Teil unserer Compliance & Regulation-Serie
Den vollständigen Leitfaden lesenDatenresidenz und -lokalisierung: Es ist wichtig, wo Ihre Daten gespeichert sind
Als Russlands Föderaler Dienst für die Überwachung der Kommunikation LinkedIn im Jahr 2016 sperrte, weil es russische Benutzerdaten nicht auf Servern im Land gespeichert hatte, war das ein Weckruf für globale Technologieunternehmen. Seitdem haben sich die Anforderungen an die Datenlokalisierung auf über 60 Länder ausgeweitet, und der Trend beschleunigt sich. Im Jahr 2025 verabschiedete Indien Regeln, die die Speicherung bestimmter Kategorien personenbezogener Daten ausschließlich innerhalb der indischen Grenzen vorschreiben, und der neue EU-Rahmen zur Datensouveränität verändert die Art und Weise, wie selbst europäische Unternehmen über Cloud-Infrastruktur denken.
Für grenzüberschreitend tätige Unternehmen – dazu zählen alle Unternehmen mit einer Website, einer SaaS-Anwendung oder einem E-Commerce-Shop, der internationale Kunden bedient – ist es keine technische Kuriosität mehr, zu verstehen, wo sich Daten physisch befinden. Es ist ein Compliance-Gebot.
Wichtige Erkenntnisse
- Über 60 Länder haben mittlerweile irgendeine Form von Datenlokalisierungsanforderungen, die von weichen Präferenzen bis hin zu harten Vorschriften reichen
- Anforderungen an die Datenresidenz wirken sich auf die Auswahl der Cloud-Region, Backup-Strategien und die Disaster-Recovery-Architektur aus
- Die Unterscheidung zwischen Datenlokalisierung (muss lokal gespeichert werden), Datenresidenz (kann überall gespeichert werden, muss aber über eine lokale Kopie verfügen) und Datensouveränität (vorbehaltlich lokaler Gesetze) ist von entscheidender Bedeutung
- Grenzüberschreitende Übertragungsmechanismen (SCCs, BCRs, Angemessenheitsentscheidungen) ermöglichen den internationalen Datenfluss unter bestimmten Bedingungen
Schlüsselkonzepte verstehen
Drei verwandte, aber unterschiedliche Konzepte bestimmen, wo Daten gespeichert und verschoben werden können.
Definitionen
Datenlokalisierung: Eine gesetzliche Anforderung zur Speicherung und/oder Verarbeitung von Daten innerhalb der Grenzen eines bestimmten Landes. Die Daten dürfen das Land überhaupt nicht oder nur unter strengen Auflagen verlassen. Beispiel: Das russische Bundesgesetz 242-FZ verlangt, dass personenbezogene Daten russischer Staatsbürger in Datenbanken in Russland gespeichert werden.
Datenspeicherort: Der geografische Ort, an dem Daten gespeichert werden. Der Datenspeicherort kann eine vertragliche Verpflichtung sein (der Kunde verlangt, dass Daten in einer bestimmten Region gespeichert werden) und keine gesetzliche Anforderung. Die Daten können an anderer Stelle verarbeitet werden, solange sich der Primärspeicher am angegebenen Ort befindet.
Datensouveränität: Der Grundsatz, dass Daten den Gesetzen und Governance-Strukturen des Landes unterliegen, in dem sie erfasst oder gespeichert werden. Selbst wenn sich Daten physisch in Land A befinden, können sie den Gesetzen von Land B unterliegen, wenn sie den Bürgern von Land B gehören (wie bei der extraterritorialen Reichweite der DSGVO).
Warum es für die Cloud-Infrastruktur wichtig ist
Wenn Sie Daten in AWS us-east-1 speichern, befinden sich diese Daten physisch in Virginia, USA, und unterliegen US-amerikanischem Recht (einschließlich potenziellem Zugriff gemäß dem CLOUD Act). Wenn diese Daten EU-Bürgern gehören, müssen Sie einen angemessenen Schutz gemäß DSGVO gewährleisten. Wenn es sich um russische Staatsbürger handelt, verstoßen Sie möglicherweise gegen das russische Datenlokalisierungsgesetz, unabhängig davon, welche Schutzmaßnahmen Sie ergriffen haben.
Länderspezifische Datenresidenzregeln
Land-zu-Daten-Residency-Regeln
| Land/Region | Anforderungstyp | Welche Daten | Schlüsselgesetz | Durchsetzung |
|---|---|---|---|---|
| EU/EWR | Übertragungsbeschränkung | Alle persönlichen Daten | DSGVO Art. 44-49 | Für Übermittlungen in nicht adäquate Länder sind Schutzmaßnahmen erforderlich (SCCs, BCRs) |
| Russland | Harte Lokalisierung | Persönliche Daten russischer Staatsbürger | FZ-242 | Muss auf russischen Servern gespeichert werden; Verstöße führen zur Sperrung |
| China | Harte Lokalisierung | Persönliche Informationen, „wichtige Daten“ | PIPL, DSL, CSL | Muss bei grenzüberschreitenden Überweisungen einer Sicherheitsprüfung unterzogen werden |
| Indien | Bedingte Lokalisierung | Sensible personenbezogene Daten (Spiegelkopie), kritische Daten (vollständige Lokalisierung) | DPDP Act 2023 + Regeln | Die Regierung kann Länder benennen, in denen Daten nicht übertragen werden können |
| Indonesien | Weiche Lokalisierung | Elektronische Systemdaten | GR 71/2019 | Öffentliche elektronische Systeme müssen über ein lokales Rechenzentrum verfügen. private Systeme ausgenommen |
| Vietnam | Harte Lokalisierung | Nutzerdaten von Online-Diensten | Cybersicherheitsgesetz 2018 | Auf Anfrage der Behörden müssen Daten in Vietnam gespeichert werden |
| Türkei | Übertragungsbeschränkung | Persönliche Daten | KVKK (türkische Datenschutzbehörde) | Für Übermittlungen ist eine ausdrückliche Einwilligung oder ein Angemessenheitsbeschluss erforderlich |
| Brasilien | Übertragungsbeschränkung | Persönliche Daten | LGPD-Art. 33 | Übertragungen in geeignete Länder oder im Rahmen vertraglicher Garantien zulässig |
| Saudi-Arabien | Bedingte Lokalisierung | Bestimmte Datenkategorien | PDPL 2022 | Staatliche Stellen haben strengere Anforderungen |
| Nigeria | Weiche Lokalisierung | Persönliche Daten | NDPR 2019 | Die Daten müssen in Nigeria verarbeitet werden; Übertragungen bedürfen einer Angemessenheitsprüfung |
| Südkorea | Übertragungsbeschränkung | Persönliche Informationen | PIPA | Einwilligung oder vertragliche Notwendigkeit für Übermittlungen; Benachrichtigung erforderlich |
| Australien | Übertragungsbeschränkung | Persönliche Informationen | Privacy Act 1988, APP 8 | Der Übertragende bleibt für die Abwicklung des Empfängers im Ausland verantwortlich |
| Kanada | Provinzvariante | Persönliche Informationen | PIPEDA + Provinzgesetze | BC und NS verlangen eine Benachrichtigung über Auslandsüberweisungen; Quebec erfordert DPIA |
| VAE | Bedingte Lokalisierung | Gesundheitsdaten, Finanzdaten | Verschiedene Sektorregulierungsbehörden | DIFC und ADGM verfügen über separate Frameworks |
Strategie zur Auswahl der Cloud-Region
Die Auswahl der richtigen Cloud-Regionen ist eine der wirkungsvollsten Entscheidungen für die Einhaltung der Datenresidenz. Wenn Sie es richtig machen, ist Compliance in Ihre Architektur integriert. Wenn Sie etwas falsch machen, drohen Ihnen kostspielige Neuarchitekturen oder behördliche Strafen.
Architekturmuster für mehrere Regionen
Muster 1: Einzelne Region (einfach)
Alle Daten werden in einer Cloud-Region gespeichert. Am einfachsten zu verwalten, schränkt jedoch Ihre Fähigkeit ein, globale Kunden mit geringer Latenz zu bedienen, und erfüllt möglicherweise nicht die Lokalisierungsanforderungen, wenn Sie Kunden in Ländern mit strengen Lokalisierungsvorschriften haben.
Am besten geeignet für: Unternehmen, die hauptsächlich in einem Land oder einer Region tätig sind und anderswo keine strengen Lokalisierungsanforderungen haben.
Muster 2: Regionale Hubs (ausgewogen)
Bereitstellung in 2–4 strategischen Regionen, die eine geografische Abdeckung bieten und gleichzeitig die betriebliche Komplexität beherrschbar halten:
| Hub | Wolkenregion | Abdeckungen |
|---|---|---|
| Europa | AWS eu-west-1 (Irland) oder eu-central-1 (Frankfurt) | EU/EWR, Großbritannien, Türkei, Naher Osten |
| Amerika | AWS us-east-1 (Virginia) oder ca-central-1 (Kanada) | USA, Kanada, Lateinamerika |
| Asien-Pazifik | AWS ap-southeast-1 (Singapur) oder ap-south-1 (Mumbai) | Südostasien, Indien, Australien |
| China | AWS cn-northwest-1 (Ningxia) oder Alibaba Cloud | China (erfordert separate juristische Person) |
Am besten geeignet für: Die meisten internationalen Unternehmen. Bietet gute Latenz, regulatorische Abdeckung und überschaubare Komplexität.
Muster 3: Bereitstellung pro Land (maximale Compliance)
Bereitstellung in jedem Land mit strengen Lokalisierungsanforderungen. Höchste Compliance, aber höchste Betriebskosten und Komplexität.
Am besten geeignet für: Stark regulierte Branchen (Banken, Gesundheitswesen, Regierung), die in Ländern mit strengen Lokalisierungsvorschriften (Russland, China, Indien) tätig sind.
Verfügbarkeit der Cloud-Anbieterregion
| Anbieter | Gesamtregionen | Schlüsselregionen für Compliance |
|---|---|---|
| AWS | 34 | Frankfurt, Irland, London, Mumbai, Sao Paulo, Singapur, Kanada, Bahrain, Jakarta |
| Azure | 60+ | Niederlande, Deutschland, Frankreich, Großbritannien, Indien, Brasilien, Vereinigte Arabische Emirate, Südafrika, Kanada |
| GCP | 40 | Belgien, London, Frankfurt, Mumbai, Sao Paulo, Singapur, Sydney |
| Alibaba Cloud | 28 | China (mehrere), Singapur, Indonesien, Indien, Vereinigte Arabische Emirate, Deutschland |
Grenzüberschreitende Datenübertragungsmechanismen
Trotz Anforderungen an die Datenresidenz sind für den Geschäftsbetrieb häufig grenzüberschreitende Datenübermittlungen erforderlich. Mehrere rechtliche Mechanismen ermöglichen konforme Übertragungen.
Übertragungsmechanismen gemäß DSGVO
Angemessenheitsentscheidungen. Die Europäische Kommission stellt fest, dass bestimmte Länder einen angemessenen Datenschutz bieten. Überweisungen in diese Länder werden wie Überweisungen innerhalb der EU behandelt. Zu den derzeit geeigneten Ländern gehören: Andorra, Argentinien, Kanada (kommerziell), Färöer-Inseln, Guernsey, Israel, Isle of Man, Japan, Jersey, Neuseeland, Republik Korea, Schweiz, Vereinigtes Königreich, Uruguay und die USA (im Rahmen des EU-US-Datenschutzrahmens für zertifizierte Unternehmen).
Standardvertragsklauseln (SCCs). Vorab genehmigte Vertragsbedingungen, denen Datenimporteure zustimmen müssen. Die 2021 aktualisierten SCCs umfassen vier Module für verschiedene Übertragungsszenarien (Controller-zu-Controller, Controller-zu-Prozessor, Prozessor-zu-Prozessor, Prozessor-zu-Controller).
Binding Corporate Rules (BCRs). Von EU-Datenschutzbehörden genehmigte interne Richtlinien, die es multinationalen Unternehmen ermöglichen, Daten innerhalb ihrer Unternehmensgruppe zu übertragen. BCRs sind teuer und zeitaufwendig in der Implementierung (12–18 Monate), bieten aber eine dauerhafte Lösung für große Unternehmen.
Ausdrückliche Einwilligung. Betroffene Personen können grenzüberschreitenden Übermittlungen zustimmen, dies muss jedoch konkret, informiert und wirklich freiwillig erfolgen. Es handelt sich nicht um einen praktikablen Mechanismus für systematische oder groß angelegte Transfers.
Vertragliche Notwendigkeit. Übermittlungen, die für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich sind (z. B. Buchung eines Hotels in einem anderen Land). Beschränkt auf Übertragungen, die für die Vertragserfüllung unmittelbar erforderlich sind.
Transferfolgenabschätzungen
Seit der Schrems-II-Entscheidung müssen Organisationen, die SCCs nutzen, für jede Übertragung eine Transfer Impact Assessment (TIA) durchführen:
- Identifizieren Sie die konkrete Übertragung (Datentypen, Zweck, Empfänger, Ziel)
- Bewerten Sie die rechtlichen Rahmenbedingungen des Ziellandes (Überwachungsgesetze, staatliche Zugangsrechte)
- Bewerten Sie, ob ergänzende Maßnahmen erforderlich sind (Verschlüsselung, Pseudonymisierung, vertragliche Einschränkungen).
- Dokumentieren Sie die Bewertung und stellen Sie sie auf Anfrage zur Verfügung
Einen umfassenden Überblick über die Datenschutzbestimmungen, die grenzüberschreitende Übertragungen regeln, finden Sie in unserem Datenschutz-Vergleichsleitfaden.
Checkliste für die Umsetzung
Schritte zur Einhaltung der Datenresidenz
-
Inventarisieren Sie Ihre Daten. Ordnen Sie alle persönlichen und sensiblen Daten zu, ermitteln Sie, wo sie gespeichert sind, und bestimmen Sie anhand der Standorte der betroffenen Personen, welche Rechtsordnungen gelten.
-
Identifizieren Sie die geltenden Anforderungen. Bestimmen Sie für jede Gerichtsbarkeit, in der Sie betroffene Personen oder Kunden haben, die spezifischen Datenspeicherungs- oder Lokalisierungsanforderungen.
-
Bewerten Sie Ihre aktuelle Architektur. Dokumentieren Sie Ihre aktuellen Cloud-Regionen, Backup-Standorte, CDN-Edge-Caches und alle Dienste von Drittanbietern, die Daten verarbeiten oder speichern.
-
Identifizieren Sie Lücken. Vergleichen Sie Ihre aktuelle Architektur mit den Anforderungen. Zu den häufigsten Lücken gehören: Sicherungen, die in nicht konformen Regionen gespeichert werden, CDN-Caches, die Daten weltweit replizieren, und SaaS-Anbieter, die Daten an nicht konformen Orten speichern.
-
Wählen Sie die Zielarchitektur aus. Wählen Sie ein Muster mit mehreren Regionen, das alle identifizierten Anforderungen erfüllt und gleichzeitig Kosten, Leistung und betriebliche Komplexität in Einklang bringt.
-
Implementieren Sie die Datenweiterleitung. Konfigurieren Sie Ihre Anwendung so, dass Daten basierend auf der Gerichtsbarkeit der betroffenen Person an die entsprechende Region weitergeleitet werden. Dies erfordert möglicherweise Datenbank-Sharding nach Region, separate Speicher-Buckets pro Region oder eine Datenrouting-Ebene.
-
Anbietervereinbarungen aktualisieren. Stellen Sie sicher, dass alle Drittanbieter Daten in konformen Regionen speichern. Aktualisieren Sie DPAs und SCCs nach Bedarf. Überprüfen Sie die Unterauftragsverarbeiter der Anbieter.
-
Konfigurieren Sie Backups und DR. Stellen Sie sicher, dass die Backup- und Disaster-Recovery-Infrastruktur den Standortanforderungen entspricht. Die regionsübergreifende Replikation für DR muss innerhalb konformer Regionen erfolgen.
-
Alles dokumentieren. Führen Sie Aufzeichnungen über Datenflüsse, Speicherorte, Übertragungsmechanismen und Compliance-Entscheidungen. Diese Dokumentation wird von der DSGVO (ROPA) gefordert und von Prüfern erwartet.
-
Kontinuierliche Überwachung. Die Datenresidenz ist kein einmaliges Projekt. Neue Dienste, neue Anbieter, neue Kunden und neue Vorschriften können Ihre Anforderungen verändern. Integrieren Sie Datenresidenzprüfungen in Ihre Beschaffungs- und Architekturprüfungsprozesse.
Einzelheiten zum Erstellen der Audit-Trails, die zum Nachweis der Datenresidenz-Compliance erforderlich sind, finden Sie in unserem Leitfaden zur Audit-Trail-Compliance. Weitere Informationen zum Compliance-Kontext finden Sie in unserem Enterprise-Compliance-Handbuch.
Häufig gestellte Fragen
Gilt die Datenresidenz für Backups und Disaster-Recovery-Kopien?
Ja. Wenn eine Vorschrift vorschreibt, dass Daten in einem bestimmten Land gespeichert werden müssen, müssen sich auch Backup- und DR-Kopien in diesem Land befinden. Dies führt zu einem Konflikt mit Best Practices für die Notfallwiederherstellung, bei denen es sich typischerweise um geografisch entfernte Backups handelt. Die Lösung besteht darin, mehrere Verfügbarkeitszonen innerhalb des konformen Landes zu nutzen (AWS verfügt in den meisten Regionen über mehrere AZs) oder, sofern die Vorschriften dies zulassen, Backup-Standorte in Ländern mit gleichwertigem Datenschutz zu nutzen (z. B. ist die Sicherung deutscher Daten in Frankreich gemäß DSGVO grundsätzlich akzeptabel).
Wie gehen wir mit der Datenresidenz bei einem globalen CDN um?
CDNs wie Cloudflare und AWS CloudFront speichern Inhalte an Edge-Standorten weltweit zwischen. Bei statischen Inhalten (Bilder, CSS, JavaScript) stellt dies im Allgemeinen kein Problem hinsichtlich der Datenresidenz dar. Wenn Ihr CDN jedoch Antworten zwischenspeichert, die personenbezogene Daten enthalten, befinden sich diese zwischengespeicherten Kopien möglicherweise in nicht konformen Gerichtsbarkeiten. Zu den Lösungen gehören: Deaktivieren Sie das Caching für Antworten, die personenbezogene Daten enthalten, verwenden Sie ein CDN mit Geobeschränkungsfunktionen, um das Caching auf konforme Regionen zu beschränken, oder stellen Sie sicher, dass personenbezogene Daten niemals in zwischenspeicherbaren Antworten enthalten sind.
Können wir Verschlüsselung verwenden, um die Anforderungen an den Datenspeicherort zu erfüllen?
Im Allgemeinen nein. Die meisten Datenlokalisierungsgesetze konzentrieren sich auf den physischen Speicherort der Daten und nicht darauf, ob sie verschlüsselt sind. Verschlüsselte Daten, die an einem nicht konformen Ort gespeichert sind, werden weiterhin an einem nicht konformen Ort gespeichert. Allerdings kann die Verschlüsselung eine ergänzende Maßnahme für grenzüberschreitende Übermittlungen im Rahmen der DSGVO (insbesondere nach Schrems II) sein und möglicherweise einige Anforderungen an die Folgenabschätzung für Übermittlungen erfüllen.
Was ist mit den während der Übertragung verarbeiteten Daten? Ist das Routing wichtig?
Einige Vorschriften sind hinsichtlich der Datenübertragung nicht eindeutig. Der allgemeine Konsens besteht darin, dass die vorübergehende Weiterleitung verschlüsselter Daten durch eine nicht konforme Gerichtsbarkeit (z. B. Internet-Routing) keine Speicherung oder Verarbeitung in dieser Gerichtsbarkeit darstellt. Wenn Daten jedoch in einer nicht konformen Gerichtsbarkeit sinnvoll verarbeitet (entschlüsselt, analysiert, transformiert) werden, verstößt diese Verarbeitung gegen die Lokalisierungsanforderungen.
Wie gehen mandantenfähige SaaS-Plattformen mit der Datenresidenz um?
Multi-Tenant-SaaS-Plattformen stehen vor den komplexesten Herausforderungen bei der Datenresidenz. Zu den gängigen Ansätzen gehören: Bereitstellung separater Instanzen pro Region (am konformsten, aber am teuersten), Mandantenisolierung auf Datenbankebene mit regionsbezogenem Routing (ausgewogener Ansatz) oder Datenrouting auf Anwendungsebene, das die Daten bestimmter Mandanten an bestimmte Speicherregionen weiterleitet (am flexibelsten, aber am komplexesten zu implementieren).
Was kommt als nächstes?
Die Anforderungen an den Datenspeicherort werden weiter zunehmen, da immer mehr Länder Gesetze zur Datensouveränität erlassen und bestehende Vorschriften verschärft werden. Die Integration der Datenresidenz-Compliance in Ihre Architektur von Anfang an ist weitaus kostengünstiger als eine spätere Nachrüstung.
ECOSIRE unterstützt Unternehmen beim Entwurf datenresidentitätskonformer Architekturen für ihre ERP- und E-Commerce-Systeme. Unsere Odoo ERP-Implementierungen unterstützen Bereitstellungen in mehreren Regionen mit konformer Datenweiterleitung, und unsere Cloud-Infrastrukturdienste umfassen die Bewertung der Datenresidenz und das Architekturdesign. Für KI-gestützte Datenflusskartierung und Compliance-Überwachung erkunden Sie unsere OpenClaw AI-Plattform. Kontaktieren Sie uns, um Ihre Datenresidenzstrategie zu besprechen.
Veröffentlicht von ECOSIRE – Unterstützung von Unternehmen bei der Skalierung mit KI-gestützten Lösungen in Odoo ERP, Shopify eCommerce und OpenClaw AI.
Geschrieben von
ECOSIRE TeamTechnical Writing
The ECOSIRE technical writing team covers Odoo ERP, Shopify eCommerce, AI agents, Power BI analytics, GoHighLevel automation, and enterprise software best practices. Our guides help businesses make informed technology decisions.
ECOSIRE
Erweitern Sie Ihr Geschäft mit ECOSIRE
Unternehmenslösungen in den Bereichen ERP, E-Commerce, KI, Analyse und Automatisierung.
Verwandte Artikel
ERP für die chemische Industrie: Sicherheit, Compliance und Chargenverarbeitung
Wie ERP-Systeme SDS-Dokumente, REACH- und GHS-Konformität, Chargenverarbeitung, Qualitätskontrolle, Gefahrgutversand und Formelmanagement für Chemieunternehmen verwalten.
ERP für den Import-/Exporthandel: Mehrwährung, Logistik und Compliance
Wie ERP-Systeme Akkreditive, Zolldokumente, Incoterms, Gewinn- und Verlustrechnungen in mehreren Währungen, Containerverfolgung und Zollberechnung für Handelsunternehmen verwalten.
Nachhaltigkeits- und ESG-Reporting mit ERP: Compliance Guide 2026
Navigieren Sie im Jahr 2026 mit ERP-Systemen zur Einhaltung der ESG-Reporting-Compliance. Deckt CSRD, GRI, SASB, Scope 1/2/3-Emissionen, CO2-Tracking und Odoo-Nachhaltigkeit ab.
Mehr aus Compliance & Regulation
Cybersicherheit für E-Commerce: Schützen Sie Ihr Unternehmen im Jahr 2026
Vollständiger E-Commerce-Cybersicherheitsleitfaden für 2026. PCI DSS 4.0, WAF-Einrichtung, Bot-Schutz, Zahlungsbetrugsprävention, Sicherheitsheader und Reaktion auf Vorfälle.
ERP für die chemische Industrie: Sicherheit, Compliance und Chargenverarbeitung
Wie ERP-Systeme SDS-Dokumente, REACH- und GHS-Konformität, Chargenverarbeitung, Qualitätskontrolle, Gefahrgutversand und Formelmanagement für Chemieunternehmen verwalten.
ERP für den Import-/Exporthandel: Mehrwährung, Logistik und Compliance
Wie ERP-Systeme Akkreditive, Zolldokumente, Incoterms, Gewinn- und Verlustrechnungen in mehreren Währungen, Containerverfolgung und Zollberechnung für Handelsunternehmen verwalten.
Nachhaltigkeits- und ESG-Reporting mit ERP: Compliance Guide 2026
Navigieren Sie im Jahr 2026 mit ERP-Systemen zur Einhaltung der ESG-Reporting-Compliance. Deckt CSRD, GRI, SASB, Scope 1/2/3-Emissionen, CO2-Tracking und Odoo-Nachhaltigkeit ab.
Checkliste zur Prüfungsvorbereitung: Bereiten Sie Ihre Bücher vor
Vollständige Checkliste für die Prüfungsvorbereitung, die die Vorbereitung des Jahresabschlusses, die Begleitdokumentation, die Dokumentation der internen Kontrollen, die PBC-Listen der Prüfer und allgemeine Prüfungsfeststellungen umfasst.
Australischer GST-Leitfaden für E-Commerce-Unternehmen
Vollständiger australischer GST-Leitfaden für E-Commerce-Unternehmen, der die ATO-Registrierung, den Schwellenwert von 75.000 US-Dollar, Importe von geringem Wert, BAS-Einzahlung und GST für digitale Dienste abdeckt.