Portal Systems Blog – Gastbeitrag
Revisionssichere Archivierung mit SharePoint Online, ist das überhaupt möglich? Und was genau bedeutet in diesem Zusammenhang „Revisionssicherheit“? Dieser Gastbeitrag beleuchtet die Thematik und die damit verbundenen rechtlichen Aspekte.
18.03.2021 – Markus Olbring, comdatis it-consulting GmbH & Co. KG
Die Digitalisierung bietet Unternehmen unzählige Möglichkeiten und Chancen, konfrontiert sie aber gleichzeitig mit hohen rechtlichen Anforderungen. Hiervon ist auch die ausschließlich digitale Ablage von aufbewahrungspflichtigen Dokumenten betroffen. Im Folgenden erklären wir, worauf es bei der revisionssicheren oder vielmehr GoBD-konformen Archivierung mit SharePoint Online und darauf basierenden Lösungen wie beispielsweise Shareflex ECM Online ankommt.
Revisionssicher bedeutet, dass Daten vor einer Änderung geschützt sind. Im Wesentlichen ist hier die gesetzliche Anforderung der „Unveränderbarkeit“ zu verstehen. Etwas weiter gefasst meint der Begriff „Revisionssicher“ für steuerrechtlich relevante Informationen, dass die Vorgaben aus den GoBD (vormals GoBS und GDPdU) eingehalten werden. Dabei stellt sich die Frage, ob und in welchem Umfang Papier vorzuhalten ist.
Für die Einhaltung der gesetzlichen Aufbewahrungspflichten sind folgende Gesetze maßgeblich:
Auf Einzelheiten zu den Anforderungen verzichten wir an dieser Stelle. Zusammenfassend kann allerdings festgehalten werden, dass eine ausschließlich digitale Aufbewahrung buchhalterisch und steuerrelevanter Dokumente für einen Großteil der im Unternehmen vorhandenen Dokumente zulässig ist.
SharePoint Online ist eine Webanwendung in der Microsoft-365-Umgebung, die das Zusammenarbeiten beispielsweise an Projekten vereinfacht. Darüber hinaus integriert sich die Anwendung in diverse Kommunikationskanäle, um mit internen sowie externen Geschäftspartnern zu interagieren. Microsoft bietet die Software als Dokumentenmanagementsystem (DMS) und Content-Management-Plattform an. Ein DMS bezeichnet die Verwaltung elektronischer Dokumente mit der Nutzdatei sowie beschreibenden Eigenschaften oder Metainformationen, die die Wiederauffindbarkeit der Informationen sicherstellen und eine virtuelle Aktenbildung ermöglichen. SharePoint Online kann somit als vollwertige Lösung für das Enterprise Information Management (EIM) eingesetzt werden.
Die Software basiert auf Webseiten (Sites), die sich individuell anpassen lassen. Sie sind zudem das zentrale Element in SharePoint Online, um Inhalte strukturiert darzustellen. So ist es möglich, die Seiten als Dokumentenbibliotheken, Wiki- oder Bildbibliotheken, aber auch als Listen zu erstellen.
SharePoint Online umfasst die Aufgaben eines DMS. So lassen sich mithilfe von Bibliotheken und Listen Inhalte verwalten und organisieren. Zudem werden über die Aufbewahrungsrichtlinien Löschungen oder Veränderungen von Dokumenten unterbunden.
Ein DMS (Dokumentenmanagementsystem) ist ein System zur elektronischen Verwaltung von Dokumenten. Die Software dient zur Aufbewahrung, Verwaltung und Nachverfolgung elektronischer Dokumente. Unter elektronischen Dokumenten versteht man auch papierbasierte Dokumente, die mithilfe eines Scanners digitalisiert wurden. Ein ECM (Enterprise Content Management) geht einen Schritt weiter. Ein ECM löst zwar ähnliche Aufgabenstellungen wie ein DMS, diese sind jedoch nicht auf die Verwaltung elektronischer Dokumente beschränkt. Ziel eines ECM ist die Speicherung, Bereitstellung und Verwaltung von Informationen. Darüber hinaus bietet ein ECM die Möglichkeit zur Zusammenführung von unstrukturierten und strukturierten Informationen. Kurz gesagt, ist ein DMS ein untergeordneter Teil eines ECM-Systems.
In der neuen, im Dezember 2019 veröffentlichten Fassung der „Grundsätze ordnungsmäßiger Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“ (GoBD), wurde unter Randziffer 20 die explizite Nutzung von Cloud-Systemen ergänzt. Aus Datenschutzsicht besteht eine Verarbeitung im Auftrag eines Verantwortlichen gemäß Art. 28 bzw. Art. 4 Abs. 1 Nr. 8 der DS-GVO. Rechtlich legitimiert wird diese Verarbeitung im Auftrag durch die Standardvertragsklauseln, die Bestandteil der Microsoft Online Services Terms sind. Rechtlich bestimmte Maßnahmen zur Datensicherheit werden durch bestehende Zertifikate von Microsoft erfüllt. Dokumente zur Beweissicherung in Rechtsstreitigkeiten können mittels „Legal Hold“-Beweissicherungsverfahrens vor Löschung gesperrt werden. Eine Protokollierung kann je nach Anforderung in verschiedenen Umfängen implementiert werden.
Für den Einsatz von SharePoint Online müssen folgende Bedingungen erfüllt sein:
Weitere Vorteile von SharePoint Online ergeben sich daraus, dass die Anschaffung oder Bereitstellung eigener Server oder ähnlicher IT-Infrastruktur im Gegensatz zu vor Ort (On-Premises) gehosteten Lösungen nicht notwendig ist. Ebenso werden manuelle Aktualisierungen oder ein umfangreiches Change-Management überflüssig.
Der genaue Standort der Daten ist im Admin-Center aufgelistet. Die bei Microsoft abgelegten Dokumente befinden sich in der Europäischen Union (EU), wenn das Unternehmen seinen Sitz in der EU hat. In der Abgabenordnung (AO) müssen die Vorgaben des § 146 beachtet und eingehalten werden. Demnach sind die Bücher und die sonst erforderlichen Aufzeichnungen im Geltungsbereich des Gesetzes zu führen und aufzubewahren. Mit dem Jahressteuergesetz 2020 wurde die Möglichkeit geschaffen, elektronische Bücher und Aufzeichnungen innerhalb der EU ohne schriftlichen Ausnahmeantrag aufzubewahren. Der Datenzugriff muss dabei in vollem Umfang möglich sein. Zudem darf die Besteuerung durch die Auslagerung nicht beeinträchtigt werden. Die genannten Anforderungen sind ebenfalls Bestandteile der zu erstellenden Verfahrensdokumentation.
Ein schriftlicher oder elektronischer Antrag an die zuständige Finanzbehörde ist nur noch erforderlich, wenn eine Aufbewahrung in einem Drittstaat erfolgt. Für Neukunden bietet Microsoft auch eine Datenhaltung in Deutschland an. Bestandskunden von Microsoft können einen Umzug der Daten in ein Rechenzentrum mit Standort Deutschland beantragen.
Es kann zwischen folgenden Varianten der Archivierung gewählt werden:
Folgende Benutzerrollen müssen angelegt werden:
Folgende Zertifikate, die ein hohes Maß an Informationssicherheit garantieren, sind seitens Microsoft vorhanden:
Weitere Zertifikate von Microsoft können im Compliance Center unter folgender URL eingesehen werden: https://docs.microsoft.com/de-de/compliance/regulatory/offering-home
Im Rahmen einer digitalen Betriebsprüfung müssen dem Betriebsprüfer Zugriffsrechte auf die Daten gewährleistet werden. Dabei steht es dem Prüfer frei, welche Zugriffsart er auf die Daten bekommen möchte.
Die Finanzbehörde unterscheidet hier drei Zugriffsarten:
Alle drei Zugriffsarten lassen sich in SharePoint Online abbilden.
Microsoft gewährleistet eine Betriebszeit von 99,9%. Darüber hinaus ist Microsoft für das Change-Management zuständig, wodurch die Software stetig auf dem neuesten Stand der Technik ist. So ist eine erhöhte Sicherheit möglich, da durch die Updates Sicherheitslücken geschlossen werden. Microsoft bietet den Kunden die gleiche Sicherheit auf Basis der Microsoft Security Development Lifecycle-Richtlinie an. Ein Datensicherungskonzept muss separat erstellt werden.
Die eDiscovery-Suche ermöglicht es Benutzern, nach elektronisch gespeicherten Informationen zu suchen, die als Compliance-Nachweis oder als Beweis in Rechtsstreitigkeiten verwendet werden können. Zu den durchsuchbaren Inhalten zählen strukturierte Inhalte wie Dokumente und Listenelemente sowie Blogs, Wikis, Newsfeeds und Inhalte in Exchange-Postfächern.
Durch das eDiscovery Hold lassen sich Informationen sperren. Das Sperren bedeutet, dass eine Kopie des ursprünglichen Inhalts für den Fall aufbewahrt wird, dass dieser durch einen Benutzer später geändert oder gelöscht wird. Sperrungen sind möglich bei Inhalten auf SharePoint-Websites (einschließlich „OneDrive for Business“-Websites) und in Exchange-Postfächern (einschließlich archivierter „Skype for Business“-Unterhaltungen). Eine Sperre wird verwendet, um den Inhalt in der Form aufzubewahren, die er zum Zeitpunkt der Festlegung der Sperre hatte. Wenn Benutzer eine Sperre auf eine Website oder ein Postfach anwenden, verbleiben die Inhalte an ihrem ursprünglichen Speicherort.
Nachfolgend sind die Kernkriterien der GoBD aufgelistet sowie mögliche Umsetzungen. Die Prinzipien basieren auf den Grundsätzen ordnungsmäßiger Buchführung (GoB), wobei die GoBD die Grundsätze auf IT-gestützte Systeme präzisieren.
Ordnungsprinzip, d.h. es müssen geordnete und ausreichende Indexstrukturen vorhanden sein:
Für die Ablage der Dokumente werden gleichartige Dokumente (Dokumentarten) in einer Dokumentenbibliothek abgelegt und archiviert. Für jede Dokumentenbibliothek kann eine andere Aufbewahrungsdauer festgelegt werden. Die Einstellungen werden auf die Unterverzeichnisse vererbt.
Vollständigkeit, d.h. eine lückenlose Belegarchivierung muss sichergestellt sein:
Soweit technisch möglich werden Dokumente automatisiert abgelegt. Die manuellen Prozesse werden den zuständigen Mitarbeitern mittels Arbeitsanweisungen bekannt gemacht und die Vollständigkeit wird im Rahmen des internen Kontrollsystems regelmäßig geprüft.
Richtigkeit, d.h. für die archivierten Dokumente ist die Übereinstimmung mit dem Original sicherzustellen; Manipulationen an Dokumenten müssen ausgeschlossen werden können:
Dokumente werden in der Form archiviert, wie diese empfangen oder versendet werden. Papierbasierte Dokumente, die mittels Scannung in das Archiv übermittelt werden, müssen einer unmittelbaren Sichtkontrolle unterliegen.
Unveränderbarkeit, d.h. es dürfen keine Änderungen an Dokumenten durchgeführt werden bzw. Änderungen müssen nachvollziehbar sein (Versionierung):
Durch die Aufbewahrungsrichtlinien kann eine Unveränderbarkeit der Dokumente im Archiv sichergestellt werden. Für veränderbare Dokumente kann eine Versionierung stattfinden.
Nachvollziehbarkeit, d.h. die angewendeten Verfahren müssen in der Verfahrensdokumentation für einen sachverständigen Dritten nachvollziehbar dokumentiert sein:
Um der Anforderung einer Nachvollziehbarkeit nachzukommen, ist eine Verfahrensdokumentation vonnöten. In der Verfahrensdokumentation sind neben den Arbeitsprozessen auch die technischen Prozesse und Einstellungen zu beschreiben.
Zeitgerecht, d.h. es erfolgt eine zeitnahe Erfassung und die Einhaltung gesetzlicher Aufbewahrungsfristen ist sichergestellt:
Die gesetzlichen Aufbewahrungsfristen werden durch die definierte Dokumentlebensdauer in den Richtlinien abgebildet. Nach GoBD ist die zeitnahe Verarbeitung von Belegen vorgeschrieben.
Eine revisionssichere bzw. GoBD-konforme Archivierung mittels SharePoint Online kann durchgeführt werden, wenn eine Verfahrensdokumentation vorhanden ist und das Archiv ordnungsgemäß eingestellt ist, so dass eine Löschung oder Veränderung der Dokumente nicht stattfinden kann. Eine Genehmigung des zuständigen Finanzamtes ist, bedingt durch das Jahressteuergesetz 2020, nur dann notwendig, wenn die Datenhaltung außerhalb Europas stattfindet.
Markus Olbring, Geschäftsführer der comdatis it-consulting GmbH & Co. KG, mit Sitz in Ahaus, ist als IT-Berater und IT-Sachverständiger in den Bereichen Digitalisierung, Verfahrensdokumentation, IT-Audit, Informationssicherheit und Datenschutz tätig.
Die Ausführungen stellen die Meinung des/der Autoren wieder und haben keine bindende Wirkung. Insofern verstehen sich alle angebotenen Informationen ohne Gewähr auf Richtigkeit und Vollständigkeit. Für eine Umsetzung ist stets eine Beratung im Einzelfall notwendig.
Ahaus, 18. März 2021
Autor: Markus Olbring, comdatis it-consulting GmbH & Co. KG
Diesen Artikel teilen:
2021 Portal Systems AG
Zeit und Kosten sparen bei der Lotus Notes Migration