Revisionssicher oder rechtssicher archivieren Wenn die E-Mail das Archiv kompromittiert

Autor / Redakteur: Wilfried Reiners, PRW Rechtsanwälte / Nico Litzel

Die guten Beziehungen zum Gesetzgeber möchte man sich ungern verscherzen. Leider wird dieser gerne missverstanden, wie die aktuelle Debatte um revisionssichere respektive rechtssichere Archivierung zeigt.

Firma zum Thema

Jedem Archivierungsprojekt muss eine sogenannte Data Retention Policy vorgeschaltet werden, bei der zunächst ermittelt wird, welche Daten wo in welcher Form anfallen und wie lange diese archiviert werden müssen. Der Erwerb des Archivsystem macht nur 20 Prozent der Kosten für eine rechtlich ordnungsgemäße Archivlösung aus.
Jedem Archivierungsprojekt muss eine sogenannte Data Retention Policy vorgeschaltet werden, bei der zunächst ermittelt wird, welche Daten wo in welcher Form anfallen und wie lange diese archiviert werden müssen. Der Erwerb des Archivsystem macht nur 20 Prozent der Kosten für eine rechtlich ordnungsgemäße Archivlösung aus.
( Archiv: Vogel Business Media )

Der Begriff der „revisionssicheren“ Archivierung kommt im Gesetz nicht vor. Der Begriff orientiert sich am Verständnis der Revision aus wirtschaftlicher Sicht und betrifft aufbewahrungspflichtige oder aufbewahrungswürdige Informationen und Dokumente.

Revisionssicherheit im Zusammenhang mit der elektronischen Archivierung bezieht sich nicht nur auf technische Komponenten, sondern auf die gesamte Lösung. Revisionssicherheit schließt sichere Abläufe, die Organisation des Anwenderunternehmens, die ordnungsgemäße Nutzung, den sicheren Betrieb und den Nachweis in einer Verfahrensdokumentation ein.

Gut gemeint, aber nicht zu Ende gedacht

Ein Archivsystem arbeitet dann revisionssicher, wenn vom Eingang eines Dokuments in das Archiv über den Transport bis zur endgültigen Speicherung und darüber hinaus sichergestellt ist, dass das Dokument weder verloren gehen kann, noch verändert wird. Ob ein Gesamtsystem, bestehend aus Client, Server, Betriebssystem und Datensicherung, revisionssicher ist, hängt unter anderem von der Installation und der Administration im laufenden Betrieb ab. Revisionssichere Archivierung ist somit ein wesentlicher Bestandteil für die Compliance von Informationssystemen.

Der Begriff Revisionssicherheit oder revisionssichere Archivierung wird inzwischen auch auf die Archivierung von Informationen außerhalb des handels- und steuerrechtlichen Bereichs angewendet und synonym mit der verfälschungssicheren, langzeitigen Archivierung elektronischer Informationen benutzt.

In Ableitung der Vorschriften im Handelsgesetzbuch (HGB) gelten folgende Kriterien für die Revisionssicherheit:

  • Ordnungsmäßigkeit
  • Vollständigkeit
  • Sicherheit des Gesamtverfahrens
  • Schutz vor Veränderung und Verfälschung
  • Sicherung vor Verlust
  • Nutzung nur durch Berechtigte
  • Einhaltung der Aufbewahrungsfristen
  • Dokumentation des Verfahrens
  • Nachvollziehbarkeit
  • Prüfbarkeit

Weiter mit: Die GoBS beinhalten Vorgaben für die Verfahrensdokumentation

Die Anforderungen und ihre Umsetzung sind im Detail in „Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme“ (GoBS) nachzulesen. Die GoBS beinhalten die Vorgaben für die Verfahrensdokumentation, die zum Nachweis des ordnungsmäßigen Betriebes des Systems erforderlich ist. In Kurzform handelt es sich dabei um folgende Vorgaben:

  • Verfahrensdokumentation / IKS (Internes Kontroll-System)
  • Während Übertragungs- / Scanvorgang darf keine Bearbeitung möglich sein
  • Indexierung / Risiko der Unauffindbarkeit ist zu reduzieren
  • Datensicherheitskonzept
  • Schutz vor Verlust / Veränderung
  • Lesbarkeit der Datenträger ist regelmäßig zu prüfen

Revisionssichere Archivierung erlaubt keine Löschung

Von der revisionssicheren Archivierung ist die „rechtssichere“ Archivierung zu unterscheiden. Die revisionssichere ist ein Bestandteil der rechtsicheren Archivierung. Die revisionssichere Archivierung orientiert sich vornehmlich an den Vorschriften des Handels- und Steuerrechts, die rechtssichere greift alle relevanten Vorschriften auf. Wünschenswert ist somit eine rechtsichere und nicht nur eine revisionssichere Archivierung.

Ein Beispiel: Digitale Röntgenaufnahmen sind gemäß § 28 RöntVO 30 Jahre aufzubewahren. Die steuerliche Aufbewahrungsfristen verlangt allerdings nur zehn Jahre plus X. Und wie sieht es aus, wenn Unterlagen vernichtet werden müssen?

Dazu ein weiteres Beispiel. Der IT Leiter eines Krankenhauses hat ein Archivsystem angeschafft. Sämtliche eingehenden E-Mails werden von Spam, Viren, Malware etc. befreit und dann automatisch ins Archiv überführt. Das Archiv erfüllt die Anforderungen der Revisionssicherheit.

Betrachten wir dazu die E-Mail-Korrespondenz:

1. E-Mail-Beispiel (T1): Zwei Kollegen haben einen Besprechungstermin vereinbart. Bei dieser Email handelt es sich um personenbezogene Daten nach dem Bundesdatenschutzgesetz, die nach drei Monaten vernichtet werden soll. Das ist ein Widerspruch zum revisionssicheren Archiv.

2. E-Mail-Beispiel (T2): Das Krankenhaus hat online Pflaster bestellt. Dieser Vorgang ist steuerlich relevant und ist daher zehn Jahre aufzubewahren.

3 E-Mail-Beispiel (T3): Per E-Mail hat sich ein Arzt des Krankenhauses mit einen niedergelassenen Kollegen über das Röntgenbild eines Patienten ausgetauscht. Dieses war der E-Mail angehängt. Dieses Bild muss 30 Jahre aufbewahrt werden. Das revisionssichere Archiv ist aber nur für einen Zeitraum von zehn Jahren plus X ausgelegt.

So einfach ist es eben nicht mit der Archivierung in der digitalen Welt. Obwohl Storage-Hersteller die Revisionssicherheit ihrer Systeme als Gütesiegel benutzen, entsprechen diese noch lange nicht dem Anspruch rechtssicher.

(ID:2018961)