Revisionssichere SAP-Archivierung: HGB, AO und DSGVO im Griff
- vor 2 Tagen
- 6 Min. Lesezeit
Aufbewahrungspflichten einhalten und gleichzeitig DSGVO-konform löschen – kein Widerspruch, sondern eine Frage der richtigen Archivierungsstrategie. Wie SAP ILM beide Anforderungen unter einen Hut bringt.
Revisionssichere SAP-Archivierung bedeutet, dass steuerlich und handelsrechtlich relevante Daten für die gesetzlich vorgeschriebene Dauer unveränderbar, vollständig und jederzeit lesbar aufbewahrt werden. Die zentralen Rechtsgrundlagen sind das HGB (§ 257), die AO (§ 147), die GoBD sowie die DSGVO. SAP ILM (Information Lifecycle Management) bildet alle vier Anforderungen in einem integrierten System ab: Aufbewahrung, Sperrung, Löschung und Nachweisführung.
Der rechtliche Rahmen: Vier Regelwerke, ein Ziel
Wer SAP-Daten archiviert, bewegt sich in einem Spannungsfeld aus Aufbewahrungspflichten und Löschungsgeboten. Vier Regelwerke definieren den Rahmen:
HGB § 257 verpflichtet Kaufleute zur Aufbewahrung von Handelsbüchern, Jahresabschlüssen, Buchungsbelegen und Geschäftsbriefen. Die Fristen betragen sechs oder zehn Jahre, je nach Dokumentenart.
AO § 147 regelt die steuerliche Aufbewahrungspflicht. Seit 2025 gilt für Buchungsbelege wie Rechnungen und Kostennachweise eine Frist von acht Jahren (zuvor zehn Jahre, verkürzt durch das Wachstumschancengesetz). Handelsbücher und Jahresabschlüsse bleiben bei zehn Jahren.
GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form) definiert die technischen Anforderungen: Nachvollziehbarkeit, Unveränderbarkeit, Vollständigkeit und maschinelle Auswertbarkeit. Jede Archivierung muss GoBD-konform sein.
DSGVO fordert die Löschung personenbezogener Daten, sobald der Verarbeitungszweck entfällt. Während eine gesetzliche Aufbewahrungspflicht läuft, gilt sie als Rechtsgrundlage für die Speicherung. Nach Ablauf der Frist muss gelöscht werden – und zwar nachweisbar.
Aufbewahrungsfristen in der Übersicht
Die folgende Tabelle zeigt die wichtigsten Aufbewahrungsfristen für SAP-relevante Dokumente und Daten:
Dokumentenart | Frist | Rechtsgrundlage & Hinweis |
Jahresabschlüsse, Eröffnungsbilanzen | 10 Jahre | HGB § 257 Abs. 4, AO § 147 Abs. 3 |
Handelsbücher, Buchungssätze | 10 Jahre | HGB § 257 Abs. 4, AO § 147 Abs. 3 |
Rechnungen, Buchungsbelege | 8 Jahre | AO § 147 Abs. 3 (seit 2025 verkürzt von 10 auf 8 Jahre) |
Handels- und Geschäftsbriefe | 6 Jahre | HGB § 257 Abs. 4 |
E-Rechnungen (B2B) | 8 Jahre | Seit 2025 Empfangspflicht, Archivierung wie Rechnungen |
Personalunterlagen (mit Personenbezug) | Variabel | DSGVO: Löschung nach Zweckentfall, ggf. längere Fristen bei Sozialversicherung |
Seit dem Wachstumschancengesetz 2024 wurde die Aufbewahrungsfrist für Buchungsbelege von zehn auf acht Jahre verkürzt. Das ermöglicht eine frühere Archivierung und Löschung dieser Daten im SAP-System.
Das Spannungsfeld: Aufbewahren und Löschen
Die größte Herausforderung in der Praxis ist nicht die Aufbewahrung selbst, sondern das kontrollierte Löschen danach. Viele SAP-Systeme enthalten personenbezogene Daten in Belegen, Stammdaten und Bewegungsdaten. Die DSGVO verlangt, dass diese Daten nach Ablauf des Verarbeitungszwecks gelöscht werden.
Ohne eine systematische Löschstrategie bleiben personenbezogene Daten unbegrenzt im System. Das ist nicht nur ein Compliance-Risiko, sondern auch ein konkretes Haftungsrisiko: Bei Datenauskunftsersuchen (Art. 15 DSGVO) oder Löschanfragen (Art. 17 DSGVO) muss das Unternehmen nachweisen können, dass es über einen funktionierenden Prozess verfügt.
In der Praxis bedeutet das: Ein SAP-System braucht nicht nur eine Archivierung, sondern ein integriertes Lifecycle-Management, das Aufbewahrung, Sperrung und Löschung in einem durchgängigen Prozess abbildet.
SAP ILM: Aufbewahrung und Löschung in einem System
SAP Information Lifecycle Management (ILM) ist genau für dieses Spannungsfeld entwickelt worden. Es ergänzt die klassische SAP-Archivierung (SARA/ADK) um drei entscheidende Funktionen:
ILM-Funktion | Was sie leistet |
Retention Rules | Definiert für jedes Archivierungsobjekt die gesetzliche Aufbewahrungsfrist. Erst nach Ablauf wird die Löschung freigegeben. |
Legal Case Management | Setzt Legal Holds auf Daten, die von laufenden Rechtsverfahren, Steuerprüfungen oder Audits betroffen sind. Diese Daten werden unabhängig von der Regelfrist gesperrt. |
DSGVO-konforme Löschung | Nach Ablauf aller Fristen und Aufhebung aller Legal Holds erfolgt die Löschung automatisch und protokolliert. Der Löschnachweis ist revisionssicher dokumentiert. |
Der Ablauf ist dreistufig: Zuerst wird archiviert (Daten aus der Datenbank in das Archiv überführt), dann gesperrt (Daten sind lesbar, aber nicht mehr änderbar) und schließlich gelöscht (nach Fristablauf automatisch und dokumentiert). Dieses Dreistufenmodell bildet exakt die Anforderungen von HGB, AO und DSGVO ab.
GoBD-Konformität in der SAP-Archivierung
Die GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff) definieren die technisch-organisatorischen Anforderungen an die elektronische Buchführung und Archivierung. Sie wurden zuletzt am 14. Juli 2025 durch ein BMF-Schreiben aktualisiert – insbesondere wegen der E-Rechnungspflicht seit Januar 2025.
Die GoBD stellt fünf zentrale Anforderungen an die elektronische Archivierung. Alle fünf lassen sich mit SAP-Bordmitteln erfüllen:
Nachvollziehbarkeit und Nachprüfbarkeit: Jede Archivierung wird im SAP-Änderungsprotokoll dokumentiert. Archivierungsläufe sind mit Zeitstempel, Benutzer und Objektreferenz nachverfolgbar. Ein sachverständiger Dritter muss die Buchführung in angemessener Zeit nachprüfen können.
Unveränderbarkeit: Archivierte Daten sind schreibgeschützt. Der ADK (Archive Development Kit) stellt sicher, dass keine nachträgliche Manipulation möglich ist. Änderungen an Buchungssätzen müssen laut GoBD protokolliert und historisiert werden.
Vollständigkeit und Richtigkeit: Die Archivierung erfolgt objektbasiert. Alle zusammengehörigen Datensätze eines Belegs werden gemeinsam archiviert. Geschäftsvorfälle müssen vollständig, richtig und zeitgerecht erfasst sein.
Maschinelle Auswertbarkeit und Datenzugriff: Archivierte Daten können über SAP-Standardtransaktionen abgerufen und ausgewertet werden. Die GoBD kennt drei Formen des Datenzugriffs: den unmittelbaren Lesezugriff (Z1), die mittelbare Auswertung nach Vorgaben der Finanzbehörde (Z2) sowie die Datenträgerüberlassung (Z3).
Verfahrensdokumentation: Das Archivierungskonzept muss umfassend dokumentiert sein. Die Verfahrensdokumentation beschreibt den Prozess, die eingesetzten Systeme, die Datenflusslogik und das interne Kontrollsystem (IKS). Ohne Verfahrensdokumentation gilt die Archivierung formal als nicht ordnungsgemäß.
GoBD-Aktualisierung vom 14. Juli 2025: Was sich geändert hat
Das BMF-Schreiben vom 14. Juli 2025 bringt die zweite Änderung der GoBD und betrifft vor allem die Integration der E-Rechnungspflicht. Die wichtigsten Änderungen im Überblick:
Aufbewahrung von E-Rechnungen: Zur Erfüllung der Aufbewahrungspflicht genügt künftig der strukturierte XML-Datensatz der E-Rechnung. Eine zusätzliche Archivierung des PDF-Teils oder eines Ausdrucks ist nur noch erforderlich, wenn dieser abweichende oder zusätzliche steuerlich relevante Informationen enthält, etwa Buchungsvermerke oder qualifizierte elektronische Signaturen.
Ausgangsrechnungen: Eine bildhafte Kopie der Ausgangsrechnung (z.B. als PDF) muss nicht mehr zwingend ab Erstellung gespeichert werden, sofern jederzeit ein inhaltlich identisches Mehrstück der Rechnung erstellt werden kann. Das vereinfacht die Archivierung erheblich.
Datenzugriff konkretisiert: Die Finanzbehörde kann verlangen, dass aufzeichnungs- und aufbewahrungspflichtige Daten nach ihren Vorgaben maschinell ausgewertet und im maschinell auswertbaren Format bereitgestellt werden. Für SAP-Archivierungen bedeutet das: Die Lesbarkeit und Auswertbarkeit archivierter Daten muss auch Jahre nach der Archivierung technisch sichergestellt sein.
Praxisrelevanz für SAP: Unternehmen, die SAP als führendes ERP-System einsetzen, müssen ihre Verfahrensdokumentation an die aktualisierte GoBD-Fassung anpassen. SAP ILM und die SAP-Archivierung über ADK erfüllen die GoBD-Anforderungen technisch, aber die organisatorische Dokumentation und die Anpassung an die E-Rechnungspflicht liegen in der Verantwortung des Unternehmens.
E-Rechnung ab 2025: Was sich ändert
Mit dem Wachstumschancengesetz wurde die E-Rechnungspflicht für B2B-Transaktionen eingeführt. Seit Januar 2025 müssen Unternehmen in der Lage sein, elektronische Rechnungen im strukturierten Format (ZUGFeRD oder XRechnung) zu empfangen und zu verarbeiten.
Für die SAP-Archivierung bedeutet das: E-Rechnungen müssen im Originalformat archiviert werden, nicht als PDF-Ausdruck. Die Aufbewahrungsfrist beträgt acht Jahre. SAP ILM kann E-Rechnungen wie andere Buchungsbelege behandeln und mit den entsprechenden Retention Rules versehen.
Unsere Empfehlung
Compliance in der SAP-Archivierung ist kein einmaliges Projekt, sondern ein laufender Betrieb. Aufbewahrungsfristen ändern sich (wie zuletzt durch das Wachstumschancengesetz), neue Anforderungen kommen hinzu (E-Rechnung), und die DSGVO verlangt einen aktiven Löschprozess.
Wer sich heute mit der Archivierung beschäftigt, sollte nicht nur an die technische Umsetzung denken, sondern an den gesamten Lifecycle: von der Archivierung über die Aufbewahrung bis zur dokumentierten Löschung. SAP ILM bietet dafür den richtigen Rahmen – vorausgesetzt, es wird korrekt konfiguriert und betrieben.
Als SAP Partner übernehmen wir mit unserem SAP Archive Managed Service die komplette Einrichtung und den laufenden Betrieb der revisionssicheren Archivierung: Retention Rules, Legal Holds, Löschworkflows und regelmäßige Compliance-Reviews. So bleibt das interne Team entlastet, und die Archivierung entspricht jederzeit den aktuellen gesetzlichen Anforderungen.
Häufig gestellte Fragen
Was bedeutet revisionssichere Archivierung im SAP-Kontext?
Revisionssichere Archivierung bedeutet, dass archivierte Daten unveränderbar, vollständig und jederzeit maschinell auswertbar aufbewahrt werden. Im SAP-Kontext stellt der ADK (Archive Development Kit) die technische Integrität sicher. SAP ILM ergänzt dies um Retention Rules und Löschworkflows.
Wie lange müssen SAP-Buchungsbelege aufbewahrt werden?
Seit 2025 beträgt die Aufbewahrungsfrist für Buchungsbelege (Rechnungen, Kostennachweise) acht Jahre gemäß AO § 147. Zuvor galten zehn Jahre. Jahresabschlüsse und Handelsbücher müssen weiterhin zehn Jahre aufbewahrt werden.
Wie stellt SAP ILM die DSGVO-konforme Löschung sicher?
SAP ILM arbeitet mit Retention Rules, die für jedes Archivierungsobjekt die Aufbewahrungsfrist definieren. Nach Ablauf aller Fristen und Aufhebung eventueller Legal Holds wird die Löschung automatisch ausgelöst und protokolliert. Der Löschnachweis ist revisionssicher dokumentiert.
Was passiert bei einer Steuerprüfung mit archivierten Daten?
Archivierte Daten bleiben über SAP-Standardtransaktionen abrufbar und maschinell auswertbar. Bei einer anstehenden Steuerprüfung kann über das Legal Case Management in SAP ILM ein Legal Hold gesetzt werden, der die Löschung der betroffenen Daten bis zum Abschluss der Prüfung verhindert.
Müssen E-Rechnungen anders archiviert werden als Papierrechnungen?
Ja. E-Rechnungen müssen im strukturierten Originalformat (ZUGFeRD oder XRechnung) archiviert werden. Ein PDF-Ausdruck reicht nicht aus. Die Aufbewahrungsfrist beträgt acht Jahre. SAP ILM kann E-Rechnungen wie andere Buchungsbelege mit Retention Rules versehen und im Lifecycle managen.
Kommentare