Vorschriften und Lösungsansätze
Langzeitarchivierung digitaler Daten
Obwohl technische Lösungen durchaus verfügbar sind, stellt die Langzeitarchivierung für die IT-Abteilungen der Unternehmen eine echte Herausforderung dar. Der Grund dafür sind die schwierigen gesetzlichen Auflagen. Sie werden oft fehlinterpretiert, und sie lassen sich nur mit flexiblen Speicherlösungen erfüllen.
Das Thema Storage macht den CIOs in den Unternehmen immer größere Sorgen, denn das Datenwachstum
in den Organisationen liegt im Durchschnitt inzwischen bei 50 Prozent pro Jahr. Zusätzlich kommen
die gesetzlichen Vorgaben immer stärker ins Spiel. Beim größten Teil der gespeicherten Daten
handelt es sich um "Fixed Content", also um Informationen, die nicht mehr verändert werden sollten,
weil juristische Auflagen dies fordern. Den Anwendern geht es primär darum, solche Informationen
kostengünstig und gemäß den einschlägigen Vorgaben zu speichern.
In den letzten zehn Jahren hat sich die Zahl der Auflagen und Gesetze im Bereich der "Compliance"
vervielfacht. Allein in den USA gibt es heute über 10.000 verschiedene Gesetze und Regularien, die
die Aufbewahrung digitaler Daten definieren. Die Regeln beschreiben den Lebenszyklus der digitalen
Daten und legen fest, wie diese abgelegt, unterhalten und aufbewahrt werden müssen – einige länger
als 100 Jahre!
Die Auflagen betreffen dabei nicht nur die IT-Abteilungen. Die Vorgaben zur
Langzeitdatenaufbewahrung bringen neue Prozesse ins Spiel, die sich durch das gesamte Unternehmen
ziehen. Diese Situation resultiert daraus, dass digitale Daten längst zu einem der wichtigsten
Erfolgsfaktoren der ganzen Wirtschaft geworden sind. Deren sichere Aufbewahrung ist damit
unabdingbar geworden. Gesetzgeber und Aufsichtsbehörden sehen sich vor diesem Hintergrund vermehrt
in der Rolle der "Polizei des digitalen Zeitalters". Alle Auflagen und Gesetze, die die
Langzeitdatenaufbewahrung betreffen, haben den sicheren, manipulationsfreien, fälschungssicheren
und technologieunabhängigen Schutz der Originaldaten über den gesamten Lebenszyklus gemeinsam.
Digitale Langzeitdatenaufbewahrung wird aber auch einen signifikanten Beitrag zur Kostensenkung
leisten. Über 78 Prozent der deutschen Firmen verfügen nämlich noch über Papierarchive. Die
Aufbewahrung preiswerter zu gestalten, ist gemäß einer aktuellen Studie von SER Solutions
Deutschland (68 Prozent der Firmen wollen Kosten reduzieren) das oberste Ziel bei der Einführung
digitaler Archivierung. 62 Prozent der befragten Unternehmen erhöhen damit die
Informationstransparenz und über 52 Prozent die Verfügbarkeit.
In Deutschland gelten seit dem 1.1.2002 die "Grundsätze zum Datenzugriff und zur Prüfbarkeit
digitaler Unterlagen", kurz GDPdU genannt. Die GDPdU wurden im Rahmen des Steuersenkungsgesetzes
vom 23.10.2000 als Änderung in der Abgabenordnung (AO) definiert.
Die "Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme" (GoBS) definieren die Art der
Archivierung beziehungsweise die Revisionssicherheit dieser Systeme. Das Handels- und Steuerrecht
fordert die Einhaltung der GoBS ein. Zu erwähnen ist, dass die GoBS keine abschließende Aufzählung
der Anforderungen enthalten (unbestimmter Rechtsbegriff). Alle resultierenden Anforderungen
unterliegen parallel zur Weiterentwicklung der Technologien einem ständigen Wandel. Wichtig zu
verstehen ist, dass der Gesetzgeber in keiner der Auflagen oder Verordnungen definiert, mit welchen
Technologien die Langzeitdatenaufbewahrung konkret zu erfolgen hat. Er schließt lediglich
unzureichende Techniken aus.
Der Gesetzgeber verhält sich also "technikneutral", das heißt: Im Gesetz werden nur abstrakte
Anforderungen formuliert. Die Anforderungen an eine Lösung ergeben sich daher aus der
Interpretation der Gesetze und Auflagen. Die Aufgabe der Interpretation ist es, die jeweils
machbare Brücke zwischen dem Gesetz, den Auflagen und der technisch realisierbaren Lösung zu
schlagen. Da sich die Technik in der IT-Branche sehr schnell verändert, muss der Zukunftssicherheit
der Lösung besonderes Augenmerk gelten. Dabei ist Sorgfalt vonnöten, denn bei Nichtbeachtung der
gesetzlichen Anforderungen drohen Sanktionen, die vom Bußgeld bis hin zur Schätzung der
Besteuerungsgrundlagen reichen.
Zu den steuerlich relevanten Daten zählen nach GDPdU die Daten der Finanzbuchhaltung, der
Anlagebuchhaltung und der Lohnbuchhaltung sowie alle Daten in anderen Bereichen, die von
Steuerrelevanz sind.
E-Mail-Archivierung
Die Aufbewahrungspflicht für E-Mails beschäftigt ebenfalls viele Unternehmen. Nach Paragraf 257
HGB gilt: "E-Mails sind aufzubewahren, wenn sie dem Begriff des Handelsbriefs entsprechen" (Beck?s
cher Bilanzkommentar 1999, Paragraf 257 RN 15; Adler/Düring/Schmaltz 1995 Paragraf 257, Rn 34).
Darüber hinaus müssen E-Mails, die für die Besteuerung von Bedeutung sind, nach den Vorschriften
von Paragraf 147 der Abgabeordnung aufbewahrt werden. Eine E-Mail stellt ein originär digitales
Dokument dar, das für den Datenzugriff im Originalformat maschinell auswertbar vorgehalten werden
muss.
Basierend auf den GDPdU kann der Betriebsprüfer den Zugriff auf die steuerrelevanten Datensätze
in drei Formen verlangen: Beim "unmittelbaren Datenzugriff" erfolgt die Prüfung auf den
betriebseigenen Hard- und Softwarelösungen direkt durch den Prüfer. Beim "mittelbaren Datenzugriff"
werden die Daten durch betriebsinternes Personal ausgewertet und dem Prüfer zur Verfügung gestellt.
Ist eine "Datenüberlassung in elektronischer Form" gewünscht, so erhält der Prüfer die Daten in
maschinell verwertbaren Form auf einem Datenträger. Des Weiteren kann der Prüfer auch eine
Kombination aus den oben aufgeführten Zugriffsvarianten verlangen.
Einer der Vorreiter zum Thema der Langzeitdatenaufbewahrung ist die Firma EMC, die mit der
Lösung Centera den Begriff "Content Adressed Storage" oder CAS geprägt hat. Neben dieser
plattengestützten Lösung gibt es aber noch andere Varianten. So haben Tape-Hersteller wie STK und
Quantum reagiert und bieten Worm-Fähigkeit auf der Tape-Ebene an. Diese Technologien können jedoch
nur selten eine komplette Lösung in der Prozesskette der digitalen Langzeitdatenaufbewahrung
abbilden. Der Einsatz rein hardwaregestützter Systeme läuft dem Ziel entgegen, neben dem
Datenwachstum die Storage-Kosten zu senken. Die Systeme erfordern nämlich meist eine Verdoppelung
der Kapazität und immer eine Neubeschaffung von Systemen sowie deren Implementierung.
Um den umfassenden Anforderungen im Speicherumfeld wie Kostendruck, Verwaltbarkeit,
Bedienbarkeit und Erfüllung von Auflagen und Gesetzen gerecht zu werden, bedarf es einer
flexibleren zukunftsorientierten Speicherstrategie, eines unternehmensgerechten Prozesses der
Datenklassifizierung sowie des Einsatzes offener und adaptierbarer Technologielösungen. In jeder
Organisation sind die gespeicherten Informationen und deren Sensibilität und Wichtigkeit für
Geschäftprozesse unterschiedlich und verändern sich mit der Zeit, so dass starre Speicherprozeduren
schnell an Grenzen stoßen und im Extremfall neue Probleme mit den Vorschriften generieren.
Softwaregestützte Lösungen für die Langzeitaufbewahrung werden diesen Anforderungen leichter
gerecht als hardwarebasierte, da sie Forderungen des Gesetzgebers direkt adressieren und sich
besser an die individuelle Datenklassifizierung anpassen lassen. Unternehmen können damit die
Auflagen in folgenden Belangen erfüllen:
Revisionssicherheit der gespeicherten Daten (über Check-Summen),
Revisionssicherheit des Speicherprozesses (über eine lückenlose und
fälschungssichere Historie aller relevanten Arbeitsschritte),
Eindeutige Identifizierung der Originalität (wird mit Zertifikaten
sichergestellt)
Medienalterung und Technologiezyklen (wird mit Automatismen in der Software
gelöst).
Die digitale Langzeitdatenaufbewahrung wird die Anwender weit länger beschäftigen als die
Vorbereitungen auf das Jahr-2000-Problem.
Lesen Sie mehr zum Thema
