Revisionssicherheit

1. Was bedeutet Revisionssicherheit? #

Der Begriff „Revisionssicherheit” stammt aus dem deutschen Handels- und Steuerrecht. Er beschreibt die Eigenschaft eines Archivierungssystems, Dokumente und Daten so aufzubewahren, dass sie den Anforderungen einer Revision (Prüfung) durch Finanzbehörden, Wirtschaftsprüfer oder interne Auditoren standhalten.

Die Kernforderung #

Revisionssicher ist eine Aufbewahrung, die sicherstellt, dass aufbewahrungspflichtige Dokumente:

• Vollständig sind — kein Dokument fehlt
• Richtig sind — der Inhalt wurde nicht verändert
• Zeitgerecht archiviert wurden — innerhalb der vorgeschriebenen Fristen
• Ordnungsgemäß abgelegt sind — auffindbar, nachvollziehbar, reproduzierbar
• Unveränderlich gespeichert sind — nachträgliche Änderungen oder Löschungen sind technisch ausgeschlossen oder lückenlos dokumentiert
• Während der gesamten Aufbewahrungsfrist verfügbar sind — 6, 10 oder mehr Jahre

Warum „revisionssicher” mehr ist als „unveränderlich” #

Ein häufiges Missverständnis: Revisionssicherheit wird mit Unveränderlichkeit (Immutability) gleichgesetzt. Unveränderlichkeit ist eine notwendige, aber keine hinreichende Bedingung. Revisionssicherheit umfasst zusätzlich:

• Nachvollziehbarkeit: Wer hat wann welches Dokument archiviert?
• Reproduzierbarkeit: Das Dokument kann jederzeit in lesbarer Form ausgegeben werden
• Verfahrensdokumentation: Der gesamte Archivierungsprozess ist schriftlich dokumentiert
• Prüfbarkeit: Ein externer Prüfer kann die Einhaltung aller Kriterien nachvollziehen

Eigenschaft	Unveränderlicher Speicher	Revisionssicheres Archiv
Daten nicht änderbar	✓	✓
Daten nicht löschbar	✓	✓
Vollständige Protokollierung	Teilweise	✓ (Pflicht)
Verfahrensdokumentation	Nicht erforderlich	✓ (Pflicht)
Auffindbarkeit / Indexierung	Nicht erforderlich	✓ (Pflicht)
Lesbarkeit über gesamte Aufbewahrungsfrist	Nicht garantiert	✓ (Pflicht)
Prüfbarkeit durch Dritte	Nicht garantiert	✓ (Pflicht)

2. Die gesetz­li­chen Grund­la­gen #

Han­dels­ge­setz­buch (HGB) — §§238, 239, 257 #

Das HGB ver­pflich­tet jeden Kauf­mann zur ord­nungs­ge­mä­ßen Buch­füh­rung und Aufbewahrung:

§238 HGB — Buchführungspflicht: Jeder Kauf­mann ist ver­pflich­tet, Bücher zu füh­ren und in die­sen sei­ne Han­dels­ge­schäf­te und die Lage sei­nes Ver­mö­gens nach den Grund­sät­zen ord­nungs­mä­ßi­ger Buch­füh­rung (GoB) ersicht­lich zu machen.

§239 HGB — Füh­rung der Handelsbücher: Die Ein­tra­gun­gen in Büchern und Auf­zeich­nun­gen müs­sen voll­stän­dig, rich­tig, zeit­ge­recht und geord­net vor­ge­nom­men wer­den. Eine Ein­tra­gung oder Auf­zeich­nung darf nicht in einer Wei­se ver­än­dert wer­den, dass der ursprüng­li­che Inhalt nicht mehr fest­stell­bar ist.

§257 HGB — Auf­be­wah­rung von Unterlagen:

Doku­men­ten­typ	Auf­be­wah­rungs­frist
Han­dels­bü­cher, Inven­ta­re, Eröff­nungs­bi­lan­zen, Jahresabschlüsse	10 Jah­re
Emp­fan­ge­ne und abge­sand­te Handelsbriefe	6 Jah­re
Buchungs­be­le­ge	10 Jah­re

Abga­ben­ord­nung (AO) — §§146, 147 #

Die Abga­ben­ord­nung ver­schärft die Anfor­de­run­gen für steu­er­lich rele­van­te Unterlagen:

§146 AO — Ord­nungs­vor­schrif­ten für die Buchführung: Die Buch­füh­rung muss so beschaf­fen sein, dass sie einem sach­ver­stän­di­gen Drit­ten inner­halb ange­mes­se­ner Zeit einen Über­blick über die Geschäfts­vor­fäl­le und die Lage des Unter­neh­mens ver­mit­teln kann.

§147 AO — Ord­nungs­vor­schrif­ten für die Aufbewahrung: Auf­be­wah­rungs­pflich­ti­ge Unter­la­gen müs­sen wäh­rend der gesam­ten Auf­be­wah­rungs­frist jeder­zeit ver­füg­bar, unver­züg­lich les­bar und maschi­nell aus­wert­bar sein. Der Steu­er­pflich­ti­ge muss dem Finanz­amt Zugriff auf die Daten ermög­li­chen (GDPdU-Zugriff / digi­ta­le Betriebsprüfung).

GoBD — Die Kon­kre­ti­sie­rung #

Die Grund­sät­ze zur ord­nungs­mä­ßi­gen Füh­rung und Auf­be­wah­rung von Büchern, Auf­zeich­nun­gen und Unter­la­gen in elek­tro­ni­scher Form sowie zum Daten­zu­griff (GoBD, BMF-Schrei­ben vom 28.11.2019, zuletzt geän­dert durch BMF-Schrei­ben vom 14.07.2025) kon­kre­ti­sie­ren, was HGB und AO für elek­tro­ni­sche Archi­vie­rung bedeuten:

Zen­tra­le GoBD-Anforderungen:

1. Nach­voll­zieh­bar­keit und Nach­prüf­bar­keit (Tz. 36 – 38): Geschäfts­vor­fäl­le müs­sen pro­gres­siv (von Beleg zu Buchung zu Abschluss) und retro­grad (umge­kehrt) nach­voll­zieh­bar sein.

2. Voll­stän­dig­keit (Tz. 40 – 43): Alle auf­zeich­nungs­pflich­ti­gen Geschäfts­vor­fäl­le müs­sen voll­stän­dig erfasst und archi­viert werden.

3. Rich­tig­keit (Tz. 44 – 46): Geschäfts­vor­fäl­le müs­sen inhalt­lich zutref­fend abge­bil­det werden.

4. Zeit­ge­recht­heit (Tz. 47 – 51): Geschäfts­vor­fäl­le müs­sen zeit­nah erfasst wer­den — Bar­ge­schäf­te täg­lich, unba­re Geschäf­te inner­halb von 10 Tagen.

5. Ord­nung (Tz. 52 – 55): Doku­men­te müs­sen sys­te­ma­tisch abge­legt und auf­find­bar sein.

6. Unver­än­der­bar­keit (Tz. 58 – 63): Ein­mal archi­vier­te Doku­men­te dür­fen nicht nach­träg­lich ver­än­dert oder gelöscht wer­den kön­nen. Wenn Kor­rek­tio­nen not­wen­dig sind, muss die ursprüng­li­che Fas­sung erhal­ten bleiben.

7. Ver­fah­rens­do­ku­men­ta­ti­on (Tz. 151 – 155): Der gesam­te Archi­vie­rungs­pro­zess — von der Erfas­sung über die Ver­ar­bei­tung bis zur Auf­be­wah­rung — muss schrift­lich doku­men­tiert sein. Die Ver­fah­rens­do­ku­men­ta­ti­on muss so detail­liert sein, dass ein sach­ver­stän­di­ger Drit­ter den Pro­zess in ange­mes­se­ner Zeit nach­voll­zie­hen kann.

3. Die 10 Kri­te­ri­en der Revi­si­ons­si­cher­heit #

Die fol­gen­den 10 Kri­te­ri­en defi­nie­ren, was ein Archi­vie­rungs­sys­tem revi­si­ons­si­cher macht. Alle 10 müs­sen gleich­zei­tig erfüllt sein — ein teil­wei­ses Erfül­len genügt nicht.

Kri­te­ri­um 1: Ord­nungs­ge­mä­ße Auf­be­wah­rung #

Jedes auf­be­wah­rungs­pflich­ti­ge Doku­ment wird erfasst und archi­viert. Es gibt kei­ne Aus­wahl, kei­ne Aus­nah­me, kein ​„ver­ges­sen”. Der Pro­zess muss sicher­stel­len, dass die Voll­stän­dig­keit der Archi­vie­rung nach­weis­bar ist.

Kri­te­ri­um 2: Voll­stän­dig­keit #

Alle archi­vie­rungs­pflich­ti­gen Infor­ma­tio­nen wer­den voll­stän­dig und ohne Infor­ma­ti­ons­ver­lust archi­viert. Bei gescann­ten Doku­men­ten: ori­gi­nal­ge­treue Wie­der­ga­be. Bei elek­tro­ni­schen Doku­men­ten: ein­schließ­lich aller Metadaten.

Kri­te­ri­um 3: Frü­hest­mög­li­che Archi­vie­rung #

Doku­men­te wer­den zum frü­hest­mög­li­chen Zeit­punkt archi­viert — idea­ler­wei­se bei Ein­gang oder Erstel­lung. Eine ver­zö­ger­te Archi­vie­rung birgt das Risi­ko von Ver­lust oder Manipulation.

Kri­te­ri­um 4: Zuord­nung zum Geschäfts­vor­fall #

Jedes archi­vier­te Doku­ment muss dem zuge­hö­ri­gen Geschäfts­vor­fall ein­deu­tig zuge­ord­net wer­den kön­nen. Die Ver­knüp­fung zwi­schen Beleg, Buchung und Abschluss muss lücken­los nach­voll­zieh­bar sein.

Kri­te­ri­um 5: Unver­än­der­bar­keit #

Ein­mal archi­vier­te Doku­men­te dür­fen weder ver­än­dert noch gelöscht wer­den. Dies ist die tech­ni­sche Kern­for­de­rung. Sie wird durch WORM-Spei­cher (Wri­te Once, Read Many) tech­nisch umgesetzt.

Kri­te­ri­um 6: Schutz vor Ver­lust #

Archi­vier­te Doku­men­te müs­sen wäh­rend der gesam­ten Auf­be­wah­rungs­frist vor Ver­lust geschützt sein — gegen Hard­ware­aus­fäl­le, Cyber­an­grif­fe, phy­si­sche Zer­stö­rung und mensch­li­che Fehler.

Kri­te­ri­um 7: Auf­find­bar­keit #

Jedes archi­vier­te Doku­ment muss inner­halb ange­mes­se­ner Zeit auf­find­bar sein. Das erfor­dert eine sys­te­ma­ti­sche Inde­xie­rung mit rele­van­ten Meta­da­ten (Datum, Doku­ment­typ, Geschäfts­part­ner, Betrag, etc.).

Kri­te­ri­um 8: Repro­du­zier­bar­keit #

Archi­vier­te Doku­men­te müs­sen jeder­zeit in les­ba­rer Form aus­ge­ge­ben wer­den kön­nen — über die gesam­te Auf­be­wah­rungs­frist hin­weg. Das bedeu­tet: Datei­for­ma­te müs­sen lang­zeit­sta­bil sein (PDF/A, TIFF), und die Lese­soft­ware muss über 10+ Jah­re ver­füg­bar sein.

Kri­te­ri­um 9: Nach­voll­zieh­bar­keit #

Der gesam­te Lebens­zy­klus eines Doku­ments — von der Erfas­sung über die Archi­vie­rung bis zum Zugriff — muss lücken­los doku­men­tiert und nach­voll­zieh­bar sein. Jeder Zugriff, jede Such­an­fra­ge, jeder Export wird protokolliert.

Kri­te­ri­um 10: Prüf­bar­keit #

Ein exter­ner Prü­fer (Finanz­amt, Wirt­schafts­prü­fer, inter­ner Audi­tor) muss die Ein­hal­tung aller Kri­te­ri­en nach­voll­zie­hen kön­nen. Das erfor­dert eine voll­stän­di­ge Ver­fah­rens­do­ku­men­ta­ti­on, Zugriffs­pro­to­kol­le und die Mög­lich­keit des maschi­nel­len Zugriffs (Z1‑, Z2- oder Z3-Zugriff nach GDPdU).

Check­lis­te: Ist Ihr Archiv revi­si­ons­si­cher? #

Nr.	Kri­te­ri­um	Erfüllt?
1	Ord­nungs­ge­mä­ße Auf­be­wah­rung aller Pflicht-Dokumente	☐
2	Voll­stän­dig­keit ohne Informationsverlust	☐
3	Frü­hest­mög­li­che Archivierung	☐
4	Zuord­nung zum Geschäftsvorfall	☐
5	Tech­ni­sche Unver­än­der­bar­keit (WORM)	☐
6	Schutz vor Ver­lust (Red­un­danz, Backup)	☐
7	Auf­find­bar­keit (Inde­xie­rung, Suche)	☐
8	Repro­du­zier­bar­keit (lang­zeit­sta­bi­le Formate)	☐
9	Nach­voll­zieh­bar­keit (Audit Trail)	☐
10	Prüf­bar­keit (Ver­fah­rens­do­ku­men­ta­ti­on, GDPdU-Zugriff)	☐

4. WORM-Spei­cher: Die tech­ni­sche Grund­la­ge #

Was ist WORM? #

WORM steht für Wri­te Once, Read Many — ein Spei­cher­prin­zip, bei dem Daten ein­mal geschrie­ben und danach nicht mehr ver­än­dert oder gelöscht wer­den kön­nen. WORM ist die tech­ni­sche Ant­wort auf die GoBD-For­de­rung nach Unveränderbarkeit.

War­um WORM für Revi­si­ons­si­cher­heit unver­zicht­bar ist #

Die GoBD for­dern in Tz. 58 – 63 aus­drück­lich, dass archi­vier­te Doku­men­te nicht nach­träg­lich ver­än­dert wer­den kön­nen. Die­se For­de­rung lässt sich auf zwei Wegen umsetzen:

1. Orga­ni­sa­to­risch: Zugriffs­rech­te so ein­schrän­ken, dass nur bestimm­te Per­so­nen Zugriff haben. Pro­blem: Orga­ni­sa­to­ri­sche Maß­nah­men kön­nen umgan­gen wer­den — durch Admi­nis­tra­to­ren, durch kom­pro­mit­tier­te Cre­den­ti­als, durch mensch­li­che Fehler.

2. Tech­nisch: WORM-Spei­cher, der Ver­än­de­run­gen phy­sisch oder logisch aus­schließt. Vor­teil: Die Unver­än­der­bar­keit ist nicht von mensch­li­cher Dis­zi­plin oder Zugriffs­kon­trol­le abhängig.

Die GoBD akzep­tie­ren bei­de Wege — aber Wirt­schafts­prü­fer und Finanz­be­hör­den bewer­ten tech­ni­sche Unver­än­der­bar­keit deut­lich höher als orga­ni­sa­to­ri­sche. Der Grund: Tech­ni­sche Maß­nah­men sind nach­weis­bar und nicht umgehbar.

WORM-Tech­no­lo­gien im Ver­gleich #

Tech­no­lo­gie	Unver­än­der­bar­keit	Typ	Umgeh­bar?	Com­pli­ance-Eig­nung
Opti­sche Medi­en (CD/DVD/BD)	Phy­sisch	Hard­ware	Nein (Medi­um zer­stör­bar, aber nicht änderbar)	Gut, aber Kapa­zi­tät limitiert
WORM-Tape	Phy­sisch	Hard­ware	Nein	Gut, aber langsam
Hard­ware-WORM (Silent Cubes)	Phy­sisch — auf Firmware-Ebene	Hard­ware	Nein — unab­hän­gig von Software	Sehr gut
Soft­ware-WORM (Object Lock)	Logisch — software-erzwungen	Soft­ware	Ja — mit Admin-Rechten	Bedingt
Cloud-WORM (S3 Object Lock)	Logisch — API-erzwungen	Soft­ware	Ja — mit IAM-Rechten	Bedingt

5. Hard­ware-WORM vs. Soft­ware-WORM #

Der ent­schei­den­de Unter­schied #

Die Unter­schei­dung zwi­schen Hard­ware-WORM und Soft­ware-WORM ist für die Revi­si­ons­si­cher­heit fun­da­men­tal — und wird in der Pra­xis häu­fig ver­wech­selt oder bewusst verwischt.

Hard­ware-WORM #

Defi­ni­ti­on: Unver­än­der­bar­keit wird auf Hard­ware- oder Firm­ware-Ebe­ne erzwun­gen. Sobald Daten geschrie­ben sind, kann kei­ne Soft­ware — kein Betriebs­sys­tem, kein Admi­nis­tra­tor, kein Angrei­fer — die­se Daten ver­än­dern oder löschen. Die Unver­än­der­bar­keit ist eine phy­si­sche Eigen­schaft des Speichersystems.

Eigen­schaf­ten:

• Unver­än­der­bar­keit ist nicht kon­fi­gu­rier­bar und nicht deaktivierbar
• Unab­hän­gig von Betriebs­sys­tem und Software-Stack
• Unab­hän­gig von Benutzerberechtigungen
• Nach­weis­bar für Prü­fer: Das Sys­tem kann nicht ver­än­dern, nicht ​„darf” nicht

Bei­spiel: FAST LTA Silent Cubes — Hard­ware-WORM auf Firm­ware-Ebe­ne. Ein­mal geschrie­be­ne Daten sind phy­sisch unver­än­der­lich. Kein Admi­nis­tra­tor, kein Root-Zugriff, kein Soft­ware-Update kann beschrie­be­ne Daten modifizieren.

Soft­ware-WORM #

Defi­ni­ti­on: Unver­än­der­bar­keit wird durch Soft­ware-Poli­ci­es erzwun­gen — Object Lock, Reten­ti­on Poli­ci­es, Immu­ta­bi­li­ty Flags. Die Unver­än­der­bar­keit ist eine Kon­fi­gu­ra­ti­ons­ein­stel­lung, die von einem pri­vi­le­gier­ten Benut­zer geän­dert wer­den kann.

Eigen­schaf­ten:

• Unver­än­der­bar­keit ist kon­fi­gu­rier­bar (Reten­ti­on-Peri­ode, Policies)
• Abhän­gig von kor­rek­ter Software-Konfiguration
• Abhän­gig von Zugriffs­kon­trol­le: Ein Admi­nis­tra­tor mit aus­rei­chen­den Rech­ten kann Poli­ci­es ändern
• Bei kom­pro­mit­tier­ten Cre­den­ti­als: Schutz aufhebbar

Bei­spie­le: AWS S3 Object Lock, Azu­re Immu­ta­ble Blob Sto­rage, Veri­tas WORM-Volumes

War­um der Unter­schied für Revi­si­ons­si­cher­heit zählt #

Prü­fungs­fra­ge	Hard­ware-WORM	Soft­ware-WORM
Kann ein Admi­nis­tra­tor Daten löschen?	Nein	Ja (mit Roo­t/Ad­min-Rech­ten)
Kann ein Angrei­fer mit gestoh­le­nen Cre­den­ti­als Daten ändern?	Nein	Ja
Kann die Reten­ti­on-Peri­ode nach­träg­lich ver­kürzt werden?	Nein	Ja (abhän­gig von Konfiguration)
Ist die Unver­än­der­bar­keit von Soft­ware-Updates abhängig?	Nein	Ja
Bewer­tung durch Wirtschaftsprüfer	Höchs­te Stufe	Mitt­le­re Stu­fe (mit Einschränkungen)

Für die Pra­xis bedeu­tet das: Soft­ware-WORM erfüllt die GoBD-Anfor­de­run­gen for­mal, solan­ge die orga­ni­sa­to­ri­schen Maß­nah­men (Zugriffs­kon­trol­len, 4‑Au­gen-Prin­zip) doku­men­tiert und durch­ge­setzt wer­den. Hard­ware-WORM erfüllt die Anfor­de­run­gen tech­nisch — unab­hän­gig von orga­ni­sa­to­ri­schen Maß­nah­men. Im Zwei­fel — bei einer Betriebs­prü­fung, bei einem Rechts­streit, bei einem Com­pli­ance-Audit — ist Hard­ware-WORM die belast­ba­re­re Position.

→ Silent Cubes: Hard­ware-WORM für revi­si­ons­si­che­re Archivierung

6. Bran­chen­spe­zi­fi­sche Auf­be­wah­rungs­pflich­ten #

Über­sicht: Auf­be­wah­rungs­fris­ten nach Bran­che und Doku­ment­typ #

Bran­che	Doku­ment­typ	Auf­be­wah­rungs­frist	Rechts­grund­la­ge
Alle Unter­neh­men	Han­dels­bü­cher, Jah­res­ab­schlüs­se, Buchungsbelege	10 Jah­re	§257 HGB, §147 AO
Alle Unter­neh­men	Han­dels­brie­fe (empfangen/​gesendet)	6 Jah­re	§257 HGB
Alle Unter­neh­men	Rech­nun­gen (ein-/aus­ge­hend)	10 Jah­re (§147 AO); §14b UStG seit 2025: 8 Jahre	§147 AO, §14b UStG
Gesund­heits­we­sen	Rönt­gen­auf­nah­men (dia­gnos­tisch)	10 Jah­re	§127 StrlSchV
Gesund­heits­we­sen	Auf­zeich­nun­gen über Rönt­gen­be­hand­lun­gen (Strah­len­the­ra­pie)	30 Jah­re	§85 StrlSchG
Gesund­heits­we­sen	Pati­en­ten­ak­ten (all­ge­mein)	10 Jah­re nach letz­ter Behandlung	§630f BGB
Gesund­heits­we­sen	Pati­en­ten­ak­ten (Min­der­jäh­ri­ge)	Bis 28. Lebensjahr	§630f BGB
Gesund­heits­we­sen	Blut­pro­duk­te-Doku­men­ta­ti­on	30 Jah­re	§14 TFG
Finanz­dienst­leis­ter	Auf­zeich­nun­gen nach WpHG	5 Jah­re	§83 WpHG
Finanz­dienst­leis­ter	Geld­wä­sche-Doku­men­ta­ti­on	5 Jah­re nach Geschäftsbeziehung	§8 GwG
Öffent­li­che Verwaltung	Akten­füh­rung nach Registraturordnung	10 – 30 Jah­re (vari­iert)	Bun­des-/Lan­des­recht
Bau­bran­che	Bau­un­ter­la­gen, Statik	5 Jah­re nach Abnah­me (min­des­tens)	HOAI, Lan­des­bau­ord­nun­gen
Phar­ma	Char­gen­pro­to­kol­le	Mind. 1 Jahr nach Ablauf des Ver­falls­da­tums, mind. 5 Jah­re (der län­ge­re Zeit­raum gilt)	§20 AMWHV

Gesund­heits­we­sen: Beson­de­re Anfor­de­run­gen #

Das Gesund­heits­we­sen hat die kom­ple­xes­ten Aufbewahrungsanforderungen:

• Pati­en­ten­ak­ten: 10 Jah­re nach letz­ter Behand­lung (§630f BGB) — bei Min­der­jäh­ri­gen bis zum 28. Lebensjahr
• Dia­gnos­ti­sche Rönt­gen­auf­nah­men: 10 Jah­re (§127 StrlSchV) — müs­sen ori­gi­nal­ge­treu repro­du­zier­bar sein
• Auf­zeich­nun­gen über Rönt­gen­be­hand­lun­gen (Strah­len­the­ra­pie): 30 Jah­re (§85 StrlSchG) — eine der längs­ten Auf­be­wah­rungs­fris­ten im deut­schen Recht
• Ope­ra­ti­ve Doku­men­ta­ti­on: Lebens­zeit des Pati­en­ten (Emp­feh­lung, kei­ne gesetz­li­che Pflicht)

Tech­ni­sche Kon­se­quenz: Spei­cher­sys­te­me müs­sen über Jahr­zehn­te hin­weg Daten­in­te­gri­tät und Les­bar­keit gewähr­leis­ten. Hard­ware-WORM auf Silent Cubes ist für sol­che Lang­frist-Sze­na­ri­en kon­zi­piert: ener­gie­ef­fi­zi­ent (Ruhe­mo­dus), lang­le­big und mit garan­tier­ter Datenintegrität.

→ Bran­chen­lö­sung Gesundheitswesen

Finanz­dienst­leis­ter: BAIT und MaRisk #

Finanz­in­sti­tu­te müs­sen neben den all­ge­mei­nen Auf­be­wah­rungs­pflich­ten auch die BAIT (Bank­auf­sicht­li­che Anfor­de­run­gen an die IT) und MaRisk (Min­dest­an­for­de­run­gen an das Risi­ko­ma­nage­ment) berück­sich­ti­gen. Die BaFin erwar­tet eine revi­si­ons­si­che­re Archi­vie­rung aller geschäfts­re­le­van­ten Doku­men­te — und prüft dies regelmäßig.

→ Bran­chen­lö­sung Finanzdienstleister

Öffent­li­che Ver­wal­tung: Akten­füh­rung und Aus­son­de­rung #

Behör­den unter­lie­gen beson­de­ren Akten­füh­rungs­pflich­ten. Die Regis­tra­tur­ord­nung des jewei­li­gen Ver­wal­tungs­trä­gers defi­niert Auf­be­wah­rungs­fris­ten und Aus­son­de­rungs­re­geln. Revi­si­ons­si­che­re Archi­vie­rung ist für die Digi­ta­li­sie­rung von Behör­den­ak­ten eine Grundvoraussetzung.

→ Bran­chen­lö­sung Öffent­li­che Verwaltung

7. Revi­si­ons­si­che­re Archi­tek­tur: Refe­renz­mo­dell #

Archi­tek­tur­über­sicht #

Eine revi­si­ons­si­che­re Archi­vie­rungs­ar­chi­tek­tur besteht aus vier Schichten:

┌──────────────────────────────────────────────────────────┐
│  Schicht 1: Erfassung und Indexierung                    │
│  ├── DMS/ECM-System (Dokumentenmanagement)               │
│  ├── Automatische Indexierung (OCR, Metadaten-Extraktion)│
│  ├── Zuordnung zum Geschäftsvorfall                      │
│  └── Formatkonvertierung (→ PDF/A, TIFF)                 │
├──────────────────────────────────────────────────────────┤
│  Schicht 2: Revisionssicherer Speicher                   │
│  ├── Hardware-WORM (Silent Cubes)                        │
│  ├── Physische Unveränderbarkeit                         │
│  ├── Automatische Datenintegritätsprüfung                │
│  └── Energieeffizienter Ruhemodus für Langzeitbetrieb    │
├──────────────────────────────────────────────────────────┤
│  Schicht 3: Schutz und Redundanz                         │
│  ├── Gespiegelte Speichermodule (2-fach oder 3-fach)     │
│  ├── Optionaler zweiter Standort                         │
│  ├── AES-256-Verschlüsselung at-rest                     │
│  └── Physische Sicherheit (Zutrittsschutz, Brandschutz)  │
├──────────────────────────────────────────────────────────┤
│  Schicht 4: Verfahrensdokumentation und Audit            │
│  ├── Schriftliche Verfahrensdokumentation nach GoBD      │
│  ├── Lückenloser Audit Trail (Zugriffe, Suchen, Exporte) │
│  ├── GDPdU-konformer Prüfzugriff                        │
│  └── Regelmäßige interne Audits                          │
└──────────────────────────────────────────────────────────┘

Silent Cubes: Hard­ware-WORM in der Pra­xis Hardware-WORM in der Praxis">#

Silent Cubes ist das WORM-zer­ti­fi­zier­te Archi­vie­rungs­sys­tem von FAST LTA — kon­zi­piert für revi­si­ons­si­che­re Lang­zeit­ar­chi­vie­rung mit mini­ma­lem Betriebsaufwand:

Unver­än­der­bar­keit: Hard­ware-WORM auf Firm­ware-Ebe­ne. Ein­mal geschrie­be­ne Daten sind phy­sisch unver­än­der­lich — kein Admi­nis­tra­tor, kein Root-Zugriff, kein Soft­ware-Update kann sie ändern.

Lang­zeit­be­trieb: Ener­gie­ef­fi­zi­en­ter Ruhe­mo­dus — Silent Cubes benö­ti­gen im Ruhe­zu­stand nur 3 Watt. Kon­zi­piert für Auf­be­wah­rungs­fris­ten von 10+ Jah­ren ohne Hardware-Wechsel.

Daten­in­te­gri­tät: Auto­ma­ti­sche Inte­gri­täts­prü­fung (Self-Heal­ing). Beschä­dig­te Daten­blö­cke wer­den auto­ma­tisch aus der Spie­gel­ko­pie repa­riert — ohne manu­el­len Eingriff.

Kapa­zi­tät: Ska­lier­bar von weni­gen Tera­byte bis zu Peta­byte-Umge­bun­gen. Über 50 Mil­lio­nen archi­vier­te Doku­men­te in Kundeninstallationen.

Kom­pa­ti­bi­li­tät: Inte­gra­ti­on über Stan­dard-Schnitt­stel­len (CIFS/SMB, NFS) mit allen gän­gi­gen DMS/ECM-Sys­te­men: d.velop, ELO, Docu­Wa­re, SER, wind­ream, Open­Text und anderen.

→ Silent Cubes: Tech­ni­sche Details → Demo ver­ein­ba­ren

Inte­gra­ti­on mit DMS/ECM-Sys­te­men #

Revi­si­ons­si­cher­heit ent­steht nicht allein durch den Spei­cher — sie ent­steht im Zusam­men­spiel von DMS (Doku­men­ten­ma­nage­ment-Sys­tem) und WORM-Speicher:

Auf­ga­be	DMS/ECM-Sys­tem	WORM-Spei­cher (Silent Cubes)
Inde­xie­rung und Suche	✓	—
For­mat­kon­ver­tie­rung (PDF/A)	✓	—
Zuord­nung zum Geschäftsvorfall	✓	—
Unver­än­der­ba­re Speicherung	—	✓
Lang­fris­ti­ge Datenintegrität	—	✓
Audit Trail	✓ (Zugrif­fe)	✓ (Spei­cher­ope­ra­tio­nen)
Ver­fah­rens­do­ku­men­ta­ti­on	✓	✓ (Sys­tem­do­ku­men­ta­ti­on)

8. Häufige Fehler bei der Umsetzung #

Fehler 1: „Unser Fileserver ist unser Archiv” #

Ein Fileserver mit Zugriffsrechten ist kein revisionssicheres Archiv. Dateien können von Administratoren geändert oder gelöscht werden. Es gibt keine technische Unveränderbarkeit, keine Verfahrensdokumentation, keine Indexierung im Sinne der GoBD. Bei einer Betriebsprüfung wird ein Fileserver als Archivierungslösung nicht akzeptiert.

Fehler 2: Software-WORM ohne organisatorische Maßnahmen #

Software-WORM (Object Lock, Immutable Storage) erfüllt die GoBD formal — aber nur in Kombination mit dokumentierten organisatorischen Maßnahmen: 4-Augen-Prinzip, Zugriffsprotokollierung, getrennte Administratorkonten. Ohne diese Maßnahmen ist Software-WORM vor einem Prüfer schwer zu verteidigen.

Fehler 3: Keine Verfahrensdokumentation #

Die GoBD verlangen eine schriftliche Verfahrensdokumentation (Tz. 151–155). Ohne sie ist keine Archivierung revisionssicher — unabhängig von der Technologie. Die Verfahrensdokumentation muss beschreiben: Welche Dokumente werden archiviert? Wie werden sie erfasst und indexiert? Welche Speichertechnologie wird eingesetzt? Wie wird die Unveränderbarkeit sichergestellt? Wer ist verantwortlich?

Fehler 4: Aufbewahrungsfristen nicht systematisch gemanagt #

Viele Unternehmen bewahren entweder alles unbegrenzt auf (Speicherkosten, DSGVO-Risiko) oder löschen zu früh (Compliance-Risiko). Ein systematisches Retention Management mit definierten Fristen je Dokumentkategorie ist Pflicht.

Fehler 5: Lesbarkeit über die Aufbewahrungsfrist nicht sichergestellt #

Ein Dokument, das in 10 Jahren nicht mehr gelesen werden kann, ist nicht revisionssicher archiviert. Proprietäre Dateiformate, abgekündigte Software und inkompatible Speichermedien sind häufige Ursachen. Empfehlung: Archivierung in langzeitstabilen Formaten (PDF/A, TIFF) und auf Hardware, die für Langzeitbetrieb ausgelegt ist.

Fehler 6: DSGVO-Löschpflichten ignoriert #

Revisionssicherheit (= nicht löschen) und DSGVO (= auf Anfrage löschen) stehen in einem Spannungsverhältnis. Die Lösung: Aufbewahrungspflichten gehen vor, solange sie bestehen. Nach Ablauf der Aufbewahrungsfrist greift die DSGVO-Löschpflicht. Das erfordert ein Archivierungssystem, das Aufbewahrungsfristen verwalten und nach Fristablauf gezielt löschen kann — auch auf WORM-Speicher.

9. Hand­lungs­emp­feh­lun­gen #

Schritt-für-Schritt zur revi­si­ons­si­che­ren Archi­vie­rung #

Schritt	Maß­nah­me	Zeit­rah­men
1	Doku­men­ten­in­ven­tar: Wel­che auf­be­wah­rungs­pflich­ti­gen Doku­men­te gibt es?	1 – 2 Wochen
2	Auf­be­wah­rungs­fris­ten zuord­nen: Je Doku­ment­ka­te­go­rie die kor­rek­te Frist ermitteln	1 Woche
3	IST-Ana­ly­se: Aktu­el­le Archi­vie­rungs­pra­xis gegen die 10 Kri­te­ri­en prüfen	1 Woche
4	Ver­fah­rens­do­ku­men­ta­ti­on erstel­len: Archi­vie­rungs­pro­zess schrift­lich dokumentieren	2 – 4 Wochen
5	WORM-Spei­cher ein­füh­ren: Hard­ware-WORM für tech­ni­sche Unveränderbarkeit	4 – 8 Wochen
6	DMS/ECM inte­grie­ren: Erfas­sung, Inde­xie­rung und Suche automatisieren	4 – 12 Wochen
7	Alt­da­ten migrie­ren: Bestehen­de Archi­ve in das neue Sys­tem überführen	2 – 8 Wochen
8	Betrieb und Audit: Regel­mä­ßi­ge inter­ne Audits, Aktua­li­sie­rung der Verfahrensdokumentation	Lau­fend

Was Sie die­se Woche tun kön­nen #

1. Prü­fen Sie Ihre Ver­fah­rens­do­ku­men­ta­ti­on: Exis­tiert sie? Ist sie aktu­ell? Wenn die Ant­wort ​„nein” ist, star­ten Sie dort.
2. Lis­ten Sie Ihre Archi­ve auf: Wo lie­gen auf­be­wah­rungs­pflich­ti­ge Doku­men­te? File­ser­ver, E‑Mail-Archiv, DMS, Papierordner?
3. Fra­gen Sie Ihren Steu­er­be­ra­ter: Wie wür­de eine Betriebs­prü­fung Ihre aktu­el­le Archi­vie­rung bewerten?

→ Kos­ten­lo­ses Bera­tungs­ge­spräch anfragen → Silent Cubes: Hard­ware-WORM kennenlernen