Eines der primären Ziele einer Archivierungslösung ist, Compliance-Anforderungen zu erfüllen und damit revisionssicher zu sein. Doch wie finden sich Projektverantwortliche im Dschungel technischer Möglichkeiten und Gesetzesvorgaben zurecht? Weder existieren konkrete technologische Gestaltungsvorschriften noch revisionssichere Produkte per se.

Immer mehr Archive werden digitalisiert (Bild: Iron Mountain)

Je nach Unternehmenssitz und –art sowie Branche kommen bei der Archivierung von Dokumenten verschiedenste Compliance-Vorschriften zum Tragen. »Es gibt die unterschiedlichsten Regeln, die ein Unternehmen zu befolgen hat, das können interne Richtlinien sein und eben vom Gesetzgeber vorgegebene wie die Abgabeordnung (AO), die Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS), die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) oder internationale Richtlinien wie der Sarbanes-Oxley Act (SOX) oder  Basel II«, berichtet Karl-Heinz Mosbach, Geschäftsführer von ELO Digital Office. Darüber hinaus gebe es noch spezifische Branchen-Anforderungen beispielsweise die Food and Drug Administration (FDA) im Gesundheits- und Lebensmittelbereich. Selbst Webseiten müssen archiviert werden.

Allgemein fordert das deutsche Handels- und Steuerrecht die »ordnungsgemäße Aufbewahrung« von Geschäftsdokumenten. Aufbewahrungspflichtige müssen in der Lage sein, Belege und Unterlagen über die Dauer der Aufbewahrungsfrist bildlich (bei eingehenden Dokumenten) bzw. inhaltlich (bei intern erstellten Unterlagen) gegen unzulässige Veränderungen geschützt und in angemessener Zeit reproduzieren zu können. Werden Belege in elektronischer Form verwaltet, ist eine Verfahrensdokumentation gefordert. Ein »sachverständiger Dritter« soll in angemessener Zeit nachvollziehen können, wie die jeweiligen regulatorischen Anforderungen vom eingesetzten System und den angewandten Verfahren erfüllt werden.

Die IT-spezifischen Interpretationen des Handels- und Steuerrechts sind derzeit in GoBS beschrieben. Speziell zählt zu den einzuhaltenden Vorgaben beispielsweise §257 HGB, der die langfristige und unveränderliche Speicherung von rechnungslegungsrelevanten Unterlagen und Daten auf maschinenlesbaren Datenträgern vorsieht.  Noch weiter geht die steuerrechtliche Vorschrift GDPdU. Hier bestehen unter anderem die Pflichten zur unverzüglichen Lesbarmachung digitaler Daten, und originär digitale Daten auch so zu archivieren.

Erfüllt ein Unternehmen diese Vorschriften nicht, droht zunächst die Verweigerung des Bestätigungsvermerks durch den Wirtschaftsprüfer, was praktisch quasi nicht vorkommt. Behörden selbst prüfen die Einhaltung der Vorschriften nicht. Gnadenlos  wird es für Unternehmen dagegen in juristischen Streitfällen. Fehlen hier relevante Unterlagen, geht Unternehmen die Beweiskraft verloren und das Urteil fällt negativ aus. Daher sollten Unternehmen Compliance-Anforderungen unbedingt erfüllen.

Allerdings gibt es in den zahlreichen Vorschriften keine konkreten technologischen Gestaltungsvorschriften, wie die Anforderungen zur Archivierung zu erfüllen sind. Um eine geeignete Archivierungslösung zu finden, müssen sich Unternehmensverantwortliche im Dschungel technischer Möglichkeiten und Gesetzesvorgaben selbst zurechtfinden. Ständig steigende Datenmengen und Effizienzanforderungen erschweren die Orientierung.
Wichtig zu wissen ist, dass es keine Archivierungslösungen aus Hard- oder Software gibt, die sobald sie installiert sind, Revisionssicherheit garantieren. Vielmehr sind Unternehmen gefordert, revisionssichere Archivierungsprozesse aufzusetzen, die durch Archivierungslösungen unterstützt werden. Dies unterstreicht Herbert Lörch, CEO von Saperion: »Der gesamte Archivierungsprozess, wie mit Dokumenten umgegangen wird - also von der erstmaligen Erfassung bis hin zur Vernichtung – hat maßgeblichen Anteil an einer Compliance-Lösung. Wir sollten ECM-Software deshalb nicht überschätzen: eine Archivierungssoftware kann die Compliance-Anforderungen umsetzen (und trägt auch einen sehr wesentlichen Teil dazu bei); für sich alleine gesehen kann sie aber noch keine Compliance-Anforderungen erfüllen.«

Daher muss ein Unternehmen die Archivierungsprozesse genau analysieren und  feststellen, welche Personen bzw. welche Organisation an der Archivierung beteiligt sind, wie die IT-Infrastruktur aussieht und welche Anwendungsprogramme zum Einsatz kommen. Letztlich müssen alle Komponenten im Zusammenspiel die Revisionssicherheit bewirken. Es ist erforderlich, dass maschinelle IT-Kontrollen und organisatorische Kontrollmaßnahmen gemeinsam umgesetzt sind.

Als Voraussetzung für die Erfüllung der Compliance-Anforderungen mit einer Archivierungslösung empfiehlt ELO-Chef Mosbach Unternehmen daher die Beschreibung der eigenen Prozesse in einer Verfahrensdokumentation. Was dies beinhaltet, erläutert Hans-Günter Börgmann, Geschäftsführer von Iron Mountain Deutschland: »Für die sichere und rechtskonforme Archivierung muss das Unternehmen im Vorfeld seinen Bedarf und die relevanten gesetzlichen Regelungen genau kennen. Zudem müssen Verantwortliche definieren, welche Daten geschäftskritisch sind und damit besonderen Schutz und gesonderte Prozesse bei der Archivierung benötigen.« Ähnlich sieht dies Dr. Michael Duhme, Pressesprecher von windream: »Das anwendende Unternehmen sollte sich natürlich im Vorfeld der Installation einer Archivierungslösung im Klaren darüber sein, welche Arten von Dokumenten archiviert werden sollen, wie lange bestimmte Dokumente aufzubewahren sind, und mit welchen Dokumentvolumen zukünftig zu rechnen sein wird.«

Wie bei der Einführung von anderen unternehmensweiten Systemen sind auch bei Archivierungslösungen die vorbereitende Planung und insbesondere die Einigung auf das Ziel bzw. die kritischen Erfolgsfaktoren der Implementierung der Schlüssel zum Erfolg. »Entscheidend ist heute weniger, welche technischen Features eine Softwarelösung unterstützt oder auch nicht unterstützt«, meint Lörch. Viel wichtiger sei zu erkennen, wie gut die Lösung die eigenen Anforderungen erfülle und wie umfassend und kompetent der Partner bei der Umsetzung helfe. Trotz hohem Aufwand mag es für die Verantwortlichen beruhigend klingen, dass sie richtig vorbereitet schon den Großteil des Weges hin zu einer revisionssicheren Archivierungslösung geschafft haben.