Dokumentenarchivierung braucht Sicherheit
Der Begriff „Dokumentenarchivierung“ gewinnt im Zeitalter der Digitalisierung neue Bedeutung: Nämlich als digitale Dokumentenarchivierung. Im Raum steht die Idee, alle – oder zumindest die meisten – Papierdokumente durch digitale Dokumente zu ersetzen und dann in einem digitalen Dokumentenmanagement-System (DMS) zu speichern. Das spart bekanntermaßen nicht nur Zeit, Platz und Kosten, sondern sorgt zusätzlich noch für Compliance zu den gesetzlichen Vorgaben. Außerdem erhöht es die Prozesssicherheit in praktisch allen Geschäftsabläufen.
Viele denken beim Wort „Archivierung“ vielleicht immer noch an einen Bibliothekar, der alte Bücher entstaubt. Oder an den Archivar, der historische Papiere ganz vorsichtig mit weißen Handschuhen anfasst. Dieses Bild ist jedoch veraltet. Denn Dokumentation und Archivierung sind sehr aktuelle und sogar kritische – wenn auch manchmal übersehene – Aufgaben in jedem modernen Unternehmen. Selbst in kleinen Firmen und bei Einzelunternehmern gibt es wichtige Dokumente, die gut organisiert und sicher aufbewahrt werden müssen – zum Beispiel Rechnungen, Kaufverträge oder Policen.
Das DMS als organisierter Ansatz für durchdachtes Archivieren
Beispielsweise ist grundsätzlich jeder Gewerbetreibende in Deutschland gesetzlich verpflichtet, geschäftliche Unterlagen über einen bestimmten Zeitraum aufzubewahren. Je nach Art der Dokumente betragen die Fristen für die Dokumentenarchivierung gemäß der HGB- oder GoBD-Anforderungen sechs oder sogar zehn Jahre. Dokumente länger als nötig aufzubewahren, ist aus zwei Gründen von Nachteil: Erstens fallen überflüssige Kosten für Speicherplatz und Dokumenten-Management an, zweitens erhalten die Steuerprüfer unnötige Anhaltspunkte für etwaige Beanstandungen, da sie alle vorliegenden Unterlagen prüfen dürfen.
Allein schon deshalb kann sich die Anschaffung eines DMS lohnen. Und zwar als organisierter Ansatz, wie alle erforderlichen Dokumente zuverlässig vollautomatisch abgelegt werden, wo genau sie wie lange gespeichert sind und auf welche Weise sie auch geschützt werden. Mit einem digitalen DMS kann dabei sogar auf die unterschiedlichen Bedürfnisse einzelner Abteilungen bei der Dokumentenarchivierung reagiert werden. So fallen selbst knifflige Aufgaben wie die Finanzplanung oder die Vorbereitung einer Steuerprüfung leichter.
Was ist Dokumentenarchivierung?
Mit Dokumentenarchivierung ist der Prozess der Ablage solcher Dokumente gemeint, die zwar nicht mehr regelmäßig verwendet werden, aber dennoch aufbewahrt werden müssen. Es gibt neben steuerlichen, gesetzlichen oder versicherungstechnischen Gründen auch noch weitere Argumente für die Archivierung von Dokumenten. Etwa die Dokumentation der Geschichte des Unternehmens oder der Zusammenarbeit mit ehemaligen Kunden. Letzteres für den Fall, dass die Geschäftsbeziehung irgendwann reaktiviert wird.
Bei der Dokumentenarchivierung geht es immer um statische Informationen, die so lange gespeichert werden, bis in Zukunft auf sie zugegriffen werden muss. Das Schlüsselwort ist hier „statisch“. Denn Archivdokumente sind fest und unveränderlich; diese Revisionssicherheit muss im Zweifel sogar nachweisbar sein. Typische Beispiele sind die Patientenakte im Gesundheitswesen, Personalakten in Unternehmen oder praktisch alle Akten in Behörden.
Nationale und internationale Standards helfen bei der Organisation der Dokumentenablage
Im internationalen Standard ISO 15489 sind die Grundsätze und Verfahren einer systematischen Archivierung beschrieben und normiert. Die Norm kann als Leitfaden für die Verwaltung von Unterlagen von öffentlichen und privaten Organisationen dienen. Ein typisches Beispiel dafür ist der KGSt-Aktenplan 2020 der Kommunalen Gemeinschaftsstelle für Verwaltungsmanagement. Dieser hat sich in den letzten Jahren statt der ursprünglich aufgabenorientierten Archivierung in der kommunalen Welt etabliert.
Die Dokumentenarchivierung der deutschen Bundesbehörden dagegen erfolgt nach Aktenplänen, die zumeist unterteilt sind in Haupt- oder Obergruppen (zum Beispiel S für Bundes- und Landessteuern, P für Personal, H für Haushalt). Dann in Gruppen (z. B. Abgabenordnung, Steuerrecht), Mittelgruppen (etwa Einleitende Vorschriften, Steuerschuldrecht) sowie Untergruppen für die Anwendungsbereiche. Gemäß § 11 Abs. 2 Informationsfreiheitsgesetz (IFG) müssen in Deutschland die Aktenpläne von Bundesbehörden sogar allgemein zugänglich sein.
Revisionssichere elektronische Dokumentenarchivierung gefordert
Oft ist eine revisionssichere Archivierung gefordert. Das bedeutet, dass aufbewahrungspflichtige digitale Dokumente über die Dauer der gesetzlich vorgeschriebenen Fristen in einem elektronischen Archivsystem verwahrt werden. Dabei sind zum Beispiel bei der Archivierung von Rechnungen zahlreiche Anforderungen einzuhalten: HGB (Handelsgesetzbuch), AO (Abgabenordnung) und GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff).
Mit den GoBD-Grundsätzen erweitert die Finanzverwaltung die in den GoB (Grundsätzen ordnungsmäßiger Buchführung) verankerten allgemeinen Regeln für eine korrekte Buchführung und Bilanzierung um solche Vorgaben, die speziell für die elektronische Buchführung und Archivierung gelten.
GoDB-Konformität ist bei steuerrelevanten Dokumenten verpflichtend
Der Gesetzgeber schreibt vor, dass alle Unterlagen GoBD-konform archiviert werden müssen, die für die Besteuerung von Bedeutung sind. Die AO beispielsweise gibt folgende Unterlagen an (§ 147 Abs. 1 AO):
- Bücher und Aufzeichnungen (Grundbuch/Journal, Haupt- und Nebenbücher)
- Inventare
- Jahresabschlüsse (Bilanzen und GuV)
- Lageberichte
- Eröffnungsbilanz und die zum Verständnis dieser Unterlagen erforderlichen Arbeitsanweisungen und sonstigen Organisationsunterlagen
- Buchungsbelege wie (z. B. Eingangs- und Ausgangsrechnungen)
- Empfangene Handels- und Geschäftsbriefe (jegliche Korrespondenz zur Vorbereitung, Abwicklung, zum Abschluss oder Widerruf eines Geschäfts)
- Wiedergaben der abgesandten Handels- und Geschäftsbriefe
Unterlagen nach Artikel 15 Absatz 1 und Artikel 163 des Zollkodex - Sonstige Unterlagen, soweit sie für die Besteuerung von Bedeutung sind, z. B. Personalunterlagen
Die DSGVO nicht vergessen
Spätestens bei den Personalunterlagen kommt die Datenschutzgrundverordnung (DSGVO) ins Spiel. Sie legt fest, wie personenbezogene Daten vor dem Zugriff Dritter zu schützen sind. Das Problem: Die oben genannten Aufbewahrungsfristen UND die Vorgaben der DSGVO müssen gleichzeitig beachtet werden. Hier gibt es kein „Entweder-oder“. Es gilt: Wenn eine Pflicht zur Aufbewahrung vorliegt, muss diese eingehalten werden. In der Regel kann dies auch nach der DSGVO gerechtfertigt werden. Für Unternehmer heißt das: Personalunterlagen sind über die Dauer der gesetzlichen Aufbewahrungsfristen ebenso wie z. B. Rechnungen revisionssicher zu archivieren.
Die Personalakte beispielsweise sollte drei Jahre über die Beendigung des Beschäftigungsverhältnisses hinaus aufbewahrt werden. Dieser Zeitraum deckt die im BGB geregelte Verjährungsfrist ab, in der Ansprüche aus dem Arbeitsverhältnis noch geltend gemacht werden können. Neben dem Lebenslauf, Beurteilungen und Zeugnissen sowie Adress- und Kontodaten können das auch Informationen über die Gesundheit des Betroffenen (z. B. Atteste) oder sogar dessen Religion sein. Es können also mitunter auch besonders schützenswerte personenbezogene Daten in der Personalakte enthalten sein.
Wichtig: Sicherheit personenbezogener Daten
Vor allem ist laut DSGVO bei der elektronischen Dokumentenarchivierung auch für die nötige Sicherheit der personenbezogenen Daten zu sorgen. War das bei Papierakten noch der Tresor, sind es beim digitalen DMS adäquate technische Vorkehrungen gegen Sicherheitsverstöße, Datenverlust, Ärger bei der Versionsverwaltung und Verstöße gegen geltendes Recht. Papierakten waren im Tresor vor Verlust durch Diebstahl, Feuer, Wasser oder Emissionen geschützt. Heute müssen Hard- und Software so ausgewählt werden, dass die aktuellen Sicherheitstechnologien implementiert werden können, wie zum Beispiel:
- Verschlüsselung
- Zugriffskontrolle/Authentifizierung
- Schutz vor Viren und Schadsoftware
Sichere Dokumentenarchivierung im DMS – bei allen Aufbewahrungsfristen
Eine adäquate Archivierungssoftware wie beispielsweise ein DMS sorgt dafür, dass digitale Dokumente angemessen gespeichert und gesichert sind. So sind sie nicht mehr anfällig für Cyber-Diebstahl, versehentliches Löschen oder Defekte der Hardware. Auch können in einem DMS andere datenschutzrechtliche Faktoren berücksichtigt werden. So benötigt zum Beispiel nicht jeder Mitarbeiter Zugang zu jedem Dokument. Dokumente mit sensiblen oder privaten Informationen sollten daher mit eingeschränktem Nutzerzugriff aufbewahrt werden. Bei physischen Dokumenten wird man den Schlüssel zum Tresor auch nur denjenigen Mitarbeitern anvertrauen, die den Zugang zu den sensiblen Informationen zur Erfüllung ihrer Arbeitsaufgaben benötigen.
Auch der Diebstahl durch die eigenen Angestellten ist und bleibt ein Thema. Und selbst die loyalsten Mitarbeiter können unwissentlich Opfer so genannter Phishing-Attacken oder anderer Social-Engineering-Angriffe werden. Bei diesen Betrugsmaschen wird versucht, Mitarbeiter derart zu manipulieren, dass sie dem Angreifer in die Hände spielen. Zum Beispiel wird einem Mitarbeiter suggeriert, dass der Chef die Kopie einer Datei mit hochsensiblen Daten anfordert. In Wahrheit gibt er damit jedoch versehentlich diese vertraulichen Daten an einen kriminellen Hacker weiter. Dies kann durch entsprechende Nutzerzugriffe erfolgreich vermieden werden.
Fazit
Dokumentenarchivierung ist wichtig, weil sie die zuverlässige Aufbewahrung und Dokumentation geschäftskritischer Dokumente ermöglicht. Ein durchdachtes System zur Aufbewahrung von Dokumenten ermöglicht es allen Mitarbeitern, Dokumente schnell und einfach zu finden. Genauso wichtig ist, dass dabei die Vorschriften für die Aufbewahrung von Geschäftsdokumenten erfüllt werden. Hier implementiert ein digitales DMS zuverlässig alle Richtlinien und Vorgaben zur Organisation, Speicherung und Archivierung der Dokumente. So unterstützt es dabei, deren Einhaltung weitgehend automatisch sicherzustellen.
Interne Richtlinien zur Dokumentation und Archivierung sind nur dann sinnvoll, wenn sie auch unternehmensweit umgesetzt werden. Dabei ist zu bedenken: Es braucht Zeit, neue Richtlinien mit allen Mitarbeitern durchzugehen, die mit den Dokumenten befasst sind. Und es braucht Zeit, sie in puncto Ablage, Speicherung und Sicherheit zu schulen. Vordefinierte Workflows sorgen dafür, dass die Richtlinien auch tatsächlich eingehalten werden.
Fotoquelle Titelbild: © smolaw/shutterstock.com
Dieser Inhalt wurde von docuware.com kopiert. Originalartikel