalt und Umfang der Verfahrensdokumentation müssen es einem sachverständigen Dritten ermöglichen, das Rechnungslegungsverfahren in angemessener Zeit nachvollziehen zu können. (38) Den Schwerpunkt der Verfahrensdokumentation beim Einsatz von E-Commerce bildet die Beschreibung der technischen Einrichtungen und Verfahren zur Verarbeitung und Übertragung der Daten (z.b. Ver- und Entschlüsselung). Dies sind z.b.: Beschreibung der eingesetzten Hard- und Software (z.b. Router, Firewall und Virenscanner) Darstellung der Netzwerkarchitektur, insbesondere die Anbindung an einen ISP Beschreibung der zur Übertragung verwendeten Protokolle (z.b. TCP/IP) Beschreibung der verwendeten Verschlüsselungsverfahren Beschreibung der eingesetzten Signaturverfahren Datenflusspläne vom Eingang der Daten im Unternehmen bis zu den weiterverarbeitenden Rechnungslegungssystemen Beschreibung der Schnittstellen sowie der darauf bezogenen Kontrollen bei mit dem Rechnungslegungssystem nicht integrierten E-Commerce- Systemen Dokumentation der Autorisierungsverfahren einschließlich der Verfahren zur Generierung automatisierter Buchungen Beschreibung der Rechte und Pflichten von beauftragten Providern. (39) Neben den technischen Gegebenheiten sind in der Verfahrensdokumentation auch die organisatorischen Maßnahmen und insbesondere die Kontrollen zur Gewährleistung der Sicherheit und Ordnungsmäßigkeit beim Einsatz von E- Commerce zu beschreiben. Hierzu rechnen beispielsweise Beschreibungen zur 12

13 Selektion und Protokollierung der rechnungslegungsrelevanten Geschäftsvorfälle aus den empfangenen Daten, Abstimmung der vollständigen, richtigen und zeitgerechten Verarbeitung der empfangenen Daten, manuellen Nachkorrektur unvollständiger oder nicht formatgerechter Daten Aufbewahrungspflichten (40) Nicht alle im Zusammenhang mit E-Commerce-Aktivitäten stehenden Daten sind aufbewahrungspflichtig. Gemäß 257 HGB umfasst die Aufbewahrungspflicht die empfangenen und abgesandten Handelsbriefe, Buchungsbelege sowie zum Verständnis der Buchführung erforderlichen Arbeitsanweisungen und sonstige Organisationsunterlagen. (41) Die empfangenen Daten gelten als empfangener Handelsbrief, sofern diese ein Handelsgeschäft betreffen. Sie sind analog 257 Abs. 1 Nr. 2 i.v.m. Abs. 4 HGB für eine Dauer von sechs Jahren aufzubewahren. Um die Beweiskraft der empfangenen Daten sicherzustellen, müssen technische und organisatorische Vorkehrungen gewährleisten, dass ein Verlust oder eine Veränderung des Originalzustands der übermittelten Daten (Originaldaten) über den Zeitraum der gesetzlichen Aufbewahrungsfrist verhindert wird. Werden Konvertierungs- bzw. Signatur- oder Verschlüsselungsverfahren eingesetzt, so ist durch den Buchführungspflichtigen sicherzustellen, dass durch das eingesetzte Konvertierungs- bzw. Entschlüsselungsverfahren die Integrität der in eine lesbare Form überführten Daten (Inhouse-Format), die Authentizität des verwendeten Schlüssels sowie die Unveränderlichkeit der im Inhouse-Format gespeicherten Daten während der gesetzlichen Aufbewahrungsfrist gewährleistet werden. Soweit ein nachweislich zuverlässiges Konvertierungs- bzw. Entschlüsselungsverfahren eingesetzt wird, genügt die Archivierung im Inhouse-Format. Eine redundante Datenhaltung ist in diesem Fall nicht erforderlich. (42) Werden die Originaldaten in verschlüsselter Form gespeichert, sind Schlüssel und Algorithmen zur Entschlüsselung während der gesamten Aufbewahrungsfrist vorzuhalten. Ebenso muss es im Rahmen der Archivierung der zur Entschlüsselung verwendeten Verfahren möglich sein, die Daten in angemessener Zeit lesbar zu machen. Soweit die in verschlüsselter Form gespeicherten eingehenden Handelsbriefe Belegfunktion besitzen, ist zusätzlich eine Archivierung im Inhouse-Format notwendig, also in dem Format und in der Form, in denen der Handelsbrief bei Autorisierung des Geschäftsvorfalls vorgelegen hat. (43) Die Aufbewahrungsfrist für die Daten mit Belegfunktion beträgt gemäß 257 Abs. 1 Nr. 4 i.v.m. Abs. 4 HGB zehn Jahre. 13

14 (44) Vor dem Hintergrund der mit Wirkung ab dem 1. Januar 2002 in Kraft getretenen Änderung der Abgabenordung und dem in diesem Zusammenhang erlassenen BMF-Schreiben "Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen" (GDPdU) wird auf die besonderen Aufbewahrungsanforderungen für Abrechnungen i.s.d. 14 Abs. 4 Satz 2 UStG und für sonstige aufbewahrungspflichtige Unterlagen i.s.d. 147 Abs. 1 AO hingewiesen. Diese Anforderungen betreffen Unterlagen, die in digitalisierter Form übermittelt werden und für die Besteuerung von Bedeutung sind. Nach Auffassung der Finanzverwaltung sind derzeit abweichend von den handelsrechtlichen Anforderungen empfangene Daten in ihrer ursprünglichen Form (Originaldaten) und bei Konvertierung in ein unternehmenseigenes Format (Inhouse-Format) auch in der umgewandelten Form zu archivieren. Diese Anforderung besteht unabhängig davon, ob ein zuverlässiges Konvertierungsverfahren eingesetzt wird. Werden Signatur- bzw. Verschlüsselungsverfahren eingesetzt, so sind die verwendeten Schlüssel und Algorithmen ebenfalls während der gesetzlichen Aufbewahrungsfrist vorzuhalten und sowohl die in verschlüsselter Form erhaltenen Daten als auch die entschlüsselte Form aufzubewahren. Dies gilt unabhängig davon, ob ein zuverlässiges Entschlüsselungsverfahren eingesetzt wird. Aufgrund der steuerrechtlichen Anforderungen kann es deshalb derzeit geboten sein, die Daten redundant, d.h. in der ursprünglichen und in der lesbaren (sog. Inhouse-Format) Form zu archivieren. Auf die darüber hinaus bestehenden zusätzlichen Aufbewahrungspflichten im Zusammenhang mit Abrechnungen i.s.d. 14 Abs. 4 Satz 2 UStG wird hingewiesen. (45) Sofern versandte Daten abgesandten Handelsbriefen gleichzusetzen sind, ergeben sich keine Besonderheiten gegenüber herkömmlichen Verfahren, da 257 Abs. 1 Nr. 3 i.v.m. Abs. 3 Nr. 1 HGB lediglich eine inhaltliche Wiedergabe fordert. Die Verfahrensdokumentation beim Einsatz von E-Commerce ist gemäß 257 Abs. 1 Nr. 1 i.v.m. Abs. 4 HGB zehn Jahre aufzubewahren Aufbewahrungspflichten beim Einsatz von EDI (46) Ebenso wie beim E-Commerce stellt sich generell bei der elektronischen Datenübermittlung die Frage, wie die ausgetauschten elektronischen Nachrichten zu behandeln sind, um den Aufbewahrungspflichten gerecht zu werden. Grundsätzlich sind eingehende EDI-Nachrichten insoweit aufbewahrungspflichtig, als Daten, die über dieses standardisierte Verfahren übermittelt werden, Handelsbrief- oder Belegfunktion entfalten. (47) Zur Archivierung von EDI-Daten, die durch den Empfänger akzeptiert (autorisiert) wurden, bestehen keine besonderen Anforderungen an ein bestimmtes Aufbewahrungsformat. (48) Soweit eine EDI-Nachricht Belegfunktion hat, hat die Archivierung im Inhouse-Format zu erfolgen (vgl. Tz. 46). Das zur Archivierung von EDI-Daten verwendete Verfahren muss sicherstellen, dass die Daten in angemessener 14

15 Zeit lesbar gemacht werden können. Dies kann bei der getrennten Speicherung von Schlüsseldateien und EDI-Nachricht über einen längeren Zeitraum schwierig sein, da hierfür eine exakte Historienführung der Stammdatenänderung Voraussetzung ist. 6. Einrichtung eines E-Commerce-Systems (49) Um die Unternehmensziele zu erreichen und erkannte Risiken zu bewältigen, stimmen die gesetzlichen Vertreter ihre IT-Strategie mit der Unternehmensstrategie ab. Hierfür ist ein angemessenes IT-Kontrollsystem einzurichten. (50) Gegenstand der IT-Strategie ist auch der Einsatz von E-Commerce- Systemen. Daher sind die E-Commerce-Aktivitäten in den Rahmen der IT- Strategie zu integrieren und auch in das Sicherheitskonzept einzubeziehen. Die Überwachung der Umsetzung der IT-Strategie und die Implementierung eines angemessenen und wirksamen IT-Kontrollsystems ist Aufgabe der gesetzlichen Vertreter. (51) Das Sicherheitskonzept umfasst eine Gefährdungs- bzw. Risikoanalyse sowie daraus abgeleitet die Festlegung des angemessenen Sicherheitsniveaus und die sich daraus ergebenden zusätzlichen Sicherungsmaßnahmen. Es muss daher in Übereinstimmung mit der IT-Strategie und der IT-Organisation stehen und eine Bewertung der spezifischen Sicherheitsrisiken der E- Commerce-Aktivitäten des Unternehmens enthalten. Ein solches Sicherheitskonzept wird durch Ausführungsanweisungen etwa im Bereich des IT- Betriebs, des Netzbetriebs und der Administration sowie bei der Gestaltung von Zugriffsschutzverfahren konkretisiert. (52) Wenn Unternehmen ganz oder teilweise Elemente des E-Commerce- Systems auslagern, müssen die gesetzlichen Vertreter beurteilen, wie sich dies auf das IT-Kontrollsystem auswirkt. Die Verantwortlichkeit der gesetzlichen Vertreter des Unternehmens erstreckt sich in diesem Fall auf die ausgelagerten Teile des IT-Systems. Insbesondere für Unternehmen, deren Geschäftstätigkeit ausschließlich oder überwiegend E-Commerce umfasst, können die damit verbundenen IT- Risiken bestandsgefährdend sein. Sie müssen deshalb im Risikofrüherkennungssystem festgestellt, analysiert und bewertet werden. Die risikobezogenen Informationen sind in systematisch geordneter Weise an die verantwortlichen Personen weiterzuleiten (vgl. IDW Prüfungsstandard: Die Prüfung des Risikofrüherkennungssystems nach 317 Abs. 4 HGB (IDW PS 340) 6, Tz. 4) IT-Umfeld und IT-Organisation bei Einsatz von E-Commerce-Systemen (53) Voraussetzung für ein geeignetes IT-Umfeld beim E-Commerce ist eine angemessene Grundeinstellung zum Einsatz von E-Commerce und ein Prob- 6 WPg 1999, S. 658 ff. 15

16 lembewusstsein für mögliche Risiken aus dem Einsatz von E-Commerce- Systemen bei den gesetzlichen Vertretern und den Mitarbeitern. Dies betrifft insbesondere ein ausgeprägtes Bewusstseins für die Sicherheitsrisiken bei der Nutzung des Internets in der Unternehmensorganisation. Dieses ist zugleich eine wesentliche Bedingung für die angemessene Umsetzung des Sicherheitskonzepts. Soweit kein hinreichendes Sicherheitsbewusstsein vorhanden ist, besteht das Risiko, dass die zur Vermeidung von E-Commerce- Risiken umgesetzten Maßnahmen ganz oder teilweise unwirksam bleiben IT-Organisation bei Einsatz von E-Commerce-Systemen (54) Die IT-Organisation umfasst auch die Verantwortlichkeiten und Kompetenzen im Zusammenhang mit dem Einsatz von E-Commerce-Systemen im Unternehmen. Sie beinhaltet insbesondere organisatorische und dem Betrieb angemessene Sicherungs- und Schutzverfahren (z.b. Einsatz von Firewalls zum Schutz vor unautorisierten Systemzugriffen, Einsatz von Intrusion Detection Systemen zur Aufdeckung von unerlaubten Angriffen, Einsatz von kryptographischen Verfahren zur Vermeidung von Datenmanipulationen u.a.). (55) Die Anforderungen an die Gestaltung der IT-Organisation betreffen die Aufbau- und Ablauforganisation des E-Commerce-Systems. Im Rahmen der Aufbauorganisation werden die Verantwortlichkeiten und Kompetenzen im Zusammenhang mit dem Einsatz von E-Commerce-Systemen geregelt. Die Ablauforganisation betrifft sowohl die Organisation der Entwicklung, Einführung und Änderung als auch die Steuerung des Einsatzes von E-Commerce- Anwendungen. Auch im Rahmen des E-Commerce-Betriebs müssen Aufgaben, Kompetenzen und Verantwortlichkeiten der Mitarbeiter klar definiert sein. Übliche Instrumente hierfür sind Prozess- und Funktionsbeschreibungen oder Organisationshandbücher E-Commerce-Infrastruktur (56) Die E-Commerce-Infrastruktur umfasst die technischen Ressourcen und die Regelungen des IT-Betriebs im Bezug auf den Einsatz des E-Commerce- Systems. Dies schließt die notwendige Systemsoftware sowie sonstige Hilfsprogramme ein, die zur Verbindung des IT-Systems mit öffentlichen Netzen, dritten Anwendern und Unternehmen dienen und den ordnungsmäßigen und sicheren Einsatz von E-Commerce- Anwendungen durch geeignete Schutz- und Steuerungsmaßnahmen unterstützt. Die E-Commerce-Infrastruktur umfasst damit typischerweise Komponenten wie z.b. Web-Server, Firewallsysteme als Schutzvorrichtung, Router zur Steuerung des Datenflusses sowie die für die E-Commerce-Dienste erforder- 16

17 liche Software (z.b. Web-Applikationen und Directory Services; http- und Mail-Services sowie Betriebssysteme). Weitere Hilfsprogramme, die z.b. dem Virenschutz oder der Überwachung von Angriffen von außen dienen (Intrusion-Detection-Programme), sind ebenfalls der E-Commerce- Infrastruktur zuzuordnen. (57) Die IT-Ressourcen und die Verfahren für einen sicheren und geordneten IT- Betrieb sollen insbesondere die Integrität und Verfügbarkeit des E-Commerce-Systems auf der Grundlage des Sicherheitskonzepts gewährleisten. (58) Die aus dem Sicherheitskonzept abgeleiteten Sicherungsmaßnahmen umfassen physische Sicherungsmaßnahmen und logische Zugriffskontrollen sowie Datensicherungs- und Auslagerungsverfahren. (59) IT-Grundlage für die Bereitstellung der E-Commerce-Anwendungen und damit für die Realisierung der E-Commerce-Aktivitäten im Internet sind Internet- Server, die entweder von den Unternehmen selbst betrieben oder von Internet-Service-Providern zur Verfügung gestellt werden. Dem entsprechend sind Internet-Server wie die gesamte E-Commerce-Infrastruktur durch physische Sicherungsmaßnahmen zu schützen (vgl. IDW ERS FAIT 1, Tz. 80). (60) Zur Absicherung des E-Commerce-Systems kommen Firewallsysteme zum Einsatz. Sie dienen der Trennung des E-Commerce-Systems und des öffentlich zugänglichen Internets und schützen gegen Angriffe aus dem Internet. Firewallsysteme bestehen aus einer Kombination von Hard- und Software, die als alleiniger Übergang zwischen dem E-Commerce-System des Unternehmens und dem davon zu trennenden Internet (TCP/IP-Netz) dient. Durch den Einsatz von speziellen Firewall-Komponenten (Application- Gateway/Packet-Filter) wird der Datentransfer auf unerwünschte Inhalte hin untersucht bzw. werden unerwünschte Zugriffe unterbunden. Die wesentlichen Hardware-Komponenten der E-Commerce-Infrastruktur sollten redundant ausgelegt sein. (61) Ein weiteres wesentliches Element der E-Commerce-Infrastruktur sind kryptographische Verfahren, die als Hardwarekomponenten oder Softwareprogramme die Integrität, Authentizität und Vertraulichkeit und damit die Ordnungsmäßigkeit und Sicherheit von Daten und Informationen sicherstellen. (62) Bei den Datensicherungs- und Auslagerungsverfahren ergeben sich beim Einsatz von E-Commerce-Systemen Besonderheiten (vgl. IDW ERS FAIT 1, Tz. 82 ff.), soweit diese im Outsourcing betrieben werden. Das Unternehmen muss daher sicherstellen, dass die eingesetzten Datensicherungs- und Auslagerungsverfahren für den dezentralen Betrieb angemessen sind und von den verantwortlichen Stellen (eigene dezentrale Einheiten oder Outsourcingpartner) entsprechend durchgeführt werden. Dies erfordert einerseits zusätzliche interne Überwachungsmaßnahmen, andererseits explizite vertragliche Vereinbarungen und Service Level Agreements mit den Outsourcing- Partnern. 17

18 6.4. E-Commerce-Anwendungen (63) E-Commerce-Anwendungen bilden typischerweise diejenigen Funktionalitäten ab, die für eine Abbildung, Kommunikation und Verarbeitung von E-Commerce-Geschäftsprozessen notwendig sind. Beim Empfänger sind dies die Funktionalitäten, die zur Realisierung der E- Commerce-Aktivitäten über das Internet sowie zur Übernahme und Verarbeitung der über das E-Commerce-System übermittelten Daten notwendig sind, bis diese in dem unternehmenseigenen Format (sog. Inhouse- Format) verarbeitungsfähig vorliegen. Beim Sender sind dies die Funktionalitäten, die die für den Versand über das Internet bestimmten Daten aufbereiten und über die E-Commerce- Infrastruktur übermitteln. Dementsprechend bilden E-Commerce-Anwendungen typischerweise Funktionalitäten der Präsentation, des Datentransfers sowie deren Aufbereitung im Rahmen von Shop-Systemen und elektronischen Marktplätzen ab, oder sind auf die Abwicklung der Bestell- oder Auftragsabwicklungsvorgänge oder des Zahlungsverkehrs ausgerichtet. Soweit rechnungslegungsrelevante Funktionalitäten durch E-Commerce- Anwendungen abgebildet werden, sind die Ordnungsmäßigkeitsanforderungen an die Buchführung einzuhalten; insbesondere muss die Beleg-, Journalund Kontofunktion gewährleistet sein (vgl. IDW ERS FAIT 1). (64) Bei dem Einsatz von E-Commerce-Anwendungen muss gewährleistet sein, dass die in der IT-Strategie in Bezug auf die Funktionalität dieser Anwendungen formulierten Anforderungen eingehalten werden. Neben der Einführung von anwendungsbezogenen IT-Kontrollen müssen generelle Kontrollen dafür sorgen, dass die E-Commerce-Anwendungen den Ordnungsmäßigkeitsanforderungen entsprechen. Dies gilt damit auch für die verarbeiteten Daten, die direkt in das Rechnungslegungssystem eingehen. Diese Forderung betrifft sowohl die Verarbeitungsfunktionalitäten als auch die sicherheitsrelevanten Funktionalitäten wie den Zugriffsschutz, die Sicherungs- und Wiederanlaufverfahren sowie die Programmentwicklung, -wartung und -freigabe (vgl. IDW ERS FAIT 1, Tz. 90 ff.) E-Commerce Geschäftsprozesse (65) Die Implementierung von E-Commerce-Geschäftsprozessen führt prinzipiell zu einer ganzheitlichen Betrachtung und Analyse aller mit dem E-Commerce- Geschäftsprozess im Zusammenhang stehenden Wertschöpfungsprozesse, wobei operative Logistik- und Produktionsprozesse nur eine Teilmenge bilden. Insbesondere bei unternehmensübergreifenden E-Commerce- Geschäftsprozessen (Integration) kann es notwendig sein, Geschäftprozesse, die externe Geschäftsbeziehungen betreffen, zu restrukturieren und neu 18

19 auszurichten. Dabei ist es für eine sachgerechte Umsetzung der Unternehmensstrategie, von entscheidender Bedeutung, dass die Einrichtung des E-Commerce-Systems sowie der betroffenen E-Commerce- Geschäftsprozesse in Übereinstimmung mit der IT-Strategie und dem Sicherheitskonzept erfolgt. (66) Insbesondere E-Commerce-Aktivitäten in Form der Transaktion und Integration führen dazu, dass Informationen und Daten über betriebliche Aktivitäten direkt in das Rechnungslegungssystem, und damit in die IT-gestützte Rechnungslegung, einfließen. Komplexe E-Commerce-Geschäftsprozesse können mit ihren Teilprozessen mehrere funktionale Bereiche im Unternehmen mit nicht integrierten Bestandteilen von IT-Anwendungen bzw. der IT-Infrastruktur betreffen. Bei unternehmensübergreifenden Wertschöpfungsketten sind komplexe rechnungslegungsrelevante E-Commerce-Geschäftsprozesse durch eine direkte Übernahme der Transaktionsdaten vom Geschäftspartner in das E-Commerce-System gekennzeichnet, was zu einer Vermeidung von Mehrfacherfassungen und Medienbrüchen führt. Damit verbunden ist die vermehrte Anbindung von IT-Anwendungen an das E-Commerce-System, die somit den Geschäftspartnern (so genannte available-to-promise- Applikationen ) zur Bestätigung von Aufträgen oder Lieferzeitpunkten zur Verfügung gestellt werden. Hier birgt eine auf Teilsysteme ausgerichtete Analyse der Sicherheits- und Ordnungsmäßigkeitsrisiken sowie eine auf den Funktionsbereich isoliert ausgerichtete Implementierung des IT- Kontrollsystems die Gefahr, dass Risiken aus dem geschäftsprozessbedingten Datenaustausch zwischen den Teilsystemen unberücksichtigt bleiben. Damit im Zusammenhang steht auch die Gefahr einer mangelnden Berücksichtigung der systemtechnischen Zusammenhänge. Sie beinhaltet die Gefahr, dass bspw. Zugriffsrechte oder Datensicherungsmaßnahmen lediglich bezüglich der einzelnen IT-Teilsysteme wirksam sind und damit für den Teilprozess, jedoch nicht für den Gesamtprozess. (67) Beim Einsatz internetbasierter Kommunikationsprotokolle, wie z.b. TCP/IP, Datentransferformate wie bspw. XML (Extended Markup Language), XBRL (Extensible Business Reporting Language) oder im Falle von EDI bei der Nutzung strukturierter und normierter Datentransferformate besteht aufgrund unzureichender implementierter Schnittstellen oder nicht sachgerecht konfigurierter Konvertierungsprogramme die Gefahr, dass Daten unvollständig oder unrichtig in das weiterzuverarbeitenden Inhouse-Format überführt werden. Wesentliche Voraussetzung für eine vollständige und richtige Weiterverarbeitung im Rechnungslegungssystem ist die sachgerechte Implementierung von Schnittstellen- und Konvertierungsprogrammen, deren korrekte Funktionsweise durch prozessintegrierte Kontrollen und Sicherungsmaßnahmen zu gewährleisten ist. In diesem Zusammenhang kommt der Protokollierung des Datentransfers auf Schnittstellenebene besondere Bedeutung zu. Neben einer automatischen Protokollierung ist die Einrichtung von Eskalationsverfahren sicherzustellen, die unvollständige bzw. fehlerbehaftete 19

20 Transaktionsdatensätze ggf. automatisch an die verantwortliche Stelle zur Sachverhaltsklärung weiterleiten Überwachung des IT-Kontrollsystems bei Einsatz von E-Commerce- Systemen (68) Unter der Überwachung des IT-Kontrollsystems beim Einsatz von E-Commerce-Systemen ist die prozessunabhängige Beurteilung der Wirksamkeit des E-Commercere-relevanten IT-Kontrollsystems im Zeitablauf zu verstehen. Dabei ist zu beurteilen, ob das IT-Kontrollsystem sowohl angemessen ist, als auch kontinuierlich funktioniert. Darüber hinaus haben die gesetzlichen Vertreter dafür Sorge zu tragen, dass festgestellte Mängel im IT-Kontrollsystem abgestellt werden. (69) IT-Kontrollsysteme sind beim Einsatz von E-Commerce-Systemen um diejenigen Grundsätze, Verfahren und Maßnahmen (Regelungen) zu ergänzen bzw. zu erweitern, die zur Bewältigung der IT-Risiken aus dem Einsatz der Durchführung von E-Commerce resultieren. Hierzu gehören Regelungen zur Steuerung des Einsatzes von E-Commerce im Unternehmen (internes Steuerungssystem) und Regelungen zur Überwachung der Einhaltung dieser Regelungen (internes Überwachungssystem) (vgl. IDW Prüfungsstandard: Das interne Kontrollsystem im Rahmen der Abschlussprüfung (IDW PS 260) 7, Tz. 5, 6). (70) Zu den E-Commerce-bezogenen IT-Kontrollen zählen die prozessintegrierten Kontrollen und organisatorischen Sicherungsmaßnahmen (z.b. die Überprüfung von Dateiinhalten in der Firewall) ebenso wie die generellen Kontrollen, die sich auf das gesamte E-Commerce-System auswirken (z.b. im Rahmen der Entwicklung von E-Commerce-Anwendungen, Changemanagement). Die prozessunabhängigen Überwachungsmaßnahmen werden durch die Interne Revision oder durch unmittelbare Überwachungsmaßnahmen der gesetzlichen Vertreter durchgeführt. Dies erfolgt beispielsweise in der Form von Abweichungsanalysen bzw. anhand der Feststellung des Zielerreichungsgrades der umgesetzten IT-Strategie. (71) Neben der Beurteilung der sachgerechten Umsetzung der IT-Strategie in Übereinstimmung mit der Unternehmensstrategie sind in regelmäßigen Abständen das Sicherheitskonzept und das eingerichtete IT-Kontrollsystem insbesondere im Hinblick auf die sehr kurzen Innovationszyklen im Bereich der Sicherheitstechnologie auf ihre Angemessenheit und Wirksamkeit hin zu überwachen. (72) Für die kontinuierliche Überwachung der Angemessenheit und Wirksamkeit des IT-Kontrollsystems bietet sich bspw. der Einsatz spezieller Programme ( Scanner ) an, die systematisch nach Sicherheitslücken suchen. Zudem haben sich programmgestützte Angriffssimulationen (Penetration-Test- 7 WPg 2001, S. 821 ff. 20

IDW-RS-FAIT-2 - IDW Stellungnahme zur Rechnungslegung: Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Electronic Commerce (IDW RS FAIT 2)

IDW-RS-FAIT-2 - IDW Stellungnahme zur Rechnungslegung: Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Electronic Commerce (IDW RS FAIT 2) Institut der Wirtschaftsprüfer - Fachausschuss für Informationstechnologie (FAIT) Stellungnahme vom 29.09.2003 0800686 IDW-RS-FAIT-2 - IDW Stellungnahme zur Rechnungslegung: Grundsätze ordnungsmäßiger

Mehr

Compliance im Rechnungswesen Anforderungen an die IT

Compliance im Rechnungswesen Anforderungen an die IT Information Risk Management Compliance im Rechnungswesen Anforderungen an die IT Dietmar Hoffmann Köln, 3. Mai 2007 ADVISORY Inhalt 1 Überblick 2 Rechtliche Rahmenbedingungen 3 Auswirkungen 4 Prüfungen

Mehr

Einsatz neuer Technologien - e-commerce und e-invoice aus der Sicht von Wirtschaftsprüfung und Steuerberatung. Northeim, 7.

Einsatz neuer Technologien - e-commerce und e-invoice aus der Sicht von Wirtschaftsprüfung und Steuerberatung. Northeim, 7. Einsatz neuer Technologien - e-commerce und e-invoice aus der Sicht von Wirtschaftsprüfung und Steuerberatung Northeim, 7. März 2013 Einsatz neuer Technologien - e-commerce Als e-commerce-aktivitäten werden

Mehr

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten?

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Hamburg/Osnabrück/Bremen 18./25./26. November 2014 Gerd Malert Agenda 1. Kernziele des Gesetzesentwurfes 2.

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: Energieversorgung Marienberg

Mehr

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit Elektronische Signatur praktischer Nutzen für Unternehmen Grundlagen der Informationssicherheit Knut Haufe Studium der Wirtschaftsinformatik an der Technischen Universität Ilmenau Vom Bundesamt für Sicherheit

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: und Energieversorgung Pirna

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI) (Stand: 20110101)

Vereinbarung über den elektronischen Datenaustausch (EDI) (Stand: 20110101) Vereinbarung über den elektronischen Datenaustausch (EDI) (Stand: 20110101) RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: und Energie

Mehr

WBH Wirtschaftsberatung GmbH Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft Hannover K U R Z T E S T A T

WBH Wirtschaftsberatung GmbH Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft Hannover K U R Z T E S T A T Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft Hannover K U R Z T E S T A T über die Softwarezertifizierung des Programms tacoss.etrade Tacoss Software GmbH Tarp Inhaltsverzeichnis Seite 1.

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: Stadtwerke Kaltenkirchen

Mehr

Neue Herausforderung für kleine und mittlere Unternehmen.

Neue Herausforderung für kleine und mittlere Unternehmen. E-Mail-Archivierung Neue Herausforderung für kleine und mittlere Unternehmen. Dipl. Ing. Detlev Bonkamp E-Mail-Archivierung: Motivation Gesetzliche Vorgaben GDPdU (Grundsätze zum Datenzugriff und zur Prüfbarkeit

Mehr

Herzlich Willkommen. IT-Compliance. Hans Lemke. IT-Compliance. März 2015

Herzlich Willkommen. IT-Compliance. Hans Lemke. IT-Compliance. März 2015 März 2015 Herzlich Willkommen IT-Compliance Hans Lemke Rechtlicher Hinweis: Die in diesem Dokument enthaltenen Informationdienen einem ersten Überblick und stellen keine Rechtsberatung dar. Wenden Sie

Mehr

Vereinbarung über den elektronischen Datenaustausch

Vereinbarung über den elektronischen Datenaustausch Vereinbarung über den elektronischen Datenaustausch RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: Stadtwerke Heidelberg Netze GmbH

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) Zwischen dem Netzbetreiber Strom und Gas Netze BW GmbH Schelmenwasenstr. 15, 70567 Stuttgart und dem Lieferanten / dem Transportkunden: Name:.

Mehr

FAQ-Katalog zur Musterverfahrensdokumentation

FAQ-Katalog zur Musterverfahrensdokumentation FAQ-Katalog zur Musterverfahrensdokumentation Nr. Frage Antwort 1 Befasst sich die Musterverfahrensdokumentation (MVD) auch mit der Behandlung elektronischer Dokumente (E-Rechnung, elektronische Kontoauszüge,

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI) Gas

Vereinbarung über den elektronischen Datenaustausch (EDI) Gas Vereinbarung über den elektronischen Datenaustausch (EDI) Gas RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: Netzbetreiber Stadtwerke

Mehr

Mustervereinbarung über den elektronischen Datenaustausch (EDI)

Mustervereinbarung über den elektronischen Datenaustausch (EDI) Mustervereinbarung über den elektronischen Datenaustausch (EDI) RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: Energie Calw GmbH

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: und Stadtwerke Bad Salzuflen

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) zwischen Kraftwerk Köhlgartenwiese GmbH Tegernauer Ortsstraße 9 79692 Kleines Wiesental und - nachfolgend die Vertragspartner genannt Seite 1 von

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: und Stadtwerke Marburg GmbH,

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: Transportkunde und Energieversorgung

Mehr

Vereinbarung über den elektronischen Datenaustausch. EDI-Rahmenvertrag

Vereinbarung über den elektronischen Datenaustausch. EDI-Rahmenvertrag Vereinbarung über den elektronischen Datenaustausch EDI-Rahmenvertrag zwischen den Stadtwerken Esslingen am Neckar GmbH & Co. KG in 73728 Esslingen am Neckar, Fleischmannstraße 50 - im Folgenden "Netzbetreiber"

Mehr

RECHTLICHE BESTIMMUNGEN

RECHTLICHE BESTIMMUNGEN Seite 1 von 5 Anlage 4 zum Netznutzungsvertrag (Erdgas) EDI-Rahmenvereinbarung RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen zwischen: Alliander Netz

Mehr

BSI Technische Richtlinie 03125 Vertrauenswürdige elektronische Langzeitspeicherung

BSI Technische Richtlinie 03125 Vertrauenswürdige elektronische Langzeitspeicherung An den Präsidenten des Bundesamts für Sicherheit in der Informationstechnik Herrn Michael Hange Postfach 200363 53133 Bonn Düsseldorf, 11. August 2010 495/550 BSI Technische Richtlinie 03125 Vertrauenswürdige

Mehr

Anlage 3 zum Lieferantenrahmenvertrag nach KOV 8

Anlage 3 zum Lieferantenrahmenvertrag nach KOV 8 Anlage 3 zum Lieferantenrahmenvertrag nach KOV 8 Vereinbarung über den elektronischen Datenaustausch (EDI) RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird zwischen

Mehr

Mustervereinbarung über den elektronischen Datenaustausch (EDI)

Mustervereinbarung über den elektronischen Datenaustausch (EDI) Mustervereinbarung über den elektronischen Datenaustausch (EDI) RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: Stadtwerke Waldkirch

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: EVI Energieversorgung Hildesheim

Mehr

IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS

IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS 5. IT-Grundschutz-Tag 23.11.2011 Björn Schulz Agenda 1. Einleitung + Ausgangslage 2. Anforderungen 3. IT-Strukturanalyse 4. Fazit

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) Zwischen Stadtwerke Merseburg GmbH Große Ritterstraße 9 06217 Merseburg VDEW-Nr.: 9900964000008 (nachfolgend Netzbetreiber genannt) und Name Straße

Mehr

Rechtliche Anforderungen am Beispiel der E-Mail-Archivierung

Rechtliche Anforderungen am Beispiel der E-Mail-Archivierung Rechtliche Anforderungen am Beispiel der E-Mail-Archivierung KUMAtronik Systemhaus GmbH Vortrag zur symantec-veranstaltung am 24.04.2007 (it.sec) Inhalt: 1. Rechtliche Anforderungen an E-Mails 2. Compliance-Anforderungen

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI) Strom

Vereinbarung über den elektronischen Datenaustausch (EDI) Strom Ergänzung zum Lieferantenrahmenvertrag Strom Vereinbarung über den elektronischen Datenaustausch (EDI) Strom RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen

Mehr

Lieferantenrahmenvertrag Gas Anlage 3 Mustervereinbarung über den elektronischen Datenaustausch (EDI) RECHTLICHE BESTIMMUNGEN

Lieferantenrahmenvertrag Gas Anlage 3 Mustervereinbarung über den elektronischen Datenaustausch (EDI) RECHTLICHE BESTIMMUNGEN RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen wird getroffen von und zwischen: NEW Schwalm-Nette Netz GmbH Rektoratstraße 18 41747 Viersen 9870115400002 und «Lieferant» «Straße» «PLZ»

Mehr

RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen:

RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: Anlage 3: Vereinbarung über den elektronischen Datenaustausch (EDI) RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: Strom- und Gasversorgung

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen zwischen: Greizer Energienetze GmbH Mollbergstr. 20 07973 Greiz (Verteilnetzbetreiber)

Mehr

Sehr geehrte Damen und Herren

Sehr geehrte Damen und Herren Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD) Sehr geehrte Damen und Herren das Schlagwort GoBD

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Anlage c zum Netznutzungsvertrag Vereinbarung über den elektronischen Datenaustausch (EDI) zwischen Stadtwerke Heilbad Heiligenstadt GmbH Schlachthofstraße 8 37308 Heilbad Heiligenstadt und nachfolgend

Mehr

SÜC Energie und H 2 O GmbH Anlage 2

SÜC Energie und H 2 O GmbH Anlage 2 Anlage 2 Vereinbarung über den elektronischen Datenaustausch (EDI Vereinbarung) zwischen, vertreten durch,, und SÜC Energie und H 2 O GmbH (SÜC), vertreten durch den Geschäftsführer Götz-Ulrich Luttenberger,

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: Stadtwerke Bamberg Energie-

Mehr

2.4.7 Zugriffsprotokoll und Kontrollen

2.4.7 Zugriffsprotokoll und Kontrollen 2.4.7 Zugriffsprotokoll und Kontrollen Die Vermeidung der missbräuchlichen Nutzung von personenbezogenen oder personenbeziehbaren Daten ist ein Kernpunkt der Regelungen zum Einsatz von Personalinformationssystemen.

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) Hinweis: Vorliegende EDI-Vereinbarung basiert auf der BDEW Mustervereinbarung über den elektronischen Datenaustausch. Artikel 1 Zielsetzung und

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) zwischen Stadtwerke Rees GmbH Melatenweg 171 46459 Rees (Netzbetreiber) und (Transportkunde) - einzeln oder zusammen Parteien genannt - EDI Rahmenvertrag

Mehr

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz Tabelle: Maßn und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz (Verweis aus Maß M 7.5) Basierend auf den IT-Grundschutz-Katalogen Version 2006 Stand: November 2006, Stand der Tabelle: 22.08.07

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) zwischen Stromnetz Berlin GmbH Puschkinallee 52 12435 Berlin und nachfolgend die Vertragspartner genannt 2016 1 Zielsetzung und Geltungsbereich

Mehr

Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) (BMF-Schreiben vom 16. Juli 2001 - IV D 2 - S 0316-136/01 -)

Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) (BMF-Schreiben vom 16. Juli 2001 - IV D 2 - S 0316-136/01 -) Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) (BMF-Schreiben vom 16. Juli 2001 - IV D 2 - S 0316-136/01 -) Unter Bezugnahme auf das Ergebnis der Erörterungen mit den obersten

Mehr

MM-2-111-403-00. IT-Sicherheit

MM-2-111-403-00. IT-Sicherheit MM-2-111-403-00 Rev. Nr.: 01 Rev. Datum: 26.03.2014 Nächste Rev.: 26.03.2017 MM-2-111-403-00 IT-Sicherheit Seite: 1 / 8 MM-2-111-403-00 Rev. Nr.: 01 Rev. Datum: 26.03.2014 Nächste Rev.: 26.03.2017 Ziel

Mehr

Elektronische Rechnungen Compliance, Chancen, Risiken und erste Erfahrungen aus der neuen Rechtslage

Elektronische Rechnungen Compliance, Chancen, Risiken und erste Erfahrungen aus der neuen Rechtslage Elektronische Rechnungen Compliance, Chancen, Risiken und erste Erfahrungen aus der neuen Rechtslage Stefan Groß Steuerberater CISA (Certified Information Systems Auditor) Compliance bei elektronischen

Mehr

Anlage 3 zum Lieferantenrahmenvertrag

Anlage 3 zum Lieferantenrahmenvertrag Anlage 3 zum Lieferantenrahmenvertrag Mustervereinbarung über den elektronischen Datenaustausch (EDI) Artikel 1 Zielsetzung und Geltungsbereich 1.1 Die "EDI-Vereinbarung", nachfolgend "die Vereinbarung"

Mehr

Anlage 3: Mustervereinbarung über den elektronischen Datenaustausch (EDI)

Anlage 3: Mustervereinbarung über den elektronischen Datenaustausch (EDI) Anlage 3: Mustervereinbarung über den elektronischen Datenaustausch (EDI) RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den wird getroffen von und zwischen: Gasversorgung Pforzheim Land GmbH, Sandweg 22,

Mehr

Workshop: Digitale Betriebsprüfung und Verfahrensdokumentation Teil 2

Workshop: Digitale Betriebsprüfung und Verfahrensdokumentation Teil 2 Kurzvorstellung der AvenDATA GmbH Workshop: Digitale Betriebsprüfung und Verfahrensdokumentation Teil 2 Referent: Emanuel Böminghaus Copyright AvenDATA GmbH 2006, Referent Emanuel Böminghaus GDPdU - Erfahrungen

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) zwischen Netrion GmbH Luisenring 49 68159 Mannheim und Musterwerke GmbH Musterstraße 11 12345 Musterstadt nachfolgend "die Parteien" genannt. Seite

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: Stadtwerke Bexbach GmbH

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: und nachfolgend "die Parteien"

Mehr

Datenschutz-Vereinbarung

Datenschutz-Vereinbarung Datenschutz-Vereinbarung zwischen intersales AG Internet Commerce Weinsbergstr. 190 50825 Köln, Deutschland im Folgenden intersales genannt und [ergänzen] im Folgenden Kunde genannt - 1 - 1. Präambel Die

Mehr

Prüfungsbericht. IDEAL Lebensversicherung a.g. Berlin

Prüfungsbericht. IDEAL Lebensversicherung a.g. Berlin Prüfungsbericht IDEAL Lebensversicherung a.g. Berlin Prüfungsbericht zur Angemessenheit des Compliance-Management- Systems der IDEAL Lebensversicherung a.g. zur Umsetzung geeigneter Grundsätze und Maßnahmen

Mehr

Rahmenvereinbarung über den elektronischen Datenaustausch (EDI)

Rahmenvereinbarung über den elektronischen Datenaustausch (EDI) Seite 1 von 5 Rahmenvereinbarung über den elektronischen Datenaustausch (EDI) RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen zwischen: Alliander Netz

Mehr

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) I. Ziel des Datenschutzkonzeptes Das Datenschutzkonzept stellt eine zusammenfassende Dokumentation der datenschutzrechtlichen Aspekte

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen:, Unterkotzauer Weg 25, 95028

Mehr

Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten.

Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten. AT 9 der MaRisk Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten. MC-Bankrevision, www.mc-bankrevision.de Stand 18.04.2013 1 Outsourcing nach AT 9 der MaRisk

Mehr

Wir begrüßen Sie herzlich zum Workshop. Digitale Archivierung im Rahmen der GoBD

Wir begrüßen Sie herzlich zum Workshop. Digitale Archivierung im Rahmen der GoBD Wir begrüßen Sie herzlich zum Workshop Digitale Archivierung im Rahmen der GoBD 1 Ihre Referenten Harald Hensle Frank Behrens In Kooperation mit: Stb. Oliver Frank 2 Agenda GoBD seit 01.01.2015 (Frank

Mehr

Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3

Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3 Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3 53227 Bonn Copyright Scopevisio AG. All rights reserved. Seite 1 von 11 Copyright Scopevisio AG. All rights reserved. Seite 2 von 11 Inhalt

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI) zwischen. Schleswiger Stadtwerke GmbH. Werkstraße 1. 24837 Schleswig.

Vereinbarung über den elektronischen Datenaustausch (EDI) zwischen. Schleswiger Stadtwerke GmbH. Werkstraße 1. 24837 Schleswig. Vereinbarung über den elektronischen Datenaustausch (EDI) zwischen Schleswiger Stadtwerke GmbH Werkstraße 1 24837 Schleswig und (im Folgenden Parteien genannt) Artikel 1 Zielsetzung und Geltungsbereich

Mehr

Häufig gestellte Fragen zur Musterverfahrensdokumentation zum ersetzenden Scannen* (FAQ-Katalog)

Häufig gestellte Fragen zur Musterverfahrensdokumentation zum ersetzenden Scannen* (FAQ-Katalog) Häufig gestellte Fragen zur Musterverfahrensdokumentation zum ersetzenden Scannen* (FAQ-Katalog) Der Deutsche Steuerberaterverband e.v. (DStV) und die Bundessteuerberaterkammer (BStBK) haben den nachfolgenden

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: Stadtwerke Kulmbach, Schützenstraße

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) zwischen - Flughafen Köln/Bonn GmbH, Heinrich-Steinmann-Str. 12, 51147 Köln BDEW Codenummer: 007353/9907353000003 Steuernummer: 216/5706/0162;

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) zwischen Mainfranken Netze GmbH Haugerring 6 97070 Würzburg und - nachfolgend die Vertragspartner genannt Stand 16.04.2015 Seite 1 von 5 1. Zielsetzung

Mehr

Anlage 3 Vereinbarung über den elektronischen Datenaustausch (EDI)

Anlage 3 Vereinbarung über den elektronischen Datenaustausch (EDI) Anlage 3 Vereinbarung über den elektronischen Datenaustausch (EDI) RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: Stadtwerke Rinteln

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI) Gas

Vereinbarung über den elektronischen Datenaustausch (EDI) Gas Vereinbarung über den elektronischen Datenaustausch (EDI) Gas zwischen SWK NETZE GmbH St. Töniser Str. 124 47804 Krefeld 9870040700006 (Netzbetreiber) und. (Lieferant) nachfolgend "Parteien" genannt Seite

Mehr

Rechtslage. Folgen und Sanktionen bei Nichtbeachtung bzw. Verstoß

Rechtslage. Folgen und Sanktionen bei Nichtbeachtung bzw. Verstoß Seit 1937 Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD), veröffentlicht vom Bundesministerium der

Mehr

IT-Outsourcing aus Sicht der Wirtschaftsprüfer

IT-Outsourcing aus Sicht der Wirtschaftsprüfer IT-Outsourcing aus Sicht der Wirtschaftsprüfer Roundtable der matrix technology AG München, 6. November 2008 Lothar Schulz Wirtschaftsprüfer - Steuerberater Prüfer für Qualitätskontrolle AGENDA 1. IT-Prüfung

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI) für den Bereich Strom

Vereinbarung über den elektronischen Datenaustausch (EDI) für den Bereich Strom Anlage c Vereinbarung über den elektronischen Datenaustausch (EDI) für den Bereich Strom zwischen Stadtwerke Kleve GmbH Flutstraße 36 47533 Kleve und Lieferant Straße Hausnummer PLZ Ort - nachfolgend die

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) RECHTLICHE BESTIMMUNGEN Die Mustervereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: Stadtwerke Suhl/ Zella-Mehlis

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: Stadtwerke Torgau GmbH,

Mehr

Anlage 3: EDI-Rahmenvertrag

Anlage 3: EDI-Rahmenvertrag Anlage 3: EDI-Rahmenvertrag Rechtliche Bestimmungen Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: TaunaGas Oberursel (Taunus) GmbH Oberurseler Str. 55-57

Mehr

Warum digitalisieren?

Warum digitalisieren? Warum digitalisieren? Dokumente sind sofort verfügbar und einsehbar. Gleichzeitige Akteneinsicht, Zugriffsschutz durch eindeutige Identifikation und Autorisation (Administrator erforderlich. Schnelle und

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) zwischen: Infrasite Griesheim GmbH Stroofstraße 27 65933 Frankfurt am Main und (Netznutzer) - nachfolgend "die Vertragspartner" genannt - Seite

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) zwischen Stromversorgung Seebruck eg Haushoferstraße 20 83358 Seebruck und - nachfolgend die Vertragspartner genannt Seite 1 von 6 1 Zielsetzung

Mehr

Anlage c zum Netznutzungsvertrag (Strom) Vereinbarung über den elektronischen Datenaustausch (EDI)

Anlage c zum Netznutzungsvertrag (Strom) Vereinbarung über den elektronischen Datenaustausch (EDI) Anlage c zum Netznutzungsvertrag (Strom) Vereinbarung über den elektronischen Datenaustausch (EDI) Zwischen Stadtwerke Bad Saulgau Moosheimer Straße 28 88348 Bad Saulgau und - nachfolgend die Vertragspartner

Mehr

Rechtssicherer Austausch elektronischer Rechnungen: Umsatzsteuerliche und buchhalterische Aspekte

Rechtssicherer Austausch elektronischer Rechnungen: Umsatzsteuerliche und buchhalterische Aspekte Rechtssicherer Austausch elektronischer Rechnungen: Umsatzsteuerliche und buchhalterische Aspekte Stefan Groß Steuerberater CISA (Certified Information Systems Auditor) Rechtssicherer Austausch elektronischer

Mehr

VEREINBARUNG ÜBER DEN ELEKTRONISCHEN DATENAUSTAUSCH (EDI)

VEREINBARUNG ÜBER DEN ELEKTRONISCHEN DATENAUSTAUSCH (EDI) VEREINBARUNG ÜBER DEN ELEKTRONISCHEN DATENAUSTAUSCH (EDI) zwischen : Dortmunder Netz GmbH Günter-Samtlebe-Platz 1 44135 Dortmund und : nachstehend die Parteien genannt Dortmunder Netz GmbH www.do-netz.de

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) zwischen Stadtwerke Bebra GmbH, Wiesenweg 1,36179 Bebra. (Name, Adresse) und. (Name, Adresse) - nachfolgend die Vertragspartner genannt Seite 1

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: enwag energie- und wassergesellschaft

Mehr

FiBu 4.0 Skonto statt Mahngebühren und Finden statt Suchen mit e-rechnung

FiBu 4.0 Skonto statt Mahngebühren und Finden statt Suchen mit e-rechnung Herzlich Willkommen zu FiBu 4.0 Skonto statt Mahngebühren und Finden statt Suchen mit e-rechnung Wer sind wir? Warum soll ich überhaupt was umstellen? In vielen Unternehmen ist es immer noch gängige Praxis,

Mehr

Vereinbarung über den Elektronischen Datenaustausch (EDI)

Vereinbarung über den Elektronischen Datenaustausch (EDI) Vereinbarung über den Elektronischen Datenaustausch (EDI) zwischen und Energie- und Wasserversorgung Bruchsal GmbH Schnabel-Henning-Straße 1a 76646 Bruchsal im Folgenden Parteien genannt EDI Stand 10.2009

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Anlage 3 Vereinbarung über den elektronischen Datenaustausch (EDI) 1 Zielsetzung und Geltungsbereich 1.1 Die "EDI-Vereinbarung", nachfolgend "die Vereinbarung" genannt, legt die rechtlichen Bedingungen

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: Stadtwerke Konstanz GmbH

Mehr

erechnung Uwe K. Franz aus steuerlicher und rechtlicher Sicht Fachanwalt für Handels- und Gesellschaftsrecht Cornea Franz Rechtsanwälte

erechnung Uwe K. Franz aus steuerlicher und rechtlicher Sicht Fachanwalt für Handels- und Gesellschaftsrecht Cornea Franz Rechtsanwälte erechnung aus steuerlicher und rechtlicher Sicht Uwe K. Franz Rechtsanwalt Fachanwalt für Steuerrecht Fachanwalt für Handels- und Gesellschaftsrecht Cornea Franz Rechtsanwälte 1 Bedeutung der Rechnung

Mehr

EDI-Rahmenvereinbarung

EDI-Rahmenvereinbarung EDI-Rahmenvereinbarung über den elektronischen Datenaustausch der RECHTLICHE BESTIMMUNGEN - Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen zwischen: Sandkaule 2 53111 Bonn

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) Rechtliche Bestimmungen Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: Stadtwerke Premnitz GmbH

Mehr

Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen:

Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: Anlage 3: Vereinbarung über den elektronischen Datenaustausch (EDI) RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: Stadtwerke Erkrath

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: NRM Netzdienste Rhein-Main

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) zwischen Gemeindewerke Baiersbronn Neumühleweg 11 72270 Baiersbronn und......... - nachfolgend die Vertragspartner genannt - Gemeindewerke Baiersbronn

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) zwischen und, Ludwigshafener Straße 4, 65929 Frankfurt am Main - im Folgenden die Parteien genannt - 1 Zielsetzung und Geltungsbereich 1.1 Die

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: ZVO Energie GmbH und...

Mehr

10.15 Frühstückspause

10.15 Frühstückspause 9:00 Begrüßung und Vorstellung der Agenda 9:15 10.15 Datenschutz, Compliance und Informationssicherheit: Wie halten Sie es mit Ihren Daten? Aktuelle Herausforderungen für mittelständische Unternehmen Thomas

Mehr

Mustervereinbarung über den elektronischen Datenaustausch (EDI)

Mustervereinbarung über den elektronischen Datenaustausch (EDI) Mustervereinbarung über den elektronischen Datenaustausch (EDI) Rechtliche Bestimmungen Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: Stadtwerke Zweibrücken

Mehr

GÖRG Wir beraten Unternehmer.

GÖRG Wir beraten Unternehmer. GÖRG Partnerschaft von Rechtsanwälten München Berlin Essen Frankfurt/M. Köln München GÖRG Wir beraten Unternehmer. Unternehmerfrühstück 18. Februar 2009 C o m p l i a n c e IT - Compliance Rechtliche Aspekte

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) zwischen Energie- und Wasserversorgung Hamm GmbH, Südring 1/3, 59065 Hamm und XXX -nachfolgend "die Parteien" genannt.- Seite 1 von 6 1 Zielsetzung

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI) Energieversorgung Selb-Marktredwitz GmbH. Gebrüder-Netzsch-Str. 14.

Vereinbarung über den elektronischen Datenaustausch (EDI) Energieversorgung Selb-Marktredwitz GmbH. Gebrüder-Netzsch-Str. 14. Vereinbarung über den elektronischen Datenaustausch (EDI) zwischen Energieversorgung Selb-Marktredwitz GmbH Gebrüder-Netzsch-Str. 14 95100 Selb (Netzbetreiber) und (Transportkunde / Netznutzer) - nachfolgend

Mehr

Mustervereinbarung über den elektronischen Datenaustausch (EDI)

Mustervereinbarung über den elektronischen Datenaustausch (EDI) Mustervereinbarung über den elektronischen Datenaustausch (EDI) RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: Stadtwerke Brilon

Mehr

Vereinbarung über den elektronischen Datenaustausch

Vereinbarung über den elektronischen Datenaustausch Vereinbarung über den elektronischen Datenaustausch (EDI) zwischen Stromversorgung Sulz a.n. GmbH Hartensteinstraße 21 72171 Sulz a.n. nachstehend Netzbetreiber genannt und nachstehend Lieferant genannt

Mehr