Zum Inhalt springen

Sie sind hier:

Risiken und Rahmenbedingungen aktueller Cloud-Projekte

In vielen Unternehmen wird derzeit über eine Auslagerung des IT-Betriebs oder von IT-Anwendungen nachgedacht. In diesem Zusammenhang wird in aller Regel auch eine Nutzung von Cloud-Dienstleistungen in Betracht gezogen.

 

Cloud-Projekte sind komplex und nicht ohne Risiken. Zu deren Bewältigung ist eine systematische Vorgehensweise unerlässlich. Nachstehend werden typische Risiken und Anforderungen im Zusammenhang mit Cloud-Verfahren dargestellt, die bei Cloud-Projekten berücksichtigt werden müssen.

Rechtliche Anforderungen bei Cloud-Projekten

Rechtsrahmen

Die gesetzlichen Ordnungsmäßigkeitsanforderungen nach Handels- und Steuerrecht und die damit verbundenen Anforderungen an die Sicherheit der IT-gestützten Rechnungslegung gelten uneingeschränkt auch bei Cloud Computing.

Dies betrifft sämtliche Phasen der Auslagerung, einschließlich der Beendigung der Dienstleistung (vgl. im Einzelnen Stellungnahme des Instituts der Wirtschaftsprüfer in Deutschland e.V. (IDW) zur Rechnungslegung: Grundsätze ordnungsmäßiger Buchführung bei Auslagerung von rechnungslegungsrelevanten Prozessen und Funktionen einschließlich Cloud Computing (IDW RS FAIT 5), IDW Fachnachrichten 01/2016, S. 35 ff., im Folgenden „IDW RS FAIT 5“, Tz. 19 f.).

Darüber hinaus sind weitere Rechtsvorschriften zu beachten, insbesondere das Datenschutzrecht.

Wesentliche Rechtspflichten

Insbesondere sind die folgenden Rechtspflichten bei in der Cloud betriebenen Rechnungslegungssystemen zu erfüllen:

  • Einhaltung der Grundsätze ordnungsmäßiger Buchführung einschließlich der handels- und steuerrechtlichen Aufbewahrungspflichten,
  • Sicherstellung des Prüfungs- und Datenzugriffsrechts der Finanzverwaltung,
  • Aufbewahrung elektronischer Rechnungen nach den Vorgaben von § 14b Umsatzsteuergesetz (UStG),
  • Gewährleistung der Prüfungs- und Zugriffsrechte der Zollverwaltung,
  • Beachtung der Pflichten nach Telemediengesetz,
  • Berücksichtigung datenschutzrechtlicher Anforderungen, insbesondere Abschluss einer Auftragsdatenvereinbarung entsprechend Datenschutz-Grundverordnung/Bundesdatenschutzgesetz (DSGVO/BDSG).

Verantwortung des Managements

Die gesetzlichen Vertreter des auslagernden Unternehmens bleiben auch nach der Auslagerung von IT-Anwendungen und Daten für die Einhaltung gesetzlicher Anforderungen verantwortlich.

Dies gilt auch für die Einrichtung und Aufrechterhaltung der Wirksamkeit des internen Kontrollsystems im Cloud-Betrieb. Hierfür hat sich die Nutzung kontrollbezogener Rahmenwerke bewährt (z. B. CoBIT, COSO, ISO/IEC 27001). Eine beanstandungsfreie Prüfung solcher Kontrollen durch einen Wirtschaftsprüfer kann zum vollständigen Nachweis eingehaltener Kontrollpflichten des Managements führen.

Verlagerung der steuerlichen Buchführung in das Ausland

Gemäß § 146 Abs. 2a Abgabenordnung (AO) kann die steuerrechtliche Buchführung ganz oder teilweise in das Ausland verlagert werden.

Voraussetzungen sind:

  • Mitteilung des Standorts des Cloud-Systems an die Finanzverwaltung,
  • Erfüllung der steuerlichen Mitwirkungspflichten in der Vergangenheit,
  • Einhaltung der Grundsätze ordnungsmäßiger Buchführung (GoB) durch das in der Cloud betriebene Verfahren bzw. die dort betriebenen IT-Anwendungen,
  • Gewährleistung des Datenzugriffsrechts der Finanzverwaltung nach § 147 Abs. 6 AO,
  • keine Beeinträchtigung der Besteuerung durch die Auslagerung.

Betriebswirtschaftliche und organisatorische Anforderungen

Die Auslagerung von IT-Anwendungen und Daten in eine Cloud-Umgebung stellt i. d. R. ein komplexes Projekt dar. Dies gilt auch dann, wenn der Cloud-Dienstleister in die Projektabwicklung eingebunden ist (z. B. über sog. Cloud Enabling-Dienstleistungen).

In den einzelnen Projektphasen sind vor allem die folgenden Aufgaben umzusetzen:

  • In der Vorbereitungsphase sind die auszulagernden Prozesse und Funktionen, die geplante Aufteilung von Rollen und Aufgaben zwischen auslagerndem Unternehmen und Dienstleister (Aktivitätensplit) und die im auslagernden Unternehmen verbleibenden Aufgaben (Retained Organization) zu definieren und hinsichtlich verbundener Risiken zu bewerten.
  • Darüber hinaus müssen neben den fachlichen Anforderungen die Ordnungsmäßigkeits- und Sicherheitsanforderungen definiert bzw. zugeordnet werden, die durch die im Cloud-Environment betriebenen Prozesse und Anwendungen eingehalten werden müssen.
  • Für die Definition der Kontrollen, die für die Cloud-Verfahren erforderlich sind, empfiehlt sich eine risikoorientierte Vorgehensweise, bei der identifizierten Risiken geeignete Kontrollen gegenübergestellt werden (Risiko-Kontroll-Matrix). Dies gilt sowohl für die Kontrollen beim Cloud-Dienstleister als auch für die beim auslagernden Unternehmen verbleibenden Kontrollen (korrespondierende Kontrollen).
  • Für eine effiziente Projektrealisierung kommt es in besonderem Maße darauf an, dass die relevanten fachlichen Anforderungen und Kenntnisse über IT-Prozesse und Funktionen auf der Grundlage einer anforderungsgerechten Projekt-Governance zur Verfügung stehen. Erforderlich ist ein Projektteam, in dem die genannten Kenntnisse repräsentiert sind. Darüber hinaus empfiehlt sich der Einsatz von Analyse-, Dokumentations- und Projektmanagement-Werkzeugen.
Zurück zur Übersicht
Zurück zum Seitenanfang