Archivieren: Unterschied zwischen den Versionen

Aus IV1
Bodenwinkler (Diskussion | Beiträge)
Keine Bearbeitungszusammenfassung
Cstitz (Diskussion | Beiträge)
Zeile 317: Zeile 317:


== Zitiervorschlag ==
== Zitiervorschlag ==
''Bodenwinkler'' in ''Höller'', Informationsverarbeitung I (21.9.2014), Archivieren#Überschrift (mussswiki.idv.edu/iv1)
''Bodenwinkler'' in ''Höller'', Informationsverarbeitung I, Archivieren#Überschrift (mussswiki.idv.edu/iv1)

Version vom 17. September 2015, 14:26 Uhr

Wenn man einen Brief oder ein E-Mail schreibt, einen Finanzbericht mit einem Tabellenkalkulationsprogramm erstellt oder ein Fax, eine elektronische Rechnung erhält, immer stellt sich die Frage, wo sollen diese Informationen abgelegt werden und wie können sie bei Bedarf möglichst schnell wiedergefunden werden. In modernen Unternehmen und Verwaltungen entstehen heute die meisten Dokumente bereits in digitaler Form und was noch in Papierform vorliegt, wird immer häufiger eingescannt und digital weiterverarbeitet. Ein entscheidender Faktor ist die Menge an Informationen, die es zu verwalten gilt. Bereits bei kleineren Unternehmen kommen jährlich leicht mehrere tausend Dokumente zusammen; bei größeren Organisationen geht es letztlich um viele Millionen von Dokumenten, die jährlich anfallen und in digitaler Form verwaltet und aufbewahrt werden müssen. Der nachfolgende Beitrag geht nun der Frage nach, wie und unter welchen Rahmenbedingungen die elektronische Archivierung dieser Informationsflut erfolgen soll.

No matter whether you write a letter or an e-mail, compile a financial report using spreadsheet, write a fax or receive an electronic invoice, there is always the question, where to file these pieces of information and how to find them most rapidly when needed. Nowadays modern companies and administrations make up most of their documents only digitally anyway and documents which are still in a hardcopy form are more and more often scanned and subsequently processed digitally. One decisive factor is the amount of information that has to be administered. Even small enterprises amass thousands of documents each year; in case of bigger organisations the number of documents that has to be governed and stored in a digital form exceeds several millions. Thus the following pages deal with the question how and under which framework conditions the electronic storage of this information flood shall be achieved.



Zum Einstieg: Ablage und Archiv aus Anwendersicht

Für den betrieblichen Anwender, der ein physisches oder elektronisches Dokument erzeugt oder erhält (wie z. B. Angebot, Rechnung, Bestellmail, Mahnschreiben, Vertrag, Liquiditätsplan etc.), stellt sich relativ rasch die Frage, was mit diesem Dokument weiter geschehen soll, sobald seine Erstellungs- und/oder Bearbeitungsaktivitäten beendet sind. Unter vorläufiger Außerachtlassung aller organisatorischen oder auch rechtlichen Regelungen stellen sich beispielsweise folgende Fragen:


Wo und wie werden die Dokumente abgelegt, damit man sie später wieder leicht findet?

Das ist sehr oft keine einfache Frage, da die Antwort von vielen Detailfakten abhängen kann. Handelt es sich beispielsweise bei einem Dokument um ein Papierdokument (z. B. um eine schriftliche Bestellung), so kann das Dokument einerseits nach einem entsprechend geordneten System abgelegt werden (Papierarchiv) oder andererseits auch eingescannt und in ein elektronisches Archiv übergeführt werden. In vielen Fällen kommen heute Dokumente aber nicht mehr in Papierform sondern in elektronischer Form ins Unternehmen. Was macht man mit solchen Dokumenten? Wesentlich ist in allen Fällen, dass eine einheitliche, logische Struktur der Archivierung besteht und vor allem im elektronischen Archiv auch eindeutige Kriterien für eine Beschlagwortung (= Suchkriterien) vorhanden sind. Es ist also von großer Bedeutung, dass es für die Organisationseinheit klare und eindeutige Regelungen hinsichtlich der Ablage von Dokumenten und Unterlagen aller Art gibt. Würden diese nicht existieren, so wäre mittelfristig ein organisatorisches Chaos die Folge. Daneben ist noch anzumerken, dass man damit auch gegen gesetzliche und regulatorische Vorgaben verstoßen würde.


Welche Dokumente sind wie lange aufzubewahren?

Mit dieser Fragestellung ist der „normale“ Anwender in der Regel überfordert, da die Beantwortung auch von der Art des Dokuments abhängt. Ganz generell kann man dazu sagen, dass aufgrund der regulatorischen Verschärfungen der letzten Jahre sämtliche Dokumente, die in irgendeiner Weise mit der betrieblichen Leistungserstellung im Zusammenhang stehen, auch aufzubewahren und zu archivieren sind. Dies trifft beispielsweise auch auf E-Mails zu. Die Aufbewahrungsfristen können branchen- und dokumentenbezogen unterschiedlich sein; in der Regel kann man allerdings von vielen Jahren bis Jahrzehnten ausgehen.


Wie kann erreicht werden, dass man auf Dokumente aus unterschiedlichen Quellen, die zu einem Geschäftsvorfall gehören, zugreifen kann?

In vielen Unternehmen ist es üblich und auch notwendig, dass man für die Dokumente eines Geschäftsfalles einen sogenannten „Akt“ erstellt (Verkaufsakte, Transportakte, Patientenakte, Akt für ein Bauansuchen etc.). In diesem „Akt“ sollten letztendlich sämtliche Dokumente, die in irgendeinem Zusammenhang mit dem Geschäftsfall stehen, landen. Diese Logik sollte natürlich auch beibehalten werden, wenn Dokumente elektronisch archiviert werden.


Archivierung und "Cloud-Computing" - ein Widerspruch?

Die großen IT-Marktforschungsunternehmen, wie Gartner Research oder Forrester Research, sehen das Thema "Cloud-Computing" als eines der wichtigen Zukunftsthemen. Alle großen IT-Anbieter bringen derzeit Lösungen zu diesem Thema auf den Markt. Aber was passiert mit den Daten, die in der "Cloud" abgelegt werden. Wie sicher sind die Daten? Darf man wichtige Unternehmensdaten überhaupt "irgendwo" speichern und archivieren?


Können, sollen oder müssen auch andere Mitarbeiter auf diese Dokumente zugreifen?

In der Regel wird es so sein, dass einerseits eine ganze Reihe von Personen einen Zugriff auf die Dokumente zur Erfüllung ihrer Aufgaben benötigt und es andererseits natürlich auch sein kann, dass andere Mitarbeiter aus unterschiedlichsten Gründen diese Dokumente nicht sehen dürfen. Es bedarf also entsprechender Regelungen, wer zu was berechtigt ist oder eben nicht. Wenn Dokumente elektronisch archiviert werden, so ist diese Berechtigungsstruktur natürlich auch elektronisch abzubilden. Weiters müssen in bestimmten Fällen Unterlagen auch externen Personen zugänglich gemacht werden (z. B. dem Finanzamt im Rahmen der Betriebsprüfung, dem Wirtschaftsprüfer im Rahmen der Jahresabschlussprüfung).


Vom "Papierarchiv" zum "Elektronischen Archiv"

Die Begriffe „Archiv“ bzw. „archivieren“ sind keine neuen Wortschöpfungen. Ganz im Gegenteil – die sprachlichen Wurzeln liegen in der lateinischen Sprache (archivum), die wiederum auf griechische Ursprünge (archeίo) zurückzuführen ist. Dort verstand man darunter (meist öffentliche) Einrichtungen, in denen wichtige Dokumente und Gegenstände aufbewahrt worden sind. Das Aufbewahren und natürlich auch das Wiederfinden von in Archiven abgelegten Dokumenten sind also seit Jahrtausenden von großer Bedeutung.

In der jüngeren Vergangenheit vollzog sich rund um das Thema Archivierung eine ganz wesentliche Erweiterung und Veränderung. Durch das Faktum, dass Informationen nun seit einigen Jahrzehnten neben dem Papieroriginal auch in elektronischer Form vorliegen können, ergab sich die Möglichkeit, diese Dokumente auch in elektronischer Form zu archivieren (elektronisches Archiv). Diese Möglichkeit zur elektronischen Archivierung wurde auch immer häufiger genutzt, da sie zahlreiche Vorteile für das Unternehmen bringt. Inzwischen ist die Entwicklung so weit fortgeschritten, dass es möglich ist, dass überhaupt kein Papieroriginal mehr existiert, sondern das Original ausschließlich in elektronischer Form vorliegt (z. B. digital signierte elektronische Rechnung). In diesem Fall besteht keine Wahlmöglichkeit mehr, ob man elektronisch archivieren will oder nicht, hier MUSS elektronisch archiviert werden.


Was sind also die wesentlichen Beweggründe für die Verbreitung der elektronischen Archivierung:

  • das explosive Datenwachstum,
  • die zunehmende Digitalisierung der Dokumente,
  • die immer tiefer gehende Automationsunterstützung aller Geschäftsprozesse,
  • die Zentralisierung und Konsolidierung der IT-Landschaften,
  • die einfache abteilungs-, geschäftsbereich- und länderübergreifende Dokumentenrecherche,
  • die immer penibler werdenden internen und externen Nachweispflichten (Compliance),
  • die Möglichkeit, Kosten zu reduzieren.


Der Begriff der elektronischen Archivierung wird allerdings einerseits sehr unterschiedlich genutzt und andererseits auch durch Funktionalitäten erweitert, die weit über das Ablegen und Wiederfinden von Informationen hinausgehen.

Im deutschsprachigen Raum hat sich die Bezeichnung Dokumenten-Management-System (DMS) für jene Softwarelösungen durchgesetzt, die die Verwaltung ursprünglich meist papiergebundener Dokumente in elektronischen Systemen umfassen. In solchen Systemen ist das elektronische Archiv allerdings nur ein Teilbereich jener Funktionalitäten, die ein DMS auszeichnen. Typische DMS-Softwaremodule sind beispielsweise:

  • COLD (Computer Output on Laserdisk) ist ein Verfahren zur automatisierten Übernahme von Computer-Ausgabedatenströmen (meist Druckdaten) in ein Archivsystem. Oft spricht man in diesem Zusammenhang auch von Spoolfilearchivierung. Die Bezeichnung „on Laserdisk“ hat historische Gründe; heute wird in der Regel auf Magnetplatten abgespeichert.
  • SCAN-Module digitalisieren Papierbelege mittels Scanner (verbunden mit einer automatischen und/oder benutzergeführten Indexierung).
  • Das ARCHIV-Modul zur Ablage, Aufbereitung und Verwaltung der Dokumente in einer Datenbank (elektronisches Archiv im engeren Sinne).



Vom Dokumenten-Management-System zum Enterprise-Content-Management (ECM)

Die Entwicklungen der letzten Jahre haben gezeigt, dass das klassische elektronische Dokumentenarchiv für sich alleine gesehen nur eine Teilfunktion dessen ist, was moderne Organisationseinheiten zur Erfüllung Ihrer Aufgaben benötigen. Ein DMS ist heute nur mehr eine integrierte Komponente von weitaus mächtigeren Systemen mit Workflow, Collaboration, E-Mail-Management, Webintegration, Business Process Management, Auditing etc.


Unter Enterprise-Content-Management (ECM) versteht man alle Technologien zur Erfassung, Verwaltung, Bewahrung und Bereitstellung von Content und Dokumenten zur Unterstützung von organisatorischen Prozessen.[1] [2]


Von Bedeutung ist in dieser Definition der Begriff „Content“. Content (engl.) mit dem deutschen Wort „Inhalt“ zu übersetzen, greift nicht weit genug. Unter Content wird in diesem Zusammenhang alles verstanden, was an inhaltlicher elektronischer Information in Systemen bereitgehalten wird, unabhängig davon, ob es sich um strukturierte, schwach strukturierte oder unstrukturierte Daten handelt. Beispielsweise kann es sich hier um Rechnungen, gescannte Frachtpapiere, E-Mails, Briefe, Faxnachrichten, Finanzanalysen, Dokumente aus ERP-Systemen aber auch um Fotos, Videos oder Audios handeln.


Die wichtigen ECM-Komponenten und –Technologien lassen sich in fünf Hauptkategorien einteilen:[3]

  • CAPTURE (Erfassung): Bildbearbeitung, Formularverarbeitung, COLD, Indexierung, Kategorisierung
  • MANAGE (Verwaltung, Bearbeitung, Nutzung): Dokumentenmanagement, Collaboration, Web-Content-Management, Ablage- und Archivverwaltung, Workflow, Business-Process-Management
  • STORE (Speicherung): Repositories (Speicherorte, Datenspeichersysteme), Library-Services (Search/Retrieval), Speichertechnologien/Medien
  • PRESERVE (Erhalten, Bewahren, Archivieren): Langzeitarchivierung, Migration
  • DELIVER (Liefern, Bereitstellen, Ausgeben): Transformations-Techniken, Sicherheits-Techniken, Verteilung



ECM - Die technischen Rahmenbedingungen

Information Lifecycle Management

Die Ausgangssituation, mit der heute ein Unternehmen konfrontiert ist, sieht häufig so aus:

  • Jährliches Datenwachstum im hohen zweistelligen Prozentbereich und damit oft ungeplantes und teures Wachstum bei den vorhandenen Storagesystemen.
  • Historisch bedingt werden zumeist alle Daten, unabhängig von Art und Wert der Daten, speichertechnologisch gleich behandelt (die Fachabteilungen möchten meist alle Daten so lange wie möglich speichern und jederzeit im Zugriff haben).
  • Neue und immer schärfere rechtliche Vorschriften führen dazu, dass niemand mehr für das Löschen von Daten verantwortlich sein will.


Ziel von Information Lifecycle Management (ILM) ist das

  • Speichern von Informationen entsprechend ihrem Wert (Wichtigkeit, Wertigkeit, Kosten),
  • auf dem jeweils günstigsten Speichermedium,
  • basierend auf Regeln und Prozessen (Klassifizierung der Daten, Quellen und Speichersysteme) zur entsprechenden Behandlung der Information (Automatismen).


ILM ist also weder Hardware noch Software, sondern ein organisatorischer Prozess, an dem allerdings mittelfristig kein Unternehmen vorbeikommt.


Datenformate / Archivformate

……… ADB, ADF, ANI, ARC, AVI, BAK, BAT, BIN, BMP, CAT, CBI, CGI, CLL, CSS, CSV, DBF, DGN, DOC, DRM, DRW, DTF, EMD, EXE, FBK, FFX, FRT, GDB, GFX, GKS, HEX, HTM, ICL, IGF, JFIF, JMP, JPEG, LDL, MAD, MBX, MP3, OCX, OLE, OTL, PBR, PRJ, QDT, RAR, RAW, REG, RMD, RTF, SCF, SCV, ………

Für die Speicherung digitaler Informationen gibt es historisch gesehen unzählige Datenformate, die mehr oder weniger Bedeutung erlangt haben. Es handelt sich dabei teils um proprietäre Datenformate, die meist von großen Hard- oder Softwareanbietern entwickelt wurden und teils um freie, teilweise auch genormte Datenformate, die sich am Markt etabliert haben. Was fehlt, sind einheitliche Standards, die weltweit und langfristig anerkannt und eingesetzt werden. Diese, für den IT-Markt nicht unübliche Situation, erschwert natürlich das Thema Archivierung und vor allem die Langzeitarchivierung enorm.


Datenformate, die für die Langzeitarchivierung geeignet erscheinen, können auch als Archivformate bezeichnet werden und sollten folgenden Anforderungen genügen:

  • Hersteller-, System- und Geräteunabhängigkeit (nicht proprietär);
  • Aufbau der Datenformate ist öffentlich bekannt und dokumentiert;
  • international genormter und öffentlicher Standard;
  • Verzicht auf Komprimierung der Daten.


Aus derzeitiger Sicht kommen beispielsweise folgende Archivformate, die obige Anforderungen zumindest teilweise erfüllen, in Frage:

  • TIFF (Tagged Image File Format): sehr gebräuchliches Grafik-Rasterformat
  • PDF (Portable Document Format): proprietäres ADOBE-Dokumentenformat mit diversen Subformaten
  • PDF/A (Portable Document Format/Archiv) : gezielt für die Langzeitarchivierung entwickeltes, international normiertes Dokumentenformat basierend auf PDF (ISO 19005-1 :2005)
  • XML (Extensible Markup Language): Auszeichnungssprache zur Darstellung hierarchisch strukturierter Daten.


Problematischer ist die Situation im Bereich der Archivierung von Audio- und Videodaten, da hier der Normierungs- und Standardisierungsgrad noch geringer ist.


Speichermedien (Hierarchisches Speichermanagement)

Grundsätzlich kommen für die Archivierung alle heute üblichen Extern-Speichermedien in Frage:

  • Flash-Storage bzw. Solid State Drive (SSD): Enterprise-Flash-Systeme sind die schnellsten, derzeit verfügbaren Externspeicher, aber auch entsprechend teuer; SSD für den Consumermarkt sind inzwischen leistbar geworden, aber teurer als HDD
  • Konventionelle Festplatten (HDD): schnell und preislich günstig
  • Magnetbänder (Tape): langsam und billig
  • (Optische Speichersysteme (Optical): relativ schnell und relativ billig, bei neueren Lösungen allerdings nicht mehr gebräuchlich)
  • Cloud-Storage: Die Speicherung der Daten/Dokumente erfolgt nicht mehr lokal auf "eigenen" Storagesystemen, sondern wird als externe Dienstleistung von Cloud-Anbietern zugekauft. Preislich günstig bis sehr günstig.


Welche Medien bzw. welche Kombination von Speichermedien für die Archivierung im Einzelfall tatsächlich verwendet werden, sollte letztlich einer Analyse auf Basis TCO (Total Cost of Ownership) vorbehalten sein.

Ist eine revisionssichere elektronische Archivierung gefordert (siehe nachfolgend: "Was versteht man unter Revisionssicherheit?"), dann beschränkt sich die Auswahl auf solche Systeme, die den Anforderungen hinsichtlich Revisionssicherheit genügen.


Von einem hierarchischen Speichermanagement (HSM) spricht man dann, wenn Datenbestände, auf welche über längere Zeit nicht zugegriffen wurde, automationsgestützt auf ein Speichermedium niedrigerer Hierarchiestufe (billig, dafür aber langsamer Zugriff) ausgelagert werden (beispielsweise von der Festplatte auf ein Magnetband). Greift ein Benutzer auf eine solche ausgelagerte Datei zu, so wird die Datei wieder auf das schnellere Speichermedium zurückkopiert. In größeren Datenzentren werden diese Bänder durch eigene Bandrobotersysteme verwaltet, sodass für die Rückspeicherung kein Benutzereingriff erforderlich ist. Für den Benutzer ist dann diese Aus- bzw. Rücklagerung nicht transparent – er bemerkt höchstens die längere Zugriffszeit.


Probleme der Langzeitarchivierung

Die Langzeitarchivierung digitaler Informationen bedeutet, dass sich Unternehmen mit der Problemstellung auseinandersetzen müssen, wie trotz des gerade vom Markt für Informations- und Kommunikationstechnologie verursachten ständigen technischen Wandels sichergestellt werden kann, dass Informationen möglicherweise auch noch nach vielen Jahrzehnten einwandfrei und eindeutig gelesen werden können.

Während alte Papierdokumente oft viele Jahrhunderte haltbar sind, trifft dies gerade auf neue Speichermedien nicht zu. Disketten, CDs, Bandkassetten etc. sind oft schon nach wenigen Jahren nicht mehr lesbar. Aber selbst wenn sie lesbar wären, gibt es dann oft die notwendigen Hardwarekomponenten nicht mehr, die solche Medien noch verarbeiten können (z. B. Diskettenlaufwerke, Laufwerke für Wechselplatten). Und sollten selbst diese Hardwarekomponenten verfügbar sein, so sind es dann oft die alten Datenformate, die von den heute verwendeten Applikationen nicht mehr unterstützt werden und daher nicht gelesen werden können.


Oft wird übersehen, dass diese Probleme der Langzeitarchivierung letztendlich sehr bald für einen Großteil der Unternehmen und Verwaltungen relevant sein werden. Man braucht nur die heute bereits bestehenden rechtlichen und regulatorischen Rahmenbedingungen für die Aufbewahrung von Dokumenten unterschiedlichster Art betrachten:

  • Belege aus dem Rechnungswesen sind in Österreich sieben Jahre und in Deutschland zehn Jahre aufzubewahren (zum Teil auch länger).
  • Krankenakte sind zehn bzw. dreißig Jahre und zukünftig lebenslang aufzubewahren.
  • Unterlagen über Lebensversicherungen sind sogar über den Tod des Versicherten hinaus aufzubewahren.


Durch den schnellen Medien- und Systemwandel im IT-Bereich sind folgende Maßnahmen sinnvoll, um die langfristige Verfügbarkeit digitaler Informationen zu gewährleisten:

  • Einsatz offener Standards wie z. B. freier Dokumentenformate, die als relativ langlebig betrachten werden und deren Aufbau öffentlich bekannt ist;
  • Regelmäßiges Umkopieren von einem alten Speichermedium auf neue Datenträger, um den Verlust von Daten durch die Alterung von Datenträgern zu verhindern.


Softwarelösungen

Die steigende Bedeutung des Themas „Elektronische Archivierung“ hat dazu geführt, dass in den letzten Jahren unzählige Archivierungslösungen entwickelt und am Markt angeboten worden sind. Große Softwarehersteller konkurrieren mit kleinen Anbietern, komplette ECM-Suiten mit Speziallösungen für bestimmte Branchen.

ECM-Lösungen werden in den verschiedensten Formen und Varianten angeboten: als einzelne Programmmodule, Komponenten, Baukästen, geschlossene Komplettlösung oder integriert als „Suite“. Dabei kann der Umfang von ECM-Systemen ebenso variieren wie die Zusammenstellung der Komponenten oder die Ausrichtung auf bestimmte Branchen oder Problemfelder. Die Weiterentwicklung der reinen Archivierungslösungen in Richtung ECM einerseits und die immer komplexer und restriktiver werdenden regulatorischen Rahmenbedingungen andererseits, werden auch in dieser Branche dazu führen, dass die Zahl der Softwareanbieter sich wieder auf eine überschaubare Anzahl konsolidieren wird. Keiner der großen ERP-System-Anbieter kann es sich heute leisten, keine Lösung für Enterprise Content Management in seinem Portfolio zu haben.

Die Vorgangsweise bei der Auswahl einer ECM-Lösung unterscheidet sich allerdings nicht von jenen Vorgangsweisen, die bei der Auswahl anderer komplexer Softwarelösungen eingehalten werden sollen. Es wird daher hier verzichtet, darauf näher einzugehen.



ECM - Die rechtlichen Rahmenbedingungen

Die nachfolgenden Themen sind nur als kurzer Exkurs über die inzwischen sehr komplexen und für den "normalen" Anwender schwer überschaubaren rechtlichen und organisatorischen Rahmenbedingungen, die die elektronische Archivierung begleiten, gedacht. Vor allem sollen einige wichtige Begriffe erläutert werden.


IT-Compliance / IT-Governance

Unter Compliance (engl.) versteht man die Übereinstimmung mit und Erfüllung von rechtlichen und regulativen Vorgaben. Ein entsprechendes regelkonformes Verhalten soll sicherstellen, dass die unternehmerischen Risiken erkannt, bewertet und durch die Implementierung technischer Lösungen erfüllt werden können. Die IT-Compliance behandelt eben jene Themenbereiche, die in Zusammenhang mit den erforderlichen IT-Landschaften von Organisationseinheiten stehen. Zu den Compliance-Anforderungen in der IT gehören im wesentlichen die Themen Informationssicherheit, Verfügbarkeit, Datenaufbewahrung und Datenschutz. Daraus abgeleitete Aufgaben bzw. Maßnahmen sind die Dokumentation der IT-Ressourcen einschließlich der laufenden Anpassung sowie die Analyse und Bewertung aller Problem- und Gefahrenpotentiale (Risikoanalyse).

Damit eng in Zusammenhang steht der Begriff der IT-Governance. Das Hauptziel von IT-Governance ist es, die Anforderungen an die IT sowie die strategische Bedeutung von IT aus Sicht der Kern- und Führungsprozesse im Unternehmen zu verstehen, um den optimalen Betrieb zur Erreichung der Unternehmensziele sicherzustellen ("strategic alignment"). IT-Governance balanciert damit zwei Bereiche, nämlich das Schaffen von Unternehmenswert und das Minimieren von IT-Risiken. IT-Governance ist also kein Konzept zur Führung einer IT-Organisation, sondern vielmehr ein Konzept um die IT in einem Unternehmen optimal einzusetzen. Damit ist IT-Governance nicht allein Aufgabe der IT-Organisation sondern eine Teilaufgabe der Unternehmensführung.


Was versteht man unter Revisionssicherheit?

Im Zusammenhang mit der elektronischen Archivierung taucht sehr oft der Begriff der „Revisionssicherheit“ auf. Neben gesetzlichen Vorgaben haben auch verschiedene Organisationen und Verbände Regeln bzw. Merksätze zu diesem Thema aufgestellt. Zum besseren Verständnis werden nachfolgend die wesentlichen Leitsätze zur revisionssicheren elektronischen Archivierung aufgelistet[4]:

  • Jedes Dokument muss nach Maßgabe der rechtlichen und organisatorischen Anforderungen ordnungsgemäß aufbewahrt werden.
  • Die Archivierung hat vollständig zu erfolgen – kein Dokument darf auf dem Weg ins Archiv oder im Archiv selbst verloren gehen.
  • Jedes Dokument ist zum organisatorisch frühestmöglichen Zeitpunkt zu archivieren.
  • Jedes Dokument muss mit seinem Original übereinstimmen und unveränderbar archiviert werden.
  • Jedes Dokument darf nur von entsprechend berechtigten Benutzern eingesehen werden.
  • Jedes Dokument muss in angemessener Zeit wiedergefunden und reproduziert werden können.
  • Jedes Dokument darf frühestens nach Ablauf der Aufbewahrungsfrist vernichtet, d.h. aus dem Archiv gelöscht werden.
  • Jede verändernde Aktion im elektronischen Archivsystem muss für Berechtigte nachvollziehbar protokolliert werden.
  • Das gesamte organisatorische und technische Verfahren der Archivierung kann von einem sachverständigen Dritten jederzeit geprüft werden.
  • Bei allen Migrationen und Änderungen im Archivsystem muss die Einhaltung aller zuvor aufgeführten Grundsätze sichergestellt sein.

Eine revisionssichere elektronische Archivierung bezieht sich allerdings nicht nur auf technische Komponenten sondern hat die gesamte Lösung im Fokus. Darunter versteht man sichere Abläufe, die Organisation des Unternehmens, die ordnungsgemäße Nutzung, der sichere Betrieb und der Nachweis dieser Elemente in einer schriftlichen Verfahrensdokumentation. Revisionssichere Archivierung ist daher auch ein wesentlicher Bestandteil der Compliance von Informationssystemen.


EXKURS: Elektronische Rechnungen

Mit der EU-Richtlinie 2010/45/EU zur rechtlichen Gleichstellung von elektronischen Rechnungen mit Papierrechnungen wurden die betrieblichen Prozesse rund um Erstellung, Empfang und Verarbeitung elektronischer Rechnungen wesentlich vereinfacht. Öffentliche Auftraggeber und Vergabestellen sind nach EU-Vorgaben (EU-Richtlinie 2014/55/EU) künftig zur Annahme und Verarbeitung elektronischer Rechnungen verpflichtet. Ziel ist es, nicht nur die Erstellung, Versendung, Übermittlung und Entgegennahme, sondern auch die Verarbeitung von Rechnungen zu automatisieren. Man kann davon ausgehen, dass in wenigen Jahren im B2B-Bereich überwiegend nur mehr elektronische Rechnungen versendet und akzeptiert werden, sofern dies nicht vorher von den Finanzbehörden verpflichtend vorgeschrieben wird, wie dies in einigen Ländern bereits der Fall ist.

  • Papierrechnungen: Die elektronische Archivierung von eingescannten Papierrechnungen (mit anschließender Vernichtung der Originale) ist nur möglich, wenn die elektronisch aufbewahrten Daten im Nachhinein nicht verändert werden können. Die Unveränderbarkeit der gespeicherten Rechnungen kann durch das Zusammenwirken von systemtechnischen und organisatorischen Maßnahmen gewährleistet werden. Es wird dabei ein revisionssicheres Archiv vorausgesetzt, das herstellerseitig keine Eingriffe des Unternehmens bezüglich Unveränderbarkeit und Unlöschbarkeit der Daten zulässt.
  • Elektronische Rechnungen: Nach der österreichischen Rechtslage seit 2013 können einerseits elektronische Rechnungen ausgedruckt und dann wie Papierrechnungen behandelt und abgelegt werden. Andererseits wird man in Zukunft auf den Papierausdruck immer mehr verzichten und die elektronische Rechnung mittels eines elektronischen Workflows durch das Unternehmen schleusen und dann (revisionssicher) elektronisch archivieren. Nach der deutschen Rechtslage müssen elektronische Rechnungen immer verpflichtend (revisionssicher) im Ursprungsformat elektronisch archiviert werden.
  • Rechnung an den Bund: Seit 01.01.2014 gilt in Österreich die verpflichtende elektronische Rechnung (e-Rechnung) an den Bund/Bundesdienststellen bzw. die Bundesbeschaffungsgesellschaft (BBG). Die Rechnung muss im eb-Interface-Format angeliefert werden.



Rechtliche Vorgaben und Regelwerke

Aus der Vielzahl von Rechtsvorschriften und sonstigen Regularien, die Einfluss auf die elektronische Archivierung haben, werden nachfolgend nur einige beispielhaft angeführt:

  • UGB / BAO – Unternehmensgesetzbuch / Bundesabgabenordnung
  • SigG / SigV – Signaturgesetz / Signaturverordnung
  • InfoSig / InfoSiV – Informationssicherheitsgesetz / -verordnung
  • Basel II, Basel III
  • SOX (oder SOA) - Sarbanes-Oxley-Act (USA)
  • 8. EU-Richtlinie (Euro-SOX)
  • GoBD - Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (Deutschland (ab 2015))


CobiT und ITIL

Für die IT-Governance kommen immer mehr Verfahrensmodelle und Frameworks, wie CobiT, ITIL und andere in Gebrauch, die Transparenz und Überprüfbarkeit der IT-Landschaft im Unternehmen ermöglichen sollen und somit auch Einfluss auf das Thema ECM haben:

CobiT (Control Objectives for Information and Related Technology): CobiT ist das international anerkannte Framework zur IT-Governance und gliedert die Aufgaben der IT in Prozesse und Control Objectives. CobiT war ursprünglich als Werkzeug für IT-Prüfer entwickelt worden und hat sich zu einem Werkzeug für die Steuerung der IT aus Unternehmenssicht und für die Sicherstellung der Einhaltung gesetzlicher Anforderungen weiterentwickelt.

ITIL (Infrastructure Library): ITIL ist eine Sammlung von Good Practices, die die für den Betrieb einer IT-Infrastruktur notwendigen Prozesse beschreiben und ist inzwischen international ein De-facto-Standard geworden.



Literatur

Quellen

  1. http://de.wikipedia.org/wiki/Enterprise_Content_Management (30.8.2009)
  2. Siehe dazu auch den Branchenverband AIIM (Association for Information and Image Management) für ECM (http://www.aiim.org) (30.8.2009)
  3. http://de.wikipedia.org/wiki/Enterprise_Content_Management_System (30.8.2009)
  4. http://www.voi.de/phocadownload/voi_merksaetze_der_archivierung.pdf Der VOI - Verband Organisations- und Informationssysteme e.V. ist der Verband der Anbieter für Enterprise Content Management (ECM) und Dokumenten-Management- Systeme (DMS) in Deutschland (30.8.2009)



Weiterführende Literatur

FRÖHLICH, M. / GLASNER, K. (Hrsg.): IT Governance - Leitfaden für eine praxisgerechte Implementierung, Wiesbaden 2007

KAMPFFMEYER, Ulrich: ECM Enterprise Content Management, Hamburg 2006

SCHWALM, Steffen / ULLRICH, Rainer: Lexikon Dokumentenmanagement und Archivierung, Berlin 2008

WECKER G. / van LAAK, H.: Compliance in der Unternehmenspraxis, Wiesbaden 2009

ZÖLLER, Berhard et al.: Dokumenten-Management - vom Archiv zum Enterprise Content Management. Code of Practice, Schriftenreihe des VOI e.V., Juni 2005


Weiterführende Links

SPEHR, Michael: Langzeitarchivierung. Das digitale Daten-Desaster, FAZ 2009 http://www.faz.net/s/Rub4C34FD0B1A7E46B88B0653D6358499FF/Doc~E1360349FD57942A3871D5308C2F149B4~ATpl~Ecommon~Scontent.html


Zitiervorschlag

Bodenwinkler in Höller, Informationsverarbeitung I, Archivieren#Überschrift (mussswiki.idv.edu/iv1)