Die nicht gesetzlich normierten Grundsätze ordnungsgemäßer Aktenführung (auch: ordnungsmäßiger Aktenführung) umfasst die Pflicht der Behörde zur objektiven Dokumentation des bisherigen wesentlichen sachbezogenen Geschehensablaufs beim Umgang mit Dokumenten und folgt aus dem Rechtsstaatsprinzip (Artikel 20 Absatz 3 Grundgesetz). Nur eine geordnete Aktenführung kann einen rechtsstaatlichen Verwaltungsvollzug mit der Möglichkeit einer Rechtskontrolle durch die Gerichte und Aufsichtsbehörden ermöglichen. Hieraus ergibt sich die Verpflichtung der öffentlichen Verwaltung, Akten zu führen (Gebot der Aktenmäßigkeit), alle wesentlichen Verfahrenshandlungen vollständig und nachvollziehbar abzubilden (Gebot der Vollständigkeit) und diese wahrheitsgemäß aktenkundig zu machen (Gebot wahrheitsgetreuer Aktenführung). Dieser Grundsatz gilt auch für elektronische Akten.

Die sich hieraus ergebende Pflicht, alle erforderlichen Dokumente vollständig und in ihrer zeitlichen Reihenfolge für Dritte nachvollziehbar zu dokumentieren und aufzubewahren, gilt auch für die auf Informations- und Kommunikationstechnik gestützte Vorgangsbearbeitung sowie der Digitalisierung und elektronische Archivierung von Papierunterlagen.

Grundlage bilden das Handelsgesetzbuch (HGB) sowie die Abgabenordnung (AO), in denen die Anforderungen an die handelsrechtliche und steuerrechtliche Buchführungspflicht formuliert sind:

•     HGB §238 Buchführungspflicht
•     HGB §239 Führung der Handelsbücher
•     HGB §257 Aufbewahrung von Unterlagen und Aufbewahrungsfristen
•    AO 1977 §146 Ordnungsvorschriften für die Buchführung und für Aufzeichnungen
•    AO 1977 §147 Ordnungsvorschriften für die Aufbewahrung von Unterlagen

 Die darin enthaltenen Anforderungen für den Einsatz von IT-Systemen – und somit auch Dokumentenmanagement-Systemen – sind formuliert in den „Grundsätzen zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“ (GoBD) des BMF(Bundesministerium für Finanzen) mit Schreiben vom 5.5.2015, IV D 3 - S 7015/15/10001.

Datenschutz garantiert jedem Bürger ein Recht auf informationelle Selbstbestimmung und schützt ihn vor missbräuchlicher Verwendung seiner Daten. Der Umgang mit personenbezogenen Daten, die in Informations- und Kommunikationssystemen oder manuell verarbeitet werden, wird im Bundesdatenschutzgesetz (BDSG) bzw. in den Datenschutzgesetzen der Länder geregelt.

Zu den Rechten der Bürger durch das BDSG gehört u.a. das Recht auf Löschung bzw. Sperrung von Daten und Dokumenten – und stellt insofern einen besonderer Prüfgegenstand im vorliegenden Audit dar.

Mit dem IT-Sicherheitsgesetz (Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme) werden die Betreiber besonders gefährdeter Infrastrukturen (sogenannten Kritischen Infrastrukturen) – wie Energie, Wasser, Gesundheit oder Telekommunikation – verpflichtet, Ihre Netze besser vor Hacker-Angriffen zu schützen.

Ein besonderes Augenmerk liegt daher bei der vorliegenden Prüfung auf dem Zugriffsschutz.