<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=1694149580751240&amp;ev=PageView&amp;noscript=1">

So werden Ihre Dokumente als Personaldienstleister revisionssicher

7 Minuten Lesezeit
06.09.21 15:42

Die Corona-Pandemie beschleunigte den Digitalisierungstrend in der Zeitarbeitsbranche: Immer mehr Unternehmen stellen auf das papierlose Büro und die Digitale Personalakte um. Denn Zeitarbeitsfirmen haben aufgrund ihres Geschäftsmodells der Arbeitnehmerüberlassung ein besonders hohes Papieraufkommen und schnell türmen sich die Aktenberge. Doch viele Unternehmer sind unsicher, welche gesetzlichen Regelungen sie beachten müssen und wie sie digitale Dokumente revisionssicher aufbewahren. Hier bringen wir Licht ins Dunkel.

Inhalt:

Fazit: Revisionssicherheit zahlt sich aus

Revisionssicherheit: Was heißt das?

Der Begriff „Revisionssicherheit“ wird vom Gesetzgeber nicht klar erläutert. Das Gabler Wirtschaftslexikon definiert Revisionssicherheit als „einen Zustand innerhalb von Unternehmen, dessen Systeme und operative Prozesse im Lichte gesetzlicher und sonstiger Vorschriften […] als ordnungsgemäß […] angesehen werden kann.“

Im Kontext der Digitalisierung steht Revisionssicherheit für eine sichere, vor Manipulationen geschützte, langfristige und rechtskonforme Aufbewahrung digitaler Informationen und Dokumente. Häufig geht es dabei um sensible personenbezogene und steuerrelevante Dokumente und Daten, die für die Betriebsprüfung archiviert werden.

Ursprünglich bezog sich Revisionssicherheit auf aufbewahrungspflichtige Daten im Handels- und Steuerrecht. Inzwischen wird der Begriff weiter gefasst: Eine revisionssichere Aufbewahrung muss die Anforderungen zahlreicher gesetzlicher Grundlagen erfüllen. Dazu zählen:

  • Abgabenordnung (§ 146, 147 AO)
  • Umsatzsteuergesetz (§ 14 UStG)
  • Handelsgesetzbuch (§ 239, 257 HGB)
  • Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD)1 2
  • Datenschutzgrundverordnung (DSGVO)
  • Bundesdatenschutzgesetz (BDSG)

10 Anforderungen an revisionssichere Archivierung

Auf Basis der gesetzlichen Vorgaben hat der Verband für Organisations- und Informationssysteme (VOI e. V.) 10 Punkte erarbeitet. Sie fassen die allgemeinen Anforderungen an eine revisionssichere elektronische Archivierung kompakt und verständlich zusammen:

  1. Ordnungsmäßigkeit: Jedes Dokument muss nach den gesetzlichen und unternehmensinternen Vorschriften ordnungsmäßig aufbewahrt werden.
  2. Vollständigkeit: Die Aufbewahrung hat vollständig zu erfolgen – kein Dokument darf auf dem Weg in das digitale Archiv oder im Archiv selbst verloren gehen.
  3. Frühe Archivierung: Jedes Dokument ist zum organisatorisch frühestmöglichen Zeitpunkt zu archivieren.
  4. Unveränderbarkeit und Unverfälschbarkeit: Jedes Dokument muss mit seinem Original übereinstimmen und unveränderbar archiviert werden.
  5. Nutzung nur durch Berechtigte: Jedes Dokument darf nur von entsprechend berechtigten Benutzern eingesehen werden können.
  6. Reproduzierbarkeit: Jedes Dokument muss in angemessener Zeit recherchiert und angezeigt werden können.
  7. Unberechtigtes Löschen verhindern: Das unberechtigte und/oder unnachvollziehbare Löschen von Dokumenten ist technisch und organisatorisch auszuschließen und so zu organisieren, dass sowohl Aufbewahrungsfristen eingehalten als auch gesetzliche Löscherfordernisse erfüllt werden können.
  8. Nachvollziehbarkeit: Jede ändernde Aktion im digitalen Archiv muss für Berechtigte nachvollziehbar protokolliert werden.
  9. Überprüfbarkeit: Es ist zu gewährleisten, dass das gesamte organisatorische und technische Verfahren der Archivlösung von sachverständigen Dritten jederzeit geprüft werden kann.
  10. Einhaltung der Grundsätze: Bei allen Migrationen und Änderungen am Archivsystem muss die Einhaltung aller zuvor aufgeführten Grundsätze sichergestellt sein.

Hintergrund: Der Begriff „revisionssichere Archivierung“ geht auf den deutschen Publizisten und Unternehmensberater Ulrich Kampffmeyer zurück. Er gründete 1991 den Verband für Organisations- und Informationssysteme e. V. (VOI) als Interessenvertretung der Dokumentenmanagement-Branche. 1996 veröffentlichte der VOI den Begriff in einem „Code of Practice".3

4 Bausteine für Ihr revisionssicheres Archivsystem

In den GoBD werden zwar die Anforderungen an IT-gestützte Prozesse ausführlich beschrieben, doch viele Anwender fragen sich, wie sie Revisionssicherheit konkret umsetzen können. Dies lässt der Gesetzgeber aufgrund der Technologieneutralität und kurzer Innovationszyklen offen. Jeder Unternehmer kann sich für die aus seiner Sicht sinnvollste Lösung entscheiden.4

Grundsätzlich gilt: Revisionssicherheit erreichen Sie nicht isoliert mit einer bestimmten Hard- oder Software. Ein revisionssicheres papierloses Büro bezieht sich auf das ganze Verfahren der Archivierung und umfasst vier Bestandteile:

1. Software

Sie benötigen eine Softwarelösung, die die gesetzlichen Anforderungen erfüllt und sich an die individuellen Bedürfnisse Ihres Unternehmens anpasst. Die Personaldienstleistungsbranche ist besonders häufig von wechselnden Rahmenbedingungen und Gesetzesänderungen betroffen. Entsprechend flexibel sollte die Softwarelösung sein.

Besonders hilfreich sind Systeme, die zu jedem Buchungsvorgang in der Finanzbuchhaltung einen direkten Link zum digital archivierten Beleg erstellen. Dadurch werden alle Geschäftsvorgänge sehr schnell und einfach nachprüfbar.

Ein unabhängiger Wirtschaftsprüfer kann der Software nach dem Prüfungsstandard 880 des Institutes für Wirtschaftsprüfer (kurz IDW PS 880) und dem internationalen Prüfungsstandard International Standard on Assurance Engagements 3000 (kurz ISAE 3000) Revisionssicherheit testieren. Die Software-Lösung allein kann keine umfassende Revisionssicherheit garantieren, ist aber der erste wichtige Baustein.

2. Hardware

Um Dokumente langfristig, sicher und unveränderbar aufbewahren zu können, brauchen Sie eine leistungsfähige und zuverlässige Speicherlösung. Dies kann ein eigenes Rechenzentrum im Unternehmen, eine Cloud-Infrastruktur oder eine Hybrid-Lösung sein. Wenn Sie bereits über umfangreiche eigene IT-Ressourcen verfügen, bietet es sich an, das lokale Rechenzentrum für die geplanten Anwendungen zu erweitern und selbst zu warten. Die Cloud dagegen hat den Vorteil, dass Sie sich keine Gedanken um eigene Server-Hardware, zahlreiche IT-Aufgaben und hohe Anfangsinvestitionen machen müssen. Bei der Entscheidung für einen Cloud-Speicher sollten Sie darauf achten, dass der Anbieter deutsche Datenschutzgesetze und die genannten „Grundsätze der ordnungsgemäßen elektronischen Buchführung“ (GoBD) einhält.

3. Verfahrensdokumentation

Jedes Unternehmen ist verpflichtet, eine Verfahrensdokumentation zu erstellen. Dies kann es selbst tun oder einen Wirtschaftsprüfer oder Berater beauftragen.

In der Dokumentation werden alle Archivierungsvorgänge und Kontrollmechanismen technisch und organisatorisch beschrieben. Sie stellt den ganzen Prozess vom Erfassen über das Wiederfinden bis zum Vernichten von Dokumenten dar: Wer tut was, wie und mit welcher Soft- und Hardware?

Die Bundessteuerberaterkammer und der Deutsche Steuerberaterverband haben eine gute Vorlage erstellt, die Sie bei der Erstellung unterstützt und den Aufwand minimiert.

💡 Tipp: Das Bundesamt für Wirtschaft und Ausfuhrkontrolle fördert im Rahmen des Programms „Förderung unternehmerischen Know-hows“ die Beratung zur Verfahrensdokumentation mit bis zu 1.500 Euro.  

Ändern sich Prozesse, sollte auch die Verfahrensdokumentation aktualisiert werden. Stellen Sie mindestens jährlich sicher, dass sie auf dem neusten Stand ist und mit den tatsächlichen Abläufen übereinstimmt.

4. Zertifizierung

Allgemein gültige Zertifizierungen für revisionssichere Soft- und Hardware existieren nicht. Wer ein revisionssicheres System für die digitale Aufbewahrung von Daten einführt, kann sich dies aber zertifizieren lassen. Die Revisionssicherheit wird individuell beim Anwenderunternehmen begutachtet. Auf dem Prüfstand steht das gesamte Verfahren: die Nutzung der Hard- und Software, die Qualität der Informationen und Prozesse und der sichere Betrieb aller Komponenten.

Eine Zertifizierung der Revisionssicherheit führt ein Wirtschaftsprüfer vor Ort durch. Er erstellt ein Gutachten zum gesamten Prozess der digitalen Aufbewahrung. Das Institut der Wirtschaftsprüfer in Deutschland e. V. hat dafür in den „Grundsätze ordnungsmäßiger Buchführung beim Einsatz elektronischer Archivierungsverfahren“ (IDW RS FAIT 3) Prüfrichtlinien erarbeitet.  

Der TÜV Informationstechnik (TÜViT) kann das Zertifikat „Revisionssichere Archivierung von Dokumentenmanagement-Lösungen“ ausstellen. Grundlage dafür sind die „Prüfkriterien für elektronische Dokumentenmanagement- und Dokumentenprozess-Lösungen“ (VOI PK-DML) des VOI und des TÜViT. 

Mit einem Zertifikat, das Revisionssicherheit bestätigt, können Sie Vertrauen und Akzeptanz bei Kunden und Mitarbeitern schaffen. Zudem weisen Sie gegenüber Behörden nach, dass Sie Ihren Archivierungspflichten nachkommen. 

Tipps für eine revisionssichere Digitale Personalakte

Die Digitale Personalakte kommt in immer mehr Zeitarbeitsfirmen zum Einsatz. Mit ihrer Hilfe lässt sich das für Personaldienstleister typische hohe Papieraufkommen vermeiden. Sie sparen Geld für Lagerraum und viel Zeit, denn das Abheften und Suchen von Akten fallen weg.  

Für die Personaldienstleistungsbranche können sich rechtliche Vorgaben und Rahmenbedingungen schnell ändern. Die Auflagen und Anforderung staatlicher Behörden sind hoch. Daher wundert es nicht, dass die von uns nach ihren Anforderungen an eine Digitale Personalakte befragten Personaldienstleister an dritter Stelle die rechtliche Bestandskraft bei Prüfungen nannten.5

Die rechtlichen Vorgaben an Papierakten gelten auch für elektronische Akten. In beiden Fällen müssen Vorschriften zur Rechts- und Revisionssicherheit sowie zum Datenschutz eingehalten werden.

Datenschutz 

In digitalen Personalakten ist eine Vielzahl sensibler personenbezogener Daten der Mitarbeiter hinterlegt. Sie müssen bei der Erfassung und Verwaltung der Daten darauf achten, die datenschutzrechtlichen Pflichten nach Datenschutzgrundverordnung (DSGVO) und Bundesdatenschutzgesetzes (BDSG) einzuhalten. 

Laut § 26 BDSG darf der Arbeitgeber Daten sammeln, die für die Aufnahme, Durchführung oder Beendigung eines Beschäftigungsverhältnisses erforderlich sind. Zu beachten sind dabei folgende Bestimmungen:  

  • Sie müssen die Einwilligung der Mitarbeiter zur digitalen Verarbeitung ihrer Personalakten einholen.
  • Die Daten dürfen nur zweckgebunden genutzt werden.
  • Nur ein begrenzter Personenkreis darf Einsicht erhalten und der Arbeitgeber muss die Daten vor unbefugter Einsichtnahme sichern.
  • Die Beschäftigten haben gemäß § 15 Abs. 3 DSGVO ein Auskunftsrecht und dürfen die in der eigenen Personalakte gesammelten Daten prüfen.
  • Falsch oder rechtswidrig erhobene Daten müssen gelöscht oder berichtigt werden.
  • Die Datenweitergabe an Dritte ist verboten.
  • Aufbewahrungsfristen müssen eingehalten und nach Ablauf Dokumente dauerhaft gelöscht werden.

Technische und organisatorische Maßnahmen zur sicheren Aufbewahrung

Mit der Einführung der Digitalen Personalakte sollten Sie ein differenziertes Berechtigungskonzept ausarbeiten, in dem bestimmte Rollen, Kompetenzen und Zugriffsrechte (lesen, löschen, drucken, bearbeiten) festgelegt sind. Nach der persönlichen Authentifizierung sollten nur berechtigte Personen die für sie zugelassenen Dokumente und Informationen sehen und verändern können.  

Arbeitsvorgänge sollten protokolliert werden, sodass Sie Änderungen nachvollziehen können. Allerdings darf nicht jede Änderung festgehalten werden. Insbesondere beim Löschen, etwa einer Abmahnung, darf das Protokoll keine Rückschlüsse auf das gelöschte Dokument erlauben.

Führen Sie regelmäßig eine Qualitätssicherung durch, indem Sie Akten auf Vollständigkeit und Prozesse auf einen effektiven Ablauf prüfen.  

Originale vernichten oder aufbewahren? 

Sie haben eine Verfahrensdokumentation erstellt und verfügen über geeignete Soft- und Hardware? Dann können Sie zahlreiche Dokumente nach der Digitalisierung vernichten. Aber nicht alle! Welche das sind, hängt vom einzelnen Unternehmen ab. Offizielle Verträge und Dokumente mit Urkundencharakter und Unterschrift wie Arbeitsverträge und Kündigungen sollten Sie auch im Original aufbewahren. Kommt es später zu einem Gerichtsverfahren, dienen die Originaldokumente als Beweis. Das eingescannte Dokument gilt vor Gericht als Beweismittel des Augenscheins und hat weniger Aussagekraft als ein Beweis durch eine Urkunde. Urlaubsanträge, Weiterbildungsnachweise und Bewerbungsunterlagen dagegen können Sie bedenkenlos entsorgen.

💡 Tipp: Sollten Sie unsicher sein, welche Originaldokumente Sie aufbewahren sollten und welche Sie vernichten können, lassen Sie sich von einem Experten juristisch beraten. 

Rechtskonformität und Revisionssicherheit erhöhen 

Die von uns durchgeführte Studie unter Personaldienstleistern ergab, dass je mehr die Digitale Personalakte zum Einsatz kommt, desto besser werden die Qualität und die Einhaltung rechtlicher Vorschriften. Die befragten Unternehmen gaben an, dass durch die Digitale Personalakte die Zugriffsregeln verbessert werden (76 %), Datenverlust reduziert wird (76 %), sich die Datensicherheit erhöht (70 %) und Fehler vermieden werden (63 %).6 So können beispielsweise digitale Dokumente verschlüsselt und mit Ablauf der Aufbewahrungsfrist automatisch gelöscht werden. Kein Mitarbeiter muss dafür Akten sichten, Dokumente ausheften und vernichten. Genau definierte Zugriffsrechte und Rollen verhindern das unbefugte Einsehen vertraulicher Informationen. Auch die schnelle Volltextsuche im gesamten Archiv trägt zur Revisionssicherheit bei, indem Sie jederzeit, überall und schnell auskunftsfähig sind. Die interne und externe Revision, etwa durch das Finanzamt, ist ortsunabhängig möglich und spart Zeit und Geld. 

Fazit: Revisionssicherheit zahlt sich aus 

Die Zeitarbeit kommt in der Zukunft nicht an der Digitalisierung vorbei. Nutzen Sie also ihre Vorteile. Die Umstellung auf das papierlose Büro und die Digitale Personalakte unterstützt Sie, die gesetzlichen Vorgaben bestmöglich zu erfüllen. Hat ein Unternehmen die Schritte zur Revisionssicherheit gemeistert, profitiert es selbst von einem revisionssicheren digitalen Aufbewahrungssystem: Geschäftsprozesse werden optimiert und Fehler, finanzielle Schäden und gerichtliche Auseinandersetzungen vermieden. Ihre Daten sind im Fall einer Cloud-Lösung im Gegensatz zum verschließbaren Aktenschrank vor äußeren Einflüssen wie Feuer, Flutkatastrophen, Erdbeben, Einbruch und Diebstahl geschützt.  

Die Digitale Personalakte etwa kann einen erheblichen Beitrag zur revisionssicheren Archivierung leisten: Sie hilft, Akten schnell, systematisch, vollständig und übersichtlich abzurufen. Sensible Daten Ihrer Mitarbeiter können in elektronischer Form besonders sicher aufbewahrt werden – und Sie sind auf der sicheren Seite!

 


1 BMF v. 28. November 2019 - IV A 4 - S 0316 / 19 / 10003 :001
2 In den GoBD hat das Bundesministerium der Finanzen im November 2019 seine Vorgaben an IT-gestützte Prozesse aktualisiert. Die GoBD ersetzen die GoBS (Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme) und die GDPdU (Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen). 
3 Kampffmeyer, Ulrich; Rogalla, Jörg: Grundsätze der elektronischen Archivierung: „Code of Practice“ zum Einsatz von Dokumenten-Management- und elektronischen Archivsystemen. Verband Optische Informationssysteme, Darmstadt 1997.
4 Bitkom e. V.: GoBD-Checkliste für Dokumentenmanagement-Systeme. Version 2.0. Berlin 2020. S. 9. 
5 Vgl. tutum: Studie Digitale Personalakte. Nutzung & Wertbeitrag der Digitalen Personalakte für Personaldienstleister – eine empirische Studie. 2015, S. 9. 
6 Vgl. tutum: Studie Digitale Personalakte. Nutzung & Wertbeitrag der Digitalen Personalakte für Personaldienstleister – eine empirische Studie. 2015, S. 31. 

Studie

Wie Sie mit Hilfe der Digitalen Personalakte die Revisions- und Rechtssicherheit für Ihr Unternehmen erhöhen, erfahren Sie in unserer kostenfreien Studie.

DPA-Studie

Jetzt Studie herunterladen

 

E-Mail Benachrichtigungen aktivieren