Security ist ein stets aktuelles Thema in der IT. Deshalb widmet sich das ADMIN-Magazin 04/2012 speziell Sicherheitsaspekten und gibt Antworten auf die Fragen: ... (mehr)

Die richtige Lösung finden

Bei der Auswahl eines Anbieters für ein Archivierungssystem sollte man unterscheiden zwischen der revisionssicheren und der rechtssicheren Archivierung: Die revisionssichere Aufbewahrung bedeutet eine ordnungsgemäße, vollständige, unveränderte, nachvollziehbare und über einen Index wiederauffindbare Archivierung von kaufmännischen und steuerrechtlich relevanten Daten und Belegen. Dazu gehört eine Verfahrensdokumentation. Das Gesetz gibt keine klaren Hinweise auf erlaubte Signaturverfahren oder Technologien. Der Gesetzgeber schreibt bewusst keine bestimmten Speichermedien oder Technologien vor. Anhaltspunkte zur Datensicherheit (etwa Schutz vor unberechtigter Veränderung, Verlust, Vernichtung der Datenträger) enthalten die Grundsätze ordnungsgemäßer DV-gestützter Buchführungssysteme (GoBS).

Ein revisionssicheres System auf dem Markt mit einem privaten Siegel "revisionssicher" bedeutet nicht unbedingt "rechtssicher". Maßgeblich ist letztendlich, ob alle erforderlichen Daten archiviert werden, und ob die Signaturen korrekt sind und auch im Falle der Migration noch alle Anforderungen erfüllt sind. Dies hängt nicht zuletzt von demjenigen ab, der archiviert. Die Daten müssen nicht im ursprünglichen System gespeichert sein, sie können ausgelagert werden, sollten aber möglichst im Inland bleiben. Für Daten im Ausland gelten Sonderregeln.

Offizielle Zertifikate gibt es nicht

Es gibt aktuell keine Möglichkeit, ein vorhandenes oder geplantes System von der Finanzverwaltung als "GDPdU-konform" zertifizieren zu lassen. Das BMF weist darauf hin, dass insbesondere die Vielzahl und unterschiedliche Ausgestaltung und Kombination selbst marktgängiger Buchhaltungs- und Archivierungssysteme keine allgemein gültigen Aussagen der Finanzverwaltung zur Konformität der verwendeten oder geplanten Hard- und Software zulassen. Zertifikate Dritter entfalten gegenüber der Finanzverwaltung keine Bindungswirkung. Im Übrigen hängt die Ordnungsmäßigkeit eines eingesetzten Verfahrens letztlich von mehreren Kriterien ab (zum Beispiel auch von der Richtigkeit und Vollständigkeit der eingegebenen Daten).

Aber aus den Fragen und Antworten zum Datenzugriffsrecht der Finanzverwaltung" vom 22.01.2009 des BMF ergeben sich die folgenden Anhaltspunkte: "Die Finanzverwaltung hat mit Herstellern von Entgeltabrechnungs-, Finanzbuchhaltungs- und Archivierungssystemen sowie dem deutschen Vertrieb der Prüfsoftware "IDEA" (Fa. Audicon, Düsseldorf) eine einheitliche technische Bereitstellungshilfe zur Format- und Inhaltsbeschreibung der steuerlich relevanten Daten entwickelt. Ziel ist die automatisierte Weitergabe aller zur Auswertung vom Prüfer benötigten Informationen über den Datenbestand, ohne die geprüften Unternehmen personell und finanziell – beispielsweise durch Beauftragung externer Softwarespezialisten – über das unbedingt erforderliche Maß hinaus in Anspruch nehmen zu müssen. Der "Beschreibungsstandard für die Datenträgerüberlassung" definiert die Datenimport-Schnittstelle zur automatisierten Übernahme steuerlich relevanter Daten einschließlich der zur maschinellen Auswertung erforderlichen Verknüpfungen. Dieser Schnittstelle können und sollen sich die Softwarehersteller bedienen, um ihren Kunden die Möglichkeit zur problemlosen Datenübergabe bei angeforderter Datenträgerüberlassung im Rahmen einer Außenprüfung zu bieten."

Die Finanzverwaltung legt sich also technisch nicht konkret fest. Der Anwender muss allein entscheiden, wie er die gesetzlich geforderte Archivierung technisch konkret umsetzt. Dies hat aber auch Vorteile für den Anwender. Sein Spielraum bei der Umsetzung ist größer. Beim Verband Organisations- und Informationssysteme (VOI) findet man Informationen zu rechtlichen, technischen und kaufmännischen Fragen rund um die Mail-Archivierung [1]:

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019