Bestimmungen für die Kassensicherheit von IT-Verfahren nach Nr. 6 VV-ZBR BHO (Kasi-IT)

Bestimmungen für die Kassensicherheit von IT-Verfahren nach Nr. 6 VV-ZBR BHO

(Kasi-IT)

– Stand 6/2025 –

Fundstelle: GMBl. 2025 Nr. 24, S. 492

Abschnitt I
Allgemeine Bestimmungen

1

Anwendungsbereich

(1)

Diese Bestimmungen sind anzuwenden, wenn eine Stelle des Bundes

a)

ein IT-Verfahren gemäß Nr. 6.1.1 der Verwaltungsvorschrift für Zahlungen, Buchführung und Rechnungslegung (§§ 70 bis 71 und 75 bis 80 BHO) – VV-ZBR BHO – entwickelt, entwickeln lässt oder erstmalig beschafft, das im Bund eingesetzt werden soll, oder

b)

ein IT-Verfahren gemäß Nr. 6.1.1 VV-ZBR BHO entwickelt, entwickeln lässt oder erstmalig beschafft, das auch in einer anderen Gebietskörperschaft eingesetzt werden soll oder

c)

ein von einer Stelle einer anderen Gebietskörperschaft entwickeltes IT-Verfahren gemäß Nr. 6.1.1 VV-ZBR BHO im Bund in unveränderter Form einsetzen will.

(2)

Abschnitt 2 dieser Bestimmungen konkretisiert die Anforderungen in Nr. 6.1 bis Nr. 6.3 VV-ZBR BHO und der Anlage 1 zur VV-ZBR BHO (GoBIT) im Hinblick auf die konkrete Umsetzung insbesondere im Hinblick auf IT-Verfahren mit automatisierten und nicht automatisierten Geschäftsprozessen.

2

Einwilligungsverfahren

2.1

Einsatz eines IT-Verfahrens

(1)

Der Einsatz von IT-Verfahren gemäß Nr. 6.1.1 VV-ZBR-BHO im Bund bedarf gemäß Nr. 6.4 VV-ZBR BHO der Einwilligung des Bundesministeriums der Finanzen.

(2)

Die Einwilligung gemäß Nr. 6.4 VV-ZBR-BHO ist allgemein erteilt, wenn im Fall der Nr. 1 Abs. 1 a) die Vorgaben in Nr. 6.1 bis Nr. 6.3 VV-ZBR-BHO, der GoBIT sowie Abschnitt 2 dieser Bestimmungen eingehalten werden.

(3)

Eine Einzeleinwilligung ist im Fall der Nr. 1 Abs. 1 b) erforderlich. Die Einzeleinwilligung wird erteilt, wenn die Vorgaben der Nr. 6.1 bis Nr. 6.3 VV-ZBR-BHO, der GoBIT und Abschnitt 2 dieser Bestimmung eingehalten werden und das IT-Verfahren unverändert eingesetzt werden soll.

(4)

Eine Einzeleinwilligung ist im Fall der Nr. 1 Abs. 1 c) erforderlich, für deren Erteilung das Finanzministerium der entwickelnden Stelle verantwortlich ist. Einzeleinwilligung anderer Gebietskörperschaften werden nur akzeptiert, wenn die Vorgaben der zwischen dem Bund und den Ländern abgestimmten Mindestanforderungen für gebietskörperschaftsübergreifend einzusetzenden IT-Verfahren eingehalten werden und das IT-Verfahren unverändert eingesetzt werden soll. In diesem Fall ist der Einsatz des IT-Verfahrens dem Bundesministerium der Finanzen anzuzeigen; ihm sind auf Verlangen die notwendigen Dokumentationen und die Dienstanweisung gemäß Nr. 6.2 VV-ZBR BHO zur Verfügung zu stellen.

2.2

Änderung eines IT-Verfahrens

Nr. 2.1 ist bei einer Änderung eines IT-Verfahrens, für das eine Einwilligung erteilt ist, entsprechend anzuwenden, soweit sich die Änderungen Risiko erhöhend auswirken bzw. die Anordnungsprozesse geändert werden.

Abschnitt II
Bestimmungen für die Kassensicherheit

3

Richtigkeit und Vollständigkeit der erfassten und verarbeiteten elektronischen Daten und Dokumente

3.1

Datenerfassung

3.1.1

Definition

Datenerfassung ist die Übernahme von Daten und Dokumenten in ein IT-Verfahren nach Nr. 1 Abs. 1, um diese weiter zu verarbeiten und/oder aufzubewahren. Hierzu gehören auch die Erfassung von Stammdaten sowie die Änderung von Daten und Dokumenten. Datenerfassung in das IT-Verfahren kann insbesondere erfolgen durch

a)

manuelle Eingabe von Daten nach Nr. 3.1.2,

b)

elektronische Erfassung von Unterlagen in Papierform nach Nr. 3.3 GoBIT oder

c)

Übernahme von elektronischen Daten und Dokumenten nach Nr. 3.1, Nr. 3.2.4 und Nr. 3.2.5 GoBIT.

3.1.2

Manuelle Eingabe von Daten

3.1.2.1

Bescheinigung der richtigen und vollständigen Datenerfassung

(1)

Die Richtigkeit und Vollständigkeit von manuell eingegebenen Daten ist nach Nr. 4 zu bescheinigen, es sei denn die Datenerfassung ist dem Anordnungsprozess nach Nr. 1 VV-ZBR BHO vorgelagert und die Richtigkeit und Vollständigkeit der erfassten Daten werden nach den Vorgaben in Nr. 1.2 VV-ZBR BHO überprüft.

(2)

Mit der Bescheinigung übernimmt die oder der Beschäftigte die Verantwortung für die richtige und vollständige Erfassung der Daten.

3.1.2.2

Prüfung der manuell erfassten Daten

(1)

Ist die manuelle Erfassung der Daten nach Nr. 3.1.2.1 zu bescheinigen, sind die Daten vor der weiteren Verarbeitung von einer zweiten Person hinsichtlich ihrer richtigen und vollständigen Erfassung zu prüfen. Durch systemtechnische Vorkehrungen ist zu gewährleisten, dass die prüfende Person die zu prüfenden Daten nicht ändern kann.

(2)

Die Prüfung der Datenerfassung ist nach Nr. 4 zu bescheinigen. Die oder der Beschäftigte übernimmt mit der Bescheinigung die Verantwortung dafür, dass die Daten richtig und vollständig erfasst wurden.

(3)

Die Bescheinigung der Prüfung der Datenerfassung kann mehrere Geschäftsfälle umfassen, sofern zwischen allen Prüfungen und der Bescheinigung ein enger zeitlicher Zusammenhang besteht.

3.2

Datenverarbeitung

(1)

Es ist zulässig, dass die Daten nach ihrer Prüfung und/oder ihrer Anordnung durch eine an der Datenerfassung, Prüfung oder Anordnung nicht beteiligte Person manuell der weiteren Verarbeitung zugeführt werden, soweit sichergestellt ist, dass die Daten weder geändert noch gelöscht werden können und deren Verarbeitung nicht grundlos verzögert wird.

(2)

Die richtige und vollständige Datenverarbeitung ist automatisiert zu dokumentieren. Gleiches gilt bei Störungen, die zum Abbruch der Datenverarbeitung geführt haben. Es ist technisch zu gewährleisten, dass alle elektronischen Daten oder Dokumente verarbeitet werden und bereits verarbeitete elektronische Daten und Dokumente nicht erneut verarbeitet werden. Das Ergebnis darf durch eine Wiederholung der Verarbeitung derselben Daten nicht verändert werden.

3.3

Datenübermittlung

(1)

Elektronische Daten und Dokumente sind nach Nr. 3 GoBIT über die genehmigten Schnittstellen zu übermitteln. Von der das IT-Verfahren anbindenden Stelle ist eine Prüfung und Freigabe durchzuführen.

(2)

Bei der Einrichtung und Pflege von Personenstammdaten sind alle notwendigen und wirtschaftlichen Maßnahmen zu ergreifen, um Dubletten zu vermeiden.

4

Bescheinigung

Mit der gemäß Nr. 3.1.2.1 und Nr. 3.1.2.2 erforderlichen Bescheinigung ist zu gewährleisten, dass die oder der Beschäftigte eine Erklärung abgibt, aus der ihre oder seine Funktion sowie der Umfang und das Ergebnis der vorgenommenen Prüfung ersichtlich sind und die ihr oder ihm eindeutig zugeordnet werden können, z. B. durch Eingabe eines Passwortes oder Betätigen einer Schaltfläche.

5

Muster-Dienstanweisung

Soweit ein IT-Verfahren gemäß Nr. 6.1.1 VV-ZBR-BHO gebietskörperschaftsübergreifend eingesetzt werden soll, ist von der für die Entwicklung zuständigen Stelle ein ausformuliertes Muster einer Dienstanweisung zu erstellen. Eine Dienstanweisung ist nach der notwendigen Konkretisierung gemäß Nr. 6.2.1.5 VV-ZBR BHO des Musters von den einsetzenden Stellen in Kraft zu setzen. In der Dienstanweisung sind den am IT-Verfahren beteiligten Beschäftigten verbindliche Vorgaben für Arbeitsabläufe zu machen, durch die die Einhaltung der VV-ZBR BHO einschließlich Anlagen sowie dieser Bestimmungen gewährleistet wird.

6

Revisionsfähigkeit des IT-Verfahrens

6.1

Nachweis über Geschäftsfälle und Prüfbarkeit

(1)

IT-Verfahren sind so auszugestalten, dass Geschäftsfälle in ihrer Entstehung und Abwicklung lückenlos nachvollziehbar sind. Insbesondere muss eine retrograde (von der Buchung ausgehende) und progressive (von der Anordnung und den begründenden Unterlagen ausgehende) Prüfung des Geschäftsfalls und seiner buchhalterischen Verarbeitung möglich sein. Der Zusammenhang zwischen Anordnung und begründenden Unterlagen sowie zwischen dem Nachweis der Buchung und der Buchung selbst muss jederzeit erkennbar sein.

(2)

Es muss nachvollziehbar sein, wann und aus welchem Grund Änderungen am Geschäftsfall vorgenommen wurden.

(3)

Der Nachweis muss von einer sachverständigen, nicht am IT-Verfahren beteiligten Person in angemessener Zeit dahingehend prüfbar sein, ob

a)

die verfahrensrechtlichen Vorgaben der VV-ZBR BHO, der GoBIT und dieser Bestimmungen eingehalten wurden (formelle Richtigkeit) und

b)

die inhaltlichen Anforderungen an eine Anordnung, Buchung, Zahlung oder an einen Abschluss, insbesondere das Vorliegen eines Rechtsgrundes, erfüllt sind (materielle Richtigkeit).

(4)

Werden die Geschäftsfälle nicht bereits bei der Datenerfassung dokumentiert, sondern erst auf einer nachfolgenden Verarbeitungsstufe, ist durch Kontrollen oder andere Maßnahmen die Vollständigkeit der Geschäftsfälle von deren Entstehung bis zu deren Dokumentation sicherzustellen.

6.2

Dokumentation der Zugriffe

Zugriffe auf das IT-Verfahren sind im System zu dokumentieren. Es muss jederzeit nachgewiesen werden können, welche Person zu welcher Zeit welche Aktionen ausgeführt hat. Der Nachweis muss zumindest folgende Daten enthalten:

a)

das Datum, die Uhrzeit und die Benutzerkennung der oder des Beschäftigten, die bzw. der auf das IT-Verfahren zugegriffen hat, sowie

b)

wenn Änderungen erfolgt sind, die Bezeichnung des Geschäftsfalls oder des sonstigen Gegenstands, auf den zugegriffen worden ist, und die geänderten Daten mit altem und neuem Stand.

6.3

Prüfberechtigungen

6.3.1

Grundsatz

(1)

Im Berechtigungskonzept nach Nr. 6.2.4.2 VV-ZBR BHO sind Berechtigungen im IT-Verfahren für den lesenden Zugriff zu Prüfungszwecken gemäß Nr. 6.2.4.2.4 VV-ZBR-BHO vorzusehen.

(2)

Die Prüfbarkeit von Daten und Systemeinstellungen umfasst alle Inhalte des IT-Verfahrens wie z. B.

a)

Stammdaten,

b)

Bewegungsdaten,

c)

Systemparameter und Konfigurationsdaten,

d)

im System vordefinierte Rollen und Profile für Zugangs- und Zugriffsberechtigungen,

e)

Daten der Berechtigungsverwaltung,

f)

Protokollierungstabellen und Logdateien sowie

g)

die systeminterne Dokumentation.

(3)

Dazu gehört auch die Nachvollziehbarkeit

a)

der Änderungen von Berechtigungen im IT-Verfahren,

b)

der Veränderung des Programmcodes z. B. im Rahmen eines Transportsystems,

c)

der Inhalte des vom Verfahrenseigner hinzugefügten Programmcodes sowie

d)

des Aufbaus des IT-Verfahrens und seiner Bestandteile sowie der Betriebsumgebung des Verfahrens.

(4)

Die Prüfung muss von einer sachverständigen, nicht am IT-Verfahren beteiligten Person in angemessener Zeit möglich sein und ohne, dass die entwickelnde oder anwendende Stelle sie beeinflussen kann.

(5)

Es ist sicherzustellen, dass die Prüfung von Daten und Systemeinstellungen nicht zu deren Änderung führt.

6.3.2

Ausnahmen

Von den Anforderungen an die Prüfberechtigungen in Nr. 6.3.1 kann soweit erforderlich im Einvernehmen mit dem Bundesrechnungshof eine Ausnahme zugelassen werden, wenn gewährleistet ist, dass

a)

alle Daten und Systemeinstellungen des IT-Verfahrens nachvollziehbar und

b)

die Daten maschinell lesbar sind.