Zum Inhalt springen

FM-Solutionmaker: Gemeinsam Facility Management neu denken

Gesetzliche Vorgaben zur Archivierung

Facility Management: Archiv » Strategie » Gesetzliche Vorgaben

Die gesetzlichen Vorgaben zur Archivierung von Dokumenten und Daten sind in nationalen und internationalen Regelwerken verankert

Die gesetzlichen Vorgaben zur Archivierung von Dokumenten und Daten sind in nationalen und internationalen Regelwerken verankert

Diese Vorgaben betreffen nicht nur den Zeitraum, über den Dokumente aufbewahrt werden müssen, sondern auch die Art und Weise, wie sie gespeichert, gesichert und zugänglich gemacht werden. Dabei spielen Datenschutz, Compliance, Revisionssicherheit und die Nachvollziehbarkeit von Prozessen eine zentrale Rolle. Für Experten in Bereichen wie Compliance, IT, Archivwesen oder Facility Management ist es essenziell, die geltenden rechtlichen Rahmenbedingungen genau zu kennen und umzusetzen. Neben der Einhaltung der Vorschriften bieten gut umgesetzte Archivierungssysteme den Vorteil, dass Unternehmen effizienter arbeiten und ihre Risiken im Zusammenhang mit Datenverlust und Compliance-Verstößen reduzieren können.

Einhaltung von Archivierungsanforderungen für rechtssichere Dokumentenverwaltung

Grundlagen der Archivierungspflichten

Digitale Archivierung auf Tastendruck

Ein Archivordner wird auf der „Archiv“-Taste einer Tastatur abgebildet, was die digitale Archivierung symbolisiert.

Archivierungspflichten ergeben sich in der Regel aus handelsrechtlichen, steuerrechtlichen, datenschutzrechtlichen und branchenspezifischen Gesetzen und Verordnungen. Sie betreffen alle geschäftsrelevanten Dokumente und Informationen, wie z. B. Rechnungen, Verträge, Steuerunterlagen, Buchhaltungsdaten, aber auch E-Mails, Personalakten und technische Zeichnungen.

Handelsrechtliche Vorgaben (HGB)

Das Handelsgesetzbuch (HGB) regelt für Unternehmen und Kaufleute die Aufbewahrungspflicht von geschäftlichen Unterlagen.

In Deutschland sind gemäß § 257 HGB folgende Dokumente aufbewahrungspflichtig:

  • Handelsbücher und Inventare: Diese sind für zehn Jahre aufzubewahren.

  • Bilanzen, Jahresabschlüsse, Lageberichte und Buchungsbelege: Ebenfalls zehn Jahre.

  • Empfangene Handelsbriefe und Kopien von abgesandten Handelsbriefen: Sechs Jahre.

  • Sonstige Unterlagen, die für die Besteuerung von Bedeutung sind: Diese umfassen Rechnungen, Quittungen und Verträge und müssen ebenfalls zehn Jahre aufbewahrt werden.

Steuerrechtliche Vorgaben (AO)

Im deutschen Steuerrecht gelten für alle steuerlich relevanten Dokumente, wie sie in der Abgabenordnung (AO) geregelt sind, ähnliche Vorgaben wie im HGB.

Gemäß § 147 AO müssen steuerpflichtige Unternehmen folgende Unterlagen aufbewahren:

  • Buchführungsunterlagen, Jahresabschlüsse und Steuerbescheide: Zehn Jahre.

  • Empfangene und ausgestellte Rechnungen: Zehn Jahre.

  • Sonstige für die Besteuerung relevanten Dokumente (z. B. Lohnabrechnungen, Steuerunterlagen): Zehn Jahre.

Datenschutzrechtliche Vorgaben (DSGVO und BDSG)

Mit der Einführung der Datenschutz-Grundverordnung (DSGVO) im Jahr 2018 und dem ergänzenden Bundesdatenschutzgesetz (BDSG) wurden neue Anforderungen an die Aufbewahrung und den Schutz personenbezogener Daten etabliert. Die DSGVO regelt die Verarbeitung und Archivierung personenbezogener Daten, wobei der Grundsatz gilt, dass Daten nur so lange gespeichert werden dürfen, wie sie für den jeweiligen Zweck notwendig sind.

Für personenbezogene Daten gelten folgende zentrale Grundsätze:

  • Recht auf Vergessenwerden: Personen haben das Recht, die Löschung ihrer Daten zu verlangen, wenn diese nicht mehr für den ursprünglichen Zweck benötigt werden.

  • Einschränkung der Speicherfrist: Unternehmen müssen regelmäßig prüfen, ob die archivierten personenbezogenen Daten noch notwendig sind oder gelöscht werden können.

  • Datensicherheit und Zugriffsmanagement: Sensible personenbezogene Daten müssen sicher archiviert und vor unberechtigtem Zugriff geschützt werden. Es sind technische und organisatorische Maßnahmen (TOMs) wie Verschlüsselung und Zugangsbeschränkungen zu implementieren.

Je nach Branche existieren zusätzliche spezifische Archivierungsvorgaben. Beispiele:

  • Finanzsektor: Banken und Finanzdienstleister unterliegen besonderen Anforderungen, etwa nach dem Kreditwesengesetz (KWG) oder den MaRisk (Mindestanforderungen an das Risikomanagement), die sehr strenge Vorschriften für die Archivierung von Verträgen, Finanzberichten und Transaktionsdokumentationen enthalten.

  • Gesundheitswesen: Krankenhäuser und Ärzte müssen gemäß der Berufsordnung für Ärzte sowie der DSGVO die Patientenakten über bestimmte Zeiträume hinweg aufbewahren. Dabei variieren die Fristen je nach Art der Daten (z. B. zehn Jahre für allgemeine Patientenakten, länger für strahlentherapeutische Daten).

  • Bauwesen: Für Bauunternehmen und Ingenieure gelten besondere Archivierungsvorschriften für Baupläne, Genehmigungen und Bestandspläne, etwa nach den Landesbauordnungen (LBO).

Eine der wichtigsten Anforderungen an die gesetzliche Archivierung ist die Revisionssicherheit

Revisionssichere Archivierung bedeutet, dass Dokumente so gespeichert werden, dass sie während ihrer gesamten Aufbewahrungsdauer nicht verändert oder gelöscht werden können.

Dabei sind folgende Aspekte relevant:

  • Unveränderlichkeit: Gespeicherte Daten müssen unveränderlich archiviert werden. Dies kann durch technische Maßnahmen wie die Verwendung von WORM (Write Once, Read Many)-Medien, digitale Signaturen oder Zeitstempel gewährleistet werden. Ein revisionssicheres Archivsystem speichert alle Änderungen an den Dokumenten und bewahrt die Originalversion auf, sodass Manipulationen ausgeschlossen sind.

  • Nachvollziehbarkeit: Jede Interaktion mit einem archivierten Dokument muss lückenlos dokumentiert und nachvollziehbar sein. Dies bedeutet, dass jede Änderung, jeder Zugriff und jede Löschung protokolliert wird, sodass bei einer Prüfung alle Aktivitäten transparent dargestellt werden können.

  • Vollständigkeit und Verfügbarkeit: Alle relevanten Dokumente müssen vollständig archiviert und jederzeit verfügbar sein. Für Prüfungen oder interne Audits müssen alle gesetzlich relevanten Dokumente innerhalb eines angemessenen Zeitraums zugänglich gemacht werden können. Das bedeutet, dass die Systeme entsprechend performant und zuverlässig sein müssen.

  • Zugriffskontrolle und Sicherheit: Ein revisionssicheres Archivierungssystem muss eine strenge Zugriffssteuerung beinhalten. Nur autorisierte Personen dürfen Zugriff auf sensible oder kritische Dokumente haben, und diese Zugriffe müssen protokolliert werden. Technische Maßnahmen wie Rollen- und Berechtigungskonzepte oder Mehr-Faktor-Authentifizierung sind dabei von zentraler Bedeutung.

Technische Maßnahmen:

  • Backup und Wiederherstellung: Unternehmen müssen regelmäßige Backups ihrer archivierten Daten durchführen und sicherstellen, dass im Falle eines Systemausfalls oder Datenverlustes eine Wiederherstellung möglich ist.

  • Verschlüsselung: Daten müssen sowohl bei der Übertragung als auch bei der Speicherung verschlüsselt werden, um sie vor unberechtigtem Zugriff zu schützen.

  • Zugriffskontrolle: Der Zugriff auf archivierte Dokumente muss durch klare Rollen- und Rechteverteilung geregelt sein. Berechtigte Benutzer erhalten nur die Zugriffsrechte, die für ihre Tätigkeit erforderlich sind.

  • Langzeitarchivierung: Die verwendeten Dateiformate müssen für die langfristige Speicherung geeignet sein (z. B. PDF/A), um sicherzustellen, dass die Dokumente auch nach vielen Jahren noch lesbar sind.

Organisatorische Maßnahmen:

  • Verfahrensdokumentation: Unternehmen müssen klar dokumentieren, wie die Archivierung erfolgt, wer verantwortlich ist, welche Systeme genutzt werden und wie die Aufbewahrungsfristen überwacht werden.

  • Schulung der Mitarbeiter: Alle Mitarbeiter, die mit der Archivierung betraut sind, müssen regelmäßig geschult werden, um sicherzustellen, dass sie die rechtlichen Anforderungen und internen Richtlinien kennen und einhalten.

  • Regelmäßige Überprüfung und Anpassung: Die Archivierungsprozesse müssen regelmäßig überprüft und an neue gesetzliche oder technische Anforderungen angepasst werden.

Ein wichtiger Aspekt der gesetzlich vorgeschriebenen Archivierung ist die Einhaltung der Aufbewahrungsfristen

Diese Fristen regeln, wie lange bestimmte Dokumente aufbewahrt werden müssen. Nach Ablauf der Fristen besteht in vielen Fällen die Verpflichtung, die Daten ordnungsgemäß zu löschen. Die Aufbewahrungsfristen sind je nach Art des Dokuments unterschiedlich und werden durch Gesetze wie HGB, AO, DSGVO und branchenspezifische Vorschriften festgelegt.

Grundsätzlich gelten:

  • 10 Jahre für steuerrechtlich relevante Dokumente wie Rechnungen, Buchführungsunterlagen und Bilanzen.

  • 6 Jahre für geschäftliche Dokumente wie Handelsbriefe und Verträge.

  • Verlängerte Fristen in speziellen Fällen, z. B. bei Bauunterlagen, Gesundheitsdaten oder steuerrechtlichen Dokumenten, die Gegenstand von Ermittlungen sind.

Löschpflicht und Löschkonzepte

Nach Ablauf der gesetzlichen Aufbewahrungsfrist sind Unternehmen verpflichtet, die Daten zu löschen, sofern keine anderweitigen Aufbewahrungsgründe bestehen. Diese Löschpflicht ergibt sich häufig aus dem Datenschutzrecht (DSGVO). Unternehmen müssen daher Löschkonzepte entwickeln, die regeln, wann und wie Daten gelöscht werden. Diese Konzepte müssen sicherstellen, dass die Daten unwiederbringlich entfernt werden und dass der Löschvorgang dokumentiert wird.