Revisionssicherheit

Recht

ZIELSTELLUNG REVISIONSSICHERHEIT

Hintergrund und Ausblick

• Aufkommen elektronischer und elektronisch signierter Dokumente im Verwaltungs- und Unternehmensbereich seit Jahren drastisch zunehmend
• Rechtssichere Aufbewahrung solcher Dokumente erforderlich - in Analogie zur Papierform
• Grundlage: gesetzliche Regelungen, eigene Nachweissicherung zur Vermeidung rechtlicher Nachteile

Problembereich

• Vielzahl technischer Lösungen, aber durch unterschiedlichste Anforderungen kein Patentrezept für jeden Einzelfall
• Rahmenbedingungen bei elektronischer Aufbewahrung selbst und Wahl geeigneter Systeme sowie organisatorische / technische Lösungen zu beachten

---

WARUM ÜBERHAUPT AUFBEWAHRUNG/ARCHIVIERUNG?

Aufbewahrung

umfasst jede Form der Erhaltung eines Dokuments – unabhängig davon, ob eine Speicherung im Datenmanagementsystem oder im Datenarchiv erfolgt, ob der Gesamtvorgang, zu dem das einzelne Dokument gehört, in der Bearbeitung abgeschlossen ist oder nicht oder ob eine bestimmte Aufbewahrungsdauer festgelegt ist

Archivierung

betrifft allein Unterlagen der öffentlichen Verwaltung: von „Archivgut“ wird dort erst dann gesprochen, wenn das Schriftgut bei der zuständigen Behörde ausgesondert, vom Archiv als archivwürdig eingestuft worden ist und „ewig“ verwahrt wird

Rechtliche Situation

• Das deutsche Recht kennt kein anwendungsübergreifendes „Aufbewahrungsgesetz“, mit einheitlichen Fristen und Anforderungen
• gesetzliche Dokumentations- und Aufbewahrungspflichten verteilt in versch. Gesetzen

Fallbeispiele

• Paradebeispiel für anwendungsspezifische Aufbewahrungspflichten sind die Vorschriften über die Erfüllung und den Nachweis einer ordnungsgemäßen Buchführung = oft so genannte Revisionssicherheit
• Welche Dokumentarten zur Erfüllung der Buchführungspflicht aufbewahrt werden müssen, ergibt sich teilweise aus handels- und steuerrechtlichen Vorschriften
• Ein weiteres Beispiel enthält die Musterberufsordnung für Ärztinnen und Ärzte mit der Pflicht zur „ärztlichen Dokumentation“

---

UNTERSCHIEDLICHE BEGRIFFE

Dokument

• Alle Arten von Informationen, die zur Wahrnehmung durch Menschen bestimmt sind und als Einheit zwischen Systemen oder Benutzern ausgetauscht werden können
• Bei elektronischen Dokumenten sind die Informationen maschinell les- und verarbeitbar und werden als Daten bezeichnet

Daten

Oberbegriff für Informationen, die von elektronischen Medien verarbeitet oder gespeichert werden

Akte

Zusammenstellung von sachlich zusammengehörigen Dokumenten, die als Einheit behandelt und zitiert werden, in der Regel mit Aktenzeichen

Dokumentart

Abstrakte Bezeichnung eines Dokuments in Bezug auf seinen Inhalt, z.B. der Arztbrief

Dokumentkategorie

• Anwendungsspezifische Bezeichnung einer nicht konkretisierten Anzahl und Art von Dokumenten, die zur Erfüllung einer bestimmten Funktion erforderlich sind, z.B. die ärztliche Dokumentation
• Die Dokumentkategorie wird durch die erf. Dokumentarten konkretisiert, zB besteht ärztliche Dokumentation u.a. aus: Arztbrief, Patientenkartei, EKG-Aufzeichnung, usw

---

AUFBEWAHRUNGSPFLICHTEN ÜBERSICHT

Vorgehensweise

• Kategorisierung der Dokumente / Daten usw.
• Feststellung der erforderlichen Aufbewahrungs- und Löschpflichten
• “OB” Aufbewahrungspflicht- oder würdigkeit vorliegt, sagt noch nichts über das “WIE” aus
• In zweitem Schritt Prüfung der einzelnen Anforderungen an die Archivierung, z.B. bestimmte Speicherformen, Dokumentformate, besondere Sicherungspflichten, usw.

Folgen

• Keine Pauschal-Lösungen möglich
• Teilweise Einzelfall-Abwägung auch nach rein wirtschaftl. Gesichtspunkten notwendig
• Fragestellung insbesondere bei Beweisführung und Folgen daraus relevant

Voraussetzungen Aufbewahrung: Sicherung der

• Lesbarkeit
• Integrität
• Authentizität
• Unversehrtheit der Daten
• eindeutige Bestimmung der Quelle der Daten

Lesbarkeit

• Sichtbarmachung der in den Daten enthaltenen Informationen
• Ein elektronisches Dokument ist lesbar, wenn die notwendige Hard- und Software die Daten verarbeiten und Informationen interpretieren und in lesbarer Weise präsentieren kann

Verkehrsfähigkeit

Möglichkeit, Dokumente und Akten von einem System zu einem anderen übertragen zu können, bei der die „Qualität“ des Dokuments sowie seine Integrität und Authentizität nachweisbar bleiben

Vollständigkeit

Bezug mehrerer aufgrund eines inneren Zusammenhangs zu einer Sammlung oder auch Akte zusammengefasster Einzeldokumente ist sichergestellt

Aufbewahrungsdauer: geregelt in Fachgesetzen

• Dauer kann im Einzelfall erheblich länger sein
• z.B. im Bereich Nuklearsicherheit: Revisionsunterlagen von Kernkraftwerken sind über 60 Jahre aufzubewahren
• ähnl. bei Zügen, Flugzeugen, Schiffen und anderen lang im Einsatz befindl. Transportmitteln

Aussergesetzliche Richtlinien und Standards

• Keine Rechtsnormen!
• Nur Orientierungshilfen hinsichtlich der Ausarbeitung und Vorgehensweise bei der Aufbewahrung
• Checklisten und “Best Practices”
• Im Streitfall Indizfunktion, daher Beachtung empfohlen

---

RECHTSSICHERHEIT / REVISIONSSICHERHEIT

⇒ Oft vertauscht / falsch verwendet

Rechtssicherheit

• kein feststehender Rechtsbegriff
• meint meist “Sicherheit, im Rechtsstreit mittels elektronischer Dokumente Beweis führen zu können” analog normalen, schriftlichen Dokumenten
• oft als Oberbegriff verwendet

Begriff Revisionssicherheit

wurde 1992 von Dr. Ulrich Kampffmeyer in einer Arbeitsgruppe des Verband Organisations- und Informationssysteme e.V. (VOI) geprägt und publiziert, um von dem damals kursierenden Begriff “rechtssichere Archivierung” wegzukommen (der als zu unscharf galt)

Begriff “revisionssichere Archivierung” meint

• ein Archivsystem, das: “die nach den Vorgaben der Allgemeinen Abgabenordnung (Handelsgesetzbuch und der Abgabenordnung) und der GoBS (Grundsätze ordnungsmäßiger DV -gestützter Buchführungssysteme) erforderlichen Daten und Dokumente sicher, unverändert, vollständig, ordnungsgemäß, verlustfrei reproduzierbar und datenbankgestützt recherchierbar verwaltet”

Explizite Beschränkung der Definition

• “auf Systeme, die aufbewahrungspflichtige Informationen speichern, die unter das Handelsgesetz, bzw. unter die Steuergesetzgebung fallen”
• Folge: Wenn Erfordernis der Beweisführung im Prozess angegeben wird, ist also Rechtssicherheit, nicht Revisionssicherheit gemeint

---

MERKSÄTZE VOI ZUR REVISIONSSICHERHEIT

• Jedes Dokument wird unveränderbar archiviert
• kein Dokument geht auf dem Weg ins Archiv oder im Archiv selbst verloren
• Jedes Dokument muss mit geeign. Retrievaltechniken wieder auffindbar sein (zum Beispiel durch Indexieren mit Metadaten)
• Es muss genau das Dokument wiedergefunden werden, das gesucht wurde
• Kein Dokument darf während seiner vorgesehenen Lebenszeit zerstört werden
• Jedes Dokument muss in genau der gleichen Form, wie es erfasst wurde, wieder angezeigt und gedruckt werden können
• Alle Inhalte müssen zeitnah wiedergefunden werden können
• Alle Aktionen im Archiv, die Veränderung in Organisation und Struktur bewirken, sind so zu protokollieren, dass die Wiederherstellung des ursprünglichen Zustandes möglich ist
• Elektronische Archive sind so auszulegen, dass eine Migration auf neue Plattformen, Medien, Softwareversionen und Komponenten ohne Informationsverlust möglich ist
• Das System muss dem Anwender die Möglichkeit bieten, die gesetzlichen Bestimmungen (BDSG, HGB, AO etc.) sowie die betrieblichen Bestimmungen des Anwenders hinsichtlich Datensicherheit und Datenschutz über die Lebensdauer des Archivs sicherzustellen

---

SPEZIALFALL EMAIL-ARCHIVIERUNG

Geschäftsrelevante Unterlagen über E-Mail

• Selbst (kleine) Handwerksfirmen, die ihre Rechnungen per E-Mail schreiben, müssen für eine rechtssichere IT-Infrastruktur sorgen
• Problem „erlaubte private Nutzung“
• In größeren Unternehmen ergibt sich zusätzlich das Problem, dass der Umgang der Mitarbeiter mit Mails entweder vollkommen ungeregelt ist oder zumindest teilweise private Nutzung von E-Mail erlaubt wird
• Private und geschäftliche E-Mails werden dadurch vermischt, damit gem. BDSG und nun auch EU-DSGVO keine server-basierte Archivierung ALLER E-Mails erlaubt

Übergreifende Regelung / Arbeitsanweisungen notwendig

• Mitarbeiter muss in der Lage sein und ist verpflichtet, zu entscheiden, ob und welche Email geschäftsrelevante Informationen enthält und damit zu archivieren ist
• von Seiten des Arbeitgebers daher entsprechende Einweisung / Fortbildung erforderlich

---

ZERTIFIKAT ZUR REVISIONSSICHERHEIT

Werbe-Aussage

Oft werben Hersteller von DMS- oder Archivsystemen damit, dass ihr System “revisionssicher archiviere” ⇒ diese Aussage ist falsch!

In Deutschland ist (z.B. im Gegensatz zu Österreich und Schweiz) kein DMS- oder Archivsystem “an sich” revisionssicher

Vollständige Verfahrens-Dokumentation notwendig

• Zusätzlich zur Sicherstellung der o.g. Anforderungen an das technische System ist eine vollständige Dokumentation des gesamten Arbeitsvorganges, vom Scannen bis zum Wiederauffinden zu erstellen

• Diese so genannte “Verfahrensdokumentation” muss zusammen mit der technischen Dokumentation von einem Wirtschaftsprüfer oder z.B. dem TÜV-IT geprüft und abgenommen werden, damit GENAU DIESES Archiv in GENAU DIESER Ausprägung als revisionssicher gilt

• Bei Änderungen an Technik/Verfahren ist Re-Zertifizierung erforderlich

• Korrekte Aussage also wäre: “das System UNTERSTÜTZT revisionssichere Archivierung”

---

EINSATZ ELEKTRONISCHER SIGNATUREN

Elektronische Signatur

• ermöglicht Integritäts- / Authentizitätsschutz, schützt jedoch NICHT vor Veränderungen am Dokument
• Beweiserleichterungen nur beim Einsatz qualifizierter Signaturen

Neu-Zertifizierungs-Zwang?

• Oft gehörte (oder vom Anbieter zu Werbezwecken verwendete) Aussage: “elektronische Dokumente müssen nach einer bestimmten Zeit zwingend neu signiert werden” ⇒ ist so nicht richtig

• Notwendigkeit einer Neusignierung ist rechtlich und zeitlich nicht festgelegt

• Es kann aber nicht ausgeschlossen werden, dass verwendete Hash- und Signaturverfahren schneller als vom BSI prognostiziert ihre Sicherheitseignung verlieren

• Rein der Ablauf der Gültigkeit eines Zertifikats hat jedoch noch keine Auswirkung auf die Sicherheitseignung der Hash- und Signaturverfahren

• Damit kein automat. Erfordernis einer Neusignierung

---

INTERESSANTE INFORMATIONEN HIERZU

• Dokumentation Nr. 564 des Bundes-Wirtschaftsministeriums: “Handlungsleitfaden zur Aufbewahrung elektronischer und elektronisch signierter Dokumente”

• www.bmwi.de

• www.voi.de

• www.gdpdu-portal.com/GDPdU_Allgemein/GDPdU_Erlaeuterung_02.htm

• www.gdpdu-portal.com/Checklisten/Dokumente/BITKOM_Leitfaden.pdf

• www.bsi.de

Quiz Revisionssicherheit

Frage 1: Ein Krankenhaus möchte die Patientendaten, einschließlich Röntgenbilder und Arztbriefe, digital archivieren. Nennen Sie drei Anforderungen, die das Archivsystem erfüllen muss, um die Rechtssicherheit zu gewährleisten.

Lösung

• Lesbarkeit: Das System muss in der Lage sein, die archivierten Daten, einschließlich der Röntgenbilder, auch in Zukunft anzuzeigen und zu interpretieren.
• Integrität: Die Daten müssen vor unberechtigten Änderungen geschützt sein, um sicherzustellen, dass sie im Originalzustand erhalten bleiben.
• Authentizität: Es muss jederzeit nachvollziehbar sein, von wem die Daten stammen und dass sie nicht manipuliert wurden.

Frage 2: Ein Steuerberater archiviert die Buchhaltungsunterlagen seiner Mandanten elektronisch. Welcher Begriff beschreibt die spezifischen Anforderungen an die Archivierung dieser Dokumente?

Lösung

Der Begriff Revisionssicherheit beschreibt die besonderen Anforderungen an die Archivierung von Dokumenten, die unter das Handels- und Steuerrecht fallen.

Frage 3: Ein Unternehmen möchte seine E-Mail-Kommunikation archivieren. Welche Herausforderung ergibt sich aus der privaten Nutzung von E-Mail durch Mitarbeiter?

Lösung

• Die private Nutzung von E-Mail durch Mitarbeiter führt zu einer Vermischung von privaten und geschäftlichen E-Mails.
• Da die Archivierung aller E-Mails aufgrund des Datenschutzes nicht zulässig ist, müssen Mitarbeiter klare Anweisungen erhalten, welche E-Mails geschäftsrelevant sind und archiviert werden müssen.

Frage 4: Ein Hersteller von Archivsystemen wirbt damit, dass sein System "revisionssicher archiviert". Ist diese Aussage korrekt? Begründen Sie Ihre Antwort.

Lösung

Nein, die Aussage ist nicht korrekt.
In Deutschland ist kein Archivsystem “an sich” revisionssicher. Die Revisionssicherheit wird erst durch die Kombination des technischen Systems mit einer vollständigen Verfahrensdokumentation und deren Prüfung durch einen Wirtschaftsprüfer oder den TÜV-IT erreicht.

Frage 5: Ein Unternehmen hat elektronische Dokumente mit einer qualifizierten elektronischen Signatur versehen. Muss das Unternehmen die Dokumente nach einer bestimmten Zeit neu signieren?

Lösung

• Nein, es gibt keine rechtliche oder zeitliche Vorgabe für die Neusignierung elektronisch signierter Dokumente.
• Die Notwendigkeit einer Neusignierung kann sich jedoch ergeben, wenn die verwendeten Hash- und Signaturverfahren ihre Sicherheitseignung verlieren.

Frage 6: Welche Auswirkung hat die zunehmende Digitalisierung auf die Archivierung von Dokumenten?

Lösung

• Zunahme elektronischer Dokumente: Die Digitalisierung führt zu einem starken Anstieg elektronischer Dokumente, die rechtssicher archiviert werden müssen.
• Herausforderungen: Dies stellt Unternehmen und Behörden vor neue Herausforderungen, da es keine einheitliche gesetzliche Regelung und eine Vielzahl technischer Lösungen gibt.

Frage 7: Nennen Sie drei außergesetzliche Richtlinien und Standards, die bei der Archivierung von Dokumenten beachtet werden sollten.

Lösung

• Checklisten für die Archivierung
• “Best Practices” im Bereich der Archivierung
• Dokumentationen und Leitfäden von Verbänden und Institutionen wie dem Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. (BITKOM) oder dem Bundesamt für Sicherheit in der Informationstechnik (BSI)

Frage 8: Ein Architekturbüro archiviert die Baupläne seiner Projekte digital. Welche Maßnahmen sind notwendig, um die Verkehrsfähigkeit der Dokumente zu gewährleisten?

Lösung

• Die Baupläne müssen in einem Format gespeichert werden, das auch von anderen Systemen gelesen und verarbeitet werden kann.
• Bei der Übertragung der Dokumente muss sichergestellt sein, dass die Qualität der Daten, ihre Integrität und ihre Authentizität erhalten bleiben.

Frage 9: Was versteht man unter dem Begriff Dokumentkategorie? Geben Sie ein Beispiel.

Lösung

• Eine Dokumentkategorie ist eine anwendungsspezifische Bezeichnung für eine Gruppe von Dokumenten, die zur Erfüllung einer bestimmten Funktion erforderlich sind.
• Beispiel: Die Dokumentkategorie “Ärztliche Dokumentation” umfasst verschiedene Dokumentarten wie Arztbrief, Patientenkartei und EKG-Aufzeichnung.

Frage 10: Ein Online-Shop möchte die Bestelldaten seiner Kunden für zehn Jahre archivieren. Ist das ausreichend, um alle gesetzlichen Aufbewahrungsfristen zu erfüllen?

Lösung

• Nein, die Aufbewahrungsfristen variieren je nach Dokumententyp und geltenden Gesetzen.
• Beispiel: Revisionsunterlagen von Kernkraftwerken müssen im Bereich der Nuklearsicherheit über 60 Jahre aufbewahrt werden.
• Es ist wichtig, alle relevanten Fachgesetze zu prüfen, um die korrekten Aufbewahrungsfristen zu ermitteln.