Drei Anbieter, drei Präsentationen, drei Mal das Wort revisionssicher auf der ersten Folie. Dazu Zertifikatslogos, Referenzlisten und das Versprechen, sämtliche gesetzliche Anforderungen abzudecken. So sieht ein typischer Auswahlprozess für Software zur revisionssicheren Archivierung aus. Und genau hier beginnt das Problem.
Denn revisionssicher ist keine geschützte Produkteigenschaft. Kein Gesetz definiert, welche Software dieses Etikett tragen darf, und keine Behörde vergibt ein Siegel dafür. Die GoBD machen die Ordnungsmäßigkeit der elektronischen Aufbewahrung ausdrücklich vom Zusammenspiel aus Software, Konfiguration, Prozessen und Verfahrensdokumentation abhängig. Eine Software kann revisionssichere Archivierung ermöglichen. Garantieren kann sie sie nicht.
In Auswahlprojekten mit IT-Leitern und Compliance-Verantwortlichen aus Fertigung, Medizintechnik und Maschinenbau zeigt sich immer wieder dasselbe Muster: Entschieden wird nach Zertifikatslogo und Lizenzpreis. Die Fragen, die im Audit oder im Haftungsfall tatsächlich zählen, tauchen im Lastenheft gar nicht erst auf. Wer liest die Daten in 15 Jahren, wenn der Hersteller den Support einstellt? Kann die Fachabteilung ohne IT-Ticket zugreifen? Lässt sich das Altsystem nach der Migration wirklich abschalten?
Dieser Artikel liefert den Anforderungskatalog für die Auswahl: 12 Kriterien, an denen sich Software für revisionssichere Archivierung messen lassen muss, die 5 häufigsten Auswahlfehler und eine ehrliche Betrachtung der Kosten.
DAS WICHTIGSTE IN KÜRZE
|
KURZ ZUSAMMENGEFASST
|
Der Markt suggeriert, Revisionssicherheit ließe sich kaufen, installieren und abhaken. Rechtlich funktioniert das nicht, und wer den Auswahlprozess auf dieser Annahme aufbaut, prüft die falschen Dinge.
Maßgeblich sind die GoBD, konkretisiert im BMF-Schreiben vom 28.11.2019. Sie knüpfen die Ordnungsmäßigkeit der elektronischen Aufbewahrung nicht an ein Produkt, sondern an das Gesamtverfahren: Wie entstehen die Daten, wie werden sie indiziert, gespeichert, vor Veränderung geschützt und über die gesamte Frist wiedergegeben? Genau das muss die Verfahrensdokumentation nach GoBD Rz. 151 ff. nachvollziehbar beschreiben. Fehlt sie oder ist sie veraltet, kann die Buchführung formell beanstandet werden, unabhängig davon, wie gut die eingesetzte Software ist.
Verbreitet sind Softwarebescheinigungen nach IDW PS 880: Ein Wirtschaftsprüfer testiert, dass ein Produkt bei sachgerechtem Einsatz die Anforderungen erfüllen kann. Das ist ein sinnvolles Signal im Auswahlprozess, aber kein Freibrief. Die Bescheinigung prüft das Produkt im Ausgangszustand, nicht Ihre Konfiguration, Ihre Prozesse und Ihre Dokumentation.
| Nachweis | Was er belegt | Was er nicht belegt |
|---|---|---|
| Softwarebescheinigung (IDW PS 880) | Das Produkt kann bei sachgerechtem Einsatz die Anforderungen erfüllen | Dass Ihr konkreter Betrieb, Ihre Konfiguration und Ihre Prozesse ordnungsgemäß sind |
| Herstellerangabe »revisionssicher« | Eine Marketingaussage ohne rechtlich definierte Grundlage | Irgendetwas. Der Begriff ist nicht geschützt und wird nicht behördlich vergeben |
| Verfahrensdokumentation (GoBD Rz. 151 ff.) | Das nachvollziehbare Gesamtverfahren von der Entstehung bis zur Wiedergabe der Daten | Sie muss gepflegt werden. Eine veraltete Dokumentation ist im Audit fast so kritisch wie eine fehlende |
In Betriebsprüfungen wird regelmäßig zuerst die Verfahrensdokumentation angefordert, nicht das Zertifikat. Und die Fristen setzen den Maßstab für die Softwareauswahl: Steuerrelevante Daten müssen nach AO §147 zehn Jahre aufbewahrt werden, Lohnunterlagen je nach Kategorie bis zu 30 Jahre, Qualitätsdaten in der Automobilindustrie nach IATF 16949 Abschnitt 7.5 mindestens 15 Jahre. Ihre Archivierungssoftware muss ein Verfahren tragen, das mehrere Hardwaregenerationen, Systemwechsel und vermutlich auch den einen oder anderen Herstellerwechsel überlebt.
Für die Auswahl heißt das: Prüfen Sie nicht, ob ein Anbieter das Wort revisionssicher verwendet. Prüfen Sie, ob die Software das Verfahren tragen kann, das Sie dokumentieren müssen.
Ein belastbares Lastenheft trennt drei Ebenen: rechtliche Kriterien, die über die Auditfähigkeit entscheiden, technische Kriterien, die über die Nutzbarkeit im Alltag und über die Langzeitlesbarkeit entscheiden, und wirtschaftliche Kriterien, die über die Gesamtkosten entscheiden. Die folgende Matrix enthält zu jedem Kriterium die Prüffrage, die Sie jedem Anbieter schriftlich stellen sollten.
| Nr. / Kriterium | Warum es entscheidend ist | Prüffrage an den Anbieter |
|---|---|---|
| 1 · Unveränderbarkeit (rechtlich) | GoBD und HGB §257 fordern, dass archivierte Daten nicht unbemerkt geändert oder gelöscht werden können | Wie wird Unveränderbarkeit technisch erzwungen, und lässt sich der Schutz administrativ umgehen? |
| 2 · Lückenlose Protokollierung (rechtlich) | Ohne Audit Trail ist der Nachweis der Integrität im Prüfungsfall nicht führbar | Wird jede Operation mit Nutzer, Zeitstempel und Inhalt protokolliert, und ist das Protokoll selbst manipulationsgeschützt? |
| 3 · Fristen und Löschnachweis (rechtlich) | DSGVO Art. 5 und 17 fordern die Löschung personenbezogener Daten nach Zweckwegfall, inklusive Nachweis. Verstöße kosten bis zu 4% des Jahresumsatzes oder 20 Mio. Euro | Können Aufbewahrungs- und Löschregeln je Datenkategorie hinterlegt werden, und erzeugt die Löschung einen prüffähigen Nachweis? |
| 4 · Vollständigkeit und Auswertbarkeit (rechtlich) | Die GoBD verlangen vollständige und maschinell auswertbare Aufbewahrung, nicht nur Ablage | Wie wird die Vollständigkeit der Übernahme nachgewiesen, und bleiben die Daten strukturiert auswertbar? |
| 5 · Offenes, dokumentiertes Archivformat (technisch) | Fristen von 10 bis 30 Jahren überdauern Softwareprodukte. Proprietäre Formate machen Daten nach Supportende unlesbar | Sind die archivierten Daten ohne Ihre Software vollständig lesbar, und ist das Format offengelegt? |
| 6 · Herstellerunabhängigkeit (technisch) | Quellsysteme wechseln. Die Archivierung darf nicht an einer Datenbank oder einem ERP hängen | Welche Quellsysteme werden unterstützt: Oracle, SAP, MS SQL, Cloud, On-Premise? |
| 7 · Recherche ohne IT-Ticket (technisch) | Wenn jeder Zugriff über die IT läuft, wird das Archiv im Alltag nicht genutzt und im Audit zum Engpass | Können Fachabteilungen eigenständig und rollenbasiert recherchieren? |
| 8 · Skalierbarkeit und Performance (technisch) | Untersuchungen zeigen, dass über 80% der Daten in Produktivdatenbanken inaktiv sind. Das Archiv muss dieses Volumen dauerhaft aufnehmen | Wie verhält sich die Recherchegeschwindigkeit bei wachsendem Archivbestand über Jahre? |
| 9 · Schnittstellen und Automatisierung (technisch) | Archivierung muss regelbasiert laufen, nicht als manueller Sonderprozess | Welche Schnittstellen existieren, und lassen sich Archivierungsläufe regelbasiert automatisieren? |
| 10 · Application Retirement (wirtschaftlich) | Altsysteme, die nur für den Datenzugriff weiterlaufen, kosten Lizenz, Wartung und Sicherheitsaufwand | Kann der komplette Datenbestand eines Altsystems übernommen werden, sodass das System abgeschaltet wird? |
| 11 · Migrationsaufwand und Projektlaufzeit (wirtschaftlich) | Ein Archivprojekt, das die IT über Monate bindet, frisst die Einsparungen auf | Wie lange dauert ein typisches Projekt, und welche internen Ressourcen werden benötigt? |
| 12 · Betriebskosten und Wartung (wirtschaftlich) | Die Lösung läuft über Jahrzehnte. Laufende Kosten schlagen jeden einmaligen Preisvorteil | Welche Kosten fallen im Betrieb an: Wartung, Speicher, Administration, Updates? |
Die Faustregel für die Gewichtung: Kriterium 5 ist das Ausschlusskriterium. Wenn die archivierten Daten nur mit der Software des Anbieters lesbar sind, tauschen Sie die Abhängigkeit vom Altsystem gegen die Abhängigkeit vom Archivhersteller. Das ist keine Lösung, das ist eine Verlagerung.
WANN EINE SOFTWARE REVISIONSSICHER BETRIEBEN WERDEN KANN
|
Die meisten Fehlentscheidungen passieren nicht bei der Technik, sondern im Auswahlprozess selbst. Fünf Muster tauchen in der Praxis immer wieder auf.
Ein Anbieter legt eine Bescheinigung vor, und die Prüfung der Einzelkriterien unterbleibt. Wie oben gezeigt, testiert eine Bescheinigung nach IDW PS 880 das Produkt, nicht Ihren Betrieb. Sie ersetzt weder die 12 Prüffragen noch die Verfahrensdokumentation. Behandeln Sie das Zertifikat als Eintrittskarte in die Auswahlrunde, nicht als deren Ergebnis.
Der Klassiker: Es existiert eine funktionierende Datensicherung, also scheint das Thema erledigt. Ein Backup dient der Wiederherstellung nach Datenverlust und wird typischerweise nach 30 bis 90 Tagen überschrieben. Es ist veränderbar, nicht protokolliert und nicht für den gezielten Einzelzugriff über 10 Jahre ausgelegt. Was der Unterschied im Haftungsfall konkret kostet, zeigt der Artikel zu den Kosten der Nicht-Archivierung im Detail.
Der teuerste Fehler, weil er erst nach Jahren sichtbar wird. Die Daten sind ordnungsgemäß archiviert, aber der Hersteller stellt das Produkt ein, wird übernommen oder ändert das Lizenzmodell. Nach 10 bis 25 Jahren Aufbewahrungsfrist ist die Wahrscheinlichkeit hoch, dass mindestens eines dieser Ereignisse eintritt. Ohne offenes Format stehen Sie dann vor einer zweiten Migration, unter Zeitdruck und ohne Alternative.
Ausgewählt wird von der IT, gearbeitet wird im Qualitätswesen, im Controlling und im Einkauf. Wenn dort niemand eigenständig recherchieren kann, läuft künftig jede Behördenanfrage, jede Auditvorbereitung und jede Reklamation als IT-Ticket auf. Das kostet in beiden Abteilungen Zeit und macht das Archiv im Alltag zum ungeliebten Sonderfall.
Viele Archivprojekte starten wegen eines konkreten Altsystems, lösen aber nur die Datenfrage und lassen das System weiterlaufen, aus Compliance-Gründen. Damit bleiben Lizenz-, Wartungs- und Infrastrukturkosten bestehen, dazu das Sicherheitsrisiko ungepatchter Software. Wer die Abschaltung von Beginn an als Projektziel definiert, holt den größten Kostenhebel der gesamten Investition.
Seriöse Pauschalpreise gibt es nicht, denn die Kosten hängen vom Datenvolumen, der Zahl der Quellsysteme und dem Migrationsumfang ab. Was sich aber immer angeben lässt, ist die Struktur: drei Kostenblöcke auf der einen Seite, drei Einsparhebel auf der anderen.
Auf der Kostenseite stehen das Einführungsprojekt (Analyse, Migration, Test, Verfahrensdokumentation), die Lizenz und der laufende Betrieb (Wartung, Speicher, Administration). Bei CHRONOS liegt die Projektumsetzung typischerweise bei 6 bis 12 Wochen, abhängig vom Systemumfang, und die bestehende Infrastruktur muss in der Regel nicht angepasst werden.
HÄUFIG UNTERSCHÄTZTE KOSTENFAKTOREN
|
Auf der Einsparseite wirken drei Hebel. Erstens: Kleinere Produktivdatenbanken. Da über 80% der Daten in typischen Datenbanken inaktiv sind, sinken nach der Auslagerung Speicherkosten und Recoveryzeiten spürbar. Zweitens: Abgeschaltete Altsysteme sparen Lizenz-, Wartungs- und Infrastrukturkosten vollständig ein. Drittens: Die entlastete IT, weil Fachabteilungen eigenständig recherchieren. In CHRONOS-Kundenprojekten summieren sich diese Effekte auf einen ROI von über 300%, der meist schon nach wenigen Monaten erreicht wird.
Die ehrliche Rechnung lautet also nicht »Was kostet die Lizenz?«, sondern »Was kostet der heutige Zustand pro Jahr, und was davon fällt nach dem Projekt weg?«. Bei Unternehmen mit laufenden Altsystemen fällt diese Rechnung fast immer zugunsten der Archivierung aus.
Wie sehen die 12 Kriterien in einem konkreten Produkt aus? CHRONOS ist das Archivierungsmodul im Manufacturing OS von CSP Intelligence GmbH. Das Manufacturing OS bündelt daneben die Module IPM für das Prozessdatenmanagement, PG für die Werkerführung und QST für die Werkzeugprüfung; CHRONOS übernimmt darin die revisionssichere Langzeitarchivierung und das Abschalten von Altsystemen.
CHRONOS identifiziert inaktive Daten regelbasiert, überführt sie in ein offenes, langzeitsicheres Format und lagert sie auf Speichersysteme aus. Die Produktivdatenbanken werden dadurch kleiner und schneller. Über Application Retirement lässt sich die komplette Datenbasis eines Altsystems übernehmen, sodass die Anwendung vollständig abgeschaltet werden kann. Fachabteilungen recherchieren rollenbasiert und ohne IT-Ticket, und zwar unabhängig davon, ob die Quelle Oracle, SAP oder MS SQL war und ob die Umgebung in der Cloud oder On-Premise läuft.
PRAXISTIPP CHRONOS
|
Ein Beispiel aus der Medizintechnik: Die KLS Martin Group, Hersteller chirurgischer Instrumente und Implantatsysteme, stand nach mehreren Firmenfusionen vor einer uneinheitlichen Archivlandschaft mit wachsendem Datenvolumen. Seit 2021 archiviert das Unternehmen mit CHRONOS: Daten aus Altsystemen liegen revisionssicher in einem offenen Format vor, die Softwarelandschaft wurde konsolidiert, und die gesetzlichen Anforderungen sind vollständig erfüllt.
»Die Zusammenarbeit mit CSP funktioniert hervorragend. Termine werden gehalten, alles läuft unkompliziert.«
— Wojciech Wypior, Leiter Business Applications, KLS Martin Group
Geeignet ist Software, die Unveränderbarkeit technisch erzwingt, jede Operation lückenlos protokolliert, Aufbewahrungs- und Löschfristen je Datenkategorie verwaltet und Daten in einem offenen, dokumentierten Format ablegt. Entscheidend ist zusätzlich, dass archivierte Daten ohne die Software des Herstellers und ohne das Quellsystem lesbar bleiben. Revisionssicherheit entsteht dabei erst im Zusammenspiel aus Software, Konfiguration und Verfahrensdokumentation nach GoBD. Ein Produktname oder ein Zertifikat allein reicht als Nachweis nicht aus.
Nein. Keine Behörde vergibt ein gesetzliches Siegel für Revisionssicherheit, und der Begriff ist rechtlich nicht geschützt. Verbreitet sind Softwarebescheinigungen nach IDW PS 880: Ein Wirtschaftsprüfer testiert, dass ein Produkt bei sachgerechtem Einsatz die Anforderungen erfüllen kann. Diese Bescheinigung prüft das Produkt, nicht den konkreten Betrieb im Unternehmen. Für den Nachweis im Audit bleibt die Verfahrensdokumentation nach GoBD Rz. 151 ff. maßgeblich.
Nein. Ein Dokumentenmanagementsystem organisiert Dokumente und Workflows, garantiert aber nicht automatisch Unveränderbarkeit, lückenlose Protokollierung und Langzeitlesbarkeit über 10 bis 30 Jahre. Viele Systeme lassen sich revisionssicher konfigurieren, sind es im Auslieferungszustand aber nicht. Zudem decken sie strukturierte Daten aus Datenbanken und Altsystemen häufig nicht ab. Für Datenbankarchivierung und Application Retirement ist spezialisierte Archivierungssoftware erforderlich.
Nein. Ein Backup dient der Wiederherstellung nach Datenverlust und wird typischerweise nach 30 bis 90 Tagen überschrieben. Es ist veränderbar, nicht protokolliert und nicht für den gezielten Einzelzugriff über gesetzliche Fristen von 6 bis 10 Jahren ausgelegt. Die GoBD fordern eine unveränderbare, vollständige und maschinell auswertbare Aufbewahrung. Diese Anforderungen erfüllt ein Backup strukturell nicht, unabhängig von seiner technischen Qualität.
Die Kosten hängen vom Datenvolumen, der Zahl der Quellsysteme und dem Migrationsumfang ab; seriöse Pauschalpreise gibt es nicht. Neben der Lizenz fallen das Einführungsprojekt, die Verfahrensdokumentation und der laufende Betrieb an. Dem stehen Einsparungen gegenüber: kleinere Produktivdatenbanken, geringere Speicherkosten und vollständig abschaltbare Altsysteme. In CHRONOS-Kundenprojekten liegt der ROI bei über 300%, die Projektumsetzung dauert typischerweise 6 bis 12 Wochen.
Ja, wenn die Software Application Retirement unterstützt. Dabei wird der vollständige Datenbestand eines Altsystems in ein offenes Format überführt, revisionssicher archiviert und recherchierbar gehalten. Das Altsystem kann danach außer Betrieb genommen werden, und Lizenz-, Wartungs- und Infrastrukturkosten entfallen vollständig. Voraussetzung ist, dass alle aufbewahrungspflichtigen Daten inklusive Kontext und Metadaten übernommen werden und die Wiedergabe dokumentiert ist.