Überblick über digitale Archivierung mit ECM-Systemen
Gerade mit der Archivierung von digitalen Informationen gehen viele Unternehmen noch zu sorglos um. Unklar ist häufig bereits, welche Informationen, in welcher Art und Weise wie lange aufzubewahren sind. In Deutschland sind für E-Mails mit steuerrelevanten Inhalten sowie digitale Dokumente und E-Rechnungen ebenso wie für die Archivierung von allgemeinen Dokumenten aus dem Geschäftsleben nach dem Handelsrecht das Handelsgesetzbuch (HGB) und nach dem Steuerrecht die Abgabenordnung (AO) maßgeblich. Sie schreiben zum Beispiel vor, dass empfangene und ausgestellte Rechnungen zehn Jahre und Handels- und Geschäftsbriefe sechs Jahre aufzubewahren sind. Eine genaue Auflistung der in Deutschland geltenden Aufbewahrungsfristen von Geschäftsunterlagen hat beispielsweise die Handelskammer Hamburg zusammengefasst. In der Schweiz sind die gesetzlichen Bestimmungen zur Archivierung digitaler Geschäftsdokumenten ähnlich und beispielsweise hier aufgeführt. Grundsätzlich sind in Österreich Bücher und Aufzeichnungen, die dazugehörigen Belege wie Rechnungen sowie die für die Abgabenerhebung bedeutsamen Geschäftspapiere und sonstigen Unterlagen im Original sieben Jahre aufzubewahren. Wie die Bestimmungen im Einzelnen aussehen, stellt die Wirtschaftskammer Österreich dar.
Zusätzlich gibt es Aufbewahrungsfristen aus anderen Rechtsgebieten, wie dem Arbeitsrecht, dem Sozialversicherungsrecht und dem Produkthaftungsgesetz. Daneben existieren verschiedene nationale und branchenspezifische Bestimmungen beispielsweise im medizinischen Umfeld, wo Patientendaten in Deutschland zehn Jahre lang nach Abschluss der Behandlung aufbewahrt werden müssen. Besteht eine chronische Erkrankung, kommt es zu Komplikationen oder sogar einem Rechtsstreit sind die Unterlagen bis zu 30 Jahre aufzubewahren.
Bedeutung der GoBD
Inhalt dieses Artikels
Die Vorschriften und Fristen betreffen elektronische Prozesse und Dokumente ebenso wie papiergebundene. Da inzwischen immer mehr Prozesse und Dokumente digitalisiert ablaufen und abgebildet werden, fassen die Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD) grundlegende deutsche Bestimmungen aus Sicht des Bundesministeriums der Finanzen zusammen. Die darin formulierten Anforderungen werden häufig von Berufsständen wie IT-Unternehmen und Verbänden herangezogen, um Unternehmensverantwortliche über Bestimmungen zur elektronischen Archivierung zu informieren.
Doch eigentlich bindet die Verwaltungsanweisung zunächst nur die Finanzämter. Allerdings rät Jürgen R. Schott, Steuerberater und Experte im Bereich digitaler Betriebsprüfungen, auch Unternehmen die GoBD zu beachten: »Soweit die Aussagen der GoBD die Vorgaben insbesondere der Abgabenordnung (AO) richtig interpretieren und widergeben, ist auch der Steuerbürger daran gebunden und hat eine umfangreiche Orientierungshilfe. Es ist auch eindeutig zu empfehlen, dass der Steuerbürger (Unternehmer) versucht die Anforderungen der GoBD zu erfüllen – es gibt dann kein Streitpotenzial und der Unternehmer selbst profitiert und erfüllt die aus steuerlicher Sicht bestehenden Anforderungen an IT-gestützte Geschäftsprozesse.«
Die GoBD spiegeln Sicht der Finanzverwaltung wider
Soweit die Finanzverwaltung in den GoBD eigene Rechtsauffassungen vertrete, die gegebenenfalls auslegungsfähig bis kritisierbar eingeordnet werden könnten, müsse dies im Einzelfall bei Streit durch die Rechtsprechung geklärt werden. Hierunter fällt laut Schotts Einschätzung beispielsweise die in der GoBD geforderte aussagekräftige und vollständige Verfahrensdokumentation, die in der AO nicht zu finden ist. Die AO verlangt lediglich, die zum Verständnis erforderlichen Arbeitsanweisungen und sonstigen Organisationsunterlagen aufzubewahren. Allerdings werde nach Schotts Erfahrung auf die Existenz von Verfahrensdokumentationen bei Betriebsprüfungen großen Wert gelegt: »Bei einer gänzlich fehlenden oder ungenügenden Verfahrensdokumentation wird vom Prüfer dann häufig die fehlende Nachvollziehbarkeit und Nachprüfbarkeit kolportiert und sodann versucht, eine Schätzungsgrundlage darzustellen.« Obwohl es gemäß den Erfahrungen des Steuerexperten meist nicht schlimm ist, »dass die GoBD nicht bis zur letzten Erbse im Einzelfall erfüllt sind«, warnt er davor, zu lax mit den Anforderungen der AO zur digitalen Archivierung umzugehen.
Generell sind im Rahmen der digitalen Archivierung vier Grundsätze zu beachten: Unveränderbarkeit, Vollständigkeit, Nachvollziehbarkeit und Verfügbarkeit. Excel und Word-Dateien sind zum Beispiel nicht vor Veränderungen geschützt. Zudem müssen unter anderem nachträgliche Änderungen im Rechnungswesen wie Stornierungen oder Korrekturen klar dokumentiert sein.
ECM-Systeme helfen Compliance-Anforderungen zu erfüllen
Viele der GoBD-Anforderungen lassen sich mit modernen Enterprise-Content-Management-Systemen erfüllen, die mehr können als nur archivieren, wie Bernhard Zöller, Geschäftsführer des ECM-Beratungsunternehmen Zöller & Partner betont: »Sie sind natürlich auch in der Lage, Dokumente in ihrem frühen Lebenszyklus zu verwalten, wenn noch Überarbeitungen und Versionierungen notwendig sind. Es ist schon lange nicht mehr notwendig, zwei Systeme nebeneinander zu stellen: Eines für die Archivierung und eines für die Verwaltung lebender Dokumente.« Egal über welchen Eingangskanal (Post, E-Mail oder Fax) Dokumente eintreffen, können ECM-Systeme sie zentral und vollständig erfassen und GoBD-konform archivieren. Über sie lassen sich in der Regel auch die Geschäftsvorfälle in ihrer Entstehung und Abwicklung lückenlos verfolgen und Dokumentänderungen nachvollziehen, ohne dass die Ursprungsversion verloren geht oder verändert wird. Je nach Dokumententyp können zum Beispiel Rechnungen oder Buchungsbelegen automatisiert entsprechende Aufbewahrungszeiten zugewiesen werden, um die Aufbewahrungsfristen der AO exakt zu erfüllen.
Mit diesen Funktionen bieten ECM-Systeme gleichzeitig Hilfe bei der Erfüllung der Datenschutzgrundverordnung (DSGVO), die Zöller neben der GoBD als wichtigste sonstige regulatorische Anforderung für Unternehmen ansieht. Insgesamt kommt es bei der DSGVO sehr darauf an, personenbezogene Daten korrekt zu verwalten. Es muss klar sein, auf welchen Wegen sie ins Unternehmen kommen und wer sie wann warum bearbeitet. Personenbezogene Daten sind bestmöglich zu schützen und nur autorisierten Personen für notwendige Vorgänge zugänglich zu machen. Mit ECM-Systemen ist man in der Lage, personenbezogene Daten in unterschiedlichen Anwendungen ausfindig zu machen. Inklusive entsprechender Dokumente und Akten lassen sie sich auf Wunsch der zugehhörigen Person oder nach Ablauf gesetzlicher Mindestaufbewahrungsfristen selektiv löschen. Neben der Eigenschaft, automatische Löschfristen pro Dokumentenart oder Dokument einzurichten, sind die Ablage der Dokumente in verschlüsselter Form sowie ein gutes Berechtigungsmodul bei ECM-Systemen entscheidend, um DSGVO-Kriterien einhalten zu können.
Software-Zertifikate sind kein Freischein
Zwischen der DSGVO und den GoBD gibt es einen hohen Deckungsgrad in Bezug auf die Schutzziele, die ECM-Systeme erfüllen können. ECM-Hersteller nutzen dies als Verkaufsargument, das sie oft mit Testaten und Zertifikaten zu untermauern versuchen. Doch ob es sich um ein ECM-System, eine E-Mail-Archivierungslösung oder ein anderes IT-System handelt, stellen Siegel wie »GoBD-konform« und »DSGVO-konform« keinen Freischein dar. So meint auch Schott mit Blick auf die GoBD: »Es gibt keine allgemein gültigen Aussagen der Finanzverwaltung zur Konformität der verwendeten oder geplanten Hard- und Software; ebenso keine Positivtestate zur Ordnungsmäßigkeit der Buchführung im Rahmen einer steuerlichen Außenprüfung oder einer verbindlichen Auskunft. Dafür ist die Vielzahl und unterschiedliche Ausgestaltung und Kombination der IT-Systeme für die Erfüllung außersteuerlicher oder steuerlicher Aufzeichnungs- und Aufbewahrungspflichten auch zu groß.«
Die GoBD stellen im Gegenteil klar, dass es keinerlei Bindungswirkung von »Zertifikaten« oder »Testaten« Dritter gibt.« Diese Zertifikate oder Testate der Drittanbieter können Verantwortlichen lediglich eine Entscheidungshilfe geben, wenn sie sich um ein konformes System bemühen.