LDOX.ECM

Grundlagen der Revisionssicherheit

Erfahren Sie mehr über die Bedeutung von Dokumentenmanagementsystemen, Audit-Trails, Versionierung und Zugriffskontrollen, um Ihre Daten authentisch und unverändert zu bewahren. Bleiben Sie informiert über moderne Sicherheitsmaßnahmen wie WORM-Speicher, Hashing, digitale Signaturen und mehr.

Get started
~

Definition

Bedeutung von Revisionssicherheit

Länderspezifische Eigenschaften

Deutschland – Österreich – Schweiz

Kriterien

So wird Revisionssicherheit sichergestellt

i

Welche Dokumente

digital archivieren?

Was genau ist Revisionssicherheit?

 

In der digitalen Ära sind Daten und Dokumente das Herzstück vieler Unternehmen. Doch wie stellt man sicher, dass diese wertvollen Informationen über Jahre hinweg authentisch, unverändert und jederzeit abrufbar bleiben?

Hier kommt der Begriff „Revisionssicherheit“ ins Spiel. Dieses Konzept bezieht sich auf die Anforderungen und Methoden, um elektronisch gespeicherte Daten so zu archivieren, dass ihre Integrität und Originalität über den gesamten Aufbewahrungszeitraum gewährleistet ist.

Revisionssicherheit im DACH-Raum

Deutschland

In Deutschland ist die Revisionssicherheit insbesondere im Handelsgesetzbuch (HGB) und in der Abgabenordnung (AO) festgelegt.

Die Revisionssicherheit besagt, dass elektronisch archivierte Dokumente über den gesamten Aufbewahrungszeitraum hinweg unverändert und originalgetreu abrufbar sein müssen.

Das bedeutet konkret: Die Daten müssen vor Verlust geschützt sein, vor unbefugtem Zugriff geschützt werden und dürfen nicht ohne Kenntlichmachung verändert werden.

Die Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD) geben detaillierte Empfehlungen und Anforderungen für die revisionssichere Archivierung von elektronischen Dokumenten und Daten in Deutschland.

Österreich

In Österreich sind die Anforderungen an die Revisionssicherheit im Bundesabgabenordnung (BAO) und im Unternehmensgesetzbuch (UGB) geregelt.

Ähnlich wie in Deutschland müssen elektronisch archivierte Dokumente und Daten unveränderbar, vollständig, geordnet und jederzeit verfügbar sein.

Die Archivierung muss den Grundsätzen der ordnungsgemäßen Buchführung (GoB) entsprechen.

Schweiz

Die Anforderungen an die Archivierung von Geschäftsunterlagen ergeben sich aus verschiedenen Gesetzen, z. B. dem Obligationenrecht (OR) und dem Handelsregistergesetz (HRegG).

Generell müssen Unternehmen sicherstellen, dass Geschäftsunterlagen authentisch, integer, verfügbar und nachvollziehbar sind.

Das bedeutet, dass auch in der Schweiz eine unveränderbare, vollständige und geordnete Archivierung von Dokumenten und Daten erforderlich ist, um die Grundsätze der ordnungsgemäßen Buchführung und Rechnungslegung zu erfüllen.

So wird Revisionssicherheit sichergestellt

Basis einer revisionssicheren Dokumentenarchivierung ist in der Regel ein Dokumentenmanagementsystem. Doch ein Dokumentenmanagementsystem muss richtig konfiguriert sein, damit eine Revisionssicherheit gegeben ist.

Unveränderbarkeit

Dokumente müssen in einem Zustand gespeichert werden, der nachträgliche Änderungen oder Löschungen ohne Spuren verhindert.

Protokollierung (Audit-Trail)

Alle Aktivitäten im Zusammenhang mit einem Dokument müssen lückenlos und manipulationssicher protokolliert werden. Dies umfasst das Erstellen, Ändern, Ansehen, Löschen und Übertragen eines Dokuments.

Jeder Eintrag im Audit-Trail sollte Zeitstempel, Benutzeridentifikation und die spezifische Aktion enthalten.

k

Versionierung

Bei Änderungen an einem Dokument sollte eine neue Version erstellt werden, während die ursprüngliche Version unverändert bleibt.

Dies stellt sicher, dass der Verlauf eines Dokuments jederzeit nachvollzogen werden kann.

Zugriffskontrolle

Nur berechtigte Benutzer dürfen auf Dokumente zugreifen, sie ändern oder löschen.

Rollenbasierte Zugriffskontrollen können eingesetzt werden, um festzulegen, welche Benutzer welche Aktionen ausführen können.

Backup und Archivierung

Regelmäßige Backups gewährleisten, dass Dokumente im Falle eines Systemausfalls wiederhergestellt werden können.

Dokumente, die archiviert werden müssen, sollten auf sicheren und langlebigen Medien gespeichert werden.

Zeitstempel und Signatur

Die Verwendung von digitalen Zeitstempeln und Signaturen kann sicherstellen, dass ein Dokument zu einem bestimmten Zeitpunkt existierte und dass es nicht verändert wurde.

Digitale Signaturen bieten zusätzlich die Gewissheit, dass ein Dokument von einer bestimmten Person oder Einrichtung stammt.

Regelmäßige Überprüfungen

Es sollte regelmäßige Systemüberprüfungen und -audits geben, um die Einhaltung der Revisionssicherheitsstandards zu gewährleisten.

Speichermedium

WORM-Speicher (Write Once, Read Many): Dies sind Speichermedien, auf denen Daten nur einmal geschrieben, aber mehrmals gelesen werden können. Einmal gespeichert, können Daten auf einem WORM-Medium nicht mehr verändert werden.

Datenintegrität

Hashing: Bei der Speicherung eines Dokuments wird ein Hashwert (z.B. SHA-256) des Dokuments berechnet und separat gespeichert. Bei jeder zukünftigen Abfrage des Dokuments wird der Hashwert erneut berechnet und mit dem ursprünglich gespeicherten Wert verglichen. Unterschiede deuten auf eine Veränderung des Dokuments hin.

Digitale Signatur

Ein Dokument kann mit einer digitalen Signatur versehen werden, die sowohl die Authentizität als auch die Integrität des Dokuments bestätigt.

Datenbankschutz

Die zugrunde liegende Datenbank, in der Metadaten und Hashwerte gespeichert sind, kann schreibgeschützt oder durch besondere Zugriffskontrollen geschützt werden, um nachträgliche Änderungen zu verhindern.

Protokollierung und Audit Trails

Alle Aktionen, die in Bezug auf ein Dokument durchgeführt werden (einschließlich Versuche, es zu ändern oder zu löschen), werden in einem manipulationssicheren Log (Audit Trail) protokolliert.

Dieser Log sollte selbst auch revisionssicher sein, d.h. einmal protokollierte Einträge können nicht verändert oder gelöscht werden.

Redundanz und Replikation

Durch die Speicherung von Kopien des Dokuments an verschiedenen Orten oder auf unterschiedlichen Medien wird sichergestellt, dass selbst bei einem Ausfall oder einem Sicherheitsvorfall eine unveränderte Kopie des Dokuments verfügbar ist.

Zugriffskontrollen

Starke Zugriffssteuerungen sorgen dafür, dass nur autorisierte Benutzer auf Dokumente zugreifen oder Aktionen in Bezug auf sie durchführen können. Unbefugten ist der Zugriff bzw. das Ändern von Daten verwehrt.

Regularität und Compliance

Regelmäßige Überprüfungen und Audits des Systems sorgen dafür, dass alle Sicherheitsmaßnahmen ordnungsgemäß implementiert sind und funktionieren.

Welche Dokumente empfehlen wir digital zu archivieren?

Buchhaltungsunterlagen und Finanzdokumente
  • Bilanzen und Jahresabschlüsse
  • Buchungsbelege (z.B. Rechnungen, Quittungen, Kontoauszüge)
  • Lohn- und Gehaltsabrechnungen
  • Steuerliche Aufzeichnungen und Meldungen
  • Kassenbücher und andere Buchführungsdokumente
Verträge und rechtliche Dokumente
  • Verträge mit Kunden, Lieferanten und Partnern
  • Allgemeine Geschäftsbedingungen (AGB)
  • Urkunden und beglaubigte Dokumente
  • Lizenzen und Genehmigungen
  • Protokolle von Gesellschafter- oder Vorstandssitzungen
Personalunterlagen
  • Arbeitsverträge
  • Personalakten (z.B. Zeugnisse, Beurteilungen)
  • Dokumentationen von Schulungen und Fortbildungen
  • Dokumente zur betrieblichen Altersvorsorge
Technische und produktbezogene Dokumentationen
  • Technische Zeichnungen und Spezifikationen
  • Zertifikate und Qualitätsnachweise
  • Produktions- und Prüfprotokolle
  • Handbücher und Betriebsanweisungen
Kommunikation und Korrespondenz
  • Geschäftliche E-Mails und Briefe, die rechtlich relevante Informationen enthalten oder geschäftskritische Entscheidungen dokumentieren
  • Offizielle Mitteilungen und Bekanntmachungen
Datenbanken und IT-Dokumentationen
  • Datenbank-Backups und -Sicherungen
  • Dokumentation von Softwareanwendungen und -lizenzen
  • Protokolle von System- und Netzwerkaktivitäten
Sicherheits- und Compliance-Dokumente
  • Audit-Protokolle
  • Datenschutzdokumentation und -protokolle
  • Risikoanalysen und -bewertungen

Rechtlicher Disclaimer zur revisionssicheren Archivierung

Die vorliegenden Informationen zur revisionssicheren Archivierung sind allgemeiner Natur und sollen lediglich als Überblick und Orientierungshilfe dienen. Sie stellen keine rechtliche Beratung dar und können eine solche auch nicht ersetzen. Jedes Unternehmen und jede Organisation hat individuelle Anforderungen und Gegebenheiten, die bei der Implementierung von revisionssicheren Archivierungsmaßnahmen berücksichtigt werden müssen. Es obliegt den Unternehmen und Organisationen selbst, sich über die jeweils geltenden gesetzlichen und regulatorischen Vorschriften zu informieren und diese einzuhalten. Es wird keine Haftung für die Richtigkeit, Vollständigkeit oder Aktualität der bereitgestellten Informationen oder für Maßnahmen, die auf Grundlage dieser Informationen ergriffen werden, übernommen.