Zurück zu Blog
Go digital!
Revisionssichere Archivierung
TANTZKY ist seit vielen Jahren einer der führenden, regionalen Lösungsanbieter im Bereich Druck-, Dokumenten- und Digitalisierungs-Management. Für unsere Kunden schaffen wir Lösungen – individuell angepasst an die unternehmens-spezifischen IT-Anforderungen und Ihre Digitalisierungstrategie.
Was gilt es zu beachten?
Ob Verträge, Rechnungen oder Korrespondenzen – der Austausch von Dokumenten findet heutzutage größtenteils digital statt. Eine effiziente Verwaltung von elektronischen Unterlagen wird daher immer wichtiger.
Um dabei rechtlich auf der sicheren Seite zu sein, haben wir Ihnen hier die wesentlichen Informationen zur revisionssicheren Archivierung zusammengestellt.
Revisionssicherheit - bedeutet was?
Der Begriff Revisionssicherheit bezieht sich auf die revisionssichere Archivierung für elektronische Archivsysteme. Der Begriff orientiert sich am Verständnis der Revision aus wirtschaftlicher Sicht und betrifft aufbewahrungspflichtige oder aufbewahrungswürdige Informationen und Dokumente.
Unter revisionssicherer Archivierung versteht man allgemein den Schutz gespeicherter Daten vor nachträglicher Abänderung, Fälschung oder Manipulation. Dabei ist Datenspeicherung und Archivierung vor allem mit Blick auf die vielen parallel geltenden Vorschriften ein zunehmend komplexes Thema. Neben der Datenschutzgrundverordnung (DSGVO) müssen in Deutschland elektronische Archivsysteme den Anforderungen des Handelsgesetzbuches (§§ 239, 257 HGB), der Abgabenordnung (§§ 146, 147 AO), den Grundsätzen zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD) und weiteren steuerrechtlichen und handelsrechtlichen Vorgaben entsprechen.
Die Archivierungspflicht betrifft Unternehmen, Geschäftsleute, Handelsgesellschaften und juristische Personen gleichermaßen. Die Archivierungsdauer hängt wiederum von der Art der Korrespondenz ab. Während herkömmliche Handels- und Geschäftsbriefe, also jegliche geschäftliche E-Mail-Kommunikation und Korrespondenz, die mit Zahlen zu tun hat, sechs Jahre lang aufbewahrt werden müssen, unterliegen Rechnungen, Buchungsbelege, Bilanzen und Jahresabschlüsse einer bis zu 10-jährigen Archivierungsdauer.
Gerade mit Blick auf variierende Aufbewahrungsfristen ist ein effizientes Dokumentenmanagement unerlässlich. Da uns inzwischen die meisten Unterlagen digital vorliegen, empfiehlt es sich ein elektronisches Dokumentenmanagement zu nutzen, um digitale Dokumente datenbankgestützt zu verwalten und zu archivieren. Mit der entsprechenden Software können zudem Unternehmensdaten vor unberechtigtem Zugriff geschützt werden und nachträglich vorgenommene Änderung jederzeit nachvollziehbar erfasst werden.
Alle Fristen im Blick – mit TANTZKY Dokumenten-Management Lösungen können Sie Ihre Dokumente intelligent archivieren und verwalten. #LÄUFT
Revisionssichere Archivierung
Revisionssicher archivieren bedeutet, Dokumente in digitaler oder gedruckter Form vor nachträglichen Änderungen, Fälschungen oder Manipulation zu schützen. Welche Anforderungen für ein revisionssicheres, digitales Archiv beziehungsweise ein revisionssicheres Dokumentenmanagement in Unternehmen gelten, ist in den "Grundsätzen zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff" (GoBD) festgelegt.
Der Begriff "Revisionssicherheit" bezieht sich dabei nicht nur auf die Archivsoftware, sondern auch auf das ganze Verfahren der revisionssicheren Archivierung. Man spricht von einem dokumentierten Verfahren oder einer Verfahrensdokumentation. Dokumentiert werden die eingesetzten Prozesse und Techniken zur elektronischen Archivierung, die verwendete Software sowie die Arbeitsweise der Mitarbeitenden. Im Zentrum steht die Überprüfbarkeit und Nachvollziehbarkeit, sprich: ob und wie digitale Dokumente revisionssicher und GoBD-konform abgelegt werden.
Revisionssicher & GoBD-konform:
10 Anforderungen
1. Ordnungsmäßigkeit und Richtigkeit
Jedes Dokument muss nach rechtlichen und organisationsinternen Anforderungen ordnungsgemäß archiviert werden. Die Geschäftsvorfälle sind so zu verarbeiten, dass sie geordnet darstellbar sind.
6. Nutzung nur durch Berechtigte
Nur berechtigte Anwender haben Zugriff auf die archivierten Dokumente und Informationen. Der Zugriff auf sensible und vertrauliche Daten muss für berechtigte Personengruppen gezielt erteilt oder entzogen werden.
2. Vollständigkeit
Kein Dokument sowie Informationen dürfen auf dem Weg ins Archiv oder im digitalen Archiv selbst verloren gehen. Sämtliche steuerrelevanten Unterlagen (Dokumente, E-Mails usw.) eines Geschäftsvorfalls müssen archiviert werden.
7. Einhaltung der Aufbewahrungsfristen
Kein Dokument darf vor Ablauf der Aufbewahrungsfrist gelöscht werden. Die jeweilige Aufbewahrungsfrist beginnt immer mit dem Ende des Kalenderjahres, in dem die letzte Bucheintragung erfolgt ist.
3. Sicherheit des Gesamtverfahrens
Dokumente müssen nach Eingang oder ihrem erstmaligen Aufsetzen zum frühestmöglichen Zeitpunkt archiviert werden. Durch eine entsprechende Prozessdokumentation wird lückenlos protokolliert, wann was archiviert oder geändert wurde. Das interne Kontrollsystem muss dies regelmäßig überprüfen.
8. Dokumentation des Verfahrens
Hierzu ist eine entsprechende Verfahrensdokumentation zu erstellen. Diese dient dazu alle Prozesse und Abläufe der Archivierung technisch und organisatorisch festzuhalten.
4. Schutz vor Veränderung, Verfälschung und Protokollierung
Elektronisch digitalisierte Dokumente haben mit dem originalen Dokument übereinzustimmen, eine nachträgliche Änderung ist nicht zulässig. Das Archivsystem sichert unabhängig vom Medium die Unveränderbarkeit der Information. Alle Aktionen im Archiv, die Veränderungen in der Organisation und Struktur bewirken, sind derart zu protokollieren, dass die Wiederherstellung des ursprünglichen Zustandes möglich ist.
9. Nachvollziehbarkeit
Erforderlichen Aufzeichnungen müssen durch einen Beleg nachgewiesen sein oder nachgewiesen werden können. Ein elektronisches Dokument ist mit einem nachvollziehbaren und eindeutigen Index zu versehen und muss in genau der gleichen Form, wie es erfasst wurde, in angemessener Zeit wieder angezeigt und gedruckt werden können.
5. Sicherung vor Verlust
Es ist sicherzustellen, dass Dokumente nicht einfach gelöscht oder verloren werden können. Dazu zählen auch geeignete Backup-Verfahren wie die Datensicherung.
10. Prüfbarkeit
Erfordert eine Betriebsprüfung den Zugriff auf Daten, die beim Steuerpflichtigen gespeichert sind, muss ein sachverständiger Dritter das gesamte Verfahren und den Inhalt der digitalen Archivierung (organisatorisch als auch technisch, Einzelprüfung) jederzeit überprüfen können.
DocuWare hat die Auszeichnungen für Sicherheit, Compliance und Benutzerfreundlichkeit erhalten, die für die sichere Dokumenten-Archivierung wichtig sind.
Standardisierung der Archivierung
Wesentliche Voraussetzung für die langfristige Verfügbarmachung elektronischer Information ist die Einhaltung von Standards. Zu berücksichtigen sind standardisierte Prozesse, Aufzeichnungsformate, Metadaten, Medien und die Dateiformate der Informationsobjekte selbst.
Schon bei der Erzeugung von Daten sollte die langfristige Speicherung berücksichtigt werden. Langzeitig stabile Formate sollten bevorzugt verwendet werden. Eigenschaften eines solchen Formats sollten eine weite Verbreitung, eine offene Spezifikation (Norm) oder die spezielle Entwicklung als Format zur langfristigen Datenspeicherung sein. Beispiele sind XML-Dateien und PDF-Formate.
Dazu gehört auch, dass elektronische Dokumente unabhängig von Bearbeitungs-Tools und Betriebssystemen unverändert bleiben. PDF/A stellt somit auch nach sehr langen Zeiträumen die Lesbarkeit eines PDF-Dokuments sicher und erfüllt somit die Bedingungen einer revisionssicheren Archivierung.
Was ist das Format PDF/A?
PDF/A ist eine Abkürzung für "Portable Document Format Archivable". Dies ist ein Dateiformat zur Langzeitarchivierung digitaler Dokumente. Es ist eine Unterart von PDF und wurde von der International Organization for Standardization (ISO) genormt. Der ISO-Standard legt fest, in welcher Form Elemente wie Schriften oder Layout der PDF-Versionen für eine Langzeitarchivierung angewandt werden müssen.
Zum Blog-Beitrag
Rechtssichere Archivierung & Datenschutz DSGVO
Eine weitere Herausforderung des modernen digitalen Dokumentenmanagements ist die Verarbeitung personenbezogener Daten. Neben der Aufbewahrungsfunktion muss ein Dokumentenmanagementsystem (DMS) in der Lage sein, Daten nach einem bestimmten Zeitraum vollständig zu löschen. Da jedes einzelne Dokument eine andere Aufbewahrungsfrist besitzt, wäre es jedoch ein kaum zu bewältigender Aufwand, die betreffenden Dateien händisch aus dem System zu entfernen. Vor diesem Hintergrund sollte das DMS in der Lage sein, Daten nach Ablauf der Frist automatisch zu löschen.
Gleichzeitig müssen alle, die personenbezogene Daten verwenden, jederzeit darüber Auskunft geben können, zu welchem Zweck diese Daten gespeichert wurden und um welche Daten es sich dabei konkret handelt. Auch diese Informationen muss ein DMS bei Bedarf bereitstellen können.
Wenn es um rechtswirksame Beweiswerterhaltung im elektronischen Rechtsverkehr geht, sind weitere Vorschriften zu beachten:
Bundesnetzagentur (BnetzA) – „Bekanntmachung zur elektronischen Signatur nach dem Signaturgesetz und der Signaturverordnung: Auflistung geeigneter Algorithmen und Parameter“
Deutsche Institut für Normung e. V. (DIN) definiert in der DIN 31644:2012-04: „Information und Dokumentation - Kriterien für vertrauenswürdige digitale Langzeitarchive“
In der DIN 31647:2015-05: „Information und Dokumentation - Beweiswerterhaltung kryptographisch signierter Dokumente“ werden technische und sicherheitsrelevante Anforderungen an die langfristige Aufbewahrung von digital signierten Dokumenten unter Wahrung der Rechtskraft der digitalen Signatur definiert.
Das BSI hat in seiner technischen Richtlinie „BSI TR-03138 RESISCAN: Ersetzendes Scannen“ die sicherheitsrelevanten technischen und organisatorischen Maßnahmen, die beim ersetzenden Scannen zu berücksichtigen sind, zusammengestellt.
In der technischen Richtlinie „BSI TR-03125 TR-ESOR: Beweiswerterhaltung kryptographisch signierter Dokumente“ nebst seinen Anhängen stellt das BSI einen Leitfaden zur Verfügung, der beschreibt, wie elektronisch signierte Daten und Dokumente über lange Zeiträume, bis zum Ende der Aufbewahrungsfristen, im Sinne eines rechtswirksamen Beweiswerterhalts vertrauenswürdig gespeichert werden können.
Standardwerk des Dokumentenmanagements
"Code of Practice"
Als Orientierungshilfe für das rechtskonforme Handling von elektronischen Dokumenten gilt der „Code of Practice“ vom Fachverband der Dokumentenmanagementbranche. Der Verband Organisations- und Informationssysteme (VOI) hat diesen im Jahr 1996 allgemeingültig veröffentlicht. Dieser wird regelmäßig ergänzt und aktualisiert.
Zusammenfassend bezieht sich Revisionssicherheit auf die Prüfbarkeit des eingesetzten Verfahrens der Aufbewahrung und somit nicht nur auf technische Komponenten, sondern auf die gesamte Lösung. Revisionssicherheit schließt sichere Abläufe, die Organisation des Anwenderunternehmens, die ordnungsgemäße Nutzung, den sicheren Betrieb und den Nachweis in einer Verfahrensdokumentation ein. Wesentliches Merkmal revisionssicherer Archivsysteme ist, dass die Informationen wieder auffindbar, nachvollziehbar, unveränderbar und verfälschungssicher archiviert sind. Revisionssichere Archivierung ist ein wesentlicher Bestandteil für die Compliance von Informationssystemen.
Zertifizierung von elektronischen Archivsystemen
Die Überprüfung der Einhaltung der Vorgaben und die Zertifizierung von elektronischen Archivsystemen, bzw. in kaufmännische Anwendungen oder Dokumentenmanagement integrierte Archivkomponenten, erfolgen in der Regel durch Wirtschaftsprüfer beim Anwender vor Ort. Seitens des Institut der Wirtschaftsprüfer in Deutschland e. V. gibt es hierfür mit den IDW RS FAIT (Fachausschuss für Informationstechnologie) eigene Vorgaben.
Die Einhaltung der Revisionssicherheit kann auf Grundlage einer Verfahrensdokumentation auch durch TÜViT zertifiziert werden. Basis hierfür sind die Prüfkriterien für Dokumentenmanagementlösungen (PK-DML) des VOI e. V.
Allgemein gültige Zertifizierungen für die Revisionssicherheit einzelner Hardware- oder Softwareprodukte wie z. B. optische Speicher gibt es nicht. Die GoBD messen Zertifikaten Dritter keine Bedeutung zu.
Die Revisionssicherheit einer Lösung wird individuell beim einzelnen Anwenderunternehmen geprüft und beinhaltet die Ordnungsmäßigkeit des gesamten Verfahrens, die Nutzung der eingesetzten Hard- und Softwaresysteme, die Qualität der Informationen und Prozesse sowie den sicheren Betrieb. Der ausschließliche Betrieb eines elektronischen Dokumentenmanagements ist somit also nicht ausreichend für eine Revisionssicherheit.
Wir freuen uns auf Ihre Kontaktaufnahme.
Live-Präsentation im TANTZKY Showroom
Gerne stellen wir Ihnen unser Produkt-Portfolio vor.
Testen Sie Soft- und Hardware in unserem Showroom.
Vorbeikommen und Ausprobieren.
Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.