IT-Projekte

Cloud, Outsourcing, Revisionssichere Archive

Die Cloud – zwischen Wirtschaftlichkeit und Compliance

Cloud Computing ist auch im Jahre 2015 noch ein sehr heißes Thema. Cloud Computing“ steht für die Datenver­arbeitung in den Wolken und beschreibt eine über Netze angeschlossene Rechnerlandschaft, in welche die eigenen Dateien ausgelagert werden.

Entsprechend viele marktreife Produkte von bekannten Unternehmen, die auf den schier grenzenlosen Online-Speicher setzen, gibt es inzwischen. Unternehmen können beispielsweise ihre komplette Buchhaltung oder den Vertrieb in die Wolke schieben, die öffentliche Verwaltung statistische Auswertungen, die bisher viele Gigabyte Speicher auf eigenen Servern belegen, und Endverbraucher ihre Fotos oder Videos, die kostbaren Platz auf PCs, Tablets oder Smartphones blockieren.

Für die Anwendung von Cloud-Services sprechen dabei ein hohes Einsparpotential in den Bereichen Anschaffung, Betrieb und Wartung der IT-Systeme. Darüber hinaus ist die ubiquitäre Verfügbarkeit von Geschäfts­an­wendungen unabhängig von geographischen Standorten ein nicht zu unterschätzender Vorteil. Natürlich sind im Gegenzug auch die cloudspe­zifischen Risiken zu nennen, wie die Löschung von Daten, die Vervielfältigung und Verteilung der Daten, die Datentrennung und die kaum gegebene Transparenz der Datenver­arbeitung in der Cloud.

Gerade aus diesen Gründen haben die Anbieter bei der Erhebung, Verarbeitung und Nutzung von personen­bezogenen Daten im Rahmen von Cloud-Services datenschutz­rechtliche Bestimmungen einzuhalten, denn Cloud Computing darf auf keinen Fall zur Absenkung des Datenschutz­standarts im Vergleich zur herkömmlichen Datenver­arbeitung führen.

Für das Cloud Computing ergeben sich sowohl aus der Sicht des Datenschutzes als auch aus der IT-Sicherheit einige Besonderheiten. Zum einen können vermeintlich als anonymisiert angesehene Daten durch die Verarbeitung in der Cloud reidenti­fizierbar werden, weil verschiedene Beteiligte über Zusatzwissen verfügen. Daher muss für die verantwortliche Stelle deutlich werden, in welchem Rahmen Datenschutz­be­stimmungen einzuhalten sind. Außerdem werden bei der Anwendung von Cloud-Services und der Bereitstellung von IT-Dienstleistungen regelmäßig mehrere Beteiligte tätig. Hier ist von Bedeutung wie deren Beziehung zueinander datenschutz­rechtlich zu bewerten ist und wie vor allem die verantwortliche Stelle ihren Verpflichtungen nachkommt. So hat das auslagernde Unternehmen als verantwortliche Stelle die Rechtmäßigkeit der gesamten Datenver­arbeitung zu gewährleisten, insbesondere muss es seinen Löschpflichten nachkommen (§ 35 Abs. 2 BDSG), unrichtige Daten berichtigen (§ 35 Abs. 1 BDSG), für eine Sperrung der Daten sorgen (§ 35 Abs. 3 BDSG) und dem Betroffenen (§ 3 Abs. 1 BDSG) u.a. Auskünfte über die zu seiner Person gespeicherten Daten, auch soweit sie sich auf die Herkunft dieser Daten beziehen, erteilen (§ 34 Abs.1 BDSG). Aus technischer Sicht müssen vor allem besondere Vorkehrungen für die ordnungsgemäße Löschung und Trennung von Daten sowie für die Sicherstellung von Transparenz, Integrität und Revisions­fähigkeit der Datenver­arbeitung getroffen werden.

Bei Nichteinhaltung der Datenschutz­be­stimmungen drohen dem auslagernden Unternehmen haftungs­rechtliche Konsequenzen, indem diese gegenüber den Betroffenen zum Schadensersatz verpflichtet ist, Bußgelder verhängt oder Anordnungen (§ 38 Abs. 5 BDSG) verfügt werden können.

Nicht zu unterschätzen ist die Kontrolle der Cloud-Anbieter – diese Pflicht verbleibt beim Cloud-Anwender. Er hat sich als Auftraggeber nach § 11 Abs. 2 BDSG vor Beginn der Datenver­arbeitung und während der Cloud-Nutzung regelmäßig von der Einhaltung der beim Cloud-Anbieter als Auftragnehmer getroffenen technischen und organisa­torischen Maßnahmen zu überzeugen.

Für Clouds, bei denen die Datenver­arbeitung ausschließlich innerhalb des Europäischen Wirtschaftsraums (EWR) stattfindet, ergeben sich keine Besonderheiten. Erfolgen die Datenver­ar­beitungen allerdings außerhalb der EU und des EW, indem die Cloud-Anbieter und/​oder Unter-Anbieter eine Datenver­arbeitung in Drittstaaten vornehmen, so gelten die besonderen Anforderungen der §§ 4b, 4c BDSG. Sollte in dem Drittstaat kein angemessenes Datenschutzniveau bestehen, müssen daher durch das auslagernde Unternehmen als verantwortliche Stelle ausreichende Garantien zum Schutz des allgemeinen Persönlich­keitsrechts und der Ausübung der damit verbundenen Rechte vorgewiesen werden. Die Garantien können sich aus Standart­ver­tragsklauseln für die Übermittlung personen­bezogener Daten an Auftrags­verarbeiter in Drittländer nach der Richtlinie 95/46/EG vom 05.02.2010 oder u.U. aus Binding Corporate Rules ergeben.

Erfolgt eine Verarbeitung personen­bezogener Daten durch einen Cloud-Anbieter oder Unter-Anbieter mit Sitz in U.S.A., so konnten die EU-Standart­ver­tragsklauseln ebenso wie die Binding Corporate Rules bis vor kurzem entbehrlich sein, wenn sich der Cloud-Anbieter zur Einhaltung der Safe-Harbor-Grundsätze verpflichtet hat. Mit dem Safe-Harbor-Urteil des EuGH vom 06.10.2015 wurde die Safe-Harbor Entscheidung der EU-Kommission für ungültig erklärt. Damit wurde vielen Datenüber­mittlungen in die USA die rechtliche Grundlage entzogen. Nun besteht bis Ende Januar eine Übergangsfrist, in der eine angemessene Lösung gefunden werden soll. Bis dahin werden jedoch von den Datenschutz­be­auftragten keine Schritte ergriffen, wenn die Unternehmen weiterhin auf der Basis von Safe Harbor personenbezogene Daten in die USA übermitteln.

Buchführungs- und Aufzeich­nungs­pflichten

Am 14. November 2014 wurden die Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD) veröffentlicht. Sie beschreiben die steuerrechtlichen Anforderungen an eine ordnungsgemäße Buchführung und die Erfüllung von Aufzeich­nungs­pflichten. Die GoBD vereinheitlicht alle bisher bestehenden Verwaltungs­regelungen und passt diese an aktuelle technische Buchführungs­standarts und die Rechtsprechung an. 

Zu den Inhalten der GoBD gehören zum einen die Anforderungen zur Führung von Büchern und Aufzeichnungen aufgrund steuerrechtlicher Buchführungs- und Aufzeich­nungs­pflichten und außersteuerlichen Buchführungs- und Aufzeich­nungs­pflichten, soweit diese für die Besteuerung von Bedeutung sind. Ebenso behandeln die GoBD die Aufbewahrung von steuerlichen und außersteuerlichen Büchern und Aufzeichnungen und die Aufbewahrung von Unterlagen zu Geschäfts­vorfällen und zu deren Verständnis oder Überprüfung vorgeschriebener Aufzeichnungen. Außerdem enthält das Schreiben erläuternde Ausführungen zur Verantwortlichkeit für die Führung elektronischer Aufzeichnungen und Bücher. Des Weiteren werden allgemeiner Anforderungen wie den Grundsätzen der Nachvoll­ziehbarkeit, Nachprüfbarkeit, Wahrheit, Vollständigkeit, Richtigkeit, dem Belegwesen, der Aufzeichnung von Geschäftsvorfälle, dem internen Kontrollsystem, der Datensicherheit, der elektronischen Aufbewahrung von Geschäfts­unterlagen, dem Datenzugriff und der Verfahrens­do­ku­mentation zur Nachvoll­ziehbarkeit und Nachprüfbarkeit geregelt. Ebenso erläutert das Schreiben Fragen der Zertifizierung und Software-Testate.

Die GoBD sind von allen Büchführungs- und Aufzeich­nungs­pflichtigen anzuwenden. Daher beschränkt sich ihre Verwendung nicht nur auf Systeme der doppelten Buchführung. Ausdrücklich sind auch die steuerlichen Aufzeich­nungs­pflichten eingeschlossen. Ebenso Unternehmen, welche eine Einnahmen­über­schussrechnung erstellen müssen. Darüber hinaus beziehen sich die GoBD auch auf Vor- und Nebensysteme der Finanzbuchführung.

Die gesetzlichen Regelungen zu den Grundsätzen der ordnungsgemäßen Buchführung sind seit Jahrzehnten unverändert, wie auch die Ordnungs­vor­schriften der §§ 145 und 147 AO. Neu ist seit 2002 das Datenzugriffsrecht und das damit zusammenhängende Erfordernis der maschinellen Auswertbarkeit. Bei den GoBD handelt es sich um ein BMF-Schreiben, welches die steuerlichen Anforderungen an die ordnungsgemäße Buchführung konkret beschreibt. Die Anforderungen an die Ordnungs­mäßigkeit der Buchführung ändern sich dadurch nicht, dass die Buchführung nunmehr mit Hilfe der modernen Technik erstellt wird. Jedoch ergeben sich daraufhin EDV-spezifische technische Anforderungen zur Erfüllung der Grundsätze ordnungsgemäßer Buchführung, zum Beispiel was die Datensicherheit und die Verfahrens­be­schreibung betrifft.