Grundlagen

Was ist revisionssichere Archivierung?

Anforderungen, technische Umsetzung und typische Fehler im Überblick

Revisionssichere Archivierung bedeutet, dass Dokumente so gespeichert werden, dass sie nachträglich nicht verändert, gelöscht oder manipuliert werden können. Sie müssen jederzeit vollständig auffindbar, maschinell auswertbar und nachvollziehbar sein. Der Begriff stammt aus dem deutschen Handels- und Steuerrecht und ist für alle buchführungspflichtigen Unternehmen verbindlich.

Wer Geschäftsdokumente lediglich in einem Ordner auf der Festplatte ablegt, erfüllt diese Anforderungen nicht. Denn eine Datei, die jederzeit umbenannt, verschoben oder gelöscht werden kann, ist weder unveränderbar noch nachvollziehbar. Revisionssicherheit erfordert konkrete technische Maßnahmen: Hash-Prüfung, Zeitstempel, Zugriffsprotokollierung und Versionierung.

Dieser Artikel erklärt, was revisionssichere Archivierung im Detail bedeutet, welche gesetzlichen Anforderungen gelten, wie die technische Umsetzung funktioniert und welche Fehler Unternehmen vermeiden sollten.

Was bedeutet "revisionssicher"?

Die vier Kernmerkmale revisionssicherer Archivierung

Der Begriff "revisionssicher" beschreibt eine Aufbewahrung, die einer Revision (Prüfung) standhält. Konkret müssen vier Bedingungen erfüllt sein:

1. Unveränderbarkeit

Einmal archivierte Dokumente dürfen nachträglich nicht verändert werden. Weder der Inhalt noch die Metadaten dürfen ohne dokumentierte Nachvollziehbarkeit modifiziert werden können. Technisch wird das durch Schreibschutz, Hash-Werte und digitale Signaturen sichergestellt. Jede noch so kleine Änderung am Dokument verändert den Hash-Wert und wird damit sofort erkennbar.

2. Nachvollziehbarkeit

Jeder Zugriff auf ein archiviertes Dokument muss protokolliert werden: Wer hat wann welches Dokument aufgerufen, heruntergeladen oder exportiert? Dieser lückenlose Audit-Trail ist bei Betriebsprüfungen essenziell. Die Finanzbehörden prüfen nicht nur die Dokumente selbst, sondern auch den Umgang mit ihnen.

3. Vollständigkeit

Alle aufbewahrungspflichtigen Dokumente müssen lückenlos archiviert sein. Das betrifft nicht nur Rechnungen und Verträge, sondern auch Geschäftsbriefe, Buchungsbelege, Inventare und steuerrelevante E-Mails. Ein einzelnes fehlendes Dokument kann bei einer Betriebsprüfung zu Schätzungen und empfindlichen Nachzahlungen führen.

4. Maschinelle Auswertbarkeit

Archivierte Dokumente müssen maschinell durchsuchbar und auswertbar sein. Ein gescanntes PDF ohne Texterkennung (OCR) erfüllt diese Anforderung nicht, weil die Finanzverwaltung bei einer Betriebsprüfung die Möglichkeit haben muss, Dokumente elektronisch zu durchsuchen, zu filtern und auszuwerten. Das bedeutet: Volltextsuche muss möglich sein.

Gesetzliche Grundlagen: GoBD, AO und HGB

Welche Gesetze und Vorschriften die revisionssichere Archivierung regeln

Die Anforderungen an die revisionssichere Archivierung ergeben sich aus mehreren Rechtsquellen. Die wichtigsten sind:

GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung)

Die GoBD des Bundesministeriums der Finanzen (BMF-Schreiben vom 28. November 2019) definieren die konkreten Anforderungen an die elektronische Aufbewahrung. Sie gelten für alle Steuerpflichtigen und umfassen zehn Grundsätze: Nachvollziehbarkeit, Nachprüfbarkeit, Vollständigkeit, Richtigkeit, zeitgerechte Buchung, Ordnung, Unveränderbarkeit, maschinelle Auswertbarkeit, Datensicherung und Verfahrensdokumentation.

§ 147 AO (Abgabenordnung)

§ 147 AO regelt die Aufbewahrungsfristen steuerrelevanter Unterlagen. Buchungsbelege, Jahresabschlüsse und Rechnungen müssen 10 Jahre aufbewahrt werden, Handels- und Geschäftsbriefe 6 Jahre. Die Frist beginnt mit dem Schluss des Kalenderjahres, in dem die letzte Eintragung gemacht wurde oder der Brief empfangen bzw. abgesandt wurde.

§ 257 HGB (Handelsgesetzbuch)

§ 257 HGB verpflichtet Kaufleute zur Aufbewahrung von Handelsbriefen, Buchungsbelegen und Jahresabschlüssen. Die Fristen entsprechen weitgehend denen der AO: 10 Jahre für Buchungsbelege und Jahresabschlüsse, 6 Jahre für Handelsbriefe.

§ 146 AO (Ordnungsvorschriften für die Buchführung)

§ 146 AO schreibt vor, dass Buchungen und Aufzeichnungen vollständig, richtig, zeitgerecht und geordnet vorzunehmen sind. Änderungen müssen so dokumentiert werden, dass der ursprüngliche Inhalt feststellbar bleibt. Das ist die gesetzliche Grundlage für die Unveränderbarkeitsanforderung.

Wichtig: Die GoBD gelten nicht nur für Großunternehmen. Auch Freiberufler, Einzelunternehmer und kleine Unternehmen mit Buchführungspflicht müssen revisionssicher archivieren. Die Betriebsgröße hat keinen Einfluss auf die Anforderungen.

Technische Umsetzung: Wie funktioniert revisionssichere Archivierung?

Von der Hash-Prüfung bis zum Audit-Trail

Revisionssichere Archivierung ist kein einzelnes Feature, sondern ein Zusammenspiel mehrerer technischer Maßnahmen:

Hash-Prüfung (SHA-256)

Beim Archivieren wird für jedes Dokument ein kryptografischer Hash-Wert berechnet (in der Regel SHA-256). Dieser Hash-Wert ist wie ein digitaler Fingerabdruck: Selbst die kleinste Änderung am Dokument — ein einzelnes Leerzeichen, ein geändertes Pixel — erzeugt einen vollständig anderen Hash-Wert. Durch regelmäßigen Abgleich der gespeicherten Hash-Werte mit dem aktuellen Dokumentenbestand wird jede Manipulation sofort erkannt.

Zeitstempel

Jedes archivierte Dokument erhält einen qualifizierten Zeitstempel, der den exakten Zeitpunkt der Archivierung dokumentiert. In Kombination mit dem Hash-Wert entsteht ein kryptografischer Beweis, dass das Dokument zu einem bestimmten Zeitpunkt in einem bestimmten Zustand existiert hat. Das ist bei Rechtsstreitigkeiten und Betriebsprüfungen ein entscheidender Vorteil.

Zugriffsprotokoll (Audit-Trail)

Ein lückenloses Zugriffsprotokoll dokumentiert jede Interaktion mit dem Archiv: Wer hat wann welches Dokument aufgerufen, heruntergeladen, exportiert oder gedruckt? Dieses Protokoll ist selbst unveränderbar und wird bei Betriebsprüfungen regelmäßig angefordert. Es beweist, dass die Organisation den ordnungsgemäßen Umgang mit ihren Unterlagen sicherstellt.

Versionierung

Falls ein Dokument nach der Archivierung ergänzt oder korrigiert werden muss (z. B. ein Storno zu einer Rechnung), wird nicht das Original überschrieben, sondern eine neue Version angelegt. Die Originalversion bleibt unverändert erhalten. So ist der gesamte Dokumentenverlauf nachvollziehbar — eine zentrale GoBD-Anforderung.

PDF/A als Archivierungsformat

Das PDF/A-Format (ISO 19005) ist der Standard für die Langzeitarchivierung. Anders als normales PDF enthält PDF/A alle benötigten Ressourcen wie Schriftarten eingebettet, erlaubt keine externen Abhängigkeiten und keine JavaScript-Ausführung. Das stellt sicher, dass das Dokument auch in 10, 20 oder 30 Jahren exakt so aussieht wie zum Zeitpunkt der Archivierung.

Zugriffsberechtigungen

Ein rollenbasiertes Berechtigungssystem stellt sicher, dass nur autorisierte Personen auf Dokumente zugreifen können. Administratoren definieren, wer welche Dokumentkategorien sehen, herunterladen oder exportieren darf. Das schützt nicht nur vor unbefugtem Zugriff, sondern erfüllt auch DSGVO-Anforderungen an die Zugriffskontrolle.

Revisionssicher vs. einfach aufbewahren: Der Unterschied

Warum eine Datei auf der Festplatte keine revisionssichere Archivierung ist

Viele Unternehmen speichern ihre Dokumente in Ordnerstrukturen auf dem Fileserver oder in der Cloud. Das ist Aufbewahrung — aber keine revisionssichere Archivierung. Der Unterschied ist gravierend:

Kriterium Einfache Aufbewahrung Revisionssichere Archivierung
Unveränderbarkeit Dateien können jederzeit geändert oder gelöscht werden Dokumente sind nach Archivierung schreibgeschützt, Hash-gesichert
Nachvollziehbarkeit Kein Zugriffsprotokoll vorhanden Lückenloser Audit-Trail aller Zugriffe
Vollständigkeit Keine Kontrolle über Vollständigkeit Systematische Erfassung aller Pflichtdokumente
Maschinelle Auswertbarkeit Abhängig vom Dateiformat OCR-Volltextsuche über alle Dokumente
Versionierung Originale werden überschrieben Alle Versionen bleiben erhalten
Betriebsprüfung Hohes Risiko bei Prüfung GoBD-konform, prüfungssicher

Das zentrale Problem bei einfacher Aufbewahrung: Es gibt keinen Beweis, dass ein Dokument seit seiner Erstellung nicht verändert wurde. Bei einer Betriebsprüfung kann die Finanzverwaltung die Ordnungsmäßigkeit der Buchführung in Frage stellen und eigene Schätzungen vornehmen — oft zu Ungunsten des Unternehmens.

Wer braucht revisionssichere Archivierung?

Buchführungspflicht als entscheidendes Kriterium

Grundsätzlich sind alle Unternehmen und Organisationen mit Buchführungspflicht zur revisionssicheren Archivierung verpflichtet. Im Detail betrifft das:

  • Kapitalgesellschaften (GmbH, AG, UG) — unabhängig von Größe und Umsatz
  • Personengesellschaften (OHG, KG) — als Kaufleute im Sinne des HGB
  • Einzelunternehmer — ab 600.000 Euro Umsatz oder 60.000 Euro Gewinn (§ 141 AO)
  • Freiberufler — für steuerrelevante Unterlagen (Rechnungen, Belege)
  • Vereine und Stiftungen — bei wirtschaftlichem Geschäftsbetrieb
  • Behörden und öffentliche Einrichtungen — gemäß Haushaltsrecht und Datenschutzgesetzgebung
  • Kanzleien (Rechtsanwälte, Steuerberater, Notare) — Berufsordnung und GoBD

Praxishinweis: Auch Unternehmen, die freiwillig Bücher führen, unterliegen den GoBD-Anforderungen, sobald sie eine elektronische Buchführung betreiben. Die Pflicht zur revisionssicheren Archivierung beginnt nicht erst bei der Betriebsprüfung, sondern ab dem ersten Geschäftsvorfall.

Typische Fehler bei der Archivierung

Diese Fehler können bei einer Betriebsprüfung teuer werden

Fehler 1: USB-Stick oder externe Festplatte

Dokumente auf einem USB-Stick zu speichern ist einer der häufigsten Fehler. USB-Sticks bieten keinen Schreibschutz, keine Zugriffsprotokollierung und keine Versionierung. Zudem besteht ein erhebliches Verlust- und Diebstahlrisiko. Bei einer Betriebsprüfung wird ein USB-Stick als Archivierungsmedium nicht akzeptiert.

Fehler 2: Desktop-Ordner oder Fileserver

Dateien in Ordnern auf dem Desktop oder dem Firmen-Fileserver abzulegen erscheint einfach, erfüllt aber keine einzige GoBD-Anforderung. Dateien können umbenannt, verschoben, überschrieben oder gelöscht werden — ohne dass ein Protokoll erstellt wird. Es gibt keine Hash-Sicherung und keine Versionierung.

Fehler 3: E-Mail-Postfach als Archiv

Rechnungen und Geschäftsbriefe im E-Mail-Postfach zu belassen ist keine revisionssichere Archivierung. E-Mails können gelöscht, verschoben oder verändert werden. Zudem ist die maschinelle Auswertbarkeit von Anhängen in einem E-Mail-Postfach nicht gewährleistet. Die GoBD verlangen eine separate, unveränderbare Archivierung.

Fehler 4: Fehlende Verfahrensdokumentation

Selbst wenn die technische Archivierung korrekt umgesetzt ist, fehlt vielen Unternehmen die Verfahrensdokumentation. Die GoBD verlangen eine schriftliche Dokumentation, die beschreibt, wie Dokumente erfasst, verarbeitet, archiviert und geschützt werden. Ohne diese Dokumentation ist die Archivierung formal nicht GoBD-konform.

Fehler 5: Gescannte Dokumente ohne OCR

Papierdokumente einzuscannen und als Bild-PDF zu speichern reicht nicht aus. Ohne OCR-Texterkennung sind die Dokumente nicht maschinell auswertbar — eine zentrale GoBD-Anforderung. Die Finanzverwaltung muss bei einer Betriebsprüfung die Möglichkeit haben, archivierte Dokumente elektronisch zu durchsuchen und auszuwerten.

Revisionssichere Archivierung in der Praxis

Docuflair Archive archiviert Ihre Dokumente revisionssicher im PDF/A-Format, mit OCR-Volltextsuche, lückenlosem Audit-Trail und rollenbasiertem Zugriff. Vollständig On-Premises, DSGVO-konform. Vereinbaren Sie eine kostenlose Demo.

Kostenlose Demo anfordern Docuflair Archive entdecken

Häufig gestellte Fragen

Antworten auf die wichtigsten Fragen zur revisionssicheren Archivierung

Was genau bedeutet revisionssichere Archivierung?

Revisionssichere Archivierung bedeutet, dass Dokumente so aufbewahrt werden, dass sie nachträglich nicht verändert oder gelöscht werden können, jederzeit vollständig und maschinell auswertbar sind und ein lückenloser Zugriffsverlauf dokumentiert wird. Die Anforderungen ergeben sich aus den GoBD, § 147 AO und § 257 HGB.

Reicht eine Datei auf der Festplatte als revisionssichere Archivierung?

Nein. Eine Datei auf der Festplatte, einem USB-Stick oder in einem Desktop-Ordner ist nicht revisionssicher, weil sie jederzeit umbenannt, verschoben, überschrieben oder gelöscht werden kann. Revisionssicherheit erfordert technische Maßnahmen wie Hash-Prüfung, Zugriffsprotokollierung und Versionierung.

Welche Unternehmen sind zur revisionssicheren Archivierung verpflichtet?

Grundsätzlich alle Unternehmen mit Buchführungspflicht in Deutschland und Österreich. Das betrifft Kapitalgesellschaften, Personengesellschaften, Einzelunternehmer mit Umsätzen über 600.000 Euro oder Gewinnen über 60.000 Euro sowie Freiberufler mit steuerrelevanten Unterlagen.

Welche Rolle spielt das PDF/A-Format bei der revisionssicheren Archivierung?

PDF/A ist ein ISO-standardisiertes Format speziell für die Langzeitarchivierung. Es stellt sicher, dass Dokumente auch in Jahrzehnten originalgetreu lesbar bleiben, da alle benötigten Ressourcen wie Schriftarten eingebettet sind und keine externen Abhängigkeiten bestehen.

In 15 Min. live erleben

Unverbindlich & kostenlos
Demo starten