Revisionssichere Archivierung mit SharePoint Online

Frustrierter Geschäftsmann im Vintage-Stil, der in einem heruntergekommenen alten Büro arbeitet und mit Schreibarbeiten überlastet ist.

Revisionssichere Archivierung mit SharePoint Online, ist das überhaupt möglich? Und was genau bedeutet in diesem Zusammenhang „Revisionssicherheit“? Die Digitalisierung bietet Unternehmen unzählige Möglichkeiten und Chancen, konfrontiert sie aber gleichzeitig mit hohen rechtlichen Anforderungen. Hiervon ist auch die ausschließlich digitale Ablage von aufbewahrungspflichtigen Dokumenten betroffen.

Was bedeutet revisionssichere Archivierung?

Revisionssicher bedeutet, dass Daten vor einer Änderung geschützt sind. Im Wesentlichen ist hier die gesetzliche Anforderung der „Unveränderbarkeit“ zu verstehen. Etwas weiter gefasst meint der Begriff „Revisionssicher“ für steuerrechtlich relevante Informationen, dass die Vorgaben aus den GoBD (vormals GoBS und GDPdU) eingehalten werden. Dabei stellt sich die Frage, ob und in welchem Umfang Papier vorzuhalten ist.

Welche gesetzlichen Anforderungen gelten?

Für die Einhaltung der gesetzlichen Aufbewahrungspflichten sind folgende Gesetze maßgeblich:

Handelsgesetzbuch (HGB)
Abgabenordnung (AO)
Umsatzsteuergesetz (UStG)
Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD)

Auf Einzelheiten zu den Anforderungen verzichten wir an dieser Stelle. Zusammenfassend kann allerdings festgehalten werden, dass eine ausschließlich digitale Aufbewahrung buchhalterisch und steuerrelevanter Dokumente für einen Großteil der im Unternehmen vorhandenen Dokumente zulässig ist.

Worauf es bei der revisionssicheren oder vielmehr GoBD-konformen Archivierung mit SharePoint Online und darauf basierenden Lösungen wie beispielsweise Shareflex ECM Online ankommt, erklärt Markus Olbring im folgenden Gastbeitrag. Als Geschäftsführer der comdatis it-consulting GmbH & Co. KG mit Sitz in Ahaus ist er als IT-Berater und IT-Sachverständiger in den Bereichen Digitalisierung, Verfahrensdokumentation, IT-Audit, Informationssicherheit und Datenschutz tätig.

Die Ausführungen stellen die Meinung des/der Autoren wieder und haben keine bindende Wirkung. Insofern verstehen sich alle angebotenen Informationen ohne Gewähr auf Richtigkeit und Vollständigkeit. Für eine Umsetzung ist stets eine Beratung im Einzelfall notwendig.

Was ist SharePoint Online?

SharePoint Online ist eine Webanwendung in der Microsoft-Office-365-Umgebung, die das Zusammenarbeiten beispielsweise an Projekten vereinfacht. Darüber hinaus integriert sich die Anwendung in diverse Kommunikationskanäle, um mit internen sowie externen Geschäftspartnern zu interagieren. Microsoft bietet die Software als Dokumentenmanagementsystem (DMS) und Content-Management-Plattform an. Ein DMS bezeichnet die Verwaltung elektronischer Dokumente mit der Nutzdatei, sowie beschreibenden Eigenschaften oder Metainformationen, die die Wiederauffindbarkeit der Informationen sicherstellen und eine virtuelle Aktenbildung ermöglichen. SharePoint Online kann somit als vollwertige Lösung für das Enterprise Information Management (EIM) eingesetzt werden.

Die Software basiert auf Webseiten (Sites), die sich individuell anpassen lassen. Sie sind zudem das zentrale Element in SharePoint Online, um Inhalte strukturiert darzustellen. So ist es möglich, die Seiten als Dokumentenbibliotheken, Wiki- oder Bildbibliotheken, aber auch als Listen zu erstellen.

Ist SharePoint Online ein DMS?

SharePoint Online umfasst die Aufgaben eines DMS. So lassen sich mithilfe von Bibliotheken und Listen Inhalte verwalten und organisieren. Zudem werden über die Aufbewahrungsrichtlinien Löschungen oder Veränderungen von Dokumenten unterbunden.

Was ist der Unterschied zwischen DMS und ECM?

Ein DMS (Dokumentenmanagementsystem) ist ein System zur elektronischen Verwaltung von Dokumenten. Die Software dient zur Aufbewahrung, Verwaltung und Nachverfolgung elektronischer Dokumente. Unter elektronischen Dokumenten versteht man auch papierbasierte Dokumente, die mit Hilfe eines Scanners digitalisiert wurden. Ein ECM (Enterprise Content Management) geht einen Schritt weiter. Ein ECM löst zwar ähnliche Aufgabenstellungen wie ein DMS, diese sind jedoch nicht auf die Verwaltung elektronischer Dokumente beschränkt. Ziel eines ECM ist die Speicherung, Bereitstellung und Verwaltung von Informationen. Darüber hinaus bietet ein ECM die Möglichkeit zur Zusammenführung von unstrukturierten und strukturierten Informationen. Kurz gesagt, ist ein DMS ein untergeordneter Teil eines ECM-Systems.

Rechtliches

In der neuen, im Dezember 2019 veröffentlichten Fassung der „Grundsätze ordnungsmäßiger Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“ (GoBD), wurde unter Randziffer 20 die explizite Nutzung von Cloud-Systemen ergänzt. Aus Datenschutzsicht besteht eine Verarbeitung im Auftrag eines Verantwortlichen gemäß Art. 28 bzw. Art. 4 Abs. 1 Nr. 8 der DS-GVO. Rechtlich legitimiert wird diese Verarbeitung im Auftrag durch die Standardvertragsklauseln, die Bestandteil der Microsoft Online Services Terms sind. Rechtlich bestimmte Maßnahmen zur Datensicherheit werden durch bestehende Zertifikate von Microsoft erfüllt. Dokumente zur Beweissicherung in Rechtsstreitigkeiten können mittels „Legal Hold“-Beweissicherungsverfahrens vor Löschung gesperrt werden. Eine Protokollierung kann je nach Anforderung in verschiedenen Umfängen implementiert werden.

Welche Voraussetzungen müssen erfüllt sein?

Für den Einsatz von SharePoint Online müssen folgende Bedingungen erfüllt sein:

Microsoft-Office-365-Tarif, der eine Anwendung von Aufbewahrungsbezeichnungen („Retention Labels“) und/oder Aufbewahrungsrichtlinien unterstützt
Internetverbindung
Benutzerlizenzen

Weitere Vorteile von SharePoint Online ergeben sich daraus, dass die Anschaffung oder Bereitstellung eigener Server oder ähnlicher IT-Infrastruktur im Gegensatz zu vor Ort (on-premises) gehosteten Lösungen nicht notwendig ist. Ebenso werden manuelle Aktualisierungen oder ein umfangreiches Change-Management überflüssig.

Aufbewahrungspflichten

Aufbewahrungsrichtlinien lassen sich so einstellen, dass Dokumente nicht während der Aufbewahrungsfrist gelöscht oder geändert werden.
Aufbewahrungsrichtlinien, die als Datensatz klassifiziert wurden, lassen sich zentral im Admin-Center nur von einem Administrator erstellen und verändern.
Die Anpassung oder Entfernung von bereits auf Dokumente und Dateiordner angewandten Aufbewahrungsrichtlinien kann nur von einem Administrator vorgenommen werden.

Standort: Welche Unterschiede gibt es dort?

Der genaue Standort der Daten ist im Admin-Center aufgelistet. Die bei Microsoft abgelegten Dokumente befinden sich in der Europäischen Union (EU), wenn das Unternehmen seinen Sitz in der EU hat. In der Abgabenordnung (AO) müssen die Vorgaben des § 146 beachtet und eingehalten werden. Demnach sind die Bücher und die sonst erforderlichen Aufzeichnungen im Geltungsbereich des Gesetzes zu führen und aufzubewahren. Mit dem Jahressteuergesetz 2020 wurde die Möglichkeit geschaffen, elektronische Bücher und Aufzeichnungen innerhalb der EU ohne schriftlichen Ausnahmeantrag aufzubewahren. Der Datenzugriff muss dabei in vollem Umfang möglich sein. Zudem darf die Besteuerung durch die Auslagerung nicht beeinträchtigt werden. Die genannten Anforderungen sind ebenfalls Bestandteile der zu erstellenden Verfahrensdokumentation.

Ein schriftlicher oder elektronischer Antrag an die zuständige Finanzbehörde ist nur noch erforderlich, wenn eine Aufbewahrung in einem Drittstaat erfolgt. Für Neukunden bietet Microsoft auch eine Datenhaltung in Deutschland an. Bestandskunden von Microsoft können einen Umzug der Daten in ein Rechenzentrum mit Standort Deutschland beantragen.

Art der Aufbewahrung

Es kann zwischen folgenden Varianten der Archivierung gewählt werden:

Zentrales Datenarchiv (Records Center): Dokumente werden dabei in ein extra geschaffenes Datenarchiv verschoben (z. B. alle Ein- und Ausgangsdokumente befinden sich in einem Datenarchiv)
In-Place-Archivierung (in-Place Records Management bzw. Retention Labels): Dokumente verbleiben an Ort und Stelle und werden nur mittels Aufbewahrungsrichtlinien klassifiziert (z. B. alle Ein- und Ausgangsdokumente befinden sich kontextbezogen in einem Projekt- oder Kundenordner)

Benutzer, Rechte und Rollen

Folgende Benutzerrollen müssen angelegt werden:

Globaler Administrator: Kann Aufbewahrungsrichtlinien erstellen und verändern sowie Benutzer zu Administratoren in Teilbereichen (Helpdesk-Administrator) ernennen
Benutzer mit entsprechenden Berechtigungen, d. h. Ausschluss der Änderung an Aufbewahrungsrichtlinien

Zertifikate von Microsoft

Folgende Zertifikate, die ein hohes Maß an Informationssicherheit garantieren, sind seitens Microsoft vorhanden:

ISO 27001
ISO 27018
FedRAM FERPA HIPAA/HITECH
SOC 1 und SOC 2 Typ 2
Cloud Computing Compliance Controls Catalogue (C5) (für „Microsoft Office 365 Deutschland“ in Planung)
IDW PS 951 — Prüfung des internen Kontrollsystems beim Dienstleistungsunternehmen für auf das Dienstleistungsunternehmen ausgelagerte Funktionen (für „Microsoft Office 365 Deutschland“ in Planung)

Weitere Zertifikate von Microsoft können im Compliance Center unter folgender URL eingesehen werden: https://docs.microsoft.com/de-de/compliance/regulatory/offering-home

Datenbereitstellung für Prüfer

Im Rahmen einer digitalen Betriebsprüfung müssen dem Betriebsprüfer Zugriffsrechte auf die Daten gewährleistet werden. Dabei steht es dem Prüfer frei, welche Zugriffsart er auf die Daten bekommen möchte.

Die Finanzbehörde unterscheidet hier drei Zugriffsarten:

Z1: Unmittelbarer Datenzugriff
Z2: Mittelbarer Datenzugriff
Z3: Datenträgerüberlassung

Alle drei Zugriffsarten lassen sich in SharePoint Online abbilden.

Microsoft-Dienste

Microsoft gewährleistet eine Betriebszeit von 99,9%. Darüber hinaus ist Microsoft für das Change-Management zuständig, wodurch die Software stetig auf dem neuesten Stand der Technik ist. So ist eine erhöhte Sicherheit möglich, da durch die Updates Sicherheitslücken geschlossen werden. Microsoft bietet den Kunden die gleiche Sicherheit auf Basis der Microsoft Security Development Lifecycle-Richtline an. Ein Datensicherungskonzept muss separat erstellt werden.

eDiscovery-Funktionalität

Die eDiscovery-Suche ermöglicht es Benutzern, nach elektronisch gespeicherten Informationen zu suchen, die als Compliance-Nachweis oder als Beweis in Rechtsstreitigkeiten verwendet werden können. Zu den durchsuchbaren Inhalten zählen strukturierte Inhalte wie Dokumente und Listenelemente sowie Blogs, Wikis, Newsfeeds und Inhalte in Exchange-Postfächern.

Durch das eDiscovery Hold lassen sich Informationen sperren. Das Sperren bedeutet, dass eine Kopie des ursprünglichen Inhalts für den Fall aufbewahrt wird, dass dieser durch einen Benutzer später geändert oder gelöscht wird. Sperrungen sind möglich bei Inhalten auf SharePoint-Websites (einschließlich „OneDrive for Business“-Websites) und in Exchange-Postfächern (einschließlich archivierter „Skype for Business“-Unterhaltungen). Eine Sperre wird verwendet, um den Inhalt in der Form aufzubewahren, die er zum Zeitpunkt der Festlegung der Sperre hatte. Wenn Benutzer eine Sperre auf eine Website oder ein Postfach anwenden, verbleiben die Inhalte an ihrem ursprünglichen Speicherort.

GoBD und Verfahrensdokumentation

Nachfolgend sind die Kernkriterien der GoBD aufgelistet sowie mögliche Umsetzungen. Die Prinzipien basieren auf den Grundsätzen ordnungsmäßiger Buchführung (GoB), wobei die GoBD die Grundsätze auf IT-gestützte Systeme präzisieren.

Ordnungsprinzip, d.h. es müssen geordnete und ausreichende Indexstrukturen vorhanden sein:

Für die Ablage der Dokumente werden gleichartige Dokumente (Dokumentarten) in einer Dokumentenbibliothek abgelegt und archiviert. Für jede Dokumentenbibliothek kann eine andere Aufbewahrungsdauer festgelegt werden. Die Einstellungen werden auf die Unterverzeichnisse vererbt.

Vollständigkeit, d.h. eine lückenlose Belegarchivierung muss sichergestellt sein:

Soweit technisch möglich werden Dokumente automatisiert abgelegt. Die manuellen Prozesse werden den zuständigen Mitarbeitern mittels Arbeitsanweisungen bekannt gemacht und die Vollständigkeit wird im Rahmen des internen Kontrollsystems regelmäßig geprüft.

Richtigkeit, d.h. für die archivierten Dokumente ist die Übereinstimmung mit dem Original sicherzustellen; Manipulationen an Dokumenten müssen ausgeschlossen werden können:

Dokumente werden in der Form archiviert, wie diese empfangen oder versendet werden. Papierbasierte Dokumente, die mittels Scannung in das Archiv übermittelt werden, müssen einer unmittelbaren Sichtkontrolle unterliegen.

Unveränderbarkeit, d.h. es dürfen keine Änderungen an Dokumenten durchgeführt werden bzw. Änderungen müssen nachvollziehbar sein (Versionierung):

Durch die Aufbewahrungsrichtlinien kann eine Unveränderbarkeit der Dokumente im Archiv sichergestellt werden. Für veränderbare Dokumente kann eine Versionierung stattfinden.

Nachvollziehbarkeit, d.h. die angewendeten Verfahren müssen in der Verfahrensdokumentation für einen sachverständigen Dritten nachvollziehbar dokumentiert sein:

Um der Anforderung einer Nachvollziehbarkeit nachzukommen, ist eine Verfahrensdokumentation von Nöten. In der Verfahrensdokumentation sind neben den Arbeitsprozessen auch die technischen Prozesse und Einstellungen zu beschreiben.

Zeitgerecht, d.h. es erfolgt eine zeitnahe Erfassung und die Einhaltung gesetzlicher Aufbewahrungsfristen ist sichergestellt:

Die gesetzlichen Aufbewahrungsfristen werden durch die definierte Dokumentlebensdauer in den Richtlinien abgebildet. Nach GoBD ist die zeitnahe Verarbeitung von Belegen vorgeschrieben.

Fazit

Eine revisionssichere bzw. GoBD-konforme Archivierung mittels SharePoint Online kann durchgeführt werden, wenn eine Verfahrensdokumentation vorhanden ist und das Archiv ordnungsgemäß eingestellt ist, so dass eine Löschung oder Veränderung der Dokumente nicht stattfinden kann. Eine Genehmigung des zuständigen Finanzamtes ist, bedingt durch das Jahressteuergesetz 2020, nur dann notwendig, wenn die Datenhaltung außerhalb Europas stattfindet.