Hamburg (Gastbeitrag von Detlef Schmuck, TeamDrive) – Über 80 Prozent der deutschen Wirtschaft hat die Datenschutz-Grundverordnung (DSGVO) nur mangelhaft oder unvollständig umgesetzt. Dies hat eine aktuelle Studie des Hamburger Sicherheitsunternehmens TeamDrive beinahe ein Jahr nach Inkrafttreten der DSGVO im Mai 2018 zutage gefördert.
Laut Studie, die auf einer Umfrage unter 100 überwiegend mittelständischen Firmen beruht, vertreten 20 Prozent der befragten Fach-und Führungskräfte die Auffassung, dass nur die Hälfte der Unternehmen die Anforderungen der DSGVO vollständig erfüllt. Gut ein Viertel geht davon aus, dass lediglich jedes dritte Unternehmen den Vorschriften zum Schutz personenbezogener Daten in vollem Umfang nachkommt. Laut einem Drittel der Befragten erfüllen lediglich 20 Prozent der Unternehmen in Deutschland die Datenschutz-Grundverordnung vollständig, so dass eine Überprüfung keine gravierenden Sicherheitslücken aufdecken würde.
Doch Abhilfe ist dringend geboten. Firmen, die in diesem Jahr die DSGVO immer noch nicht umgesetzt haben, müssen mit empfindlichen Strafen und persönlicher Haftung von Vorstand, Geschäftsführer und IT-Verantwortlichen rechnen. Die Datenschutz-Grundverordnung sieht Strafzahlungen bis zu vier Prozent des Umsatzes oder bis zu 20 Mio. Euro vor, die auf Unternehmen zukommen können, die die gesetzlichen Vorgaben nicht ernst nehmen. Die ersten Bußgelder wegen Verstößen gegen die DSGVO wurden bereits 2018 fällig, allerdings noch unter 100.000 Euro, weil man bislang von einer Übergangszeit ausgegangen war. Diese Zeit ist um, wer sich 2019 erwischen lässt, wird ordentlich in die Firmenkasse langen müssen.
Sicherheit ist mehr als Datenschutz
Der Datenschutz liegt auch deshalb bei vielen Unternehmen noch im Argen, weil sie ihn nur als einen Gesichtspunkt unter vielen Sicherheitsüberlegungen betrachten. So legt die TeamDrive-Studie den Schluss nahe, dass der Wirtschaft der Schutz ihrer eigenen IT-Infrastruktur etwa vor Hackerangriffen deutlich wichtiger ist als die gesetzestreue Beachtung des Datenschutzes. Lediglich ein Drittel meint, dass die DSGVO die digitale Welt sicherer gemacht hat. Über die Hälfte (52 Prozent) der kontaktierten Fach- und Führungskräfte hat die Frage „Wie sicher sind Daten in Deutschland?“ mit „nicht wirklich sicher“ oder gar „unsicher“ beantwortet. Nicht einmal die Hälfte (44 Prozent) der Befragten schätzt, dass die DSGVO die IT-Sicherheit maßgeblich erhöhen wird. 38 Prozent schreiben dem umfangreichen Datenschutz gemäß DSGVO immerhin einen leichten Beitrag zur Stärkung der IT-Sicherheit zu. Zudem meinen zwei Drittel, dass die Unternehmen seit der Einführung der DSGVO vor rund einem Jahr stärker als zuvor auf Maßnahmen zur IT-Sicherheit achten. Indes vertreten 71 Prozent die Auffassung, dass IT-Sicherheit vor allem von staatlicher Seite gewährleistet werden muss. Rund 60 Prozent halten IT-Sicherheit eher für ein politisches als ein technisches Problem. Mehr als drei Viertel (76 Prozent) der befragten Fach- und Führungskräfte gehen auf jeden Fall von weiterhin steigenden Investitionen der Wirtschaft in IT-Sicherheit aus.
Ende-zu-Ende-Verschlüsselung ist der Kern
Als die mit Abstand wichtigste Maßnahmen zur Stärkung der Datensicherheit auf Seite der Unternehmen nennt die Studie die Ende-zu-Ende-Verschlüsselung. Sie bildet den Kern einer Sicherheitsarchitektur. 60 Prozent der Befragten vertreten die Auffassung, dass die lückenlose Verschlüsselung bei der Datenübertragung am ehesten die Sicherheit gewährleistet. Voraussetzung hierfür ist allerdings gleichzeitig der Einsatz eines Zero-Knowledge-Systems, bei dem auch die firmeninternen Computer- und Softwaresysteme den Verschlüsselungscode nicht kennen, meint über ein Drittel (34 Prozent). Selbst wenn Daten aus welchen Gründen auch immer in fremde Hände geraten, sind sie aufgrund der Verschlüsselung wertlos. Wichtig ist, dass nicht einmal der Anbieter selbst die Daten entschlüsseln kann, so dass eine versehentliche oder absichtliche Weitergabe lesbarer Daten unter keinen Umständen möglich ist, nicht einmal an Behörden.
Beinahe die Hälfte (48 Prozent) setzt zudem auf die sogenannte Zwei-Faktor-Authentifizierung: Hierbei benötigt jeder Datenzugriff eine Bestätigung über ein zweites Gerät; beispielsweise ist neben dem Passwort am Rechner noch eine PIN-Bestätigung per Smartphone notwendig.
Bei allem Bewusstsein für Datenschutz und Sicherheit halten über die Hälfte der Befragten (56 Prozent) die mit der DSGVO eingeführten Strafanforderungen bei Verletzungen des Datenschutzes für unangemessen hoch. Die Unternehmen sind bereit, in IT-Sicherheit zu investieren, wobei der Datenschutz nur ein Aspekt neben weiteren Überlegungen darstellt. Die Wirtschaft erwartet jedoch im Gegenzug, dass der Staat ebenfalls seine Verantwortung für die IT-Sicherheit wahrnimmt statt von den Unternehmen bei häufig nur geringfügigen Verstößen übermäßig abzukassieren.
GoBD ebenso wichtig wie DSGVO
Während die DSGVO schon seit 2018 in aller Munde ist, scheint ein anderes Kürzel – GoBD – in vielen Firmen noch unbekannt – obgleich es schon vier Jahre alt und mindestens genauso wichtig ist. Das Bundesministerium für Finanzen (BFM) hat bereits 2014 neue „Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“ (GoBD) festgelegt, die seit dem Veranlagungsjahr 2015 gelten. Die GoBD schreibt ein ordnungsmäßiges digitales Rechnungswesen inklusive aller vor- und nebengelagerten IT-Systeme vor. Betroffen sind daher nicht nur Buchhaltungsprogramme, sondern beispielsweise PC-Kassen-, Warenwirtschafts-, Fakturierungs-, Messwaagen-, Kostenrechnungs-, Zeiterfassungs- und Dokumentationsmanagementsysteme.
GoBD-Konformität ist geltendes Recht
Bei gravierenden Verstößen gegen die GoBD sind die Finanzbehörden angehalten, die Besteuerungsgrundlagen zu schätzen. Insbesondere die mittelständische Wirtschaft ist auf die digitale Betriebsprüfung durch die Finanzbehörden kaum gefasst. Bislang wurden bei Betriebsprüfungen nämlich nur die reinen Buchhaltungsdaten geprüft. Auf eine Prüfung der Daten aus den Vor- und Nebensystemen sind die meisten Unternehmen nicht vorbereitet: Viele können diese Daten in der geforderten Form den Finanzbehörden nicht zur Verfügung stellen. Zudem haben viele mittelständische Unternehmen noch akuten Nachholbedarf beim Aufbau eines angemessenen internen Kontrollsystems (IKS) und der Verfahrensdokumentation der eingesetzten IT-Systeme, alles auch geltende Anforderungen der GoBD.
Die Folgen der „digitalen Steuerfalle“ können verheerend und sogar existenzbedrohend sein: Stellen die Betriebsprüfer GoBD-Mängel fest, können sie daraus Zuschätzungen zu den bisher vom Unternehmen ermittelten Ertrags- und Umsatzsteuern ableiten – also die Steuerbelastung nachträglich erhöhen.
Die Finanzbehörden haben bereits begonnen, Spezialisten einzusetzen, die bei Betriebsprüfungen die betroffene Software gezielt auf Schwachstellen bezüglich der neuen GoBD abklopfen. Wichtig: Die Unternehmen, die Software nutzen, sind selbst verantwortlich für die Einhaltung der GoBD und damit für die Ordnungsmäßigkeit der zur Buchführung eingesetzten Softwareprodukte. Sie können die Verantwortung also nicht auf die Hersteller abschieben.
Eile ist geboten
Eile ist geboten: Die seit 2015 laufende Schonfrist wird mit dem Jahreswechsel 2019/2020 ablaufen. Dann werden die Finanzbehörden strikt auf die GoBD-Konformität achten. Wer IT-Systeme im Einsatz hat, die diesen Anforderungen nicht genügen, muss mit empfindlichen Steuernachzahlungen rechnen. Dazu gehört auch das gesamte Datei- und Dokumentenmanagement im Unternehmen, sofern Angebote, Kalkulationen, Leistungsnachweise, Abrechnungen oder andere Informationen, die Einfluss auf die Gewinn- und Verlustrechnung des Unternehmens haben können, betroffen sind.
Also: DSGVO und GoBD beachten – das ist die Devise!
Der Autor Detlef Schmuck ist geschäftsführender Gesellschafter der TeamDrive GmbH, die er aus dem Bestreben heraus gegründet hat, der deutschen Wirtschaft ein Maximum an IT-Sicherheit und IT-Rechtskonformität zur Verfügung zu stellen. So gilt TeamDrive heute als besonders sichere Sync&Share-Software made in Germany für das Speichern, Synchronisieren und Sharing von Daten und Dokumenten. Die TeamDrive GmbH ist ein zu 100 Prozent deutsches Unternehmen und alle Daten werden auf Servern in Deutschland gehalten, so dass TeamDrive-Anwender von der unsicheren US-Gesetzgebung nicht betroffen sind. Losgelöst davon gewährleistet bei TeamDrive eine durchgängige Ende-zu-Ende-Verschlüsselung, dass nur der Anwender selbst die Daten lesen kann – weder der Anbieter noch irgendeine Behörde auf der Welt ist in der Lage, die Daten zu entschlüsseln. Mit GoBD-Konformität setzt TeamDrive diese strikte Ausrichtung an den höchsten Datenschutz-, Sicherheits- und Rechtsnormen der Bundesrepublik Deutschland und der Europäischen Union fort. Diese technische und rechtsverbindliche Sicherheit wissen über 500.000 Anwender und mehr als 5.500 Unternehmen aus allen Branchen zu schätzen, von der Industrie über das Gesundheitswesen sowie Wirtschafts- und Steuerberatung bis hin zur öffentlichen Verwaltung. TeamDrive unterstützt Windows, Mac OS, Linux, Android und iOS.
