Revisionssicher. Das Wort klingt nach Bürokratie, nach Ordner und Stempel. In der Praxis ist es das Gegenteil: Es ist die Fähigkeit, in einem Audit, einem Rechtsstreit oder einem Rückruffall innerhalb von Minuten einen lückenlosen, manipulationssicheren Nachweis zu erbringen – für eine Entscheidung, einen Prüfvorgang oder einen Fertigungsparameter, der vor zwölf Jahren erfasst wurde.
Das Problem: Die meisten Fertigungsunternehmen archivieren. Aber sie archivieren nicht revisionssicher. Sie haben Daten, aber keine Nachweise. Sie haben Protokolle, aber keine Beweise. Und der Unterschied wird erst sichtbar, wenn es darauf ankommt – im Audit, im Produkthaftungsfall, bei der Behördenanfrage.
Dieser Artikel erklärt, was revisionssichere Archivierung von Produktionsdaten konkret bedeutet: welche Normen gelten, was sie fordern, wie eine revisionssichere Datenbank aufgebaut ist und wo die häufigsten Lücken in der Praxis entstehen.
|
DAS WICHTIGSTE IN KÜRZE
|
|
KURZ ZUSAMMENGEFASST
|
Revisionssichere Archivierung bezeichnet die dauerhaft manipulationssichere, vollständige und jederzeit abrufbare Speicherung von Daten und Dokumenten, die für steuerliche, rechtliche oder normative Prüfzwecke relevant sind. Sie stellt sicher, dass archivierte Daten ihren ursprünglichen Inhalt unverändert wiedergeben und gezielt abgerufen werden können – unabhängig von der originalen Erfassungssoftware.
Rechtsgrundlage: GoBD (BMF-Schreiben 2019), IATF 16949:2016, ISO 9001:2015, EU-Produkthaftungsrichtlinie 2024/2853/EU
Der Begriff 'revisionssicher' stammt ursprünglich aus dem steuerrechtlichen Kontext (GoBD – Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form). Er hat sich aber weit über diesen Bereich hinaus zum Standard-Begriff für jede Form rechtsverbindlicher Datenarchivierung entwickelt.
|
Eigenschaft |
Was es bedeutet |
Wie es nachgewiesen wird |
Häufiger Fehler |
|---|---|---|---|
|
Unveränderbarkeit |
Einmal archivierte Daten können nicht ohne protokollierten Nachweis überschrieben, gelöscht oder verändert werden |
Audit Trail mit Zeitstempel und Nutzer-ID für jede Änderungsoperation; WORM-Speicher oder kryptografische Signaturen |
Datenbank ohne Audit Trail: Änderungen sind möglich, ohne Spuren zu hinterlassen |
|
Vollständigkeit |
Alle vorgeschriebenen Daten sind vorhanden – keine Lücken im Zeitverlauf, keine fehlenden Pflichtfelder |
Vollständigkeitsprüfung: Alle Datensätze für den vorgeschriebenen Zeitraum nachweislich vorhanden |
Selektive Archivierung: 'Wichtige' Daten werden gespeichert – aber die Definition von 'wichtig' war zu eng |
|
Auffindbarkeit |
Gezielte Abfrage eines spezifischen Datensatzes (z.B. Bauteilakte für Seriennummer X) ohne IT-Spezialkenntnisse |
Strukturiertes Indexierungssystem; dokumentierte Abfragemethodik für Auditoren |
Flache Dateiablage: Daten sind vorhanden, aber nicht indexiert – gezielter Zugriff dauert Stunden |
|
Lesbarkeit |
Der Inhalt der Daten ist auch nach der Aufbewahrungsfrist ohne die originale Software lesbar und interpretierbar |
Verwendung offener, standardisierter Formate; Format-Dokumentation im Archiv |
Proprietäre Datenbank-Dumps: Ohne Original-Software nach 10 Jahren nicht mehr lesbar |
MERKSATZ: REVISIONSSICHER ≠ GESPEICHERT
Gespeichert: Die Daten befinden sich irgendwo auf einem Server oder in einer Datenbank.
Archiviert: Die Daten wurden absichtlich für die Langzeitaufbewahrung abgelegt.
Revisionssicher: Die Daten sind unveränderbar, vollständig, auffindbar und dauerhaft lesbar – und das kann jederzeit nachgewiesen werden.
Die meisten Fertigungsunternehmen befinden sich auf Stufe 2. Stufe 3 ist eine Architekturentscheidung, die von Anfang an getroffen werden muss.
MERKSATZ: REVISIONSSICHER ≠ GESPEICHERT
Gespeichert: Die Daten befinden sich irgendwo auf einem Server oder in einer Datenbank.
Archiviert: Die Daten wurden absichtlich für die Langzeitaufbewahrung abgelegt.
Revisionssicher: Die Daten sind unveränderbar, vollständig, auffindbar und dauerhaft lesbar – und das kann jederzeit nachgewiesen werden.
Die meisten Fertigungsunternehmen befinden sich auf Stufe 2. Stufe 3 ist eine Architekturentscheidung, die von Anfang an getroffen werden muss.
Fertigungsunternehmen in Deutschland unterliegen gleichzeitig mehreren Regelwerken mit Archivierungsanforderungen. Diese überschneiden sich teilweise, widersprechen sich aber nicht – sie verstärken sich gegenseitig. Die strengste Anforderung je Datenkategorie hat immer Vorrang.
| Norm/Gesetz | Datenkategorie | Frist | Archivformat | Sanktion bei Verstoß |
| IATF 16949:2016 | Qualitätsdaten: Prüfergebnisse, Freigaben, Chargendaten, Fertigungsparameter, Audit-Logs | Mind. 15 Jahre nach letzter Lieferung (OEM-Anforderungen können länger sein) | Auditfähig, strukturiert abrufbar – Format nicht explizit vorgeschrieben | Zertifikatsentzug, OEM-Listenrisiko |
| GoBD (BMF 2019) | Steuerrelevante Aufzeichnungen: Buchungen, Belege, relevante Geschäftsbriefe | 10 Jahre (§ 147 AO), ab Ende des Kalenderjahres | Maschinell auswertbar, unveränderbar, jederzeit lesbar – GOBD-konformes Format | Steuernachzahlungen, Bußgelder, Strafverfahren bei Vorsatz |
| ISO 9001:2015 | Aufzeichnungen zu Qualitätsprozessen, Managementbewertungen, Lieferantenqualifikation | Je Kundenanforderung – typisch 5–15 Jahre | Lesbar, strukturiert, nachvollziehbar abrufbar | Zertifikatsentzug, Vertragsstrafen je Kundenvereinbarung |
| EU-Produkthaftungsrichtlinie 2024/2853/EU | Produktionsdaten als Entlastungsbeweis: bauteilgenaue Prozessdaten, Prüfergebnisse | Bis zu 25 Jahre für latente Schäden (ab Inverkehrbringen) | Bauteilgenaue Zuordnung muss rekonstruierbar sein – strukturierte Datenarchivierung | Unbegrenzte Produkthaftung ohne Entlastungsnachweis, Beweislastumkehr |
| DSGVO (EU 2016/679) | Personenbezogene Daten: Werker-IDs, Nutzerprotokolle, biometrische Zugangskontrollen | Nur solange Verarbeitungszweck besteht – Löschpflicht danach | Nachweisbare Löschung mit Protokoll | Bußgelder bis 4% des weltweiten Jahresumsatzes |
Wichtige Spannung: IATF 16949 und EU-Produkthaftung verlangen lange Aufbewahrungsfristen für Produktionsdaten. DSGVO verlangt die Löschung personenbezogener Daten nach Ende des Verarbeitungszwecks. Die Lösung: Technische Trennung von bauteilbezogenen Produktionsdaten (aufbewahren) und personenbezogenen Nutzerprotokollen (löschen nach Ablauf).
In einem Audit wird nicht gefragt, ob Sie die Daten haben. Es wird gefragt, ob Sie sie in zwei Minuten zeigen können. Wer dafür seinen IT-Administrator anrufen muss, hat das Konzept der revisionssicheren Archivierung nicht verstanden.
— Korbinian Hermann CEO, CSP Intelligence GmbH
Nicht alle Produktionsdaten brauchen dasselbe Archivierungsniveau. Die Anforderungen richten sich nach Datenkategorie, Verwendungszweck und dem relevanten Rechtsrahmen. Die folgende Übersicht gibt eine praxisorientierte Einordnung für die typische Fertigungsumgebung.
|
Datenkategorie |
Beispiele |
Archivierungspflicht |
Max. Frist |
Revisionssicherheit erforderlich? |
|---|---|---|---|---|
|
Prüfergebnisse & Qualitätsnachweise |
Messprotokolle, SPC-Daten, Freigabeentscheidungen, Prüfmitteleinsatz |
IATF 16949, ISO 9001, EU-Produkthaftung |
25 Jahre (EU-Produkthaftung) |
Ja – zwingend |
|
Chargendaten & Rückverfolgungsdaten |
Lot-Nummern, Seriennummern, Material-Chargenzuordnung, Lieferantendaten |
IATF 16949, EU-Produkthaftung |
25 Jahre |
Ja – zwingend |
|
Fertigungsparameter & Prozessdaten |
Drehmomentverläufe, Temperaturprofile, Maschinenkonfigurationen |
EU-Produkthaftung (Entlastungsnachweis), IATF 16949 |
25 Jahre |
Ja – für sicherheitsrelevante Prozesse |
|
Kalibrierungs- & Prüfmitteldaten |
Kalibrierprotokolle, Messmittel-IDs, Gültigkeitszeiträume |
IATF 16949 §7.1.5 |
15 Jahre |
Ja |
|
Audit-Logs & Systemzugriffe |
Wer hat wann was geändert, Systemzugriffe, Änderungshistorien |
GoBD, IATF 16949 (Aufzeichnungsintegrität) |
10 Jahre |
Ja – das ist der Audit Trail selbst |
|
Steuerrelevante Produktionsdaten |
Fertigungskosten, Nachkalkulation, Material-Abschreibungen |
GoBD § 147 AO |
10 Jahre |
Ja – GoBS-konform |
|
Personenbezogene Nutzerprotokolle |
Werker-IDs, Schichtprotokolle mit Personenidentifikation |
DSGVO – Löschpflicht! |
Max. Verarbeitungszweck |
Pseudonymisierung empfohlen |
|
Interne Arbeitsanweisungen & Verfahren |
Aktuelle und historische Versionen von Arbeitsanweisungen |
ISO 9001 §7.5 (Dokumentierte Information) |
Je Kundenanforderung |
Versionierungsnachweis erforderlich |
Revisionssicherheit ist keine Funktion, die man in einer bestehenden Datenbank einfach aktiviert. Sie ist das Ergebnis von vier technischen Architekturentscheidungen, die von Anfang an getroffen werden müssen – oder die nachträglich durch gezielte Erweiterung implementiert werden können.
Ein Audit Trail (Änderungsprotokoll) dokumentiert jede Schreiboperation auf einem Datensatz: Wer hat wann was geändert – mit Nutzer-ID, Zeitstempel und altem sowie neuem Wert. Er ist die technische Grundlage für den Nachweis der Unveränderbarkeit.
In einer revisionssicheren Datenbank für Produktionsdaten bedeutet das konkret: Jede Änderung eines Prüfergebnisses, jede nachträgliche Freigabe, jede Parameterkorretur ist im Audit Trail erfasst und kann nicht rückwirkend gelöscht werden. Der ursprüngliche Eintrag bleibt immer erhalten – sichtbar und nachvollziehbar.
ANFORDERUNGEN AN DEN AUDIT TRAIL IN DER FERTIGUNG
Zeitstempel: UTC-basiert, synchronisiert mit externem Zeitserver (NTP) – keine lokale Systemzeit
Nutzer-ID: Personenbezogene oder eindeutig zuordenbare Kennung – keine Gruppenkonten
Changetyp: Was wurde geändert (Einfügen, Ändern, Löschen) und an welchem Feld
Alt- und Neuwert: Beide Werte müssen erhalten bleiben – nicht nur der aktuelle
Unveränderbarkeit des Audit Trails selbst: Das Protokoll darf nicht editierbar sein
Zeitstempel in Produktionsdaten erfüllen eine doppelte Funktion: Sie belegen den genauen Erfassungszeitpunkt eines Datensatzes – und damit seine Zuordnung zu einem spezifischen Produktionsvorgang. Ein Zeitstempel, der von der lokalen Systemzeit eines nicht synchronisierten Rechners stammt, ist als Beweis wertlos.
Revisionssichere Zeitstempel erfüllen drei Anforderungen: Sie sind UTC-basiert und mit einem externen Zeitserver (NTP) synchronisiert, sie werden bei der Erfassung eingefroren (nicht nachträglich änderbar), und sie sind kryptografisch gesichert oder in einer Blockchain-ähnlichen Struktur gegen Manipulation geschützt.
In einer revisionssicheren Archivierungsstruktur ist nicht jeder für alles berechtigt. Lesender Zugriff, schreibender Zugriff und löschender Zugriff auf archivierte Produktionsdaten sind strikt getrennt – mit protokolliertem Nachweis jeder Zugriffsoperation.
Das Vier-Augen-Prinzip ist insbesondere für sicherheitsrelevante Änderungen an archivierten Daten zwingend: Eine nachträgliche Korrektur eines Prüfergebnisses (etwa nach Entdeckung eines Messfehlers) darf nur mit einer zweiten, unabhängigen Freigabe erfolgen – und muss im Audit Trail vollständig dokumentiert sein.
Prüfsummen (Hashes) sichern die Integrität archivierter Dateien: Für jede archivierte Datei oder jeden Datensatz wird beim Archivierungszeitpunkt ein Hash-Wert berechnet (SHA-256 oder besser). Verändert sich der Inhalt der Datei nachträglich – auch durch Bit-Rot auf der Speicherhardware – ergibt die erneute Hash-Berechnung einen anderen Wert. Die Manipulation oder Beschädigung ist sofort erkennbar.
Kryptografische Signaturen gehen einen Schritt weiter: Sie binden den Inhalt einer Datei nicht nur an einen Zeitpunkt, sondern auch an eine Person oder ein System. Eine digital signierte Bauteilakte beweist nicht nur, dass sie nicht verändert wurde, sondern auch, wer sie zu welchem Zeitpunkt freigegeben hat.
Das Archivformat ist die am häufigsten unterschätzte Archivierungsentscheidung. Es entscheidet darüber, ob Daten in 15 oder 25 Jahren noch gelesen werden können – ohne die originale Software, die möglicherweise längst nicht mehr existiert.
|
Format |
Geeignet für |
Revisionssicherheit |
Langzeitstabilität |
Empfehlung |
|---|---|---|---|---|
|
PDF/A (ISO 19005) |
Berichte, Protokolle, Zertifikate, Prüfberichte |
Hoch – inkl. eingebetteter Signaturen |
Sehr hoch – ISO-genormtes Langzeitformat |
Erste Wahl für alle Dokumente und Berichte |
|
CSV (mit Schemadokumentation) |
Rohdaten, Messdaten, Prozessparameter, Chargenprotokolle |
Mittel – nur mit externem Audit Trail und Prüfsummen |
Sehr hoch – reiner Text, immer lesbar |
Erste Wahl für strukturierte Massendaten |
|
XML (mit XSD-Validierung) |
Strukturierte Datensätze, Bauteilakten, Konfigurationsdaten |
Hoch – Schema validierbar, gut lesbar |
Hoch – offenes Format, breite Unterstützung |
Geeignet für komplexe strukturierte Daten |
|
JSON |
Strukturierte Daten, API-Exporte |
Mittel – kein natives Schema-Binding |
Hoch – breite Unterstützung |
Geeignet, wenn Schema extern dokumentiert |
|
Relationale Datenbank (PostgreSQL, SQLite) |
Operative Produktionsdaten mit Abfragelogik |
Hoch – wenn mit Audit Trail konfiguriert |
Mittel – abhängig von Datenbankversion |
Für operative Daten; Archiv-Export nach PDF/A oder CSV empfohlen |
|
Microsoft Excel / Office-Formate |
– |
Niedrig – leicht manipulierbar, kein Audit Trail |
Niedrig – Versionsabhängigkeit |
Nicht geeignet für revisionssichere Archivierung |
|
Proprietäre Anwendungsformate |
– |
Sehr niedrig – Hersteller-Abhängigkeit |
Sehr niedrig – ohne originale Software nicht lesbar |
Nicht geeignet |
|
Access-Datenbank (.mdb/.accdb) |
– |
Niedrig |
Niedrig – End-of-Life-Risiko |
Nicht geeignet für Langzeitarchiv |
Praxisempfehlung: Die operative Produktionsdatenbank läuft in einer relationalen Datenbank mit vollständigem Audit Trail. Für die Langzeitarchivierung werden Daten periodisch (täglich, wöchentlich) in revisionssichere Formate exportiert: Berichte und Protokolle als PDF/A, Rohdaten als CSV mit Schemadokumentation. Alle Exportdateien erhalten SHA-256-Prüfsummen.
Diese fünf Lücken finden wir in der Praxis bei Fertigungsunternehmen, die audittechnisch als gut dokumentiert gelten – aber bei näherer Betrachtung keine revisionssichere Archivierung haben.
Das häufigste Problem: Die Produktionsdaten-Datenbank speichert Messwerte und Prüfergebnisse – aber es gibt keinen Audit Trail. Wenn ein Prüfergebnis nachträglich geändert wird (aus welchem Grund auch immer), ist die Änderung nicht protokolliert. Der aktuelle Wert ist im System. Der ursprüngliche Wert ist weg.
Im IATF-Audit ist das ein kritischer Befund. In einem Produkthaftungsverfahren ist es ein Beweis-Nachteil: Wenn Änderungen möglich sind ohne Nachweis, dann kann der Richter nicht ausschließen, dass relevante Daten nachträglich angepasst wurden.
Lösung: Audit Trail aktivieren – in den meisten gängigen Datenbanksystemen (PostgreSQL, SQL Server, Oracle) ist das eine Konfigurationsentscheidung, keine Neuentwicklung. Nachträgliche Aktivierung schützt ab Aktivierungszeitpunkt – historische Daten ohne Audit Trail bleiben ein Risiko.
Viele Unternehmen archivieren gar nicht – sie lassen die Daten einfach in der operativen Datenbank stehen. Das ist kein Archiv. Eine operative Datenbank ist für Zugriffsperformance optimiert, nicht für Langzeitstabilität. Datenbankmigrationen, Software-Updates und Systemneuinstallationen können operative Datenbankbestände verändern oder unzugänglich machen.
Lösung: Strukturierter Archivierungsprozess mit eigenem Archivsystem: Operative Daten werden periodisch in ein separates, langzeitstabiles Archivsystem überführt. Das Archivsystem ist read-only – keine Schreiboperationen nach dem Archivierungszeitpunkt.
Prüfprotokolle werden als PDF archiviert – aber ohne eindeutige Bauteilreferenz. Das Protokoll enthält das Datum, die Charge und die Messwerte. Aber die Verknüpfung mit der konkreten Seriennummer des Bauteils fehlt. Im Audit lässt sich nicht nachweisen, zu welchem spezifischen Bauteil das Protokoll gehört.
Das ist kein Formatproblem – es ist ein Datenbankstrukturproblem. Die Bauteilreferenz muss schon bei der Erfassung als Pflichtfeld eingetragen werden, nicht beim Archivierungsexport.
Lösung: Alle archivierten Prüfdokumente müssen den eindeutigen Bauteilschlüssel (Seriennummer oder Chargennummer) als strukturiertes Metadatenfeld enthalten – nicht nur im Dateinamen, sondern im Dokumentinhalt und in der Archivdatenbank als suchbares Indexfeld.
Maschinensteuerung, MES und QMS erfassen Zeitstempel mit verschiedenen lokalen Systemuhren. Wenn diese Uhren nicht synchronisiert sind, entstehen Zeitabweichungen von Sekunden bis Minuten zwischen Datensätzen, die denselben Fertigungsvorgang dokumentieren. Eine kausale Verknüpfung ist damit nicht mehr eindeutig möglich.
Lösung: Systemübergreifende NTP-Synchronisation. Alle Systeme, die Produktionsdaten erfassen, synchronisieren ihre Systemzeit mit demselben NTP-Server. Zeitabweichung < 1 Sekunde als Standard. Dokumentiert und regelmäßig geprüft.
Das Unternehmen hat eine Archivierungsrichtlinie – 'alle Daten werden 10 Jahre aufbewahrt'. Diese Pauschalregel ist für GoBD ausreichend, aber nicht für IATF 16949 (15 Jahre) oder EU-Produkthaftung (25 Jahre für latente Schäden). Wenn nach 10 Jahren gelöscht wird, sind IATF-relevante Qualitätsdaten nicht mehr vorhanden.
Lösung: Aufbewahrungsfristen werden pro Datenkategorie definiert, nicht pauschal für alle Daten. Die Datenbank-Architektur unterstützt kategoriespezifische Löschsperren: Qualitätsdaten werden nicht gelöscht, bevor die kategoriespezifische Frist abgelaufen ist.
Dieser Test simuliert die drei Situationen, in denen revisionssichere Archivierung in der Praxis auf dem Prüfstand steht: IATF-Audit, Produkthaftungsfall und Behördenanfrage. Beantworten Sie die Fragen für Ihre tatsächliche Archivierungsinfrastruktur – nicht für die gewünschte.
Stellen Sie sich vor, ein IATF-Auditor sitzt vor Ihrem Archiv und fragt nach der vollständigen Bauteilakte für Seriennummer XY-2021-003847 aus dem Jahr 2022. Ohne Ihre IT, ohne Ihren Datenbankadministrator.
Gibt es ein strukturiertes Index-System, das eine gezielte Suche nach Seriennummer oder Chargennummer ermöglicht?
✓ JA: Der Auditor findet die Bauteilakte in unter 3 Minuten. Revisionssichere Archivierung erfüllt.
✗ NEIN: IT-Eskalation notwendig. Im Audit ein gelbes Zeichen. In einem Rechtsstreit ein erhebliches Risiko.
Sind alle Dokumente in der Bauteilakte im Format PDF/A oder als strukturierter CSV/XML-Export gespeichert?
✓ JA: Format ist zukunftssicher und manipulationssicher. Alle Dokumente in einem lesbaren Viewer.
✗ NEIN: Proprietäre Formate oder Excel-Dateien. In 10 Jahren möglicherweise nicht mehr lesbar.
Enthält das Archiv für jeden Eintrag einen nachweisbaren Zeitstempel und eine Nutzer-ID der archivierenden Person?
✓ JA: Lückenloser Nachweis: Wer hat was wann archiviert. Vollständige Audit-Tauglichkeit.
✗ NEIN: Keine Nutzer-IDs, keine Zeitstempel. Keine Möglichkeit zu beweisen, dass Daten nicht nachträglich erstellt wurden.
Ein Gericht verlangt den Nachweis, dass Bauteil XY-2021-003847 zum Auslieferungszeitpunkt alle Prüfanforderungen erfüllt hat. Der Prüfvorgang liegt vier Jahre zurück.
Sind die Prozessparameter des Fertigungsvorgangs (Drehmoment, Temperatur, Maschinenkonfiguration) bauteilgenau archiviert?
✓ JA: Entlastungsnachweis möglich: Das Bauteil war zum Auslieferungszeitpunkt nachweislich in Ordnung.
✗ NEIN: Keine Prozessparameter archiviert. Der Entlastungsnachweis kann nicht erbracht werden. Haftungsrisiko.
Hat das Archiv einen unveränderlichen Audit Trail, der nachträgliche Manipulationen nachweislich ausschließt?
✓ JA: Daten sind nachweislich original. Kein Manipulationsvorwurf haltbar.
✗ NEIN: Kein Audit Trail. Ein Gericht kann nicht ausschließen, dass Daten nachträglich angepasst wurden.