WhitePaper. zur Erfüllung der Anforderungen der GDPdU mit der Software GFI MailArchiver 6. Erstellt in Kooperation mit. GFI Software www.gfi.



Ähnliche Dokumente
Herzlich willkommen zu unserer Informationsveranstaltung Die digitale Betriebsprüfung - das gläserne Unternehmen?

Archivierung Whitepaper. Whitepaper. Copyright 2006, eulink GmbH, Gießen Seite 1

Überblick. Zugriffskontrolle. Protokollierung. Archivierung. Löschung

Prüfungsaspekte der E-Rechnung im Zuge von GoBD und Compliance

Neue Rechtslage zur digitalen Archivierung Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen GDPdU vom

Neue Herausforderung für kleine und mittlere Unternehmen.

Steuerliche Buchführungs-und. und Aufzeichnungspflichten. Anforderungen an Kassensysteme

Gesetzliche Aufbewahrungspflicht für s

Weg mit dem Papier: Unterlagen scannen und elektronisch archivieren

Die Mittelstandsoffensive erklärt IT

WBH Wirtschaftsberatung GmbH Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft Hannover K U R Z T E S T A T

Die E-Rechnung im Lichte der GoBD. Stefan Groß Steuerberater CISA (Certified Information Systems Auditor)

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Wir begrüßen Sie herzlich zum Workshop. Digitale Archivierung im Rahmen der GoBD

Checkliste zur Überprüfung der Ordnungsmäßigkeit der Kassen(buch)führung beim Einsatz elektronischer Kassensysteme

Digitalisierung im Mittelstand. (Steuer-)Rechtliche Rahmenbedingungen für den elektronischen Geschäftsverkehr

Archivierung. IHK-Vortrag 11. Mai IT Consulting & Service Sebastian Richter IHK-Vortrag Foliennummer: 1

10.15 Frühstückspause

S.M. Hartmann GmbH IT Solutions

IT Management Rechtliche Aspekte des IT Managements am Beispiel des Umgangs mit Systemen

Rechts- und datenschutzkonforme -Archivierung

Rechts- und datenschutzkonforme -Archivierung

AUTOMATISCHE -ARCHIVIERUNG. 10/07/28 BMD Systemhaus GmbH, Steyr Vervielfältigung bedarf der ausdrücklichen Genehmigung durch BMD!

Collax -Archivierung

Elektronische Rechnungen. Endlich einfach?

Collax Archive Howto

Datenschutz und Datensicherung (BDSG) Inhaltsübersicht

MERKBLATT Thema Checkliste zur Überprüfung der Ordnungsmäßigkeit der Kassen(buch)führung beim Einsatz elektronischer Kassensysteme

TechNote: Exchange Journaling aktivieren

Vortrag. Elektronische Rechnungslegung

1. Aufbewahrungsfristen für Personalakten

Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie Datenzugriff (GoBD)

Working for. your. future. ...wherever. you are

Automatischer Abschluss von Abrechnungsnummern

Dok.-Nr.: Seite 1 von 6

Diese Website und das Leistungsangebot von werden von der. Anke Reincke - Häusliche Krankenpflege und Seniorenbetreuung

Überprüfung der digital signierten E-Rechnung

Jutta Wimmer und Prof. Dr. Peter Schlieper: Verbesserung der Unternehmensführung durch optimierte Lohn- und Finanzbuchhaltung

Vereinbarung über den elektronischen Datenaustausch (EDI)

Leitfaden zur Anlage einer Nachforderung. Nachforderung Seite 1 von 11 RWE IT GmbH

GFI-Produkthandbuch. Einschränkungen und Lizenzierungshandbuch für GFI MailArchiver- Archivierung

D i e n s t e D r i t t e r a u f We b s i t e s

EDI-Vereinbarung Vereinbarung über den elektronischen Datenaustausch (EDI) Rechtliche Bestimmungen

Anlegen eines SendAs/RecieveAs Benutzer unter Exchange 2003, 2007 und 2010

Rechtliche Rahmenbedingungen des elektronischen Geschäftsverkehrs und der elektronischen Aufbewahrung kaufmännischer Unterlagen

Rahmenvereinbarung über den elektronischen Datenaustausch (EDI)

Sehr geehrte Damen und Herren

Elektronische Rechnung Was ist zu beachten?

GOBD. Grundsätze ordnungsmäßiger Buchführung und Datenverwaltung

THUNDERBIRD. 1 Was ist sigmail.de? 2 Warum sigmail.de? UP ESUTB.8-1-2

Einrichtung des KickMail- Benutzerkontos der gematik

Wissenswertes über die Bewertung. Arbeitshilfe

Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) (BMF-Schreiben vom 16. Juli IV D 2 - S /01 -)

Rechtssichere -Archivierung

Elektronischer Rechnungsaustausch im Kontext von Umsatzsteuer, GoBD & Compliance

So richten Sie Ihr Postfach im Mail-Programm Apple Mail ein:

Doku Pro Dokumenten & Informationsmanagement

Registrierung am Elterninformationssysytem: ClaXss Infoline

VERFAHRENSDOKUMENTATION

Anbindung an easybill.de

ACL-Skript: GDPdU-Datenübernahme

BSI Technische Richtlinie Vertrauenswürdige elektronische Langzeitspeicherung

12 Regeln zum GoBD-konformen Austausch elektronischer Rechnungen

Verlagerung der Buchführung ins Ausland

HTBVIEWER INBETRIEBNAHME

Kommentar von Dr. Ulrich Kampffmeyer, Project Consult. IDEA-Beschreibungsstandard setzt sich durch

Datenschutz-Vereinbarung

Maintenance & Re-Zertifizierung

Erstellung eines Verfahrensverzeichnisses aus QSEC

.. für Ihre Business-Lösung

10 IDG (Gesetz über die Information und den Datenschutz, LS 170.4) 24 IDV (Verordnung über die Information und den Datenschutz, LS 170.

Häufig gestellte Fragen zum Thema: Rechnungen per

IT-Controlling als notwendiges Instrument für die Leitung eines Krankenhauses. Dr. Bernd Schütze, Gesellschaft für klinische Dienstleistungen

Elektronische Betriebsprüfung mit IDEA

Fachbericht zum Thema: Anforderungen an ein Datenbanksystem

Aktivieren des Anti-SPAM Filters

Vereinbarung über den elektronischen Datenaustausch (EDI) Flughafen München GmbH Nordallee München BDEW Codenummer:

Der Datenschutzbeauftragte

Installation Wawi SQL in Verbindung mit Microsoft SQL Server 2008 R2 Express with management Tools

sidoku - Quickstart Beschreibung des Vorgangs Einladung annehmen Release Stand

REDDOXX 2014 all rights reserved. Management

Orlando-Archivierung

Informationssicherheit als Outsourcing Kandidat

Weiterleitung einrichten für eine GMX- -Adresse

Wenn Sie das T-Online WebBanking das erste Mal nutzen, müssen Sie sich zunächst für den Dienst Mobiles Banking frei schalten lassen.

Handbuch. timecard Connector Version: REINER SCT Kartengeräte GmbH & Co. KG Goethestr Furtwangen

Dokumentenarchivierung mit SelectLine-Produkten

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT

Folgende Einstellungen sind notwendig, damit die Kommunikation zwischen Server und Client funktioniert:

OUTLOOK Was ist sigmail.de? 2 Warum sigmail.de? UP ESUO

Angebot & Rechnung, Umsatzsteuer, Mein Büro Einrichtung automatischer Datensicherungen

LEITFADEN zur Einstellung von Reverse Charge bei Metall und Schrott

Vereinbarung über den elektronischen Datenaustausch (EDI)

S TAND N OVEMBE R 2012 HANDBUCH DUDLE.ELK-WUE.DE T E R M I N A B S P R A C H E N I N D E R L A N D E S K I R C H E

Handbuch für Nutzer von Zertifikaten der Zertifizierungsstellen (CAs) des Bayerischen Behördennetzes (BYBN) zur Sicherung von s Teil D2:

Hinweise zur Langzeitspeicherung und Aussonderung

Neue Steuererklärung 2013 erstellen

Installation SelectLine SQL in Verbindung mit Microsoft SQL Server 2012 Express with management tools

Transkript:

GFI Software www.gfi.com WhitePaper zur Erfüllung der Anforderungen der GDPdU mit der Software GFI MailArchiver 6 Erstellt in Kooperation mit August 09

A. Einleitung... 2 B. Rechtliche Grundlagen... 3 C. Technisch-organisatorische Anforderungen... 4 I. Maschinelle Auswertbarkeit... 4 II. Vollständig- und Unveränderlichkeit... 5 III. Sichere und nachvollziehbare Datenverarbeitung und -speicherung. 5 IV. Angemessene Datenzugriffsmöglichkeiten... 6 V. Zuordnungsmöglichkeit von E-Mails und zugehörigen Geschäftsvorfällen.. 6 VI. Bereitstellung einer angemessenen Verfahrensdokumentation... 6 VII. Datenschutzrechtliche Anforderungen... 7 D. Risiken... 7 E. Checkliste GFI MailArchiver 6... 10 A. Einleitung E-Mail ist aus der modernen Unternehmenskommunikation nicht mehr wegzudenken. Häufig werden inzwischen ganze Geschäftsprozesse E-Mail-gestützt abgewickelt. Da E-Mails häufig die Funktion von Geschäftsbriefen oder so genannten Handelsbriefen haben und zudem für die Besteuerung von Bedeutung sind, müssen besondere Anforderungen an die Verarbeitung und Aufbewahrung dieser E-Mails eingehalten werden. Die Anforderungen an E-Mails, die für die Besteuerung von Bedeutung sind, ergeben sich aus den Ordnungsvorschriften des 147 AO. Hiernach ist eine Aufbewahrung von sechs oder zehn Jahren sicherzustellen. Darüber hinaus gelten in Deutschland seit einiger Zeit die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU). Gemäß dieser Vorschrift müssen sämtliche E- Mails mit steuerlich relevantem Inhalt für die Dauer der gesetzlichen Aufbewahrungsfrist elektronisch aufbewahrt und auf Anforderung der Finanzverwaltung zur Verfügung gestellt werden. Es werden spezifische Anforderungen an die Art, das Format und die Auswertbarkeit der elektronisch aufbewahrten E-Mails gestellt. Eine beliebige Speicherung in den persönlichen Postfächern der Mitarbeiter oder der Ausdruck steuerlich relevanter E-Mails genügt nicht mehr. Unternehmen, die ihr betriebliches Rechnungswesen bisher nicht auf die neuen gesetzlichen Anforderungen der GDPdU ausgerichtet haben, müssen im Rahmen der nächsten Betriebsprüfung im schlimmsten Fall mit erheblichen Sanktionen rechnen. Hierbei handelt es sich bei besonders schwerwiegenden Verstößen um die Schätzung von Besteuerungsgrundlagen sowie um Zwangsund Verzögerungsgelder, die bis zu EUR 250.000 betragen können. Um den hohen Anforderungen bei der Aufbewahrung von E-Mails nachzukommen, bieten sich elektronische Archivierungslösungen an. Hierbei ist jedoch zu beachten, dass eine technische Lösung alleine nicht zum Erfolg führt. 2

Die Erfüllung der Anforderungen kann nur durch technische Lösungen und darauf abgestimmte Verfahren und Prozesse erreicht werden. Es ist ein verbreiteter Irrtum, dass ein zertifiziertes System allein ausreicht, um die verschiedenen Anforderungen zu erfüllen. Dies trifft leider nicht zu. Viele Hersteller von Softwareprodukten lassen ihre Kunden an dieser Stelle im Unklaren und verschweigen beispielsweise, dass, zusätzlich zur einfachen Speicherung, organisatorische Verfahren im Zusammenhang mit der Struktur der Ablage für E-Mails und Anhänge sowie der zeitnahen Auffindbarkeit realisiert werden müssen. Der Softwarehersteller GFI Software beschreitet hier einen anderen Weg. Zusätzlich zu einer Zertifizierung der E-Mail-Archivierungssoftware GFI MailArchiver 6 hinsichtlich der Erfüllung der Anforderungen der GDPdU durch eine deutsche Wirtschaftsprüfungsgesellschaft bietet GFI Software eine umfassende Lösung an. Neben der bewährten technischen Archivierungslösung wird Unterstützung zur Gestaltung der notwendigen organisatorischen Verfahren und Prozesse gewährt. Die vorliegende Unterlage informiert über die Anforderungen der Finanzverwaltung und unterstützt anhand einer pragmatischen Checkliste bei der Realisierung von gesetzeskonformen Verfahren. B. Rechtliche Grundlagen Gemäß den einschlägigen handelsrechtlichen und steuerrechtlichen Vorschriften ( 238, 239, 257 HGB und 145-147 AO) können Handelsbücher und sonstige rechnungslegungsrelevante Aufzeichnungen unter bestimmten Voraussetzungen auf einem Bild- oder sonstigen Datenträger geführt werden. Daher ist eine Aufbewahrung von steuerlich relevanten Unterlagen auf digitalen Datenträgern - z. B. in elektronischen Archivierungssystemen - möglich. Die elektronische Archivierung ist dabei als langfristige und unveränderliche Speicherung von aufbewahrungspflichtigen Unterlagen auf maschinenlesbaren Datenträgern zur Erfüllung der gesetzlichen Aufbewahrungspflichten gemäß den 257 HGB und 147 AO definiert. Zu den aufbewahrungspflichtigen Unterlagen zählen beispielsweise: Buchungsbelege, Handelsbücher und Handelsbriefe Physische Dokumente in Papierform (z. B. eingehende Handelsbriefe oder manuell erstellte Buchungsbelege und sonstige Belege) Verfahrens- und Anwenderdokumentationen, die Dokumentation des Internen Kontrollsystems (IKS) sowie sonstige zum Verständnis der Buchführung notwendige Unterlagen Auch E-Mails mit steuerlich relevantem Inhalt fallen unter die aufbewahrungspflichtigen Unterlagen nach 147 Abs. 1 Nr. 5 AO. 3

Eine Konkretisierung der gesetzlichen Vorgaben ergibt sich aus verschiedenen einschlägigen Stellungnahmen und Regelungen. Hierzu gehören u. a.: Grundsätze ordnungsmäßiger Buchführung (GoB) gemäß den 238 ff., 257 HGB und 147 ff. AO Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS, BMF- Schreiben vom 7. November 1995) Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU, BMF-Schreiben vom 16. Juli 2001) Zur Konkretisierung dieser Anforderungen im Rahmen der Wirtschaftsprüfung hat das Institut der Wirtschaftsprüfer in Deutschland e.v. (IDW) eine ergänzende Stellungnahme Grundsätze ordnungsmäßiger Buchführung beim Einsatz elektronischer Archivierungsverfahren (IDW RS FAIT 3) veröffentlicht. Darüber hinaus sind datenschutzrechtliche Anforderungen im Bundesdatenschutzgesetz (BDSG) festgelegt. C. Technisch-organisatorische Anforderungen Die Ordnungsvorschriften einschließlich der Verlautbarungen der Finanzverwaltung schreiben keine besondere Technik für die elektronische Archivierung vor. Über die folgenden Eckpunkte der technisch-organisatorischen Anforderungen an ein System zur elektronischen Archivierung von E-Mails besteht jedoch Einigkeit: Maschinelle Auswertbarkeit Vollständigkeit und Unveränderlichkeit Sichere und nachvollziehbare Datenverarbeitung und -speicherung Angemessene Datenzugriffsmöglichkeiten Zuordnungsmöglichkeit von E-Mails und zugehörigen Geschäftsvorfällen Bereitstellung einer angemessenen Verfahrensdokumentation Datenschutzrechtliche Anforderungen I. Maschinelle Auswertbarkeit Gemäß den GDPdU muss die maschinelle Auswertbarkeit sichergestellt sein. Das bedeutet, dass das die Daten übernehmende Archivsystem in der Lage sein muss, die in quantitativer und qualitativer Hinsicht gleichen Auswertungsmöglichkeiten wie das Quellsystem bereitzustellen, als wären die Daten noch im Produktivsystem (Wortlaut der BMF-Verlautbarung). Weiterhin darf bei der Übernahme der zu archivierenden Daten oder Dokumente keine Veränderung 4

an dem zu archivierenden Objekt oder seiner Auswertbarkeit erfolgen. Bei der Betrachtung generisch digitaler Dokumente ist zu beachten, ob zusätzlich zum Inhalt Strukturinformationen vorliegen, die für eine maschinelle Auswertung erforderlich sind. Bei E-Mails gehört zu den Strukturinformationen z. B. der so genannte Header einer E-Mail, der u. a. Angaben zu Sender, Empfänger und Art der Kodierung enthält. Neben der eigentlichen E-Mail und der Strukturinformation sind auch ggf. vorhandene Anhänge von Bedeutung. Diese sind bei der Auswertung steuerlicher Relevanz einer E- Mail zu betrachten und dementsprechend maschinell auswertbar bei der Archivierung zu berücksichtigen. II. Vollständig- und Unveränderlichkeit Alle Daten müssen vollständig archiviert werden. Daher ist insbesondere sicherzustellen, dass die Daten des Quellsystems keiner Filterung unterliegen. Die Finanzverwaltung legt Wert darauf, dass keine Verdichtung der Information vor der Übernahme in das Archivsystem (oder anschließend darin) erfolgt, sofern der Verlust steuerlich relevanter Informationen nicht ausgeschlossen werden kann. Die Unveränderlichkeit der Archivierungsobjekte ist in allen Phasen des Archivierungsprozesses sicherzustellen und dessen Nachvollziehbarkeit durch eine geeignete Protokollierung zu gewährleisten. Das zur Anwendung gebrachte Archivierungsverfahren hat somit grundsätzlich derart zu erfolgen, dass folgende Anforderungen erfüllt sind: Parametrisierung der zur Archivierungslösung gehörenden Systeme, welche die vollständige Erfassung der steuerlich relevanten Daten sicherstellt Verlustfreie Datenübertragung an das Erfassungssystem Zeitnahe und periodengerechte Archivierung Archivierung der Daten in inhaltlicher und bildlicher Übereinstimmung mit dem Original III. Sichere und nachvollziehbare Datenverarbeitung und -speicherung Eine nachträgliche Veränderung der Archivierungsobjekte ist auf Betriebssystem-, Datenbank- und Anwendungsebene zu verhindern. Dies bedeutet, dass die vollständige Speicherung der erfassten Daten nachvollziehbar zu gewährleisten und die fehlerfreie Speicherung durch geeignete Plausibilitätskontrollen sicherzustellen ist. Zur Wahrung der Informationssicherheit und des Datenschutzes muss sichergestellt sein, dass die Archivierungssoftware - ggf. im Zusammenspiel mit dem Betriebssystem sowie der eingesetzten Drittsoftware (z. B. Datenbanksystem) ausschließlich den lesenden Zugriff unter Berücksichtigung von Funktionstrennungsaspekten und berechtigtem Interesse zulässt. 5

Dabei sind sowohl eine verschlüsselte Speicherung als auch die Kapselung der Originaldatei zulässig, sofern die Originaldatei zum Prüfungszeitpunkt ohne eine den Prüfungsablauf beeinträchtigende Zeitverzögerung lesbar gemacht werden kann. Die alleinige Speicherung in Abweichung zum originären Datenformat ist hingegen nicht zulässig und darf daher nur zusätzlich erfolgen. IV. Angemessene Datenzugriffsmöglichkeiten Das zur Archivierung eingesetzte System muss den wahlfreien Zugriff auf Daten und Dokumente technisch ermöglichen. Zur Sicherstellung eines zeitnahen Datenzugriffs durch die Finanzverwaltung muss die Archivierungslösung während der gesamten Aufbewahrungsfrist eine jederzeitige Lesbarmachung bzw. Reproduzierbarkeit der Archivierungsobjekte ermöglichen. Um die Wiederauffindbarkeit steuerlich relevanter E-Mails gewährleisten zu können, müssen die Anforderungen an eine geordnete Ablage erfüllt sein. Dies erfordert zunächst die Kennzeichnung jeder E-Mail mit einem eindeutigen Index. Darüber hinaus sollte das System über geeignete Methoden zur Verschlagwortung verfügen, um Beziehungen zu Daten außerhalb des Systems abbilden zu können. Auf diese Weise kann sichergestellt werden, dass der Betriebsprüfer eine logische Kette von steuerrelevanten Geschäftstransaktionen nachvollziehen kann, einschließlich der Betrachtung einzelner Datenobjekte. V. Zuordnungsmöglichkeit von E-Mails und zugehörigen Geschäftsvorfällen Die Zuordnung der steuerlich relevanten E-Mails zu den jeweils zugehörigen Geschäftsvorfällen ist erforderlich. Aufgrund der Charakteristik von E-Mails ist dies jedoch schwierig. Folgende Varianten sind denkbar: Steuerlich relevante E-Mails mit Bezug auf einen Geschäftsvorfall Steuerlich relevante E-Mails mit Bezug auf mehrere Geschäftsvorfälle Steuerlich relevante E-Mails ohne Bezug auf einen Geschäftsvorfall Konkrete Handlungsvorgaben, wie eine solche Zuordnung zuverlässig herzustellen ist, nennt die Finanzverwaltung nicht. Insofern unterliegt der Steuerpflichtige bei der Auswahl des Verfahrens keinen Restriktionen. Ein geeignetes Archivierungssystem sollte jedoch über komfortable Möglichkeiten für eine solche Zuordnung verfügen. VI. Bereitstellung einer angemessenen Verfahrensdokumentation Die Archivierungslösung muss über eine angemessene Verfahrensdokumentation verfügen. Diese besteht aus den folgenden Komponenten: Anwenderdokumentation Technische Systemdokumentation Betriebsdokumentation 6

Darin sind die eingerichteten Verfahren festzulegen und nachzuweisen. Dies gilt insbesondere für die in dem jeweiligen Verfahren vorgesehenen Kontrollen. Darüber hinaus sollten in der Dokumentation technische (z. B. Schnittstellendefinition zu vor- und nachgelagerten Systemen) und organisatorische Festlegungen (z. B. Zeitpunkt und Frequenz von Archivierungsprozessen) beschrieben sein. VII. Datenschutzrechtliche Anforderungen Bei Einsatz serverseitiger Archivierung in Unternehmen besteht neben dem grundsätzlichen Problem automatisierter Qualifizierung von E-Mails auch eine datenschutzrechtliche Problematik. Durch serverseitige, automatisierte Archivierung von E-Mails werden im Regelfall alle eingehenden E-Mails erfasst, bevor diese in den individuellen Machtbereich des Empfängers auf dessen Arbeitsplatzrechner gelangen. In diesem Fall würden auch E-Mails mit rein privatem Inhalt in die Archivierung einbezogen werden. D. Risiken Die Risiken, die sich aus der Nicht-Erfüllung der gesetzlichen Anforderungen ergeben, sind vielfältig. Sie betreffen neben möglichen rechtlichen Konsequenzen vor allem auch das Ansehen, die Wirtschaftlichkeit und die Effizienz der Unternehmen. Als prägnante Risiken lassen sich folgende Beispiele nennen: Nichtabzugsfähigkeit der Vorsteuer Sanktionen bei Nichteinhaltung der Ordnungsmäßigkeitsvorschriften Beweiskraftverluste Datenschutzverletzungen Erhöhter innerbetrieblicher Aufwand Offenlegung unternehmenskritischer Informationen Nichtabzugsfähigkeit der Vorsteuer Durch eine unsachgemäße oder unvollständige Archivierung von Eingangsrechnungen, die im Rahmen der Übersendung elektronischer Rechnungsbelege ( E-Billing ) per E-Mail in das Unternehmen eingehen, besteht die Gefahr, dass die Vorsteuerabzugsberechtigung entfällt. In diesem Zusammenhang ist auch die ordnungsmäßige Archivierung der die elektronische Rechnung begleitenden qualifizierten elektronischen Signatur zu nennen. In Deutschland verlangt das Umsatzsteuergesetz (UStG) eine qualifizierte elektronische Signatur auf elektronisch 7

übermittelten Rechnungen, damit das rechnungserhaltende Unternehmen zum Abzug der Vorsteuer berechtigt ist. Sanktionen bei Nichteinhaltung der Ordnungsmäßigkeitsvorschriften Verletzungen der Ordnungsmäßigkeitsvorschriften können Sanktionen der Finanzverwaltung nach sich ziehen, die bei besonders schwerwiegenden Verstößen von Zwangsund Verzögerungsgeldern, die gemäß 146 2b AO bis zu EUR 250.000 betragen können, bis hin zur Schätzung der steuerlichen Bemessungsgrundlage reichen. Beweiskraftverluste Eine unsachgemäße Archivierung kann zu Verlusten der juristischen Beweiskraft und damit zu finanziellen Risiken in unbestimmter Höhe führen. Dies ist insbesondere dann denkbar, wenn die Archivierung der E-Mails nicht in der geforderten unveränderten Originalform erfolgt. So können beispielsweise Geschäftsbriefe zwischen Kunde und Lieferant in einer gerichtlichen Auseinandersetzung zwingende Grundlage einer Beweisführung nach Inhalt und zeitlicher Abfolge sein. Datenschutzverletzungen Verletzungen des Datenschutzes sind insbesondere dann möglich, wenn infolge unzureichender physischer und logischer Zugangsbeschränkungen auf den zentralen Datenbestand Einsichtnahmen oder sogar Manipulationen personenbezogener Informationen erfolgen können. Eine Verletzung der datenschutzrechtlichen Bestimmungen kann erhebliche Bußgeldzahlungen zur Folge haben. Die Bußgelder reichen im schlimmsten Fall von EUR 50.000 bei Verletzungen von Verfahrensvorschriften bis zu EUR 300.000 für Verstöße gegen materielle Datenschutzbestimmungen. Erhöhter innerbetrieblicher Aufwand Hinsichtlich der Gewährung eines zeitnahen und frei wählbaren Zugriffs durch die Finanzverwaltung ist auch der hierfür erforderliche innerbetriebliche Kostenaufwand zu berücksichtigen. So kann z. B. durch die nachträgliche Sortierung eines historisch gewachsenen Datenbestands erheblicher Arbeitsaufwand entstehen. Eine geordnete Ablage führt hingegen regelmäßig zu erheblichen Effizienzvorteilen. Darüber hinaus führt die Einführung einer dedizierten E-Mail-Archivierungslösung zur Vermeidung unnötiger Datenredundanz und damit zu einer reduzierten Inanspruchnahme von Ressourcen (z. B. Speicherkapazitäten). Offenlegung unternehmenskritischer Informationen Die Finanzverwaltung unterliegt bei der Behandlung der ihr versehentlich oder über den Prüfungsgegenstand hinaus überlassenen Infor- 8

mationen keinem Verwertungsverbot. Eine fehlerhafte oder unterlassene Trennung von steuerlich relevanten und nicht steuerlich relevanten E-Mails kann dazu führen, dass der Finanzverwaltung bei der Offenlegung nicht prüfungsrelevanter Sachverhalte Informationen zukommen, die zum Nachteil des Unternehmens verwendet werden können. 9

E. Checkliste GFI MailArchiver 6 Systemaufbau Auswahl eines geeigneten Archivspeichers Sind die Anforderungen an nachvollziehbar unveränderliche Archivierung durch den ausgewählten Archivspeicher erfüllt? Hierzu ist es erforderlich, dass der Archivspeicher eine umfassende Protokollierung über alle im Zusammenhang mit der Archivierung durchgeführten Speichervorgänge und alle nachträglichen Zugriffe (auch auf Datenbankebene) gewährleistet. Als geeigneter Datenspeicher ist das Datenbanksystem MS SQL Server einzusetzen. Bei sachgerechter Konfiguration der Zugriffsrechte werden die genannten Anforderungen durch vollständige Speicherung innerhalb der Datenbank als einem GDPdU-konformen Zwischenspeicher erfüllt. Sicherheit der Datenverbindungen Erfolgt die Archivierung von E-Mails über Netzwerkverbindungen aus Quellsystemen (z. B. von entfernten MS Exchange Servern), die sich nicht im Vertrauensbereich des Anwenders befinden? In diesem Fall ist die Unveränderlichkeit auf dem Übertragungsweg durch verschlüsselte Datenübertragung sicherzustellen. Hierzu ist in GFI MailArchiver das Übertragungsprotokoll IMAP mit Secure Sockets Layer (SSL) für die Kommunikation mit dem Quellsystem zu wählen. Parametrisierung und Schnittstellen Um eine den Anforderungen der GDPdU entsprechende Konfiguration der Archivierungslösung zu gewährleisten, sind vor Inbetriebnahme auf Seiten des Quellsystems (MS Exchange Server) zwingend folgende Vorbereitungen zu treffen: Definition und Einrichtung des Archivpostfachs (journaling mailbox), welches alle für die Archivierung bestimmten E-Mails des entsprechenden Servers enthalten soll Aktivierung des Umschlagjournalmodus (envelope journaling) in MS Exchange Server, um die Vollständigkeit des Archivierungsumfangs unter Einschluss aller möglichen E-Mail- Empfänger einschließlich Blindkopie-Empfängern (BCC) sicherzustellen (standardmäßig aktiviert ab MS Exchange Server 2007) Aktivierung des Nachrichtentrackings (message tracking), um die nachträgliche Überprüfbarkeit vollständiger Archivierung zu gewährleisten Neben den zwingenden Vorbereitungen zur GDPdU-konformen E-Mail-Archivierung sind weiterhin folgende Empfehlungen zu beachten: Ist sichergestellt, dass der Umfang der zu archivierenden E-Mails keinen Einschränkungen durch Einstellungen in den Archi- 10

vierungsoptionen von GFI MailArchiver unterliegt? Hierbei sind unter dem Aspekt der Vollständigkeit grundsätzlich folgende Einstellungen vorzunehmen: Erfassung der E-Mails aller Kommunikationsrichtungen (eingehend, ausgehend, intern) Keine Ausschlüsse auf Basis von Negativlisten ( Blacklisting ) für einzelne Benutzerkonten der Windows- Domäne oder bestimmter E-Mail- Adressen Keine Beschränkung des Benutzerkreises auf Basis von Positivlisten ( Whitelisting ) für einzelne Benutzerkonten der Windows-Domäne oder bestimmter E-Mail-Adressen Ausnahmen ergeben sich z. B. bei Benutzerkonten oder E-Mail-Adressen, bei denen eine steuerliche Relevanz des E-Mail- Verkehrs definitiv auszuschließen ist. Ist sichergestellt, dass keine Archivierungsrichtlinien definiert sind, die Aufbewahrungszeiträume unterhalb der gesetzlichen Aufbewahrungsfristen zur Folge haben (z. B. Richtlinien zur sofortigen Löschung auf Basis definierter Merkmale)? Prozesse und Organisation Ist die schriftliche Festlegung dazu geeignet, dass Inhalt, Aufbau und Ablauf der Verfahren durch einen fachkundigen Dritten in angemessener Zeit nachvollzogen werden können? Sind die Zuständigkeiten für die einzelnen Prozesschritte (fachliche Tätigkeiten und IT- Aufgaben) vollständig für alle Archivierungskomponenten festgelegt? Erfolgt eine Einweisung der Benutzer in die Bedienung des Archivsystems bzw. existiert eine Benutzerdokumentation? Erfolgt eine Einweisung in die Administration des Archivsystems bzw. existiert ein Administrationshandbuch? Sind Wartungs- und Systemverwaltungsaufgaben des Archivierungssystems klar festgelegt und in ein übergeordnetes Konzept des IT-Regelbetriebs aufgenommen? Sind Kontrolltätigkeiten klar definiert? Ist das Berechtigungsverfahren den festgelegten Kompetenzen entsprechend eingerichtet und dokumentiert? Erfassung Sind Verfahren und Techniken zur nachprüfbar vollständigen und richtigen Erfassung und Archivierung der E-Mails definiert und dokumentiert? Eine Protokollierung der über die Standardschnittstelle aus MS Exchange Server übernommenen E-Mails wird durch GFI MailArchiver nicht unterstützt. Ein Nachweis 11

verlustfreier und damit vollständiger Datenübernahme mit Hinblick auf die Anforderungen der GDPdU muss daher unter Zuhilfenahme der durch das jeweilige Quellsystem (MS Exchange Server) erzeugten Protokollierung erbracht werden. Durch den Abgleich der durch MS Exchange im Rahmen des Nachrichtentrackings (message tracking) erstellten Protokolle anhand identifizierender Merkmale der verarbeiteten E-Mails mit den später im Archiv vorhandenen E-Mails ist eine Vollständigkeitsprüfung im Bedarfsfall grundsätzlich möglich. Sind geeignete Verfahren festgelegt, um die Anforderungen der GDPdU hinsichtlich der Archivierung signierter und verschlüsselter E-Mails zu erfüllen? Eine nachträgliche Bearbeitung archivierter E-Mails sowie eine gemeinsame Erfassung mit anderen als den unmittelbar von MS Exchange Server bezogenen Dateien ist mit GFI MailArchiver architekturbedingt nicht möglich. Daher sind geeignete Verfahren einzuführen (z. B. manuelle Verschlagwortung), um die Zuordnung der signierten bzw. verschlüsselten E-Mails zu den jeweiligen Verifikationsprotokollen bzw. entschlüsselten E-Mails und zugehörigen Entschlüsselungscodes zu gewährleisten. Indexierung und Verschlagwortung Sind die Verfahren zur Kennzeichnung steuerlich relevanter archivierter E-Mails eindeutig festgelegt? GFI MailArchiver 6 bietet zwei grundsätzlich unterschiedliche Möglichkeiten, E-Mails mit Kennzeichnungen zu versehen: Automatische, regelbasierte Kennzeichnung bei Einstellung in die Archivierung mittels definierbarer Kategorisierungsrichtlinien Manuelle Kennzeichnung bereits archivierter E-Mails, die sich im Zugriffsbereich des Anwenders befinden Es ist zu empfehlen, von einer regelbasierten, automatischen Kennzeichnung speziell als alleinige Kennzeichnungsmethode abzusehen. Die Bewertung auf steuerliche Relevanz ist zu komplex, um allein auf Basis vorbestimmter Regeln zuverlässig durchgeführt werden zu können. In jedem Fall sollte ein regelbasiertes, automatisches Verfahren zwingend von einer manuellen Kontrolle begleitet werden. Ist ein Verfahren definiert, welches durch geeignete Verschlagwortung in GFI MailArchiver die Zuordnung zu einem oder mehreren Geschäftsvorfällen ermöglicht? Die Möglichkeit, in GFI MailArchiver individuell eine für alle Benutzer sichtbare Kennzeichnung an archivierten E-Mails vorzunehmen, die sich 12

im Zugriffsbereich des Anwenders befinden, ermöglicht neben einer Kennzeichnung auf steuerliche Relevanz auch eine direkte Zuordnung zu einem zugehörigen Geschäftsvorfall. Dies kann durch das Anbringen einer Kennzeichnung (z. B. Verschlagwortung) erfolgen, welche identifizierende Merkmale zur Auffindung korrespondierender Inhalte in anderen Systemen beinhaltet. Ist ein Verfahren definiert, welches die eindeutige Zuordnungsfähigkeit der durch GFI MailArchiver archivierten E-Mails in einem separaten rechnungslegungsrelevanten System ermöglicht? Hierbei ist der die archivierten E-Mails in GFI MailArchiver eindeutig identifizierende Schlüssel ( Identification Code ) von Bedeutung. Dieser kann durch Aufnahme in einem externen System (z. B. ERP- System) als so genannter Fremdschlüssel eine logische Referenz zur betreffenden E-Mail und somit eine Verknüpfung mit dem Geschäftsvorfall herstellen. Der durch GFI MailArchiver 6 auf Anwenderebene zugängliche Index Identification Code stellt eine wertvolle Hilfe dar, um eine solche Fremdschlüsselreferenz in vernetzten Systemumgebungen technisch zu nutzen. aus externen Systemen über einen Hyperlink adressiert werden. Hierzu ist es allerdings erforderlich, dass das referenzierende System über eine Methode verfügt, den Quellenanzeiger (URL) selbst zu erstellen. Die Verwendung des GFI MailArchiver-Identifikationsschlüssels ( Identification Code ) als referenzierende Verbindung durch eine externe Software ist durch Verwendung der darin enthaltenen Parameter id und connectionid möglich. Eine solche URL lässt sich wie folgt zusammensetzen: Adressierung der Anzeigeoberfläche von GFI MailArchiver zur E-Mail-Ansicht: http://localhost/mailarchiver/mailview.aspx? Ergänzung um die ( id ) des aktiven Archivspeichers von GFI MailArchiver 6.1: http://localhost/mailarchiver/mailview.aspx? id=-2147483647 Ergänzung um den zweiten Parameter, die Verbindungs-ID ( connectionid ): http://localhost/mailarchiver/mailview.aspx? id=-2147483647&connectionid=b44d3270-8bdb-43d2-8fa2-67eb6ead54a9 Die Eingabe der URL führt direkt zur Ansicht der spezifischen E-Mail im Archiv: http://localhost/mailarchiver/mailview.aspx?id= -2147483647&connectionId=b44d3270-8bdb- 43d2-8fa2-67eb6ead54a9 Entsprechende Zugriffsrechte vorausgesetzt, können archivierte E-Mails direkt 13

Speicherung und Verwaltung Ist sichergestellt, dass der gewählte Archivspeicher über die absehbar erforderlichen Speicherkapazitäten verfügt und wird dies regelmäßig kontrolliert? Ist die nachträgliche Überprüfbarkeit vollständiger Archivierung auf Basis des Vergleichs der von MS Exchange Server transferierten und durch GFI MailArchiver archivierten E-Mails (vorzugsweise unter Verwendung der Message-ID) sichergestellt? Darüber hinaus ist sicherzustellen, dass die von MS Exchange Server erzeugten Protokollierungen, die den Vergleich von Seiten des Quellsystems ermöglichen, verlustfrei gespeichert (z. B. kein Überschreiben, nur fortschreibende Protokollierung) und gemäß der Aufbewahrungsfrist der archivierten Daten aufbewahrt werden. Lesbarmachung und Wiederherstellung Ist ein Benutzerkonto für den Betriebsprüfer eingerichtet, das den Zugriff auf alle steuerlich relevanten E-Mails ermöglicht? Da GFI MailArchiver keine Zugriffsbeschränkung auf Basis von Kennzeichnungen unterstützt bzw. leisten kann, empfiehlt sich die Einrichtung eines organisatorischen Verfahrens zur steuerlichen Kennzeichnung, um eine Separierung des Archivdatenbestands im Vorfeld einer Betriebsprüfung zu gewährleisten (z. B. systematische Deklarierung steuerlicher Relevanz über die manuelle Methode zur individuellen Kennzeichnung). In einem weiteren Schritt kann in Vorbereitung auf eine Betriebsprüfung ein Export anhand solcher Kennzeichnungen durchgeführt werden. Mit einem anschließenden Import in einen dedizierten Archivspeicher kann einem Betriebsprüfer somit ein ausschließlich auf Kennzeichnungen basierender Zugriff auf die steuerlich relevanten E-Mails gewährt werden. Aufbewahrung und Vernichtung Ist sichergestellt, dass keine Aufbewahrungsrichtlinien definiert sind, die eine Löschung archivierter E-Mails vor Ablauf der gesetzlichen Aufbewahrungsfrist bewirken? Hierbei ist zu berücksichtigen, dass steuerlich relevante E-Mails in einigen Fällen auch Informationen enthalten können, die eine Aufbewahrungsdauer von zehn Jahren erfordern. Daher ist von einer regelbasierten Festlegung des Aufbewahrungszeitraums durch Aufbewahrungsrichtlinien von GFI MailArchiver abzusehen, sofern der festgelegte Zeitraum nicht mindestens der längsten gesetzlichen Mindestaufbewahrungsdauer entspricht. 14

Softwaresicherheit Ist ein Berechtigungskonzept zur Festlegung der notwendigen funktionalen Trennung und des Berechtigungsvergabeverfahrens entwickelt? Sind angemessene logische Zugriffskontrollen für folgende Zugriffsebenen vorhanden: Betriebssystem (MS Windows einschließlich Active Directory, Web-Server und MS Exchange Server) Datenbanksystem (MS SQL Server) Archivierungssoftware (GFI MailArchiver) Verfahrensdokumentation Sind die im Rahmen der Parametrisierung vorgenommenen Einstellungen in der Software und den Schnittstellen dokumentiert? Sind die Schnittstellen zwischen den einzelnen Komponenten der E-Mail-Archivierungslösung (z. B. Bezeichnung, Quell-/ Zielsystem, Schnittstelleninhalt/-art, Abstimmung) nachvollziehbar dokumentiert? Sind die Schnittstellen zwischen der E-Mail-Archivierungslösung und anderer im Unternehmen eingesetzter Software (z. B. ERP- oder Finanzbuchhaltungssystem) im Rahmen der Referenzierung von Geschäftsvorfällen nachvollziehbar dokumentiert? Liegen Arbeitsanweisungen für die Anwender vor, die eine sachgerechte Durchführung ihrer Aufgaben einschließlich der im Verfahren vorgesehenen, manuellen Kontrollen und Abstimmungen ermöglichen (Betriebsdokumentation)? Liegen Beschreibungen der zur Anwendung kommenden Komponenten der Archivierungslösung vor, die den technischen Aufbau und die funktionalen Anforderungen darstellen (technische Systemdokumentation)? Liegen Arbeitsanweisungen für die IT-Administration vor, die einen ordnungsmäßigen Regelbetrieb gewährleisten (z. B. Beschreibung von Datensicherungs- und Wiederherstellungsverfahren)? Wird die Verfahrensdokumentation (aufbewahrungspflichtig) ebenfalls archiviert? Einführung und Änderung Werden Ordnungsmäßigkeit und Sicherheit der eingesetzten Systeme und Anwendungen durch fachliche und technische Testverfahren vor der Inbetriebnahme der E-Mail-Archivierungslösung sichergestellt? Ist ein Testverfahren definiert und dokumentiert, und decken die Testfälle eine Prüfung der Ordnungsmäßigkeits- und Sicherheitsanforderungen ab? 15

Ist ein Freigabeverfahren definiert und dokumentiert, das Regelungen über Freigabekompetenzen enthält, und sind Freigabeerklärungen für alle Komponenten der E-Mail-Archivierungslösung vorhanden? und Dienstleistungsvereinbarungen (Service Level Agreements) erforderlich. Werden Änderungen an der E-Mail- Archivierungslösung nur auf der Basis eines geregelten Verfahrens vorgenommen (Change Management)? IT-Betrieb Ist der IT-Betrieb (Regel- und Notbetrieb) der Systeme in Organisationsanweisungen festgelegt (z. B. Aufgaben und Befugnisse von Administratoren, Regelungen zum Change Management und zur Verwaltung von Speichermedien)? Ist ein Notfallkonzept zur Vorgehensweise bei Ausfall der Archivierungslösung erstellt? Sind geeignete Datensicherungs- und Auslagerungsverfahren festgelegt und erfolgen regelmäßige Tests zur erfolgreichen Datenwiederherstellung? Outsourcing Ist bei Auslagerung der E-Mail-Archivierungslösung an Dritte (Outsourcing) sichergestellt, dass die Anforderungen an die Ordnungsmäßigkeit und Sicherheit auch durch die Dienstleistungsunternehmen gewährleistet werden? Hierzu sind geeignete vertragliche Regelungen 16

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback