Zehn Merksätze
Eine umfassende Übersicht darüber, wie eine ordnungsgemäße Aufbewahrung elektronischer Dokumente in der Praxis umzusetzen ist — abgeleitet aus den maßgeblichen rechtlichen Vorgaben der Abgabenordnung (AO), des Handelsgesetzbuchs (HGB) sowie der GoBD (Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff) —, findet sich in den nachfolgenden zehn Merksätzen, die diese Anforderungen übersichtlich und praxisnah zusammenfassen.
1. Jedes Dokument muss nach den gesetzlichen und unternehmensinternen Vorschriften ordnungsgemäß aufbewahrt werden.
Diese Anforderung beschreibt das zentrale Ziel der analogen und digitalen Aufbewahrung: die verlässliche und rechtskonforme Aufbewahrung von Dokumenten. Dabei ist stets zu berücksichtigen, dass die konkrete Ausgestaltung der jeweiligen Lösung immer auch von den speziellen Anforderungen der jeweiligen Einsatzumgebung und den damit verbundenen organisatorischen Prozessen und IT-bezogenen Realisierungen abhängt.
2. Die Aufbewahrung hat vollständig zu erfolgen — kein Dokument darf auf dem Weg in die analoge Endablage beziehungsweise das digitale Archiv verloren gehen.
Diese Anforderung hebt darauf ab, dass alle benötigten Dokumente vollständig erfasst und entsprechend geordnet analog in einem geschützten Lagerraum abgelegt oder im digitalen Archiv gespeichert werden. Nur so können die gesetzlichen Dokumentationsanforderungen erfüllt und Vorgänge jederzeit lückenlos nachvollzogen werden.
3. Jedes Dokument muss zum organisatorisch frühestmöglichen Zeitpunkt archiviert werden.
Die Verarbeitung und digitale Speicherung von Dokumenten haben in jedem Fall zeitnah zu erfolgen. Hierbei sorgt eine digitale Lösung für Integrität und jederzeitige Verfügbarkeit der Dokumente. Sofern eine — auch langzeitbezogene — Unveränderbarkeit von Dokumenten erforderlich ist, lässt sich auch diese Anforderung durch das digitale Archiv frühzeitig abdecken.
4. Jedes Dokument muss mit seinem Original übereinstimmen und unveränderbar archiviert werden.
Diese Anforderung spiegelt den Grundsatz wider, dass ein archiviertes Dokument dem Original zu jedem Zeitpunkt — auch langzeitbezogen — in beweissicherer Art entsprechen muss. Je nach Dokumentenart und Einsatzzweck kann es sich dabei um eine inhaltliche und /oder bildliche Übereinstimmung mit dem Papieroriginal oder einem digitalen Originaldokument handeln.
5. Jedes Dokument darf nur von entsprechend berechtigten Benutzern eingesehen werden können.
Diese Anforderung dient dem Schutz vertraulicher, betrieblicher Informationen sowie der Einhaltung des Datenschutzes bei der Verarbeitung personenbezogener Daten. In diesem Zusammenhang ist ein entsprechendes Berechtigungskonzept für die Nutzung der Lösung zu entwickeln und anschließend umzusetzen.
6. Jedes Dokument muss in angemessener Zeit recherchiert und angezeigt werden können.
Archivierte Dokumente müssen dem Benutzer in angemessener Zeit am Bildschirm zur Verfügung stehen. Die Benutzer geben die maximal tolerierbare Zeit für die Suche und Anzeige aufgrund fachlicher Anforderungen vor. Dabei ist die Realisierung insbesondere vom jeweiligen Stand der Informationstechnologie des Unternehmens abhängig. Untersuchungen und Erfahrungen zeigen, dass die Akzeptanz der Benutzerinnen und Benutzer gegeben ist, wenn ein Dokument spätestens drei Sekunden nach dem Suchaufruf auf dem Bildschirm angezeigt wird.
7. Das unberechtigte und/oder unnachvollziehbare Löschen von Dokumenten ist technisch und organisatorisch auszuschließen und entsprechend so zu organisieren, dass sowohl Aufbewahrungsfristen eingehalten als auch gesetzliche Löscherfordernisse erfüllt werden können.
Ein Dokument darf frühestens nach Ablauf seiner Aufbewahrungsfrist oder muss unverzüglich nach Maßgabe der gesetzlichen Vorschriften vernichtet — das heißt aus dem Archiv gelöscht — werden. Die DSGVO schreibt hier vor, dass Dritte eine unverzügliche Löschung ihrer Dokumente aus einem digitalen Archiv verlangen können. Das Unternehmen muss dies gewährleisten, wenn die in Artikel 17 der DSGVO angegebenen Bedingungen erfüllt sind, und den Kunden über die Löschung informieren.
8. Jede ändernde Aktion im digitalen Archiv muss für Berechtigte nachvollziehbar protokolliert werden. Diese Anforderung entspricht dem „Radierverbot“ in der Buchhaltung. Dabei ist zu gewährleisten, dass nachträgliche Änderungen erkennbar sind und dass der ursprüngliche Zustand eines Dokumentes während der gesamten Aufbewahrungsfrist abgerufen und angezeigt werden kann.
9. Es ist zu gewährleisten, dass das gesamte organisatorische beziehungsweise technische Verfahren der Archivlösung von einem sachverständigen Dritten jederzeit geprüft werden kann.
Diese Anforderung bedeutet, dass die Lösung beim jeweiligen Betreiber tatsächlich im Sinne all der zuvor aufgeführten Merksätze im Einsatz ist. Für den Nachweis ist die in der GoBD geforderte Verfahrensdokumentation unverzichtbar, andererseits muss jederzeit der ordnungsgemäße laufende Betrieb überprüfbar sein, zum Beispiel anhand von Protokollen und Maßnahmen im Rahmen eines internen Kontrollsystems.
10. Bei allen Migrationen und Änderungen am Archivsystem muss die Einhaltung aller zuvor aufgeführten Merksätze sichergestellt sein.
Diese Anforderung ergibt sich aus der Erfahrung, dass die Innovationszyklen der eingesetzten Hard- und Software in der Regel sehr viel kürzer sind als die Aufbewahrungsfristen, die für bestimmte Dokumentenarten (zum Beispiel Hypothekenverträge) gelten.
Während der Aufbewahrungsfristen kommt es also praktisch immer zu Änderungen am Archivsystem — das reicht vom Austausch einzelner Geräte bis hin zur Migration des kompletten Archivbestandes in ein vollkommen anderes technisches System. Bei derartigen Migrationsmaßnahmen müssen sämtliche aufgeführten Merksätze beachtet werden. Insbesondere sind Änderungen und Maßnahmen der Migration und Veränderungen am Archivbestand, zum Beispiel nicht migrationsfähige Dokumente, sorgfältig zu dokumentieren, sodass die Ordnungsmäßigkeit der Migration sowie der Nachweis der Vollständigkeit während der gesamten Dauer der Aufbewahrungsfrist transparent und überprüfbar sind.