kvs seminar - project-consult.de · eine verfahrensdokumentation ist wichtig win-win situation ......
TRANSCRIPT
KVS Seminar
Elektronische Archivierung
Dr. Ulrich Kampffmeyer
P R O J E C T C O N S U L T Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH
Hamburg 2004
KVS Seminar Elektronische Archivierung
Kunde: DoQ Projekt: Artikel DoQ/Handelsblatt Autor: Kff Thema: Revisionssichere Archivierung Topic: Überblick Status: Fertig Datei: KVS_Archivierung_Text_Handout.d
oc Datum: 10.05.2004 Version: 1.0
© PROJECT CONSULT GmbH 2004 Seite 2 von 31
Elektronische Archivierung Von Dr. Ulrich Kampffmeyer Geschäftsführer der PROJECT CONSULT Unternehmensberatung GmbH Managing Partner der PROJECT CONSULT International Ltd. Mitglied der Geschäftsführung des DLM Network EEIG
A) Anforderungen an die revisionssichere elektronische Archivierung
Was ist elektronische Archivierung Sicherheit = Revisionssicherheit ? Die elektronische Archivierung ist das Gedächtnis des Informationszeitalters
B) GDPdU & Archivierung: endlich Klarheit! Nächste Stufe längst gezündet Flut der Leitfäden Im Dschungel der Definitionen Keine Zertifizierung für Archiv und Speichersysteme Zugriff auf das Hauptsystem? Revisionssichere elektronische Archivsysteme zur Aufbewahrung steuerrelevanter Daten IDEA-Client zielführend Abläufe und Funktionalität von Archivsystemen zur Speicherung steuerrelevanter Daten Eine Verfahrensdokumentation ist wichtig Win-Win Situation Fazit
C) Elektronische Archivierung und Storage-Technologien Archivierung ist nicht gleich Archivierung Anforderungen an ein elektronisches Archivsystem Speichertechnologien für die Archivierung Rechtliche und regulative Vorgaben Die Software macht die Musik! Information Lifecycle Management verändert den DRT-Markt
D) Folien-Handout zum Vortrag Einführung Definitionen: Dokument, Archiv, elektronische Archivierung, Records Management 10 Grundsätze zur Archivierung Standards & Architekturen Funktionale Anforderungen Ausblick: Elektronische Archive sind das Gedächtnis des Informationszeitalters
KVS Seminar Elektronische Archivierung
Kunde: DoQ Projekt: Artikel DoQ/Handelsblatt Autor: Kff Thema: Revisionssichere Archivierung Topic: Überblick Status: Fertig Datei: KVS_Archivierung_Text_Handout.d
oc Datum: 10.05.2004 Version: 1.0
© PROJECT CONSULT GmbH 2004 Seite 3 von 31
A) Anforderungen an die revisionssichere elektronische Archivierung
Das Thema elektronische Archivierung ist wieder in aller Munde. Nachdem man in den letzten Jahren der Meinung war, dass die elektronische Archivierung bereits Allgemeingut sei, hat die Diskussion um die GDPdU Grundsätze des Datenzugriffs und der Prüfbarkeit digitaler Unterlagen im Rahmen der Änderung des Handelsgesetzes und die Schwäche einiger ehemals führender deutscher Anbieter in diesem Marktsegment die Bedeutung der Thematik wieder in das Bewusstsein gerückt. Besonders stellt sich bei vielen die Frage, was unter „revisionssicherer Archivierung“ zu verstehen ist. Die langfristige Verfügbarkeit von archivierten Daten und Dokumenten, deren Unveränderbarkeit und sichere Aufbewahrung steht dabei im Vordergrund. Das Thema elektronische Archivierung ist noch lange nicht abgeschlossen und entwickelt sich zu einer dauerhaften Herausforderung.
Was ist elektronische Archivierung ? Der Wert von Informationen in elektronischen Archiven, die digitale Wissensbasis der Unternehmen und Verwaltungen, wird langsam erkannt. Die Abhängigkeit von der Verfügbarkeit von digitalen Informationen wird immer größer. Dies gilt nicht mehr nur für die operativen Systeme mit Stamm- und Bewegungsdaten sondern zunehmend auch für Speichersysteme, die beliebige strukturierte und unstrukturierte Informationen speichern. Auf den ersten Blick gehören hier auch Dateisysteme, Datenbanken und Datensicherungssysteme hinzu – elektronische Archivierung ist jedoch mehr. Elektronische Archivsysteme zeichnen sich durch folgende eigenständige Merkmale aus:
• Datenbankgestützer, direkter Zugriff auf einzelne Informationsobjekte, landläufig auch Dokumente genannt, oder Informationskollektionen, z.B. Listen, Container mit mehreren Objekten etc.
• Unterstützung verschiedener Indizierungs- und Recherchestrategien, um auf die gesuchte Information direkt zugreifen zu können
• Einheitliche und gemeinsame Speicherung beliebiger Informationsobjekte, vom gescannten Faksimile über Word-Dateien bishin zu komplexen XML-Strukturen, Listen oder ganzen Datenbankinhalten
• Verwaltung von Speichersystemen mit nur einmal beschreibbaren Medien (WORM Write Once Read Many) einschließlich dem Zugriff auf Medien die sich nicht mehr im Speichersystem direkt befinden
• Sicherstellung der Verfügbarkeit der gespeicherten Informationen über einen längeren Zeitraum, der Jahrzehnte betragen kann
KVS Seminar Elektronische Archivierung
Kunde: DoQ Projekt: Artikel DoQ/Handelsblatt Autor: Kff Thema: Revisionssichere Archivierung Topic: Überblick Status: Fertig Datei: KVS_Archivierung_Text_Handout.d
oc Datum: 10.05.2004 Version: 1.0
© PROJECT CONSULT GmbH 2004 Seite 4 von 31
• Bereitstellung von Informationsobjekten unabhängig von der sie ursprünglich erzeugenden Anwendung auf verschiedenen Clienten und mit Übergabe an andere Programme
• Unterstützung von „Klassen-Konzepten“ zur Vereinfachung der Erfassung durch Vererbung von Merkmalen und Strukturierung der Informationsbasis
• Konverter zur Erzeugung von langfristig stabilen Archivformaten und Viewer zur Anzeige von Informationsobjekten, für die die ursprünglich erzeugende Anwendung nicht mehr zur Verfügung steht
• Absicherung der gespeicherten Informationsobjekte gegen unberechtigten Zugriff und gegen Veränderbarkeit der gespeicherten Information
• Übergreifende Verwaltung unterschiedlicher Speichersysteme, um z.B. durch Zwischenspeicher (Caches) schnellen Zugriff und zügige Bereitstellung der Informationen zu gewährleisten
• Standardisierte Schnittstellen, um elektronische Archive als Dienste in beliebige Anwendungen integrieren zu können
• Eigenständige Widerherstellungsfunktionalität (Recovery), um inkonsistent gewordene oder gestörte Systeme aus sich heraus verlustfrei wieder aufbauen zu können
• Sichere Protokollierung von allen Veränderungen an Strukturen und Informations-objekten, die die Konsistenz und Wiederauffindbarkeit gefährden können und dokumentieren, wie die Informationen im Archivsystem verarbeitet wurden
• Unterstützung von Standards für die spezielle Aufzeichnung von Informationen auf Speichern mit WORM-Verfahren, für gespeicherte Dokumente und für die Informationsobjekte beschreibende Meta-Daten um eine langfristige Verfügbarkeit und die Migrationssicherheit zu gewährleisten
All diese Eigenschaften sollten deutlich machen, dass es nicht um hierarchisches Speichermanagement oder herkömmliche Datensicherung geht. Elektronische Archivsysteme sind eine Klasse für sich, die als nachgeordnete Dienste heute in jede IT-Infrastruktur gehören. Elektronische Archive sind damit eine der wichtigsten Basiskomponenten für DRT Document-Related-Technology- und ECM Enterprise-Content-Management-Lösungen. Im englischsprachigen Bereich ist eine noch weitergehende Differenzierung festzustellen. Dort spricht man nicht von elektronischer Archivierung sondern von Electronic Records Management. Während Dokumentenmanagement im weiteren Sinn und viele heutige elektronische Archivsysteme den kompletten Lebenszyklus der Informationsobjekte abdecken sollen, konzentriert sich Records Management auf die Langzeitarchivierung. Hier wird auch nicht mehr über Jahrzehnten Verfügbarkeit diskutiert – in Archivarskreisen denkt man in Jahrhunderten. Die Sicherstellung der Verfügbarkeit gewinnt hier eine neue Dimension.
KVS Seminar Elektronische Archivierung
Kunde: DoQ Projekt: Artikel DoQ/Handelsblatt Autor: Kff Thema: Revisionssichere Archivierung Topic: Überblick Status: Fertig Datei: KVS_Archivierung_Text_Handout.d
oc Datum: 10.05.2004 Version: 1.0
© PROJECT CONSULT GmbH 2004 Seite 5 von 31
Sicherheit = Revisionssicherheit ? Der Begriff Sicherheit schließt verschiedene Aspekte ein: angefangen von der Zugriffs- und Datensicherheit über die Verfügbarkeits- und Reproduktionssicherheit der gespeicherten Informationen, die Migrationssicherheit und die Investitions-sicherheit bis hin zur sogenannten „Revisionssicherheit“. Dieser Begriff wurde für elektronische Archive geprägt, die den gesetzlichen Anforderungen an aufbewahrungspflichtige Dokumente entsprechen. Der Verband Information und Organisation e.V. hat in seinem Code of Practice „Grundsätze der elektronischen Archivierung“ folgende Definitionen aufgeführt:
• Langzeitarchivierung Unter „elektronische Langzeitarchivierung“ versteht man die Bereitstellung von Daten und Dokumenten über einen Zeitraum von mindestens 10 Jahren.Revisionssichere Archivierung Unter „revisionssicherer Archivierung“ versteht man Archivsysteme, die nach den Vorgaben der Allgemeinen Abgabenordnung (HGB AO) und der GoBS Daten und Dokumente sicher, unverändert, vollständig, ordnungsgemäß, verlustfrei repro-duzierbar und datenbankgestützt recherchierbar verwalten.Ähnliche Definitionen
gibt es inzwischen auch in anderen Codes of Practice, z.B. des British Standards Institute, den Leitlinien und dem MoReq-Standard des DLM-Forum der Europäischen Kommission, in der ISO Norm 15489 Records Management und anderen Standards.
Die Definition der „revisionssicheren Archivierung“ in Deutschland beschränkt sich auf Systeme, die aufbewahrungspflichtige Informationen speichern, die unter das Handelsgesetz, bzw. seit 1.1.2002, unter die Steuergesetzgebung, fallen. Sie muss auf Grund der gesetzlichen Aufbewahrungspflichten auch die Langzeitarchivierung wie definiert einschließen, da für die meisten kaufmännisch relevanten Daten und Dokumente eine Aufbewahrungsfrist von 10 Jahren besteht. Die allgemeine Abgabenordnung (HGB AO) gibt hier die Grundlagen für die Speicherung, unabhängig ob in herkömmlichen Papierarchiven oder elektronischen Systemen, vor:
• Ordnungsmäßigkeit
• Vollständigkeit © PROJECT CONSULT 2002 Urheberrechte Dr. Ulrich KampffmeyerSicherheit des Gesamtverfahrens
• Schutz vor Veränderung und Verfälschung
• Sicherung vor Verlust
• Nutzung nur durch Berechtigte
• Einhaltung der Aufbewahrungsfristen
• Dokumentation des Verfahrens
• Nachvollziehbarkeit
• Prüfbarkeit Diese Kriterien sind fachlich definiert und bedürfen der Interpretation, wenn es um die Umsetzung in technischen Systemen geht. Hilfestellung gibt hierbei gibt hierfür die GoBS, die explizit auf die verschiedenen Verfahren der Scan- und
KVS Seminar Elektronische Archivierung
Kunde: DoQ Projekt: Artikel DoQ/Handelsblatt Autor: Kff Thema: Revisionssichere Archivierung Topic: Überblick Status: Fertig Datei: KVS_Archivierung_Text_Handout.d
oc Datum: 10.05.2004 Version: 1.0
© PROJECT CONSULT GmbH 2004 Seite 6 von 31
Datenerfassung, Sicherheitsanforderungen und die Verfahrensdokumentation zur Nachvollziehbarkeit und Prüfbarkeit eingeht. Die Grundlagen für die Umsetzung wurden ebenfalls vom VOI in einem weiteren Code of Practice „Grundsätze der Verfahrensdokumentation nach GoBS“ zusammengestellt.
Die 10 Merksätze des VOI zur revisionssicheren elektronischen Archivierung 1. Jedes Dokument muss unveränderbar archiviert werden 2. Es darf kein Dokument auf dem Weg ins Archiv oder im Archiv selbst verloren
gehen 3. Jedes Dokument muss mit geeigneten Retrievaltechniken wieder auffindbar
sein 4. Es muss genau das Dokument wiedergefunden werden, das gesucht worden ist 5. Kein Dokument darf während seiner vorgesehenen Lebenszeit zerstört werden
können 6. Jedes Dokument muss in genau der gleichen Form, wie es erfasst wurde,
wieder angezeigt und gedruckt werden könnenJedes Dokument muss zeitnah wiedergefunden werden können
8. Alle Aktionen im Archiv, die Veränderungen in der Organisation und Struktur bewirken, sind derart zu protokollieren, dass die Wiederherstellung des ursprünglichen Zustandes möglich ist
9. Elektronische Archive sind so auszulegen, dass eine Migration auf neue Plattformen, Medien, Softwareversionen und Komponenten ohne Informations-verlust möglich ist © PROJECT CONSULT 2002 Urheberrechte Dr. Ulrich KampffmeyerDas System muss dem Anwender die Möglichkeit bieten, die gesetzlichen Bestimmungen (BDSG, HGB/AO etc.) sowie die betrieblichen Bestimmungen des Anwenders hinsichtlich Datensicherheit und Datenschutz über die Lebensdauer des Archivs sicherzustellen
Alle diese gesetzlichen Regularien, Codes of Practice und Standards nehmen nur eingeschränkt auf technische Eigenschaften Rücksicht. Dies ist auch im Prinzip angesichts der rasanten Entwicklung im Markt richtig. Je technisch detaillierter ein Standard ist, des do schneller wird er von der Entwicklung überholt. Für den Anwender bedeutet dies, dass er die angebotenen Systeme in Hinblick auf ihre Eignung bewerten muss. Hierbei spielt nicht nur die Revisionssicherheit eine Rolle, sondern wie Sicherheit im Unternehmen generell bewertet wird. Erhöhte Sicherheit bedeutet auch deutlich erhöhte Kosten. Die doppelte Auslegung von Hardware, Spiegelung der Systeme, Erstellung von Mediensicherheitskopien – dies kostet alles mehr als eine einfache Systemauslegung. Auch die Implementierung von Standards, die man vielleicht zunächst noch nicht einmal benötigt, kann aus Sicherheits-überlegungen sinnvoll sein. Letztlich muss jeder für sich seinen Anspruch an Sicherheit definieren. Dies gilt auch für die „revisionssichere Archivierung“. Die funktionalen Anforderungen lassen sich mit vielen Formen von Systemen abbilden.
KVS Seminar Elektronische Archivierung
Kunde: DoQ Projekt: Artikel DoQ/Handelsblatt Autor: Kff Thema: Revisionssichere Archivierung Topic: Überblick Status: Fertig Datei: KVS_Archivierung_Text_Handout.d
oc Datum: 10.05.2004 Version: 1.0
© PROJECT CONSULT GmbH 2004 Seite 7 von 31
Die elektronische Archivierung ist das Gedächtnis des Informationszeitalters Vielen Anbieter im Markt werben mit dem Thema „Revisionssicherheit“. Hierfür wird auf Zertifikate von Wirtschaftsprüfern oder des TüVIT verwiesen. In Hinblick auf die „revisionssichere Archivierung“ gilt jedoch, dass für jede individuelle Anwendung eine Verfahrensdokumentation und Abnahme benötigt wird, die den gesamten Prozess, Organisation, Abläufe und technische Lösung eingeschlossen, beinhaltet. Es gibt keinen allgemeingültigen Stempel „Revisionssicher“, den man auf eine Produkt-verpackung kleben könnte. Heute werden unterschiedlichste Systemkategorien angeboten. Einerseits spezielle Archivsysteme für die Entlastung des E-Mail-Posteingangskorbes, nachgeordnete Lösungen für ERP-Systeme wie SAP oder spezielle Anwendungslösungen, die auf einem Archivsystem basieren. Zunehmend setzt sich der Trend durch, Archivsysteme als Dienst anzubieten und die Anwenderfunktionalität in andere führende Systeme zu integrieren. Letztere Archivsysteme können auch den Anspruch einer unternehmensweiten Lösung erfüllen, bei der es nur noch einen Archivdienst gibt, der für alle Anwendungen die Aufgabe der Langzeitarchivierung übernimmt. Bei der Auswahl eines geeigneten Systems spielt die vorhergehende Analyse der zu speichernden Informationen und des geplanten Nutzungsmodelles eine entscheidende Rolle. Will man ein System einführen, dass den Ansprüchen von HGB AO, GoBS und GDPdU gerecht wird, sind Funktionen wie die direkte Recherchierbarkeit in steuerrelevanten Daten, die nicht als Bild konvertiert gespeichert werden dürfen, die geeignete Aufteilung der Bestände nach Kategorien wie „was darf der Aussenprüfer sehen, was nicht“, der Schutz personenbezogener Daten „was fällt unter das BDSG Bundesdatenschutzgesetz“, welche Information gehört überhaupt ins Archiv „was ist aufbewahrungswürdig und was ist aufbewahrungspflichtig“ sowie andere Kriterien zu berücksichtigen. Traditionelle elektronische Archivsysteme, bei denen eine separate Index-Datenbank die Speicherung der Informationsobjekte steuert, können als matur eingeschätzt werden. Jedoch kommen ständig neue Anforderungen hinzu, wie z.B.:
• Dokumente mit elektronischer Signatur, die nicht mehr für eine physische Repräsentation geeignet sind und eine zeitliche beschränkte Gültigkeit haben,
• Speicherung von Geschäftstransaktionen über Websites, die vollkommen papierlos abgewickelt werden,
• Abbildung von Zusammenhängen zwischen Daten und Dokumentbestandteilen wie z.B. E-Mail-Nachricht und Attachment
• Sicherstellung der Recherchierfähigkeit in steuerrelevanten Daten, für die spezielle Listenformate und Schnittstellen unterstützt werden müssen,
• Repräsentation und Speicherung von dynamischen XML-Informationsobjekten, die sich zur Laufzeit aus Inhalt, Struktur und Meta-Daten erst als zeitpunktbezogenes, personalisiertes und individualisiertes Dokument darstellen
KVS Seminar Elektronische Archivierung
Kunde: DoQ Projekt: Artikel DoQ/Handelsblatt Autor: Kff Thema: Revisionssichere Archivierung Topic: Überblick Status: Fertig Datei: KVS_Archivierung_Text_Handout.d
oc Datum: 10.05.2004 Version: 1.0
© PROJECT CONSULT GmbH 2004 Seite 8 von 31
• Einbindung in Directory Services zur einheitlichen Verwaltung aller Benutzer,
• Verwaltung und Bereitstellung von Multi-Media-Objekten wie digitalem Video oder elektronischen Büchern in Media Asset Management Systemen, die zusätzliche Anforderungen an Dokumententypen, Sicherheit, schnellen Transport und andere Funktionen stellen
• die Integration von Digital Rights Management zur Wahrung von Autoren- und Copyright-Rechten
• Langzeitspeicherung von Website-Angeboten und –Inhalten mit allen problemen von speziellen dynamischen Formaten, Verlinkungen und Content Syndication
Die Liste der neuen Anforderungen lässt sich beliebig fortführen. Elektronische Archivierung steht hier an vielen Stellen erst am Anfang. Bedingt durch notwendig werdende Migrationen bei technologischem Wandel oder Einführung anderer neuer Softwaresysteme ist die elektronische Archivierung ein Dauerthema, mit dem sich die Archivare und die Informationsmanager im Unternehmen ständig auseinandersetzen müssen. Elektronische Archivierung führt damit auch zu neuen Berufsbildern. Wenn man den Leitsatz des EU-Kommissars Erkki Liikanen „Elektronische Archive sind das Gedächtnis des Informationszeitalters“ ernst nehmen will, muss man sich mit dem Wert der Information, der Nutzung der Informationen und der Abhängigkeit von der Verfügbarkeit von Informationen auseinandersetzen. Elektronische Archiv gehören heute als Infrastrukturkomponente, genauso wie eine Benutzerverwaltung, Druckservices oder ein E-Mail-Programm, in jedes Unternehmen und jede Verwaltung. Archive sollten dabei als die Unternehmens-Wissensplattform konzipiert werden und quasi nebenbei die rechtlichen Anforderungen der „Revisionssicherheit“ erfüllen. „Revisionssicherheit“ ist nur ein Merkmal von vielen moderner Archivsysteme.
KVS Seminar Elektronische Archivierung
Kunde: DoQ Projekt: Artikel DoQ/Handelsblatt Autor: Kff Thema: Revisionssichere Archivierung Topic: Überblick Status: Fertig Datei: KVS_Archivierung_Text_Handout.d
oc Datum: 10.05.2004 Version: 1.0
© PROJECT CONSULT GmbH 2004 Seite 9 von 31
B) GDPdU & Archivierung: Endlich Klarheit Von Dr. Ulrich Kampffmeyer und StB Stefan Groß Steuerberater Stefan Groß ist Mitarbeiter von Peters Schönberger & Partner GbR, einer renommierten Kanzlei von Steuerberatern, Wirtschaftsprüfern und Anwälten.
Die Diskussion um die GDPdU hat in letzter Zeit hohe Wellen geschlagen. Nachdem in den ersten 12 Monaten nach dem Inkrafttreten der Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen kaum eine Reaktion erfolgt war, wird den steuerpflichtigen Unternehmen inzwischen bewusst, dass ihnen die Zeit wegläuft. Bei den nächsten Außenprüfungen können die Daten bereits digital geprüft werden und die Vorbereitungen sind bei den betroffenen Unternehmen erst angelaufen. Besonders um die elektronische Archivierung von steuerrelevanten Daten und deren Auswertbarkeit wurde heftig debattiert. Der Artikel bietet einen praktikablen Lösungsansatz, der bereits breite Anerkennung gefunden hat.
Nächste Stufe längst gezündet Fast unbemerkt von der aktuellen Diskussion rüstet die Finanzverwaltung demnächst vielleicht schon weiter auf. Die „IDEA-Waffe“ wurde von der Fa. Audicon (www.audicon.net) mit einem „Nachbrenner“ ausgestattet, der es in sich hat. Mit AIS TaxAudit können steuerrelevante Daten weitgehend automatisiert analysiert werden und Unregelmäßigkeiten kommen schnell ans Licht. Ob und wann die Finanzverwaltung diese Makros einsetzen wird ist noch offen, doch die Unternehmen können bereits jetzt darauf zugreifen und sich so optimal auf künftige, nicht nur digitale Betriebsprüfung vorbereiten. Die Schonfrist für die Unternehmer ist so schneller vorbei, als viele prognostiziert haben und die ersten digitalen Prüfungen haben bereits begonnen. Höchste Zeit für die Unternehmen sich vorzubereiten. In der Diskussion spielte die elektronische Archivierung eine wichtige Rolle, denn wie soll man über einen Zeitraum von 10 Jahren die Daten vorhalten. Anbieter elektronischer Archivsysteme waren mit schnellen Ankündigungen "GDPdU-konformer" Systeme zur Hand, ohne eigentlich zu wissen, welche Anforderungen die Finanzverwaltung hier stellt. Auch die Flut diverser Checklisten und Leitfäden vermochten kein Licht in das Dunkel GDPdU-konforme Archivierung bringen, ganz im Gegenteil.
Flut der Leitfäden Als die Entwürfe zu den GDPdU zum ersten Mal im Jahr 2000 in die Öffentlichkeit gelangten, regte sich nur in Fachkreisen etwas Interesse. Selbst als die GDPdU rechtskräftig wurden, fand eine Diskussion nur in Fachzirkeln, bei den Archivsystemherstellern und bei Wirtschaftsprüfern oder Steuerberatern statt. Erst sehr spät reagierten die Anwender. Zunächst die großen Unternehmen, bei welchen praktisch ständig eine Betriebsprüfung läuft und bei denen für den Prüfer längst der Zugriff auf die Daten möglich ist. Die breite Masse der Steuerpflichtigen und selbst
KVS Seminar Elektronische Archivierung
Kunde: DoQ Projekt: Artikel DoQ/Handelsblatt Autor: Kff Thema: Revisionssichere Archivierung Topic: Überblick Status: Fertig Datei: KVS_Archivierung_Text_Handout.d
oc Datum: 10.05.2004 Version: 1.0
© PROJECT CONSULT GmbH 2004 Seite 10 von 31
die Steuerberater beginnen erst jetzt die Dimension der elektronischen Steuerprüfung zu erkennen. Aufklärung tut not. So fühlen sich viele berufen, mit Argumentarien, Checklisten, Fragen-und-Antworten-Katalogen, Leitlinien, Büchern, Folienvorträgen und Webseiten das Informationsbedürfnis zu stillen. Nach zwei Jahren GDPdU ist nunmehr eine Flut von Handreichungen zu beobachten. Einzelne Hersteller , Berater, Rechtsanwälte und Steuerberater, Verbände wie AWV, BitKOM, VOI und Industrie- und Handelskammern usw. bedienen den Markt. Nicht nur die GDPdU ließen Spielraum in der Interpretation, die erst zu dieser Flut von Leitfäden geführt hat, sondern auch die vielen Checklisten und Fragen-und-Antworten-Kataloge divergieren in ihren Aussagen. Dies ist zum Teil darauf zurückzuführen, dass sich durch den Praxiseinsatz der elektronischen Steuerprüfung laufend neue Auslegungen und Problemstellungen ergeben, zum Teil aber auch darauf, dass aus wirtschaftlichem Interesse oder aus Positionierungsgründen die eine oder andere Interpretation favorisiert wird. Das Bundesministerium der Finanzen (BMF) hat sich seinerseits an dieser Leitfaden-Flut beteiligt. Der aktuell in der dritten Fassung vorliegende Fragen-und-Antworten-Katalog vom März 2003 auf der Webseite des BMF hat in vielen Fragen zur Klärung beigetragen. Eine Reihe der Antworten hat aber erneut zur Verunsicherung geführt. Die vielen Leitfäden haben zumindest eine positive Komponente. Sie können den Bundesfinanzbehörden Orientierungshilfe sein und für bekannte Probleme praktikable Lösungen vorschlagen. Endgültige Klarheit kann es aber nur durch das BMF selbst geben. Die GDPdU müssen überarbeitet, GDPdU und GOBS auf einander harmonisiert und der Fragen-und-Antworten-Katalog im Internet muss durch eine belastungsfähige, nicht nur die Finanzbehörden selbst verpflichtende, Sicherheit schaffende Ausarbeitung offiziellen Charakters ersetzt werden. Solange das BMF selbst nicht für Klarheit sorgt, ist immer neuen Interpretationen und Leitfäden Tür-und-Tor geöffnet.
Im Dschungel der Definitionen Die GoBS und die GDPdU benutzen eine Reihe von Begriffen, die auf Softwaresysteme zur Verarbeitung und Speicherung von Daten abzielen. Um die Klärung der Begriffsdefinitionen ranken sich so auch zahlreiche Checklisten, Argumentarien und Fragen-und-Antworten-Kataloge. Auch das BMF hat hier selbst versucht Klarheit in die Begriffswelt zu bringen, ohne mit ihrem Fragen-und-Antworten-Katalog die grundsätzlichen Missverständnisse ausräumen zu können. Bevor wir uns der Frage eines revisionssicheren Archives für steuerrelevante Daten zuwenden, soll hier versucht werden, etwas Licht in die verwendete Begrifflichkeit zu bringen. Steuerrelevante Daten Der sehr weiche Begriff der „steuerrelevanten Daten“ ist unter zwei Gesichtspunkten zu betrachten: Einmal inhaltlich und zum zweiten technisch. Inhaltlich geht es darum, auf welche Informationen der Steuerprüfer im Rahmen einer Außenprüfung zugreifen darf. Die inhaltliche Frage muss das steuerpflichtige Unternehmen in Abhängigkeit seiner Geschäftstätigkeit zusammen mit seinem Steuerberater oder Wirtschaftsprüfer beantworten. Wichtig: Dies ist keine Aufgabe der Softwarebranche, ganz im Gegenteil. Nach Auffassung der Bundessteuerberaterkammer gehört die Ermittlung der steuerlich relevanten Daten zu den „Vorbehaltsaufgaben“ der steuerberatenden
KVS Seminar Elektronische Archivierung
Kunde: DoQ Projekt: Artikel DoQ/Handelsblatt Autor: Kff Thema: Revisionssichere Archivierung Topic: Überblick Status: Fertig Datei: KVS_Archivierung_Text_Handout.d
oc Datum: 10.05.2004 Version: 1.0
© PROJECT CONSULT GmbH 2004 Seite 11 von 31
Berufe. Dabei gilt, dass sich durch die GDPdU am fachlichen Umfang und Inhalt der Prüfung eigentlich nichts ändert, sondern dass die Form der Bereitstellung, des Zugriffes und der Auswertung sich der technologischen Entwicklung angepasst hat. Immer mehr Information entsteht originär elektronisch und kann auch nur elektronisch ausgewertet werden. Technisch geht es darum, wie diese Informationen für eine Auswertung bereitgestellt werden. Steuerrelevante Daten können in einem Unternehmen in unterschiedlichen Systemen entstehen und gespeichert werden. Hier ist die Aufgabe, nach der fachlichen Qualifizierung der steuerrelevanten Daten die entsprechenden Systeme, Speicherorte und Formate zu ermitteln, um die Daten anhaltend auswertbar bereitzustellen.
• „Originär elektronische Unterlagen“ Bei originär elektronische Unterlagen handelt es sich in erster Linie um Daten, die in einem kaufmännischen System selbst durch Verarbeitungsschritte entstanden sind. Bei der Entstehung dieser Daten sind unterschiedliche Quellen zu berücksichtigen. Sie können aus anderen Datenverarbeitungssystemen importiert (siehe Nebensysteme und vorgelagerte Systeme), von Dritten durch Datenübertragung übermittelt (z.B. EDI, E-Mail) oder aber durch manuelle Eingaben erfasst worden sein. Durch die Verarbeitung, d.h. im wesentlichen durch die Zuweisung zu Vorgängen, Konten, Lieferanten oder Kunden, durch Berechung von abgeleiteten Werten, Zuordnung von Stammdaten und andere Operationen der Programmlogik entstehen erst die originär elektronischen, steuerrelevanten Daten. Erst durch die Verarbeitung und die Zuweisung im buchhalterischen Sachzusammenhang entstehen die steuerrelevanten Daten. Die Rohdaten vor der Verarbeitung haben daher eher einen Belegcharakter, der die Nachvollziehbarkeit der durchgeführten Operationen der Software sicherstellen muss.
• „Maschinell auswertbare Daten“ Steuerrelevante Daten sind maschinell auswertbare Daten aus kaufmännischen Softwaresystemen, die als Datensatz vorliegen. Jeder Datensatz repräsentiert eine steuerrelevante Transaktion und beinhaltet alle notwendigen Informationen, die für eine steuerliche Veranlagung im Sinne von Entstehen, Entfallen oder Minderung einer Steuerlast relevant sind. Er setzt sich hierfür aus identifizierenden Attributen und Stammdaten wie Konto, Adressat, Steuersatz etc., Zweck oder Objekt und den Werten wie Betrag, Währung und Datum zusammen. Die Vollständigkeit und der Zusammenhang dieser Attribute sichert die Auswertbarkeit des Datensatzes im Kontext. Diese Daten müssen in Deutschland strukturiert, geordnet, periodengerecht und vollständig durch die Software IDEA (offizielle Prüfsoftware der Finanzverwaltung) in der jeweils gültigen Version auswertbar bereitgestellt werden. Anders sieht dies mit Dokumenten aus, z.B. mit einer von Hand eingegebenen Rechnung in einem Textverarbeitungsprogramm. Hier handelt es sich um die Übertragung von Daten in ein Dokument, das hierdurch Belegcharakter erhalten kann.
• „Nicht maschinell auswertbare Belege“ Belege sind der Nachweis zum Datensatz mit den steuerrelevanten Daten. Belege sind in der Regel nicht maschinell automatisch auswertbare, schwach strukturierte oder unstrukturierte Dokumente. Entsprechend ihrer Entstehung können sie beim Steuerpflichtigen in Papier, elektronischer Form oder anderer Form vorliegen. Sind
KVS Seminar Elektronische Archivierung
Kunde: DoQ Projekt: Artikel DoQ/Handelsblatt Autor: Kff Thema: Revisionssichere Archivierung Topic: Überblick Status: Fertig Datei: KVS_Archivierung_Text_Handout.d
oc Datum: 10.05.2004 Version: 1.0
© PROJECT CONSULT GmbH 2004 Seite 12 von 31
die Dokumente originär elektronisch entstanden oder beim Steuerpflichtigen originär elektronisch eingegangen, so sind sie im Originalformat mit den dazugehörigen Entstehungs- oder Eingangsdaten zu speichern. Elektronische Dokumente können auch als strukturierte Datensätze vorliegen und müssen dann auch für maschinelle Auswertung bereitgestellt werden. Elektronische Dokumente müssen über einen eindeutigen Index wieder auffindbar und über die Attribute des Index eindeutig mit dem dazugehörigen steuerrelevanten Datensatz verknüpft sein. Diese Dokumente sind so zu speichern, dass keine Veränderung der Dokumente selbst möglich ist, die Beziehung zwischen Dokument und zugehörigem Datensatz nicht aufgelöst oder verändert werden kann, und der Bestand der Dokumente gegen Verlust und Veränderung geschützt ist. Das System hat sicherzustellen, dass die gespeicherten Dokumente über den vorgegebenen Aufbewahrungszeitraum recherchiert und verlustfrei zur Anzeige gebracht werden können. In der Verfahrensdokumentation nach GoBS ist dieses Verfahren nachprüfbar zu beschreiben und die Prozesse müssen durch eine revisionssichere Protokollierung nachvollziehbar sein. Beim Datenzugriff nach den GDPdU ergeben sich je nach Typus zwei unterschiedliche Zugriffsarten. Für originär elektronische Unterlagen ist die direkte Auswertbarkeit der Daten für die Zugriffsarten Z1 (unmittelbarer Zugriff) und Z2 (mittelbarer Zugriff) sowie Z3 (Datenträgerüberlassung) sicherzustellen. Liegen die Daten noch im operativen System, in der sie ursprünglich erzeugenden Anwendung vollständig vor, kann Z1 und Z2 direkt auf diesen Datenbestand erfolgen. Die Anwendung muss jedoch in der Lage sein, auch Datenträger nach Z3 für die Auswertung mit IDEA zu erzeugen. Für nicht maschinell auswertbare Belege gilt, dass die Dokumente über die Attribute des Index im ersten Schritt recherchiert werden, um dann im zweiten Schritt angezeigt zu werden.
• Durch die vorgeschlagene Unterscheidung zwischen maschinell auswertbarem Datensatz und zugehörigem, nicht maschinell auswertbarem Belegdokument ist das Problem der steuerrelevanten Daten lösbar. Letztlich lässt sich damit unabhängig von der Form der Daten und Dokumente die „Auswertbarkeit“ als „wahlfreier Zugriff auf die steuerrelevanten Daten“ beschreiben.
Datenverarbeitungssystem im Sinne der GDPdU Durch die GDPdU sind eine Reihe von unterschiedlichen Datenverarbeitungs¬systemen betroffen. Je nach dem, in welchem Umfang steuerrelevante Daten in ihnen entstehen und gespeichert werden ist ihre Relevanz für eine elektronische Steuerprüfung verschieden. Daher ist eine Differenzierung notwendig.
• „Hauptsystem“ Unter einem Hauptsystem ist dasjenige System, bestehend aus Software und benötigter Hardware zu verstehen, in dem die originär steuerrelevanten Daten verarbeitet und gespeichert werden. Dies sind in der Regel kaufmännische Anwendungen, ERP-Systeme, Buchhaltungssysteme etc. Solange dieses Hauptsystem im Betrieb ist spricht man auch vom operativen, Produktiv- oder Produktionssystem um es von stillgelegten, redundanten Sicherheits- oder im Testbetrieb befindlichen Systemen zu unterscheiden. Unter einem
KVS Seminar Elektronische Archivierung
Kunde: DoQ Projekt: Artikel DoQ/Handelsblatt Autor: Kff Thema: Revisionssichere Archivierung Topic: Überblick Status: Fertig Datei: KVS_Archivierung_Text_Handout.d
oc Datum: 10.05.2004 Version: 1.0
© PROJECT CONSULT GmbH 2004 Seite 13 von 31
Produktivsystem versteht man somit eine Anwendung, die aktiv und nutzbar ist, und die für den Zweck der Anwendung benötigten Daten enthält oder auf diese direkt zugreifen kann. Bei einer kaufmännischen Anwendung wären dies auch die aktuellen steuerrelevanten Daten. Das Hauptsystem mit seiner Programm¬funktionalität und seinen Auswertungsmöglichkeiten erfüllt auch die Voraus¬setzungen von Z1 (unmittelbarer Zugriff) und Z2 (mittelbarer Zugriff). Es sollte auch die Erstellung von Datenträgern nach Z3 (Datenträgerüberlassung) ermöglichen.
• „Vorgelagertes System“ Vorgelagerte Systeme sind Lösungen, mit denen steuerrelevante Daten und Belege erfasst und verarbeitet werden (z.B. Scannen mit automatischer Klassifikation von Rechnungen mit Übertragung ins ERP), deren Ergebnisse jedoch in ein Buchführungs-, ERP- oder vergleichbares System übertragen werden und dort für den Zugriff bereitstehen. Dabei ist sicherzustellen, dass die Verarbeitung und Übertragung verlustfrei, nachvollziehbar und die originär Information nicht verändernd geschieht. Häufig geben diese vorgelagerten Systeme aber nur Teile oder konsolidierte, verdichtete Daten an das Hauptsystem ab. Die Auswertbarkeit dieser Daten im Sinne des wahlfreien Zugriffs ist im Hauptsystem dann nicht mehr vollständig gegeben. Bei vorgelagerten Systemen kann es sich z.B. um Kassensysteme, Zahlungs¬verkehrssysteme oder andere Lösungen handeln, in denen steuerrelevante Daten entstehen. Die Daten dieser Systeme rechnen zum Umfang einer digitalen Außenprüfung. Vorgelagerte Systeme sind im Regelfall nicht darauf ausgelegt Z1 und Z2 zu unterstützen und besitzen auch keine Funktionalität um selektiv Datenträger nach Z3 zu erstellen. Häufig sind die Datenmengen so groß, z.B. in Kommunikations-, Energie- und Handelsunternehmen, dass eine vollständige Übergabe nach Zugriffsart Z3 unmöglich ist.
• „Nebensystem“ Unter Nebensystemen versteht man Systemlösungen, in denen steuer¬relevanten Daten entstehen, gespeichert und verarbeitet werden, die nicht oder nur sehr stark verdichtet im Buchhaltungs- oder ERP-System vorliegen. Hierbei kann es sich um Materialwirtschafts-, Zeiterfassungs- oder E-Business-Anwendungen handeln, die eine eigenständige Logik und Speicherung besitzen. Die Daten dieser Systeme dürfen auch der elektronischen Steuerprüfung unterworfen werden. Sofern die steuerrelevanten Daten in diesen Systemen qualifiziert und identifiziert werden können, kann auch ein direkter Zugriff über die Anwendung möglich sein. Da Nebensysteme aber in der Regel nicht über den Programm- und Datenaufbau wie ein kaufmännisches System verfügen, kann der Zugriff nach Z1 und Z2 beschränkt sein. Es besteht daher im Regelfall auch bisher nicht die Möglichkeit, aus solchen Nebensystemen Datenträger für Z3 zu erstellen.
• „Archivsystem“ Archivsysteme kommen erst dann ins Spiel, wenn in den operativen Haupt-, Neben- und vorgelagerten Systemen die steuerrelevanten Daten des Prüfungszeitraums nicht mehr auswertbar vorliegen. Angesichts der Aufbewahrungsfristen von 6 oder 10 Jahren ist die Auslagerung von Datenbeständen aus den Produktivsystemen besonders bei mittleren und
KVS Seminar Elektronische Archivierung
Kunde: DoQ Projekt: Artikel DoQ/Handelsblatt Autor: Kff Thema: Revisionssichere Archivierung Topic: Überblick Status: Fertig Datei: KVS_Archivierung_Text_Handout.d
oc Datum: 10.05.2004 Version: 1.0
© PROJECT CONSULT GmbH 2004 Seite 14 von 31
größeren Anwendungen der Regelfall. In Archivsystemen entstehen jedoch selbst keine steuerrelevanten Daten, sondern sie dienen lediglich der Speicherung und der Bereitstellung der Daten. Die Auswertbarkeit und die Vollständigkeit muss von den Hauptsystemen und den Nebensystemen bereits bei der Übergabe der Daten an das Archivsystem sichergestellt sein. Die Frage der Aufgaben eines Archivsystems soll im Folgenden noch näher betrachtet werden.
• „Universelles Auswertungsprogramm für steuerrelevante Daten“ Die Diskussion um ein universelles Auswertungsprogramm entstand durch den Artikel von Groß, Lindgens und Matheis „Rückstellung für Kosten des Datenzugriffs der Finanzverwaltung“ (veröffentlich im DStR Heft 23/2003, S. 921ff), in dem die Lösung der Archivierungsproblematik beschrieben wurde. Wenn Archivsysteme selbst nicht mehr über die Auswertungslogik des Hauptsystems verfügen müssen, wenn es nur noch vollständige, auswertbare steuerrelevante Daten übernimmt und auf Anforderung wieder bereitstellt, muss die Auswertbarkeit der steuerrelevanten Daten mit anderen Mitteln sicher¬gestellt werden. Hier kommt natürlich sofort das Auswertungsprogramm ins Spiel, mit dem die Finanzbehörden prüfen. Zumindest für die Daten nach der Zugriffsart Z3 ist dies der gesetzte Auswertungsstandard, der die Struktur der Daten vorgibt. Das Bundesministerium der Finanzen scheut sich natürlich gleich ein einzelnes Produkt wie „IDEA“ offiziell zu verankern. Man kann Wett¬bewerbsprodukte wie ACL nicht grundsätzlich benachteiligen. Mit einer Festlegung auf IDEA hätte man jedoch den Vorteil, dass die Funktionalität und die benötigten Strukturen bekannt sind. Will man jedoch einen neutralen Begriff wie z.B. „Universelles Auswertungsprogramm“ benutzen, muss der Funktions¬umfang auch neutral definiert werden. Die Formulierung aus dem Fragen-und-Antworten-Katalog des BMF vom März 2003, dass bei der Auslagerung der steuerrelevanten Daten aus dem operativen System für die Archivierungs¬systeme die gleiche Auswertungsfunktionalität wie beim die Daten erzeugenden System vorhanden sein soll (Frage und Antwort Nr. 11), greift bei Auswertungsprogrammen wie IDEA oder ACL nicht mehr.
Keine Zertifizierung für Archiv und Speichersysteme In jüngst erfolgten Stellungnahmen auf Eingaben hat das BMF deutlich gemacht, dass es weder für Speichersubsysteme noch für Archivsysteme eine Zertifizierung gibt oder geben wird. Damit erübrigen sich auch die Diskussionen um die Marketing-Slogans „GDPdU-konforme Archivierung“ und die Frage des „richtigen“ Speichermediums. „GDPdU-Konformität“ beschränkt sich auf die Vollständigkeit und Auswertbarkeit der Daten selbst. Dies ist Angelegenheit der die Daten originär erzeugenden Systeme. Das „richtige“ Speichermedium gibt es nicht. Eine Festlegung auf nur eine Technologie ist weder sinnvoll noch angesichts des schnellen technologischen Wechsels machbar. Sicherheit und Verfügbarkeit sind außerdem nicht allein vom Speichermedium abhängig. Die gespeicherte Information muss auch auslesbar, anzeigbar und verarbeitungsfähig sein. Hierfür sind entsprechende Betriebssysteme, Treiber¬software und Verarbeitungsprogramme notwendig. Die Information auf einem sicheren Speicher zu haben nützt nicht viel, wenn man sie nicht mehr benutzen kann.
KVS Seminar Elektronische Archivierung
Kunde: DoQ Projekt: Artikel DoQ/Handelsblatt Autor: Kff Thema: Revisionssichere Archivierung Topic: Überblick Status: Fertig Datei: KVS_Archivierung_Text_Handout.d
oc Datum: 10.05.2004 Version: 1.0
© PROJECT CONSULT GmbH 2004 Seite 15 von 31
Dementsprechend kann man heute verschiedene Technologien als mehr oder weniger gleichberechtigt betrachten, wenn es um die veränderungssichere Speicherung von steuerrelevanten Daten geht. Traditionelle WORM-Technologien mit unterschiedlichen Verfahren stehen dabei zu CD und DVD, speziell abge¬sicherten Festplattensubsystemen und WORM-Bändern für Tape-Libraries im Wettbewerb. Entsprechend der beim Anwender im Einsatz befindlichen IT-Infra¬struktur Umfeld wird die eine oder andere Technologie bevorzugt werden. In Rechenzentren z.B. WORM-Tapes oder Festplattensubsysteme, bei Anwendern mit vorhandenen Archivsystemen traditionelle WORM-Medien und bei Kleinanwendern eher CD und DVD. Letztere eignen sich besonders, wenn man alle Daten einer Periode auf nur einem Medium unterbringen kann. Für alle Medien gilt jedoch, „ein Medium allein reicht nicht aus!“ Es geht um die Erstellung von Sicherheitskopien, die regelmäßige Prüfung der Medien und Sicherheitskopien auf Lesbarkeit und Verarbeitungsfähigkeit, die Migration auf neue Medien und andere Themen der Sicherheit. Revisionssicherheit ist hierbei mehr als nur technische Sicherheit zum Schutz vor Veränderung. Revisionssicherheit schließt den ganzen Prozess von der Entstehung der Daten bis zu ihrer Entsorgung ein. Speichermedien und Speichersubsysteme stellen daher nur eine Komponente eines revisionssicheren Systems dar. Im Vordergrund der Überlegungen zur Revisions¬sicherheit steht die Information und ihr Kontext. Wie die Information aufbewahrt wird ist wichtig, aber im Rahmen eines Gesamtkonzeptes zur revisionssicheren Archivierung nur ein Baustein. Die Wahl des Mediums muss dem Wert der Information gerecht werden. Die Erfüllung gesetzlicher Vorgaben ist hierbei auch nur ein Aspekt des Wertes von Information. Archivsysteme nur für die Erfüllung der GDPdU, also nur zur Speicherung steuerrelevanter Daten, die ein Prüfer vielleicht in ein paar Jahren auswerten will, sind unwirtschaftlich. Elektronische Archivsysteme machen nur dann Sinn, wenn man sie auch zur Speicherung aller anderen elektronischen Informationen eines Unternehmens einsetzt. Steuerrelevante Daten sind dann nur noch ein spezieller Informationstyp, der vom universellen Unternehmensarchivsystem quasi nebenbei mitverwaltet wird. Nebenbei: Es gibt noch weit aus mehr Vorschriften die zu beachten sind als „nur“ die GDPdU. Dabei ist insbesondere an den Prüfungsstandard 330 des IdW (Institut der Wirtschaftsprüfer) oder an die geänderten Dokumentationspflichten für Verrechnungspreise und deren Prüfbarkeit zu denken.
Zugriff auf das Hauptsystem? Beim Vorhaltenden der Daten für den unmittelbaren bzw. mittelbaren Datenzugriff der Finanzverwaltung wurde immer wieder die Frage gestellt, in welchem Bereich der Unternehmens-EDV dies zu gewährleisten ist. Die Abgabenordnung geht von einer Auswertung im Datenverarbeitungs- und damit im Haupt- oder Produktivsystem aus. Um dieses jedoch nicht mit einer zu großen Datenmenge zu überlasten, sind Archivsysteme notwendiger Bestandteil der meisten IT-Umgebungen. Archivierte Daten müssten so für Zwecke der Betriebsprüfung in das laufende System zurückgespielt werden um eine Verarbeitung mit den dort vorhandenen Auswertungsmöglichkeiten zu gewährleisten. Doch genau hier entstehen große technische Probleme, da es beim Zurückladen dieser alten Daten i.d.R. zu
KVS Seminar Elektronische Archivierung
Kunde: DoQ Projekt: Artikel DoQ/Handelsblatt Autor: Kff Thema: Revisionssichere Archivierung Topic: Überblick Status: Fertig Datei: KVS_Archivierung_Text_Handout.d
oc Datum: 10.05.2004 Version: 1.0
© PROJECT CONSULT GmbH 2004 Seite 16 von 31
Unverträglichkeiten mit inzwischen upgedateten Systemen kommt. Dies betrifft nicht nur die auszuwertenden Daten, sondern besonders die Strukturinformationen und veränderte Stammdaten. Einfacher wäre es, archivierte Daten durch direkten Zugriff auf das Archivsystem auszuwerten, jedoch halten die meisten Archivlösungen nur eingeschränkte Auswertungsmöglichkeiten vor. Die Lösung dieses Konflikt liegt wie so oft greifbar nahe: IDEA, doch dazu später mehr.
Revisionssichere elektronische Archivsysteme zur Aufbewahrung steuerrelevanter Daten Die Diskussion um die elektronische Archivierung hat inzwischen zu einer Klarstellung geführt. Elektronische Archivsysteme müssen selbst keine Auswertungs¬funktionalität wie ein Hauptsystem oder eine universelles Auswertungsprogramm besitzen. Sie unterliegen jedoch dann den Anforderungen der GDPdU: 1) muss der wahlfreie Zugriff derart abgebildet werden, dass die entsprechenden
archivierten Daten auch vollständig bereitgestellt werden, 2) muss die Speicherung derart erfolgen, dass die Unveränderbarkeit der Daten
sichergestellt ist und 3) muss das Archivsystem in quantitativer und qualitativer Hinsicht
Auswertungs¬möglichkeiten gewährleisten, die denen des Hauptsystems gleichwertig sind.
Während in anderen Gesetzen immer nur von Speicherung und Aufbewahrung die Rede ist, wird hier konkret von digitalen Speichermedien und Archivierung gesprochen. Die GDPdU verweist hier auf die entsprechenden Passagen in der Abgabenordnung und führt aus: „Originär digitale Unterlagen nach § 146 Abs. 5 AO sind auf maschinell verwertbaren Datenträgern zu archivieren.“ Wie dies im Einzelfall zu geschehen hat, ist deutlicher in den GoBS nachzulesen. Für das Thema Archivierung gewinnt die GoBS damit eine größere Bedeutung als die GDPdU selbst. Originär digitale Unterlagen nach der AO und den GoBS sind aber nicht nur maschinell auswertbare Datensätze, sondern auch Dokumente. Maschinell verwertbare Datenträger impliziert, dass es einen Zugriff auf die Daten auf dem Speichermedium gibt. Nach den GDPdU heißt dies wahlfreier Zugriff mittels eines Programmes. Im Prinzip sind dies für elektronische Archivsysteme Selbst¬verständlichkeiten, da sie in der Regel über eine Datenbank zielgenau die gewünschten Daten ermittelt und bereitstellt. Bei kleineren Datenmengen, die als Dateien gespeichert sind, kann sogar der Zugriff über ein Dateiverwaltungssystem ausreichend sein. Entscheidend ist jedoch unter dem Gesichtspunkt der Aufbewahrungsfristen, dass die Information über die gesamte Aufbewahrungsfrist maschinell verarbeitungsfähig bereitsteht. Angesichts der schnellen Veränderung von Komponenten, Betriebsystemen, Formaten und Standards eine Aufgabe, die nur durch die rechtzeitige, verlustfreie, die Information selbst nicht verändernde, dokumentierte und nachvollziehbare Migration der Daten von einem Medium auf ein anderes bewältigt werden kann.
KVS Seminar Elektronische Archivierung
Kunde: DoQ Projekt: Artikel DoQ/Handelsblatt Autor: Kff Thema: Revisionssichere Archivierung Topic: Überblick Status: Fertig Datei: KVS_Archivierung_Text_Handout.d
oc Datum: 10.05.2004 Version: 1.0
© PROJECT CONSULT GmbH 2004 Seite 17 von 31
Der Anforderung, das Archivsystem mit Auswertungen zu versehen, die jenen im Produktivsystem in quantitativer und qualitativer Hinsicht gleichwertig sind, kann ein Archiv mit IDEA-Funktionalität bei entsprechender Ausgestaltung durchaus gerecht werden, jedoch sind die Aufwände für die Nachbildung aller Auswertungen eines Hauptsystems i.d.R. unwirtschaftlich. Doch was bedeutet dies für die praktische Umsetzung und reicht IDEA wirklich aus?
IDEA-Client zielführend Die Diskussion um die GDPdU war für den Steuerpflichtigen - und auch für die Steuerberater selbst - mehr als verwirrend. So stellt sich auch bei vielen die Frage, warum ein "IDEA-Client" eine neue Qualität bringen soll. Das BMF hat selbst in einem Schreiben diesen Ansatz als "zielführend" und "substantiiert" bezeichnet. Für den Anwender bring dies eine Vielzahl von Vorteilen. Wenn man mit einer unabhängigen Auswertungssoftware die steuerrelevanten Daten auswerten kann muss man sie weder im operativen System vorhalten noch muss man sie in dieses System zurückladen. Besonders bei größeren Anwendungen ist es üblich, nicht mehr benötigte Daten aus dem operativen System auszulagern um dieses zu entlasten, die Performance zu steigern und Online-Speicherplatz zu sparen. Wollte man im laufenden Betrieb alte Daten wieder in das System zurückladen, gäbe dies wie beschrieben vielfach Probleme. Die Installation kann sich geändert haben, Strukturen, Formate und Stammdaten haben sich verändert, die Altdaten würden Laufzeit und Stabilität der genutzten Produktivumgebung beeinträchtigen und vieles mehr. Nunmehr muss man die Daten "nur" noch sauber vom Haupt- bzw. ERP-System aufbereiten und an ein externes Speichersystem, ein Archivsystem oder ein Datensicherungssystem, abgeben und kann so die Daten bei Bedarf dem Steuerprüfer zur Auswertung unabhängig bereitstellen. Bei der Übergabe der Daten kommt es jedoch besonders darauf an, auch die richtigen Strukturinformationen über den Aufbau der Dateien und in Abhängigkeit vom eingesetzten Produktivsystem auch die dort vorhandenen Standard-Auswertungen mit zu übergeben. Dieser Lösungsansatz erlaubt dem Steuerpflichtigen darüber hinaus seine Daten zu testen bevor sie unveränderbar archiviert werden. Vollständigkeit und Auswertungsfähigkeit können so sichergestellt werden. Dies verringert Unsicherheit, Abhängigkeit und spart Kosten. So erübrigt sich auch die Anforderung aus dem BMF-Fragen-und-Antworten-Katalog, in der die gleiche Auswertungsfunktionalität gefordert wurde, wie sie das Ursprungssystem besitzt. Bei einem größeren ERP gibt es Hunderte von Auswertungen, nahezu beliebige Kombinations- und Recherchemöglichkeiten, die nie in einem Archivsystem hätten nachgebildet werden können. Wenn nun die Auswertung mit IDEA ausreichend ist, kann man auch gleich einen Schritt weiter gehen und einen "IDEA-Clienten" konzipieren, der als universelles Auswertungs¬programm direkt auf den archivierten Dateien nebst zugehörigen Stammdaten und Strukturinformationen aufsetzt und alle drei Zugriffsarten Z1, Z2 und Z3 erlaubt. Da die Auswertungsalgorithmen vorhanden sind, ist der Schritt vom reinen Auswertungstool zum IDEA-Clienten nur ein sehr kleiner.
KVS Seminar Elektronische Archivierung
Kunde: DoQ Projekt: Artikel DoQ/Handelsblatt Autor: Kff Thema: Revisionssichere Archivierung Topic: Überblick Status: Fertig Datei: KVS_Archivierung_Text_Handout.d
oc Datum: 10.05.2004 Version: 1.0
© PROJECT CONSULT GmbH 2004 Seite 18 von 31
Abläufe und Funktionalität von Archivsystemen zur Speicherung steuerrelevanter Daten Unter dem Gesichtspunkt, dass das Archivsystem selbst keine Auswertungs¬funktionalität benötigt, kann im Prinzip jedes Standardarchivsystem zur Auf¬bewahrung steuerrelevanter Daten benutzt werden. Die Daten selbst und die dazugehörigen Beschreibungsdateien müssen lediglich beim Empfang indiziert und gespeichert werden. Wie sehen nun die entsprechenden Abläufe im Detail aus?
• Schritt 1: Selektion (zwingend) Das Hauptsystem und gegebenenfalls Nebensysteme und vorgelagerte Systeme extrahieren aus ihrem Datenbestand im operativen System perioden¬gerecht die steuerrelevanten Daten nebst zugehörigen Stammdaten, wie sie bei der Qualifizierung und Identifizierung festgelegt worden sind. Diese Daten werden zusammen mit der Strukturdefinition, in denen das Format und die Attribute der Daten beschrieben sind, als Dateien exportiert. Zu den Strukturdateien gehören auch die Zusammenstellungen und Regeln im Hauptsystem vorhandener Auswertungen. Die Aufbereitung entsprechend dem Beschreibungsstandard für IDEA (abrufbar unter www.audicon.net) ist hierbei zu empfehlen.
• Schritt 2: Validierung (empfohlen) Durch manuelle oder automatisierte Tätigkeiten erfolgt eine Prüfung und Validierung, ob die Daten vollständig, richtig und verarbeitungsfähig sind. Hierzu kann man die Daten z.B. mit IDEA bzw. AIS TaxAudit testweise aus¬werten. Sind die Daten nicht vollständig oder nicht auswertbar, müssen entsprechende Anpassungen in den operativen Systemen vorgenommen und die Daten erneut ausgegeben werden. Zukünftig werden für diesen Zweck voraussichtlich auch Programme angeboten werden, die man als „Validator“ bezeichnen kann.
KVS Seminar Elektronische Archivierung
Kunde: DoQ Projekt: Artikel DoQ/Handelsblatt Autor: Kff Thema: Revisionssichere Archivierung Topic: Überblick Status: Fertig Datei: KVS_Archivierung_Text_Handout.d
oc Datum: 10.05.2004 Version: 1.0
© PROJECT CONSULT GmbH 2004 Seite 19 von 31
Bereitstellung steuerrelevanter Daten zur Auswertung
IDEA
Z3 Hauptsystem ERP
„Mandant für historische Daten“
Z1, Z2
Archivsystem
Speichersystem
Index
DB
Daten und Strukturinformationen „IDEA-Format“
Client
Archiv
IDEA Client
Z1, Z3
Filesystem
Z3-Dateien
Protokollierung
Anfrage Ergebnis-liste
Daten und Struktur-informationen „ERP-Format“
IDEA
Z3 Hauptsystem ERP
„Mandant für historische Daten“
Z1, Z2
Archivsystem
Speichersystem
Index
DB
Daten und Strukturinformationen „IDEA-Format“
Client
Archiv
IDEA Client
Z1, Z3
Filesystem
Z3-Dateien
Protokollierung
Anfrage Ergebnis-liste
Daten und Struktur-informationen „ERP-Format“
• Schritt 3: Übergabe (zwingend) Die Daten und die dazugehörigen Strukturinformationen werden an das Archiv übergeben. Dies kann durch manuellen Import oder aber nach erfolgreicher Überprüfung durch ein „Validator“-Programm automatisiert geschehen. Letz¬teres hat den Vorteil, dass keine manuelle Interaktion erfolgt, bei der noch eine Veränderung der Daten theoretisch möglich wäre.
• Schritt 4: Indizierung (zwingend) Die Daten und die dazugehörigen Strukturinformationen werden in die Ver¬waltung des Archivsystems übernommen. Hierbei werden sie zusammen¬hängend manuell oder automatisiert indiziert, so dass sie unter dem gleichen Index eindeutig identifizierbar und wieder auffindbar gespeichert werden. Werden die gleichen Daten oder Daten der gleichen Periode gewollt oder fehlerhaft mehrfach übertragen, so muss das Archivsystem über eine entsprechende Versionierung bei der Indizierung sorgen, damit der Prüfer den Zugriff auf die richtigen Daten erhält.
• Schritt 5: Speicherung (zwingend) Das Archivsystem speichert die Informationen auf seinem Speichersystem und sichert durch die Medien und/oder durch die eigene Verwaltungssoftware, dass die eindeutige Identifizierung, Vollständigkeit und Unveränderbarkeit
KVS Seminar Elektronische Archivierung
Kunde: DoQ Projekt: Artikel DoQ/Handelsblatt Autor: Kff Thema: Revisionssichere Archivierung Topic: Überblick Status: Fertig Datei: KVS_Archivierung_Text_Handout.d
oc Datum: 10.05.2004 Version: 1.0
© PROJECT CONSULT GmbH 2004 Seite 20 von 31
sicher¬gestellt ist. Über die Übernahme, Indizierung und Speicherung erstellt das Archivsystem eine Protokolldatei, die den Vorgang und die veränderungs- und verlustfreie Speicherung im System dokumentiert und zusammen mit den Daten und den Strukturinformationen unter dem gleichen Index speichert. Die Verwendung eines Zeitstempels nach Signaturgesetz kann die rechtliche Qualität des Nachweises der Unveränderbarkeit und des Speicherdatums zusätzlich absichern.
• Schritt 6: Migration (konditional) Ist während der Aufbewahrungsfrist eine Migration der Daten erforderlich, so sind nicht nur die Daten und die zugehörige Strukturinformation verlust- und veränderungsfrei zu überführen, sondern auch die Indexinformation, die das wieder finden und identifizieren sicherstellt, unverändert zu migrieren. Hierüber ist wiederum eine Protokoll-Datei zu führen und zu archivieren, die den Nachweis der verlustfreien Migration ermöglicht. Wie das Gesamtverfahren selbst, ist auch die Migration in der Verfahrensdokumentation zu beschreiben.
• Schritt 7: Zugriff auf die steuerrelevanten Daten (zwingend) Wird im Rahmen einer Steuerprüfung auf die archivierten Daten zurück¬gegriffen, wird über die Anwendung des Archives eine Suche nach den entsprechenden Daten für den zu prüfenden Zeitraum gestartet. Das Archivsystem liefert eine Ergebnisliste, in der periodengerecht die gefundenen Dateien angezeigt werden. Hierbei handelte es sich zusammenhängend unter dem gleichen Index immer um die Daten mit den dazugehörigen Strukturinformationen sowie die dazugehörige Protokolldatei. Wurden die Daten zwischenzeitlich migriert, wird auch das zugehörige Migrationsprotokoll mit angezeigt.
KVS Seminar Elektronische Archivierung
Kunde: DoQ Projekt: Artikel DoQ/Handelsblatt Autor: Kff Thema: Revisionssichere Archivierung Topic: Überblick Status: Fertig Datei: KVS_Archivierung_Text_Handout.d
oc Datum: 10.05.2004 Version: 1.0
© PROJECT CONSULT GmbH 2004 Seite 21 von 31
• Schritt 8: Prüfung auf Richtigkeit und Vollständigkeit (empfohlen) Die Indizierung hat dabei sicherzustellen und dies auch zur Anzeige zu bringen, dass entsprechend der Suchanfrage die gefundenen Daten vollständig und richtig sind. Dies wird durch die Anzeige der archivierten Protokolle mit der Anwendung und dem Vergleich der Protokolleinträge mit den gefundenen Dateien ermöglicht. Ein Zeitstempel nach Signaturgesetz kann hier die Aussagekraft des Protokolles verbessern. Die Protokolle sollten für den Nachweis auch druckbar und exportierbar sein.
Bereitstellung steuerrelevanter Daten zur Auswertung
IDEA
Z3 Hauptsystem ERP
„Mandant für historische Daten“
Z1, Z2
Archivsystem
Speichersystem
Index
DB
Daten und Strukturinformationen „IDEA-Format“
Client
Archiv
IDEA Client
Z1, Z3
Filesystem
Z3-Dateien
Protokollierung
Anfrage Ergebnis-liste
Daten und Struktur-informationen „ERP-Format“
IDEA
Z3 Hauptsystem ERP
„Mandant für historische Daten“
Z1, Z2
Archivsystem
Speichersystem
Index
DB
Daten und Strukturinformationen „IDEA-Format“
Client
Archiv
IDEA Client
Z1, Z3
Filesystem
Z3-Dateien
Protokollierung
Anfrage Ergebnis-liste
Daten und Struktur-informationen „ERP-Format“
• Schritt 9: Bereitstellung (zwingend) Entsprechend der Strategie des Anwenders gibt es nun verschiedene Optionen für die Bereitstellung der aufgefundenen steuerrelevanten Daten: a) liegen die Daten nach dem Beschreibungsstandard für IDEA formatiert vor, werden die Daten in das Filesystem beim Anwender oder auf einem Speichermedium (Transportmedium) exportiert. Sie können nunmehr mit IDEA ausgewertet werden und erfüllen damit die Zugriffsart Z3. b) wenn das operative System auf das Wiedereinladen historischer Daten vorbereitet ist, können die Daten importiert und alle Z1- und Z2-Operationen in dem System erfolgen, in dem die Daten entstanden sind. Dies kann dann notwendig werden, wenn die Daten bei der Übergabe nicht nach dem Beschreibungsstandard für IDEA aufbereitet worden sind. In diesem Fall müsste
KVS Seminar Elektronische Archivierung
Kunde: DoQ Projekt: Artikel DoQ/Handelsblatt Autor: Kff Thema: Revisionssichere Archivierung Topic: Überblick Status: Fertig Datei: KVS_Archivierung_Text_Handout.d
oc Datum: 10.05.2004 Version: 1.0
© PROJECT CONSULT GmbH 2004 Seite 22 von 31
das operative System in der Lage sein, den Datenträger nach Z3 zu erstellen c) steht ein „universelles Auswertungsprogramm“, z.B. ein „IDEA-Client“, zur Verfügung, das direkt auf die Dateien aus dem Archivsystem zugreift, wären damit uneingeschränkt alle drei Zugriffsarten Z1, Z2 und Z3 realisierbar. Ein solches universelles Auswertungsprogramm würde eine Vereinfachung und Erleichterung für die Varianten a) und b) darstellen. Dies gilt besonders dann, wenn das Archivsystem über eine Schnittstelle auf das universelle Auswertungsprogramm angepasst ist. Hierdurch würde eine direkte Aufbereitung der Daten entsprechend den Strukturbeschreibungs¬informationen ohne weitere Zwischenschritte ermöglicht. Besonderes Augenmerk ist hierbei auch auf die archivierten Dateien mit den Auswertungen zu legen um den Anspruch einer qualitativ und quantitativ gleichwertigen Auswertungsmöglichkeit gerecht zu werden. Das Archiv¬system benötigt durch die Kombination mit einem IDEA-Clienten keine eigene Auswertungslogik.
• Schritt 10: Zugriff auf digitale Belege (optional) Sind im Archivsystem auch die Belege als Dokumente archiviert, muss über die Indexdatenbank das zu einem Datensatz gehörende Dokument gefunden und zur Anzeige gebracht werden können. Dies betrifft alle Anwender, die nicht nur die maschinell auswertbaren Datensätze aus den kaufmännischen Systemen archiviert haben, sondern auch Dokumente gescannt, digital eingegangene Faxmitteilungen und E-Mails abgelegt sowie selbst erzeugte elektronische Dokumente im Archiv gespeichert haben. Handelt es sich bei diesen um kaufmännische Dokumente, die steuerrelevante Daten enthalten, so sind diese Dokumente über einen eindeutigen Index wiederauffindbar zu machen, der mindestens zwei eindeutige Attribute aus dem Datensatz mit den steuerrelevanten, maschinell auswertbaren Daten beinhalten muss. Neben dem Datum ist dies in der Regel eine Beleg-, Rechnungs- oder Buchungsnummer. Diese Funktionalität muss über die Indexdatenbank und die Anwendung des Archivsystems gegeben sein, damit der Prüfer zu einem Prüfgegenstand alle zugehörigen Belege finden kann. Wünschenswert ist eine zumindest teilautomatisierte Suche, die ohne aufwendige manuelle Eingabe durch Übernahme eines angezeigten Datensatzes die zugehörigen Dokumente findet und zur Anzeige bringt.
Eine Verfahrensdokumentation ist wichtig Diese Prozesse, von der Entstehung der Daten und Dokumente über das Wiederfinden und Bereitstellen bis hin zur gesetzeskonformen Entsorgung sind in einer Verfahrensdokumentation nach GoBS zu dokumentieren und entsprechend dem Ausbau und der Veränderung der Systeme fortzuschreiben. Bisher waren die beim Anwender installierten Systeme eher selten Gegenstand einer Prüfung durch den Außenprüfer. In dem Maße, wie der Außenprüfer selbst solche Systeme für Z1 und Z2 benutzt, wird der Nachweis von ordnungsgemäßer Verarbeitung, Nutzung und Betrieb immer wichtiger. Der Steuerpflichtige mit größeren Anwendungs¬systemen muss sich daher darauf einrichten, dass bei einer Prüfung zukünftig nach der Verfahrensdokumentation gefragt wird, damit der Prüfer sich einen Überblick über die Systeme, deren Funktionsweise, die Zugriffsmöglichkeiten
KVS Seminar Elektronische Archivierung
Kunde: DoQ Projekt: Artikel DoQ/Handelsblatt Autor: Kff Thema: Revisionssichere Archivierung Topic: Überblick Status: Fertig Datei: KVS_Archivierung_Text_Handout.d
oc Datum: 10.05.2004 Version: 1.0
© PROJECT CONSULT GmbH 2004 Seite 23 von 31
und die enthaltenen Daten verschaffen kann. Auch die Forderung nach einer Verfahrens¬dokumentation ist nicht neu. Sie ist Bestandteil eines GoBS-konformen Verarbeitung und Speicherung von kaufmännischen Daten und Dokumenten. Darüber hinaus ist sie auch für den Anwender selbst von Nutzen, da sie ihm die Nachvollziehbarkeit der Auslegung und der Weiterentwicklung seiner Systeme ermöglicht. Spätestens wenn eine Migration ansteht, wünscht man sich eine sauber geführte und vollständige Verfahrensdokumentation. Lässt man sich die Verfahrensdokumentation und deren Umsetzung im Unternehmen durch einen Wirtschaftsprüfer oder durch den TüV-IT prüfen und zertifizieren, kann man sicher sein, alle notwendigen Vorbereitungen für den Besuch des Steuerprüfers getroffen zu haben.
Win-Win Situation Die Frage einer GDPdU-konformen Archivierung scheint gelöst. Die beschriebene vom Produktiv- und Archivsystem unabhängige Lösung bringt sowohl den steuerpflichtigen Unternehmen, als auch der Finanzverwaltung durchweg Vorteile. Die Unternehmen sind, was die GDPdU anbetrifft, künftig weitgehend unabhängig von Migrationen im Hauptsystem und müssen sich keine Gedanken über die Aufbewahrung auszumusternder Hard- oder Software machen. Die Finanzverwaltung kann auf „Bekanntes“ zurückgreifen und muss sich nicht mit einer Vielzahl von unterschiedlichen EDV-Systemen vertraut machen. Der für die Finanzverwaltung sonst dringend erforderliche Einarbeitungs- bzw. Schulungsaufwand, bedingt durch die Vielzahl unterschiedlicher Auswertungsprogramme, entfällt weit gehend und die Unternehmen wären von vielfach aufwendigen Einweisungen in die Besonderheiten ihrer EDV entbunden. Der Befürchtung, dass Unternehmen mit ohnehin wenigen Auswertungstools durch einen IDEA-Clienten einen Mehrwert für die Betriebsprüfung schaffen, ist falsch, da der Finanzverwaltung im Rahmen der Datenträger¬überlassung diese Funktionalität ohnehin zur Verfügung steht, wenn auch nicht in der Unternehmens-EDV selbst. Im Gegenteil, die Beschränkung auf diese Analyse¬möglichkeiten würde es den Steuerpflichtigen ersparen, über eine Trennung von Auswertungen nachzudenken, die ausnahmslos der Steuerung interner Betriebs¬abläufe dienen und damit nicht in Beziehung zu steuerlich relevanten Daten stehen. Lastintensive Auswertungen für die Prüfer könnten auf diesen Systembereich verlagert werden und das Operative System so konstant performant halten.
Fazit Unternehmen müssen jetzt Handeln um auf künftige Betriebsprüfung, die dann digital stattfinden können, vorbereitet zu sein. IDEA-Client, Simulation der Betriebsprüfung und Datentrennung sind dabei Tuningfaktoren, welche die Waffengleichheit wieder herstellen. Und eines darf man nicht vergessen: Die Unternehmen haben jenseits der Steuerwelt die Chance Daten weitaus besser auszuwerten und zur verbesserten Steuerung einzusetzen. Dies ist ein Baustein im künftigen Wettbewerb und sichert letztlich die Grundlage für die digitale Betriebsprüfung, nämlich die Unternehmen selbst.
KVS Seminar Elektronische Archivierung
Kunde: DoQ Projekt: Artikel DoQ/Handelsblatt Autor: Kff Thema: Revisionssichere Archivierung Topic: Überblick Status: Fertig Datei: KVS_Archivierung_Text_Handout.d
oc Datum: 10.05.2004 Version: 1.0
© PROJECT CONSULT GmbH 2004 Seite 24 von 31
C) Elektronische Archivierung und Storage-Technologien
Beim Thema Archivierung war immer einer der Dreh- und Angelpunkte der Einsatz geeigneter Speichertechnologien. Die Anforderung, einerseits immer die neueste Softwarefunktionalität zu unterstützen, stand andererseits dem Anspruch gegenüber, Informationen über Jahrzehnte sicher verfügbar zu halten. Hieraus hat sich in den 80er Jahren ein eigenes Marktsegment in der IT-Landschaft herausgebildet – die elektronische Archivierung. Diese Eigenständigkeit ist inzwischen durch das Vordringen neuer Speichertechnologien und deren betriebssystemnahe Verwaltung unter Druck geraten. Archivierung ist kein Selbstzweck. Die Aufbewahrung, Erschließung und Bereitstellung von Information ist eine unabdingbare Voraussetzung für die Arbeitsfähigkeit moderner Unternehmen und Verwaltungen. Mit dem exponentiellen Wachstum elektronischer Information wachsen die Probleme der langzeitigen Aufbewahrung obwohl moderne Softwaretechnologien wesentlich besser geeignet sind, Informationen zu verwalten, als dies herkömmlich mit Papier, Aktenordnern und Regalen möglich war. Immer mehr Information entsteht digital und die Ausgabe als Papier ist nur noch eine mögliche Repräsentation des ursprünglichen elektronischen Dokuments. Durch den Einsatz elektronischer Signaturen erhalten elektronische Dokumente den gleichen Rechtscharakter wie ursprünglich manuell unterzeichnete Schriftstücke. Solche digitalen Dokumente existieren rechtskräftig nur noch in elektronischer Form. Diese Entwicklungen zwingen inzwischen jedes Unternehmen sich verstärkt mit dem Thema elektronische Archivierung auseinander zu setzen.
Archivierung ist nicht gleich Archivierung Der Begriff der elektronischen Archivierung wird sehr unterschiedlich benutzt. Während heute Unternehmen schon unter der Aufbewahrungsfrist von 10 Jahren für handelsrechtlich und steuerlich relevante Daten und Dokumente stöhnen, kann hier der Archivar in einem historischen Archiv nur darüber lachen. Für ihn heißt Archivierung 100, 300 oder gar 500 Jahre sichere, geordnete und jederzeit zugreifbare Aufbewahrung von Dokumenten. Angesichts der sich ständig verändernden Technologien, immer neuer Software, Formate und Standards, eine gigantische Herausforderung für die Informationsgesellschaft. In Deutschland haben sich für die elektronische Archivierung zwei Definitionen eingebürgert:
Elektronische Langzeitarchivierung Man spricht von Langzeitarchivierung, wenn die Informationen mindestens 10 Jahre und länger aufbewahrt und zugreifbar gehalten werden.
Revisionssichere elektronische Archivierung Man spricht von revisionssicherer Archivierung, wenn die Archivsystemlösung den Anforderungen des HGB §§239, 257 sowie der Abgabenordnung und den
KVS Seminar Elektronische Archivierung
Kunde: DoQ Projekt: Artikel DoQ/Handelsblatt Autor: Kff Thema: Revisionssichere Archivierung Topic: Überblick Status: Fertig Datei: KVS_Archivierung_Text_Handout.d
oc Datum: 10.05.2004 Version: 1.0
© PROJECT CONSULT GmbH 2004 Seite 25 von 31
GoBS an die sichere, ordnungsgemäße Aufbewahrung von kaufmännischen Dokumenten entspricht und die Aufbewahrungsfristen von sechs bis zehn Jahren erfüllt.
Zur Erfüllung dieser Vorgaben wurden Archivsysteme bestehend aus Datenbanken, Archivsoftware und Speichersystemen geschaffen, die in Deutschland von zahlreichen Herstellern und Systemintegratoren angeboten werden. Diese Systeme basieren meistens auf dem Ansatz über eine Referenzdatenbank mit den Verwaltungs- und Indexkriterien auf einen externen Speicher zu verweisen, in dem die Dokumentobjekte gehalten werden. Diese sogenannte Referenz-Datenbank-Architektur war notwendig, um große Mengen von Informationen von den zwar schnellen aber teueren Online-Speichern in separate Archivspeicher auszulagern. Die Datenbank erlaubt über den Index dabei jederzeit das Dokument wieder zu finden und mit einem entsprechenden Anzeigeprogramm dem Anwender bereitzustellen. In den Frühzeiten dieser Technologie handelte sich meistens um sehr geschlossene, eigenständige Systeme, die praktisch zu „Inseln“ in der IT-Landschaft führten. Heute gliedern sich Archivsysteme in die IT-Infrastruktur ein, werden direkt von Bürokommunikations- und Fachanwendungen bedient und stellen diesen Anwendungen auch die benötigten Informationen zur Verarbeitung und Anzeige wieder zur Verfügung. In beiden Fällen war es für den Anwender unerheblich, wo seine Information wie gespeichert worden war. Die Archivspeichersysteme und die Speicherorte seiner Dokumente waren für ihn intransparent. Die Diskussion um das „richtige“ Speichermedium führten dann meistens nur die IT-Fachleute, Projektmitarbeiter und Rechtsabteilungen wenn es um die Auswahl und Einführung eines elektronischen Archivsystems ging.
Anforderungen an ein elektronisches Archivsystem Elektronische Archivsysteme zeichnen sich durch folgende eigenständige Merkmale aus:
• programmgestützer, direkter Zugriff auf einzelne Informationsobjekte, landläufig auch Dokumente genannt, oder Informationskollektionen, z.B. Listen, Container mit mehreren Objekten etc.
• Unterstützung verschiedener Indizierungs- und Recherchestrategien, um auf die gesuchte Information direkt zugreifen zu können
• Einheitliche und gemeinsame Speicherung beliebiger Informationsobjekte, vom gescannten Faksimile über Word-Dateien bis hin zu komplexen XML-Strukturen, Listen oder ganzen Datenbankinhalten
• Verwaltung von Speichersystemen mit nur einmal beschreibbaren Medien einschließlich dem Zugriff auf Medien die sich nicht mehr im Speichersystem direkt befinden
• Sicherstellung der Verfügbarkeit der gespeicherten Informationen über einen längeren Zeitraum, der Jahrzehnte betragen kann
• Bereitstellung von Informationsobjekten unabhängig von der sie ursprünglich erzeugenden Anwendung auf verschiedenen Clienten und mit Übergabe an andere Programme
KVS Seminar Elektronische Archivierung
Kunde: DoQ Projekt: Artikel DoQ/Handelsblatt Autor: Kff Thema: Revisionssichere Archivierung Topic: Überblick Status: Fertig Datei: KVS_Archivierung_Text_Handout.d
oc Datum: 10.05.2004 Version: 1.0
© PROJECT CONSULT GmbH 2004 Seite 26 von 31
• Unterstützung von „Klassen-Konzepten“ zur Vereinfachung der Erfassung durch Vererbung von Merkmalen und Strukturierung der Informationsbasis
• Konverter zur Erzeugung von langfristig stabilen Archivformaten und Viewer zur Anzeige von Informationsobjekten, für die die ursprünglich erzeugende Anwendung nicht mehr zur Verfügung steht
• Absicherung der gespeicherten Informationsobjekte gegen unberechtigten Zugriff und gegen Veränderbarkeit der gespeicherten Information
• Übergreifende Verwaltung unterschiedlicher Speichersysteme, um z.B. durch Zwischenspeicher (Caches) schnellen Zugriff und zügige Bereitstellung der Informationen zu gewährleisten
• Standardisierte Schnittstellen, um elektronische Archive als Dienste in beliebige Anwendungen integrieren zu können
• Eigenständige Widerherstellungsfunktionalität (Recovery), um inkonsistent gewordene oder gestörte Systeme aus sich heraus verlustfrei wieder aufbauen zu können
• Sichere Protokollierung von allen Veränderungen an Strukturen und Informationsobjekten, die die Konsistenz und Wiederauffindbarkeit gefährden können und dokumentieren, wie die Informationen im Archivsystem verarbeitet wurden
• Unterstützung von Standards für die spezielle Aufzeichnung von Informationen auf Speichern mit WORM-Verfahren, für gespeicherte Dokumente und für die Informationsobjekte beschreibende Meta-Daten um eine langfristige Verfügbarkeit und die Migrationssicherheit zu gewährleisten
All diese Eigenschaften sollten deutlich machen, dass es nicht um hierarchisches Speichermanagement oder herkömmliche Datensicherung geht. Elektronische Archivsysteme sind eine Klasse für sich, die als nachgeordnete Dienste heute in jede IT-Infrastruktur gehören.
Speichertechnologien für die Archivierung Bei den Speichertechnologien muss man heute eine Trennung zwischen der Verwaltungs- und Ansteuerungssoftware einerseits und den eigentlichen Medien andererseits machen. Herkömmliche magnetische Speichermedien gelten als nicht geeignet für die elektronische Archivierung, da die gespeicherten Informationen jederzeit geändert und überschrieben werden können. Dies betrifft im besonderen Maße Festplatten, die von Betriebssystemen dynamisch verwaltet werden. Magnetische Einflüsse, „Head-Crashs“ und andere Risiken wiesen den Festplatten die Rolle der reinen Onlinespeicher zu. Bei Magnetbändern kam neben der Löschbarkeit hinzu, dass diese hohen Belastungen und Abnutzungen sowie magnetischen Überlagerungen bei zu langer Aufbewahrung unterliegen. In den 80er Jahren wurden daher spezielle digital-optische Speichermedien entwickelt, die in ihrem Laufwerk mit einem Laser berührungsfrei nur einmal beschrieben werden können. Diese Speichertechnologie bezeichnet man als WORM „Write Once, Read Many“. Die Speichermedien selbst waren durch ihre physikalischen Eigenschaften
KVS Seminar Elektronische Archivierung
Kunde: DoQ Projekt: Artikel DoQ/Handelsblatt Autor: Kff Thema: Revisionssichere Archivierung Topic: Überblick Status: Fertig Datei: KVS_Archivierung_Text_Handout.d
oc Datum: 10.05.2004 Version: 1.0
© PROJECT CONSULT GmbH 2004 Seite 27 von 31
gegen Veränderungen geschützt und boten eine wesentliche höhere Lebensdauer als die bis dahin bekannten magnetischen Medien. In diese Kategorie von Speichermedien fallen heute folgende Typen:
CD-WORM Nur einmal beschreibbare Compact Disk Medien mit ca. 650 MegaByte Speicherkapazität. Die Speicheroberfläche im Mediums wird beim Schreiben irreversibel verändert. CD-Medien sind durch die ISO 9660 standardisiert und kostengünstig. Die Qualität mancher billiger Medien ist aber für eine Langzeitarchivierung als nicht ausreichend zu erachten. Für Laufwerke und Medien gibt es zahlreiche Anbieter. Die Ansteuerung der Laufwerke wird von den Betriebssystemen direkt unterstützt.
DVD-WORM Ähnlich wie die CD wird bei der DVD die Speicheroberflächen irreversibel im Medium verändert. DVD sind derzeit noch nicht einheitlich genormt und bieten unterschiedliche Speicherkapazitäten zwischen 4 und 12 GigaByte. Beim Einsatz für die Archivierung ist daher darauf zu achten, das Laufwerk und Medien den Anforderungen der langzeitigen Verfügbarkeit gerecht werden. Es gibt auch hier zahlreiche Anbieter und die meisten Laufwerke werden auch direkt von den gängigen Betriebssystemen unterstützt.
5¼“ WORM Bei diesen Medien und Laufwerken handelt es sich um die traditionelle Technologie, die speziell für die elektronische Archivierung entwickelt wurde. Die Medien befinden sich in einer Schutzhülle und sind daher gegen Umwelteinflüsse besser gesichert, als CD und DVD, die für den Consumer-Markt entwickelt wurden. Die Medien werden mit einem Laser beschreiben und bieten eine äußerst hohe Verfälschungssicherheit. Der derzeitige Stand der Technik sind sogenannte UDO-Medien, die einen blauen Laser verwenden und eine Speicherkapazität von 50 GigaByte bieten. Zukünftig ist mit noch deutlich höheren Kapazitäten je Medium zu rechnen. Solche Laufwerke und Medien werden von Unternehmen wie Plasmon und HP angeboten. Nachteilig ist, dass Medien der vorangegangenen Generationen von 5¼“-Medien in den neuen Laufwerken nicht verwendet werden können. Von diesen sind noch mehrere verschiedene Technologien am Markt verfügbar. Für den Anschluss von 5 ¼“-Laufwerken ist spezielle Treibersoftware notwendig.
Für die Verwaltung und Nutzung der Medien sind sogenannte Jukeboxen, Plattenwechselautomaten, gebräuchlich. Diese stellen softwaregestützt die benötigten Informationen von Medien bereit. Die Software ermöglicht es in der Regel auch, Medien mit zu verwalten, die sich nicht mehr in der Jukebox befinden und auf Anforderung manuell zugeführt werden müssen. Die Software zur Ansteuerung von Jukeboxen wird direkt in die Archivsoftware integriert aber auch als unabhängige Ansteuerungssoftware angeboten. Zum Anschluss von Jukeboxen bedient man sich in der Regel eigener Server, die auch die Verwaltung und das Caching übernehmen. Inzwischen können solche Systeme aber auch als NAS Network attached Storage oder integriert in SAN Storage Area Networks genutzt werden. Die Software
KVS Seminar Elektronische Archivierung
Kunde: DoQ Projekt: Artikel DoQ/Handelsblatt Autor: Kff Thema: Revisionssichere Archivierung Topic: Überblick Status: Fertig Datei: KVS_Archivierung_Text_Handout.d
oc Datum: 10.05.2004 Version: 1.0
© PROJECT CONSULT GmbH 2004 Seite 28 von 31
ermöglicht dabei respektable Zugriffs- und Bereitstellungszeiten, die im Regelfall ein ausreichendes Antwortzeitverhalten garantieren. Neben diese klassischen Archivspeicher, die auf rotierenden, digital-optischen Wechselmedien basieren, treten inzwischen zwei weitere Technologien:
CAS Content Adressed Storage Hierbei handelt es sich um Festplattensysteme, die durch spezielle Software die gleichen Eigenschaften wie ein herkömmliches WORM-Medien erreichen. Ein Überschreiben oder der Ändern der Information auf dem Speichersystem wird durch die Kodierung bei der Speicherung und die spezielle Adressierung verhindert. Bei diesen Speichern handelt es sich um abgeschlossene Subsysteme, die allerdings nahezu wie herkömmliche Festplattensysteme direkt in die IT-Umgebung integriert werden können. Solche Systeme sind derzeit noch relativ teuer und werden von wenigen Herstellern wie EMC (Centera) oder NetApps angeboten. Sie bieten Speicherkapazitäten mit hoher Performance im TeraByte-Bereich.
WORM-Tapes WORM-Tapes sind Magnetbänder, die durch mehrere kombinierte Eigenschaften ebenfalls die Anforderungen an ein herkömmliches WORM-Medium erfüllen. Hierzu gehören spezielle Bandmedien sowie geschützte Kasetten und besondere Laufwerke, die die Einmalbeschreibbarkeit sicherstellen. Besonders in Rechenzentren, in denen Bandroboter und Librarysysteme bereits vorhanden sind, stellen die WORM-Tapes eine einfach zu integrierende Komponente für die Langzeitarchivierung dar. Die vorhandene Steuersoftware kann mit den Medien umgehen und auch entsprechendes Umkopieren und Sichern automatisieren. Solche Laufwerke und Bandmedien werden z.B. von StorageTek, Sony, IBM und anderen angeboten.
Besonders für größere Unternehmen und Verwaltungen mit Rechenzentren stellen Festplatten- oder WORM-Tape-Archive eine Option dar, da sie sich einfach in den laufenden Betrieb integrieren lassen.
Rechtliche und regulative Vorgaben Das Thema Archivierung und Langzeitspeicherung hat in den letzten Jahren besonders durch rechtliche und regulative Vorgaben an Bedeutung gewonnen. Die Gleichbehandlung von digitalen Dokumenten mit elektronischer Signatur wie herkömmlichen Papierdokumente, Der Sarbanes-Oxley-Act in den USA, der die Archivierung von E-Mails erforderlich macht, die Diskussion um die Archivierung steuerrelevanter Daten entsprechend den GDPdU in Deutschland. Im Rahmen dieser gesetzlichen Anforderungen stellte sich häufig die Frage nach dem „richtigen“ Speichermedium. Traditionelle WORM-Platten, die physisch nur einmal beschreibbar sind, erhoben den Anspruch die einzig richtigen Medien zu sein. Die Hersteller von Festplattensystemen und WORM-Tapes konterten. Grundsätzlich gilt jedoch, dass Gesetze und Verordnungen medienneutral sind (oder sein sollten), da angesichts der langfristigen Aufbewahrungszeiträume auch Technologiewechsel berücksichtigt werden müssen. Das richtige Medium gibt es daher nicht. Das Verfahren der
KVS Seminar Elektronische Archivierung
Kunde: DoQ Projekt: Artikel DoQ/Handelsblatt Autor: Kff Thema: Revisionssichere Archivierung Topic: Überblick Status: Fertig Datei: KVS_Archivierung_Text_Handout.d
oc Datum: 10.05.2004 Version: 1.0
© PROJECT CONSULT GmbH 2004 Seite 29 von 31
Archivierung muss geschlossen und sicher sein. Dies geht über die Frage der Laufwerke und Medien hinaus und bezieht auch die organisatorischen Prozesse mit ein. Ein wichtiges Thema in diesem Umfeld ist auch die Migration. Sie stellt unter Umständen ein Risiko dar, wenn die Informationen nicht nachweislässlich unverändert, vollständig und weiterhin uneingeschränkt wieder findbar von einer Systemlösung auf eine andere migriert werden. Originalität und Authentizität können durch eine Migration in Frage gestellt werden. Anderseits zwingt der technologische Wandel die Anwender auf neue Speicher- und Verwaltungskomponenten rechtzeitig zu wechseln, um die Information verfügbar zu halten. Die Migration ist daher bereits bei der Ersteinrichtung eines Archiv- und Speichersystems zu planen, um ohne Risiko und Aufwand den Wechsel vollziehen zu können. Kontrollierte, verlustfreie, „kontinuierliche Migration“ ist die eine Lösung, Information über Jahrzehnte und Jahrhunderte verfügbar zu halten. Das Thema Migration wurde durch die Veränderungen des Marktes aktuell wieder häufig diskutiert. Der Wegfall von Anbietern und Produkten ist keine Katastrophe, kein Einzelschicksal, sondern in der freien Marktwirtschaft der Regelfall. Wer ein Archivsystem einführt muss sich daher von Anbeginn an mit dem Thema Migrationsplanung beschäftigen.
Die Software macht die Musik! Entscheidend für den Einsatz von Speichertechnologien ist inzwischen die Software geworden. Sie sichert unabhängig vom Medium die Unveränderbarkeit der Information, sie ermöglicht den schnellen Zugriff und sie verwaltet gigantische Speichermengen. Bisher waren elektronische Archive eine spezielle Domäne der Archivsystemanbieter. Nunmehr wird aber die Speichertechnologie selbst immer intelligenter. Systemmanagement- und Speicherverwaltungssoftware wie Legato, CYA oder Tivoli verwalten inzwischen auch die elektronischen Archive. Zusätzlich kann immer noch ein herkömmliches Archiv-, Records- Management- oder Content-Management-System für die inhaltliche Strukturierung, die Ordnung, Erschließung und Bereitstellung der Informationen eingesetzt werden. Die Speichersystemanbieter rüsten jedoch auf. Ihr Ziel ist es, Archivspeicher als Infrastruktur betriebssystemnah und für alle Anwendungen gleich bereitzustellen.
Information Lifecycle Management verändert den DRT-Markt Der neue Trend heißt ILM Information Lifecycle Management. Besonders das Versprechen, das ILM Migrationen unnötig macht oder automatisiert, weckt bei vielen Anwendern Interesse. Der Anspruch an ILM ist dabei deutlich jenseits des herkömmlichen HSM, Hierarchisches-Speicher-Management, angesiedelt. Es geht zunehmend um die Software zur Verwaltung des gesamten Lebenszyklus von Information, es geht um Lösungsangebote anstelle von reiner Speicherhardware. Durch die Übernahme von Legato und Documentum hat EMC den Markt für Dokumenten-Technologien in Bewegung gebracht. EMC war das erste Unternehmen, das überhaupt in der Lage war, Festplattenspeicher als Archiv anzubieten. EMC hat sich durch die beiden Aufkäufe und die Entwicklung von Centera vom reinen Speicherhardwareanbieter zum ILM-Lösungsanbieter entwickelt. Inzwischen hat ebenfalls Network Appliance, auch durch den Aufkauf von Spinnaker
KVS Seminar Elektronische Archivierung
Kunde: DoQ Projekt: Artikel DoQ/Handelsblatt Autor: Kff Thema: Revisionssichere Archivierung Topic: Überblick Status: Fertig Datei: KVS_Archivierung_Text_Handout.d
oc Datum: 10.05.2004 Version: 1.0
© PROJECT CONSULT GmbH 2004 Seite 30 von 31
Software, ein ähnliches Produkt geschaffen wie Centera, dennoch entwickelt sich der Markt zur Spielwiese der großen Anbieter. IBM ist traditionell in der Lage mit den eigenen Festplatten und Systemen als auch mit den Softwaresuiten Tivoli, WebSphere und DB2 (hier ist der ContentManager angesiedelt) ein vollständiges ILM Information-Lifecycle- als auch ECM Enterprise-Content-Management-Portfolio anzubieten. FileNet besitzt ein ähnlich breit gefächertes Angebot und rüstet sich durch die Anbindung der Network Appliances Komponenten für den Wettlauf. Auch der neu entstandene Riese im ECM-Markt, OpenText, kann durch seine Akquisitionen wie Gauss, IXOS und SER eGovernment inzwischen mitreden. Besonders IXOS spielt hier eine Schlüsselrolle. Speichersystemanbieter wie Hitachi Data Systems (HDS), sicher aufgeschreckt durch Centera und den Verkauf von Legato an EMC, aber auch StorageTek suchten die Nähe zu IXOS um durch Kooperation das Lösungsportfolio oberhalb der reinen Speichertechnologie auszubauen. Damit dringen die ursprünglichen Hardwaresystemanbieter zunehmend in den Markt für DRT Document Related Technologies ein, der bereits einer starken Konsolidierung unterliegt. Auch andere große Anbieter wie SUN nähern sich dem Thema Archivierung. SUN bietet mit SAM-FS eine Middleware an, die herkömmliche Referenz-Datenbank-Architekturen von Archivsystemen überflüssig macht. Netz-werksoftware- und Infrastrukturanbieter im SAN-Bereich denken inzwischen ebenfalls über Angebote zum Thema Archivierung nach. Die ständig wachsende Informationsmenge und regulative Vorgaben durch Gesetze, Verordnungen und Branchenvorschriften machen aus der ursprünglichen Nische elektronische Archivierung einen übergreifenden IT-Trend. Elektronische Archivierung wird zur IT-Infrastruktur. ILM Information Lifecycle Management beginnt den Markt für Dokumenten- und Content-Management zu unterwandern. Ob die neuen Technologien allerdings auch den Erwartungen der Archivare von 100 oder mehr Jahren Verfügbarkeit gerecht werden, können wir nicht mehr erleben.
KVS Seminar Elektronische Archivierung
Kunde: DoQ Projekt: Artikel DoQ/Handelsblatt Autor: Kff Thema: Revisionssichere Archivierung Topic: Überblick Status: Fertig Datei: KVS_Archivierung_Text_Handout.d
oc Datum: 10.05.2004 Version: 1.0
© PROJECT CONSULT GmbH 2004 Seite 31 von 31
D) Folien-Handout zum Vortrag Einführung Definitionen: Dokument, Archiv, elektronische Archivierung, Records Management 10 Grundsätze zur Archivierung Standards & Architekturen Funktionale Anforderungen Ausblick: Elektronische Archive sind das Gedächtnis des Informationszeitalters (nur ein Auswahl der Folien wird im Vortrag gezeigt und besprochen)
Weitere Informationen, Artikel, Glossar, Newsletter, Fragen&Antworten,
Rubriken zu Standards und Rechtsfragen, Marktübersichten, Vortragsunterlagen ...
http://www.PROJECT-CONSULT.com Autorenrecht und CopyRight Autor: Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH © PROJECT CONSULT Unternehmensberatung GmbH 2003. Alle Rechte vorbehalten Der gesamte Inhalt ist, sofern nicht gesondert zitiert, ein Originaltext des Autors. Jeglicher Abdruck, auch auszugsweise oder als Zitat in anderen Veröffentlichungen, ist durch den Autor vorab zu genehmigen. Die Verwendung von Texten, Textteilen, grafischen oder bildlichen Elementen ohne Kenntlichmachung der Autoren-schaft ist ein Verstoß gegen geltendes Urheberrecht. Belegexemplare, auch bei auszugsweiser Veröffentlichung oder Zitierung, sind unaufgefordert einzureichen.
Anschrift des Autors PROJECT CONSULT GmbH, Büro Hamburg Oderfelder Str. 17 D-20149 Hamburg Tel.: 040 / 460 762 20 Fax: 040 / 460 762 29 E-Mail: [email protected] Web: www.PROJECT-CONSULT.com
KVS Seminar Elektronische Archivierung
Kunde: DoQ Projekt: Artikel DoQ/Handelsblatt Autor: Kff Thema: Revisionssichere Archivierung Topic: Überblick Status: Fertig Datei: KVS_Archivierung_Text_Handout.d
oc Datum: 10.05.2004 Version: 1.0
© PROJECT CONSULT GmbH 2004 Seite 32 von 31
Zum Autor Dr. Ulrich Kampffmeyer, Jahrgang 1952, ist Gründer und Geschäftsführer der PROJECT CONSULT Unternehmens-beratung Dr. Ulrich Kampffmeyer GmbH, Hamburg, eine der führenden produkt- und herstellerunabhängigen Beratungs-gesellschaften für ECM Enterprise Content Management, BPM Business Process Management, Knowledge Management und andere DRT Document Related Technologies. Er ist Gründer und Managing Partner der PROJECT CONSULT International Ltd., London, und einer der Geschäftsführer des DLM-Network EEIG, Graz. Er beriet namhafte Kunden aller Branchen im In- und Ausland bei der Konzeption und Einführung von DRT-Lösungen. Von der IT-Zeitschrift ComputerWoche wurde er im Jahr 2002 zu den 100 wichtigsten IT-Machern Deutschlands und von der Fachzeitschrift DoQ im Jahr 2001 als einziger Berater zu den 25 wichtigsten Köpfen der DMS-Branche gezählt. Als Gründer und langjähriger Vorstandssitzender des VOI Verband Organisations- und Informationssysteme e.V. von 1991 bis 1998 prägte er wesentlich den deutschen Markt für Dokumenten-Management. Beim internationalen Dokumenten-Management-Anbieter Fachverband IMC war von 1993 bis 1998 Mitglied des Board of Directors. Seit dem Zusammenschluss des IMC und der AIIM 1999 hat er aktiv die AIIM International, den weltweiten Dachverband von Anwendern und Anbietern von Enterprise Content Management Lösungen, unterstützt. Von 1999 bis 2002 war er stellvertretender Vorsitzender des European Board of Directors der AIIM Europe und von 2002 bis 2004 Mitglied des internationalen Board der AIIM International sowie Vorsitzender von mehreren AIIM Komitees. Dr. Kampffmeyer ist Mitglied des DLM-Monitoring Komitee der Europäischen Kommission, leitete das DLM Scientific Committee der DLM-Forum Konferenz in Barcelona 2002 und ist einer der Geschäftsführer des DLM Network EEIG. Dr. Kampffmeyer ist anerkannter Kongressleiter, Referent und Moderator zu Themen wie elektro-nische Archivierung, Records-Management, Dokumenten-Management, Workflow, Rechtsfragen, Business Re-engineering, Wissensmanagement und Projektmanagement. Auf zahlreichen nationalen und internationalen Kongressen und Konferenzen wirkte er als Keynote-Sprecher mit. Er veröffentlichte zahlreiche Bücher und Artikel, beispielsweise die deutschen „Codes of Practice“ zur „elektronischen Archivierung“ und „Verfahrensdokumentation“, das Handbuch „Dokumenten-management – Grundlagen und Zukunft“ und „Dokumenten-Technologien – Wohin geht die Reise?. Er ist Herausgeber der sieben DLM/AIIM Industry Whitepapers für elektronisches Dokumenten-, Records- und Content Management für den öffentlichen Sektor in Europa. Fachartikel in mehreren Sprachen und ständige Kolumnen werden regelmäßig in führenden Zeitschriften veröffentlicht. Dr. Kampffmeyer ist Mitglied in mehreren internationalen Standardisierungsgremien im Umfeld des Workflow-, Dokumenten- und Records-Management.
Revisionssichere ArchivierungDr. Ulrich KampffmeyerMünchen, 18.05.2004
© PROJECT CONSULT 20041
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
1
Revisionssichere Archivierung
Dr. Ulrich Kampffmeyer18. Mai 2004 in München
P R O J E C T C O N S U L TUnternehmensberatung Dr. Ulrich Kampffmeyer GmbH
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
2
PROJECT CONSULT Unternehmensberatung
• PROJECT CONSULT ist auf das Arbeitsgebiet Dokumenten-Technologien spezialisiert.
• PROJECT CONSULT berät ausschließlich Endanwender herstellerunabhängig und produktneutral.
• PROJECT CONSULT hat seit 1992 zahlreiche Projekte in allen Branchen erfolgreich durchgeführt.
• Auf der PROJECT CONSULT Webseite finden Sie weiterführende Informationen zum Thema, Artikel, Standards & gesetzliche Vorschriften, Anbietrübersichten, ein Lexikon mit den verwendeten Begriffen und aktuelle News. Dort steht Ihnen diese Präsentation und die Textunterlage zur Verfügung.
• Nicht alle Folien Ihres Handouts werden in diesem Vortrag gezeigt.
Revisionssichere ArchivierungDr. Ulrich KampffmeyerMünchen, 18.05.2004
© PROJECT CONSULT 20042
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
3
Agenda
• Einführung• Definitionen: Dokument, Archiv, elektronische
Archivierung, Records Management• 10 Grundsätze zur Archivierung• Standards & Architekturen• Funktionale Anforderungen• Ausblick: Elektronische Archive sind das
Gedächtnis des Informationszeitalters
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
4
Einführung
Revisionssichere ArchivierungDr. Ulrich KampffmeyerMünchen, 18.05.2004
© PROJECT CONSULT 20043
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
5
Ein uraltes Thema
Durch die Erfindung der Schrift vor 5.000 Jahren wurde es möglich, Informationen und Vereinbarungen zu überliefern:Das Dokument war geboren
© Copyright PROJECT CONSULT GmbH 2002 / Autorenrecht Dr- Ulrich Kampffmeyer 2001-2002© PROJECT CONSULT 2002
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
6
Ein uraltes Thema
Die Verwaltung der Dokumente,modern Dokumentenmanagement genannt,entstand ebenfalls bereits vor 5.000 Jahren in den frühen Kulturen
© Copyright PROJECT CONSULT GmbH 2002 / Autorenrecht Dr- Ulrich Kampffmeyer 2001-2002© PROJECT CONSULT 2002
Revisionssichere ArchivierungDr. Ulrich KampffmeyerMünchen, 18.05.2004
© PROJECT CONSULT 20044
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
7
Ein altes Thema
Elektronisches Dokumentenmanagement existiert seit ca. 25 Jahren.
Durch die elektronische Informationsverarbeitung wird der Dokumentbegriff neu definiert:Ein Dokument ist nur noch ein flüchtiges, virtuelles Datenobjekt
© Copyright PROJECT CONSULT GmbH 2002 / Autorenrecht Dr- Ulrich Kampffmeyer 2001-2002© PROJECT CONSULT 2002
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
8
Heute: Babylonische Sprachverwirrung
Elektronische ArchivierungElektronische Archivierung
Collaborative CommerceCollaborative Commerce
ASP / DMCOASP / DMCO
Dokumenten-Management im engeren SinnDokumenten-Management im engeren Sinn
Document WarehouseDocument Warehouse
Optical FilingOptical FilingE-BusinessE-BusinessBusiness Process ManagementBusiness Process Management
Digital SignatureDigital Signature
GroupwareGroupware
Collaborative CommerceCollaborative Commerce
Knowledge ManagementKnowledge Management
EDM Engineering Document ManagementEDM Engineering Document ManagementDRT Document Related TechnologiesDRT Document Related Technologies
Content ManagementContent ManagementScanningScanning
Asset ManagementAsset Management
Records ManagementRecords Management
Electronic Document -ManagementElectronic Document -Management ImagingImagingMultiMedia-DatenbankenMultiMedia-Datenbanken
Web Content ManagementWeb Content Management
Enterprise Content ManagementEnterprise Content Management
Enterprise Application Integration
Enterprise Application Integration
COLDCOLD
Digital Rights ManagementDigital Rights Management
DMSDMS
Intranet RepositoryIntranet
RepositoryPortalePortale
Dokumenten-Management im weiteren Sinn
Dokumenten-Management im weiteren Sinn
EAIEAI
BPMBPM
EDMEDM
WorkflowWorkflow
ECMECMEDRMSEDRMS
Automatische KlassifikationAutomatische Klassifikation
MAMMAM
Media Asset ManagementMedia Asset Management
DAMDAM
ListenarchivierungListenarchivierung
Digital Asset ManagementDigital Asset Management
Revisionssichere ArchivierungDr. Ulrich KampffmeyerMünchen, 18.05.2004
© PROJECT CONSULT 20045
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
9
Die Hybris der Analysten
Jedes Jahr neue Schlagworte und sogenannte Trends• die Anbieter sind nicht in der Lage, ständig neue
Produkte zu kreieren, Copyright PROJECT CONSULT GmbH 2002 / Autorenrecht Dr. Ulrich Kampffmeyer 2001-2002
Umetikettierung überwiegt• der Spagat, immer das Neueste zu bieten und
gleichzeitig Jahrzehnte Informationsverfügbarkeit zu garantieren, meistern nur wenige
• ständig neue Begriffe verunsichern die Anwender, verringern das Investitionsinteresse und lassen das Bild der Branche verschwimmen
© Copyright PROJECT CONSULT GmbH 2002 / Autorenrecht Dr. Ulrich Kampffmeyer 2001-2002© PROJECT CONSULT 2002
© PROJECT CONSULT 2002
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
10
Konvergenz der Technologien
• Immer mehr Funktionen für wen?• Das Marktwachstum verteilt sich auf zu viele
Anbieter und wird zunehmend von angrenzenden IT-Segmenten vereinnahmt© Copyright PROJECT CONSULT GmbH 2002 / Autorenrecht Dr. Ulrich Kampffmeyer 2001-2002
• Die Branche verliert ihr eigenständiges Profil• Aufweichen der Abgrenzung zu anderen Gebieten der
Informationstechnologie• Verschwinden der Alleinstellungsmerkmale
© Copyright PROJECT CONSULT GmbH 2002 / Autorenrecht Dr. Ulrich Kampffmeyer 2001-2002© PROJECT CONSULT 2002
© PROJECT CONSULT 2002
Revisionssichere ArchivierungDr. Ulrich KampffmeyerMünchen, 18.05.2004
© PROJECT CONSULT 20046
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
11
Definitionen
• Dokument• Archiv• Elektronische Archivierung• Records Management
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
12
Das herkömmliche Dokument
• wichtig• unterschrieben• auf Papier• nahe am Urkundenbegriff • greifbar und taktil erfahrbar• ohne Hilfsmittel lesbar• auf dem Schreibtisch verstreubar• das war doch da oben in dem Ordner links, mit dem
blauen Rand• beweisfähig• eine Willensbekundung• © PROJECT CONSULT 2002 Urheberrechte Dr. Ulr ich Kampffmeyer
Revisionssichere ArchivierungDr. Ulrich KampffmeyerMünchen, 18.05.2004
© PROJECT CONSULT 20047
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
13
• Der Begriff Dokument wird für elektronische Dokumente aus unterschiedlichsten Quellen, die in einem DV-System als Datei, Bestandteil einer Datei oder Objekt vorliegen, verwendet.
• Ein elektronisches Dokument kann heute fast alles sein:
• gescannte Seiten• digitales Fax• Farbbilder• Email-Dateien• Screen-Dumps• Output-Dateien• Multimedia-Objekte• Sprachdateien• digitales Video• Office Dokumente ...
Das elektronische Dokument
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
14
Gleichstellung von Dokumenten
• Dokumente werden vermehrt elektronisch erstellt und sind nicht mehr für eine Präsentation in Papierform ausgelegt
• Dynamische Dokumente• Elektronisch signierte Dokumente• Automatisch erzeugte Massendrucke• Datensätze, die durch beschreibende Meta-Daten und
Formatinformationen erst zum Dokument werden
• Die rechtliche Gleichstellung von Papier – und elektronischen Dokumenten ist eine der wichtigsten Voraussetzungen für das Informationszeitalter
Revisionssichere ArchivierungDr. Ulrich KampffmeyerMünchen, 18.05.2004
© PROJECT CONSULT 20048
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
15
Elektronisch signierte Dokumente
• Durch die Verwendung der elektronischen Signatur entsteht aus einer Datei ein Dokument das einem manuell unterzeichneten Papierdokument im Prinzip gleichwertig ist
• Die elektronische Signatur sichert vorrangig die Unverändertheit der Nachricht und die Authentizität des Unterzeichers
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
16
Das elektronische Dokument
Elementar Komplex Container
EinseitigesFAX
Textdatei
Textdatei mit
eingebunden
Bild / Grafik
Vorgang
Tabelle
Textdatei mitBild / Grafik
Audio
Einseitiges FAX
Tabelle
Information 1
Information 2
Information 3
© PROJECT CONSULT 2002
Revisionssichere ArchivierungDr. Ulrich KampffmeyerMünchen, 18.05.2004
© PROJECT CONSULT 20049
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
17
Das elektronische Dokumentim Content Management
Struktur und
Layout
Inhalt
Meta-Daten und Attribute© PROJECT CONSULT 2002 Autorenrecht D r. Ulrich Kampffmeyer
© PROJECT CONSULT 2002
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
18
Elektronische ArchivierungBegriffe
• Records Management• Der Begriff „elektronische Archivierung“ entspricht dem
„Records Management“ im englischen Sprachgebrauch• Langzeitarchivierung
• Unter „elektronische Langzeitarchivierung“ versteht man die Bereitstellung von Daten und Dokumenten über einen Zeitraum von mindestens 10 Jahren
• Revisionssichere Archivierung © PROJECT CONSULT 2002 Urheber rechte Dr. Ulr ich Kampffmeyer
• Unter „revisionssicherer Archivierung“ versteht man Archivsysteme, die nach den Vorgaben der Allgemeinen Abgabenordnung (HGB AO) und der GoBS Daten und Dokumente sicher, unverändert, vollständig, ordnungsgemäß, verlustfrei reproduzierbar und datenbankgestützt recherchierbar verwalten
Revisionssichere ArchivierungDr. Ulrich KampffmeyerMünchen, 18.05.2004
© PROJECT CONSULT 200410
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
19
ERM Elektronisches Records Management
• Verwaltung von Aufzeichnungen• Nicht nur für elektronische Archive, sondern auch
als Referenzsystem für andere Medien• Elektronische Aktenpläne, Thesauri und
Nomenklaturen• Wichtiges Merkmal: Langfristig stabile Metadaten• Verwaltung von archivwürdigen Objekten mit
Berücksichtigung der Aussonderung
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
20
Weitere Abgrenzungen
• Dokumenten-Management (im weiteren Sinn)• Elektronische Archivierung, COLD• Dynamisches oder klassisches Dokumenten-Management• Workflow, Groupware• Scannen
• Knowledge Management• 8 Quellen: Groupware, Dokumentenmanagement, Künstliche Intelligenz,
Data Warehouse/Data Mining, Management-Informationssysteme, Automatische Klassifikation, multimediale Datenbanken, E-Learning
• Eigene Merkmale: auto-categorisation, personalisation, agents, classification, profiling, skill-management, data mining etc.
• Enterprise Content Management• Beinhalt die Komponenten „Capture“, „Manage“ (mit Document
Management, Web Content Management, Workflow/Business ProcessManagement, Collaboration und Records Management), „Store“, „Deliver“ und „Preserve“
• Zusätzlich: Portale, Internet-basierte Technologien, Knowledge Management, ASP etc.
• Plattform für Anwendungen: E-Business, Supply Chain Management, Costumer Relationship Management, Collaborative Commerce etc.
© PROJECT CONSULT 2002
Revisionssichere ArchivierungDr. Ulrich KampffmeyerMünchen, 18.05.2004
© PROJECT CONSULT 200411
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
21
Document Life Cycle
Nutzung
Zeit
ERPDMS Workflow
Knowledge Management
FrühesArchivieren Spätes
ArchivierenNutzung der archivierten Infor-mation während des Prozesses „Endablage“ mit geringer Nutzung
Archiv
© PROJECT CONSULT 2002
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
22
ILM Information Lifecycle Management
• Betriebs- und speichersystemnahe Verwaltung von Informationen nach
• Wert• Lebensdauer• Nutzung
• Automatisierte, regelbasierte Speicherung• Nicht beschränkt auf Dokumente, schließt alle
Daten ein• Ursprung war HSM Hierarchisches
Speichermanagement• Weiterentwicklung in Richtung elektronische
Archivierung, z. Zt. besonders E-Mail-Archivierung
Revisionssichere ArchivierungDr. Ulrich KampffmeyerMünchen, 18.05.2004
© PROJECT CONSULT 200412
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
23
10 Grundsätze zur Archivierung
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
24
Die Rolle von „Codes of Best Practice“
Unverbindliche Richtlinien mit halboffiziellem Charakter
Europa: © PROJECT C ONSULT 2002 Urheberrechte Dr. U lrich Kampffmeyer
• DLM (Document Lifecycle Management)• MoReq (Model Requirements)
England: • BSI (British Standards Institution)
Deutschland: • VOI (Verband Organisation und Information)
Schweiz, Norwegen etc.• Diverse eigenständige Codes
© PROJECT CONSULT 2002
Revisionssichere ArchivierungDr. Ulrich KampffmeyerMünchen, 18.05.2004
© PROJECT CONSULT 200413
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
25
Grundsätze der elektronischen Archivierung in Deutschland
• Dokumenten-Management und elektronische Archivierung sind die Grundlagentechnologien für die Bereitstellung von Dokumenten und Informationen
• Die „Grundsätze der elektronischen Archivierung“ sollen die Rechtssicherheit des Einsatzes von Dokumenten-Management- und elektronischen Archivsystemen verbessern, damit die Nutzen- und Effizienzpotentiale künftig besser genutzt werden können
• Die „Grundsätze der elektronischen Archivierung“berücksichtigen die besonderen rechtlichen Bedingungen in Deutschland © PROJECT CONSULT 2002 Urheber rechte Dr. Ulri ch Kampffmeyer
• Die „Grundsätze der elektronischen Archivierung“ des VOI sind kein Gesetz und keine Rechtsvorschrift und ersetzen auch keine Gesetze oder Rechtsvorschriften
© PROJECT CONSULT 2002
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
26
Grundsätze der elektronischen Archivierung in Deutschland
• Nachvollziehbarkeit• Vollständigkeit• Sicherheit• Unveränderbarkeit• Ordnungsmäßigkeit• Schutz vor unberechtigtem Zugriff• Indizierung• Verfügbarkeit
© PROJECT CONSULT 2002
Revisionssichere ArchivierungDr. Ulrich KampffmeyerMünchen, 18.05.2004
© PROJECT CONSULT 200414
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
27
Revisionssichere elektronische Archivierung
• Revisionssicherheit ist nur gegeben bei Berücksichtigung des gesamten Verfahrens der Aufbewahrung und Bereitstellung von Daten und Dokumenten, also
• Organisation• Datensicherung• Umgebung• Arbeitsabläufe• Sicherheit• Kontrollsystem• Technische Auslegung• Dokumentation• Verfahrensdokumentation bei kaufmännischen
Unterlagen
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
28
Revisionssichere elektronische Archivierung
• Nach den „Grundsätzen der elektronischen Archivierung“ des VOI Verband Organisations- und Informationssysteme werden solche elektronischen Archivsysteme als revisionssicher bezeichnet, die den Anforderungen der §§ 146, 147 AO, §§ 239, 257 HGB sowie der GoBS vollständig entsprechen.
• Der Begriff „Revisionssicherheit“ ist gesetzlich nicht verankert und es existiert keine offizielle Zertifizierung für „revisionssichere“Archivsystemprodukte
Revisionssichere ArchivierungDr. Ulrich KampffmeyerMünchen, 18.05.2004
© PROJECT CONSULT 200415
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
29
1. Jedes Dokument muss unveränderbar archiviert werden
2. Es darf kein Dokument auf dem Weg ins Archiv oder im Archiv selbst verloren gehen
3. Jedes Dokument muss mit geeigneten Retrievaltechniken wieder auffindbar sein
4. Es muss genau das Dokument wiedergefunden werden, das gesucht worden ist © PROJECT C ONSULT 2002 Urheberrechte Dr. Ul rich Kampffmeyer
5. Kein Dokument darf während seiner vorgesehenen Lebenszeit zerstört werden können
6. Jedes Dokument muss in genau der gleichen Form, wie es erfasst wurde, wieder angezeigt und gedruckt werden können
„Code of Practice“ in DeutschlandZehn Merksätze (1)
© PROJECT CONSULT 2002
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
30
7. Jedes Dokument muss zeitnah wiedergefunden werden können
8. Alle Aktionen im Archiv, die Veränderungen in der Organisation und Struktur bewirken, sind derart zu protokollieren, dass die Wiederherstellung des ursprünglichen Zustandes möglich ist
9. Elektronische Archive sind so auszulegen, dass eine Migration auf neue Plattformen, Medien, Softwareversionen und Komponenten ohne Informationsverlust möglich ist © PROJECT CON SULT 2002 U rheberr echte Dr. Ulri ch Kampffmeyer
10. Das System muss dem Anwender die Möglichkeit bieten, die gesetzlichen Bestimmungen (BDSG, HGB/AO etc.) sowie die betrieblichen Bestimmungen des Anwenders hinsichtlich Datensicherheit und Datenschutz über die Lebensdauer des Archivs sicherzustellen
„Code of Practice“ in DeutschlandZehn Merksätze (2)
© PROJECT CONSULT 2002
Revisionssichere ArchivierungDr. Ulrich KampffmeyerMünchen, 18.05.2004
© PROJECT CONSULT 200416
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
31
Standards & Architekturen
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
32
Standards
• Viele der „alten“ DMS-Standards haben sich überlebt oder nicht durchgesetzt:
• veraltet: DMA, DFR, ODA, SGML ...• ums Überleben kämpfend: ODMA, WfMC ...
• Bei Dokument-Formaten steht ein Generationenwechsel an:• alt: TIFF, JPEG, HTML• neu: XML, JPEG2000, PDF
• Neue Standards im Umfeld Dokumenten-Technologie:• ISO/IETF/OASIS: 15489, WebDAV, XML-
Dialekte, Metadatenstandardselektronische Signatur ...
• branchenspezifische: DoD, Domea, OAIS ...
© PROJECT CONSULT 2002
Revisionssichere ArchivierungDr. Ulrich KampffmeyerMünchen, 18.05.2004
© PROJECT CONSULT 200417
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
33
• Im TIF-Format werden gescannte oder gefaxte Dokumente mit Kompression Gruppe4 abgelegt
• Speicherung von Merkmalen im TIFF-Header wird nicht unterstützt
• Format gilt z.B. für Eingangsrechnungen, Zeichnungen etc. © PROJECT C ONSU LT 2002 Urheberrechte Dr. U lrich Kampffmeyer
• TIFF kann auch mit Standard-Viewern angezeigt werden
Tagged Image File FormatTIFF
© PROJECT CONSULT 2002
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
34
• JPEG2000 ist seit dem 02.01.2001 offizieller Standard der ISO
• Neuer weltweiter Kompressionsstandard für statische Bilder
• Standard basiert auf einer Wavelet-Kompression, • Weiteres Speicherformat mit der Endung ".j2k„ für
die Einsatzgebiete• elektronische Speicherung © PROJEC T CONSULT 2002 U rheberr echte Dr. Ulri ch Kampffmeyer
• elektronische Archivierung • Langzeitarchivierung
Joint Photographic Expert GroupJPEG 2000
© PROJECT CONSULT 2002
Revisionssichere ArchivierungDr. Ulrich KampffmeyerMünchen, 18.05.2004
© PROJECT CONSULT 200418
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
35
eXtensible Markup LanguageXML
InhaltDTD, Schema XSL
(Layout)
XML
© PROJECT CONSULT 2002
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
36
• Von der Firma Adobe entwickelt• Dateiformat mit dem es möglich ist, elektronische Dokumente
unabhängig von• Textverarbeitungsprogramm und/oder• Betriebssystem © PROJEC T CON SULT 2002 Ur heberrechte D r. Ulrich Kampffmeyer
originalgetreu zu nutzen• Ist statisch und beinhaltet alle Layout- und
Schriftinformationen des Originals• Unterstützt eine flexible Architektur für digitale Unterschriften• Für steuerlich relevante Unterlagen ist das PDF Format nicht
zugelassen• PDF- Format ist eine Weiterentwicklung von Postscript (.ps)• Wird mit dem kostenlosen Acrobat Reader oder anderen
PDF-Viewern gelesen• Wird durch die ISO als PDF/X und PDF/A international
standardisiert
Portable Document FormatPDF
© PROJECT CONSULT 2002
Revisionssichere ArchivierungDr. Ulrich KampffmeyerMünchen, 18.05.2004
© PROJECT CONSULT 200419
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
37
Digitale optische Speichermedien:
• WORM (Write Once Read Many)• CD (Compact Disk) © PROJECT CONSU LT 2002 Urheberrechte Dr. Ulri ch Kampffmeyer
• DVD (Digital Versatile Disk)
Werden physikalische WORM-Medien überhaupt noch gebraucht?
Alternative digitale Archivspeichermedien:• WORM Tape• Festplattensysteme
Standards von Speichermedien
© PROJECT CONSULT 2002
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
38
Standards von SpeichermedienWORM (Write Once Read Many)
• Soft WORM sind im Prinzip wiederbeschreibbare Medien
• True WORM sind physisch nur einmal beschreibbare Medien
• Lesbarkeit der Daten bis 40 Jahre „garantiert“• Neue Entwicklung UDO speichert bis zu 30
GigaByte pro Medium• Zugriff i.d.R. über SCSI (1,2 - 2,3 MByte/s), relativ
gering• Teure Medien
© PROJECT CONSULT 2002
Revisionssichere ArchivierungDr. Ulrich KampffmeyerMünchen, 18.05.2004
© PROJECT CONSULT 200420
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
39
Standards von SpeichermedienCD (Compact Disk)
• CD-ROM (ist nur lesbar, nicht beschreibbar)• CD-R (einmal beschreibbar, dann nur noch lesbar)• CD-RW (ca. 1000-fach beschreibbar, dann nur
noch lesbar)• CD-I (Interaktive Spiele etc.) • Photo-CD • CD-Extra (Audio -und Datenspur nebeneinander)• Lesbarkeit der Daten 10-15 Jahre• Aufnahmekapazität bis zu 800 MB je Medium• Zugriff über SCSI oder IDE (bis zu 10,8 MB/sek.)• Günstige Medien• International standardisiert
© PROJECT CONSULT 2002
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
40
Standards von SpeichermedienDVD (Digital Versatile Disk)
• Gleiche Abmessung wie eine CD• Nicht standardisiert• Zwei Schichten pro Seite (beidseitig) und andere• Verschiedene Formate, weitere zu erwarten• Aufnahmekapazität bis zu 17 GB je Medium• Zugriff über SCSI oder IDE (20,8 MB/sek.)• Teurere Medien als CD
© PROJECT CONSULT 2002
Revisionssichere ArchivierungDr. Ulrich KampffmeyerMünchen, 18.05.2004
© PROJECT CONSULT 200421
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
41
WORM-Tapes
• Von Sony (AIT) oder StorageTek (VolSafe)• Auch für die allgemeine Bandsicherung nutzbar• Hohe Sicherheit bei ordnungsgemäßem
Rechenzentrumsbetrieb und der regelmäßigen Migration
• Aufnahmekapazität bis zu 1 TeraByte je Medium (komprimiert)
• Zugriffsgeschwindigkeiten mit denen von herkömmlichen WORMs vergleichbar oder schneller
• Medien durch große Kapazität relativ günstig
© PROJECT CONSULT 2002
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
42
Festplattenspeicher
• Z.B. Centera von EMC• Einfaches Management• Sehr schnell Datenzugriffe• Unveränderbarkeit und Wahrung der Authentizität
der Daten• Wahrung der Integrität• Replikation• Ein 19inch Rack fasst bis zu 9,6TB (gespiegelt)
© PROJECT CONSULT 2002
Revisionssichere ArchivierungDr. Ulrich KampffmeyerMünchen, 18.05.2004
© PROJECT CONSULT 200422
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
43
Festplattenspeicher
CAS Content Adressed Storage(z.B. Centera von EMC2)
• Unabhängig von der Anwendung• Signatur aus dem Inhalt des Objekts• Bei Veränderungen des Inhalts eines Objekts wird
automatisch eine neue Version erzeugt• Die Unveränderbarkeit der gespeicherten
Information wird durch die Software sichergestellt
© PROJECT CONSULT 2002
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
44
Architektur
Systemarchitekturen Referenz-Datenbanksysteme
Plattformen
Revisionssichere ArchivierungDr. Ulrich KampffmeyerMünchen, 18.05.2004
© PROJECT CONSULT 200423
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
45
© PROJECT CONSULT 2002 Autorenrecht D r. Ulrich Kampffmeyer
Architektur von ArchivsystemenTraditionelle Referenz-Datenbank
Pointer
Speichersystem
Referenz-Datenbank
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
46
© PROJECT CONSULT 2002 Autorenrecht D r. Ulrich Kampffmeyer
Architektur von ArchivsystemenAblage-Ebene (1)
Dienste:• Speicherhierarchie• Informationsobjektverwaltung• Caching• Versionsmanagement• Konverter• Unique Identifier - Generator• Lokalisiereru.a.
Schnittstelle Archiv
Speichermedium
SchnittstelleBK-Software
SchnittstelleApplikation
SchnittstelleVorgangsbearbeitung
SchnittstelleGroupware ..........
Integrierte
oder
externeDatenbank
Integrierte
oder
externeDatenbank
HD
Festplatte
Revisionssichere ArchivierungDr. Ulrich KampffmeyerMünchen, 18.05.2004
© PROJECT CONSULT 200424
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
47
© PROJECT CONSULT 2002 Autorenrecht D r. Ulrich Kampffmeyer
Architektur von ArchivsystemenArchiv-Ebene (2)
IRSInformation Retrieval System
Verwaltungssoftware für die physikalischeAdressierung der Informationsobjekte
Pflegesoftware
Schnittstellezur Indexdatenbank
Schnittstellezum Ablagesystem
Online Archiv Offline Archiv
Treibersoftware
Laufwerke
Jukebox
Speichermedium
ausgelagerteOffline-Medien
Jukebox
IRS
DB
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
48
© PROJECT CONSULT 2002 Autorenrecht D r. Ulrich Kampffmeyer
ModulareC/S-
Anwendungen
Web-ServerEngines
Geschlossene "Insel"-Anwendungen
Client
Applikation
DMS
Alle benötigten Anwendungenmüssen in den Clienten und die DMS-Applikation einge-bunden werden
Kein Dienste-Konzept
Häufig fehlende Modularität
Traditionelle monolithische Anwendungen
Architektur von ArchivsystemenDMS-Architekturen (2)
Revisionssichere ArchivierungDr. Ulrich KampffmeyerMünchen, 18.05.2004
© PROJECT CONSULT 200425
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
49
© PROJECT CONSULT 2002 Autorenrecht D r. Ulrich Kampffmeyer
Traditionelle monolithische Anwendungen
Web-ServerEngines
Jukebox
WorkflowDMS
Anwendungen
WorkflowDMS
Anwendungen
Client
ServerDienste
DMS-Repositories
Benutzeroberfläche
Index-DB
DMS alsMaster-Anwendung
ModulareC/S-
Anwendungen
Architektur von ArchivsystemenDMS-Architekturen (3)
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
50
Traditionelle monolithische Anwendungen
ModulareC/S-
Anwendungen
Web-Server
Anwendung
Jukebox
AnwendungClient
ServerDienste
DMS-Repositories
DMSWorkflow
Workflow DMS
EngineDB
DMS EnablingAnwendung
Engines
• Keine eigenen Clienten• Image- und Document-Management-Enabling von
kommerziellen Anwendungen• Workflow- und Document-Management-Service-
Engines werden in kommerzielle Anwendungen integriert
Architektur von ArchivsystemenDMS-Architekturen (4)
Revisionssichere ArchivierungDr. Ulrich KampffmeyerMünchen, 18.05.2004
© PROJECT CONSULT 200426
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
51
© PROJECT CONSULT 2002 Autorenrecht D r. Ulrich Kampffmeyer
Traditionelle monolithische Anwendungen
ModulareC/S-
Anwendungen
Engines
ServerDienste
DMS-Repositories
BrowserApplet
Jukebox
DMS-Service
Web-Server
Web-Server
Architektur von ArchivsystemenDMS-Architekturen (5)
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
52
© PROJECT CONSULT 2002 Autorenrecht D r. Ulrich Kampffmeyer
Ablage-Ebene
ClientOberfläche
Recherche-Client
LokalesDokument -ten -Mana -
gement
ViewerAnzeige-
komponenteZugriff
“Enabling”
Anwendung
LokalesDokument -ten -Mana -
gement
Viewer-Anzeige-
komponenteZugriff
Daten-bankCacheLokali -
siererUnique
IdentifierKonverter Versions -Management
Archiv-Ebene
IRS Speicher-system-
verwaltung
Benutzer-verwal -
tungWorkflowNotesFAX
...
Autori -sierung -Interface
WorkflowGroup -ware -
Interface
Fax-Interface
Eine Archivsystemschnittstelle
Verschiedene Schnittstellen
Architektur von ArchivsystemenSchichten-Architektur (1)
...
IRS Speicher-system-
verwaltung
IRS Speicher-system-
verwaltung
IRS Speicher-system-
verwaltung
IRS Speicher-system-
verwaltung
Revisionssichere ArchivierungDr. Ulrich KampffmeyerMünchen, 18.05.2004
© PROJECT CONSULT 200427
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
53
• Die USA galten lange Zeit als die Vorreiter in Sachen Kryptografie
• Trotz des jahrelangen Schutzes ihrer Algorithmen wurde das Public Key-Verfahren kaum vorangetrieben
• Die PKI-Lösungen werden insgesamt als unzureichend gelöst bewertet
• Aus diesem Grund wird den biometrischen Verfahren der Vorzug gegeben
• Diese gewährleisten allerdings nur Sicherheit im Bereich der Autorisierung und nicht bei der Authentifzierung und Datenintegrität
• Damit verfolgen die USA primär den Weg der „Einfachen Signatur“. Ein Wandel ist nun allerdings festzustellen
• In Standardprodukte integrierte Software aus den USA kann alle europäischen und nationalen Bemühungen obsolet machen
Elektronische Signatur USA – Elektr. Signatur & Kryptographie
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
54
Elektronische Signatur SmartCards
• In Deutschland steht die Diskussion erst am Anfang• Unzureichende Kryptoprozessoren und hohe
Sicherheitsanforderungen gestalten die Verarbeitung auf der Karte schwierig
• Erste Ideen in Verbindung mit der Geldkarte• Beispiel Finnland: Kombination mit
Personalausweis
Revisionssichere ArchivierungDr. Ulrich KampffmeyerMünchen, 18.05.2004
© PROJECT CONSULT 200428
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
55
Funktionale Anforderungen
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
56
Anforderungen an unternehmensweite elektronische Archivsysteme
• Speicherung aller Arten von Informationen• Konsistente Langzeitspeicherung unveränderlicher
Informationen• Dienstekonzept• Eigener Recherche-Client oder Integration in
vorhandene Anwendungen• Zentrale und verteilte Indexdatenbanken• Modular ausbaubar• Schutz für den Zugriff auf Informationen• Sicherheit der Systeme• Einfache Nutzbarkeit und einfacher Betrieb
© PROJECT CONSULT 2002
Revisionssichere ArchivierungDr. Ulrich KampffmeyerMünchen, 18.05.2004
© PROJECT CONSULT 200429
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
57
Funktionale Anforderungen
Grundfunktionen• Erfassen• Erschließen• Verwalten• Speichern• Finden• Zugänglich machen• Sichern• Reproduzieren• Integrieren Copyright PROJECT CONSULT GmbH 2002 / Autorenrecht Dr. Ulrich Kampffmeyer 2001-2002
• Migrieren© Copyright PROJECT CONSULT GmbH 2002 / Autorenrecht Dr. Ulrich Kampffmeyer 2001-2002
© PROJECT CONSULT 2002
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
58
Funktionale Anforderungen an DMS
• Eingabe- und Verarbeitungsfunktionen für das Erstellen, Editieren, Sichern und Ablegen von Dokumenten in einer elektronischen Dokumentbibliothek
• Retrieval- und Anzeigefunktionen für die Lokalisierung der Dokumente unter Verwendung von Katalog- und Inhaltsinformationen und die Anzeige der Dokumentinformationen
• Kontroll- und Genehmigungsfunktionen für die Dokumente (Markierungen, Annotationen, Extrahieren und gemeinsames Verwenden von Daten und Informationen zwischen verschiedenen Dokumenten und Benutzern)
• Dokumenten-Services, Speicher- und Administrationsfunktionen
© PROJECT CONSULT 2002
Revisionssichere ArchivierungDr. Ulrich KampffmeyerMünchen, 18.05.2004
© PROJECT CONSULT 200430
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
59
Ein- und Ausgängeaus DokumentensichtFremdbestimmt EigennutzungDFÜE-Mail- Attachment- SignaturFaxPosteingang- Akte- DokumenteInternet-Formular„no-Scans“
EigenbestimmtE-Mail- AttachmentScanOffice (Word)ColdDatenFormulare
IntranetSicherheitskopienStatistikProtokollVorgängeDokumenteE-MailDruck
FremdnutzungDfüDokumenteVorgängeVordruckeE-MailWebseitePrüfung
DRT-Lösung
Vorgangs-bearbeitung
WF DMS Akte
Archiv
Aus-sonderung
Historisches Archiv
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
60
Erfassung
• Arten von Daten und Informationen die erfasst werden
• Computergestützte Erfassung (=Document Imaging) • Nichtkodierte Informationen (NCI) sind Bilder, Sprache,
Ton, Video etc., die vom Rechner nicht direkt verarbeitbar sind. Eine typische NCI-Anwendung ist die Erfassung von Dokumenten mit Scannern und deren Behandlung als Faksimiles © PROJECT CONSULT 2002 Urheberrechte Dr. Ulr ich Kampffmeyer
• Kodierte Informationen (WORD, etc.)
• Arten der Erfassung von Informationen• vollautomatisch (OCR, ICR)• teilautomatisch • manuell
© PROJECT CONSULT 2002
Revisionssichere ArchivierungDr. Ulrich KampffmeyerMünchen, 18.05.2004
© PROJECT CONSULT 200431
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
61
ScannenUnterschiede und Problemfelder
• Individuelles Schriftgut• Eindeutig identifizierbar• Schlecht identifizierbar• „No-Scans“
• Vordrucke• Selbst gestaltet• Fremdvordrucke
• Gleichbehandlung• Scannen und Fax• E-Mail• Internet-Formulare
© PROJECT CONSULT 2002
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
62
© PROJECT CONSULT 2002 Autorenrecht D r. Ulrich Kampffmeyer
Frühes Erfassen
Post-eingang
Papier
Scannen VisuelleQS
Basis-index. &Routing
Ablage/Archiv
Sach-bearbeitung Retrieval
Zugriff auf E-Daten / Dokumente möglich
E-Daten/-Dokumente
© PROJECT CONSULT 2002
Revisionssichere ArchivierungDr. Ulrich KampffmeyerMünchen, 18.05.2004
© PROJECT CONSULT 200432
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
63
Paralleles Erfassen
Post-eingang
Papier
Scannen VisuelleQS
Basis-index. &Routing
Ablage/Archiv
Retrieval
Zugriff auf E-Daten/ Dokumente möglich
E-Daten/-Dokumente
Sach-bearbeitung
© PROJECT CONSULT 2002
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
64
Spätes Erfassen
Post-eingang
Papier
Scannen(teilautom.)
Ablage/Archiv
Retrieval
Zugriff auf E-Daten/
Dokumente möglich
E-Daten/-Dokumente
Sach-bear-
beitung
Option.Indizie-
rung
VisuelleQS
Basis-index. &Routing
© PROJECT CONSULT 2002
Revisionssichere ArchivierungDr. Ulrich KampffmeyerMünchen, 18.05.2004
© PROJECT CONSULT 200433
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
65
SAP Document ArchivingEingangsdokumente
R/3Client / Server
ABAP/4
FI
CO
AM
PS
WF
IS
MM
HR
SD
PP
QM
PM
Paper
Barcode
Posting Automatedlinking
Late scanning
Abcdefghijklmn
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
66
VersicherungPosteingangsverarbeitung
SB in derArbeits-vorbereitung
Scannen(QS Stufe 1)
Indizierungund Clearing(QS Stufe 2)
SB im Service-center und imFachbereich(QS Stufe 3)
Schriftguteingang Expedition DMS-integrierteSparten/Bereiche
Indizierung Clearing
Qualitätsgesicherte Dokumentobjekte zur Freigabe an DMS
Direktion
Scannen...
Nicht eindeutig zustellbar
Formalisiert/Individuell
Regelwerk / Verteiler
DV-gerecht
SachbearbeiterServicecenter
...SB-Pools
SachbearbeiterFachbereich
...SB-"Mini"-Pools
Sonstiges
...z.B. Inkasso, Agenturen
Schlechte Qualität,falsche Zustellung
etc.
Weiter-leitung
Zwischen-ablage
(ca.1 Monat)
Original-archiv
Nicht DMS-integrierte
Sparten/Bereiche
formalisiert-DV-gerecht
Betrieb Schaden Inkasso Rechnungs-wesen
formalisiert-nicht-DV-gerecht
Vor-gangsart
Vor-gangsart
Vor-gangsart
Vor-gangsart
Formu-larart
Verteilung in Papierform
PersönlicheZustellungen
nicht eindeutig zustellbar
© PROJECT CONSULT 2002
Revisionssichere ArchivierungDr. Ulrich KampffmeyerMünchen, 18.05.2004
© PROJECT CONSULT 200434
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
67
Elektronisch signieren beim Scannen?
Wert der Signatur?• Nur Bestätigung, dass vollständig und lesbar erfasst wurde• Keine Beziehung zum Absender / Nutzer der Nachricht
Scanner
Signature-Server
Archiv-ServerPC
Smart-Card
oderArchiv
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
68
Indizierung
• Mit Hilfe eines kontrollierten Wortschatzes werden Objekte einheitlich und eindeutig strukturiert
• Informationsobjekte in Archivsystemen werden identifiziert, inhaltlich beschrieben und geordnet
• Unterschiedliche Methoden:• Volltext Indizierung• Manuelle Indizierung• Automatsche Klassifikation• Automatische Teilindizierung
© PROJECT CONSULT 2002
Revisionssichere ArchivierungDr. Ulrich KampffmeyerMünchen, 18.05.2004
© PROJECT CONSULT 200435
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
69
Unterschiede
• Ordnungskriterien, z.B. Ordnerstrukturen• Klassen, z.B. Dokumentenklassen• Identifizierende Merkmale, z.B. Versicherungs-
nummer• Klassifizierende Merkmale, z.B. Schlagworte• Status-Merkmale, z.B. zur Verwaltung
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
70
Objekt
Ordnung- Visualisierung- Ablage
IdentifizierendeMerkmale- Identifikation- Fachbezeichnung
KlassifizierendeMerkmale- Inhaltlicher Bezug
Inhaltliche Rechte
Schlagworte- Beschreibende Merkmale- Freitext
Klassen mit Vererbung- Rechte- Schlagworte- Aufbewahrungsfristen- Zuordnung- etc.
Status-Merkmale- Verwendung- Steuerung
Unique Identifier- Eineindeutige Systemkennung
Revisionssichere ArchivierungDr. Ulrich KampffmeyerMünchen, 18.05.2004
© PROJECT CONSULT 200436
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
71
Struktur der virtuellen Akte
@akte
Objekt
Register
Vorgang
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
72
Anspruch an die Indizierung
• Der Datenbank-Index ist das Hauptzugriffskriterium• Der Index muss die Identifizierbarkeit,
Lokalisierbarkeit und Auffindbarkeit der Dokumente garantieren
• Ergebnisse müssen immer richtig, vollständig, eindeutig, aktuell sowie den Berechtigungen und Suchkriterien entsprechend sein
• Über alle Informationen direkt suchen geht nur bei interpretierbaren Daten, Vorstrukturierung und überschaubaren Mengen (nicht in der Jukebox)
• Aber: Content Management und Media Asset Management Systeme funktionieren anders
Revisionssichere ArchivierungDr. Ulrich KampffmeyerMünchen, 18.05.2004
© PROJECT CONSULT 200437
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
73
Kontrollierter Wortschatz
• Der kontrollierte Wortschatz entspricht einer zentral gepflegten Fachbegriffssystematik
• Je nach Ausbau vergleichbar mit einem Thesaurus• Einheitlich für alle Informationen in einem
Unternehmen zu verwenden• Durch die Verwendung von Referenzvariablen
unabhängig von Veränderungen im Sprachgebrauch © PROJECT C ONSU LT 2002 Urheberrechte Dr. Ulrich Kampffmeyer
• Multilingualität• Gut kombinierbar mit regelbasierten Mechanismen
der automatischen Klassifikation
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
74
Eindeutige Indizierung
• WiderspruchAutomatische Klassifikation / herkömmliche Indizierung
• Stabilität• Volltext versus strukturierte Erschließung• Suchmaschinen „a la Google“ © PROJEC T CON SULT 2002 Ur heberr echte D r. Ulrich Kampffmeyer
Revisionssichere ArchivierungDr. Ulrich KampffmeyerMünchen, 18.05.2004
© PROJECT CONSULT 200438
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
75
Automatische Klassifikation vs. kontrolliertem Wortschatz (1)
• Manuelle Indizierung von Dokumenten stellt häufig einen Engpass dar
• Lediglich im COLD-Umfeld ist die Extraktion von Indexmerkmalen aus dem Output selbst eine übliche Verfahrenstechnik © PROJECT CONSULT 2002 Urheber rechte Dr. Ulri ch Kampffmeyer
• Die automatische Klassifikation selbst kann in zwei technologische Gruppen unterschieden werden:
• Regelbasierter Ansatz• Selbstlernender Verfahren
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
76
Automatische Klassifikation vs.Kontrollierter Wortschatz (2)
• Regelbasierter Ansatz• setzen eine manuelle Definition der zu unterscheidenden
Merkmale voraus (transparent)• Bei Änderung von Merkmalen müssen auch die Regeln
angepasst werden• Verwendbar für eine komplette automatische Indizierung
• Selbstlernender Verfahren• erkennen aufgrund der Informationen selbst, welches die
relevanten Unterscheidungskriterien sind (nicht transparent)
• eine gewisse Lernmenge an manuell klassifizierten Informationen muss mitgeteilt werden
• Der Grad für eine „sichere“ Einsortierung lässt sich durch Festlegung entsprechender Schwellwerte einstellen
• mit einer überdimensionierten Lernmenge tritt der Effekt des Übertrainierens ein
• Reine Einsortierung, ersetzt i.d.R. keine komplette Indizierung
Revisionssichere ArchivierungDr. Ulrich KampffmeyerMünchen, 18.05.2004
© PROJECT CONSULT 200439
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
77
Automatische Klassifikation vs.Kontrollierter Wortschatz (3)
• Nur durch die automatische Klassifikation von Dokumenten ist den Unternehmen allerdings wenig geholfen
• Wertvoll sind Lösungen, die die relevanten Daten extrahieren und mit Informationen aus operativen Systemen abgleichen
• Dieser Abgleich kann sowohl mit klassifizierenden Merkmalen (Stammdaten) erfolgen als auch mit klassifizierenden Merkmalen (inhaltlich beschreibend)
• Zum Abgleich mit klassifizierenden Merkmalen bietet sich ein kontrollierter Wortschatz an
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
78
Berechtigungssystem (1)
• Zugriffsberechtigungen, Sichten und Funktionen werden über die Rollen und Gruppen der Benutzerverwaltung gesteuert
• Entsprechend der Benutzergruppen und Rolle sind unterschiedliche Sichten vorhanden © PR OJECT CONSULT 2002 Urheberrechte Dr . Ulrich Kampffmeyer
• Berechtigungen:• Benutzer:
Berechtigungen sollten nie an Einzelpersonen festgemacht werden, sondern neutralen Benutzergruppen zugeordnet werden.
• Benutzergruppe:Neutrale Benutzergruppe beinhalten vertikale (Lesen, Schreiben etc.) und horizontale Berechtigungen (Dokumentenklassen) in entsprechender Kombination
© PROJECT CONSULT 2002
Revisionssichere ArchivierungDr. Ulrich KampffmeyerMünchen, 18.05.2004
© PROJECT CONSULT 200440
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
79
Berechtigungssystem (2)
Berechtigungen:• Dokumentklasse:
Dokumentobjekten selbst können bestimmte Berechtigungsinformationen tragen. Durch die Zuordnung zu Dokumentklassen werden die Klassenmerkmale weitergegeben.
• Sicherheitsanforderungen:Dokumentobjekte gelten für die aktuelle Aufbewahrungsfrist. Sie können weder mutwillig noch versehentlich gelöscht werden können
© PROJECT CONSULT 2002
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
80
COLDDefinition
COLD: Ursprünglich für Computer Output on Laserdisk
Heute:• Archivierung von strukturierten Daten als Listen
(Listenarchivierung, Transaktionsarchivierung)
• Archivierung von Druckoutput mit Strukturen und Layout-Informationen (Druck-Output)
• Migration mit Übernahme von Daten und Objekten zur Füllung von Datenbanken und Repositories
COLD-Schnittstelle wird zur allgemeinen Import-Schnittstelle
© PROJECT CONSULT 2002
Revisionssichere ArchivierungDr. Ulrich KampffmeyerMünchen, 18.05.2004
© PROJECT CONSULT 200441
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
81
COLDProzesse
• Konverter: • Formatumwandlung• Indexkomplettierung
• Archiv:• Indizierung• Archivobjektbildung
• Index-DB: • Primär-und Sekundär-Index • Volltext
• Speicher:• Einzelobjektarchivierung• Containerarchivierung
© PROJECT CONSULT 2002 Autorenrecht D r. Ulrich Kampffmeyer
HOST Konverter
Index-DB
ArchivSpeicher
AnwendungKonverter
Datenbank
Daten
Output-Objekte
ImportfähigeObjekte
Indexeinträge
Archivobjekte
© PROJECT CONSULT 2002
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
82
COLD-ArchivierungSpeicherformatePlain Text
• Keine grafischen Formatierung• Betriebssystemspezifische Font-Definitionen• Layout-Hinterlegung für Anzeige und Druck
PDF• Farbe, grafische Elemente• Kann andere Formate enthalten• Layouthinterlegung muss bei der Archivierung erfolgen• Zusätzlicher Viewer erforderlich
AFP• Ressourcen müssen vorgehalten oder mitarchiviert werden
BETA93• Proprietäres Format• Wird auch für Beta97 verwendet
© PROJECT CONSULT 2002
Revisionssichere ArchivierungDr. Ulrich KampffmeyerMünchen, 18.05.2004
© PROJECT CONSULT 200442
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
83
Elektronisch signieren beim Output?
Wert der Signatur?Keine persönliche Unterschrift entsprechend Signaturgesetz (SigG)
Datenbank /Anwendung
Archiv-Server
Druckauf-bereitung
DFÜ (elektronisch signiert)
oder
E-MailBriefFax
Smart Card
oder
ListeDatensatzDFÜ-Kopie
Archiv
© PROJECT CONSULT 2002 Autorenrecht D r. Ulrich Kampffmeyer
Signature-Server
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
84
Transaktionsarchivierung
• Gewährleistung des langfristigen Datenzugriffs• Im eBusiness-Umfeld entstehen Dokumente
anderer Qualität• Es wird nicht mehr ausreichen, die reinen
Informationen zu archivieren• Zukünftig werden Informationen in ihrem
sachlogischen, zeitlich definierten Zusammenhang reproduziert werden müssen © PR OJECT CONSULT 2002 Urheberrechte Dr . Ulrich Kampffmeyer
Revisionssichere ArchivierungDr. Ulrich KampffmeyerMünchen, 18.05.2004
© PROJECT CONSULT 200443
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
85
TransaktionsarchivierungDarstellung
• Log-Datei
• Screen-Dump
ApplicationServer / Portal
Browserhttp:https:
Archiv
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
86
BetriebsanforderungenBedingungen
• Aufstellung• Zugangskontrolle• Server und Jukeboxen abschließbar• Klimatisierung• Vorkehrungen gegen Staub, elektrostatische Aufladung
etc.• Brandschutz © PROJECT CONSULT 2002 Urheberrechte Dr. Ul rich Kampffmeyer
• Handhabung von Speichermedien• Sicherungskopien• Benutzung, Transport und Lagerung von Offline-Medien
• Überprüfung und Wartung• Routine-Untersuchungen• Dokumentation• Präventive Wartung und Tests
© PROJECT CONSULT 2002
Revisionssichere ArchivierungDr. Ulrich KampffmeyerMünchen, 18.05.2004
© PROJECT CONSULT 200444
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
87
BetriebsanforderungenProzesse
• Betriebsstörungen dürfen keine Inkonsistenzen oder Datenverlust verursachen
• Optimales Zusammenspiel von Betriebssystemen und Archivkomponenten
• Prozesse wie Erfassung, Indizierung, Transport im System etc. müssen gegen unbefugten Eingriff besonders gesichert sein
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
88
Protokollierung
• Wahrung der Nachvollziehbarkeit im Sinne der GoBS• Die revisionssichere Protokollierung führt in Verbindung mit
der Verfahrensdokumentation zu einem sogenannten „elektronischen Dokument hoher Qualität“
• Protokollierung von:• Wartung und Softwareupdates • Einrichtung und Änderung von Benutzerdaten• Einstellen, Ändern und Löschen von Dokumenten• Änderung am Datenmodell• Fehlern• Verlustbehafteten Konvertierungen• etc.
• Protokollsätze mit den Angaben von Benutzer, Signaturcode, Datum/Uhrzeit, Unique Identifier des Informationsobjekts, etc.
© PROJECT CONSULT 2002
Revisionssichere ArchivierungDr. Ulrich KampffmeyerMünchen, 18.05.2004
© PROJECT CONSULT 200445
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
89
Journale
• Verbesserung der rechtlichen Anerkennung durch revisionssichere Protokollierung
• Die revisionssichere Protokollierung führt in Verbindung mit der elektronischen Unterschrift und der Verfahrensdokumentation zu einem sogenannten ”elektronischen Dokument hoher Qualität” mit einer verbesserten Rechtssicherheit
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
90
Journale
Notwendige Protokollierungen sind im Bereich:• Pflege• Einrichtung und Änderung von Benutzerdaten,• Einstellen und Löschen von Signaturen, wenn diese
auf dem Server hinterlegt sind,• Nutzung• Protokollsätze mit den Angaben Benutzer,
Signaturcode, Datum/Uhrzeit und Unique Identifierdes Informationsobjekts.
Revisionssichere ArchivierungDr. Ulrich KampffmeyerMünchen, 18.05.2004
© PROJECT CONSULT 200446
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
91
Journale
Die Sicherheitsmerkmale sind:• die Prüfsumme im Dokumentenheader,• die Eindeutigkeit des Unique Identifier,• die Unveränderbarkeit des Dokuments und des
Protokolls beim Speichern,• die Verfahren sind in sich geschlossen, d. h. es
existiert keine manuelle Eingriffsmöglichkeit,
das Verfahren ist nach GoBS in der Verfahrensdokumentation beschrieben.
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
92
Journale
OfficeDokument
Signatur-Header
OfficeDokument
Informationsobjekt-Header
Signatur-Header
OfficeDokument
Informationsobjekt-Protokoll
UI X Y ZUI,Datum,etc.
Daten zur Nutzung der Signatur
Erstellen Signieren Archivieren Protokollieren
Revisionssichere ArchivierungDr. Ulrich KampffmeyerMünchen, 18.05.2004
© PROJECT CONSULT 200447
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
93
Berechtigungen
Ziel sollte sein, möglichst vorhandene Benutzerverwaltungssysteme zu integrieren oder zumindest deren Daten zu nutzen zu können
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
94
BerechtigungenNeutrale Benutzerberechtigungen
Benutzer• Berechtigungen sollten nie an Einzelpersonen festgemacht
werden, sondern neutralen Benutzergruppen zugeordnet werden
Benutzergruppe• Neutrale Benutzergruppen beinhalten vertikale (Lesen,
Schreiben etc.) und horizontale Berechtigungen (Dokumentenklassen) in entsprechender Kombination
Dokumentklasse• Dokumentobjekten selbst können bestimmte
Berechtigungsinformationen tragen. Durch die Zuordnung zu Dokumentklassen werden die Klassenmerkmale weitergegeben.
Sicherheitsanforderungen• Dokumentobjekte gelten für die aktuelle Aufbewahrungsfrist.
Sie können weder mutwillig noch versehentlich gelöscht werden können.
Revisionssichere ArchivierungDr. Ulrich KampffmeyerMünchen, 18.05.2004
© PROJECT CONSULT 200448
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
95
Datenschutz und Datensicherheit
Benutzer-profile
Benutzer-profile
datenschutz-rechtliche
Vorschriften
datenschutz-rechtliche
VorschriftenMigrationMigrationorganisatorische
Planungenorganisatorische
Planungen
Software-komponenten
Software-komponenten
Hardware-komponenten
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
96
Restart - Wiederanlauf
• Wiederanlauf nach Betriebsstörungen• Verlust der Netzwerkverbindung• Störungen der Indexdatenbank• Störungen des IRS• Störungen der optischen Speichereinheit• Störungen (z.B. Überlauf) der temporären Speicher• Der Wiederanlauf stellt sicher, dass die Systeme
kurzfristig mit herkömmlichen DV-Mitteln ohne Dokumentenverlust weiterarbeiten können
• Gegebenenfalls ist ein Teil-Recovery notwendig, um die Konsistenz im System wieder herzustellen
Revisionssichere ArchivierungDr. Ulrich KampffmeyerMünchen, 18.05.2004
© PROJECT CONSULT 200449
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
97
Verfahren zum Wiederanlauf
• Redundante Systeme• z.B. gespiegelter Server, RAID, Dual Homing etc.
innerhalb eines Systems • z.B. Sicherheitsrechenzentren
• Problem:hohe Kosten, aufwendiger Betrieb
• Einspielen von Sicherungen• z.B. Bandsicherungen
Problem: Teile der aktuellen Daten- und Dokumentenbestände fehlen, Teil-Recovery und Konsistenzabgleich erforderlich
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
98
Teil-Recovery
• Definierte Teile des optischen Archivs sind nicht mehr verfügbar
• Teil-Recovery, z.B.• Recovery über einen bestimmten Zeitraum• Recovery eines Mediums• Recovery einer bestimmten Dokumentengruppe
oder eines bestimmten Dokumentenortes• Durch das Zusammenwirken von Teil-Recovery
und Wiederanlauf wird das System nach Störungen konsistent wieder bereitgestellt
Revisionssichere ArchivierungDr. Ulrich KampffmeyerMünchen, 18.05.2004
© PROJECT CONSULT 200450
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
99
Voll-Recovery
• Komplettes Archiv oder Archiv-Subsystem ist ausgefallen
• Voll-Recovery• Recovery meint in der Regel den Wiederaufbau
des gesamten Systems von den optischen Speichermedien
• Durch das Zusammenwirken von Voll-Recovery mit Wiederanlauf wird das System nach Störungen konsistent wieder bereitgestellt
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
100
Herkömmlich• Datenbank, Netzwerk etc. werden über Bänder gesichert• Im Archiv liegen nur die Dokumente selbst
(in Zukunft für revisionssichere Archivierung nicht mehr zulässig)
Zusätzliche Sicherung über digitale optische Speicher• Zugriffs- und Indexinformationen werden als String nahe beim
Dokument gespeichert• Teile der Datenbank werden mit auf die gleiche Seite der
optischen Platte geschrieben• Es werden “Self contained”-Informationsobjekte archiviert, die
im Header alle notwendigen Informationen mit sich tragen(sicherste Methode; auch für den Austausch von Dokumenten geeignet)
Verfahren der Absicherung für den Recovery-Fall
Revisionssichere ArchivierungDr. Ulrich KampffmeyerMünchen, 18.05.2004
© PROJECT CONSULT 200451
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
101
MigrationInteressenskonflikt
Ein schwerwiegender Interessenkonflikt:
• Der Gesetzgeber fordert Aufbewahrungsfristen von 10 oder mehr Jahren
• Informationen sollen langfristig verfügbar seinDer Markt entwickelt sich stürmisch weiter: jedes Jahr neue Software, neue Hardware, neue Standards ...
© PROJECT CONSULT 2002
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
102
Migration
Entscheidung
Realisierung Produktions-betrieb
GeänderteAnforderungen
Migration
Revisionssichere ArchivierungDr. Ulrich KampffmeyerMünchen, 18.05.2004
© PROJECT CONSULT 200452
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
103
Die Konsequenz der Abhängigkeit: Migration
• Das Verschwinden von Produkten und Anbietern ist keine Katastrophe, sondern in Hinblick auf eine langfristige Informationsverfügbarkeit der Regelfall
• Der Anwender muss sich durch Einhaltung von Standards, offene Schnittstellen und Migration grundsätzlich auf Wechsel von Anbietern, Produkten und Formaten wappnen
© PROJECT CONSULT 2002
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
104
MigrationUrsachen und Notwendigkeit
Migration von Informationen• Umkopieren von Informationen von einem Medium auf ein
anderes sowie den Wechsel von Laufwerken und Medien • Überführung der Zugriffsinformationen (Indizes) in eine andere
Datenbank - bedingt durch die Weiterentwicklung der Speichertechnologien
Migration bei technologischer Weiterentwicklung• wenn Laufwerke und Medien kostengünstiger werden,• wenn Laufwerke und Medien mehr Speicherkapazität haben,• wenn es neue Speicherstrategien gibt, die einen schnelleren
Zugriff erlauben © PROJECT C ONSU LT 2002 Urheberrechte Dr. Ulrich Kampffmeyer
© PROJECT CONSULT 2002
Revisionssichere ArchivierungDr. Ulrich KampffmeyerMünchen, 18.05.2004
© PROJECT CONSULT 200453
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
105
MigrationTypen im ArchivierungsumfeldKampffmeyer
Harte Migration• Umkopieren von Index-Datenbanken, Anwendungsinformation
und Dokumenten in neue Systeme und auf neue Medien (bei einer Systemumstellung)
Weiche Migration• Nur umkopieren und neu organisieren der Index-Datenbank bei
einer Systemumstellung• Bestehende Medien werden genutzt
Integrative Migration• Parallel Betrieb unterschiedlicher alter Strukturen oder
Hersteller-Archive unter einer Middleware mit gegebenenfalls Ausalterung alter Komponenten (bei einer Systemumstellung)
© PROJECT CONSULT 2002
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
106
MigrationStrategie
• Strategie eines Migrationskonzeptes muss sein, über die erste Realisierungsphase hinaus
• Betrieb,• Informationsverfügbarkeit,• Ausbaufähigkeit und• Systemwechsel
sicherzustellen© PR OJECT CONSULT 2002 Urheberrechte Dr. Ulrich Kampffmeyer
• Das Migrationskonzept sollte bei jeder Ausschreibung Bestandteil der Anforderungen sein und in den Vertrag übernommen werden
© PROJECT CONSULT 2002
Revisionssichere ArchivierungDr. Ulrich KampffmeyerMünchen, 18.05.2004
© PROJECT CONSULT 200454
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
107
Ausblick
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
108
Die gesellschaftliche Bedeutung von Information
„Elektronische Archive sind das Gedächtnis der Informationsgesellschaft.“
Erkki Likaanen, EU-Kommissar, 1999
© Copyright PROJECT CONSULT GmbH 2002 / Autorenrecht Dr- Ulrich Kampffmeyer 2001-2002© PROJECT CONSULT 2002
© PROJECT CONSULT 2002
Revisionssichere ArchivierungDr. Ulrich KampffmeyerMünchen, 18.05.2004
© PROJECT CONSULT 200455
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
109
Der Wert von Information
Information hat nur dann einen inhärenten Wert, wenn man die Information als Wissen auch in Prozessen nutzbar macht
Dem Wert von Information muss bei der Planung und beim Betrieb mehr Rechnung getragen werden
© Copyright PROJECT CONSULT GmbH 2002 / Autorenrecht Dr- Ulrich Kampffmeyer 2001-2002© PROJECT CONSULT 2002
© PROJECT CONSULT 2002
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
110
Die Abhängigkeit von Information
Die Abhängigkeit von der Verfügbarkeit und der Richtigkeit von elektronischer Information wächst ständig
Unternehmen, Behörden und Gesellschaft sind von der Verfügbarkeit von Information inzwischen existentiell abhängig geworden
© Copyright PROJECT CONSULT GmbH 2002 / Autorenrecht Dr- Ulrich Kampffmeyer 2001-2002© PROJECT CONSULT 2002
© PROJECT CONSULT 2002
Revisionssichere ArchivierungDr. Ulrich KampffmeyerMünchen, 18.05.2004
© PROJECT CONSULT 200456
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
111
Information Overflow
Wir leiden an einer Informationsüber-flutung und müssen die werthaltige, wichtige Information mühsam suchen
Der systematischen Erschließung der exponentiell wachsenden Information kommt eine immer größere Bedeutung zu
© Copyright PROJECT CONSULT GmbH 2002 / Autorenrecht Dr- Ulrich Kampffmeyer 2001-2002© PROJECT CONSULT 2002
© PROJECT CONSULT 2002
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
112
Information Gap
Die ersten Lücken in der elektronischen Überlieferung treten auf: Elektronisches Wissen ist bereits unwiederbringlich verloren gegangen
Die geordnete und nutzbare Bewahrung wertvoller Information wird zunehmend wichtiger
© Copyright PROJECT CONSULT GmbH 2002 / Autorenrecht Dr- Ulrich Kampffmeyer 2001-2002© PROJECT CONSULT 2002
© PROJECT CONSULT 2002
Revisionssichere ArchivierungDr. Ulrich KampffmeyerMünchen, 18.05.2004
© PROJECT CONSULT 200457
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
113
Die Vision vom papierlosen Büro
„Das papierlose Büro wird es genauso wenig geben wie das papierlose Klo“
von Pierer zugeschrieben
• das „papierreiche Büro“• das „papierarme Büro“• das „papierlose Büro“• das „menschenlose Büro“
© Copyright PROJECT CONSULT GmbH 2002 / Autorenrecht Dr- Ulrich Kampffmeyer 2001-2002© PROJECT CONSULT 2002
© PROJECT CONSULT 2002
Revisionssichere ArchivierungDr. Ulrich KampffmeyerPROJECT CONSULTUnternehmensberatungDr. Ulrich Kampffmeyer GmbHOderfelder Strasse 1720149 Hamburgwww.project-consult.com© PROJECT CONSULT 2003
114
Vielen Dank für Ihre Aufmerksamkeit !
E-Mail: [email protected]
WebSite, Newsletter, Informationen, Unterlagen zu diesem Vortrag ...http://www.PROJECT-CONSULT.com
Diskussionsforumhttp://www.IT-Forum.org