Stor IT Back - Ihr Speicherspezialist

LOGO Stor IT Back

Archivierung und WORM V1.1 (c) Stor IT Back 2022


Archivierung von Daten und E-Mails auf WORM (DSGVO)


Archivierung

Bei einer Archivierung werden Daten kopiert oder verschoben, aber nicht um Speicherplatz frei zu bekommen, sondern um diese Dateien anders bzw. woanders zu verwalten. Am einfachsten ist die Archivierung bei Buchhaltungsdaten zu verstehen. Die Buchungsdaten, sowie Rechnungen, Belege und Lieferscheine müssen 10 Jahre aufbewahrt werden. Das ist erst mal kein Problem, bei einer Datensicherung wird dann einfach die Sperrfrist auf 10 Jahre erhöht. Vom Gesetz her wird aber gefordert, dass diese Daten (auch schon bevor sie archiviert sind) nicht verändert werden dürfen. Und bei einem Backup gibt es dafür keinen Schutz, ich restore eine Rechnung, verändere sie und sichere sie dann wieder. Dies merkt keiner. Und bei einer rechtlich einwandfreien Archivierung darf dies nicht so sein. Eine Veränderung darf nicht möglich sein, bzw. muss dann dokumentiert werden.

Am einfachsten ist eine Archivierung auf eine CDROM oder DVD (natürlich nicht RW CD oder DVD), die Daten können nur einmal geschrieben werden. Aber so richtig gesetzeskonform ist das noch nicht. Wenn die Daten auf eine Festplatte kopiert werden und dann auf der Festplatte verändert und später auf eine andere CDROM geschrieben werden, so wird das kaum nachvollziehbar sein. Datum und Beschriftung der CDROM kann ja jederzeit geändert oder die CD ausgetauscht werden.
Um das ganze Verfahren jetzt gesetzeskonform zu bekommen, benötigt man eine Software, die sämtliche Daten verwaltet und dokumentiert. Ist diese Software gesetzeskonform und bleiben die Daten unter der Verwaltung dieser Software, so ist die Datenhaltung (Archivierung) dann gesetzeskonform.

Halt mal, da fehlt doch was ... Reicht denn die Software und die Hardware alleine aus? Leider nicht, es fehlt die Verfahrensdokumentation. In diesem Schriftstück müssen sämtliche Wege und Verarbeitungsschritte der Daten beschrieben werden.
Ein einfaches Beispiel: Es kommt eine Mail mit einer Rechnung als PDF zur Buchhaltung. Diese Mail landet im Postfach der Buchhaltung, wird ausgedruckt und bezahlt und dann archiviert. So wird es nicht klappen, der Ablauf muss erst einmal verändert werden. Die E-Mail mit der Rechnung kommt vom Lieferanten und wird als erstes einmal archiviert. Erst dann wird die Mail der Buchhaltung zugestellt. Was ist da jetzt anders? Jetzt gibt es keine Möglichkeit mehr, die Mail vor der Archivierung manuell zu bearbeiten. Im ersten Beispiel hätte man ja das PDF verändern und dann wieder im Postfach speichern können.

Aber können wir uns jetzt die Dokumentation sparen, wenn die Änderung ja nicht mehr möglich ist? Nein, auch das muss dokumentiert werden. Meist befinden sich Virenscanner ganz außen an der Infrastruktur, also vor der Archivierung. Was durchaus auch sinnvoll sein kann, weil sonst ja ein Virus gleich mit archiviert wird. Aber das muss jetzt dokumentiert werden. Also wie bearbeitet der Scanner die Mails und was passiert mit geblockten Mails.

Diese Dokumentation sollte immer auch von einem Rechtsanwalt und/oder Steuerprüfer des Vertrauens geprüft werden. Weil nur die Bestätigung des Herstellers der Archivierungssoftware ist nicht ausreichend. Bei Fragen wenden Sie sich an Ihren Rechtsanwalt und Steuerberater.

Wer braucht eine Archivierung?
Jeder der Daten in elektronischer Form verwaltet, an die besondere Anforderungen vom Datenschutz, Aufbewahrung oder der Buchhaltung gestellt werden. Es sind unter anderem folgende Gesetze zu beachten: DSGVO, GDPdU und GoBD. Sowie Ausführungen im Handelsgesetzbuch, aber auch viele andere Gesetze ohne Bezug auf die Steuer.



Rechtliche Bestimmungen bei der Archivierung

Wer nicht oder nur unsachgemäß archiviert, riskiert gravierende Haftungsrisiken für Geschäftsleitung und IT-Administration. Grund genug, die Archivierung nicht nur in technischer Hinsicht umzusetzen. Das Handelsgesetzbuch mit dem §238 verpflichtet Kaufleute zur Buchführung und Aufbewahrung von Handelsbriefen. Als Handelsbriefe gelten alle Unterlagen, die zur Durchführung und Abschluss eines Geschäftes dienen, also Angebote, Auftragsbestätigungen, Lieferscheine und auch Reklamationsschreiben. Das lässt sich auf einem Fileserver auch nicht unbedingt immer leicht identifizieren, aber noch schwerer wird es, wenn die Unterlagen in einem E-Mail-System hinterlegt sind.

Für das Archivieren von diesen Daten gibt der §239 HGB folgendes vor: "Die gespeicherten Dokumente müssen unveränderbar, reproduzierbar und jederzeit verfügbar sein." Diese Vorgaben müssen von einer elektronischen Archivierung erfüllt werden. Das schwierigste ist hierbei die Unveränderbarkeit, aber auch die Reproduzierbarkeit ist nicht einfach zu realisieren. Wer kann schon garantieren, dass das gewählte Format auch noch in 10 Jahren lesbar ist.
Auch im Steuerrecht müssen Kaufleute die Anforderungen an die Aufbewahrung und die Prüfbarkeit erfüllen. Einzelheiten sind hierbei in den Grundsätzen zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) enthalten. Ein wichtiger Punkt ist hierbei: Wurden Daten mit einem Datenverarbeitungssystem erzeugt, so hat die Finanzbehörde das Recht, Einsicht zu nehmen und das System zur Prüfung zu nutzen. Das bedeutet in der Praxis, das auch steuerlich relevante E-Mails gesetzeskonform zu archivieren sind und den Betriebsprüfern jederzeit verfügbar zu machen sind.

Welche Gefahren lauern, wenn diese Bestimmungen nicht eingehalten werden? Alleine der Verlust der Vorsteuerabzugsberechtigung kann einen großen finanziellen Schaden verursachen. Bei Verletzung der ordnungsgemäßen Buchführung kann die Finanzbehörde eine Steuerschätzung durchführen (sicherlich nicht zum Vorteil des Unternehmens) und Geld- und Freiheitsstrafen verhängen. Im Falle eines Falles ist die Geschäftsleitung persönlich haftend, aber auch leitenden IT-Mitarbeitern drohen Regressansprüche.



Archivierung - DSGVO und GoBD

Sie setzen eine E-Mail Archivierung ein und jetzt verlangt jemand von Ihnen seine Daten laut DSGVO zu löschen? Als erstes muss einmal geprüft werden, ob Sie die Daten einfach so löschen dürfen. Werden die Daten zum Beispiel für die Buchhaltung (also laut GoBD) benötigt, so dürfen sie nicht gelöscht werden. In diesem Fall ist GoBD höher als DSGVO zu bewerten.
Aber nehmen wir einmal an, die zu löschenden Daten werden sonst von keinem anderen Gesetzt geschützt, dann müssen sie gelöscht werden. Aber sie sind in der Archivierung und da lassen sie sich nicht löschen, da sie zum Beispiel auf WORM Tapes gespeichert wurden. Da ist guter Rat teurer, das haben die Politiker nicht bedacht. Also ohne die Konsistenz der gesamten Archivierung zu gefährden ist das Löschen nicht möglich. Eine Möglichkeit ist das Sperren der Daten im Archiv. Sie sind also noch vorhanden, können aber nicht angezeigt werden. Aber auch da können wir nur auf den Rat Ihres Anwaltes und Steuerberaters verweisen.

Oder ist es eine Lösung, nur die Daten zu archivieren, die direkt etwas mit der Buchhaltung zu tun haben? Das wird extrem schwierig, weil in der Mail steht ja nicht, ob sie relevant ist oder nicht. Und was ist mit dem Angebot an einen Kunden, aus dem nichts wird? Für die Buchhaltung relevant, wenn es zum Abschluss kommt, aber wie soll man das vorher wissen?
Aber gilt das jetzt nur für die E-Mail Archivierung? Nein, die Löschpflicht laut DSGVO betrifft alle Daten, also nicht nur E-Mails. Sämtliche Datenquellen müssen in dem Verzeichnis von Verarbeitungstätigkeiten aufgeführt werden, ebenso wie die dazugehörigen Archive. Aus der Kundenverwaltung lassen sich ja meist die Daten schnell löschen, aber was ist mit den Sicherungen und Archiven der Kundenverwaltung? Auch da bietet sich dann nur das Sperren oder wiederholtes Löschen an.



WORM (Write Once Read Many)

WORM ist das ideale Zielmedium für die Archivierung. Warum? Die Daten können einmal auf das Medium geschrieben werden und danach nicht wieder verändert oder gelöscht werden. Und genau das ist das Ziel der Archivierung. Die Daten dürfen weder verändert noch gelöscht werden. Also einmal Beschreiben (Write Once) und mehrfach Lesen (Read Many).

Was gibt es für WORM Medien?
Das klassische WORM Medium in der Datenverarbeit und das WORM Tape. heute meist ein LTO Tape mit einer internen WORM Funktion. Die Bänder an sich können also nur einmal geschrieben werden, eine externe Steuerung und Überwachung ist dafür nicht notwendig.
Na ja, so richtig "klassisch" ist eigentlich die CD oder DVD. Auch sie kann also RO Medium nur einmal beschrieben werden, also auch ein WORM Medium. Aber wegen der geringen Kapazität und hoher Fehleranfälligkeit in der professionellen Datenverarbeitung nicht so gebräuchlich. Aber extrem kostengünstig in der Anschaffung und im Betrieb.

Ein anderes WORM-"Medium" sind Festplatten. Jetzt werden alle sagen: Nein Festplatten können doch immer wieder beschrieben und gelöscht werden, das ist kein WORM. Ja so einfach ist es bei Festplatten nicht. Da muss eine Software drum herum laufen, die die Zugriffe auf die Daten reguliert. Also zum Beispiel Daten gegen überschreiben sichern oder einfach vorher als alte Version sichern. Der Vorteil der Festplatten als WORM ist die Flexibilität, es können zum Beispiel spezielle Sperrfristen festgelegt werden, danach kann der Platz wieder verwendet werden. Weiterhin können eventuell Versionen verwaltet werden und eine Suche integriert sein. Aber in diesem Fall steht und fällt alles mit der Sicherheit der Software. Lässt sich diese aushebeln oder ist unvollständig, dann ist die Compliance gefährdet.



Fazit Archivierung und WORM

Eine professionelle Planung macht eine reibungslose Implementierung erst möglich. Und nur dann lassen sich rechtliche Vorgaben erfüllen und Kosten einsparen. Sehr wichtig sind hierbei, die geforderten Funktionalitäten und die vorhandene Hardware zu berücksichtigen.
Eine recht umfangreiche Aufgabe, gerade für den Mittelstand. Und hier greift eine Appliance ein, die sämtliche Aufgaben in diesem Gebiet übernehmen kann. Eine ideale Lösung für alle Unternehmen, die eine effektive und leicht zu bedienende Gesamtlösung suchen. Fragen Sie uns!



Angebote der Stor IT Back zum Thema Archivierung und WORM

Angebot Archiware P5
Archiware P5 Backup, Archive und Synchronize
für Windows-Server / Linux / Solaris inkl. 1 Jahr Support
Archivierung von Daten
Synchronisierung von Daten
Preis
auf Anfrage
Angebot Benno Mailarchiv E-Mail Archivierung
Benno Mailarchiv E-Mail Archivierung
GoBD konform, revisionssicher

Selfhosted auf virtueller Maschine oder Server
Lizenzen / Wartung / Installation / Beratung
Preis
bitte anfragen
PoINT Storage Manager Archivierung HSM ILM
PoINT Storage Manager
Archivierung, HSM, ILM

umfangreiches Regelwerk für den Lifecycle
Transparentes File-Tiering
Preis
bitte anfragen
 
 
Zurück zur Übersicht
Archivierung und WORM
Übersicht der Angebote
Kontakt zur Stor IT Back
Suche auf der Webseite