Den Begriff „Revisionssicherheit“ mit seiner Ableitung „revisionssichere Archivierung“ gibt es seit 1992. In einer Reihe von Artikeln und später in einem Code of Practice des VOI Verband Optische Informationssysteme e.V. (heute VOI Verband Organisations- und Informationsysteme e.V., Bonn) wurde der Begriff definiert.Revisionssicherheit bezieht sich auf elektronische Archivierungssysteme, die den Anforderungen des Gesetzgebers, besonders HGB und Steuerrecht, entsprechen. Die Revisionssicherheit bezieht sich dabei nicht nur auf technische Komponenten sondern auf die gesamte Lösung. Revisionssicherheit schließt sichere Abläufe, die Organisation des Anwenderunternehmens, die ordnungsgemäße Nutzung, den sicheren Betrieb und den Nachweis in einer Verfahrensdokumentation ein. Wesentliches Merkmal revisionssicherer Archivsysteme ist, dass alle gespeicherten Informationen datenbankgestützt wieder auffindbar, nachvollziehbar, unveränderbar und verfälschungssicher archiviert sind. Revisionssichere Archivierung ist so ein wesentlicher Bestandteil für die Compliance von Informationssystemen.

Bei der Revisionssicherheit geht es im Wesentlichen darum, dass die entsprechenden Systeme so ausgelegt sind, dass die Übereinstimmung mit und die Einhaltung der rechtlichen Vorgaben überprüfbar sind. Dies bedeutet, Revisionssicherheit ist nicht im Vorwege gegeben und ist auf keinen Fall eine Produkteigenschaft. Aufkleber auf den Schachteln von Archivsoftwareprodukten „revisionssicher“ sind nichts wert. Die Revisionssicherheit kann nur am real eingesetzten System in der spezifischen Umgebung des Anwenders überprüft werden. Revision steht also im Sinne der Übersetzung aus dem Lateinischen für Rückschau“ oder „Überprüfung“. Diese Definition für „Revisionssicherheit“ wurde vom Autor auch seit Bestehen des Begriffes immer wieder herausgestellt, auch wenn Anbieter von Systemen und Software immer wieder versuchten, revisionssichere Archivierung in ihrem Sinne zu verändern. Die Überprüfbarkeit der Lösung ist die herausragende Eigenschaft für die Erfüllung von Compliance-Vorgaben.
In Ableitung der Vorschriften aus Handelsgesetzbuch, Abgabenordnung und Steuerrecht gelten folgende grundsätzlichen Kriterien für die Revisionssicherheit:

• Ordnungsmäßigkeit
• Vollständigkeit
• Sicherheit des Gesamtverfahrens
• Schutz vor Veränderung und Verfälschung
• Sicherung vor Verlust
• Nutzung nur durch Berechtigte
• Einhaltung der Aufbewahrungsfristen
• Dokumentation des Verfahrens
• Nachvollziehbarkeit
• Prüfbarkeit

Diese Anforderungen und deren Umsetzung sind im Detail den Grundsätzen ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS) zu entnehmen, die in Kürze durch die GoBIT abgelöst werden sollen. Der Begriff revisionssichere Archivierung wird inzwischen auch allgemein auf die Archivierung von Informationen außerhalb des handels- und steuerrechtlichen Bereichs angewendet und synonym mit der verfälschungssicheren, langzeitigen Archivierung elektronischer Informationen benutzt.
Für die revisionssichere Archiveirung gibt es 10 Merksätze, die die Grundvoraussetzungen zusammenfassen (Ulrich Kampffmeyer, Jörg Rogalla: Grundsätze der elektronischen Archivierung. Verband Organisations- und Informationssysteme e. V., Darmstadt 1997, ISBN 3-932898-03-6)

1. Jedes Dokument muss unveränderbar archiviert werden
2. Es darf kein Dokument auf dem Weg ins Archiv oder im Archiv selbst verloren gehen
3. Jedes Dokument muss mit geeigneten Retrievaltechniken wieder auffindbar sein
4. Es muss genau das Dokument wiedergefunden werden, das gesucht worden ist
5. Kein Dokument darf während seiner vorgesehenen Lebenszeit zerstört werden können
6. Jedes Dokument muss in genau der gleichen Form, wie es erfasst wurde, wieder angezeigt und gedruckt werden können
7. Jedes Dokument muss zeitnah wiedergefunden werden können
8. Alle Aktionen im Archiv, die Veränderungen in der Organisation und Struktur bewirken, sind derart zu protokollieren, dass die Wiederherstellung des ursprünglichen Zustandes möglich ist
9. Elektronische Archive sind so auszulegen, dass eine Migration auf neue Plattformen, Medien, Softwareversionen und Komponenten ohne Informationsverlust möglich ist
10. Das System muss dem Anwender die Möglichkeit bieten, die gesetzlichen Bestimmungen sowie die betrieblichen Bestimmungen des Anwenders hinsichtlich Datensicherheit und Datenschutz über die Lebensdauer des Archivs sicherzustellen

Der Begriff revisionssichere Archivierung ist gut nachvollziehbar beschrieben und in der Literatur seit über 15 Jahren eingeführt.
Bereits als der Begriff revisionssichere Archivierung geprägt wurde, gab es Diskussionen, ob man nicht den Begriff Rechtssicherheit bzw. rechtssichere Archivierung benutzen solle. Diese Diskussion ist in den letzten Monaten wieder aufgeflammt. Besonders durch die Initiative COMIDD (http://www.comidd.org), die von den Firmen HP Hewlett Packard und OS Optimal Systems ins Leben gerufen wurde, wird versucht, anstelle der revisionssicheren Archivierung nun den Begriff der rechtssicheren Archivierung zu positionieren (ganz abgesehen davon, dass COMIDD auch versucht hat eine eigene „Ein-Wort-Definition“ für den Begriff Compliance zu finden: „Regeltreue“). Rechtssicherheit ist nach den Vertretern von COMIDD der zu erstrebende Zustand eines elektronischen Archivsystems, Revisionssicherheit sei allenfalls eine Teilmenge von Rechtssicherheit. Die Kriterien für die rechtssichere Archivierung sind nahezu die Gleichen wie für die revisionssichere Archivierung – wie könnte es auch anders sein?!

Die Problematik des Begriffes liegt jedoch darin, dass dem potentiellen Anwender eines elektronischen Archivsystems suggeriert wird, dass er per Se Rechtssicherheit durch den Einsatz der Software erlangt. Der Ansatz der Revisionssicherheit ist dagegen umgekehrt – erst in der tatsächlich eingesetzten Archivierungsumgebung ist die Einhaltung der Vorgaben nachprüfbar. Der Begriff Rechtssicherheit wiegt den Anwender in eine falsche Sicherheit, da niemand im Vorwege bescheinigen wird, dass der Einsatz einer bestimmten Software oder Lösung rechtssicher ist. Erst im realen Einsatz, im Zusammenspiel von Technik, Organisation, Prozessen und Menschen kann die Einhaltung der Vorgaben überprüft werden. Dies ist übrigens auch genau der Ansatz der Wirtschaftsprüfer, die entsprechend den FAIT auch die Einhaltung der rechtlichen Vorgaben in elektronischen Archivsystemen erst im Nachhinein prüfen und testieren. Der Ansatz der Nachprüfbarkeit und die Vermeidung der Erweckung falscher Erwartungen durch einen Begriff wie „rechtssicher“ hatten übrigens bereits 1992 dazu geführt, dass die „rechtssichere Archivierung“ verworfen wurde. Auch bei der Langzeitarchivierung im Bereich historischer Archive spricht man nicht von rechtssicher sondern von „vertrauenswürdigen Archiven“. Außerhalb der ECM-Branche und des Wirkungskreises von COMIDD hat sich der Begriff „rechtssichere Archivierung“ noch nicht etablieren können. So bleibt zu hoffen, dass der Begriff revisionssichere Archivierung beibehalten wird, denn weitere Begriffe führen nur zur Begriffsverwirrung und schaffen neue Erwartungen, die auch die technischen Lösungen der Initiatoren per Se nicht erfüllen können. (Kff)

PROJECT CONSULT Newsletter 20091021