Anwender:innen von Dokumentenmanagement-Lösungen (DML) unterliegen gesetzlichen Anforderungen für eine revisionssichere Speicherung von Dokumenten. Typische Kernanforderungen sind die unveränderbare Archivierung, die Nachvollziehbarkeit der Prozessabläufe sowie langzeitfähige Formate. Diese gehen oft mit Fragen einher: Können die Papieroriginale nach der Archivierung vernichtet werden? Läuft der Erfassungsprozess ordnungsgemäß und zeitgerecht ab? Ist ein archiviertes Dokument auch nach 10 Jahren noch originalgetreu reproduzierbar?
Um diese und weitere Fragen zur Revisionssicherheit Ihres eingesetzten Dokumentenmanagementsystems zu beantworten, führt TÜV NORD auf den jeweiligen Kontext angepasste, technische und organisatorische Prüfungen und Zertifizierungen durch.
Auch Teillösungen – etwa Scanprozesse oder Archivsysteme – können zertifiziert werden, sofern die Schnittstellen und Funktionsabgrenzungen klar dokumentiert sind.
Die Prüfkriterien für Dokumentenmanagement-Lösungen (PK-DML) wurden gemeinsam vom VOI (Verband Organisations- und Informationssysteme) und TÜV NORD entwickelt. Sie decken alle gesetzlichen und auch nicht-gesetzlichen Anforderungen an eine Dokumentenmanagement-Lösung ab.
Der Fokus der PK-DML liegt auf dem rechts- und revisionssicheren Umgang mit digitalen Dokumenten aller Art. Dabei betrachten sie, ob eine DML folgende Kriterien erfüllt:
Bei Bedarf ergänzen zudem weitere Vorschriften, Richtlinien und Normen die Prüfgrundlage.
Die aktuelle, überarbeitete 5. Auflage der PK-DML von 2019 ist über die Seite des VOI bestellbar.
Eine Zertifizierung nach PK-DML eignet sich besonders für:
Ein Dokumentenmanagement-System (DMS) ist eine spezialisierte Software, mit der digitale Dokumente strukturiert erfasst, verwaltet, gespeichert, wiedergefunden und revisionssicher archiviert werden können. Moderne DMS-Lösungen integrieren sich nahtlos in bestehende Geschäftsprozesse und unterstützen Unternehmen bei der digitalen Transformation.
Für eine erfolgreiche PK-DML-Zertifizierung sollte eine DMS-Software folgende Funktionen bieten:
Diese Funktionen sind Voraussetzung, um die Kriterien wie Nachvollziehbarkeit, Ordnungsmäßigkeit und Verfügbarkeit gemäß PK-DML zu erfüllen.
Er setzt sich aus
und Zertifizierung zusammen.
Zeitaufwand:
Basis jeder PK-DML Zertifizierung bildet die Verfahrensdokumentation, die nachvollziehbar darlegen muss, wie die IT-Lösung die zutreffenden Prüfkriterien erfüllt. Dabei kann die Dokumentation auch auf andere Dokumente verweisen, die vertiefende Informationen enthalten, wie z. B. Sicherheitskonzepte, Prozessbeschreibungen oder Arbeitsanweisungen.
Bei Erst- und Rezertifizierungen wird eine vollständige Dokumentenprüfung durchgeführt. In einem mehrtägigen Audit vor Ort wird die Umsetzung der in der Dokumentation beschriebenen Maßnahmen überprüft.
Im Rahmen der Überwachung findet keine vollständige Dokumentenprüfung statt, es werden vor Ort ca. 50 % der Anforderungen der PK-DML geprüft. Der Fokus liegt auf Änderungen seit der letzten Prüfung.
Die GoBD (Grundsätze zur ordnungsmäßigen Buchführung und Aufbewahrung digitaler Unterlagen) bilden eine zentrale rechtliche Grundlage für die elektronische Archivierung in Deutschland. Eine PK-DML-Prüfung berücksichtigt, ob Ihr DMS die Anforderungen der GoBD erfüllt – z. B. durch revisionssichere Speicherung, Protokollierung und eine lückenlose Verfahrensdokumentation.
In Abstimmung mit dem Kunden wird der Scope der Prüfung und Zertifizierung festgelegt, es können beispielsweise Teilprozesse oder alle relevanten Workflows entlang des Dokumentenlebenszyklus betrachtet werden, z. B.:
Dabei wird bewertet, ob diese Prozesse dokumentiert, technisch abgesichert und revisionssicher implementiert sind.
Das Zertifikat wird von der Zertifizierungsstelle der TÜV NORD CERT GmbH ausgestellt.
Das Zertifikat ist 3 Jahre gültig. Es erfolgt eine Erstzertifizierung im Rahmen eines Erstaudits im Jahr 1 und je 1 Überwachungsaudit in den Jahren 2 und 3, in denen Änderungen zur Erstdokumentation geprüft werden.
Die Dokumentenprüfung enthält maximal 2 Durchläufe, wobei die 2. Dokumentenversion prüf- und zertifizierbar sein muss. Das vor-Ort-Audit enthält maximal einen prüf- und zertifizierbaren Durchlauf.
Die Zertifizierung kann für alle digitalen Dokumenten-Management-Prozesse und die damit verbundenen IT-Lösungen genutzt werden.
Teillösungen sind ebenfalls zertifizierbar, z. B. nur der Scanprozess, die Verwaltung und Bearbeitung von Dateien und Dokumenten oder ein Archiv.
Bei Teillösungen müssen die Schnittstellen und Funktionsabgrenzungen deutlich in der Verfahrensdokumentation beschrieben sein.
Wenn Ihre DMS-Lösung und der Erfassungsprozess den Anforderungen an eine ordnungsmäßige, vollständige und nachvollziehbare Digitalisierung gemäß PK-DML und GoBD entsprechen, können Papierdokumente grundsätzlich nach dem Scannen vernichtet werden. Dies wird auch als „ersetzendes Scannen“ (BSI TR-03138 Ersetzendes Scannen (RESISCAN) bezeichnet. Eine Prüfung durch TÜV NORD gibt Ihnen hier Rechtssicherheit.