DMS-Karlsruhe.de

Die größten Mythen über elektronische Archivierung

Anwender finden sich bei der Einführung eines elektronischen Archivs schnell in einem Wust angeblicher Gesetzesanforderungen wieder, die bei der Auswahl, Einrichtung und im Betrieb der Lösung zu berücksichtigen sind. Dabei ist die Rechtslage in Deutschland häufig klarer und weniger restriktiv als vermutet. Viele Unternehmen lassen sich heute im Dokumenten Management aufgrund von Missverständnissen und Mythen über die rechtskonforme Archivierung zu unnötigen und unwirtschaftlichen IT-Investitionen verleiten. Nachfolgend sind einmal typische Beispiele genannt, vor denen Unternehmen sich in Acht nehmen sollten:


1. Originale sind nicht grundsätzlich aufzuheben

Bereits um die Frage, ob eine elektronischen Archivierung die der papiergebundene ersetzen darf, rankt sich der Mythos: "Originaldokumente dürfen nicht vernichtet werden" heißt es oft pauschal. Doch diese Behauptung ist nicht haltbar. Tatsächlich ist kaum ein Rechtsbereich so liberal bezüglich der elektronischen Archivierung wie das deutsche Handels- und Steuerrecht. Bereits in § 257 HGB formuliert der Gesetzgeber die Erlaubnis, die kaufmännische Aufbewahrungspflicht von Unterlagen auf elektronischem Wege zu erfüllen. Voraussetzung ist lediglich die Einhaltung der Grundsätze ordnungsmäßiger Buchführung (GOBS) im Betrieb der elektronischen Archivierung.Im Zivilrecht gibt es hingegen einige wenige Rechtsbereiche, die die Vorlage von Originalunterlagen verlangen, wie zum Beispiel Titel, Testamente und Originalabrechnungen der Mietnebenkostenermittlung. Die Vernichtung von Originalunterlagen ist in diesen Umfeldern nicht strafbar, dass heißt es besteht keine gesetzliche Aufbewahrungspflicht - gegebenenfalls kann sich durch die Vernichtung des Originals jedoch ein Rechtsnachteil ergeben. Die Masse der Unternehmen, die elektronische Archivierung betreiben, vernichten nach unserer Beobachtung ihre Originalunterlagen und gehen dennoch kein oder nur ein geringes Risiko ein, das von dem Nutzen durch Kosteneinsparungen in der Regel deutlich übertroffen wird.

2. Archivdatenträger dürfen wechseln

Obwohl weder Gesetze noch die GOBS bestimmte Techniken vorschreiben, hält sich im Markt hartnäckig die Mär, die Speicherung von Archivdaten auf unveränderbaren Datenträgern sei verpflichtend. Dies hat dazu geführt, dass sich insbesondere die optische Speicherung zu einer juristisch nicht begründbaren Pseudo-Technologieanforderung entwickelt hat. Dieser Trend wurde dadurch verstärkt, dass optischer Speichersysteme günstiger waren als Magnetplatten. Doch dieser Kostenvorteil ist mittlerweile weg geschmolzen. Immer mehr Anwender lagern daher ihre Archivsysteminhalte auf "herkömmlichen", zentralen Speichersystemen - und verstoßen damit gegen kein Gesetz. Schließlich meistern diese Unternehmen die GOBS-konforme Datenspeicherung für ihre Buchhaltungsdaten in der Regel unter Verwendung derselben Speichersysteme bereits seit Jahren.

3. Herstellerzertifikate sind keine Persilscheine

Ein weiterer Mythos der DMS-Branche besagt, dass Anwender, die eine zertifizierte DMS-Lösung verwenden getrost ihre Originalunterlagen vernichten können. Doch tatsächlich sind weder Herstellerzertifikate, noch die viele Standards wie Moreq2 oder Zertifikate wie "ECM-Ready" ausreichend oder darauf ausgelegt, einen Rechtsschutz bezüglich der Ordnungsmäßigkeit der eingesetzten Systeme und Verfahren zu schaffen.Systeme, die diesen Anforderungen genügen, weisen lediglich einen Funktionsumfang auf, den der Entwickler des Standards beziehungsweise die Zertifizierungsinstanz für sinnvoll hält, unabhängig davon, welcher Nutzen für Endanwender hierdurch entsteht (siehe zum Beispiel die umstrittene ECM-Zertifizierung der SAP). Zudem führt eine funktionale Standardisierung häufig auch zu funktionalen Einschränkungen, indem sich beispielsweise individuelle Prozesse schlechter im Produkt abbilden lassen. Bei der Auswahl von Lösungen für ein Enterprise Content Management (ECM) sind Unternehmen also weiterhin gut beraten, zunächst die eigenen funktionalen Anforderungen zu ermitteln und dann Systeme auszuwählen, die diesen genügen.

4. Die elektronische Signatur schützt keine Dokumente

Derzeit schüren vor allem Hersteller eine Diskussion über die angebliche Schutzfunktion der elektronischen Signatur und verunsichern damit viele Anwender: So herrscht der Glaube vor, Dokumente müssten im elektronischen Archiv mit einer digitalen Signatur versehen sein, um ihr Unversehrtheit zu garantieren. Im Sozialgesetzbuch (siehe §110 SGB, Abschnitt d) ist sogar verbindlich vorgeschrieben, dass Institutionen, die ihm unterliegen, ihre gescannten Unterlagen mit einer qualifizierten elektronischen Signatur versehen müssen, falls sie die Originalunterlagen vernichten. Tatsächlich kann eine elektronische Signatur jedoch keine Schutzfunktion übernehmen. Sie bietet lediglich die nachträgliche Möglichkeit nachzuweisen, von wem die Signatur stammt und dass die signierte Datei unverändert aufbewahrt wurde. Ein Nachweis für eine unveränderte Aufbewahrung bietet allerdings bereits der elektronisch ermittelte Fingerabdruck einer Datei ("Hash-Code"). Zudem besitzen viele Archivsysteme eigene Schutz- oder Nachweisfunktionen der unveränderten Aufbewahrung: Die Zusatzkosten elektronischer Signaturverfahren zur Nachweisführung der unveränderten Speicherung können in den meisten Fällen also getrost gespart werden.

5. Signierte Dokumente müssen bisher nicht an den neuen Schlüssel angepasst werden

Findet der geschäftsmäßige Belegaustausch elektronisch statt und übermittelt der Lieferant seine Rechnung per E-Mail, so muss diese mit einer qualifizierten, elektronischen Signatur ausgestattet sein, sonst darf der Empfänger die enthaltene Umsatzsteuer nicht abziehen (siehe § 14 USTG). Aus Beweisgründen muss der Empfänger die Rechnung, die Signatur und streng genommen das Signaturprüfprotokoll elektronisch aufbewahren. Das BSI hat für das Jahr 2008 neue Schlüssellängen für die Bildung von elektronischen Signaturen vorgegeben. Von einigen Herstellern für Signaturlösungen wird nun verbreitet, dass bereits archivierte Dokumente, deren elektronische Signatur mit einer geringeren Schlüssellänge erstellt wurde, nachträglich neu mit einer angepassten Schlüssellänge signiert werden müssten. Diesbezüglich gab es von der Audi AG im Jahr 2007 eine Anfrage, die das Bundesfinanzministerium allgemeinverbindlich mit dem Hinweis beantwortete, dass "…eine "Übersignierung" durch den aufbewahrungspflichtigen Unternehmer aus umsatzsteuerlichen Gründen nicht erforderlich" ist (Schreiben des BMF an die AUDI AG, Ingolstadt, vom 30. Oktober 2007).Eine Entscheidung über die Notwendigkeit zur Nachsignierung von Dokumenten, die aufgrund der im SGB verankerten Pflichten signiert wurden, steht noch aus. Aufgrund der fehlenden Schutzfunktion und der somit nutzlosen Kostenbelastung für die dem SGB unterliegenden Institutionen wäre es ratsam, die Rechtslage im SGB zu verändern und die Forderung nach digitaler Signatur gescannter Dokumente fallen zu lassen.

6. Keine Pflicht zur vollständigen Archivierung von E-Mails

In den letzten Jahren ist gehäuft zu vernehmen, dass Unternehmen verpflichtet seien, ihre komplette E-Mail-Korrespondenz elektronisch aufzubewahren. Aus handelsrechtlicher Sicht (HGB) allein ist eine solch umfassende Archivierungsverpflichtung nicht abzuleiten, wohl aber die Aufbewahrungspflicht von E-Mails, die als Handelsbrief beziehungsweise Beleg fungieren (zum Beispiel Angebote, Rechnungen). Hierfür ist im Handelsrecht allerdings keine Formvorschrift fixiert - eine papiergebundene Aufbewahrung des Ausdrucks wäre handelsrechtlich ausreichend (mehr zu Software für die E-Mail-Archivierung finden Sie hier).Steuerrechtlich (AO) betrachtet ergeben sich jedoch Archivierungsanforderungen, die aus dem geänderten § 14 der AO (erläutert in den "GDPdU") abzuleiten sind und seit Januar 2007 vom Bundesfinanzministerium schriftlich formuliert sind: Dort wird die elektronische Aufbewahrung für solche E-Mails gefordert, die steuerrechtlich relevant sind und deren Inhalt elektronisch in weiterführende DV-Verarbeitungen einfließen (siehe FAQ zur GDPdU vom 23. Januar 2008). Dies betrifft in der Regel jedoch nur einen geringen Anteil aller E-Mails von Unternehmen - die Verpflichtung zur umfassenden E-Mail-Archivierung ist weiterhin weder aus den GOBS noch aus den GDPdU ableitbar.Für Unternehmen, die von der amerikanischen Rechtssprechung betroffen sind, kann sich aus dem Sarbanes Oxley Act (SOX) die Notwendigkeit ergeben, E-Mails bestimmter Personenkreise - insbesondere des Managements - elektronisch aufzubewahren (mehr zum Thema SOX und Compliance finden Sie hier). Die Verpflichtung zur vollständigen E-Mail-Archivierung stellt in Deutschland allerdings die Ausnahme dar.

Fazit: Nicht verunsichern lassen

Wer den Einsatz einer elektronischen Archivlösung plant, sollte sich nicht durch Äußerungen verunsichern lassen, die häufig von Anbietern stammen und aus eigen-wirtschaftlichem Interesse Rechtsanforderungen formulieren, für die es objektiv betrachtet keine Rechtsgrundlage gibt (siehe auch, welche Speziallösung für die E-Mail-Archivierung es gibt). Die überzogene Panikmache einiger Marktteilnehmer kurz nach Veröffentlichung der GDPdU (Beispiel: „… CD und DVD sind nicht GDPdU-gesetzeskonform…") und die heutige von den Finanzbehörden akzeptierte Praxis der Datenaufbewahrung in Unternehmen unter Einsatz herkömmlicher Technologien, ist ein prominentes Beispiel für den immer wieder anzutreffenden Versuch, neu formulierte Rechtsanforderungen durch Überinterpretation und Verunsicherung für eigene wirtschaftliche Interessen auszunutzen. Anwender sollten ihre Rechtslage und Verpflichtungen zunächst klären, bevor sie in vorauseilendem Gehorsam unnötige „Compliance"-Investitionen tätigen.Allerdings ist zu empfehlen, beim Systemaufbau Techniken und Verfahren einzusetzen, die den Anforderungen der GOBS standhalten: Es handelt sich hierbei um dieselben Anforderungen, die auch an die Buchführungssoftware gestellt werden - nicht mehr und nicht weniger. Die Einhaltung der üblichen Sorgfaltspflicht sowie die Führung einer Verfahrensdokumentation sind zwingende und in den meisten Fällen ausreichende Grundlagen für einen rechtskonformen Archivbetrieb.