Archivieren Sie schon oder backup`n Sie nur? So sollten KMU archivieren!
Roland Portmann setzt sich für praktische und wirkungsvolle Mechanismen in der IT-Security ein. Heute werden viele Pseudomethoden eingesetzt und propagiert, wie im Endeffekt kaum etwas bringen und grosse Schäden verursachen können. Als IT-Spezialist arbeitet Roland Portmann bei der Hochschule Luzern, bei SQS als 27001 Fachexperte. Er macht IT-Security Audits und Beratungen bei der isec AG.
Kaum ein Thema wird so kontrovers gehandhabt wie die Archivierung von Dokumenten und Daten. Reicht ein Backup? Braucht es mehr? Sind individuelle Lösungen notwendig? Müssen Emails separat archiviert werden? Und ja, was muss überhaupt archiviert werden? In diesem Blogpost gibt es eine Standortbestimmung und Empfehlungen für KMU.
Archivierung schafft Unsicherheit aufgrund Unwissenheit
Beim Thema der Archivierung besteht vor allem im Umfeld von KMU häufig Unsicherheit. Viele und nicht nur kleinste Unternehmen legen jährlich ein Backup-Band zurück und meinen, damit den rechtlichen Anforderungen genügen zu können. Und jetzt kommt ein Anruf eines Verkäufers von Archivierungslösungen der behauptet, dass aus rechtlichen Gründen zwingend auch jedes Mail aufbewahrt werden muss.
Fragt man einen Juristen, bekommt man häufig eine Aufzählung von Artikeln im OR (957, 961-963), in der HaREGV, in der Verordnung über die Führung und Aufbewahrung von Geschäftsbüchern GeBüV, im Steuerrecht, im Sozialversicherungsrecht, Produktehaftpflichtrecht und MWStG.
In diesen Gesetzen und Verordnungen wird detailliert geregelt, wie man archivieren muss. Man kann auf unveränderbare Informationsträger archivieren, wie beispielsweise «entwickelte Filme» oder WORM (gibt es eigentlich seit längerer Zeit nicht mehr) oder man kann neuerdings (!!) auch auf veränderbare Informationsträger sichern, falls die entsprechenden Voraussetzungen erfüllt sind (z.B. sofortige Signierung aller gescannten Dokumente).
Dann verweisen die Juristen noch auf das Strafrecht, das drastische Strafen aufzählt, falls man nicht ordnungsgemäss archiviert (Unterlassung der Buchführung bis hin zu Urkundenfälschung). Was ist nun im KMU-Umfeld notwendig bzw. sinnvoll?
Klar ist: Nur Backup reicht nicht!
Die Verwendung eines Backuptapes ist definitiv problematisch. Der Zweck eines Backups ist primär sicherzustellen, dass bei einem Verlust von Daten eine möglichst zeitnahe Wiederherstellung dieser Daten sichergestellt wird. Ein jährliches Zurücklegen eines Backupbandes als Archiv ist aus mehreren Gründen problematisch:
-
Kaum eine Firma ist in der Lage ein 10-jähriges Band noch zu lesen (Man betreibt nach ein paar Jahren eine aktuellere Technologie). Und dies nicht nur in der Hardware, sondern auch in der Software – die Rückwärtskompatibilität ist meistens nur über eine zwei Generationen Technologie und Software gewährleistet. Zudem kann die geforderte «regelmässige Überprüfung auf Integrität und Lesbarkeit» kaum durchgeführt werden. Ich kenne auf jeden Fall keine Firma, die das je mit einem alten Backup-Tape gemacht hat.
-
Daten können zum Jahresende bereits gelöscht sein, so dass das «Archiv» (Backuptape) nicht vollständig ist.
-
Es kann sehr mühsam sein, die gewünschten Daten zu extrahieren, da beispielsweise die relevanten Daten häufig in einer Datenbank gehalten werden, die mit den aktuellen Datenbanken-Systemen nicht mehr verwendet werden können. Dies gilt insbesondere für Mails.
Email-Archivierung immer den Projekten zugeordnet
Während die Archivierung der Buchhaltung bei kleineren Firmen noch problemlos auf die herkömmliche Art und Weise (in Papierform) gemacht werden kann, ist heute die Archivierung der Geschäftskorrespondenz vielfach das eigentliche Problem, da ein grosser Teil der Geschäftskorrespondenz über Mail abgewickelt wird. Die vielfach propagierte automatische Archivierung aller Emails kann aber problematisch sein:
-
Nur ein kleiner Prozentsatz aller Mails gehören zur zu archivierenden Geschäftskorrespondenz. Das elektronische Archiv wird also aufgebläht und unübersichtlich und enthält vor allem Dinge die da gar nicht hingehören.
-
Gesetzlich ist eigentlich vorgeschrieben, dass die relevanten geschäftlichen Emails direkt Projekten (dem Geschäftsfall) zugeordnet werden müssen. Mit der automatischen Zuordnung zu den Geschäftsfällen sind viele der angebotenen Produkte aber überfordert.
-
Vielfach wird das Email-System des Unternehmens von den Mitarbeitern auch für private Zwecke benützt. Hier kann es bei einer vollständigen Archivierung aller Mails zu Datenschutzproblemen kommen. Insbesondere dann auch mit der neuen DVSGO bzw. GDPR.
Die Lösung liegt in der generellen Daten- und Informationsverwaltung
Bevor man sich mit den Problemen der Archivierung auseinandersetzt, ist es daher heute sinnvoll, sich darüber Gedanken zu machen, wie innerhalb der Firma die Informationen generell verwaltet werden. Vielfach werden die Informationen in verschiedenen Systemen bzw. unterschiedlichen Strukturen (auf File-Systemen) gehalten. In vielen Firmen kann der Einsatz eines Dokumentenverwaltungssystems sinnvoll sein. Viele Systeme unterstützen neben der Verwaltung aller Arten von elektronischen Dokumente auch das Scanning von Papier-Dokumenten.
Relevante Emails können vom Mail-Client aus direkt dem Geschäftsfall zugeordnet werden. Der Einsatz eines Dokumentenverwaltungssystems kann auch grosse operative Vorteile bringen. Insbesondere gewinnt man räumliche Unabhängigkeit (Home Office).
Die meisten Dokumentenverwaltungssysteme unterstützen auch eine Archivierung. Inwieweit eine solche Archivierungslösung die rechtlichen Anforderungen erfüllt, muss aber im Zweifelsfall geklärt werden. Vielfach wird hier ein Jurist Kriterien finden, die von einem geplanten Archivierungssystem nicht erfüllt werden, obwohl das geplante System einen bedeutend besseren Zugriff auf archivierte Dokumente bietet als das bisher praktizierte Zurücklegen des Backup-Bandes.
Das Problem liegt darin, dass vom Gesetz her Methoden vorgegeben werden, die aus operativen und technischen Gründen für KMU-Betriebe sehr schwierig umzusetzen sind (Beispiele: Schreiben auf Archiv-Datenträger, automatische Signierung von PDF usw.).
Es kann daher also durchaus sinnvoll sein, ein Konzept umzusetzen, das aus operativer Sicht funktioniert, von allen Revisionsgesellschaften akzeptiert wird, aber nicht alle gesetzlichen Anforderungen zu 100% umsetzt. Hier muss man sich auch immer wieder bewusst sein, dass das vielfach praktizierte Zurücklegen eines Backup-Bandes viele rechtliche Anforderungen nicht korrekt umsetzt, aber von praktisch allen Revisionsgesellschaften akzeptiert wird.
Jede Firma sollte sich die Art und Weise der Archivierung von wichtigen Dokumenten und Informationen überlegen und dies schriftlich in einem Konzept festhalten. Dabei sind vor allem die operativen Anforderungen zu berücksichtigen.
Dokumentenverwaltung mit integrierter Archivierung
Beachten Sie also bei der Digitalisierung der Archivprozesse, dass nicht nur Teilprobleme gelöst werden. Es sind operative, sicherheitstechnische, aber auch rechtliche Aspekte zu berücksichtigen. Mit der Aufbewahrung eines Backuptapes während 10 Jahren erfüllt man die Archivierungspflicht kaum.
Eine isolierte Archivierung aller Emails bringt meisten kaum einen sinnvollen Nutzen, verbessert die rechtliche Lage in den wenigsten Fällen und kann durch das Datenschutzgesetz andere Probleme schaffen. Prüfen Sie den Einsatz einer Dokumentenverwaltung mit integrierter Archivierung. Dies bringt grosse operative Vorteile. Dazu kann man in vielen Fällen dann auch auf ein physisches Archiv verzichten.