handels- und steuerrechtliche risiken des cloud computing ... · handels- und steuerrechtliche...
TRANSCRIPT
Handels- und steuerrechtliche Risikendes Cloud Computing unter besondererBerücksichtigung der GoBD
München, November 2016
Stefan Groß,Steuerberater und CISA
Handels- und steuerrechtliche Risiken des Cloud Computing 2
Die vorliegenden Ausführungen geben die persönliche Meinung des Autors zur derzeitigenRechtslage wieder und enthalten lediglich einen Überblick über einzelne Themenkomplexe.Spezielle Umstände einzelner Fallkonstellationen wurden nicht berücksichtigt; diese könnendurchaus zu abweichenden Betrachtungsweisen und/oder Ergebnissen führen. Die dargestelltenAusführungen können daher keine rechtliche oder steuerliche Beratung ersetzen; bitte holen Sieeine auf Ihre Umstände zugeschnittene, weitere Entwicklungen berücksichtigende Empfehlung IhresSteuerberaters oder Wirtschaftsprüfers ein, bevor Sie Entscheidungen über die in diesenAusführungen besprochenen Themen treffen. Die Finanzverwaltung und/oder Gerichte könnenabweichende Auffassungen zu den hier behandelten Themen haben oder entwickeln.
Handels- und steuerrechtliche Risiken des Cloud Computing 3
Ausgangssituation
Immer mehr Unternehmen nutzen dieMöglichkeit, Daten, Anwendungen oderganze Geschäftsprozesse in das World WideWeb auszulagern, in die sog. „Cloud“.
Doch welche Risiken birgt der Einsatz vonCloud-Dienstleistungen eigentlich und wasgilt es zu beachten – sowohl aus Sicht desauslagernden Unternehmens als auch ausSicht des Abschlussprüfers?
Handels- und steuerrechtliche Risiken des Cloud Computing 4
Cloud Computing – „Heiter bis wolkig“
Cloud
ComputingIT-O
utso
urci
ng
SaaS
IT-Infrastruktur
IKS
Datenschutz
IDW RS FAIT 5
PaaS
IaaSSich
erhe
it
Software Internet
BDSG
Risiken
GoBD
HG
B
PublicService Level Agreements
Nutzer
Haf
tung
Pay per usePrivate
DrittstaatenSchnittstellen
rechnungslegungsrelevant
GByte
Flexibilität
IT-Anwendungen
Auf
bew
ahru
ngBetriebsstätte
AO
Impl
emen
tieru
ngÜ
bertr
agun
g
Verantwortung
§§
Handels- und steuerrechtliche Risiken des Cloud Computing
Cloud Computing als spezielle Form des IT-Outsourcings
IT-Leistungen werden in Echtzeit als Serviceüber das Internet bereitgestellt
Zugriff erfolgt in der Regel über allgemeinverfügbare Standardanwendungen, bspw. übereinen Webbrowser
Bsp.: Speicherung von Daten, Nutzung vonSoftwareanwendungen, Mieten vonRechenleistung etc.
5
Cloud ComputingAuf der Agenda in fast jedem Unternehmen
Handels- und steuerrechtliche Risiken des Cloud Computing 6
2719,2 3745,25162,3
6658,78252,12085,7
2910,5
3864
5212,1
6829,3
2.920,0
4.327,3
6.429,7
9.403,0
13.374,1
2014 2015 2016 2017 2018
Cloud Technology Cloud Integration and Consulting Cloud Services
10.983,0
28.455,5
Cloud-Markt in Deutschland
Angaben in Mio. Euro; Quelle: Crisp Research
Handels- und steuerrechtliche Risiken des Cloud Computing 7
Ressourcenallokation Zukunftssicherheit Skalierbarkeit
Es werden punktuell nur dieRessourcen verwendet, diewirklich gebraucht werden
Dadurch Kostenersparnis undSteigerung der Nachhaltigkeit
Cloud Computing ist in derLage, mit einer Firma„mitzuwachsen“, wie es einephysische Umgebung niekönnte
Relevant vor allem fürkleinere Firmen, aber auchfür Konzerne interessant
Cloud Computing minimiertdie Gefahr, von Innovationen„überholt“ zu werden
In der Regel stehen sinnvolleNeuerungen in Echtzeit zurVerfügung
Cloud ComputingGründe für die Einführung aus Unternehmenssicht
Handels- und steuerrechtliche Risiken des Cloud Computing 8
Cloud ComputingMerkmale und Abgrenzung
On-Demand Self Service
Bedarfsorientierte Bereitstellung undProvisionierung
Broad Network Access
Unabhängig von Ort, Zeit und Endgerät
Resource Pooling
Dienstleistung wird allen Nutzern aus einemPool zur Verfügung gestellt
Rapid Elasticity
Dienstleistung kann schnell ausgeweitet bzw.reduziert werden
Measured Service
Gute Messbarkeit (z. B. Festplattenkapazität)
Die auslagernden Unternehmen mieten keine fürsie dezidiert reservierten bzw. tatsächlich nur fürsie betriebenen IT-Systeme an
Geografische Ortung der betriebenen Hardwareund der verarbeiteten Daten meist nicht gegeben
Art und Umfang der Dienstleistung können aufeinen unter Umständen nur sehr kurzen Zeitraumausgelegt sein
Anpassung der Dienstleistung an veränderteBedarfe kann zumeist ohne Eingriff desDienstleisters erfolgen
Merkmale Unterschiede zu anderen Formen desIT-Outsourcings
In Anlehnung an IDW RS FAIT 5
Handels- und steuerrechtliche Risiken des Cloud Computing 9
Was treibt die Unternehmen in die Cloud? Was spricht dagegen?Pro und Contra
Großes Einsparpotenzial durchVerringerung der Fixkosten (z. B.Ersetzen einer eigenen IT-Infrastrukturdurch eine Cloud-Lösung)
Hohe Flexibilität durch freieSkalierbarkeit sowie durch orts- undzeitunabhängigen Zugriff
Zeit- und Aufwandsersparnis durchWegfall von Sicherungs- undSynchronisationserfordernissen derDatenbestände
Reduzierung der Personalkapazitäten(geringerer Verwaltungsaufwand vonHard- und Software-Bereitstellung)
Sicherheit und Zuverlässigkeit derCloud-Dienstleistungen
Abhängigkeit vom Cloud-Anbieter
Wechsel zu einem anderen Anbieteru. U. problematisch (Lock-In-Effekt)
Fehlende „Kontrollierbarkeit“ derDaten auf den fremden Servern
Absicherung des Zugriffs auf die Datenbeim Transfer zwischen Nutzer unddem web-basierten Server
Datenschutz
Handels- und steuerrechtliche Risiken des Cloud Computing
Auslagerung von DienstleistungenRelevanz für die Abschlussprüfung
10
Verarbeitung rechnungslegungsrelevanterGeschäftsvorfälle
Bereitstellung rechnungslegungsrelevanterUnterlagen für den Jahresabschluss des
auslagernden Unternehmens
IT-gestützte bzw. manuellerechnungslegungsrelevante Geschäftsprozesse
Erfassung und Verarbeitung von für denAbschluss relevanten Ereignissen
Den Abschlusserstellungsprozess desauslagernden Unternehmens, einschließlichVerfahren zur Ermittlung geschätzter Werte
Kontrolltätigkeiten im Zusammenhang mit derAufzeichnung von Geschäftsvorfällen
In Anlehnung an IDW PS 331
Handels- und steuerrechtliche Risiken des Cloud Computing 11
Ausganssituation für die AbschlussprüfungDas dienstleistungsbezogene IKS
IKS des auslagernden Unternehmens
DienstleistungsbezogenesIKS des Dienstleisters
Nicht dienstleistungs-bezogenes IKS desDienstleisters
Handels- und steuerrechtliche Risiken des Cloud Computing 12
Agenda
I. Auslagerung rechnungslegungsrelevanterProzesse und Funktionen
II. Compliance-Rahmen
III. Verantwortung der gesetzlichen Vertreter
IV. Risiken beim IT-Outsourcing
V. Einrichtung des internen Kontrollsystems beimIT-Outsourcing
VI. Prüfung durch den Abschlussprüfer beiAuslagerung
VII. Steuerliche Besonderheiten
Handels- und steuerrechtliche Risiken des Cloud Computing 13
Agenda
I. Auslagerung rechnungslegungsrelevanter Prozesseund Funktionen
1. Überblick über die Auslagerung vonrechnungslegungsrelevanten Prozessen undFunktionen
2. Beispiele für IT-Outsourcing
3. Typisches Vorgehen beim IT-Outsourcing
4. Interaktionspartner beim IT-Outsourcing
5. Cloud Computing
II. Compliance-Rahmen
III. Verantwortung der gesetzlichen Vertreter
IV. Risiken beim IT-Outsourcing
V. Einrichtung des internen Kontrollsystems beim IT-Outsourcing
VI. Prüfung durch den Abschlussprüfer bei Auslagerung
VII. Steuerliche Besonderheiten
Handels- und steuerrechtliche Risiken des Cloud Computing 14
I.1 Auslagerung rechnungslegungsrelevanter Prozesse und FunktionenÜberblick
„Ausgelagerte Prozesse und Funktionen sind für die Rechnungslegung relevant, wenn sie dazu dienen, Datenüber Geschäftsvorfälle, Ereignisse oder betriebliche Aktivitäten zu speichern oder zu verarbeiten, dieentweder direkt in die Rechnungslegung einfließen […] oder dem Rechnungslegungssystem als Grundlage fürBuchungen zur Verfügung gestellt werden.“
IDW RS FAIT 5, Tz. 5
IT-gestützte bzw. manuellerechnungslegungsrelevante Geschäftsprozesse
Verarbeitung von rechnungslegungsrelevantenGeschäftsvorfällen
Bereitstellung von rechnungslegungsrelevantenUnterlagen für den Abschluss des Unternehmens
Abschluss- und Lageberichtserstellungsprozess
Kontrolltätigkeiten im Zusammenhang mit derAufzeichnung von Geschäftsvorfällen
Beispiele für ausgelagerte rechnungslegungs-relevante Prozesse und Funktionen
Typische Beispiele IT-Outsourcingbei Dienstleistungen*
Rechenzentrumsbetrieb
Business Process Outsourcing
Shared Service Center
Auslagerung rechnungslegungsrelevanterProzesse und Funktionen kann sich von derreinen Datenerfassung und -speicherung bishin zur Verarbeitung von komplexenTransaktionen und Ereignissen erstrecken
In Anlehnung an IDW RS FAIT 5
*Vgl. auch IDW PS 951
Prüfung nach IDW PS 331
Handels- und steuerrechtliche Risiken des Cloud Computing 15
Rechenzentrumsbetrieb Business Process Outsourcing Shared Service Center
Verarbeitung von Datenüber Geschäftsvorfällebzw. Ereignisse in denUnternehmensprozessen
Bsp.: E-Invoicing
Zentralisierung vonFunktionen in einereigenständigen Einheit
Bsp.: Rechnungswesen,Personalverwaltung
Auslagerung von Unternehmens-prozessen und administrativenRoutinetätigkeiten
Bsp.: Lohn- und Gehalts-abrechnung
I.2 IT-Outsourcing-DienstleistungenTypische Beispiele
In Anlehnung an IDW RS FAIT 5
Handels- und steuerrechtliche Risiken des Cloud Computing
I.3 Typisches Vorgehen beim IT-Outsourcing (Cloud Computing)Dienstleistungsmanagement
16
1. Vorbereitungsphase 2. Aufbauphase 3. Nutzungsphase (produktiv)
Welcherechnungslegungs-relevantenDienstleistungen?
Welcher Anbieter?
Art, Umfang, Preisund Zeitraum?
…
Schaffung derorganisatorischenund technischenVoraussetzungen
Verzahnung desrechnungslegungs-bezogenen IKS aufbeiden Seiten
Planmäßige Nutzungsphase
Überwachung des rechnungslegungs-bezogenen IKS entscheidend
Zusammenspiel mit IKS des auslagerndenUnternehmens
Nutzungsbeendigungsphase
Verlagerung der Dienstleistung aufeinen anderen Anbieter bzw. zurückin das eigene Unternehmen
Meilenstein: Outsourcing-Entscheidung getroffen
Meilenstein:Vertrag geschlossen
Meilenstein: Dienstleistungübergeleitet, IKS aufgebaut, getestet,
dokumentiert und freigegeben
1. 2. 3.
In Anlehnung an IDW RS FAIT 5
Handels- und steuerrechtliche Risiken des Cloud Computing
I.3 Typisches Vorgehen beim IT-Outsourcing (Cloud Computing)Voraussetzungen Beginn Nutzungsphase*
Einrichtung des IT-Systems einschließlich der erforderlichen Schnittstellen
Vollständige und richtige Datenübernahme
Klare Regelungen für die Verantwortlichkeiten für die Einrichtung, Ausgestaltungund Durchführung der Kontrollmaßnahmen
Umsetzung der erforderlichen Anpassungsmaßnahmen im IKS des auslagerndenUnternehmens und des Dienstleistungsunternehmens
Schaffung der Voraussetzungen für die Überwachung der erbrachtenDienstleistungen
17
*obliegt der Verantwortung der gesetzlichen Vertreter
In Anlehnung an IDW RS FAIT 5
Handels- und steuerrechtliche Risiken des Cloud Computing 18
I.4 Interaktionspartner beim IT-Outsourcing
AuslagerndesUnternehmen Dienstleister (Cloud)
Abschlussprüfer
Auslagerung
Bereitstellung Service/IKS
Sub-Dienstleister (opt.)
Handels- und steuerrechtliche Risiken des Cloud Computing 19
I.5 Cloud ComputingSpezielle Form des IT-Outsourcings
IT-Outsourcing
CloudComputing
Handels- und steuerrechtliche Risiken des Cloud Computing 20
I.5 Cloud ComputingServicemodelle im Detail
Virtuelle Bereitstellung derIT-Infrastruktur
z. B.: Festplatten-,Netzwerkserver- oderSpeicherkapazität
Bereitstellung einerUmgebung zurEntwicklung undProgrammierung vonIT-Anwendungen
z. B. für die Entwicklungeiner eigenenReisekostenabrechnung
Nutzung fertiger IT-Anwendungen aus derCloud
z. B. Archivlösung oderCRM-Software
Infrastructure as a Service- IaaS -
Platform as a Service- PaaS -
Software as a Service- SaaS -
Darüber hinaus entwickeln sich in der Praxis weitere Servicemodelle, wie bspw. „Security as a Service (SecaaS)“als Spezialform des IaaS (Betrieb und Überwachung von Firewalls und Routern)
In Anlehnung an IDW RS FAIT 5
Handels- und steuerrechtliche Risiken des Cloud Computing 21
I.5 Cloud ComputingAufbau eines IT-Systems bei der Nutzung von Cloud Computing
IT-K
ontro
llsys
tem
IT-SystemTypisierter Aufbau ohne den Einsatz von
Cloud Computing
IT-gestützte Geschäftsprozesse
IT-Anwendungen
IT-Infrastruktur
Betriebssysteme
Rechenzentrum
Hardware
Netzwerke
Software as a Service
Platform as a Service
Infrastructure as aService
Cloud Computing-Servicemodelle
IT-SystemTypisierter Aufbau mit dem Einsatz von
Cloud Computing
IT-gestützte Geschäftsprozesse
IT-Anwendungen
IT-Infrastruktur
Service Orchestrierung
Multi-Tenancy
Elastische ProvisionierungBetriebssysteme
Hardware
InternetNetzwerke
Elastische ProvisionierungRechenzentren
In Anlehnung an IDW RS FAIT 5
Handels- und steuerrechtliche Risiken des Cloud Computing 22
I.5 Cloud ComputingBereitstellungsmodelle
Cloud Computing-Dienstleistung steht grundsätzlichallen Unternehmen zur Nutzung offenPublic Cloud
Private Cloud
Community Cloud
Hybrid Cloud
Cloud Computing-Dienstleistung wird ausschließlichfür ein Unternehmen bereitgestellt
Cloud Computing-Dienstleistung wird ausschließliche einer Interessensgruppebereitgestellt
Mischform von zwei unterschiedlichen Bereitstellungsmodellen, die für sichbestehen bleiben, aber mittels Schnittstelle verbunden werden, um Daten undIT-Anwendungen auszutauschen
In Anlehnung an IDW RS FAIT 5
Handels- und steuerrechtliche Risiken des Cloud Computing 23
Agenda
I. Auslagerung rechnungslegungsrelevanter Prozesseund Funktionen
II. Compliance-Rahmen
1. Handelsrecht und Steuerrecht
2. Der IDW RS FAIT 5
3. Die GoBD
4. Exkurs Datenschutz
III. Verantwortung der gesetzlichen Vertreter
IV. Risiken beim IT-Outsourcing
V. Einrichtung des internen Kontrollsystems beim IT-Outsourcing
VI. Prüfung durch den Abschlussprüfer bei Auslagerung
VII. Steuerliche Besonderheiten
Handels- und steuerrechtliche Risiken des Cloud Computing 24
II.1 Handelsrecht & Steuerrecht*Ausgewählte Berührungspunkte zur Digitalisierung
§§ 238 HGB, 145 AOBuchführungspflicht
§§ 239 HGB, 146 AOFührung
der Handelsbücher
§§ 257 HGB, 147 AOAufbewahrung
von Unterlagen,Aufbewahrungsfristen
Buchführung muss für einen „sachverständigen Dritten innerhalbangemessener Zeit“ nachvollziehbar sein – Vermittlung einesÜberblicks über die Geschäftsvorfälle sowie über die Lage desUnternehmens
Verpflichtung der Dokumentation (Kopie etc. auf einem Schrift-,Bild- oder anderen Datenträger)
Erforderliche Aufzeichnungen sind vollständig, richtig, zeitgerechtund geordnet vorzunehmen
Buchungen oder Aufzeichnungen dürfen nicht in der Art verändertwerden, dass der ursprüngliche Inhalt nicht mehr feststellbar ist
Bücher und Aufzeichnungen, Inventare, Jahresabschlüsse etc. sindgeordnet aufzubewahren
Unterlagen können auf Datenträgern gespeichert werden, wenndies den Anforderungen der GoBD entspricht
Aufbewahrungsfristen von 6 bzw. 10 Jahren sind unabhängig vomSpeichermedium einzuhalten
*zu den steuerlichen Besonderheiten vgl. ausführlich Kapitel VII.
Handels- und steuerrechtliche Risiken des Cloud Computing
II.2 Der IDW RS FAIT 5Konkretisierung der Anforderungen bei IT-Outsourcing
Die gesetzlichen Ordnungsmäßigkeitsanforderungen (einschl. der GoBD) sowie die damit verbundenenSicherheitsanforderungen gelten uneingeschränkt beim IT-Outsourcing
Voraussetzung für die Verlässlichkeit der in Buchführung, Abschluss und Lagebericht enthaltenenInformationen: Einhaltung der Sicherheitsanforderungen an Daten und Systeme auch beim Einsatzvon Dienstleistungsunternehmen für Zwecke der Rechnungslegung
Auslagerung betrieblicher Prozesse und Funktionen Sicherheits- und Ordnungsmäßigkeitsanforderungendes IDW RS FAIT 1 auch im Zusammenspiel mit dem Dienstleister zu erfüllen
Einsatz internetbasierter Kommunikationstechnologie und einem erweiterten Kreis an Dienstleistern beimCloud Computing spezifische Risiken
25
IDW RS FAIT 5
anzuwenden ab dem01.01.2016
Konkretisierung der Anforderungen der §§ 238, 239 und 257 HGB bezüglich desFührens von Handelsbüchern mittels IT-gestützter Systeme, welche bei der Aus-lagerung von rechnungslegungsrelevanten Prozessen und Funktionen entstehen
Verdeutlichung der möglichen Risiken, insbesondere beim Einsatz von CloudComputing
In Anlehnung an IDW RS FAIT 5
Handels- und steuerrechtliche Risiken des Cloud Computing 26
I.4 Interaktionspartner beim IT-Outsourcing
AuslagerndesUnternehmen Dienstleister (Cloud)
Abschlussprüfer
Auslagerung
Bereitstellung Service/IKS
Sub-Dienstleister (opt.)
Handels- und steuerrechtliche Risiken des Cloud Computing
IDW PS 951Prüfung des IKS beim Dienstleister
für die auf ihn ausgelagertenFunktionen
IDW RS FAIT 5Risiken bei der Auslagerung und
Ausgestaltung des IKS beimauslagernden Unternehmen
IDW PS 331Konkretisierung der
Anforderungen von IDW PS 261i.V.m. IDW PS 951 bei der
Auslagerung von Dienstleistungen
27
II.2 Der IDW RS FAIT 5Gesamtkontext
AuslagerndesUnternehmen Dienstleister
Abschlussprüfer
Auslagerung
Bereitstellung Service/IKS
Sub-Dienstleister (opt.)
Prüfung in Anlehnung an IDW PS 330
Handels- und steuerrechtliche Risiken des Cloud Computing 28
II.3 Die GoBDZentrale Anforderungen der GoBD („Vier-Säulen“)
Kontroll- undProtokollumfeld Dokumentation Datenintegrität Migrations-
beständigkeit
GoBD
Handels- und steuerrechtliche Risiken des Cloud Computing 29
Kontroll- undProtokollumfeld
Dokumentation
Datenintegrität
Migrations-beständigkeit
GoBD
II.3 Die GoBDZentrale Anforderungen der GoBD im Detail
Handels- und steuerrechtliche Risiken des Cloud Computing 30
Kontrolle Verweis
Zugangs- und Zugriffsberechtigungskontrollen GoBD, Rn. 100, 103
Funktionstrennung GoBD, Rn. 100
Erfassungs-, Eingabekontrollen GoBD, Rn. 40, 88, 100
Übertragungskontrollen GoBD, Rn. 88
Verarbeitungskontrollen GoBD, Rn. 60, 88, 100
Abstimmungskontrollen GoBD, Rn. 100
Plausibilitätskontrollen GoBD, Rn. 40
Vollständigkeitskontrollen GoBD, Rn. 77
Schutzmaßnahmen gegen die beabsichtigte oderunbeabsichtigte Verfälschung von Programmen, Datenund Dokumenten
GoBD, Rn. 100
II.3 Die GoBDAnforderungen an Kontrollen
Handels- und steuerrechtliche Risiken des Cloud Computing 31
UnmittelbarerDatenzugriff
MittelbarerDatenzugriff
Datenträger-überlassung
Z1 Z2 Z3
II.3 Die GoBDSicherstellung der Zugriffsarten (nach GDPdU)
Handels- und steuerrechtliche Risiken des Cloud Computing 32
II.4 Exkurs DatenschutzDatensicherheit und Vertraulichkeit
Jedes Unternehmen hat grds. für Datensicherheitzu sorgen
Datensicherheit ist Bestandteil des Risiko-managements und damit unmittelbareVerantwortlichkeit der Unternehmensleitungd. h. ggf. persönliche Haftung des GF oderVorstands bei Nichteinhaltung
Soweit personenbezogene Daten betroffen sind,Katalog der technisch-organisatorischenMaßnahmen zum Datenschutz anwenden(§ 9 BDSG)
Einschlägige Standards, wie z. B. den ISO 27001mit dem Cloud-Anbieter vereinbaren
Außerdem sektorspezifische Vorgaben zubeachten (z. B. MaRisk bei Banken)
Cloud-Anbieter hat grundsätzlich weitreichendeMöglichkeiten, auf die ihm übergebenen Datenzuzugreifen sinnvoll, Vertraulichkeits-verpflichtungen zu vereinbaren
Diese betreffen nicht nur personenbezogeneDaten, sondern alle vertraglich vereinbarten„Geheimnisse“, z. B. Betriebsgeheimnisse,Adresslisten, Zeichnungen, Preise
Strafbarkeit bei Offenbarung von Berufsträger-geheimnissen zu beachten z. B. durch Ärzte,Wirtschaftsprüfer, Steuerberater, Rechtsanwältegem. § 203 StGB
Datensicherheit Vertraulichkeit
Handels- und steuerrechtliche Risiken des Cloud Computing
II.4 Exkurs DatenschutzSpezielle Anforderungen
Im deutschen Recht bezieht sich Datenschutz im Wesentlichen auf personenbezogene Daten
Sobald Daten eines Unternehmens an einen Dritten „exportiert“ werden und dieser Dritte im Auftrag desUnternehmens diese Daten verarbeitet, liegt ein Auftragsdatenverwendungsvertrag i. S. d. § 11 BDSG vor
§ 11 (1) S. 1 BDSG: „Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitetoder genutzt, ist der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes und andererVorschriften über den Datenschutz verantwortlich.“
Daher: Bevor personenbezogene Daten im Rahmen einer Cloud-Dienstleistung verarbeitet werden können,müssen die datenschutzrechtlichen Voraussetzungen geprüft werden
Beim Transfer der Daten in Drittstaaten gelten die besonderen Anforderungen der §§ 4b, 4c BDSG falls in dem Drittstaat kein angemessenes Datenschutzniveau besteht, müssen durch den Cloud-Anwenderausreichende Garantien zum Schutz des allgemeinen Persönlichkeitsrechts vorgewiesen werden
33
Private Cloud „datenschutzfreundlichste Variante“ des Cloud Computing, dagegen Public Cloud i .d. R. nureingeschränkt bzw. nur mit hohem technischen Aufwand für die Verarbeitung personenbezogener Daten
einsetzbar
Handels- und steuerrechtliche Risiken des Cloud Computing 34
Fallstudie [1]
Die Zentralregulierung
Handels- und steuerrechtliche Risiken des Cloud Computing 35
Fallstudie 1: Auslagerung E-InvoicingAusgangslage
LieferantHändler(Anschlusshaus)
Verbundgruppe
9. ÜbermittlungPhysisch/Mail/Download-Link
12. KonsolidierteZahlungsanweisung
10. Rechnungseingangsprüfung
Rechnung
Beleg-/Datenfluss
Geldfluss
DienstleisterZentralregulierer
1. Originalrechnung(a) Papier(b) PDF(c) EDI/XML
6. Datenübertragung
7. Formale Validierung der Rechnung
8. Formale Freigabe
Papier/PDFScan/CSVEDI/XML
13. KonsolidierteBezahlung
14. Bezahlung zumRegulierungstermin11. Aufbewahrung/Archivierung
2. Entgegennahme Daten3. Alt. Rechnungs-Scan/Auslesen PDF/Datenextraktion4. Aufbewahrung/Archivierung optional5. Datenkonvertierung/Datenanreicherung
Handels- und steuerrechtliche Risiken des Cloud Computing 36
Fallstudie 1: Auslagerung E-InvoicingLösungsskizze
Compliance-Vorgaben HGB/AO Umsatzsteuergesetz (-> im Einzelnen erläutern) GoBD (-> im Einzelnen erläutern) Datenschutz
Vertragliche Regelungen
Prüfungsstandards
Risiken
Service Level Agreements (SLA‘s) Klare Definition und Abgrenzung Leistungsgegenstand …
Händler (IDW RS FAIT 5, IDW PS 331) Dienstleister (IDW PS 951 n. F.)
Kontrollverlust Unautorisierte Änderungen/Eingriffe
Handels- und steuerrechtliche Risiken des Cloud Computing 37
Agenda
I. Auslagerung rechnungslegungsrelevanter Prozesseund Funktionen
II. Compliance-Rahmen
III. Verantwortung der gesetzlichen Vertreter
1. Prozessverantwortung
2. Vertragliche Ausgestaltung
3. Überwachung des IT-Outsourcing
4. Beendigung des IT-Outsourcing
IV. Risiken beim IT-Outsourcing
V. Einrichtung des internen Kontrollsystems beim IT-Outsourcing
VI. Prüfung durch den Abschlussprüfer bei Auslagerung
VII. Steuerliche Besonderheiten
Handels- und steuerrechtliche Risiken des Cloud Computing 38
„Sofern im Rahmen der Auslagerung die Ausführung von Geschäftsvorfällenbzw. die Speicherung und Verarbeitung von rechnungslegungsrelevantenDaten von einem damit beauftragten Dienstleistungsunternehmenwahrgenommen werden, verbleibt die Verantwortung für die Einhaltung derSicherheits- und Ordnungsmäßigkeitsanforderungen bei den gesetzlichenVertretern des auslagernden Unternehmens.“
IDW RS FAIT 5, Tz. 45IDW RS FAIT 1, 114
Handels- und steuerrechtliche Risiken des Cloud Computing 39
III.1 Prozessverantwortung beim IT-OutsourcingAusgangssituation
„Die gesetzlichen Vertreter des auslagernden Unternehmens habenunabhängig von der eingesetzten Informationstechnologie, denimplementierten Geschäftsprozessen oder den angewandtenGeschäftsmodellen bei der Verarbeitung rechnungslegungsrelevanterDaten die Einhaltung der gesetzlichen Anforderungen an dieOrdnungsmäßigkeit der Rechnungslegung sicherzustellen.“
IDW FAIT RS 5, Tz. 45
Handels- und steuerrechtliche Risiken des Cloud Computing 40
Intensive Steuerung undÜberwachung des gesamten IT-Outsourcing-Prozesses, von derEntscheidung zur Auslagerung
bis zur Beendigung(Dienstleistermanagement)
Ausgehend von derRisikobeurteilung muss dasauslagernde Unternehmen
Risiken durch eineentsprechende Ausgestaltung
des IKS begegnen
Zum Abschluss der Vorbereitungsphase ist dieEinhaltung der erforderlichen Kontrollen und
Maßnahmen mit dem Dienstleister (auchSubdienstleister) zu vereinbaren, die sich aus
IDW RS FAIT 1 ergeben
Bei Auslagerung betrieblicherProzesse muss sichergestelltsein, dass das IKS geeignet ist,Unrichtigkeiten und Verstößegegen rechtliche Normenzu verhindern bzw.aufzudecken
Zur Bewältigung der IT-Outsourcing Risiken muss dasIKS um Grundsätze, Verfahrenund Maßnahmen ergänztwerden, die der Steuerung undÜberwachung des IT-Outsourcings dienen
Verantwortung
III.1 Prozessverantwortung beim IT-OutsourcingÜberblick
In Anlehnung an IDW RS FAIT 5
Handels- und steuerrechtliche Risiken des Cloud Computing 41
III.1 Prozessverantwortung beim IT-OutsourcingAktivitätensplit und Kontrollen
Festlegung verbleibende Organisation(Retained Organisation)
Festlegung kompensierende Kontrollen
Durchführung korrespondierendeKontrollen
Übergehende Organisationsteile
Kontrollen durch den Dienstleister
Festlegung korrespondierende Kontrollen
Auslagerndes Unternehmen Dienstleistungsunternehmen
Handels- und steuerrechtliche Risiken des Cloud Computing 42
III.1 Prozessverantwortung beim IT-OutsourcingPraktische Umsetzung
Ver
antw
ortu
ng d
er g
eset
zlic
hen
Ver
trete
r
VorbereitungsphaseAnforderungsdefinition des
auslagernden Unternehmens Feststellung der Risiken Kontrolldefinition
Auswahl des Dienstleisters
Kontrollenvom Dienstleister
durchführbar?
Über-wachung durch dasausl. Unternehmen
möglich?
Kontrollen beimDienstleister (IDW PS 951)
Kompensie-rende Kontrollen beim
ausl. Unternehmenmöglich?
Kontrollen beimauslagernden Unternehmen
Anpassung derDienstleistung
möglich?
Ja
Nein
Ja
Nein
Nein
Ja
Ja
Nein
Aufbauphase
Nutzungsphase
In Anlehnung an IDW RS FAIT 5
Handels- und steuerrechtliche Risiken des Cloud Computing 43
III.2 Vertragliche AusgestaltungWelches Recht gilt?
Die zugrunde liegendenRessourcen von CloudComputing sind grds. überdie Welt verteilt Cloudssind nicht durch nationaleGrenzen zu beschränken
Freie Rechtswahl hinsichtlichvereinbarter Vertragsinhalte,wie bspw. Leistungspflichtenoder Zahlungsbedingungen
Staatliche Eingriffsnormen(z. B. zum Daten- oderVerbraucherschutz) könnennicht ausgeschlossen werden
Gerichtsstand hatAuswirkungen auf dieVollstreckbarkeit einerGerichtsentscheidung
z. B. wird ein Gerichts-verfahren schwierig, wennsich die Richter mit einerRechtsordnung auseinander-setzen müssen, in der sienicht ausgebildet wurden,und mit einer fremdenVertragssprache
Alternative zu Verfahren vorstaatlichen GerichtenSchiedsrichter, Ort,Regelwerk und Sprachefestlegen
Aufgrund ihrer Sachkenntniskönnen Schiedsrichter i. d. R.auch technisch komplizierteVorgänge oder branchen-übliche Verfahren schnellerbeurteilen
Risiko: Wegfall derMöglichkeit einerBerufungsinstanz
Rechtswahl Gerichtsstand Schiedsgerichte
Klare Vereinbarungen sind unerlässlich, denn ausländische Rechtsordnungen sehen gesetzliche Regelungen undvertragliche Gestaltungen vor, die teilweise erheblich vom deutschen Verständnis abweichen.
Für eine ausführliche Darstellung der rechtlichen Probleme und Fragestellungen beim Cloud Computing siehe Wagner/Groß (2011). Überden Wolken: Die Rechtsprobleme des Cloud Computing aus der Sicht des auslagernden Unternehmens. In Betriebs-Berater. BBL2011-36-I.
Handels- und steuerrechtliche Risiken des Cloud Computing 44
III.2 Vertragliche AusgestaltungLeistung, Gewährleistung und Haftung
Definition der vereinbarten Leistung so detailliert,wie möglich
Service Level Agreements (SLA) beschreiben diegeschuldete Leistung näher Festlegungqualitativer und quantitativer Leistungsmerkmalesowie der spezifischen Folgen bei derenNichteinhaltung
Zur Messung der Service Levels sollten geeigneteKey Performance Indicators (KPI) vereinbartwerden bspw. kommen die Verfügbarkeit ineinem bestimmten Zeitraum, Reaktionszeiten aufÄnderungswünsche oder Mängelmitteilungen inBetracht
Erweiterungen und Anpassungen der vereinbartenLeistungen können bereits im Vorfeld vertraglichgeregelt werden, typischerweise Regelungen fürdie Flexibilität und Skalierbarkeit
Gesetzliche Regelungen diesbezüglich bestehennur für bestimmte vordefinierte Vertragstypen d. h. Vertragstyp der Cloud-Dienstleistungentscheidet darüber, welche gesetzlichenRegelungen bei mangelhafter Leistungserbringunggreifen, z. B.:
Mietvertragliche Gestaltung §§ 535 ff. BGB
Werkvertragliche Gestaltung §§ 634 ff BGB
Allerdings führen diese gesetzlichen Regelungenhäufig nicht zu praktikablen Ergebnissen
Leistung Gewährleistung und Haftung
Vertrag über die Cloud-Dienstleistung sollteentsprechende Regelungen in den SLA für dieNichteinhaltung von vereinbarten Leistungen
beinhalten und Haftungsfragen klären
Handels- und steuerrechtliche Risiken des Cloud Computing
Verantwortlichkeiten hinsichtlich Aufbewahrung und Aushändigung vonUnterlagen, Dokumentationen und Daten
Prüfungsrechte der internen Revision und des Abschlussprüfers desauslagernden Unternehmens bzw. Bereitstellung von Prüfungsberichten
Offenlegung der eingesetzten Subdienstleistungsunternehmen
Vereinbarung über Dokumentation der Kontrollen und Maßnahmen, die zurEinhaltung der gesetzlichen Anforderungen an die Ordnungsmäßigkeit derRechnungslegung des auslagernden Unternehmens erforderlich sind
Rechtzeitige Unterrichtung des auslagernden Unternehmens über relevante Änderungen im Rahmen dererbrachten Dienstleistung, bspw. durch Releasewechsel, Einspielen von Sicherheitspatches oder denAustausch von Subdienstleistungsunternehmen sowie Vereinbarung von Zustimmungsvorbehalten
Ort der Verarbeitung und Speicherung der Daten des auslagernden Unternehmens zur Einhaltung vonhandels-, steuer- und datenschutzrechtlichen Anforderungen
Vereinbarungen zur Beendigung des Vertrags und zu nachvertraglichen Pflichten, bspw. zur Rückgabe allergespeicherten Daten einschließlich Datensicherungen in einem definierten Format und vollständige Löschungdieser Daten beim Dienstleister bzw. weitere Aufbewahrung aufbewahrungspflichtiger Daten undInformationen durch den Dienstleister
45
III.2 Vertragliche AusgestaltungPunkte, die klar geregelt werden sollten
In Anlehnung an IDW RS FAIT 5
Handels- und steuerrechtliche Risiken des Cloud Computing 46
III.3 Überwachung des IT-OutsourcingsMaßnahmen im Überblick
Vertragliche Vereinbarungüber den Umfang derPrüfungsrechte desauslagernden Unternehmens
Eigene Prüfungshandlungen,aber auch Vorlage vonBerichten der internenRevision des Dienstleistersdenkbar
Es bietet sich an, regelmäßigePrüfungen beim Dienstleisterdurch unabhängige Drittedurchführen zu lassen
Bspw. in Form von Bericht-erstattungen gemäß IDWPS 951 n. F. (siehe dort)
Für die kontinuierlicheÜberwachung automatischeÜberwachungsprogramme(Scanning) ratsam
Darüber hinaus programm-gestützte Angriffssimulationen(Attack/Penetration-Test-Verfahren)
Prüfungsrechte Prüfung durch Dritte Automatisierte Kontrollen
Prozessunabhängige Überwachungsmaßnahmen
Prozessunabhängige Überwachungsmaßnahmen werden durch die gesetzlichen Vertreter bzw. durch vondiesen beauftragte unabhängige Dritte, die interne Revision oder den Datenschutzbeauftragten durchgeführt
Bspw. regelmäßige Beurteilungen, inwiefern die Leistungserbringung des Dienstleisters überwacht wird oderob Abweichungsanalysen durchgeführt werden
In Anlehnung an IDW RS FAIT 5
Handels- und steuerrechtliche Risiken des Cloud Computing 47
III.4 Beendigung des IT-OutsourcingsÜberblick
3.
2.
1. Vor der Beendigung des IT-Outsourcings ist zu überprüfen, ob aufgrund von
zwischenzeitlichen Änderungen der Dienstleistung das ursprünglich vereinbarteVerfahren zur Überleitung auf das auslagernde Unternehmen bzw. einen anderenDienstleister weiterhin durchführbar ist
Zu Beginn der Nutzungsbeendigung ist ein Konzept zur Daten- undDienstleistungsmigration zu erarbeiten – insbesondere sind zu regeln:
Art und Umfang der überzuleitendenDienstleistung
Umgang mit archivierten Daten undDokumenten
Erfolgt bei Beendigung des IT-Outsourcings die Aufbewahrung archivierter Daten undDokumente weiterhin beim bisherigen Dienstleistungsunternehmen, ist vertraglich dieEinhaltung der Aufbewahrungspflichten nach § 257 HGB sicherzustellen (einschl. derentsprechenden GoBD-Anforderungen)
Gleiches gilt bei einer Übernahme der zu archivierenden Daten durch denübernehmenden Dienstleister
Bewahrt das auslagernde Unternehmen die Daten nach Beendigung der Dienstleistungselbst auf, sind auch hier die gesetzlichen Ordnungsmäßigkeitsvorschriften einzuhalten
Zuverlässige Löschung der Daten Umfang eines eventuellen
Parallelbetriebs Test- und Freigabeverfahren
In Anlehnung an IDW RS FAIT 5
Handels- und steuerrechtliche Risiken des Cloud Computing
Art und Umfang der überzuleitenden Dienstleistung soll die komplette Dienstleistung übergeleitet werden oder u. U. nur ein Teil?
Umgang mit archivierten Daten und Dokumenten Verbleib beim Dienstleister oder ebenso Rückführung bzw. Überleitung und
Archivierung im eigenen Unternehmen bzw. beim neuen Dienstleister
Umfang eines eventuellen Parallelbetriebs, um eine kontinuierliche Leistungsabdeckungzu gewährleisten
Zuverlässige Löschung der Daten
Test- und Freigabeverfahren
48
III.4 Beendigung des IT-OutsourcingsKonzept zur Daten- und Dienstleistungsmigration
Handels- und steuerrechtliche Risiken des Cloud Computing 49
Fallstudie [2]
Der Beauty Contest
Handels- und steuerrechtliche Risiken des Cloud Computing 50
Fallstudie 2: Einführung Cloud ComputingBeauty Contest der Dienstleister
Pool allerpotenziellen
AnbieterWahl des
finalen PartnersKonkretesKonzept
Angebot/Preis
Formal-kriterien
Beauty Contest
Potenzielle Anbieter werden aufgefordert, eine Lösungsidee anzubieten bzw. vorzustellen
Aus allen potenziellen Anbietern wird über einen Screening-Prozess der finale Partner gewählt
Hinweis: Ggf. projektbegleitende Prüfung nach IDW PS 850
Handels- und steuerrechtliche Risiken des Cloud Computing 51
Fallstudie 2: Einführung Cloud ComputingBeauty Contest der Dienstleister
Formalkriterien
Anbieter sind auf Übereinstimmung mit vorher klarformulierten Auswahlkriterien zu prüfen
Anhand dieser Überprüfung ist eine Short-List der inFrage kommenden Anbieter zu erstellen
Angebot/Preis
Die angebotenen Dienstleistungen und Preise werdenerfasst und ggf. extra angefordert
Anhand von vor dem Auswahlprozess definiertenKriterien sind die Anbieter hinsichtlich ihresAngebotsspektrums und ihres Preises zu selektieren
Konkretes Konzept
Die vielversprechendsten Anbieter werden aufgefordert,ein konkretes Konzept zur Umsetzung zu erstellen
Eventuell wird dieses Konzept auch gemeinsam mitpotenziellen Anbietern im Rahmen eines Workshopserarbeitet
Handels- und steuerrechtliche Risiken des Cloud Computing 52
Fallstudie 2: Einführung Cloud ComputingLösungsskizze
Vertragliche Regelungen
Rechtswahl, Gerichtsstand, Schiedsgerichte SLAs insbesondere Konsequenzen bei Nichteinhaltung Aktivitäten-Split, korrespondierende Kontrollen Prüfrechte sowie Vorgehen bei Beendigung/Migration Ort der Verarbeitung und Speicherung Kontrolldokumentation
Prüfrechte
Beendigung
Auswahlkriterien
Eigene Prüfungshandlungen Automatisierte Kontrollen Berichte der internen Revision Prüfung nach IDW PS 951
Siehe Fallstudie 3
Angebotsumfang, Preis Sicherheitspaket Sitz des Anbieters Erfahrung/Referenzen
Handels- und steuerrechtliche Risiken des Cloud Computing 53
Fallstudie [3]
Die Cloud in der Beendigung
Handels- und steuerrechtliche Risiken des Cloud Computing 54
Fallstudie 3: Beendigung Cloud ComputingBeweggründe
Durch den Dienstleister verursacht:
Dienstleister verletzt wiederholt in SLA vereinbarte KPIs(bspw. vereinbarte Verfügbarkeit > realisierte Verfügbarkeit)
Dienstleister nimmt ohne Abstimmung mit dem auslagernden Unternehmen Änderungenan der Cloud-Leistung vor (z. B. Einsatz von Sub-Dienstleistern)
Dienstleister kommt seinen Berichtspflichten nicht nach (bspw. über die Durchführungvon Kontrollen)
Aufdecken von Sicherheitslücken beim Dienstleister
Extern bedingt:
Besseres Angebot eines konkurrierenden Dienstleisters (niedrigerer Preis, besserer Service)
Handels- und steuerrechtliche Risiken des Cloud Computing 55
Fallstudie 3: Beendigung Cloud ComputingLösungsskizze
Datenmigration Art und Umfang der überzuleitenden Dienstleistung
(Dateiformate etc.) Löschung der Daten …
Aufbewahrung
Sonstiges
Vertragliche Regelungen
Umgang mit archivierten Daten und Dokumenten Verbleib oder Rückführung Sicherstellung der Einhaltung von Aufbewahrungspflichten Sicherstellung der Vorgaben zum Datenzugriff (GoBD)
Parallelbetrieb Test- und Freigabeverfahren
Vorgehen bei Beendigung Verantwortlichkeiten für Überleitung und Aufbewahrung Nachvertragliche Pflichten
Konzeption zur Beendigung erarbeiten:
Handels- und steuerrechtliche Risiken des Cloud Computing 56
Agenda
I. Auslagerung rechnungslegungsrelevanter Prozesseund Funktionen
II. Compliance-Rahmen
III. Verantwortung der gesetzlichen Vertreter
IV. Risiken beim IT-Outsourcing
1. IT-Sicherheitsrisiken
2. Spezielle Sicherheitsrisiken in der Cloud
3. Risiken für die Ordnungsmäßigkeit
4. Steuerrechtliche Risiken
5. Spezielle rechtliche Risiken
6. Risikoanalyse
V. Einrichtung des internen Kontrollsystems beim IT-Outsourcing
VI. Prüfung durch den Abschlussprüfer bei Auslagerung
VII. Steuerliche Besonderheiten
Handels- und steuerrechtliche Risiken des Cloud Computing 57
IV.1 IT-SicherheitsrisikenBetroffene Bereiche
Sicherheitsrisiken
Organisation undAufgabenteilung
Schnittstellen undgenutzter
Übertragungsweg
Datenspeicherungund Speicherort
Change-Management
In Anlehnung an IDW RS FAIT 5
Handels- und steuerrechtliche Risiken des Cloud Computing 58
IV.1 IT-Sicherheitsrisiken beim IT-OutsourcingSicherheitsrisiken im Detail
Im Zuge der Auslagerung betrieblicher Funktionen und Prozesse … Risiko für …
Integration ausgelagerter Prozesse und Funktionen in das IT-gestützteRechnungslegungssystem des auslagernden Unternehmens veränderte Arbeitsteilung veränderte Zugriffsrechte
Autorisierung
Einrichtung neuer bzw. Anpassung bestehender Schnittstellen Integrität und Verfügbarkeit
Sicherheitslücken beim Dienstleister unberechtigte Zugriffe auf dasIT-gestützte Rechnungslegungssystem
Integrität, Autorisierung undAuthentizität
Risiko unberechtigter Einsicht und Verfälschung durch Dritte auf demgenutzten Übertragungsweg (bei Zugriff über das Internet)
Integrität, Vertraulichkeit undAuthentizität
Verlust der Kontrolle über den Speicherort bei Datenspeicherung in der Cloud Integrität und Vertraulichkeit
Insbesondere beim Cloud Computing häufiger Wechsel des Speicherorts derausgelagerten Daten (Ressourcenallokation) Risiko der Überlastung
Verfügbarkeit (u. U. sogarVerlust)
Risiko unautorisierter Änderungen am IT-gestützten Rechnungslegungssystemdurch den Dienstleister (z. B. aufgrund von Abstimmungsfehlern)
Verfügbarkeit, Integrität undAutorisierung
In Anlehnung an IDW RS FAIT 5
Handels- und steuerrechtliche Risiken des Cloud Computing
Risiken aus den eingesetzten Technologien (Multi-Tenancy und Virtualisierung)
Unberechtigte Zugriffe, Veränderungen der Berechtigungen
Öffentliche Netze als Übertragungsweg
Unbefugtes (Mit-)lesen
Ressourcenallokation (Wechsel des Speicherorts)
Überauslastung (Unterprovisionierung)
Beschränkung Verfügbarkeit
Datenverlust
59
IV.2 Spezielle Sicherheitsrisiken beim Cloud ComputingSpezifische Sicherheitsrisiken in der Cloud
In Anlehnung an IDW RS FAIT 5
Handels- und steuerrechtliche Risiken des Cloud Computing 60
IV.3 Risiken für die Ordnungsmäßigkeit beim IT-OutsourcingAllgemeine Risiken im Überblick
Risiken für die Ordnungsmäßigkeit
Risiko derNichteinhaltungsteuerrechtlicherAnforderungenbzgl. Verarbei-tung, Zugriffund Aufbewah-rung (vgl. §§145 ff. AO bzw.GoBD)
Risiko, dassVollständigkeitund Zeitge-rechtheit durchunvollständigeoder verspäteteVerarbeitungvon Geschäfts-vorfällen nichtgegeben ist
Bei Speicherungder Daten inDrittländernRisiko, dassAnforderungenan die Ord-nungsmäßigkeitnach §§ 238 ff.HGB nicht ein-gehalten werden(z. B. Radier-verbot)
Risiko, dassBuchführungs-verfahren zumEinsatz kom-men, die dieAnforderungenan die Beleg-,Journal- undKontenfunktionnicht erfüllen.
Risiko, dassdurch fehler-hafte oderunvollständigeÜbertragung derDaten oderfehlerhafteDatenstrukturVollständigkeitoder Richtigkeitder Daten nichtgegeben ist
Risiko, dassAufbewahrungs-pflichten nach§ 257 HGBunzureichenderfüllt werdenund damitAufbewahrungs-fristen nichteingehaltenwerden bzw.die Unveränder-barkeit nichtgewährleistet ist.
In Anlehnung an IDW RS FAIT 5
Handels- und steuerrechtliche Risiken des Cloud Computing
Risiken betreffend die Einhaltung steuerrechtlicher Anforderungen
Stichworte: Aufbewahrung, Datenzugriff und GoBD
Verstoß gegen Aufbewahrungsvorgaben
Stichworte: Aufbewahrungsdauer und Unveränderlichkeit
Verstoß gegen Sicherheits- und Ordnungsmäßigkeitsanforderungen der §§ 238 ff. HGB
Stichworte: Anonymität von Rechenzentren
Mängel in der Dokumentation
Stichworte: Einfache und „unbürokratische“ Verfügbarkeit
Klare Regelung der Aufgaben, Rollen und Verantwortlichkeiten
61
IV.4 Spezielle Risiken für die Ordnungsmäßigkeit beim Cloud ComputingSpezifische Risiken in der Cloud
In Anlehnung an IDW RS FAIT 5
Handels- und steuerrechtliche Risiken des Cloud Computing
IV.5 Steuerrechtliche RisikenSpezifische Risiken aus steuerlicher Sicht*
Begründung einer Betriebsstätte im Ausland
Mögliches Quellensteuer-Risiko bei Datenbanknutzung
Verschiedene Umsatzsteuerliche Risiken
Anwendung Reverse-Charge-Verfahren
Registrierungspflicht im Ausland
Risiko eines Verstoßes gegen Aufbewahrungsvorschriften
62
*zu den steuerlichen Besonderheiten vgl. ausführlich Kapitel VII.
Handels- und steuerrechtliche Risiken des Cloud Computing
Nach § 11 (1) BDSG ist das auslagernde Unternehmen für die Einhaltung sämtlicher datenschutz-rechtlicher Bestimmungen verantwortlich – Risiko der Nichteinhaltung, insbesondere durch denDienstleistungsanbieter (und ggf. eingesetzte Sub-Dienstleister)
Darüber hinaus rechtliche Risiken aufgrund grenzüberschreitender Speicherung und Verarbeitungvon Daten beim Cloud Computing:
Auswirkungen strafrechtlicher Ermittlungen gegen Cloud-Anbieter auf Vertraulichkeit derausgelagerten Daten
Unterschiedliche Anforderungen hinsichtlich Speicherung, Aufbewahrung und Löschung personen-bezogener Daten – insbesondere beim Drittstaatentransfer einschränkende Regelungen des BDSG
Behandlung der sich aus steuerlichen Gesichtspunkten ergebenden Anforderung an Aufbewahrungsteuerrelevanter Daten (Inland/EU; §§ 146 ff. AO)
Cloud-Anbieter kann Anforderungen staatlicher Stellen unterliegen, z. B. Zugriff auf IT-Ressourcenzu ermöglichen, wodurch Verfügbarkeit und Vertraulichkeit der Daten des auslagerndenUnternehmens verletzt werden könnten
Widersprüchliche gesetzliche Anforderungen einzelner Länder, bspw. zur Verwendung vonVerschlüsselungstechniken
63
IV.6 Spezielle rechtliche Risiken
In Anlehnung an IDW RS FAIT 5
Handels- und steuerrechtliche Risiken des Cloud Computing
Systematische Risikoanalyse vor Beginn der Auslagerung essenziell
Strukturierung der Risiken, bspw. nach
IT-Sicherheitsrisiken
Risiken für die Ordnungsmäßigkeit
Steuerliche und rechtliche Risiken
Auswirkungen auf das interne Kontrollsystem entsprechende Ausgestaltung, entweder beim Dienstleister
oder beim auslagernden Unternehmen
64
IV.7 Empfehlung: Risikoanalyse
Handels- und steuerrechtliche Risiken des Cloud Computing 65
Fallstudie [4]
Risiken in der Cloud
Handels- und steuerrechtliche Risiken des Cloud Computing
Fallstudie 4: Risiken beim Einsatz von Cloud ComputingAusgangslage
Unternehmen(München)
Belege über Geschäftsvorfälle
Dienstleister(USA)
Jahresabschluss
Buchhaltung Jahresabschluss-
erstellung
66
Handels- und steuerrechtliche Risiken des Cloud Computing
Unberechtigte Zugriffe aufdem Übertragungsweg und
beim Dienstleister
67
Fallstudie 4: Risiken beim Einsatz von Cloud ComputingZurück zur Ausgangslage
Verletzung der Anforderungenan die Ordnungsmäßigkeit
nach §§ 238 ff. HGB
Nicht ordnungsgemäßeAufbewahrung (§§ 145 ff. AO
bzw. GoBD)
Einsatz unzureichenderBuchführungsverfahren
Einsatz von Sub-Dienstleisternohne Zustimmung des
auslagernden Unternehmens
Wechsel des Speicherorts derBuchhaltungsdaten
Fehlerhafte Integration derSchnittstellen
UnvollständigeDatenübertragung
Verstoß gegendatenschutzrechtliche
Bestimmungen des BDSG
Zugriff durch staatliche Stellenim Ausland
Unternehmen(München)
Belege über Geschäftsvorfälle
Dienstleister(USA)
Jahresabschluss
Buchhaltung Jahresabschluss-
erstellung
Handels- und steuerrechtliche Risiken des Cloud Computing 68
Fallstudie 4: Risiken beim Einsatz von Cloud ComputingLösungsskizze
Ordnungsmäßigkeitsrisiken Unvollständige Datenübertragung Einsatz unzureichender Buchführungsverfahren Nicht ordnungsgemäße Aufbewahrung
Steuerliche Risiken
Rechtliche Risiken
IT-Sicherheitsrisiken
Fehlerhafte umsatzsteuerliche Behandlung Verstoß gegen Aufbewahrungsvorschriften
Verstoß gegen datenschutzrechtliche Bestimmungen desBDSG Zugriff durch staatliche Stellen im Ausland Ersatz von Subdienstleistern ohne rechtliche Zustimmung
Fehlerhafte Integration der Schnittstellen Unberechtigte Zugriffe auf dem Übertragungsweg und beim
Dienstleister Wechsel des Speicherorts der Buchhaltungsdaten
Handels- und steuerrechtliche Risiken des Cloud Computing 69
Agenda
I. Auslagerung rechnungslegungsrelevanter Prozesseund Funktionen
II. Compliance-Rahmen
III. Verantwortung der gesetzlichen Vertreter
IV. Risiken beim IT-Outsourcing
V. Einrichtung des internen Kontrollsystems beim IT-Outsourcing
1. Kontrollumfeld und Organisation
2. IT-Infrastruktur
3. IT-Anwendungen
4. IT-gestützte Geschäftsprozesse
VI. Prüfung durch den Abschlussprüfer bei Auslagerung
VII. Steuerliche Besonderheiten
Handels- und steuerrechtliche Risiken des Cloud Computing
V.1 Kontrollumfeld und OrganisationAusgangssituation
70
Kontrollen auf Ebene der für den Betriebder Dienstleistung benötigten IT-Infrastruktur, IT-Anwendungen undIT-gestützten Geschäftsprozesse
Insbesondere beim Cloud Computingwichtig, bei der Ressourcenprovisionierungzu kontrollieren, dass sich unternehmens-eigene Daten nicht mit Daten andererUnternehmen überlagern(Sphärentrennung)
Eskalationsverfahren mit dem Dienstleisterbei nicht vertragsgemäßer Leistungs-erbringung
Folgende Kontrollen und Sicherungsmaßnahmen sind zu vereinbaren:
Entscheidend für ein wirksames IKS ist, ein Bewusstsein über die potenziellen Risiken beim IT-Outsourcing zu schaffen, insbesondere bezüglich spezifischer Risiken beim Cloud Computing
In Anlehnung an IDW RS FAIT 5
Handels- und steuerrechtliche Risiken des Cloud Computing
Einfacher Austausch von Subdienstleistern
Unautorisierte Beauftragung und Nutzung aufgrund einfacher Abrufbarbeit
IT-Kontrollsystem unterliegt kurzen Innovationszyklen
Sicherheitskonzept ist um folgende Aspekte zu ergänzen:
Definition und Klassifizierung der Daten, die im Rahmen von Cloud Computingverarbeitet werden dürfen (Schutzbedarfsanalyse)
Festlegung zulässiger Datenlokationen
Festlegung von kryptographischen Verfahren
71
V.1 Kontrollumfeld und OrganisationSpezielle Aspekte in der Cloud
In Anlehnung an IDW RS FAIT 5
Handels- und steuerrechtliche Risiken des Cloud Computing
V.1 Kontrollumfeld und OrganisationDie Kontrolle im Fokus
72
Beurteilung der Wirksamkeit der Kontrollen beim Dienstleister erfolgt anhand der vereinbarten Messgrößenund -verfahren bzw. regelmäßiger Reports entscheidend ist zu überwachen, ob der Dienstleister seinenBerichtspflichten zeitnah nachkommt
Grundlage für die Kontrolle der Dienstleistungserbringung sind die Service Level Agreements (SLA)und die Verfahrensdokumentation (in der die einzelnen Aufgaben, Tätigkeiten und Verantwortlichkeitenaus Sicht des auslagernden Unternehmens dargestellt werden)
Falls Mängel beim Dienstleister festgestelltwerden:
Können kompensierende Kontrollen vomDienstleister oder vom auslagerndenUnternehmen umgesetzt werden? Wenn ja,welche?
Falls Administration der IT-Infrastruktur bzw.IT-Anwendungen vom Dienstleister:
Prüfung der Wirksamkeit der physischenSicherungsmaßnahmen zum Schutz der IT-Infrastruktur sowie der Zugriffe von Admi-nistratoren bzw. privilegierter Benutzer(Berichterstattung nach IDW PS 951 n. F.)
In Anlehnung an IDW RS FAIT 5
Soweit Kontrollmaßnahmen zeitweise unwirksam waren, hat das auslagernde Unternehmen zu analysieren,ob hierdurch die Ordnungsmäßigkeit der Buchführung beeinträchtigt wird oder Fehler in der Buchführungeingetreten sind.
Handels- und steuerrechtliche Risiken des Cloud Computing
Koordination von Dienstleistungsänderungen
Koordination von Anpassungen des IKS des auslagernden Unternehmens (Change-Management)
Regelmäßige Wartungsarbeiten (bspw. Patch-Management)
Kontrolländerungen aufgrund von Dienstleistungsänderungen
Änderungen aufgrund festgestellter IKS-Schwächen
Analyse von Änderungen auf das IKS/die Kontrollen des auslagernden Unternehmens
Prüfung der fortwährenden Einhaltung der Compliance- und Sicherheitsanforderungen
73
V.1 Kontrollumfeld und OrganisationWeitere Anforderungen an das Dienstleistungsmanagement
In Anlehnung an IDW RS FAIT 5
Handels- und steuerrechtliche Risiken des Cloud Computing 74
Verantwortung für den geordneten Regel- und Notfallbetrieb liegt beim auslagernden UnternehmenVerfahren müssen vollständig, lückenlos und nachvollziehbar dokumentiert sein
Zu Beginn hat sich das auslagernde Unternehmen einen Überblick von der IT-Infrastruktur des Dienstleisterseinschließlich Schutzmaßnahmen und Sicherheitsvorkehrungen sowie von IT-Prozessen zu Regel- undNotfallbetrieb zu verschaffen
Wenn Verantwortung für Administration der IT-Infrastruktur beim Dienstleister liegt, muss sich das auslagerndeUnternehmen von der Angemessenheit der eingerichteten Kontrollen überzeugen (bspw. Prüfungsberichtenach IDW PS 951 n. F. denkbar)
Sowohl beim Dienstleister als auch beim auslagernden Unternehmen sind Maßnahmen für den logischenZugriffsschutz einzurichten (z. B. Beantragungs-, Genehmigungs- und Überprüfungsverfahren)
Administrative und privilegierte Berechtigungen für die IT-Infrastruktur und die IT-Anwendungen sindentweder vom Dienstleister oder vom auslagernden Unternehmen zu verwalten und vor unberechtigterNutzung zu schützen
V.2 IT-InfrastrukturAusführungen IDW RS FAIT 5
Die IT-Infrastruktur bildet die Grundlage für einen sicheren und geordneten IT-Betrieb. Dazu zählendie zur Leistungserbringung erforderlichen Rechenzentren, Hardware, Netzwerke, Systemsoftware,Komponenten für den Verbindungsaufbau und (Cloud Computing) Verfahren für die bedarfsorientierteProvisionierung
In Anlehnung an IDW RS FAIT 5
Handels- und steuerrechtliche Risiken des Cloud Computing 75
Die Prüfung der IT-Infrastruktur richtet sich auf:
Logische Zugriffskontrollen
Datensicherungs- und Auslagerungsverfahren
Physische Sicherungsmaßnahmen
Maßnahmen für den geordneten Regelbetrieb
Verfahren für den Notbetrieb Maßnahmen zur Sicherung derBetriebsbereitschaft
In Anlehnung an IDW PS 330
V.2 Exkurs: Prüfung der IT-Infrastruktur nach IDW PS 330Überblick
Handels- und steuerrechtliche Risiken des Cloud Computing 76
Logische Zugriffskontrollen
In der Aufbauprüfung Beurteilung, ob diefestgelegten Sicherheitsmaßnahmen hinsichtlichder eingesetzten Technik und dem gewünschtenSchutzzweck angemessen sind
Die Funktionsprüfung richtet sich an dieWirksamkeit der eingerichteten Sicherungs-maßnahmen, z. B. durch eine Begehung desRechenzentrums und Kontrolle der Existenz derMaßnahmen
Physische Sicherungsmaßnahmen
Die Aufbauprüfung richtet sich auf die Imple-mentierung eines organisatorischen Verfahrens zurBeantragung, Genehmigung und Einrichtung vonBenutzerberechtigungen in den IT-Systemenbetrifft sowohl Berechtigungen auf Betriebs-systemebene als auch Rechte zur Ausführung vonAnwendungen
Die Funktionsprüfung der logischen Zugriffs-kontrollen kann umfassen:
Prüfung der Übereinstimmung definierterVerfahren mit den tatsächlichen Abläufen derBenutzeradministration und -pflege
Stichprobenartige Prüfung der Benutzerberech-tigungen, ob eingerichtete Berechtigungen denbeantragten Rechten sowie dem Aufgabengebietdes Mitarbeiters entsprechen
In Anlehnung an IDW PS 330
V.2 Exkurs: Prüfung der IT-Infrastruktur nach IDW PS 330Physische Sicherungsmaßnahmen und logische Zugriffskontrollen
Handels- und steuerrechtliche Risiken des Cloud Computing 77
Datensicherungs- und Auslagerungsverfahren sind Voraussetzung für die Funktionsfähigkeit derDatenverarbeitung sowie zur Sicherung der Vollständigkeit und Verfügbarkeit der Daten
Die Aufbauprüfung umfasst u. a. die Angemessenheit des Datensicherungsverfahrens (Mehr-Generationen-Prinzip mit Tages-, Wochen- und Monatssicherungen), die verwendetenSicherungsmedien sowie die Auslagerungsorte und -intervalle
Die Funktionsprüfung erstreckt sich etwa auf die Einsichtnahme in Logaufzeichnungen, denAbgleich von Medienverzeichnissen oder die Begehung des zur Auslagerung verwendetenArchivs mit Inaugenscheinnahme der Zugangs- und Brandschutzeinrichtungen
Sofern Sicherungsmedien auch zur Erfüllung gesetzlicher Aufbewahrungsfristen erstellt werden,muss der Abschlussprüfer auch beurteilen, ob die Wiederherstellbarkeit von Programmen undDaten aus den Sicherungsmedien funktioniert, z. B. durch Tests der Datenrücksicherung
Datensicherungs- und Auslagerungsverfahren
V.2 Exkurs: Prüfung der IT-Infrastruktur nach IDW PS 330Datensicherungs- und Auslagerungsverfahren
In Anlehnung an IDW PS 330
Handels- und steuerrechtliche Risiken des Cloud Computing 78
Die Aufbauprüfung richtet sich etwa auf die Dokumentation und die Regelung der Abläufesowie auf die nachvollziehbare Abwicklung von IT-Anwendungen
Im Rahmen der Funktionsprüfung des Regelbetriebs Prüfung der adäquaten Umsetzung derOrganisationsanweisungen und Einsichtnahme in die Aufzeichnungen der technischen Systemezur Steuerung des Rechnerbetriebs
Abgleich der Anweisungen zur Jobdokumentation mit den tatsächlichen Jobs
Prüfung der im RZ-Handbuch aufgeführten Protokolle, Jobs und Nachweise auf Existenzund angemessene Aufbewahrung
Durchsicht von Job- und Operatorprotokollen auf wiederkehrende Fehler
Maßnahmen für den Regel- und Notbetrieb
V.2 Exkurs: Prüfung der IT-Infrastruktur nach IDW PS 330Maßnahmen für den Regel- und Notbetrieb
In Anlehnung an IDW PS 330
Handels- und steuerrechtliche Risiken des Cloud Computing 79
Die Aufbauprüfung soll beurteilen, ob unternehmensspezifische Risiken und die Abhängigkeitdes Unternehmens von der IT in den Vorkehrungen gegen einen möglichen Ausfall hin-reichend abgebildet sind
Organisatorische Regelungen (Katastrophenfall-Handbuch) und technische Sicherungs-maßnahmen (redundante Auslegung der Hardware, vertragliche Backup-Vereinbarungen,Ausweich-Rechenzentrum) müssen gewährleisten, dass Programmfunktionen und -abläufein angemessener Zeit wiederhergestellt werden können
Weiterhin ist zu prüfen, ob geeignete Eskalationsverfahren installiert sind und dieWirksamkeit der Notfallszenarien regelmäßig getestet wird
Bei der Funktionsprüfung kann der Abschlussprüfer auf eigene Tests verzichten, soweit dieerfolgreiche Durchführung von Tests anhand einer ordnungsgemäßen Dokumentation beurteiltwerden kann
Maßnahmen zur Sicherung der Betriebsbereitschaft
In Anlehnung an IDW PS 330
V.2 Exkurs: Prüfung der IT-Infrastruktur nach IDW PS 330Maßnahmen zur Sicherung der Betriebsbereitschaft
Handels- und steuerrechtliche Risiken des Cloud Computing 80
V.3 IT-AnwendungenAusführungen IDW RS FAIT 5
Anwendungen, die auf die Anforderungen einesspeziellen Unternehmens bzw. einer Gruppezugeschnitten sind
Hier ist es wichtig, Vereinbarungen über einangemessenes Softwareentwicklungsverfahrenzu treffen
Anpassungen an Kundenbedürfnisseeingeschränkt möglich Customizing
Hierbei ist es entscheidend, einen Change-Management-Prozess einzurichten, um zu verhin-dern, dass vom auslagernden Unternehmen nichtautorisierte Anpassungen vorgenommen werden
Darüber hinaus generelle Kontrollen, wie bspw.Integrationstests, Berechtigungssystem oderanwendungsbezogene Verarbeitungsprotokolle
Individualanwendungen Standardanwendungen
Überblick über Art und Umfang der in den IT-Anwendungen enthaltenen anwendungsbezogenen Kontrollenkann sich das auslagernde Unternehmen anhand einer Softwarebescheinigung oder ggf. durch Einsicht-nahme in die Verfahrensdokumentation der IT-Anwendung des Dienstleisters verschaffen ( IDW PS 880)
In Anlehnung an IDW RS FAIT 5
Vollständigkeit, Richtigkeit sowie die zeitnahe Verarbeitung der ausgetauschten Daten sind über anwendungs-oder schnittstellenbezogene Kontrollen sicherzustellen und zu dokumentieren. Hierzu dienen bspw. Kontroll-summen, Hash Totals oder spezifische Protokolle/Journale.
Handels- und steuerrechtliche Risiken des Cloud Computing 81
V.3 IT-AnwendungenKontrollen
Durchsicht von Änderungsnachweisen zu eingerichteten Kontrollen und rechnungslegungsrelevantenTabellendaten mit Steuerungsfunktion
Abgleich der an den Dienstleister übermittelten Daten mit den nach der Verarbeitung erhaltenen Daten
Neben den anwendungsbezogenen Kontrollen sind auch Kontrollen zur Überwachung der ausgelagertenProzesse und Funktionen notwendig:
Durchsicht folgender Unterlagen:
Nachweise über kritische Systemberechtigungen sowie deren Nutzung
Protokolle über nicht erfolgreiche Systemzugriffe sowie über unerwartete Ereignisse (z. B. Abstürze)
Nachweise über Systemänderungen (z. B. Releasewechsel oder Fehlerbereinigung)
Nachweise über vom Dienstleister vorgenommene Tests
Berichte der internen Revision des Dienstleisters
Korrespondierende generelle Kontrollen:
In Anlehnung an IDW RS FAIT 5
Handels- und steuerrechtliche Risiken des Cloud Computing 82
V.3 Exkurs: Prüfung der IT Anwendungen nach IDW PS 330Umfang
Erfüllung derverfahrensbezogenen
Anforderungen der GoB
Erfüllung derAnforderungen an die
Softwaresicherheit
Erfüllung derAnforderungen an
rechnungslegungsrelevanteVerarbeitungsregeln
Hierzu sind sowohl anwendungsbezogene IT-Kontrollen (Eingabe-, Verarbeitungs- undAusgabekontrollen) als auch generelle Kontrollen (Auswahl- und Entwicklungsprozess sowie
die Implementierung von Software) zu installieren.
Die Prüfung der IT-Anwendungen umfasst:
In Anlehnung an IDW PS 330
Handels- und steuerrechtliche Risiken des Cloud Computing 83
Voraussetzung für Sicherheit und Ordnungsmäßigkeit von IT-Anwendungen ist eine adäquate Organisationder Systementwicklung bzw. der Vorgehensweise bei der Auswahl von Standardsoftware
In Anlehnung an IDW PS 330
Der Abschlussprüfer muss Regelungen und Verfahren auf Angemessenheit beurteilen, die das Unternehmen
zur Entwicklung von Individualsoftware,
zur Auswahl, Beschaffung, Anpassung und Einführung von Standardsoftware,
für Test- und Freigabeverfahren sowie
zur Änderung von IT-Anwendungen definiert hat.
Grob- und Feinkonzepte
Projektmanagement und Qualitätssicherung
Richtlinien für die Programmierung,Dokumentation, Test und Freigabe
Aufbauprüfung
Sichtung von Dokumentationsunterlagen
Stichprobenartige Prüfung der Einhaltung derRegelungen und Verfahren
Funktionsprüfung
V.3 Exkurs: Prüfung der IT Anwendungen nach IDW PS 330Auswahl-, Entwicklungs- und Änderungsprozess
Handels- und steuerrechtliche Risiken des Cloud Computing 84
V.4 IT-gestützte GeschäftsprozesseAusführungen IDW RS FAIT 5
Werden Geschäftsprozesse vollständig/teilweise ausgelagert, übernimmt der Dienstleister deren Durchführung.Dies ist i. d. R. mit der Verarbeitung von Geschäftsvorfällen sowie mit der Übernahme rechnungslegungs-
relevanter Daten in die Rechnungslegung des auslagernden Unternehmens verbunden.
Um die Einhaltung der Sicherheits-, Ordnungsmäßigkeits- und Kontrollanforderungen zu gewährleisten,sind in Form von Betriebshandbüchern oder Service Level Agreements Regelungen zu treffen über:
Anwendungsbezogene und prozessintegrierte Kontrollen zur Erfassung und Verarbeitung derGeschäftsvorfälle
Art und Umfang der Übergabe rechnungslegungsrelevanter Daten an den Dienstleister
Überleitung rechnungslegungsrelevanter Daten in die Rechnungslegung des auslagernden Unternehmens
Sicherstellung, dass durch die Schaffung standardisierter organisatorischer und technischer Prozess-schnittstellen sowie einer angemessenen Verzahnung der ausgelagerten Prozesse mit den unternehmens-internen Prozessen den Risiken der unvollständigen, fehlerhaften oder verspäteten Verarbeitung derrechnungslegungsrelevanten Daten begegnet wird
Hohe Standardisierung bewirkt, dass IT-Geschäftsprozessrisiken in der Regel nur IT-gestützten Kontrollengegenüberstehen Anpassung auf individuelle Anforderungen des auslagernden Unternehmens typischer-weise nicht möglich daher sollte das auslagernde Unternehmen seine Kontrollen anpassen bzw.zusätzliche Kontrollen einrichten
In Anlehnung an IDW RS FAIT 5
Handels- und steuerrechtliche Risiken des Cloud Computing
V.4 Exkurs: Prüfung der IT-gestützten Geschäftsprozesse nach IDW PS 330Überblick
Die Aufbauprüfung der zu untersuchenden Geschäftsprozesse umfasst Prozessaufnahmen, die u. a.dokumentieren, in welchen Prozessschritten IT-Anwendungen integriert sind (und in welchen manuellgearbeitet wird), wie rechnungslegungsrelevante Daten in die Rechnungslegung übergeleitet werden sowiewelche anwendungs- und prozessbezogenen Kontrollen bestehen
Anwendungsbezogene Kontrollen umfassen sowohl manuelle als auch programmseitige Kontrollen:
Im Rahmen der Aufbauprüfung hat der Abschlussprüfer zu beurteilen, ob die Geschäftsprozesse dasGeschäftsmodell des Unternehmens adäquat abbilden steht die Zielsetzung des Unternehmens mit ihrerorganisatorischen Ausgestaltung in Übereinstimmung und wurden die daraus abgeleiteten Risikobeurtei-lungen angemessen berücksichtigt
Bei der Beurteilung der Angemessenheit der prozessintegrierten Kontrollen steht die Gewährleistung derOrdnungsmäßigkeit und Sicherheit der rechnungslegungsrelevanten Daten im Fokus
Hierbei von besonderer Bedeutung: Prüfung der sachgerechten Schnittstellenimplementierung sowie Prüfungder diesbezüglichen IT-Kontrollen
Durch Funktionsprüfungen muss die Wirksamkeit der IT-Kontrollen in den IT-gestützten Geschäftsprozessenbeurteilt werden
85
In Anlehnung an IDW PS 330
Zutreffende Einstellung von Steuerungsparametern
Richtige Belegaufbereitung
Verlässliche Plausibilitätskontrollen bei der Belegerfassung
Wirksame Kontroll- und Abstimmverfahren
Handels- und steuerrechtliche Risiken des Cloud Computing 86
Fallstudie [5]
Servicemodelle im Vergleich
Handels- und steuerrechtliche Risiken des Cloud Computing 87
Fallstudie 5: Servicemodelle im VergleichLösungsskizze
Kontrollen werden typischerweise vomauslagernden Unternehmen konzipiert undumgesetzt
Verfahrensdokumentation umfasstAnwenderdokumentation, technischeSystemdokumentation, Programm-Quellcode
Kontrollen werden üblicherweise durch dievom Dienstleister bereitgestellte Softwarevorgegeben
Prüfung der Einrichtung und Wirksamkeitdurch das auslagernde Unternehmen
Verfahrensdokumentation umfasst etwaDokumentation des Produktherstellers,Beschreibung anwendungsspezifischenAnpassungen sowie Dokumentation desausgelagerten Bereichs des IKS
Platform as a Service- PaaS -
Software as a Service- SaaS -
In Anlehnung an IDW RS FAIT 5
Handels- und steuerrechtliche Risiken des Cloud Computing 88
Agenda
I. Auslagerung rechnungslegungsrelevanter Prozesseund Funktionen
II. Compliance-Rahmen
III. Verantwortung der gesetzlichen Vertreter
IV. Risiken beim IT-Outsourcing
V. Einrichtung des internen Kontrollsystems beim IT-Outsourcing
VI. Prüfung durch den Abschlussprüfer bei Auslagerung
1. Ausgangssituation
2. Prüfung nach IDW PS 331 (auslagerndesUnternehmen)
3. Prüfung nach IDW PS 951 (Dienstleister)
4. Zusammenwirken IDW PS 331 und 951
VII. Steuerliche Besonderheiten
Handels- und steuerrechtliche Risiken des Cloud Computing
Sie sind gefragt!!!
Prüfung durch den Abschlussprüfer – welche Prüfungs-standards sind einschlägig?
Welche Kontrollziele ergeben sich für Sie –für die Prüfung des auslagernden Unternehmens und fürdie des Dienstleisters?
Worin sollte die Zielsetzung des Abschlussprüfers bestehen?
Welche Ordnungsmäßigkeitskriterien muss Ihre Prüfung abdecken?
Können Sie Berichterstattungen von Prüfer-Kollegen für Ihren Berichtmiteinbeziehen?
Welche Art von Berichterstattungen gibt es ggf., was ist der Unterschied?
Was ist beim Einsatz von Sub-Dienstleistern zu beachten?
…
89
Handels- und steuerrechtliche Risiken des Cloud Computing
VI.1 AusgangssituationBedeutung des internen Kontrollsystems des Dienstleisters
90
Können durch die eingerichteten Kontrollen Risiken entstehen, die wiederum beim auslagerndenUnternehmen zu Mängeln in der Rechnungslegung führen können
Jahresabschlussprüfer sind gehalten, das gesamte – also auch das auf den Dienstleisterausgelagerte – interne Kontrollsystem einer Beurteilung zu unterziehen, um einen Nachweis für
dessen Angemessenheit und Wirksamkeit zu erlangen
Mit der Auslagerung wesentlicher rechnungslegungsrelevanter Funktionen rückt das interneKontrollsystem des Outsourcing-Anbieters in den Fokus des Abschlussprüfers
Handels- und steuerrechtliche Risiken des Cloud Computing
VI.1 AusgangssituationAnknüpfungspunkt IDW PS 330
Abschlussprüfer muss beurteilen, welche Auswirkungen das IT-Outsourcing auf das IKS desUnternehmens hat hierfür können u. a. von Bedeutung sein:
Art der erbrachten Dienstleistung
Ausmaß des Zusammenspiels zwischen Kontrollen beim auslagernden Unternehmen undKontrollen beim Dienstleister
Art der Kontrollen, die das auslagernde Unternehmen zur Überwachung des IT-Outsourcingsinstalliert hat
Wirtschaftliche Lage des Dienstleisters sowie dessen IKS
Falls der Wirtschaftsprüfer zu dem Schluss kommt, dass die Aktivitäten des Dienstleisterswesentliche Auswirkungen auf die Abschlussprüfung haben:
Informationen einholen, um das Zusammenspiel des internen Kontrollsystems sowie dieKontrollrisiken beurteilen zu können
Ggf. Prüfungshandlungen vor Ort beim Dienstleister
91
In Anlehnung an IDW PS 330
Handels- und steuerrechtliche Risiken des Cloud Computing
VI.1 AusgangssituationEinschlägige Standards bei der Abschlussprüfung
92
IDW PS 331
Prüfung durch den Abschlussprüfer
IDW PS 951
IDW PS 330
Auslagerndes Unternehmen Dienstleister
Handels- und steuerrechtliche Risiken des Cloud Computing 93
VI.2 Prüfung nach IDW PS 331Kontrollziele
Kontrollziele
GesetzlicheAnforderungen
Vom Dienstleisterdefinierte Regelungen
Erfordernisse der jeweiligenGeschäftstätigkeit
In Anlehnung an IDW PS 331
AufsichtsrechtlicheAnforderungen
BranchenspezifischeRegelungen
Handels- und steuerrechtliche Risiken des Cloud Computing
VI.2 Prüfung nach IDW PS 331Für die Abschlussprüfung relevante ausgelagerte Prozesse gem. IDW PS 331
94
Ausgelagerte Dienstleistungen sind nicht per se für die Abschlussprüfung relevant.Betreffen sie allerdings einen der nachfolgenden Bereiche und sind nicht unbedeutend, sind sie relevant.
Verarbeitung rechnungslegungsrelevanterGeschäftsvorfälle
Bereitstellung rechnungslegungsrelevanterUnterlagen für den Jahresabschluss des
auslagernden Unternehmens
IT-gestützte bzw. manuellerechnungslegungsrelevante Geschäftsprozesse
Erfassung und Verarbeitung von für denAbschluss relevanten Ereignissen
Den Abschlusserstellungsprozess desauslagernden Unternehmens, einschließlichVerfahren zur Ermittlung geschätzter Werte
Kontrolltätigkeiten im Zusammenhang mit derAufzeichnung von Geschäftsvorfällen
In Anlehnung an IDW PS 331
Handels- und steuerrechtliche Risiken des Cloud Computing
VI.2 Prüfung nach IDW PS 331Zielsetzung des Abschlussprüfers
95
Verständnis erlangen
Von Art und Bedeutung der vom Dienstleistererbrachten Dienstleistung einschließlichderen Auswirkungen auf das für dieAbschlussprüfung relevante IKS desauslagernden Unternehmens
Risiken erkennen
Verständnis notwendig, um Risikenwesentlicher falscher Angaben in derRechnungslegung feststellen und beurteilenzu können
Prüfungshandlungen festlegen
Prüfungshandlungen sind den erkanntenRisiken angemessen zu planen unddurchzuführen
In Anlehnung an IDW PS 331
Handels- und steuerrechtliche Risiken des Cloud Computing
VI.2 Prüfung nach IDW PS 331Voraussetzungen für die Ordnungsmäßigkeit
Sachgerechte Abbildung der für die Rechnungslegung maßgeblichen Vorschriften
Sicherheit der vom Dienstleistungsunternehmen verarbeiteten Daten
Werden IT-Systeme für Zwecke der Rechnungslegung verwendet, sind die in IDW RS FAIT 1genannten Sicherheitsanforderungen zu erfüllen
Darüber hinaus erfordern die GoB die Einhaltung folgender Ordnungsmäßigkeitskriterien(in auf die Erfassung, Verarbeitung, Ausgabe und Aufbewahrung rechnungslegungsrelevanterDaten):
96
Vollständigkeit (§239 (2) HGB) Richtigkeit (§239 (2) HGB)
Zeitgerechtheit (§239 (2) HGB) Ordnung (§239 (2) HGB)
Nachvollziehbarkeit (§238 (1) S. 2 HGB) Unveränderlichkeit (§239 (3) HGB)
In Anlehnung an IDW PS 331
Vgl. auch GoBD!
Handels- und steuerrechtliche Risiken des Cloud Computing
VI.2 Prüfung nach IDW PS 331Anknüpfung IDW PS 951 n. F.
97
„Liegt die Einrichtung und Durchführung einer Kontrolle beim Dienstleistungs-unternehmen, hat sich das auslagernde Unternehmen davon zu überzeugen,ob diese Kontrolle angemessen ausgestaltet und eingerichtet ist. Dies kann aufBasis der Beschreibung des dienstleistungsbezogenen internen Kontrollsystemsdes Dienstleistungsunternehmens (bspw. anhand der Einsichtnahme in eineaktuelle Berichterstattung nach IDW PS 951 n. F. …) erfolgen“
IDW PS 331, Tz. A28
Prüfung nach IDW PS 951 n. F.
Handels- und steuerrechtliche Risiken des Cloud Computing 98
VI.2 Prüfung nach IDW PS 331Typ 1-/Typ 2-Bericht für Verständnis über Kontrollen beim Dienstleister
Beurteilung, ob der Zeitraum,auf den sich die Beschreibungsowie die Ausgestaltung derKontrollen beim Dienstleisterbeziehen, für die Zwecke derAbschlussprüfung angemes-sen sind
Beurteilung, ob die Bericht-erstattung ausreichende undangemessene Prüfungs-nachweise liefert
Entscheidung, ob vomDienstleister dargestelltekorrespondierende Kontrollenfür das auslagerndeUnternehmen relevant sind
Wenn ja, Prüfung, ob solchekorrespondierenden Kon-trollen beim auslagerndenUnternehmen ausgestaltetsind
Angemessener Zeitraum AusreichendPrüfungsnachweise
KorrespondierendeKontrollen
Beabsichtigt der Abschlussprüfer, eine Berichterstattung nach IDW PS 951 Typ 1 oder Typ 2als Prüfungsnachweis für sein Verständnis über die Ausgestaltung von Kontrollen beim Dienst-leistungsunternehmen zu verwenden, muss er folgende Aspekte beachten:
In Anlehnung an IDW PS 331
Handels- und steuerrechtliche Risiken des Cloud Computing
VI.3 Prüfung nach IDW PS 951 n. F.Gegenstand und Ziele
IKS des auslagernden Unternehmens
DienstleistungsbezogenesIKS des Dienstleisters
Nicht dienstleistungs-bezogenes IKS desDienstleisters
Beschreibung
99
Handels- und steuerrechtliche Risiken des Cloud Computing
VI.3 Prüfung nach IDW PS 951Gegenstand und Ziele
100
In Anlehnung an IDW PS 951
Gegenstand ist die Beschreibung des dienstleis-tungsbezogenen internen Kontrollsystems unddarin dargestellte Kontrollen und Kontrollziele aufBasis der vom Management hierzu abgegebenenErklärung
Gegenstand
Mit hinreichender Sicherheit eine Aussagedarüber treffen zu können, ob:
Die zur Ausgestaltung des dienstleistungs-bezogenen IKS zugrunde gelegten Kriterieneinschließlich der daraus abgeleitetenKontrollziele für den Anwendungszweckgeeignet und in der IKS-Beschreibung adäquatdargestellt sind
Die IKS-Beschreibung durch den Dienstleisterdie tatsächliche Ausgestaltung und Einrichtungdes dienstleistungsbezogenen IKS zum zuprüfenden Zeitpunkt (Typ 1-Bericht) bzw.während des zu prüfenden Zeitraums (Typ 2-Bericht) sachgerecht darstellt
Ziele
Handels- und steuerrechtliche Risiken des Cloud Computing 101
Gewinnung eines Verständnisses von Art und Umfang der vom Dienstleister erbrachten Dienstleistung einschl.deren Auswirkungen auf das für die Abschlussprüfung relevante IKS des auslagernden Unternehmens
Bericht über die Prüfung der Angemessenheit desdienstleistungsbezogenen IKS bei einem Dienstleister
Inhalt/Grundlage:
Vom Dienstleister erstellte IKS-Beschreibung
Bericht des Prüfers des Dienstleister Vermittlung derAngemessenheit des dienstleistungsbezogenen IKSeinschließlich Urteile des Prüfers über zugrundegelegte Kriterien und daraus abgeleitete Kontrollzielesowie über die tatsächliche Ausgestaltung undEinrichtung des IKS und der dargestellten Kontrollenzum Prüfungszeitpunkt
Bericht über die Prüfung der Angemessenheit undWirksamkeit des dienstleistungsbezogenen IKS bei einemDienstleister
Inhalt/Grundlage:
Vom Dienstleister erstellte IKS-Beschreibung
Bericht des Prüfers des Dienstleister Vermittlung derAngemessenheit und der Wirksamkeit des dienst-leistungsbezogenen IKS einschließlich Urteile desPrüfers über zugrunde gelegte Kriterien und darausabgeleitete Kontrollziele sowie über die tatsächlicheAusgestaltung und Einrichtung des IKS und derdargestellten Kontrollen zum Prüfungszeitpunkt
Zusätzlich: Urteil über die geprüften Kontrollen, diezur Erreichung der Kontrollziele notwendig sind
Typ 1-Berichterstattung Typ 2-Berichterstattung
In Anlehnung an IDW PS 331/951
VI.3 Prüfung nach IDW PS 951Typ 1 vs. Typ 2
Handels- und steuerrechtliche Risiken des Cloud Computing 102
VI.3 Prüfung nach IDW PS 951Anforderungen an die Ausgestaltung des dienstleistungsbezogenen IKS
In Anlehnung an IDW PS 951
Das dienstleistungsbezogene IKS betrifft die Regelungen, die mit der Erbringung derDienstleistung in Zusammenhang stehen und in der Berichterstattung des Wirtschaftsprüfers
gem. IDW PS 951 dargestellt sind
Kontrollziele ergeben sichinsbesondere aus den gesetzlichenbzw. aufsichtsrechtlichenAnforderungen sowie aus denErfordernissen der jeweiligenGeschäftstätigkeit
Des Weiteren können weitereKontrollziele aus branchen-spezifischen, vom Dienstleisterselbst definierten oder sonstigenRegelungen abgeleitet werden
Korrespondierende Kontrollen des auslagerndenUnternehmens sind solche, bei denen der Dienstleisterbei der Ausgestaltung voraussetzt, dass diese bei denauslagernden Unternehmen eingerichtet werden
Kontrollziele Die dienstleistungsbezogenen internen Kontrollenumfassen diejenigen, die zur Einhaltung einesKontrollziels in der Berichterstattung desWirtschaftsprüfers gem. IDW PS 951 dargestellt sind
z. B. Sicherheitsrichtlinien oder technischeSicherungsmaßnahmen
Handels- und steuerrechtliche Risiken des Cloud Computing 103
VI.3 Prüfung nach IDW PS 951Dem dienstleistungsbezogenen IKS zugrunde gelegte Kriterien
In Anlehnung an IDW PS 951
Gesetzliche und sonstige regulatorischeKriterien (auch GoBD)
Themen-, branchen- undindustriespezifische Kriterien
Vom Dienstleister selbst entwickelteKriterien, einschl. vertraglicher Kriterien
Handels- und steuerrechtliche Risiken des Cloud Computing
VI.3 Prüfung nach IDW PS 951Exkurs ISO/IEC 27017 (Cloud-spezifizierte Kontrollmechanismen)
104
In Anlehnung an ISACA-Fachgruppe Cloud Computing (2016). Sicherheitsmanagement von Cloud Computingmit ISO/IEC 27017. In IT-Governance, Fachzeitschrift des ISACA Germany Chapter e.V. 24/2016.
ISO/IEC 27017Sicherheitsleitlinien Organisation der Informationssicherheit
Personalsicherheit Management von organisationseigenen Werten
Zugriffskontrolle Kryptografie
Schutz vor physischem Zugang undUmwelteinflüssen Betriebssicherheit
Sicherheit in der Kommunikation Anschaffung, Entwicklung und Instandhaltungvon Systemen
Lieferantenbeziehungen Management vonInformationssicherheitsvorfällen
Informationssicherheitsaspekte desBetriebskontinuitätsmanagements Richtlinienkonformität
Handels- und steuerrechtliche Risiken des Cloud Computing 105
VI.3 Prüfung nach IDW PS 951Prüfungsgegenstand bei Berücksichtigung von Sub-Dienstleistern
AuslagerndesUnternehmen
Dienstleister
Sub-Dienstleister
Auslagerung derLohn- und
Gehaltsabrechnung
Auslagerung derVerarbeitung der
Personaldaten
Carve-out Methode
Inclusive Methode
In Anlehnung an IDW PS 951
Handels- und steuerrechtliche Risiken des Cloud Computing 106
VI.4 Prüfung nach IDW PS 331 (Wechselspiel mit IDW PS 951)Typ 2-Bericht zur Beurteilung der Wirksamkeit der Kontrollen beim Dienstleister
Beziehen sich IKS-Beschreibung sowiedargestellte Kontrollen,deren Ausgestaltungund Wirksamkeit aufeinen für Zwecke desPrüfers angemessenenZeitraum
Ist der von denFunktionsprüfungenabgedeckte Zeitraumangemessen
Einschließlich einerBeurteilung, der seitder Durchführungder Funktionsprüfungvergangenen Zeit
Sind die im Typ 2-Bericht dargestelltenFunktionsprüfungensowie deren Ergebnissefür den Jahresabschlussdes auslagerndenUnternehmens relevantund liefern sieausreichende Prüfungs-nachweise für dieRisikobeurteilung
IKS –angemessener Zeitraum
Funktionsprüfungen –angemessener Zeitraum
Funktionsprüfungen –ausreichende
Prüfungsnachweise Sind die vom Dienst-
leister vorausgesetztenkorrespondierendenKontrollen für dasauslagerndeUnternehmen relevant
Wenn ja, Aufbau-prüfung, ob dieseKontrollen angemessenausgestaltet undwirksam sind
KorrespondierendeKontrollen
Beabsichtigt der Abschlussprüfer, eine Berichterstattung vom Typ 2 als Prüfungsnachweis für dieWirksamkeit der Kontrollen des Dienstleistungsunternehmens zur verwenden, muss er
beurteilen, ob:
In Anlehnung an IDW PS 331
Handels- und steuerrechtliche Risiken des Cloud Computing 107
VI.4 Prüfung nach IDW PS 331 (Wechselspiel mit IDW PS 951)Typ 2-Bericht liegt nicht vor
Kontakt zu Dienstleisteraufnehmenveranlassen, dass ein Prüferdes Dienstleisters eine Typ 2-Berichterstattung erstellt
Hinzuziehen eines externenPrüfersDurchführung von Prüfungs-handlungen nach eigenenAnweisungen
Durchführung eigenerPrüfungshandlungen beimDienstleister durch denAbschlussprüfer des aus-lagernden Unternehmens
Für den Fall, dass eine Berichterstattung vom Typ 2 nicht vorliegt,kann der Abschlussprüfer wie folgt vorgehen:
Eine Typ 1-Berichterstattung kann dem Abschlussprüfer zwar helfen, ein Verständnis über dieRisiken falscher Angaben in der Rechnungslegung zu erlangen, liefert jedoch keine Nachweise
über die Wirksamkeit der relevanten Kontrollen.
In Anlehnung an IDW PS 331
Handels- und steuerrechtliche Risiken des Cloud Computing
VI.4 Prüfung nach IDW PS 331 (Wechselspiel mit IDW PS 951)Ausschluss von Sub-Dienstleistern
108
IKS-Beschreibung enthält auch Art undUmfang der Dienstleistung sowierelevante Kontrollen und Kontrollzieledes Sub-Dienstleisters
Beschreibung der relevanten Kontrollenund Kontrollziele des Sub-Dienstleisterswird im Typ 1-/Typ 2-Berichtausgeklammert
Inclusive Methode
Carve-out MethodeSoweit Sub-Dienstleister in Anspruchgenommen werden, muss dies nachIDW PS 951 bei der Beschreibung
des dienstleistungsbezogenen IKS imTyp 1-/Typ 2-Bericht beachtet werden
In Anlehnung an IDW PS 331
Prüfungshandlungen abhängig von:
der spezifischen Dienstleistung,deren Bedeutung für das auslagerndeUnternehmen sowie ihrer Relevanzfür die Abschlussprüfung
IDW PS 331auf Sub-Dienstleister anwenden
Handels- und steuerrechtliche Risiken des Cloud Computing 109
Fallstudie [6]
Die Cloud in der Abschlussprüfung
Handels- und steuerrechtliche Risiken des Cloud Computing 110
Fallstudie 6: Abschlussprüfung bei Vorliegen von IT-OutsourcingAusgangslage
AuslagerndesUnternehmen
Rechnung
Dienstleister
Wirtschaftsprüfer
PDF-Datei
Scannen derRechnungenPDF-Datei zurückan Unternehmen
Archivierung
??
Handels- und steuerrechtliche Risiken des Cloud Computing 111
Fallstudie 6: Abschlussprüfung bei Vorliegen von IT-OutsourcingZurück zur Ausgangslage
AuslagerndesUnternehmen
Rechnung
Dienstleister
Wirtschaftsprüfer
PDF-Datei
Scannen derRechnungenPDF-Datei zurückan Unternehmen
Archivierung
Handels- und steuerrechtliche Risiken des Cloud Computing 112
Fallstudie 6: Abschlussprüfung bei Vorliegen von IT-OutsourcingZu beachtende Standards beim IT-Outsourcing
IDW RS FAIT 5Vorgaben für das auslagernde Unternehmen
GoBD
IDW PS 331/PS 330Vorgaben für die Prüfung des auslagerndenUnternehmens
Verwendung von Berichten nach IDW PS 951
IDW RS FAIT 3Vorgaben für das Dienstleistungsunternehmen
GoBD
IDW PS 951/PS 330Vorgaben für die Prüfung desDienstleistungsunternehmens
Sonderfall korrespondierende Kontrollen
Handels- und steuerrechtliche Risiken des Cloud Computing 113
Agenda
I. Auslagerung rechnungslegungsrelevanter Prozesseund Funktionen
II. Compliance-Rahmen
III. Verantwortung der gesetzlichen Vertreter
IV. Risiken beim IT-Outsourcing
V. Einrichtung des internen Kontrollsystems beim IT-Outsourcing
VI. Prüfung durch den Abschlussprüfer bei Auslagerung
VII. Steuerliche Besonderheiten
1. Ertragsteuerrecht
2. Umsatzsteuerrecht
3. GoBD
4. Buchführung und Aufbewahrung
5. Tax Compliance
Handels- und steuerrechtliche Risiken des Cloud Computing
Aktueller Anlass – Tax Compliance wird Pflicht
114
Kontrollen
TAX Compliance(§ 153 AO)
Dokumentation
Handels- und steuerrechtliche Risiken des Cloud Computing
VII.1 Ertragsteuerrecht – Generelle Begrifflichkeiten und Voraussetzung derBegründung einer Betriebsstätte
115
Hintergrund:
Sowohl das nationale als auch das Recht der DBA knüpft für die Aufteilung der Besteuerungs-rechte zwischen verschiedenen Staaten traditionell an den Begriff der Betriebsstätte an
Definitionen/Rechtsgrundlagen:
Server: „Ein Server ist […] ein Computer, der Computerfunktionalitäten wie Dienstprogramme,Daten oder andere Ressourcen bereitstellt.“
Betriebsstätte:
„Jede feste Geschäftseinrichtung oder Anlage, die der Tätigkeit eines Unternehmens dient.“[§12 Satz 1 AO]
„Eine feste Geschäftseinrichtung, durch die die Geschäftstätigkeit eines Unternehmens ganzoder teilweise ausgeübt wird.“ [Art. 5 OECD Musterabkommen]
Die hohe Komplexität und die hohe Dynamik der Thematik führen zu vielen interessantensteuerlichen Aspekten bei Betriebsstätten
Handels- und steuerrechtliche Risiken des Cloud Computing
VII.1 ErtragsteuerrechtBesonderheiten von Server-Betriebsstätten
116
Oftmals kein Personal vor Ort
Oft ist der Server nur „gemietet“ (Bsp.: Amazon Web Services), was zu Besonderheitender Beurteilung führt [Art. 5 OECD-MK 2014, Rz. 42.3]
Eine Betriebsstättenbegründung benötigt aber nach bisheriger Vorstellung eineVerfügungsmacht in zeitlicher (Nachhaltigkeit) als auch physischer Hinsicht
Server haben eine physische und eine nicht-physische Komponente Nur die physischeKomponente kommt überhaupt als Betriebsstätte in Betracht [Art. 5 OECD-MK 2014, Rz. 42.2]
Verfügungsmacht über bestimmte körperliche Ressourcen fehlt bei Nutzung von „virtuellen“Server(-kapazitäten) oder der Cloud völlig
Im Rahmen von BEPS wurde daher z. B. auch diskutiert, den Begriff der Betriebsstättedeutlich auszuweiten („digitale Betriebsstätte“, „significant economic presence“)
Handels- und steuerrechtliche Risiken des Cloud Computing
VII.1 ErtragsteuerrechtSteuerliche Folgen einer Betriebsstätte (1/2)
117
Steuerliche Anknüpfungspunkte ergeben sich aus
§ 49 Abs. 1 Nr. 2a EStG Art. 7 OECD MA i. V. m. Art. 5 OECD MA
Begründung einer Betriebsstätteführt grundsätzlich zu
Besteuerungsrecht des Staates,in dem die Betriebsstätte liegt
Aber: Gewinnabgrenzung
Seit 2010: Authorized OECD Approach (AOA):
Einer Betriebsstätte werden die Gewinne zugerechnet, die sie als selbstständiges und unabhängigesUnternehmen unter Anwendung des Fremdvergleichsgrundsatzes hätte erzielen können
Gewinnzurechnung maßgeblich abhängig von „wesentlichen Personalfunktionen“da bei Server-Betriebsstätten in der Regel kein Personal vor Ort ist, findet konsequent keineGewinnzuordnung statt (gilt als großer Konzeptionsfehler des AOA)
Handels- und steuerrechtliche Risiken des Cloud Computing
VII.1 ErtragsteuerrechtAusländische Cloud-Anbieter im Inland
118
Fragestellung: „Begründet die Nutzung von Cloud Computingbereits eine Betriebsstätte in einem Land?
Infrastructure as a Service
Software as a Service
Platform as a Service
Keine klare Abgrenzung
Handels- und steuerrechtliche Risiken des Cloud Computing
VII.1 ErtragsteuerrechtFallkonstellationen
119
Besteuerung des InboundgeschäftsBesteuerung des Outboundgeschäfts
Datencenter/Serverfarmim Inland
Ausländischer Anbieter/Inländischer KundeInländischer Anbieter/Ausländischer Kunde
Datencenter/Serverfarmim Ausland
Datencenter/Serverfarmim Inland
Datencenter/Serverfarmim Ausland
Prozesse inländischer Kundeauf Cloud im Inland
Prozesse inländischer Kundeauf Cloud im Ausland
Prozesse ausländischer Kundeauf Cloud im Inland
Prozesse ausländischer Kundeauf Cloud im Ausland
Handels- und steuerrechtliche Risiken des Cloud Computing
VII.1 ErtragsteuerrechtOutboundfall – Datencenter/Serverfarm im Inland
120
Cloud-Anbieter
Deutschland Ausland
Kunde
Handels- und steuerrechtliche Risiken des Cloud Computing
VII.1 ErtragsteuerrechtOutboundfall – Datencenter/Serverfarm im Inland
121
Deutscher Cloud-Anbieter:
KSt- und Gewerbesteuerpflicht im Inland
Keine Betriebsstätte im Ausland, da Server im Inland
Risiko der Doppelbesteuerung bei Quellensteuerpflicht im Ansässigkeitsstaatdes Kunden
Ausländischer Kunde:
Ggf. Steuerpflicht im Inland wegen Server-Betriebsstätte im Inland
Risiko aus Haftungsschuld bei nicht ordnungsgemäß einbehaltener Quellensteuer
Quelle: Pinkernell (2016), Cloud Computing, DWS-Verlag.
Handels- und steuerrechtliche Risiken des Cloud Computing
VII.1 ErtragsteuerrechtOutboundfall – Datencenter/Serverfarm im Ausland
122
Cloud-Anbieter
Deutschland Ausland
Kunde
Handels- und steuerrechtliche Risiken des Cloud Computing
VII.1 ErtragsteuerrechtOutboundfall – Datencenter/Serverfarm im Ausland
123
Deutscher Cloud-Anbieter:
Serverzentrum im Ausland führt ggf. zu Betriebsstätte (§ 12 AO, Art. 5 Abs. 1 OECD-MA 2014)
Prüfung: Vorliegen einer Verfügungsmacht
Prüfung: Feste Geschäftseinrichtung, Unternehmenstätigkeit geht über bloße Hilfstätigkeit undreine Vermietungstätigkeit hinaus
Gewinnabgrenzung nach § 1 Abs. 5 AStG, Art. 7 Abs. 2 OECD-MA 2014 zwischen Stammhausund Betriebsstätte nach AOA („Significant People Function“).
Bei Stammhaus: Immaterielle Wirtschaftsgüter, Kundenbeziehungen etc.
Fremdvergleichspreis oder Zuschlagsmethode (i. d. R. cost-plus-method)
Ausländischer Kunde:
Keine Besonderheiten
Ggf. Pflicht zum Quellensteuereinbehalt prüfen
Quelle: Pinkernell (2016), Cloud Computing, DWS-Verlag.
Handels- und steuerrechtliche Risiken des Cloud Computing 124
VII.1 ErtragsteuerrechtInboundfall – Datencenter/Serverfarm im Inland
Cloud-Anbieter
Deutschland Ausland
Kunde
Handels- und steuerrechtliche Risiken des Cloud Computing
VII.1 ErtragsteuerrechtInboundfall – Datencenter/Serverfarm im Inland
125
Ausländischer Cloud-Anbieter:
Soweit Betriebsstätte vorliegt: Inländische gewerbliche Einkünfte gem. §§ 8 Abs.1 KStG,49 Abs. 1 Nr. 2 Buchst. a EStG i. V. m. § 12 S. 1 AO
Prüfung: Verfügungsmacht und Unternehmenstätigkeit (über Hilfstätigkeit hinaus)
Gewinnaufteilung nach dem Authorized OECD Approach (Art. 7 Abs. 2 OECD-MA 2014) wenn inländische Betriebsstätte auf technische Leistungen beschränkt, werthaltige immaterielleWG (Software, Kundenstamm etc.) im Ausland, in der Regel nur geringer Betriebsstättengewinn
Einer vollautomatischen „Serverbetriebsstätte” ohne Personal kann i. d. R. kein (wesentlicher)Gewinn zugeordnet werden
Prüfung: Vorliegen ggf. betriebsstättenloser gewerbliche Einkünfte bei Lizenzvergabe gem.§§ 8 Abs.1 KStG, 49 Abs. 1 Nr. 2 Buchst. f EStG prüfen (Details s. u.)
Inländischer Kunde:
Besonderheiten soweit Lizenzgebühren zugrunde liegen (Details s. u.)
Vergütungsschuldner ist zum Steuerabzug nach §§ 50a Abs. 1 Nr. 3 EStG verpflichtet, wenn er dieüberlassenen Rechte in einer inländischen Betriebsstätte oder Einrichtung verwertet (Details s. u.)
Quelle: Pinkernell (2016), Cloud Computing, DWS-Verlag.
Handels- und steuerrechtliche Risiken des Cloud Computing
VII.1 ErtragsteuerrechtExkurs – Nutzungsüberlassung von Sachen/Rechten
126
Ausländischer Cloud-Anbieter:
Nutzungsüberlassung von im Inland belegenen Sachinbegriffen
Betriebsstättenlose inländische gewerbliche Vermietungseinkünfte(§ 49 Abs. 1 Nr. 2f S. 1(aa) EStG)
Hardware scheidet aus, da Verfügungsmacht i. d. R. beim Cloud-Anbieter
Software kein Sachinbegriff, dazu keine Nutzung im Inland, soweit Software auf demausländischen Server des Cloud-Anbieters läuft
Überlassen von Rechten zur Nutzung, deren Verwertung in einer inländischen Betriebs-stätte erfolgt
Betriebsstättenlose inländische Einkünfte aus Gewerbebetrieb(§ 49 Abs. 1 Nr. 2f S. 1, 2 EStG)
Rechteüberlassung etwa gegeben, soweit inländischer Kunde Nutzungsrechtean separat geschützten Inhalten erlangt (Bsp.: Gestattung der Verwendung vonSprachwerken oder Bildern)
Quelle: Pinkernell (2016), Cloud Computing, DWS-Verlag.
Handels- und steuerrechtliche Risiken des Cloud Computing
VII.1 ErtragsteuerrechtInboundfall – Datencenter/Serverfarm im Ausland
127
Cloud-Anbieter
Deutschland Ausland
Kunde
Handels- und steuerrechtliche Risiken des Cloud Computing
VII.1 ErtragsteuerrechtInboundfall – Datencenter/Serverfarm im Ausland
128
Ausländischer Cloud-Anbieter:
Vermeidung der beschränkten Steuerpflicht durch Serverfarm im Ausland
Inländischer Kunde:
Unternehmensprozesse des inländischen Kunden werden auf ausländische Server verlagert
Damit Risiko der Doppelbesteuerung bei ungewollter Begründung einer Auslandsbetriebs-stätte nach § 12 AO
§ 12 S. 1 AO fordert jedoch feste Geschäftseinrichtung oder Anlage, über die der inländischeSteuerpflichtige Verfügungsmacht hat
Bloße Nutzung über SaaS erfüllt dies nicht, kein physischer Anknüpfungspunkt
Ausländische Betriebsstätte bei IaaS oder PaaS nur soweit dedizierter physischer Servergegeben, konkreter Server mit ausschließlichem Zugriff
Virtueller Server nicht ausreichend, da die Verfügungsmacht des physischen Servers weiterhindem ausländischen Cloud-Anbieter obliegt
i. d. R. keine ertragsteuerlichen Folgen beim inländischen Kunden
Quelle: Pinkernell (2016), Cloud Computing, DWS-Verlag.
Handels- und steuerrechtliche Risiken des Cloud Computing
VII.1 ErtragsteuerrechtFallkonstellationen* (Ergebniszusammenfassung)
Besteuerung des InboundgeschäftsBesteuerung des Outboundgeschäfts
Datencenter/Serverfarmim Inland
Ausländischer Anbieter/Inländischer KundeInländischer Anbieter/Ausländischer Kunde
Datencenter/Serverfarmim Ausland
Datencenter/Serverfarmim Inland
Datencenter/Serverfarmim Ausland
Cloud-Anbieter (Ausland) Betriebsstätte Inland? Server-Betriebsstätte! Gewinnabgrenzung Betriebsstättenlose
Einkünfte?
Kunde (Inland) Lizenzgebühren?
Cloud-Anbieter (Ausland) Vermeidung
beschränkteSteuerpflicht
Kunde (Inland) Auslandsbetriebsstätte? Server-Betriebsstätte! Risiko Doppel-
besteuerung Unterscheidung
SaaS/IaaS/PaaS
Prozesse inländischer Kundeauf Cloud im Inland
Prozesse inländischer Kundeauf Cloud im Ausland
Prozesse ausländischer Kundeauf Cloud im Inland
Prozesse ausländischer Kundeauf Cloud im Ausland
Cloud-Anbieter (Inland) KSt- und GewSt-
Pflicht im Inland Keine Betriebsstätte
im Ausland Risiko Doppel-
besteuerung
Kunde (Ausland) Server-Betriebsstätte!
Cloud-Anbieter (Inland) Betriebsstätte Ausland? Server-Betriebsstätte! Gewinnabgrenzung
Kunde (Ausland) Quellensteuer-
einbehalt?
* Typisierend wird auf Leistungserbringung durch eine ausländische Kapitalgesellschaftbzw. Einkünfte von Kapitalgesellschaften abgestellt.
129
Handels- und steuerrechtliche Risiken des Cloud Computing
Nutzer (inländischer Vergütungsschuldner) ist gem. § 50a Abs. 3 Nr. 1 EStG zum Steuer-abzug verpflichtet, falls
der Anbieter in Deutschland beschränkt steuerpflichtig ist…
…und es sich bei der Nutzung der Software um Lizenzgebühren für die Nutzung vonUrheberrechten (Lizensierung von Content, Nutzungsrecht an Cloud-Plattformsoftware)handelt
Aktuell gängigste Form von Onlinediensten sind die internetbasierte Nutzung von Softwareund Datenbanken Einräumung eines schuldrechtlichen Nutzungsrechtes und somit§ 49 Abs. 1 Nr. 2f EStG einschlägig
130
VII.1 ErtragsteuerrechtOnlinedatenbanken und Abzugssteuern
Erhebliche praktische Unsicherheiten, entscheidend könnte auch die konkrete Ausgestaltung derNutzungsvereinbarung im Einzelfall sein.
Steuerabzug darf ausnahmsweise unterbleiben, wenn der ausländische Cloud-Anbieter dem inländischen Kundeneine Freistellungsbescheinigung des BZSt gem. § 50d Abs. 2 S. 1 EStG vorlegt.
Handels- und steuerrechtliche Risiken des Cloud Computing 131
VII.2 UmsatzsteuerrechtLeistungsort
„Eine sonstige Leistung, die an einenUnternehmer für dessen Unternehmen ausgeführtwird, wird […] an dem Ort ausgeführt, von demaus der Empfänger sein Unternehmen betreibt.“(§ 3a Abs. 2 UStG, Art 44 MwStSystRL)
Innerhalb der EU: Reverse-Charge-Verfahren(§ 13b UStG, Art. 196 MwStSystRL)
Cloud-Leistung aus Drittland (Reverse-Charge)
Cloud-Leistung in Drittland (nicht steuerbar imInland, § 3a Abs. 2 UStG)
Grds. Ursprungslandprinzip bei B2C-Geschäften(§ 3a Abs. 1 UStG, Art. 45 MwStSystRL)ABER: Cloud-Leistungen sind elektronischerbrachte Dienstleistungen (§ 3a Abs. 5 UStG)unterliegen dem Bestimmungslandprinzip
Wohnsitz bzw. gewöhnlicher Aufenthaltsort desVerbrauchers maßgebend
In der Praxis häufig problematisch, daVerbraucher mobil
Wenn Leistungsort in einem anderen EU-Mitglied-staat oder in Drittländern dort steuerbar (überdortige steuerliche Pflichten informieren)
B2B B2C
Cloud-Leistungen sind sonstige Leistungen im Sinne des Umsatzsteuerrechts(§ 3 Abs. 9 S. 1 UStG), allerdings nur steuerbar, wenn der Leistungsort im Inland liegt
Quelle: Pinkernell (2016), Cloud Computing, DWS-Verlag.
Handels- und steuerrechtliche Risiken des Cloud Computing 132
VII.2 UmsatzsteuerrechtBesteuerungsverfahren
Im B2B-Geschäft gelten die allgemeinen Regelungen für sonstigeLeistungen
Bei Leistungserbringung durch inländischen Cloud-Anbieter aninländischen Unternehmer: USt-Ausweis offen in der Rechnung
Grundsätzlich 19%
Bei Einräumung urheberrechtlicher Nutzungsrechte 7%
Bei Leistungserbringung durch ausländischen Cloud-Anbieter(EU und Drittland) an Unternehmer mit Sitz im Inland: Reverse-Charge-Verfahren (§ 13b UStG)
Bei Leistungserbringung durch inländischen Cloud-Anbieter an Unternehmer mit Sitz im EU-Ausland: Reverse-Charge-Verfahren (§ 13b UStG, Art. 196 MwStSystRL)
Bei Leistungserbringung eines inländischen Cloud-Anbieters im Drittlandsgebiet: Umsatz inDeutschland nicht steuerbar (§ 3a Abs. 2 UStG); ggf. Registrierungspflicht im Drittland
Im B2C-Geschäft ist immer der leistende Unternehmer zur Ermittlung und Abführung derUmsatzsteuer verpflichtet
Quelle: Pinkernell (2016), Cloud Computing, DWS-Verlag.
Handels- und steuerrechtliche Risiken des Cloud Computing 133
VII.2 UmsatzsteuerrechtAktuelle Diskussion?!
Einseitige Geschäftsmodelle Mehrseitige Geschäftsmodelle
„Bezahlen mit persönlichen Daten“, Melan/Wecke (2015, DStR)
Verwendet ein Cloud-Anbieter die Nutzerdatenlediglich dazu, die entgeltliche Leistung zuoptimieren, liegt regelmäßig kein Leistungs-austausch mit dem Nutzer vor
Vielmehr handelt es sich um die bloße Beistellungvon Nutzerdaten
Entgeltlicher Leistungsaustausch liegt auch im Verhältnis zwischen dem Cloud-Anbieter und dem Nutzervor, weil der Anbieter eine vertragliche Gegenleistung in Form einer Nutzungsgestattung für die Daten erhält(„Bezahlen mit persönlichen Daten“)
Immense umsatzsteuerliche Auswirkung Bemessungsgrundlage würde sich deutlich vergrößern; danebenentstünde eine Steuererklärungspflicht im jeweiligen EU-Mitgliedsstaat des Verbrauchers (§ 3a Abs. 5 UStG)
Bisher weder Verwaltungsanweisung noch Rechtsprechung zum Thema. Aufmerksamkeit geboten!
Anbieten einer „kostenlosen“ Leistung undSammlung von Daten und Verwertung durchErbringung entgeltlicher Werbeleistungen(Monetarisierung von Nutzerdaten)
In der Praxis haben die Anbieter werbefinanzierterGeschäftsmodelle bisher nur ihre Umsätze mit denWerbekunden der USt unterworfen (B2B-Geschäft)
Handels- und steuerrechtliche Risiken des Cloud Computing
Für jedes DV-System muss eine übersichtlich gegliederte Verfahrensdokumentationvorhanden sein, aus der Inhalt, Aufbau und Ergebnisse des DV-Verfahrens vollständigund schlüssig ersichtlich sind
Die Verfahrensdokumentation muss verständlich und damit für einen sachverständigenDritten in angemessener Zeit nachprüfbar sein
Aus der Verfahrensdokumentation muss ersichtlich sein, wie die elektronischen Belegeerfasst, verarbeitet, ausgegeben und aufbewahrt werden (Belegfunktion)
Die Beschreibung des internen Kontrollsystems (IKS) ist Bestandteil der Verfahrens-dokumentation
IKS-Beschreibung als Grundlage für eine Prüfung nach IDW PS 951!
Die Verfahrensdokumentation besteht in der Regel aus einer allgemeinen Beschreibung,einer Anwenderdokumentation, einer technischen Systemdokumentation und einerBetriebsdokumentation
134
VII.3 Die GoBDVerfahrensdokumentation als „roter Faden“
Handels- und steuerrechtliche Risiken des Cloud Computing 135
VII.3 Die GoBDAnregung: Verknüpfung zwischen GoBD und dem Kontrollumfeld
Sicherstellung GoBD (Tax)-ComplianceSicherstellung GoBD (Tax)-Compliance
Sachlogischer Prozess
Anforderungen GoBD Kontrollumfeld!!!
Sicherstellung Kontrollziel/Kontrolle
Handels- und steuerrechtliche Risiken des Cloud Computing 136
VII.3 Die GoBDMustergliederung für eine Verfahrensdokumentation
Fachliche Beschreibung der Lösung
Relevante weitere Rechtsgrundlagen (außer HGB/AO/UStG) Aktenpläne, Dokumentenarten, Verarbeitungsregeln,
Aufbewahrungsfristen, Vernichtungsregelungen Belegbearbeitung, Belegfluss Prozessdokumentation
Einsatzgebiet und Aufgabenstellung
Aufbau- und Ablauf-Organisation der beteiligten Bereiche Fachliche Aufgabenstellung Mitarbeiterqualifikation
Technische Beschreibung der Lösung
Standorte des IT-Systems Hard- und Softwarekomponenten Datenbankmodelle Parameter-Einstellungen der Programme Technische Verarbeitungsregeln (Datenflüsse, Protokollierungen,
Ablaufpläne etc.) Vorgehensweise Datensicherung Benutzerverwaltung, Berechtigungskonzept Technischer Betrieb (Betriebsvoraussetzungen, Betriebsbedingungen,
Wartung) Vorbereitung Datenzugriff der Finanzverwaltung
Organisations- und Arbeitsanweisungen
Fachliche Prozesse/Standardbetrieb Administrative Prozesse Prozesse für Notfallserien (Restart, Recovery) Change-Management, Test und Abnahme inkl. Aktualisierung der
Verfahrensdokumentation
Kontrollmechanismus/IKS
Übergreifende Konzeption des internen Kontrollsystems Verantwortlichkeiten, Eskalationswege Verfahren zur Sicherstellung der Identität von Verfahrensdokumentation
und gelebter Praxis Verweise auf einzelne organisatorische und technische Kontrollen
Anhänge
Steuerrelevante IT-Anwendungen Steuerrelevante Daten und elektronische Dokumente
Handels- und steuerrechtliche Risiken des Cloud Computing
VII.4 Buchführung und AufbewahrungBuchführung und Aufbewahrung im Ausland (1/2)
Grundsatz: Bücher und Aufzeichnungen müssen im Inland geführt und aufbewahrt werden(§ 146 Abs. 2 S. 1 AO)
Aber: Finanzamt kann auf Antrag die Führung elektronischer Bücher und Aufbewahrungelektronischer Aufzeichnungen im Ausland bewilligen (§ 146 Abs. 2a S. 1 AO)
Der Steuerpflichtige ist gehalten, die steuerlichen Voraussetzungen in die Vertragsgestaltung mitdem Dienstleister einfließen zu lassen:
Aufbewahrungsort der Daten
Sicherstellung des Datenzugriffs sowie der Möglichkeit, Rechnungen per Fernabfrageeinzusehen
Sonderfall: Aufbewahrung von Rechnungen im Gemeinschaftsgebiet nach § 14b Abs. 4 UStGmöglich, wenn Online-Zugriff für zuständige Finanzbehörde sichergestellt
Quelle: Pinkernell (2016), Cloud Computing, DWS-Verlag.
137
Handels- und steuerrechtliche Risiken des Cloud Computing 138
EU-Ausland
Antrag nach § 146 Abs. 2a AOGrundsatz: Inland
E-Rechnung § 146 Abs. 2a AO
Drittland
§ 14b UStGOnline-Zugriff
VII.4 Buchführung und AufbewahrungBuchführung und Aufbewahrung im Ausland (2/2)
Handels- und steuerrechtliche Risiken des Cloud Computing
VII:5 Tax ComplianceAus aktuellem Anlass
Erkennt ein Steuerpflichtiger erst im Nachhinein die Fehlerhaftigkeit einer vonihm abgegebenen Erklärung
und kommt seiner Anzeige- und Berichtigungspflicht nach § 153 Abs. 1 AOunverzüglich nach:
Keine Steuerhinterziehung, noch leichtfertige Steuerverkürzung, wenn
weder Vorsatz, noch Leichtfertigkeit
BMF zu § 153 AO:
Hat der Steuerpflichtige ein innerbetriebliches Kontrollsystem eingerichtet
das der Erfüllung seiner steuerlichen Pflichten dient
kann dies ggf. ein Indiz darstellen, das gegen das Vorliegen eines Vorsatzesoder der Leichtfertigkeit sprechen kann
139
Handels- und steuerrechtliche Risiken des Cloud Computing
VII.5 Tax ComplianceKontrollen und Dokumentation im Zentrum
140
Kontrollen
TAX Compliance(§ 153 AO)
Dokumentation
Handels- und steuerrechtliche Risiken des Cloud Computing
Steuerliche Pflichten SteuerverantwortlichePersonen
Aufgabe der vollständigenund fristgerechten Erfüllung
steuerlicher Pflichten
Tax Compliance Managementsystem
UNTERNEHMEN
VII.5 Tax ComplianceInternes Kontrollsystem für Steuern
141
Handels- und steuerrechtliche Risiken des Cloud Computing 142
VII.5 Tax ComplianceEckpunkte
Erfüllunggesetzlicher
Anforderungen
Vermeidungsteuerlicher
Risiken
IndividuelleKonzepte
Prozess-dokumentation
Handels- und steuerrechtliche Risiken des Cloud Computing
VII.5 Tax Compliance3-Stufen Modell
143
1Prozessbezogene Kontrollen
Berichtswesen (Tax-Reporting), 4-Augenprinzip, IT-System-basierte Kontrollen (SAP etc.),Mitarbeiterschulungen, Schnittstellen
2 Compliance FrameworkOrganisationsanweisungen, Richtlinien, Tax Manual
3 AuditsInterne Revision, externer Auditor
Handels- und steuerrechtliche Risiken des Cloud Computing 144
Tax Manual
Zielsetzung
Aufbau- und Ablauforganisation
Qualifikation undWissensmanagement
Steuerliche Kernprozesse
Kontrollen
Steuerliches Risikomanagement
Tax-Revision
VII.5 Tax ComplianceTax Manual als Framework
Handels- und steuerrechtliche Risiken des Cloud Computing 145
Erfüllung Tax ComplianceErfüllung Tax Compliance
„Dokumentations-Rahmen“ (Tax Manual)
Anforderungen Tax Compliance Kontrollumfeld
Sicherstellung Kontrollziel/Kontrolle
VII.5 Tax CompliancePraktische Umsetzung
Handels- und steuerrechtliche Risiken des Cloud Computing 146
Fallstudie [7]
Die Cloud im Ausland
Handels- und steuerrechtliche Risiken des Cloud Computing 147
Fallstudie 7: Cloud Service im AuslandAusgangslage
München(DE)
Firmensitz
Oregon (USA)
Server
Basel (CH)
Server
Amsterdam (NL)
Dienstleistung in derCloud (IaaS/PaaS)
Buchhaltung
Handels- und steuerrechtliche Risiken des Cloud Computing 148
Fallstudie 7: Cloud Service im AuslandMögliche steuerliche Implikationen
Rechtsentwicklung steht noch am Anfang – im Zweifel vom Instrument der verbindlichen Auskunft(§ 89 Abs. 2 AO) Gebrauch machen => Tax Compliance beachten!
Betriebsstätte Steuerabzug Reverse-Charge-Verfahren
Risiko der Begründung einerBetriebsstätte
Virtueller Server nichtausreichend
i. d. R. keine ertragsteuer-lichen Folgen beiminländischen Kunden
Liegt der Leistungsort gem.§ 3a Abs. 2 UStG im Ausland,kommt innerhalb der EU dasReverse-Charge-Verfahren zurAnwendung
Handelt es sich bei derVergütung um Lizenz-gebühren (z. B. Nutzungs-recht an Cloud-Plattform-software) könnte derinländische Nutzer zumSteuerabzug gem. §§ 50aAbs. 1 Nr. 3 EStG, 73a Abs. 2EStDV verpflichtet sein
Handels- und steuerrechtliche Risiken des Cloud Computing 149
Fallstudie 7: Cloud Service im AuslandFallstricke aus handelsrechtlicher Sicht
Ländergrenzen und§§ 238 HGB ff.
Durch Verteilung über Ländergrenzen hinweg besteht das Risiko, dass dierechnungslegungsrelevanten Daten in Drittländern nicht nach Anforderungender §§ 238 ff. HGB gespeichert werden
…
§ 257 HGB beim IT-Outsourcing
Auch im Falle des IT-Outsourcings sind die Aufbewahrungspflichten des§ 257 HGB zu erfüllen
Risiken in Bezug auf Einhaltung der Aufbewahrungsdauern und Unveränder-lichkeit der Daten hier insbesondere durch Kontrollverlust beim Speicherort
Prüfhinweise
Prüfung, ob Sicherheits- und Ordnungsmäßigkeitsanforderungen durch denDienstleister eingehalten werden im Ausland komplex bis unmöglich
Beurteilung des internen Kontrollsystems des Dienstleistungsunternehmensnebst Verfahrensdokumentation ebenfalls sehr komplex im Ausland
Grundsätzlich unterscheiden die Regelungen bezüglich Outsourcing nicht zwischen Ausland undInland. Andere Gegebenheiten und räumliche Distanz tragen aber zu massiver Komplexität bei.
Handels- und steuerrechtliche Risiken des Cloud Computing
Fazit
Cloud Computing wird mit zunehmender „Digitaler Transformation“sowie stetigem Kostendruck trotz bestehender Risiken weiter anBedeutung gewinnen
Der IDW RS FAIT 5 konkretisiert die Anforderungen der §§ 238,239 und 257 HGB bezüglich des Führens von Handelsbüchernmittels IT-gestützter Systeme, welche bei der Auslagerung vonrechnungslegungsrelevanten Prozessen und Funktionen entstehen
Der IDW RS FAIT 5 ist stets im Kontext insbesondere zu denIDW PS 331, 330 und 951 sowie den IDW RS FAIT 1 und 3 zubetrachten
Cloud Computing wird auch den Berufsstand der Wirtschaftsprüferverändern …
150
Handels- und steuerrechtliche Risiken des Cloud Computing 151
Vielen Dank für Ihre Aufmerksamkeit
Peters, Schönberger & PartnerRechtsanwälte Wirtschaftsprüfer SteuerberaterSchackstraße 280539 MünchenTel.: +49 89 3 81 72 - 0Fax: +49 89 3 81 72 - 204E-Mail: [email protected]: www.psp.eu
Stefan Groß[email protected]
Referent