---
title: Revisionssicherheit
date: 2026-06-01T17:22:00+02:00
canonical_url: "https://www.fast-lta.de//de/glossar/revisionssicherheit"
section: Glossar
---
Revi­si­ons­si­cher­heit ist kei­ne optio­na­le IT-Anfor­de­rung, son­dern gesetz­li­che Pflicht. Die recht­li­chen Grund­la­gen bil­den das Han­dels­ge­setz­buch (HGB §§238, 239, 257), die Abga­ben­ord­nung (AO §§146, 147) und die GoBD (Grund­sät­ze zur ord­nungs­mä­ßi­gen Füh­rung und Auf­be­wah­rung von Büchern, Auf­zeich­nun­gen und Unter­la­gen in elek­tro­ni­scher Form). Kauf­leu­te sind ver­pflich­tet, steu­er­re­le­van­te Unter­la­gen für 6 bzw. 10 Jah­re unver­än­der­lich auf­zu­be­wah­ren — Rech­nun­gen, Buchungs­be­le­ge, Han­dels­bü­cher, Jahresabschlüsse.

Revi­si­ons­si­cher­heit ist dabei mehr als Unver­än­der­lich­keit. Ein revi­si­ons­si­che­res Archiv erfüllt zehn kumu­la­ti­ve Kri­te­ri­en: ord­nungs­ge­mä­ße Auf­be­wah­rung aller Pflicht­do­ku­men­te, Voll­stän­dig­keit ohne Infor­ma­ti­ons­ver­lust, frü­hest­mög­li­che Archi­vie­rung, Zuord­nung zum Geschäfts­vor­fall, tech­ni­sche Unver­än­der­bar­keit (WORM), Schutz vor Ver­lust, Auf­find­bar­keit durch sys­te­ma­ti­sche Inde­xie­rung, Repro­du­zier­bar­keit in les­ba­rer Form über die gesam­te Auf­be­wah­rungs­frist, Nach­voll­zieh­bar­keit durch lücken­lo­se Zugriffs­pro­to­kol­le sowie Prüf­bar­keit durch eine voll­stän­di­ge Ver­fah­rens­do­ku­men­ta­ti­on nach GoBD Tz. 151 – 155. Alle zehn Kri­te­ri­en müs­sen gleich­zei­tig erfüllt sein — ein teil­wei­ses Erfül­len genügt nicht.

Die häu­figs­ten Feh­ler in der Pra­xis: File­ser­ver ohne tech­ni­sche Unver­än­der­bar­keit wer­den als Archiv betrie­ben, Soft­ware-WORM wird ohne die erfor­der­li­chen orga­ni­sa­to­ri­schen Maß­nah­men ein­ge­setzt, die Ver­fah­rens­do­ku­men­ta­ti­on fehlt voll­stän­dig, Auf­be­wah­rungs­fris­ten wer­den nicht sys­te­ma­tisch gema­nagt, oder die Les­bar­keit über die gesam­te Auf­be­wah­rungs­frist wird nicht sicher­ge­stellt. Bei einer Betriebs­prü­fung kann das Finanz­amt die Ord­nungs­mä­ßig­keit der Buch­füh­rung ver­wer­fen (§158 AO) und Besteue­rungs­grund­la­gen schät­zen — regel­mä­ßig zu Unguns­ten des Steuerpflichtigen.

Bran­chen­spe­zi­fi­sche Beson­der­hei­ten ver­schär­fen die Anfor­de­run­gen: Im Gesund­heits­we­sen müs­sen Rönt­gen­bil­der 30 Jah­re auf­be­wahrt wer­den (§10 RöV), Pati­en­ten­ak­ten 10 Jah­re nach letz­ter Behand­lung (§630f BGB), Blut­pro­duk­te-Doku­men­ta­ti­on 30 Jah­re (§14 TFG). In der Finanz­bran­che ver­lan­gen BAIT und DORA nach­weis­ba­re Inte­gri­tät von Back­up- und Archiv­da­ten. In der öffent­li­chen Ver­wal­tung gel­ten Lan­des­ar­chiv­ge­set­ze und ver­gleich­ba­re Anforderungen.

### GoBD

Die GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff) sind ein BMF-Schreiben, das konkretisiert, wie steuerrelevante Dokumente in Deutschland elektronisch archiviert werden müssen — insbesondere hinsichtlich Unveränderlichkeit, Vollständigkeit und Prüfbarkeit.

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/gobd)

### GoBD

Die GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff) sind ein BMF-Schreiben, das konkretisiert, wie steuerrelevante Dokumente in Deutschland elektronisch archiviert werden müssen — insbesondere hinsichtlich Unveränderlichkeit, Vollständigkeit und Prüfbarkeit.

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/gobd)

### WORM

WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien.

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm)

### WORM

WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien.

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm)

### DORA

DORA (Digital Operational Resilience Act, EU 2022/2554) ist eine EU-Verordnung, die seit Januar 2025 für alle regulierten Finanzmarktteilnehmer gilt und konkrete Anforderungen an IKT-Risikomanagement, Backup-Systeme (Art. 11 und 12), Drittanbieter-Management (Art. 28–30) sowie Incident-Meldung stellt.

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/dora)

 

## Fragen und Antworten

#### Was passiert, wenn mein Archiv nicht revisionssicher ist?

Das Finanzamt kann die Ordnungsmäßigkeit der Buchführung nach §158 AO verwerfen. Die Folge ist eine Schätzung der Besteuerungsgrundlagen — typischerweise zu Ungunsten des Steuerpflichtigen. Zusätzlich drohen Bußgelder. In schwerwiegenden Fällen, bei denen eine bewusste Manipulation vorliegt, kann die Staatsanwaltschaft eingeschaltet werden (Steuerhinterziehung, §370 AO).

#### Was ist eine Verfahrensdokumentation nach GoBD?

Die Verfahrensdokumentation (GoBD Tz. 151–155) beschreibt den vollständigen Archivierungsprozess: Welche Dokumente werden erfasst, wie werden sie verarbeitet (Indexierung, Formatkonvertierung), wo werden sie gespeichert, wie wird die Unveränderbarkeit sichergestellt, wer ist verantwortlich. Die GoBD verlangen, dass ein sachverständiger Dritter den gesamten Prozess in angemessener Zeit nachvollziehen kann. Ohne Verfahrensdokumentation ist kein Archiv revisionssicher — unabhängig von der eingesetzten Technologie.

#### Reicht ein Cloud-Archiv für Revisionssicherheit aus?

Grundsätzlich ja — wenn der Cloud-Dienst WORM-Funktionalität bietet, die Verfahrensdokumentation vollständig ist und die organisatorischen Maßnahmen dokumentiert und durchgesetzt werden. Allerdings ist Software-WORM in der Cloud mit Admin-Rechten umgehbar. Hardware-WORM bietet die belastbarere Position, da keine Software die Unveränderbarkeit aufheben kann. Zudem muss die DSGVO-Konformität des Cloud-Anbieters sichergestellt sein.