Chain of Custody für digitale Dokumente: Was Prüfer und Finanzbehörden tatsächlich verlangen
Physische Beweise besitzen eine Chain of Custody: ein Protokoll jeder Person, die damit Kontakt hatte, wann und warum. Die Kette beweist, dass die Beweise zwischen der Sicherstellung und der Vorlage nicht manipuliert wurden. Gerichte weisen physische Beweise ohne sie zurück.
Digitale Dokumente haben dasselbe Problem und in den meisten EU-Rechtssystemen dieselbe Anforderung. Die Frage lautet nicht, ob Ihr Dokument irgendwo gespeichert ist. Die Frage lautet, ob Sie nachweisen können, was damit zwischen Erstellung und heute geschehen ist.
Was Chain of Custody für ein Dokument bedeutet
Chain of Custody für ein digitales Dokument bedeutet, folgendes nachweisen zu können:
- Das Dokument wurde zu einem bestimmten Zeitpunkt erstellt
- Jede nachfolgende Änderung, jeder Verarbeitungsschritt, jede Konvertierung oder Übermittlung wurde aufgezeichnet
- Jeder Schritt ist einem bestimmten Akteur (Person, System, Dienst) zuzurechnen
- Kein Schritt wurde nachträglich weggelassen oder verändert
- Das heute vorgelegte Dokument ist dasselbe Dokument, das diese Schritte durchlaufen hat
Bei einem physischen Gegenstand wird die Verwahrungskette durch physische Übergaben nachgewiesen. Bei einem digitalen Dokument wird sie durch kryptografische Beweise hergestellt: Hashes, Zeitstempel und signierte Audit-Einträge.
Was EU-Finanzbehörden verlangen
Die Anforderungen variieren je nach Land, haben aber eine gemeinsame Struktur.
Deutschland (GoBD): Die Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern legen fest, dass elektronisch archivierte Dokumente gegen Veränderung geschützt, auffindbar sein müssen und der ursprüngliche Zustand rekonstruierbar sein muss. Der Schlüsselbegriff lautet “Unveränderbarkeit”: Dokumente müssen so archiviert werden, dass nachträgliche Änderungen technisch verhindert oder zumindest erkennbar sind. Die GoBD verlangen außerdem, dass der Archivierungsprozess selbst dokumentiert wird, d.h. die Kette vom Originaldokument bis zum Archiv muss nachvollziehbar sein.
Frankreich (DGFiP): Die Direction Générale des Finances Publiques verlangt, dass elektronische Rechnungen in ihrer Originalform gespeichert werden, wobei die Integrität durch ein technisches Mittel gewährleistet sein muss. Für Rechnungen, die im PDF- oder Hybridformat eingehen, muss die Integritätsgarantie die gesamte Aufbewahrungsfrist abdecken (sechs Jahre für Buchhaltungsunterlagen, zehn Jahre für Verträge).
Niederlande (Belastingdienst): Die Anforderung besteht in einer siebenjährigen Aufbewahrung mit Nachweisbarkeit. Das Merkblatt der Belastingdienst zur elektronischen Archivierung stellt ausdrücklich fest, dass ein Dokument in lesbarer Form reproduzierbar sein muss und dass die Integrität des Dokuments nachweisbar sein muss.
Belgien: Das FPS Finance richtet sich nach der EU-Richtlinie 2006/112/EG: Authentizität des Ursprungs, Unversehrtheit des Inhalts und Lesbarkeit müssen gewährleistet sein. Die technischen Mittel (EDI, elektronische Signatur oder Prüfpfad) müssen dokumentiert werden.
Der gemeinsame Nenner: Das Archivieren des Dokuments allein reicht nicht. Sie müssen auch den Integritätsnachweis archivieren.
Worauf Prüfer tatsächlich achten
Wenn ein Prüfer ein Dokument anfordert, möchte er in der Regel folgendes feststellen:
- Das Dokument ist echt (nicht nachträglich gefälscht)
- Das Dokument wurde seit seiner Erstellung oder seinem Eingang nicht verändert
- Das Dokument wurde auf eine Weise verarbeitet, die mit Ihren erklärten Verfahren übereinstimmt
Bei Steuerprüfungen stehen die ersten beiden Punkte im Mittelpunkt. Bei Compliance-Prüfungen (DSGVO, NIS2, branchenspezifisch) ist der dritte Punkt oft gleichwertig wichtig.
Prüfer akzeptieren im Allgemeinen keine “Vertrauen Sie mir”-Antworten. Sie suchen nach technischen Kontrollen, die Fälschungen oder Änderungen erkennbar machen. Die Kontrollen, die sie überzeugen, sind:
Unveränderliche Zeitstempel einer vertrauenswürdigen dritten Partei. Ein Zeitstempel, den Sie selbst erzeugt haben, ist kein unabhängiger Beweis. Ein Zeitstempel einer vertrauenswürdigen Behörde (einer qualifizierten RFC 3161-TSA) ist es. Unter RFC 3161-Zeitstempel erklärt erfahren Sie, wie das in der Praxis funktioniert.
Audit-Protokolle, die nicht nachträglich geändert werden können. Eine Protokolldatei auf Ihrem eigenen Server, auf die nur Sie Zugriff haben, ist kein unabhängiger Beweis. Ein Prüfpfad, bei dem jeder Eintrag kryptografisch mit dem vorherigen verknüpft ist (eine Hash-Kette), bedeutet, dass jede Änderung eines vergangenen Eintrags alle nachfolgenden Einträge ungültig macht. Ein Prüfer kann dies lokal verifizieren.
Dokumentation der Formatkonformität. Wenn Sie behaupten, eine Rechnung sei zum Zeitpunkt des Versands EN16931-konform gewesen, benötigen Sie den Validierungsbericht von diesem Datum, nicht eine Validierung, die Sie heute durchgeführt haben. Der Bericht muss zusammen mit dem Dokument gespeichert werden.
Der Hash-Ketten-Mechanismus
Eine Hash-Kette implementiert einen manipulationssicheren Prüfpfad. Jeder Eintrag enthält:
- Die Ereignisdaten (was ist passiert, wer, wann)
- Den Hash des Dokuments zum jeweiligen Zeitpunkt
- Den Hash des vorherigen Eintrags
Entry 1: {event: "created", actor: "api:tenant-1", time: "2026-03-01T09:00:00Z",
docHash: "sha256:a3f...", prevHash: "0000...0000"}
entryHash: sha256(Entry 1 data) = "sha256:7c2..."
Entry 2: {event: "validated", actor: "system", time: "2026-03-01T09:00:01Z",
docHash: "sha256:a3f...", prevHash: "sha256:7c2..."}
entryHash: sha256(Entry 2 data) = "sha256:b19..."
Entry 3: {event: "timestamped", actor: "tsa:qualified-eu", time: "2026-03-01T09:00:02Z",
docHash: "sha256:a3f...", prevHash: "sha256:b19..."}
entryHash: sha256(Entry 3 data) = "sha256:f44..."Wenn jemand Eintrag 2 ändert (z.B. um den Akteur oder die Zeit zu ändern), ändert sich der Hash von Eintrag 2. Der prevHash in Eintrag 3 stimmt nicht mehr überein. Die Kette ist unterbrochen. Ein Prüfer, der die Kette ab Eintrag 1 berechnet, wird die Inkonsistenz feststellen.
Dies ist dasselbe Prinzip, das bei Blockchain verwendet wird, aber angewendet auf Dokument-Prüfpfade ohne den Overhead eines verteilten Ledgers. Die Kette ist linear, deterministisch und mit einer SHA-256-Implementierung verifizierbar.
Die Lücke zwischen “gespeichert” und “nachgewiesen”
Die meisten Dokumentenmanagementsysteme bieten Speicherung mit Zugriffskontrollen. Manche bieten Versionshistorie. Wenige bieten Beweise.
Die Lücke besteht darin: Ein System, bei dem nur Sie das Audit-Protokoll kontrollieren, liefert keine unabhängigen Beweise für die Integrität dieses Protokolls. Wenn Sie Protokolleinträge löschen oder bearbeiten können, kann sich ein skeptischer Prüfer nicht auf das Protokoll verlassen.
Die Mechanismen, die diese Lücke schließen, sind externe Verankerung (ein qualifizierter RFC 3161-Zeitstempel einer TSA, die Sie nicht betreiben), Hash-Ketten-Integrität (damit Protokollmodifikationen erkennbar sind) und Archivierung auf Formatebene (PDF/A-3, damit das Dokument sich im Laufe der Zeit nicht verschlechtert oder unterschiedlich dargestellt wird).
Dies sind die Komponenten eines Legal Evidence Pack. Das Pack ist die Beweiseinheit, die Sie vorlegen, wenn ein Prüfer ein Dokument anfordert.
Aufbewahrungsfristen nach Dokumenttyp (EU-Übersicht)
| Dokumenttyp | Aufbewahrungsfrist | Wichtigste Rechtsordnung |
|---|---|---|
| Umsatzsteuerrechnungen | 7 Jahre | Deutschland (GoBD), Niederlande |
| Umsatzsteuerrechnungen | 10 Jahre | Frankreich, Belgien |
| Verträge | 10 Jahre (kaufmännisch) | Die meisten EU-Mitgliedstaaten |
| Personalunterlagen | Dauer des Beschäftigungsverhältnisses + 5–10 Jahre | Je nach Land unterschiedlich |
| Buchhaltungsunterlagen | 10 Jahre | Die meisten EU-Mitgliedstaaten |
| Medizinische Unterlagen | 10–30 Jahre | Erhebliche Unterschiede |
| Öffentliche Beschaffung | 5–10 Jahre nach Vertragsabschluss | EU-Richtlinie 2014/24/EU |
Der Beginn der Aufbewahrungsfrist variiert je nach Dokumenttyp und Rechtssystem. Bei Rechnungen beginnt sie in der Regel am Ende des Geschäftsjahres, in dem die Rechnung ausgestellt wurde, nicht ab dem Rechnungsdatum.
SealDoc und Chain of Custody
SealDoc zeichnet einen Hash-verketteten Prüfpfad für jedes Dokument auf, das seine Pipeline durchläuft. Die Kette beginnt bei der Dokumenterstellung, umfasst jeden Verarbeitungsschritt (Validierung, Konvertierung, Signierung, Archivierung) und wird mit einem RFC 3161-Zeitstempel einer qualifizierten EU-TSA verankert.
Der Prüfpfad wird als Teil des Legal Evidence Pack exportiert. Jeder Eintrag ist maschinell unabhängig von SealDocs Systemen verifizierbar. Wenn Ihre Organisation Dokumente zehn Jahre lang aufbewahrt und SealDoc im achten Jahr nicht mehr existiert, bleibt das Evidence Pack unabhängig verifizierbar: Die Kette wird aus den Dokument-Hashes berechnet, und der RFC 3161-Zeitstempel wird anhand des öffentlichen Zertifikats der TSA verifiziert, das öffentlich zugänglich ist.
Diese Unabhängigkeit ist entscheidend. Beweise, die vom weiteren Betrieb des Beweisausstellers abhängen, sind keine zuverlässigen Langzeitbeweise.