Dokumentenarchivierung und revisionssichere elektronische Ablage

Samstag, März 11th, 2017

1. Elektronische Dokumentenarchivierung

Der Begriff steht für die unveränderbare, langzeitige Aufbewahrung elektronischer Informationen, nicht zu verwechseln mit dem bekannten Begriff „Archiv“.

Archivierung ist kein Selbstzweck, sondern die Aufbewahrung, Erschließung und Bereitstellung von Information ist eine Voraussetzung für die Arbeitsfähigkeit des Unternehmens und seine Rechtssicherheit.
Aufbewahrungsfristen von 10 Jahren für handelsrechtlich und steuerlich relevante Daten und Dokumente sind meistens sehr schwierig umsetzbar.
Durch den Einsatz elektronischer Signaturen erhalten Dokumente den gleichen Rechtscharakter wie manuell unterzeichnete Schriftstücke und existieren rechtskräftig nur noch in elektronischer Form.
Hierzu werden spezielle Archivsysteme eingesetzt, die wesentlich besser geeignet sind, Informationen zu verwalten, als dies bisher mit Papier, Aktenordner und Regalen möglich war.

1.1   Rechtliches

1.1.1 Regulative Vorgaben für die elektronische Dokumentenarchivierung

Das Thema Archivierung und Langzeitspeicherung hat in den letzten Jahren besonders durch rechtliche und regulative Vorgaben an Bedeutung gewonnen.Die Gleichbehandlung von digitalen Dokumenten mit elektronischer Signatur wie herkömmlichen Papierdokumente, der Sarbanes-Oxley Act und andere Compliance-Anforderungen in den USA, die Diskussion um die Archivierung steuerrelevanter Daten entsprechend den GDPdU in Deutschland machen revisionssichere Archiv- und Speichersysteme erforderlich.
Im Rahmen der Diskussionen der gesetzlichen Anforderungen stellte sich häufig die Frage nach dem „richtigen“ Speichermedium.
Traditionelle WORM-Medien, die physisch nur einmal beschreibbar sind, erhoben den Anspruch die einzig richtigen Speichermedien zu sein.
Die Hersteller von Festplattensystemen und WORM-Tapes konterten.
Grundsätzlich gilt jedoch, dass Gesetze und Verordnungen medienneutral sind (oder sein sollten), da angesichts der langfristigen Aufbewahrungszeiträume auch Technologiewechsel berücksichtigt werden müssen.
Das richtige Medium gibt es daher nicht.
Das gesamte Verfahren der Archivierung muss geschlossen und sicher sein.
Dies geht über die Frage der Laufwerke und Medien hinaus und bezieht auch die organisatorischen Prozesse mit ein.

1.1.2 Rechtliche Vorgaben

Auszüge aus Rechtsgrundlagen die eine elektronische, revisionssichere Aufzeichnung betreffen.

  • Handelsgesetzbuch HGB

§238 Abs.1 Buchführungspflicht

Die Buchführung muss so beschaffen sein, dass sie einem sachverständigen Dritten innerhalb angemessener Zeit einen Überblick über die Geschäftsvorfälle und über die Lage des Unternehmens vermitteln kann.
Die Geschäftsvorfälle müssen sich in ihrer Entstehung und Abwicklung verfolgen lassen.

§239 Führung der Handelsbücher

(2) Die Eintragungen in Büchern und die sonst erforderlichen Aufzeichnungen müssen voll     ständig, richtig, zeitgerecht und geordnet vorgenommen werden.
(3)   Eine Eintragung oder eine Aufzeichnung darf nicht in einer Weise verändert werden, dass der ursprüngliche Inhalt nicht mehr feststellbar ist.  Auch solche Veränderungen dürfen nicht vorgenommen werden, deren Beschaffenheit es ungewiss lässt, ob sie ursprünglich oder erst später gemacht worden sind.
(4)   Handelsbücher und die sonst erforderlichen Aufzeichnungen können auch in der geordneten Ablage von Belegen bestehen oder auf Datenträgern geführt werden, soweit diese Formen der Buchführung einschließlich des dabei angewandten Verfahrens den Grundsätzen ordnungsmäßiger Buchführung entsprechen.
Bei der Führung der Handelsbücher und der sonst erforderlichen Aufzeichnungen auf Datenträgern muss insbesondere sichergestellt sein, dass die Daten während der Dauer der Aufbewahrungsfrist verfügbar sind und jederzeit innerhalb angemessener Frist lesbar gemacht werden können.

§257 Aufbewahrung von Unterlagen. Aufbewahrungsfristen

(3)   Mit Ausnahme der Eröffnungsbilanzen und Abschlüsse können die in Absatz 1 aufgeführten Unterlagen auch als Wiedergabe auf einem Bildträger oder auf anderen Datenträgern aufbewahrt werden, wenn dies den Grundsätzen ordnungsmäßiger Buchführung entspricht und sichergestellt ist, dass die Wiedergabe oder die Daten

  1. mit den empfangenen Handelsbriefen und den Buchungsbelegen bildlich und mit den anderen Unterlagen inhaltlich übereinstimmen, wenn sie lesbar gemacht werden,
  2. während der Dauer der Aufbewahrungsfrist verfügbar sind und jederzeit innerhalb angemessener Frist lesbar gemacht werden können. Sind Unterlagen auf Datenträgern hergestellt worden, können statt des Datenträgers die Daten auch ausgedruckt aufbewahrt werden.
  • Abgabenordnung AO

§146 Ordnungsvorschriften für die Buchführung und für Aufzeichnungen

(4) Eine Buchung oder eine Aufzeichnung darf nicht in einer Weise verändert werden, dass der ursprüngliche Inhalt nicht mehr feststellbar ist. Auch solche Veränderungen dürfen nicht vorgenommen werden, deren Beschaffenheit es ungewiss lässt, ob sie ursprünglich oder erst später gemacht worden sind.
(5) Die Bücher und die sonst erforderlichen Aufzeichnungen können auch in der geordneten Ablage von Belegen bestehen oder auf Datenträgern geführt werden, soweit diese Formen der Buchführung einschließlich des dabei angewandten Verfahrens den Grundsätzen ordnungsmäßiger Buchführung entsprechen; bei Aufzeichnungen, die allein nach den Steuergesetzen vorzunehmen sind, bestimmt sich die Zulässigkeit des angewendeten Verfahrens nach dem Zweck, den die Aufzeichnungen für die Besteuerung erfüllen sollen.
Bei der Führung der Bücher und der sonst erforderlichen Aufzeichnungen auf Datenträgern muss insbesondere sichergestellt sein, dass während der Dauer der Aufbewahrungsfrist die Daten jederzeit verfügbar sind und unverzüglich lesbar gemacht werden können. Dies gilt auch für die Befugnisse der Finanzbehörde nach § 147
(6) Die Ordnungsvorschriften gelten auch dann, wenn der Unternehmer Bücher und Aufzeichnungen, die für die Besteuerung von Bedeutung sind, führt, ohne hierzu verpflichtet zu sein.

§147 Ordnungsvorschriften für die Aufbewahrung von Unterlagen

(2) Mit Ausnahme der Jahresabschlüsse, der Eröffnungsbilanz und der Unterlagen nach Absatz 1 Nr. 4a können die Unterlagen auch als Wiedergabe auf einem Bildträger oder auf anderen Datenträgern aufbewahrt werden, wenn dies den Grundsätzen ordnungsmäßiger Buchführung entspricht und sichergestellt ist, dass die Wiedergabe oder die Daten mit den empfangenen Handels- oder Geschäftsbriefen und den Buchungsbelegen bildlich und mit den anderen Unterlagen inhaltlich übereinstimmen, wenn sie lesbar gemacht werden, während der Dauer der Aufbewahrungsfrist jederzeit verfügbar sind, unverzüglich lesbar gemacht und maschinell ausgewertet werden können.
(5) Wer aufzubewahrende Unterlagen in der Form einer Wiedergabe auf einem Bildträger oder auf anderen Datenträgern vorlegt, ist verpflichtet, auf seine Kosten diejenigen Hilfsmittel zur Verfügung zu stellen, die erforderlich sind, um die Unterlagen lesbar zu machen; auf Verlangen der Finanzbehörde hat er auf seine Kosten die Unterlagen unverzüglich ganz oder teilweise auszudrucken oder ohne Hilfsmittel lesbare Reproduktionen beizubringen.
(6) Sind die Unterlagen nach Absatz 1 mit Hilfe eines Datenverarbeitungssystems erstellt worden, hat die Finanzbehörde im Rahmen einer Außenprüfung das Recht, Einsicht in die gespeicherten Daten zu nehmen und das Datenverarbeitungssystem zur Prüfung dieser Unterlagen zu nutzen. Sie kann im Rahmen einer Außenprüfung auch verlangen, dass die Daten nach ihren Vorgaben maschinell ausgewertet oder ihr die gespeicherten Unterlagen und Aufzeichnungen auf einem maschinell verwertbaren Datenträger zur Verfügung gestellt werden. Die Kosten trägt der Steuerpflichtige.

  • Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS)

Die Grundsätze der GoBS sind von der deutschen Finanzverwaltung aufgestellte Regeln zur Buchführung mittels Datenverarbeitungssystemen.
Die GoBS regeln die Behandlung aufbewahrungspflichtiger Daten und Belege in elektronischen Buchführungssystemen sowie in Dokumentenmanagement- und Archivsystemen.
Die GoBS beinhalten die Vorgaben für die Verfahrensdokumentation, die zum Nachweis des ordnungsmäßigen Betriebes des Systems erforderlich ist und gelten unmittelbar nur für steuerliche Buchführung.
Da jedoch zahlreiche – gerade kleine und mittlere (KMU) – Unternehmen eine Einheitsbilanz erstellen, wirken sie sich auch auf die handelsrechtliche Buchführung aus.
Weil eine große Zahl von Kaufleuten diesen Regeln folgt, werden sie zum Handelsbrauch und somit zu handelsrechtlichen Grundsätzen ordnungsgemäßer Buchführung(GoB)

1.2 Elektronische Langzeitarchivierung

Von elektronischer Langzeitarchivierung spricht man eenn Informationen minimal 10 Jahre oder länger aufbewahrt und zugreifbar sein müssen.

1.3 Funktionale Anforderungen an ein elektronisches Archivsystem zur Dokumentenarchivierung

  • Programmgestützter, direkter Zugriff auf einzelne Dokumente, oder Informationskollektionen
  • Datenbankgestützte Verwaltung der Informationsobjekte auf Basis von Metadaten und Volltexterschließung der Inhalte von archivierten Informationsobjekten
  • Unterstützung verschiedener Indizierungs- und Recherchestrategien, um auf die gesuchte Information direkt zugreifen zu können
  • Einheitliche und gemeinsame Speicherung beliebiger Informationsobjekte, vom gescannten über Text-Dateien bis zu komplexen XML-Strukturen, Listen oder ganzen Datenbankinhalten
  • Verwaltung von Speichersystemen mit nur einmal beschreibbaren Medien einschließlich des Zugriffs auf Medien die sich nicht mehr im Speichersystem direkt befinden
  • Sicherstellung der Verfügbarkeit der gespeicherten Informationen über einen längeren Zeitraum, der Jahrzehnte betragen kann
  • Bereitstellung von Informationsobjekten unabhängig von der sie ursprünglich erzeugenden Anwendung auf verschiedenen Clienten und mit Übergabe an andere Programme
  • Unterstützung von „Klassen-Konzepten“ zur Vereinfachung der Erfassung durch Vererbung von Merkmalen und Strukturierung der Informationsbasis
  • Konverter zur Erzeugung von langfristig stabilen Archivformaten und Viewer zur Anzeige von Informationsobjekten, für die die ursprünglich erzeugende Anwendung nicht mehr zur Verfügung steht
  • Absicherung der gespeicherten Informationsobjekte gegen unberechtigten Zugriff und gegen Veränderbarkeit der gespeicherten Information
  • Übergreifende Verwaltung unterschiedlicher Speichersysteme, um z.B. durch Zwischenspeicher schnellen Zugriff und zügige Bereitstellung der Informationen zu gewährleisten
  • Standardisierte Schnittstellen, um elektronische Archive als Dienste in beliebige Anwendungen integrieren zu können
  • Eigenständige Wiederherstellungsfunktionalität (Recovery), um inkonsistent gewordene oder gestörte Systeme aus sich heraus verlustfrei wieder aufbauen zu können
  • Sichere Protokollierung von allen Veränderungen an Strukturen und Informationsobjekten, die die Konsistenz und Wiederauffindbarkeit gefährden können und dokumentieren, wie die Informationen im Archivsystem verarbeitet wurden
  • Unterstützung von Standards für die spezielle Aufzeichnung von Informationen auf Speichern mit WORM-Verfahren, für gespeicherte Dokumente und für die Informationsobjekte beschreibende Metadaten um eine langfristige Verfügbarkeit und die Migrationssicherheit zu gewährleisten
  • Unterstützung automatisierter, nachvollziehbarer und verlustfreier Migrationsverfahren

All diese Eigenschaften machen deutlich; elektronische Archivsysteme sind eine Klasse für sich, die in die Dienste jeder IT-Infrastruktur gehört.

1.4 Umsetzung der Anforderungen in elektronischen Archivsystemen

Zur Erfüllung dieser Vorgaben wurden Archivsysteme bestehend aus Datenbanken, Archivsoftware und Speichersystemen geschaffen.
Diese Systeme basieren meistens auf dem Ansatz über eine Referenzdatenbank mit den Verwaltungs- und Indexkriterien auf einen externen Speicher zu verweisen, in dem die Informationsobjekte gehalten werden.
Diese sogenannte Referenz-Datenbank-Architektur war notwendig, um große Mengen von Informationen von den zwar schnellen aber teureren Online-Speichern in separate Archivspeicher auszulagern.
Die Datenbank erlaubt über den Index dabei jederzeit das Dokument wieder zu finden und mit einem entsprechenden Anzeigeprogramm dem Anwender bereitzustellen.
Heute gliedern sich Archivsysteme als nachgeordnete Dienste in die IT-Infrastruktur ein, werden direkt von Bürokommunikations- und Fachanwendungen bedient und stellen diesen Anwendungen auch die benötigten Informationen zur Verarbeitung und Anzeige wieder zur Verfügung.
Für den Anwender ist es dabei unerheblich, wo die benötigte Information gespeichert ist, Archivspeichersysteme und die Speicherorte der Dokumente sind für ihn unerheblich.

1.5 Speichertechnologien für die elektronische Dokumentenarchivierung

Bei den elektronischen Speichertechnologien muss man heute eine Trennung zwischen der Verwaltungs- und Ansteuerungssoftware einerseits und den eigentlichen Speichermedien andererseits machen.
Herkömmliche magnetische Speichermedien gelten als nicht geeignet für die elektronische Dokumentenarchivierung, da die gespeicherten Informationen jederzeit geändert und überschrieben werden können.
Dies betrifft im besonderen Maße Festplatten, die von Betriebssystemen dynamisch verwaltet werden.
Magnetische Einflüsse, „Head-Crashs“ und andere Risiken wiesen den Festplatten die Rolle der reinen Onlinespeicher zu.
In den 80er Jahren wurden spezielle digital-optische Speichermedien entwickelt, die in ihrem Laufwerk mit einem Laser berührungsfrei nur einmal beschrieben werden können.
Diese Speichertechnologie bezeichnet man als WORM „Write Once, Read Multiple Times“.
Die Speichermedien selbst waren durch ihre physikalischen Eigenschaften gegen Veränderungen geschützt und boten eine wesentliche höhere Lebensdauer als die bis dahin bekannten magnetischen Medien.
In diese Kategorie von Speichermedien fallen heute folgende Typen WORM-Speicherung:

  • CD

Nur einmal beschreibbare Compact Disk Medien mit ca. 650 MegaByte Speicherkapazität.
Die Speicheroberfläche im Medium wird beim Schreiben irreversibel verändert.
CD-Medien sind durch die ISO 9660 standardisiert.
Die Ansteuerung der Laufwerke wird von den Betriebssystemen direkt unterstützt.
Die Qualität mancher billiger Medien ist für eine Langzeitarchivierung ausreichend.

  • DVD

Ähnlich wie bei der CD wird bei der DVD-WORM die Speicheroberfläche irreversibel im Medium verändert.
DVD’s sind derzeit noch nicht einheitlich genormt und bieten unterschiedliche Speicherkapazitäten zwischen 4 und 17 GigaByte.
Beim Einsatz für die Dokumentenarchivierung ist daher darauf zu achten, das Laufwerk und Medien den Anforderungen der langzeitigen Verfügbarkeit gerecht werden.
Es gibt auch hier zahlreiche Anbieter und die meisten Laufwerke werden auch direkt von den gängigen Betriebssystemen unterstützt.

  • 5¼“ WORM

Bei diesen Medien und Laufwerken handelt es sich um die traditionelle Technologie, die speziell für die elektronische Archivierung entwickelt wurde.
Die Medien befinden sich in einer Schutzhülle und sind daher gegen Umwelteinflüsse besser gesichert, als CD und DVD, die für den Consumer-Markt entwickelt wurden.
Die Medien werden mit einem Laser beschrieben und bieten eine äußerst hohe Verfälschungssicherheit.
Stand der Technik sind sogenannte UDO-Medien mit Speicherkapazitäten von 50 GigaByte.
Zukünftig ist mit noch deutlich höheren Kapazitäten je Medium zu rechnen.
Nachteilig ist, dass Medien der vorangegangenen Generationen von 5¼“-Medien in den neuen Laufwerken nicht verwendet werden können.
Von diesen sind noch mehrere verschiedene Technologien am Markt verfügbar.
Für den Anschluss von 5 ¼“- Laufwerken ist spezielle Treibersoftware notwendig.
Für die Verwaltung und Nutzung der Medien sind sogenannte Jukeboxen, Plattenwechselautomaten, gebräuchlich, die softwaregestützt die benötigten Informationen bereitstellen.
Zum Anschluss von Jukeboxen bedient man sich in der Regel eigener Server, die auch die Verwaltung und das Caching übernehmen.
Solche Systeme können aber auch als NAS (Network attached Storage) oder integriert in SAN (Storage Area Networks) genutzt werden.
Die Software ermöglicht dabei respektable Zugriffs- und Bereitstellungszeiten, die im Regelfall ein ausreichendes Antwortzeitverhalten garantieren.

  • WORM-Tapes

Magnetbänder, die durch mehrere Eigenschaften die Anforderungen an ein Speichermedium erfüllen.
Hierzu gehören spezielle Bandmedien sowie geschützte Kasetten und besondere Laufwerke, die die Einmalbeschreibbarkeit sicherstellen.
Besonders in Rechenzentren, die über Bandroboter und Librarysysteme verfügen, stellen die WORM-Tapes eine einfach zu integrierende Komponente für die Langzeitarchivierung dar.
Die vorhandene Steuerungssoftware kann mit den Medien umgehen und auch entsprechendes Umkopieren und Sichern automatisieren.

  • CAS Content Adressed Storage

Hierbei handelt es sich um Festplattensysteme, die durch spezielle Software die gleichen Eigenschaften wie ein herkömmliches WORM-Medium erreichen.
Ein Überschreiben oder Ändern der Information auf dem Speichersystem wird durch die Kodierung bei der Speicherung und die spezielle Adressierung verhindert.
Bei diesen Speichern handelt es sich um Subsysteme, die allerdings wie herkömmliche Festplattensysteme direkt in die IT-Umgebung integriert werden können.
Sie bieten Speicherkapazitäten mit hoher Performance im TeraByte-Bereich.

1.6 Strategien zur Sicherstellung der Verfügbarkeit archivierter Information

  • Standardisierung

Wesentliche Voraussetzung für die langfristige Verfügbarmachung elektronischer Information ist die Einhaltung von Standards.
Zu berücksichtigen sind Aufzeichnungs- und Dateiformate, Metadaten, Medien der Informationsobjekte.
Schon bei der Erzeugung von Daten sollte die langfristige Speicherung berücksichtigt werden und langzeitig stabile Formate sollen bevorzugt verwendet werden.
Eigenschaften eines solchen Formats sollten eine weite Verbreitung, eine offene Spezifikation oder die spezielle Entwicklung als Format zur langfristigen Datenspeicherung sein.
Beispiele sind XML-Dateien, TIFF und PDF-Archive.

  • Migration

Eine Methode zur Sicherstellung der Verfügbarkeit ist die Migration von Information in eine neue Systemumgebung.
Sie stellt unter Umständen ein Risiko dar, wenn die Informationen nicht nachweislich unverändert, vollständig und weiterhin uneingeschränkt wiederauffindbar von einer Systemlösung auf eine andere migriert werden.
Originalität und Authentizität können durch eine Migration in Frage gestellt werden.
Anderseits zwingt der technologische Wandel die Anwender auf neue Speicher- und Verwaltungskomponenten rechtzeitig zu wechseln, um die Information verfügbar zu halten.
Die Migration muss bereits bei der Ersteinrichtung eines Archiv- und Speichersystems geplant werden, um ohne Risiko und Aufwand den Wechsel vollziehen zu können.
Kontrollierte, verlustfreie, „kontinuierliche Migration“ ist zur Zeit die wichtigste Lösung, Information über Jahrzehnte und Jahrhunderte verfügbar zu halten.
Das Thema Migration wurde durch die Veränderungen und die Konsolidierung des Dokumentenmanagement-Marktes häufig diskutiert.
Der Wegfall einzelner Produkte zwingt zur Migration auf andere Formate, manchmal mit Hilfe eines eigenen Migrationsprogramms.

  • Emulation

In der IT-Welt wird noch ein zweites Modell ähnlich stark diskutiert: Emulation.
Emulation heißt, die Eigenschaften eines älteren Systems so zu simulieren, dass damit auch Daten dieses Systems mit neueren Computern und Betriebssystemen wieder genutzt werden können.
Sie wird in der langfristigen Datenspeicherung noch nicht in größerem Ausmaß eingesetzt.
Nachteile sind, dass der Aufwand künftiger Emulationsschritte nicht planbar ist und bei einem zu großen Paradigmenwechsel eines Tages vielleicht gar nicht mehr durchführbar ist.  Diese Nachteile gelten auch für nicht rechtzeitig durchgeführte Migrationen.

  • Kapselung

Als Vorbereitung für die Emulation eignet sich insbesondere das Kapselungs-Verfahren.
Dabei werden zusätzlich mit der zu bewahrenden Datei oder dem Informationsobjekt auch noch die Software, mit der man es visualisieren und reproduzieren kann, sowie die zugehörigen Metadaten in einer „Kapsel„, mit allen für die Nutzung notwendigen Informationen in Zukunft sofort zusammenhängend gespeichert.
Durch diese Methode können die zu speichernden Objekte sehr groß werden, ohne dass jedoch vollständig sichergestellt ist, dass die mitarchivierte Software auch in zukünftigen Betriebssystemumgebungen lauffähig ist.

  • Konversion zur Laufzeit

Lassen sich die Formate der zu speichernden Informationsobjekte nicht kontrollieren und nicht auf wenige Langzeitformate einschränken, sind Konverter und Viewer systemseitig ständig vorzuhalten, die ältere Formate in anzeigbare Formate beim Aufruf der Objekte wandeln.
Dies führt mittelfristig zu einer Vielzahl von bereitzuhaltenden Konvertern und Viewern, für die eine eigenständige Verwaltung erforderlich ist, um zu einem älteren Informationsobjekt den jeweils passenden, aktuellen Konverter aufrufen zu können.
Die Konversion zur Laufzeit unterscheidet sich von der Emulation dadurch, dass nicht eine ältere Umgebung aufgerufen, sondern das Objekt für die aktuelle Umgebung gewandelt wird.
Spezielle Eigenschaften von Formaten, elektronische Signaturen und Digital-Rights-Management-Komponenten können hierbei, ebenso wie bei den anderen Verfahren, zu Problemen führen.

1.7 Weiterentwicklung

Elektronische Archive waren bisher eine spezielle Domäne der Archivsystemanbieter.
Nunmehr wird aber die Speichertechnologie selbst immer intelligenter und die Software bestimmt heute den Einsatz von Archiv-Speichertechnologien.
Sie sichert unabhängig vom Medium die Unveränderbarkeit der Information, ermöglicht den schnellen Zugriff und verwaltet gigantische Datenmengen und über Systemmanagement- und Speicherverwaltungssoftware verwaltet sie inzwischen auch die elektronischen Archive. Zusätzlich kann immer noch ein herkömmliches Archiv-, Records- Management- oder Content-Management-System für die inhaltliche Strukturierung, die Ordnung, Erschließung und Bereitstellung der Informationen eingesetzt werden.
Das Ziel der Speichersystemanbieter ist es, Archivspeicher als Infrastruktur betriebssystemnah und für alle Anwendungen gleich bereitzustellen:
Dieser Trend, ILM „Information Lifecycle Management“ genannt, soll die elektronische Archivierung einschließen und das Versprechen Migrationen unnötig zu machen oder zu automatisieren, stößt auf besonderes Interesse.
Elektronische Archivierung wird als nachgeordneter Dienst eingesetzt, der in Enterprise-Content-Management-Lösungen integriert wird, aber als Archivierungskomponente allen Anwendungen zur Verfügung steht, deren Informationen langfristig und sicher aufbewahrt werden müssen.

2. Revisionssicherheit

2.1 Begriffsbestimmung  

Revisionssicherheit bezieht sich auf die Archivierung in elektronischen Archivsystemen, die in Deutschland den Anforderungen des HGB (§§ 239, 257), der AO (§§ 146, 147), den GoBS und weiteren steuer- und handelsrechtlichen Vorgaben entsprechen.
Der Begriff orientiert sich am Verständnis der Revision aus wirtschaftlicher Sicht und betrifft aufbewahrungspflichtige oder aufbewahrungswürdige Informationen und Dokumente und wurde vom Fachverband der Dokumentenmanagementbranche, VOI „Verband Organisations- und Informationssysteme e.V.“ in einem Code of Practice im Jahr 1996 allgemeingültig veröffentlicht.
Revisionssicherheit im Zusammenhang mit der elektronischen Archivierung bezieht sich dabei nicht nur auf technische Komponenten sondern auf die gesamte Lösung, einschliesslich sicherer Abläufe, der Organisation des Anwenderunternehmens, der ordnungsgemäßen Nutzung, dem sicheren Betrieb und dem Nachweis einer Verfahrensdokumentation ein.
Revisionssichere Archivierung ist ein wesentlicher Bestandteil für die Compliance von Informationssystemen.

2.2 Revisionssicherheit elektronischer Archivierung

Eine Archivierung ist revisionssicher, wenn die Systemlösung den Anforderungen des HGB, der AO und den GoBS an die sichere, ordnungsgemäße Aufbewahrung von kaufmännischen Dokumenten entspricht und die Aufbewahrungsfristen von sechs bis zehn Jahren erfüllt.
Die Grundlagen sind wie folgt definiert:

  • Ordnungsmäßigkeit
  • Vollständigkeit
  • Sicherheit des Gesamtverfahrens
  • Schutz vor Veränderung und Verfälschung
  • Sicherung vor Verlust
  • Nutzung nur durch Berechtigte
  • Einhaltung der Aufbewahrungsfristen
  • Dokumentation des Verfahrens
  • Nachvollziehbarkeit
  • Prüfbarkeit

Die Anforderungen sind in den Grundsätzen der elektronischen Archivierung des VOI, der ISO 17421 und ISO 15489 und im BSI Grundschutzhandbuch.

2.3 Grundsätze einer revisionssicheren Archivierung

Die folgenden 10 Merksätze zur revisionssicheren elektronischen Archivierung stammen von VOI Verband Organisations- und Informationssysteme e.V.:

  • Jedes Dokument muss unveränderbar archiviert werden.
  • Es darf kein Dokument auf dem Weg ins Archiv oder im Archiv selbst verloren gehen.
  • Jedes Dokument muss mit geeigneten Retrievaltechniken wieder auffindbar sein.
  • Es muss genau das Dokument wiedergefunden werden, das gesucht worden ist.
  • Kein Dokument darf während seiner Lebenszeit zerstört werden können.
  • Jedes Dokument muss in genau der gleichen Form, wie es erfasst wurde, wieder angezeigt und gedruckt werden können.
  • Jedes Dokument muss zeitnah wiederauffindbar sein.
  • Alle Aktionen im Archiv, die Veränderungen in der Organisation und Struktur bewirken, sind derart zu protokollieren, dass die Wiederherstellung des ursprünglichen Zustandes möglich ist.
  • Elektronische Archive sind so auszulegen, dass eine Migration auf neue Plattformen, Medien, Softwareversionen und Komponenten ohne Informationsverlust möglich ist.
  • Das System muss dem Anwender die Möglichkeit bieten, die gesetzlichen Bestimmungen sowie die betrieblichen Bestimmungen des Anwenders hinsichtlich Datensicherheit und Datenschutz über die Lebensdauer des Archivs sicherzustellen.

2.4 Zertifizierung der Revisionssicherheit von elektronischen Archivsystemen

Die Überprüfung der Einhaltung der Vorgaben und die Zertifizierung von elektronischen Archivsystemen, bzw. der in kaufmännische Anwendungen oder Dokumentenmanagement integrierten Archivkomponenten, erfolgt in der Regel durch Wirtschaftsprüfer beim Anwender vor Ort.
Seitens des IDW, „Institut der deutschen Wirtschaftsprüfer“, gibt es hierfür eigene Vorgaben.   Basis hierfür sind die Prüfkriterien für Dokumentenmanagementlösungen des VOI.
Allgemein gültige Zertifizierungen für die Revisionssicherheit einzelner Hardware- oder Softwaresysteme wie z.B. optische Speicher gibt es nicht, da der individuelle Einsatz beim Anwender, die Ordnungsmäßigkeit des gesamten Verfahrens, die Qualität der Informationen und Prozesse sowie der sichere Betrieb an sich ein Bestandteil der Revisionssicherheit sind.

 

Quelle: EuroNis GmbH & Co. KG

Suche …

Letzte Beiträge

Archiv ⇒