Archive, Formate, Medien, Revisionssicherheit
Ratgeber: Was ist was bei der Archivierung?
Heute müssen Unternehmen immer mehr elektronisch erzeugte, verarbeitete und gespeicherte Dokumente und Daten langfristig archivieren. Die Geschäftsdaten sollten dabei dauerhaft und applikationsneutral archiviert und so gespeichert werden, dass sie autark und über den gesamten Document-Lifecycle lesbar sind.
Das ist aus zwei Gründen wichtig: Zum einen hat jedes Unternehmen seine internen Compliance-Regeln und regulatorischen Anforderungen, die zum Teil auch branchenspezifisch sind. Zum anderen gibt es die vom Gesetzgeber verlangten Aufbewahrungspflichten. Im öffentlichen Bereich etwa müssen Daten über mindestens 70 Jahre vorgehalten werden.
Zurzeit gibt es zwar nur wenige Segmente wie das Sozialgesetzbuch, in denen die Archivierung elektronischer Unterlagen gesetzlich geregelt ist. Der Gesetzgeber spricht aber ganz klar von einer allgemeinen Aufbewahrungspflicht, der Unternehmen und öffentliche Verwaltungen nachkommen müssen - egal, ob die Dokumente in Papierform oder digital vorliegen.
Langzeitarchivierung und revisionssichere Archivierung
Mit digitaler Archivierung ist allgemein die datenbankgestützte, langfristige und sichere Speicherung von Daten gemeint. Die Informationen müssen stabil und geschützt aufbewahrt werden und reproduzierbar sein. Von Langzeitarchivierung spricht man, wenn die Dokumente mindestens zehn Jahre gespeichert werden sollen.
Die revisionssichere Archivierung geht noch einen Schritt weiter und verschärft die Anforderungen - wie etwa, dass die Daten auf dem Archivträger unveränderbar zu speichern sind.
- Tipp 1:
Archivierte Daten sollten aus Sicherheitsgründen alle fünf Jahre umkopiert werden. Das gilt auch für optische Speichermedien, die laut Hersteller eine längere Speicherdauer ermöglichen. - Tipp 11:
Meta-Daten müssen in einem Format gespeichert werden, das für Langzeitarchivierung ausgelegt ist, etwa PREMIS. Zudem sind Arbeitsabläufe so zu gestalten, dass alle Dokumente mit Meta-Daten versehen und indiziert werden. - Tipp 8:
Sicherheitsfunktionen sind ebenfalls zu prüfen, etwa wie Datentransfers innerhalb und außerhalb des Systems abgesichert werden (Verschlüsselung) und welche gesetzlichen Vorgaben das System erfüllt (Datenschutz). Hier spielt auch das Patch-Management eine wichtige Rolle. - Tipp 7:
Installation und Konfigurationsprozesse eines Archivierungssystems sollten Unternehmen kritisch unter die Lupe nehmen, speziell Faktoren wie Benutzerfreundlichkeit, die Anpassung an die vorhandene IT-Infrastruktur und die bestehenden Arbeitsprozesse. Auch die Dokumentation und der Support sind dabei zu berücksichtigen. - Tipp 6:
Vor der Anschaffung einer Archivlösung sind die Systemvoraussetzungen zu ermitteln: unterstützte Betriebssysteme, Datenbanken, Speichermedien und -systeme und Netzwerkkomponenten. - Tipp 5:
Nach jedem Umkopieren der Daten ist zu prüfen, ob die Meta-Daten vollständig sind. Diese müssen gegebenenfalls ergänzt werden. - Tipp 4:
Damit auch nach einem Brand oder Wasserschaden ein Satz der archivierten Daten zur Verfügung steht, sollte eine Kopie der Informationen an einem zweiten Standort gelagert werden. Dies kann auch im Rechenzentrum eines externen Dienstleisters erfolgen. - Tipp 3:
Daten sollten auf mindestens zwei unterschiedlichen Medien gespeichert werden, etwa einem Magnetband und optischen Speichermedien oder einem CAS-Storage-System. Im Vorfeld ist zu prüfen, ob die eingesetzte Archivierungslösung eine redundante Speicherung erlaubt, und zwar auch auf technisch unterschiedlicher Hardware und in räumlich getrennten Systemen. - Tipp 2:
Ähnlich wie beim Erstellen von Backups ist es sinnvoll, nach dem Umkopieren zu testen, ob die Daten fehlerfrei übermittelt wurden. - Tipp 12:
Unternehmen sollten ferner eine Risikovorsorge treffen und eine Exit-Strategie entwickeln: Sicherzustellen ist unter anderem, dass sich Daten komplett exportieren und wiederherstellen lassen, wenn eine Archivierungssoftware nicht mehr zur Verfügung steht oder der Anbieter gewechselt wird. Eine zentrale Rolle spielen hierbei die Datenexportformate. - Tipp 10:
Datentypen: Nur solche Formate sollten verwendet werden, die für die Langzeitarchivierung freigegeben wurden, etwa PFD/A, TIFF, JPEG, SGML und XML. Das Archivierungssystem muss die automatisierte Umwandlung anderer Formate, etwa .doc oder .xslx, in diese Standardformate unterstützen. Sollen auch Audio-/Videomaterialien oder digitale Akten archiviert werden, muss das Archivierungssystem auch dafür einen Workflow anbieten. - Tipp 9:
Schnittstellen und Interoperabilität: Wichtig sind Schnittstellen zu Tools, etwa für die Migration von Daten, sowie die Verträglichkeit mit selbst erstellten Scripts. Ein zentraler Punkt sind Standardschnittstellen für den Import und Export von Daten und Meta-Daten. Herstellerspezifische Ansätze führen zu einem "Vendor-Lock-in".
Die revisionssichere Archivierung verlangt insbesondere, bestimmten gesetzlichen Vorgaben zu genügen. Das sind hauptsächlich die Forderungen, wie sie das Handelgesetzbuch (HGB), die Abgabenordnung (AO) und die Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS) beschreiben.
Aus dem HGB lassen sich zehn Merkmale der revisionssicheren Archivierung ableiten. Die wichtigsten davon sind:
Jedes Dokument muss unverändert (originär) und unveränderbar gespeichert werden.
Jedes Dokument muss so, wie es erfasst wurde, wieder angezeigt und ausgedruckt werden können.
Jedes Dokument muss durch eine Suche zeitnah wieder auffindbar sein.
Migrationen beispielsweise auf neue Plattformen oder Medien müssen ohne inhaltliche Informationsverluste erfolgen.
Alle Aktionen im Archiv werden aus Gründen der Nachvollziehbarkeit protokolliert.