BestMaVB - HKR - Bestimmungen über die Mindestanforderungen für den Einsatz automatisierter Verfahrenim Haushalts-, Kassen- und Rechnungswesen des Bundes(BestMaVB-HKR)VV Nr. 6.6 für Zahlungen, Buchführung und Rechnungslegung der BHO(§§ 70 bis 72 und 74 bis 80BHO )
BestMaVB - HKR - Bestimmungen über die Mindestanforderungen für den Einsatz automatisierter Verfahrenim Haushalts-, Kassen- und Rechnungswesen des Bundes(BestMaVB-HKR)VV Nr. 6.6 für Zahlungen, Buchführung und Rechnungslegung der BHO(§§ 70 bis 72 und 74 bis 80BHO ) |
| Sektor | Staat und Verwaltung |
|---|---|
| Branche | Regierung u. Verwaltung |
| Ebene | Bundesrecht |
| Rechtsakt | Untergesetzlich |
Bestimmungen über die Mindestanforderungen für den Einsatz automatisierter Verfahren
im Haushalts-, Kassen- und Rechnungswesen des Bundes
(BestMaVB-HKR) VV Nr. 6.6 für Zahlungen, Buchführung und Rechnungslegung der BHO
(§§ 70 bis 72 und 74 bis 80 BHO)
Abschnitt 3 BestMaVB-HKR – Einsatz dokumentierter, freigegebener und gültiger Programme
(1) Beim Einsatz eines automatisierten Verfahrens im Haushalts-, Kassen und Rechnungswesen des Bundes dürfen nur dokumentierte, hinreichend getestete und freigegebene Programme eingesetzt werden. Dabei müssen die Empfehlungen des IT-Grundschutz-Katalogs des Bundesamtes für Sicherheit in der Informationstechnik und notwendige Maßnahmen vor Einführung des Verfahrens bereits umgesetzt worden sein (z. B. IT-Sicherheitskonzept einschließlich Zugangs- und Zugriffskontrollen, Betriebshandbuch, ggf. Datenschutzkonzept, Freigabeprozess usw.).
(2) Durch regelmäßige Prüfungen in einem Zeitraum von mindestens 24 Monaten ist durch die nach Nr. 1.1.2 zuständige Beauftragte oder den zuständigen Beauftragen für den Haushalt sicherzustellen, dass die Mindestanforderungen eingehalten werden. Sie oder er kann die Prüfung durch eine verantwortliche Person durchführen lassen, die keine am Verfahren nach Nr. 2 Abs. 4 beteiligte Person sein darf. Die durchgeführten Prüfungen sowie ggf. festgestellte Fehler und die Maßnahmen zur Fehlerbehebung sind von der oder dem zuständigen Beauftragten für den Haushalt zu dokumentieren. Fehler sind zeitnah zu beseitigen.
Abschnitt 4 BestMaVB-HKR – Elektronische Schnittstellen
4.1 Übermittlung von Daten an das HKR-Verfahren
(1) Die Zahlungsverkehrs-, Buchungs- und Anordnungsdaten sind über die vorgeschriebenen elektronischen Schnittstellen zu übermitteln.
(2) Vor dem erstmaligen Einsatz des automatisierten Verfahrens und bei technischen und/oder organisatorischen Änderungen eines bereits eingesetzten automatisierten Verfahrens, die Auswirkungen auf die Buchungs- bzw. Anordnungsdaten haben, sind die Buchungs- bzw. Anordnungsdaten vom Bewirtschafter bei der zuständigen Bundeskasse auf Ordnungsmäßigkeit der eingesetzten Schnittstelle zum HKR-Verfahren und Verarbeitungsfähigkeit prüfen zu lassen. Die für die Schnittstelle verwendeten Datensätze müssen für
a) Zahlungsdaten den Vorgaben des Bundesministeriums der Finanzen in der jeweils gültigen Fassung und für
b) Buchungs- und Anordnungsdaten den Vorgaben des Bundesministeriums der Finanzen für das HKR-Verfahren (Datensatzbeschreibungen der entsprechenden elektronischen Schnittstellen)
entsprechen. In den Buchungs- und Anordnungsdaten dürfen nur die in der VerfRiBeS-HKR zugelassenen Zeichen verwendet werden.
(3) Die zuständige Bundeskasse bescheinigt die nach Abs. 2 erfolgreiche Prüfung dem Bewirtschafter schriftlich.
4.2 Übermittlung von Daten in ein anderes automatisiertes Verfahren im Haushalts-, Kassen- und Rechnungswesen eines Bewirtschafters
(1) Bei der Übermittlung von Zahlungsverkehrs-, Buchungs- und Anordnungsdaten über eine elektronische Schnittstelle in ein anderes automatisiertes Verfahren im Haushalts-, Kassen- und Rechnungswesen eines Bewirtschafters muss gewährleistet sein, dass die Daten vollständig und unverändert übertragen werden. Für die vorgelagerten Verfahren gelten die Regelungen der Nr. 1.
(2) Liegen die Voraussetzungen des Abs. 1 nicht vor, sind die übernommenen zahlungsrelevanten Daten wie ungeprüfte Daten zu behandeln und anhand begründender Unterlagen nach Nr. 5.4 zu prüfen.
Abschnitt 5 BestMaVB-HKR – Gewährleistung der Richtigkeit und Vollständigkeit der erfassten und verarbeiteten Daten
Beim Einsatz von automatisierten Verfahren im Haushalts-, Kassen und Rechnungswesen des Bundes ist durch organisatorische und programmtechnische Kontrollen, insbesondere durch Prüferfassung, Bildung von Kontrollsummen, Plausibilitätskontrollen und Verwendung von Prüfziffern, die Richtigkeit und Vollständigkeit der Datenerfassung und der Datenverarbeitung sicherzustellen.
5.1 Abgrenzung der Verantwortungsbereiche
5.1.1 Dienstanweisung
Für jedes automatisierte Verfahren ist eine Dienstanweisung zu erstellen, in der die Verantwortungsbereiche (Verantwortungsabgrenzung und -zuordnung, siehe Nr. 2 Abs. 2 a) der für das automatisierte Verfahren zugelassenen Personen nach VV Nr. 1.2 ZBR BHO nachvollziehbar festgelegt sind. Es muss dabei sichergestellt sein, dass keine Person an einem einzelnen Geschäftsvorfall maßgebend beteiligt ist, die auch an einer Anordnung zur Zahlung oder Buchung maßgebend beteiligt ist.
5.1.2 Bescheinigung der Verantwortungsbereiche
5.1.2.1 Bescheinigung der ordnungsmäßigen Wahrnehmung
(1) Werden die Verantwortungsbereiche gem. VV Nr. 1.2 der ZBR BHO und die Anordnung (Freigabe zur weiteren Datenverarbeitung) ausschließlich im automatisierten Verfahren wahrgenommen, ist die Ordnungsmäßigkeit jeweils mit einem systemseitig revisionssicheren Nachweis unter Angabe des Datums, der Uhrzeit und der Benutzerkennung zu dokumentieren. Es muss erkennbar sein, welcher Verantwortungsbereich wahrgenommen worden ist. In allen anderen Fällen sind die Regelungen der Nr. 2.2 der Anlage 2 zur VV ZBR BHO anzuwenden.
(2) Die Nachweise der ordnungsmäßigen Wahrnehmung der Verantwortungsbereiche müssen zeitnah für Zwecke der Rechnungsprüfung zur Verfügung gestellt werden können.
5.1.2.2 Verantwortlichkeit für die Richtigkeit der eingegebenen Daten
Die Personen, die Daten erfassen, sind für die Richtigkeit der eingegebenen Daten nur dann verantwortlich, wenn eine Veränderung der Daten durch Dritte oder durch das Verfahren selbst ausgeschlossen ist. Die technischen Anlagen des automatisierten Verfahrens müssen deshalb organisatorisch und programmtechnisch so geschützt werden, dass nur die verantwortlichen Bearbeiter Daten eingeben oder verändern können.
5.2 Vier-Augen-Prinzip
(1) Das Vier-Augen-Prinzip im Sinne dieser Bestimmung beinhaltet die Wahrnehmung der Verantwortungsbereiche nach VV Nr. 1.2 ZBR BHO (Feststellung; im Sinne der Nr. 2.2.2 und Nr. 2.2.3 der Anlage 2 zur VV-ZBR BHO) sowie die Datenprüfung bzw. Freigabe zur weiteren Datenverarbeitung (Anordnung; im Sinne der Nr. 2.2.4 der Anlage 2 zur VV-ZBR BHO) durch zwei unterschiedliche Personen.
(2) Die Bescheinigung zur Feststellung der rechnerischen Richtigkeit in einem automatisierten Verfahren ist entbehrlich, wenn die Berechnung zahlungsrelevanter Daten vollständig automatisiert im Verfahren erfolgt. Dies ist in der Dienstanweisung zu dokumentieren. Bereits bei Teilberechnungen außerhalb des Verfahrens ist die Feststellung der rechnerischen Richtigkeit zu bescheinigen. Die Bescheinigungen zur Feststellung der sachlichen und rechnerischen Richtigkeit dürfen zusammengefasst werden.
(3) Die Regelungen für die allgemein erteilten Kassenanordnungen gelten nicht.
(4) Die Bescheinigung zur Feststellung der sachlichen Richtigkeit und die Ausübung der Anordnungsbefugnis im Rahmen der Sammelanordnung gem. den Regelungen der VerfRiBeS-HKR bleiben davon unberührt und sind nicht Bestandteil des Vier-Augen-Prinzips im Sinne dieser Bestimmung.
5.3 Datenerfassung
(1) Die Datenerfassung ist die verarbeitungsgerechte Übernahme von Daten in ein automatisiertes Verfahren, um diese Daten nach der Freigabe gem. Nr. 5.5 weiter zu verarbeiten (Nr. 5.6). Sie kann durch Eingabe von Daten aufgrund von begründenden Unterlagen in Papierform oder durch Übernahme elektronischer Daten in das automatisierte Verfahren erfolgen.
(2) Die Übernahme der zahlungsrelevanten Daten in ein automatisiertes Verfahren erfolgt nach Nr. 5.2.
(3) Die ordnungsmäßige Datenerfassung ist nach Nr. 5.1.2 zu bescheinigen.
(4) Die Datenerfassung für Einnahmen kann auch durch die Übernahme von Daten dritter Personen auf elektronischem Wege erfolgen, wenn die Daten ausschließlich die dritten Personen betreffen und ausschließlich automatisiert, d. h. ohne weitere manuelle Bearbeitung weiterverarbeitet werden. Dies setzt eine systemtechnische Prüfung der Datenermittlung voraus. Dabei muss sichergestellt sein, dass durch automatische Plausibilitätsprüfungen eine ordnungsmäßige Erstellung von Unterlagen aufgrund der erfassten Daten gewährleistet ist. Auf die Bescheinigung nach Nr. 5.1.2 kann bei dieser Art der Datenerfassung verzichtet werden. Diese Daten bedürfen keiner Prüfung, wenn eine Änderung zu keinem Zeitpunkt möglich ist.
(5) Die Datenerfassung von zahlungsrelevanten Daten für Ausgaben, die nicht als Bestimmungsgröße für eine gesetzliche oder vertragliche Zahlung (Auszahlung) dienen (z. B. Kontoverbindung, Anschrift), kann auch durch die Übernahme von Daten dritter Personen auf elektronischem Wege erfolgen, wenn die Daten ausschließlich die dritten Personen betreffen und ausschließlich automatisiert, d. h. ohne weitere manuelle Bearbeitung, weiterverarbeitet werden. Dabei muss sichergestellt sein, dass durch automatische Plausibilitätsprüfungen eine ordnungsmäßige Erstellung von Unterlagen aufgrund der erfassten Daten gewährleistet ist. Auf die Bescheinigung nach Nr. 5.1.2 kann bei dieser Art der Datenerfassung verzichtet werden. Diese Daten bedürfen keiner Prüfung, wenn eine Änderung zu keinem Zeitpunkt möglich ist.
(6) Im Falle einer nicht ordnungsmäßigen Beendigung des automatisierten Verfahrens (z. B. durch Stromausfall oder Programmabsturz) ist der zuletzt bearbeitete Geschäftsvorfall dahingehend zu kontrollieren, ob die vorgegebenen Daten richtig und vollständig gespeichert wurden.
5.4 Prüfung vor Freigabe zur weiteren Datenverarbeitung
(1) Daten, die in ein automatisiertes Verfahren nach Nr. 5.3 übernommen worden sind, müssen im Rahmen des Vier-Augen-Prinzips nach Nr. 5.2 Abs. 1 von einer zweiten Person vor der Freigabe (Nr. 5.5) zur weiteren Datenverarbeitung geprüft werden, die nicht an der Erfassung der Daten beteiligt war. Es muss sichergestellt sein, dass die zur Prüfung zugelassene Person die erfassten Daten nicht verändern kann. Die Prüfung ist nach Nr. 5.1.2.1 zu bescheinigen.
(2) Stellt die zur Prüfung zugelassene Person Fehler fest, müssen die Daten vor der Freigabe zur weiteren Verarbeitung von einer zur Feststellung zugelassenen Person berichtigt werden. Die berichtigten Daten sind nochmals gem. Abs. 1 zu prüfen.
(3) Daten, die nach Nr. 5.3 Abs. 4 und 5 erfasst wurden, bedürfen keiner Prüfung.
(4) Werden Daten nach Nr. 5.3 Abs. 2 durch Übernahme von elektronischen Daten in das automatisierte Verfahren übernommen, ist sicherzustellen, dass die Voraussetzungen der Abs. 1 bis 3 erfüllt sind. Die Prüfung der Daten nach Abs. 1 vor der Übernahme in das automatisierte Verfahren ist mit einem systemseitig revisionssicheren Nachweis gem. Nr. 5.1.2.1 zu dokumentieren.
(5) Nach der Freigabe (Prüfung) muss sichergestellt werden, dass die Daten nicht mehr verändert werden können.
(6) Im Rahmen der Erklärung zum Einsatz eines automatisierten Verfahrens im Haushalts-, Kassen- und Rechnungswesen des Bundes (Anlage 2) ist die vollständige oder ggf. stichprobenweise Prüfung im Feld "Prüfung der erfassten Daten" zu bescheinigen.
5.4.1 Vollständige Prüfung
Grundsätzlich sind alle erfassten zahlungsrelevanten Daten anhand der begründenden Unterlagen vollständig zu prüfen. Eine pauschale Freigabe von zu prüfenden Geschäftsvorfällen ist nicht zulässig.
5.4.2 Stichprobenprüfung
5.4.2.1 Allgemeine Voraussetzungen
(1) Werden im Rahmen der Gefährdungsanalyse nach VV Nr. 6.3 ZBR BHO und des Ordnungsmäßigkeitskonzepts nach VV Nr. 6.4 ZBR BHO nur geringe haushalts-wirtschaftliche Risiken festgestellt, kann die Prüfung durch die zweite Person mit Ausnahme der unter Abs. 2 bis 3 genannten Fälle auf eine Stichprobenprüfung beschränkt werden. In diesen Fällen ist eine pauschale Freigabe der nicht zu prüfenden Geschäftsvorfälle nach erfolgreicher Prüfung zulässig.
(2) Eine Beschränkung auf Stichproben ist ausgeschlossen bei
a) Geschäftsvorfällen, die zu Zahlungen auf unbestimmte Zeit führen,
b) Geschäftsvorfällen, die zu wiederkehrenden Zahlungen führen, die im voraussichtlichen Leistungszeitraum den Betrag von 7.500 Euro übersteigen sowie
c) Einmalzahlungen über 2.500 Euro.
(3) Eine Beschränkung auf Stichproben ist ebenfalls ausgeschlossen, wenn die Erfassung von Daten und die anschließende Prüfung dieser Daten auf Richtigkeit ohne eine Bescheinigung zur Feststellung der sachlichen und ggf. rechnerischen Richtigkeit sowie die Ausübung der Anordnungsbefugnis erfolgt. In diesen Fällen sind alle erfassten Daten nach Nr. 5.4.1 zu prüfen.
5.4.2.2 Durchführung der Prüfung
(1) Von denen zur Stichprobenprüfung nach Nr. 5.4.2.1 Abs. 1 zugelassenen Geschäftsvorfällen müssen mindestens 5 % anhand der begründenden Unterlagen zufallsbasiert durch eine zweite Person nach Nr. 5.4 Abs. 1 geprüft werden. Um auch bei geringen Fallzahlen aussagefähige Stichproben zu gewährleisten, ist unabhängig vom jeweiligen Prozentsatz eine Mindestzahl von Geschäftsvorfällen in die Stichprobe einzubeziehen.
(2) Neben der zufallsbasierten Stichprobe muss es auch möglich sein, gezielt Geschäftsvorfälle durch Eingabe von Kriterien auszuwählen und zur Prüfung heranzuziehen. Solche Kriterien können z. B. sein:
a) Kostenarten,
b) Fallgruppen,
c) Mitarbeiter oder
d) Geschäftsvorfälle mit hoher Fehleranfälligkeit.
(3) Werden bei der Prüfung der ausgewählten Geschäftsvorfälle Fehler festgestellt, so sind diese Fälle zurückzuweisen und zu berichtigen (siehe hierzu 5.4 Abs. 2). Werden Fehler mit finanziellen Auswirkungen festgestellt, ist aus dem Restbestand eine weitere Stichprobe in gleichem Umfang zu prüfen. Dieser Vorgang ist so lange zu wiederholen, bis eine fehlerfreie Stichprobe vorliegt. Die restlichen Fälle dürfen erst dann freigegeben werden, wenn die Prüfungsergebnisse die Überzeugung rechtfertigen, dass keine weiteren Fehler mit finanzieller Auswirkung in den Datensätzen enthalten sind. Die Stichprobenprüfung und die Fehlerkorrektur sind so rechtzeitig durchzuführen, dass Zahlungstermine unter Berücksichtigung eingehalten werden können. Das konkrete Vorgehen bei der Feststellung von Fehlern ist in der Dienstanweisung zu beschreiben; die Verantwortlichkeiten sind festzulegen.
5.4.2.3 Dokumentation in der Dienstanweisung
(1) Die aus den Kriterien abgeleiteten Parameter und der Prüfumfang sind in der Dienstanweisung verbindlich festzulegen und systemtechnisch umzusetzen. Damit wechselnde Prüfkriterien realisiert werden können, muss das automatisierte Verfahren die freie Einstellung der Parameter und der Prüfquote ermöglichen. Änderungen der Einstellungen dürfen nur im Rahmen der Nr. 5.4.1 und mit Zustimmung der oder des Beauftragten für den Haushalt bzw. einer oder eines Bevollmächtigten erfolgen. Sie sind in einer Datei systemseitig revisionssicher zu protokollieren.
(2) In einem protokollierten Prüflauf mit unterschiedlichen Einstellungen der Parameter und Prüfquoten ist festzustellen, bei welcher Prüfquote die Kassensicherheit hinreichend gewährleistet ist. Die Testvorgaben müssen neben der Qualität der Fallbearbeitung auch die Missbrauchsprävention berücksichtigen. Die Wirksamkeit der Einstellungen ist mindestens einmal jährlich zu prüfen. Die Niederschrift über die erfolgte Prüfung ist vom Bewirtschafter zu den Akten zu nehmen.
5.5 Freigabe zur weiteren Datenverarbeitung
(1) Nach Nr. 5.3 in ein automatisiertes Verfahren übernommene Daten dürfen nur dann zur Datenverarbeitung freigegeben werden, wenn sie nach Nr. 5.4 geprüft wurden.
(2) Die Freigabe zur Datenverarbeitung kann mit der Prüfung zusammengefasst werden.
(3) Werden Daten nach Nr. 5.2 Abs. 4 erfasst, deren Feststellung der sachlichen und ggf. rechnerischen Richtigkeit nach der Nr. 2.2.2 und Nr. 2.2.3 der Anlage 2 zur VV-ZBR BHO und Anordnung nach Nr. 2.2.4 der Anlage 2 zur VV-ZBR BHO auf den begründenden Unterlagen in Papierform bescheinigt bzw. erteilt wurde, dann gilt in diesen Fällen die Prüfung dieser Daten nach Nr. 5.4.1 als Freigabe zur Datenverarbeitung.
(4) Eine Änderung der freigegebenen Daten muss ausgeschlossen sein. Die Freigabe ist mit einem systemseitig revisionssicheren Nachweis gem. Nr. 5.1.2.1 zu dokumentieren.
5.6 Datenverarbeitung
In der Datenverarbeitung werden aus den in das automatisierte Verfahren übernommenen und geprüften Daten unter Einsatz gültiger, geprüfter und freigegebener Programme Unterlagen bzw. Dateien erstellt. Die richtige und vollständige Datenverarbeitung ist in den Arbeitsablaufunterlagen zu dokumentieren. Gleiches gilt bei Störungen, die zum Abbruch der Datenverarbeitung geführt haben. Bei Störungen ist sicherzustellen, dass die bereits verarbeiteten Daten nicht erneut verarbeitet werden und es nicht zu Mehrfachzahlungen bzw. Mehrfachbuchungen kommt.
5.7 Zentrale zahlungsrelevante Daten
Bei Erfassung und Änderung von zentralen zahlungsrelevanten Daten in einem automatisierten Verfahren ist nach Nr. 5.4.1 zu verfahren. Änderungen der Einstellungen dürfen nur mit Zustimmung der oder des Beauftragten für den Haushalt bzw. einer oder eines Bevollmächtigten erfolgen. Sie sind in einer Datei systemseitig revisionssicher zu protokollieren. Zentrale zahlungsrelevante Daten sind z. B. zentrale Daten in Tabellen, welche einen zentralen Einfluss auf die zahlungsrelevanten Daten haben (z. B. Besoldungstabellen) oder zentrale Eingabefelder für Berechnungsgrößen (z. B. Solidaritätszuschlag). Diese Daten haben immer Einfluss auf Zahlungsgruppen und nicht nur auf z. B. eine bestimmte Zahlung.
5.8 Nachweis von Datenbestandsänderungen
(1) Beim Einsatz von automatisierten Verfahren im Haushalts-, Kassen und Rechnungswesen des Bundes ist sicherzustellen, dass jede Veränderung von Daten nachvollziehbar ist; auch eine Veränderung aufgrund einer Kumulierung von Datensätzen muss stets nachvollziehbar sein.
(2) Sämtliche Veränderungen der Daten eines Geschäftsvorfalls müssen durch geeignete Maßnahmen nachgewiesen werden und kurzfristig zur Verfügung gestellt werden können. Der Nachweis muss wenigstens folgende Daten enthalten:
a) den eindeutig gekennzeichneten Geschäftsvorfall,
b) das Datum, die Uhrzeit und die Benutzerkennung der Mitarbeiterin oder des Mitarbeiters, die oder der die Erfassung bzw. die Änderung vorgenommen hat sowie
c) die erfassten und geänderten Daten mit altem und neuem Stand.
5.9 Datenfernübertragung
Bei Datenfernübertragung ist sicherzustellen, dass
a) die Daten richtig und vollständig gesendet und empfangen werden,
b) die Übertragung von Daten wiederholt werden kann und
c) die Daten von Sende- und Empfangsdateien visuell lesbar gemacht werden können.
Die zur Sicherung erforderlichen Maßnahmen sind in der Dienstanweisung festzulegen.
5.10 Abweichende Anwendung von Bestimmungen
Die in Rechts- oder Verwaltungsvorschriften des Bundes über die Durchführung von Automationsvorhaben, über den Datenschutz und die Datensicherung getroffenen Regelungen bleiben unberührt.
Abschnitt 6 BestMaVB-HKR – Dokumentation von anderen automatisierten Verfahren im Haushalts-, Kassen- und Rechnungswesen des Bundes
Beim Einsatz von anderen automatisierten Verfahren im Haushalts, Kassen- und Rechnungswesen des Bundes sind die folgenden Unterlagen zu erstellen und von der oder dem zuständigen Beauftragten für den Haushalt nach Nr. 1.1.2 vorzuhalten:
a) Verfahrensdokumentation nach VV Nrn.6.1.2 und 6.2 ZBR BHO, Nrn.4.1 und 4.2 der Anlage 1 zur VV-ZBR BHO,
b) Gefährdungsanalyse nach VV Nr. 6.3 ZBR BHO und 5.4.2.1,
c) Ordnungsmäßigkeitskonzept nach VV Nr. 6.4 ZBR BHO,
d) Dienstanweisung zur Regelung der Verfahrensabläufe und der Verantwortungsbereiche bei allen beteiligten Stellen (siehe Nr. 6.4.3 der Anlage 1 zur VV-ZBR BHO Nrn.2 Abs. 2a) und 2 d), 5.1.1, 5.2 Abs. 2, 5.4.2.3 sowie 5.9
e) Protokoll über die im Rahmen eines Testlaufs erfolgte Festlegung der Prüfquote (Nr. 5.4.2.3 Abs. 2),
f) Sicherheitskonzept einschließlich Datensicherungskonzept nach dem IT-Grundschutzkatalog des Bundesamtes für Sicherheit in der Informationstechnik,
g) Mitteilung über automatisierte Verfahren im Haushalts, Kassen- und Rechnungswesen des Bundes (Anlage 1),
h) Erklärung über die Einhaltung der Mindestanforderungen, bezogen auf die gültige Programmversion (Anlage 2).
Abschnitt 7 BestMaVB-HKR – Schlussbestimmungen
Die geänderten Bestimmungen treten mit Veröffentlichung in Kraft und ersetzen die Bestimmungen vom 8. April 2014.
- Albrecht/Höroldt, IT-Sicherheit 1/2013, 29 (Datenkonsistenz im Katastrophenfall)
- Albrecht/Schmid, K&R 2013, 529 (E-Government)
- BT-Drs. 18/4096
- BT-Drs. 18/5121
- Bergt, CR 2014, 726 (Verschlüsselung nach dem Stand der Technik als rechtliche Verpflichtung)
- Bräutigam/Wilmer, ZRP 2015, 38 (Meldepflichten im IT-SiG)
- Clauß/Köpsell, IT-Sicherheit 1/2012, 44 (Datenschutztechnologien Verwaltung)
- Dorndorf/ Schneidereit, CR 2017, 21-26 (E-Signing von Verträgen mittels qualifizierter elektronischer Signatur nach eIDAS)
- Eikel/Kohlhause, IT-Sicherheit 3/2012, 64 (United Communications)
- Fischer/Lemm, IT-Sicherheit 1/2012, 48 (Kommunales Cloud Computing)
- Frische/Ramsauer, NVwZ 2013, 1505 (Das E-Government-Gesetz)
- Gaycken/Karger, MMR 2011, 3 (Entnetzung, IT-Sicherheit)
- Gehrmann/Klett, K&R 2017, 372 (Umsetzung des IT-SiG)
- Geis, K&R 2002, 59 (Singnaturverordnung)
- Glombik, VR 2016, 306 (Europäischer elektr. Datenaustausch)
- Gola, K&R 2017, 145 (Interpretation der DSGVO)
- Hoffmann/Schulz/Brackmann, ZD 2013, 122 (öffentliche Verwaltung und soziale Medien)
- Johannes, MMR 2013, 694 (Elektronische Formulare, Verwaltungsverfahren)
- Kahler, CR 2015, 153 (Outsourcing im öffentl. Sektor, Amtsgeheimnis)
- Karg, DuD 2013, 702 (E-Akte, datenschutzrechtliche Anforderungen)
- Klimburg, IT-Sicherheit 2/2012, 45 (Datenschutz, Sicherheitskonzept, Verwaltung in NRW)
- Kramer, DSB 2015, Nr 04, 79 (Vorgaben für den behördlichen DSB)
- König, LKV 2010, 293 (Verwaltungsreform in Thüringen, E-Government)
- Laue, DSB 2011, Nr 9, 12 (§ 3a, Datenvermeidung und Datensparsamkeit)
- Leisterer/Schneider, K&R 2015, 681 (staatliches Informationshandeln im Bereich der IT-Sicherheit)
- Lotz/Wendler, CR 2016, 31 (TOM, Abdingbarkeit von § 9 BDSG für Betreiber von KRITIS)
- Mayer, IT-Sicherheit, 5/2012, 68 (Mobility, ByoD)
- Oberthür/Hundt/Kroeger, RVaktuell 2017, 18 (E-Government-Gesetz)
- Prell, NVwZ 2013, 1514 (E-Government)
- Probst/Winters, CR 2015, 557 (eVergabe, elektr. Durchführung der Vergabe öffentl. Aufträge)
- Roßnagel, CR 2011, 23 (sicherer elektronischer Rechtsverkehr)
- Roßnagel, MMR 2015, 359 (eIDAS-VO, elektr. Signaturen für Vertrauensdienste)
- Roßnagel, NJW 2013, 2710 ( E-Government-Gesetz)
- Roßnagel, NJW 2014, 3686 (Sichere elektronische Transaktionen)
- Schrotz/Zdanowiecki, CR 2015, 485 (Cloud Computing im öffentl. Sektor, Datenschutz u. IT-Sicherheit)
- Schulte/ Schröder, Handbuch des Technikrechts, 2011
- Schulz, CR 2009, 267-272 (Der neue „E-Personalausweis”)
- Schulz, DuD 2015, 446 (Leitlinie für IT-Sicherheit in Kommunen)
- Schulz, MMR 2010, 75 (Chancen und Risiken von Cloud Computing in der öffentlichen Verwaltung)
- Sosna, CR 2014, 825-832 (eIDAS-Verordnung)
- Ulmer/Rath, CCZ 2016, 142 (DS-GVO)
- VGH Bayern, B. v. 01.12.2014 16a DZ 11.2411 (E-Mail-Kontrolle bei Beamten, Datensicherheit);
- Weidemann, DVP 2013, 232-234 (DE-Mail, Verwaltungszustellungsgesetz)
- Zaudig, IT-Sicherheit 4/2012, 64 (IT-Sicherheitsmanagement in der Kommunalbehörde)
-
Ergebnis 1
NIST FIPS 199:2004-02
Deutsch: —
Englisch: Standards for Security Categorization of Federal Information and Information Systems
Ergebnis 2
NIST FIPS 200:2006-03
Deutsch: —
Englisch: Minimum Security Requirements for Federal Information and Information Systems
Ergebnis 3
BSI TR 03105 Teil 1.1
Deutsch: —
Englisch: A framework for official electronic ID document conformity tests; Version 1.04.1
Ergebnis 4
BSI TR 03105 Teil 1.2
Deutsch: —
Englisch: Component specification RFID; Version 1.02.1
Ergebnis 5
BSI TR 03105 Teil 2
Deutsch: —
Englisch: Test plan for official electronic ID documents with secure contactless integrated circuit; Version 3.0
Ergebnis 6
BSI TR 03105 Teil 3.1
Deutsch: —
Englisch: Test plan for eMRTD Application Protocol and Logical Data Structure; Version 1.2.1
Ergebnis 7
BSI TR 03105 Teil 3.2
Deutsch: —
Englisch: Conformity Tests for Official Electronic ID Documents - Part 3.2: Test plan for eMRTDs with Advanced Security Mechanisms - EAC 1 Version 1.5
Ergebnis 8
BSI TR 03105 Teil 3.3
Deutsch: —
Englisch: Conformity Tests for Official Electronic ID Documents - Part 3.3: Test Plan for eID-Cards withAdvanced Security Mechanisms - EAC 2; Version 1.1
Ergebnis 9
BSI TR 03105 Teil 3.4
Deutsch: —
Englisch: Test plan for eID-cards with eSign-application acc. to BSI TR-03117; Version 1.0
Ergebnis 10
BSI TR 03105 Teil 4
Deutsch: —
Englisch: Test plan for ICAO-compliant proximity coupling devices (PCD) on layers 1-4; Version 3.0