Scopevisio ist GoBD-konform – Checkliste

 

Scopevisio erfüllt Compliance-Anforderungen

Schon vor der Einführung der GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff) im Jahr 2015 erfüllte Scopevisio alle Ordnungsmäßigkeitsanforderungen der Finanzbehörden. Diese hießen damals noch GDPdU und GoB, enthielten jedoch bereits die meisten Regelungen der modernen GoBD.

Mit Inkrafttreten der GoBD konnte Scopevisio sich daher schnell an den neuen, strengeren Rechtsrahmen anpassen. Wir haben die GoBD in Scopevisio vollständig umgesetzt.

Mehr noch: Es gibt ja nicht nur Vorschriften für Software-Systeme, sondern auch für die Menschen, die diese Software verwenden. Scopevisio macht Ihnen die Einhaltung durch clevere Funktionen leicht.

Zum Beispiel:

  • Damit Kassenbewegungen schnell erfasst werden können, gibt es eine App, die Belege automatisch über die Smartphone-Kamera hochlädt.
  • Damit die Funktionstrennung beim Prüfen und Freigeben von Eingangsrechnungen beachtet wird, haben wir einen praktischen Workflow integriert.

Diese und viele weitere Lösungen finden Sie in unserer integrierten Cloud-Unternehmenssoftware. Lassen Sie sich in einem unserer Webinare zeigen, wie vielseitig und durchdacht Scopevisio Ihre Prozesse begleitet.

Scopevisio und GoBD – das passt!

Die folgende Tabelle gibt einen Überblick, wie die Scopevisio die GoBD-Anforderungen erfüllt.

Diese GoBD-Anforderung…

erfüllt Scopevisio durch folgende Maßnahmen…

Nachvollziehbarkeit und Nachprüfbarkeit (progressiv und retrograd)

Alle Verarbeitungen werden lückenlos und übersichtlich in der Software am Beleg protokolliert – von der ersten Entstehung eines Vorgangs bis zur abschließenden Buchung.

Buchungssatz und Belegbild sind unauflöslich miteinander verknüpft.

Stammdatenänderungen sind aus dem Systemprotokoll ersichtlich.

Unveränderbarkeit

Ein einmal hochgeladener Beleg bleibt im Original erhalten und wird mit vollständiger Versionshistorie gespeichert.

Unverlierbarkeit

Durch Berechtigungseinstellungen lässt sich erreichen, dass hochgeladene Dokumente nicht mehr gelöscht werden können.

Es ist systemseitig sichergestellt, dass die Dokumente vor Vernichtung, Verlust, Überschreiben, Diebstahl usw. geschützt sind.

Belege bleiben über die gesamte Aufbewahrungsfrist erhalten

Datenspeicherung in Deutschland

Die Datenspeicherung erfolgt auf eigenen, dedizierten Servern in Deutschland unter deutschem Datenschutzrecht.

Vollständigkeit (in Bezug auf außersteuerliche und steuerliche Buchhaltungs- und Aufzeichnungspflichten)

Steuerrelevante Informationen werden in einem an die Finanzbuchhaltung angebundenen DMS gesichert und mit dem entsprechenden Geschäftsvorfall verknüpft.

Belege werden direkt am Geschäftsvorfall bzw. Buchungssatz hinterlegt. Steuerrelevante E-Mails und Dokumente, die den Charakter eines Handelsbriefs haben, werden mit dem Vorfall verknüpft.

Auffindbarkeit

Durch Techniken wie z. B. Volltextindizierung lassen sich Informationen rasch finden.

Ordnung

Unterlagen sind eindeutig identifizierbar. Das gilt für Buchungen, Belege und begleitende Dokumente.

Zeitgerechte Erfassung

Sobald Belege vom Scanner oder von der Smartphone-Kamera in die Software hochgeladen wurden, gelten sie als erfasst.

Mobile Apps unterstützen die zeitnahe Erfassung.

Zeitgerechte Buchung

Durch Kontierungsassistenten und die am Vorgang dokumentierten, buchungsrelevanten Informationen sind Buchungen schneller zu bewältigen.

Bei Ausfall einer Fachkraft kann eine Vertretung mit den passenden Zugriffsrechten übernehmen.

Tägliche Kassenführung

Den Kassenbewegungen kann ein elektronischer Beleg sofort zugeordnet werden.

Jederzeitige Kassensturzfähigkeit

Der Sollbestand der Kasse ist direkt abrufbar.

Maschinelle Auswertbarkeit

Das System liefert verlustfrei maschinell auswertbare Daten (kein Downgrade!).

Datenzugriff der Finanzbehörde

Im Falle einer Steuerprüfung sind die unterschiedlichen Zugriffsarten oder ein IDEA-GDPdU-Export schnell eingerichtet bzw. im System bereits vorgesehen.

Internes Kontrollsystem

Die erforderliche Funktionstrennung kann durch Berechtigungseinstellungen im System festgeschrieben und für eine etwaige Prüfung dokumentiert werden.

Im Idealfall implementiert das System auch einen Workflow für die Rechnungsprüfung und –freigabe.

Verfahrensdokumentation

Die von den GoBD geforderte Verfahrensdokumentation wird systemseitig durch Workflows, die Festlegung von Zuständigkeiten und die Protokollierung aller Bearbeitungsschritte unterstützt.

 

Abschließend möchten wir darauf hinweisen, dass wir nicht befugt sind, Rechts- oder Steuerberatung zu leisten.

Was ist neu an der Datenschutz-Grundverordnung (DSGVO)?

Am 25. Mai 2018 tritt die neue Datenschutz-Grundverordnung EU-weit in Kraft. Höchste Zeit für IT-Unternehmen und ihre Kunden, sich auf die neue Rechtslage einzustellen.

Dennoch wird Ende 2018 mindestens die Hälfte der Unternehmen, für die die DSVGO gilt, die Anforderungen nicht vollständig erfüllen können. Diese Bilanz zieht die Gartner-Studie „Focus on Five High-Priority Changes to Tackle the EU GDPR“.

DSGVO: Worum geht es?

Datenschutz ist in Deutschland und der EU – zum Glück – nichts Neues. Hierzulande wurde der Datenschutz bisher vor allem vom Bundesdatenschutzgesetz (BDSG) geregelt. Übrigens wird dieses ebenfalls novelliert und als Teil des Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (DSAnpUG-EU) beschlossen. Die neueste Fassung des BDSG wird am 25. Mai 2018 mit der Datenschutz-Grundverordnung (DSGVO) in Kraft treten und das noch aktuelle Bundesdatenschutzgesetz komplett ersetzen

Eines sei vorweg gesagt: Wer das BDSG ernst genommen und seine Compliance-Hausaufgaben gemacht hat, hat mit den Regelungen der DSGVO wenig Probleme. Nur leider haben viele KMU in Deutschland diese Hausaufgaben bisher nur oberflächlich erledigt.

Denn die bisherigen Sanktionsmöglichkeiten waren nicht hoch: Die Maximalstrafe für Verstöße lag bei 300.000 Euro. Manche Unternehmen kamen nach kurzem Nachrechnen zu dem Schluss, dass die Strafe weniger kostet als eine IT-Umstellung – und ließen es darauf ankommen.

Das ändert sich jetzt. Nach der neuen DSGVO können Strafen bis zu vier Prozent des globalen Konzernumsatzes oder bis zu 20 Millionen Euro erhoben werden.

DSGVO: Was ist neu?

Die möglichen, empfindlichen Bußgelder wurden bereits weiter oben erwähnt. Doch welche Neuerungen hält die DSGVO sonst noch bereit?

Einwilligung nachweisen

Wenn Unternehmen personenbezogene Daten speichern, müssen sie dazu die Einwilligung der Betroffenen einholen. Sie müssen den Zweck der Verarbeitung angeben und dürfen später nicht davon abweichen.

Datenminimierung

Personenbezogene Daten dürfen nur soweit gespeichert werden, wie es dem Zweck angemessen ist. Die Menge der Daten muss auf das für die Verarbeitung notwendige Maß beschränkt sein.

Speicherbegrenzung

Die Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für den Verarbeitungszweck erforderlich ist.

Übertragbarkeit der Daten

Ein Kunde kann verlangen, dass ein Unternehmen alle Daten, die es von ihm gespeichert hat, an Dritte übergibt. Das soll z. B. den Anbieterwechsel für Verbraucher vereinfachen.

Vertraulichkeit

Bei der Verarbeitung muss die Sicherheit personenbezogener Daten gewährleistet sein. Das bedeutet: Es darf kein unbefugter Zugriff stattfinden und auch kein Verlust und keine Beschädigung oder Zerstörung der Daten.

Recht auf Korrektur

Personenbezogene Daten müssen sachlich richtig und aktuell sein. Unrichtige Daten müssen unverzüglich korrigiert oder gelöscht werden.

Recht auf Vergessenwerden

Jeder kann verlangen, dass die über ihn gespeicherten Daten gelöscht werden. Das gilt auch dann, wenn der Betreffende vorher der Speicherung seiner Daten zugestimmt hatte. Dabei dürfen keine Spuren der Daten im System zurückbleiben (Backups, Links oder dergleichen). Es genügt also in der Regel nicht, einfach den Datensatz zu löschen.

Keine Koppelung

Das bereits im BDSG bestehende Koppelungsverbot wurde verschärft. So darf z. B. eine Teilnahme an einer Umfrage nicht mehr an ein Newsletter-Abo gekoppelt sein. Abstrakter ausgedrückt: Zusatzleistungen dürfen nicht mehr daran geknüpft sein, dass jemand in die Verarbeitung seiner Daten einwilligt.

Datenschutz-Folgenabschätzung

Im alten BDSG hieß diese noch „Vorabkontrolle“. Gemeint ist, dass der Datenschutzbeauftragte die Risiken der Datenspeicherung für die Persönlichkeitsrechte der Betroffenen einschätzen und eine Stellungnahme zur Rechtmäßigkeit der Datenverarbeitung abgeben soll. Besondere Brisanz hat dies, wenn die Daten dazu dienen, Personen zu bewerten und zu beurteilen, und wenn dafür besonders sensible Daten erhoben werden, wie etwa Religion, ethnische Herkunft, politische Einstellung, Gesundheitsdaten, Bonität usw.

One-Stop-Shop

Beschwerden können an die Datenschutzbehörde des jeweiligen EU-Staates gerichtet werden – unabhängig davon, in welchem Land sich der Verstoß ereignete. Auch Unternehmen wenden sich an die Datenschutzbehörde des Landes, in denen sie ihren Hauptsitz haben.

Transparenz und Auskunftsrecht

Jedes Unternehmen muss dokumentieren, wie es personenbezogene Daten erhebt, verwendet und verarbeitet. Es muss Verbraucher „leicht zugänglich und in einfacher Sprache“ über Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung ihrer Daten informieren. Eventuell könnte eine Zertifizierung oder ein Datenschutzsiegel das Publikum über den Datenschutzstandard aufklären.

Rechenschaftspflicht

Unternehmen sind verpflichtet, nicht nur neue Prozesse und Richtlinien für personenbezogene Daten einzuführen, sondern auch deren Einhaltung zu überwachen. Regelmäßige, dokumentierte Kontrollen weisen nach, dass die Einhaltung der Datenschutzgrundsätze jetzt und in Zukunft gewährleistet ist.

Meldepflicht innerhalb von 72 Stunden

Datenschutzverletzungen müssen innerhalb von 72 Stunden nach Bekanntwerden an die zuständige Behörde gemeldet werden. Wenn der Vorfall schwerwiegende Folgen für Persönlichkeitsrechte haben kann, müssen auch alle betroffenen Personen informiert werden.

Starker Datenschutzbeauftragter

Jedes Unternehmen, bei dem mindestens zehn Personen ständig mit der Datenverarbeitung beschäftigt sind, muss einen Datenschutzbeauftragten benennen. Dessen Position und Zuständigkeiten werden deutlich gestärkt. Er ist verantwortlich für die Einhaltung der DSGVO, die Entwicklung von Datenschutzstrategien, die Unterweisung und Schulung von Mitarbeitern und die Kommunikation mit der Datenschutzbehörde. Ein Novum: Der Datenschutzbeauftragte haftet persönlich!

Einstellung des Geschäftsbetriebs

In besonders schweren Fällen kann ein Verbot der Datenverarbeitung ausgesprochen werden. Für IT-Unternehmen wäre das faktisch das Aus. Ein solcher Extremfall wäre z. B. gegeben, wenn sich große Sicherheitslücken auftun oder das Unternehmen die Zusammenarbeit mit der Aufsichtsbehörde verweigert.

Immaterielle Schäden

In den Gesetzestext wurden jetzt auch immaterielle Schäden aufgenommen. Dazu gehören z. B. Rufschädigung oder Identitätsdiebstahl. Auch in diesen Fällen können also künftig hohe Geldbußen verhängt werden.

Beweislast-Umkehr

Das Unternehmen muss nachweisen können, dass es geeignete technische und organisatorische Maßnahmen (TOM) für den Datenschutz getroffen hat. Anders als früher liegt die Beweislast beim Unternehmen und nicht beim Kunden.

Technischer Datenschutz

Die IT-Systeme müssen so ausgelegt sein, dass die Einhaltung der DSVGO möglich ist. Die Verordnung fordert daher „Privacy by Design“ und „Privacy by Default“. Das bedeutet, dass der Datenschutz bereits bei der Softwareentwicklung berücksichtigt werden muss – vom ersten Entwurf bis hin zur Implementierung. Software muss mit datenschützenden Default-Einstellungen ausgeliefert werden. Dazu gehören z. B. Speicherfristen und Zugriffssteuerung.

Fazit

Wer sich noch nicht mit der DSGVO befasst hat, muss jetzt Gas geben: Ab Mai 2018 müssen alle Unternehmen, die personenbezogene Daten erfassen und verarbeiten, verschärfte Anforderungen erfüllen: Die Verbraucherrechte werden gestärkt, unter anderem durch ein „Recht auf Vergessenwerden“. Technische und organisatorische Maßnahmen müssen die DSGVO-Compliance sicherstellen – Stichwort „Security by Design“. Die Beweislast dafür trägt fortan das Unternehmen. Und die Rolle des Datenschutzbeauftragten wird massiv ausgebaut.