Unver­än­der­lich­keit: Was es ist und was nicht #

Was Unver­än­der­lich­keit leis­tet #

(Wri­te Once Read Many) Spei­cher oder Hard­ware- Garantiert:

  • Daten kön­nen nach dem Schrei­ben nicht gelöscht werden
  • Daten kön­nen nicht ver­än­dert werden
  • Auch Root/​Admin kön­nen das nicht (Hard­ware-)
  • Daten sind über lan­ge Zeit (7 – 30+ Jah­re) persistent

Das ist tech­nisch stark und erfüllt die Anfor­de­rung zu Unver­än­der­lich­keit (Tz. 58 – 63).

Was Unver­än­der­lich­keit NICHT leis­tet #

garan­tiert NICHT:

  • Auf­find­bar­keit: Ich habe 10 Mil­lio­nen Datei­en. Wie fin­de ich die Rech­nung von März 2021?”
  • Repro­du­zier­bar­keit: Kann ich die Datei öff­nen? Mit wel­chem Pro­gramm? Ist die Datei­form noch les­bar in 10 Jahren?”
  • Kor­rekt­heit: Die Daten sind unver­än­der­lich, aber sind sie auch kor­rekt? Hat jemand kor­rum­pier­te Daten geschrieben?”
  • Ver­fah­rens­do­ku­men­ta­ti­on: Wie wur­den die Daten erfasst? Wer hat­te Zugriff? Wie wur­de Qua­li­tät überprüft?”
  • Prü­fer-Ver­ständ­nis: Ein WP kann die rohen -Daten nicht nut­zen. Er braucht Struk­tur, Meta­da­ten, Erklärung.”

Die 6 Anfor­de­run­gen: Wo Unver­än­der­lich­keit rein­passt #

Revi­si­ons­si­cher­heit nach HGB/​AO/​ braucht:

#Anfor­de­rungUnver­än­der­lich­keit leis­tet das?Wie umge­setzt
1**Voll­stän­dig­keit**NeinErfas­sungs-Kon­trol­len, Duplikat-Check
2**Kor­rekt­heit**NeinDaten­va­li­die­rung, Plausibilität-Checks
3**Zeit­ge­recht­heit**NeinZeit­stem­pel-Erfas­sung, Audit Logs
4**Ord­nungs­ge­mäß­heit**Teil­wei­seVer­fah­rens­do­ku­men­ta­ti­on (GoBD Tz. 151 – 155)
5**Unver­än­der­bar­keit**JA!WORM-Spei­cher (GoBD Tz. 58 – 63)
6**Ver­füg­bar­keit**NeinInde­xie­rung, DMS, Recovery-Tests

Unver­än­der­lich­keit (Anfor­de­rung 5) ist tech­nisch sehr wich­tig. Aber die ande­ren 5 Anfor­de­run­gen müs­sen auch erfüllt werden.

Prü­fer-Per­spek­ti­ve: Was ein WP tat­säch­lich über­prüft #

Ein Wirt­schafts­prü­fer bei der Audit führt die­se Prü­fun­gen durch:

1. Auf­find­bar­keit-Test: Zei­gen Sie mir alle Rech­nun­gen von April 2023.”

  • -Only: Hier sind 50 Mil­lio­nen Datei­en-Blobs. Fin­den Sie selber…”
  • Revi­si­ons­si­cher: Hier ist der DMS-Report mit 347 Rech­nun­gen von April 2023, sor­tiert nach Kun­den­num­mer und Betrag.”

2. Unver­än­der­lich­keits-Test: Veri­fi­zie­ren Sie, dass die­se Daten nicht geän­dert wur­den seit Archivierung.”

  • : Ja, -Zer­ti­fi­kat zeigt: schreib­ge­schützt seit 15.04.2023, 14:32:15.”
  • WP: Akzep­tiert.”

3. Ver­fah­rens-Test: Zei­gen Sie mir die Ver­fah­rens­do­ku­men­ta­ti­on für Ihre Archivierung.”

  • -Only: Wir haben ein exter­nes -Sys­tem. Punkt.”
  • Revi­si­ons­si­cher: Hier ist unse­re Ver­fah­rens­do­ku­men­ta­ti­on (Tz. 151 – 155): Erfas­sungs­pro­zess, Work­flow-Kon­trol­len, Auto­ri­sie­run­gen, Feh­ler­be­hand­lung, Archi­vie­rungs­rei­hen­fol­ge, Auf­be­wah­rungs­fris­ten, Zugriffs­kon­trol­le, Verantwortlichkeiten.”

4. Daten­in­te­gri­täts-Test: Wie veri­fi­zie­ren Sie, dass Daten kor­rekt sind?”

  • -Only: Wir archi­vie­ren alles. Ob es kor­rekt ist, wis­sen wir nicht.”
  • Revi­si­ons­si­cher: Wir vali­die­ren vor Archi­vie­rung (For­mat, Plau­si­bi­li­tät, Dupli­ka­te), und wir tes­ten quar­tals­wei­se Wiederherstellbarkeit.”

Prak­ti­sches Sze­na­rio #

Sze­na­rio: Ein Unter­neh­men mit rei­ner -Lösung wird geprüft.

Situa­ti­on:

  • Mil­lio­nen von Datei­en auf -Hardware
  • Unkon­trol­lier­te Spei­che­rung (Daten­blö­cke, nicht lesbar)
  • Kei­ne Metadaten
  • Kei­ne Verfahrensdokumentation

WP-Fra­ge: Zei­gen Sie mir ein Sam­ple von Rech­nun­gen von Janu­ar 2022.”

Ant­wort (ohne Revi­si­ons­si­cher­heit): Wir müs­sen die Raw-Daten aus zie­hen, dann deko­die­ren, dann mit ande­ren Sys­te­men abglei­chen. Das dau­ert 3 Tage.”

WP-Ein­druck: Die­ses Unter­neh­men hat Daten archi­viert, aber kann sie nicht effi­zi­ent nut­zen. Das ist ein Anzei­chen von Prozess-Schwäche.”

Alter­na­ti­ver WP-Ein­druck (mit Revi­si­ons­si­cher­heit): Zei­gen Sie mir ein Sam­ple.” Ant­wort (mit Revi­si­ons­si­cher­heit): Hier ist das DMS-Report mit allen Rech­nun­gen von Janu­ar 2022, sor­tiert. 156 Rech­nun­gen, Gesamt­sum­me 542.300 EUR. -Zer­ti­fi­kat zeigt Unver­än­der­bar­keit seit Archivierung.”

WP-Ein­druck: Die­ses Unter­neh­men hat ein struk­tu­rier­tes Archiv-Sys­tem mit nach­weis­ba­rer Kontrolle.”

Der Unter­schied in WP-Ver­trau­en ist riesig.

Wie Revi­si­ons­si­cher­heit Unver­än­der­lich­keit nutzt #

Revi­si­ons­si­cher­heit sagt nicht Ver­ges­sen Sie ”. Im Gegenteil:

Revisionssicheres System
│
├── Online DMS
│   ├── Erfassung (Scanner, APIs, Manuelle Eingabe)
│   ├── Metadaten (Datum, Kundennummer, Betrag, Bearbeiter)
│   ├── Workflow (Genehmigung, Validierung)
│   └── Indexierung (für schnelle Auffindbarkeit)
│
└── Archiv (mit )
    ├── Tiered Storage (Tier 1 Online + Tier 2 Air-Gap + Tier 3 -Archive)
    ├── Unveränderlichkeit (-Hardware schreibgeschützt)
    ├── Langzeit-Verfügbarkeit (Bitstream Preservation)
    └── Verfahrensdokumentation (wer, wann, wie, mit welcher Kontrolle)

DMS lie­fert Struk­tur und Auf­find­bar­keit. lie­fert Unver­än­der­lich­keit. Zusam­men = .

Häu­fi­ge Feh­ler #

Feh­ler 1: = Nein. ist eine not­wen­di­ge Kom­po­nen­te, aber nicht ausreichend.

Feh­ler 2: Unver­än­der­lich­keit ist Compliance” Nein. Com­pli­ance ist nach­weis­bar. Unver­än­der­lich­keit ist eine Eigenschaft.

Feh­ler 3: Wir brau­chen kein DMS, wenn wir  haben” Falsch. Ein DMS ist essen­ti­ell für Auf­find­bar­keit und Verfahrensdokumentation.

Feh­ler 4: Unse­re Cloud ist , also revisionssicher” Nicht auto­ma­tisch. Cloud- ist ein Anfang, aber Ver­fah­rens­do­ku­men­ta­ti­on und Auf­find­bar­keit müs­sen auch vor­han­den sein.

Häu­fi­ge Fra­gen #

Kön­nen wir mit Soft­ware- revi­si­ons­si­cher sein? Ja, aber schwä­cher. Soft­ware- (Datei­sys­tem-Level) kann mit Admin-Rech­ten umgan­gen wer­den. Für Revi­si­ons­si­cher­heit braucht man zusätz­lich orga­ni­sa­to­ri­sche Kon­trol­len (Tren­nung von Duty, Audit-Logs).

Ist -Con­for­mance das Glei­che wie ? Nein. schützt Daten­schutz (Lösch­recht, Zweck­be­gren­zung). Revi­si­ons­si­cher­heit schützt Audit-Inte­gri­tät (Beweis­bar­keit).

Disclaimer

Dieser Beitrag wurde redaktionell erstellt und mit KI-Unterstützung aufbereitet. Er gibt einen allgemeinen Überblick und stellt keine Rechtsberatung dar – für Ihre konkrete Situation empfehlen wir professionellen Rat.