Consultec - Dr. Ernst GmbH - 10 Merksätze für eine revisionssichere Archivierung

10 Merksätze für eine revisionssichere Archivierung

Die zentralen Anforderungen an eine revisionssichere Archivierung wurden unter maßgeblicher Mitwirkung der Consultec erarbeitet und liegen als Merksätze in einer aktualisierten Fassung vor.

Nun wurden jeweils auch allgemeinverständliche Erläuterungen zu den einzelnen Empfehlungspunkten hinzugefügt.

Die Merksätze des "Verbandes Organisations- und Informationssysteme e.V." (VOI) zur revisionssicheren elektronischen Archivierung existieren bereits seit fast 20 Jahren, sind aber kürzlich komplett überarbeitet worden. Sie definieren die Anforderungen an die Ordnungsmäßigkeit beim Betrieb einer elektronischen Archivlösung und stehen in engem Zusammenhang mit anderen Grundsätzen – wie den „Grundsätzen ordnungsmäßiger Buchführung“ (GoB), den „Grund­sät­ze zur ord­nungs­mä­ßi­gen Füh­rung und Auf­be­wah­rung von Bü­chern, Auf­zeich­nun­gen und Un­ter­la­gen in elek­tro­ni­scher Form so­wie zum Da­ten­zu­griff“ (GoBD) oder den „Grundsätzen zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen“ (GDPdU).

Sie bilden den allgemeinen Rahmen der Anforderungen, der für eine konkrete technische Archivierungslösung zu interpretieren und zu detaillieren ist. Die vom VOI veröffentlichten Prüfkriterien für Dokumentenmanagement-Lösungen (PK-DML) stellen hierbei einen übergreifenden Vorschlag für eine entsprechende Konkretisierung dar.

In der hier vorliegenden aktualisierten Fassung wurden diese Merksätze präzisiert, thematisch ergänzt und kommentiert, so dass Anwender diese als Grundlage für die interne Umsetzung verwenden können. Hierbei ist dann noch die etwaige Ergänzung um weitere spezifische Regelungen erforderlich – beispielsweise die Berücksichtigung länder- und/oder branchenspezifischer Aspekte.

Hier nun die aktualisierten Merksätze:

1. Jedes Dokument muss nach den gesetzlichen und unternehmensinternen Vorschriften ordnungsgemäß aufbewahrt werden.

Diese Anforderung beschreibt das zentrale Ziel der digitalen Archivierung: die verlässliche und rechtskonforme Aufbewahrung von Dokumenten. Dabei ist stets zu berücksichtigen, dass die konkrete Ausgestaltung einer Archivierungslösung immer auch von den speziellen Anforderungen der jeweiligen Einsatzumgebung und den damit verbundenen organisatorischen Prozessen und IT-bezogenen Realisierungen abhängt. Diese Anforderungen wiederum ergeben sich sowohl aus den gesetzlichen und sonstigen rechtlichen – auch EU-weit geltenden – Vorschriften, als auch aus den jeweiligen unternehmensinternen Vorgaben. Dabei ist für europaweit agierende Unternehmen zu berücksichtigen, dass sich die gesetzlichen und weiteren rechtlichen Vorschriften von Land zu Land mindestens in Teilen voneinander unterscheiden.

2. Die Archivierung hat vollständig zu erfolgen – kein Dokument darf auf dem Weg ins Archiv oder im Archiv selbst verloren gehen.

Diese Anforderung hebt darauf ab, dass alle benötigten Dokumente vollständig erfasst und im Archiv abgelegt werden müssen. Nur so können gesetzliche Dokumentationsanforderungen erfüllt und Vorgänge jederzeit lückenlos nachvollzogen werden.

3. Jedes Dokument ist zum organisatorisch frühestmöglichen Zeitpunkt zu archivieren.

Die Verarbeitung und digitale Speicherung von Dokumenten hat zeitnah zu erfolgen. Hierbei sorgt eine digitale Archivlösung für die Integrität und jederzeitige Verfügbarkeit der Dokumente. Sofern eine – auch langzeitbezogene – Unveränderbarkeit von Dokumenten notwendig ist, wird auch diese Anforderung durch das digitale Archiv frühzeitig abgedeckt.

4. Jedes Dokument muss mit seinem Original übereinstimmen und unveränderbar archiviert werden.

Diese Anforderung spiegelt den Grundsatz wider, dass ein archiviertes Dokument dem Original zu jedem Zeitpunkt – auch langzeitbezogen – in beweissicherer Art entsprechen muss. Je nach Dokumentenart und Einsatzzweck kann es sich dabei um eine inhaltliche Identität oder aber um eine bildliche Übereinstimmung mit einem Papieroriginal oder einem digitalen Originaldokument handeln.

5. Jedes Dokument darf nur von entsprechend berechtigten Benutzern eingesehen werden.

Diese Anforderung dient dem Schutz vertraulicher betrieblicher Informationen sowie der Einhaltung des Datenschutzes bei der Verarbeitung personenbezogener Daten. In diesem Zusammenhang ist ein entsprechendes Berechtigungskonzept für die Archivnutzung zu entwickeln und umzusetzen.

6. Jedes Dokument muss in angemessener Zeit recherchiert und angezeigt werden können.

Archivierte Dokumente müssen dem Benutzer in angemessener Zeit am Bildschirm zur Verfügung stehen. Die Benutzer des Unternehmens geben die maximal tolerierbare Zeit für Suche und Anzeige aufgrund fachlicher Anforderungen vor. Dabei ist die Realisierung insbesondere vom jeweiligen Stand der Informationstechnologie des Unternehmens abhängig. Untersuchungen und Erfahrungen aus Projekten haben gezeigt, dass die Akzeptanz der Benutzer gegeben ist, wenn ein Dokument spätestens drei Sekunden nach dem Suchaufruf am Bildschirm angezeigt wird.

7. Ein Dokument darf frühestens nach Ablauf seiner Aufbewahrungsfrist oder muss unverzüglich nach Maßgabe der gesetzlichen Vorschriften vernichtet – d.h. aus dem Archiv gelöscht – werden.

Das unberechtigte und/oder unnachvollziehbare Löschen von Dokumenten ist technisch und organisatorisch auszuschließen und so zu organisieren, dass sowohl Aufbewahrungsfristen als auch gesetzliche Löscherfordernisse* erfüllt werden können.
* So hat ein Kunde im Rahmen des Artikels 17 der EU-Datenschutzgrundverordnung (EU-DSGVO) in bestimmten Fällen die Möglichkeit, eine unverzügliche Löschung seiner Dokumente aus dem digitalen Archiv zu verlangen. Das Unternehmen muss dies gewährleisten und den Kunden über die Löschung informieren.

8. Jede ändernde Aktion im digitalen Archiv muss für Berechtigte nachvollziehbar protokolliert werden.

Diese Anforderung entspricht dem „Radierverbot“ in der Buchführung. Dabei ist zu gewährleisten, dass nachträgliche Änderungen erkennbar sind und dass der ursprüngliche Zustand eines Dokumentes während der gesamten Aufbewahrungszeit abgerufen und angezeigt werden kann.

9. Es ist zu gewährleisten, dass das gesamte organisatorische und technische Verfahren der Archivlösung von einem sachverständigen Dritten jederzeit geprüft werden kann.

Dieser Hinweis bedeutet, dass die Archivierungslösung beim jeweiligen Betreiber tatsächlich im Sinne all der zuvor aufgeführten Grundsätze im Einsatz ist. Für diesen Nachweis ist einerseits eine Verfahrensdokumentation unverzichtbar, andererseits muss stets der ordnungsgemäße laufende Betrieb überprüfbar sein (z.B. anhand von Protokollen und von Maßnahmen im Rahmen eines "Internen Kontrollsystems" (IKS)).

10. Bei allen Migrationen und Änderungen am Archivsystem muss die Einhaltung aller zuvor aufgeführten Grundsätze sichergestellt sein.

Diese Anforderung ergibt sich aus der Erfahrung, dass die Innovationszyklen der im Archivsystem eingesetzten Hard- und Software meist sehr viel kürzer sind als die Aufbewahrungszeiten bestimmter Dokumentenarten (z.B. Hypothekenverträge). Während der Aufbewahrungszeit kommt es also praktisch immer zu Änderungen am Archivsystem (vom Austausch einzelner Geräte bis hin zur Migration des kompletten Archivbestands in ein vollkommen anderes technisches System). Bei derartigen Migrationsmaßnahmen müssen sämtliche aufgeführten Grundsätze beachtet werden. Insbesondere sind die Änderungen und Maßnahmen der Migration sorgfältig zu dokumentieren, so dass die Ordnungsmäßigkeit der Migration sowie der Nachweis der Vollständigkeit während der gesamten Aufbewahrungsfrist überprüfbar sind.

Bei der Einhaltung dieser Anforderungen steht Ihnen die Consultec als ausgewiesen kompetenter Partner im Bereich Compliance gern beiseite.