IT-Sicherheitsrecht: Welche Anforderungen ergeben sich aus der Pflicht zur Buchführung?
Pflichten und Haftung im Unternehmen (mit DSGVO & NIS-RL-UmsetzungsG). Der Praxisleitfaden liefert praxisorientierte Hinweise zur Einhaltung der anwendbaren IT-Sicherheitspflichten und zu den Haftungsrisiken bei Sicherheitsdefiziten. Hier im Blog werden einige zentrale Auszüge veröffentlicht. Voigt, IT-Sicherheitsrecht, 2018, 287 Seiten, 79,80 Euro
Viele IT-sicherheitsrechtliche Vorgaben ergeben sich aus allgemeinen Verpflichtungen ohne ausdrücklichen Bezug zur IT-Sicherheit (die wichtigsten IT-sicherheitsrechtlichen Pflichten - Checkliste). Häufig wird übersehen, dass sich auch aus den Vorgaben zur elektronischen Buchführung teilweise sehr konkrete IT-sicherheitsrechtliche Vorgaben ergeben.
Revisionssicherheit
Bei der elektronischen Buchführung muss die Revisionssicherheit, also die Überprüfung und Überprüfbarkeit von Daten und Systemen durch die interne und ggf. externe Revision sichergestellt werden (Conrad/Hausen in Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, 2. Aufl. 2017, Teil III, Kap. 3, Rz. 1).
Um eine solche Überprüfung zu ermöglichen, muss die Geschäftsleitung die Sicherheit der eingesetzten IT gewährleisten.
Konkrete Vorgaben hierzu enthalten die GoBD, also die Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff.
Umfang elektronischer Buchführung
Grundsätzlich sind Unterlagen in der Form (ausgedruckt oder elektronisch) aufzubewahren, in der sie entstanden oder eingegangen sind. Nur das Original gibt die inhaltliche und äußerliche Aufmachung einschließlich der Urheberschaft der Unterlagen im Handelsverkehr wieder (Regierer in Häublein/Hoffmann-Theinert, BeckOK HGB, 17. Edition, Stand 1.7.2017, § 257 Rz. 10 m.w.N.).
Möchte man die Bücher weitestgehend elektronisch führen, geht es bei der Archivierung auf Bild- oder sonstigen Datenträgern um die Übereinstimmung mit dem Original:
- Für empfangene Handelsbriefe und Buchungsbelege wird bildliche Übereinstimmung verlangt, damit die Urheberschaft der angebrachten Sicht-, Kontroll- und Bearbeitungsvermerke sowie von deren Inhalt festgestellt werden kann (Böcking/Gros in Ebenroth/Boujong/Joost/Strohn, HGB, 3. Aufl. 2014, § 257 Rz. 23 m.w.N.).
- Für die übrigen Unterlagen genügt inhaltliche Übereinstimmung, d.h. Vollständigkeit und inhaltliche Richtigkeit der Wiedergaben (Böcking/Gros in Ebenroth/Boujong/Joost/Strohn, HGB, 3. Aufl. 2014, § 257 Rz. 24 m.w.N.).
Erst wenn diese Vorgaben beachtet werden, dürfen Originale nach ordnungsgemäßer Aufnahme bzw. Speicherung grundsätzlich vernichtet werden (Böcking/Gros in Ebenroth/Boujong/Joost/Strohn, HGB, 3. Aufl. 2014, § 257 Rz. 22).
Sicherungspflichtige Daten
Die steuerrechtlichen und handelsrechtlichen Anforderungen an den Umfang der Buchführung entsprechen sich weitgehend, wonach unzählige Daten aufbewahrungspflichtig sind (Graf in MüKo Bilanzrecht, 2013, § 257 HGB Rz. 1):
- Handelsbücher,
- (Jahres-)Abschlüsse
- Lageberichte
- Buchungsbelege, die zur Aufstellung des Jahresabschlusses erforderlichen sind,
- Arbeitsanweisungen & Organisationsunterlagen, die Dritten die Überprüfung der Buchführung ermöglichen, so dass z.B. auch Kontenpläne und Systemdokumentationen betroffen sind (Graf in MüKo Bilanzrecht, 2013, § 257 HGB Rz. 12).
- E-Mail-, Telefax- & anderweitige Kommunikationsfluss des Unternehmens - in Teilen (Graf in MüKo Bilanzrecht, 2013, § 257 HGB Rz. 13).
- jegliche zur Überprüfung der Besteuerung erforderliche Unterlagen, also je nach Unternehmen auch Kassenzettel oder Lohnstundenzettel (Graf in MüKo Bilanzrecht, 2013, § 257 HGB Rz. 15; Rätke in Klein, AO, 13. Aufl. 2016, § 147 Rz. 27).
Sicherungspflichtige IT-Systeme
Da unzählige Daten aufbewahrungspflichtig sind, unterliegen auch viele IT-Systeme im Unternehmen der handels- und steuerrechtlichen IT-Sicherheitspflicht. Davon betroffen sind u.a. folgende Systeme:
- Finanz-, Lohn-, Anlagenbuchhaltung;
- PC- & Registrier-Kassen;
- Zahlungsverkehrssysteme;
- Office-Programme für die Textverarbeitung, Tabellenkalkulation und den E-Mail-Verkehr;
- Dokumentenmanagement-Systeme;
- Zeiterfassungssysteme.
Für eine ausführlichere Aufzählung siehe Conrad in Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, 2. Aufl. 2016, § 33 Rz. 326.
Anforderungen an die IT-Sicherheit der Buchführung
Die Anforderungen an die IT-gestützte Buchführung sollen die Verfügbarkeit der Informationen, deren Fälschungssicherheit und nachträgliche Unveränderbarkeit sicherstellen (Conrad in Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, 2. Aufl. 2016, § 33 Rz. 325). Einzuhalten sind dabei u.a. folgende Grundsätze:
- Nachvollziehbarkeit und Nachprüfbarkeit: Die Buchführung muss einem sachverständigen Dritten innerhalb angemessener Zeit einen Überblick über die Geschäftsvorfälle und die Lage des Unternehmens ermöglichen (GOBD-Schreiben, S. 9).
- Vollständigkeit: Alle Geschäftsvorfälle sind vollzählig und lückenlos aufzuzeichnen, wenngleich dies nur im Rahmen der Zumutbarkeit und Praktikabilität zu erfolgen hat (GOBD-Schreiben, S. 10).
- Richtigkeit: Die Geschäftsvorfälle müssen inhaltlich zutreffend durch Belege abgebildet werden (GOBD-Schreiben, S. 11).
- Zeitgerechte Buchungen und Aufzeichnungen: Die Geschäftsvorfälle sind zeitgerecht zu erfassen, was bei einer elektronischen Buchführung unmittelbar erfolgen muss, da dies zumutbar und praktikabel sein sollte (GOBD-Schreiben, S. 13).
- Ordnung: Der Grundsatz der Klarheit verlangt u.a. eine systematische Erfassung und übersichtliche, eindeutige und nachvollziehbare Buchungen (GOBD-Schreiben, S. 13).
- Unveränderbarkeit: Die erfassten Daten dürfen nicht nachträglich so veränderbar sein, dass ihr ursprünglicher Inhalt nicht mehr feststellbar ist. Aus diesem Grund sind Veränderungen und Löschungen von und an elektronischen Buchungen oder Aufzeichnungen entsprechend zu protokollieren (GOBD-Schreiben, S. 14).
Umsetzung durch internes Kontrollsystem
Die Umsetzung dieser Anforderungen an die zur Buchhaltung eingesetzte IT erfordert die Einrichtung eines internen Kontrollsystems (IKS), welches deren dauerhafte Einhaltung absichert (Conrad in Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, 2. Aufl. 2016, § 33 Rz. 325). Dieses besteht aus zwei Elementen (Für die folgenden Ausführungen s. Deussen in Ziemons/Jaeger, BeckOK GmbHG, 32. Edition, Stand 1.8.2017, § 41 Rz. 11 ff.):
- (1) Internes Steuerungssystem: Dieses sieht Maßnahmen zur Steuerung der Unternehmensaktivitäten vor und stellt auf diese Weise die ordnungsgemäße Erfassung von Geschäftsvorfällen und die Einhaltung der weiteren Buchhaltungsgrundsätze sicher. Es gewährleistet nicht nur den reibungslosen Arbeitsablauf der Buchhaltung, sondern auch aller rechnungslegungsrelevanten Bereiche der Unternehmensorganisation.
- (2) Internes Überwachungssystem: Dieses stellt die Nachhaltigkeit der internen Steuerung über prozessintegrierte und prozessunabhängige Überwachungsmaßnahmen sicher.
Die Implementierung eines IKS ist zur Gewährleistung der Ordnungsmäßigkeit und Verlässlichkeit des Rechnungswesens unerlässlich (Deussen in Ziemons/Jaeger, BeckOK GmbHG, 32. Edition, Stand 1.8.2017, § 41 Rz. 13).
Art & Umfang des Systems sind von der Komplexität des Unternehmens, dessen Organisationsstruktur, der Diversifikation der Geschäftstätigkeiten und der eingesetzten IT abhängig (GOBD-Schreiben, S. 23; Deussen in Ziemons/Jaeger, BeckOK GmbHG, 32. Edition, Stand 1.8.2017, § 41 Rz. 13). An der US-Börse notierte Unternehmen müssen im Rahmen des IKS überdies besondere Finanzberichterstattungspflichten auf Grundlage des Sarbanes-Oxley Acts beachten (siehe hierzu Voigt, IT-Sicherheitsrecht, Rz. 70 ff.).