BSI Technische Richtlinie Vertrauenswürdige elektronische Langzeitspeicherung

Transkript

1 BSI Technische Richtlinie Vertrauenswürdige elektronische Langzeitspeicherung Bezeichnung VELS Vertrauenswürdige elektronische Langzeitspeicherung Kürzel BSI TR Version 1.0 Datum Das Dokument ist in Teilen nicht barrierefrei.

2 Postfach Bonn Tel.: Internet:

3 Vorwort des Präsidenten Papier ist geduldig, heißt es. Und darüber hinaus hat es viele weitere, ganz handfeste, positive Eigenschaften. Doch Papier ist nicht mehr en vogue: Unternehmen, die öffentliche Verwaltung und die Justiz sind schon seit längerem bestrebt, ihre Geschäftsprozesse möglichst weitgehend in elektronischer Form durchzuführen und die zugehörigen Unterlagen auch in digitaler Form aufzubewahren. Das Substituieren der bisher üblichen, gar sprichwörtlichen Papierberge durch elektronische Dokumente beeinflusst dabei nicht nur die Kommunikation und die unmittelbare Vorgangsbearbeitung oder Geschäftsabwicklung, sondern hat ohne Zweifel für die Archivierung elektronischer Dokumente weitreichende Folgen. Papierdokumente verfügen aufgrund ihrer Körperlichkeit über Eigenschaften, die elektronische Dokumente per se nicht aufweisen. Aus sich heraus können elektronische Dokumente weder wahrgenommen oder gelesen werden, noch Anhaltspunkte für Integrität und Authentizität aufweisen. Diese Eigenschaften aber sind entscheidend. Sie müssen bei der Migration von papiergetragenen zu elektronischen Datenformaten zwingend bedacht werden. Insbesondere für die längerfristige Speicherung elektronischer Dokumente ist die Erhaltung der Lesbarkeit und Vollständigkeit sowie der Integrität und Authentizität unabdingbar und muss durch technische und organisatorische Maßnahmen hergestellt und dauerhaft erhalten werden mindestens für die Dauer gesetzlich vorgeschriebener Aufbewahrungsfristen. Nationale und internationale Normen und Regelungen stecken hier den Rahmen für Unternehmen wie auch für die öffentliche Verwaltung ab. Tatsächlich existiert bereits eine Reihe von nationalen und internationalen Anforderungskatalogen oder Standards für elektronische Vorgangs- oder Aufbewahrungssysteme. So haben etwa die amerikanische Luft- und Raumfahrtbehörde NASA, das europäische DLM-Forum oder die IETF-LTANS-Arbeitsgruppe Anstrengungen in dieser Sache unternommen. In Deutschland sind aus dem durch das BMWi geförderten Verbundprojekt ArchiSig umfangreiche Ausführungen zu den rechtlichen Anforderungen an die Aufbewahrung elektronisch signierter Dokumente hervorgegangen. Diese Regelungen gelten jedoch in den meisten Fällen nur für bestimmte Branchen oder beziehen sich auf einzelne konkrete Fragestellungen und spezifizieren in der Regel wenig detaillierte Anforderungen an den Entwurf und die Implementierung vertrauenswürdiger elektronischer Archivsysteme insgesamt. Die mit diesem Dokument vorgelegte Technische Richtlinie zur vertrauenswürdigen elektronischen Langzeitspeicherung (TR-VELS) unternimmt deshalb den Versuch, auf der Grundlage bestehender 3

4 rechtlicher Normen und technischer Standards sowie nationaler und internationaler Erfahrungen in einem modular aufgebauten Gesamtkonzept anwendungsübergreifende Anforderungen und Kriterien für die langfristige, rechts- und revisionssichere Aufbewahrung elektronischer Dokumente zu spezifizieren und fortzuschreiben. Ziel der TR-VELS ist es, die Auswahl und den adäquaten Einsatz geeigneter Sicherungsmittel für die langfristige und rechtssichere Aufbewahrung elektronischer Dokumente nachhaltig zu unterstützen. Auf der Basis einer hersteller- und produktunabhängigen Referenzarchitektur werden sicherheitstechnische Mindestanforderungen an Systeme, Komponenten und Schnittstellen sowie ihr Zusammenspiel definiert, auf deren Grundlage vertrauenswürdige und funktional konforme elektronische Langzeitaufbewahrungssysteme aufgebaut, überprüft und in Betrieb genommen werden können. Denn Papier ist nicht nur geduldig, sondern vor allem auch verlässlich. Wir können heute noch problemlos Jahrhunderte alte Papierschriften entziffern. Eine solche Dauerhaftigkeit ist bekanntermaßen mit elektronisch lesbaren Datenträgern nicht zu erreichen. Sechs Jahrhunderte lang war Papier der wichtigste Datenträger, besser: Wissensträger. Jenseits aller gesetzlichen Vorgaben ist es daher auch unser Auftrag, das digitale Wissen unserer Zeit für künftige Generationen nutzbar zu machen. Bonn, im Juli 2009 Dr. Udo Helmbrecht, Präsident des BSI 4

5 Inhaltsverzeichnis 1. Vorbemerkungen Titel Kennzeichnung Fachlich zuständige Stelle Versionsverwaltung Änderungsdienst / Fortschreibung Veröffentlichung Konventionen Anwendungsbereich Allgemeines und Übersicht Aufbau und Inhalte der Technischen Richtlinie Untersuchungsgegenstand und Begriffsdefinitionen Übersicht Allgemeine Anforderungen an ein vertrauenswürdiges elektronisches Archivsystem Rechtliche Rahmenbedingungen Übergreifende rechtliche Rahmenbedingungen Sachbezogene rechtliche Rahmenbedingungen EU-Recht Übergreifende funktionale Anforderungen an eine vertrauenswürdige elektronischer Aufbewahrung Verfügbarkeit und Lesbarkeit Integrität und Authentizität Datenschutz, Datensicherheit und Vertraulichkeit Funktionen des Archivsystems Funktionale Anforderungen Archivierung signierter und unsignierter Daten Abruf (Rückgabe) archivierter Daten Abruf von Beweisdaten Löschen archivierter Daten Organisatorische Anforderungen Die Einrichtung vertrauenswürdiger Archivsysteme Anforderungen an die Einsatzumgebung Abgeleitete technische Anforderungen Systemtechnische Anforderungen Empfohlene Dokumentformate Empfohlene Speicherformate IT-Infrastruktur

6 6.5 IT-Anwendungen beim Einsatz von Archivierungsverfahren IT-Architektur Empfohlene IT-Referenzarchitektur Alternative Architekturen Komponenten und Module Vorgelagerte Anwendungssysteme ML-Adapter zur Anbindung von Geschäftsanwendungen an das Archiv (TR-VELS-M.5) ArchiSafe-Modul (TR-VELS-M.1) Krypto-Modul (TR-VELS-M.2) ArchiSig-Modul (TR-VELS-M.3) Der Langzeitspeicher (TR-VELS-M.4) Die Kommunikationskanäle und Schnittstellen Zusammenspiel der Komponenten Archivierung elektronischer Unterlagen Abfrage archivierter Daten Rückgabe technischer Beweisdaten Löschen von Archivdaten Änderung von Metadaten (z. B. Aufbewahrungsfristen) IT-Sicherheitskonzept Sicherheitsziele Maßnahmen Übergreifende Maßnahmen Maßnahmen zum Schutz der Vertraulichkeit Maßnahmen zum Schutz der Authentizität, Integrität und Verbindlichkeit (Zurechenbarkeit) Maßnahmen zum Schutz der Verfügbarkeit Maßnahmen zur Autorisierung (Vertraulichkeit, Integrität) Konformität und Interoperabilität Konformität und Konformitätsprüfung Beteiligte Instanzen bei der Konformitätsprüfung Antragsteller Prüfgegenstand Prüfstelle Bestätigungsstelle Abwicklung der Konformitätsprüfung Vorphase Durchführung der Konformitätsprüfung Konformitätsbestätigung Interoperabilität Anlagen TR-VELS-M.1 ArchiSafe-Modul TR-VELS-M.2 Krypto-Modul

7 10.3 TR-VELS-M.3 ArchiSig-Modul TR-VELS-M.4 Langzeitspeicher TR-VELS-M.5 ML-Adapter zur Anbindung von Geschäfts-Anwendungen an das Archiv TR-VELS-S.1 Schnittstelle zwischen Krypto-Modul und ArchiSafe TR-VELS-S.2 Schnittstelle zwischen ArchiSig und Langzeitspeicher TR-VELS-S.3 Schnittstelle zwischen Krypto-Modul und ArchiSig TR-VELS-S.4 Schnittstelle zwischen dem ML-Adapter und ArchiSafe TR-VELS-S.5 Schnittstelle zwischen ArchiSafe und dem Langzeitspeicher TR-VELS-S.6 Schnittstelle zwischen ArchiSafe und ArchiSig TR-VELS-F Formate und Protokolle für die Langzeitspeicherung TR-VELS-E Konkretisierung der Schnittstellen auf Basis des ecard-api-frameworks Zuordnung der Anforderungen Abkürzungsverzeichnis Glossar Quellenverzeichnis

8 Verzeichnis der Abbildungen Abbildung 1: Typische Archiv-Infrastruktur...17 Abbildung 2: Anwendungsfälle für die elektronische Archivierung...45 Abbildung 3: Typischer Archivierungsablauf...47 Abbildung 4: Referenzarchitektur Übersicht...57 Abbildung 5: Schematischer Ablauf der Archivierung...65 Abbildung 6: Schematischer Ablauf des Abrufs archivierter Daten...67 Abbildung 7: Schematischer Ablauf des Abrufs technischer Beweisdaten...69 Abbildung 8: Schematischer Ablauf der Löschung von Archivdatenobjekten...70 Abbildung 9: Krypto-Modul

9 Verzeichnis der Tabellen Tabelle 1: Rechtliche Themen und gesetzliche Regelungen...19 Tabelle 2: Aufbewahrungspflichtige Unterlagen nach HGB, Quelle [SBR 04], S Tabelle 3: Aufbewahrungspflichtige Unterlagen nach 25a Abs. 1 KWG, Quelle: [SBR 04], S Tabelle 4: Aufbewahrungspflichtige Unterlagen nach WpHG, Quelle: [SBR 04], S. 19, Tabelle 5: Zuordnung der Anforderungen

10 1. Vorbemerkungen Kapitel 1 enthält Angaben zur Bezeichnung dieser Technischen Richtlinie (TR), zur fachlich zuständigen Stelle, zur Versionsverwaltung, zum Änderungsdienst und der Fortschreibung der TR. 1.1 Titel Diese TR trägt den Titel "Technische Richtlinie zur vertrauenswürdigen elektronischen Langzeitspeicherung (VELS). 1.2 Kennzeichnung Diese TR wird gekennzeichnet mit BSI TR Fachlich zuständige Stelle Fachlich zuständig für die Formulierung und Betreuung dieser TR ist das Bundesamt für Sicherheit in der Informationstechnik (BSI). Anschrift: 1.4 (BSI) Postfach Bonn Tel.: digsig@bsi.bund.de Internet: Versionsverwaltung Diese TR besteht aus diesem Dokument und weiteren separaten normativen Anhängen (siehe hierzu Kapitel 10). Darüber hinaus wird es weitere Anhänge mit den entsprechenden Prüfspezifikationen für die notwendigen Konformitätsprüfungen geben. Die zur Zeit gültigen Teile dieser TR sind: Teil der TR Hauptdokument (dieses Dokument) Anlage TR-VELS-M.1 ArchiSafe-Modul Anlage TR-VELS-M.2 Krypto-Modul Anlage TR-VELS-M.3 ArchiSig-Modul Anlage TR-VELS-M.4 Langzeitspeicher Anlage TR-VELS-M.5 ML-Adapter zur Anbindung von Geschäfts-Anwendungen an das Archiv Datum (JJJJ-MM-TT) Version Bemerkung In Vorbereitung In Vorbereitung

11 Teil der TR Anlage TR-VELS-S.1 Schnittstelle zwischen Krypto-Modul und ArchiSafe Anlage TR-VELS-S.2 Schnittstelle zwischen ArchiSig und Langzeitspeicher Anlage TR-VELS-S.3 Schnittstelle zwischen Krypto-Modul und ArchiSig Anlage TR-VELS-S.4 Schnittstelle zwischen dem ML-Adapter und ArchiSafe Anlage TR-VELS-S.5 Schnittstelle zwischen ArchiSafe und dem Langzeitspeicher Anlage TR-VELS-S.6 Schnittstelle zwischen ArchiSafe und ArchiSig Anlage TR-VELS-E Konkretisierung der Schnittstellen auf Basis des ecard-api-frameworks Anlage TR-VELS-F Formate und Protokolle Datum (JJJJ-MM-TT) Version Bemerkung In Vorbereitung Änderungsdienst / Fortschreibung Die TR und ihre normativen Anhänge unterliegen fortwährender weiterer Verbesserung und Anpassung an neue Anforderungen. Die Fortführung muss geordnet verlaufen, d. h. dass abgestimmte Versionen der TR in einem formalen Akt freigegeben werden. Formal freigegebene Versionen oder Patches werden auf der Webseite des BSI veröffentlicht. Die Veröffentlichung erfolgt geregelt. 1.6 Veröffentlichung Die aktuell gültigen Versionen werden auf den TR-VELS Webseiten des BSI zum Download angeboten. In einem auf den TR-VELS Webseiten des BSI verfügbaren Änderungsverzeichnis werden die Versionen mit Beschreibung der Erweiterung oder Änderung und des Datums geführt. 1.7 Konventionen Die in dieser Technischen Richtlinie spezifizierten Anforderungen und Empfehlungen an rechts- und revisionssichere Archivsysteme im Sinne einer vertrauenswürdigen elektronischen Langzeitspeicherung werden eindeutig gekennzeichnet. Hierbei gilt: 11

12 Der Anforderung wird ihre eindeutige Kennung der Form (Ax.y-z) vorangestellt, wobei x das jeweilige Hauptkapitel y das jeweilige Unterkapitel und z eine fortlaufende Nummer innerhalb des Unterkapitels ist. Jede Anforderung wird in Anlehnung an [RFC2119] explizit als verpflichtend, empfohlen oder als optional spezifiziert. Verpflichtende Anforderungen (MUSS-Anforderungen), sind Anforderungen deren Umsetzung zwingend gefordert wird. Sie sind im Text mit den Worten muss (müssen) / ist (sind), ausgezeichnet. Empfohlene Anforderungen (SOLL-Anforderungen) sollten umgesetzt werden. Sie sind im Text mit den Worten soll (sollen) / empfohlen ausgezeichnet. Optionale Anforderungen (KANN-Anforderungen) können umgesetzt werden. Sie sind im Text mit den Worten kann (können) ausgezeichnet. Weitere Erläuterungen zu diesen kennzeichnenden Begriffen sind in Kapitel 9.3 zu finden. 12

13 2. Anwendungsbereich Vertrauenswürdige elektronische Langzeitspeicherung im Sinne dieser technischen Richtlinie bezeichnet die langfristige, rechts- und revisionssichere elektronische (digitale) Speicherung von aufbewahrungspflichtigen elektronischen (digitalen) Dokumenten und Daten nebst den zugehörigen elektronischen (digitalen) Verwaltungsdaten (Metadaten) auf maschinenlesbaren Datenträgern zur Erfüllung gesetzlicher Aufbewahrungspflichten. Vornehmlicher Anwendungsbereich der vorliegenden Technischen Richtlinie sind die Bundesbehörden im Rahmen der gesetzlichen Aufbewahrungspflichten. Darüber hinaus besitzt die Technische Richtlinie empfehlenden Charakter. 13

14 3. Allgemeines und Übersicht In diesem Kapitel werden der Aufbau und die Inhalte der Technischen Richtlinie sowie die grundsätzlichen Ziele und Herausforderungen an eine vertrauenswürdige und langfristige Aufbewahrung elektronischer Dokumente erläutert. 3.1 Aufbau und Inhalte der Technischen Richtlinie Die Technische Richtlinie besteht aus diesem Hauptdokument sowie einer Reihe ergänzender Anlagen, in denen einzelne Aspekte der Anforderungen an ein vertrauenswürdiges elektronisches Archivsystem näher spezifiziert und erläutert werden. In diesem Hauptdokument werden zunächst die rechtlichen Rahmenbedingungen und Normen, die grundsätzlichen Ziele und Anforderungen an eine vertrauenswürdige elektronische Aufbewahrung, die abzubildenden Prozesse und Funktionen, die Anforderungen an die Einrichtung sowie systemtechnische Anforderungen und eine empfohlene Systemarchitektur (Referenzarchitektur) vertrauenswürdiger elektronischer Archivsysteme, die Sicherheitsziele und Sicherheitsmaßnahmen sowie der Umfang und die Inhalte einer Konformitätsprüfung technischer Produktlösungen mit den in dieser Richtlinie definierten Anforderungen beschrieben. Darüber hinaus enthält dieses Hauptdokument in Kapitel 10 eine Übersicht über die mit diesem Dokument veröffentlichten und geplanten Anlagen. In diesen ergänzenden Anlagen werden die in diesem Hauptdokument definierten Anforderungen auf der Grundlage einer in Kapitel 7 beschriebenen plattform- und produktneutralen Referenzarchitektur für vertrauenswürdige elektronische Archivsysteme näher spezifiziert und erläutert. Die Beschreibung der Ziele und Anforderungen ist strikt produkt- und herstellerneutral und orientiert sich allein an den entsprechenden rechtlichen Anforderungen und technischen Umsetzung der gesetzlich vorgeschriebenen Aufbewahrungspflichten elektronischer Unterlagen. 3.2 Untersuchungsgegenstand und Begriffsdefinitionen Dieses Kapitel enthält die für diese Technische Richtlinie wesentlichen Begriffsdefinitionen. Weitere Begriffsdefinitionen finden sich im Glossar in Kapitel 13. Die dauerhafte und unveränderbare Aufbewahrung (Speicherung) von elektronischen Dokumenten und anderen Daten wird im informationstechnischen Sprachgebrauch allgemein als elektronische Archivierung bezeichnet. Der mit dem Begriff dauerhaft umschriebene Zeithorizont überschreitet dabei aus informationstechnischer Sicht in der Regel kaum mehr als 10 bis 30 Jahre. Hierfür hat sich im deutschen Sprachgebrauch auch der Begriff der elektronischen Langzeitarchivierung eingebürgert, um den Unterschied zur kurzzeitigen (operativen) Speicherung bzw. zum Backup hervorzuheben. Aus rechtlicher Sicht ist der Begriff der Archivierung durch die Archivgesetze des Bundes und der Länder konkretisiert und belegt und daher von der zeitlich beschränkten Aufbewahrung zu unterscheiden. Archivierung im juristischen Kontext betrifft allein Unterlagen der öffentlichen Verwaltung und bezieht sich darauf, dass Schriftgut einer Behörde, sobald es für die Zwecke der Behörde nicht mehr benötigt wird, ausgesondert und durch eine zuständige staatliche Einrichtung (Archiv) auf unbegrenzte Zeit verwahrt werden soll (vgl. 1 und 2 BArchG). Dieser in den Archivgesetzen des Bundes und der Länder regulierte Archivzwang nach Aussonderung und Abgabe des Schriftguts und das ihm vorausgehende obligatorische Anbietungsgebot bleiben daher von den in dieser Technischen Richtlinie beschriebenen Anforderungen unberührt. Die vorliegende Technische Richtlinie bezieht sich ausschließlich auf die Nutzung des Langzeitspeichersystems in Behörden und Unternehmen während der Aufbewahrungsfrist des Schriftgutes unter Wahrung der Rechtssicherheit und der Revisionssicherheit. Insbesondere beschränkt sich die TR auf stabile Speicherformate, die für die angedachten Aufbewahrungszeiträume angemessen sind. Die Transformation von (signierten) Dokumenten wird deshalb hier nicht betrachtet. 14

15 Rechtssichere Langzeitspeicherung im Sinne dieser technischen Richtlinie bedeutet, dass ein zu dieser Richtlinie konformes elektronisches Archivsystem imstande ist, den beweisrechtlichen Wert der in ihm aufbewahrten elektronischen Informationen über die Dauer des Aufbewahrungszeitraumes zu erhalten und so die mit der Aufbewahrung bezweckten Rechtsfolgen elektronischer Unterlagen mindestens für die Dauer der gesetzlich vorgeschriebenen Aufbewahrungszeiträume zu gewährleisten. Mit revisionssicherer elektronischer Langzeitspeicherung bezeichnet diese technische Richtlinie elektronische Archivsysteme, die nach den Vorgaben des Handelsgesetzbuches ( 239, 257 HGB), der Abgabenordnung ( 146, 147 AO) und der Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS) elektronische Daten und Dokumente sicher, unverändert, vollständig, ordnungsgemäß, verlustfrei reproduzierbar und datenbankgestützt recherchierbar zu verwalten imstande sind.1 Vertrauenswürdige elektronische Langzeitspeicherung im Sinne dieser technischen Richtlinie bezeichnet die langfristige, rechts- und revisionssichere elektronische Speicherung von aufbewahrungspflichtigen Dokumenten und Daten nebst den zugehörigen Verwaltungsdaten (Metadaten) auf maschinenlesbaren Datenträgern zur Erfüllung gesetzlicher Aufbewahrungspflichten (siehe auch Kapitel 4). Wenn an den jeweiligen Textstellen nicht explizit etwas anderes vermerkt ist, ist in dieser Technischen Richtlinie der Begriff Archivierung an den jeweiligen Stellen im Sinne einer vertrauenswürdigen elektronischen Langzeitspeicherung zu verstehen. Darüber hinaus unterliegen behördliche elektronische Unterlagen selbstverständlich weiterhin und unabhängig von der informationstechnischen Langzeitspeicherung den rechtlich geregelten Archivregelungen gemäß BArchG. Das heißt für Bundesbehörden, dass nach Ablauf der Aufbewahrungsfristen eine gesetzlich festgelegte Anbietungspflicht an das BArch besteht. Weitere wichtige Begriffsdefinitionen wie z.b. Daten, Dokument, Metadaten etc. sind dem Kapitel 13 zu entnehmen. 3.3 Übersicht Das Ziel einer auch auf lange Zeiträume angelegten vertrauenswürdigen Ablage elektronischer Unterlagen ist die dauerhafte, rechts- und revisionssichere Speicherung (Konservierung) digitaler Dokumente und Daten (Inhaltsdaten)2 sowie zugehöriger Metainformationen zu einem nachweisbaren Zeitpunkt T1, an dem die Dokumente und Daten in einem elektronischen Archivsystem abgelegt wurden. Für rechtlich bedeutsame Dokumente und Daten sind dabei zusätzlich nachprüfbare Belege über den Aussteller (Authentizität) sowie die Unversehrtheit (Integrität) der aufbewahrten Dokumente und Daten dauerhaft und entsprechend der rechtlichen Anforderungen vorzuhalten. Der Inhalt elektronischer Unterlagen ist auf der Anwendungsebene von IT-Systemen in der Regel als ein Strom (Folge) von Zeichen eines endlichen Zeichensatzes Z 1 codiert. Die zugehörigen Metadaten lassen sich in zwei Kategorien unterscheiden: 1 2 Der Begriff der Revisionssicherheit orientiert sich am Verständnis der Revision aus wirtschaftlicher Sicht und betrifft vor allem aufbewahrungspflichtige oder aufbewahrungswürdige Informationen und Dokumente aus handelsrechtlicher und steuerrechtlicher Sicht. Der 238 HGB verpflichtet Kaufleute zur Buchführung und zur Aufbewahrung von Handelsbriefen. Als Handelsbrief gilt, was einen, wenn auch nur entfernten oder lockeren, Zusammenhang mit betrieblichen Interessen hat. Das bedeutet, aufbewahrungspflichtige oder aufbewahrungswürdige Informationen und Dokumente sind sämtliche elektronischen Daten und Dokumente, die einen sachlogischen Zusammenhang mit einem Geschäfts- oder Verwaltungsvorgang begründen oder ergeben. Der Begriff revisionssichere Archivierung wurde 1992 von Ulrich Kampffmeyer geprägt und vom deutschen Fachverband der Dokumentenmanagementbranche, VOI Verband Organisations- und Informationssysteme e.v. in einem Code of Practice [KAMPFF97] im Jahr 1996 allgemeingültig veröffentlicht. Revisionssicherheit im Zusammenhang mit der elektronischen Archivierung bezieht sich dabei nicht nur auf technische Komponenten sondern auf die gesamte Lösung. Revisionssicherheit schließt sichere Abläufe, die Organisation des Anwenderunternehmens, die ordnungsgemäße Nutzung, den sicheren Betrieb und den Nachweis in einer Verfahrensdokumentation ein. Kriterien für die Revisionssicherheit sind vor allem Nachvollziehbarkeit, Schutz der Daten vor Veränderung und Verlust sowie die Wiederauffindbarkeit der Daten in einem angemessenen Zeitraum. Ziel der revisionssicheren Aufbewahrung elektronischer Unterlagen ist es, die internen und gesetzlichen Anforderungen zu erfüllen, die als Voraussetzung für die Durchführung einer Revision festgelegt worden sind. Der Begriff Revisionssicherheit oder revisionssichere Archivierung wird inzwischen auch auf die Archivierung von Informationen außerhalb des handels- und steuerrechtlichen Bereichs angewendet und häufig synonym mit der verfälschungssicheren, langfristigen Archivierung elektronischer Informationen benutzt. Es kann sich dabei durchaus um verschiedenste Datenarten handeln Texte, Bilder, Signale, Töne, Filme, etc. Zur Vereinfachung wird in dieser Technischen Richtlinie jedoch immer nur von Dokumente und Daten gesprochen. 15

16 Ein Metadatensatz M1 enthält Informationen über den zur Codierung der Unterlagen verwendeten Zeichensatz Z1 und umfasst somit Informationen zur Darstellung und Formatierung der eigentlichen Inhaltsdaten. Ein Metadatensatz M2 enthält zusätzliche beschreibende Metainformationen zu den digitalen Unterlagen (z. B. Ersteller, Datum, Aktenzeichen, usw.) und stellt somit beispielsweise sicher, dass die Dokumente oder Daten wieder gefunden und einem Vorgang zugeordnet werden können. Auch die Metadaten sind als Folge eines Zeichensatzes Z 2 codiert. Die Zeichensätze Z1 und Z2 können, müssen aber nicht übereinstimmen. Darüber hinaus genügen die Metadaten bestimmten syntaktischen und semantischen Regeln, die in der Spezifikation der Metadatensätze begründet sind. Das Ziel und die Herausforderung der rechts- und revisionssicheren Ablage elektronischer Unterlagen ist es daher, für die digitalen Inhalte sowie deren Metadatensätze M1 und M2 die Verfügbarkeit und Lesbarkeit, die Integrität (Unversehrtheit), die Authentizität (daraus folgt auch die Nichtabstreitbarkeit) und Datenschutz, Datensicherheit und Vertraulichkeit für lange Zeiträume (mehrere Jahrzehnte) zu gewährleisten. Gegenstand von vertrauenswürdigen IT-gestützten Archivierungsprozessen ist daher der Dokumentenund Datenfluss von aufbewahrungspflichtigen oder aufbewahrungswürdigen Dokumenten und Daten von dem Zeitpunkt des Beginns ihrer Aufbewahrungspflicht, respektive ihrer Aufbewahrungswürdigkeit, über ihre langfristige und unveränderliche Aufbewahrung bis zu ihrer abschließenden Vernichtung. Zur Sicherung der Verfügbarkeit elektronischer Unterlagen gehört dabei auch die Gewährleistung der Lesbarkeit und Darstellbarkeit der Inhaltsdaten und Metainformationen über lange Zeiträume auf den zum Zeitpunkt der Verfügbarmachung üblichen IT-Systemen. Ein für diese Zwecke eingerichtetes elektronisches Archivierungssystem umfasst deshalb alle diejenigen Elemente und Prozesse eines IT-Systems, die zur Erzeugung, Speicherung, Indexierung 3, Suche, Verwaltung, Lesbarmachung und langfristigen und unveränderlichen Aufbewahrung von zu speichernden Daten eingesetzt werden. Dazu gehören i. d. R die zur Archivierung eingesetzte IT-Infrastruktur und die zur Archivierung und zur Sicherung der Authentizität und Integrität der archivierten Dokumente und Daten eingesetzten IT-Anwendungen. Indexierung im Sinne dieser Richtlinie bezeichnet die Verknüpfung von Daten und Dokumenten mit einem oder mehreren eindeutigen Ordnungskriterien und ist von der Verschlagwortung von aufbewahrungspflichtigen Unterlagen zu unterscheiden.

17 Abbildung 1: Typische Archiv-Infrastruktur Die zur Archivierung eingesetzte IT-Infrastruktur besteht typischerweise, wie auch in Abbildung 1 dargestellt, aus einem Speichersystem, das die unterschiedlichen zur Archivierung eingesetzten Speichermedien umfasst und verwaltet, und den zuverlässigen und sicheren Zugriff auf die Speichermedien für die Ablage, den Abruf oder die Löschung archivierter Dokumente und Daten gewährleistet, (kryptographischen) Komponenten und Schnittstellen, die den Erhalt des beweisrechtlichen Wertes der archivierten Unterlagen (Dokumente und Daten) unterstützen sowie Archivschnittstellen, die der Integration der Archivlösung in eine bestehende, unternehmensoder organisationsweite IT-Infrastruktur dienen und die archivierten Daten und Dokumente vor dem unberechtigten Zugriff Dritter schützen. Die zur Archivierung eingesetzten IT-Anwendungen umfassen typischerweise Programme oder Schnittstellen (Datenarchivierungsfunktionen) zur Erzeugung, Indexierung und Verwaltung der zu archivierenden Unterlagen, zur Recherche sowie zur Wiedergabe oder auch Löschung von Daten und Dokumenten aus dem Archivierungssystem. Der Aufruf der Datenarchivierungsfunktionen erfolgt typischerweise aus organisationsspezifischen IT-Anwendungen oder IT-Services. Unabhängig von der eingesetzten Technologie, den eingesetzten Verfahren und Anwendungen sind die gesetzlichen Vertreter verantwortlich für die Einhaltung der gesetzlichen Sicherheits- und Ordnungsmäßigkeitsanforderungen, die beim Einsatz von elektronischen Archivierungssystemen erforderlich sind. Im Einzelnen sind diese in den nachfolgenden Abschnitten beschrieben. 17

18 4. Allgemeine Anforderungen an ein vertrauenswürdiges elektronisches Archivsystem Die elektronische Ablage und Aufbewahrung elektronischer signierter und unsignierter Dokumente und Daten in einem elektronischen Archivsystem ist grundsätzlich so auszugestalten, dass die aus rechtlicher Sicht bestehenden Aufbewahrungspflichten und ziele für lange Zeit, mindestens aber für die Dauer der gesetzlich festgelegten Aufbewahrungsfristen, erfüllt werden können. Vornehmliches Ziel dabei ist es, den beweisrechtlichen Wert elektronisch aufbewahrter Informationen zum Nachweis eines Rechts oder einer Pflicht, eines bestimmten Handelns, des Unterlassens oder eines Handlungsverlaufs sowie der Einhaltung gesetzlicher Vorschriften und Regelungen für die Dauer ihrer Aufbewahrungszeit durch den Einsatz eines vertrauenswürdigen Archivsystems zu schützen und zu erhalten. Die deutsche Rechtsordnung kennt zum Zeitpunkt der Veröffentlichung dieser Richtlinie kein Aufbewahrungsgesetz, welches die Aufbewahrungsfristen übergreifend regelt, weder für papierbasierte noch für elektronische Dokumente (vgl. [ARO 07], S. 55). Es ist daher notwendig, die im Einzelfall geltenden Anforderungen an die Dokumentation und Aufbewahrung aus den für den jeweiligen Sachbereich relevanten Normen und Vorschriften abzuleiten. Gleiches gilt für den europäischen Kontext. Auch hier existiert derzeit keine einheitliche EU-Norm, die spezielle Anforderungen für die langfristige Aufbewahrung elektronischer Daten und Dokumente formuliert. Allgemeine rechtliche Anforderungen an die Aufbewahrung elektronischer Unterlagen lassen sich dabei aus den vorhandenen anwendungsübergreifenden Normen (z. B. dem Datenschutzrecht und dem Signaturrecht) oder auch aus sachbezogenen rechtlichen Regelungen wie dem Handels- und Steuerecht oder verwaltungsrechtlichen und haushaltsrechtlichen Normen der öffentlichen Verwaltung ableiten (siehe [SFD 06], S. 33 ff., [ARO 07], S. 79 ff.). Die nachfolgende Tabelle 1 gibt einen Überblick über bestehende rechtliche Normen sowie ihren rechtsthematischen Bezügen zur Langzeitspeicherung elektronischer Informationen. Von zentraler Bedeutung und Wirkung ist hier insbesondere das Signaturrecht, das im Zusammenhang mit dem Gesetz zur Anpassung der Formvorschriften des Privatrechts und anderer Vorschriften an den modernen Rechtsgeschäftsverkehr [FormAnpG] und dem Verwaltungsverfahrensgesetz [VwVfG] die Voraussetzungen und Anforderungen an die beweisrechtliche Anerkennung und den Erhalt des beweisrechtlichen Wertes elektronischer Unterlagen normiert. HINWEIS: An dieser Stelle sei darauf hingewiesen, dass die in den folgenden Abschnitten aufgeführten normativen Regelungen keinen vollständigen Überblick über einzelne rechtliche Anforderungen aus unterschiedlichen Rechtsgebieten geben können. Um den Rahmen des Dokuments nicht zu sprengen, beschränkt sich der Überblick zudem auf bundesrechtliche Regelungen. Es obliegt dem Anwender eines Archivsystems, sich vor dessen Einsatz eingehend über die für ihn geltenden rechtlichen Bestimmungen im Hinblick auf den Einsatz eines solchen Archivsystems zu informieren. 18

19 Schutz vor Verlust ZPO SigG, SigV Schutz vor unberechtigtem Zugriff Einhaltung von Aufbewahrungsfristen Sicherstellung des gesetzlichen Zugriffs Sicherstellung der Beweiskraft vor Gericht Beteiligungsrechte der Mitarbeiter GoB GoBS GDPdU HGB Ordnungsmäßigkeit, Integrität, Authentizität BDSG Rechtliche Themen AO Rechtliche Grundlagen BGB BetrVG Legende: AO Abgabenordnung, BDSG Bundesdatenschutzgesetz, BetrVG Betriebsverfassungsgesetz,4 BGB Bürgerliches Gesetzbuch, GDPdU Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen, GoB Grundsätze ordnungsgemäßer Buchführung, GoBS Grundsätze ordnungsgemäßer DV-gestützter Buchführung, HGB Handelsgesetzbuch, SigG Signaturgesetz, SigV Signaturverordnung, ZPO Zivilprozessordnung Tabelle 1: Rechtliche Themen und gesetzliche Regelungen 4.1 Rechtliche Rahmenbedingungen Die Aufbewahrungspflicht und Aufbewahrungswürdigkeit elektronischer Dokumente und Unterlagen ist i. d. R. in dem jeweiligen Fachrecht begründet und dient vor allem der Gedächtnisstütze, dem Schutz und der Wahrung von Rechtsansprüchen des Ausstellers oder Dritter und dem Nachweis der Ordnungsmäßigkeit im elektronischen Rechts- und Geschäftsverkehr. Eine vertrauenswürdige langfristige Aufbewahrung elektronischer Unterlagen verpflichtet daher zur Vollständigkeit und Sicherheit der aufbewahrten Daten und Dokumente, zur Einhaltung von Aufbewahrungsfristen, zur Dokumentation und regelmäßigen Kontrolle der richtigen Anwendung des Verfahrens. Sicherheit bedeutet in diesem Zusammenhang vor allem den Schutz der Informationen und Daten vor Veränderung und Verfälschung (Gewährleistung der Integrität), vor unberechtigtem Zugriff (Kenntnisnahme) sowie die Sicherung der Daten und Informationen vor Verlust. Für die rechtmäßige elektronische Aufbewahrung zusätzlich von Bedeutung ist dabei die Tatsache, dass elektronische Dokumente keine Urkundsqualität im Sinne des Gesetzes besitzen. Damit bestünde ein rechtliches Hemmnis für die Distribution rechtsverbindlicher Leistungen über das Medium Internet oder anderen elektronischen Datenträgern. Der deutsche Gesetzgeber hat darauf durch Gesetzesänderungen reagiert, mit denen er vor allem die rechtlichen Rahmenbedingungen beschreibt, unter welchen Umständen elektronische Dokumente Rechtswirkung entfalten können und welche Anforderungen in diesem Zusammenhang an die Gewährleistung der Integrität und Authentizität elektronischer Dokumente zu stellen sind (Beweiskraft elektronischer Dokumente). Kernstücke der rechtlichen Regelungen sind neben dem Signaturgesetz (SigG) vom 22. Mai 2001 sowie der sich hieran anschließenden Signaturverordnung (SigV) vom 24. Oktober 2001, die Änderungen 4 Daneben gibt es noch das Bundespersonalvertretungsgesetz (BPersVG). Da die TR jedoch keinen Anspruch auf Vollständigkeit der juristischen Grundlagen erhebt, werden hier nur einige Beispiele angeführt. 19

20 (Ergänzungen) der Formvorschriften des BGB, die Erleichterungen der Beweisführung im Rahmen der ZPO und die Anpassung des Verwaltungsverfahrensrechtes des Bundes (VwVfG). Für die Einrichtung und den Betrieb vertrauenswürdiger, rechts- und revisionssicherer elektronischer Archivsysteme sind die Einhaltung sämtlicher für den jeweiligen Sachbereich geltenden Anforderungen und normativen Regelungen für die Aufbewahrung von Unterlagen auch für elektronisch erzeugte und verarbeitete Daten und Dokumente zu bestimmen und nachvollziehbar zu gewährleisten Übergreifende rechtliche Rahmenbedingungen Der folgende Abschnitt erläutert allgemeine normative Anforderungen an die Aufbewahrung elektronischer Dokumente, die sich vornehmlich aus nationalen, anwendungsübergreifenden rechtlichen Bestimmungen ergeben Datenschutzrechtliche Regelungen (BDSG) Unterlagen, aufbewahrt in jeglicher Form und Art, unterliegen, sofern personenbezogene Informationen in die Unterlagen einbezogen werden, dem Datengeheimnis und weiteren datenschutzrechtlichen Anforderungen (vgl. [ARO 07, S. 56]). In 3a Bundesdatenschutzgesetz [BDSG] werden datenschutzrechtliche Grundanforderungen an Datenverarbeitungssysteme normiert: Gestaltung und Auswahl von Datenverarbeitungssystemen haben sich an dem Ziel auszurichten, keine oder so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen. Insbesondere ist von den Möglichkeiten der Anonymisierung und Pseudonymisierung Gebrauch zu machen, soweit dies möglich ist und der Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. Personenbezogene Daten sind vor allem in den aufzubewahrenden Dokumenten sowie den dazu gehörenden Metadaten vorhanden. Für die Gestaltung der Aufbewahrungssysteme folgt daraus zum Einen, dass für die Verwaltung und Sicherung der Dokumente ein Zugriff auf die Dokumente möglichst gering gehalten werden soll. Zum Anderen soll die Gestaltung der Metadaten so vorgenommen werden, dass dabei möglichst wenig personenbezogene Daten verwendet werden. Datenerhebende und verarbeitende Stellen sind gesetzlich dazu verpflichtet, technisch-organisatorische Schutzvorkehrungen zu treffen, um die Rechte der Betroffenen zu wahren. Dazu gehört insbesondere gemäß Anlage zu 9 Satz 1 BDSG das Treffen von Maßnahmen, die geeignet sind, zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind Für die langfristige vertrauenswürdige Aufbewahrung personenbezogener Daten bedeutet das, dass durch organisatorische und technische Maßnahmen sicher zu stellen ist, dass nicht autorisierte Zugänge zu und Zugriffe auf schützenswerte Daten zuverlässig verhindert werden, Informationen und Daten weder vorsätzlich noch fahrlässig unbemerkt und in unzulässiger Weise manipuliert werden können, Veränderungen daran protokolliert werden und ein unwiederbringlicher Verlust schützenswerter Informationen und Daten ausgeschlossen werden kann. Der Einsatz von kryptographischen Verschlüsselungstechniken sowie die strikte logische oder auch physikalische Trennung schützenswerter Daten und Informationen sind hierfür geeignete Instrumente. (A4.1-1) Hieraus folgt, dass ein zu dieser Richtlinie konformes Archivsystem imstande sein muss, dem Trennungsgebot nach 9 BDSG sowohl mit der Aufbewahrung verschlüsselter Informationen und Daten, wie mit der Möglichkeit mandantenfähiger Systemlösungen mit einer strikten logischen 20

21 und/oder physikalischen Trennung der gespeicherten Daten und einer kontrollierten Zugriffsberechtigung unter Einbeziehung der erforderlichen Protokollierung auf die gespeicherten Daten und Informationen auf der Ebene der externen, d. h. dem Archivsystem vorgelagerten IT-Fachanwendungen, Rechnung zu tragen Signaturrechtliche Regelungen (SigG, SigV) Die Aufbewahrung elektronischer Dokumente und Daten dient neben der Sicherstellung der Verfügbarkeit der elektronischen Informationen als Grundlage für eine sachgerechte Weiterverwendung insbesondere auch dem Nachweis ordnungsgemäßen Handelns und der Beweiserhaltung der in den Dokumenten niedergelegten Rechtsansprüche und Pflichten. Wesentliche Anforderungen an die Aufbewahrung elektronischer Unterlagen für beweisrechtliche Zwecke sind vor allem die Nachweisbarkeit der Echtheit (Authentizität) und der Vollständigkeit der aufbewahrten Dokumente und Daten für die Zeit der gesetzlich vorgeschriebenen Aufbewahrungsdauer (siehe auch [SFD 06, S. 54]). Ein Dokument wird als authentisch angesehen, wenn es das ist, was es vorgibt zu sein, und wenn es frei von Verfälschung oder unerlaubter Veränderung ist [SFD 06, S. 59]. Die Prüfung der Authentizität eines Dokuments umfasst dabei nicht nur die zweifelsfreie Feststellung des Ausstellers eines Dokuments, sondern darüber hinaus auch die Beantwortung der Frage, ob das vorliegende Dokument seit seiner Erstellung nicht verändert wurde, also integer ist. Können die Integrität und Authentizität eines elektronischen Dokuments nicht zweifelsfrei festgestellt werden, bestehen berechtigte Unsicherheiten über die Glaubwürdigkeit der in dem Dokument niedergelegten Inhalte. Die beabsichtigten Rechtsfolgen oder Pflichten lassen sich damit nicht mehr sicher begründen. Die Gewährleistung der Authentizität und Integrität von elektronischen Daten und Dokumenten und die zuverlässige Identifizierung von deren Urheber bilden somit das grundlegende Fundament des elektronischen Rechts- und Geschäftsverkehrs. Elektronische Daten und Dokumente sind an sich flüchtig und können spurenlos verändert werden. Aus einem elektronischen Dokument kann daher auch nicht ohne weiteres auf seinen tatsächlichen Aussteller geschlossen werden. Um die Integrität und Authentizität elektronischer Dokumente und Daten zweifelsfrei feststellen zu können, bedarf es deshalb zusätzlicher technischer Sicherungsmittel. Elektronische Signaturen sind nach heutigem Kenntnisstand das am besten geeignete Sicherungsmittel, um die Integrität und Authentizität von elektronischen Daten zu gewährleisten.5 Das Signaturgesetz [SigG] und die Signaturverordnung [SigV] regeln die grundsätzlichen technischen Rahmenbedingungen für diese elektronischen Sicherungsmittel. Dem trägt auch die Neufassung des 371a Abs. 1 Satz 1 und Abs. 2 Satz 1 der Zivilprozessordnung [ZPO] über die Beweiskraft privater und öffentlicher Urkunden Rechnung. Nach 371a Abs. 1 Satz 1 ZPO wird von der Vorlage einer qualifizierten elektronischen Signatur auf den Anschein der Echtheit des Dokuments geschlossen, sofern die Signatur dem Dokument zweifelsfrei zugerechnet werden kann.6 Für qualifiziert signierte öffentliche elektronische Dokumente gilt nach 371a Abs. 2 Satz 2 ZPO darüber hinaus die Vermutung der Echtheit nach 437 Abs. 1 ZPO, sofern das Dokument nach Form und Inhalt sich als öffentliches Dokument darstellt. Der Anschein bzw. die Vermutung der Echtheit signierter elektronischer Dokumente bezieht sich dabei sowohl auf die Zurechnung des Dokuments zu dem Signaturschlüssel-Inhaber als auch auf die in dem Dokument niedergelegten Tatsachen oder Informationen. Tatbestandsvoraussetzung des 371 Abs. 1 S. 2 ZPO ist, dass es sich um eine qualifizierte elektronische Signatur handelt. Dadurch wird klargestellt, dass die Beweiserleichterung bei einfachen oder fortgeschrittenen Signaturen nicht in Betracht kommt. Wesentliche Voraussetzung für die Bestimmung des Beweiswertes eines elektronisch signierten Dokuments ist die Durchführung einer Signaturprüfung. Für die langfristige Sicherstellung der Beweiskraft elektronischer Signaturen sind daher Sicherungsmaßnahmen notwendig, die geeignet sind, die Authentizität und Integrität der elektronisch si5 6 Signaturen sind natürlich nur dazu geeignet, die Integrität und Authentizität nachzuweisen, jedoch nicht, sie zu erhalten. Veränderungen können mit Signaturen nicht verhindert sondern nur erkannt werden. Die Nutzung von speziellen Speichermedien bringt jedoch keinen nennenswerten Vorteil, da die Administratoren immer in der Lage sind, auch solche Speicher zu manipulieren. 371a Abs. 1 Satz 2: Der Anschein der Echtheit einer in elektronischer Form vorliegenden Erklärung, der sich auf Grund der Prüfung nach dem Signaturgesetz ergibt, kann nur durch Tatsachen erschüttert werden, die ernstliche Zweifel daran begründen, dass die Erklärung vom Signaturschlüssel-Inhaber abgegeben worden ist. 21

22 gnierten Daten dauerhaft, mindestens aber für die Zeit der gesetzlich vorgeschriebenen Aufbewahrungsfristen, zu gewährleisten. Dies gilt insbesondere auch dann, wenn festgestellt wird, dass die den elektronischen Signaturen zugrunde liegenden Algorithmen und Parameter keine ausreichende Sicherheit mehr für den vorgeschriebenen oder gewünschten Aufbewahrungszeitraum bieten und damit einen neuen Integritätsschutz i. S. von 17 SigV erforderlich machen. Hinsichtlich der Sicherung der Authentizität der signierten Daten muss vor allem langfristig nachweisbar sein und bleiben, wem die Signatur zugerechnet werden kann, d. h., der Urheber der signierten Daten muss eindeutig erkennbar sein. Die für eine langfristige Aufbewahrung elektronischer Daten erforderlichen Vorkehrungen zur Sicherung der Authentizität sind im Signaturgesetz nur zum Teil enthalten. Fehlende Vorkehrungen müssen daher aus einer sicherheitstechnischen Betrachtung und den beweisrechtlichen Anforderungen an eine Prüfung von Zertifikaten gemäß Signaturgesetz entwickelt werden. Die Zurechnung der Signatur erfolgt über Nutzerzertifikate mit dem in 7 SigG bestimmten Inhalt. Ein solches Zertifikat ist die Bestätigung der Zuordnung eines zuverlässig identifizierten Signaturschlüssel-Inhabers zum Signaturprüfschlüssel, mit dessen korrespondierenden Signaturschlüssel die Signatur erstellt wurde. Handelt es sich wie im 7 SigG beschrieben um ein qualifiziertes Zertifikat, und war es darüber hinaus zum Signaturerstellungszeitpunkt gültig, kann der Nachweis der Authentizität grundsätzlich erbracht werden, sofern eine Prüfung des Zertifikats gemäß Signaturgesetz erfolgreich verlaufen ist. Für den langfristigen Nachweis der Authentizität signierter Daten ist daher wesentlich, dass die Existenz des Nutzerzertifikats sowie seine Gültigkeit zum Signaturerstellungszeitpunkt nachweisbar bleiben. Eine notwendige Voraussetzung für eine Prüfung eines qualifizierten Zertifikats gemäß Signaturgesetz ist es, dass das Zertifikat überhaupt vorliegt. Ein Zertifizierungsdiensteanbieter hat die von ihm ausgestellten Zertifikate gemäß 5 Abs. 1 Satz 2 SigG über öffentlich erreichbare Kommunikationsverbindungen jederzeit nachprüfbar und mit Zustimmung des Signaturschlüssel-Inhabers auch abrufbar zu halten. Die Nachprüfbarkeit setzt voraus, dass das Zertifikat in dem vom Zertifizierungsdiensteanbieter gemäß 4 Abs. 1 SigV zu führenden Zertifikatsverzeichnis vorhanden ist. Eine Signaturprüfung nach Signaturgesetz erfordert daher, zusätzlich zur Überprüfung der technischen Gültigkeit der Signatur, also der Überprüfung, ob die Signatur im kryptographischen Sinne korrekt verifiziert werden kann und die Signatur und die signierten Daten technisch zueinander gehören, stets auch eine Abfrage beim Zertifizierungsdiensteanbieter, ob das der Signatur zugrunde liegende Zertifikat zum angegebenen Zeitpunkt vorhanden, gültig und nicht gesperrt war. Der Zertifizierungsdiensteanbieter hat diese Auskunft gemäß 5 Abs. 1 Satz 2 SigG über öffentlich erreichbare Kommunikationsverbindungen zu erteilen. Da die Authentizität der Auskunft nachweisbar sein muss, werden Auskünfte der Zertifizierungsdiensteanbieter üblicherweise mit einer qualifizierten elektronischen Signatur versehen. Allerdings sind diese Pflichten des Zertifizierungsdiensteanbieters zweifach beschränkt. Zunächst kann der Signaturschlüssel-Inhaber gemäß 5 Abs. 1 Satz 3 SigG bestimmen, dass sein Zertifikat nicht abrufbar sein soll. Dem Zertifizierungsdiensteanbieter ist in diesem Fall nicht gestattet, das Zertifikat zum Abruf bereitzustellen. Der Signaturschlüssel-Inhaber selbst muss das Zertifikat dem bestimmungsgemäßen Empfänger der von ihm signierten Daten auf andere Weise zur Verfügung stellen, beispielsweise dadurch, dass das Zertifikat der Signatur beigefügt wird. Die Verpflichtung des Zertifizierungsdiensteanbieters ist aber auch zeitlich begrenzt. Nach 4 Abs. 1 SigV besteht die gesetzliche Verpflichtung nur für einen Zeitraum von bis zu fünf Jahren nach dem Schluss des Jahres, in dem die Gültigkeit des Zertifikats abläuft. Dieser Zeitraum verlängert sich um weitere 25 Jahre, falls der Zertifizierungsdiensteanbieter akkreditiert ist (vgl. 4 Abs. 2 SigV). Sofern ein Zertifizierungsdiensteanbieter mit Anbieterakkreditierung seinen Betrieb einstellt, ist die Bundesnetzagentur (BNetzA) verpflichtet, die Dokumentation zu den ausgegebenen Zertifikaten zu übernehmen nicht jedoch, den technischen Betrieb fortzuführen (vgl. 15 Abs. 6 SigG). Eine automatisierte Prüfung wird somit bspw. nicht mehr ohne weiteres möglich sein. Bei qualifizierten Signaturverfahren im Zusammenhang mit Zertifizierungsdiensteanbieter mit Anbieterakkreditierung sind Zertifikate und Dokumentation nach 4 Abs. 2 und 8 Abs. 3 SigV 30 Jahre nach Ablauf des Jahres 22

23 der Gültigkeit des Zertifikats aufzubewahren.7 Im Falle der vorherigen Einstellung des Betriebs übernimmt dies ein anderer Zertifizierungsdiensteanbieter oder die BNetzA. Aus der gesetzlichen Beschränkung der Aufbewahrungspflicht des Zertifizierungsdiensteanbieters ergibt sich somit die Obliegenheit bzw. Verpflichtung des Empfängers signierter Daten, selbst dafür zu sorgen, dass er das Zertifikat und die zugehörigen Prüfinformationen8 vorlegen kann, wenn sie für ein Beweisbegehren benötigt werden. In der Regel wird der Empfänger daher die Vorkehrung treffen, nicht nur die signierten Daten und die Signatur, sondern auch die erforderlichen Zertifikate und Prüfinformationen, wenn schon nicht beim Eingang oder der Ausstellung signierter Daten, so doch dann spätestens bei der Ablage im elektronischen Archiv, einzuholen und gemeinsam mit den signierten Daten zu speichern.9 Für elektronische Signaturen basierend auf einem qualifizierten Zertifikat sind für den schlüssigen und nachvollziehbaren Nachweis der Existenz und der Gültigkeit des Zertifikats zum Signaturerstellungszeitpunkt die Vorlage und technische Verifikation folgender Daten erforderlich (s. [ARO 07], S. 73): das Nutzerzertifikat und ggf. Attributzertifikat mit Zertifikatskette bis zum Wurzelzertifikat, eine OCSP-Auskunft10 des Zertifizierungsdiensteanbieters (gegebenenfalls in Kombination mit einer Sperrliste) über die Existenz und die Gültigkeit des Zertifikats, ebenfalls mit Zertifikatskette bis zum Wurzelzertifikat, ein qualifizierter Zeitstempel bezogen auf die Signatur ebenfalls mit Zertifikatskette bis zum Wurzelzertifikat. Dabei ist es dem Anwender überlassen, wo er die Daten aufbewahrt. Er kann diese unmittelbar der Signatur oder den signierten Daten beifügen oder aber in einer gesonderten Objektdatenbank vorhalten und über eine eindeutige Referenzierung einen Zugriff auf diese zur Sicherstellung der Verfügbarkeit gewährleisten. Zu den für die langfristige Prüfbarkeit erforderlichen Sicherheitsmaßnahmen gehört auch die Signaturerneuerung nach 17 SigV, die zur Gewährleistung der Integrität erforderlich ist. Gemäß 17 SigV sind Daten mit einer qualifizierten elektronischen Signatur neu zu signieren, wenn sie für längere Zeit benötigt werden, als der Signaturalgorithmus als geeignet (technisch sicher) beurteilt werden kann. Da auch Verifikationsdaten elektronische Signaturen enthalten, unterliegen sie ebenso dem Erfordernis der Neusignierung nach 17 SigV. Erst durch ihre Einbeziehung in die Neusignierung kann die Unversehrtheit und damit Echtheit eines Zertifikats, einer Gültigkeitsabfrage oder eines Zeitstempels langfristig überprüft werden. 17 SigV begründet allerdings keine Rechtspflichten. Der Zweck dieser technischen Vorschrift ist darauf beschränkt, ein geeignetes Verfahren für eine langfristige Datensicherung zu beschreiben. Der Zertifizierungsdiensteanbieter hat jedoch den Signaturschlüssel-Inhaber gemäß 6 Abs. 1 Satz 2 SigG in Verbindung mit 6 Nr. 5 SigV darauf hinzuweisen, dass Daten mit einer qualifizierten elektronischen Signatur bei Bedarf gemäß 17 SigV neu zu signieren sind. Die Anwendung des Verfahrens ist damit grundsätzlich als eine Obliegenheit im Umgang mit signierten Daten anzusehen. Die Obliegenheit besteht allerdings unabhängig vom Hinweis des Zertifizierungsdiensteanbieters. Auch wenn 17 SigV somit grundsätzlich lediglich eine Obliegenheit begründet, kann eine Rechtspflicht zur Anwendung des 17 SigV bestehen. Diese muss sich dann jedoch aus anderen Gesetzen, Normen oder aus vertraglichen Regelungen ergeben. Eine Rechtspflicht zur Anwendung des Für fortgeschrittene Signaturverfahren sind keine Vorhaltefristen vorgesehen. Prüfinformationen sind die Ergebnisse einer Gültigkeitsprüfung einer Signatur und aller damit in Zusammenhang stehenden Zertifikate, die die Gültigkeit der Signatur und der Zertifikate zu einem gewissen Zeitpunkt (normalerweise dem Zeitpunkt der Signaturerstellung) angeben. Die Auskunft des Zertifizierungsdiensteanbieters enthält neben den Angaben darüber, ob das Zertifikat im Verzeichnis vorhanden ist, auch eine Information über den Status des Zertifikats. Sperrungen hat der Zertifizierungsdiensteanbieter gemäß 7 Abs. 2 SigV im Zertifikatsverzeichnis mit Angabe von Datum und Uhrzeit kenntlich zu machen. Da der Sperrstatus für eine Prüfung eines Zertifikats nach Signaturgesetz benötigt wird, sollten die Auskünfte auch aus diesem Grund unverzüglich einholt, geprüft und gespeichert werden. Online Certificate Status Protocol (OCSP), Client-Server Protokoll für die Online Statusabfrage eines Zertifikats bei einem Zertifizierungsdiensteanbieter, 23

24 SigV besteht immer dann, wenn der Empfänger auf Grund von Gesetzen oder Verträgen verpflichtet ist, den besonderen Beweiswert qualifizierter elektronischer Dokumente zu erhalten. Die Signaturverordnung sieht in 17 SigV ein Verfahren vor, wie und wann die erforderliche Neusignierung zu erfolgen hat: Daten mit einer qualifizierten elektronischen Signatur sind nach 6 Abs. 1 Satz 2 des Signaturgeset zes neu zu signieren, wenn diese für längere Zeit in signierter Form benötigt werden, als die für ihre Erzeugung und Prüfung eingesetzten Algorithmen und zugehörigen Parameter als geeignet beurteilt sind. In diesem Falle sind die Daten vor dem Zeitpunkt des Ablaufs der Eignung der Algorithmen oder der zugehörigen Parameter mit einer neuen qualifizierten elektronischen Signatur zu versehen. Diese muss mit geeigneten neuen Algorithmen oder zugehörigen Parametern erfolgen, frühere Signaturen einschließen und einen qualifizierten Zeitstempel tragen. Droht der Verlust der Sicherheitseignung der verwendeten Algorithmen und der zugehörigen Parameter, so sind die Daten und alle bestehenden Signaturen also gemäß 17 SigV erneut zu signieren. Dies ist die Grundlage der Beweiswerterhaltung elektronischer Dokumente. Mit 17 SigV wurde eine Norm geschaffen, die den Rahmen für eine technische Lösung umreißt, die den Anforderungen an die Beweiswerterhaltung genügt. Intention des vom Gesetzgeber normierten Verfahrens ist die fortdauernde Sicherstellung der Integrität und Authentizität des ursprünglich signierten Dokuments. Nach vorherrschender Rechtsmeinung (siehe hierzu [ARO 07], Kap ) ist die durch 17 SigV geforderte erneute qualifizierte elektronische Signatur keine (erneute) Willenserklärung, sondern ein Sicherungsmittel für vorhandene Willenserklärungen. Das Ziel des Verfahrens ist es, die Integrität einer qualifizierten elektronischen Signatur auch dann noch feststellen so können, wenn die mathematische Signaturprüfung aufgrund mangelnder Sicherheitseignung der verwendeten Algorithmen nicht mehr geeignet ist, die Integrität der Signatur zu belegen. Um sicherzustellen, dass die Echtheit qualifizierter elektronischer Signaturen trotz später möglicherweise bekannt werdender Sicherheitsmängel auf Dauer nachweisbar ist, wird eine Integritätssicherung benötigt, die die Signaturen zu einem Zeitpunkt konserviert, zu dem diese Mängel im Nachhinein als noch nicht relevant anzusehen sind. Diese Integritätssicherung muss den Nachweis darüber erbringen können, dass die Signatur und die signierten elektronischen Daten bereits zu diesem Zeitpunkt vorlagen. Die Integritätssicherung muss daher die Daten und die Signatur umfassen, und die Dokumentation des Zeitpunktes muss durch einen vertrauenswürdigen Dritten erfolgen, z. B. durch einen Zertifizierungsdiensteanbieter. Qualifizierte Zeitstempel gemäß Signaturgesetz können genau diesem Zweck dienen. Ein qualifizierter Zeitstempel ist gemäß 2 Nr. 14 SigG die elektronische Bescheinigung eines Zertifizierungsdiensteanbieters darüber, dass ihm bestimmte elektronische Daten zu einem bestimmten Zeitpunkt vorgelegen haben. Die aktuelle Fassung des Signaturgesetzes schreibt nicht mehr vor, dass ein qualifizierter Zeitstempel eine qualifizierte elektronische Signatur enthalten muss. Damit ist ein qualifizierter Zeitstempel alleine nicht ausreichend, eine Neusignierung durchzuführen. Ein qualifizierter Zeitstempel kann jedoch eine qualifizierte elektronische Signatur enthalten. Wird ein solcher signierter Zeitstempel für die Neusignatur verwendet, ist nach gängiger Rechtsauffassung eine weitere Signatur für die Beweiswerterhaltung weder notwendig noch sinnvoll (siehe dazu [SFD 06], S. 178 ff.). Die erneute Signatur muss rechtzeitig, d. h. vor Ablauf der Sicherheitseignung der verwendeten Algorithmen und zugehörigen Parameter mit neuen sicherheitsgeeigneten Algorithmen erfolgen. Entsprechende Übersichten geeigneter Algorithmen werden von der BNetzA nach Eignungsfeststellung durch das BSI veröffentlicht. Die Neusignierung muss alle vorhandenen Signaturen umschließen. Nur so lässt sich die Gesamtstruktur des Dokuments und der dazugehörigen Signaturen und Informationen erhalten. Da die Neusignierung lediglich als Sicherungsmittel dient, kann die (Neu-)Signatur beliebig viele Daten umschließen. Es muss sich jedoch beweisen lassen, dass ein bestimmtes Dokument in der Umschließung enthalten ist, das heißt (gemeinsam mit anderen) erneut signiert wurde. Zeitstempel sind technisch gesehen in der Regel ebenfalls elektronische Signaturen, deren sicherheitstechnische Eignung im Laufe der Zeit verloren gehen kann. Bevor dies geschieht, müssen diese Zeitstempel daher ebenfalls konserviert werden, indem ein erneuter Zeitstempel eingeholt wird. 24

25 17 SigV unterscheidet nicht danach, ob der Hash-Algorithmus, der Signatur-Algorithmus oder beide ihre Eignung verlieren. Der qualifizierte Zeitstempel muss sich aber nur dann sowohl auf die signierten Daten als auch auf die Signatur beziehen, wenn das verwendete Hash-Verfahren unsicher zu werden droht. Falls der Hash-Algorithmus noch geeignet ist, muss sich der zu bildende Zeitstempel nur auf die Signatur beziehen. Dies reicht aus, da die Daten weiterhin zuverlässig mit der alten Signatur verknüpft sind. Sicherheitstechnisch gesehen ist es nicht erforderlich, für die Daten einen neuen Hashwert zu bilden, um diesen dann neu zu signieren. Um eine wirtschaftliche Signaturerneuerung zu ermöglichen, ist es zudem nach 17 SigV nicht erforderlich, für jedes elektronische Datum, das erneut signiert werden muss, einen eigenen Zeitstempel einzuholen. Ein Zeitstempel darf sich vielmehr auf beliebig viele signierte Daten beziehen. Sicherheitstechnisch gesehen ist dies ohne weiteres möglich. Die Wirkung eines Zeitstempels als Mittel zur Integritätssicherung ist nicht davon abhängig, wie viele Signaturen gleichzeitig konserviert werden. Auch wurde bereits in der amtlichen Begründung zu 18 SigV 1997 ausgeführt, dass für eine beliebige Anzahl signierter Daten eine (übergreifende) neue digitale Signatur angebracht werden kann. Die Neusignierung von Teilen eines elektronischen Archivs ist damit auch automatisiert möglich. Als automatisierte elektronische Signatur wird eine Signatur verstanden, die von einem automatischen Prozess ohne Mitwirkung eines Menschen erzeugt wird. Dabei wird davon ausgegangen, dass ein Mensch diesen Prozess zwar bewusst einleitet, er aber weder die zu signierenden Daten im Einzelfall vor der Signatur überprüft, noch den Signaturschlüssel im Einzelfall freischaltet. Die Erstellung qualifizierter elektronischer Signaturen oder qualifizierter Zeitstempel im Massenverfahren ist ebenfalls zulässig Bundesarchivgesetz und Landesarchivgesetze Alle öffentlichen Stellen des Bundes und der Länder sind gesetzlich verpflichtet, Unterlagen, die für die Aufgabenwahrnehmung nicht mehr benötigt werden, vor ihrer Vernichtung dem Bundes- bzw. Landesarchiv zur Übernahme als Archivgut des Bundes / des Landes anzubieten (vgl. 2 Abs. 1 BArchG und entsprechende Landesarchivgesetze). Diese Anbietungspflicht gilt selbstverständlich auch für elektronische Unterlagen. Da die Archivierung jedoch nicht Gegenstand dieser TR ist, wird auf die entsprechenden rechtlichen Anforderungen nicht näher eingegangen.12 Hinweis: Nach 2 BArchG sind zunächst grundsätzlich alle Unterlagen von Bundesbehörden aufzubewahren; die bereichsspezifischen Regelungen nach BGB, HGB etc. stellen keine Löschungsermächtigung dar, sondern bezeichnen gesetzliche Mindestfristen für die Aufbewahrung. Die Entscheidung über die Aufbewahrungswürdigkeit (»Archivwürdigkeit«) steht nach 3 BArchG allein dem Bundesarchiv im Benehmen mit den anbietenden Stellen des Bundes zu. Die Kriterien einer Entscheidung über den bleibenden Wert ergeben sich nicht zwingend aus den fachrechtlichen Gründen für die Entstehung der Unterlagen Sachbezogene rechtliche Rahmenbedingungen Die Aufbewahrung elektronischer Daten und Dokumente erfolgt grundsätzlich nicht zum Selbstzweck. Vielmehr werden damit, unabhängig davon, ob die Aufbewahrung einer Pflicht genügt oder im eigenen Interesse vorgenommen wird, bestimmte Zwecke verfolgt. Diese Zwecke können einzeln oder kumulativ vorliegen und in den Sachzusammenhängen selbst, in denen die Daten und Dokumente erzeugt und verwendet werden, oder den geltenden rechtlichen Regelungen begründet sein. Für eine Vielzahl von Unterlagen hat der Gesetzgeber spezifische Regelungen hinsichtlich der Aufbewahrung getroffen. Nachfolgend (Kap bis ) werden anhand von Auszügen aus [ARO 07, ebenda Kap. 4.3] für ausgewählte Dokumentarten, zu deren Erstellung und Aufbewahrung Personen, Unternehmen oder öffentliche Verwaltungen verpflichtet sind, die gesetzlich bestehenden Anforderungen beispielhaft beschrieben Siehe hierzu eingehend [ARO 07], Kap Siehe hierzu Kapitel

26 Aufbewahrung elektronischer Rechnungen13 Sofern bei elektronischen Rechnungen die Umsatzsteuer gegenüber dem Finanzamt geltend gemacht werden soll, sind sie gemäß 14 Abs. 3 [UStG] vom Rechnungsaussteller qualifiziert zu signieren. Die Signatur soll Fälschungen elektronischer Rechnungen und damit eine missbräuchliche Geltendmachung der Umsatzsteuer ausschließen und dient somit allein der Sicherung von Integrität und Authentizität der Daten. Zur Aufbewahrung elektronisch signierter Rechnungen, die nach 14b UStG zehn Jahre aufzuheben sind, hat das BMF durch Schreiben vom die Anforderungen an die Aufbewahrung nach 14b UStG konkretisiert. Danach hat der Aufbewahrungspflichtige bei elektronisch übermittelten signierten Rechnungen auch die Signatur als Nachweis über die Echtheit und Unversehrtheit der Daten aufzubewahren (TZ 70 des Schreibens).15 Nach TZ 76 sind für die Archivierung und Prüfbarkeit der signierten Rechnungen darüber hinaus die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen [GDPdU] zu berücksichtigen.16 Abschnitt II der GDPdU legt fest, wie qualifiziert signierte Unterlagen (z. B. elektronische Rechnungen nach 14 Abs. 4 UStG) zu prüfen und in elektronische (technische) Archivsysteme einzubinden sind. Danach setzt eine jederzeitige Überprüfbarkeit des Originalzustands einer qualifiziert signierten Abrechnung unter anderem voraus, dass vor einer weiteren Verarbeitung der elektronischen Abrechnung die qualifizierte elektronische Signatur im Hinblick auf die Integrität der Daten und die Signaturberechtigung zu prüfen und das Ergebnis zu dokumentieren ist. Daneben sind der Signaturprüfschlüssel sowie das qualifizierte Zertifikat des Absenders der signierten Rechnung aufzubewahren. Darüber hinaus muss die Speicherung der elektronischen Abrechnung auf einem Datenträger erfolgen, der Änderungen nicht mehr zulässt. Bei einer Zwischenspeicherung auf einem änderbaren Datenträger muss das DV-System den Schutz vor Veränderungen sicherstellen. Zwar ist auch eine Transformation zulässig, doch sind in einem solchen Fall sowohl das ursprüngliche wie auch das neue Dokument aufzubewahren. Ebenfalls sind umfassende Protokollierungen der einzelnen Vorgänge vorzunehmen Aufbewahrung buchführungsrelevanter Unterlagen 17 Das Handels- und Steuerrecht sieht gemäß 238 ff. HGB und 140 ff. AO für Kaufleute umfassende Buchführungspflichten vor.18 Aus den Büchern müssen sich die Geschäftsvorfälle in ihrer Entstehung und Abwicklung verfolgen lassen und die Vermögenslage des Unternehmens ersichtlich sein. Damit soll der Kaufmann einen transparenten Überblick über seine wirtschaftliche Lage erhalten, die ihm zur Selbstkontrolle dient sowie eine Rechenschaft gegenüber Gläubigern und der Steuerbehörde ermöglicht. Die Buchführung ist damit die wesentliche Grundlage für die Nachvollziehbarkeit der steuerrechtlich relevanten Vorgänge und ihrer Kontrolle durch das zuständige Finanzamt. Aus diesen Zielsetzungen heraus ergeben sich auch die wesentlichen Anforderungen an Inhalt und Form der Buchführung und ihrer Aufbewahrung. Nach den Grundsätzen ordnungsgemäßer Buchführung (GoB) hat die Buchführung gemäß 239 Abs. 2 HGB richtig und vollständig zu sein sowie auch zeitgerecht und geordnet zu erfolgen.19 Unter Zugrundelegung der GoB wird für die Langzeitspeiche S. [ARO 07], Kap Schreiben des BMF vom zur Umsetzung der Richtlinie 2001/115/EG (Rechnungsrichtlinie) und der Rechtsprechung des EuGH und des BFH zum unrichtigen und unberechtigten Steuerausweis durch das Zweite Gesetz zur Änderung steuerlicher Vorschriften (Steueränderungsgesetz 2003 StÄndG 2003). Dies gilt auch dann, wenn nach anderen Vorschriften die Gültigkeit dieser Nachweise bereits abgelaufen ist. BMF-Schreiben vom Die Schreiben des Bundesministeriums für Finanzen sind Verwaltungsanweisungen ohne Rechtsnormcharakter. Sie binden zwar die Verwaltung, aber nicht die Gerichte, haben aber als Willensbekundung des BMF hohe Bedeutung. Sie bieten auch Leitlinien für die Hersteller und Betreiber von Buchführungs- und technischen Archivsystemen, da die Finanzbehörden sich bei der Prüfung grundsätzlich an diesen orientieren. S. [ARO 07], Kap Die handelsrechtliche Buchführungspflicht folgt aus dem allgemeinen Handelsrecht und den handelsrechtlichen Nebengesetzen. 238 ff. HGB werden insbesondere durch 150 AktG, 41 ff. GmbHG, 33 GenG und durch das Gesetz über die Rechnungslegung von bestimmten Unternehmen und Konzernen (PublG) ergänzt. Eine Buchführungspflicht kann sich darüber hinaus auch allgemein aus Gesetz oder Vertrag ergeben, insbesondere aus der Pflicht zur Verwaltung fremden Vermögens und Rechnungslegung hierüber. Die Grundsätze ordnungsgemäßer Buchführung sind ein unbestimmter Rechtsbegriff und ihre Rechtsnatur ist umstritten. Ihr Inhalt ist teilweise gesetzlich normiert, teilweise sind es ungeschriebene und sich aus dem Gewohnheitsrecht oder aus

27 rung von Dokumenten insbesondere verlangt, dass die Ordnungsmäßigkeit, Vollständigkeit und Sicherheit des Gesamtverfahrens gewährleistet ist. Die Buchführung muss vor Verlust von Daten gesichert sowie vor Veränderung, Verfälschung und vor Zugriffen Unberechtigter geschützt sein. Eine Dokumentation des Verfahrens und damit die Nachvollziehbarkeit und Prüfbarkeit der Buchführung müssen ebenso sichergestellt werden wie die Möglichkeit, einem sachverständigen Dritten anhand der Bücher innerhalb angemessener Zeit einen Überblick über die Geschäftsvorfälle und die Lage des Unternehmens zu vermitteln. Änderungen sind nach 239 Abs. 3 HGB nur zulässig, wenn sie den ursprünglichen Inhalt und die Tatsachen späterer Änderung erkennen lassen. Die Form der Buchführung wird mit einigen Ausnahmen gemäß 257 Abs. 3 HGB, 147 Abs. 5 AO dem Buchführungspflichtigen überlassen. Die handels- und steuerrechtlichen Aufbewahrungsfristen sind in 257 Abs. 4 HGB und 147 Abs. 3 AO normiert. Sie sehen eine 10-jährige Aufbewahrungsfrist für Handelsbücher, Inventare, Eröffnungsbilanzen, Jahresabschlüsse, Lageberichte, Konzernabschlüsse, Konzernlageberichte, Arbeitsanweisungen und sonstige Organisationsunterlagen sowie Buchungsbelege vor (siehe Tabelle 2). Eine sechsjährige Aufbewahrungspflicht besteht hingegen für empfangene Handels- und aufbewahrungsbedürftige Geschäftsbriefe, Wiedergaben der abgesandten Handels- und Geschäftsbriefe und sonstige Unterlagen, soweit sie für die Besteuerung von Bedeutung sind. Die Aufbewahrungsfrist beginnt entsprechend 257 Abs. 5 HGB und 147 Abs. 4 AO mit dem Ablauf des Kalenderjahres, in dem die Unterlagen und Aufzeichnungen entstanden oder zugegangen sind oder die letzte Eintragung in das Handelsbuch erfolgt ist. Aufbewahrungspflichtige Unterlagen Handelsbücher, Inventare, Eröffnungsbilanzen, Jahresabschlüsse, Lageberichte, Konzernabschlüsse, Konzernlageberichte sowie die zu ihrem Verständnis erforderlichen Arbeitsanweisungen und sonstigen Originalunterlagen Aufbewahrungsfrist 10 Jahre Empfangene Handelsbriefe 6 Jahre Wiedergaben der abgesandten Handelsbriefe 6 Jahre Buchungsbelege 10 Jahre Tabelle 2: Aufbewahrungspflichtige Unterlagen nach HGB, Quelle [SBR 04], S. 16 Um den Kaufmann sowie den Steuerpflichtigen nicht zu einer kostenintensiven Aufbewahrung sämtlicher Unterlagen zu zwingen, lassen sowohl das Handels- als auch das Steuerrecht eine Erstellung der Buchführung sowie ihrer Aufbewahrung nach 239 Abs. 4, 257 Abs. 3 HGB sowie 146 Abs. 5, 147 Abs. 2 AO auch als Wiedergabe auf einem Bildträger oder auf einem anderen Datenträger" zu20, wobei die Buchführung den Grundsätzen ordnungsgemäßer Buchführung (GoB) entsprechen muss.21 Ergänzt und konkretisiert wurden diese Anforderungen erstmals durch die Grundsätze der Speicherbuchführung (GoS)22, die durch die Grundsätze ordnungsgemäßer datenverarbeitungsgestützter Buchführungssysteme (GoBS) ersetzt wurden und Anforderungen insbesondere an die Datensicherheit stellen.23 Konkret zu ergreifende Maßnahmen zur Umsetzung der Anforderungen zur Erfüllung der Buchführungspflichten beinhalten die Regelungen nicht. In 5.6 der Anlage zu den GoBS heißt es lediglich: dem Handelsbrauch ergebende Grundsätze. Sie stellen somit Regeln dar, die einzuhalten sind, um einen gesetzlichen Zweck (bspw. eine ordnungsgemäße Buchführung) zu erreichen. Die Zulässigkeit der alleinigen bildlichen Wiedergabe besteht mit der Einschränkung, dass Eröffnungsbilanzen, Jahresabschlüsse und Konzernabschlüsse im Original aufzubewahren sind. Die Zulassung der Wiedergabe auf Bild- oder andere Datenträger wurde auf Grund des Wandels der wirtschaftlichen Verhältnisse wie auch der fortschreitenden technologischen Entwicklung 1977 eingeführt. BStBl. I 1978,

28 Da das,wie' der Datensicherheit von dem jeweils gegebenen Stand der EDV Technik abhängt, er gibt sich aus der technischen Entwicklung für das Unternehmen die Notwendigkeit, ihr Datensicher heitskonzept den jeweils aktuellen Anforderungen und Möglichkeiten anzupassen. Es obliegt daher dem Buchführungspflichtigen, aus diesen allgemeingültigen Anforderungen die für ihn erforderlichen Maßnahmen zur Erfüllung einer ordnungsgemäßen Buchführung abzuleiten. Der Einsatz elektronischer Signaturen zur Sicherung seiner Unterlagen liegt somit im Ermessen des Buchführungspflichtigen. Eine weitere Konkretisierung erfolgte diesbezüglich auch nicht durch II 2 der Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU). Die dort festgelegten Anforderungen an die Prüfbarkeit aufbewahrungspflichtiger, digitaler Unterlagen bestätigen nur nochmals die Notwendigkeit der unveränderbaren Speicherung durch den Einsatz geeigneter Datenträger und Datenverarbeitungssysteme. Parallele Vorschriften zu den handels- und steuerrechtlichen Regelungen zur Aufbewahrung von buchführungsrelevanten Unterlagen im Privatrecht, finden sich für den öffentlichen Bereich in den Haushaltsordnungen. Dabei ist zwischen der Bundes- und der Landesebene zu unterscheiden. Übergreifende haushaltsrechtliche Regelungen für Bund und Länder sind im Gesetz über die Grundsätze des Haushaltsrechts des Bundes und der Länder (HGrG) normiert. Sowohl beim Erlass der Bundeshaushaltsordnung als auch den jeweiligen Landeshaushaltsordnungen müssen diese Grundsätze berücksichtigt werden. Während 33 HGrG die grundsätzliche Pflicht zur Buchführung regelt, verweist 33a HGrG zur näheren Ausgestaltung auf die Grundsätze der ordnungsgemäßen Buchführung und Bilanzierung nach den Vorschriften des Handelsgesetzbuchs. Es findet sich zwar zum Beispiel in der Bundeshaushaltsordnung kein expliziter Verweis auf die Vorschriften des Handelsgesetzbuchs, dennoch ist davon auszugehen, dass sowohl in der Bundeshaushaltsordnung als auch in den Landeshaushaltsordnungen und den jeweils konkretisierenden Verwaltungsvorschriften keine Regelungen enthalten sind, die denen des Handelsgesetzbuchs widersprechen. Daher kann auf die allgemeinen Ausführungen zur Aufbewahrung buchführungsrelevanter Unterlagen im Privatrecht verwiesen werden. Unterschiede ergeben sich allerdings zum Beispiel hinsichtlich der konkreten Aufbewahrungsfristen, die betreffend der haushaltsrelevanten Unterlagen in den jeweiligen Verwaltungsvorschriften normiert sind Aufbewahrung von Personalunterlagen24 Besonders im Personalbereich führen Aufzeichnungs-, Melde- und Aufbewahrungspflichten zu einer Fülle von Dokumenten. Den Unternehmen werden zahlreiche unmittelbar sowie mittelbar normierte Aufzeichnungspflichten25 und hinzutretende Aufbewahrungspflichten26 auferlegt. Die Aufbewahrungspflicht kann einerseits ausdrücklich normiert sein, andererseits ergibt sich dies aber auch mittelbar aus der Aufzeichnungspflicht.27 Denn diese kann durch die jeweilige Aufsicht führende Stelle28 nur kontrolliert werden, wenn die Aufzeichnungen aufbewahrt werden, bis eine Kontrolle stattgefunden hat. Die Aufbewahrung erfolgt zu verschiedenen Zwecken, die einzeln oder kumulativ auftreten können. Eine große Zahl der Aufbewahrungspflichten dient der Durchführung von Kontrollen. Erforderlich ist jeweils, dass hierfür eine Rechtsgrundlage in Form eines Gesetzes oder einer hierauf beruhenden Rechtsverordnung besteht, die Zweck, Umfang und Verwendung der Aufzeichnungen regelt. Eine wichtiges Beispiel für eine kontrollorientierte Aufzeichnungspflicht ist gemäß 6 Arbeitsschutzgesetz [ArbSchG] die Dokumentation der Tätigkeiten nach dem Arbeitsschutzgesetz, insbesondere die Erfassung bestimmter Betriebsunfälle gemäß 6 Abs. 2 ArbSchG. Die Aufbewahrung dient hier der Kontrolle durch die zuständige Behörde Als Verwaltungsanweisungen sind sie zwar lediglich für die Verwaltung bindend, stellen indirekt jedoch Leitlinien für den Aufbewahrungspflichtigen dar, da die Verwaltung sich bei der Prüfung an diesen Anweisungen grundsätzlich orientiert. S. [ARO 07], Kap So z. B. in 16 Abs. 2 ArbZG, 2 Abs. 1 Satz 1 NachwG. 7 Abs. 2 Satz 4 AÜG; 39b Abs. 1 Satz 2 EStG. 6 ArbSchG Wie z. B. die Bundesagentur für Arbeit ( 16 Abs. 3 i.v.m. 16 Abs. 1 Nr. 6 AÜG) oder die Ämter für Arbeitsschutz, die Gewerbeaufsichtsämter oder Berufsgenossenschaften. Ämter für Arbeitsschutz, Gewerbeaufsichtsämter oder Berufsgenossenschaften

29 In Bezug auf die arbeitsvertraglichen Unterlagen trifft den Arbeitgeber über die steuerlichen und sozialversicherungsrechtlichen Vorschriften hinaus keine Pflicht zur Aufbewahrung. Die Art und Weise der Aufbewahrung überlässt der Normgeber in vielen Fällen der jeweiligen aufbewahrungspflichtigen Stelle. So verlangt 7 Abs. 2 Satz 4 AÜG die Aufbewahrung von Geschäftsunterlagen und verlangt in 7 Abs. 2 Satz 3 AÜG eine Glaubhaftmachung in sonstiger Weise. Sofern eine besondere Form nicht vorgeschrieben ist, gilt die Regel, dass aus den aufbewahrten Dokumenten hervorgehen muss, dass der Verpflichtete die jeweiligen rechtlichen Pflichten erfüllt hat. Für die Kündigung und den Auflösungsvertrag ist gemäß 623 BGB die elektronische Form ausdrücklich ausgeschlossen. Dies führt dazu, dass auch die spätere Aufbewahrung in elektronischer Form zumindest zeitweise nur kumulativ zum gedruckten Original erfolgen darf, damit die Einhaltung der Form nachgewiesen werden kann. Nach 14 Abs. 4 TzBfG i.v.m. 126 Abs. 3 BGB genügt für die Befristung eines Arbeitsvertrages die elektronische Form Abs. 1 Satz 3 NachwG schließt allerdings die elektronische Form für den Nachweis der wesentlichen Vertragsbedingungen nach dem Nachweisgesetz aus. Zu den wesentlichen Vertragsbedingungen nach dieser Vorschrift gehören auch die Vereinbarungen zur Befristung. Demnach ist ein Abschluss der Befristung in elektronischer Form zwar möglich, durch die Anforderungen des Nachweisgesetzes wird aber die Aufbewahrung in schriftlicher Papierform notwendig. Die Fristen für die Aufbewahrung sind teilweise nach Jahren bemessen 30, teilweise richten sie sich nach der Betriebszugehörigkeit des Mitarbeiters31, dessen Lebensalter nach der Pensionsgrenze32, der Nutzungsdauer von Anlagen und Geräten33 sowie der Zugehörigkeit in Gremien Aufbewahrung medizinischer Dokumentation35 Diente die ärztliche Dokumentation einer Behandlung ursprünglich allein zur Gedächtnisstütze des Arztes, so ist heute anerkannt, dass sie auch im Interesse des Patienten erfolgt. Erst sie ermöglicht dem Patienten, Kenntnis über den Behandlungsverlauf zu erlangen, und ist damit wesentlich für die Ausübung seines Rechts, anderweitig sachkundige Auskünfte über seinen Gesundheitszustand sowie über einen weiteren erforderlichen Behandlungsbedarf einzuholen. Zwar ist strittig, ob bereits die Dokumentationserstellung auch zum Zweck der Beweissicherung erfolgt und daher dieser Zweck den Umfang der zu erstellenden Dokumentation bestimmt; unstrittig ist allerdings, dass der Dokumentation in dem Umfang, in dem sie vorliegt und aufbewahrt wird, eine beweissichernde Funktion zukommt. Über die Grundlage der ärztlichen Dokumentations- und Aufbewahrungspflicht bestehen ebenfalls unterschiedliche Ansichten. Teils wird sie als vertragliche Nebenpflicht aus dem Arztvertrag oder dem Krankenhausaufnahmevertrag verstanden, teils gilt sie als unverzichtbare Grundlage für die Sicherheit des Patienten in der Behandlung und somit als Teil der ärztlichen Behandlungspflicht; auch aus dem Persönlichkeitsrecht des Patienten wird sie hergeleitet.36 Normiert sind Dokumentations- und Aufbewahrungspflichten außer in vereinzelten Vorschriften im Gesundheitsverwaltungsrecht37 nur in den Kammergesetzen der Länder und den darauf basierenden Berufsordnungen für Ärzte. [...] Beispielsweise sieht 28 Abs. 4 [RöntgVO] eine zehn- bzw. 30-jährige Aufbewahrungsfrist für Aufzeichnungen über Röntgenbehandlungen vor. Längere Fristen können sich aber auch daraus ergeben, dass die Informationen für eine spätere Behandlung des Patienten noch benötigt werden. Unter Umständen kann es sein, dass medizinische Daten eines Kindes bis in dessen hohes Alter aufbewahrt werden müssen, weil ihre Kenntnis auch dann noch relevant sein kann Abs. 2 Satz 2 ArbZG; 165 Abs. 4 Satz 2 SGB VII; 22 Abs. 3 LadenSchlußG; 50 Abs. 2 JArbSchG 41 Abs. 1 JArbSchG; 80 SGB I. 13 Abs. 4 Satz 1 und Satz 2 BiostoffVO BImSchVO; 27 StrlSchVO. 19 WO (1. VO zur Durchführung des BetrVG). S. [ARO 07], Kap Die Rechtsprechung spricht in diesem Zusammenhang von einer selbstverständlichen therapeutischen Pflicht ; s. erstmals BGH, NJW 1978, 2339; Siehe z. B. 43 StrlSchVO, 29 Abs. 2 RöntgVO, 19 ArbStoffVO, 37 JArbSchG 29

30 Aus den Dokumentationszwecken werden Art, Inhalt und Umfang der Dokumentationspflicht abgeleitet. Sie umfasst den gesamten Behandlungsverlauf, wobei ihr Umfang sich auf das medizinisch Übliche und das zur Erreichung der Dokumentationszwecke Erforderliche reduziert: Sie muss alle wesentlichen diagnostischen und therapeutischen Bewandtnisse, Gegebenheiten und Maßnahmen in einer für den Fachmann hinreichend klaren Form beinhalten und in unmittelbarem Zusammenhang mit der Behandlung erfolgen. Hinsichtlich der Form sieht 10 Abs. 5 MBO-Ärzte explizit vor, dass die Dokumentation in elektronischer Form erfolgen und aufbewahrt werden kann.38 Allerdings bedürfen Aufzeichnungen auf elektronischen Datenträgern oder anderen Speichermedien gemäß 10 Abs. 5 Satz 1 MBO-Ärzte besonderer Sicherungs- und Schutzmaßnahmen, um deren Veränderungen, Vernichtung oder unrechtmäßige Verwendung zu verhindern. Die entsprechend Satz 2 zu beachtenden Empfehlungen der Ärztekammer präzisieren insbesondere die Anforderungen und zu treffenden Maßnahmen zur Wahrung des Datenschutzes und der Datensicherheit zur Gewährleistung des informationellen Selbstbestimmungsrechts des Patienten und der Schweigepflicht des Arztes. Der Einsatz elektronischer Signaturen wird zur Datensicherung und damit zur Erhöhung des Beweiswerts der Dokumentation angesprochen, allerdings ihre Eignung zur Erreichung des Ziels offen gelassen. Diese Unsicherheit dürfte heute, knapp zehn Jahre später, nicht mehr bestehen. So muss auch der Heilberufsausweis für Ärzte, der gemäß 291a Abs. 5 Satz 3 SGB V als Zugriffsinstrument auf die Daten der elektronischen Gesundheitskarte erforderlich ist, in der Lage sein, qualifizierte elektronische Signaturen zu erstellen.39 Auch wenn sich daraus nicht zwingend ergibt, dass die gesamte ärztliche Dokumentation elektronisch signiert und mit Zeitstempeln versehen werden muss, so ist diese Form der Dokumentation und Aufbewahrung empfehlenswert, da der elektronischen Dokumentation dadurch bei etwaigen gerichtlichen Auseinandersetzungen40 ein großes Maß an Beweiskraft verliehen wird Die Aufbewahrung von Bankunterlagen41 Ebenso wie das Rechtsgebiet des Bankrechts eine Bündelung von mehreren Gesetzen umfasst, so finden sich auch die Vorschriften über die Erstellung und Aufbewahrung von Bankunterlagen in unterschiedlichen Vorschriften wieder. Die wichtigsten Normen zur Aufbewahrung von Bankunterlagen stellen 25a Abs. 5 KWG, 9 GWG und 34 WpHG dar. Die einzelnen Aufbewahrungsbestimmungen müssen wiederum zweckorientiert ausgelegt werden. Die genannten Gesetze unterscheiden sich durch ihre jeweilige Zielbestimmung, ihnen ist aber eine Überschneidung des Adressatenkreises gemeinsam. So richten sich alle insbesondere an Kredit- und Finanzdienstleistungsinstitute.42 [...] Das Kreditwesengesetz verfolgt den Zweck, die Funktionsfähigkeit, Stabilität und Integrität des Kredit- und Finanzdienstleistungswesens sicherzustellen.43 Gemäß 6 Abs. 1 KWG übt die Kontrolle über die Institute die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) aus. Der Durchführung der Überwachung dient ausdrücklich die in 25a Abs. 1 Nr. 5 KWG für die Institute normierte Aufzeichnungs- und Aufbewahrungspflicht. Danach müssen die Institute dafür Sorge tragen, dass eine vollständige Dokumentation der ausgeführten Geschäfte eine lückenlose Überwachung durch die BaFin gewährleistet. Aus dieser Vorschrift ergibt sich in Ergänzung der Grundanforderungen die weitere Anforderung der Vollständigkeit hinsichtlich aller Geschäftsvorgänge. Des Weiteren wird hinsichtlich Bereits [KIL 1987], NJW 1987, 696 ff.; [SBJ 1991], NJW 1991, 2335; [INHE 1995], NJW 1995, 689 Hierzu und zur Signaturfunktionalität auf dem Heilberufsausweis und der Gesundheitskarte [HORN 04], 229 f.; [HORN 05], 63 f. Laut Medical Tribune (MTD, Ausgabe 49 / 2001 S.34) gibt es jährlich etwa Kunstfehler, Haftpflichtansprüche gegen Ärzte und Arzthaftungsprozesse. Siehe [ARO 07], Kap Siehe 1 Abs. 1 Satz 1 KWG, 1 Abs. 4 Satz 1 GwG und 2 Abs. 4 WpHG. Kreditinstitut ist, wer eines der in 1 Abs. 1 Satz 1 KWG genannten Bankgeschäfte gewerbsmäßig oder in einem Umfang betreibt, der einen in kaufmännischer Weise eingerichteten Gewerbebetrieb erfordert. Die Qualifizierung als Kreditinstitut setzt damit das Betreiben eines der im Katalog des 1 Abs. 1 Satz 2 KWG genannten Bankgeschäfte voraus. Eine Legaldefinition des Begriffs des Finanzdienstleistungsinstituts findet sich in 1 Abs. 1a KWG.

31 der Aufbewahrungspflicht eine dokumentenspezifische Differenzierung getroffen, indem Buchungsbelege zehn Jahre und sonstige erforderliche Aufzeichnungen sechs Jahre aufzubewahren sind. Aufbewahrungspflichtige Unterlagen Aufbewahrungsfrist Aufzeichnungen, die eine lückenlose Überwachung der ausgeführten Geschäfte durch die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) für ihren Zuständigkeitsbereich gewährleisten Soweit dies Buchungsbelege darstellen 6 Jahre 10 Jahre Tabelle 3: Aufbewahrungspflichtige Unterlagen nach 25a Abs. 1 KWG, Quelle: [SBR 04], S. 19 Während diese Regelungen zunächst offen lassen, ob die Dokumentation in Papierform erstellt werden muss oder auch elektronisch erfolgen kann, schafft der zweite Halbsatz des 25a Abs. 1 Nr. 5 KWG insofern Klarheit, als er auf 257 Abs. 3 und Abs. 5 HGB verweist. Wie bereits ausgeführt, ist gemäß dieser Vorschrift die Aufbewahrung der Dokumentation als Wiedergabe auf einem Bildträger oder auf anderen Datenträgern zulässig, wenn dies den Grundsätzen der ordnungsgemäßen Buchführung entspricht und die weiteren Voraussetzungen gemäß 257 Abs. 3 Nr. 1 und Nr. 2 HGB erfüllt sind. Zusammenfassend muss die Aufbewahrung der Dokumentation auf Datenträgern nach dem KWG den Anforderungen der GoB entsprechen, mit den Originalen übereinstimmen und jederzeit verfügbar sein.44 Mit dem Geldwäschegesetz verfolgt der Gesetzgeber den Zweck, in Ergänzung zu der Normierung des Geldwäschestraftatbestands des 261 StGB die Nutzung des Finanzsystems zur Geldwäsche zu verhindern. Ziel ist es daher, präventiv die Einschleusung illegaler Gelder in den Finanzmarkt zu erschweren und zu verhindern. Ein wirksames Instrument der Kredit- und Finanzdienstleistungsunternehmen, sich vor dem Missbrauch ihrer Organisationen" zur Geldwäsche zu schützen, ist die in 2 Abs. 1 und 2 GwG normierte Identifizierungspflicht hinsichtlich des Vertragspartners bei Abschluss eines Vertrags zur Begründung einer auf Dauer angelegten Geschäftsbeziehung und jeweils bei Annahme von Bargeld, Wertpapieren oder Edelmetallen im Wert ab Euro. Die Identifizierung erfolgt in der Regel durch die Vorlage eines Ausweises. Die getroffenen Feststellungen über die Person müssen gemäß 9 GwG aufgezeichnet und für die Dauer von sechs Jahren aufbewahrt werden. Die Aufzeichnungen können gemäß 9 Abs. 2 GwG auch auf elektronischen Datenträgern erfolgen. Die weiteren Anforderungen, die diese Vorschrift an die elektronische Aufbewahrung stellt, entsprechen den Ausführungen zum Kreditwesengesetz. 44 Ausdrücklich genannt wird in 257 Abs. 3 Nr. 2 auch die Lesbarkeit, die hier nicht noch einmal explizit genannt wird, da sie bereits zu den Grundanforderungen zählt. 31

32 Aufbewahrungspflichtige Unterlagen Aufzeichnungen über die Erbringung von Wertpapierleistungen, dazu gehören: Der Auftrag und die hierzu erteilten Anweisungen des Kunden sowie die Ausführung des Auftrags Der Name des Angestellten, der den Auftrag des Kunden angenommen hat Datum und Uhrzeit der Erteilung und der Ausführung des Auftrags Die dem Kunden für den Auftrag in Rechnung gestellten Provisionen und Spesen Die Anweisungen des Kunden sowie die Erteilung des Auftrags an Dritte, soweit es sich um die Verwaltung von Vermögen handelt Die Erteilung eines Auftrags für eigene Rechnung an ein anderes Wertpapierunternehmen sofern das Geschäft nicht der Meldepflicht nach 9 WpHG unterliegt; Aufträge für eigene Rechnung sind besonders zu kennzeichnen. Soweit dies Buchungsbelege darstellen (nach HGB/AO) Aufbewahrungsfrist 6 Jahre 10 Jahre Tabelle 4: Aufbewahrungspflichtige Unterlagen nach WpHG, Quelle: [SBR 04], S. 19,20 Ziel des Wertpapierhandelsgesetzes ist der Schutz und die Stärkung des Vertrauens der Anleger in die Ordnungsmäßigkeit, Fairness und Integrität der Kapitalmärkte [...]. Das Wertpapierhandelsgesetz will durch die Einführung bestimmter Verhaltens- und Informationspflichten vertrauensbildende Maßnahmen schaffen. So gewährleistet die in 34 Abs. 1 WpHG normierte Aufzeichnungspflicht des Instituts für den Kunden eine hohe Transparenz hinsichtlich aller für ihn durchgeführten Wertpapierdienstleistungen. Die Aufbewahrungsdauer der aufgezeichneten Informationen richtet sich nach 34 Abs. 3 WpHG, der eine Aufbewahrungsfrist von sechs Jahren festlegt und im Übrigen auf den 257 Abs. 3 und Abs. 5 HGB verweist. Die Zulässigkeit und die weiteren Anforderungen für die Aufbewahrung der aufzuzeichnenden Informationen in elektronischer Form entsprechen wiederum den zuvor genannten Ausführungen. [...] Die Aufbewahrung von Akten der Verwaltung 45 Die grundsätzliche Pflicht zur Aktenförmigkeit und Dokumentation trifft [...] die gesamte Verwaltung unabhängig von gesetzlichen Anordnungen oder Organisationsstatuten als Ausfluss aus dem Rechtsstaatsprinzip und je nach Art des Verfahrens aus dem Grundsatz des fairen, objektiven und wahrheitsgetreuen Verwaltungsverfahrens. Als unausgesprochene Voraussetzung findet sie auch Niederschlag in 29 VwVfG, dem Recht auf Akteneinsicht der Beteiligten. Diese allgemeine Dokumentationspflicht umfasst die Pflicht der Behörden und Verwaltungseinheiten, ordnungsgemäße Akten zu führen und alle wesentlichen Vorgänge, die für das Verwaltungsverfahren während seiner Durchführung und später für seine Nachvollziehbarkeit relevant sind, in Niederschriften oder Aktenvermerken festzuhalten, Schriftwechsel aufzubewahren und den gesamten Vorgang aktenkundig zu machen.46 Differenziert werden drei Gebote: Das Gebot der Aktenmäßigkeit, der Vollständigkeit und der wahrheitsgetreuen Aktenführung. [ ] Darüber hinaus sind alle Stellen des Bundes verpflichtet, Unterlagen, die für die Aufgabenwahrnehmung nicht mehr benötigt werden, vor ihrer Vernichtung dem Bundesarchiv zur Übernahme als Archivgut des Bundes anzubieten (vgl. 1 Abs. 1 Bundesarchivgesetz). Diese Anbietungsverpflichtung gilt selbstverständlich auch für elektronisch erstellte oder elektronisch erfasste Unterlagen Siehe [ARO 07], Kap So auch 2 RegR der Bundesministerien: Die Geschäftstätigkeit der Verwaltung folgt dem Grundsatz der Schriftlichkeit. [ ] Die Aktenführung sichert ein nachvollziehbares transparentes Verwaltungshandeln. ; Siehe dazu auch KBSt, DOMEA Erweiterungsmodul Aussonderung und Archivierung elektronischer Akten, S. 11 ff, abrufbar unter

33 Neben der Pflicht zur Aktenförmigkeit und Dokumentation wirkt außerdem das in 30 VwVfG und in einigen besonderen Verwaltungsverfahrensgesetzen ( 30 AO, 35 SGB I, 5 BDSG) normierte Verwaltungsgeheimnis auf die Anforderungen an die Aufbewahrung ein. Die Dokumentationspflicht selbst folgt [...] verschiedenen Zwecken, die Einfluss auf die Anforderungen an die Aufbewahrung haben. Ein Zweck ist das Schaffen einer Möglichkeit für aufsichts- oder weisungsberechtigte übergeordnete Behörden oder auch Untersuchungsgremien, Kontrollen zur Rechtmäßigkeit im Nachhinein durchführen zu können. [...] Ein weiterer Zweck liegt in der Möglichkeit der Verfahrensbeteiligten über die Akteneinsicht das rechtmäßige Vorgehen der Verwaltungsbehörden und -einheiten zu überprüfen und gegebenenfalls mittels der Akten die Unrechtmäßigkeit zu beweisen. Hier spielt [...] bereits der Beweiszweck eine Rolle. Ein gewisser Vertrauensvorschuss der öffentlichen Verwaltung ist bei den Anforderungen hieraus an die Aufbewahrung zwar in Rechnung zu stellen und beispielsweise mit Blick auf öffentliche Urkunden auch rechtlich manifestiert, 47 doch andererseits ist die Verwaltung gerade im möglichen Streitfall Partei. [...] Daher liegt die Anknüpfung an die Beweiseignungskriterien der Prozessordnungen nahe, also die Verwendung von qualifizierten elektronischen Signaturen zumindest bei bedeutsamen Aktenbestandteilen. Zudem sind für alle hier genannten Zwecke die Vollständigkeit und die Erhaltung der Aktenstruktur von Bedeutung. Nicht zu vernachlässigen als Zweck der Dokumentationspflicht ist außerdem die Absicht, die Kenntnis von den Vorgängen innerhalb der Organisation unabhängig von der Kenntnis des verantwortlichen Bearbeiters zu gestalten. Die Notwendigkeit lässt sich aus den allgemeinen Verfahrensgarantien, auch aus dem Beschleunigungsgrundsatz ableiten. Sicherungsanforderungen folgen aus diesem Zweck jedoch kaum, denn im Vordergrund steht der Wissenstransfer, nicht die Manipulationssicherheit. Angesichts der verschiedenen Zwecke und der im Allgemeinen zunächst einmal nicht normierten Anforderungen an die Aufbewahrung lassen sich für die einzelne Akte keine durchgängigen, die allgemeinen Grundanforderungen und die Forderung nach Vollständigkeit übersteigenden Anforderungen aufstellen, sieht man von Schutzmaßnahmen gegen den Datenverlust oder versehentliche Löschung ab. Besonders beweisrelevante Teile einer Akte werden einer qualifizierten elektronischen Signatur bedürfen. Das ist jedoch teilweise bereits gesetzlich im Bereich der Verwendung der elektronischen Form geregelt, so etwa in 37 Abs. 3 VwVfG für den ansonsten schriftlich zu erlassenden Verwaltungsakt oder in 57 VwVfG und 56 SGB i.v.m. 3a Abs. 2 VwVfG für Verwaltungsverträge. Auch wenn die Signaturverwendung hier zunächst an die Ersetzung der Schriftform geknüpft ist und somit auf die Formwahrung zielt, so ist doch auch einer der Formzwecke der Beweiszweck, der für die Aufbewahrung fortdauert. Dokumente der Akte, die in ihrer Beweisbedeutung Verwaltungsakten oder Verwaltungsverträgen nicht nachstehen, werden dieser Wertung folgend ebenfalls zu signieren sein. Dies würde etwa Dokumente umfassen, in denen die die Entscheidung tragenden Informationen erfasst werden. Andererseits werden die wenigsten Vermerke ihrer Bedeutung nach einer qualifizierten elektronischen Signatur bedürfen. Für die Aufbewahrung hat dies die Konsequenz, dass nur für einen Teil der einzelnen Akte die Sicherung mittels Signatureinsatz zwingend geboten ist und der Erhalt der Signaturen gewährleistet werden muss. Um die Vollständigkeit der Akte zu sichern, werden aber grundsätzlich Sicherungsmittel notwendig sein. [...] Neben der allgemeinen Dokumentationspflicht bestehen für die Verwaltung zahlreiche besondere Regelungen spezifisch für bestimmte Handlungsbereiche der Verwaltung. Zudem existieren die Aktenordnungen und Verwaltungsrichtlinien der einzelnen Behörden, die jedoch erst vereinzelt auf die Probleme der elektronischen Aufbewahrung und Prozessabwicklung eingehen. Das wichtigste Beispiel solcher Richtlinien mit Orientierungsfunktion stellt die Gemeinsame Geschäftsordnung der Bundesministerien (GGO)48 dar, die durch die Registraturrichtlinie für das Bearbeiten und Verwalten von Schriftgut in den Bundesministerien (RegR)49 ergänzt wird. In beiden Regelungen wird nach der Überarbeitung im Rahmen des Programms Moderner Staat moderne Verwal a Abs. 2 ZPO i. V. m. 437 Abs. 1 ZPO führt bei öffentlichen elektronischen Dokumenten zu einer Vermutung der Echtheit, 371a Abs. 1 ZPO für private Dokumente nur zu einem Anschein, der durch Tatsachen, die ernstlichen Zweifel begründen, erschüttert werden kann. Beschluss des Bundeskabinetts v , verfügbar unter Beschluss des Bundeskabinetts v , verfügbar unter 33

34 tung 50 elektronische Kommunikation und der Einsatz elektronischer Medien umfassend berücksichtigt.51 Dies umfasst die Regelung des elektronischen Eingangs in 13 Abs. 2 GGO und der zugehörigen Anlage, aber auch den Einsatz von elektronischen Signaturen gemäß Signaturgesetz bei unmittelbarer Rechtswirkung des Dokuments oder bei besonderer politischer Bedeutung ( 18 Abs. 2 GGO). Ausführlichere Regelungen, auch zur Aufbewahrung, finden sich in der Registraturrichtlinie. 4 RegR stellt die Grundsätze der Vollständigkeit, Einheitlichkeit und Nachvollziehbarkeit des Sach- und Bearbeitungszusammenhangs in den Vordergrund. 4 Abs. 3 RegR regelt, dass elektronische Dokumente nur nach Beteiligung ihres Verfassers verändert werden sollen. 6 Abs. 4 RegR sieht vor, dass der Laufweg und sämtliche Bearbeitungsschritte dem elektronischen Dokument beigefügt werden. 8 Abs. 3 RegR ermöglicht den Verzicht auf eine Farbregelung bei der elektronischen Vorgangsbearbeitung. 18 RegR schließlich behandelt die Aufbewahrung. Durch geeignete Maßnahmen, die nicht näher vorgegeben werden, sind Vollständigkeit, Integrität, Authentizität und Lesbarkeit zu gewährleisten ( 18 Abs. 1 Satz 2 RegR). In 18 Abs. 3 RegR wird darüber hinaus klargestellt, dass elektronisches Schriftgut der laufenden Pflege bedarf. Es soll rechtzeitig und ohne inhaltliche Veränderungen auf Formate und Datenträger übertragen werden, die dem Stand der Technik entsprechen.[...] Die wohl umfassendsten Regelungen neben denen der allgemeinen Verwaltungsverfahrensgesetze des Bundes und der Länder enthält das Sozialgesetzbuch. Aber auch dieses enthält letztlich nur eine Ermächtigung der Spitzenverbände und subsidiär der beteiligten Bundesministerien, Grundsätze für die ordnungsgemäße Aufbewahrung zu vereinbaren oder als Verordnung zu erlassen. Die normierten Anforderungen in 110a Abs. 2 SGB IV beschränken sich darauf, dass die bildliche Wiedergabe mit dem ehemals in Papierform vorliegenden Dokumenten vollständig übereinstimmt und hierüber ein entsprechender Nachweises geführt wird. Bei bereits elektronisch angefertigten Dokumenten wird deren jederzeitige Lesbarkeit und Wiedergabemöglichkeit gefordert. Aus der bildgerechten Wiedergabe folgt als weitergehende Anforderung noch die Forderung nach einer farbechten Wiedergabe. Nach 110c Abs. 1 SGB IV sollen die Spitzenverbände beim Vereinbaren von Grundsätzen die Maßgaben des Signaturgesetzes beachten. Nach 110d SGB IV können außerdem Unterlagen, die auf anderen dauerhaft maschinell verwertbaren Datenträgern als Bildträgern aufbewahrt werden und mit einer dauerhaft überprüfbaren Signatur versehenen sind, der öffentlich-rechtlichen Verwaltungstätigkeit zugrunde gelegt werden. Aus beiden Anknüpfungspunkten lässt sich ableiten, dass entweder bei der Aufbewahrung Signaturen allgemein verwendet werden, oder aber, dass die Beweisrelevanz nach einzelnen Dokumentarten zu prüfen ist und nur für diejenigen, die noch für die Verwaltungstätigkeit benötigt werden, Signaturen verwendet werden. Ein Dokument, das im weiteren Verlauf des Vorgangs nicht mehr entscheidungserheblich ist, braucht nicht signiert zu werden. Für personenbezogene Stammdaten bestehen weitergehende Anforderungen. So fordert 149 Abs. 2 SGB VI eine Speicherung, die erlaubt, Daten jederzeit abzurufen und auf einem Datenträger oder durch Datenübermittlung zu übertragen. 148 Abs. 2 SGB VI enthält eine Begrenzung, welche Daten unter welchen organisatorischen Voraussetzungen gemeinsam in einer Datei gespeichert werden dürfen. 150 Abs. 2 Nr. 5 SGB VI macht zudem eine Verschlüsselung der Adressdaten notwendig. Systematisch stehen diese Anforderungen zwar unter der Rubrik Datenschutz und Datensicherheit und betreffen die Stammdatensätze, nicht die Aktenführung, doch da die Datensätze auch Teil der Akte sind, müssen sie als weitere spezielle Anforderungen herangezogen werden. Von den datenschutzbezogenen Regelungen der 67 ff SGB ist außerdem noch besonders 78a SGB samt dem zugehörigen Anhang zu beachten, der konkrete technische und organisatorische Anforderungen stellt, die auch die Aufbewahrung betreffen. So werden im Anhang die Gewährleistung von Zugangs-, Zutritts-, Weitergabe-, Eingabe- und Verfügbarkeitskontrollen gefordert sowie die Möglichkeit der getrennten Verarbeitung der Daten nach Zweckbindungsgrundsätzen. Aus der grundsätzlichen Verpflichtung der Behörde im anhängigen Rechtsstreit dem Gericht die Akte zugänglich zu machen, resultieren zudem weitere Anforderungen an die inhaltliche, chronologische Aufbereitung und Schlüssigkeit der Akte. [...] Einen weiteren weitgehend durch die Sonderregelungen der Abgabenordnung bestimmten Bereich stellt die Finanzverwaltung dar. Die Abgabenordnung enthält jedoch keine direkten Regelungen zur Aufbewahrung. Auswirkungen auf die Durchführung der Aufbewahrung haben nur wenige Bestimmungen. An erster Stelle ist 30 Abs. 6 AO zu nennen, der den automatisierten Abruf von elektro S. hierzu Elektronische Verfahren erhalten sogar eine Vorrangstellung, denn nach 12 Abs. 1 GGO sind in den Arbeitsabläufen elektronische Verfahren soweit wie möglich zu nutzen.

35 nisch gespeicherten Daten unter bestimmten Voraussetzungen zulässt, aber das Bundesfinanzministerium ermächtigt, durch Verordnung Anforderungen an die technischen und organisatorischen Maßnahmen zur Wahrung des Steuergeheimnisses zu stellen. Das Bundesfinanzministerium ist dem nachgekommen und hat in der Verordnung über den automatisierten Abruf von Steuerdaten (StDAV) die Verfahrensdokumentation, die Prüfung der Zulässigkeit der Abrufe und die automatisierte Befugnisprüfung, die Beschränkung der Befugnis auf aufgabenbezogene Daten, die Aufzeichnung der Abrufe und die Abrufmöglichkeit durch Steuerpflichtige geregelt.52 Die Vorgaben für die Gestaltung der Abrufmöglichkeit wirken hinsichtlich der Vorgaben für den Zugriff auch auf die Gestaltung der Aufbewahrung ein. 87a AO regelt die Grundlagen elektronischer Kommunikation und enthält die Parallelregelung zu 3a VwVfG, so dass auch in der AO zum Ersatz der Schriftform die elektronische Signatur verlangt wird. Die Aufbewahrung signierter Dokumente wird also auch hier erheblich werden Die Aufbewahrung von Gerichtsakten53 Als Ausfluss des Rechtsstaatsprinzips und aus der Garantie des umfassenden und effektiven Rechtsschutzes durch unabhängige Gerichte ergeben sich ebenfalls bei der Justiz die umfassende Aktenführungspflicht und Pflicht zur Aufbewahrung dieser Akten. Hinsichtlich der Aufbewahrungsfristen bestehen keine einheitlichen Vorgaben. Entsprechend 1 Schriftgutaufbewahrungsgesetz dürfen beispielsweise Gerichtsakten der Gerichte des Bundes und des Generalbundesanwalts nur so lange aufbewahrt werden, wie schutzwürdige Interessen der Verfahrensbeteiligten oder sonstiger Personen oder öffentliche Interessen dies erfordern. Seit Inkrafttreten des Justizkommunikationsgesetzes ist auch die elektronische Aktenführung in der Justiz möglich.54 Nach 130b ZPO kann die Erfordernis der handschriftlichen Unterzeichnung einer Urkunde, sofern das Gesetz eine solche von einem Justizmitarbeiter verlangt, auch durch ein elektronisches Dokument abgebildet werden, wenn die verantwortenden Personen unter dieses ihren Namen setzen und mit einer qualifizierten elektronischen Signatur versehen.55 Nachdem bereits der Zugang elektronischer Dokumente zur Justiz durch das Formanpassungsgesetz von 2001 mit 130a ZPO eröffnet worden war, steht seit 2005 einer elektronischen Aktenführung grundsätzlich nichts mehr im Weg. Allerdings sieht 298a Abs. 1 Satz 2 ZPO vor, dass die Bundes- und Landesregierungen für ihren Bereich durch Rechtsverordnung die geltenden organisatorisch-technischen Rahmenbedingungen hinsichtlich der Bildung, Führung und Aufbewahrung elektronischer Akten bestimmen sollen. Als Grundlage für diese Rechtsverordnungen sollen die von den Ländern gemeinsam entwickelten organisatorisch-technischen Leitlinien für den elektronischen Rechtsverkehr mit den Gerichten und Staatsanwaltschaften (OT-Leit-ERV)56 dienen. Gemäß 9.3 OT-Leit-ERV ist vorgesehen, nach erfolgter Signaturprüfung und Dokumentation des Ergebnisses an einer festzulegenden Stelle (beispielsweise beim Übergang in ein sicheres Landesnetz oder Eingang bei Gericht) auf die Speicherung der Signatur zu verzichten, wenn die Integrität der Daten auf andere Weise sichergestellt ist und die Gültigkeit der Signatur und des Zertifikats zum Zeitpunkt der Übermittlung nachweisbar bleibt. Die Zertifikatsdaten sollen gespeichert werden, wohingegen eine generelle Online-Prüfung als nicht erforderlich angesehen wird, sondern nur auf Einzelfälle beschränkt sein soll. Auf diese Weise sollen Probleme mit der wiederholten Prüfung und der längerfristigen Ablage und späteren Prüfung einer elektronischen Signatur umgangen werden.57 Soweit ersichtlich, sind auf dieser Grundlage allerdings hinsichtlich der Aufbewahrung elektronischer Dokumente noch keine Rechtsverordnungen erlassen worden BGBl. I, 3021, vom Siehe [ARO 07], Kap Zur Zulässigkeit der elektronischen Aktenführung in der Verwaltungsgerichtsbarkeit vor dem Justizkommunikationsgesetz [KUSSEL 03], 132 ff.; zur Aufbewahrungsdauer von Akten in der Justiz nach Beendigung des Verfahrens gilt seit Inkrafttreten des Justizkommunikationsgesetzes [JKomG] das Justizaufbewahrungsgesetz [JustAG]. Entsprechende Regelungen enthalten 46c ArbGG, 55a III VwGO, 52a III FGO, 65a III SGG. Diese Leitlinien wurden von der Bund-Länder-Kommission erstellt und durch Beschluss der Justizministerkonferenz auf der 73. Konferenz der Justizministerinnen und minister vom 10. bis in Weimar den Ländern und dem Bund zur Einführung des elektronischen Rechtsverkehrs empfohlen Siehe hierzu Anlage 1 der OT-Leit-ERV, wobei jedenfalls in der Pilotphase zur Beweissicherung ergänzend die Speicherung des noch signierten Originaleingangs empfohlen wird. 35

36 299a ZPO sieht eine Speicherung und Aufbewahrung von ursprünglich in Papierform vorliegenden Akten auf elektronischen Datenträgern vor. Danach müssen die Prozessakten nach ordnungsgemäßen Grundsätzen übertragen worden sein und es muss ein schriftlicher Nachweis darüber vorliegen, dass die Wiedergabe mit der Urschrift übereinstimmt. Eine Konkretisierung der ordnungsgemäßen Grundsätzen liegt soweit ersichtlich nur für die Mikroverfilmung, nicht jedoch für die digitale Übertragung und insbesondere für die Ausgestaltung der in diese Form gebrachten Dokumente vor Revisionssichere und ordnungsgemäße Aufbewahrung59 Im Kontext der Aufbewahrung von elektronischen Dokumenten werden darüber hinaus auch regelmäßig die Begriffe der revisionssicheren und ordnungsgemäßen Aufbewahrung oder Archivierung verwendet. Der Begriff der revisionssicheren Archivierung hat, wie schon Kapitel 3.2 erläutert (siehe Fußnote 1) keinen juristischen Ursprung. Er wurde 1992 von Ulrich Kampffmeyer geprägt und im Jahre 1996 vom Fachverband der Dokumentationsmanagementbranche, Verband Organisations- und Informationssysteme e.v. (VOI) in einem Code of Practice veröffentlicht [KAMPFF 97]. Danach bezieht sich der Begriff revisionssichere Archivierung auf elektronische Archivsysteme, die den Anforderungen der Grundsätzen ordnungsgemäßer DV-gestützter Buchführungssysteme (GoBS)60 genügen,61 ordnungsgemäß betrieben werden und Dokumente datenbankgestützt wiederauffindbar, unveränderbar und verfälschungssicher aufbewahren. Für die Bewertung der Revsionssicherheit macht der Code of Practice des VOI e. V. die folgenden Kriterien geltend: Ordnungsmäßigkeit Vollständigkeit Sicherheit des Gesamtverfahrens Schutz vor Veränderung und Verfälschung Sicherung vor Verlust Nutzung nur durch Berechtigte Einhaltung der Aufbewahrungsfristen Dokumentation des Verfahrens Nachvollziehbarkeit Prüfbarkeit Die Einhaltung der Revisionssicherheit kann auf Grundlage einer Verfahrensdokumentation auch durch den TÜV-IT zertifiziert werden. Basis hierfür sind die Prüfkriterien für Dokumentenmanagementlösungen [PK-DML] des VOI e.v. Die GoBS ersetzen freilich nicht die Grundsätze ordnungsgemäßer Buchführung (GoB); sie stellen lediglich eine Präzisierung der GoB im Hinblick auf eine IT-gestützte Buchführung dar und beschreiben die Maßnahmen, die der Buchführungspflichtige ergreifen muss, will er sicherstellen, dass die Buchungen und sonst erforderlichen Aufzeichnungen vollständig, richtig, zeitgerecht und geordnet vorgenommen werden. Zu beachten sind dabei neben den handelsrechtlichen GoB auch die 145 bis 147 der Abgabenordnung (vgl. hierzu auch [ARO 07], S. 39 ff.). Revisionssicherheit zielt hauptsächlich auf die wirtschaftliche Revision, d. h. die Prüfung des Geschäftsgebarens (des Rechnungswesens, der Buchführung) eines Unternehmens durch Sachverständige Richtlinien für die Mikroverfilmung von Schriftgut in der Bundesverwaltung vom , GMBl. 1978, 188 Siehe auch [ARO 07], Kapitel BStBl. I 1995, 738; die GoBS wurden vom AWV-Arbeitskreis erarbeitet, dann allerdings durch Schreiben des Bundesministeriums der Finanzen (BMF) an die obersten Finanzbehörden der Länder vom intern für verbindlich erklärt. (siehe näher das Vorwort der Anlage zu den GoBS). Die Schreiben des Bundesministeriums für Finanzen sind Verwaltungsanweisungen ohne Rechtsnormcharakter. Sie binden zwar die Verwaltung aber nicht die Gerichte, haben aber als Willensbekundung des BMF hohe Bedeutung. Sie bieten auch Leitlinien für die Hersteller und Betreiber von Buchführungs- und technischen Archivsystemen, da die Finanzbehörden sich bei der Prüfung grundsätzlich an diesen orientieren. So wird auch bei DOMEA Modul Technische Aspekte der Archivierung Seite 20 unter revisionssicherer elektronischer Archivierung ein Archivsystem verstanden, das nach den Vorgaben der 239, 257 HGB, 146, 147 AO und GoBS beliebige Informationen sicher, unverändert, ordnungsgemäß, verlustfrei reproduzierbar und datenbankgestützt recherchierbar verwalten.

37 des Unternehmens (Innenrevision), durch Wirtschaftsprüfer oder durch Behörden, hier insbesondere des Finanzamts. Die Revision dient hauptsächlich der Kontrolle und dem Nachweis der Einhaltung der handels- und steuerrechtlichen Normen und Vorschriften. Ziel einer revisionssicheren elektronischen Aufbewahrung ist es daher, elektronische Archive so zu gestalten, dass sie die internen und gesetzlichen Anforderungen erfüllen, die als Voraussetzung für die Durchführung der Revision festgelegt worden sind (vgl. [ARO 07], S. 40). Revisionssicherheit und Beweissicherheit im Sinne dieser Richtlinie (siehe hierzu Kapitel 3.2) stehen natürlich nicht völlig beziehungslos nebeneinander. Eine beweisrechtliche Würdigung elektronischer Dokumente stützt sich immer auch auf bestimmte, nachvollziehbare Tatsachen, die auf einen beweiswürdigen Sachverhalt schließen lassen. Für elektronische Dokumente sind die Integrität und auch die Authentizität ein taugliches Indiz für die inhaltliche Richtigkeit. Da diese Anforderungen bei einer revisionssicheren Archivierung gemäß den Prüfkriterien des VOI grundsätzlich erfüllt werden, gilt diese als Indiz und erhöht die Beweissicherheit elektronisch aufbewahrter Dokumente. Der Begriff der ordnungsgemäßen Aufbewahrung kann nach [ARO 07, ebenda S. 41] als Obergriff verstanden werden. Er lässt sich keiner bestimmten Fachsprache zuzuordnen und orientiert sich ausschließlich an der Zweckrichtung der Aufbewahrung, hier vor allem der Nachvollziehbarkeit, Vollständigkeit und Sicherheit der Aufbewahrung (vgl. auch [VOI 05], S. 158). Somit kann für eine revisionssichere Aufbewahrung grundsätzlich immer auch eine ordnungsgemäße Aufbewahrung geltend gemacht werden, wobei ordnungsgemäß in diesem Zusammenhang bedeutet, dass die Art und Weise der Aufbewahrung den GoB entspricht, die lediglich für die DV-gestützte Buchführung durch die GoBS konkretisiert werden (vgl. hierzu auch [ARO 07], Seite 41). Die Ordnungsmäßigkeit ist ebenso wie die Revisionssicherheit der Aufbewahrung ein Indiz und führt zur Steigerung der Beweissicherheit, da eine ordnungsgemäße elektronische Aufbewahrung auch auf eine höhere Beweisqualität elektronisch archivierter Dokumente schließen lässt. Dies ergibt sich aus den Anforderungen an eine ordnungsgemäße, revisionssichere Aufbewahrung, die auch den Anforderungen an einen hohen Beweiswert entsprechen. Die Grundsätze der ordnungsmäßigen Aufbewahrung dienen somit der Erhöhung der Beweissicherheit. Hierfür ist vor allem die entsprechend den Grundsätzen der Ordnungsmäßigkeit erreichte Unveränderbarkeit des elektronisch aufbewahrten Dokuments entscheidend EU-Recht Es existieren gegenwärtig keine unmittelbar wirkenden EG-Richtlinien und dementsprechend wie bereits aus Kapitel hervorgeht nationale Umsetzungsakte, die man im europäischen Kontext als rechtlichen Rahmen für ein elektronisches Langzeitspeicherungssystem heranziehen könnte. Es gibt allerdings Bestrebungen in der EU, die mittelbare Anforderungen an ein solches System zur Folge haben könnten. In den USA existiert seit 2002 der sogenannte Sarbanes-Oxley-Act (SO). Das Gesetz findet Anwendung für alle Unternehmen, die an der New York Stock Exchange notiert sind. SO hat die Aufgabe, die Transparenz und Nachvollziehbarkeit in den Unternehmen bei Prüfungen durch die SEC (Securities und Exchange Commission) zu verbessern. Unternehmen werden verpflichtet, u. a. ein internes Kontrollsystem für die Rechnungslegung zu unterhalten, die Wirksamkeit der Systeme zu beurteilen und die Richtigkeit der Jahres- und Quartalsberichte beglaubigen zu lassen. Die Erfüllung dieser Verpflichtungen wird unter dem Stichwort Compliance (Übereinstimmung, Erfüllung) zusammengefasst. Direkte Auswirkungen auf die Anforderungen zur Langzeitspeicherung elektronischer Dokumente hat vor allem der Abschnitt 802 von SO, wonach Sanktionen im Falle der Zerstörung, der Veränderung oder Manipulation aufbewahrungspflichtiger elektronischer Unterlagen angedroht werden. Die Unternehmen werden dabei durch SO nicht nur verpflichtet aufbewahrungspflichtige elektronische Dokumente gegen vorsätzliche Löschung, Veränderung oder Zerstörung zu schützen, sondern müssen darüber hinaus auch den Nachweis erbringen können, dass Veränderungen oder Manipulationen an diesen Dokumenten nicht stattgefunden haben. In der EU gibt es analoge Bestrebungen, nachprüfbare Regeln für die Einrichtung eines institutionalisierten und transparenten Risikomanagements in Unternehmen zu formulieren. Folgende Richtlinien enthalten hierzu Bestimmungen: 37

38 Vierte Richtlinie 78/660/EWG des Europäischen Rates vom 25. Juli 1973: Externe Prüfung des Jahresabschlusses Siebente Richtlinie 83/349/EWG des Europäischen Rates vom 13. Juni 1983: Konsolidierter Abschluss Richtlinie 2006/43/EG (8. EU Richtlinie) des Europäischen Parlaments und des Rates vom 17. Mai 2006 über Abschlussprüfungen von Jahresabschlüssen und konsolidierten Abschlüssen, zur Änderung der Richtlinien 78/660/EWG und 83/349/EWG des Rates und zur Aufhebung der Richtlinie 84/253/EWG des Rates Die umgangssprachliche Bezeichnung Euro-SO für die 8. EU Richtlinie ist insofern irreführend, als sich die 8. EU-Richtlinie im Gegensatz zu ihrem US-amerikanischen Pendant nicht mit exakten Fragestellungen der Bewältigung von Risiken im Unternehmen befasst. Sie legt vielmehr fest, nach welchen Kriterien Unternehmen eine Institutionalisierung des Risikomanagements (mindestens) vornehmen müssen und welche Voraussetzungen Wirtschaftsprüfer zu erfüllen haben, um das Risikomanagement effizient kontrollieren zu können. Anders als SO enthält die 8. EU-Richtlinie damit zwar keine ausformulierten Forderungen, wie interne Kontrollsysteme und Risikomanagementsysteme von Unternehmen auf ihre Wirksamkeit zu überprüfen sind. Allerdings wird in Artikel 13 klar dargelegt, dass Abschlussprüfer»internationale Standards«als Maßstab anzuwenden haben. Aufgrund der zunehmenden Abhängigkeit der Unternehmen von einer funktionierenden Informationstechnik (IT) lassen sich daher zumindest die folgenden wichtigen Anforderungen an eine organisationsweite IT aus dieser Richtlinie ableiten: Die IT muss dafür sorgen, dass alle relevanten Daten jederzeit verfügbar sind. Dazu gehören: die Steuerung der Infrastruktur, der Organisation, der Applikationsentwicklung und Pflege, die Kontrolle und Steuerung der logischen Sicherheit (Berechtigungswesen), der physikalischen Verbindungen und der umfeldbedingten Sicherheit, die Planung für den langfristigen Erhalt des Betriebs und Erstellung eines Notfallkonzepts, die Überwachung der Systempflege und Weiterentwicklung, der Verarbeitungsdaten, des täglichen Geschäfts sowie der Projekte bis hin zur rechts- und revisionssicheren Archivierung aller relevanten Daten, Dokumente und Unterlagen. 4.2 Übergreifende funktionale Anforderungen an eine vertrauenswürdige elektronischer Aufbewahrung Unabhängig von der konkreten Zweckbestimmung einer elektronischen Aufbewahrung elektronischer Daten und Dokumente muss ein zu dieser Richtlinie konformes vertrauenswürdiges elektronisches Archivsystem mindestens die folgenden, sowohl rechtlich als auch funktional bestimmten, grundsätzlichen Anforderungen erfüllen. Diese sind nach Maßgabe der in Kap. 4.1 dargelegten normativen Regelungen: die Verfügbarkeit und Lesbarkeit, die Integrität und Authentizität sowie der Datenschutz und die Datensicherheit der gespeicherten elektronischen Informationen Verfügbarkeit und Lesbarkeit (A4.2-1) Vertrauenswürdige elektronische Archivsysteme müssen die zur Aufbewahrung bestimmten Daten und Dokumente mindestens für die Dauer gesetzlicher Aufbewahrungsfristen in Form und Inhalt authentisch und vollständig verkehrsfähig aufbewahren. verkehrsfähig heißt hier technisch verfügbar, wiedergabefähig und lesbar auf zum Zeitpunkt der Wiedergabe dem Stand der Technik entsprechenden elektronischen Geräten. 38

39 Die Sicherstellung der Verfügbarkeit und Lesbarkeit ergibt sich unmittelbar aus der Zielsetzung jeglicher Aufbewahrung. Erst wenn die Aufbewahrung den jederzeitigen und vollständigen Zugriff auf die aufbewahrten Informationen sowie ihre Lesbarkeit sicherstellt, kann sie ihre Wirkung entfalten. Der Zugriff und die Lesbarmachung erfolgen im Regelfall über die Anzeige der Dokumente und Daten auf einer Datenverarbeitungsanlage, über die Erstellung eines Ausdrucks oder durch die Bereitstellung der Dokumente und Daten in einem maschinell auswertbaren Format über eine Export-Schnittstelle des Archivierungssystems. Daraus folgt: (A4.2-2) Für die rechtssichere und dauerhafte Ablage elektronischer Informationen müssen langfristig stabile und eindeutig interpretierbare Nutzdatenformate verwendet werden, für die eine nachhaltige Verkehrsfähigkeit über die Dauer der gesetzlichen Aufbewahrungsfristen nach heutigem Wissensstand mindestens angenommen werden kann und deren Spezifikation standardisiert und öffentlich zugänglich ist ( mehr dazu in Kapitel 6.1 dieses Dokuments). Zur Vollständigkeit des Zugriffs auf elektronisch archivierte Informationen gehört, dass der Zusammenhang der archivierten Daten und Dokumente mit der Begründung und Zweckbestimmung der Archivierung jederzeit und zweifelsfrei hergestellt werden kann. Das bedeutet: (A4.2-3) Die rechts- und revisionssichere dauerhafte Aufbewahrung elektronischer Dokumente und Daten erfordert zwingend, in Verbindung mit den eigentlichen Inhaltsdaten, Zusatzinformationen (Metadaten) mit abzulegen, die Auskunft über die Struktur, den Zustand (Authentizität und Integrität), den Fundort und die Zuordnung (fachlicher Kontext; Geschäftsvorfall) der archivierten Unterlagen geben können. Umfang, Inhalt und technisches Format der Metadaten sind dabei so zu gestalten, dass Kontext und Semantik der archivierten Unterlagen sowie der Zusammenhang der Inhaltsdaten mit den beschreibenden Metainformationen mindestens für die Dauer der gesetzlich vorgeschriebenen Aufbewahrungszeiträume grundsätzlich und jederzeit auch durch Dritte wieder herstellbar ist. (A4.2-4) Datenträger können physikalisch wie technologisch veralten. Dies kann dazu führen, dass archivierte Daten nicht mehr lesbar sind. Daher müssen archivierte Daten und Dokumente noch vor Ablauf der vom Hersteller von Speichermedien zugesagten Haltbarkeitsfristen auf ihre Lesbarkeit untersucht werden und ggf. auf neue Datenträger kopiert bzw. in neue, aktuellere Datenformate übertragen werden. Bei der Übertragung muss der Beweiswert der Dokumente und Daten erhalten bleiben. (A4.2-5) Verfügbarkeitsrisiken des Archivierungssystems sollen durch regelmäßige Datensicherungen und Datenmigration vermindert werden. Bei der Übertragung zum Backup-System muss der beweisrechtliche Wert aufbewahrter Daten und Dokumente erhalten bleiben. Aus Sicherheitsgründen (bspw. Brandschutz) sollen die Datensicherungen räumlich getrennt vom ITgestützten Archivsystem aufbewahrt werden. Hinweis: Wenn Anforderungen auf nicht-wiederherstellbares Löschen von einzelnen Daten/Dokumenten bestehen, müssen solche Anforderungen auch auf das Backup-System ausgedehnt werden können oder es darf kein Backup angefertigt werden Integrität und Authentizität Voraussetzung für eine mögliche oder auch beabsichtigte Rechtswirkung elektronisch aufbewahrter Informationen ist, die aufbewahrten Daten und Dokumente so zu erhalten, wie sie ursprünglich abgefasst worden sind, d. h. ohne nachträgliche Änderungen und der Möglichkeit, auch nach langer Zeit den Aussteller des Dokuments zweifelsfrei bestimmen zu können. Das bedeutet: (A4.2-6) Die vertrauenswürdige Ablage elektronischer Dokumente und Daten muss so ausgestaltet werden, dass die aus rechtlicher Sicht geforderten und vom Betreiber eines elektronischen LangzeitSpeichersystems zu erbringenden Nachweise über die Integrität und Authentizität der Dokumente und Daten noch nach langer Zeit geführt werden können. Da zu den Wesensmerkmalen elektronischer Daten und Dokumente die Flüchtigkeit und ihre fehlende Verkörperung gehören, bezeichnet Integrität im Sinne dieser Richtlinie die (technische) Fähigkeit, die Unverändertheit elektronischer Informationen nachzuweisen. 39

40 Die Feststellung der Authentizität elektronisch aufbewahrter Daten und Dokumente im Sinne dieser Richtlinie bezeichnet die (technische) Fähigkeit, auch nach langer Zeit den Aussteller eines elektronischen Dokumentes erkennen und zuordnen zu können. Ein rechtswirksamer Nachweis der Authentizität und Integrität elektronischer Unterlagen verlangt darüber hinaus, dass sowohl der Aussteller wie auch die Echtheit der Unterlagen durch den Nachweis der Unverfälschtheit bewiesen werden können. Beide Nachweise basieren auf elektronischen Signaturen und elektronischen Zeitstempeln ausreichender Qualität. (A4.2-7) Für elektronische Daten und Dokumente, die vor Gericht ähnlich wie private oder öffentliche Urkunden nutzbar sein sollen, ergibt sich aus 371a Abs. 1 oder Abs. 2 ZPO die Anforderung, dass sie mit einer gültigen qualifizierten elektronischen Signatur versehen sein müssen. Hieraus folgt, ein vertrauenswürdiges Archivsystem im Sinne dieser Richtlinie muss imstande sein, (qualifizierte) elektronische Signaturen und Zeitstempel in der durch Rechtsvorschriften geforderten Qualität sicher und zuverlässig zu erzeugen, zu prüfen, zu erneuern und aufzubewahren. Die Beweiseignung kann durch den Einsatz qualifizierter elektronischer Signaturen mit Anbieterakkreditierung noch gesteigert werden, da in diesem Fall auf die für die Nachweisführung erforderliche Dokumentation bei den akkreditierten Zertifizierungsdiensteanbietern über lange Zeiträume zugegriffen und zudem die Vermutung ihrer technisch-organisatorischen Sicherheit geltend gemacht werden kann ( 15 Abs. 1 Satz 4 SigG). Um die beweisrechtliche Eignung elektronisch signierter Daten und Dokumente für die Dauer der Aufbewahrung zu erhalten, ist zusätzlich erforderlich: (A4.2-8) Elektronisch signierte und dauerhaft aufbewahrte Dokumente und Daten müssen über den gesamten Aufbewahrungszeitraum mit einem vertretbaren zeitlichen und technischen Aufwand zugänglich, darstellbar und vollständig überprüfbar sein. Das bedeutet, sie müssen zusammen mit allen notwendigen Verifikationsdaten und erneuten elektronischen Signaturen nach 17 SigV in einer beweiskräftigen Form mindestens für die Dauer der gesetzlich vorgeschriebenen Aufbewahrungsfristen verkehrsfähig gehalten werden. (A4.2-9) Die Forderung der langfristigen Verkehrsfähigkeit und Prüfbarkeit elektronischer Signaturen ist Voraussetzung dafür, dass sie für die Feststellung der Echtheit elektronisch aufbewahrter Daten und Dokumente herangezogen werden können. Dabei muss sichergestellt sein, dass die zur Prüfung erforderlichen Verifikationsdaten für den maßgeblichen Aufbewahrungszeitraum verfügbar sind und auf sie zugegriffen werden kann. (A4.2-10) Die für eine spätere Signaturverifikation erforderlichen Verifikationsdaten sollen daher unmittelbar nach der Signaturerstellung und/oder -prüfung beschafft und gemeinsam mit den zu archivierenden Dokumenten und Daten in langfristig verkehrsfähiger Form abgelegt werden. (A4.2-11) Die Gültigkeitsprüfung muss in jedem Falle umfassend, vollständig und so ausgestaltet sein, dass aus dem Prüfergebnis die Erfüllung der in der europäischen Richtlinie für elektronische Signaturen wie auch im Signaturgesetz festgelegten Anforderungen an fortgeschrittene und qualifizierte elektronische Signaturen festgestellt werden können. Sie muss sich darüber hinaus auf die gesamten Zertifikatsketten (Signaturzertifikate des Ausstellers, der Zertifizierungsstelle und der Wurzelzertifizierungsinstanz) sowie alle Verifikationsdaten und Zeitstempel beziehen und nachweislich erkennbar machen, dass die einer elektronischen Signatur zugrunde liegenden bzw. beigefügten Zertifikate zum Signaturzeitpunkt gültig und nicht gesperrt und die eingesetzten kryptographischen Algorithmen und Parameter zum Signaturzeitpunkt sicherheitsgeeignet waren. Sämtliche Prüfschritte und Prüfergebnisse müssen in übersichtlicher Weise nachvollziehbar protokolliert und angezeigt werden können.62 (A4.2-12) Bei der Verifikation (qualifizierter) elektronischer Signaturen soll der Signaturzeitpunkt grundsätzlich aus einem vertrauenswürdigen Zeitstempel der Signatur entnommen werden können (vgl. [HK 06], S. 85). Sofern ein solcher Zeitstempel nicht vorhanden ist und die Existenz und Authen62 40 Da die Signatur selbst lediglich durch eine digitale Zeichenfolge repräsentiert wird, sind nachprüfbare und damit beweisstützende Aussagen über die Authentizität und Integrität und damit letztlich über die Echtheit der elektronischen Daten erst über eine umfassende Signaturprüfung unter Hinzuziehung der signierten Daten, geeigneter Hard- und Software zur Anzeige der Daten, der Signaturzertifikate und der Gültigkeitsabfragen und durch eine schlüssige Interpretation der Signaturprüfergebnisse möglich. Das ecard-api-framework [ecard-2] unterstützt die Protokollierung und Interpretation der Signaturprüfergebnisse durch die Erzeugung eines Signaturprüfberichtes in einem standardisierten Format.

41 tizität der Signatur zu einem früheren Zeitpunkt nicht anderweitig belegt werden kann, muss die Verifikation bezüglich des aktuellen Zeitpunkts erfolgen. (A4.2-13) Um die Prüfbarkeit elektronisch signierter Dokumente über die gesetzlich vorgeschriebenen Aufbewahrungsfristen hin zu gewährleisten, müssen bei der Signaturerstellung standardisierte Signaturdatenformate verwendet werden. Dies betrifft neben den eigentlichen Signaturdatenformaten auch die Formate von Zertifikaten, Sperrlisten und Zertifikatsstatusabfragen sowie Zeitstempeln. Dabei muss die Kompatibilität mit den Normen und Empfehlungen der Bundesnetzagentur und des Bundesamtes für Sicherheit in der Informationstechnik sichergestellt sein (siehe hierzu [ecard-2]). Elektronische Signaturen ermöglichen es aber nur dann, die Integrität und Authentizität elektronischer Daten nachweisbar zu machen, wenn die den Signaturen zugrunde liegenden Algorithmen mathematisch und technisch sicherheitsgeeignet sind. Fortschritte in der Entwicklung von Computern und neue Methoden der Kryptographie können jedoch dazu führen, dass die Algorithmen oder ihre Parameter im Laufe der Zeit ihre Sicherheitseignung einbüßen. Ein dauerhafter und nachweisbarer Erhalt der Authentizität und Integrität elektronischer Daten erfordert deshalb den Einsatz zusätzlicher Sicherungsmittel, die den Nachweis ermöglichen, dass insbesondere elektronisch signierte Daten über die Dauer der Aufbewahrungsfristen unverfälscht aufbewahrt wurden. (A4.2-14) Elektronische Signaturen müssen rechtzeitig vor Ablauf der Sicherheitseignung der verwendeten kryptographischen Algorithmen und zugehörigen Parameter gemäß den Vorgaben des Signaturgesetzes erneuert werden. Die Signaturerneuerung muss entsprechend der rechtlichen Anforderungen sowie weitgehend automatisch und wirtschaftlich erfolgen können. Vornehmliche Intention der Erneuerung von Signaturen ist die Sicherstellung der Integrität und Authentizität der bereits signierten Dokumente. Nach geltender Rechtsauffassung ist es daher für eine erneute Signatur nach 17 Satz 3 SigV ausreichend, wenn elektronisch signierte Daten mit einem qualifizierten Zeitstempel versehen werden, der mindestens eine qualifizierte elektronische Signatur enthält (vgl. [SFD 06, S. 178 ff., ARO 07, S. 61 ff.]). Da zudem die signierten Daten durch einen Hashwert repräsentiert werden, reicht es sofern die Sicherheitseignung des Hashalgorithmus weiterhin gegeben ist aus, allein die Signaturen des elektronischen Dokuments erneut mit einem Zeitstempel zu versehen und so neu zu signieren. Bei der Langzeitspeicherung elektronisch signierter Dokumente kann nur der Beweiswert erhalten werden, der von Anfang an besteht und sich letztlich natürlich daraus bestimmt, welche Anforderungen der Aufbewahrende an die Zweckerfüllung der Beweisführung stellt bzw. zu stellen verpflichtet ist. Maßgeblich für den beweisrechtlichen Wert elektronisch signierter Dokumente ist die Qualität der eingesetzten Signaturen, Signaturerstellungseinheiten, Signaturanwendungs- und Signaturprüfkomponenten. Daraus folgt: (A4.2-15) Für die Erstellung elektronischer Signaturen und Zeitstempel sind ausschließlich von der Bundesnetzagentur veröffentlichte und als sicherheitstechnisch unbedenklich eingestufte Schlüssellängen und Algorithmen zu verwenden. (A4.2-16) Qualifizierte elektronische Signaturen müssen die Anforderungen an fortgeschrittene elektronische Signaturen erfüllen und gemäß 2 Nr. 3a SigG auf einem zum Zeitpunkt ihrer Erzeugung gültigen qualifizierten Zertifikat beruhen sowie nach 2 Nr. 3b SigG mit einer sicheren Signaturerstellungseinheit erzeugt worden sein. (A4.2-17) Qualifizierte Zeitstempel müssen die Anforderungen von 2 Nr. 14 SigG erfüllen. Die Vergabe qualifizierter Zertifikate ist nach 2 Nr. 7 SigG Zertifizierungsdiensteanbietern vorbehalten, die mindestens die Sicherheitsanforderungen des Signaturgesetzes und der Signaturverordnung erfüllen. Die technische Sicherheit qualifizierter elektronischer Signaturen wird durch den Einsatz geeigneter Komponenten zur Schlüssel- und Signaturerzeugung, der Signaturanwendung und Signaturprüfung erreicht. Nach 17 Abs. 1 SigG sind die Komponenten so zu gestalten, dass sie gegen unberechtigte Nutzung geschützt sind und sich Fälschungen von Signaturen und Manipulationen signierter Daten zuverlässig erkennen lassen. Signaturprüfkomponenten müssen nach 17 Abs. 2 Satz 2 feststellen können, auf welche Daten sich die Signatur bezieht (Nr. 1), ob die signierten Daten unverändert sind (Nr. 2), welchem Signaturschlüssel-Inhaber die Signatur zuzuordnen ist (Nr. 3), welche Inhalte das qualifizierte Zertifikat, auf dem die Signatur beruht, und ggf. zugehörige Attributzertifikate aufweisen (Nr. 4) 41

42 und zu welchem Ergebnis die Nachprüfung von Zertifikaten nach 5 Abs. 1 Satz 2 SigG geführt hat (Nr. 5). Darüber hinaus müssen Signaturprüfkomponenten nach 15 Abs. 2 Nr. 2 SigV die Korrektheit der Signatur zuverlässig prüfen und anzeigen sowie eindeutig erkennbar machen, ob die nachgeprüften Zertifikate zum Prüfzeitpunkt im jeweiligen Zertifikatsverzeichnis vorhanden und nicht gesperrt waren. Für die langfristige Sicherung und Überprüfbarkeit der Authentizität und Integrität elektronisch signierter Daten und Dokumente in einem vertrauenswürdigen elektronischen Archiv im Sinne dieser Richtlinie folgt daraus: (A4.2-18) Die Erstellung und Prüfung qualifizierter elektronischer Signaturen für dauerhaft und vertrauenswürdig im Sinne dieser Richtlinie aufbewahrte signierte elektronische Daten und Dokumente sollen durch nach SigG und SigV geprüfte und bestätigte Signaturanwendungskomponenten erfolgen. Für eine Visualisierung der signierten Daten, der Zertifikate und Prüfergebnisse sollen ebenfalls nach SigG und SigV geprüfte und bestätigte Anzeigekomponenten zur Verfügung stehen. (A4.2-19) Die Integrität unsignierter Daten und Dokumente soll durch Hashwerte, elektronische Signaturen und Zeitstempel bei der Aufnahme in das Archivsystem gesichert werden. (A4.2-20) Vertrauenswürdige Archivsysteme sollen deshalb imstande sein, die Integrität nicht signierter Daten ab dem Zeitpunkt der Überführung in einen elektronischen Langzeitspeicher automatisch durch elektronische Archiv(eingangs)hashwerte oder -signaturen und (qualifizierte) Archiv(eingangs)zeitstempel zu sichern (siehe dazu auch Anlage TR-VELS-M.1 und Anlage TR-VELS-M.3) Datenschutz, Datensicherheit und Vertraulichkeit Jegliche Art der Aufbewahrung elektronischer Informationen unterliegt zwangsläufig allgemeinen und gegebenenfalls auch bereichsspezifischen datenschutzrechtlichen Regelungen und Anforderungen. Für die Einrichtung und den Betrieb vertrauenswürdiger elektronischer Archivsysteme folgt daraus: (A4.2-21) Die langfristige Aufbewahrung von Daten und Dokumenten muss den gesetzlichen und bereichsspezifischen Anforderungen an den Daten- und Geheimnisschutz genügen. Insbesondere die Verarbeitung und Speicherung personenbezogener Daten im Zusammenhang mit Signaturen und den zugehörigen Verifikationsdaten muss auf ein Minimum begrenzt werden. Dabei muss zugleich sichergestellt sein, dass Unbefugte unter keinen Umständen Zugang zu personenbezogenen oder anderweitig dem Geheimnisschutz unterliegenden Daten erhalten. Datenerhebende und datenverarbeitende Stellen sind gesetzlich dazu verpflichtet, technisch-organisatorische Schutzvorkehrungen zu treffen, um die Rechte Betroffener zu schützen. Dazu gehört nicht nur der Schutz von Persönlichkeitsrechten, sondern auch der Schutz von Amts-, Berufs- und Geschäftsgeheimnissen sowie sonstigen aus rechtlichen oder auch wirtschaftlichen Beweggründen zu schützenden Geheimnissen. Das bedeutet: (A4.2-22) Spezielle, den Daten- und Geheimnisschutz betreffende Anforderungen an elektronische Langzeitspeicher müssen mit einem wirtschaftlich vertretbaren Aufwand erfüllbar sein. Das Archiv muss daher auch in der Lage sein, verschlüsselte Dokumente und Daten aufzubewahren. Das Archiv muss die Ver- und Entschlüsselung jedoch nicht zwangsläufig selbst durchführen. Soweit für bestimmte Zwecke, wie z. B. die Einstellung in einen elektronischen Langzeitspeicher oder die Transformation von Daten, Signaturen des (technischen) Archivars benötigt werden, sollten diese ggf. auch unter einem Pseudonym möglich sein. (A4.2-23) Bei der Signaturerneuerung müssen Verfahren gewählt werden, welche das Löschen von Dokumenten wie auch Zertifikaten inklusive der Verifikationsdaten nicht behindern. Die Beweiseignung der im elektronischen Langzeitspeicher verbleibenden Unterlagen darf nicht verloren gehen. 42

43 5. Funktionen des Archivsystems Aufgrund der kurzen Innovationszyklen in der Informationstechnologie sind vertrauenswürdige Archivierungsverfahren und Archivsysteme so einzurichten und umzusetzen, dass ungeachtet der fortschreitenden technologischen Entwicklung die Authentizität, Integrität und Verfügbarkeit der elektronisch gespeicherten Unterlagen gewährleistet werden kann. Dazu gehört, dass die im Langzeitspeicher abgelegten Dokumente und Daten in Form und Inhalt authentisch und vollständig sowie technisch verfügbar aufbewahrt werden, und zwar so, dass sie auf zum Zeitpunkt der Wiedergabe dem Stand der Technik entsprechenden elektronischen Geräten wiedergegeben werden können, nicht unberechtigt eingesehen, weitergegeben oder veröffentlicht werden können, vor Manipulation und ungewollten oder fehlerhaften Änderungen geschützt sind sowie Rechtsansprüche und Nachweispflichten zu gewährleisten imstande sind. Der erste Abschnitt dieses Kapitels beschreibt die Funktionen des Archivsystems, die aus Anwendersicht vorhanden und nutzbar sein müssen. Nachfolgend werden die wichtigsten organisatorischen Aspekte angesprochen, die eine Behörde oder ein Unternehmen bei der Einführung und während des Betriebs eines vertrauenswürdigen Archivsystems im Sinne dieser Richtlinie zu beachten hat. Hierbei ist zu bedenken, dass diese Hinweise nur eine grobe Orientierung liefern können und kein umfassendes Sicherheitskonzept aller organisatorischer Belange darstellen. Hierzu sei auf Kapitel 8 verwiesen. Abbildung 2: Anwendungsfälle für die elektronische Archivierung *) siehe dazu auch den Hinweis in Kapitel

44 5.1 Funktionale Anforderungen Die funktionalen Anforderungen legen fest, welche Funktionen ein zu dieser Richtlinie konformes Archivsystem aus Sicht eines Benutzers zur Verfügung stellen muss. Dabei werden, wie in Abbildung 2 dargestellt, die folgenden grundsätzlichen Anwendungsfälle unterschieden:63 die Ablage (Archivierung) unsignierter und signierter Daten, der Abruf archivierter Daten, der Abruf beweisgeeigneter Nachweise über die Authentizität und Integrität der aufbewahrten Daten und das Löschen von Daten64. Grundsätzlich gilt: (A5.1-1) Der Zugriff auf das elektronische Archivsystem zu Zwecken der Ablage, der Recherche, des Abrufs oder des Löschens abgelegter Dokumente und Daten muss in jedem Falle nachweisbar (z.b. protokolliert) über definierte Schnittstellen aus den vorgelagerten IT-Anwendungen erfolgen. Unberechtigte Zugriffe sind durch das System zuverlässig zu verhindern Archivierung signierter und unsignierter Daten (A5.1-2) Eine rechtssichere Ablage elektronischer Dokumente und Daten muss zu jedem Zeitpunkt aus externen IT-Anwendungen und/oder vorgelagerten Prozessen heraus über einen sicheren Kommunikationskanal und in einem zu dieser Richtlinie konformen Datenformat möglich sein. Um die Ablage von Daten und Dokumenten zu verhindern, deren Format nicht für eine dauerhafte und plattformübergreifende Aufbewahrung geeignet ist, wird zusätzlich gefordert: (A5.1-3) Das Archivsystem muss vor der Ablage im Langzeitspeicher die Syntax der zur Aufbewahrung übergebenen Archivdatenobjekte auf Konformität mit dem für die Archivierung durch die Nutzer und Betreiber eines Archivsystems definierten und spezifizierten Datenformate prüfen. Bei Nichtübereinstimmung muss die Ablage im Langzeitspeicher abgelehnt werden (siehe auch Abbildung 3). (A5.1-4) Zur Vollständigkeit der Archivierung muss gewährleistet sein, dass alle zur langfristigen Aufbewahrung vorgesehenen Dokumente und Daten zuverlässig und nachweislich im Langzeitspeicher des Archivierungssystems abgelegt werden. Das Archivsystem quittiert den vorgelagerten IT-Anwendungen die ordnungsgemäße Speicherung der zur Aufbewahrung übergebenen Dokumente und Daten durch die Rückgabe eines eindeutigen Dokument-Identifikators. (A5.1-5) Bei der Ablage im Archivsystem muss jedem archivierten Dokument oder Datensatz ein eindeutiger Archivdatenobjekt-Identifikator (AOID für Archiv Objekt ID) zugewiesen werden. Über diesen Archivdatenobjekt - Identifikator erfolgt in den vorgelagerten IT-Anwendungen die Verknüpfung zu mindestens einem Ordnungskriterium des zugehörigen Geschäftsvorfalls (z. B. Belegnummer, Vorgangs- oder Aktenzeichen). Die Archivdatenobjekt ID dient der zuverlässigen Wiederauffindbarkeit der gespeicherten Dokumente und Daten sowie als Schlüssel für die autorisierte Rückgabe oder Löschung von Daten. (A5.1-6) Archivseitig ist die eindeutige Verknüpfung und deren Nachweisbarkeit zu gewährleisten und sicherzustellen, dass zwei Dokumenten nicht die gleiche Archivdatenobjekt-ID zugewiesen wird. (A5.1-7) Die Ablage der Archivdatenobjekt-Identifikation erfolgt im Regelfall in einer Datenbank auf einem Archivserver. Um bei Integritäts- oder Verfügbarkeitsverlust dieser Datenbank einen Neu Weitere Funktionen wie z. B. Suchen (auch geschäftsanwendungsübergreifend), Prüfen der Beweisdaten sind sicherlich wünschenswert, für den Beweiswerterhalt jedoch nicht notwendig. Diese Technische Richtlinie beschränkt sich daher auf die oben aufgeführten vier Basisfunktionen. In der vorliegenden Technischen Richtlinie wird die Langzeitspeicherung in Behörden bzw. Unternehmen betrachtet. Aussonderungen gemäß den Archivgesetzen (BArchG) führen in diesem Kontext zum Löschen der Daten in dem behördeneigenen Langzeitspeichersystem. (siehe auch A5.1-25).

45 aufbau der Indexinformationen zu ermöglichen, soll die Archivdatenobjekt-ID (zusätzlich) gemeinsam mit den archivierten Objekten abgelegt werden. (A5.1-8) Zu welchem Zeitpunkt Daten und Dokumente in einem elektronischen Archiv abgelegt werden, ist abhängig von der in der Unternehmensorganisation festgelegten Entscheidung der gesetzlichen Vertreter. Soweit die Ablage der zu archivierenden Daten und Dokumente im Archivsystem in den vorgelagerten Anwendungssystemen manuell ausgelöst wird, ist sicherzustellen, dass dieser Vorgang nur durch die dazu autorisierten Personen vorgenommen wird. Abbildung 3: Typischer Archivierungsablauf (A5.1-9) Für die Aufbewahrung signierter Daten muss das Archivsystem die Möglichkeit vorsehen, die Signaturen vor der Übergabe an den Langzeitspeicher umfassend zu prüfen und die Prüfergebnisse gemeinsam mit den signierten Daten abzulegen. (A5.1-10) Für die Beweiswerterhaltung elektronischer Signaturen müssen bei einem drohenden Verlust der Sicherheitseignung der für die Signatur verwendeten Algorithmen und zugehörigen Parameter nach 17 SigV die signierten Daten unter Einbeziehung aller bereits bestehenden Signaturen mit erneut signiert werden. Daraus folgt: (A5.1-11) Ein vertrauenswürdiges und rechtssicheres Archivsystem im Sinne dieser Richtlinie muss imstande sein, eine gesetzeskonforme Signaturerneuerung über sämtliche im Langzeitspeicher aufbewahrten, elektronisch signierten Daten und Dokumente durchzuführen. Die Lösung muss effizient, wirtschaftlich und kompatibel zum Evidence Record Syntax - Standard der IETF [RFC4998]65 sein (siehe dazu auch Anlage TR-VELS-M.3 ArchiSig-Modul dieser Richtlinie). 65 Alternativ zur ASN.1 Spezifikation des [RFC4998] kann nach der Standardisierung durch die IETF auch die MLSpezifikation der Evidence Record Syntax [ERSML] zugrunde gelegt werden. 45

46 (A5.1-12) Der dauerhafte Nachweis der Integrität unsignierter Daten und Dokumente, zumindest ab dem Zeitpunkt des Übergangs in das Archivsystem, soll durch einen elektronischen Archiv-EingangsHashwert, eine elektronische Archiv-Eingangs-Signatur bzw. einen elektronischen Archiv-EingangsZeitstempel zusätzlich sichergestellt werden. Die benötigte Qualität des Archiv-Eingangs-Hashwerts, der Archiv-Eingangs-Signatur bzw. des Archiv-Eingangs-Zeitstempels bestimmt sich aus dem erforderlichen oder auch beabsichtigten Beweiszwecken Abruf (Rückgabe) archivierter Daten Beim Abruf von archivierten Daten kann es sich sowohl um komplette Aktenstrukturen, einzelne Dokumente oder nur Elemente von Dokumenten handeln. Diese Unterscheidungen werden hier nicht getroffen sondern werden erst bei der technischen Definition in Kapitel 7 wieder aufgegriffen. (A5.1-13) Der Abruf (die Rückgabe) archivierter Daten muss aus den vorgelagerten IT-Anwendungen über einen sicheren Kommunikationskanal erfolgen. (A5.1-14) Für den Abruf (die Rückgabe) archivierter Daten muss eine gültige Archiv-Objekt Identifikation (AOID) an das Archivsystem übergeben werden. Das Archivsystem quittiert im Erfolgsfall die Anfrage mit der Rückgabe des zur Archivdatenobjekt ID gehörigen Archivdatenobjektes. (A5.1-15) Der Abruf archivierter Daten kann durch geeignete Suchfunktionen unterstützt werden (siehe dazu auch TR-VELS-M.1, Kap. 4.6). Durch das Archivsystem ist dabei sicher zu stellen, dass mit diesen Suchfunktionen nur solche Archivdatenobjekte und deren Metainformationen zurückgeliefert werden, für die die aufrufende Anwendung auch die Zugriffsberechtigung besitzt Abruf von Beweisdaten (A5.1-16) Ein vertrauenswürdiges und rechtssicheres Archivsystem im Sinne dieser Richtlinie muss imstande sein, auf Anforderung beweisrechtliche Belege für die Echtheit und Unverfälschtheit von Archivdatenobjekten zu erbringen. Die Archivdatenobjekte werden dabei anhand ihrer AOID identifiziert. (A5.1-17) Beim Abruf des Nachweises der Echtheit und Unverfälschtheit von Archivdatenobjekten muss das Archivsystem sämtliche elektronische Beweisdaten erstellen und zurück geben. Die elektronischen Beweisdaten müssen sämtliche Informationen enthalten, die zur Verifikation der Authentizität und Integrität der gespeicherten Daten, deren Signaturen, Zertifikaten und der Signaturerneuerungen benötigt werden Löschen archivierter Daten Am Ende des Lebenszyklus eines Archivdatenobjektes, d. h. in der Regel nach dem Ablauf gesetzlich vorgeschriebener Aufbewahrungsfristen, kann das Objekt aus dem Archiv gelöscht werden. Da dieser Vorgang für ein vertrauenswürdiges Archiv im Sinne dieser Richtlinie ein äußerst kritischer Vorgang ist, muss durch geeignete technische und organisatorische Maßnahmen eine besonders zuverlässige und nachvollziehbare Durchführung gewährleistet werden. HINWEIS: Nach Ablauf der vorgeschriebenen Mindestaufbewahrungsfristen können Archivdatenobjekte in der öffentlichen Verwaltung dann aus dem Langzeitspeicher gelöscht werden, wenn diese zuvor dem zuständigen Archiv angeboten und von diesem übernommen wurden bzw. wenn das Archiv die Ermächtigung zum Löschen erteilt hat. (A5.1-18) Archivierte Dokumente und Daten dürfen in der Regel nur unter den folgenden Voraussetzungen vernichtet (gelöscht) werden: 46

47 Der Aufbewahrungszeitraum bei elektronisch archivierten Dokumenten bzw. Daten ist abgelaufen. Es bestehen keine weiteren gesetzlichen Vorschriften, die die Existenz der archivierten Dokumente und Daten verlangen. Es bestehen keine innerbetrieblichen Regelungen oder sonstigen organisatorischen Anforderungen, die einem Löschen im Wege stehen. Es besteht kein Herausgabeanspruch Dritter auf die archivierten Dokumente und Daten. Es besteht ein Rechtsanspruch auf das Löschen archivierter Dokument und Daten. (A5.1-19) Das Löschen von Daten und Dokumenten nach Ablauf des gesetzlich vorgeschriebenen Aufbewahrungszeitraums kann durch technisch und organisatorisch berechtigte Nutzer derjenigen vorgelagerten IT-Anwendung angestoßen werden, die auch die Archivierung der zu löschenden Daten veranlasst hat oder durch einen zentralen Prozess, der diese Funktion für das gesamte Archiv ausführt und entsprechend berechtigt ist. (A5.1-20) Das Löschen von Daten und Dokumenten vor Ablauf des gesetzlich vorgeschriebenen Aufbewahrungszeitraums muss durch technisch und organisatorisch berechtigte Nutzer derjenigen vorgelagerten IT-Anwendung angestoßen werden, die auch die Archivierung der zu löschenden Daten veranlasst hat. Der Löschauftrag muss eine gültige Archivdatenobjekt-ID und eine Begründung für das Löschen enthalten.66 (A5.1-21) Mit Blick auf zu erfüllende datenschutzrechtliche Bestimmungen oder Aufbewahrungsfristen muss das Löschen einzelner elektronisch signierter Dokumente und / oder Daten einschließlich zugehöriger Signaturen mit einem wirtschaftlich vertretbaren Aufwand möglich sein. (A5.1-22) Die Beweiskraft der im Langzeitspeicher verbleibenden Dokumente muss bei Löschen anderer Archivdatenobjekte erhalten bleiben. (A5.1-23) Um die Nachvollziehbarkeit des Handelns zu gewährleisten, muss der Löschvorgang protokolliert werden. Die Protokolle sind gemäß der jeweils relevanten rechtlichen und/oder betrieblichen Vorschriften aufzubewahren. (A5.1-24) Die im Archiv verbleibenden Daten dürfen nicht dafür geeignet sein, die gelöschten Informationen wiederherzustellen.67 Hinweis: Wenn explizite Anforderungen auf nicht-wiederherstellbares Löschen von einzelnen Daten/ Dokumenten bestehen, müssen solche Anforderungen auch auf das Backup-System ausgedehnt werden können oder es darf kein Backup angefertigt werden. (A5.1-25) Die gesetzlichen Vorgaben gemäß dem Archivgesetz BArchG für Behörden hinsichtlich eines geordneten Aussonderungsprozesses unter Einbindung der Archivbehörde sind im Rahmen des Löschens archivierter Daten einzuhalten. 5.2 Organisatorische Anforderungen Die organisatorischen Anforderungen legen die nicht-technischen Bedingungen fest, die vorzugsweise bereits vor oder bei der Einführung eines elektronischen Archivierungssystems geschaffen werden müssen Es ist hier anzumerken dass die entsprechenden Geschäftsanwendungen eine Funktion für vorzeitiges Löschen nur dann implementieren sollen, wenn es aus fachlicher Sicht auch die Notwendigkeit für eine solche Funktion gibt. Auch wenn ein Backup der Daten erstellt wurde, muss gemäß der gesetzlichen Regelungen gelöscht werden. 47

48 Die Einrichtung vertrauenswürdiger Archivsysteme (A5.2-1) Die gesetzlichen Vertreter eines Unternehmens oder einer Behörde tragen die Verantwortung dafür, dass im Rahmen der IT-Strategie ein langfristiges Konzept zum Einsatz von Archivierungsverfahren aufgestellt und mit dem IT-Sicherheitskonzept abgestimmt wird. Im Rahmen dieses Konzepts sind Festlegungen zu treffen, die eine langfristige gesetzeskonforme Aufbewahrung, Verwaltung und Nutzung der archivierten Daten und Dokumente sicherstellen und die Verfügbarkeit des Archivsystems unter Berücksichtigung des erwarteten Datenvolumens unter Einhaltung der gesetzlichen Aufbewahrungspflichten gewährleistet. (A5.2-2) Zur Erfüllung der gesetzlichen Aufbewahrungspflichten muss beim Einsatz von Archivierungsverfahren über den gesamten Prozess der Archivierung gewährleistet sein, dass alle Dokumente und Daten gemäß dem Archivierungskonzept erfasst werden, für welche die elektronische Archivierung zulässig bzw. notwendig ist oder festgelegt wurde. Ferner muss sichergestellt werden, dass die Daten und Dokumente für die Dauer der Aufbewahrungspflicht innerhalb angemessener Zeit wiedergegeben werden können und keine Daten und Dokumente verloren gehen. (A5.2-3) Um auch bei notwendig werdenden Systemwechseln eine langfristige und den gesetzlichen Aufbewahrungszeiträumen entsprechende Aufbewahrung zu gewährleisten, sind neben den Konzepten zur regelmäßigen Erfassung, Speicherung, Archivierung und Lesbarmachung von elektronisch gespeicherten Daten und Dokumenten auch geeignete Migrationskonzepte für den Einsatz neuer Systeme zu entwickeln. (A5.2-4) Ferner sind Festlegungen zur Integration des Archivierungssystems in die IT-Infrastruktur, zur Identifikation, Auswahl und Verwaltung der zu archivierenden Daten und Dokumente sowie zur periodischen Überprüfung der Angemessenheit des langfristigen Archivierungskonzepts zu treffen Anforderungen an die Einsatzumgebung (A5.2-5) Eine wesentliche Voraussetzung für die Sicherheit und Ordnungsmäßigkeit der elektronischen Archivierung ist ein angemessenes Problembewusstsein der gesetzlichen Vertreter und der Mitarbeiter für mögliche Risiken beim Einsatz von Archivierungsverfahren (geeignetes IT-Umfeld). Dafür sind vor allem bei der Einführung oder Änderung von Archivierungsprozessen die beteiligten Mitarbeiter auf der Grundlage einer aussagekräftigen und vollständigen Verfahrensdokumentation ausreichend zu schulen und einzuweisen. (A5.2-6) Die Beschreibung der Archivierungsprozesse ist schriftlich festzulegen. Die VerfahrensDokumentation dient zum Verständnis der Archivierungsprozesse und ist damit ebenfalls aufbewahrungspflichtig. (A5.2-7) Der Archivierungsprozess besteht im Regelfall aus den Teilaktivitäten Erzeugung der Archivdatenobjekte aus den zur Archivierung vorgesehenen Dokumenten, Daten und Metainformationen, Indexierung und ggf. Verschlagwortung der Archivdatenobjekte, Speicherung und Verwaltung der Archivdatenobjekte im Archivierungssystem, Suche/Abfrage von Archivdatenobjekten, Vernichtung der archivierten Dokumente und Daten einschließlich der Metadaten und Prüfinformationen nach Ende der Aufbewahrungsfrist, sofern dem nicht gesetzliche oder verwaltungsrechtliche Regelungen69 entgegenstehen, und ist in den vorgelagerten IT-Anwendungen in geeigneter Weise zu unterstützen Für die Konzeption elektronischer Archivsysteme siehe auch Baustein B1.12 Archivierung IT-Grundschutzkataloge 10. EL Stand 2008 des BSI unter Zum Beispiel die Anbietepflicht an das Bundesarchiv.

49 (A5.2-8) Insbesondere sind die folgenden Bereiche für alle archivierungspflichtigen und archivierten Daten und Dokumente im Rahmen der Ablauforganisation zu regeln: Identifikation der aufbewahrungspflichtigen Dokumente und Daten. Festlegung des Archivierungszeitpunktes (Belegstatus), der Archivierungsfrequenz und der Archivierungsprozesse. Festlegung der Aufbewahrungsfristen für die elektronisch zu archivierenden Daten und Dokumente. Festlegung der Archivierungsprozesse und Archivformate sowie der technischen und organisatorischen Maßnahmen zur Sicherstellung der Vollständigkeit und Richtigkeit der Archivierung sowie der Wiedergabequalität. Beschreibung eines eindeutigen und nachvollziehbaren Verfahrens zur Erzeugung und Verwaltung eindeutiger Archivdatenobjektschlüssel (Archiv Objekt ID) und der eindeutigen Zuordnungsfähigkeit der archivierten Dokumente und Daten zu den zugrunde liegenden Geschäftsprozessen. Löschung und Lesbarmachung archivierter Dokumente und Daten. Sicherung von archivierten Datenbeständen. Verfahren zum Zugriff auf Dokumente und Daten auch in ausgelagerten Archivdatenbeständen. Verfahren zum nachprüfbaren und vollständigen Wiederanlauf von gesicherten Archivdatenbeständen (Restart, Recovery) Festlegung von Aufgaben und Verantwortlichkeiten sowie der Einführung und Kontrolle der Archivierungsprozesse. (A5.2-9) In Organisationsanweisungen ist der Regelbetrieb des Archivierungssystems festzulegen, etwa die Aufgaben und Befugnisse von Administratoren, Regelungen zum Change-Management und zur Verwaltung von Speichermedien. 49

50 6. Abgeleitete technische Anforderungen Der folgende Abschnitt beschreibt abgeleitete und vornehmlich technische Anforderungen, die bei der Einrichtung und dem Betrieb eines zu dieser Richtlinie konformen elektronischen Archivsystems zu erfüllen sind. 6.1 Systemtechnische Anforderungen (A6.1-1) Um proprietäre, d. h. produkt- oder herstellerabhängige Lösungen zu vermeiden, muss die Integrierbarkeit elektronischer Archivlösungen in bestehende Informationssysteme sowie die Interoperabilität, Verfügbarkeit und Verkehrsfähigkeit der verwendeten Formate für die Nutzdaten, die Metainformationen, Signaturen, Zeitstempel und Signaturprüfinformationen (Verifikationsdaten) mindestens für die Dauer der gesetzlich vorgeschriebenen Aufbewahrungsfristen gewährleistet werden können. (A6.1-2) Die für die Langzeitspeicherung signierter elektronischer Dokumente eingesetzten Verfahren und technischen Lösungen dürfen die weitere Verwendbarkeit der elektronischen Dokumente für unterschiedliche Anwendungszwecke und in unterschiedlichen Anwendungssystemen (Fachverfahren) nicht beeinträchtigen. Durch Verfahren und technische Lösungen der Langzeitspeicherung und der Erneuerung von Signaturen dürfen insbesondere keine Behinderungen entstehen für: den Austausch von Dokumenten zwischen Anwendungssystemen, den Wechsel von Datenformaten in Anwendungssystemen, den Austausch von Anwendungssystemen oder -komponenten. (A6.1-3) Im Interesse der dauerhaften Verfügbarkeit und Verkehrsfähigkeit der zu archivierenden Dokumente und Daten sollen ausschließlich Archivformate eingesetzt werden, die eine plattform- und herstellerunabhängige Archivierung in langfristig verkehrsfähiger Form ermöglichen. (A6.1-4) Technische Lösungen zur vertrauenswürdigen Langzeitspeicherung müssen eine sichere, externe Administration und Konfiguration unterstützen. 6.2 Empfohlene Dokumentformate Dieser Abschnitt beschäftigt sich mit den Formaten, die für die eigentlichen Nutzdaten die Primärinformationen verwendet werden können bzw. sollen. Der nächste Abschnitt hingegen beschreibt Daten und Datenstrukturen, die für die tatsächliche Speicherung im Archivsystem empfohlen werden. (A6.2-1) Das DOMEA-Organisationskonzept und die Standards und Architekturen für E-Government-Anwendungen (SAGA)71 empfehlen, ebenso wie die von der Europäischen Kommission geförderte Anforderungsspezifikation für die elektronische Schriftgutverwaltung ( Model Requirements for the Management of Electronic Records - Moreq272), für die langfristige Ablage von elektronischem Schriftgut nur wenige und einheitliche Datenformate zu benutzen. Kapitel 4 von [TR-VELS-F] führt im Detail die empfohlenen Formate auf Siehe Siehe Siehe

51 6.3 Empfohlene Speicherformate Um die Vollständigkeit des Zugriffs auf elektronisch archivierte Informationen einschließlich der Begründung und Zweckbestimmung der Archivierung jederzeit und zweifelsfrei herstellen zu können und dem Programm von Bund, Ländern und Kommunen für die Standardisierung des Datenaustausches in und mit der öffentlichen Verwaltung73 folgend, wird deshalb für ein zu dieser Richtlinie konformes elektronisches Archivsystem gefordert: (A6.3-1) Inhaltsdaten, Metadaten und Verifikationsdaten74 langfristig aufzubewahrender Daten und Dokumente müssen in einem abgeschlossenen und selbst-erklärenden Archivdatenobjekt (Archival Information Package, AIP75) auf der Basis von ML (kurz AIP für: ML formatted Archival Information Package) und einer formalisierten Dokumenttypbeschreibung in ML-Syntax (ML-Schema) in einem elektronischen Langzeitspeicher abgelegt und verwaltet werden können.76 Die Aufbewahrung von Daten und Dokumenten in einem selbst-erklärenden Archivdatenobjekt auf Basis von ML unterstützt nicht nur die Plattform- und Produktneutralität von Archivsystemen und damit auch die Verkehrsfähigkeit und beweiserhaltende Migration archivierter Daten, sondern erleichtert darüber hinaus auch die Prozess- und Verarbeitungsfähigkeit bei der Ablage und Prüfung aufzubewahrender Daten und Dokumente.77 Eine ausführliche Darstellung der Syntax und Semantik eines geeigneten AIP-Dokuments findet sich in Kapitel 3 von Anlage [TR-VELS-F] Protokolle und Formate dieser Richtlinie. Ein zu dieser Technischen Richtlinie konformes Archivdatenobjekt ist ein wohlgeformtes ML Dokument mit folgenden Merkmalen78: ML Standard Ein zu dieser Richtlinie konformes Archivdatenobjekt erfüllt die ML 1.1 Spezifikation [ML] ML Schema Die gemeinsam von Bund, Ländern und Kommunen verabredete Standardisierung des Datenaustausches soll die automatisierte und medienbruchfreie Datenverbindung zwischen Kommunen, Landes- und Bundesbehörden und ihren Kunden ermöglichen. Ziel dieses Vorhabens im Rahmen des Aktionsplans Deutschland Online ist die Schaffung eines gemeinsamen, durch Bund, Länder und Kommunen getragenen Gesamtkonzepts für die Entwicklung und den bundesweiten Einsatz von einheitlichen fachlichen Datenformaten und Datenstrukturen (fachliche Standards) und technischer Schnittstellen zum elektronischen Austausch von Geschäfts- und Verwaltungsnachrichten innerhalb und mit der öffentlichen Verwaltung auf der Grundlage von ML. Mehr dazu unter Es handelt sich dabei um Signaturen und die zugehörigen Zertifikate sowie um die Prüfinformationen zu diesen Signaturen und Zertifikaten. Im Fall einer Migration in ein neues Archivsystem können hier auch die ERS-Beweisdaten aus dem alten Archivsystem enthalten sein. Die Bezeichnung folgt der Notation des Referenzmodells für Offene Archivinformationssysteme (OAIS) der Nationalen Luft- und Raumfahrtbehörde der USA. Mehr dazu unter Es ist anzumerken, dass sich das Volumen von binären Inhaltsdaten um ca. 36% vergrößert, wenn sie für das Einbetten in ein ML-Objekt BASE64-codiert werden. Damit erhöht sich auch die Wahrscheinlichkeit, dass die Objekte eine Größe erreichen bzw. überschreiten, die eine automatische Verarbeitung verhindern. Auf syntaktischer Ebene unterstützt ML als textbasierte Meta-Auszeichnungssprache nicht nur die Beschreibung, sondern vor allem die automatisierte Darstellung, Manipulation und Verarbeitung logisch strukturierter Daten und zeichnet sich darüber hinaus durch eine gute Erweiterbarkeit und eine große Flexibilität aus. Auf semantischer Ebene unterstützen Regeln und Strukturdefinitionen in ML-Syntax (ML-Schema) die Abbildung strukturierter Inhaltsmodelle. ML-Schemata erlauben nicht nur die formale und maschinenlesbare Beschreibung eines für den Datenaustausch erlaubten ML-Vokabulars, sondern darüber hinaus den Aufbau komplexer Datenstrukturen und die Formulierung von Verarbeitungsanweisungen. Ein Archivdatenobjekt (AIP) im Sinne dieser Technischen Richtlinie ist ein vor allem fachlich spezifiziertes und abgestimmtes Datenaustauschformat (Datenschnittstelle), d. h. eine einheitliche und verbindliche semantische Definition und Beschreibung einer Datenstruktur in ML-Syntax mit einem für die langfristige und vertrauenswürdige elektronische Speicherung aufbewahrungspflichtiger Daten relevanten Kontext (Vokabular). 51

52 Sämtliche gültige Archivdatenobjekte können gegen eine autorisierte und maschinenlesbare Dokumenttypbeschreibung in ML Syntax, d. h. eine gültige ML Schemadatei [SD] validiert werden. ML Namensraumstandard Alle zu dieser Richtlinie konformen Archivdatenobjekte auf ML Basis erfüllen die ML Namensraumkonventionen [ML Name]. Einbettung binärer Objekte Binäre Daten werden gemäß der MIME Base64 Spezifikation kodiert und eingebettet [BASE64].79 (A6.3-2) Um zu gewährleisten, dass die im Langzeitspeicher abgelegten Dokumente auch ohne Zuhilfenahme der vorgelagerten IT-Anwendungen durch Dritte interpretiert und verifiziert werden können, müssen aus den vorgelagerten IT-Anwendungen heraus auch zusätzliche Metainformationen generiert und gemeinsam mit den Dokumenten und Daten in langfristig verkehrsfähiger Form im Langzeitspeicher abgelegt werden können. Der Umfang dieser beschreibenden Metadaten ergibt sich aus den Anforderungen der IT-Anwendungen, sollte aber, nicht zuletzt im Sinne geltender Datenschutzund Geheimnisschutzbestimmungen, so restriktiv wie möglich gehandhabt werden. (A6.3-3) Den Empfehlungen nationaler (SAGA80, ÖV81, ArchiSafe82) und internationaler (Moreq283, OASIS84) Standardisierungsinitiativen folgend, soll die Darstellung und Umsetzung der Archivdatenobjekte und von Schnittstellen für den Datenaustausch zwischen den Komponenten und Bestandteilen eines zu dieser Richtlinie konformen Archivsystems grundsätzlich über ML und entsprechende Schemadefinitionen oder vergleichbare offene, standardisierte Datenformate beschrieben und realisiert werden. In der Anlage TR-VELS-F dieser Technischen Richtlinie ist ein Datenformat beschrieben, das diesen Anforderungen Rechnung trägt.85 (A6.3-4) Grundsätzlich sind die technischen Lösungen hinsichtlich des angestrebten Sicherheitsniveaus elektronischer Signaturen und der in diesem Zusammenhang jeweils notwendigen Verifikationsdaten skalierbar zu gestalten. Hierzu gehört insbesondere, dass die technischen Konzepte und Lösungen den Betrieb mandantenfähiger Lösungen unterstützen. Das bedeutet: in Abhängigkeit vom Dokumenttyp und dem jeweiligen Aufbewahrungszweck müssen spezifische Parametrierungen (Aufbewahrungsdauer, Hinzufügen von Verifikations- und/oder Metadaten etc.) möglich sein, spezielle Anforderungen, wie etwa die Integritätssicherung logisch zusammengehöriger Dokumente (z. B. Vollständigkeit von Akten), müssen auf Anforderung berücksichtigt werden können. Es ist zu beachten, dass sich die Datenmenge von binären Objekten beim Einsatz von BASE64 um ca. 36% erhöht. Es steigt damit auch die Wahrscheinlichkeit, dass die Datenobjekte eine Größe erreichen, die eine automatische Weiterverarbeitung verhindert. siehe siehe siehe siehe siehe Anlage TR-VELS-F dieser Technischen Richtlinie beschreibt grundsätzliche syntaktische und semantische Strukturen für ein zu dieser Richtlinie konformes Archivdatenobjekt, elektronische Datenformate für die langfristige Aufbewahrung von Nutzdaten und Metadaten sowie Strukturen, Formate und Algorithmen für die Erzeugung und Interpretation kryptographischer Daten, die für die langfristige Sicherung der Integrität, Authentizität und Beweiskraft elektronischer Dokumente (Objekte) geeignet sind.

53 6.4 IT-Infrastruktur Die technischen Sicherungsmaßnahmen eines vertrauenswürdigen Archivierungssystems im Sinne dieser Richtlinie umfassen physische Sicherungsmaßnahmen, logische Zugriffskontrollen sowie Datensicherungs- und Auslagerungsverfahren für den Regel- und den Notbetrieb. (A6.4-1) Durch physische Sicherungsmaßnahmen ist die IT-Infrastruktur beim Einsatz von Archivierungsverfahren und die Speichermedien vor Verlust, Zerstörung sowie unberechtigter Veränderung zu schützen. (A6.4-2) Neben den Zugriffsschutzmechanismen der vorgelagerten IT-Anwendungen muss zum Schutz der archivierten Daten und Dokumente auch im Archivsystem ein geeignetes Berechtigungskonzept implementiert werden. (A6.4-3) Das Archivsystem muss geeignete Maßnahmen vorsehen und implementieren, die eine unzulässige Manipulation oder den Austausch von Komponenten oder Modulen des Systems zuverlässig verhindern. (A6.4-4) Von den Speichermedien können Sicherungs-Kopien angefertigt und an einem räumlich vom Archivierungssystem getrennten Standort ausgelagert werden. (A6.4-5) Zur Sicherung der Lesbarkeit der Speichermedien über die gesamte Aufbewahrungsfrist sind vom Medientyp abhängige Kontrollen und Maßnahmen vorzusehen, wie etwa der regelmäßige Test auf Lesbarkeit der Speichermedien. (A6.4-6) Bei redundant ausgelegten Archivierungssystemen ist zu testen, ob die Funktionsübergabe bei Ausfall eines Teilsystems ordnungsgemäß erfolgt und ob bei Wiederanlauf des ausgefallenen Systems ein ordnungsgemäßer Abgleich der Daten zwischen den Systemen erfolgt. (A6.4-7) Zur Sicherstellung des Betriebs des Archivierungssystems müssen Maßnahmen, die beim Ausfall eines Archivierungssystems ergriffen werden müssen, in einem Notfallkonzept festgehalten werden. Im Fall einer ungeplanten Unterbrechung während eines Archivierungslaufes ist nach Wiederanlauf sicherzustellen, dass die Konsistenz der Daten gewährleistet ist. 6.5 IT-Anwendungen beim Einsatz von Archivierungsverfahren (A6.5-1) Bei den zur Archivierung eingesetzten IT-Anwendungen handelt es sich im Regelfall um Softwaresysteme, die an die organisationsspezifischen Besonderheiten und Archivierungsanforderungen anzupassen sind. Die zur Archivierung eingesetzten IT-Anwendungen oder IT-Services sollen folgende Mindestanforderungen erfüllen: die Erzeugung der zu archivierenden Daten in definierten langfristig verkehrsfähigen und standardisierten Datenformaten (z. B. PDF oder ML, vgl. Kapitel 6.2), das Erzeugen bzw. Prüfen von elektronischen Signaturen hinreichender Qualität, Schnittstellenfunktionalitäten zur Ablage, zum Abruf und Löschen archivierter Dokumente und Daten auf der Basis der vom Archivsystem zurückgegebenen Archivdatenobjekt-IDs (AOID), die Protokollierung durchgeführter Archivoperationen, die zuverlässige Verwaltung und Zuordnung der Archivdatenobjekt-IDs (AOID s) zu den zugehörigen Geschäftsprozessen und der Ablageorte der archivierten Daten86. (A6.5-2) Folgende Zugriffsmethoden müssen dabei durch Schnittstellenfunktionalitäten des Archivsystems grundsätzlich unterstützt werden: 86 Bei der Migration von Fachanwendungen ist selbstverständlich auch die Migration der AOIDs zu berücksichtigen. Nur so kann die neue Fachanwendung später auf die archivierten Daten der Altanwendung zugreifen. 53

54 das Ablegen von signierten und unsignierten Archivdatenobjekten im Archiv mit der Archivdatenobjekt-ID (AOID) als Rückgabewert, die Übergabe einer gültigen Archivdatenobjekt-ID (AOID) für den Abruf archivierter Archivdatenobjekte, der Abruf von technischer Belegdaten zum Nachweis der Authentizität und Integrität der archivierten Informationen, das Löschen87 von Archivdatenobjekten aus dem Archiv nach der Übergabe einer gültigen Archivdatenobjekt-ID (AOID). Der Löschvorgang wird dabei nicht vom Archivsystem initiiert sondern nur protokolliert. Ein vollständiges und explizites Löschen (im Sinne einer unwiederbringlichen Vernichtung) von archivierten Objekten muss auch vor Ablauf der bei der Archivierung übergebenen Aufbewahrungsfrist möglich sein. (A6.5-3) Der Zugriff externer, vorgelagerter IT-Anwendungen oder IT-Services auf das Archivsystem darf nur über definierte Schnittstellen und sichere Kommunikationskanäle erfolgen. (A6.5-4) Die externen IT-Anwendungen müssen über sichere Zugriffsschutzmechanismen auf der Grundlage eines zuverlässigen und konfigurierbaren Berechtigungssystems verfügen Im Falle einer (Bundes-)Behörde stößt die IT-Anwendung nach Abgabe des Schriftguts an die Archivbehörde das Löschen des Schriftgutes im Langzeitspeichersystem an.

55 7. IT-Architektur Die IT-Architektur eines zu dieser Richtlinie konformen elektronischen Archivsystems muss die in dieser technischen Richtlinie aufgeführten Anforderungen (insbesondere die geforderte Funktionalität aus den Kapiteln 5 und 6 und die Anforderungen aus Kapitel 4) zuverlässig umsetzen. In diesem Abschnitt wird eine hersteller- und produktunabhängige IT-Referenzarchitektur empfohlen, die alle aufgeführten Anforderungen erfüllt und daher die Basis für eine entsprechende Umsetzung sein kann. Auf der Grundlage dieser IT-Referenzarchitektur werden systemlogische Komponenten und Schnittstellen grob identifiziert und beschrieben. Die weitere, ausführliche Spezifikation der identifizierten logischen Komponenten und Schnittstellen erfolgt in den Anlagen zu dieser Technischen Richtlinie. HINWEIS: Es sei darauf hingewiesen, dass die hier beschriebene Aufteilung der Funktionen auf die Module der IT-Referenzarchitektur nicht verpflichtend ist. Ein zu dieser Technischen Richtlinie konformes System muss jedoch alle Funktionen in der erforderlichen Qualität und auf dem notwendigen Sicherheitsniveau anbieten. 7.1 Empfohlene IT-Referenzarchitektur Abbildung 4: Referenzarchitektur Übersicht Die empfohlene IT-Referenzarchitektur ist in Abbildung 4 dargestellt und besteht im Wesentlichen aus den folgenden logischen Komponenten und Schnittstellen: 55