Interview mit ECM-Profi Bernhard Zöller zu GoBD und DSGVO
Das Finanzministerium hat die Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD) nach fünfjähriger Geltung erstmals überarbeitet. Wie wirken sich die von Ihnen in einem ausführlichen Artikel vorgestellten Änderungen der GoBD auf Unternehmen aus?
Zöller: Keine dieser Regelungen führt aus unserer Sicht zu einer relevanten Erhöhung des Aufwandes. Grob gesagt: wer bisher die GoBD eingehalten hat, ist aller Wahrscheinlichkeit nach auch GoBD-Neu konform. Sollten bei bestimmten Themen bisher Unklarheiten bestanden haben, kann man nun prüfen, ob diese konkretisiert wurden, wie beim Scannen via Smartpone-App oder Scannen im Ausland. Ein kleiner Mehraufwand entsteht vielleicht bei der Führung der Verfahrensdokumentation, wenn man bisher immer nur die aktuelle Version aufbewahrt hat.
Inwieweit sind sich Unternehmen der Änderungen bewusst?
Zöller: In den kleinen Details sind die Regelungen vielleicht nicht überall bekannt. Da es sich aber meistens um Vereinfachungen handelt, entgeht dem Unternehmen ein Vorteil, die Nicht-Kenntnis der Details führt aber nicht zu Risiken.
Wie gut unterstützen ECM-Systeme Unternehmen dabei, die GoBD einzuhalten?
Zöller: Eine ECM-Lösung ist ja manchmal der Regelungsgegenstand selbst, kann aber auch bei einigen Anforderungen die Erfüllung der Anforderungen unterstützen: dem Recherchieren und gegebenenfalls dem Export der in Prüfsituationen benötigen Unterlagen, bei der Führung der Verfahrensdokumentation, der Dokumentation von Verfahrensschritten, dem Nachweis der Einhaltung von Regeln (Unveränderbarkeit, Versionierung) usw.
Welche anderen Vorschriften sollten Unternehmen im Zusammenhang mit digitaler Archivierung ebenfalls genauer ins Auge fassen?
Zöller: Die wichtigste sonstige regulatorische Anforderung in der aktuellen Diskussion ist sicherlich die DSGVO. Man muss in der Lage sein, nach Ablauf der gesetzlichen Mindestaufbewahrungsfristen (diese haben Vorrang) einzelne Dokumente oder Akten selektiv zu löschen. Gerade hier muss man aufpassen, dass man nicht mit den alten WORM-Archivtechnologien der 80er und 90er Jahre arbeitet, die eine selektive Löschung technisch nicht zulassen. Das selektive Löschen war auch schon in Zeiten des alten BDSG eine Anforderung, wurde aber durch das »logische Löschen« ersatzweise kompensiert. Das ist nun nicht mehr möglich Seltsamerweise steht das zwar wieder im BDSG-Neu so drin, ist nach Meinung von Fachleuten aber nicht mehr so zu interpretieren. Es ist natürlich für den Anwender nicht sehr hilfreich, wenn sich DSGVO und BDSG-Neu wiedersprechen. Um auf der sicheren Seite zu sein: Keine WORM-Speicher, die kein selektives Löschen zulassen für DSGVO-relevante Unterlagen!
Welche IT-Tools empfehlen Sie zur Einhaltung der wichtigsten Vorschriften?
Zöller: Regelkonforme DMS-Plattformen (sind für jedes Budget verfügbar), Implementierung von Verfahren die diese Schutzfunktionen auch nutzen, Dokumentation der Systeme und Verfahren in einer (versionierbaren) Verfahrensdokumentation.
Sehen Sie typische Fehler, die Unternehmen bei der digitalen Archivierung häufig machen?
Zöller: Man sollte Archivinseln vermeiden. Wenn jemand eine dedizierte Mail-Archivierung betreibt fragt man sich, ob er auch eine dedizierte Fax-Archivlösung hat. Mail ist erstmal nur ein Transportweg und eigentlich kein Aufbewahrungssystem. Wenn aufbewahrungspflichtige Unterlagen per Papier, per Fax oder per Mail kommen (oder gehen) sollten sie in einer Umgebung aufbewahrt werden, in der sich alle zu diesem Sachverhalt notwendigen Unterlagen befinden. Eine moderne ECM-Lösung kann selbstverständlich nicht nur Papierscans, sondern E-Mail, Dateien aus dem Gruppenlaufwerk oder Ausgangspost aus den Fachanwendungen aufbewahren. Auch das Thema Mail-Journalisierung sollte man kritisch hinterfragen. Viele Argumente, die wir zu hören bekommen, sind schlichtweg falsch wie »wir müssen jede geschäftliche Mail aufbewahren«, oder »wenn wir die Mail nicht in der Sekunde des Eingangs revisionssicher aufbewahren verstößt das gegen die GoBD«. Moderne ECM-Lösungen können mehr als nur archivieren. Sie sind natürlich auch in der Lage, Dokumente in ihrem frühen Lebenszyklus zu verwalten, wenn noch Überarbeitungen und Versionierungen notwendig sind. Es ist schon lange nicht mehr notwendig, zwei Systeme nebeneinander zu stellen: Eines für die Archivierung und eines für die Verwaltung lebender Dokumente. Und solche Komplett-ECM-Lösungen gibt es für jedes Budget.
Auf welche Fehlinformationen stoßen Sie bei Anwendern in der Praxis am häufigsten?
Zöller: Manche Mythen und Legenden sind nicht auszurotten und kosten den Anwender viel Geld
- WORM-Speicher sind Pflicht
- Alle (!!) geschäftlichen Unterlagen müssen archiviert werden
- Nach zehn Jahren MUSS man löschen
- Die DSGVO schreibt Löschfristen vor
- Originale müssen aufbewahrt werden
- Nur TIFF ist revisionssicher, native (proprietäre Formate) nicht
- PDF/A ist unveränderbar und Pflicht
- Nur zertifizierte Verfahrensdokumentationen sind gültig
- Elektronische Signaturen schützen Dokumente
- Signierte Dokumente müssen nachsigniert werden
- BSI TR-RESISCAN ist für den Richter »verbindlich«
Wir können diese Liste beinahe beliebig erweitern. Für uns ist Archivierung erst einmal die gegen unzulässige Manipulation geschützte Aufbewahrung sowie inhaltlich oder bildlich identische Reproduktion über definierbare oder Ereignis-gesteuerte Zeiträume. Das können Dateien beliebigen Formats, Schutzfunktionen unterschiedlicher Technologien, Lösch- oder Schutzvorschriften aus unterschiedlichen Regelkreisen sein. Für uns ist die Regelung aus der Finanzverwaltung vorbildlich. Bereits die alten GoBS haben den Anwendern einen Freiraum bei der Gestaltung ihrer Archivverfahren gelassen ohne dass das Abendland untergangen ist. Ich würde mir wünschen, dass auch andere Behörden und Regulierer hier mit dem gleichen Sachverstand ihre Bereiche regeln, sonst verzögern wir die Digitalisierung durch bürokratische Hemmnisse. Das Debakel um die elektronische Signatur, De-Mail, TR-RESISCAN und TR-ESOR sollte ein warnendes Beispiel sein. Im privaten Sektor gelten ja seit vielen Jahren zumindest im kaufmännischen Umfeld – die Regelungen der Finanzverwaltung.
Die verpflichtende Umsetzung der DS-GVO ist seit fast zwei Jahren in Kraft. Wie gut kommen Unternehmen inzwischen mit deren Umsetzung klar?
Zöller: Die DSGVO ist dem alten Bundesdatenschutzgesetz ja nicht wesensfremd. Viele der Anforderungen bestanden vorher auch schon. Es gibt aber einige Details wie das Fehlen selektiver Löschbarkeit in alten WORM-Speichern, die nach unserer Interpretation nicht mehr DSGVO konform sind. Ich kenne andererseits aber keine Kunden mehr, die noch solche alten WORM-Speicher im Einsatz haben und nicht auf allen WORM-Speichern liegen DSGVO-relevante Dokumente. Weitere neue Anforderungen wie die Übergabe personenbezogener Daten (Art. 20: Recht auf Datenübertragbarkeit) und Dokumente an die anfordernde Person sind eigentlich mit den meisten Systemen sehr einfach umsetzbar und sollten kein Problem sein.
Erwarten Sie bei der DSGVO ebenfalls Nachbesserungen, bzw. welche würden Sie empfehlen?
Zöller: Wer sich mit der DSGVO intensiv auseinandersetzt, wird feststellen, dass trotz der umfangreichen Erläuterungen in den Erwägungsgründen viele praktische Fragen offen geblieben sind und von Datenschützern, IT-lern, Juristen und anderen Beteiligten sehr unterschiedlich interpretiert werden. Auch die diversen »DSGVO Checklisten« tragen manchmal mehr zur Verwirrung als zur Klärung bei. Ich würde mir wünschen, dass die Datenschutzbehörden eine Art FAQ oder einen Blog zur Verfügung stellen, der auch die Anforderungen von Kleinunternehmen und Vereinen auf dem Radarschirm hat. Was man da manchmal liest, sind bürokratische Skurrilitäten, die die Einführung digitaler Prozesse behindern.