Kosten der Nicht-Archivierung: Was fehlende Nachweise kosten

Geschrieben von Korbinian Hermann | Mar 16, 2026 1:36:05 PM

Ein Prüfer des Finanzamts bittet um Belege aus dem Jahr 2018. Ein Lieferant erhebt Klage und fordert Rechnungshistorie als Nachweis. Ein Insolvenzverwalter braucht Transaktionsdaten aus einem Altsystem, das seit drei Jahren abgeschaltet ist. Ein Datenschutzbehörde fragt nach Löschnachweisen personenbezogener Daten aus dem letzten Jahrzehnt.

In jedem dieser Fälle gibt es genau eine Frage, die über den Ausgang entscheidet: Können Sie den Nachweis erbringen?

Viele Unternehmen beantworten diese Frage mit 'ja, wir haben ein Backup'. Das ist die falsche Antwort – rechtlich, technisch und finanziell. Backups sind kein Archiv. Sie sind manipulierbar, nicht revisionssicher, nicht langfristig lesbar und erfüllen die gesetzliche Nachweispflicht in keinem einzigen der genannten Szenarien.

Dieser Artikel zeigt, was fehlende oder mangelhafte Archivierung im Haftungsfall konkret kostet – in Bußgeldern, Beweislastumkehr, Steuernachzahlungen, IT-Aufwand und verlorenen Rechtsstreitigkeiten. Und wie Sie diese Kosten mit rechtssicherer Archivierung dauerhaft vermeiden.

DAS WICHTIGSTE IN KÜRZE

  • Fehlende Archivierung kostet in der Regel mehr als die Archivierungslösung selbst – durch Bußgelder (bis zu 10 Mio. € nach DSGVO), Steuernachzahlungen durch Betriebsprüfungs-Schätzung, Prozessverluste durch Beweislastumkehr und IT-Mehraufwand für manuelle Datenrekonstruktionen.
  • Der häufigste Irrtum: Ein Backup ist kein Archiv. Backups sind weder revisionssicher noch manipulationssicher noch dauerhaft lesbar. Sie erfüllen die Anforderungen von GoBD, GoBS, HGB §257, AO §147 und DSGVO Art. 5 nicht.
  • Drei Hauptkostenblöcke: (1) Direktkosten durch Behörden und Gerichte, (2) indirekte Kosten durch IT-Aufwand und Systemabhängigkeit, (3) strategische Kosten durch blockierte Modernisierung und Legacy-Systeme.
  • Rechtliche Pflicht: Steuerrelevante Dokumente 10 Jahre, Handelsbriefe 6 Jahre, Lohnunterlagen bis zu 30 Jahre, personenbezogene Daten nach DSGVO so lange wie nötig, aber nachweisbar gelöscht wenn nicht mehr nötig.
  • CHRONOS als Lösung: Revisionssichere Datenarchivierung und Application Retirement – herstellerunabhängig, auditfähig, mit nachgewiesenem ROI von über 300%.

KURZ ZUSAMMENGEFASST

  • Das größte Risiko fehlender Archivierung ist nicht das Bußgeld – es ist die Beweislastumkehr. Wer im Rechtsstreit keinen Nachweis hat, verliert in der Regel, unabhängig vom Sachverhalt.

  • Das GoBD-Schätzungsrecht des Finanzamts ist gefährlicher als eine DSGVO-Geldbuße: Wenn Unterlagen fehlen, schätzt das Finanzamt – immer zu Ungunsten des Unternehmens.
  • Legacy-Systeme, die nur noch 'aus Compliance-Gründen' laufen, kosten aktiv Geld. Mit revisionssicherer Archivierung können diese Systeme vollständig abgeschaltet werden.
  • Das Whitepaper 'Darum reicht ein Backup schon lange nicht mehr' zeigt IT-Leitern den vollständigen rechtlichen und technischen Rahmen – jetzt kostenlos herunterladen.

INHALT DIESES ARTIKELS

  1. Was Archivierungspflicht rechtlich bedeutet – und welche Normen gelten
  2. Backup vs. Archiv: Der entscheidende Unterschied im Haftungsfall
  3. Die 6 konkreten Kostenblöcke fehlender Archivierung
  4. Wann die Beweislastumkehr zur Existenzfrage wird
  5. Fallstudien: Was fehlende Nachweise real gekostet haben
  6. Legacy-Systeme als versteckte Archivierungskosten
  7. CHRONOS: Wie rechtssichere Archivierung aussieht
  8. Häufig gestellte Fragen

Was Archivierungspflicht rechtlich bedeutet – und welche Normen gelten

Archivierungspflicht ist kein optionales Qualitätsmerkmal. Sie ist eine gesetzliche Pflicht, die für nahezu jedes Unternehmen in Deutschland gilt – unabhängig von Größe, Branche oder Digitalisierungsgrad. Verstöße werden aktiv geahndet, und zwar nicht erst beim nächsten Audit, sondern rückwirkend für bis zu zehn Jahre.

Die häufigste Fehleinschätzung in der Praxis: IT-Verantwortliche verwechseln Datensicherung (Backup) mit Archivierung. Das sind zwei grundlegend verschiedene Konzepte – mit völlig unterschiedlichen Rechtsfolgen bei Nichterfüllung.

 

Die wichtigsten Rechtsgrundlagen auf einen Blick

Rechtsgrundlage

Datenkategorie

Frist

Format-Anforderung

Sanktion bei Verstoß

HGB §257

Handelsbücher, Inventare, Jahresabschlüsse, Rechnungen

6 / 10 Jahre

Unveränderbar, lesbar, vollständig

Steuernachzahlung, Schätzung

AO §147

Steuerrelevante Buchführungsunterlagen, Geschäftsbriefe

10 Jahre

Revisionssicher, maschinell auswertbar

Schätzungsbescheid, Nachzahlung + Zinsen

GoBD (BMF 2019)

Alle steuerrelevanten Daten einschl. Metadaten

10 Jahre

Unveränderbar, vollständig, zeitnah

Verwerfung der Buchführung, Betriebsprüfungsrisiko

DSGVO Art. 5/17

Personenbezogene Daten

Solange nötig + Löschnachweis

Nachweisbarer Löschnachweis

Bis 4% Jahresumsatz oder 20 Mio. €

GoBS (IDW RS FAIT 1)

Daten aus DV-gestützter Buchführung

Mind. Prüfbarkeitsfrist

Revisionssicher, unveränderbar

Prüfungsverweigerung, Haftung

Berufsrecht (z.B. ÄrzteO)

Patientendaten, Behandlungsunterlagen

Mind. 10, teils 30 Jahre

Lesbar, vollständig

Berufshaftung, Schadensersatz

InsO / HGB Insolvenzrecht

Alle buchführungsrelevanten Unterlagen

Mind. 10 Jahre nach Abwicklung

Vollständig, rekonstruierbar

Persönliche Haftung Geschäftsführer

DAS ENTSCHEIDENDE KRITERIUM: REVISIONSSICHERHEIT

Revisionssicher bedeutet: Daten können nachträglich nicht verändert, gelöscht oder überschrieben werden – und jede Änderung (sofern erlaubt) wird protokolliert.

Ein Backup erfüllt dieses Kriterium strukturell nicht: Backup-Daten können überschrieben, gelöscht oder verändert werden – ohne Protokoll, ohne Spur.

Das Finanzamt und die Gerichte wissen das. Wer im Prüfungsfall nur ein Backup vorweisen kann, beweist damit, dass die Anforderungen der GoBD nicht erfüllt sind.

 

Backup vs. Archiv: Der entscheidende Unterschied im Haftungsfall

Die Verwechslung von Backup und Archiv ist der teuerste Irrtum in der Datenhaltung. Er entsteht, weil beide Konzepte auf den ersten Blick ähnliche Ziele zu verfolgen scheinen: Daten aufbewahren. Der Unterschied liegt darin, warum und wie – und genau dieser Unterschied entscheidet im Haftungsfall.

Kriterium

Klassisches Backup

Rechtskonforme Archivierung

Primärzweck

Wiederherstellung nach Datenverlust

Rechtssichere Langzeitaufbewahrung

Unveränderbarkeit

Nicht gewährleistet – Backup kann überschrieben werden

Technisch sichergestellt – keine Manipulation möglich

Revisionssicherheit

Nicht gegeben

Kernmerkmal: vollständige Änderungshistorie

Langzeitlesbarkeit

Abhängig von Backup-Software und Format

Formatunabhängig, offenes Format für Dekaden lesbar

Aufbewahrungsfristen-Management

Manuell, fehleranfällig

Automatisch nach Rechtsgrundlage gesteuert

Datenbankabhängigkeit

Hoch – Backup ist DB-formatabhängig

Herstellerunabhängig – Daten gelöst vom Quellsystem

GoBD-Konformität

Nicht konform

Konform (bei korrekter Implementierung)

Zugriff durch Fachabteilung

Erfordert IT-Support für Export/Konvertierung

Self-Service-Zugriff ohne IT-Ticket

Application Retirement

Nicht möglich – System muss für Backup-Zugriff laufen

Ermöglicht vollständige Systemabschaltung

Audit-Eignung

Nachweisbar nicht ausreichend

Vollständig audit- und prüfungsfähig

 

 

Die 6 konkreten Kostenblöcke fehlender Archivierung

Fehlende Archivierung ist keine abstrakte Compliance-Lücke. Sie manifestiert sich in konkreten, messbaren Kosten – sofort, mittelfristig und langfristig. Die folgende Übersicht zeigt die sechs Kostenblöcke, die IT-Leiter und Compliance-Beauftragte kennen müssen.

SZENARIO 1

Steuerrisiko

Betriebsprüfung ohne vollständige Unterlagen

Typische Schadenshöhe: unbegrenzt (Schätzung) (AO §162, GoBD)

Wenn das Finanzamt die Buchführung für nicht GoBD-konform hält, darf es die Besteuerungsgrundlage schätzen – immer zu Ungunsten des Unternehmens. Bei fehlenden steuerrelevanten Unterlagen für mehrere Jahre können Steuernachzahlungen zzgl. Zinsen (1,8% p.a. nach §238 AO) schnell sechsstellig werden.

SZENARIO 2

Datenschutz

DSGVO-Bußgeld: fehlender Löschnachweis oder unzulässige Speicherung

Typische Schadenshöhe: bis 20 Mio. € oder 4% Jahresumsatz (DSGVO Art. 83 Abs. 5)

Wenn personenbezogene Daten länger als erlaubt aufbewahrt werden (kein Löschmanagement) oder wenn im Haftungsfall kein Nachweis über ordnungsgemäße Verarbeitung erbracht werden kann, drohen Bußgelder nach DSGVO Art. 83. Auch der umgekehrte Fall kostet: Wenn Daten zu früh gelöscht wurden und im Streitfall als Entlastungsnachweis gebraucht werden.

SZENARIO 3

Rechtsverlust

 

Prozessverlust durch Beweislastumkehr im Zivilrecht

Typische Schadenshöhe: Streitwert + Prozesskosten (ZPO §286, BGB §280)

Wer im Zivilrechtsstreit einen Nachweis nicht erbringen kann, verliert in der Regel – unabhängig davon, ob er sachlich im Recht ist. Fehlende Rechnungshistorie, nicht nachweisbare Vertragserfüllung, fehlende Kommunikationsnachweise: Jede Dokumentationslücke kann zur vollständigen Beweislastumkehr führen. Streitwerte im B2B-Bereich liegen typisch zwischen 50.000 und mehreren Millionen Euro.

SZENARIO 4

Betriebskosten

IT-Mehraufwand: manuelle Datenrekonstruktion und Sonderexporte

Typische Schadenshöhe: 3.000–20.000 € je Einzelanfrage (Erfahrungswerte aus CSP-Projekten)

Jede behördliche Anfrage oder Rechtsstreit-Anforderung, die manuell durch IT-Recherche, Backup-Extraktion, Datenkonvertierung und Export bearbeitet werden muss, kostet Zeit und Geld. Bei komplexen Legacy-Systemen oder mehrjährig zurückliegenden Daten dauert eine Einzelanfrage typisch 3–5 Tage IT-Aufwand. Bei mehreren Anfragen pro Jahr summiert sich das auf Vollzeitstellen-äquivalente Kosten.

SZENARIO 5

Infrastrukturkosten

Systemabhängigkeit: Legacy-Kosten für Compliance-Betrieb

Typische Schadenshöhe: 50.000–500.000 € p.a. (abhängig von Systemgröße)

Altsysteme, die nur noch betrieben werden, um im Prüfungsfall auf historische Daten zugreifen zu können, verursachen laufende Kosten: Lizenzgebühren (Oracle, SAP, proprietäre Systeme), Wartungsverträge, Infrastruktur, Security-Patches und das gebundene Know-how interner IT-Mitarbeiter, die das System noch kennen. Diese Kosten entfallen vollständig, sobald die Daten rechtskonform archiviert sind und das System abgeschaltet werden kann.

SZENARIO 6

Strategisches Risiko

Reputationsschaden und Kundenverlust bei öffentlichem Compliance-Verstoß

Typische Schadenshöhe: schwer quantifizierbar (Markt- und Kundenbeziehungseffekt)

Ein bekannt gewordener Datenschutzverstoß oder eine Betriebsprüfungszuschätzung ist kein rein internes Ereignis mehr. Öffentliche DSGVO-Bußgelder, Insolvenzverfahren mit Datenproblemen und behördliche Durchsuchungen (bei Verdacht auf Buchführungsmanipulation) landen in Fachmedien. Für B2B-Unternehmen mit DAX-Kunden kann eine solche Berichterstattung Ausschreibungserfolge und Bestandskundenverhältnisse kosten.

Kostenkategorie

Sofortkosten (0–6 Mon.)

Mittelfristig (6–24 Mon.)

Langfristig (24+ Mon.)

GoBD-Verstoß / Betriebsprüfung

Prüfungsaufwand IT: 5.000–20.000 €

Schätzungsbescheid + Zinsen: 20.000–500.000 €

Wiederholungsprüfung, Strafbarkeitsrisiko §370 AO

DSGVO-Bußgeld

Rechts- und Beratungskosten: 10.000–50.000 €

Behördenbescheid: bis 20 Mio. €

Reputationsschaden, Kundenabwanderung

Zivilrechtlicher Prozessverlust

Anwalts- und Gerichtskosten: 5.000–30.000 €

Urteil inkl. Streitwert: 50.000–5 Mio. €

Interne Folgeprozesse, Lieferantenstreit

IT-Sonderaufwand

5.000–20.000 € je Einzelfall

15.000–80.000 € p.a. bei mehreren Fällen

1–2 IT-Vollzeitstellen dauerhaft gebunden

Legacy-Systembetrieb

Erste Quartalsrechnung nach Entscheidung

50.000–250.000 € p.a. je System

Technologieschulden, Digitalisierungs-Blockade

Insolvenz / persönliche GF-Haftung

Sofortige Einfrierung laufender Prozesse

Persönliche Haftung GmbH-Geschäftsführer nach §64 GmbHG

Privatvermögen, Berufsunfähigkeit

10 Jahre

GoBD-Aufbewahrungspflicht

AO §147

bis 20 Mio. €

DSGVO-Maximal-Bußgeld

DSGVO Art. 83

>300%

ROI mit CHRONOS

CSP Kundendaten

6–12 Wo.

Projektlaufzeit Go-Live

Erfahrungswert CSP

 

Wann die Beweislastumkehr zur Existenzfrage wird

Im deutschen Zivilrecht gilt der Grundsatz: Wer eine Tatsache behauptet, muss sie beweisen. Für Unternehmen bedeutet das im Streitfall: Rechnungsstellung bewiesen? Leistung erbracht nachgewiesen? Vertrag inhaltlich dokumentiert? Ohne Nachweis gibt es keine Entlastung – auch wenn der Sachverhalt eindeutig ist.

Die gefährlichste Form ist die prozessuale Beweislastumkehr: Wenn ein Gericht feststellt, dass Dokumentationspflichten verletzt wurden, kann die Beweislast vollständig auf das Unternehmen übergehen – und 'beweisen, dass etwas nicht passiert ist' ist in der Praxis nicht möglich.

 

Drei Szenarien, in denen fehlende Nachweise existenzkritisch werden

SZENARIO 1: LIEFERANTENKLAGE

Ein Lieferant klagt auf Zahlung einer Rechnung, die das Unternehmen bestreitet. Das Unternehmen behauptet, die Leistung sei nicht vollständig erbracht worden. Ohne archivierte Kommunikation (E-Mails, Abnahmeprotokolle, Systemlogs) aus dem relevanten Zeitraum hat das Unternehmen keine Möglichkeit, seine Behauptung zu belegen. Das Gericht urteilt zugunsten des Lieferanten.

Kosten: Streitwert + Gerichtskosten + Anwaltskosten beider Parteien.

SZENARIO 2: BETRIEBSPRÜFUNG MIT SCHÄTZUNG

Das Finanzamt führt eine Betriebsprüfung durch. Die Buchführungsdaten aus dem SAP-Altsystem können nicht mehr vollständig maschinell ausgelesen werden, weil das System mittlerweile abgeschaltet wurde – und nur ein Backup existiert, das nicht GoBD-konform konvertiert wurde. Der Prüfer stellt die Ordnungsmäßigkeit der Buchführung infrage und nutzt das Schätzungsrecht nach §162 AO.

Kosten: Steuernachzahlung nach Schätzung, rückwirkend für bis zu 10 Jahre, zzgl. Zinsen.

SZENARIO 3: PRODUKTHAFTUNGSKLAGE MIT FEHLENDER CHARGENHISTORIE

Ein Kunde klagt auf Schadensersatz wegen eines angeblich fehlerhaften Produkts. Das Unternehmen behauptet, die Charge entspreche den Spezifikationen. Die Produktionsprotokolle aus dem Qualitätssystem sind nicht mehr abrufbar – das System wurde ersetzt, die Daten existieren nur als Backup im alten Datenbankformat, das ohne Lizenz des abgekündigten Systems nicht mehr gelesen werden kann.

Kosten: Schadensersatz, Rückrufkosten, Reputationsverlust.

Andere Anbieter hielten das Projekt für unmöglich – CSP hat's professionell umgesetzt. Zuverlässig, effizient, absolut empfehlenswert.

— Markus Bartsch Direktor Restabwicklung Schlecker

 

 

Fallstudien: Was fehlende – und vorhandene – Nachweise real bedeuten

Die folgenden Kundenprojekte aus der CSP-Praxis illustrieren, wie Archivierungsprobleme entstehen und wie CHRONOS sie löst. Die Fallstudien zeigen konkrete Ergebnisse – keine theoretischen Szenarien.




 

Legacy-Systeme: Die versteckten Archivierungskosten, die kein Budget-Meeting erreicht

Es gibt eine Kostenkategorie, die in den meisten IT-Budgets nicht als 'Archivierungskosten' geführt wird, aber genau das ist: Altsysteme, die weiter betrieben werden, weil historische Daten nicht ordentlich archiviert wurden. Diese Systeme verursachen monatliche Kosten – und sie wachsen, weil veraltete Technologie teurer in der Wartung wird, nicht billiger.

Kostenkategorie

Analogsystem-Aufwand

Mit CHRONOS Archivierung

Oracle-Datenbanklizenzen für Altsysteme

100.000–500.000 € p.a. je Instanz

0 € – System vollständig abschaltbar

SAP-Wartungskosten für Systeme im Lesebetrieb

18–22% des Lizenzwerts p.a.

0 € – Daten herstellerunabhängig archiviert

IT-Personal für Legacy-Systembetreuung

0,5–2 FTE je System

< 0,1 FTE für CHRONOS-Pflege

Security-Patches für abgekündigte Software

Teuer oder unmöglich

Entfällt – System abgeschaltet

Datenbankperformance-Probleme

Wachsend mit Datenvolumen

Produktivsystem entlastet

Zugriffsmanagement für Fachabteilungen

IT-Ticket je Anfrage

Self-Service durch Fachabteilung

Disaster-Recovery-Kosten für Altsysteme

Proportional zur Systemzahl

Entfällt für abgeschaltete Systeme

Die Kalkulation ist einfach: Was kostet ein Oracle-Datenbankbetrieb für ein Altsystem, das nur noch für gelegentliche Archivabfragen läuft, über 10 Jahre? Und was kostet eine einmalige CHRONOS-Implementierung, die dieses System vollständig und rechtskonform ablöst? In nahezu allen CSP-Projekten amortisiert sich die Archivierungslösung innerhalb von 12–24 Monaten allein durch eingesparte Systemlizenzkosten.

 

CHRONOS: Wie rechtssichere Archivierung in der Praxis aussieht

CHRONOS ist die Archivierungsplattform von CSP Intelligence GmbH – entwickelt für IT-Verantwortliche, die gleichzeitig rechtliche Sicherheit, technische Flexibilität und wirtschaftliche Entlastung brauchen. Die Plattform geht weit über klassische Archivierungslösungen hinaus: Sie ermöglicht vollständiges Application Retirement – das rechtssichere Abschalten von Altsystemen, ohne den Datenzugriff zu verlieren.

So läuft ein CHRONOS-Projekt ab

Phase

Titel

Inhalt

Ergebnis

1

Erstgespräch & Demo

Unverbindlicher Termin mit technischem Consultant. Bedarf, Systeme und Ziele verstehen.

Klarheit über Anwendungsfall und Aufwand

2

Technischer Workshop

Analyse bestehender Datenstrukturen und Systemlandschaft. Definition der Archivierungsziele.

Technisches Konzept und Datenmapping

3

Projektangebot & Planung

Kalkulation, Ressourcenplanung und verbindliche Timeline. Entscheidung und Freigabe.

Unterschriebenes Angebot, Projekt-Kickoff

4

Implementierung & Test

Installation, Schnittstellenanbindung, erste Archivierungsläufe, interne Tests & Validierung.

Validiertes System in Testumgebung

5

Go-Live & Übergabe

Produktiver Betrieb, Übergabe an Ihr Team, Übergang in den Regelbetrieb.

Abgeschaltetes Altsystem, laufendes Archiv

+

Betreuung & Support

Dauerhafter technischer Support, Updates, persönliche Betreuung, SLA-Vereinbarungen.

Langfristige Compliance-Sicherheit

CHRONOS-Projekte sind innerhalb von 6–12 Wochen umsetzbar – abhängig vom Systemumfang. Und Ihre Infrastruktur muss in der Regel nicht angepasst werden.

— Korbinian Hermann Geschäftsführer, CSP Intelligence GmbH

 

 

Häufig gestellte Fragen zur Archivierungspflicht und ihren Kosten

 

  
Vollständigen Beitrag anzeigen