"Wegen Basel II und Sarbanes-Oxley (SOX) benötigen jetzt alle Unternehmen eine ECM-Lösung. Es dürfen nur noch GDPdU-zertifizierte Systeme eingesetzt werden. Nur optische Speicher sind revisionssicher." So oder so ähnlich klingen die viele Äußerungen von Anbietern elektronischer Archivierungs- und Content-Management-Lösungen. Sobald eine neue gesetzliche Auflage erscheint, die relevant ist für ECM-Anwender, werden Sachverhalte reflexartig in die jeweils gewünschte Richtung uminterpretiert. Dies mag den Herstellern dienlich sein, doch die Anwender werden dadurch verunsichert.
Die rechtliche Basis ist unverändert
Zu den Klassikern unter den gesetzlichen Regelungen zählen das Handelsgesetzbuch, die Abgabenordnung, das Bürgerliche Gesetzbuch, die Zivilprozessordnung und das Deutsche Produkthaftungs- und Umsatzsteuerrecht sowie der Datenschutz. Zumindest daran hat sich nichts geändert. Aus diesen Gesetzen und hierauf aufbauenden Grundsätzen, Erläuterungsschreiben, Fragen- und Antworten-Katalogen leiten sich die Anforderungen an die elektronische Archivierung ab. Hinzu kommen branchenbezogene Regelungen.
Für das Verständnis einer Anforderung ist es wichtig, den Zusammenhang zwischen den Gesetzen und Verordnungen zu verstehen, damit klar ist, welche Regelung auf welcher Grundlage basiert. Nur so lassen sich Anforderungen an eine ECM-Lösung sauber herleiten. Es empfiehlt sich daher, bei neuen Auflagen immer zu hinterfragen, aus welcher Grundlage diese abgeleitet wurden.
Wirtschaftsprüfung nach IDW RS FAIT 3
Neu erschienen sind die Wirtschaftsprüfungsgrundsätze des IDW RS FAIT 3 (Grundsätze ordnungsmäßiger Buchführung beim Einsatz elektronischer Archivierungsverfahren des Fachausschusses für Informationstechnik) des Institutes der Deutschen Wirtschaftsprüfer (IDW). Das ist ein Anforderungskatalog für den Betrieb einer ECM-Lösung aus Sicht der Wirtschaftsprüfer. Im Gegensatz zu anderen Gesetzen und Verordnungen hat das Institut konkrete und vor allem ECM-spezifische Regelungen zusammengestellt.
Die in den Grundsätzen ordnungsgemäßer Buchführungssysteme (GoBS) definierten Kriterien für die Ordnungsmäßigkeit der Buchführung und eines Buchführungssystems werden sinngemäß in Sicherheits- und Betriebsanforderungen für eine ECM-Umgebung abgeleitet. Dazu zählen die Richtigkeit, Vertraulichkeit und Autorisierung, Integrität und Authentizität, Verfügbarkeit, Unveränderbarkeit und Nachvollziehbarkeit.
Beispielsweise wird für das Kriterium der Richtigkeit die "bildliche und inhaltliche Gleichheit" konkretisiert. Ferner beschreiben die Wirtschaftsprüfer Details beim Farbscannen und bei der Brutto-Netto-Image-Verarbeitung. Die Problematik des Scannens von AGBs ist ein weiteres praxisnahes Beispiel.
SAP-Buchhaltung und Archivierung
Bei der Integrität geht das Grundsatzdokument darauf ein, wie Buchhaltungs- und ECM-Anwendung zusammenspielen müssen, da für die Ordnungsmäßigkeit des ECM-Systems häufig auch Eigenschaften der Buchhaltungslösung relevant sind. Beispielsweise sind bei SAP R/3 die Zugriffskriterien auf Dokumente bei der Archivierung nur in den Tabellen der ERP-Software vorhanden. Aus diesem Grund muss die SAP-Software auch den für die ECM-Software geltenden Anforderungen genügen.
Keine Pflicht für WORM
Auch mit der Unveränderbarkeit befassen sich die Buchführungsgrundsätze. Hier wird verlangt, durch technische und organisatorische Maßnahmen zu verhindern, dass sich elektronisch archivierte Dokumente und Daten nachträglich verändern lassen. Nicht Gegenstand dieses Passus ist indes eine bestimmte Hardware-Ausstattung. Vielmehr steht es dem Anwender frei, dies durch eine oder mehrere der folgenden Möglichkeiten sicherzustellen:
-
WORM-Jukeboxen und –medien (beispielsweise UDO, DVD und Bänder);
-
WORM-Festplattensysteme (etwa EMC Centera, IBM DR550, Netapp Snaplock und andere);
-
Sicherheitsmechanismen in der ECM-Software, zum Beispiel durch Bildung von Containern, Hash-Codes, Berechtigungen und Protokollierung;
-
Sicherheitsmechanismen außerhalb der ECM-Software. Dazu zählen Berechtigungen im Betriebssystem der Clients und Server, der Datenbank sowie der Backup-Verfahren;
-
organisatorische Regelungen: Das Vier-Augen-Prinzip bei der Administration, regelmäßige Audits, Zugangskontrollen und Arbeitsanweisungen für den ECM-Betrieb.
Der IDW RS FAIT 3 geht hier konform mit den GoBS und anderen gesetzlichen Grundlagen. Letztlich ist immer eine Kombination aus mehreren Techniken und Regelungen erforderlich, um während des gesamten Dokumentenlebenszyklus von der Erfassung bis zur Vernichtung sicherzustellen, dass Inhalte unverändert bleiben.
GDPdU: Betriebsprüfer dürfen ans ECM-System
Die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) wurden seit ihrem Erscheinen in der ECM-Branche heftig diskutiert. Im Januar 2007 erschien ein neuer Fragen- und Antworten-Katalog des Bundesministeriums für Finanzen (BMF). Daraus geht hervor, dass die steuerliche Außenprüfung auf den Zugriff auf ECM-Systeme ausgedehnt wird. Daraus folgt: Eingescannte Dokumente sind jetzt originär digitale Unterlagen, so dass auch für ein ECM-System die in den GDPdU beschriebenen Zugriffsarten vorhanden sein müssen. In der Praxis bedeutet das, ein Betriebsprüfer darf sich nicht nur direkt an die Systeme setzen, die steuerrelevante Daten verwalten (typischerweise sind das Buchhaltungssysteme), sondern auch an IT-Lösungen, die steuerrelevante Dokumente vorhalten, also ECM-Systeme. Diese Interpretation wurde in einem Urteil des 2. Finanzgerichts Düsseldorf vom 5. Februar 2007 bestätigt.
Wer Eingangsbelege scannt, archiviert und die dazugehörigen Originale vernichtet, erzeugt Datenbestände, auf die das Unternehmen dem Prüfer Zugriff zu gewähren hat. Der Anwender muss seine archivierten Datenbestände entsprechend organisieren. In der Praxis bedeutet dies, dass ein Benutzerprofil für die dazugehörigen Dokumentenarten und insbesondere Prüfungsjahre eingerichtet werden muss, inklusive der dazu passenden Berechtigungen. Sinnvoll ist außerdem eine Recherche-Protokollierung, falls das Unternehmen nachvollziehen möchte, was sich der Prüfer angesehen hat.
Erweiterte Pflichten zur E-Mail-Aufbewahrung
Die Verfasser des Fragen- und Antworten-Kataloges konkretisieren außerdem Regelungen zur E-Mail-Aufbewahrung. Elektronische Post muss demnach im Originalformat (E-Mail-Format) archiviert werden. Diese auszudrucken oder ausschließlich zu konvertieren genügt nicht. Was man bei maschinell verarbeitbaren Formaten noch verstehen kann, beispielsweise der Excel-Reisekostenabrechnung im E-Mail-Anhang, gilt jetzt für alle E-Mails, also auch für solche, in denen Vertragsabsprachen getroffen wurden. Firmen kommen daher nicht umhin, neben Langzeitformaten wie Tiff und PDF/A auch das (proprietäre) Originalformat zu archivieren.
Zertifizierung und Verfahrensdokumentation
Zertifikate für ECM-Lösungen oder Komponenten, wie Speichersysteme sind gefragt. Unternehmen wollen damit die Ordnungsmäßigkeit einer ECM-Umgebung bestätigt bekommen. Wirtschaftsprüfer sowie Rechtskanzleien erstellen solche Gütesiegel jedoch auf der Grundlage ganz verschiedener Bewertungskriterien, so dass deren Aussagekraft sehr unterschiedlich ist. Oft bedauern daher kompetente Prüferunternehmen, dass bei einem Zertifikat selten mehr als das Deckblatt gelesen wird. Bei genauerem Blick in ein Produktzertifikat eines ECM-Systems wird allerdings oft deutlich, dass es sich meist nur auf die Software selbst bezieht, deren Einsatzumgebung indes unberücksichtigt bleibt. Werden also beispielsweise beim Scannen Doppeleinzüge nicht erkannt, nutzt der revisionssicherste ECM-Server nichts. In guten Produktzertifikaten wird daher immer darauf hingewiesen, dass für eine ordnungsgemäße ECM-Umgebung neben dem Produkt auch entsprechende Verfahren erforderlich sind und diese auch dokumentiert sein sollten.
Eine solche Verfahrensdokumentation wurde bereits in den GoBS von 1995 gefordert, aber auch in aktuellen Regelungen wie dem IDW RS FAIT3 oder den GDPdU. Leider ist der Inhalt einer solchen Dokumentation nicht immer klar umrissen, und nicht jeder ECM-Anbieter liefert ein entsprechendes Muster mit aus. Aus den GoBS ergeben sich eine Reihe von Aspekten für eine ECM-Verfahrensdokumentation.
Typischerweise gibt es bereits viele Dokumente nach einer ECM-Einführung, die für eine Verfahrensdokumentation genutzt werden können. Dazu zählen Anwenderdokumentationen und Betriebshandbücher. In jedem Fall sollte man den ECM-Anbieter nach einer Musterdokumentation fragen, da sie ja nicht zum ersten Mal vor dieser Aufgabe stehen. Da Firmen bei anstehenden Jahresabschluss- und Betriebsprüfungen vermehrt solche Dokumentationen nachfragen, sollte zumindest ein erster Entwurf vorhanden sein. Die fehlenden Punkte können vom Softwarehaus, einem Systemintegrator oder dem Anwender leicht selbst zusammengetragen werden.
IT-Grundschutzhandbuch des BSI
Rechtsgrundlagen veralten und müssen sich dem Wandel der Geschäftswelt und der IT anpassen. ECM-Lösungen bleiben davon nicht verschont. Neben den obigen Beispielen steht momentan beispielsweise auch das IT-Grundschutzhandbuch des BSI (Auflage September 2005) in der Diskussion: Einige Abschnitte des Werks befassen sich mit zum Beispiel mit Speichertechniken, die heute nicht mehr am Markt angeboten werden.
Die GoBS aus 1995 leiden ebenfalls unter der fehlenden Aktualität und so wurde auch hier Handlungsbedarf erkannt. Eine Expertengruppe der Arbeitsgemeinschaft für wirtschaftliche Verwaltung (AWV e.V.) überarbeitet momentan diese Grundsätze und dürfte 2008 damit fertig sein.
Das Regelwerk des Verbands Organisations- und Informationssysteme (VOI) zum Thema Ordnungsmäßigkeit der Archivierung, die Prüfkriterien für Dokumenten-Management-Lösungen (PK-DML), wird ebenfalls überarbeitet. Beispielsweise in Sachen elektronische Signaturen und E-Mail-Archivierung. Eine neue Auflage erscheint im Dezember 2007.
Alle diese Regelungen sollen es dem Anwender erleichtern, eine ECM-Umgebung rechtskonform einzusetzen. Wichtig ist hierbei, sich nicht von Marketing-Aussagen beeinflussen zu lassen, sondern auf Grundlage der Gesetze und deren Auslegung diese Systeme als Best Practise zu betreiben. (fn)