Der richtige Umgang mit Dokumenten stellt eine wichtige Grundlage für Behörden und Unternehmen dar. Neben den rechtlich geforderten Dokumentationspflichten werden Dokumente zur Nachweisführung und Schadenabwehr gegenüber Dritten benötigt und enthalten das Wissen eines Unternehmens. Der folgende Artikel erläutert, wie Defizite in der Aufbewahrung und Bereitstellung von Dokumenten ermittelt werden können und der richtige Umgang sichergestellt werden kann.
Was ist Compliance?
Compliance: Erfüllung, Erlaubnis, Zustimmung, Befolgung, Einhaltung
Mit dem Begriff Compliance wird häufig die Einhaltung von geltendem Recht beschrieben. Das Compliance-Ziel eines Unternehmens besteht darin, Gefahren abzuwenden, die sich aus der Nicht-Einhaltung ergeben können. Die Verwantwortung hierfür liegt bei der Unternehmensleitung. Sie ist verpflichtet, Schutz- und Kontrollmechanismen zur Einhaltung gesetzlicher Rahmenbedingungen im Unternehmen zu etablieren.
Compliance-Erfüllung umfasst alle Maßnahmen, die ein rechtskonformes Verhalten des Unternehmens sowie der im Unternehmen vorhandenen Organe und Mitarbeiter sicherstellen. Um diese Maßnahmen zu definieren, zu steuern und zu überwachen, müssen Risiken identifiziert werden, die sich aus Rechtsverstößen ergeben können, bspw. aus den Pflichten zur Information, Dokumentation, Beantragung, Überwachung oder Einhaltung/Unterlassung.
Den Schwerpunkt dieses Artikels bilden die Pflichten zur Dokumentation, die häufig aber auch indirekt in anderen Pflichten enthalten sind. So kann ein prüfungspflichtiger Vorgang nicht nachvollzogen werden, wenn keine entsprechende Dokumentation vorliegt.
Für die Umsetzung von Compliance-Anforderungen werden häufig IT-Systeme eingesetzt. Für die Einhaltung der Dokumentationspflicht sind immer häufiger Dokumenten-Management-Lösungen, elektronische Archivsysteme oder elektronische Vorgangssteuerungssysteme im Einsatz. Diese IT-Systeme erzeugen jedoch oft wieder eigenständige Compliance-Anforderungen. So muss z. B. für eine elektronische Archivierungsumgebung von kaufmännischen Dokumenten eine eigene Dokumentation erstellt werden (Verfahrensdokumentation), die bei einer Ablage in Papier nicht erforderlich ist.
Compliance-Anforderungen für Geschäftsdokumente
Die zentralen Vorschriften zur Aufbewahrung finden sich im Handelsgesetzbuch (HGB) §§ 238, 239 und 257 sowie in der Abgabenordnung (AO) §§ 146 und 147. Dort wird für Handelsunternehmen geregelt,
- wer für die Einhaltung der Aufbewahrungspflichtig verantwortlich ist,
- welche Unterlagen aufbewahrungspflichtig sind,
- wie lange diese aufbewahrt werden müssen und
- wo Dokumente aufbewahrt werden dürfen.
Eine Übersicht über wichtige Rechtsgrundlagen im Handels- und Steuerrecht und deren Zusammenhänge sind in der folgenden Abbildung dargestellt:
Darüber hinaus finden sich auch in anderen Gesetzen, Branchenregelungen sowie in behördlichen Verordnungen Vorgaben, die für bestimmte Dokumente die Umgangsweise und die Aufbewahrungspflichten regeln. Beispiele hierfür sind:
Personal
- Einkommensteuergesetz (EStG)
- Lohnsteuerdurchführungsverordnung (LStDV)
- Arbeitszeitgesetz (ArbZG)
- Arbeitnehmerüberlassungsgesetz (AÜG)
- Arbeitsschutzgesetz (ArbSchG)
Zoll
- Zollverwaltungsgesetz (ZollVG)
- Zollkodex (ZK)
- Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen für den Zuständigkeitsbereich der Zollverwaltung (GDPdUZ)
Banken
- Kreditwesengesetz (KWG)
- Wertpapierhandelsgesetz (WpHG)
- Geldwäschegesetz (GWG)
Sozialversicherungsträger
- SGB (Sozialgesetzbuch)
- Allgemeine Verwaltungsvorschrift über das Rechnungswesen in der Sozialversicherung (SRVwV)
- Bundesversicherungsamt (BVA)
Öffentliche Verwaltung
- Bundesarchivgesetz (BArchG)
- Verwaltungsverfahrensgesetz (VwVfG)
- Gemeinsame Geschäftsordnung der Bundesministerien (GGO)
- Registraturrichtlinie für die Bearbeitung und Verwaltung von Schriftgut (RegG)
Aus diesen zahlreichen unterschiedlichen Quellen ergeben sich für Unternehmen eine Reihe von Dokumentarten, die einer internen oder externen Compliance-Anforderung unterliegen. Typische Beispiele sind hierbei:
- Kreditorische und debitorische Verträge, vertragsbegleitende Unterlagen
- Intern erstellte oder externe, geltende Richtlinien, Standards und Normen
- Prüfberichte, Testate, Zertifikate
- Amtliche Verfügungen, Anweisungen, Genehmigungen, Urteile, richterliche Anweisungen
- Aufträge, Ausschreibungsunterlagen, Angebote, Leistungszusagen (interne und externe)
- Störfall-, Notfall- oder K-Fall-Dokumentation
- Protokolle, die Beschlüsse dokumentieren. Dokumentation von Entscheidungen mit rechtlicher Wirkung
Anleitungen und Nachweise Zugang, Zugriff, Zutritt - Projektdokumentation, Pflichtenhefte, Leistungsverzeichnisse
Hierbei kann dann eine Klassifikation der Unterlagen in „aufbewahrungspflichtig“ und „aufbewahrungswürdig“ erfolgen. Als aufbewahrungspflichtig wird ein Geschäftsdokument bezeichnet, wenn die Aufbewahrung auf Grund gesetzlicher oder regulatorischer Anforderungen, die nicht in der Regelungshoheit des Unternehmens liegen, verpflichtend ist. Aufbewahrungswürdig ist ein Geschäftsdokument, wenn die Leitung, der für den zugehörigen Geschäftsprozess verantwortlichen oder eine andere Organisationseinheit, entschieden hat, dass das Dokument aufzuheben ist.
Die aufbewahrungspflichtigen und aufbewahrungswürdigen Dokumentarten sollten in Aufbewahrungskatalogen dokumentiert werden. Hierbei sind die folgenden Festlegungen sinnvoll:
- Dokumentenart (fachliche Gruppierung gleichartiger Dokumente)
- Aufbewahrungsfrist (gesetzlich, betrieblich)
- Aufbewahrungsart (Papier, elektronisch, Papiervernichtung nach Digitalisierung zulässig)
- Aufbewahrungsort / zulässige Archivierungsumgebung
- Zuständigkeiten für die Sammlung, Aufbewahrung und Vernichtung
Die Erstellung kann je Abteilung oder Bereich erfolgen und sollte regelmäßig auf Aktualität und Vollständigkeit geprüft werden. Durch diese schriftlichen Festlegungen werden redundante Ablage vermieden, Fristen besser eingehalten und Aufbewahrungsumgebungen gemäß der Anforderungen an die Dokumente verwendet. Mitarbeitern wird hierdurch schnell transparent, wo, wie und durch wen Geschäftsdokumente aufbewahrt werden müssen. Die Aufbewahrungssysteme selbst werden auch durch die Festlegung in aufbewahrungspflichtig und aufbewahrungswürdig beeinflusst, da dies zu unterschiedlichen technischen Umsetzungen führen kann.
Analyse von Compliance-Defiziten
Um die Compliance für Geschäftsdokumente zu überprüfen, ist meist eine Analyse der Defizite und Risiken erforderlich. Sehr hilfreich sind hier häufig Fälle aus der Vergangenheit, die erste Hinweise liefern:
- Wurden Fristen verpasst, aus denen erhebliche Kosten entstanden?
- Wurde von Dritten Behauptungen aufgestellt, die man nicht widerlegen konnte?
- Gab es Kommunikation mit Dritten, Prozesse, Schlichtungsverfahren o.ä., in denen die eigene Position nicht belegt werden konnte?
- Mussten Zugeständnisse und Kompromisse in Verhandlungen eingegangen werden, weil man eigene Argumente nicht belegen konnte?
- Wurden bei Prüfungen durch Dritte (Finanzverwaltung, Wirtschaftsprüfer, Gewerbeaufsicht, Zollverwaltung, Staatsanwaltschaft oder andere autorisierte Dritte) Unterlagen angefordert, die man nicht zeitnah oder gar nicht beschaffen konnte?
Bei bereits im Unternehmen bekannten Compliance-Fällen ist die Analyse und häufig auch die Behebung einfach. Schwieriger wird es, wenn potenzielle Risiken realistisch eingeschätzt werden müssen, die aber bisher noch zu keinem Schaden geführt haben. Hier muss eine Bewertung erfolgen, ob mit dem Risiko weiter gelebt werden kann oder eine organisatorische oder technische Änderung erfolgen muss. Risiken, die sich bei der Aufbewahrung von Geschäftsdokumenten ergeben können, sind bspw.:
- Dokumentationspflicht nicht erfüllt, erforderliche Dokumente sind nicht vorhanden
- Dokumente werden falsch abgelegt, benannt oder indexiert
- Ablageort / Systematik ist anderen nicht bekannt
- Aktualität der Dokumente ist unklar, Dokument wird an mehreren Stellen abgelegt. Original unklar, Löschungen, Änderungen wirken sich nur an einer Stelle aus
- Mangelnde, falsche oder persönliche Versionierung
- Mangelnder Schutz gegen unzulässige Manipulation. Nachweis der unveränderten Aufbewahrung kann nicht geführt werden
- Zugriffsrechte/Zugriffsschutz, Datenschutz wird nicht beachtet. Geschäftliche Risiken bei Bruch der Vertraulichkeit sensibler Informationen
- Aufbewahrungs- und Löschfristen werden nicht beachtet. Dokumente werden zu früh (Verletzung Aufbewahrungsfrist) oder zu spät (Verletzung Datenschutz) gelöscht, Legal hold wird nicht beachtet (Verletzung Aufbewahrungsfrist)
- Mangelnde Zuständigkeiten für die Aufbewahrung
- Mangelnde Kenntnis relevanter Dokumente
Für die Erhebung von Compliance-Risiken empfiehlt sich die Durchführungvon Interviews mit erfahrenen Mitarbeitern, die die Prozesse und Dokumentationsstrukturen des Bereiches sehr gut kennen und mögliche Risiken einschätzen können. Bei der Erhebung der Risiken sollten die folgenden Aspekte dokumentiert werden:
- Bereich, Abteilung, Unterabteilung
- Dokumentart, Gruppe gleichartiger Dokumente
- Regulatorische Grundlage (warum), Aufbewahrungsfrist
- Weitere relevante Stellen (im Bereich, hausweit) und Prozesse für diese Dokumentart
- Zuständigkeit für die Dokumentart oder den Prozess
- Mögliches Compliance-Risiko (Bsp. gemäß obiger Aufzählung)
- Eigene Konkretisierung und Priorisierung
- Ursache aus organisatorischer, technischer oder persönlicher Sicht
- Risikobewertung (Häufigkeit, Schadenshöhe, Tragweite etc.)
- Aufbewahrung heute (Papierakte, auf PC (lokal), E-Mail-System, auf File-System, DMS etc.)
- Aufbewahrung gewünscht
- Lösungsansatz (organisatorisch, technisch)
Bei den Interviews sollten auch wirtschaftliche Aspekte bewertet werden, da die Erfüllung von Compliance-Anforderungen für Dokumente nicht immer einhergeht mit effizientem Umgang mit Dokumenten. Eine lange Suche, die immer zum Ziel führt oder eine Vertragsverwaltung mit vielen Kopien erfüllt vielleicht die Compliance-Anforderungen, kann aber durch eine elektronische Lösung wirtschaftlicher erfolgen.
Aus den Ergebnissen und deren Priorisierung wird dann ein technischer und organisatorischer Maßnahmenplan abgeleitet, der sich in der Regel auf Zuständigkeiten, Prozess und Systeme auswirkt.
Zentralstelle Dokumenten Management
Nach einem kurzen Blick auf Aufbewahrungsfristen wird schnell klar, dass es sich bei der Sicherstellung von Compliance für Dokumente eines Unternehmens um eine Daueraufgabe handelt. Hier ist eine zentrale Stelle sinnvoll, die Richtlinien zur Dokumentverwaltung vorgibt und Regelungen überwacht und hierfür mit ausreichender Weisungsbefugnis ausgestattet ist. Sie berät die Fachbereiche bei Anforderungsdefinition, Auswahl der Ablageumgebung und Umsetzung der Anforderungen und ist somit Mittler zwischen Fachbereich und IT.
Die exakte organisatorische Zuordnung einer solchen Stelle ist von Unternehmen zu Unternehmen unterschiedlich gestaltet. Typischerweise wird die Aufgabe von einer zentralen Abteilung wie Qualitätsmanagement, Compliance, Recht, Revision, Registratur oder Zentralarchiv übernommen. Der Nutzen hierbei liegt auf der Hand:
- Einheitliche Interpretation von gesetzlichen Grundlagen
- Einheitliche Umsetzung von fachlichen Anforderungen in technische Lösungen
- Neutrale Bewertung bei unterschiedlichen Auffassungen
- Bessere Überwachung kritischer Geschäftsdokumente
- Bessere Sensibilisierung im Umgang mit sicherheitsrelevanten oder vertraulichen Dokumenten
- Bessere Standardisierung von Ablagestrukturen
- Verbesserung der Möglichkeiten zur abteilungsübergreifenden Suche und der personen-unabhängigen Aufbewahrung
- Bessere Fristenverwaltung und zeitgerechte Vernichtung von Geschäftsdokumenten in allen Aufbewahrungsumgebungen
- Einheitliche Außendarstellung im Rahmen von Prüfungen
Somit trägt eine solche Stelle maßgeblich zur Compliance-Sicherung im Unternehmen bei.
Fazit
Die Sicherstellung von Compliance-Anforderungen für Dokumente eines Unternehmens ist unverzichtbar für den geschäftlichen Erfolg. Durch sich häufig ändernde rechtliche Anforderungen, neue Compliance-Anforderungen, unternehmensinterne Reorganisationen und Personalwechsel werden hohe Anforderungen an die Verfügbarkeit von Dokumenten gestellt. Hier hilft nur zentrale Überwachung und Kontrolle, beginnend mit Regelwerken und zentrale Übersichten bis hin zur Beratung und Unterstützung bei der technischen Umsetzung.
Ein Compliance-Check hilft hier bei der Standortbestimmung, Behebung von Risiken und auch bei der Dokumentation für Dritte, zu diesem Thema tätig gewesen zu sein. Da mit der Erhöhung der Compliance für Geschäftsdokumente in der Regel auch wirtschaftliche Potenziale freigesetzt werden, können entsprechende Projekte leicht platziert werden.