xSuite Blog

Expertenwissen zu Digitalisierung & Automatisierung von Geschäftsprozessen

Revisionssicher archivieren: Was heißt das eigentlich?

08 .06 .2021

Blogartikel: Revisionssicher archivierenIm deutschen Sprachraum ist „revisionssicher“ das zentrale Schlagwort, wenn es um die digitale Archivierung von Geschäftsdokumenten geht. In diesem Artikel wollen wir erklären, was genau mit „revisionssicherer Archivierung“ gemeint ist und worauf es zu achten gilt.

Die „Revisionssicherheit“ wurde in den 1990ern geboren

Der Ausdruck „revisionssicher“ ist vor rund 30 Jahren entstanden, um die Anforderungen an die zu diesem Zeitpunkt aufkommende elektronische Archivierung von Geschäftsdokumenten zusammenzufassen. Die Idee dahinter ist, dass die elektronische Archivierung technisch und organisatorisch so aufgesetzt sein muss, dass ein interner oder externer Prüfer im Rahmen einer Revision nichts zu beanstanden hat.

Damit verweist „revisionssicher“ inhaltlich auf die Anforderungen an die Aufbewahrung von Geschäftsdokumenten. Die ergeben sich in Deutschland aus dem Handelsgesetzbuch (HGB) und der Abgabenordnung (AO). Die Erfordernisse an die technische Umsetzung bei (teil-)digitalisiertem Arbeiten wird dabei von den Grundsätzen zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD) spezifiziert. Andersherum kommt das Wort „revisionssicher“ aber in HGB, AO und GoBD gar nicht vor – was sich dadurch erklärt, dass es eigentlich ein Marketingbegriff ist, der eben nicht genau spezifiziert ist.

Aufgrund seiner bildlichen Aussagekraft und Greifbarkeit hat der Begriff sich aber trotzdem durchgesetzt und ist zum Synonym für eine digitale Archivierung von Geschäftsdokumenten geworden, die alle gesetzlichen Bestimmungen sowie interne Compliance-Anforderungen erfüllt.

Revisionssichere Archivierung: Worauf ist zu achten?

Der VOI (Verband Organisations- und Informationssysteme e.V.) hat den Begriff „revisionssicher“ mitgeprägt. Dementsprechend gibt es vom VOI 10 Leitsätze, worauf bei der elektronischen Aufbewahrung von Dokumenten zu achten ist (ursprünglich war nur von „Archivierung“ von Dokumenten die Rede, der Begriff wurde aber im Zuge der letzten Aktualisierung der 10 Leitsätze im Mai 2019 durch den Begriff „Aufbewahrung“ ersetzt).

(1) Ordnungsmäßigkeit

VOI-Leitsatz: Jedes Dokument muss nach den gesetzlichen und unternehmensinternen Vorschriften ordnungsgemäß aufbewahrt werden.

Die ordnungsgemäße Aufbewahrung ist der Kern, worum es bei der elektronischen Archivierung von Geschäftsdokumenten geht. Daher bezieht sich der erste Leitsatz des VOI darauf.

Wichtig ist zu beachten, dass dieser Grundsatz zwar für alle Unternehmen gilt, die Ausgestaltung der Aufbewahrung aber sehr unterschiedlich aussehen kann. Für bestimme Branchen gibt es besondere rechtliche Anforderungen, international sind die Regelungen unterschiedlich und zusätzliche unternehmensinterne Compliance-Richtlinien sind auch individuell. Damit gibt es nicht eine Umsetzung, die für alle Unternehmen und Anwendungsfälle stets passend ist.

(2) Vollständigkeit

VOI-Leitsatz: Die Archivierung hat vollständig zu erfolgen – kein Dokument darf auf dem Weg in das digitale Archiv oder im Archiv selbst verloren gehen.

Dieser Leitsatz zielt auch auf die Lückenlosigkeit ab. Alle Vorgänge müssen im Nachhinein nachvollziehbar sein, dazu müssen sie vollständig vorliegen. Eine Dokumentation ist dazu ebenfalls empfehlenswert. 

(3) Frühzeitige digitale Ablage

VOI-Leitsatz: Jedes Dokument ist zum organisatorisch frühestmöglichen Zeitpunkt zu archivieren.

Hier geht es zum einen darum, den Verlust oder die Beschädigung von Papierdokumenten im Verarbeitungsprozess zu vermeiden. Ein typisches Beispiel ist der Kaffeebecher, der sich bei der Rechnungsprüfung über den Papierbeleg ergossen hat. Zum anderen geht es um die Nachvollziehbarkeit. Ein elektronisches System kann lückenlos dokumentieren, welche Schritte wann und in welcher Reihenfolge erfolgt sind. Damit ergibt sich ein Vorteil gegenüber der Arbeit mit Papierbelegen, wo zum Beispiel nicht erkenntlich ist, welche Unterschrift im Buchungsstempel auf einer Rechnung wann und in welcher Reihenfolge eingetragen wurde.

(4) Unveränderbarkeit

VOI-Leitsatz: Jedes Dokument muss mit seinem Original übereinstimmen und unveränderbar archiviert werden.

Dieser Punkt kommt insbesondere zum Tragen, wenn es um digitalisierte Papierbelege (Stichwort: ersetzendes Scannen) geht, die archiviert werden sollen. Diese müssen selbstverständlich mit dem Original übereinstimmen. Es ist außerdem erforderlich, dass nachträgliche Manipulationen an Dokumenten ausgeschlossen werden können – und dass Sie dies auch nachweisen können. Zu diesem Zweck bieten elektronische Archive eine umfassende Protokollierung an.

(5) Berechtigungen

VOI-Leitsatz: Jedes Dokument darf nur von entsprechend berechtigten Benutzern eingesehen werden können.

Dieser Punkt ist besonders relevant, wenn es um die Archivierung von Dokumenten geht, die vertrauliche Informationen enthalten. Gesetzliche Vorgaben gibt es zudem, wenn es um personenbezogene Daten geht (nach DSGVO). Gegebenenfalls gibt es für bestimmte Bereiche oder Branchen noch weitere Anforderungen, die ein besonders gezieltes, restriktives Berechtigungskonzept erforderlich machen.

(6) Recherche und Anzeige

VOI-Leitsatz: Jedes Dokument muss in angemessener Zeit recherchiert und angezeigt werden können.

Es ist klar, dass aufbewahrungspflichtige Dokumente gegen Verlust gesichert werden müssen. Weiterhin müssen Sie — zum Beispiel auf Nachfrage von Revision oder Wirtschaftsprüfer — in der Lage sein, Geschäftsdokumente auch vorzulegen. Die Frage dabei ist, wie (zeit-)aufwändig dieser Vorgang sein darf. An dieser Stelle ist ein elektronisches Archiv mit einer guten Suchfunktion einem Papierarchiv in der Regel klar überlegen.

(7) Löschen

VOI-Leitsatz: Das unberechtigte und/oder unnachvollziehbare Löschen von Dokumenten ist technisch und organisatorisch auszuschließen und so zu organisieren, dass sowohl Aufbewahrungsfristen eingehalten als auch gesetzliche Löscherfordernisse erfüllt werden können.

Auf den ersten Blick klingt dieser Satz widersprüchlich. Hier geht es darum, den Spagat zwischen den Aufbewahrungspflichten aus HGB und AO und den Lösch- und Änderungserfordernissen aus der DSGVO zu schaffen. Es muss sichergestellt sein, dass – solange die Aufbewahrungspflichten greifen – kein Löschen oder Verändern im Archiv möglich ist. Nachdem diese Fristen abgelaufen sind, greift die DSGVO, die ein Löschen erfordert, das heißt auch, diese Funktion muss ein digitales Archiv bieten. Warum die DSGVO auch für Geschäftsdokumente Bedeutung hat, lesen Sie in unserem Blogartikel: DSGVO: Paradigmenwechsel auch bei der Archivierung

(8) Nachvollziehbarkeit

VOI-Leitsatz: Jede ändernde Aktion im digitalen Archiv muss für Berechtigte nachvollziehbar protokolliert werden.

Dieses Erfordernis ergibt sich insbesondere für die interne Revision und externe Wirtschaftsprüfer, für diese müssen die Abläufe klar nachvollziehbar sein. Hier unterstützt ein elektronisches Archiv mit einer Protokollfunktion.

(9) Prüfbarkeit

VOI-Leitsatz: Es ist zu gewährleisten, dass das gesamte organisatorische und technische Verfahren der Archivlösung von einem sachverständigen Dritten jederzeit geprüft werden kann.

Auch dieser Satz richtet sich wieder an Revision und Wirtschaftsprüfer, hier ist aber die technisch-prozessuale Perspektive gemeint. Wichtig ist hierbei die Bezeichnung des „sachverständigen Dritten“, diese sollten in der Lage sein Ihre Verfahrensdokumentation, Protokolle und weitere Informationen aus dem internen Kontrollsystem (IKS) lesen und verstehen zu können.

(10) Systemmigrationen

VOI-Leitsatz: Bei allen Migrationen und Änderungen am Archivsystem muss die Einhaltung aller zuvor aufgeführten Grundsätze sichergestellt sein.

Wenn Sie Ihr altes Archivsystem ablösen möchten und auf ein neues System gehen, dürfen dabei keine Informationen und Dokumente verloren gehen, für die noch die Aufbewahrungspflicht besteht. Zur Sicherheit sollte auch die Umstellung dokumentiert werden.

Fazit: 10 Tipps – aber keine Garantie für revisionssichere Archivierung

Wenn Sie ein Archivsystem einsetzen, dass technisch die Anforderungen erfüllt, die sich aus den 10 Leitsätzen des VOI ergeben, ist das ein guter Start. Auf der anderen Seite ist der Einsatz eines solchen Systems noch kein Freifahrtschein dafür, dass Sie in jedem Fall auch revisionssicher archivieren.

Bei der Archivierung kommt es immer auf das Zusammenspiel an: Welche Technik wird verwendet? Wie wird sie verwendet? Wie sind die organisatorischen Maßnahmen, Strukturen und Abläufe dazu? Wie ist das Ganze dokumentiert? Erst wenn alles zusammenpasst, kann eine revisionssichere Archivierung erfolgen. Eine geeignete Archivlösung im Hintergrund ist aber die Basis.

Wenn Sie mehr darüber erfahren möchten, welche technischen Anforderungen unser Archiv nicht nur hinsichtlich einer revisionssicheren Archivierung, sondern auch zum Thema DSGVO-konforme Archivierung erfüllt, empfehle ich Ihnen dazu unsere Informationsbroschüre „Archivierung und DSGVO“.