INHALT Einführung Update IT und Steuern IT-Recht und IT-Governance Risiken bei mobilen Endgeräten Software für die Berechtigungsprüfung

Transkript

1 MANDANTENVERANSTALTUNG ZUR INFORMATIONSTECHNOLOGIE 2014

2

3 INHALT Einführung Update IT und Steuern GoBD Umsatzsteuer bei E-Produkten E-Bilanz, die neue Taxonomie Ralf Körber, Holger Klindtworth (GBIT Ebner Stolz) IT-Recht und IT-Governance Informations- & Gestaltungspflichten bei Unternehmensdarstellungen im Web und in Social Media Archivierungspflichten von Websites Albrecht von Bismarck, Dr. Björn Schallock (Recht Ebner Stolz) Risiken bei mobilen Endgeräten IT- und Compliance-Risiken Herausforderung BYOD Bring your own Device Lösungsansatz für Risiken MDM Mobile Device Management Philipp Mattes, Claudia Stange-Gathmann (GBIT Ebner Stolz) Software für die Berechtigungsprüfung Transparenz von Berechtigungskonzepten Praxisbeispiel CheckAud für SAP Internes Kontrollsystem zum Berechtigungsmanagement Thomas Tiede, Norbert Hermkes (IBS Schreiber GmbH) Cyber-Sicherheit Cyber-Sicherheitsinitiative Netze schützen Zertifizierungen von RZ-/Cloud-Anbietern Ralf Köber, Holger Klindtworth (GBIT Ebner Stolz)

4 Einführung Leistungspakete GBIT IT-Revision (JAP) ERP-Prüfung Zertifizierung Prüfung Unternehmensberatung JAP (PS 330) IKS-Prüfung (Autom. Kontrollen) Datenanalyse (JET) IT-Governance SAP-Prüfung Square-Ansatz CheckAud (Berechtigungen) NAVISION etc. Software (PS 880) Service/RZ (PS 951) Compliance (PS 980) Projekte (PS 850) IT-Steuer Datenanalyse Projektbegleitung Steuer E-Bilanz E-Rechnung GDPdU GDPdU-Kasse Massendaten-Analyse IDEA/ACL Doppelzahlungen Excel-Prüfungen Projektmanagement Design IKS Migration Redaktionelle Betreuung Internat. Audit Innenrevision Datenschutz Nexia Support globaler Teams SOx Prozessprüfung Quality Assessment (QA) Fraud/Computerforensik Risikomanagement, Compliance Datenschutz-Prüfung / -Check Stellung ext. Datenschutzbeauftragten Datenschutz-Coaching IT-Valuation Lizenzprüfungen IT-Sicherheit Corporate Finance IT-Due-Diligence Softwarebewertung Softwareauswahl SAP-Systemvermessung Microsoft etc. Beurteilung Sicherheitskonzepte IT-Sicherheitsmanagement IT-Sicherheit Quick Check 1 Einführung Themen IT-Projekte (Gute wie Schlechte) IT-Strategie (Branchen) Zertifizierung IT-Infrastruktur Rechenzentrum Lizenzmanagement IT-Revision SAP Navision Berechtigungen Innenrevision Fraud Quality Assessment Cyber-Sicherheit Zertifizierung Software Archive Rechnungsverarbeitung Kassen 2

5 Update IT und Steuern GoBD Umsatzsteuer bei E-Produkten E-Bilanz, die neue Taxonomie Ralf Körber, Holger Klindtworth (GBIT Ebner Stolz)

6 Update IT und Steuern Mandantenveranstaltung 2014 Geschäftsbereich IT-Revision Hamburg 24. September 2014 Gliederung GoBD Umsatzsteuer bei E-Produkten E-Bilanz, die neue Taxonomie INSIKA 2

7 GoBD 3 GoBD Historie Im April 2013 veröffentlichte die Finanzverwaltung den ersten Entwurf der GoBD* Ziel: Die GoBD sollen die entsprechenden Verwaltungsanweisungen der GdPDU** und der GoBS*** zusammenfassen Aktuelle Version: überarbeiteter Entwurf vom 11. April 2014 (Version 8) Fachkreise sind auch mit dieser Version nicht einverstanden! Es drohen verschärfte Anforderungen mit erheblichen Mehraufwand! Weitere Vorgehensweise Änderungen im Vergleich zur Vorversion Highlights *Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff ** Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen *** Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme 4

8 GoBD Hauptänderungen im Vergleich zur letztjährigen Präsentation Änderung der Gliederung Erhöhung der Anzahl der Beispiele auf elf inkl. explizite Kennzeichnung Teilweise Entschärfung der Zeitgerechtheit Wesentliche Änderungen bei der Belegerfassung zugunsten der Unternehmen Teilweise Änderungen hinsichtlich der Aufbewahrung von Handels- und Geschäftsbriefen, wenn elektronisch erstellt und nur in Papierform aufbewahrt Kleinere Ergänzungen beim Datenzugriff Mit einer grundlegenden Neufassung oder Umstrukturierung des Entwurfs ist nicht zu rechnen! Erwarten Sie daher bitte einen gewissen Mehraufwand bei der zukünftigen ordnungsmäßigen Führung und Aufbewahrung Ihrer Bücher und Unterlagen! (Abbau von Freiheitsgraden) 5 GoBD Allgemeine Anforderungen Zeitgerechtheit Vorversion Jeder Geschäftsvorfall ist möglichst unmittelbar nach seiner Entstehung in einer Grundaufzeichnung oder in einem Grundbuch zu erfassen. Nach den GoB müssen die Geschäftsvorfälle laufend gebucht werden (Journal). Länger als etwas zehn Tage darf ein unbarer Geschäftsvorfall grundsätzlich grundbuchmäßig nicht unerfasst bleiben. Aktuelle Version Jeder Geschäftsvorfall ist zeitnah, d. h. möglichst unmittelbar nach seiner Entstehung in einer Grundaufzeichnung oder in einem Grundbuch zu erfassen. Nach den GoB müssen die Geschäftsvorfälle grundsätzlich laufend gebucht werden (Journal). (Rz. 46) Eine Erfassung von unbaren Geschäftsvorfällen innerhalb von zehn Tagen ist unbedenklich. (Rz. 47) [ ] Bei zeitlichen Abständen zwischen der Entstehung eines Geschäftsvorfalls und seiner Erfassung sind daher geeignete Maßnahmen zur Sicherung der Vollständigkeit zu treffen. (Rz. 47) 6

9 GoBD Belegwesen (Belegfunktion) Vorversion Zur Erfüllung der Belegfunktionen sind deshalb Angaben zur Kontierung, zum Ordnungskriterium für die Ablage und zum Buchungsdatum auf dem Papierbeleg erforderlich. Mit dem elektronischen Beleg kann ein Datensatz mit Angaben zur Kontierung oder eine elektronische Verknüpfung (z. B. eindeutiger Index) verbunden werden. Aktuelle Version Zur Erfüllung der Belegfunktionen sind deshalb Angaben zur Kontierung, zum Ordnungskriterium für die Ablage und zum Buchungsdatum auf dem Papierbeleg erforderlich. Bei einem elektronischen Beleg kann dies auch durch die Verbindung mit einem Datensatz mit Angaben zur Kontierung oder durch eine elektronische Verknüpfung (z. B. eindeutiger Index, Barcode) erfolgen. Ein Steuerpflichtiger hat andernfalls durch organisatorische Maßnahmen sicher-zustellen, dass die Geschäftsvorfälle auch ohne Angaben auf den Belegen in angemessener Zeit progressiv und retrograd nachprüfbar sind. (Rz. 64) 7 GoBD Verfahrensdokumentation Vorversion Für jedes DV-System muss eine übersichtlich gegliederte Verfahrensdokumentation vorhanden sein, aus der - in Abhängigkeit von der Komplexität - Inhalt, Aufbau, Ablauf und Ergebnisse des DV-Verfahrens vollständig und schlüssig ersichtlich sind. Der Umfang der im Einzelfall erforderlichen Dokumentation wird dadurch bestimmt, was zum Verständnis des DV-Verfahrens, der Bücher und Aufzeichnungen sowie der aufbewahrten Unterlagen notwendig ist. [...] Sie muss eine Einzelfallprüfung als auch eine Systemprüfung ermöglichen. Aktuelle Version Da sich die Ordnungsmäßigkeit neben den elektronischen Büchern und sonst erforderlichen Aufzeichnungen auch auf die damit in Zusammenhang stehenden Verfahren und Bereiche des DV-Systems bezieht (siehe unter 3.), muss für jedes DV-System eine übersichtlich gegliederte Verfahrensdokumentation vorhanden sein, aus der Inhalt, Aufbau, Ablauf und Ergebnisse des DV-Verfahrens vollständig und schlüssig ersichtlich sind. Der Umfang der im Einzelfall erforderlichen Dokumentation wird dadurch bestimmt, was zum Verständnis des DV-Verfahrens, der Bücher und Aufzeichnungen sowie der aufbewahrten Unterlagen notwendig ist. [ ] (Rz. 151) 8

10 Umsatzsteuer bei E-Produkten 9 Elektronische, Rundfunk- und Fernseh- und Telekommunikationsdienstleistungen B2C EU bis 31. Dezember 2014 Leistungsort: BRD (Ursprungslandprinzip) gemäß 3a Abs. 1 UStG Rechnung mit 19% deutscher Umsatzsteuer Anmeldung und Abführung der Umsatzsteuer in der deutschen Umsatzsteuerdeklaration 10

11 Elektronische, Rundfunk- und Fernseh- und Telekommunikationsdienstleistungen B2C EU ab 1. Januar 2015 Leistungsort: Österreich (Bestimmungslandprinzip) gemäß 3a Abs. 5 UStG n.f. Rechnung mit 10% AT-Umsatzsteuer Anmeldung und Abführung der Umsatzsteuer durch Registrierung und Deklaration in Österreich oder Nutzung Mini One Stop Shop (MOSS, M1SS, zu deutsch: kleine einzige Anlaufstelle = KEA ) gemäß 18h UStG 11 Betroffene Dienstleistungen (Auswahl) Art. 58 und Anhang II MwStSystRL, Art. 6a und 6b VO(EU) Nr. 282/2011 Elektronische Dienstleistungen Bereitstellung von Websites / Webhosting Software mit Updates Bildern, Texten und Informationen, Datenbanken, Musik, Filmen, Spielen, Glücksspielen und Lotterien Sendungen und Veranstaltungen Fernwartung von Software und Ausrüstungen Automatisierte Fernunterrichtsleistungen Rundfunk-/Fernsehprogramme, die über Kabel, Antenne oder Satellit verbreitet werden Rundfunk - oder Fernsehsendungen, die über das Internet oder ein ähnliches elektronisches Netzwerk (IP-Streaming) verbreitet werden, wenn sie zeitgleich zu ihrer Verbreitung oder Weiterverbreitung durch einen Rundfunk- oder Fernsehsender übertragen werden. Rundfunk-/ Fernsehdienstleistungen Telekommunikationsdienstleistungen Übertragung, Ausstrahlung oder Empfang von Signalen, Schrift, Bild und Ton oder Informationen jeglicher Art über Draht, Funk, optische oder andere elektromagnetische Medien Festnetz- und Mobiltelefondienste zur wechselseitigen Ton-, Daten- und Videoübertragung, Videofonie, VoIP-Dienste Sprachspeicherung (Voic ), Anklopfen, Rufumleitung Personenrufdienste (Paging-Dienste) Fax, Telegrafie und Fernschreiben 12

12 Wo wird die Leistung erbracht? Beispiel elektronische Dienstleistung Verlag E-Book DSL-Festnetzanschluss Smartphone Ort Festnetzanschluss Ländercode SIM-Karte (IMSI) Kunde (Nichtunternehmer) 13 Wo wird die Leistung erbracht? System widerlegbarer Vermutungen zum Leistungsort, Art. 24a, 24b, 24f VO (EU) Nr. 282/2011 Widerlegbare Vermutungen Art der Leistungserbringung Leistung an Orten wie Telefonzellen, Kiosk-Telefonen, WLAN-Hot-Spots, Internetcafés, Restaurants oder Hotellobbys An Bord von Schiffen, Flugzeugen oder Eisenbahnen bei Personenbeförderung innerhalb der Gemeinschaft Erbringung an einen Festnetzanschluss des Dienstleistungsempfängers Erbringung über mobile Netze Erbringung über Decoder, Programm- oder Satellitenkarte (kein Festnetzanschluss) Andere Fälle Leistungserbringung: Bestimmung durch zwei einander nicht widersprechende Beweismittel Leistungsort Ort der Bereitstellung Abgangsland des Beförderungsmittels Ort des Festnetzanschlusses Ländercode SIM-Karte Dienstleistungsempfänger Gerätestandort oder Lieferadresse des Geräts Rechnungsanschrift, IP-Adresse Gerät, Geolokalisierung, Ort Bankverbindung, Mobilfunk- Ländercode SIM-Karte, Ort Festnetzanschluss, übrige wirtschaftlich relevante Informationen 14

13 Wo wird die Leistung erbracht? System widerlegbarer Vermutungen zum Leistungsort, Art. 24a, 24b, 24f VO (EU) Nr. 282/2011 Widerlegung von Vermutungen Widerlegung Vermutung Leistungsort durch Leistungserbringer durch drei einander nicht widersprechende Beweismittel Widerlegung Vermutung Leistungsort durch Fiskus bei Hinweis auf falsche Anwendung oder Missbrauch durch Leistungserbringer Beweismittel für Widerlegung Rechnungsanschrift Ort Bankverbindung Zulassungsdaten des gemieteten Beförderungsmittels übrige wirtschaftlich relevante Informationen Die Daten, auf denen die Bestimmung des Leistungsorts beruhen, müssen für Nachweiszwecke auch dokumentiert und über die gesetzliche Aufbewahrungsdauer archiviert werden! Datenschutzvorschriften sind zu beachten! Explizite Abfrage Bestätigung Richtigkeit Leistungsort durch Kunde? Keine Widerlegungsmöglichkeit der Leistungsortvermutung durch Leistungsempfänger vorgesehen. 15 Mögliche Aufgaben 1. Ermittlung betroffener Dienstleistungen und Geschäftsprozesse 2. Anpassung betroffener Geschäftsprozesse: Kalkulationsanalyse, Recht, Steuern, IT Geschäftsmodelle Verträge / AGB ERP-Systeme 3. Abstimmung mit evtl. involvierten Vertragspartnern 4. Umsetzung hinsichtlich Betriebswirtschaft, Recht, Steuern, IT 5. Registrierung für MOSS beim BZSt ab 1. Oktober Testphase 7. Going Live am 1. Januar

14 Probleme aus IT-Sicht Systeme müssen angepasst werden! Verarbeitungslogik (z. B. Steuerfindung) Masken (z. B. Wohnortdatenfelder) Formulare (z. B. Rechnungen) Preisfindung und Kalkulation (z. B. variable MwSt-Anteile) Schnittstellen Nachvollziehbarkeit und Archivierung Verfahrensdokumentation Rechnungserstellung Formvorschriften für Rechnungen des Bestimmungslandes Nutzung von MOSS? 17 Probleme aus IT-Sicht Sichere und ordnungsmäßige Archivierung Daten zur Ermittlung des Leistungsortes müssen aus handels- und steuerrechtlicher Sicht archiviert werden die Grundsätze der GoBS/GdPDU/GoBD müssen eingehalten werden digitale Prüfrechte BP Sicherheit der Daten muss gewährleistet sein Ordnungsgemäße Löschung der Daten Bei elektronischem Versand der notwendigen Rechnungen: Archivierung der Rechnungen/Mails Archivierung der Lokalisierungsdaten (Nachweis des Ortes) 18

15 Abschließende Empfehlungen an Unternehmen aus IT-Sicht Aufnahme unternehmensinterne Problemfelder insbesondere make-or-buy Entscheidung vorbereiten Hohe Priorisierung von Verfahrensbeschreibungen während des gesamten Projektes Insgesamt von der üblichen kaufmännischen Sorgfalt leiten lassen aus heutiger Sicht ist es fraglich, ob das Finanzamt soweit ordnungsgemäße Prozesse vorhanden und dokumentiert sind überhaupt eine Möglichkeit hat, den Leistungsort zu widerlegen. 19 E-Bilanz, die neue Taxonomie 20

16 Taxonomie 5.2 / 5.3 Aktuelle Taxonomie Taxonomie 5.2 vom 30. April 2013 veröffentlicht mit dem BMF-Schreiben vom 27. Juni 2013 gilt für Wirtschaftsjahre, die nach dem beginnen Zukünftige Taxonomie Taxonomie 5.3 vom 2. April 2014 veröffentlicht mit dem BMF-Schreiben vom 13. Juni 2014 gilt für Wirtschaftsjahre, die nach dem beginnen die Taxonomien können jedoch auch für die Wirtschaftsjahre 2014 bzw. 2014/2015 verwendet werden 21 Inhaltliche Änderungen / Weiterentwicklung der Taxonomie Übernahme der Preview-Bestandteile in die Taxonomie 5.3 Tabellen-Darstellung für die Kapitalkontenentwicklung für Personen(handels-)gesellschaften sind Bestandteil der neuen Taxonomie Bisherige Datenstruktur der Kapitalkontenentwicklung (KKE) entfällt Optimierung der Taxonomie für Vereine und Stiftungen Optimierung der Ergänzungstaxonomie für verordnungsgebundene Branchen Hochschulen, Landwirtschaft, Anbauverzeichnisse Übermittlung von E-Bilanzen für inländische Betriebsstätten ausländischer Unternehmen Ablauf der Nichtbeanstandungsregelung 22

17 Wesentliche Änderungen im Einzelnen GCD-Modul (Stammdaten-Modul); Neue Zuordnungsschlüssel für Unternehmen mit wirtschaftlichen Geschäftsbetrieb oder Betrieb gewerblicher Art Übermittlungsvariante bei Körperschaft mit Gewinnermittlung für besondere Fälle Inländische Betriebsstätte eines ausländischen Unternehmens GAAP-Modul (Jahresabschluss-Modul) Diverse Strukturoptimierungen Ergänzung der Taxonomie-Positionen für Vereine und Stiftungen und Eigenbetriebe Überarbeitung des Kapitalausweises bei Personengesellschaften Bei inländischen Betriebsstätten ausländischer Unternehmen: Ergänzungen des Berichtsbestandteils zur steuerlichen Gewinnermittlung sowie Einfügen neuer Positionen Optimierung der steuerlichen Gewinnermittlung etc. 23 INSIKA 24

18 INSIKA Auslöser des INSIKA-Projekts: Veränderung der Daten in Registrierkassen Steuerausfälle durch Manipulationen Erarbeitung eines Fachkonzeptes durch das BMF Technische Lösung durch INSIKA-Projekt INSIKA = INtegrierte SIcherheitslösung für messwertverarbeitende KAssensysteme Aktuelle rechtliche Situation: Gesetzlichen Grundlagen zur Einführung des Systems in 2008 vorerst gestoppt In 2010 ein Schreiben vom BMF zur Aufbewahrung digitaler Unterlagen bei Bargeschäften In 2012 Abschluss des INSIKA-Projekts??? Es ist davon auszugehen, dass das INSIKA-Konzept bei Kassensystemen zukünftig gesetzlich vorgeschrieben wird! 25 INSIKA Konzept und Funktionsprinzip Vorteile Sicherheit entsteht aus den kryptografisch gesicherten Buchungsdaten Registrierkasse steuert eine INSIKA-Smartcard nach festgelegten Regeln an Die Smartcard kann über einen externen Kartenleser oder in die Kasse integriert werden INSIKA-Smartcard erzeugt eine digitale Signatur für jeden Kassenbeleg und die dazugehörigen gespeicherten Buchungen Die Vergabe einer Signatur aktualisiert automatisch den Summenspeicher und vergibt eine neue Sequenznummer Die Prüfung der Kassendaten erfolgt über die gespeicherten und signierten Daten. Eingriffe in bestehende Systeme sind gering (einfache Implementierung) Keine Zertifizierung des Gesamtsystems notwendig Nachweis, dass die Daten unverändert und vollständig sind Wettbewerb der Hersteller von Kassensystemen wird nicht behindert 26

19 Vielen Dank! Holger Klindtworth Partner CISA/CIA/CISM Ralf Körber Prokurist WP/StB/CISA/CRISC Ludwig-Erhard-Straße Hamburg Tel holger.klindtworth@ebnerstolz.de Ebner Stolz GmbH & Co. KG Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft Kronenstraße Stuttgart Tel ralf.koerber@ebnerstolz.de Ebner Stolz GmbH & Co. KG Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft 27

20 IT-Recht und IT-Governance Informations- & Gestaltungspflichten bei Unternehmensdarstellungen im Web und in Social Media Archivierungspflichten von Websites Albrecht von Bismarck, Dr. Björn Schallock (Recht Ebner Stolz)

21 Informations- und Gestaltungspflichten bei Websites und in Social-Media Archivierungspflichten von Websites Mandantenveranstaltung 2014 Geschäftsbereich IT-Revision Hamburg 24. September 2014 Agenda I. Die Unternehmens-Homepage II. Social Media (Facebook & Co.) III. Typische Rechtsverstöße IV. Archivierungspflichten von Websites? 2

22 I. Unternehmens-Homepages Fehlendes/unzureichendes Impressum Anforderungen gemäß 5 TMG (Firma, Rechtsform, HR-Nummer, Vertretungsberechtigung, Kontaktmöglichkeiten, USt-ID,) Verletzung fremder Markenrechte zumeist durch Fotos oder Bezeichnungen Haftung teils verschuldensunabhängig, i.ü. strenger Sorgfaltsmaßstab Verletzung Urheberrechte Dritter Texte, Fotos, Illustrationen, Grafiken, Filme, Musik Datenschutzverstöße Problem der Verwendung von Auswertungs-/Statistiktools Erläuterungen in einer Datenschutzerklärung Sonderproblem: Facebook Like-Button, d.h. zusätzl. Info-Pflichten Sonderproblem Rechtsverletzungen durch von Nutzer generierten Inhalten Urheberrechte, Persönlichkeitsrecht Eigene Haftung des Websitebetreibers möglich ( Zueigenmachen von durch Dritte geschriebenen Inhalten) 3 II. Social-Media (Facebook & Co) Fehlendes/unzureichendes Impressum Impressumspflicht gilt auch bei Facebook & Co Impressum auch in Apps erforderlich Datenschutzverstöße Notwendigkeit von Erläuterungen in einer Datenschutzerklärung Verwendung von Auswertungs-/Statistiktools Sonderproblem bei Facebook-Like-Button Verletzung Urheberrechte Dritter selbst eingestellte Inhalte und Postings von Dritten/Kunden gleichermaßen bei XING, Facebook und Co. möglich Verletzung fremder Markenrechte zumeist auch hier durch Fotos oder Bezeichnungen aber auch z.b. Vanity-URLs Reputation Management gefälschte Kommentare, getarnte Werbung Verstoß gegen Impressumspflicht, mögliche Irreführung Mitarbeiterhandeln wird dem Unternehmen zugerechnet Social-Media-Guidelines für Mitarbeiter 4

23 III. Beispiele für typische Rechtsverstöße Urheberrechte Fotos, Zeichnungen, Texte, Filme, Musik sog. kleine Münze, gilt auch für Gebrauchskunst Urheberbenennung nicht vergessen eigene Rechtseinräumung absichern (Rechtekette!) Bearbeitungsrecht einräumen lassen d.h. sorgfältige Vereinbarungen mit eigenen Designern und Mitarbeitern Markenrechte Wortmarken und Bildmarken Ähnlichkeit der Marken kann für Verstoß ausreichen Ersatzteil- und Zubehörgeschäft: Vorsicht mit Marken-Logos Parallelimporte Erschöpfung des Markenrechts nur im EU/EWR-Raum d.h. (Ähnlichkeits-) Recherchen durchführen Unternehmenskennzeichen Wahl der Domain Verfügbarkeit der Domain ist insoweit irrelevant d.h. Firmenrecherchen durchführen 5 IV. Archivierungspflichten von Websites? Deutsche National Bibliothek Sammlung und Archivierung von in Deutschland (oder auf deutsch) veröffentlichter Medienwerke seit 1913 Printwerke (Pflichtexemplare) seit 2006 auf unkörperliche Medienwerke erstreckt DNBG Ablieferungspflicht Medienwerke in unkörperlicher Form = Darstellungen in öffentlichen Netzen ( 3 III) unentgeltlich bereitstellen, binnen 1 Woche seit öffentlicher Zugänglichmachung ( 14 III, 16) Bußgeldbewehrt bis zu EUR ( 19 I,II) PflAV Ausnahmen Akzidenzen, die lediglich gewerblichen, geschäftlichen oder innerbetrieblichen Zwecken dienen ( 9 Nr. 1, 4 Nr. 13) DNB: Darunter fallen Webseiten mit Darstellungen der Angebote einzelner Unternehmen für Kunden. Ergebnis: Die Unternehmenshomepage muss nicht archiviert /abgeliefert werden! 6

24 Vielen Dank! Albrecht von Bismarck Partner Rechtsanwalt Ludwig-Erhard-Straße Hamburg Tel albrecht.bismarck@ebnerstolz.de Ebner Stolz GmbH & Co. KG Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft 7

25 Risiken bei mobilen Endgeräten IT- und Compliance-Risiken Herausforderung BYOD Bring your own Device Lösungsansatz für Risiken MDM Mobile Device Management Philipp Mattes, Claudia Stange-Gathmann (GBIT Ebner Stolz)

26 Risiken bei mobilen Endgeräten Mandantenveranstaltung 2014 Geschäftsbereich IT-Revision Hamburg 24. September 2014 Agenda Einführung IT- und Compliance-Risiken Herausforderung BYOD Bring Your Own Device Lösungsansätze Umsetzung Mobile Device Management Fazit 2

27 Einführung mobile Endgeräte Mögliche Geräte können sein: Smartphone Tablet Notebook als auch statische Geräte (Heim-PC mittels VPN) Company Owned, Business only (COBO) Company Owned, Personal Enabled (COPE) Choose Your Own Device (CYOD) Bring Your Own Device (BYOD) Das Unternehmen kauft das mobile Endgerät für den Nutzer. Dieser darf es nicht privat verwenden. Das Unternehmen kauft das mobile Endgerät für den Nutzer. Dieser darf es auch privat verwenden. Das Unternehmen stellt eine Auswahl an mobilen Endgeräten zur Verfügung. Die private Nutzung ist gestattet. Bezeichnet langläufig den Einsatz privater Endgeräte (Eigentum des Mitarbeiters) zu dienstlichen Zwecken im Firmennetz. 3 Einführung mobile Endgeräte Zahlen und Fakten Nach dem Forbes Magazine (2012) schätzen IT-Manager, dass ca. 40 % der Nutzer auf Firmeninhalte zugreifen, ABER 70 % der Nutzer behaupten, dies zu tun. Ebenfalls lt. Forbes besagt eine Studie, dass es 2015 ca. 15 Billionen mit dem Netzwerk verbundene Geräte (z. B. Smartphones, Notebooks and Tablets) geben wird. Laut Computerwoche verwenden Anfang 2012 ca. 25 % der befragten Unternehmen private Endgeräte mit Firmenapplikationen und es wird ein Rücklauf des BYOD Hype prognostiziert zugunsten privater Nutzung von Firmengeräten. 4

28 IT- und Compliance-Risiken IT-Risiken erhöhtes Verlustrisiko Sicherheitsniveau privater Geräte Trennung von privaten und dienstlichen Daten Datenintegrität und -sicherheit Administration diverser Endgeräte Archivierung/Aufbewahrung Schatten-IT Compliance- Risiken private Anwenderdaten unterliegen dem Fernmeldegeheimnis Firmendaten unterliegen der Verschwiegenheitspflicht Haftung bei Verlust / Diebstahl / Beschädigung Datenschutz Kundendaten werden durch das BDSG geschützt Mitarbeiterdaten auch Urheberrecht, Arbeitsrecht etc. Verstoß gegen interne Richtlinien z.b. Internet und -Nutzung Umgang mit betrieblichen Daten 5 Herausforderung BYOD Bring your own Device Zahlen und Fakten BYOD Akzeptanz nach Region BYOD Akzeptanz nach Land Quelle: Aruba Networks - BYOD in EMEA

29 Herausforderung BYOD Bring your own Device Steigerung der Unternehmensattraktivität Imagenutzen als innovatives modernes Unternehmen Mitarbeiterbindung und -zufriedenheit durch State of the Art -Technologien und Reduzierung auf ein Gerät Statussymbol Steigerung der Effizienz Höhere Flexibilität der Mitarbeiter (Datenzugriff) Bessere Erreichbarkeit der Mitarbeiter Bedienerfreundlichkeit Mitarbeiterproduktivität erhöht sich (?) Kosten- und Aufwandseinsparungen (?) VORTEILE 7 Herausforderung BYOD Bring your own Device Vermischung privat und dienstlicher Nutzung IT-Systeme, Anwendungen und Dienste für das private Umfeld entwickelt, kommen im beruflichen Bereich zum Einsatz begrenzter Zugriff auf private Geräte Zuständigkeit der Gerätewartung, Administration und Absicherung -> Mitarbeiter wird zum Administrator oder erhöhter interner Administrationsaufwand ggf. bei eingetretenem Schaden, Kosten- und Haftungsrisiko der Mitarbeiter Produktivitätsverschlechterung private Nutzung zur Arbeitszeit Arbeitgeberwechsel Handling der Unternehmensdaten NACHTEILE 8

30 Lösungsansätze Vorbereitung Umsetzung Wer sein Unternehmen in das mobile Zeitalter bringt, sollte vorher den Weg abgesteckt haben. [Prof. Stefan Stieglitz] Wichtig: eine unternehmensweite mobile Strategie Abstimmung der Ziele (mit anderen Abteilungen) Zu klärende Fragen: Organisatorisch: Welche Geräte (Typen und Hersteller), welche Gruppen, für welchen Zweck? Klärung der eigenen Anforderungen: Sicherheit vs. Nutzen Definition von unternehmensspezifischer Richtlinien (Policies) wie bspw. Cloud Zugriffsschutz / Trennung von Benutzergruppen (Vertrieb, Marketing etc.) Definition des Support-Levels für Mitarbeiter-eigene Geräte 9 Lösungsansätze Vorbereitung Umsetzung Wichtige, technische Lösungsansätze getrennte Bereiche Apps, Kontakte, Mails etc. Ausschluss von Cloud-Nutzung Verschlüsselung der Unternehmensdaten aktuelles Changemanagement Kontrollsoftware (für Einzelne) Vereinbarungen/Richtlinien offene Kommunikation Schadensabwendung durch Kontrolle und Maßnahmen Mobile Device Management 10

31 Lösungsansätze Mobile Device Management Das Werkzeug für mobile Endgeräte Mobile Device Management Mobile Endgeräte effizient und sicher verwalten. Mobile Device Management (MDM) oder auch Mobilgeräteverwaltung bedeutet, die zentrale Verwaltung von Mobilgeräten wie Smartphones, Sub-Notebooks, PDAs oder Tablet-Computern. 11 Lösungsansätze Mobile Device Management Die Verwaltung der mobilen Endgeräte erfolgt durch eine Software, die folgende Aufgaben erledigt: Einf. Handhabung Lokalisierung Remote Wipe Applikationsmanagement* Sicherheit herstellen und verwalten Bring your own Advice Mobile Device Management Kompatibilität zu mobilen Plattformen *ITIL-Anforderungen Integration mobiler Endgeräte Compliance Software- Stände verwalten* Verwalten v. Zentrale Geräteinformationen* Dokumentenund Kommunikationsstruktur* 12

32 Lösungsansätze Mobile Device Management Live-Demonstration anhand eines Mobile Device Management als Software as a Service (SaaS) 13 Fazit Quo vadis? Mobile Endgeräte bleiben ein Thema bietet Chancen und Risiken offensiver Umgang, um Schatten-IT zu vermeiden stellt das Unternehmen vor Herausforderungen mit technischen und organisatorischen Maßnahmen managen Abwägung nach Schutzbedarf der Daten, Aufwand und rechtlichen Risiken 14

33 Jedes System kann unsicher sein. Man muss es nur dämlich verwalten. [Clifford Stoll in "Das Kuckucksei"] Vielen Dank für Ihre Aufmerksamkeit 15 Lösungsansätze Richtlinie 1 Zielsetzug Erfassen des IST-Zustandes Mobile Endgeräte - Ziele an die des Unternehmens anpassen mittelfristige Planung für die Entwicklung der IT-Landschaft 2 Abwägen Identifizierung von Vor- und Nachteilen mögliche Risiken abschätzen anfallende Kosten richtig einschätzen 3 techn. Umsetzung Technische Voraussetzungen für den Einsatz im Unternehmen identifizieren Geräteauswahl und Klassifizierung 4 Richtliniendefinition 5 Rollout Formulierung einer klaren, einheitlichen Richtlinie unter Einbeziehung des Betriebsrates und des bdsb Erarbeitung einer Einführungsstrategie Umsetzung (ggf. mit Testkandidaten) 16

34 Lösungsansätze Aspekte einer Richtlinie rechtliche Fragen Eigentumsfragen, Softwarelizenzen, Telemedienrecht, Datenschutz, Arbeitsvertrags- und Mitbestimmungsrechte, Haftungsrechte, Trennung privater und geschäftlicher Daten, Dienstvereinbarung, BYOD/Nutzungsrichtlinien IT-betriebliche Aspekte Änderungen in der zentralen IT-Infrastruktur, Support, Durchsetzung von IT-Sicherheitsrichtlinien finanzielle und steuerliche Fragen Verteilung der Kosten zwischen Arbeitgeber und Arbeitnehmer, steuerliche Aspekte 17 Links und fremde Federn vycmravfzl5nq1kd%2bkucovu7fppafi%3d nfuehrung_einer_mdm_loesung_beachten/index3.html CS_052.html 18

35 Vielen Dank! Claudia Stange-Gathmann Prokuristin CISA/CIA/CISM/QA Philipp Mattes Wirtschaftsrjurist (LL.B.) u. Fachinformatiker Ludwig-Erhard-Straße Hamburg Tel claudia.stange@ebnerstolz.de Ebner Stolz GmbH & Co. KG Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft Gereonstraße 43/ Köln Tel philipp.mattes@ebnerstolz.de Ebner Stolz GmbH & Co. KG Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft 19

36 Software für die Berechtigungsprüfung Transparenz von Berechtigungskonzepten Praxisbeispiel CheckAud für SAP Internes Kontrollsystem zum Berechtigungsmanagement Thomas Tiede, Norbert Hermkes (IBS Schreiber GmbH)

37 IBS Schreiber GmbH International Business Services for auditing and consulting IBS Schreiber GmbH Ebner Stolz Mandantenveranstaltung zur Informationstechnologie 2014 Thema: Software für die Berechtigungsprüfung Vorstellung IBS Schreiber GmbH Was ist ein Risiko? Internes Kontrollsystem für Berechtigungen Praxisbeispiel CheckAud for SAP Systems

38 IBS Schreiber GmbH Seminare Über 140 Seminarthemen: Grundlagen / Management der Revision Datenanalyse Prüfen von SAP -Systemen IT-Revision Datenschutz Prüfung / Beratung IT-Sicherheit / ISO27001 SAP-Sicherheit Datenanalyse Externe betriebliche Beauftragte für IT-Sicherheit Informationssicherheit Datenschutz Sachverständige Prüfstelle für Datenschutz nach 3 DSAVO Externer Datenschutzbeauftragter Datenschutz- und Datensicherheitskonzepte Software CheckAud for SAP Systems Was ist ein Risiko?