In drei Schritten zur revisi­ons­si­cheren Archi­vie­rung in Share­Point

Ist Share­Point eigent­lich revisi­ons­si­cher?

Ist Share­Point eigent­lich revisi­ons­si­cher?“ – mit dieser Frage beginnen viele DMS Projekte in Share­Point. Für die Beant­wor­tung der Frage ist es unerheb­lich ob MOSS 2007, Share­Point 2010, Share­Point 2013, Share­Point 2016, Share­Point 2019 oder Share­Point Online einge­setzt wird – die Antwort ist immer die gleiche:

Revisi­ons­si­cher­heit ist eine Kombi­na­tion aus techni­schen Lösungen und organi­sa­to­ri­schen Maßnahmen – daher kann ein Produkt alleine nicht revisi­ons­si­cher sein.

Die beste techni­sche Lösung taugt nix, wenn sie falsch bedient oder nicht genutzt wird! Aber was ist zu tun, um mit Share­Point Dokumente revisi­ons­si­cher zu archi­vieren, bzw. was bedeutet revisi­ons­si­chere Archi­vie­rung?

Revisi­ons­si­chere Archi­vie­rung = Relevante Dokumente sind ordnungs­gemäß aufzu­be­wahren!

Im Folgenden möchte ich kurz und knapp aufzeigen, welche Grund­fragen zu klären sind, um ohne Umwege zu einer revisi­ons­si­cheren Archi­vie­rungs­lö­sung auf Basis Share­Point zu kommen:

1.     Aufbe­wah­rungs­pflich­tige Dokumente in Share­Point?

Im ersten Schritt ist zu klären, ob für Dokumente, die in Share­Point liegen oder dort abgelegt werden sollen, eine Aufbe­wah­rungs­pflicht besteht? Zum einen gibt es gesetz­lich vorge­ge­bene Aufbe­wah­rungs­pflichten für Dokumente (z.B. Produkt­haf­tung, Finanz­do­ku­mente gemäß Handels­ge­setz­buch), zum anderen kann es zusätz­liche Unter­neh­mens­richt­li­nien geben, wonach auch weitere Dateien aufbe­wahrt werden müssen. Ansprech­partner hierfür ist üblicher­weise der “Herr der Daten”. Im Zweifel kann eine Revision oder ein internes / externes Auditing Klarheit schaffen.

2.     Wie muss die Aufbe­wah­rung erfolgen?

Im zweiten Schritt ist zu klären, wie die aufbe­wah­rungs­pflich­tigen Dokumente konkret aufbe­wahrt werden. Dazu gibt es keine gesetz­li­chen Vorgaben, sondern ledig­lich Grund­re­geln, wie z.B. die GoDB — Grund­sätze zur ordnungs­mä­ßigen Führung und Aufbe­wah­rung von Büchern, Aufzeich­nungen und Unter­lagen in elektro­ni­scher Form sowie zum Daten­zu­griff.

Im Prinzip müssen folgende Grund­an­for­de­rungen umgesetzt werden:

  • Unver­än­der­bar­keit, Vollstän­dig­keit und Richtig­keit
  • Zugriff und Lesbar­keit
  • Nachvoll­zieh­bar­keit und Nachprüf­bar­keit

 

Konkret bedeutet das, dass das Unter­nehmen definieren muss, wie Dokumente aufbe­wahrt werden, damit die Grund­an­for­de­rungen erfüllt werden. Folgende Frage­stel­lungen können helfen:

  • In welcher Form sollen die Dokumente aufbe­wahrt werden (Original, Konver­tie­rung)?
  • In welchem Medium dürfen die Dokumente aufbe­wahrt werden (Fileserver, Daten­bank)?
  • Wer soll Zugriff auf die aufbe­wahrten Dokumente haben?
  • Welche Metadaten werden benötigt, um die Dokumente später zu finden?
  • Sofern nicht gesetz­lich vorge­geben – wie lange müssen die Dokumente aufbe­wahrt werden?

 

3.     Defini­tion der techni­schen Lösung und Organi­sa­to­ri­sches

Nach Klärung ob und wie Dokumente aufbe­wahrt werden müssen kann die Evalu­ie­rung entspre­chender techni­scher Lösungen erfolgen. Typische funktio­nale Anfor­de­rungen sind:

  • Manuell und ereig­nis­ge­steu­erte Archi­vie­rung
  • Defini­tion der Aufbe­wah­rungs­dauer, bzw. Verlän­ge­rung der Aufbe­wah­rungs­dauer
  • Unver­än­der­bare Speiche­rung der Dokumente, ggf. Überfüh­rung auf ein anderes Speicher­me­dium
  • Zugriff auf archi­vierte Dokumente über Metadaten, Links oder über die Suche
  • Konver­tie­rung der Dateien in quell­of­fene Formate, um die Lesbar­keit sicher­zu­stellen

 

Neben funktio­nalen Anfor­de­rungen können auch nicht funktio­nale Krite­rien für die Auswahl einer Lösung relevant sein, wie unter anderem:

  • Kosten­ent­wick­lung bezogen auf die gesamte Aufbe­wah­rungs­dauer
  • Zukunfts­träch­tig­keit der Lösung – kann in Zukunft auf andere Lösungen/Speichermedien gewech­selt werden?
  • Integrier­bar­keit in bestehende Archiv­lö­sungen

 

Unabhängig von der techni­schen Lösung und dem Betrieb der Lösung ist auch Organi­sa­to­ri­sches zu klären, zum Beispiel:

  • Wie wird sicher­ge­stellt, dass alle relevanten Dokumente über die Lösung archi­viert werden?
  • Wie wird sicher­ge­stellt, dass relevante Metadaten korrekt befüllt sind?
  • Wer prüft die Aufbe­wah­rungs­dauer und was passiert nach Ablauf der Aufbe­wah­rungs­dauer?

Während sich die Funktionen zur Aufbe­wah­rung von Dokumenten in Share­Point on-premise primär auf Records­ma­nage­ment Funktionen in Share­Point, bzw. auf 3rd Party Produkte beschränken, bietet Office 365 hierzu weit mehr Funktionen an.

Durch die Nutzung der Office 365 Reten­tion Labels über das Office 365 Security & Compli­ance Center können entspre­chende Labels zentral definiert werden und dann den Sites zugewiesen werden.

Ob nach Projek­tende alles richtig gemacht wurde, sollte im Rahmen eines Audits geprüft werden. Viel Erfolg!

Joachim von Seyde­witz

Solution Archi­tect

Keine Kommentare

Tut uns sehr leid, das Kommentarformular ist zur Zeit geschlossen.