Geschäftliche Dokumente müssen revisionssicher und rechtskonform aufbewahrt werden.
Nahezu sämtliche Unternehmen sind heute maßgeblich durch ihre komplexe IT-Landschaft geprägt. Und kaum ein Unternehmen kann ohne seine Daten längerfristig überleben. Gleichzeitig sind diese Daten durch zahlreiche Risiken bedroht. Dabei kann es sich um technische Defekte, Diebstahl, mutwillige Zerstörungen oder Schadsoftware handeln. In jüngster Zeit steigt beispielsweise die Bedrohung durch Kryptotrojaner (Ransomware). Damit verschlüsseln Erpresser die Daten eines Unternehmens und fordern für die Entschlüsselung ein Lösegeld.
Eine verlässliche Datensicherung sollte daher für jedes Unternehmen selbstverständlich sein. Von besonderer Bedeutung ist dabei der Schutz geschäftlicher Dokumente. Denn diese unterliegen gesetzlichen Regelungen zur revisionssicheren und rechtskonformen Aufbewahrung. Bei Missachtung der Gesetzesvorgaben können Verantwortliche gegebenenfalls gar in persönliche Haftung genommen werden. Und im Falle erheblicher Pflichtverstöße ist der Versicherungsschutz von Geschäftsleitung und Unternehmen gefährdet.
Was zu sichern ist. Es sind alle Dokumente und Daten zu sichern, die gesetzlichen Aufbewahrungspflichten unterliegen oder als Beweismittel in einem Zivilprozess dienen könnten. Gleichzeitig sind diese Daten und Dokumente, etwa Lieferscheine oder Rechnungen, revisionssicher zu archivieren. Denn kann ein Dokument nach der Sicherung noch verändert werden, ist dessen Beweiskraft möglicherweise eingeschränkt.
Die rechtlichen Rahmenbedingungen. Vorschriften wie die des Handelsgesetzbuchs (HGB) bilden den rechtlichen Rahmen für die Pflicht zur Datensicherung. Hier finden sich Regelungen über die ordnungsgemäße, nachvollziehbare und revisionssichere Buchführung. Darunter beispielsweise die Fristen für die Aufbewahrung kaufmännischer Dokumente. So sind etwa empfangene Handelsbriefe und Wiedergaben abgesandter Handelsbriefe (Kopien, Durchschriften) sechs Jahre aufzubewahren (§ 257 Abs. 1 Nr. 2 und 3, Abs. 4 HGB). Handelsbücher, Bilanzen oder Buchungsbelege müssen sogar bis zu zehn Jahre aufbewahrt werden.
Die »Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff« (GoBD) gelten für die Dokumente, die sich mit dem Thema Steuern in Verbindung bringen lassen. Es handelt sich dabei um eine bindende Verwaltungsanweisung des Bundesfinanzministeriums, in der die Anforderungen an eine computergestützte Buchführung formuliert sind. Zu finden sind darin Regelungen zur Aufbewahrung und Archivierung von handels- und steuerrechtlich relevanten digitalen Unterlagen sowie zur Mitwirkung bei Betriebsprüfungen. So ist einem Betriebsprüfer jederzeit der lesende Zugriff auf digitale Unterlagen von steuerlicher Bedeutung zu gewähren.
Zugleich finden sich in den GoBD Ausführungen, wie Dokumente zu archivieren sind, die von der Papierform in die elektronische Form überführt wurden (ersetzendes Scannen).
Die Bedeutung der Revisionssicherheit. Spricht man von revisionssicher archivierten Dokumenten, sind damit Unterlagen des handels- und steuerrechtlichen Bereichs gemeint, die in elektronischen Systemen gesichert sind. Bei dieser Archivierung müssen die Anforderungen des Handelsgesetzbuches und der Abgabenordnung (AO), die GoBD sowie weitere steuerrechtliche, handelsrechtliche und gesellschaftsrechtliche Vorgaben erfüllt werden.
Von revisionssicherer Archivierung wird gesprochen, wenn elektronische Dokumente und Daten auffindbar, nachvollziehbar, unveränderbar und verfälschungssicher archiviert sind. Um den skizzierten Anforderungen zu genügen, spielt der Stand der Technik, etwa bei Backup-Lösungen, eine entscheidende Rolle.
Optionen bei der Datensicherung.Grundsätzlich können Daten im eigenen Unternehmen oder an einem externen Ort gespeichert werden. Die Datensicherung im eigenen Betrieb ist beliebt, da man dabei vermeintlich die Kontrolle über die eigenen Daten behält. Klar ist aber auch, dass die Sicherung an nur einem Ort nicht genügt, um die skizzierten Ansprüche zu erfüllen. Denn die dabei genutzten Datenträger sind jederzeit durch Gefahren wie Defekte oder Diebstahl bedroht.
Notwendig ist daher die zusätzliche Datensicherung an einem zweiten Ort. Für Unternehmen, die über begrenzte interne IT-Ressourcen verfügen, bietet sich die Datensicherung in die Cloud eines Serviceproviders an. Um die Datenübertragung in ein solches externes Rechenzentrum sicher zu gestalten, sind zuverlässige Verschlüsselungsmethoden von Bedeutung. Auch sollten Unternehmen in der Bundesrepublik Deutschland darauf achten, dass der von ihnen gewählte Cloud-Anbieter seine Rechenzentren in Deutschland betreibt und dass dort die Datenschutzvorgaben des Bundesdatenschutzgesetzes (BDSG) eingehalten werden. Die Nutzung von Cloud-Diensten in Form der Auftragsdatenverarbeitung ist dann datenschutzrechtlich vor dem Gesetzgeber deutlich leichter zu rechtfertigen.
Thomas Kasper,
Executive Director DACH,
Carbonite Germany
Carbonite ist mit weltweit über 1,5 Millionen Kunden
einer der großen Anbieter hybrider Datensicherungslösungen
für kleine und mittlere Unternehmen.