revisionssicher-archivieren

Revisionssicherheit – Was bedeutet revisionssicher Archivieren?

Der Begriff der Revisionssicherheit steht immer dann im Raum, wenn es um das revisionssicher und unveränderliche Aufbewahren von Akten geht. Nach Erlass der DSGVO beäugten viele Unternehmen ihre Archivierung und diskutierten, ob ihre Aufbewahrung und Datenhaltung den neuen Standards gerecht wird. Dabei galt die Pflicht, Archive revisionssicher zu machen bereits lange vor dem Erlass.

Bereits 2014 hatte die Bundesregierung die Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen, kurz GoBD zeitgemäß überarbeiten lassen. Sie gelten für alle, die mit Unterlagen zur Steuerermittlung oder Wertermittlung arbeiten.

Die Revisionssicherheit ist eines der obersten Gebote der Datenhaltung. Besonders im Rahmen der Digitalisierung ergeben sich für Unternehmer einige Fragen zur Aufbewahrung ihrer Dokumente. Wir erklären, welche Pflichten für die Aufbewahrung gelten und wie revisionssicher eine physische oder digitale Ablage wirklich ist. Revisionssicher Archivieren ist nicht schwer, doch es folgt einigen wichtigen Regeln.

Definition: Was ist Revisionssicherheit?

Revisionssicherheit ist mehr als ein Buzzword für die Buchhaltung. Es geht dabei um den grundlegenden Umgang mit Dokumenten in physischer und elektronischer Form und die Anforderung an Belegbarkeit und Sicherheit. Wenn Sie beruflich auf ein Dokument zugreifen und Informationen daraus zur Abrechnung, Steuerinformation oder Wertermittlung nutzen, erwarten Sie, dass es sich dabei um ein Original handelt und die Daten korrekt sind. Nichts anderes fordert die Revisionssicherheit, allerdings auf längere Zeit.

Revisionssicher Archivieren meint also das Archivieren von Dokumenten auf eine solche Art, dass sie nachträglich, also nach Ausstellung, nicht mehr manipuliert, editiert und konvertiert werden können. Zugriff und Vervielfältigung der meisten Dokumente sind davon nicht betroffen. Stattdessen muss sichergestellt sein, dass das Original revisionssicher zum Abgleich vorhanden bleibt.

Was bedeutet analoge Revisionssicherheit?

Wann ist ein Dokument analog revisionssicher verwahrt?

Diese Frage ist weit weniger einfach zu beantworten, als jene, wie Sie ein elektronisches Dokument revisionssicher abspeichern. Die Revisionssicherheit gedruckter Originale beginnt damit, dass Sie das Dokument empfangen. Es kann sich dabei um Rechnungen, Belege oder andere essentielle Informationen handeln. Wichtig ist, dass Sie es in dem Zustand konservieren, wie Sie es erhalten haben. Notizen, Anmerkungen und Manipulationen sind nach Erhalt auf einer Kopie zu erledigen.

Natürlich ist das in der Praxis nicht immer gewollt und umsetzbar. Möchten Sie beispielsweise auf einem Beleg das Ausstellungsdatum oder auf einer Rechnung die erfolgte Zahlung notieren, kann ein Steuerprüfer dies nicht beanstanden. Viel mehr dürfen keine Informationen hinterlassen werden, die den Eindruck erwecken, zum Original zu gehören.

Überblick:
Revisionssicherheit gedruckter Originale beginnt mit dem Empfang einer Rechnung.

Sämtliche Notizen oder Anmerkungen müssen auf der Kopie vorgenommen werden.

Elektronisch gleich revisionssicher?

Digitale Datensätze sind weniger einfach manipulierbar, obwohl es die Technik eher und genauer zulässt, Daten hinzuzufügen. Viele Dokumente sind daher automatisch revisionssicher. In den Metadaten finden sich Verfasser und exakte Uhrzeit der Erstellung. Eine Rechnung, die am 01.03. ausgestellt wurde und am 03.03. neu gespeichert wird, wurde ganz offensichtlich manipuliert.

Ganz so einfach gestaltet sich die Revisionssicherheit jedoch auch hier nicht. Mit krimineller Energie oder aus menschlichem Versagen heraus können Dateien so verändert werden, dass sie den Eindruck erwecken, sich in einem Originalzustand zu befinden.

Revisionssicher archivieren ist daher nicht damit getan, eine konsequente Digitalisierung durchzusetzen und alle Dokumente als digitale Kopien abzulegen. Es lässt sich jedoch sagen, dass digitale Akten in der Regel sicherer sind als analog abgelegte Archive. Sie sind dadurch auch revisionssicher.

Wie archiviert man revisionssicher?

Es gibt zahlreiche Arten, revisionssicher zu archivieren. Je nachdem ob und wie Sie sich mit Ihrem Unternehmen für digitale Archive entscheiden, ändern sich natürlich auch die Anforderungen, die die Archivierung an Revisionssicherheit stellt.

In der Revisionssicherheit gelten folgende Grundsätze. Die Daten müssen:

  • im Original vorliegen (oder original digital archiviert sein)
  • vor Verlust gesichert sein
  • unveränderbar, also revisionssicher, sein
  • jederzeit umfassend verfügbar sein
  • maschinell auswertbar sein

Konkret bedeutet dies für einen Datensatz, dass er revisionssicher verwahrt, aber jederzeit abrufbar sein muss. Hier kommt auch die Datensicherheit nach DSGVO Standards ins Spiel. Die neuen Richtlinien definieren nämlich, dass nur derjenige auf einen Datensatz Zugriff haben darf, der ihn tatsächlich für die Arbeit benötigt.

Die Menge der Mitarbeiter, die überhaupt auf eine alte Rechnung für Steuerzwecke zugreifen müssen, dürfte sich in den meisten Unternehmen an einer Hand abzählen lassen. Entsprechend können die Zugriffsrechte strikt zugeschnitten werden, um die Gefahr zu mindern, dass manipuliert wird.

Elektronische Sicherungen wie Signaturen, Meta-Angaben und Verläufe der Datenveränderung helfen dabei, eine Datei zu überwachen. Um bildlich zu sprechen, muss Ihre Datenhaltung wie ein Wikipedia-Eintrag werden. Wer dazu berechtigt ist, darf ihn lesen, doch bevor eine Änderung gespeichert wird, muss der Nutzer sich identifizieren lassen. In der Historie der Datei ist dann abgelegt, wer wann welche Änderung vorgenommen hat. Auch der Originalzustand lässt sich so rekonstruieren.

Schwieriger umsetzbar sind diese Punkte mit einer physischen Akte, die in einem verschlossenen Aktenschrank aufbewahrt wird. Wer Akten verändern oder entfernen möchte, benötigt auch hier Zugriff. Er hinterlässt jedoch keinerlei Spuren, was er verändert oder wann er einen Datensatz entfernt hat. Wer revisionssicher archivieren möchte, kommt daher auf lange Sicht nicht um die Arbeit mit digitalen Akten herum.

Revisionssicher archivieren: Das sagt das Gesetz

Eine Richtlinie, wie genau Revisionssicherheit definiert ist, gibt es in dieser Form nicht. Beim Thema revisionssicher Archivieren treffen vielmehr verschiedene Gesetze aufeinander, die für alle Branchen gleichermaßen gelten.

GoBD
(Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern)
• betrifft einen großen Bereich
• wie und in welcher Form muss abgelegt werden
• keine Regelung für aber für Revisionssicherheit
• regelt, wann eine Rechnung oder ein Beleg steuerlich verwendbar ist
• Original muss existieren & unveränderbar sein: kurz revisionssicher
DSGVO
(Datenschutz-Grundverordnung)
• Datensicherheit
• regelt Aufbewahrung interner Dokumente
• beim revisionssicheren archivieren, Sicherheitsstandards der DSGVO beachten
Verfahrensdokumentation der GoBD• regelt, wie Veränderungen am Dokument festgehalten werden müssen
• regelt das Vernichten alter Originale nach der Aufbewahrungsfrist

Was muss revisionssicher aufbewahrt werden?

Eine der wichtigsten Fragen rund um Revisionssicherheit ist jene, welche Dokumente eigentlich revisionssicher aufbewahrt werden müssen. Schließlich ist durch erhöhte Revisionssicherheit und Dokumentation mit diesen Akten ein höherer Aufwand verbunden. Vorweg sei gesagt, dass es angenehmer ist, wenn das Verfahren für alle wichtigen Datenbereiche des Unternehmens implementiert wird.

Digital lässt sich das gesamte Netzwerk beispielsweise über ein Monitoringprogramm überwachen. Sind hier alle Kundendaten, Akten und Abrechnungsdaten revisionssicher mitgeloggt, ist ein weiterer Aufwand deutlich geringer, als die Überwachung einer einzelnen Kategorie, die revisionssicher zu machen ist.

Als Faustregel gilt, dass Unternehmen alle Dokumente revisionssicher aufbewahren müssen, die mit ihren Aufträgen, Finanzen, Kommunikationswegen und Anweisungen in Verbindung stehen. Auch die Geschäftskorrespondenz muss revisionssicher aufbewahrt werden. Kundendaten, Rechnungen, Bücher, all das unterliegt einer Aufbewahrungsfrist von 6 bis 10 Jahren.

Müssen auch all diese Dokumente revisionssicher aufbewahrt werden? Ein klares Ja. Was einer gesetzlichen Aufbewahrungsfrist unterliegt, muss im Original revisionssicher erhalten werden. Dazu muss es revisionssicher verwahrt sein. Ausgenommen von der Regel sind also Dinge, die nur dem temporären Betrieb dienen. Notizen zu Projekten, Absprachen im Team, Dienstpläne und weiteres müssen nur solange aufbewahrt werden, wie sie intern benötigt werden.

Revisionssicher archivieren: Was passiert nach Digitalisierung mit den Dokumenten in
Papierform?

Sind die aktuellen Aufbewahrungsfristen abgelaufen, oder wurde das Büro erfolgreich digitalisiert, ergibt sich die Frage der Zukunft der Dokumente. Revisionssicher aufbewahrt wird nur, was wichtig ist. Einfaches Entsorgen ist also rechtswidrig, wenn dabei sensible Daten an Dritte gelangen könnten. Aber welche Dokumente können überhaupt geschreddert werden?

In Zukunft regelt die technische Richtlinie TR-03130 des BSI, wann ein Dokument ausreichend revisionssicher authentifiziert wurde, um nach dem Digitalisieren entsorgt zu werden. Übergeben Sie die Aufgabe, Ihre Akten revisionssicher zu digitalisieren, einem Dienstleister, setzt er die Richtlinie zuverlässig um. Bisher steht das Signaturverfahren jedoch noch immer vor der Schwierigkeit, Daten nicht in großen Mengen unterzeichnen zu können. Daher müssen sich Unternehmen aktuell darauf verlassen, dass die Identifikation über Nutzerdaten genügt.

Wer intern einscannt und digital archiviert, um die Dokumente revisionssicher zu machen, nutzt also idealerweise eine professionelle Software, die alle Metadaten zum Scan selbst ergänzt. Das Dokument muss dann revisionssicherschreibgeschützt und mit Zugriffsberechtigungen versehen werden. Wenn alles korrekt abgelaufen ist, steht am Ende ein korrekter Beleg und das Original kann fachmännisch vernichtet werden. Achtung: Gestempelte und persönlich unterzeichnete Dokumente verlieren häufig ihre Gültigkeit durch digitale Vervielfältigung.

Das benötigen Sie um revisionssicher zu archivieren

revisionssicher-archivieren-voraussetzungen

Das Archivieren nach Vorgaben der Sicherheit und Revisionssicherheit ist ein teures, aufwendiges Verfahren. Unternehmen, die sich ohne technische und fachmännische Hilfe der Digitalisierung revisionssicher stellen möchten, sollten Kosten und Anschaffungen genau abwägen. Die sicherste Aufbewahrung für neue Akten ist jedoch das digitale Ordnen.

Sie benötigen dazu zum einen hochqualitative Scanner, die mit Einzug Akten nahezu in Echtzeit Blatt für Blatt einlesen können. Pro Scanner mit Akteneinzug in einem Format, das für etwas größere Seiten bis A3 reicht, müssen Sie mit rund 2.500 Euro rechnen. Zudem sollten Sie sich für ein modernes Gerät mit hoher Hardware- und Zugriffssicherheit entscheiden, um Ihre Daten revisionssicher aber auch sicher vor Unbefugten ab Scan zu machen.

Ein eigenes Team, das die digitalen Akten anlegt und verwaltet, ist unumgänglich. Die meisten Unternehmen sourcen die Aufgabe, ständig neue Kundenkommunikation sofort bei Eingang zu scannen, an Dritte aus. Den Mitarbeitern selbst würden Sie durch die zusätzliche Aufgabe die Arbeitszeit stehlen.

Neben Servern oder einer sicheren Cloudlösung ist es ratsam, mit einem ausgereiften DMS auf dem aktuellen Stand der Sicherheit zu arbeiten.

Revisionssicher archivieren mit DMS: Was ist ein Dokumentenmanagement-System?

Das DMS, kurz für Dokumentmanagementsystem, unterstützt Sie dabei, revisionssicher zu archivieren. Es kann sich dabei um eine Komplettlösung vom Scan bis zum Monitoring und der Zugriffverwaltung handeln. Viele Unternehmen arbeiten jedoch mit verschiedenen Softwarelösungen, welche alle am Prozess der Verwaltung und Bearbeitung beteiligt sind.

Um mit den Daten revisionssicher zu arbeiten, empfiehlt es sich, die Datenverarbeitung regelmäßig zu aktualisieren und von der IT überwachen zu lassen. Da der Zugriff für Befugte jederzeit möglich sein muss, um eine Datei als revisionssicher zu markieren, sollte ein Datenzentrum im Unternehmen die Arbeit mit dem DMS mitbestimmen und sinnvoll ergänzen.