14.02.2020 (as)
4.5 von 5, (2 Bewertungen)

Überblick über digitale Archivierung mit ECM-Systemen

  • Inhalt dieses Artikels
  • Bedeutung der GoBD
  • Die GoBD spiegeln Sicht der Finanzverwaltung wider
  • ECM-Systeme helfen Compliance-Anforderungen zu erfüllen
  • Software-Zertifikate sind kein Freischein

Dass viele Unternehmen beim Thema digitale Archivierung nicht gründlich genug vorgehen, liegt wohl auch am Dickicht vorhandener Vorschriften. Die wichtigsten regulatorischen Anforderungen ergeben sich aktuell aus GoBD und DSGVO, von denen sich viele mit ECM-Systemen abdecken lassen.

Viele Archive warten darauf digitalisiert zu werden (Bild: Pexels/Pixabay)Viele Archive warten darauf digitalisiert zu werden (Bild: Pexels/Pixabay)Gerade mit der Archivierung von digitalen Informationen gehen viele Unternehmen noch zu sorglos um. Unklar ist häufig bereits welche Informationen, in welcher Art und Weise wie lange aufzubewahren sind. Für E-Mails mit steuerrelevanten Inhalten sowie digitale Dokumente und E-Rechnungen sind wie für die Archivierung von allgemeinen Dokumenten aus dem Geschäftsleben nach dem Handelsrecht das Handelsgesetzbuch (HGB) und nach dem Steuerrecht die Abgabenordnung (AO) maßgeblich. Sie schreiben zum Beispiel vor, dass empfangene und ausgestellte Rechnungen zehn Jahre und Handels- und Geschäftsbriefe sechs Jahre aufzubewahren sind. Eine genaue Auflistung der Aufbewahrungsfristen von Geschäftsunterlagen hat beispielsweise die Handelskammer Hamburg zusammengefasst .

Zusätzlich gibt es Aufbewahrungsfristen aus anderen Rechtsgebieten, wie dem Arbeitsrecht, dem Sozialversicherungsrecht und dem Produkthaftungsgesetz. Daneben existieren verschiedene nationale und branchenspezifische Bestimmungen beispielsweise im medizinischen Umfeld, wo Patientendaten zehn Jahre lang nach Abschluss der Behandlung aufbewahrt werden müssen. Besteht eine chronische Erkrankung, kommt es zu Komplikationen oder sogar einem Rechtsstreit sind die Unterlagen bis zu 30 Jahre aufzubewahren.

Bedeutung der GoBD

Die Vorschriften und Fristen betreffen elektronische Prozesse und Dokumente ebenso wie papiergebundene. Da inzwischen immer mehr Prozesse und Dokumente digitalisiert ablaufen und abgebildet werden, fassen die Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD) grundlegende Bestimmungen aus Sicht des Bundesministeriums der Finanzen zusammen. Die darin formulierten Anforderungen werden häufig von Berufsständen wie IT-Unternehmen und Verbänden herangezogen, um Unternehmensverantwortliche über Bestimmungen zur elektronischen Archivierung zu informieren.

Jürgen Schott ist Experte für digitale Betriebsprüfungen (Bild: Schott)Jürgen Schott ist Experte für digitale Betriebsprüfungen (Bild: Schott)Doch eigentlich bindet die Verwaltungsanweisung zunächst nur die Finanzämter. Allerdings rät Jürgen R. Schott, Steuerberater und Experte im Bereich digitaler Betriebsprüfungen, auch Unternehmen die GoBD zu beachten: »Soweit die Aussagen der GoBD die Vorgaben insbesondere der Abgabenordnung (AO) richtig interpretieren und widergeben, ist auch der Steuerbürger daran gebunden und hat eine umfangreiche Orientierungshilfe. Es ist auch eindeutig zu empfehlen, dass der Steuerbürger (Unternehmer) versucht die Anforderungen der GoBD zu erfüllen – es gibt dann kein Streitpotenzial und der Unternehmer selbst profitiert und erfüllt die aus steuerlicher Sicht bestehenden Anforderungen an IT-gestützte Geschäftsprozesse.«

Die GoBD spiegeln Sicht der Finanzverwaltung wider

Soweit die Finanzverwaltung in den GoBD eigene Rechtsauffassungen vertrete, die gegebenenfalls auslegungsfähig bis kritisierbar eingeordnet werden könnten, müsse dies im Einzelfall bei Streit durch die Rechtsprechung geklärt werden. Hierunter fällt laut Schotts Einschätzung beispielsweise die in der GoBD geforderte aussagekräftige und vollständige Verfahrensdokumentation, die in der AO nicht zu finden ist. Die AO verlangt lediglich, die zum Verständnis erforderlichen Arbeitsanweisungen und sonstigen Organisationsunterlagen aufzubewahren. Allerdings werde nach Schotts Erfahrung auf die Existenz von Verfahrensdokumentationen bei Betriebsprüfungen großen Wert gelegt: »Bei einer gänzlich fehlenden oder ungenügenden Verfahrensdokumentation wird vom Prüfer dann häufig die fehlende Nachvollziehbarkeit und Nachprüfbarkeit kolportiert und sodann versucht, eine Schätzungsgrundlage darzustellen.« Obwohl es gemäß den Erfahrungen des Steuerexperten meist nicht schlimm ist, »dass die GoBD nicht bis zur letzten Erbse im Einzelfall erfüllt sind«, warnt er davor, zu lax mit den Anforderungen der AO zur digitalen Archivierung umzugehen.

Generell sind im Rahmen der digitalen Archivierung vier Grundsätze zu beachten: Unveränderbarkeit, Vollständigkeit, Nachvollziehbarkeit und Verfügbarkeit. Excel und Word-Dateien sind zum Beispiel nicht vor Veränderungen geschützt. Zudem müssen unter anderem nachträgliche Änderungen im Rechnungswesen wie Stornierungen oder Korrekturen klar dokumentiert sein.

ECM-Systeme helfen Compliance-Anforderungen zu erfüllen

Bernhard Zöller berät Unternehmen bei ECM-Projekten (Bild: Zöller & Partner)Bernhard Zöller berät Unternehmen bei ECM-Projekten (Bild: Zöller & Partner)Viele der GoBD-Anforderungen lassen sich mit modernen Enterprise-Content-Management-Systemen erfüllen, die mehr können als nur archivieren, wie Bernhard Zöller, Geschäftsführer des ECM-Beratungsunternehmen Zöller & Partner betont: »Sie sind natürlich auch in der Lage, Dokumente in ihrem frühen Lebenszyklus zu verwalten, wenn noch Überarbeitungen und Versionierungen notwendig sind. Es ist schon lange nicht mehr notwendig, zwei Systeme nebeneinander zu stellen: Eines für die Archivierung und eines für die Verwaltung lebender Dokumente.« Egal über welchen Eingangskanal (Post, E-Mail oder Fax) Dokumente eintreffen, können ECM-Systeme sie zentral und vollständig erfassen und GoBD-konform archivieren. Über sie lassen sich in der Regel auch die Geschäftsvorfälle in ihrer Entstehung und Abwicklung lückenlos verfolgen und Dokumentänderungen nachvollziehen, ohne dass die Ursprungsversion verloren geht oder verändert wird. Je nach Dokumententyp können zum Beispiel Rechnungen oder Buchungsbelegen automatisiert entsprechende Aufbewahrungszeiten zugewiesen werden, um die Aufbewahrungsfristen der AO exakt zu erfüllen.

Mit diesen Funktionen bieten ECM-Systeme gleichzeitig Hilfe bei der Erfüllung der Datenschutzgrundverordnung (DSGVO), die Zöller neben der GoBD als wichtigste sonstige regulatorische Anforderung für Unternehmen ansieht. Insgesamt kommt es bei der DSGVO sehr darauf an, personenbezogene Daten korrekt zu verwalten. Es muss klar sein, auf welchen Wegen sie ins Unternehmen kommen und wer sie wann warum bearbeitet. Personenbezogene Daten sind bestmöglich zu schützen und nur autorisierten Personen für notwendige Vorgänge zugänglich zu machen. Mit ECM-Systemen ist man in der Lage, personenbezogene Daten in unterschiedlichen Anwendungen ausfindig zu machen. Inklusive entsprechender Dokumente und Akten lassen sie sich auf Wunsch der zugehhörigen Person oder nach Ablauf gesetzlicher Mindestaufbewahrungsfristen selektiv löschen. Neben der Eigenschaft, automatische Löschfristen pro Dokumentenart oder Dokument einzurichten, sind die Ablage der Dokumente in verschlüsselter Form sowie ein gutes Berechtigungsmodul bei ECM-Systemen entscheidend, um DSGVO-Kriterien einhalten zu können.

Software-Zertifikate sind kein Freischein

Zwischen der DSGVO und den GoBD gibt es einen hohen Deckungsgrad in Bezug auf die Schutzziele, die ECM-Systeme erfüllen können. ECM-Hersteller nutzen dies als Verkaufsargument, das sie oft mit Testaten und Zertifikaten zu untermauern versuchen. Doch ob es sich um ein ECM-System, eine E-Mail-Archivierungslösung oder ein anderes IT-System handelt, stellen Siegel wie »GoBD-konform« und »DSGVO-konform« keinen Freischein dar. So meint auch Schott mit Blick auf die GoBD: »Es gibt keine allgemein gültigen Aussagen der Finanzverwaltung zur Konformität der verwendeten oder geplanten Hard- und Software; ebenso keine Positivtestate zur Ordnungsmäßigkeit der Buchführung im Rahmen einer steuerlichen Außenprüfung oder einer verbindlichen Auskunft. Dafür ist die Vielzahl und unterschiedliche Ausgestaltung und Kombination der IT-Systeme für die Erfüllung außersteuerlicher oder steuerlicher Aufzeichnungs- und Aufbewahrungspflichten auch zu groß.«

Die GoBD stellen im Gegenteil klar, dass es keinerlei Bindungswirkung von »Zertifikaten« oder »Testaten« Dritter gibt.« Diese Zertifikate oder Testate der Drittanbieter können Verantwortlichen lediglich eine Entscheidungshilfe geben, wenn sie sich um ein konformes System bemühen.