Die revisionssichere Archivierung

Rechtliche Grundsätze

Was bedeutet „Revisionssicherheit“ in rechtlicher Hinsicht?

Der Begriff der „Revisionssicherheit“ ist nicht gesetzlich definiert.

Aber: es gibt Gesetze, die eine Pflicht zur Aufbewahrung von Daten (also der Archivierung), und auch der Pflicht diese unveränderbar aufzubewahren, vorschreiben.

Pflicht zur revisionssicheren Archivierung

Beispiele:

  1. § 238 Abs. 2 Handelsgesetzbuch (HGB)

Unterlagen, die als Handelsbriefe einzustufen sind, müssen archiviert werden, v.a.

  • Aufträge
  • Auftragsbestätigungen
  • Versandanzeigen
  • Frachtbriefe
  • Lieferpapiere
  • Reklamationsschreiben
  • Rechnungen, Zahlungsbelege
  • Verträge.
  •  
  1. § 147 Abgabenordnung (AO)

Unterlagen mit steuerrechtlichem Bezug sind aufzubewahren, v.a.

  • Bücher und Aufzeichnungen
  • Inventare
  • Jahresabschlüsse
  • Lageberichte
  • Bilanzen
  • Handels- oder Geschäftsbriefe,
  • Buchungsbelege
  • sonstige Inhalte, für die Besteuerung von Bedeutung sind

Beispiel für mangelhafte Buchführung (im vorliegenden Fall Kassenbuchführung): Hinzuschätzung durch das Finanzamt in Höhe von 8% des Umsatzes: https://openjur.de/u/454387.html

Was bedeutet „Revisionssicherheit“ in rechtlicher Hinsicht?

Revisionssicherheit:

Daten dürfen nicht unbemerkt verändert werden können (bzw. Änderungen müssen protokolliert werden).

Dazu gehört eine vollständige Beschreibung der technischen Verfahrensabläufe, eine so genannte Verfahrensdokumentation. Der Begriff der revisionssicheren Archivierung wurde bereits vor über 20 Jahren vom VOI eV, Verband für Organisations- und Informationssysteme, geprägt:

Gibt es eine rechtliche Pflicht zur E-Mail-Archivierung?

Es muss nicht jede E-Mail archiviert werden.

Archiviert werden müssen E-Mails, die für eine ordnungsgemäße Buchführung und/oder steuerrechtlich relevant sind. Gesetzliche Grundlage ist die AO (Abgabenordnung), die GoB (Grundsätze für ordnungsgemäße Buchführung) und GoBD (Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff).

Hängen hinter den Mailadressen aber ganze Postfächer mit Inhalten, die unter die Aufbewahrungspflichten fallen, dann gelten dafür die echten Aufbewahrungsfristen nach den gesetzlichen Vorgaben (also nach AO, GoB, GOBD, etc.). Im Regelfall muss zwischen 6 und 10 Jahren gespeichert werden, wenn es sich um Inhalte handelt, die für eine ordnungsgemäße Buchführung, für die Steuer usw. notwendig sein könnten.

Bei Unternehmen, die ein eigenes Programm für Buchhaltung, etc. haben und dieses aus den Mailaccounts heraus komplett vervollständigen, ist keine eigene E-Mail-Archivierungspflicht gegeben. Z.B. haben Rechtsanwälte oft eine Schnittstelle zum Datev-Anwaltsprogramm. Damit wird alles, was für die Mandatsbearbeitung wichtig sein könnte und per Mail eingeht, im Datev-System abgespeichert und in den E-Mail-Postfächern verbleibt die reine „Kommunikation“ und die sollte dann regelmäßig gelöscht werden.

E-Mails müssen dann archiviert werden, wenn ihre Inhalte nach den gesetzlichen Vorgaben aufbewahrungspflichtig sind.

Revisionssichere Archivierung

Aus dem „Code of Practice“, erstmals veröffentlicht durch den Fachverband der Dokumentenmanagementbranche, Verband Organisations- und Informationssysteme (VOI) im Jahr 1996, gehen außerdem folgende Grundsätze hervor:

Die 10 Grundsätze zur Revisionssicherheit von elektronischen Dokumenten:

  • Jedes Dokument wird unveränderbar archiviert.
  • Kein E-Dokument darf auf dem Weg ins Archiv oder im Archiv selbst verloren gehen.
  • Jedes Dokument muss mit geeigneten Techniken (z. B. durch das Indexieren mit Metadaten) wieder auffindbar sein.
  • Es muss genau das Dokument wiedergefunden werden, das gesucht worden ist.
  • Kein Dokument darf während der Dauer der Aufbewahrungsfrist vernichtet werden.
  • Jedes Dokument muss in genau der gleichen Form, wie es erfasst wurde, wieder angezeigt und gedruckt werden können.
  • Alle Dokumente müssen zeitnah wiedergefunden werden können.
  • Alle Aktionen im Archiv, die Veränderungen in der Organisation und Struktur bewirken, sind derart zu protokollieren, dass die Wiederherstellung des ursprünglichen Zustandes möglich ist.
  • Elektronische Archive sind so auszulegen, dass eine Migration auf neue Plattformen, Medien, Softwareversionen und Komponenten ohne Informationsverlust möglich ist.
  • Das System muss dem Anwender die Möglichkeit bieten, die gesetzlichen Bestimmungen (BDSG, HGB, AO etc.) sowie die betrieblichen Bestimmungen des Anwenders hinsichtlich Datensicherheit und Datenschutz über die Lebensdauer des Archivs sicherzustellen.

Ist E-Mail-Archivierung beim Einsatz von Microsoft Exchange on premise oder M365 verpflichtend?

Nur, wenn inhaltlich gesetzliche Aufbewahrungspflichten betroffen sind.

Wenn es ein reines Kommunikationstool ist und zusätzlich eine Anwendung verwendet wird, in der alle notwendigen Unterlagen abgespeichert werden, besteht keine zusätzliche Pflicht zur Archivierung von E-Mails.

Anderenfalls schon.

Erfüllt die Funktion „Archiv“ aus Exchange online Plan 2 die rechtlichen Anforderungen an E-Mail-Archivierung?

Der Exchange online Plan 2 enthält E-Mail, Kontakte, Aufgabenverwaltung und Kalender und einen unlimitierten Archivierungsspeicher. Es ist also ein weiteres Postfach, mit zeitlich unbegrenzter Speicherung und Wiederherstellungsfunktionen.

Die wichtigsten Archivierungsvorgaben, nämlich die selektive Zuordnungsmöglichkeit zum jeweiligen Vorgang und die wichtige Vorgabe aus der DSGVO, nämlich regelmäßig löschen zu können, werden hier nicht erfüllt.

Echte Aufbewahrungsfristen gibt es nach den gesetzlichen Vorgaben (also nach AO, GoB, GOBD, etc.) à

Im Regelfall muss zwischen 6 und 10 Jahren gespeichert werden, wenn es sich um Inhalte handelt, die für eine ordnungsgemäße Buchführung, für die Steuer usw. notwendig sein könnten.

Lösung oft in der Praxis: Programme für Einkauf,  Buchhaltung, Personalverwaltung, Marketing, etc., bei denen die Aufbewahrungs-/Löschfristen hinterlegt sind.

Welche Unterlagen sind davon betroffen?

Es muss nicht jede Datei archiviert werden.

Archiviert werden müssen Dateien, die für eine ordnungsgemäße Buchführung und/oder steuerrechtlich relevant sind.

  • Gesetzliche Grundlage ist die AO (Abgabenordnung),
  • die GoB (Grundsätze für ordnungsgemäße Buchführung)
  • und GoBD (Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff).

Wo sind die Grenzen der Archivierung?

Reine Kommunikation, die genauso mündlich hätte stattfinden können, oder die Vertriebs- oder Marketingthemen betrifft, muss nicht aufbewahrt werden.

Es gibt aber auch gesetzliche Verpflichtungen, die eine Archivierung bestimmter Unterlagen verbieten, z.B. private Kommunikation (falls erlaubt) und die Pflicht zur Löschung von personenbezogenen Daten aus der DSGVO -->Differenzierung notwendig!

 

Dateien müssen dann archiviert werden, wenn ihre Inhalte nach den gesetzlichen Vorgaben aufbewahrungspflichtig sind.

Revisionssicher aufbewahrt sind sie dann, wenn sie nachweislich unveränderbar sind.

Wer im Verband ist zur elektronischen Archivierung verpflichtet?

Es sind alle Einheiten in einem Unternehmen, einem Verein, einem Verband etc. zur elektronischen Archivierung verpflichtet, die Inhalte verarbeiten, die sie nach den gesetzlichen Vorgaben aufbewahrungspflichtig machen.

Revisionssicher aufbewahrt sind sie dann, wenn sie nachweislich unveränderbar sind.

Stand: Juni 2024

Welche gesetzlichen Aufbewahrungspflichten gibt es?

Sie brauchen Unterstützung?

Wir stehen Ihnen gerne für weitere Fragen und zur Beratung zur Verfügung - kontaktieren Sie uns!
Kontakt
envelopephonemap-markerlocation