24.04.2020

Digitale Archivierung – was gilt es zu beachten?

Autoren: Gerrit Feuerherdt/Niccolo Langenheim

Hintergrund

Mit der fortschreitenden Digitalisierung gehen immer mehr Unternehmen dazu über, Systeme zur digitalen Archivierung zu nutzen. Dadurch lassen sich Ressourcen, Geld und Zeit einsparen sowie Fehler reduzieren. Mit Blick auf die Coronakrise ist auch nicht zu unterschätzen, dass ein digitales Dokumentenmanagement die Arbeit im Homeoffice nicht nur erleichtern, sondern in vielen Fällen sogar erst ermöglichen kann.

Neben den technischen Herausforderungen, die eine Umstellung auf eine digitale Archivierung mit sich bringt, müssen auch die gesetzlichen Anforderungen erfüllt werden. Diese ergeben sich insbesondere aus den „Grundsätzen zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“ (GoBD) sowie den Vorschriften aus der Datenschutzgrundverordnung (DSGVO) und dem Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG).

Grundsätze aus den GoBD

Die GoBD stellen diverse allgemeine Grundsätze für alle Unternehmen auf, die in konkrete Maßnahmen umgesetzt werden müssen. Insbesondere mit Blick auf die bevorstehende Pflicht zur Stellung von elektronischen Rechnungen bei Auftragserfüllung gegenüber der öffentlichen Hand sollten die Grundsätze in die internen Prozesse eingebettet werden. Für die Digitalisierung von archivierten Dokumenten dürften insbesondere die nachfolgenden Grundsätze zu beachten sein:

  • Grundsatz der Unveränderbarkeit: Eine Buchung oder eine Aufzeichnung darf nicht in der Art verändert werden, dass der ursprüngliche Inhalt nicht mehr feststellbar ist. Insofern müssen Änderungen stets nachvollziehbar und das Original noch vorhanden/einsehbar sein.
  • Grundsatz der Nachvollziehbarkeit und Nachprüfbarkeit: Die einzelnen Geschäftsvorfälle und angewandten Buchführungs- oder Aufzeichnungsverfahren müssen für einen sachverständigen Dritten nachvollziehbar und nachprüfbar sein.
  • Grundsätze der Richtigkeit, der Vollständigkeit und der Ordnung: Die Geschäftsvorfälle müssen richtig, vollzählig und lückenlos sowie geordnet aufgezeichnet werden.
  • Internes Kontrollsystem: Die GoBD fordert die Einrichtung und die Vorhaltung eines internen Kontrollsystems, durch das die Einhaltung der Grundsätze und steuerrechtlicher Pflichten überwacht werden soll.
  • Grundsatz des Datenschutzes: Die Datenverarbeitungssysteme müssen gegen Unauffindbarkeit, Vernichtung, Untergang oder Diebstahl der Daten bzw. des Systems an sich sowie gegen unberechtigte Eingaben und Veränderungen gesichert werden.
Konkrete Grundanforderungen aus den GoBD

Für die digitale Archivierung ergeben sich aus den angeführten Grundsätzen diverse konkrete Anforderungen:

  • Alle Unterlagen, die zum Verständnis und zur Überprüfung der für die Besteuerung gesetzlich vorgeschriebenen Aufzeichnungen von Bedeutung sind, sind in einem Ordnungssystem mit Indexierung aufzubewahren.
  • Die elektronische Archivierung muss die Unveränderbarkeit sowie Lesbarkeit und maschinelle Auswertbarkeit der Dokumente sicherstellen. Finden Veränderungen statt, müssen diese protokolliert werden. Durch den Archivierungsvorgang darf zudem keine Verkleinerung der Datenmengen erfolgen.
  • Es muss gewährleistet werden, dass Hardware und Software durch Sicherheitsmaßnahmen vor Angriffen geschützt sind.
  • In Datenverarbeitungssystemen erzeugte Dokumente sowie elektronische Handels- und Geschäftsbriefe sind im Ursprungsformat aufzubewahren. Beispiel: eine Rechnung in Form einer PDF-Datei muss auch als PDF-Datei aufbewahrt werden, eine Umwandlung (Konvertierung) in ein unternehmenseigenes Format führt in der Regel nicht zur Löschbarkeit der Ursprungsdatei.
  • Papierdokumente können vernichtet werden, wenn eine ordnungsgemäße elektronische Archivierung sichergestellt ist und keine gesetzlichen Gründe dagegen sprechen.
Dokumentenaufbewahrung im Rahmen der DSGVO

Geschäftliche Unterlagen enthalten in aller Regel auch personenbezogene Daten. Diese werden von der DSGVO geschützt, sodass bei der Digitalisierung von archivierten Dokumenten auch datenschutzrechtliche Vorgaben zu beachten sind; insbesondere Aufbewahrungs- und Löschfristen sind zu nennen. Denn eine über den ursprünglichen Zweck (z. B. Abwicklung eines Vertrages, Bearbeitung einer Rechnung, etc.) hinausgehende Speicherung ist nur erlaubt, sofern hierfür eine Rechtsgrundlage existiert. Gängige Aufbewahrungspflichten für Unternehmen ergeben sich aus dem Handels- und Steuerrecht (in der Regel zwischen 6 und 10 Jahren für Geschäftsbriefe, Vertragsunterlagen, o. Ä.), aber auch Verjährungsfristen von Schadensersatzansprüchen (zwischen 3 und 30 Jahren) sollten beachtet werden. Die Aufbewahrung ist jedoch stets abhängig von der jeweiligen konkreten Dokumentenart und daher für jedes Dokument im Einzelfall zu bestimmen und zu dokumentieren.

Nicht zuletzt müssen die allgemeinen Datenschutzgrundsätze beachtet werden: die Richtigkeit, Verfügbarkeit und Integrität (=Unveränderbarkeit) von personenbezogenen Daten sowie die Dokumentation der Datenverarbeitung sind zentrale Prinzipien der DSGVO. Diese sollen u. a. über sog. technisch-organisatorische Maßnahmen ("TOM", z. B. Zugriffsberechtigungen und -kontrollen) gewährleistet werden. Insofern ergeben sich Überschneidungen und damit auch Synergieeffekte mit den GoBD.

Geschäftsgeheimnisse in den Blick nehmen

Zuletzt sollten bei der Umsetzung einer digitalen Archivierung auch die Vorgaben aus dem GeschGehG beachtet werden. Diese wirken sich nicht unmittelbar auf die Archivierung aus, eine Implementierung in die Archivierungsprozesse kann aber einen effizienten Schutz von Geschäftsgeheimnissen gewährleisten. So muss insbesondere eine Identifizierung und Klassifizierung von Informationen als Geschäftsgeheimnis im Sinne des § 2 GeschGehG erfolgen, um gesetzlichen Schutz zu erhalten. Dazu bietet sich die Einführung folgender Prozesse an:

  • Abschluss von aktuellen Vertraulichkeitsvereinbarungen mit den Geschäftspartnern, soweit noch Geschäftsbeziehungen bestehen;
  • Informationsklassifizierung nach Vertraulichkeitsgraden;
  • Definition von entsprechenden Berechtigungskonzepten in Abhängigkeit der Informationsklassifizierung;
  • Implementierung von entsprechenden Schutzmaßnahmen, z. B. technischer und organisatorischer Art (dies überschneidet sich mit den datenschutzrechtlichen Anforderungen zu TOM);
  • Umsetzung einer organisatorischen Sensibilisierung, bspw. durch die Schulung von Mitarbeitern;
  • Zusammenfassung aller Maßnahmen zum Geheimnisschutz in einem Schutzkonzept.
Fazit

Eine rechtssichere Umsetzung eines digitalen Archivs bzw. einer digitalen Aktenverwaltung bietet letztlich die Möglichkeit, Ressourcen, Zeit und Geld zu sparen, da Mitarbeiter durch automatisierte Archivierungsprozesse ihre Verwaltungsaufgaben effizienter gestalten können. Zudem kann so auch die Arbeit im Homeoffice ermöglicht oder deutlich erleichtert werden.

Die Fülle an zu beachtenden Normen macht aber deutlich: die bloße Anschaffung eines Scanners und Einstellung einer Bürokraft zur Digitalisierung von Akten reicht in der Regel nicht aus, um den vielfältigen gesetzlichen und technischen Vorgaben gerecht zu werden. Viele der Maßnahmen zur Einhaltung der GoBD, der DSGVO und des GeschGehG überschneiden sich jedoch. Sofern bei der Konzeption und Einführung der digitalen Archivierung alle gesetzlichen Anforderungen im Blick behalten werden, können daher – beispielsweise durch den Rückgriff auf Dokumentenmanagementsysteme - erhebliche Synergieeffekte erzielt und hohe Bußgelder (z. B. bei Datenschutzverstößen) vermieden werden.

Autor/in
Gerrit Feuerherdt

Gerrit Feuerherdt
Associate
Köln
gerrit.feuerherdt@luther-lawfirm.com
+49 221 9937 27059