Consultec - Dr. Ernst GmbH - Aktuelles

10 Merksätze für eine revisionssichere Archivierung

Die Merksätze des “Verbandes Organisations- und Informationssysteme e.V.” (VOI) zur revisionssicheren elektronischen Archivierung existieren bereits seit den 90er Jahren. Sie definieren die Anforderungen an die Ordnungsmäßigkeit beim Betrieb einer elektronischen Archivlösung und stehen in engem Zusammenhang mit anderen Grundsätzen – wie den „Grundsätzen ordnungsmäßiger Buchführung“ (GoB), den „Grund­sät­ze zur ord­nungs­mä­ßi­gen Füh­rung und Auf­be­wah­rung von Bü­chern, Auf­zeich­nun­gen und Un­ter­la­gen in elek­tro­ni­scher Form so­wie zum Da­ten­zu­griff“ (GoBD) oder den „Grundsätzen zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen“ (GDPdU).

Sie bilden den allgemeinen Rahmen der Anforderungen, der für eine konkrete technische Archivierungslösung zu interpretieren und zu detaillieren ist. Die vom VOI veröffentlichten Prüfkriterien für Dokumentenmanagement-Lösungen (PK-DML) stellen hierbei einen übergreifenden Vorschlag für eine entsprechende Konkretisierung dar.

In der hier vorliegenden aktualisierten Fassung wurden diese Merksätze präzisiert, thematisch ergänzt und kommentiert, so dass Anwender diese als Grundlage für die interne Umsetzung verwenden können. Hierbei ist dann noch neben einer Detaillierung, auch die Ergänzung um weitere spezifische Regelungen erforderlich – beispielsweise die Berücksichtigung länder- und/oder branchenspezifischer Aspekte.

Hier nun die aktualisierten Merksätze:

1. Jedes Dokument muss nach Maßgabe der rechtlichen und organisations-internen Anforderungen ordnungsgemäß aufbewahrt werden.

Dieser Merksatz beschreibt das übergreifende Ziel jeder Archivierung: die verlässliche und rechts-konforme Aufbewahrung von Dokumenten in geregelter Weise. Er betont, dass die konkrete Ausgestaltung einer Archivierungslösung immer auch von den speziellen Anforderungen der jeweiligen Einsatzumgebung abhängt. Diese Anforderungen ergeben sich aus gesetzlichen und sonstigen rechtlichen Vorschriften wie auch aus den Regeln, die sich der Betreiber selbst gegeben hat.

2. Die Archivierung hat vollständig zu erfolgen – kein Dokument darf auf dem Weg ins Archiv oder im Archiv selbst verloren gehen.

Dieser Merksatz hebt darauf ab, dass alle benötigten Dokumente vollständig erfasst und im Archiv abgelegt werden müssen. Nur so können gesetzliche Dokumentationsanforderungen erfüllt und Vorgänge später lückenlos nachvollzogen werden.

3. Jedes Dokument ist zum organisatorisch frühestmöglichen Zeitpunkt zu archivieren.

Dieser Merksatz entspricht zum einen dem Prinzip der zeitnahen Verarbeitung und Ablage von Dokumenten. Zum anderen gewährleistet ein elektronisches Archivsystem die Vollständigkeit, Integrität und Verfügbarkeit der Dokumente in der Regel auf einem deutlich höheren Sicherheitsniveau im Vergleich zu den anderen Prozessschritten der Dokumentenerfassung und –bearbeitung. Daher empfiehlt sich eine möglichst frühe Archivierung.

4. Jedes Dokument muss mit seinem Original übereinstimmen und unveränderbar archiviert werden.

Dieser Merksatz spiegelt die Forderung wider, dass ein archiviertes Dokument dem Original zu jedem Zeitpunkt in beweissicherer Art entsprechen muss. Je nach Dokumentenart und Einsatzzweck kann es sich dabei um eine inhaltliche Identität oder aber um eine bildliche Übereinstimmung mit einem Papieroriginal oder einem elektronischen Originaldokument handeln.

5. Jedes Dokument darf nur von entsprechend berechtigten Benutzern eingesehen werden.

Dieser Merksatz dient dem Schutz vertraulicher Informationen (Geschäftsgeheimnisse) sowie der Einhaltung der Vorschriften zum Schutz personenbezogener Daten (Datenschutz). Zu diesem Zweck ist ein entsprechendes Berechtigungskonzept umzusetzen.

6. Jedes Dokument muss in angemessener Zeit wiedergefunden und reproduziert werden können.

Dieser Merksatz stellt auf das Verfügbarmachen archivierter Dokumente in angemessener Zeit ab. Die maximal tolerierbare Zeit für Suche und Reproduktion leitet sich sowohl aus dem jeweiligen Stand der Informationstechnologie ab, als auch aus dem Kontext, in dem das Dokument bereitgestellt werden soll.

7. Jedes Dokument darf frühestens nach Ablauf seiner Aufbewahrungsfrist vernichtet, d.h. aus dem Archiv gelöscht werden.

Dieser Merksatz fordert die Verfügbarkeit der Dokumente während des gesamten Aufbewahrungszeitraums. Der tatsächliche Zeitpunkt der Löschung abgelaufener Dokumente ergibt sich dann aus rechtlichen Vorschriften (wie z.B. Datenschutz) und aus technisch-organisatorischen Erwägungen (Minimierung des Aufwands).

8. Jede ändernde Aktion im elektronischen Archivsystem muss für Berechtigte nachvollziehbar protokolliert werden.

Dieser Merksatz entspricht dem „Radierverbot“ in der Buchführung. Er fordert, dass nachträgliche Änderungen erkennbar sind und dass der ursprüngliche Zustand während der gesamten Aufbewahrungszeit ermittelt werden kann.

9. Das gesamte organisatorische und technische Verfahren der Archivierung kann von einem sachverständiger Dritten jederzeit geprüft werden.

Dieser Merksatz zielt auf den Nachweis, dass die Archivierungslösung beim jeweiligen Betreiber tatsächlich im Sinne all dieser Merksätze im Einsatz ist. Für diesen Nachweis ist einerseits eine Verfahrensdokumentation unverzichtbar, andererseits muss stets der ordnungsmäßige laufende Betrieb überprüfbar sein (z.B. anhand von Systemprotokollen).

10. Bei allen Migrationen und Änderungen am Archivsystem muss die Einhaltung aller zuvor aufgeführten Grundsätze sichergestellt sein.

Dieser Merksatz resultiert daraus, dass die Innovationszyklen der im Archivsystem eingesetzten Hard- und Software meist sehr viel kürzer sind als die Aufbewahrungszeiten der Dokumente. Während der Aufbewahrungszeit kommt es also praktisch immer zu Änderungen am Archivsystem (vom Austausch einzelner Geräte bis hin zur Migration des kompletten Archivbestands in ein vollkommen anderes technisches System). Bei derartigen Migrationsmaßnahmen müssen sämtliche aufgeführten Grundsätze beachtet werden. Insbesondere sind die Änderungen und Maßnahmen der Migration sorgfältig zu dokumentieren, so dass deren Ordnungsmäßigkeit während der Aufbewahrungsfrist der migrierten Dokumente überprüfbar ist.

Bei der Einhaltung dieser Anforderungen steht Ihnen die Consultec als ausgewiesen kompetenter Partner im Bereich Compliance gern beiseite.

Eine unserer Referenzen

Für die Airbus Deutschland GmbH konzipierten wir IT-Lösungen und begleiteten deren Realisierung und Zertifizierung.
mehr ...

Wir sind Spezialisten für folgende Branchen ...

Bauindustrie
Chemische Industrie
Energie- / Wasserwirtschaft
Kassen(zahn)ärztliche Vereinigungen
Luftfahrtindustrie
Maschinen- / Fahrzeugbau
Öffentl. Verwaltung / eGovernment
Schifffahrt / Schiffszertifizierer
Telekommunikation
Versicherungen / Finanzdienstleister
Wohnungs- / Grundstückswirtschaft

… und unterstützen seit über 15 Jahren Mittelstands- und Großunternehmen sowie öffentliche Einrichtungen

In Kontakt bleiben

Consultec RSS-Feed

Consultec Newsletter

Consultec gehört dem Beirat des VOI e.V. an. Außerdem gehören wir zur Leitung des VOI CERT – der Zertifizierungsstelle des VOI sowie zur Leitung des Competence Centers “Standards & Normen ECM”. Zudem sind wir Mitglied in den Competence Centern “Postbearbeitung” und “PK-DML” zur Festlegung von DMS-Prüfkriterien. Schließlich gehören wir dem “Lenkungskreis PK-DML” von VOI und TÜViT an.

© Copyright der Fotos: siehe Impressum