SOC 3 erleichtert Vergleich von Cloud-Providern
Der amerikanische Verband der Wirtschaftsprüfer (AICPA) hat mit "SOC 3" eine Zertifizierung auf Basis von Cloud-spezifischen Anforderungen ("SysTrust/WebTrust") entwickelt, die Unternehmen einen Vergleich von Providern auf Basis eines transparenten Katalogs an Kriterien gewährt. Provider haben zusätzlich die Möglichkeit, mit einem einheitlichen Siegel auf ihrer Internetseite zu werben.
SOC 3 ist eine Weiterentwicklung des international anerkannten ISAE 3402- (ehemals SAS 70-) Standards. Dieser international verbreitete Standard bildet die Grundlage für die Beurteilung der Sicherheit und Ordnungsmäßigkeit von IT-Prozessen eines Cloud Providers. Im Rahmen der Zertifizierung werden die in Prozessen bestehenden Kontrollen hinsichtlich ihrer Ausgestaltung und Wirksamkeit untersucht. Unter der Annahme, dass sinnvoll implementierte Kontrollen zu einem korrekten Prozessergebnis führen, stiftet SOC 3 Vertrauen, dass ein Provider die Anforderungen an Verfügbarkeit, Integrität, Vertraulichkeit etc. in der Cloud erfüllt.
Rechnungslegung und Cloud Computing – passt das zusammen?
Weitere Pflichten treffen das Unternehmen bei den Anforderungen zur ordnungsgemäßen Rechnungslegung. Für Software, die zur Finanzbuchhaltung eingesetzt wird, gelten seitens der deutschen Finanzverwaltung die Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS). Die sehen vor, dass Daten vollständig und nachvollziehbar verarbeitet und unveränderlich archiviert werden.
Zusätzlich sind die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) zu beachten, die etwa Regeln zur Aufbewahrung von Rechnungen im Sinne des Umsatzsteuergesetzes (UStG) enthalten. Bei steuerrechtlich relevanten Daten greift zusätzlich die Abgabenordnung (AO), die grundsätzlich eine Datenhaltung in Deutschland vorsieht. Einer Verlagerung ins Ausland stimmt die Finanzverwaltung nur auf Antrag zu. Das sind Regeln, die auch in der Cloud gelten.
Ein Unternehmen, das seine Finanzbuchhaltung künftig mit einem Cloud Service abwickeln will, muss sicherstellen, dass diese Anforderungen entsprechend erfüllt werden. Auch hier geben Formen der Zertifizierung durch unabhängige Dritte Orientierung. Hierzu hat das Institut für Wirtschaftsprüfer in Deutschland e.V. (IDW) im Jahr 2010 den Prüfungsstandard PS 880 veröffentlicht. Nach Prüfung von vorher individuell festgelegten Kriterien testiert der Wirtschaftsprüfer einem Cloud-Provider damit etwa die Ordnungsmäßigkeit und Sicherheit rechnungslegungsbezogener Funktionen in seinen Services.
- Rechnungsprogramme aus der Cloud
Das gesamte Rechnungswesen lässt sich preiswert mittels Cloud-Service erledigen. Computerwoche stellt die besten Dienste für KMUs vor. - Billomat
Mit Billomat erstellen Sie einfach und schnell Rechnungen. Der Anbieter empfiehlt den „Tarif M“. Dieser kostet neun Euro pro Monat. Sie können bis zu 50 Dokumente verwalten und erhalten unbegrenzten Speicherplatz sowie unbegrenzte Nutzerzahlen. - e-conomic invoice
Beim Angebot „Small Business“ von e-conomic invoice können Sie maximal 4.000 Transaktionen pro Jahr realisieren. Der Dienst kostet 20 Euro monatlich und beinhaltet zusätzlich einen kostenlosen Steuerberaterzugang. - Easybill.de
Der „Plus“-Dienst bei Easybill.de kostet 19 Euro pro Monat. Für den Preis erhalten Nutzer eine unbegrenzte Anzahl an Dokumenten und Kunden. Zusätzlich gibt es eine Zeiterfassung und ein kostenloses Designpaket für Logo und Briefpapier. - Fastbill
Die Paketvariante „Plus“ von Fastbill können Sie für 19 Euro im Monat erwerben. Drei Benutzer können eine unbegrenzte Anzahl von Kunden, Produkte, Dokumente und Eingangsrechnungen erstellen. Die Online-Rechnung wird in Form eines Links per E-Mail verschickt und muss heruntergeladen werden. - Fortrabbit WebRechnung
WebRechnung von Fortrabbit gibt es als kostenlosen Einsteigertarif. Im Moment pausiert die Weiterentwicklung des Dienstes und dies soll laut Anbieter der Grund für das ungewöhnliche Angebot sein. Der Postversand ist kostenpflichtig. - LexLive
Lexware stellt den Cloud-Dienst LexLive zur Verfügung. Für 4,99 Euro monatlich wird der Anwender Schritt für Schritt durch die einzelnen Prozesse geführt und erhält bei fehlerhafter Eingabe Warnhinweise. - online-rechnungen.de
Bei online-rechnungen.de kostet der „Business Tarif“ 14 Euro pro Monat. Nutzer können unbegrenzt Rechnungen, Kundendatenbanken und Artikel erstellen. Zusätzlich gibt es SSL-Verschlüsselung, die Möglichkeit via Mausklick aus der Bestellung eine Rechnung zu generieren und gegen einen Aufpreis können im Monat 20 Frei-Signaturen verwendet werden.
Fazit: Juristische Anforderungen an Cloud-Provider und -Nutzer
Der Einsatz von Cloud Computing ist rechtlich zwar nicht unproblematisch. Doch die Anforderungen an die Unternehmen sind kein unüberwindbares Hindernis. Sie sollten gemeinsam mit dem Cloud-Provider eigene Lösungen entwickeln, um das Potenzial des Cloud Computings zu nutzen. Wichtig ist, dass die Unternehmen für die Anforderungen sensibilisiert sind. Ein Standard, der alle zu berücksichtigenden Vorgaben abdeckt, wäre zu begrüßen.
Dies wird durch die beschriebene Vielfalt rechtlicher und branchenspezifischer sowie regulatorischer Anforderungen allerdings schwierig. Manche Provider gehen deshalb dazu über, sich deren jeweilige Einhaltung in Prüfungen und Stellungnahmen unabhängiger Dritter bestätigen zu lassen. Alle in diesem Artikel empfohlenen Standards und Leitfäden sind wichtige und anerkannte Hilfestellungen, die man im jeweiligen Anwendungsbereich zur Einhaltung der regulatorischen Vorgaben in Anspruch nehmen sollte. Eine individuelle, auf den jeweiligen Bedarf des Nutzers zugeschnittene Lösung beinhalten solche generellen Standards per se jedoch nicht. (wh)