Archivsystem aufbauen – Schritt für Schritt
Archivierungsstrategie

Data & StorageIT-ManagementIT-ProjekteNetzwerk-ManagementNetzwerkePolitikRechtSicherheitSicherheitsmanagementStorage

Um die digitale Archivierung wichtiger Daten kommen Firmen nicht herum, schließlich sind sie per Gesetzt dazu verpflichtet. Doch wie geht man beim Aufbau eines Archivsystems am besten vor? Ein Wegweiser.

Welche Daten müssen und sollen gespeichert werden?

Archivsystem aufbauen – Schritt für Schritt

Das folgende Handlungsschema soll in einfachster Form dabei helfen, Schritt für Schritt ein geeignetes Archivsystem für die Geschäftsdaten einzurichten, ohne dabei den Überblick zu verlieren. Es empfiehlt sich, daraus ein individuelles Pflichtenheft zu erstellen und die Archivierung umfassend zu dokumentieren, so dass Abläufe und Strukturen für nachfolgend im Unternehmen Verantwortliche jederzeit transparent sind.

1. Schritt: Prüfung der geltenden Bestimmungen

Informieren Sie sich über die für Ihre Berufs- und Geschäftstätigkeit geltenden gesetzlichen Regelungen. Sie sollten gut bescheid wissen, welche Pflichten Sie erfüllen müssen und welche Daten Sie wie lange speichern müssen. Dabei hilft Ihnen auch unsere Übersicht über Aufbewahrungsvorschriften.

2. Schritt: Feststellung der sicherungspflichtigen Daten

Nachdem Sie sich mit den Gesetzen und Berufsordnungen vertraut gemacht haben, leiten Sie aus diesen ab, welche Daten Sie langfristig zu archivieren verpflichtet sind. Qualifizierte Signaturen machen aus Ihren Datenbeständen urkundliche Dokumente, die auch Beweiskraft besitzen. Grundsätzlich sollten Sie alle für den Geschäftsverkehr notwendigen Daten aufbewahren, damit die Finanzbehörden ungehindert eine Betriebsprüfung auf elektronischem Wege durchführen können. Aufbewahrungspflichten für weitere Dokumente ergeben sich zum Beispiel aus den Berufsordnungen.

3. Schritt: Feststellung der sicherungswürdigen Daten

Stellen Sie fest, welche Datenbestände Sie aus eigenem Geschäftsinteresse beweis- oder revisionssicher archivieren wollen, beispielsweise um erbrachte Leistungen auch langfristig nachweisen zu können. Auch wenn der Gesetzgeber für zahlreiche betriebsinterne Dokumente keine Aufbewahrungspflicht vorsieht, kann sich diese aus dem Geschäftsinteresse des Unternehmens ergeben. Daher sollten Sie für alle Abteilungen und Hierarchien festlegen, welche Dokumente in die Archivierung einzubeziehen sind. Daneben macht es häufig Sinn, weitere Unterlagen zu archivieren, zum Beispiel auch ältere technische und Prozessdokumentationen, betriebsinterne Analysen, Marktzahlen oder Designvorlagen.


Archivierungsstrategie festlegen

Archivsystem aufbauen – Schritt für Schritt

4. Schritt: Bestimmung der Anforderungen an die Aufbewahrung

Wie lange die einzelnen Dokumenttypen und Dokumentinhalte archiviert werden müssen, hängt primär von den gesetzlichen Bestimmungen (Pflicht) sowie von Inhalt und Aufbewahrungszweck ab. Sekundär von Ihren individuellen Bedürfnissen (Kür). Unsere Übersicht gültiger Archivierungsfristen informiert Sie von A bis Z darüber, welche Schriftstücke Sie wie lange sichern müssen.

Grundsätzlich müssen die archivierten Daten so lange verkehrsfähig bleiben, wie dies deren Aufbewahrungspflicht vorsieht. Verkehrsfähig bedeutet, dass die Dokumente ohne großen Aufwand auch von Dritten (zum Beispiel der Finanzbehörde) maschinell lesbar und auszudrucken sind. Sie müssen in Bild und Inhalt mit dem Original übereinstimmen, unverändert und vor Manipulationen geschützt sowie vollständig sein. Das schließt zum Beispiel bei automatisch erstellten Rechnungen Stamm- und Bewegtdaten ein, also auch Briefbögen und Designs, die sich im Laufe der Geschäftstätigkeit ändern können.

5. Schritt: Archivierungsstrategie

Auf Basis der Schritte 1 bis 4 und den daraus resultierenden Erkenntnissen können Sie jetzt eine Strategie für die Aufbewahrung Ihrer Daten ableiten. Fragen, die Sie in diesem Zusammenhang auch berücksichtigen sollten, sind zum Beispiel:

Wie kategorisieren Sie Ihre aufzubewahrenden Daten? Archivieren Sie Ihre Geschäftsdaten pauschal oder mit für jede Kategorie individuellen Parametern? Ist es bei einigen Dokumenten sinnvoll, diese in gedruckter und digitaler Form aufzubewahren oder reicht ein vollständig digitales Archiv, in das gegebenenfalls gescannte Unterlagen integriert werden müssen? Wie könnte eine ganzheitliche Archivierungsstrategie aussehen, die als organisatorische Einheit im Sinne einer web-basierten Wertschöpfungskette fungiert? Wie lassen sich Dokumenten-Management, Workflow-Management, Signatur-Management, Backup- und Sicherungsmanagement mit den sonstigen Geschäftsprozessen verbinden? In welcher Form werden die Archivdaten signiert, mit Zeitstempel versehen und inklusive Signatur und Dokumentation aktualisiert? Wie läuft der Prozess der Archivierung und Signierung ab?

Am Ende Ihrer Überlegungen sollte ein Prozess- und Strukturmodell stehen, das Ihnen bei den folgenden Schritten hilft.


Auswahl der passenden Technik

Archivsystem aufbauen – Schritt für Schritt

6. Schritt: Auswahl der technischen Mittel

Unabdingbar für ein funktionierendes Archivsystem, das langfristig beweiskräftige Dokumente beinhaltet, ist das Vertrauen in die eingesetzte Technik. Der Gesetzgeber macht hier keine Vorgaben und verhält sich technikneutral. Einzige Ausnahme ist der Einsatz digitaler Signaturen.

Die technischen Sicherungsmittel sollten aber ideal auf Ihre Anforderungen abgestimmt sein. Das heißt, Hardware und Software müssen Unternehmensgröße, Datenaufkommen, Prozesskomplexität, notwendiger Interoperabilität, dauerhafter und schneller Verfügbarkeit, Ausfallsicherheit entsprechen.

Grundsätzlich lassen sich drei Typen von Sicherungsmitteln unterscheiden: Systembezogene Sicherungsmittel besorgen zum Beispiel eine individuelle Konfiguration des Archivsystems, beschränken den Zugriff auf Daten und statten Benutzer mit dezidierten Berechtigungen aus.

Datenträgerbezogene Sicherungsmittel manifestieren sich in den verwendeten Datenträgermedien wie zum Beispiel CD-/DVD-ROMs, Magnetbänder, WORMs, aber auch Papier oder Lochkarten. Für die beweissichere Archivierung empfehlen sich indes Medien, die die nachträgliche Veränderung der Daten ausschließen (ROMs und WORMs).

Dokumentbezogene Sicherungsmittel schützen das Dokument selbst vor Veränderung, etwa durch Verschlüsselung. Signaturen schützen zwar nicht das Dokument, belegen jedoch dessen Unversehrtheit und Authentizität. Verschlüsselung und Signaturen helfen Archivaren dabei, dass Dokumente auch nach Verlassen des Archivsystems ihren Schutz und Beweiswert behalten.

Leitfragen bei der Wahl einzusetzender Sicherungsmittel sind vor allem: Langzeittauglichkeit, Kumulationsfähigkeit, Aktualisierbarkeit, Kompatibilität, Standardisierung, Wirtschaftlichkeit, Nutzerfreundlichkeit und Risikoabwägung.

7. Schritt: Aktualisierungs-, Prüf- und Kontrollprozesse

Bevor das Archivsystem im Produktivbetrieb eingesetzt werden kann, sollten Fragen der regelmäßigen Aktualisierung und Überprüfung der Datenbestände inklusive der Signaturen beantwortet werden. Laut Signaturverordnung § 17 müssen über lange Zeit archivierte Daten, um ihre Beweiskraft zu erhalten, dann erneut qualifiziert signiert werden, wenn die genutzte Signatur nicht mehr geeignet, sprich veraltet ist. Die entsprechenden Algorithmen veröffentlicht die Bundesnetzagentur regelmäßig im Bundesanzeiger und auf ihrer Webseite unter Telekommunikation/Elektronische Signatur und Geeignete Algorithmen. Den aktuellen Entwurf für 2008 gibt es unter www.bundesnetzagentur.de/media/archive/12198.pdf. Bei der erneuten Signierung ist zu beachten, dass diese das Originaldokument, ältere Signaturen sowie einen qualifizierten Zeitstempel beinhaltet.

Wichtig ist zudem, einen qualifizierten Transformationsprozess zu definieren, um Dokumente in veralteten Dateiformaten rechtssicher konvertieren zu können. Nur dann sind diese weiterhin leicht lesbar und zugleich beweiskräftig, wenn das Ausgangsdokument samt Inhalt und Signaturen nach definierten Regeln konvertiert und tran
sformiert wird. Das Zieldokument muss neben dem konvertierten vollständigen Ausgangsdokument zudem einen Transformationsbericht inklusive Transformationsregeln, Signaturdaten sowie Protokolle und Prüfdaten beinhalten. Ein zusätzliches Transformationssiegel qualifiziert das neue Dokument abschließend. Diesem Prozess folgt das TransiDoc-Projekt.

Schlussendlich muss im Unternehmen dezidiert geregelt sein, welche Personen überhaupt Zugriff auf die Archivierungs- und Signaturkette haben und regelmäßige Kontrollen durchführen, den reibungslosen Ablauf, die vollständige Archivierung und die Aktualität des Systems prüfen. Ein voll automatisierter rechtssicherer Transformationsprozess existiert derzeit noch nicht. Auch das Einscannen von Papierdokumenten macht persönliche Kontrollen notwendig.


Die Umsetzung

Archivsystem aufbauen – Schritt für Schritt

8. Implementierung und Prozessintegration

Aufbau der technischen Infrastruktur sowie Implementierung der Archivierungsprozesse in die Unternehmenswertschöpfung bedeuten je nach Firmengröße einen unterschiedlich hohen Aufwand. Umfassende Probeläufe müssen die Funktions- und Ausfallsicherheit des Archivsystems unter Beweis stellen, bevor der Einsatz im Produktionsnetzwerk erfolgen kann. Mitarbeiter, die für die Archivierung und das Archivsystem verantwortlich sind, sollten rechtzeitig geschult und der Workflow eingeübt werden.

Während der Aufwand bei Freiberuflern meist so überschaubar ist, dass diese ihr System selbständig einrichten können, sind KMU und größere Firmen auf externe Dienstleister, Berater oder – falls vorhanden – eigene Abteilungen angewiesen. Dann sind umfassende Pflichtenhefte und Dokumentationen sowie rechtssichere Verträge unbedingt erforderlich.

9. Schritt: Sichere Löschverfahren

Das Löschen von Dokumenten mag das Gegenteil des Archivierens sein, hängt mit diesem jedoch direkt zusammen. Denn sobald Datenbestände nachweislich nicht mehr benötigt werden oder gar vernichtet werden müssen, gilt es zu klären, welche Methode die Daten unwiederbringlich löscht. Neben dem Einsatz von Degaussern, Schreddern oder Schmelzöfen, bieten sich Löschverfahren an, die den Datenträger erhalten, aber die Informationen darauf sicher entfernen. So genannte Sanitizing-Software überschreibt alle Sektoren zum Beispiel von Festplatten inklusive Bootsektoren mit einer bestimmten Zeichenfolge. Die Gutmann-Methode wiederholt diesen Vorgang 35mal und gilt als absolut sicher für magnetische Speichermedien. Nur einmal beschreibbare Medien müssen zerstört werden. Für CD- und DVD-ROMs eignen sich schon einfache Schredder.

10. Dokumentation

Dass die Dokumentation am Ende dieser Liste steht, soll nicht über deren Bedeutung hinwegtäuschen. Dokumentieren Sie von Anfang an den Aufbau Ihres Archivs, die gesetzlichen Pflichten, denen Sie unterliegen, die Kriterien für die Auswahl der technischen Sicherungsmittel, Konfigurationsdaten, Prozesse und Verantwortlichkeiten. Legen Sie die Dokumentation so an, dass diese regelmäßig ergänzt und aktualisiert werden kann. Nur eine mustergültige Dokumentation stellt sicher, dass die Archivierung auch nach dem Weggang verantwortlicher Mitarbeiter gewährleistet, aktualisier- und überprüfbar bleibt.

Mehr zum Thema Digitale Langzeitarchivierung
Der Nutzen digitaler Langzeitarchivierung
Speicherpflichten und Strafen
Aufbau eines Archivsystems – Schritt für Schritt (dieser Artikel)
Die richtige Archivierungssoftware
Speichermedien im Vergleich