Management elektronischer Archivierung und die Software ESCROW Lösung

Bonn, 15.10.2013 - Elektronische Archivierung

Die elektronische Archivierung ist ein Thema, das sehr viele Unternehmen aus Wirtschaft und Industrie wie auch Bundes- und Landesverwaltungen beschäftigt. Zum einen, weil zwischenzeitlich die notwendigen gesetzlichen Bestimmungen zur rechtsgültigen Erstellung und Aufbewahrung elektronischer Dokumente erlassen wurden. Zum anderen, weil für viele Unternehmen und Verwaltungen die lückenlose elektronische Bearbeitung von Dokumenten während ihres ganzen Lebenszyklus aus Kostengründen sehr attraktiv ist.

Von den vorhandenen gesetzlichen Grundlagen sind speziell die elektronische Buchführung (Finanzbuchhaltung und Betriebsbuchhaltung) inkl. der elektronischen Aufbewahrung der Bücher und der dazugehörenden Belege zu erwähnen. Ferner die Möglichkeit der elektronischen Rechnungsstellung, welche von den Steuerbehörden akzeptiert wird und der Abschluss von Verträgen in schriftlicher Form auf digitalem Weg.

Anforderungen an die elektronische Archivierung

Die wichtigste Herausforderung bei der Archivierung ist die Festlegung der organisatorischen und verfahrenstechnischen Anforderungen, um die Beweiskraft der elektronischen Daten und Dokumente während der gesamten Dauer der Aufbewahrung sicherstellen zu können. Technisch ist zu beachten, dass die digitalen Dokumente schon in einer Art und Weise erstellt werden, die auf einfache und kostengünstige Art über mehrere Jahre eine beweisgültige Archivierung ermöglichen. Dabei muss vorerst der Ursprung, dass heißt die ursprüngliche, grundsätzliche, korrekte Erstellung des digitalen Dokumentes nachgewiesen werden. Die wesentlichen Elemente sind hier die Integrität, die Nichtbestreitbarkeit von Versand, Empfang und die Authentizität. Wird zur Absicherung die Signatur eingesetzt, ist es wichtig, dass diese als solche wiederum auf Integrität, Authentizität und Berechtigung zu prüfen ist und damit verbunden das zugrundeliegende Zertifikat oder der mitverwendete Zeitstempel .

Werden anderen Methoden als die Signatur zur sicheren Archivierung verwendet, sind wieder andere Elemente für kontinuierliche Sicherheit zu beachten. Während der Aufbewahrung muss das gesamte Datenverarbeitungsverfahren sicherstellen, dass die Dokumente in nachweisbarer Beweisqualität die ganze Zeit über verfügbar sind. Damit dieses Ziel erreicht werden kann, ist eine Vielzahl von Vorkehrungen notwendig, welche in den verschiedenen gesetzlichen Grundlagen oder Selbstregulierungen gefordert werden. Dazu zählen neben der Verfügbarkeit der Daten die Verfügbarkeit der Software, mit der die Daten lesbar gemacht werden können, und die Verfügbarkeit der Hardware, respektive der Lesegeräte.

Das verwendete Verfahren zur elektronischen Archivierung muss grundsätzlich dokumentiert werden, sowohl von der Sache her (Systematik der Ablage, Datenbestände, Verarbeitungsregeln, Schnittstellen zu anderen Systemen etc.) als auch von der technischen Seite her (verwendete Software, Releasestand, verwendete Tabellen etc.). Zudem sind die notwendigen Prozesse für den Anwender in Form von Arbeitsanweisungen festzuhalten.

Um die Beweisqualität über mehrere Jahre sicherzustellen, müssen Daten eventuell umkopiert oder konvertiert werden. Solche Vorgänge sind detailliert zu dokumentieren. Die Beweisqualität wird auch dadurch sichergestellt, dass auch die kleinste Veränderung dokumentiert wird und die Daten während der ganzen Aufbewahrungsdauer innerhalb einer vereinbarten Frist wieder in ausgedruckter Form lesbar gemacht werden können.

Es stellt sich aber die Frage, ob die reine Dokumentation von Veränderungen genügt, oder ob ergänzend nicht noch Stichproben die Vollständigkeit und ausreichende Überführung oder Konvertierung belegen sollen.

Restrisiko

Auch bei sorgfältigster Einhaltung der Anforderungen an die elektronische Archivierung verbunden mit der Umsetzung von IT-Governance gibt es immer wieder Situationen, die einen Zugriff auf beweistauglich archivierte Daten unmöglich machen. Ein Beispiel soll dieses verdeutlichen. Es wurden Daten auf einer CD oder DVD abgespeichert, und diese wurde korrekt in einem Tresor aufbewahrt. Der spätere Versuch, auf die Daten zuzugreifen, war aber n nicht möglich.

Die Prüfung ergab, dass die Beschriftung auf der Oberfläche des Datenträger (verwendete Methode und Farbe) bewirkt hatte, dass diese in den Datenträger eindrang, ihn zerstörte und die Daten unlesbar machte. Die Auswirkungen der verwendeten Beschriftung waren zum Zeitpunkt der CD/DVD Erstellung nicht bekannt, im Gegenteil, es war ein sehr verbreitetes Verfahren.

Um auf gespeicherte Daten zugreifen zu können und diese wieder lesbar zu machen, muss Software mitverwendet werden. Die dafür notwendige Software (Applikationssoftware, Betriebssysteme, Bibliotheken, Framework, Datenbankrelease etc.) war in der notwendigen Version nicht mehr vorhanden. Dieses war möglich, weil man vergessen hatte, die dazu gültige Version für Archivzwecke zu lizenzieren oder weil die notwendigen Lizenzen wegen Kündigung oder Konkurs des Software-hauses nicht mehr verfügbar oder auch nicht mehr gültig waren.

Mit den Daten wurden auch Lesegeräte, das heisst sämtliche notwendige Hardware, archiviert. Beim Versuch, auf die Daten zuzugreifen und diese wieder lesbar zu machen, stellte sich heraus, dass die Hardware nicht mehr funktionierte (Stillstandsschäden oder ähnliches). Ersatzteile oder Ersatzgeräte waren aber nirgends mehr zu beschaffen.

Um die Daten in beweisbarer Qualität wieder lesbar zu machen, musste auf die Dokumentation zurückgegriffen werden. Bei der Lektüre und Analyse der Dokumentation stellte sich heraus, dass diese in wenigen, aber doch wesentlichen, Punkten, wie beispielsweise Passwörter, ungenügend waren. Dass diese Erläuterungen aus heutiger Sicht zur Verfahrensdokumentation, beispielsweise Prüfbarkeit sehr wichtig sind, war zu der Zeit nicht bekannt.

Die oben aufgeführten Beispiele lassen sich sicher beliebig fortführen. Dabei ist allen gemeinsam, dass im Rahmen der Archivierung in gutem Glauben sämtliche gesetzlichen Anforderungen eingehalten wurden und sich nachträglich wider Erwarten Probleme ergeben haben.

Konsequenzen der Beweislosigkeit

Wenn es auf Grund eines technischen oder organisatorischen Problems nicht mehr möglich ist, auf archivierte Daten zuzugreifen oder die Beweistauglichkeit archivierter Daten nachzuweisen, ist die Folge Beweislosigkeit. Die Konsequenzen der Beweislosigkeit sind dieselben, wie das Fehlen eines Rechtsanspruches. Konkret heißt dies, dass die beweislose juristische oder natürliche Person rechtlich mit denselben Konsequenzen konfrontiert wird, wie wenn sie gar nicht zu diesem elektronischen Dokument bzw. elektronischen Daten gelangt wäre, weil die Lebensdauer nicht bekannt war oder wenn sie sich die Mühe der Archivierung gar nicht gemacht hätte. Dies ist mit Kostenfolgen verbunden, man denke nur an mögliche Forderungen oder Nachforderungen der Finanzbehörden, der Sozialversicherungen, von Lieferanten, Arbeitnehmern oder weiteren potenziellen Gläubigern. Aber auch der (vielleicht erfolglose) Versuch, den Zugriff auf beweistaugliche Daten irgendwie wieder zu erlangen, ist mit hohen Kosten verbunden.

Verantwortlichkeiten für die Folgen der Beweislosigkeit

In erster Linie ist es sicher Aufgabe der Führungsorgane auf jeder Stufe sicherzustellen, dass eine rechtsgültige elektronische Archivierung dauernd sichergestellt werden kann. Dies impliziert die notwendigen Zielsetzungen und entsprechenden Maßnahmen und Mittel auf der strategischen und operativen Führungsebene. Da die strategische Führung letztlich die Gesamtverantwortung trägt, sollten Archivierungsfragen Eingang in IT-Governance Konzepte finden. Diesbezügliche mangelnde Sorgfalt führt zu persönlicher Haftung der Führungsverantwortlichen (Entwicklungsleitung und Geschäftsführung).

Auch die operativ mit der Archivierung betreuten Personen, welche hierfür verantwortlich sind, können für die Verletzung ihrer Pflichten belangt werden. Archivierungskonzepte und Systeme werden in der Regel von spezialisierten Anbietern eingeführt. Liegt der Grund für die entstandenen Probleme bei einer unzureichend durchgeführten Leistung, kann (beim Vorliegen klarer und guter Verträge!) auf diese Unternehmen zurückgegriffen werden. Ergibt sich ein Problem, dass auch bei der Einhaltung maximaler Führungs- und Arbeitssorgfalt, von einem Spezialisten nicht voraussehbar war, so wird dieser Schaden vom Unternehmen selber getragen werden müssen.

Escrow-Risiko-Management

Um das Risiko von Beweislosigkeit zu verringern, drängen sich ergänzende weitere Maßnahmen auf. Eine mögliche Lösung dieser Probleme wäre der Abschluss von Escrow-Agreements, analog der bekannten Modelle, bei denen unter bestimmten Voraussetzungen (beispielsweise Konkurs eines Softwarelieferanten) auf Quellcodes etc. zugegriffen werden kann. Es kann Sinn machen, Notfall-Escrow-Regelungen für Archivierungsfragen, verbunden mit Risikoprophylaxe-Maßnahmen zu installieren. Ein auf Archivierung spezialisiertes Unternehmung mit spezifischem Know-how in technischen und rechtlichen Fragen, müsste gegen Entgelt folgende Dienstleistungen erbringen:

Aufbewahrung sämtlicher verwendeter Software (Betriebssystem, Applikationssoftware, Datenbankversionen etc.) in kompilierter und nicht kompilierter (Source-Code) Form inklusiv Dokumentation, welche für einen Zugriff notwendig ist.

Kontrolle und Aufbewahrung sämtlicher Dokumentationen (Konvertierungen, Emulationen, Prüfpfad etc.). Aufbewahrung und Wartung, regelmäßige Inbetriebnahme von Hardware und Datenträgern, um rechtzeitig Probleme feststellen zu können. Damit der Archivierungs-Escrow-Spezialist diese Aufgaben erfüllen kann, müsste er den regelmäßigen und physischen Zugriff auf alle notwendigen Komponenten haben. Zudem muss ihm vertraglich das Recht eingeräumt werden (Lizenzen), diese Tätigkeiten auszuführen. Darauf muss bei der Verhandlung von ESCROW Verträgen mit den verschiedenen Archivierungsanbietern (Hardware und Software) geachtet werden.

Zusammenfassung

Zusammenfassend kann Folgendes festgehalten werden: Die Erstellung und Aufbewahrung elektronischer Dokumente ist aufgrund von immer mehr Gesetzen möglich und in wirtschaftlicher Hinsicht attraktiv. Um die Beweistauglichkeit der archivierten Dokumente von der Erstellung bis zum Ende der Aufbewahrungsdauer sicherzustellen, ist eine Vielfalt von technischen und organisatorischen Anforderungen einzuhalten.

Kann auf ein elektronisches Dokument nicht mehr zugegriffen werden oder verliert es die Beweistauglichkeit, entstehen für das betroffene Unternehmen sehr hohe Kosten. Das Risiko der Beweislosigkeit kann mit spezifischen Escrow-Management-Vorkehrungen verringert werden.

Quelle: Auszug aus einem Artikel in der Zeitschrift Informatik-Spektrum der deutschen Gesellschaft für Informatik, von Rechtsanwältin Ursula Sury, Dozentin für Informatikrecht und Datenschutz an der Hochschule für Wirtschaft in Luzern (CH).

• Über Software Escrow International GmbH
• Weitere Meldungen
• Diesen Pressetext kommentieren
• Pressemitteilung veraltet?