Digitales Dokumentenmanagement in der Immobilienbranche

Das Bundeskabinett gibt Gas. Mit der Umsetzung der Digitalen Agenda 2014-2017 hat das Bundeskabinett wichtige Bausteine zur Digitalisierung auf den Weg gebracht. Hierbei wurde zum Beispiel ein Programm für die „Digitale Verwaltung 2020“ beschlossen.

Unsere Bundesregierung will damit die Digitalisierung der Behörden vorantreiben. Ziel ist eine nutzerfreundlichere, einfachere Verwaltung, die orts- und zeitunabhängig für alle Bürgerinnen und Bürger und Unternehmen erreichbar ist – unter Wahrung der Datensicherheit.

Das Programm zielt u. a. darauf ab, das E-Government-Gesetz umzusetzen. Ein wesentlicher Schritt ist dabei die vollumfängliche Umstellung von Papier- zu E-Akte. Die internen Prozesse der Verwaltung sollen durchgängig digitalisiert, vernetzt und medienbruchfrei gestaltet werden. Darüber hinaus gibt es weitere Einzelprojekte wie beispielsweise die durchgehende Digitalisierung des Beschaffungsvorgangs. Das entlastet Verwaltung und Unternehmen.

Welche Prozesse müssen Sie in Ihrem Unternehmen digitalisieren?

Wenn sich bei Ihnen Akten stapeln, E-Mail-Postfächer überquellen oder Dokumente zur Bearbeitung dezentral im Netzwerk abgelegt werden, dann können schnell monetäre Vorteile berechnet werden.

Seit dem 1.1.2015 gelten die neuen GoBD-Regeln für die Archivierung elektronischer Dokumente.

Nehmen Sie an unserer Umfrage teil und ermitteln Sie selbst, wo bei Ihnen noch Optimierungspotential besteht.

Hier geht’s zur Umfrage >>

 

Nutzen Sie eProjectCare und bringen Sie mit unseren Produkten Ordnung in Ihr Unternehmen! Mit eProjectCare haben Sie von überall und jederzeit Zugriff auf alle Dokumente und archivieren Ihre Daten revisionssicher.

„Revisionssichere“ Archivierung in der Cloud

Eigentlich entstammen die Begriffe „revisionssicher“ und „revisionssichere Archivierung“ gar nicht aus Gesetzen, sondern wurden hauptsächlich durch Verbände der DMS-Branche geprägt, um eine bestimmte – durch Verordnungen und Gesetze geforderte – Zuverlässigkeit zu beschreiben.

Eine Software zur Archivierung von aufbewahrungspflichtigen Unterlagen (nach AO, HGB, ZPO und anderen) wird in der Regel dann als „revisionssicher“ bezeichnet, wenn sie die gesetzlichen Anforderungen an die Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD) [1] erfüllt.

Wesentliches Merkmal revisionssicherer Archivsysteme ist, dass alle gespeicherten Informationen datenbankgestützt wieder auffindbar, nachvollziehbar, unveränderbar und verfälschungssicher archiviert sind. Die Sicherheit des Gesamtverfahrens muss zu jeder Zeit gewährleistet sein. Dazu zählt auch, dass nur berechtigte Personen Zugriff auf Informationen erhalten und die Daten vor Verlust geschützt sind. Revisionssichere Archivierung ist so ein wesentlicher Bestandteil für die Compliance von Informationssystemen. Wichtig dabei ist, dass das gesamte Verfahren dokumentiert [2] und prüfbar ist.

Hieraus leitet sich ab, dass eine Software nicht per se revisionssicher sein kann, sondern dies immer im Zusammenhang mit der konkreten Installation und dem Betrieb der Software beurteilt werden muss. Auch wenn die Anforderungen recht hoch sind, kann eine cloudbasierte Lösung diese erfüllen.

Zur Darstellung der Revisionssicherheit einer Cloud-Lösung eignen sich die 10 Grundsätze der elektronischen Archivierung (Ulrich Kampffmeyer, Jörg Rogalla: Grundsätze der elektronischen Archivierung. Verband Organisations- und Informationssysteme e. V., Darmstadt 1997, ISBN 3-932898-03-6):

Grundsatz 1: „Jedes Dokument muss unveränderbar archiviert werden“

Ganz klassisch speichert man Dokumente auf WORMs („write once read many“), um sie unveränderbar abzulegen. Bei Cloud-Diensten ist dies meist nicht möglich. Hier helfen digitale Prüfsummen über den Inhalt der Dateien. Dies kann man entweder über das digitale Signieren einer Datei erreichen oder in dem der Cloud-Dienst bei jeder Aktion eine durch den Benutzer überprüfbare Prüfsumme (z. B. MD5, SHA-1) neu berechnet und protokolliert.

Grundsatz 2: „Es darf kein Dokument auf dem Weg ins Archiv oder im Archiv selbst verloren gehen“

Dies ist erstmal eine Frage von gut dokumentierten Prozessen mit Kontrollschritten. Wird ein Dienstleister z. B. mit dem Scannen von Dokumenten beauftragt, die er dann selbständig in einem Archiv ablegen soll, ist es die Pflicht des Kunden sich von der Plausibilität des Prozesses zu überzeugen. Der Dienstleister muss dabei unbedingt verpflichtende Prüfschritte in seinem internen Kontrollsystem (IKS) vorstehen.

Soll ein bereits existierender Datenbestand archiviert werden, helfen Prüfsummen, die ein System für jede Datei generiert (siehe Grundsatz 1). Hiermit ist es möglich, nicht nur zu prüfen, ob die Anzahl der Dateien korrekt übertragen wurde, sondern auch ob sich der Inhalt bei der Übertragung verändert hat.

Grundsatz 3: „Jedes Dokument muss mit geeigneten Retrievaltechniken wieder auffindbar sein“ und Grundsatz 4: „Es muss genau das Dokument wiedergefunden werden, das gesucht worden ist“

Das Finden von Dokumenten ist eine Stärke von Archivsystemen und bereitet Cloud-Lösungen i. d. R. keine Probleme, wenn man folgende Punkte beachtet:

  • Eine eindeutige Benennung von Dokumenten ist unumgänglich
  • Die strukturierte Ablage mit sprechenden Verzeichnissen hilft beim Finden
  • Dokumente sollten indiziert werden. Dies kann entweder manuell erfolgen, indem man beim Archivieren dem Dokument Indexmerkmale gibt, automatisch über das Mapping von Merkmale im Dateinamen oder über die Indizierung des Inhaltes in einen Volltextindex. Bei frisch gescannten Dokumenten, die noch keinen Text für die Suche erhalten, sollte der Dienstleister auch eine OCR-Erkennung anbieten.

Grundsatz 5: „Kein Dokument darf während seiner vorgesehenen Lebenszeit zerstört werden können“

Der Cloud-Lösungsanbieter hat in seinen Verträgen transparent darzulegen, wie seine Datensicherungsstrategie aussieht. Eine revisionssichere Archivierung muss auch für Langzeitarchivierung geeignet sein. Dies bedeutet, dass die Daten mindestens 10 Jahre aufbewahrt werden müssen. Hierzu reicht es nicht nur die Daten redundant auf Festplatten zu speichern (z. B. mittels RAID-1 oder RAID-5), sondern sind auch gegen logische Fehler mittels Offline-Backup zu sichern. Um ein größeres Schadensereignis (z. B. Brand im Rechenzentrum) überstehen zu können, sollten die Backups in einem zweiten Rechenzentrumsstandort gelagert werden.

Grundsatz 6: „Jedes Dokument muss in genau der gleichen Form, wie es erfasst wurde, wieder angezeigt und gedruckt werden können“

Dies bedeutet zum einen, dass das Dokument mindestens im Originalformat zu speichern ist. Zum anderen müssen die Dokumente langfristig so angezeigt werden können, wie sie erstellt wurden. Dies kann man entweder durch eine Konvertierung in ein Langzeitformat, wie PDF, erreichen oder über das Anbieten von Online-Viewern. 

Grundsatz 7: „Jedes Dokument muss zeitnah wiedergefunden werden können“

Die Datenablage alleine und das Versehen von Dokumenten mit Indexmerkmalen reicht alleine nicht aus. Die Daten müssen sinnvoll in einer Datenbank strukturiert abgelegt werden und bei Suchanfragen ein schnelles Ergebnis liefern. Ein sequenzielles Einlesen der Dokumente scheidet hier aus.

Grundsatz 8: „Alle Aktionen im Archiv, die Veränderungen in der Organisation und Struktur bewirken, sind derart zu protokollieren, dass die Wiederherstellung des ursprünglichen Zustandes möglich ist“

Um jederzeit einen Überblick über die Geschehnisse mit den abgelegten Informationen zu bekommen, müssen alle wesentlichen Zugriffe auf die Dokumente und abgelegten Informationen aussagekräftig protokolliert werden. Alle Veränderungen im System und an den Dokumenten müssen sich in den Protokollen finden. Dabei darf das Protokoll von Administratoren nicht manipuliert werden können. Dies ist Grundvoraussetzung, damit auch Zugriffe des Cloud-Dienstleister überwacht werden können.

Grundsatz 9: „Elektronische Archive sind so auszulegen, dass eine Migration auf neue Plattformen, Medien, Softwareversionen und Komponenten ohne Informationsverlust möglich ist“

Eine Cloud-Lösung wächst mit den Aufgaben und Anforderungen der Kunden und lässt sich beliebig skalieren. Diese Stärke können Cloud-Dienste auch bei der Weiterentwicklung nutzen. Kunden profitieren normalerweise von laufenden Aktualisierungen. Daten werden dabei wie selbstverständlich migriert, ohne das Aufwände beim Kunden anfallen.

Grundsatz 10: „Das System muss dem Anwender die Möglichkeit bieten, die gesetzlichen Bestimmungen sowie die betrieblichen Bestimmungen des Anwenders hinsichtlich Datensicherheit und Datenschutz über die Lebensdauer des Archivs sicherzustellen“

Dies teilt sich im Grunde in folgende Bereiche:

  1. Vertragsgestaltung und SLA

Die Nutzung eines Cloud-Dienstes bedingt ein gewisses Vertrauensverhältnis zu dem Dienstleister. Dies sollte man jedoch nicht blind eingehen. Das Wichtigste ist zuerst ein individueller Vertrag, in dem die versprochene Leistung möglichst detailliert vereinbart wird. Dabei sollte auch die Definition der zu liefernden Qualität (u. a. Verfügbarkeit, Support) ein Thema sein, welches man aber auch in separaten SLAs festhalten kann. Hier ist wichtig, dass diese Leistung auch transparent gemessen wird. Im Idealfall werden hier Berichte einer unabhängigen Stelle zur Verfügung gestellt.

  1. Datensicherheit und Datenschutz

Die Sicherheit der Daten ist nicht zu unterschätzen und im Detail sehr komplex. Dass der Dienstleister Sicherheitstechniken auf dem „aktuellen Stand der Technik“ anbietet und dies auch vertraglich zusichert, versteht sich von selbst. Es sollte jedoch noch darauf geachtet werden, dass nicht nur jede Kommunikation mit dem Cloud-Dienst verschlüsselt abläuft (TLS ab Version 1.0, Stand der Technik wäre hier „TLS 1.2 mit Perfect Forward Secrecy“, zu testen z. B. über Qualys SSL Labs [3]), sondern dass auch jede Datei ausschließlich verschlüsselt abgelegt wird (z. B. mittels sicherem Algorithmus AES-256). Sicherheit muss auch bereits während der Entwicklung berücksichtigt werden. Ein Indiz hierbei ist, wenn der Dienstleister bestätigt, dass bei der Entwicklung die Empfehlungen der Non-Profit-Organisation OWASP (Open Web Application Security Project) berücksichtigt werden [ 4]. Bei hoch sicheren Daten ist es zwingend erforderlich, dass der Dienstleister neben Benutzerkennung und Kennwort auch eine 2-Faktor-Authentifizierung [5] anbietet. Zudem sollte der Dienstleister offenlegen, ob und mit welchen Subunternehmen oder Freelancern arbeitet, die direkt an der Entwicklung beteiligt sind; diese sollten vertraglich ebenso an die OWASP-Empfehlungen gebunden werden.

Wer personenbezogene Daten speichern möchte, kommt um einen Dienstleister in der EU nicht herum, der auch zusichert, die Daten nur innerhalb der EU (bzw. aus dem EU-Datenschutz heraus als sichere Drittstaaten gelten) zu verarbeiten.

  1. Unabhängige Kontrollen und Zertifikate

Die Sorgfaltspflicht verlangt vor Vertragsbeginn noch die Zuverlässigkeit des Service und des Dienstleisters zu prüfen. Hier können Zertifikate und Vorort-Kontrollen helfen. Wichtige Zertifikate, über die ein Dienstleister verfügen sollte:

  • Sicherheitszertifizierung des Rechenzentrums (z. B. ISO 27001 oder BSI-Grundschutzhandbuch)
  • Sicherheitszertifizierung der Software bzw. des Cloud-Dienstes (z. B. Penetrationstests)

 

Links

[1] http://www.bundesfinanzministerium.de/Content/DE/Downloads/BMF_Schreiben/Weitere_Steuerthemen/Betriebspruefung/015.html

[2] https://de.wikipedia.org/wiki/Verfahrensdokumentation

[3] https://www.ssllabs.com/ssltest/

[4] https://www.owasp.org/index.php/Category:OWASP_Top_10_fuer_Entwickler

[5] https://de.wikipedia.org/wiki/Zwei-Faktor-Authentifizierung