GPA-Mitteilung 1/2012 Az. 049.00



Ähnliche Dokumente
D i e n s t e D r i t t e r a u f We b s i t e s

Beraten statt prüfen Behördlicher Datenschutzbeauftragter

Kirchlicher Datenschutz

Maintenance & Re-Zertifizierung

Datenschutz-Management

Beraten statt prüfen Betrieblicher Datenschutzbeauftragter

Geprüfter Datenschutz TÜV Zertifikat für Geprüften Datenschutz

Jugendschutzgesetz (JuSchG) Die Besonderheit der "erziehungsbeauftragten" Person am Beispiel Diskotheken- und Gaststättenbesuch

Allgemeine Vertragsbedingungen für die Übertragungen von Speicherkapazitäten ( Vertragsbedingungen Kapazitätsübertragung )

Kursbeschreibung Ausbildung zum internen betrieblichen Datenschutzbeauftragten

Personal- und Kundendaten Datenschutz in Werbeagenturen

Verordnungsdaten und Patientendatenbanken Datenschutz in Pharmaunternehmen

Fachnachmittag Sexuelle Grenzüberschreitung Impulse zum professionellen Umgang in der Kita Bürgerhaus Zähringen 16. Mai 2013

Der Schutz von Patientendaten

Häufig wiederkehrende Fragen zur mündlichen Ergänzungsprüfung im Einzelnen:

Lösung Fall 8 Anspruch des L auf Lieferung von Panini á 2,-

Der Datenschutzbeauftragte. Eine Information von ds² 05/2010

Personal- und Kundendaten Datenschutz bei Energieversorgern

Homebanking-Abkommen

Informationen zum Datenschutz im Maler- und Lackiererhandwerk

Moderne Behandlung des Grauen Stars

Haftungsfalle Datenschutz Aufgaben des Datenschutzbeauftragten

GPA-Mitteilung Bau 5/2002

REACH-CLP-Helpdesk. Zulassung in der Lieferkette. Matti Sander, Bundesanstalt für Arbeitsschutz und Arbeitsmedizin

Bestandskauf und Datenschutz?

Inhalt. Datenschutz ist Grundrechtsschutz 4. Wessen Daten werden geschützt? 5. Wer muss den Datenschutz beachten? 6

Lizenzierung von System Center 2012

Die Online-Meetings bei den Anonymen Alkoholikern. zum Thema. Online - Meetings. Eine neue Form der Selbsthilfe?

SOZIALVORSCHRIFTEN IM STRAßENVERKEHR Verordnung (EG) Nr. 561/2006, Richtlinie 2006/22/EG, Verordnung (EU) Nr. 165/2014

GPP Projekte gemeinsam zum Erfolg führen

WBH Wirtschaftsberatung GmbH Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft Hannover K U R Z T E S T A T

Dipl.-Ing. Herbert Schmolke, VdS Schadenverhütung

Datenschutzbeauftragte

Bundeskinderschutzgesetz

1 Abs. 1 a Satz 2 Nr. 1 a KWG definiert die Anlageberatung als die

Haftung des Telearbeiters gegenüber dem Arbeitgeber

Der betriebliche Datenschutzbeauftragte

Checkliste zum Datenschutz

Stellungnahme der Bundesärztekammer

Rechtliche Aspekte der Energieberatung

Gut geregelt oder Baustelle Datenschutz bei der Hard- und Softwarewartung

Damit auch Sie den richtigen Weg nehmen können die 8 wichtigsten Punkte, die Sie bei der Beantragung Ihrer Krankenversicherung beachten sollten:

Datenverarbeitung im Auftrag

Datenschutz im Unternehmen. Was muss der Unternehmer wissen?

Stammdaten Auftragserfassung Produktionsbearbeitung Bestellwesen Cloud Computing

Richtlinien zur Durchführung der Aufgaben der Stiftung "Resozialisierungsfonds Dr. Traugott Bender"

MUSTERAUFHEBUNGSVERTRAG

Updatehinweise für die Version forma 5.5.5

Abweichungen. Anforderungen / Zitate aus den Rechtsvorschriften

Inhalt. Einführung in das Gesellschaftsrecht

Erläuterungen zur Untervergabe von Instandhaltungsfunktionen

Datenschutzvereinbarung

11. Pantaenius-Immobilientagung in Hamburg

Vertrag über die Betreuung und Beratung eines EDV-Netzwerkes

DDV-SIEGEL. Sicherheit, Transparenz und Datenschutz. Die Qualitätssiegel des DDV bei Adressdienstleistungs-Unternehmen.

IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS

10 IDG (Gesetz über die Information und den Datenschutz, LS 170.4) 24 IDV (Verordnung über die Information und den Datenschutz, LS 170.

Microsoft Update Windows Update

Das große ElterngeldPlus 1x1. Alles über das ElterngeldPlus. Wer kann ElterngeldPlus beantragen? ElterngeldPlus verstehen ein paar einleitende Fakten

Berufsunfähigkeit trifft jeden Vierten. Gut, dann bei der SV versichert zu sein.

SharePoint Demonstration

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: )

6 Schulungsmodul: Probenahme im Betrieb

Wann ist eine Software in Medizinprodukte- Aufbereitungsabteilungen ein Medizinprodukt?

Checkliste zur Erfüllung der Informationspflichten bei Datenerhebung

Berufsunfähigkeit trifft jeden Vierten. Sehr gut, dann bei der SV versichert zu sein.

Wie funktioniert ein Mieterhöhungsverlangen?

EasyWk DAS Schwimmwettkampfprogramm

Software-Validierung im Testsystem

Datenschutz (Info-Veranstaltung f. Administratoren) H. Löbner Der Datenschutzbeauftragte. Was heißt denn hier Datenschutz?

Stellungnahme. zum. Gesetzentwurf des Gesetzes zur besseren Vereinbarkeit von Familie, Pflege und Beruf (Referentenentwurf vom 9.

infach Geld FBV Ihr Weg zum finanzellen Erfolg Florian Mock

Die rechtsformunabhängige Revisionspflicht

Bei der Tagung werden die Aspekte der DLRL aus verschiedenen Perspektiven dargestellt. Ich habe mich für die Betrachtung der Chancen entschieden,

Das digitale Klassenund Notizbuch

Markenvertrag. zwischen der. Gebäudereiniger-Innung Berlin. - Innung - und. dem Innungsmitglied. - Markenmitglied - 1 Zweck der Kollektivmarke

Computer & Netzwerktechnik. Externer Datenschutzbeauftragter

Mediumwechsel - VR-NetWorld Software

Dienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden

(1) Mit dem Administrator Modul werden die Datenbank, Gruppen, Benutzer, Projekte und sonstige Aufgaben verwaltet.

Änderung des IFRS 2 Anteilsbasierte Vergütung

ProLead. Überlassen Sie das Wertvollste in Ihrem Leben nicht dem Zufall gestalten Sie aktiv die Absicherung Ihrer sorgenfreien Zukunft

Lineargleichungssysteme: Additions-/ Subtraktionsverfahren

1.3 MDM-Systeme KAPITEL 1 ZAHLEN UND FAKTEN

Was sagt der Anwalt: Rechtliche Aspekte im BEM

Folgende Einstellungen sind notwendig, damit die Kommunikation zwischen Server und Client funktioniert:

Schärfere Haftung in Sachen Umwelt.

Nr. 12-1/Dezember 2005-Januar A 12041

statuscheck im Unternehmen

Personal- und Kundendaten Datenschutz im Einzelhandel

Nicht über uns ohne uns

Stellvertretenden Genehmiger verwalten. Tipps & Tricks

Der Datenschutzbeauftragte

Informationssicherheit als Outsourcing Kandidat

Nebenberuflich Geld verdienen als Tagesmutter interna

I. Allgemeine Anmerkungen

Prof. Dr. Burkhard Boemke Wintersemester 2011/12. Bürgerliches Recht I. Allgemeiner Teil und Recht der Leistungsstörungen

Im Folgenden werden einige typische Fallkonstellationen beschrieben, in denen das Gesetz den Betroffenen in der GKV hilft:

Transkript:

GPA-Mitteilung /0 Az. 049.00 5.03.0 Einsatz von autonomen ADV-Verfahren im Finanzwesen Ausgangslage An ADV-Verfahren (Programmen) zur Abwicklung von Finanzvorgängen und deren Einsatz in den Verwaltungen stellt das Haushalts- und Kassenrecht hohe Anforderungen. Für automatisierte Verfahren sind besondere Regelungen getroffen worden, denn mit den Programmen werden öffentliche Gelder zu treuen Händen verwaltet. Die finanzwirksamen Programme müssen deshalb die Kommune nicht nur bei der Aufgabenerledigung unterstützen, sondern die ordnungsmäßige Abwicklung sicherstellen. Dieses Sicherstellen bezieht sich nicht nur auf das Programm i. S. einer richtigen Programmierung, sondern auch auf seine Ausgestaltung (Customizing) und den technischen Programmeinsatz (sicherer Rechnerbetrieb usw.). Die besonderen Anforderungen spiegeln sich auch im Prüfungsrecht wider. Zum einen in den Regelungen zur Programmprüfung (Pflichtprüfung nach 4a Abs. GemO) und zum anderen in den Vorgaben zur sogen. Anwendungsprüfung im Rahmen der örtlichen bzw. überörtlichen Finanzprüfung ( 6 Abs. Nr. GemPrO). Die Anforderungen, die an die Programme und den Programmeinsatz gestellt werden, bestehen unabhängig davon, ob die Kommune sich eines Regionalen Rechenzentrums bedient oder autonome Verfahren einsetzt. Wendet eine Kommune die vom DV-Verbund (Datenzentrale, Regionalen Rechenzentren) angebotenen Verfahren an, so übernimmt der DV-Verbund für die Kommune die Verantwortung für die übertragenen Leistungen. Zudem wird die Kommune kraft Gesetzes von einzelnen Aufgaben entbunden. Betreibt die Kommune hingegen eine autonome Lösung, so ist sie insgesamt eigenverantwortlich tätig. Insbesondere 6 GemKVO und 35 Abs. 5 und 6 GemHVO. Z. B. notwendiger hoher Grad an automatisierten Kontrollen (z. B. Plausibilitätsprüfungen, Abstimmprogramme). Gemeindeprüfungsanstalt Baden-Württemberg 7633 Karlsruhe. Hoffstraße. a. Telefon 07 / 8 50 05-0 www.gpabw.de

Nachfolgend wird dargelegt, welche Folgen der Einsatz autonomer Verfahren (hier insbesondere zentraler Finanzsoftware mit Buchführung, Veranlagung und ggf. Personalabrechnung) im Vergleich zur Anwendung der Programme des DV-Verbunds hat. Dabei werden die Anforderungsbereiche Ordnungsmäßigkeit des Programms (ordnungsmäßige Programmierung und Ausgestaltung des Programms i. S. vom Customizing) und Ordnungsmäßiger Programmeinsatz (Rechnerbetrieb usw.) unterschieden. Anforderungsbereich Ordnungsmäßigkeit des Programms. Kassenrechtliche Programmfreigabe.. Grundsatz Verantwortlich für das eingesetzte ADV-Verfahren ist aus kassen- bzw. haushaltsrechtlicher Sicht nicht der Programmierer (Programmhersteller), sondern die das Programm einsetzende Kommune. Die Kommune muss sich Fehler des Programms zurechnen lassen. Fehlerhafte Programmergebnisse können durch eine fehlerhafte Programmiervorgabe oder eine nicht sachgerechte Umsetzung dieser Vorgabe im Rahmen der Programmierung (Codierung) bzw. Ausgestaltung des Programms (Customizing) entstehen. Vor diesem Hintergrund ist die kassenrechtlich Programmfreigabe ( 6 GemKVO, 35 Abs. 5 Nr. GemHVO) grundlegende Voraussetzung für den Programmeinsatz. Diese besteht aus a) den konkreten Freigabehandlungen (z. B. Austesten von Programmfunktionen), um die Ordnungsmäßigkeit des Programms festzustellen und b) der darauf aufbauenden formalen Freigabeerklärung. Erst auf dieser Grundlage darf das Programm eingesetzt werden. Im Sonderheft /00 der GPA-Mitteilungen ist ausführlich auf die kassenrechtliche Programmfreigabe hingewiesen worden. Vgl. hierzu auch die Tz. 9 der Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS) BMF IV A 8 S 036-43/95 -; BStBl. I 995, 738 ff. Zuständig für die Programmfreigabe ist gemäß 35 Abs. 5 Nr. GemHVO der Bürgermeister bzw. die von ihm bestimmte Stelle. Seite

.. Verfahren des DV-Verbunds Nutzt eine Kommune die Verfahren des DV-Verbunds, so wird die Datenzentrale bzw. das Regionale Rechenzentrum als sogen. andere amtliche Stelle tätig (zur Sonderstellung des DV- Verbunds siehe auch Ziffer..). Der DV-Verbund übernimmt die konkrete Handlungsverantwortung für das Programm und den Programmeinsatz. Sie wird zwischen Rechenzentrum und Kommune formal durch das einmalige Erteilen der Einsatzbescheinigung und das jährliche Erteilen der (Teil-)Feststellungsbescheinigungen wahrgenommen. Bei der Kommune verbleiben lediglich die Verantwortungen für die Programmanwendung und (soweit relevant) für die individuellen Verfahrensausprägungen (z. B. falls der Anwender selbst Customizingeinstellungen durchführt). Die Grundlage der Einsatzbescheinigung basiert auf einem definierten Projektfreigabeprozess des DV-Verbunds, der konkret vorgegebene Handlungsanweisungen (z. B. notwendige Tests bei Releasewechsel mit Testplänen usw.) enthält. Hinzu kommt, dass im Rahmen dieser Projektfreigabe einzelne Anwender stellvertretend für die übrigen Kommunen mit eingebunden sind (fachlicher Input als Bestandteil der Programmiervorgabe). Die GPA ist im Rahmen der begleitenden Programmprüfung bereits bei der Erarbeitung der Programmiervorgaben (Lastenhefte der Rechenzentren bzw. Pflichtenhefte der Datenzentrale) und damit bei dem Projektfreigabeprozess frühzeitig und unmittelbar beteiligt. Der DV-Verbund gibt insoweit der GPA Gelegenheit, Prüfungshandlungen bereits bei der Vorbereitung des Programmeinsatzes vorzunehmen ( 4a Abs. Satz 4 GemO). Daneben ist der DV-Verbund nicht nur Hersteller bzw. Anbieter von (Standard-)Software, sondern bietet auch Verfahrensausprägungen an (z. B. Kommunalmasterkonzept bei SAP, Modellkommune bei KIRP). Insoweit nutzt der Anwender nicht nur (Standard-)Software, sondern eine bestimmte Verfahrensausprägung, die diesen Projektfreigabeprozess durchlaufen hat. Die einzelne Kommune partizipiert somit unmittelbar an dem Projektfreigabeprozess der Solidargemeinschaft DV-Verbund und kann sich bei ihrer kassenrechtlichen Programmfreigabe auf die erteilte Einsatzbescheinigung berufen. Die Kommune kann auf eigene Freigabehandlungen weitestgehend verzichten, wenn sie sich an die festgelegten Standards (wie Kommunalmasterkonzept, Modellkommune) des DV-Verbunds hält...3 Autonome Verfahren Bei autonomen Verfahren werden i. d. R. keine Anwendergemeinschaften (i. S. einer Solidargemeinschaft) gebildet. Wenn überhaupt, sind nur lose Anwendergruppen vorhanden. Zwar durchlaufen bei jedem Programmhersteller die Softwareprojekte einen in sich definierten dvtechnischen Freigabeprozess (teilweise sogar von Dritten zertifiziert). Allerdings fehlt i. d. R. ein Siehe hierzu GPA-Mitt. 5/00 Az. 90.00, Einsatz- und (Teil-)Feststellungsbescheinigung bei der Anwendung von ADV- Verfahren zur Abwicklung von Finanzvorgängen. Hier ist das Projekt Softwareentwicklung gemeint (gesamtes Programm, neues Release, einzelne Funktionalität). Die Abläufe sind im DV-Verbund u. a. über das sogen. Anforderungsmanagement geregelt. Seite 3

autorisiertes Anwendergremium, das in Vertretung der übrigen (baden-württembergischen) Anwender die fachlichen Programmiervorgaben mit gestaltet, die GPA-Programmprüfung einbindet und den Programmentwicklungsprozess fachlich überwacht. Beim Einsatz autonomer Finanzsoftware ist die Kommune selbst verantwortlich. Dies führt bei jeder einzelnen Kommune zu einem Freigabeaufwand (eigene Tests vor Programmeinsatz bzw. vor Einsatz neuer Releases, Vorhalten entsprechender Testsysteme mit Schnittstellenanbindungen usw.). Eine Sonderform stellt das Hosting dar. In diesem Fall nutzt die Kommune als autonome Anwenderin die technische Infrastruktur eines Rechenzentrums und lagert quasi ihren Rechner in das Rechenzentrum aus bzw. nutzt die dortige Rechnerleistung. Da das Rechenzentrum beim reinen Hosting keine Programmverantwortung übernimmt, bezieht sich die Einsatzbescheinigung des Rechenzentrums lediglich auf den tatsächlichen Rechnerbetrieb und nicht auf das eigentliche Programm. Die kassenrechtliche Programmfreigabe kann sich insoweit in Bezug auf die Ordnungsmäßigkeit des Programms nicht auf eine erteilte Einsatzbescheinigung stützen. Die im Zusammenhang mit der Freigabe notwendigen Handlungen verursachen bei jeder Kommune zwangsläufig zusätzlichen Aufwand.. Programmprüfung.. Grundsatz Die Programmprüfung nach 4a GemO unterscheidet beim Prüfungsverfahren zwischen Programmen des DV-Verbunds und sogen. autonomen Programmen. Die Datenzentrale bzw. die Regionalen Rechenzentren übernehmen als Programmanbieter konkrete Aufgaben im Programmprüfungsverfahren für die von ihnen betreuten Kommunen. Hinsichtlich der Frage einer eventuellen Prüfungspflicht (Pflichtprüfung nach 4a Abs. Satz GemO ) und der Art und Weise der Prüfung (Prüfungsanforderungen, Prüfungstiefe) werden die Verfahren des DV- Verbunds und autonome Verfahren gleich behandelt. Auch ist es unerheblich, ob ein Programm nur bei wenigen Anwendern oder (nahezu) flächendeckend im Einsatz ist... Verfahren des DV-Verbunds Beim Einsatz von Programmen des DV-Verbunds hat die Kommune, in Bezug auf die Programmprüfung, keine Verpflichtungen. Diese obliegen dem DV-Verbund als Programmanbieter i. S. des 4a Abs. Satz GemO. Gebührenschuldner der Prüfungskosten ist der DV- Verbund, der diese über Umlagen bzw. Fallpreise auf die einzelnen Anwender solidarisch verteilt. Die Kommune partizipiert insoweit an der Solidargemeinschaft DV-Verbund. Im Sonderheft /00 der GPA-Mittelungen, Freigabe von ADV-Verfahren wird detailliert beschrieben, wie sich der autonome Programmeinsatz auf die Freigabehandlungen auswirkt. Zur Abgrenzung der prüfungspflichtigen Programme siehe GPA-Mitt. 3/006 Az. 095.90. Seite 4

..3 Autonome Verfahren Die Kommune ist bei autonomen Verfahren selbst Adressat der Programmprüfung. Ihr obliegt die sogen. Veranlassungspflicht, welche die Meldepflicht der prüfungspflichtigen autonomen Programme an die GPA, sowie eine Mitwirkungspflicht bei der Programmprüfung beinhaltet ( 4a Abs. Satz GemO). So muss die Kommune die technischen Voraussetzungen schaffen, damit die Prüfung erfolgen kann (Einrichten eines Testmandanten, Vorbereiten eines Testdatenbestands, Bereitstellen der Programmdokumentation usw.). Die Kosten der Programmprüfung sind unmittelbar von der Kommune zu tragen, die das Programm einsetzt. Die Kommune trägt damit ein Kostenrisiko, weil die Prüfungsdauer und die Prüfungskosten auch von der Art der Software (z. B. hohe Komplexität durch eine Vielzahl von Verfahrensausprägungen) und deren Güte (z. B. Aussagefähigkeit, Vollständigkeit der Programmdokumentation) abhängen. Eine Kostenübernahme durch den Programmhersteller muss die Kommune vertraglich vereinbaren. Daneben ist sie der Adressat des Prüfungsberichts der Programmprüfung; die Kommune hat dafür Sorge zu tragen, dass festgestellte Fehler vom Programmhersteller ausgeräumt werden. 3 Anforderungsbereich Ordnungsmäßiger Programmeinsatz 3. Sicherstellung Daten- und Programmsicherheit 3.. Grundsatz Nach 6 GemKVO, 35 Abs. 5 und 6 GemHVO i. V. m. den Grundsätzen ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS) werden an finanzwirksame ADV-Verfahren hohe Anforderungen in Bezug auf die Daten- und Programmsicherheit gestellt. Es obliegt hierbei dem Bürgermeister, die notwendigen Sicherheitsvorkehrungen zu treffen ( 35 Abs. 6 Satz GemHVO). 3.. Verfahren des DV-Verbunds Das Rechenzentrum führt die erforderlichen Maßnahmen durch (bis hin zu Notfallplänen mit Einrichten eines Ausweichrechenzentrums usw.). Die Kommune stützt sich auf die erteilte Einsatzbescheinigung (siehe oben Ziffer..). 3..3 Autonome Verfahren Die Kommune betreibt im Rahmen der Inhouse-Verarbeitung ihr eigenes Rechenzentrum. Sie ist dafür verantwortlich, die Risiken (z. B. durch höhere Gewalt, organisatorische Mängel, Seite 5

menschliche Fehlhandlungen, technisches Versagen, Risiken von außen über Internet usw.) richtig zu bewerten und die notwendigen Maßnahmen zu treffen. Grundlage der Risikobewertung ist eine Schwachstellenanalyse. Diese sollte nach den Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) vorgenommen werden. Die aufgezeigten Schwachstellen sind anschließend zu bewerten und darauf aufbauend, sind die notwendigen Maßnahmen einzuleiten. Dabei sind grundsätzlich vier Handlungsalternativen denkbar: a) Das Risiko wird durch weitere Sicherheitsmaßnahmen reduziert (z. B. Sicherheitstür, Sicherheitsverglasungen, Rauch- und Wassermelder im Rechnerraum, Auslagerung von Datensicherungsbeständen). b) Das Risiko wird vermieden (z. B. Verlagerung des Rechnerraums vom UG zum OG und damit Vermeidung einer Gefährdung durch Hochwasser). c) Das Risiko wird verlagert (z. B. durch den Abschluss von Versicherungen). Hierbei ist grundsätzlich zu hinterfragen, ob eine monetäre Absicherung ausreichend ist (Datenverlust kann u. U. nicht ersetzt werden). Eine gezielte Verlagerung des Risikos erfolgt beispielsweise durch das Hosting (siehe auch oben Ziffer..3). d) Das Risiko wird übernommen, die Kommune (der Bürgermeister) akzeptiert das Risiko. Der Bürgermeister übernimmt dafür die Verantwortung. Nicht thematisiert wird hier bewusst die Frage, inwieweit die jeweilige Kommune in der Lage ist, bei Inhouse-Verarbeitung ein vergleichbares Sicherheitsniveau wie bei einem (zentralen) Rechenzentrumsbetrieb zu erreichen (z. B. sicherer Closed-Shop-Betrieb). Bei der Risikoabschätzung und den damit verbundenen erforderlichen Maßnahmen wird selbstverständlich zu unterscheiden sein, ob die Kommune lediglich einen kleinen Finanzbereich eigenständig abdeckt (z. B. Friedhofwesen) oder ihre komplette Buchführung (einschließlich der zentralen Veranlagungsverfahren und ggf. auch der Personalabrechnung) selbständig abwickelt. Es ist zu beachten, dass eine Inhouse-Verarbeitung speziell ausgebildete DV-Spezialisten erfordert. Vertretungen müssen bestellt und diese müssen entsprechend geschult sein. Da die Datenverarbeitung einem stetigen Wandel unterliegt, sind laufende Fortbildungsmaßnahmen sowohl in der allgemeinen DV-Technik (Betriebssystem, Datenbank usw.), als auch in Bezug auf die eingesetzten Anwendungsprogramme unerlässlich. Da die Mitarbeiter der DV-Abteilung i. d. R. nicht über das erforderlich fachliche Spezialwissen verfügen (können), kann die DV- Abteilung auch nur die ordnungsgemäße dv-technische Verarbeitung der Daten sicherstellen. Beim Programmeinsatz in Eigenregie muss die fachliche Seite deshalb vom Fachamt, von der Kämmerei bzw. der Kasse abgedeckt werden (z. B. Beurteilung der Notwendigkeit von Pro- Siehe hierzu auch GPA-Mitt. /00 Az. 049.00, Einsatz von ADV-Verfahren in Eigenregie. Die Kommune kann sich beim Hosting in Bezug auf die Daten- und Programmsicherheit dann auf die vom Rechenzentrum erteilte Einsatzbescheinigung stützen. Seite 6

grammupdates, Erarbeiten von Testfällen und Austesten der Funktionen vor dem Einsatz einer neuen Programmversion). Die erforderlichen Maßnahmen zu treffen bedeutet auch, dass die dafür notwendigen monetären Aufwendungen zu tragen sind. Der wirtschaftliche Einsatz einer Finanzsoftware darf nicht auf Kosten der Sicherheit und damit der Ordnungsmäßigkeit erfolgen. Exkurs Datenschutzrecht Die Einhaltung der datenschutzrechtlichen Bestimmungen ist nicht Gegenstand der GPA- Prüfung. Allerdings darf die Problematik des Datenschutzes nicht unerwähnt bleiben. Zwar sind bzgl. der Daten- und Programmsicherheit die Anforderungen aus datenschutzrechtlicher Sicht in weiten Teilen mit den haushalts- und kassenrechtlichen Vorgaben deckungsgleich. Allerdings kommen spezielle Anforderungen, wie z. B. Löschpflichten bei personenbezogenen Daten hinzu. Während im Haushalts- und Kassenrecht der Fokus auf die Änderung (auch i. S. von Manipulation) von finanzwirksamen Daten gerichtet ist, ist im Bereich des Datenschutzes bereits der unberechtigte lesende Zugriff auf (personenbezogene) Daten sicherheitsrelevant. Hinzu kommen sonstige Pflichten aus dem Landesdatenschutzgesetz bzw. aus weiteren Spezialgesetzen. Um diesen Anforderungen gerecht zu werden, dürfte es generell angebracht sein, einen örtlichen Datenschutzbeauftragten ( 0 LDSG) zu bestellen. 3. Prüfung der Daten- und Programmsicherheit 3.. Grundsatz Die Sicherstellung einer ausreichenden Daten- und Programmsicherheit beim Einsatz von Finanzsoftware ist grundsätzlich Bestandteil der örtlichen und überörtlichen Finanzprüfung ( 6 Abs. Nr. GemPrO). 3.. Verfahren des DV-Verbunds Erfolgt die Datenverarbeitung beim Regionalen Rechenzentrum, so deckt bereits die Programmprüfung durch die GPA den Bereich der Daten- und Programmsicherheit mit ab (Prüfung der Ordnungsmäßigkeit der Anwendung an Ort und Stelle gemäß 4a Abs. Satz 4 GemO). Die örtliche bzw. überörtliche (Finanz-) Prüfung nimmt keine eigenen Prüfungshandlungen beim Rechenzentrum vor. 3..3 Autonome Verfahren Bei Inhouse-Verarbeitung autonomer Verfahren ist eine zentrale (Vor-) Prüfung nicht möglich. Insoweit muss die Anwendungs- und Programmsicherheitsprüfung bei jeder einzelnen Kommune dezentral durchgeführt werden. Für die mit der Aufgabe betrauten Prüfer/Prüferinnen bedeu- Seite 7

tet dies, dass sie sich dv-technisch in verschiedenen Programmen vertieft aus- bzw. fortbilden müssen. Erfahrungen aus der überörtlichen Prüfung zeigen, dass der Sicherheitsproblematik einer Inhouse-Verarbeitung oft nicht die erforderliche Bedeutung beigemessen wird (z. B. fehlende Schwachstellen- bzw. Risikoanalyse). Die GPA ist deshalb beim Einsatz autonomer zentraler Finanzbuchhaltungssoftware in Eigenregie gezwungen, die Prüfung im Bereich der Daten- und Programmsicherheit - zumindest in solchen Fällen - auszuweiten und zu vertiefen. Ein erhöhter Prüfungsaufwand und damit auch höhere Prüfungsgebühren bei der jeweiligen Kommune sind die zwangsläufige Folge. Die notwendigen Prüfungshandlungen verursachen insoweit ggf. einen zusätzlichen Aufwand für die örtliche Prüfung bzw. bei jeder einzelnen Kommune einen zusätzlichen Aufwand im Rahmen der überörtlichen Prüfung. 4 Fazit Der Einsatz autonomer Finanzsoftware, anstelle der vom DV-Verbund angebotenen Verfahren, führt zu einer unmittelbaren Zunahme der Risikoverantwortung der Kommune. Damit die Kommune dieser Verantwortung gerecht wird, muss sie entsprechende Maßnahmen veranlassen bzw. Aufgaben wahrnehmen, die zu direktem eigenem monetären Aufwand führen (zusätzliches Personal, bauliche, sicherheitstechnische Maßnahmen usw.). Weiterer monetärer Aufwand kommt durch die Inanspruchnahme Dritter hinzu (z. B. Prüfungsgebühren im Rahmen der überörtlichen Anwendungsprüfung bzw. der Programmprüfung). Soweit z. B. Mängel im Rahmen der Anwendungsprüfung festgestellt werden, wird deren Beseitigung ebenfalls regelmäßig zu weiteren Kosten bei der Kommune führen (z. B. zusätzliche Maßnahmen zur notwendigen Erhöhung des Sicherheitsniveaus). Seite 8

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback