In drei Schritten zur revisionssicheren Archivierung in Microsoft SharePoint
Ist SharePoint eigentlich revisionssicher?
„Ist SharePoint eigentlich revisionssicher?“ – mit dieser Frage beginnen viele DMS Projekte in Microsoft SharePoint. Für die Beantwortung der Frage ist es unerheblich ob MOSS 2007, SharePoint 2010, SharePoint 2013, SharePoint 2016, SharePoint 2019 oder SharePoint Online eingesetzt wird – die Antwort ist immer die gleiche:
Revisionssicherheit ist eine Kombination aus technischen Lösungen und organisatorischen Maßnahmen – daher kann ein Produkt alleine nicht revisionssicher sein.
Die beste technische Lösung taugt nichts, wenn sie falsch bedient oder nicht genutzt wird! Aber was ist zu tun, um mit SharePoint Dokumente revisionssicher zu archivieren, bzw. was bedeutet revisionssichere Archivierung?
Revisionssichere Archivierung = Relevante Dokumente sind ordnungsgemäß aufzubewahren!
Im Folgenden möchte ich kurz und knapp aufzeigen, welche Grundfragen zu klären sind, um ohne Umwege zu einer revisionssicheren Archivierungslösung auf Basis SharePoint zu kommen:
1. Aufbewahrungspflichtige Dokumente in SharePoint?
Im ersten Schritt ist zu klären, ob für Dokumente, die in SharePoint liegen oder dort abgelegt werden sollen, eine Aufbewahrungspflicht besteht? Zum einen gibt es gesetzlich vorgegebene Aufbewahrungspflichten für Dokumente (z.B. Produkthaftung, Finanzdokumente gemäß Handelsgesetzbuch), zum anderen kann es zusätzliche Unternehmensrichtlinien geben, wonach auch weitere Dateien aufbewahrt werden müssen. Ansprechpartner hierfür ist üblicherweise der “Herr der Daten”. Im Zweifel kann eine Revision oder ein internes / externes Auditing Klarheit schaffen.
2. Wie muss die Aufbewahrung erfolgen?
Im zweiten Schritt ist zu klären, wie die aufbewahrungspflichtigen Dokumente konkret aufbewahrt werden. Dazu gibt es keine gesetzlichen Vorgaben, sondern lediglich Grundregeln, wie z.B. die GoDB – Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff.
Im Prinzip müssen folgende Grundanforderungen umgesetzt werden:
- Unveränderbarkeit, Vollständigkeit und Richtigkeit
- Zugriff und Lesbarkeit
- Nachvollziehbarkeit und Nachprüfbarkeit
Konkret bedeutet das, dass das Unternehmen definieren muss, wie Dokumente aufbewahrt werden, damit die Grundanforderungen erfüllt werden. Folgende Fragestellungen können helfen:
- In welcher Form sollen die Dokumente aufbewahrt werden (Original, Konvertierung)?
- In welchem Medium dürfen die Dokumente aufbewahrt werden (Fileserver, Datenbank)?
- Wer soll Zugriff auf die aufbewahrten Dokumente haben?
- Welche Metadaten werden benötigt, um die Dokumente später zu finden?
- Sofern nicht gesetzlich vorgegeben – wie lange müssen die Dokumente aufbewahrt werden?
3. Definition der technischen Lösung und Organisatorisches
Nach Klärung ob und wie Dokumente aufbewahrt werden müssen kann die Evaluierung entsprechender technischer Lösungen erfolgen. Typische funktionale Anforderungen sind:
- Manuell und ereignisgesteuerte Archivierung
- Definition der Aufbewahrungsdauer, bzw. Verlängerung der Aufbewahrungsdauer
- Unveränderbare Speicherung der Dokumente, ggf. Überführung auf ein anderes Speichermedium
- Zugriff auf archivierte Dokumente über Metadaten, Links oder über die Suche
- Konvertierung der Dateien in quelloffene Formate, um die Lesbarkeit sicherzustellen
Neben funktionalen Anforderungen können auch nicht funktionale Kriterien für die Auswahl einer Lösung relevant sein, wie unter anderem:
- Kostenentwicklung bezogen auf die gesamte Aufbewahrungsdauer
- Zukunftsträchtigkeit der Lösung – kann in Zukunft auf andere Lösungen/Speichermedien gewechselt werden?
- Integrierbarkeit in bestehende Archivlösungen
Unabhängig von der technischen Lösung und dem Betrieb der Lösung ist auch Organisatorisches zu klären, zum Beispiel:
- Wie wird sichergestellt, dass alle relevanten Dokumente über die Lösung archiviert werden?
- Wie wird sichergestellt, dass relevante Metadaten korrekt befüllt sind?
- Wer prüft die Aufbewahrungsdauer und was passiert nach Ablauf der Aufbewahrungsdauer?
Während sich die Funktionen zur Aufbewahrung von Dokumenten in SharePoint on-premise primär auf Recordsmanagement Funktionen in SharePoint, bzw. auf 3rd Party Produkte beschränken, bietet Office 365 hierzu weit mehr Funktionen an.
Durch die Nutzung der Office 365 Retention Labels über das Office 365 Security & Compliance Center können entsprechende Labels zentral definiert werden und dann den Sites zugewiesen werden.
Ob nach Projektende alles richtig gemacht wurde, sollte im Rahmen eines Audits geprüft werden. Viel Erfolg!