Als IT-Verantwortlicher, Steuerberater, Buchhalter oder kaufmännische Führungskraft in einem kleinen oder mittleren Unternehmen stehst du häufig vor der Frage, ob die eingesetzten Scanner und Scanprozesse den Anforderungen für eine revisionssichere Archivierung entsprechen. Typische Situationen sind Eingangsrechnungen, Kassenbelege oder Verträge, die digitalisiert und langfristig aufbewahrt werden müssen. Dabei treten immer wieder Probleme auf. Die Scanqualität ist zu niedrig. Wichtige Informationen sind unleserlich oder OCR-Ergebnisse schlecht. Metadaten fehlen oder werden inkonsistent gepflegt. Dateien lassen sich nachträglich verändern. Prüfpfade und Zugriffsprotokolle sind lückenhaft. Und Aufbewahrungsfristen werden nicht automatisch umgesetzt.
Dieser Artikel hilft dir, die relevanten Kriterien systematisch zu prüfen. Du erfährst, welche Scanner-Eigenschaften und Software-Funktionen wichtig sind. Dazu gehören Dateiformate, OCR-Genauigkeit, Erzeugung und Verwaltung von Metadaten, digitale Signaturen oder Checksummen zur Manipulationssicherheit sowie Protokollierung zur Nachvollziehbarkeit. Du erhältst Hinweise zu Archivierungsfristen, Aufbewahrungs- und Löschprozessen und zu Anforderungen, die die GoBD an Prüfpfade stellen.
Der Ratgeber beantwortet konkrete Fragen: Reicht der eingesetzte Scanner aus? Brauchst du zusätzliche Software? Welche Einstellungen sind notwendig? Wie dokumentierst du die Prozesse für eine Betriebsprüfung? Am Ende kennst du die Prüfpunkte, mit denen du die Revisionssicherheit deines Scan-Workflows bewerten und verbessern kannst.
Wichtige Kriterien beim Scanner für revisionssichere Archivierung
Diese Analyse zeigt dir die relevanten Prüfpunkte, mit denen du Scanner und begleitende Software für eine revisionssichere Archivierung bewerten kannst. Ich beschreibe typische Funktionen, wie sie bei Geräten und Lösungen vorkommen. Und ich nenne die konkreten Aspekte, auf die du bei Auswahl und Konfiguration achten solltest. So kannst du schnell entscheiden, ob ein Gerät oder ein Workflow den Anforderungen der GoBD genügt.
| Kriterium | Typische Scanner-Funktion | Worauf du achten solltest |
|---|---|---|
| Manipulationsschutz (Prüfsummen/Hashes) | Einige Scan-Workflows erzeugen automatisch MD5- oder SHA-Checksumme für Dateien. Scanner selbst erzeugen das selten. Die Archivsoftware sollte Prüfsummen berechnen und speichern. | Wichtig: Prüfsummen müssen beim Einlagern gespeichert werden. Prüfe, ob Änderungen am Dateiinhalt erkennbar sind. Idealerweise automatisierte Vergleichs-Checks. |
| Zeitstempel | Scanner liefern Dateizeitstempel. Archivsysteme schreiben Einlagerungszeitpunkte in Metadaten. Manche Lösungen nutzen qualifizierte Zeitstempel (TSA). | Wichtig: Prüfe, ob Zeitstempel manipulationssicher sind. Für kritische Dokumente kann ein externer Zeitstempel-Server sinnvoll sein. |
| Metadaten-Export | Scanner-Software liefert Indexfelder, OCR-Texte und Barcodelesergebnisse. Export per CSV, XML oder direkt in Archiv-APIs ist möglich. | Wichtig: Achte auf standardisierte Formate. Metadaten müssen vollständig und konsistent übergeben werden. Schnittstellen zu DMS/Archivsoftware sind ein Muss. |
| Format / ISO-Standards | PDF/A-1b oder PDF/A-2 sind in Scanprozessen üblich. TIFF wird noch verwendet, ist aber weniger praktikabel bei Metadaten. | Wichtig: Verwende PDF/A für Langzeitarchivierung. Prüfe, ob die Software validierte PDF/A-Dateien erzeugt und ob Fonts eingebettet werden. |
| Integrationsfähigkeit mit Archivsoftware | Viele Scanner bieten direkte Upload-Optionen zu DMS, Cloud-Archiven oder über Webhooks und APIs. | Wichtig: Prüfe vorhandene Konnektoren für euer Archivsystem. Offene API oder standardisierte Protokolle erleichtern spätere Anpassungen. |
| Audit-Log | Audit-Logs führen Scanereignisse, Benutzeraktionen und Übertragungen auf. Manchmal nur in der Archivsoftware vorhanden. | Wichtig: Logs müssen unveränderbar und auswertbar sein. Achte auf Exportfunktionen für Prüfungen. |
| Verschlüsselung | Transportverschlüsselung (TLS) ist Standard. Ruhende Daten sollten optional verschlüsselt sein. Manche Scanner unterstützen SSL/TLS beim Upload. | Wichtig: Ende-zu-Ende-Schutz dort, wo gesetzliche Anforderungen bestehen. Klare Schlüsselverwaltung im Archiv definieren. |
| Langzeitverfügbarkeit | Scanner tragen indirekt bei. Entscheidend sind Archivkonzept, Migration und Formatwahl. Scanner sollten stabile PDF/A-Ausgaben liefern. | Wichtig: Plane Migrationen. Vermeide proprietäre Container ohne Exportoptionen. Dokumentiere Export- und Migrationswege. |
Kurz zusammengefasst: Ein Scanner allein macht das Archiv nicht revisionssicher. Entscheidend sind die Kombination aus Scanqualität, Metadatenmanagement, Prüfsummen, Protokollen und der Integration mit einer geeigneten Archivsoftware. Prüfpunkte helfen dir, Lücken im Workflow aufzudecken.
Gesetzliche Vorgaben in Deutschland und die Bedeutung der GoBD
Kerngedanken der GoBD
Die GoBD geben verbindliche Regeln für die elektronische Buchführung und Archivierung vor. Sie fordern Nachvollziehbarkeit, Unveränderbarkeit, Vollständigkeit und eine dokumentierte Vorgehensweise. Relevante Dokumente müssen während der gesetzlichen Aufbewahrungsfristen verfügbar und lesbar bleiben. Prüfpfade und Zugriffsrechte müssen so gestaltet sein, dass ein Betriebsprüfer Abläufe nachvollziehen kann.
Zentrale Anforderungen
Nachvollziehbarkeit heißt, jeder Verarbeitungsschritt muss dokumentiert sein. Unveränderbarkeit bedeutet, nachträgliche Manipulationen müssen erkennbar oder ausgeschlossen sein. Die Verfahrensdokumentation muss Scanprozesse, Verantwortlichkeiten und Einstellungen beschreiben. Aufbewahrungsfristen richten sich nach AO und HGB. Steuerrelevante Unterlagen sind in der Regel 10 Jahre aufzubewahren. Handelsbriefe werden meist 6 Jahre aufbewahrt.
Praktische Implikationen für Scanner und Scan-Workflows
Dokumentiere das gesamte Scanning-Verfahren. Beschreibe Scanner-Modelle, Software, Standard-Scaneinstellungen und OCR-Parameter. Halte fest, wer scannt und wer freigibt. Erzeuge und speichere Prüfsummen wie SHA-256 beim Einlagern. Nutze Zeitstempel. Für besonders schutzbedürftige Dokumente kann ein Zeitstempel von einer vertrauenswürdigen Stelle sinnvoll sein.
Sichere Speicherung bedeutet verschlüsselte Übertragung und ruhende Daten mit Zugriffskontrollen. Audit-Logs müssen Scanereignisse und Benutzeraktionen erfassen. Nutze standardisierte Langzeitformate wie PDF/A. Plane regelmäßige Backups und Migrationswege für Dateiformate.
Einfache Beispiele für die Praxis
Ein kleines Unternehmen scannt Eingangsrechnungen täglich. Scan in PDF/A. OCR ausführen. Metadaten wie Rechnungsnummer, Datum und Betrag automatisch erfassen. Archivsoftware berechnet SHA-256 und legt Audit-Log an. Zugriff ist rollenbasiert geregelt. Aufbewahrungsfrist und Löschregel sind in der Verfahrensdokumentation beschrieben.
Ein Steuerberater dokumentiert den Scan-Workflow seines Mandanten. Er prüft Scanqualität, Metadatenschema und die Existenz von Prüfsummen. Er empfiehlt Korrekturen und legt eine einfache Prüfliste für Audits an.
Kurz zusammengefasst: Halte Prozesse schriftlich fest und implementiere technische Maßnahmen wie Prüfsummen, Zeitstempel und Zugriffskontrollen. So erfüllst du die zentralen GoBD-Anforderungen und bereitest dich auf Prüfungen vor.
Entscheidungshilfe: Scanner für GoBD-konforme Archivierung prüfen
Mit dieser Entscheidungshilfe kannst du schnell einschätzen, ob dein vorhandener Scanner oder ein neues Modell die Anforderungen für revisionssichere Archivierung erfüllt. Konzentriere dich auf wenige Kernfragen. Die Antworten zeigen dir, ob Nachrüstungen nötig sind oder ob die Integration mit einer Archivlösung ausreicht.
Leitfragen
Erzeugt der Workflow Prüfsummen und Audit-Logs? Wenn ja, ist ein wichtiger Baustein vorhanden. Prüfe, ob die Prüfsummen beim Einlagern gespeichert werden. Logs sollten Benutzeraktionen und Übertragungen dokumentieren. Wenn nein, lässt sich diese Funktion oft in der Archivsoftware nachrüsten.
Werden Metadaten zuverlässig exportiert und an das Archiv übergeben? Positive Antworten bedeuten weniger manuellen Aufwand und bessere Suchbarkeit. Achte auf standardisierte Formate wie CSV oder XML und auf direkte API-Anbindung. Fehlen Exporte, prüfe, ob Scanner-Software Felder anpassbar macht.
Lässt sich das Format für Langzeitarchivierung erzeugen, zum Beispiel PDF/A? PDF/A-Ausgabe ist praxisrelevant. Wenn der Scanner oder die Software valide PDF/A-Dateien erzeugt, hast du ein solides Fundament. Andernfalls kann eine Nachbearbeitung in der Archivsoftware nötig sein.
Praktische Empfehlungen bei Unsicherheit
Nachrüstbare Software ist oft die beste Lösung. Viele Hersteller bieten Zusatzmodule für Audit-Logs, Prüfsummen und PDF/A-Erzeugung.
Drittanbieter-Archivsysteme übernehmen oft Prüfsummen, Zeitstempel und Langzeitformat. Sie entlasten das Scanner-Setup. Achte auf verfügbare Konnektoren und Support.
Verfahrensdokumentation schriftlich anlegen. Beschreibe Scannprozess, Verantwortliche und Einstellungen. Das reduziert Prüfungsrisiken, auch wenn nicht alle technischen Features vorhanden sind.
Fazit
Wenn Prüfsummen, Metadatenexport und PDF/A vorhanden sind, ist das ein gutes Zeichen. Fehlt eine Funktion, ist meist eine Kombination aus Software-Nachrüstung und klarer Verfahrensdokumentation ausreichend, um GoBD-Anforderungen zu erfüllen.
Häufige Fragen zu Scanner und revisionssicherer Archivierung
Was bedeutet revisionssicher?
Revisionssicher heißt, dass Dokumente über die gesetzliche Aufbewahrungsfrist unverändert nachweisbar bleiben. Veränderungen müssen erkennbar oder ausgeschlossen sein. Außerdem müssen Zugriffe und Verarbeitungsschritte nachvollziehbar protokolliert werden. Die Dokumente müssen lesbar und verfügbar bleiben.
Welche Scanner-Funktionen sind besonders wichtig?
Wichtig sind eine gleichbleibend hohe Scanqualität und zuverlässige OCR-Ergebnisse. Metadatenexport in standardisierten Formaten und direkte Schnittstellen zu Archivsystemen erleichtern die Verarbeitung. Prüfsummen oder Signaturen und Audit-Logs schaffen Nachweisbarkeit. Sichere Übertragung und PDF/A-Ausgabe runden das Setup ab.
Reicht PDF/A allein?
PDF/A ist ein wichtiges Langzeitformat und sollte Standard sein. Allein reicht es aber nicht. Du brauchst zusätzlich Integritätssicherungen wie Prüfsummen, nachvollziehbare Logs und ein dokumentiertes Verfahren. Nur so ist Revisionssicherheit gewährleistet.
Wie nachweisbar sind Veränderungen?
Veränderungen lassen sich mit Prüfsummen wie SHA-256 nachweisen. Digitale Signaturen machen Manipulationen sichtbar und bieten rechtssicheren Nachweis. Audit-Logs zeigen, wer was wann getan hat. Zeitstempel unterstützen die Rekonstruktion von Ereignissen.
Was muss in der Verfahrensdokumentation stehen?
Die Dokumentation beschreibt den gesamten Scanprozess, eingesetzte Hardware und Software sowie Verantwortlichkeiten. Sie enthält Standard-Scaneinstellungen, Metadatenschema und Prüfregeln. Regeln zu Speicherung, Backup, Zugriff und Löschung gehören ebenfalls hinein. Diese Unterlagen sind wichtig für die Prüfung durch die Finanzbehörde.
Do’s & Don’ts für den sicheren Einsatz von Scannern
Gute Routinen beim Scannen reduzieren Prüfungsrisiken und sparen späteren Aufwand. Die Tabelle zeigt klare Praktiken, die du sofort umsetzen kannst. Sie stellt bewährte Maßnahmen den typischen Fehlern gegenüber. So erkennst du schnell, wo Handlungsbedarf besteht.
| Do: Empfohlene Praxis | Don’t: Typischer Fehler |
|---|---|
| Audit-Logs aktivieren. Protokolliere Scanereignisse und Nutzeraktionen. Prüfer brauchen nachvollziehbare Logs. | Keine Logs. Scanvorgänge bleiben undokumentiert. Änderungen sind schwer nachzuweisen. |
| PDF/A erzeugen. Nutze validiertes PDF/A mit eingebetteten Fonts für Langzeitarchivierung. | Normales PDF reicht. Formate können später unlesbar werden. Migration wird komplizierter. |
| Prüfsummen und Zeitstempel speichern. Verwende SHA-256 und sichere Zeitstempel beim Einlagern. | Nur Dateizeitstempel. Dateizeitstempel lassen sich leicht verändern. Manipulationen bleiben unentdeckt. |
| Metadaten automatisieren. Erfasse Rechnungsnummern, Datum und Betrag automatisiert per OCR und Barcode. | Metadaten manuell pflegen. Fehler und Inkonsistenzen erhöhen Prüfaufwand. Suche und Recherchen dauern länger. |
| Sichere Übertragung und Zugriffsregeln. Nutze TLS beim Upload und rollenbasierte Berechtigungen. | Offene Freigaben und unverschlüsselt. Daten können abgefangen werden. Unberechtigte Änderungen sind möglich. |
| Verfahrensdokumentation pflegen. Beschreibe Prozesse, Verantwortliche und Einstellungen schriftlich. | Prozesse nicht dokumentieren. Bei Prüfungen fehlen Nachweise. Maßnahmen sind schwer zu begründen. |
Schritt-für-Schritt: Scan-Workflow für revisionssichere Archivierung einrichten
- Analyse der Anforderungen
Ermittle zuerst, welche Dokumenttypen du archivieren musst. Berücksichtige Aufbewahrungsfristen, Compliance-Anforderungen und wer Zugriff braucht. Lege Ziele fest, zum Beispiel PDF/A-Ausgabe, OCR-Genauigkeit und Audit-Logs.
- Auswahl und Prüfung von Scanner und Software
Prüfe vorhandene Geräte auf Scanqualität und Treiberunterstützung. Achte bei Software auf PDF/A-Erzeugung, Metadatenexport und API-Konnektoren. Teste ein Pilotdokument, bevor du eine Serienumstellung machst.
- Scanprofile und Bildqualität konfigurieren
Definiere Standardprofile für Belege, Rechnungen und Verträge. Wähle Auflösung und Farbtiefe so, dass OCR zuverlässig arbeitet. Aktiviere automatische Bildverbesserung nur mit dokumentierten Einstellungen.
- Metadaten- und OCR-Einstellungen festlegen
Lege Pflichtfelder wie Dokumenttyp, Datum und Referenznummer fest. Konfiguriere OCR-Sprachen und Prüfregeln für erkannte Werte. Sorge dafür, dass Metadaten exportierbar sind in CSV, XML oder per API.
- Prüfsummen und Zeitstempel aktivieren
Stelle sicher, dass beim Einlagern Prüfsummen wie SHA-256 erzeugt und gespeichert werden. Nutze wenn möglich einen qualifizierten Zeitstempel oder einen vertrauenswürdigen Zeitstempel-Service. Dokumentiere, wo Prüfsummen abgelegt werden und wie ein Integritätscheck läuft.
- Sichere Übertragung und Integration ins Archivsystem
Verwende TLS für Uploads und sichere Authentifizierung. Teste den End-to-End-Transfer zur Archivlösung inklusive Metadaten. Stelle sicher, dass die Archivsoftware Audit-Logs, Versionsmanagement und Löschregeln unterstützt.
- Verfahrensdokumentation erstellen
Dokumentiere alle Schritte des Workflows, Verantwortlichkeiten und Einstellungen. Beschreibe Backup-Intervalle, Migrationskonzept und Prüfregeln. Halte die Dokumentation aktuell und prüfbereit für eine Betriebsprüfung.
- Backup, Monitoring und Prüfprozesse einrichten
Implementiere regelmäßige Backups und Testwiederherstellungen. Überwache Audit-Logs und Integritätschecks automatisiert. Führe stichprobenartige Prüfungen durch und protokolliere die Ergebnisse.
Hinweise und Warnungen
Warnung: Änderungen an archivierten Dateien dürfen nicht ohne Nachweis vorgenommen werden. Wenn Nachbearbeitung nötig ist, dokumentiere sie vollständig und speichere die vorherige Version. Tipp: Nutze zunächst kleine Piloten, bevor du den Workflow unternehmensweit ausrollst.
