Currently set to Index
Currently set to Follow

Dokument Manage­ment und revisi­ons­si­chere Archi­vie­rung mit Micro­soft Share­Point

|

Einfüh­rung

Micro­soft Share­Point hat sich bei vielen Unter­nehmen als Basis­tech­no­logie für verschie­dene Bereiche wie Intranet, Team-und Arbeits­räume, sowie für dokument-basierte Zusam­men­ar­beit etabliert. Der Schritt zu einem Dokument Manage­ment System mit Archi­vie­rung ist aber nicht trivial.

Der Begriff Archi­vie­rung wird in Projektalltag häufig leicht­fertig verwendet, oft analog zu Begriffen wie

  • Ausla­ge­rung“ – oft getrieben durch die IT, um das Daten­vo­lumen in Share­Point und den SQL Daten­banken zu reduzieren
  • Wegspei­chern“ – oft durch Anwender gewünscht, um Dateien für einen längeren Zeitraum aufzu­be­wahren, damit diese nicht aus Versehen gelöscht werden

In diesem Beitrag geht es um revisi­ons­si­chere Archi­vie­rung, aber was bedeutet das eigent­lich? Verein­facht gesagt gilt:

Revisi­ons­si­chere Archi­vie­rung bedeutet, dass relevante Dokumente ordnungs­gemäß aufbe­wahrt werden.

Die Ausdrücke „relevante Dokumente“ und „ordnungs­gemäß“ haben es aller­dings in sich. Es gibt kein Gesetz oder eine allge­mein­gül­tige Richt­linie, die genau beschreibt, welche Dokumente wie aufbe­wahrt werden müssen. Statt­dessen gibt es Grund­sätze der Revisi­ons­si­cher­heit, diese sind in Deutsch­land z.B. für steuer­recht­lich und handels­recht­lich relevante Dokumente erfor­der­lich und unter anderem im Handels­ge­setz­buch, in der Abgaben­ord­nung, in der GoBS oder der GoBD definiert. Merkmale der Revisi­ons­si­cher­heit sind unter anderem:

  • Vollstän­dig­keit
  • Schutz vor Verän­de­rung, Verfäl­schung und Verlust
  • Einhal­tung der Aufbe­wah­rungs­fristen
  • Zugriff und Lesbar­keit der Infor­ma­tionen
  • Prüfbar­keit

 

Ich möchte im Folgenden auf typische Fragen eingehen, die im Rahmen der Imple­men­tie­rung einer revisi­ons­si­cheren Lösung zu beachten sind.

Ist Share­Point eigent­lich revisi­ons­si­cher?

Für die Beant­wor­tung der Frage ist es unerheb­lich ob MOSS 2007, Share­Point 2010, Share­Point 2013 oder Share­Point 2016 oder Share­Point Online, OneDrive for Business, etc. einge­setzt werden – die Antwort ist immer die gleiche: kein Produkt ist von Haus aus revisi­ons­si­cher! Eine Gesamt­lö­sung, bestehend aus einem techni­schen Produkt und organi­sa­to­ri­schen Prozessen, kann bei richtiger Nutzung revisi­ons­si­cher sein. Oder kurz gesagt:

Die beste techni­sche Lösung taugt nichts, wenn sie falsch bedient oder nicht genutzt wird. Das Produkt muss ordnungs­gemäß einge­setzt werden.

Häufig wird bei derar­tigen DMS-Projekten die techni­sche Lösung in den Vorder­grund gestellt. Die Kernfragen rund um die revisi­ons­si­chere Archi­vie­rung sind aber technik-unabhängig. Es ist ratsam, zu prüfen, ob im Unter­nehmen bereits ander­wei­tige Archi­vie­rungs­lö­sungen existieren, da dann ggf. grund­le­gende Prozess­fragen bereits geklärt sind:

 

Welche Dokumente sind zu archi­vieren?

Der Grund für die revisi­ons­si­chere Archi­vie­rung von Dokumenten sind Aufbe­wah­rungs­pflichten. Verein­facht kann man sagen:

Keine Archi­vie­rung ohne Aufbe­wah­rungs­pflicht!

Aber wer definiert, welche Dokumente aufbe­wahrt werden müssen? Und wie lange? Und ab wann beginnt die Aufbe­wah­rungs­dauer eigent­lich?

Die Anfor­de­rung zur Aufbe­wah­rung von Dokumenten kann verschie­denen Quellen haben:

Gesetz­liche Vorgaben (legal compli­ance)

Der Gesetz­geber in Deutsch­land spricht nicht von einer Archi­vie­rungs­pflicht, sondern von einer Aufbe­wah­rungs­pflicht. Die Aufbe­wah­rungs­pflichten sind in unter­schied­li­chen Gesetzen geregelt, z.B.:

  • steuer­recht­lich relevante Dokumente sind gemäß der Abgaben­ord­nung (AO) aufzu­be­wahren
  • Handels­recht­lich relevante Dokumente sind gemäß dem Handels­ge­setz­buch (HGB) aufzu­be­wahren
  • Produkt­haf­tungs-relevante Dokumente sind gemäß dem Produkt­haf­tungs­ge­setz (ProdHaftG) aufzu­be­wahren

Unter­neh­mens­richt­li­nien (corpo­rate compli­ance)

Zusätz­lich zu den gesetz­li­chen Anfor­de­rungen kann ein Unter­nehmen weitere Anfor­de­rungen an die Aufbe­wah­rung von Dokumenten definieren, z.B.:

  • Aufbe­wah­rung von Dokumenten über die gesetz­liche Aufbe­wah­rungs­dauer hinaus
  • Aufbe­wah­rung zusätz­li­cher Dokumente, für die keine gesetz­liche Aufbe­wah­rungs­dauer gilt

Bei dem Design einer revisi­ons­si­cheren Archi­vie­rungs­lö­sung auf Basis Share­Point ist auch der Gesamt­kon­text zu definieren, für den die neue Lösung einge­setzt werden soll, z.B.:

  • Sollen nur Dokumente in Share­Point, oder auch Share­Point Online / Office 365 archi­viert werden?
  • Sollen andere Systeme wie z.B. Fileserver abgelöst werden?
  • Sollen Postein­gangs- und Postaus­gangs­do­ku­mente digita­li­siert und archi­viert werden?
  • Sollen physi­ka­li­sche Akten­ar­chive (Akten­ordner) digita­li­siert und archi­viert werden?

 

Wie soll archi­viert werden?

Nach der Klärung, welche Dokumente einer Aufbe­wah­rungs­pflicht unter­liegen und damit archi­viert werden müssen ist zu definieren, wie die Archi­vie­rung konkret erfolgen soll.

Wie konkret zu archi­vieren ist, ist jedem Unter­nehmen selber überlassen, solange es ordnungs­gemäß ist.

 

Der Verband Organi­sa­tions- und Infor­ma­ti­ons­sys­teme e. V. hat dazu zehn Merksätze mit Erläu­te­rungen zum Thema elektro­ni­sche Archi­vie­rung erarbeitet:

  1. Jedes Dokument muss nach Maßgabe der recht­li­chen und organi­sa­ti­ons­in­ternen Anfor­de­rungen ordnungs­gemäß aufbe­wahrt werden
  2. Die Archi­vie­rung hat vollständig zu erfolgen – kein Dokument darf auf dem Weg ins Archiv oder im Archiv selbst verloren gehen
  3. Jedes Dokument ist zum organi­sa­to­risch frühest­mög­li­chen Zeitpunkt zu archi­vieren
  4. Jedes Dokument muss mit seinem Original überein­stimmen und unver­än­derbar archi­viert werden
  5. Jedes Dokument darf nur von entspre­chend berech­tigten Benut­zern einge­sehen werden
  6. Jedes Dokument muss in angemes­sener Zeit wieder­ge­funden und repro­du­ziert werden können
  7. Jedes Dokument darf frühes­tens nach Ablauf seiner Aufbe­wah­rungs­frist vernichtet, d.h. aus dem Archiv gelöscht werden
  8. Jede ändernde Aktion im elektro­ni­schen Archiv­system muss für Berech­tigte nachvoll­ziehbar proto­kol­liert werden
  9. Das gesamte organi­sa­to­ri­sche und techni­sche Verfahren der Archi­vie­rung kann von einem sachver­stän­digen Dritten jeder­zeit geprüft werden
  10. Bei allen Migra­tionen und Änderungen am Archiv­system muss die Einhal­tung aller zuvor aufge­führten Grund­sätze sicher­ge­stellt sein

Das komplette PDF mit weiteren Erläu­te­rungen kann auf der Homepage des Verbands Organi­sa­tions- und Infor­ma­ti­ons­sys­teme e. V. herun­ter­ge­laden werden.

 

Diese Merksätze sind sehr allge­mein gehalten und geben nur an, was zu tun ist, aber nicht, wie dies konkret zu tun ist. Daher müssen diese Merksätze unter­neh­mens­spe­zi­fisch, d.h. passend zu der organi­sa­to­ri­schen Struktur des Unter­neh­mens und der techni­schen Möglich­keiten, umgesetzt werden.

Folgende Fragen helfen zu definieren, wie die Archi­vie­rung konkret erfolgen soll:

  • Welches Speicher­me­dium soll / darf verwendet werden, z.B. Daten­bank, spezi­elle Speicher­sys­teme verschie­dener Hersteller, ggf. WORM (write once read many)?
  • Soll das (digita­li­sierte) Origi­nal­do­ku­ment alleine archi­viert werden, oder ist eine Datei­kon­ver­tie­rung nötig, um die Lesbar­keit sicher­zu­stellen?
  • Im Falle einer Datei­kon­ver­tie­rung
    • In welches Datei­format soll konver­tiert werden?
    • soll diese Datei zusätz­lich oder ausschließ­lich archi­viert werden?
    • Was soll bei Konver­tie­rungs­feh­lern passieren
  • Welche Metadaten sind nötig, um die archi­vierten Dokumente über den Zeitraum der Aufbe­wah­rungs­dauer wieder aufzu­finden?
  • Wann beginnt die Aufbe­wah­rungs­dauer eigent­lich?
  • Was soll nach Ablauf der Aufbe­wah­rungs­dauer passieren?
  • Sollen die zu archi­vie­renden Dokumente in das Archiv kopiert oder verschoben werden?
  • Soll ein Link auf die archi­vierten Dokumente im Share­Point verbleiben?
  • Wann und wie erfolgt das Archi­vie­rungs­er­eignis?
    • Durch den Anwender?
    • Durch ein Ereignis (z.B. Freiga­be­work­flow) oder zeitge­steuert?
  • Wer darf auf archi­vierte Dokumente zugreifen und wie erfolgt der Zugriff auf die archi­vierten Dokumente?

 

 

Was spricht für Share­Point als Basis­tech­no­logie?

Share­Point wird bei vielen Kunden als Dokument Manage­ment System (DMS) einge­setzt, wobei der Begriff DMS genauso wie Archi­vie­rung immer kunden­spe­zi­fisch zu definieren ist. Share­Point bietet sehr gute Funktionen zur Verwal­tung von Dokumenten wie zum Beispiel:

  • Struk­tu­rie­rungs­mög­lich­keit von Infor­ma­tionen über Listen & Biblio­theken
  • Metadaten
  • Versio­nie­rung
  • Metadaten
  • Inhalts­typen
  • Dokument­richt­li­nien
  • Suche
  • Workflows
  • Office Integra­tion
  • Mehrbe­nut­zer­fä­hig­keit
  • Webba­sierter und mobiler Zugriff
  • Anpass­bar­keit

 

Share­Point hat sich zudem als Quasi-Standard für dokument­ba­sierte Zusam­men­ar­beit und dokument­ba­sierte Prozesse in Unter­nehmen und über Unter­neh­mens­grenzen hinweg etabliert. Daher liegt es nahe, Share­Point auch für die Archi­vie­rung von Dokumenten zu nutzen.

 

Um eine verläss­liche und gewich­tige Aussage zum Thema Revisi­ons­si­cher­heit mit Share­Point zu erhalten, hat Micro­soft die Wirtschafts­prü­fungs­ge­sell­schaft KPMG beauf­tragt, einen Bericht zum Thema Compli­ance mit Micro­soft Share­Point Server 2010 mit Fokus auf Handels- du Steuer­recht zu erstellen. Kernaus­sage des Berichts ist, dass eine unver­än­der­liche Aufbe­wah­rung von Dokumenten in Share­Point grund­sätz­lich möglich ist, dazu aber zusätz­liche organi­sa­to­ri­sche Maßnahmen im Bereich Adminis­tra­tion, Überwa­chung und Auswer­tung erfor­der­lich sind, wobei sich die organi­sa­to­ri­schen Maßnahmen reduzieren lassen, wenn Dokumente richt­li­ni­en­ge­steuert auf WORM fähigen Speichern abgelegt werden.

 

Die Nutzung von Share­Point ist aufgrund der guten Basis­funk­tionen, sowie der weiten Verbrei­tung im Unter­nehmen sinnvoll. Revisi­ons­si­cher ist Share­Point – wie jedes andere Produkt – nicht.

Welche Philo­so­phien von Archiv­lö­sungen gibt es?

Techni­sche Archi­vie­rungs­lö­sungen für Share­Point lassen sich grob in folgende

Katego­rien einteilen:

  • Datei­sys­tem­ba­siert: Diese Archiv­sys­teme speichern alle zu archi­vie­renden Infor­ma­tionen (Dokument und Metadaten) in einem datei­sys­tem­ba­sierten Archi­vie­rungs­spei­cher. Welche Speicher­me­dien unter­stützt werden, hängt von jewei­ligen Archiv­system ab. Üblicher­weise lassen sich aber Standard­da­tei­sys­teme nutzen, genauso wie WORM-Speicher (Write Once, Read Many). WORM Techno­lo­gien schützen die archi­vierten Infor­ma­tionen am besten vor ungewollter Löschung / Verän­de­rung. Auffind­bar­keit und Zugriff auf archi­vierte Dokumente erfolgt suchba­siert – zum Beispiel über die Share­Point Suche.
  • Daten­bank­ba­siert: Diese Archiv­sys­teme speichern alle zu archi­vie­renden Infor­ma­tionen (Dokument und Metadaten) vollständig in Daten­banken. Die Infor­ma­tionen sind dabei nicht durch das Speicher­me­dium vor Verän­de­rung und Löschung geschützt, sondern durch die Anwen­dung. Es sind daher weitere Maßnahmen zu ergreifen, um die Daten in der Daten­bank vor Verän­de­rung und Löschen zu schützen. Natür­lich muss auch die Daten­bank vor Löschen geschützt werden, solange sich aufbe­wah­rungs­pflich­tige Dateien darinnen befinden.
    Das wohl bekann­teste daten­bank­ba­sierte Archiv­system ist Share­Point selber. Share­Point stellt mit dem Records Center Archi­vie­rungs­funk­tionen bereit:
  • Misch­form: Bei diesem Produkttyp werden die Dateien auf einem datei­sys­tem­ba­sierten Archi­vie­rungs­spei­cher gespei­chert, die Metadaten aller­dings in einer Referenz­da­ten­bank. Sofern Zugriff auf das Dokument ausschließ­lich über die Referenz­da­ten­bank erfolgt, so muss diese ausrei­chend gesichert und Ihrer­seits vor ungewollter Verän­de­rung geschützt werden.

 

Wer stellt die Revisi­ons­si­cher­heit der Lösung fest?

Ob eine Lösung revisi­ons­si­cher ist, kann im Rahmen eines Audits / Testats durch einen Revisor oder einen Auditor unter Berück­sich­ti­gung der System­do­ku­men­ta­tion und den Verfah­rens­an­wei­sungen geprüft werden. Es ist ratsam, schon in der frühen Projekt­phase mögliche Auditoren mit in die Lösungs­kon­zep­tion einzu­binden.

 

Mythen und Irrtümer

Seit wir Share­Point haben müssen wir archi­vieren“

Diese Aussage ist grund­le­gend falsch. Die Anfor­de­rung, ob / welche Dokumente zu archi­vieren sind, ist techno­lo­gie­un­ab­hängig und unabhängig von der Einfüh­rung von Share­Point. Wenn für ein Dokument eine Aufbe­wah­rungs­pflicht besteht, dann muss es ordnungs­gemäß aufbe­wahrt werden. Ob das Dokument initial im Share­Point oder im Datei­system liegt, ist unerheb­lich.

Aufbe­wah­rungs­dauer beginnt bei Archi­vie­rung“

Leider falsch – das wäre auch zu einfach. Leider beginnt die Aufbe­wah­rungs­dauer in den seltensten Fällen mit dem Archi­vie­rungs­er­eignis — außer, es wird viel zu spät archi­viert. Die Aufbe­wah­rungs­dauer für Dokumente ist in Gesetzen oder Unter­neh­mens­richt­li­nien geregelt, zudem muss der Archi­vie­rungs­zeit­punkt so früh wie möglich sein.

Der Beginn der Aufbe­wah­rungs­dauer ist abhängig vom Archi­vie­rungs­zweck:

  • Bei steuer­lich relevanten Dateien mit Ablauf des aktuellen Kalen­der­jahres nach letzter Bearbei­tung
  • Bei produkt­haf­tungs­re­le­vanten Dateien mit dem Ende der Herstel­lung des Produkts – das ist organi­sa­to­risch nicht zu unter­schätzen!

 

Die Anwender sollen Dokumente archi­vieren“

Mit dieser so dahin­ge­spro­chenen Anfor­de­rung beginnen viele Archi­vie­rungs­pro­jekte. Oft verbirgt sich dahinter die Vorstel­lung, dass der Anwender mit einem Knopf­druck ausge­wählte Dokumente wegar­chi­vieren kann und ggf. noch Parameter definieren kann wie Aufbe­wah­rungs­dauer, Metadaten, etc. Das Problem an dieser Heran­ge­hens­weise ist, dass der Anwender das Archi­vieren mögli­cher­weise vergisst, oder falsche Parameter wie z.B. Aufbe­wah­rungs­dauer wählt. Das Prozess- und Fehler­ri­siko liegt also beim Anwender. Besser ist es, zentrale Archi­vie­rungs­re­geln vorzu­de­fi­nieren und die Archi­vie­rung weiterst­ge­hend zu automa­ti­sieren und zum Beispiel in bestehende Freiga­be­pro­zesse zu integrieren.

Es gibt revisi­ons­si­chere Archi­vie­rungs­pro­dukte zu kaufen“

Leider nein! Die techni­sche Lösung ist nur der kleinste Teil einer DMS- / Archi­vie­rungs­ge­samt­lö­sung. Nur eine Gesamt­lö­sung (Produkt + Prozess) kann revisi­ons­si­cher sein.

PDF/A Konver­tie­rung ist verlust­frei“

Um die Lesbar­keit von Dokumenten gerade bei langen Aufbe­wah­rungs­fristen sicher­zu­stellen, werden diese oft in quell­of­fene Formate wie PDF/A oder TIFF konver­tiert. Hier kommt es häufig zu einem Konflikt der beiden Grund­prin­zi­pien Lesbar­keit und Unver­än­der­lich­keit. Eine Konver­tie­rung nach PDF/A und TIFF ist analog zu betrachten wie das Ausdru­cken von Dokumenten. Hier sind einige Beispiele, die zu Infor­ma­ti­ons­ver­lust oder Infor­ma­ti­ons­ver­än­de­rung bei der Datei­kon­ver­tie­rung führen:

  • Quell­do­ku­ment hat dynami­sche Inhalte wie ‚aktuelles Datum‘, ‚aktueller Anwender‘ oder greift auf externe Inhalte zu. Wird die Konver­tie­rung durch einen Hinter­grund­pro­zess ausge­führt, so werden die dynami­schen Inhalte mögli­cher­weise verfälscht. Gleiches Problem existiert auch ohne Konver­tie­rung. Immer wenn das Quell­do­ku­ment geöffnet wird, wird der ursprüng­liche Inhalt verfälscht
  • Gerade bei Excel, aber auch bei Power­Point und Word gehen ausge­blen­dete Inhalte oder zoombare Inhalte im Rahmen der Konver­tie­rung verloren, bzw. sind nicht mehr lesbar.

 

Im Rahmen des Projektes ist zu klären, wie derar­tige Konflikte erkannt werden können und wie damit umzugehen ist. Schluss­end­lich ist zu klären, ob die Infor­ma­ti­ons­ver­än­de­rung oder der Infor­ma­ti­ons­ver­lust relevant ist oder nicht.

Site Collec­tions sollen archi­viert werden“

Unabhängig wie die Archi­vie­rung einer Site Collec­tion konkret aussehen soll ist zu klären, wie die Lesbar­keit und der Zugriff über lange Jahre sicher­ge­stellt werden kann – vor allem, wenn die Aufbe­wah­rungs­dauer der Infor­ma­tionen die Lebens­dauer und den Support­zeit­raum einer Share­Point Farm übersteigt.

Empfeh­lung: Relevante Infor­ma­tionen sind in Dokumente zu konver­tieren und als solche zu archi­vieren.

Joachim von Seyde­witz

Solution Archi­tect



Kontakt

Ihr Anliegen. Unsere Experten. Erleben Sie netunite. Wir freuen uns auf Ihre Anfrage.
Gerne sind wir auch telefonisch unter 089/8906599-0 oder per E-Mail unter info@netunite.eu für Sie erreichbar.

netunite AG
Lindwurmstraße 97
80337 München


Pflichtfeld

Pflichtfeld


Absenden
Absenden

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen zu Cookies erhalten Sie in unserer Datenschutzerklärung. Akzeptieren