Revisionssicherheit mit Hilfe eines Dokumentenmanagementsystems

Die Coronapandemie hat deutschen Unternehmen die Vorteile der Digitalisierung vor Augen geführt und ihre Skepsis beseitigt. Die überwältigende Mehrheit sieht für sich einen klaren wirtschaftlichen Nutzen in der Digitalisierung.¹ Viele Firmen haben daher kurzerhand den Digitalisierungsturbo eingelegt. Dabei sind sie über einige neue Fragen gestolpert: Wie kann ich Dokumente sicher und einfach digital speichern? Was sollte ich beachten, wenn ich Daten digital aufbewahren möchte? Welche Vorgaben und Gesetze muss ich einhalten? Was ist Revisionssicherheit und wie kann ich sie in meinem Unternehmen umsetzen? Diese und weitere Fragen beantworten wir im folgenden Beitrag.

1. Mehr Sicherheit für das papierlose Büro
2. Definition: Was bedeutet Revisionssicherheit?
3. In 4 Schritten zum revisionssicheren Archiv
4. Originale vernichten: Ja oder nein?
5. Was trägt ein Dokumentenmanagementsystem zu Revisionssicherheit bei?
6. Fazit

Mehr Sicherheit für das papierlose Büro

Das digitale Büro ist in deutschen Unternehmen allgegenwärtig: 2021 versandten sie zum ersten Mal mehr digitale Rechnungen als analoge.² Umso wichtiger wird ein sicherer, gesetzeskonformer und unkomplizierter Umgang mit den zahlreichen digitalen Informationen und Dokumenten, die täglich im Unternehmen ankommen und produziert werden. Häufig herrscht Unsicherheit, wie die vielen Vorgaben zu Revisions- und Datensicherheit praktisch umgesetzt werden können.  

Definition: Was bedeutet Revisionssicherheit? 

Revisionssicherheit bezeichnet laut Gabler Wirtschaftslexikon „einen Zustand innerhalb von Unternehmen, dessen Systeme und operative Prozesse im Lichte gesetzlicher und sonstiger Vorschriften […] als ordnungsgemäß […] angesehen werden kann.“  

Im Zusammenhang mit der Digitalisierung steht revisionssicher für eine vor Änderungen geschützte, wieder auffindbare, dauerhafte und gesetzeskonforme Archivierung digitaler Daten und Dokumente.  

Gesetzliche Vorgaben 

Anfänglich betraf Revisionssicherheit nur Dokumente, die im Handels- und Steuerrecht Aufbewahrungspflichten unterliegen. Heute muss eine revisionssichere Archivierung deutlich mehr gesetzliche Vorgaben erfüllen: 

• Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD)
• Handelsgesetzbuch (§§ 239, 257 HGB)
• Abgabenordnung (§§ 146, 147, 200 AO)
• Umsatzsteuergesetz (§ 14 UStG)
• Europäische Datenschutz-Grundverordnung (DS-GVO)
• Bundesdatenschutzgesetz (BDSG) 

10 Grundsätze für eine revisionssichere Aufbewahrung

Diese zehn Merksätze des Verbandes für Organisations- und Informationssysteme (VOI e. V.) bündeln die gesetzlichen Anforderungen an eine revisionssichere elektronische Aufbewahrung leicht verständlich: 

1. Jedes Dokument muss nach den gesetzlichen und unternehmensinternen Vorschriften ordnungsmäßig aufbewahrt werden.
2. Die Aufbewahrung hat vollständig zu erfolgen – kein Dokument darf auf dem Weg in das digitale Archiv oder im Archiv selbst verloren gehen.
3. Jedes Dokument ist zum organisatorisch frühestmöglichen Zeitpunkt zu archivieren.
4. Jedes Dokument muss mit seinem Original übereinstimmen und unveränderbar archiviert werden.
5. Jedes Dokument darf nur von entsprechend berechtigten Benutzern eingesehen werden können.
6. Jedes Dokument muss in angemessener Zeit recherchiert und angezeigt werden können. 
7. Das unberechtigte und/oder unnachvollziehbare Löschen von Dokumenten ist technisch und organisatorisch auszuschließen und so zu organisieren, dass sowohl Aufbewahrungsfristen eingehalten als auch gesetzliche Löscherfordernisse erfüllt werden können.
8. Jede ändernde Aktion im digitalen Archiv muss für Berechtigte nachvollziehbar protokolliert werden.
9. Es ist zu gewährleisten, dass das gesamte organisatorische und technische Verfahren der Archivlösung von sachverständigen Dritten jederzeit geprüft werden kann.
10. Bei allen Migrationen und Änderungen am Archivsystem muss die Einhaltung aller zuvor aufgeführten Grundsätze sichergestellt sein.

Branchenspezifische Vorgaben

Neben allgemeinen Normen gelten für zahlreiche Wirtschaftszweige, z. B. Gesundheitswesen, Lebensmittel- und Elektroindustrie, zusätzlich spezielle Anforderungen an eine revisionssichere Aufbewahrung. Informieren Sie sich daher auch zu Vorgaben in Ihrer Branche.  

Beispiel Gesundheitswesen 

Die Aufbewahrungspflichten im Gesundheitswesen sind komplex. Aufbewahrungsfristen reichen von einem Jahr für Arbeitsunfähigkeitsbescheinigungen bis zu 30 Jahren für Aufzeichnungen über Röntgenbehandlungen. In den Aufbewahrungsvorschriften für ärztliche Aufzeichnungen und Patientenunterlagen der Kassenärztlichen Vereinigung Bayerns finden Sie die wichtigsten Vorschriften und Fristen.  

Die Fristen stellen eine Mindestaufbewahrungsdauer dar: „Eine längere Aufbewahrung ist […] erforderlich, wenn sie nach ärztlicher Erfahrung geboten ist.“³ Laut BGB verjähren zivilrechtliche Ansprüche von Patienten gegen Ärzte erst nach 30 Jahren. Es kann daher sinnvoll sein, einige Dokumente so lang aufzubewahren, um im Falle eines Verfahrens die entsprechenden Dokumente vorlegen zu können.  

In 4 Schritten zum revisionssicheren Archiv 

Die theoretischen Anforderungen an ein revisionssicheres Archivsystem werden vom Gesetzgeber in den GoBD ausführlich erläutert. Doch was heißt dies in der Praxis? Konkrete, anwendungsorientierte Hinweise gibt er wegen kurzer Innovationszyklen und Technikneutralität nicht.⁴ Jeder Unternehmer muss also selbst entscheiden.  

Revisionssicherheit bezieht sich immer auf den ganzen Prozess zur Speicherung von Dokumenten und nie auf einzelne Software- oder Hardwarebausteine. Ein revisionssicheres Verfahren schließt sichere Abläufe, die Organisation des Anwenderunternehmens, die ordnungsgemäße Nutzung und den sicheren Betrieb der Dokumentenmanagement-Software und Hardware, eine Verfahrensdokumentation und die Zertifizierung ein. 

1. Dokumentenmanagementsystem
   Sie brauchen ein anpassungs- und leistungsfähiges Dokumentenmanagementsystem, das allen gesetzlichen Vorgaben nachkommt. Der Dokumentenmanagement-Software kann nach Prüfungsstandard 880 des Institutes für Wirtschaftsprüfer (kurz IDW PS 880) und dem internationalen Prüfungsstandard International Standard on Assurance Engagements 3000 (kurz ISAE 3000) von einem Wirtschaftsprüfer (auch Revisor genannt) Revisionssicherheit bescheinigt werden. Ein Dokumentenmanagementsystem allein kann nicht für komplette Revisionssicherheit in Ihrem Unternehmen sorgen. Es ist aber der erste wichtige Schritt auf dem Weg dorthin.
2. Hardware
   Ein weiterer wesentlicher Baustein ist eine geeignete und sichere Speicherlösung. Nur so lassen sich Daten langfristig geschützt aufbewahren. Die Möglichkeiten reichen von einem firmeneigenen Rechenzentrum über eine Hybrid-Lösung bis zur Cloud.
   Machen Sie die Wahl von Ihrer Ausgangssituation abhängig. Wenn Ihre Firma bereits über eine leistungsfähige IT-Infrastruktur verfügt, liegt eine On-Premises-Lösung nahe. Bis 2019 waren diese mehrheitlich im Einsatz. Inzwischen setzen deutsche Mittelständler laut einer Befragung des Bitkom e. V. überwiegend auf Cloud-Lösungen.⁵ Die Einstiegshürden sind niedriger und das Dokumentenmanagementsystem lässt sich flexibel an den aktuellen Bedarf des Unternehmens anpassen.
3. Verfahrensdokumentation
   Jedes Unternehmen, das Buchführungs-, Aufzeichnungs- oder Aufbewahrungspflichten einhalten muss und diesen Pflichten zum Teil oder komplett elektronisch nachkommt, braucht eine Verfahrensdokumentation. Das Erstellen ist in Eigenregie oder mit Unterstützung eines Wirtschaftsprüfers oder Dienstleisters möglich.
   Die Verfahrensdokumentation ist eine Art Handbuch. Ein Betriebsprüfer kann sich mit ihrer Hilfe schnell ein Bild von den technischen und organisatorischen Abläufen zur Datenverarbeitung inklusive Sicherheitsmaßnahmen machen. Die Dokumentation veranschaulicht, wie Papierbelege und digitale Belege empfangen, verarbeitet, verteilt und archiviert werden.
   Im Internet finden Sie nützliche Vorlagen, die Ihnen bei der Erstellung helfen können. Die Bundessteuerberaterkammer und der Deutsche Steuerberaterverband haben ein hilfreiches Muster entwickelt.
   Einmal pro Jahr sollten Sie sicherstellen, dass Ihre Verfahrensdokumentation auf dem neusten Stand ist. Haben sich Abläufe geändert, halten Sie dies auch in der Dokumentation fest.
   Tipp: Bis zu 1.500 Euro staatliche Förderung können Sie im Rahmen des Programms „Förderung unternehmerischen Know-hows“ beim Bundesamt für Wirtschaft und Ausfuhrkontrolle beantragen, um sich zum Thema Verfahrensdokumentation beraten zu lassen.
4. Zertifizierung
   Das von Ihnen etablierte revisionssichere System zur digitalen Archivierung von Dokumenten können sich von einem Wirtschaftsprüfer zertifizieren lassen. Pauschale, allgemeine Zertifizierungen für revisionssichere Soft- und Hardware gibt es nicht. Ob Technik und Prozesse revisionssicher sind, wird im Einzelfall entschieden. Dabei wird das komplette Verfahren begutachtet: Der Einsatz von Soft- und Hardware, die Qualität der Abläufe und Informationen sowie der zuverlässige Betrieb aller Bestandteile.
   Nach der Begutachtung des Prozesses stellt der Wirtschaftsprüfer ein Gutachten und Zertifikat aus. Die Prüfrichtlinien wurden vom Institut der Wirtschaftsprüfer in Deutschland e. V. in den „Grundsätzen ordnungsmäßiger Buchführung beim Einsatz elektronischer Archivierungsverfahren“ (IDW RS FAIT 3) festgehalten.
   Auf Basis der „Prüfkriterien für elektronische Dokumentenmanagement- und Dokumentenprozess-Lösungen“ (VOI PK-DML) vergibt der TÜV Informationstechnik (TÜViT) das Zertifikat „Revisionssichere Archivierung von Dokumentenmanagement-Lösungen“. 

Originale vernichten: Ja oder nein? 

Sie haben alle vier Schritte vom Dokumentenmanagementsystem über Hardware und Verfahrensdokumentation bis zur Zertifizierung erfolgreich umgesetzt? Nun können Sie die Mehrheit Ihrer digitalisierten Dokumente - bis auf wenige Ausnahmefälle - bedenkenlos vernichten. Zu den Ausnahmen, die Sie im Original aufbewahren sollten, gehören offizielle Verträge und Dokumente mit Urkundencharakter und Unterschrift.  

Vor Gericht gelten eingescannte Dokumente bislang nur als Beweismittel des Augenscheins. Sie haben weniger Aussagekraft als eine Urkunde auf Papier. Bewahren Sie also die Originaldokumente, etwa eine Kündigung, auf, da sie im Falle eines Gerichtsverfahrens als Beweis dienen.  

Welche Dokumente Sie im konkreten Einzelfall im Original aufheben sollten, hängt vom Unternehmen ab. Im Zweifel können Sie sich dazu juristisch beraten lassen.  

Nicht nur nützlich bei der Betriebsprüfung: Wie trägt ein Dokumentenmanagementsystem zu Revisionssicherheit bei? 

E-Mails automatisch revisionssicher archivieren 

Deutsche Unternehmen sind verpflichtet, alle Dokumente, die zu einem Geschäftsvorfall gehören, aufzubewahren. Dazu zählen neben Rechnungen auch Anfragen, Angebote oder Aufträge. Da diese inzwischen häufig per E-Mail verschickt werden, gilt seit 2017 eine Aufbewahrungspflicht für E-Mails.  

In § 257 des Handelsgesetzbuches und § 147 der Abgabenordnung ist die Archivierungspflicht festgelegt. Geschäftsrelevante E-Mails müssen je nach Dokumententyp zwischen sechs und zehn Jahren revisionssicher aufbewahrt werden. Zudem muss die DS-GVO eingehalten werden. Was schnell kompliziert werden kann, erledigt ein Dokumentenmanagementsystem dank automatischer E-Mailarchivierung fast von selbst. Es identifiziert von allein geschäfts- und steuerrelevante E-Mails und speichert sie mit Bezug zu anderen passenden Dokumenten wie Rechnungen.  

Qualitätsmanagement: Mit Workflows definierte Prozesse einhalten 

Die Verarbeitung und Archivierung von Daten sind wichtige Bereiche für das Qualitätsmanagements. Mit einem Dokumentenmanagementsystem können Sie Prozesse wie Bestellprozesse oder Rechnungsprüfung digital abbilden und automatisieren. Die Qualität der Prozesse ist gesichert, da sie immer gleich und nach festgelegten Regeln ablaufen.  

Durch Versionierung Transparenz und Zusammenarbeit verbessern 

Ein Dokumentenmanagementsystem protokolliert alle Änderungen an einem Dokument, indem es einen Zeitstempel setzt und den Bearbeiter vermerkt. So kann die gesamte Bearbeitungshistorie eines Dokuments lückenlos nachverfolgt werden und Sie profitieren von mehr Transparenz. Dies kann auch bei Nachverhandlungen und Anpassungen nützlich sein. 

Zudem können mehrere Mitarbeiter über einen Link von verschiedenen Orten gleichzeitig auf dasselbe Dokument zugreifen und es bearbeiten. So entfallen Transportzeiten und Durchlaufzeiten reduzieren sich. Sie haben immer die gleiche Datenbasis vorliegen und Verteiler- und Bearbeitungskopien eines Dokuments sind überflüssig.  

Unkompliziert Aufbewahrungsfristen und Datenschutz einhalten 

Ein gutes Dokumentenmanagementsystem bewahrt Daten sicher und gemäß der Europäischen Datenschutz-Grundverordnung (DS-GVO) sowie dem Bundesdatenschutzgesetz (BDSG) auf. Die in der DS-GVO festgelegten Löschfristen halten Sie problemlos ein, denn zu jedem Dokumententyp kann die passende Aufbewahrungsfrist hinterlegt werden. So kann das Dokument nicht aus Versehen vor Ablauf der Aufbewahrungsdauer gelöscht werden. Läuft die Frist demnächst ab, informiert Sie das Dokumentenmanagementsystem darüber. Über die entsprechende Funktion sorgt es für eine automatische Löschung. Der Arbeitsaufwand Ihrer Mitarbeiter reduziert sich immens: Akten müssen nicht gesichtet, Dokumente nicht ausgeheftet und manuell vernichtet werden. 

Datensicherheit erhöhen und Schutz vor unbefugtem Zugriff 

Wenn Sie ein Dokumentenmanagementsystem einführen, sollten Sie sich die Zeit nehmen, ein detailliertes und durchdachtes Zugriffskonzept zu entwickeln. Bestimmen Sie Rollen, Kompetenzen und Zugriffsberechtigungen. Wer darf was lesen, löschen, drucken und bearbeiten? Nur berechtigte Mitarbeiter sollten nach persönlicher Identifizierung auf die für sie vorgesehenen Daten zugreifen können.  

Mit schneller Volltextsuche Auskunftsfähigkeit verbessern 

Ein Dokumentenmanagementsystem speichert zu einem Dokument die passenden Metadaten, beispielweise das Erstelldatum, Schlagworte oder Dokumentenart. Mit diesen Informationen und der Volltextsuche erhöhen Sie die Revisionssicherheit, indem Sie schnell, jederzeit und an jedem Ort auskunftsfähig sind. Egal ob beim Kunden, gegenüber Geschäftspartnern oder bei der internen oder externen Revision durch das Finanzamt, mit der ortsunabhängigen Volltextsuche sind Sie immer auskunftsfähig und sparen Zeit und Geld.  

Fazit: Leistungsfähiges Dokumentenmanagementsystem elementar für Revisionssicherheit 

Zahlreiche allgemeine gesetzliche und branchenspezifische Vorgaben sind ohne ein modernes Dokumentenmanagementsystem nur mühevoll einzuhalten. Schnell kommt es im Arbeitsalltag zu verpassten Fristen und nicht gesetzeskonform gespeicherten E-Mails. Ein Dokumentenmanagementsystem archiviert Informationen und Dokumente automatisch sicher und zuverlässig entsprechend den gesetzlichen Anforderungen. Funktionen wie die Versionierung und automatische Löschung von Daten zum Ablauf der Aufbewahrungsfrist erhöhen die Revisionssicherheit und entlasten Ihre Mitarbeiter. 

Indem Sie die gesetzlichen Vorgaben einhalten und unbeabsichtigte Gesetzesverstöße vermeiden, minimieren Sie Ihr Haftungsrisiko. Die Gefahr finanzieller Schäden und juristischer Auseinandersetzungen sinkt. Sie brauchen keine Angst vor der nächsten Betriebsprüfung haben, denn Sie sind bestens vorbereitet. Alle Informationen sind jederzeit übersichtlich abrufbar. 

Moderne Dokumentenmanagementsysteme leisten einen entscheidenden Beitrag zur Einhaltung der Revisionssicherheit. Vorausgesetzt das Dokumentenmanagementsystem ist richtig implementiert und konfiguriert. Um das gesamte Potenzial eines Dokumentenmanagementsystems auszuschöpfen, sollte es entsprechend den Anforderungen des Unternehmens ausgewählt und angepasst werden. Auch Nutzer und Administratoren sollten intensiv eingewiesen und regelmäßige Feedbackrunden mit ihnen durchgeführt werden.  

Haben Sie die Einführung eines Dokumentenmanagementsystems erfolgreich gemeistert, profitieren Sie neben verbesserter Revisionssicherheit von vereinfachten und automatisierten Prozessen, mehr Übersicht und enormer Arbeitszeitersparnis.