Backupstrategie

[ggoelles]

Gemäß §7 Abs 3 RKSV ist das DEP auf einem externen Medium unveränderbar zu speichern. Wir bieten in diesem Zuge die Möglichkeit das DEP in einem Cloud-Speicher, der revisionssicher ist, abzulegen. Wie sieht es mit Kunden aus, die die Daten nur auf USB-Sticks aufbewahren bzw. nur lokal sichern? Was genau gilt als "unveränderbar" iSd RKSV?

[ErichFreitag]

Zu diesem Thema bitte die bereits vorhandenen Issues lesen. USB-Stick gilt grundsätzlich als externes Medium.

[ggoelles]

Danke, den Issue kenne ich. Mir geht es um den Begriff der Unveränderbarkeit.

[HeinziAT]

Dazu gibt es eine Klarstellung im Erlass des BMF, Punkt 3.2.1.4.

[eczach]

so klar ist das leider eben nicht :-)

[HeinziAT]

Und was genau ist unklar, vor allem nach der Lektüre von Issue 305?

(Und dass eine lokale Sicherung kein "externes Medium" ist, ist, glaube ich, offensichlich.)

[eczach]

das ist eh klar. aber was ist gemäß 3.2.1.4. eine schreibgeschützte externe festplatte oder usb-stick? oder eine abgeschlossene festplatte? ist das technisch oder organisatorisch (=wegsperren des usb-sticks) zu verstehen? im gesetz steht unter §7(3) keineswegs etwas über abgeschlossen oder schreibgeschützt. in der zusammenfassung der WKO vom 8.08.2016 zu den neuerungen im erlass steht geschrieben:

"Die Unveränderbarkeit der quartalsweisen Sicherung ist bereits durch die Signaturverkettung gegeben, es sind also nicht etwa WORM-Datenträger etc. zu verwenden."

hat jemand in der runde einen ansatz wie diese (sehr sinnvolle und vielen das leben leichter machende) aussage nachgeprüft und seitens des BMF verifiziert werden kann? in den communities der WKO erhalte ich bislang leider keine reaktion, deshalb "offtopic" hier.

[AxelKutschera]

Die wichtigsten Maßnahmen sind, dass

• die Daten vom Steuerpflichtigen nicht verändert werden können = Belegverkettung
• die Daten vom Steuerpflichtigen nicht gelöscht werden können = einmal beschreibbarer Datenträger (abgeschlossene) externe Festplatte, USB-Stick und Speicher externer Server, die vor unberechtigten Datenzugriffen geschützt sind.

[eczach]

danke für die zusammenfassung! ein datenträger, der in besitz eines steuerpflichtigen ist (sei es ein elektronischer datenträger oder dokumente in papier), kann immer vom steuerpflichtigen gelöscht werden: wie einpapier verbrannt werden kann, kann ein einmal beschreibbarer datenträger etc. einfach zerstört werden. ich verstehe deshalb deshalb nicht den unsinnigen wunsch nach einem "einmal beschreibbaren datenträger." (was immer auch eine abgeschlossene festplatte sein sollte). die unveränderbarkeit ist durch die verkettung gegeben, der steuerpflichtige hat die verpflichtung alle daten des DEP zumindest vierteljährlich zu sichern und dafür sorge zu tragen, dass die daten über den behaltezeitraum vollständig vorhanden sind. (genauso wie der steuerpflichtige seine papierdokumente nicht auch einfach shreddern darf - er muss sie nicht eingiessen lassen und einem treuhänder übergeben). wie kann diese frage mit dem BMF geklärt werden?

[Scaenicus]

Abgeschlossene Festplatten und andere Verfahren finden Sie unter dem Begriff "WORM" (write once read multiple): https://de.wikipedia.org/wiki/WORM

Zerstört können die Daten auf WORMs werden, aber sie können weder durch Nutzerfehler, Softwarefehler, oder Schadsoftware unbemerkt verändert werden. Die Zeiten scheinen zwar vorbei zu sein, aber ich kann mich gut an durchdrehende "Optimierungs"-programme und Virenscanner erinnern, die Daten in Archiven korrumpieren.

Die Analogie zum Papier wäre ein geeigneter Aktenschrank mit Ordnern: Sie stellen die Akten ja auch nicht offen und ungebunden zum Haupteingang, wo jeder absichtlich, oder versehentlich, Blätter verschmutzen, oder verwehen kann. - Eine normale Festplatte ist aber genau das für alle Programme am Kundenrechner.

[HeinziAT]

Ich stimme zu, dass die Bezeichnung "abgeschlossene externe Festplatte" mehr verwirrt, als klärt.

Die Intention scheint mir jedoch klar zu sein: Es geht darum, die Sicherung gegen Überschreiben zu schützen, entweder durch organisatorische Maßnahmen (z.B. Abstecken vom PC und sorgfältiges Verwahren eines USB-Sticks) oder durch technische Maßnahmen (externe Festplatte oder externe Server, die technisch gegen Überschreiben geschützt sind).

Sinn ist wahrscheinlich (das ist jetzt meine persönliche Spekulation), dass sich der Steuerpflichtige nicht darauf ausreden kann, dass ein Kryptovirus o.ä. alle seine DEP-Sicherungen überschrieben hat - wie das z.B. bei einer "normalen" externen Festplatte, die immer angesteckt ist, leicht der Fall sein kann.

Insofern wird eigentlich nichts anderes gefordert als ein "sorgfältiges Backup": Ein lokales Backup oder ein Backup auf eine dauerhaft verbundene, nicht gegen Überschreiben gesicherte externe Platte ist eben kein sorgfältiges Backup, unabhängig davon, ob ich das DEP oder die Familienfotos darauf sichere.

[eczach]

es geht also um den schutz vor "unberechtigten" datenzugriffen und eine "abgeschlossene" festplatte ist das gegenteil einer "angeschlossenen" festplatte? die forderung nach einem "sorgfältigen backup" und geeigneter organsiatorischer datensicherungsmaßnahmen ist verständlich und sinnvoll - die formulierung im erlass eben nicht sehr glücklich.

[HeinziAT]

Stimmt, so betrachtet würde die Formulierung "abgeschlossene Festplatte" sogar irgendwie Sinn ergeben. :-)

[Chriso07]

Meine Empfehlung: schauen wir ins Gesetz (BAO, § 131 Abs 5): (5) Der Bundesminister für Finanzen kann durch Verordnung festlegen: 1.Einzelheiten zur technischen Sicherheitseinrichtung, zur Signatur- bzw. Siegelerstellungseinheit, zur kryptografischen Signatur bzw. zum kryptographischen Siegel, sowie zu anderen, der Datensicherheit dienenden Maßnahmen,

Da wird klar, dass die RKSV zu weit geht mit der Forderung, dass das dreimonatige Backup "unveränderbar" sein muss. Dies erhöht überhaupt keine Datensicherheit und ist daher gesetzwidrig verordnet. Oder anders: Backup alle drei Monate auf einem USB passt.

[eczach]

würde das auch so verstehen. schön wäre es eine bestätigung seitens des finanzministeriums zu erhalten. habe die frage deshalb auch in das forum der wko gepostet - leider ohne reaktion seitens aller und somit auch von repräsentanten der FA, die sonst in dem forum doch immer auch geantwortet haben. auf direkte mailanfrage an die wko in bezug auf ein mail der wko zum rksv-erlass habe ich erhalten: ja, die Aussage ist begründet durch den Erlass: siehe 3.2.1.4 „Die Unveränderbarkeit des Inhaltes der Daten ist durch die Signatur bzw. das Siegel und insbesondere durch diesignierten Monatsbelege gegeben.“ Da die RKSV die unveränderbare Sicherung auf einem elektronischen externen Medium verlangt und die Unveränderbarkeit schon durch die Signatur gegeben ist, können also auch Medien, wie USB-Sticks (der ist im Erlass sogar explizit angeführt worden) verwendet werden.

[Chriso07]

Eine Bestätigung über die Aussage im zitierten Erlass seitens des Finanzministeriums wird man nicht bekommen. Dafür müsste man die Verordnung ändern. Neben der fehlenden gesetzlichen Grundlage zur Verordnung der Datensicherung auf ein unveränderbares Medium (s.o.) muss man sich das in der Praxis vorstellen: Wer sollte denn Backups und deren Tauglichkeit tatsächlich prüfen und deren Tauglichkeit in diesem Sinne überprüfen? Im Rahmen einer Betriebsprüfung werden alle Kassendaten angefordert; sofern diese vorhanden sind, interessiert sich niemand mehr für die Datensicherung. Was übrig bleibt von der Bestimmung ist, dass ein Backup mindestens alle drei Monate erfolgen muss.