Obwohl die Revisionssicherheit bei der historischen Dokumentation von handelsrechtlichen Unterlagen von großer Bedeutung ist, bietet der nationale Gesetzgeber keine direkte Definition, welche zur Interpretation des Begriffs herangezogen werden kann. Stattdessen bestehen im Handelsgesetzbuch und in der Abgabenordnung allgemeine Regelungen über den Umgang mit Handelsbriefen, die sich zwar primär auf Dokumente in Papierform beziehen, aber sinngemäß auf digitale Daten übertragen werden können.
Grundlage dieser Regelungen ist der §238 Abs. 1 [HGB], aus dem die allgemeine Buchführungspflicht resultiert, mit der Maßgabe, dass sich alle Geschäftsvorfälle in ihrer Entstehung und Abwicklung her verfolgen lassen können müssen, wodurch die Nachvollziehbarkeit und insbesondere die Beweisfähigkeit der Buchführung deklariert wird. Sinngemäß verpflichten §238 Abs. 2 [HGB] sowie §257 Abs. 1 [HGB] den Kaufmann, eine wortgetreue Wiedergabe aller versandten und die Originale aller empfangenen Handelsbriefe aufzubewahren, wobei §257 Abs. 2 [HGB] diese als sämtliche Schriftstücke definiert, die ein Handelsgeschäft tangieren. Hierbei verlangt §257 Abs. 5 [HGB] eine Aufbewahrungsfrist von sechs Jahren ab Ablauf des Kalenderjahres.
Bezüglich der Revisionssicherheit der Aufzeichnungen erscheint §239 Abs. 2 [HGB] interessant. Dieser legt fest, dass alle Eintragungen vollständig, wahrheitsgemäß, zeitgerecht und geordnet vorgenommen werden müssen. Dabei sind gemäß §239 Abs. 3 [HGB] keinerlei Manipulationen bereits bestehender Einträge zugelassen, welche den ursprünglichen Inhalt verwischen oder ungewiss lassen, ob es sich überhaupt um Änderungen handelt und wenn ja, wann diese getätigt wurden.
Über die Besonderheiten von Datenverarbeitungssystemen trifft das Handelsgesetzbuch bis auf die Aussage der §239 Abs. 4 und §257 Abs. 1, dass elektronisch verwaltete Buchdaten innerhalb der allgemeinen Aufbewahrungsfristen entsprechend den Grundsätzen ordnungsgemäßer Buchführung zu führen sind und dass sie innerhalb einer angemessenen Frist, welche nicht näher definiert wird, wieder lesbar gemacht werden können müssen, keine Aussage. Selbiges trifft auf die Abgabenordnung zu, deren Regelungen der §145, §146 und §147 [AO] auch nicht näher ins Detail gehen. Grundsätzlich handelt es sich bei ihnen ohnehin um Abschriften der HGB-Regelungen, welche um die Bedürfnisse der Steuerprüfung erweitert wurden. Zum Beispiel ist der §147 [AO] analog zu §257 [HGB] formuliert, mit der Ergänzung der Absätze 5 und 6, die der Finanzbehörde den Zugriff auf steuerrelevante Daten einräumen.
Lohnenswerter erscheint darum ein Blick in die Grundsätze zum Datenzugriff und die Prüfbarkeit digitaler Unterlagen, wie sie in einem BMF- Schreiben des Bundesfinanzministeriums vom 16. Juli 2001 veröffentlicht wurden. Sie entstammen ebenfalls dem Hintergrund der steuerrechtlichen Betriebsprüfung, konkretisieren allerdings die allgemeinen Anforderungen des Handelsgesetzbuches und der Abgabenordnung hinsichtlich des Zugriffs auf die digitalen Unterlagen. Insbesondere Abschnitt II.2 befasst sich mit der Prüfbarkeit aufbewahrungspflichtiger Daten und stellt eine Verbindung zu den Grundsätzen ordnungsgemäßer DV-gestützter Buchführungssysteme - ebenfalls vom Bundesfinanzministerium - her, indem gefordert wird, dass sämtliche digitalisierte Daten, welche im Sinne des §147 Abs. 1 [AO] aufbewahrungspflichtig sind und nicht in Papierform vorliegen, gemäß den GoBS behandelt werden. Insbesondere muss dabei der Originalzustand der Daten erkennbar bleiben, so dass nachträgliche Veränderungen zu vermeiden sind. Darüber hinaus ist der Eingang, die Archivierung, die Konvertierung und die Weiterverarbeitung der Daten zu protokollieren.
Die GoBS wiederum beschränken sich zwar auf die digitale Buchhaltung, doch wie [KAMP03] (S. 10) anführt, wird gleich im ersten Absatz darauf hingewiesen, dass die selben Anforderungen, die der Gesetzgeber an ein kaufmännisches Buchhaltungssystem stellt, gleichermaßen auf ein betriebliches Dokumentenmanagementsystem übertragen werden können. So referenziert Sektion 1.2 [GoBS] direkt die §238, §239 [HGB] und §145, §146 [AO] und ergänzt:
Jedweder Geschäftsvorfall muss richtig, vollständig und zeitgerecht erfasst sein und sich in seiner Entstehung und Abwicklung verfolgen lassen.
Alle Geschäftsvorfälle sind so zu verarbeiten, dass sie überblicksartig geordnet darstellbar sind.
Einem Sachverständigen muss es möglich sein, sich binnen kurzer Zeit zurechtzufinden und einen Überblick zu gewinnen.
Eine Verfahrensdokumentation soll das genaue Vorgehen beschreiben und es muss gewährleistet sein, dass sich die Software gemäß der Dokumentation verhält.
Darüber hinaus betont Passus 5.5.1 die Wichtigkeit von Zugriffs- und Zugangskontrollen. Diese sind derart auszugestalten, dass selbst berechtigte Personen nur in dem Umfang Zugriff auf die gespeicherten Daten erlangen können, wie es zur Erfüllung ihrer Aufgaben notwendig ist.
Wenngleich die rechtlichen Bestimmungen keine allgemeingültige Definition der Revisionssicherheit liefern mögen, lassen sich ihre Intensionen wie folgt zusammenfassen:
Vollständigkeit: Die Dokumentation aller relevanten Informationen hat fortlaufend und lückenlos zu erfolgen. Es dürfen keine Informationen ausgelassen werden.
Ordnungsmäßigkeit und Verfahrenssicherheit: Die Dokumentation hat nach reproduzierbaren Verfahren zu erfolgen, welche selbst in einer Verfahrensanweisung beschrieben werden. Darüber hinaus ist dem Datenverlust durch geeignete Sicherungsmaßnahmen Vorsorge zu tragen.
Schutz vor Verfälschung: Einmal archivierte Daten dürfen nicht nachträglich verfälscht werden. Jegliche Änderungen sind als Kopie zu kennzeichnen, ohne dass das Original verloren geht. Ebenfalls müssen die durchgeführten Änderungen derart protokolliert werden, dass der Originalzustand wiederhergestellt werden kann.
Nachvollziehbarkeit und Überprüfbarkeit: Als Folge der obigen Punkte ergibt sich, dass nicht nur das Archivierungsverfahren überprüfbar ist, sondern dass auch die Zusammenhänge der erfassten Daten jederzeit und unverfälscht nachvollzogen werden können.
Zugriffskontrolle: Im Falle der Archivierung von sensiblen Daten, wie zum Beispiel Buchungsdaten, ist der Zugriff auf die Daten bezüglich des Personenkreis und der einsehbaren Daten soweit wie möglich einzuschränken. Einer berechtigten Person sollen nicht mehr Zugriffe erlaubt sein, als für die Erfüllung ihrer Aufgaben notwendig.
Dabei trifft der Gesetzgeber keine konkreten Aussagen über die Herkunft oder Beschaffenheit der aufzubewahrenden Dokumente, so dass die Wirksamkeit der gesetzlichen Regelungen allein an den funktionalen Aspekt geknüpft ist. Das Handelsgesetzbuches bezieht sich auf alle Handelsbriefe und sämtliche mit der Erstellung des Jahresabschlusses zusammenhängende Dokumente. Die Abgabenordnung und die GDPdU fokussieren eine rein steuerrechtliche Revision und die GoBS betrachten nur buchhalterische Dokumente.
Vor diesem Hintergrund hat der Verband Organisationssysteme und Informationssysteme den Begriff der revisionssicheren, elektronischen Archivierung geprägt, der die gesetzlichen Bestimmungen verallgemeinert. Vom selben Verband stammen auch die folgenden zehn Merksätze, welche die Anforderungen an die Revisionssicherheit subsumieren ([KAMP03] S. 24-26):
Jedes Dokument muss unveränderbar archiviert werden.
Es darf kein Dokument auf dem Weg ins Archiv oder im Archiv selbst verloren gehen.
Jedes Dokument muss mit geeigneten Retrievaltechniken wieder auffindbar sein.
Es muss genau das Dokument wiedergefunden werden, das gesucht worden ist.
Kein Dokument darf während seiner vorgesehenen Lebenszeit zerstört werden können.
Jedes Dokument muss in genau der gleichen Form, wie es erfasst wurde, wieder angezeigt und gedruckt werden können.
Jedes Dokument muss zeitnah wiedergefunden werden können.
Alle Aktionen im Archiv, die Veränderungen in der Organisation und Struktur bewirken, sind derart zu protokollieren, dass die Wiederherstellung des ursprünglichen Zustandes möglich ist.
Elektronische Archive sind so auszulegen, dass eine Migration auf neue Plattformen, Medien, Softwareversionen und Komponenten ohne Informationsverlust möglich ist.
Das System muss dem Anwender die Möglichkeit bieten, die gesetzlichen Bestimmungen (BDSG, AO, etc.) sowie die betrieblichen Bestimmungen des Anwenders hinsichtlich Datensicherheit und Datenschutz über die Lebensdauer des Archivs sicherzustellen.
AO: Autor unbekannt (2007), Wichtige Steuergesetze (Abgabenordnung), 55. Auflage, Neue Wirtschafts-Briefe GmbH & Co. KG, Herne
GoBS: Bundesfinanzministerium (1995), Grundsätze ordnungsgemäßer DV- gestützter Buchführungssysteme (GoBS), Berlin, http://www.bundesfinanzministerium.de/nn_314/DE/BMF__Startseite/Service/Downloads/Abt__IV/BMF__Schreiben/015,templateId=raw,property=publicationFile.pdf, Abruf am 22.04.2008 um 13:54:01, Beigefügt unter dem Dateinamen GoBS.pdf
HGB: Autor unbekannt (2006), Handelsgesetzbuch, 44. Auflage, Deutscher Taschenbuch Verlag GmbH & Co. KG, München
KAMP03: Dr. Ulrich Kampffmeyer (2003), Revisionssichere Archivierung und Dokumentenmanagement im Licht neuer rechtlicher Anforderungen, Hamburg, http://www.project-consult.net/Files/audicon_GDPdU_052003.pdf, Abruf am 22.04.2008 um 13:49:51, Beigefügt unter dem Dateinamen KAMP03.pdf