Bereits um die Frage, ob eine elektronische Archivierung die papiergebundene ersetzen darf, rankt sich ein Mythos: "Originaldokumente dürfen nicht vernichtet werden", heißt es oft pauschal. Doch das stimmt nicht. Tatsächlich ist die elektronische Archivierung im deutschen Handels- und Steuerrecht sehr liberal geregelt. Im Handelsgesetzbuch, Paragraf 257, formuliert der Gesetzgeber die Erlaubnis, die kaufmännische Aufbewahrungspflicht von Unterlagen auf elektronischem Wege zu erfüllen. Voraussetzung ist lediglich die Einhaltung der Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GOBS) im Betrieb der elektronischen Archivierung.
Foto: Falco - Fotolia.com
Im Zivilrecht gibt es hingegen einige wenige Rechtsbereiche, die die Vorlage von Originalunterlagen verlangen, wie zum Beispiel Titel, Testamente und Originalabrechnungen der Mietnebenkostenermittlung. Die Vernichtung von Originalunterlagen ist in diesen Umfeldern nicht strafbar, das heißt, es besteht keine gesetzliche Aufbewahrungspflicht. Gegebenenfalls kann sich durch die Vernichtung des Originals jedoch ein Rechtsnachteil ergeben. Die Masse der Unternehmen, die elektronische Archivierung betreiben, vernichten nach unserer Beobachtung ihre Originalunterlagen und gehen dennoch kein oder nur ein geringes Risiko ein, das von dem Nutzen durch Kosteneinsparungen in der Regel deutlich übertroffen wird.
Archivdatenträger dürfen wechseln
Obwohl weder Gesetze noch die GOBS bestimmte Techniken vorschreiben, hält sich hartnäckig die Mär, die Speicherung von Archivdaten auf unveränderbaren Datenträgern sei verpflichtend. Dies hat dazu geführt, dass sich insbesondere die optische Speicherung zu einer juristisch nicht begründbaren Pseudo-Technologieanforderung entwickelt hat. Dieser Trend wurde dadurch verstärkt, dass optische Speichersysteme günstiger waren als Magnetplatten. Doch dieser Kostenvorteil ist weggeschmolzen. Immer mehr Anwender lagern daher ihre Archivsysteminhalte auf "herkömmlichen", zentralen Speichersystemen - und verstoßen damit gegen kein Gesetz.
Herstellerzertifikate sind keine Persilscheine
Ein weiterer Mythos der DMS-Branche besagt, dass Anwender, die eine zertifizierte DMS-Lösung verwenden, getrost ihre Originalunterlagen vernichten können. Doch tatsächlich sind weder Herstellerzertifikate noch die vielen Standards wie Moreq2 oder Zertifikate wie "ECM Ready" ausreichend oder darauf ausgelegt, einen Rechtsschutz bezüglich der Ordnungsmäßigkeit der eingesetzten Systeme zu schaffen.
Systeme, die diesen Anforderungen genügen, weisen lediglich einen Funktionsumfang auf, den der Entwickler des Standards beziehungsweise die Zertifizierungsinstanz für sinnvoll hält, unabhängig davon, welcher Nutzen für Endanwender hierdurch entsteht. Das gilt beispielsweise für die ECM-Zertifizierung der SAP. Zudem führt eine funktionale Standardisierung häufig zu funktionalen Einschränkungen, indem sich beispielsweise individuelle Prozesse schlechter im Produkt abbilden lassen. Bei der Auswahl von Lösungen für ein Enterprise-Content-Management (ECM) sind Unternehmen also weiterhin gut beraten, zunächst die eigenen funktionalen Anforderungen zu ermitteln und dann Systeme auszuwählen.
Die elektronische Signatur schützt keine Dokumente
Derzeit schüren vor allem Hersteller eine Diskussion über die angebliche Schutzfunktion der elektronischen Signatur und verunsichern damit viele Anwender: So herrscht der Glaube vor, Dokumente müssten im elektronischen Archiv mit einer digitalen Signatur versehen sein, die ihre Unversehrtheit garantiere. Im Sozialgesetzbuch, Paragraf 110, Abschnitt d, ist sogar verbindlich vorgeschrieben, dass Institutionen, die ihm unterliegen, ihre gescannten Unterlagen mit einer qualifizierten elektronischen Signatur versehen müssen, falls sie die Originalunterlagen vernichten.
Tatsächlich kann eine elektronische Signatur jedoch keine Schutzfunktion übernehmen. Sie bietet lediglich die nachträgliche Möglichkeit nachzuweisen, von wem die Signatur stammt und dass die signierte Datei unverändert aufbewahrt wurde. Einen Nachweis für eine unveränderte Aufbewahrung bietet allerdings bereits der elektronisch ermittelte Fingerabdruck einer Datei ("Hash Code"). Zudem besitzen viele Archivsysteme eigene Schutz- oder Nachweisfunktionen der unveränderten Aufbewahrung: Die Zusatzkosten elektronischer Signaturverfahren können hier in den meisten Fällen also getrost gespart werden.
Signierte Dokumente brauchen keinen neuen Schlüssel
Findet der geschäftsmäßige Belegaustausch elektronisch statt und übermittelt der Lieferant seine Rechnung per E-Mail, so muss diese mit einer qualifizierten elektronischen Signatur ausgestattet sein, sonst darf der Empfänger die enthaltene Umsatzsteuer nicht abziehen (siehe Paragraf 14 Umsatzsteuergesetz). Aus Beweisgründen muss der Empfänger die Rechnung, die Signatur und streng genommen das Signaturprüfprotokoll elektronisch aufbewahren.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat für das Jahr 2008 neue Schlüssellängen für die Bildung von elektronischen Signaturen vorgegeben. Von einigen Herstellern für Signaturlösungen wird nun verbreitet, dass bereits archivierte Dokumente, deren elektronische Signatur mit einer geringeren Schlüssellänge erstellt wurde, nachträglich neu mit einer angepassten Schlüssellänge signiert werden müssten. Diesbezüglich gab es von der Audi AG im Jahr 2007 eine Anfrage, die das Bundesfinanzministerium allgemeinverbindlich mit dem Hinweis beantwortete, dass "eine Übersignierung durch den aufbewahrungspflichtigen Unternehmer aus umsatzsteuerlichen Gründen nicht erforderlich" ist.
Eine Entscheidung über die Notwendigkeit zur Nachsignierung von Dokumenten, die aufgrund der im SGB verankerten Pflichten signiert wurden, steht noch aus.
Keine Pflicht zur vollständigen Archivierung von E-Mails
In den letzten Jahren ist gehäuft zu vernehmen, dass Unternehmen verpflichtet seien, ihre komplette E-Mail-Korrespondenz elektronisch aufzubewahren. Aus handelsrechtlicher Sicht allein ist eine solch umfassende Archivierungsverpflichtung nicht abzuleiten, wohl aber die Aufbewahrungspflicht von E-Mails, die als Handelsbrief beziehungsweise Beleg fungieren (zum Beispiel Angebote und Rechnungen). Hierfür ist im Handelsrecht allerdings keine Formvorschrift fixiert - eine papiergebundene Aufbewahrung des Ausdrucks wäre handelsrechtlich ausreichend.
Steuerrechtlich ergeben sich jedoch Archivierungsanforderungen, die aus dem geänderten Paragrafen 14 der Abgabenordnung (erläutert in der GDPdU) abzuleiten und seit Januar 2007 vom Bundesfinanzministerium formuliert sind: Dort wird die elektronische Aufbewahrung für solche E-Mails gefordert, die steuerrechtlich relevant sind und deren Inhalt elektronisch in weiterführende Datenverarbeitungen einfließt (siehe die FAQ des Ministeriums zur GDPdU vom 23. Januar 2008). Dies betrifft in der Regel jedoch nur einen geringen Teil der E-Mails von Unternehmen - die Verpflichtung zur umfassenden E-Mail-Archivierung ist weiterhin weder aus den GOBS noch aus den GDPdU ableitbar.
Nicht verunsichern lassen
Wer eine elektronische Archivlösung plant, sollte sich nicht durch Äußerungen verunsichern lassen, die häufig von Anbietern stammen, die aus eigenwirtschaftlichem Interesse Rechtsanforderungen formulieren, für welche es objektiv betrachtet keine Rechtsgrundlage gibt.
Die Panikmache einiger Marktteilnehmer kurz nach Veröffentlichung der GDPdU beispielsweise durch Aussagen wie: "CD und DVD sind nicht GDPdU-gesetzeskonform" ist ein prominentes Beispiel für den immer wieder anzutreffenden Versuch, neu formulierte Rechtsanforderungen durch Überinterpretation und Verunsicherung für eigene Verkaufswünsche auszunutzen. Anwender sollten ihre Rechtslage und Verpflichtungen zunächst klären, bevor sie in vorauseilendem Gehorsam unnötige "Compliance"-Investitionen tätigen.
Allerdings ist zu empfehlen, beim Systemaufbau Techniken und Verfahren einzusetzen, die den Anforderungen der GOBS standhalten: Es handelt sich hierbei um dieselben Anforderungen, die auch an Buchführungssoftware gestellt werden - nicht mehr und nicht weniger.
Die Einhaltung der üblichen Sorgfaltspflicht sowie die Führung einer Verfahrensdokumentation sind zwingende und in den meisten Fällen ausreichende Grundlagen für einen rechtskonformen Archivbetrieb. (mje)
Dieser Artikel basiert auf einer Publikation unseres Schwestermagazins Computerwoche.