Unternehmen, die Dokumente digital archivieren, müssen sich auch an gesetzliche Vorgaben halten. Hier lesen Sie, wie Sie sich GoBD-, DSGVO- und GeschGehG-konform verhalten. [...]
Durch digitale Archive und Dokumentenmanagementsysteme lassen sich Ressourcen, Geld und Zeit einsparen sowie Fehler reduzieren. Unternehmen müssen jedoch diverse gesetzliche Vorgaben bei der praktischen Umsetzung beachten. Die Anschaffung eines Scanners und die Ablage auf dem unternehmenseigenen Server-/Speichersystem sind regelmäßig nicht ausreichend.
Neben den technischen Herausforderungen, die eine Umstellung auf eine digitale Archivierung mit sich bringt, müssen auch die gesetzlichen Anforderungen erfüllt werden. Diese ergeben sich insbesondere aus den „Grundsätzen zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“ (GoBD) sowie aus den Vorschriften der Datenschutzgrundverordnung (DSGVO) und dem Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG).
GoBD-Grundsätze für die digitale Archivierung
Die GoBD stellen diverse allgemeine Grundsätze für alle Unternehmen auf, die in konkrete Maßnahmen umgesetzt werden müssen. Insbesondere mit Blick auf die bevorstehende Pflicht zur Stellung von elektronischen Rechnungen bei Auftragserfüllung gegenüber der öffentlichen Hand sollten die Grundsätze in die internen Prozesse eingebettet werden. Für die Digitalisierung von archivierten Dokumenten dürften insbesondere die nachfolgenden Grundsätze zu beachten sein:
Grundsatz der Unveränderbarkeit: Eine Buchung oder eine Aufzeichnung darf nicht in der Art verändert werden, dass der ursprüngliche Inhalt nicht mehr feststellbar ist. Die Unveränderbarkeit der elektronisch gespeicherten Daten und Unterlagen kann sowohl hardwaremäßig und softwaremäßig (z. B. durch technische Maßnahmen, die keine oder nur nachvollziehbare Änderungen zulassen) als auch organisatorisch (z. B. mittels Zugriffsberechtigungskonzepten) gewährleistet werden. Änderungen müssen stets nachvollziehbar und das Original noch vorhanden/einsehbar sein.
Grundsatz der Nachvollziehbarkeit und Nachprüfbarkeit: Die einzelnen Geschäftsvorfälle und angewandten Buchführungs- oder Aufzeichnungsverfahren müssen für einen sachverständigen Dritten nachvollziehbar und nachprüfbar sein. Unter Geschäftsvorfällen sind alle rechtlichen und wirtschaftlichen Vorgänge zu verstehen, die innerhalb eines bestimmten Zeitabschnitts den Gewinn beziehungsweise Verlust oder die Vermögenszusammensetzung in einem Unternehmen dokumentieren oder beeinflussen oder verändern (z. B. Rechnungen, Übertragungsurkunden etc.).
Grundsätze der Richtigkeit, der Vollständigkeit und der Ordnung: Die Geschäftsvorfälle müssen richtig, vollzählig und lückenlos sowie geordnet aufgezeichnet werden. Das bedeutet unter anderem, dass eine systematische, übersichtliche, eindeutige und nachvollziehbare Buchung (z. B. unterstützt durch bestimmte Ordnungsprinzipien) erfolgen muss. Wird ein elektronisches Aufzeichnungssystem verwendet, muss dieses durch ein Zusammenspiel von technischen und organisatorischen Kontrollen die Einhaltung des Grundsatzes sicherstellen. Eine Ausnahme vom Grundsatz der Vollständigkeit besteht nur dann, wenn nachgewiesen werden kann, dass das Aufzeichnungssystem technisch, betriebswirtschaftlich und praktisch unmöglich ist.
Internes Kontrollsystem: Die GoBD fordert die Einrichtung und die Vorhaltung eines internen Kontrollsystems, durch das die Einhaltung der Grundsätze und steuerrechtlicher Pflichten überwacht werden soll. Die konkrete Ausgestaltung ist abhängig von der Komplexität und Diversität der Geschäftstätigkeit und der Organisationsstruktur sowie des eingesetzten Datenverarbeitungssystems.
Grundsatz des Datenschutzes: Die Datenverarbeitungssysteme müssen gegen Unauffindbarkeit, Vernichtung, Untergang oder Diebstahl der Daten beziehungsweise des Systems an sich gesichert werden. Ebenso müssen die Systeme gegen unberechtigte Eingaben und Veränderungen durch Zugangs- und Zugriffskontrollen geschützt werden.
So archivieren Sie GoBD-konform
Für die digitale Archivierung ergeben sich aus den angeführten Grundsätzen diverse konkrete Anforderungen:
- Alle Unterlagen, die zum Verständnis und zur Überprüfung der für die Besteuerung gesetzlich vorgeschriebenen Aufzeichnungen im Einzelfall von Bedeutung sind, sind in einem Ordnungssystem mit Indexierung aufzubewahren. Eine bloße Ablage in einem Dateisystem genügt nicht.
- Die elektronische Archivierung muss die Unveränderbarkeit sowie Lesbarkeit und maschinelle Auswertbarkeit der Dokumente sicherstellen. Finden Veränderungen statt, müssen diese protokolliert werden. Durch den Archivierungsvorgang dürfen zudem keine Verkleinerung der Datenmengen erfolgen.
Es muss gewährleistet werden, dass Hard- und Software durch Sicherheitsmaßnahmen vor Angriffen geschützt sind. - In Datenverarbeitungssystemen erzeugte Dokumente sowie elektronische Handels- und Geschäftsbriefe sind im Ursprungsformat aufzubewahren. Beispielsweise muss eine Rechnung in Form einer PDF-Datei auch als PDF-Datei aufbewahrt werden. Soweit eine Umwandlung (Konvertierung) aufbewahrungspflichtiger Unterlagen in ein unternehmenseigenes Format erfolgt, sind grundsätzlich beide Versionen aufzubewahren. Ausnahmen können gegebenenfalls bei ausreichender und sicherer Konvertierung, Dokumentation und Verknüpfung mit dem jeweiligen Geschäftsvorfall zulässig sein.
- Papierdokumente können vernichtet werden, wenn eine ordnungsgemäße elektronische Archivierung sichergestellt ist und keine gesetzlichen Gründe dagegen sprechen.
So geht DSGVO-konformes Archivieren
Geschäftliche Unterlagen enthalten in aller Regel auch personenbezogene Daten. Diese werden von der DSGVO geschützt, sodass bei der Digitalisierung von archivierten Dokumenten auch datenschutzrechtliche Vorgaben zu beachten sind.
Hier sind insbesondere Aufbewahrungs- und Löschfristen zu nennen. So dürfen personenbezogene Daten nur so lange aufbewahrt werden, wie sie für den jeweiligen Zweck (z. B. zur Vertragsdurchführung) benötigt werden. Eine weitergehende Speicherung ist nur erlaubt, sofern sich hierfür Rechtsgründe finden.
Gängige Aufbewahrungspflichten für Unternehmen ergeben sich aus dem Handels- und Steuerrecht.
Diese liegen in der Regel zwischen sechs und zehn Jahren für Geschäftsbriefe, Vertragsunterlagen, oder Ähnliches. Aber auch Verjährungsfristen von Schadensersatzansprüchen (zwischen drei und 30 Jahren) sollten beachtet werden. Die Aufbewahrung ist jedoch stets abhängig von der jeweiligen konkreten Dokumentenart. Sie ist daher für jedes Dokument im Einzelfall zu bestimmen und zu dokumentieren. Im Idealfall können die entsprechenden Dokumente im verwendeten Dokumentenmanagementsystem klassifiziert und mit Meldungen/Erinnerungen zur Löschung versehen werden.
Nicht zuletzt müssen auch die allgemeinen Datenschutzgrundsätze beachtet werden: Die Richtigkeit, Verfügbarkeit und Integrität (=Unveränderbarkeit) von personenbezogenen Daten sowie die Dokumentation der Datenverarbeitung sind zentrale Prinzipien der DSGVO. Diese sollen unter anderem über so genannte technisch-organisatorische Maßnahmen („TOM“, z. B. Zugriffsberechtigungen und -kontrollen) gewährleistet werden. Insofern ergeben sich Überschneidungen und damit auch Synergieeffekte mit den GoBD. Viele der im Rahmen der DSGVO bereits umgesetzten oder noch umzusetzenden Maßnahmen können auch für die Erfüllung der GoBD-Grundsätze genutzt werden.
Geschäftsgeheimnisse als „Archivierungs-Addon“
Zuletzt sollten bei der Umsetzung einer digitalen Archivierung auch die Vorgaben aus dem GeschGehG beachtet werden. Diese wirken sich nicht unmittelbar auf die Archivierung aus, eine Implementierung in die Archivierungsprozesse kann aber einen effizienten Schutz von Geschäftsgeheimnissen gewährleisten. So muss insbesondere eine Identifizierung und Klassifizierung von Informationen als Geschäftsgeheimnis im Sinne des § 2 GeschGehG erfolgen, um einen gesetzlichen Schutz in Anspruch nehmen zu können.
Dazu bietet sich die Einführung folgender Prozesse an:
- Abschluss von aktuellen Vertraulichkeitsvereinbarungen mit den Geschäftspartnern, soweit noch Geschäftsbeziehungen bestehen;
- Informationsklassifizierung nach Vertraulichkeitsgraden;
- Definition von entsprechenden Berechtigungskonzepten in Abhängigkeit der Informationsklassifizierung;
- Implementierung von entsprechenden Schutzmaßnahmen, z. B. technischer und organisatorischer Art (dies überschneidet sich mit den datenschutzrechtlichen Anforderungen zu TOM);
- Umsetzung einer organisatorischen Sensibilisierung, beispielsweise durch die Schulung von Mitarbeitern;
- Zusammenfassung aller Maßnahmen zum Geheimnisschutz in einem Schutzkonzept.
Compliance-Synergie-Effekte bei der Archivierung
Die Fülle an zu beachtenden Normen macht deutlich: Die bloße Anschaffung eines Scanners und die Einstellung einer Bürokraft zur Digitalisierung von Akten reicht in der Regel nicht aus. Vielmehr müssen die zu digitalisierenden Dokumente einzelfallabhängig kategorisiert und sodann elektronisch gespeichert, indexiert und archiviert werden. Zudem müssen diverse technische und organisatorische Schutzmaßnahmen implementiert sowie Aufbewahrungs- und Löschfristen bestimmt und umgesetzt werden.
Viele der Maßnahmen für die Einhaltung von GoBD, DSGVO und GeschGehG überschneiden sich. Sofern bei der Umsetzung einer oder mehrerer dieser Rechtsnormen auch die Anforderungen aus den jeweiligen anderen rechtlichen Bereichen im Blick behalten werden, können erhebliche Synergieeffekte erzielt werden.
Dafür bedarf es jedoch einer guten Kenntnis und eines genauen Überblicks der relevanten Regelungen. Gelingt die Umsetzung der gesetzlichen Anforderungen, kann dies erhebliche Vorteile zur Folge haben. Ein digitales Archiv beziehungsweise eine digitale Aktenverwaltung bieten die Möglichkeit, Ressourcen, Zeit und Geld zu sparen. Mitarbeiter können durch automatisierte Archivierungsprozesse ihre Verwaltungsaufgaben effizienter gestalten.
*Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für Informationstechnologie-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln. Zudem ist er Certified ISO/IEC 27001 Lead Auditor. Seine Beratungsschwerpunkte sind das IT-Recht, Datenschutzrecht und der Gewerbliche Rechtsschutz. Dr. Michael Rath ist u.a. Mitglied in der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) und akkreditierter Schlichter für IT-Streitigkeiten bei der Schlichtungsstelle der DGRI.
**Gerrit Feuerherdt ist Rechtsanwalt bei der Luther Rechtsanwaltsgesellschaft mbH und berät schwerpunktmäßig im IT- und Datenschutzrecht und zu Fragen der Digitalisierung. Er studierte Rechtswissenschaften an der Universität zu Köln mit dem Schwerpunkt Geistiges Eigentum und Wettbewerbsrecht.
Be the first to comment