Der Einsatz eines digitalen Archivs ist für Unternehmen aller Größenordnung eine äußerst effiziente Alternative zur analogen Aufbewahrung von Dokumenten. Denn die fortschreitende Digitalisierung unserer Arbeitswelt ist ein starker Treiber beim Wandel von analogen zum digitalen Archiven. Denn die standortunabhängige Verfügbarkeit von digitalen Dokumenten und Informationen dient als Schmiermittel sowohl bei internen Arbeitsabläufen und in den Beziehungen zu allen Geschäftspartnern – inzwischen mehr denn je in Zeiten von Homeoffice und New Work. Durch automatische Archivierungsprozesse und durch die schnelle Verfügbarkeit von Informationen sparen Mitarbeiter viel Zeit und das Unternehmen spart damit viel Geld. Ein digitales Archiv bildet die Basis für die Automatisierung von Geschäftsprozessen, geht aber über die reine Ablage und Archivierung hinaus. Die automatische Eingangsrechnungsprüfung ist hierfür das beste Beispiel.
Entscheidet sich ein Unternehmen für die Einführung einer digitalen Archivierungslösung, so müssen neben organisatorischen und technischen Herausforderungen auch gesetzliche Vorgaben erfüllt werden. Ansonsten droht Ungemach von Seiten der Finanzverwaltung. Eine Archivlösung muss zum einen softwareseitig in der Lage sein die rechtlichen Vorgaben zu erfüllen. Auf der anderen Seite muss die Archivlösung entsprechend der gesetzlichen Vorgaben korrekt vor Ort eingesetzt werden. Die wichtigsten gesetzlichen Regelungen für die digitale Archivierung von Unternehmensdokumenten stellen wir hier kurz und übersichtlich vor.
Handelsrecht und Steuerrecht bilden die Basis
Zunächst ein Blick ins Handelsrecht. Nach § 257 HGB sind Kaufleute verpflichtet geschäftsrelevante Unterlagen nach den Grundsätzen ordnungsgemäßer Buchführung (GoB) aufzubewahren. Hier finden sich auch einige ganz grundsätzliche Voraussetzungen für die digitale Aufbewahrung von Unterlagen festgelegt. Ergänzend dazu wird in der Abgabenordnung in § 147 AO, in der vor allem die Fristen für alle steuerrelevanten Bücher und Aufzeichnungen beschrieben werden, ebenfalls die Möglichkeit der digitalen Aufbewahrung explizit erlaubt.
Die GoBD sind die wichtigste gesetzliche Grundlage für die digitale Archivierung
Die mit Abstand wichtigste Quelle für eine rechtskonforme digitale Archivierung sind die GoBD, die auch in beiden oben genannten Paragraphen genannt werden. Die GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff) wurden mit einem Schreiben des BMF vom 28. November 2019 veröffentlicht und gelten in ihrer jetzigen Form seit dem 1. Januar 2020. Sie ersetzen die GoBD aus dem Jahr 2015 und die noch älteren GoBS und GdPDU. Anbieter von Archivsystemen sprechen daher oft von einem GoBD-konformen Archivsystem, um die Rechtssicherheit zu bestätigen.
Wie kann ich GoBD-konform archivieren?
Die wichtigsten Grundsätze und Forderungen der GoBD und ihre Forderungen für die Praxis sind:
Grundsatz der Unveränderbarkeit:
Eine Buchung oder eine Aufzeichnung darf nicht in der Art verändert werden, dass der ursprüngliche Inhalt nicht mehr feststellbar ist. Die Unveränderbarkeit der elektronisch gespeicherten Daten und Unterlagen kann sowohl hardwaremäßig und softwaremäßig (z. B. durch technische Maßnahmen, die keine oder nur nachvollziehbare Änderungen zulassen) als auch organisatorisch (z. B. mittels Zugriffsberechtigungskonzepten) gewährleistet werden. Änderungen müssen stets nachvollziehbar und das Original noch vorhanden/einsehbar sein.
In der Praxis: Ein digitales Archivsystem kann die Unveränderbarkeit der Daten und die Nachvollziehbarkeit der Änderungen über eine Dateiversionierung sicherstellen. So bleibt auch bei Bearbeitungen die Originaldatei erhalten. Außerdem müssen digitale Dokumente in ihrem Ursprungsformat (z. B. E-Mails im E-Mail-Format) archiviert werden. Ebenso muss eine Rechnung in Form einer PDF-Datei auch als PDF-Datei abgelegt werden. Ausnahmen können bei sicherer Konvertierung und Verknüpfung mit dem jeweiligen Geschäftsvorfall zulässig sein. Zusätzlich muss das Archivsystem über eine Benutzerverwaltung mit qualitativen Zugriffsrechten wie „Anlegen“, „Ansehen“ und „Bearbeiten“ verfügen.
Grundsatz der Nachvollziehbarkeit und Nachprüfbarkeit:
Die einzelnen Geschäftsvorfälle und angewandten Buchführungs- oder Aufzeichnungsverfahren müssen für einen sachverständigen Dritten in angemessener Zeit nachvollziehbar und nachprüfbar sein.
In der Praxis: Es muss ein softwareseitiger Zugang zum digitalen Archivsystem für den Prüfer eingerichtet werden können. Optimaler Weise kann ein Read-Only-Archivexport erstellt werden oder ein temporärer Online-Zugriff.
Grundsätze der Richtigkeit, der Vollständigkeit und der Ordnung:
Die Geschäftsvorfälle müssen richtig, vollzählig und lückenlos sowie geordnet aufgezeichnet werden. Das bedeutet unter anderem, dass eine systematische, übersichtliche, eindeutige und nachvollziehbare Buchung (z. B. unterstützt durch bestimmte Ordnungsprinzipien) erfolgen muss. Wird ein elektronisches Aufzeichnungssystem verwendet, muss dieses durch ein Zusammenspiel von technischen und organisatorischen Kontrollen die Einhaltung des Grundsatzes sicherstellen.
In der Praxis: Die archivierten Dokumente müssen einzeln abrufbar sein und inhaltlich sinnvoll indexiert abgelegt sein. Eine bloße unstrukturierte Ablage von Dateien im Dateisystem ist nicht ausreichend.
Internes Kontrollsystem: Die GoBD fordert die Einrichtung und die Vorhaltung eines internen Kontrollsystems, durch das die Einhaltung der Grundsätze und steuerrechtlicher Pflichten überwacht werden soll.
In der Praxis: Neben der GoBD-konformen Software sind auch individuelle organisatorische Maßnahmen zur Einhaltung der Grundsätze notwendig. Diese müssen in einer Verfahrensdokumentation beschrieben werden.
Grundsatz des Datenschutzes:
Die Datenverarbeitungssysteme müssen gegen Unauffindbarkeit, Vernichtung, Untergang oder Diebstahl der Daten beziehungsweise des Systems an sich gesichert werden. Ebenso müssen die Systeme gegen unberechtigte Eingaben und Veränderungen durch Zugangs- und Zugriffskontrollen geschützt werden.
In der Praxis: Ein rechtskonformes Archiv muss ein Benutzermanagement mit qualitativen Zugriffsberechtigungen enthalten. Auch muss ein regelmäßiges Datensicherungskonzept vorliegen und eine regelmäßige Datensicherung durchgeführt werden.
Die Datenschutzgrundverordnung (DSGVO) und das Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG) ergänzen die Vorgaben
Seit dem 25. Mai 2018 regelt die EU-Datenschutz-Grundverordnung (EU-DSGVO) den Umgang mit elektronisch verarbeiteten personenbezogenen Daten und Dokumenten innerhalb der EU. Die Richtline wurde im Bundesdatenschutzgesetzt (BDSG) für Deutschland umgesetzt. Das Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG) setzt ebenfalls eine EU-Richtlinie über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung um. Viele der notwendigen Maßnahmen für die Einhaltung von GoBD, DSGVO und GeschGehG überschneiden sich dabei.
In der Praxis: Für die digitale Archivierung wirkt sich die DSGVO in der Praxis vor allem auf Dokumente mit personenbezogenen Daten aus. Optimaler Weise können solche Dokumente als DSGVO-relevante Dokumente im digitalen Archiv gekennzeichnet werden und mit einer automatischen Erinnerungsfunktion zur Löschung versehen werden.
Zusammenfassung:
Die Basis für gesetzliche Anforderungen finden sich im HGB und in der AO. Hier wird die digitale Archivierung von Geschäftsunterlagen grundsätzlich erlaubt, solange die GoB eingehalten werden. Was unter eine GoB-konformen digitalen Archivierung zu verstehen ist, wird ausführlich in den GoBD beschrieben. Ergänzend hierzu gibt es noch die DSGVO und das Gesetz zum Schutz von Geschäftsgeheimnissen zu berücksichtigen. Die GoBD 2020 berücksichtigt dabei den aktuellen Digitalisierungsgrad im Arbeits- und Wirtschaftsleben und den aktuellen technischen Standard wie z. B. den Siegeszug der E-Mail-Kommunikation im Geschäftsleben. Neben den wichtigen GoBD-Grundsätzen ist ein internes Kontrollsystem (IKS) sowie ein Datenschutzkonzept für das digitale Archiv notwendig und die Dokumentation der Umsetzung aller Maßnahmen in einer Verfahrensdokumentation.
Fazit:
Achten Sie bei der Auswahl eines digitalen Archivsystems darauf, dass die Software GoBD-konform ist. Oft gibt es hierfür unabhängige Testate von Wirtschaftsprüfungsunternehmen oder durch den TÜV. Zusätzlich müssen Sie organisatorische und technische Maßnahmen beim individuellen Einsatz und Betrieb im Unternehmen einführen und damit sicherstellen, dass die rechtlichen Anforderungen auch tatsächlich erfüllt werden. Last but not least: Dies alles muss dokumentiert werden mittels einer Verfahrensdokumentation.
