An IT-Archive stellen Gesetze sehr hohe Anforderungen

Verlässliche, vollständige und aktuelle Auskunft ist so kaum möglich. Der Aufwand, sich aus den verschiedenen Ablagen und den unterschiedlichen Datei- und Dokumentenversionen die Gesamtübersicht in der aktuellen Versionen zusammenzustellen, wächst ins Uferlose, weil die PCs und Mail-Systeme der Anwender keiner vertrauten Ablageordnung folgen. Es gibt keine disziplinierenden Ordnungssysteme, die dem Anwender helfen, Dinge einfach und schnell da abzulegen, wo sie ein Dritter wiederfindet. Zu diesen funktionalen Nachteilen kommt die zunehmende Sensibilisierung des Gesetzgebers, der Wirtschaftsprüfer und der Revision, dass diese Form der Aufbewahrung nicht nur nicht ordentlich, sondern vor allem nicht ordnungsgemäß ist. Die Aufbewahrungspflichten verpflichten nämlich nicht nur zur Aufbewahrung, sondern zur jederzeitigen Reproduktionspflicht während der Aufbewahrungsfrist. Ablegen alleine genügt nicht. Es muss ordnungsgemäß – und das heißt in der Regel vollständig und unveränderbar – wiederhergestellt werden können. Das ist angesichts ungeordneter elektronischer Ablagen in File- und Mail-Systemen fast unmöglich.
Für den Begriff Archivierung finden sich drei unterschiedliche Definitionen:

1. Sicherstellung und Dokumentation der wirksamen Verhinderung unzulässiger Änderungen und Sicherstellung der Reproduktionsfähigkeit der aufbewahrungspflichtigen Inhalte (bildlich oder inhaltlich) über die Dauer der Aufbewahrungsfrist. Zielgruppe sind fast alle privaten und öffentlichen Anwender.
   
   
2. Dauerhafte Aufbewahrung aus kulturhistorischen Gründen. Zielgruppe: Öffentlicher Bereich.
   
   
3. Datenarchivierung: Auslagerung aus Produktivsystemen mit der Möglichkeit, diese wieder in die Produktivumgebung zurückzuholen. Typischer Anwendungsfall: Datenauslagerung. Zielgruppe: IT-Systembetreiber.

Zu Backup ist eine begriffliche Abrenzung nötig: Ein Backup dient im Notfall der Sicherstellung der Verfügbarkeit via Rückholung/Recovery. Archivierung hingegen bedeutet, dass Daten bewusst aus dem Produktivsystem ausgelagert werden, weil man sie dort nicht mehr vorhalten möchte. Die diesem Beitrag zu Grunde liegende Definition versteht unter Archivierung nicht nur einfach eine langfristige Ablage – das ist auch in der Dateiablage möglich –, sondern vor allem die Fähigkeit, gespeicherte Objekte über einen längeren Zeitraum gemäß den geltenden regulatorischen Vorschriften abzulegen und wiederzufinden. Der Zeitraum beträgt im Falle kaufmännischer Dokumente zehn Jahre. Aus Produkthaftungs- oder Compliance-Gründen kann die Aufbewahrungsfrist aber auch mehrere Jahrzehnte betragen.

Die Dokumentenmanagement-Branche hat für diese regelkonforme Aufbewahrung den Begriff „revisionssichere Archivierung“ geprägt. Dieser Begriff umschreibt, dass ein sachverständiger Dritter nach Prüfung feststellen kann, dass die Verwaltung aufbewahrungswürdiger oder aufbewahrungspflichtiger Unterlagen den regulatorischen Anforderungen wie etwa Abgabenordnung (AO), Handelsgesetzbuch (HGB), Grundsätze ordnungsgemäß geführter DV-gestützter Buchführungsysteme (GoBS), Geschäftsbücherverordnung (GeBüV) sowie Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) entspricht. Der Begriff umfasst die Erfüllung folgender Anforderungen:

1. Wirksamer Schutz gegen unzulässige bildliche oder inhaltliche Änderungen innerhalb der Aufbewahrungsfrist.
   
   
2. Sicherstellung der Reproduktionsfähigkeit während der Aufbewahrungsfrist.
   
   
3. Dokumentation der Schutzfunktion für sachverständige Dritte: Die Schutzfunktion darf nicht alleine durch eine Arbeitsanweisung gegeben sein, weil der sachverständige Dritte dann nicht prüfen könnte, ob nicht doch Manipulationen stattgefunden haben. Die Schutzeinrichtung muss daher prüfbare und somit technische und nicht nur organisatorische Voraussetzungen erfüllen.

Es muss also mit einer Verfahrensdokumentation sichergestellt und gegenüber dem Prüfer nachweisbar sein, dass gespeicherte Objekte beziehungsweise zusammenhängende Vorgänge weder absichtlich noch versehentlich manipuliert oder gelöscht werden können. Zentrale Vorschriften in Handels- und Steuerrecht sowie viele andere Rechtsgrundlagen nennen solche Vorschriften, so beispielsweise Paragraf 239 Absatz 3 HGB: „Eine Eintragung oder eine Aufzeichnung darf nicht in einer Weise verändert werden, dass der ursprüngliche Inhalt nicht mehr feststellbar ist.“ Eingehende (Papier-) Belege müssen demnach bildlich identisch, ausgehende Handelsbriefe inhaltlich identisch für die Dauer der Aufbewahrungsfrist abgelegt werden. Der Gesetzgeber schreibt nicht vor, mit welchen Technologien diese Unveränderbarkeit herzustellen ist. Im Gegenteil, er lässt dem Anwender beinahe beliebige technologische Freiheiten. Bereits die Grundsätze ordnungsgemäß geführter DV-gestützter Buchführungsysteme von 1995 gewähren bei der Wahl der Speichertechnologie Freiheit. „Als Datenträger kommen neben den Bildträgern insbesondere auch die maschinell lesbaren Datenträger (beispielsweise Diskette, Magnetband, Magnetplatte, elektro-optische Speicherplatte) in Betracht.“

Der Gesetzgeber macht keine Vorgaben, in welchem Dateiformat die Dokumente abzulegen sind. Unternehmen setzen mittlerweile verstärkt auf PDF/A. Dieses Format bietet im Vergleich zu TIFF zahlreiche Vorteile, wie beispielsweise Layouttreue oder die Fähigkeit zur Volltextsuche. „Der PDF/A-Standard legt eine klar definierte Teilmenge des weit verbreiteten PDF-Formats fest, die bestmöglich für die Archivierung von elektronisch abgespeicherten Dokumenten geeignet ist“, erklärt Olaf Drümmer, Leiter des Competence Centers Standards und Normen im VOI Verband Organisations- und Informationssysteme e.V.
Müssen Dateien revisionssicher aufbewahrt werden, ist ein System oder Verfahren notwendig, das die Revisionssicherheit garantiert. Der Anwender hat dafür zu sorgen, dass ein archiviertes Dokument dem Original zu jedem Zeitpunkt in beweissicherer Art entspricht. Je nach Dokumentenart und Einsatzzweck kann es sich dabei um eine inhaltliche Identität, um eine bildliche Übereinstimmung mit einem Papieroriginal oder ein elektronisches Originaldokument handeln. Allerdings gibt es kein Dokumentformat, das von sich aus revisionssicher ist. Eine TIFF-Datei lässt sich ebenso ändern wie ein PDF/A-Dokument oder andere Dateiformate. Die Unveränderbarkeit eines Dokuments lässt sich daher nur durch eine Signatur sicherstellen.
Für den Gesetzgeber kommt es generell nicht darauf an, wie, sondern ob die regulatorischen Anforderungen eingehalten werden. „Die Grundsätze ordnungsgemäß geführter DV-gestützter Buchführungsysteme beziehen sich nicht nur auf die konventionelle Speicherbuchführung, sondern sind auf Verfahren wie Computer Output on Laser Disk (COLD) sowie auf Dokumentenmanagement-Systeme anzuwenden“, erläutert Drümmer.

Der VOI Verband Organisations- und Informationssysteme e.V. hat erstmals in den neunziger Jahren Merksätze zur revisionssicheren elektronischen Archivierung veröffentlicht. Sie definieren die Anforderungen an die Ordnungsmäßigkeit beim Betrieb einer elektronischen Archivlösung und stehen in engem Zusammenhang mit den regulatorischen Bestimmungen wie GoB, GdPdU und GDPdU. Damit bilden sie den allgemeinen Rahmen der Anforderungen, der für eine konkrete technische Archivierungslösung zu interpretieren und zu detaillieren ist. Die vom VOI veröffentlichten Prüfkriterien für Dokumentenmanagement-Lösungen (PK-DML) stellen zusätzlich einen übergreifenden Vorschlag für eine entsprechende Konkretisierung dar.
2009 hat der VOI die Merksätze aktualisiert, präzisiert und thematisch erweitert. Anwender können diese als Basis für die interne Umsetzung verwenden. Dann ist neben einer Detaillierung auch die Ergänzung um weitere spezifische Regelungen erforderlich – wie die Berücksichtigung länder- und/oder branchenspezifischer Aspekte. Die rechtlichen Aspekte des Dokumentenmanagements in den wichtigsten europäischen Ländern hat der VOI 2010 in der Publikation „Legal Requirements for Document Management in Europe“ zusammengefasst und im Juni dieses Jahres aktualisiert.

Der Autor: Bernhard Zöller ist Geschäftsführer des unabhängigen ECM-Beratungshauses Zöller & Partner GmbH und Mitglied im VOI Verband Organisations- und Informationssysteme e.V