Was Betriebsprüfer vom DMS fordern

Thorsten Brand ist Senior-Berater beim Beratungshaus Zöller & Partner aus Sulzbach/Taunus.
Da sich die rechtlichen Grundlagen für den Betrieb von Enterprise-Content-Management (ECM) geändert haben, sollten sich Nutzer von Dokumenten-Management-Systemen mit ihnen befassen.
Zu den Klassikern unter den gesetzlichen Regelungen zählen das Handelsgesetzbuch, die Abgabenordnung, das Bürgerliche Gesetzbuch, die Zivilprozessordnung und das Deutsche Produkthaftungs- und Umsatzsteuerrecht sowie der Datenschutz. Zumindest daran hat sich nichts geändert. Aus diesen Gesetzen und hierauf aufbauenden Grundsätzen, Erläuterungsschreiben, Fragen- und Antworten-Katalogen leiten sich die Anforderungen an die elektronische Archivierung ab. Hinzu kommen branchenbezogene Regelungen.
Zu den Klassikern unter den gesetzlichen Regelungen zählen das Handelsgesetzbuch, die Abgabenordnung, das Bürgerliche Gesetzbuch, die Zivilprozessordnung und das Deutsche Produkthaftungs- und Umsatzsteuerrecht sowie der Datenschutz. Zumindest daran hat sich nichts geändert. Aus diesen Gesetzen und hierauf aufbauenden Grundsätzen, Erläuterungsschreiben, Fragen- und Antworten-Katalogen leiten sich die Anforderungen an die elektronische Archivierung ab. Hinzu kommen branchenbezogene Regelungen.

Bestimmung

Anforderungen an die ECM-Lösung

Deutsche Steuer- und Handels-Gesetzgebung (HGB, FAIT3, AO, GoBS)

Sicherstellung der inhaltlichen oder bildlichen Gleichheit, Unveränderbarkeit und Vollständigkeit; Abbildung von Aufbewahrungsfristen, Verfahrensdokumentation

Deutsches Umsatzsteuergesetz (UstG, BMF-Schreiben)

Archivierung von Rechnungen gemäß HGB/AO, Anforderungen für elektronische Rechnungen mit qualifizierter elektronischer Signatur, Anforderungen für Fax-, Sammel- und EDI-Rechnungen

Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU, Fragen- und Antwort-Kataloge)

Bereitstellung von Daten und Dokumenten im Rahmen der digitalen Außenprüfungen, Anforderungen für Archivierung von elektronischen Rechnungen mit qualifizierter elektronischer Signatur

Zivilrecht, BGB

Sicherstellung der Unveränderbarkeit; besondere Bedeutung: Beweiswert einer Unterschrift nach der elektronischen Erfassung; mittlerweise zulässig und rechtlich gleichwertig: digitale Signatur anstatt Papierunterschrift

Produkthaftung

Sicherstellung der Unveränderbarkeit und Vollständigkeit, unverzüglicher Zugang (je nach Branche), Aufbewahrung der Papierdokumentationen (je nach Branche), Prozessdokumentation der Archivierung im Rahmen der ISO-Zertifizierung, Aufbewahrungsfristen mit Produktlaufzeiten abstimmen

Bundesdatenschutzgesetz

Einrichtung eines Berechtigungskonzepts, Möglichkeiten zur Löschung von personenbezogenen Dokumenten und Daten

Sozialgesetzbuch (SGB)

Nutzung der digitalen Signatur im Rahmen der Scan-Prozesse, Erstellung einer Verfahrensdokumentation

Basel II

Bereitstellung von Auswertungen für das Risiko-Controlling, elektronische Prozessunterstützung und überwachung

Sarbanes-Oxley Act

Keine funktionalen Anforderungen, Archivierung aller prüfungsrelevanten Dokumente; Vollständigkeit, Unveränderbarkeit und unverzüglicher Zugriff

Wegen Basel II und Sarbanes-Oxley (SOX) benötigen jetzt alle Unternehmen eine ECM-Lösung. Es dürfen nur noch GDPdU-zertifizierte Systeme eingesetzt werden. Nur optische Speicher sind revisionssicher." So oder so ähnlich klingen viele Äußerungen von Anbietern elektronischer Archivierungs- und Content-Management-Lösungen. Sobald eine neue gesetzliche Auflage erscheint, die relevant ist für ECM-Anwender, werden Sachverhalte reflexartig in die jeweils gewünschte Richtung uminterpretiert. Dies mag den Herstellern dienlich sein, doch die Anwender werden dadurch verunsichert.

Hier lesen Sie ...

dass Firmen bei der E-Mail-Archivierung auch Nachrichten im originalen Format aufbewahren müssen;

warum unter Umständen auch das Buchhaltungssystem den Auflagen von DMS-Lösungen folgen muss;

dass Betriebsprüfer auf Content-Management-Systeme zugreifen dürfen;

worauf Unternehmen bei Produktzertifikaten achten sollten.

Grundsätzlich neue Gesetze gibt es zwar nicht, jedoch haben sich die Auflagen in Details geändert.

Wirtschaftsprüfung nach IDW RS FAIT 3

Neu erschienen sind die Wirtschaftsprüfungsgrundsätze des IDW RS FAIT 3 (Grundsätze ordnungsmäßiger Buchführung beim Einsatz elektronischer Archivierungsverfahren des Fachausschusses für Informationstechnik) des Institutes der Deutschen Wirtschaftsprüfer (IDW). Das ist ein Anforderungskatalog für den Betrieb einer ECM-Lösung aus Sicht der Wirtschaftsprüfer. Im Gegensatz zu anderen Gesetzen und Verordnungen hat das Institut konkrete und vor allem ECM-spezifische Regelungen zusammengestellt.

Die in den Grundsätzen ordnungsgemäßer Buchführungssysteme (GoBS) definierten Kriterien für die Ordnungsmäßigkeit der Buchführung und eines Buchführungssystems werden sinngemäß in Sicherheits- und Betriebsanforderungen für eine ECM-Umgebung abgeleitet. Dazu zählen die Richtigkeit, Vertraulichkeit und Autorisierung, Integrität und Authentizität, Verfügbarkeit, Unveränderbarkeit und Nachvollziehbarkeit.

Beispielsweise wird für das Kriterium der Richtigkeit die "bildliche und inhaltliche Gleichheit" konkretisiert. Ferner beschreiben die Wirtschaftsprüfer Details beim Farbscannen und bei der Brutto-Netto-Image-Verarbeitung. Die Problematik des Scannens von AGBs ist ein weiteres praxisnahes Beispiel.

SAP-Buchhaltung und Archivierung

Bei der Integrität geht das Grundsatzdokument der Wirtschaftsprüfer darauf ein, wie Buchhaltungs- und ECM-Anwendung zusammenspielen müssen, da für die Ordnungsmäßigkeit des ECM-Systems häufig auch Eigenschaften der Buchhaltungslösung relevant sind. Beispielsweise sind bei SAP R/3 die Zugriffskriterien auf Dokumente bei der Archivierung nur in den Tabellen der ERP-Software vorhanden. Aus diesem Grund muss die SAP-Software auch den für die ECM-Software geltenden Anforderungen genügen.

Keine Pflicht zur Langzeitarchivierung auf WORM

Auch mit der Unveränderbarkeit befassen sich die Buchführungsgrundsätze. Hier wird verlangt, durch technische und organisatorische Maßnahmen zu verhindern, dass sich elektronisch archivierte Dokumente und Daten nachträglich verändern lassen. Nicht Gegenstand dieses Passus ist indes eine bestimmte Hardware-Ausstattung. Vielmehr steht es dem Anwender frei, dies durch eine oder mehrere der folgenden Möglichkeiten sicherzustellen:

WORM-Jukeboxen und medien (beispielsweise UDO, DVD und Bänder);

- WORM-Festplattensysteme (etwa EMC Centera, IBM DR550, Netapp Snaplock und andere);

- Sicherheitsmechanismen in der ECM-Software, zum Beispiel durch Bildung von Containern, Hash-Codes, Berechtigungen und Protokollierung;

- Sicherheitsmechanismen außerhalb der ECM-Software. Dazu zählen Berechtigungen im Betriebssystem der Clients und Server, der Datenbank sowie der Backup-Verfahren;

- organisatorische Regelungen: Das Vier-Augen-Prinzip bei der Administration, regelmäßige Audits, Zugangskontrollen und Arbeitsanweisungen für den ECM-Betrieb.

Der IDW RS FAIT 3 geht hier konform mit den Grundsätzen ordnungsgemäßer Buchführungssysteme und anderen gesetzlichen Grundlagen. Letztlich ist immer eine Kombination aus mehreren Techniken und Re-gelungen erforderlich, um während des gesamten Dokumentenlebenszyklus von der Erfassung bis zur Vernichtung sicherzu-stellen, dass Inhalte unverändert bleiben.

Die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) wurden seit ihrem Erscheinen in der ECM-Branche heftig diskutiert. Im Januar 2007 erschien ein neuer Fragen- und Antworten-Katalog des Bundesministeriums für Finanzen (BMF). Daraus geht hervor, dass die steuerliche Außenprüfung auf den Zugriff auf ECM-Systeme ausgedehnt wird. Daraus folgt: Eingescannte Dokumente sind jetzt originär digitale Unterlagen, so dass auch für ein ECM-System die in den GDPdU beschriebenen Zugriffsarten vorhanden sein müssen.

Prüfer dürfen sich an das ECM-System setzen

In der Praxis bedeutet das, ein Betriebsprüfer darf sich nicht nur direkt an die Systeme setzen, die steuerrelevante Daten verwalten (typischerweise sind das Buchhaltungssysteme), sondern auch an IT-Lösungen, die steuerrelevante Dokumente vorhalten, also ECM-Systeme. Diese Interpretation wurde in einem Urteil des 2. Finanzgerichts Düsseldorf vom 5. Februar 2007 bestätigt.

Wer Eingangsbelege scannt, archiviert und die dazugehörigen Originale vernichtet, erzeugt Datenbestände, auf die das Unternehmen dem Prüfer Zugriff zu gewähren hat. Der Anwender muss seine archivierten Datenbestände entsprechend organisieren. In der Praxis bedeutet dies, dass ein Benutzerprofil für die dazugehörigen Dokumentenarten und insbesondere Prüfungsjahre eingerichtet werden muss, inklusive der dazu passenden Berechtigungen. Sinnvoll ist außerdem eine Recherche-Protokollierung, falls das Unternehmen nachvollziehen möchte, was sich der Prüfer angesehen hat.

Erweiterte Pflichten zur E-Mail-Aufbewahrung

Die Verfasser des Fragen- und Antworten-Kataloges konkretisieren außerdem Regelungen zur E-Mail-Aufbewahrung. Elektronische Post muss demnach im Originalformat (E-Mail-Format) archiviert werden. Diese auszudrucken oder ausschließlich zu konvertieren genügt nicht. Was man bei maschinell verarbeitbaren Formaten noch verstehen kann, beispielsweise der Excel-Reisekostenabrechnung im E-Mail-Anhang, gilt jetzt für alle E-Mails, also auch für solche, in denen Vertragsabsprachen getroffen wurden. Firmen kommen daher nicht umhin, neben Langzeitformaten wie Tiff und PDF/A auch das (proprietäre) Originalformat zu archivieren.

Zertifizierung und Verfahrensdokumentation

Zertifikate für ECM-Lösungen oder Komponenten wie Speichersysteme sind bei Anwendern gefragt. Unternehmen wollen damit die Ordnungsmäßigkeit einer ECM-Umgebung bestätigt bekommen. Wirtschaftsprüfer sowie Rechtskanzleien erstellen solche Gütesiegel jedoch auf der Grundlage ganz verschiedener Bewertungskriterien, so dass deren Aussagekraft sehr unterschiedlich ist. Oft bedauern daher kompetente Prüferunternehmen, dass bei einem Zertifikat selten mehr als das Deckblatt gelesen wird.

Bei genauerem Blick in ein Produktzertifikat eines ECM-Systems wird allerdings oft deutlich, dass es sich meist nur auf die Software selbst bezieht, deren Einsatzumgebung indes unberücksichtigt bleibt. Werden also beispielsweise beim Scannen Doppeleinzüge nicht erkannt, nutzt der revisionssicherste ECM-Server nichts. In guten Produktzertifikaten wird daher immer darauf hingewiesen, dass für eine ordnungsgemäße ECM-Umgebung neben dem Produkt auch entsprechende Verfahren erforderlich sind und diese auch dokumentiert sein sollten.

Eine solche Verfahrensdokumentation wurde bereits in den GoBS von 1995 gefordert, aber auch in aktuellen Regelungen wie dem IDW RS FAIT3 oder den GDPdU. Leider ist der Inhalt einer solchen Dokumentation nicht immer klar umrissen, und nicht jeder ECM-Anbieter liefert ein entsprechendes Muster mit aus. Aus den GoBS ergeben sich eine Reihe von Aspekten für eine ECM-Verfahrensdokumentation.

Mustervorlagen für Verfahrensdokumentationen

Typischerweise gibt es bereits viele Dokumente nach einer ECM-Einführung, die für eine Verfahrensdokumentation genutzt werden können. Dazu zählen Anwenderdokumentationen und Betriebshandbücher. In jedem Fall sollte man die ECM-Anbieter nach einer Musterdokumentation fragen, da sie ja nicht zum ersten Mal vor dieser Aufgabe stehen. Da Firmen bei anstehenden Jahresabschluss- und Betriebsprüfungen vermehrt solche Dokumentationen nachfragen, sollte zumindest ein erster Entwurf vorhanden sein. Die fehlenden Punkte können vom Softwarehaus, einem Systemintegrator oder dem Anwender leicht selbst zusammengetragen werden.

Rechtsgrundlagen veralten und müssen sich dem Wandel der Geschäftswelt und der IT anpassen. ECM-Lösungen bleiben davon nicht verschont. Neben den obigen Beispielen steht momentan beispielsweise auch das IT-Grundschutzhandbuch des BSI (Auflage September 2005) in der Diskussion: Einige Abschnitte des Werks befassen sich zum Beispiel mit Speichertechniken, die heute nicht mehr am Markt angeboten werden.

Die GoBS aus 1995 leiden ebenfalls unter der fehlenden Aktualität, und so wurde auch hier Handlungsbedarf erkannt. Eine Expertengruppe der Arbeitsgemeinschaft für wirtschaftliche Verwaltung (AWV e.V.) überarbeitet momentan diese Grundsätze und dürfte 2008 damit fertig sein.

Das Regelwerk des Verbands Organisations- und Informationssysteme (VOI) zum Thema Ordnungsmäßigkeit der Archivierung und die Prüfkriterien für Dokumenten-Management-Lösungen (PK-DML) werden ebenfalls überarbeitet. Beispielsweise in Sachen elektronische Signaturen und E-Mail-Archivierung. Eine neue Auflage erscheint im Dezember 2007. Alle diese Regelungen sollen es dem Anwender erleichtern, eine ECM-Umgebung rechtskonform einzusetzen. Wichtig ist hierbei, sich nicht von Marketing-Aussagen beeinflussen zu lassen, sondern auf Grundlage der Gesetze und deren Auslegung diese Systeme zu betreiben. (fn)