Rechtssichere Archivierung

In den GoBD wird seit dem 1. Januar 2017 geregelt, wie Unterlagen zu Geschäftsvorfällen archiviert werden sollen und welche Daten auf elektronischen Datenträgern aufbewahrt werden müssen. Es müssen geschäftliche E-Mails langfristig gesichert werden.

Zur Archivierung verpflichtet sind alle Unternehmen und Freiberufler. Nach der gesetzlichen Vorgabe müssen Dokumente aufbewahrt werden.
Das Handelsgesetzbuch regelt, dass Kaufleute zur Buchführung verpflichtet sind und die entsprechenden Dokumente aufbewahren müssen. Der Gesetzgeber hat genaue Auflagen zur Speicherung der Daten gemacht. So muss es sich um ein Archivsystem handeln, das eine technische Unveränderbarkeit der Daten sicherstellt.
Für den E-Mail-Verkehr und elektronische Dokumente gibt es gesetzliche Vorgaben, die eingehalten werden müssen. Geregelt wird überdies die Verwahrung von elektronischen Dokumenten in den technischen Richtlinien des BSI (TR-03125).
Es bedarf zusätzlicher technischer und organisatorischer Maßnahmen um Integrität und Authentizität herzustellen und dauerhaft zu erhalten. Verpflichtet sind Unternehmen dazu, dass Lesbarkeit und Verfügbarkeit der Speichermedien und der verschiedenen Datenformate gewährleistet werden. Es muss ein Zugriff auf die Daten und Dokumente sichergestellt sein, der den Anforderungen des Datenschutzes genügt und auch die Datensicherheit bewahrt.
Dies muss selbst über lange Zeiträume gelten und auch über den Wechsel von Systemen hinweg. Die Unternehmen müssen also für elektronisch erzeugte, verarbeitete und gespeicherte Dokumente und die anfallenden Daten selbst in fernerer Zukunft die Lesbarkeit, Verfügbarkeit und Integrität und Authentizität gewährleisten.

Das BSI stellt einen Leitfaden dazu zur Verfügung. In der Technischen Richtlinie BSI TR-03125 ist die „Beweiswerterhaltung kryptographisch signierter Dokumente“ geregelt.

Darin wird beschrieben, wie elektronisch signierte Daten und die Dokumente von Unternehmen über lange Zeiträume vertrauenswürdig gespeichert werden sollen. Gewährleistet werden muss eine vertrauenswürdige Speicherung im Sinne eines rechtswirksamen Beweiswerterhalts. Das BSI hat die Gestaltungskriterien, die die Berücksichtigung von relevanten nationalen und internationalen Standards umfassen, sowie eine konsequente und vollständige Plattform- und Herstelllerneutralität aufweisen, erarbeitet. Es wird eine mandantenfähige Referenzarchitektur beschrieben mit einem Aufbau für anwendungs- und produktübergreifende Archiv-Infrastrukturdienste. Es wird die Grundlage zur Komponenten- und Schnittstellenentwicklung dargelegt, gerade in dem Bereich der kryptographischen Sicherungsmittel mit einem eCard-API-Framework. Empfohlen werden Daten- und Dokumentenformate, sowie Speicherformate für Archivdatenobjekte und es werden Referenzarchitektur oder alternative Architekturen empfohlen. Auch werden Komponenten für vorgelagerte Anwendungssysteme und die Module, wie das Krypto-Modul und deren Abhängigkeiten in den Anforderungen beschrieben.

Stellvertretend für solche Lösungen ist die E-Mail Archivierung (UMA) von Securepoint Security Solutions, die solche Standards und Richtlinien wie GOBD und BSI TR-03125 einhält.

Verweise: (GoBD) IV A 4 – S 0316/13/10003

Comments are closed.