Verfahrensdokumentation

Verfahrensdokumentationen gibt es in den verschiedensten Anwendungsumgebungen: bei steuerrelevanten Daten die Verfahrensdokumentation nach GoBD, bei der Zulassung und Fertigung von Pharma-Erzeugnissen die Verfahrensdokumentation nach Part 11/GxP, für die Einhaltung der DSGVO die Verfahrensbeschreibung der Behandlung personenbezogener Daten, und andere.

Letztlich unterliegen alle Verfahrensdokumentationen den gleichen Prinzipien: unbeteiligte Dritte sollen komplexe organisatorische und technische Prozesse nachvollziehen und überprüfen können.

Definition aus Wikipedia

Die Verfahrensdokumentation nach GoBD (bis 2015 „GoBS“) dient dazu, nachweisen zu können, dass die Anforderungen des Handelsgesetzbuches (HGB), der Abgabenordnung (AO) für die Erfassung, Verbuchung, Verarbeitung, Aufbewahrung und Entsorgung von Daten und Belegen erfüllt sind. Die Finanzverwaltung hat Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff in einem BMF-Schreiben veröffentlicht und macht in den Tz 151ff des BMF-Schreibens Ausführungen zur Verfahrensdokumentation.

Auch für bestimmte Branchen gibt es, unabhängig von den Vorgaben der Steuerverwaltung, Vorgaben zur Erstellung von Verfahrensdokumentationen, so z. B. für die Pharmaindustrie nach FDA Part 11 und GxP (GMP, GLP Gute Laborpraxis). Für die Erstellung technischer Dokumentationen ist die Norm EN 82079 die Grundlage.

Manche halten die rechtlichen Anforderungen an eine revisionssichere Archivierung für ein Hindernis bei der Einführung von elektronischen Dokumenten-Management- und Archivsystemen. Dabei sind Verfahrensdokumentationen selbstverständlich: auch für die Papierablage von kaufmännischen Belegen, die unter das Handelsgesetzbuch (HGB) und die Allgemeine Abgabenordnung (AO) fallen, ist eine Verfahrensdokumentation erforderlich. Genau betrachtet erweisen sich die deutschen Regelungen als äußerst nützlich für die Qualität der DMS- und Archivsystem-Produkte und damit für die Sicherheit von Daten und Dokumenten in diesen Systemen. Nicht zuletzt beruht der Erfolg deutscher Archivierungssoftware im internationalen Markt auf den hohen Qualitäts- und Sicherheitsmaßstäben in Deutschland. Deutsche Anbieter weisen im Gegensatz zu zahlreichen ausländischen Produkten die erforderlichen Sicherheitsmerkmale auf. Internationale Anbieter genügen auf Grund ihrer langen Tätigkeit im deutschen Markt auch diesen Ansprüchen. Die rechtlichen Anforderungen geben außerdem dem Anwender und dem Hersteller einen Rahmen vor, der die optimale Einführung und einen verläßlichen Betrieb ermöglicht. Dieser Maßstab gilt leider in Deutschland nur für Dokumente, die dem HGB bzw. konkret den Grundsätzen ordnungsgemäßer DV-gestützter Buchführungssysteme (GoBD) unterliegen.

Rechtsprechung im Umbruch

Es gelten immer noch veraltete gesetzliche Regelungen, die zum Teil aus dem vorherigen Jahrhundert stammen. Beispiele hierfür sind die Zivilprozeßordnung (ZPO) und das Bürgerliche Gesetzbuch (BGB). In diesen Gesetzen wird immer noch von einem Dokument in Papierform als rechtlich anzuerkennendes Original ausgegangen. Eine aus einem elektronischen System reproduzierte Kopie trägt natürlich nicht die Originalunterschrift und hat in der Regel auch noch keine Farbwiedergabe. In einem Prozess unterliegt ein solches Dokument bei der Beweisanerkennung als „Objekt des Augenscheins“ der freien richterlichen Zulassungsentscheidung.
Die Zeiten haben sich geändert: besonders durch die Internettechnologie entstehen immer mehr Dokumente mit Vertrags- oder kaufmännischem Charakter ohne Papierform und ohne manuelle Unterschrift. Durch das Signaturgesetz (SigG im Rahmen des IUKdG) wurden die Grundlagen für elektronisch unterzeichnete und rechtskräftige Dokumente längst geschaffen. Das Verfahren ist jedoch aufwendig, erfordert autorisierte Zertifizierungsstellen und hat sich auch aus Kostengründen noch nicht durchgesetzt. Auch ist noch damit zu rechnen, daß Veränderungen und Anpassungen durch die europäische Gesetzgebung erforderlich werden. Zur Anpassung des BGB gab es bereits mehrere Initiativen von unterschiedlichen Ministerien. Ziel ist es, von der „Schriftform“ zur „Textform“ zu gelangen und damit auch nur als Datei vorliegende Dokumente einzubeziehen. Inzwischen haben die Gerichte selbst begonnen – wie z. B. in Hamburg – auch elektronisch zu arbeiten. Anträge und Schreiben von Anwälten werden digital akzeptiert und gesamte Verfahren workflowbasiert in den Behörden abgearbeitet. Dies verringert natürlich auch für den Beweisführenden das Risiko, daß seine aus digitalen Systemen reproduzierten Dokumente nicht anerkannt werden. Zumindest dann, wenn der gesamte Entstehungs-, Speicherungs- und Reproduktionsprozeß nachvollziehbar dokumentiert ist und Verfälschungen ausgeschlossen werden können, ist das Prozeßrisiko inzwischen sehr klein geworden. Auch hier kann gegebenenfalls zukünftig eine Verfahrensdokumentation die Beweiskraft von digitalen Dokumenten absichern.
Durch die Steuerreform im Jahr 2000 haben sich Änderungen in der Allgemeinen Abgabenordnung ergeben, die den Geltungsbereich der Archivierungspflicht erweitert. Durch den Entwurf der GDPdU, der Grundsätze des Datenzugriffs und der Prüfbarkeit digitaler Unterlagen erfolgt eine eindeutige Regelung zur Archivierung elektronischer Dokumente, die unter Handels- und Steuerrecht fallen. Die neuen Regelungen sollen die qualifizierte elektronische Signatur, die Bevorzugung nur einmal beschreibbarer digital-optischer Speicher, den direkten recherchierenden Zugriff auf Daten- und Dokumentenbestände beim Steuerpflichtigen und den Wegfall des COM-Verfahrens für originär digitale Belege einschließen. Damit gelten für Archiv- und Dokumentenmanagement-Lösungen die in HGB und GoBS festgelegten, nachvollziehbaren und überprüfbaren Regeln:

Handelsgesetzbuch

Grundsätzliche Anforderungen an die Ablage von kaufmännischen Dokumenten

  • Ordnungsmäßigkeit
  • Vollständigkeit
  • Sicherheit des Gesamtverfahrens
  • Schutz vor Veränderung und Verfälschung
  • Sicherung vor Verlust
  • Nutzung nur durch Berechtigte
  • Einhaltung der Aufbewahrungsfristen
  • Dokumentation des Verfahrens
  • Nachvollziehbarkeit
  • Prüfbarkeit

In den beiden Codes of Practice „Grundsätze der elektronischen Archivierung“ und „Grundsätze der Verfahrensdokumentation“ sind alle wichtigen Themen zur revisisonssicheren elektronischen Archivierung behandelt. Besonders das als Code of Practice 2 beim VOI Verband Organisations- und Informationssysteme e. V. erschienene Werk der Autoren dieses Artikels gibt eine umfassende Beschreibung zur Erstellung von Verfahrensdokumentationen auf Basis der GoBS (K.-G. Henstorf, U. Kampffmeyer, J. Prochnow, Grundsätze der Verfahrensdokumentation nach GoBS, VOI-Eigenverlag, Darmstadt 1999, ISBN 3-93-2898-04-4).

Bestandteile einer Verfahrensdokumentation

Bei der Einrichtung und beim Betrieb von Archiv- und Dokumentenmanagementsystemen gilt es die gesetzlichen Anforderungen zu erfüllen. Die GoBS und der Entwurf für die GDPdU detaillieren, wie das HGB und die Abgabenordnung für die Behandlung von kaufmännisch und steuerlich relevanten Daten und Dokumenten anzuwendenist. Wesentlicher Bestandteil für den Nachweis der Ordnungsmäßigkeit und Sicherheit ist die Verfahrensdokumentation. Die GoBS schreibt nicht die Form und den Umfang der Verfahrensdokumentation fest. Sie regelt lediglich, welcher Inhalt vorhanden sein muß (BStBl. 1995 I S. 738ff). Die Ausführungen in Bezug auf Buchhaltungssysteme sind auf die speziellen Eigenschaften eines Dokumenten-Management- und elektronischen Archivsystems zu übertragen.
Zur Vereinfachung der Erstellung und zur kontinuierlichen Pflege der Verfahrensdokumentation sollte diese derart gestaltet werden, daß veränderliche und individuelle Teile in Anhänge ausgegliedert werden. Dies erleichtert die notwendige Fortschreibung des Dokuments, da so nur die Anlagen ergänzt werden müssen, grundsätzliche Bestandteile jedoch unverändert bleiben können.
Das Dokument kann hierbei in drei Bereiche untergliedert werden:

  • die eigentliche Verfahrensbeschreibung,
  • die Testdokumentation mit Abnahmevereinbarung sowie
  • gegebenenfalls ein Zertifikat der Ordnungsmäßigkeit des Verfahrens durch einen unabhängigen Dritten wie den TüVIT, Sachverständigen und/oder Wirtschaftsprüfer.

Textteile, die keinem Änderungsdienst unterliegen, sollten in die eigentliche Verfahrensdokumentation aufgenommen werden. Aus dieser können größere Anhänge und Anlagen referenziert werden. Es empfiehlt sich ein Gesamtverzeichnis aller Bestandteile anzulegen, in dem auch die Versionierung und Fortschreibung vermerkt wird. In die Anhänge gehören auch Aufstellungen, die einer Veränderung und Fortschreibung unterliegen können. Anlagen sind vorhandene, in sich geschlossene Dokumentionen wie Handbücher, Produktdatenblätter, Verträge etc., die als Ganzes oder als Teilbereich entsprechend referenziert werden. Auch für die Dokumentation der durchgeführten Tests und Abnahmen empfiehlt es sich, diese als Anhang oder Anlage zu führen.
Wichtig ist, daß eine Verfahrensdokumentation nicht einmalig erstellt wird und dann „in der Ecke verstaubt“. Die Verfahrensdokumentation ist entsprechend der Änderungen am System fortzuschreiben. Nur dann kann sie ihrem eigentlichen Zweck, der Überpprüfbarkeit, die Nachvollziehbarkeit und die Regelung der Arbeit mit der Lösung gerecht werden.

Auch für „kleine“ Lösungen ist eine Verfahrensdokumentation erforderlich

Die GoBS führt aus, daß jede Dokumenten-Management- und Archivlösung, in der kaufmännisch relevante Dokumente gespeichert werden, eine Verfahrensdokumentation benötigt (GoBS Tz. 2a und Tz. 6). Große Dokumenten-Management- und Archivlösungen können sehr komplex werden, besonders dann, wenn zahlreiche andere Anwendungssoftware-Komponenten integriert sind. Dementsprechend aufwendig ist in diesem Fall auch die Verfahrensdokumentation.
Wie geht man hiermit nun bei kleineren Lösungen um, die einen solchen Aufwand nicht rechtfertigen? Bei einer Prüfung eines solchen kleineren Systems ist häufig bereits der Prüfer selbst überfordert. Hier klafft eine deutliche Bildungslücke bei Prüfenden und steuerberatenden Berufen. Im Zweifelsfall stehen Prüfer und Anwender fragend vor dem Computer und überlegen, was eigentlich hätte dokumentiert werden müssen.
Die GoBS sagt aus, daß eine Verfahrensdokumentation für alle Systeme, die kaufmännische Daten und Dokumente speichern – auch für kleine Systeme, bis zum Einzelplatz hinunter – erforderlich ist. Es ist eindeutig, daß das Herstellerhandbuch nur ein Teil der Dokumentation sein kann, da der Hersteller nicht wissen kann, welche Daten und Dokumente gespeichert werden und wie der Anwender mit dem System umgeht. Allein aus diesem Grund gibt es keine Zertifizierung von Produkten – auch dann nicht, wenn Anbieter mit „Gutachten“ aufwarten. Es zählt immer die Form des Einsatzes und der Nutzung beim Betreiber.
Die Chance für den kleineren Anwender liegt nur darin, anhand der Checkliste zu prüfen, welche Teile für ihn relevant sind und welche bereits in schriftlicher Form vorliegen. Hier sind eine Reihe von Minimalanforderungen zu erfüllen, z. B. Datensicherheit – wer darf auf das System zugreifen und könnte durch Löschen von Indizes Dokumente „verschwinden“ lassen, „wie heißen die Dokumente“ eigentlich, die gespeichert werden, welchen Klassen sind sie zugeordnet? Ist die Indizierung so eindeutig, daß jedes Dokument – und zwar genau das gesuchte – wiedergefunden wird? Wie erfolgt die Datensicherheit, kann nichts verloren gehen und läßt sich der Daten- und Dokumentenbestand wiederherstellen? Wie wird sichergestellt, daß die Daten und Dokumente vollständig erfaßt sind? Wie wird die Verfügbarkeit der Software und der Datenspeicher sichergestellt?

Checkliste

Bestandteile einer Verfahrensdokumentation für DMS- und Archivsysteme zur Speicherung kaufmännischer Daten und Dokumente

  • Allgemeine Beschreibung des Einsatzgebietes

     

    • Einsatzgebiet der Lösung (z. B. Installationsort des Systems, Beschreibung des Aufgabenfeldes des betroffenen Bereiches etc.)
    • Beschreibung der allgemeinen Organisation (z. B. Aufbauorganisation, Organigramm des Betreibers, Ablauforganisation, Anwendungsfeld der Lösung etc.)
  • Beschreibung der Lösung

     

    • Beschreibung der sachlogischen Lösung (z. B. Beschreibung der zu archivierenden Dokumente und Daten einschließlich deren Rechtscharakter, Vorgehensweise bei der Behandlung der Dokumente vor der Verarbeitung, Erläuterung des internen Kontrollsystems in Zusammenhang mit der sachlogischen Lösung, Ordnung der Dokumente)
    • Programmtechnischer Ablauf der Lösung
    • Identität der Beschreibungen mit dem eingesetzten Programm
  • Systembeschreibung

     

    • Netzinfrastruktur (z. B. Konfigurationsdaten des Netzes, Systemauslegung, Systemkonfiguration)
    • Spezielle Hardwarekomponenten (z. B. optische Speichermedien, Laufwerke, Jukeboxen, Scanner, Server, Clients, Drucker)
    • Standard-Softwarekomponenten (z. B. Betriebssystemumgebung, Standardmodule der Anwendung, Version, Zusammenwirken mit anderer Software)
    • Individuelle Programmteile der Lösung (z. B. Version, eingebundene Softwareprodukte, Funktionalität, Parametrisierungsmöglichkeiten)
  • Beschreibung des Internen Kontrollsystem (IKS)

     

    • Internes Kontrollsystem (z. B. Zugangskontrollmechanismen, Login-Mechanismen, Definition der Benutzerprofile, maschinelle Kontrollen, Benutzerverwaltung mit Zuständigkeiten und Verantwortungsbereichen, Beschreibung der archivierungsrelevanten Arbeitsabläufe, Beschreibung der Protokollierung von Änderungen, des logischen Löschens, etc.)
    • Datensicherheit (z. B. Datensicherungskonzept, Recovery-Verfahren)
    • Daten- und Zugriffsschutz (z. B. Protokollierung von Änderungen der Benutzerdaten durch die Benutzerverwaltung, Vergabe von unterschiedlichen Zugriffsrechten)
    • Datenintegrität (z. B. verlustfreie Restart- und Recoveryverfahren, eindeutige Zuordnung von Indizes zu Dokumenten
  • Beschreibung der relevanten Prozesse

     

    • Scannen (z. B. vollständiger Ablauf des Scanvorgangs, Qualitätssicherung, Erstellung von Journalen, Aussonderung von im Original aufzubewahrenden Dokumenten)
    • Erfassung von originär digitalen Dokumenten (z. B. Ablauf des Erfassungsverfahrens, Charakter der zu erfassenden Dokumente, Aufbewahrungfristen)
    • Transport im System (Beschreibung des Datenflusses, der Vorbeugung gegen Datenverlust, Konsistenzsicherung)
    • Indizierung und Datenbank (Konfiguration der Datenbank, vollständiger Ablauf des Indizierungsprozesses, Zugriffssicherungsverfahren)
    • Archivierung (vollständiger Ablauf des Archivierungsprozesses, Formate und Verfahren der Speicherung von Dokumenten, Standards)
    • Visualisierung und Reproduktion (Möglichkeiten der Reproduktion einschließlich deren Formate und Qualität, Qualitätsmaßstab)
    • Protokollierung (z. B. Login und Nutzungsjournale, Auswertung, Archivierung und Retrieval der Journale)
    • Sonstige Bestandteile und Anlagen
    • Verzeichnis der gültigen technischen Dokumentationen, Handbücher etc.
    • Betriebsvoraussetzungen (z. B. Pflege, Wartung, Medien- und Datensicherung)
    • Betreiberdokumentationen (z. B. Betriebskonzept)
    • Anbieterdokumentationen (z. B. Systemdesign, Dokumentation der eingesetzten Tools wie Recovery, Restart, etc.)
    • Vertragsrelevante Dokumentationen (z. B. Wartungsvertrag, Abnahmeerklärung)
    • Arbeitsanweisungen (z. B. Wartung, Scanvorgang mit Vor- und Nachbereitung, Ändern und Löschen von Indizes, Fehlerbehandlung, Notfallmaßnahmen)
    • Migration (z. B. Migrationsfähigkeit des Systems, Migration der Datenbank)
    • Aktuell eingestellte Parameter, Benutzerberechtigungen und Dokumentenklassen mit Aufbewahrungsregeln und Aufbewahrungsfristen
    • Test- und Abnahmeprotokolle

Viele dieser Fragen müssen bereits bei der Auswahl des Systems beantwortet werden, um eine geeignete Lösung zu finden. Ein anderer Teil der Informationen ist bereits vorhanden. Er „versteckt“ sich nur in der herkömmlichen Ablagestruktur, in den papiergebundenen Ablageprozessen oder in einem Aktenplan. Auch die bisherige Papierablage muß nachprüfbar, korrekt, sicher und vollständig sein.
Ein Anwender hat es immer dann etwas leichter, wenn der Anbieter eine Musterverfahrensdokumentation – weitgehend gefüllt und mit definierten Testszenarien ausgestattet – bereits besitzt. Bei größeren Lösungen helfen auch unabhängige Berater oder der Systemintegrator weiter. Die Verantwortung bleibt in jedem Fall jedoch beim Betreiber des Systems. Eine Verfahrensdokumentation muß keinen Aktenordner füllen. Sie muß aber aktuell sein und ein gesichertes, nachvollziehbares Arbeiten ermöglichen. Letztlich testet ein Prüfer nicht die Technik, sondern, wie mit dem System gearbeitet wird, ob alle Dokumente auffindbar sind und ob alles geordnet vonstatten geht.

Codes of Practice auf europäischer Ebene

Der VOI hat durch seine beiden Codes of Practice „Grundsätze der elektronischen Archivierung“ und „Grundsätze der Verfahrensdokumentation nach GoBS“ zumindest für Deutschland eine eindeutige Meßlatte geschaffen. Vergleichbare Codes existieren auch in England. Ein europäischer Code befindet sich derzeit in der Entwicklung. Diese Codes of Best Practice haben jedoch nicht den detaillierten und konkreten Anspruch der deutschen Codes of Practice, die eine unmittelbare Unterstützung für Anbieter und Anwender bieten.
Die Prüfbarkeit von Archivsystemen ist ein Desiderat, daß durch die ISO-Norm 9000 selbst nicht abgedeckt werden kann. Die ISO 9000 stellt keinen Qualitätsmaßstab dar, sondern kann höchstens das Verfahren, das zu einer Zertifizierung führen könnte, festlegen. In diesem Umfeld hat der TüVIT Rheinland in Zusammenarbeit mit einer Arbeitsgruppe des VOI e.V: ein Audit- und Zertifizierungsverfahren entwickelt. In einem mehrstufigen Prozess wird die Verfahrensdokumentation und die Lösung überprüft, die anschließend mit einem „TüV-Siegel“ zertifiziert wird. Ein solches Zertifikat ist jedoch nicht unbegrenzt gültig. Da sich Technologie und Einsatz von Archiv- und Dokumentenmanagement-Lösungen erfahrungsgemäß nach zwei Jahren weiterentwickelt haben, ist eine Wiederholungszertifizierung notwendig. Dies soll auch die Anforderung der GoBS abdecken, daß die Verfahrensdokumentation der tatsächlich eingesetzten Lösung entspricht.
Eine Reihe von Anbietern wie z.B. Ceyoniq, FileNET und IBM haben mit Unterstützung von PROJECT CONSULT Musterverfahrensdokumentationen entwickelt, die den Anforderungen der GoBS und den Prüfkriterien des TüVIT, den PK-DML, entsprechen. Auf Basis einer solchen Musterverfahrensdokumentation ist die Erstellung einer individuellen Verfahrensbeschreibung wesentlich einfache rund schneller für den Anwender zu vollziehen.
Eine einheitliche europäische Regelung für den Betrieb und die Dokumentation der Verfahren steht jedoch noch aus. Zwar hat das DLM-Forum der Europäischen Kommission eine Leitlinie für den Umgang mit elektronischen Dokumenten herausgegeben, jedoch ist diese nicht als meßbarer und nachprüfbarer Maßstab geeignet. Dokumente entstehen zunehmend elektronisch und der Bedarf an Dokumenten-Management und Archivierung steigt ständig, nicht zuletzt durch E-Commerce, digitale Signatur etc. Es wäre daher empfehlenswert, wenn ohne Beschränkungen auf nationale Gegebenheiten hier endlich für Rechtssicherheit und Prüfbarkeit von Systemlösungen gesorgt würde. (Dr. Ulrich Kampffmeyer, 2002; aktualisiert 2019)

Die Verfahrensdokumentation dient nicht nur zum Nachweis der Compliance sondern ist zu gleich die Wissensbasis für den Betrieb und die Weiterentwicklung langzeitig in Nutzung befindlicher Systeme wie z.B. elektronische Archive.

Dr. Ulrich Kampffmeyer,
Seminar Verfahrensdokumentation nach GoBS, 2005

Ressourcen