Archivierte alte Webseite - Datenschutzerklärung, Adressen und Links zu externen Seiten sind vielfach ungültig - Bitte besuchen Sie www.PROJECT-CONSULT.com
Archived old Web Site - Privacy declaration, addresses and links to external web sites may be invalid - Please visit www.PROJECT-CONSULT.com
Revisionssichere Archivierung
Was ist elektronische Archivierung ?
Sicherheit = Revisionssicherheit ?
Anforderungen an Revisionssicherheit aus Sicht des Gesetzgebers
Die 10 Merksätze des VOI zur revisionssicheren elektronischen Archivierung
Erhöhte Sicherheit ist kostenträchtig
Revisionssicherheit ist keine Produkteigenschaft
Neue Anforderungen an die elektronische Archivierung
Die elektronische Archivierung ist das Gedächtnis des Informationszeitalters

Dr. Ulrich Kampffmeyer
Profil_Kampffmeyer
Das Thema elektronische Archivierung ist wieder in aller Munde. Nachdem man in den letzten Jahren der Meinung war, dass die elektronische Archivierung bereits Allgemeingut sei, hat die Diskussion um die GDPdU Grundsätze des Datenzugriffs und der Prüfbarkeit digitaler Unterlagen im Rahmen der Änderung des Handelsgesetzes und die Schwäche einiger ehemals führender deutscher Anbieter in diesem Marktsegment die Bedeutung der Thematik wieder in das Bewusstsein gerückt. Besonders stellt sich bei vielen die Frage, was unter „revisionssicherer Archivierung“ zu verstehen ist. Die langfristige Verfügbarkeit von archivierten Daten und Dokumenten, deren Unveränderbarkeit und sichere Aufbewahrung steht dabei im Vordergrund. Das Thema elektronische Archivierung ist noch lange nicht abgeschlossen und entwickelt sich zu einer dauerhaften Herausforderung.
Top
Was ist elektronische Archivierung ?
Der Wert von Informationen in elektronischen Archiven, die digitale Wissensbasis der Unternehmen und Verwaltungen, wird langsam erkannt. Die Abhängigkeit von der Verfügbarkeit von digitalen Informationen wird immer größer. Dies gilt nicht mehr nur für die operativen Systeme mit Stamm- und Bewegungsdaten sondern zunehmend auch für Speichersysteme, die beliebige strukturierte und unstrukturierte Informationen speichern. Auf den ersten Blick gehören hier auch Dateisysteme, Datenbanken und Datensicherungssysteme hinzu – elektronische Archivierung ist jedoch mehr.
Elektronische Archivsysteme zeichnen sich durch folgende eigenständige Merkmale aus:
Datenbankgestützer, direkter Zugriff auf einzelne Informationsobjekte, landläufig auch Dokumente genannt, oder Informationskollektionen, z.B. Listen, Container mit mehreren Objekten etc.
Unterstützung verschiedener Indizierungs- und Recherchestrategien, um auf die gesuchte Information direkt zugreifen zu können
Einheitliche und gemeinsame Speicherung beliebiger Informationsobjekte, vom gescannten Faksimile über Word-Dateien bishin zu komplexen XML-Strukturen, Listen oder ganzen Datenbankinhalten
Verwaltung von Speichersystemen mit nur einmal beschreibbaren Medien (WORM Write Once Read Many) einschließlich dem Zugriff auf Medien die sich nicht mehr im Speichersystem direkt befinden
Sicherstellung der Verfügbarkeit der gespeicherten Informationen über einen längeren Zeitraum, der Jahrzehnte betragen kann
Bereitstellung von Informationsobjekten unabhängig von der sie ursprünglich erzeugenden Anwendung auf verschiedenen Clienten und mit Übergabe an andere Programme
Unterstützung von „Klassen-Konzepten“ zur Vereinfachung der Erfassung durch Vererbung von Merkmalen und Strukturierung der Informationsbasis
Konverter zur Erzeugung von langfristig stabilen Archivformaten und Viewer zur Anzeige von Informationsobjekten, für die die ursprünglich erzeugende Anwendung nicht mehr zur Verfügung steht
Absicherung der gespeicherten Informationsobjekte gegen unberechtigten Zugriff und gegen Veränderbarkeit der gespeicherten Information
Übergreifende Verwaltung unterschiedlicher Speichersysteme, um z.B. durch Zwischenspeicher (Caches) schnellen Zugriff und zügige Bereitstellung der Informationen zu gewährleisten
Standardisierte Schnittstellen, um elektronische Archive als Dienste in beliebige Anwendungen integrieren zu können
Eigenständige Widerherstellungsfunktionalität (Recovery), um inkonsistent gewordene oder gestörte Systeme aus sich heraus verlustfrei wieder aufbauen zu können
Sichere Protokollierung von allen Veränderungen an Strukturen und Informationsobjekten, die die Konsistenz und Wiederauffindbarkeit gefährden können und dokumentieren, wie die Informationen im Archivsystem verarbeitet wurden
Unterstützung von Standards für die spezielle Aufzeichnung von Informationen auf Speichern mit WORM-Verfahren, für gespeicherte Dokumente und für die Informationsobjekte beschreibende Meta-Daten um eine langfristige Verfügbarkeit und die Migrationssicherheit zu gewährleisten
All diese Eigenschaften sollten deutlich machen, dass es nicht um hierarchisches Speichermanagement oder herkömmliche Datensicherung geht. Elektronische Archivsysteme sind eine Klasse für sich, die als nachgeordnete Dienste heute in jede IT-Infrastruktur gehören. Elektronische Archive sind damit eine der wichtigsten Basiskomponenten für DRT Document-Related-Technology- und ECM Enterprise-Content-Management-Lösungen.
Im englischsprachigen Bereich ist eine noch weitergehende Differenzierung festzustellen. Dort spricht man nicht von elektronischer Archivierung sondern von Electronic Records Management. Während Dokumentenmanagement im weiteren Sinn und viele heutige elektronische Archivsysteme den kompletten Lebenszyklus der Informationsobjekte abdecken sollen, konzentriert sich Records Management auf die Langzeitarchivierung. Hier wird auch nicht mehr über Jahrzehnten Verfügbarkeit diskutiert – in Archivarskreisen denkt man in Jahrhunderten. Die Sicherstellung der Verfügbarkeit gewinnt hier eine neue Dimension.
Top
Sicherheit = Revisionssicherheit ?
Der Begriff Sicherheit schließt verschiedene Aspekte ein: angefangen von der Zugriffs- und Datensicherheit über die Verfügbarkeits- und Reproduktionssicherheit der gespeicherten Informationen, die Migrationssicherheit und die Investitionssicherheit bis hin zur sogenannten „Revisionssicherheit“. Dieser Begriff wurde für elektronische Archive geprägt, die den gesetzlichen Anforderungen an aufbewahrungspflichtige Dokumente entsprechen. Der Verband Information und Organisation e.V. hat in seinem Code of Practice „Grundsätze der elektronischen Archivierung“ folgende Definitionen aufgeführt:
Langzeitarchivierung Unter „elektronische Langzeitarchivierung“ versteht man die Bereitstellung von Daten und Dokumenten über einen Zeitraum von mindestens 10 Jahren.
Revisionssichere Archivierung Unter „revisionssicherer Archivierung“ versteht man Archivsysteme, die nach den Vorgaben der Allgemeinen Abgabenordnung (HGB AO) und der GoBS Daten und Dokumente sicher, unverändert, vollständig, ordnungsgemäß, verlustfrei reproduzierbar und datenbankgestützt recherchierbar verwalten.
Ähnliche Definitionen gibt es inzwischen auch in anderen Codes of Practice, z.B. des British Standards Institute, den Leitlinien und dem MoReq-Standard des DLM-Forum der Europäischen Kommission, in der ISO Norm 15489 Records Management und anderen Standards.
Top
Anforderungen an Revisionssicherheit aus Sicht des Gesetzgebers
Die Definition der „revisionssicheren Archivierung“ in Deutschland beschränkt sich auf Systeme, die aufbewahrungspflichtige Informationen speichern, die unter das Handelsgesetz, bzw. seit 1.1.2002, unter die Steuergesetzgebung, fallen. Sie muss auf Grund der gesetzlichen Aufbewahrungspflichten auch die Langzeitarchivierung wie definiert einschließen, da für die meisten kaufmännisch relevanten Daten und Dokumente eine Aufbewahrungsfrist von 10 Jahren besteht. Die allgemeine Abgabenordnung (HGB AO) gibt hier die Grundlagen für die Speicherung, unabhängig ob in herkömmlichen Papierarchiven oder elektronischen Systemen, vor:
Ordnungsmäßigkeit
Vollständigkeit © PROJECT CONSULT 2002 Urheberrechte Dr. Ulrich Kampffmeyer
Sicherheit des Gesamtverfahrens
Schutz vor Veränderung und Verfälschung
Sicherung vor Verlust
Nutzung nur durch Berechtigte
Einhaltung der Aufbewahrungsfristen
Dokumentation des Verfahrens
Nachvollziehbarkeit
Prüfbarkeit
Diese Kriterien sind fachlich definiert und bedürfen der Interpretation, wenn es um die Umsetzung in technischen Systemen geht. Hilfestellung gibt hierbei gibt hierfür die GoBS, die explizit auf die verschiedenen Verfahren der Scan- und Datenerfassung, Sicherheitsanforderungen und die Verfahrensdokumentation zur Nachvollziehbarkeit und Prüfbarkeit eingeht. Die Grundlagen für die Umsetzung wurden ebenfalls vom VOI in einem weiteren Code of Practice „Grundsätze der Verfahrensdokumentation nach GoBS“ zusammengestellt.
Top
Die 10 Merksätze des VOI zur revisionssicheren elektronischen Archivierung
Jedes Dokument muss unveränderbar archiviert werden
Es darf kein Dokument auf dem Weg ins Archiv oder im Archiv selbst verloren gehen
Jedes Dokument muss mit geeigneten Retrievaltechniken wieder auffindbar sein
Es muss genau das Dokument wiedergefunden werden, das gesucht worden ist
Kein Dokument darf während seiner vorgesehenen Lebenszeit zerstört werden können
Jedes Dokument muss in genau der gleichen Form, wie es erfasst wurde, wieder angezeigt und gedruckt werden können
Jedes Dokument muss zeitnah wiedergefunden werden können
Alle Aktionen im Archiv, die Veränderungen in der Organisation und Struktur bewirken, sind derart zu protokollieren, dass die Wiederherstellung des ursprünglichen Zustandes möglich ist
Elektronische Archive sind so auszulegen, dass eine Migration auf neue Plattformen, Medien, Softwareversionen und Komponenten ohne Informationsverlust möglich ist © PROJECT CONSULT 2002 Urheberrechte Dr. Ulrich Kampffmeyer
Das System muss dem Anwender die Möglichkeit bieten, die gesetzlichen Bestimmungen (BDSG, HGB/AO etc.) sowie die betrieblichen Bestimmungen des Anwenders hinsichtlich Datensicherheit und Datenschutz über die Lebensdauer des Archivs sicherzustellen
Top
Erhöhte Sicherheit ist kostenträchtig
Alle diese gesetzlichen Regularien, Codes of Practice und Standards nehmen nur eingeschränkt auf technische Eigenschaften Rücksicht. Dies ist auch im Prinzip angesichts der rasanten Entwicklung im Markt richtig. Je technisch detaillierter ein Standard ist, des do schneller wird er von der Entwicklung überholt. Für den Anwender bedeutet dies, dass er die angebotenen Systeme in Hinblick auf ihre Eignung bewerten muss. Hierbei spielt nicht nur die Revisionssicherheit eine Rolle, sondern wie Sicherheit im Unternehmen generell bewertet wird. Erhöhte Sicherheit bedeutet auch deutlich erhöhte Kosten. Die doppelte Auslegung von Hardware, Spiegelung der Systeme, Erstellung von Mediensicherheitskopien – dies kostet alles mehr als eine einfache Systemauslegung. Auch die Implementierung von Standards, die man vielleicht zunächst noch nicht einmal benötigt, kann aus Sicherheitsüberlegungen sinnvoll sein. Letztlich muss jeder für sich seinen Anspruch an Sicherheit definieren. Dies gilt auch für die „revisionssichere Archivierung“. Die funktionalen Anforderungen lassen sich mit vielen Formen von Systemen abbilden.
Top
Revisionssicherheit ist keine Produkteigenschaft
Vielen Anbieter im Markt werben mit dem Thema „Revisionssicherheit“. Hierfür wird auf Zertifikate von Wirtschaftsprüfern oder des TüVIT verwiesen. In Hinblick auf die „revisionssichere Archivierung“ gilt jedoch, dass für jede individuelle Anwendung eine Verfahrensdokumentation und Abnahme benötigt wird, die den gesamten Prozess, Organisation, Abläufe und technische Lösung eingeschlossen, beinhaltet. Es gibt keinen allgemeingültigen Stempel „Revisionssicher“, den man auf eine Produktverpackung kleben könnte.
Heute werden unterschiedlichste Systemkategorien angeboten. Einerseits spezielle Archivsysteme für die Entlastung des E-Mail-Posteingangskorbes, nachgeordnete Lösungen für ERP-Systeme wie SAP oder spezielle Anwendungslösungen, die auf einem Archivsystem basieren. Zunehmend setzt sich der Trend durch, Archivsysteme als Dienst anzubieten und die Anwenderfunktionalität in andere führende Systeme zu integrieren. Letztere Archivsysteme können auch den Anspruch einer unternehmensweiten Lösung erfüllen, bei der es nur noch einen Archivdienst gibt, der für alle Anwendungen die Aufgabe der Langzeitarchivierung übernimmt.
Bei der Auswahl eines geeigneten Systems spielt die vorhergehende Analyse der zu speichernden Informationen und des geplanten Nutzungsmodelles eine entscheidende Rolle. Will man ein System einführen, dass den Ansprüchen von HGB AO, GoBS und GDPdU gerecht wird, sind Funktionen wie die direkte Recherchierbarkeit in steuerrelevanten Daten, die nicht als Bild konvertiert gespeichert werden dürfen, die geeignete Aufteilung der Bestände nach Kategorien wie „was darf der Aussenprüfer sehen, was nicht“, der Schutz personenbezogener Daten „was fällt unter das BDSG Bundesdatenschutzgesetz“, welche Information gehört überhaupt ins Archiv „was ist aufbewahrungswürdig und was ist aufbewahrungspflichtig“ sowie andere Kriterien zu berücksichtigen.
Top
Neue Anforderungen an die elektronische Archivierung
Traditionelle elektronische Archivsysteme, bei denen eine separate Index-Datenbank die Speicherung der Informationsobjekte steuert, können als matur eingeschätzt werden. Jedoch kommen ständig neue Anforderungen hinzu, wie z.B.:
Dokumente mit elektronischer Signatur, die nicht mehr für eine physische Repräsentation geeignet sind und eine zeitliche beschränkte Gültigkeit haben,
Speicherung von Geschäftstransaktionen über Websites, die vollkommen papierlos abgewickelt werden,
Abbildung von Zusammenhängen zwischen Daten und Dokumentbestandteilen wie z.B. E-Mail-Nachricht und Attachment
Sicherstellung der Recherchierfähigkeit in steuerrelevanten Daten, für die spezielle Listenformate und Schnittstellen unterstützt werden müssen,
Repräsentation und Speicherung von dynamischen XML-Informationsobjekten, die sich zur Laufzeit aus Inhalt, Struktur und Meta-Daten erst als zeitpunktbezogenes, personalisiertes und individualisiertes Dokument darstellen
Einbindung in Directory Services zur einheitlichen Verwaltung aller Benutzer,
Verwaltung und Bereitstellung von Multi-Media-Objekten wie digitalem Video oder elektronischen Büchern in Media Asset Management Systemen, die zusätzliche Anforderungen an Dokumententypen, Sicherheit, schnellen Transport und andere Funktionen stellen
die Integration von Digital Rights Management zur Wahrung von Autoren- und Copyright-Rechten
Langzeitspeicherung von Website-Angeboten und –Inhalten mit allen problemen von speziellen dynamischen Formaten, Verlinkungen und Content Syndication
Die Liste der neuen Anforderungen lässt sich beliebig fortführen. Elektronische Archivierung steht hier an vielen Stellen erst am Anfang.
Top
Die elektronische Archivierung ist das Gedächtnis des Informationszeitalters
Bedingt durch notwendig werdende Migrationen bei technologischem Wandel oder Einführung anderer neuer Softwaresysteme ist die elektronische Archivierung ein Dauerthema, mit dem sich die Archivare und die Informationsmanager im Unternehmen ständig auseinandersetzen müssen. Elektronische Archivierung führt damit auch zu neuen Berufsbildern.
Wenn man den Leitsatz des EU-Kommissars Erkki Liikanen „Elektronische Archive sind das Gedächtnis des Informationszeitalters“ ernst nehmen will, muss man sich mit dem Wert der Information, der Nutzung der Informationen und der Abhängigkeit von der Verfügbarkeit von Informationen auseinandersetzen. Elektronische Archiv gehören heute als Infrastrukturkomponente, genauso wie eine Benutzerverwaltung, Druckservices oder ein E-Mail-Programm, in jedes Unternehmen und jede Verwaltung. Archive sollten dabei als die Unternehmens-Wissensplattform konzipiert werden und quasi nebenbei die rechtlichen Anforderungen der „Revisionssicherheit“ erfüllen. „Revisionssicherheit“ ist nur ein Merkmal von vielen moderner Archivsysteme.
Rechtshinweis
© CopyRight PROJECT CONSULT 2002
Autorenrechte Dr. Ulrich Kampffmeyer

Rechtshinweis
Autorenrechte
Zum Download sind auschließlich die Beiträge in der Rubrik Download vorgesehen. Als PDF bereitgestellte Beiträge enthalten auch die zugehörigen Grafiken.
Download

Top
Seitentitel: Artikel_Revisionssicherheit, Zitierung: http://www.PROJECT-CONSULT.com/home.asp?SR=496
Zuletzt aktualisiert am: 14.7.2002
CopyRight © 1992-2012 PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH
20251 Hamburg, Breitenfelder Str. 17, Tel.: +49-40-46076220, E-Mail, Rechtshinweis
Optimiert für MS Explorer 5.x, 6.x, 1024x768 Pixel, Cookies(on), JavaScript(on)
Archivierte alte Webseite - Datenschutzerklärung, Adressen und Links zu externen Seiten sind vielfach ungültig - Bitte besuchen Sie www.PROJECT-CONSULT.com
Archived old Web Site - Privacy declaration, addresses and links to external web sites may be invalid - Please visit www.PROJECT-CONSULT.com