← Back to all articles

Was ist ein Legal Evidence Pack und was enthält es?

SealDoc Team · · 5 min read

Ein Dokument aufzubewahren ist nicht dasselbe wie einen Nachweis zu haben, dass das Dokument existiert hat.

Wenn eine Steuerbehörde, ein Gericht oder eine Aufsichtsbehörde Sie bittet zu beweisen, dass eine bestimmte Rechnung an einem bestimmten Datum versendet wurde, dass ein Vertrag vor einem Fristablauf unterzeichnet wurde oder dass ein Compliance-Bericht in seiner ursprünglichen unveränderten Form eingereicht wurde, reicht die Vorlage des Dokuments selbst nicht aus. Sie müssen nachweisen, dass das Dokument echt, unverändert ist und dass der Zeitstempel vertrauenswürdig ist.

Das ist es, was ein Legal Evidence Pack leistet.

Was es ist

Ein Legal Evidence Pack ist ein strukturiertes Archiv, das ein Dokument mit den zur Verifizierung notwendigen Nachweisen kombiniert. Es beantwortet vier Fragen, die ein Dokument allein nicht beantworten kann:

  1. Hat dieses Dokument zu diesem Zeitpunkt existiert?
  2. Wurde es seitdem verändert?
  3. Wer hat es wann und in welcher Reihenfolge verarbeitet?
  4. Entspricht es dem anwendbaren Standard oder Format?

Das Pack bündelt den Nachweis für alle vier Fragen in einem einzigen prüffähigen Artefakt.

Was es enthält

Ein vollständiges Legal Evidence Pack enthält mindestens:

Das Dokument selbst in einem Langzeit-Archivierungsformat. Für die meisten Compliance-Anwendungsfälle ist das PDF/A-3: eine ISO-19005-Archiv-PDF, die alle Schriftarten, Farbprofile und strukturierte Daten einbettet und garantiert, in zukünftigen Viewern identisch gerendert zu werden. Eine reguläre PDF ist nicht ausreichend, weil externe Schriftartreferenzen, JavaScript und verlinkte Ressourcen sich ändern oder verschwinden können.

Einen RFC-3161-Zeitstempel, der zum Moment der Erstellung an den Dokumenthash gebunden ist. Dieser Zeitstempel wird von einer vertrauenswürdigen Timestamping Authority ausgestellt und beweist, dass das Dokument in seiner genauen Form zu einem bestimmten Zeitpunkt existierte. Ein RFC-3161-Zeitstempel ist das technische Äquivalent eines eingeschriebenen Poststempels: Er wird von einem Dritten ausgestellt, ist offline verifizierbar und kann nicht rückwirkend verschoben werden. Ein Dateisystem-Änderungsdatum ist nicht äquivalent; es kann spurlos geändert werden.

Ein Audit-Trail, der jeden Verarbeitungsschritt aufzeichnet, der das Dokument berührt hat. Jeder Eintrag im Audit-Trail enthält: den Schritttyp (erstellt, validiert, signiert, archiviert), den Akteur, einen Zeitstempel und einen Hash des Dokumentzustands in diesem Schritt. Die Einträge sind durch eine Hash-Kette verbunden, sodass das Manipulieren eines einzelnen Eintrags alle nachfolgenden invalidiert.

Einen Validierungsbericht, der bestätigt, dass das Dokument zum Verarbeitungszeitpunkt dem anwendbaren Standard entspricht. Für eine Rechnung ist das die EN16931-Schematron-Validierung. Für einen Vertrag kann es eine Formatprüfung und eine Schema-Validierung sein. Der Bericht ist als strukturiertes Artefakt im Pack enthalten, nicht nur als Bestehen/Nichtbestehen-Flag.

Ein Manifest mit SHA-256-Hashes jeder Datei im Pack. Damit kann ein Prüfer unabhängig verifizieren, dass keine Datei im Pack seit der Erstellung ersetzt oder verändert wurde.

Einen Compliance Passport, der das Obige in maschinenlesbarer und menschenlesbarer Form zusammenfasst. Das ist das Artefakt, das Sie einem Prüfer übergeben: Eine Datei, die sagt “dieses Dokument hat diese Prüfungen bestanden, wurde zu diesem Zeitpunkt zeitgestempelt und hat diese Verarbeitungskette.”

Wann Sie eines benötigen

Die Anforderungen an Steuerprüfungen variieren je nach Land, aber das Muster ist in der EU konsistent: Das Dokument muss in einer Form aufbewahrt werden, die Integrität beweist und Verifizierung ermöglicht. In Deutschland verlangt die GoBD, dass elektronische Dokumente so archiviert werden, dass eine nachträgliche Veränderung verhindert wird und der ursprüngliche Zustand rekonstruiert werden kann. In Frankreich stellt die DGFiP ähnliche Anforderungen. In den Niederlanden erwartet die Belastingdienst, dass Rechnungen sieben Jahre lang in einer verifizierbaren Form archiviert werden.

Gerichtsverfahren haben ähnliche Anforderungen. Wenn ein Vertragsstreit in eine Klage mündet, wird die Frage “Hat dieser Vertrag in dieser Form an diesem Datum existiert?” durch Beweise beantwortet, nicht durch die Inhalte Ihres Dateiserver.

Regulatorische Inspektionen (NIS2, DSGVO, branchenspezifisch: Gesundheitswesen, Finanzen, Versicherungen) verlangen zunehmend Nachweise über Prozesse, nicht nur über Ergebnisse. Ein Evidence Pack liefert beides.

Was ein Dokument allein nicht bietet

Eine PDF in einem Ordner auf einem Dateiserver sagt Ihnen nichts darüber:

  • Ob die PDF vor heute existierte
  • Ob sie seit der Erstellung verändert wurde
  • Welche Verarbeitung sie vor der Speicherung durchlaufen hat
  • Ob sie einem anwendbaren Standard entspricht

All das erfordert externe Nachweise. Ein RFC-3161-Zeitstempel belegt das Wann. Eine Hash-Kette belegt die Abfolge der Ereignisse. Ein Validierungsbericht belegt die Konformität. Das Manifest belegt, dass nichts davon manipuliert wurde.

Ohne das Pack haben Sie ein Dokument. Mit dem Pack haben Sie einen Beweis.

Der Unterschied zwischen Archivierung und Beweis

Die meisten Dokumentenmanagementsysteme bieten Archivierung: Das Dokument wird an einem Ort gespeichert, der nicht leicht verändert werden kann. Archivierung löst das Zugriffs- und Aufbewahrungsproblem.

Beweis ist etwas anderes. Beweis bedeutet, dass die Existenz, die Form und die Herkunft des Dokuments von einer Partei verifiziert werden kann, die an seiner Erstellung nicht beteiligt war, mithilfe von Informationen, die vom ursprünglichen Verwahrer nicht manipuliert werden können.

Ein von einer Drittpartei zeitgestempelter Hash erfüllt diese Anforderung. Eine auf Ihrem eigenen Server gespeicherte Datei, mit Ihren eigenen Backup-Logs und Ihren eigenen Aufbewahrungsrichtlinien, nicht. Das ist keine theoretische Unterscheidung. Es ist die Frage, die ein Prüfer stellen wird.

SealDoc generiert für jedes verarbeitete Dokument ein Legal Evidence Pack als strukturierten Output. Das Pack ist eine einzige ZIP-Datei, die das PDF/A-3-Dokument, das RFC-3161-Zeitstempel-Token, den Audit-Trail mit Hash-Kette, den Validierungsbericht und das Manifest enthält. Jede Komponente ist ohne Kontaktaufnahme mit SealDoc maschinell verifizierbar: Der Zeitstempel kann gegen das öffentliche Zertifikat der ausstellenden Behörde verifiziert werden, die Hashes können aus den Dateien im Pack neu berechnet werden, und die Audit-Trail-Kette kann lokal validiert werden.

Wenn Ihre Organisation gegenüber einem Prüfer, einer Aufsichtsbehörde oder einem Gericht Dokumentenintegrität nachweisen muss, ist das Evidence Pack das Artefakt, das Sie vorlegen. Es erfordert keine weitere Vorbereitung, weil der Nachweis im Moment der Verarbeitung erfasst wurde.

← Back to all articles