☁️ Cloud Explained: Revisionssicherheit
So profitieren Unternehmen von der Datenarchivierung in der Cloud
Unternehmen sammeln große Mengen unterschiedlicher Daten an, von einfachen Mails über Rechnungen bis hin zu Verträgen. Diese Schriftstücke gilt es revisionssicher zu archivieren, um sie für die spätere Nutzung zu sichern und IT-Systeme zu entlasten.
Die Archivierung unterliegt dabei strengen Richtlinien, die u. a. die unberechtigte Nutzung der Daten verhindern sollen. Das Inkrafttreten der DSGVO im Jahr 2018 sowie der Datenschutz haben die Rechte des Einzelnen zusätzlich gestärkt.
Insbesondere das Recht auf die restlose Löschung personenbezogener Daten betrifft auch die (digitalen) Archive von Organisationen: Hat eine Person berechtigtes Interesse an der Löschung ihrer Daten, muss das Unternehmen diesem Wunsch sofort nachkommen und die jeweiligen Informationen unverzüglich und restlos löschen – hierunter fallen dann auch Archive.
Hinzu kommen die GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff): Diese geben einen engen Rahmen vor, was die Archivierung von Dokumenten angeht, beispielsweise zu Steuerzwecken.
Unternehmen befinden sich hier in einer Zwickmühle: Einerseits müssen sie Daten aufbewahren, um ihrer Nachweispflicht zu genügen und bei Revisionen auf der sicheren Seite zu sein, andererseits müssen sie im Rahmen der DSGVO darauf achten, welche Daten sie wo speichern und wann sie sie löschen. Diese beiden Seiten gilt es im Geschäftsalltag immer wieder gegeneinander abzuwägen und rechtssicher miteinander zu verbinden .
Kommt bei einer offiziellen Prüfung beispielsweise heraus, dass etwa zur Löschung bestimmte Daten nicht ordnungsgemäß gelöscht wurden, kommen auf das Unternehmen möglicherweise die bekannten horrenden Strafzahlungen zu. Grund genug, sich mit dem Thema revisionssicherer Datenspeicherung auseinanderzusetzen.
Revisionssicherheit und ihre Tücken
Revisionssicherheit bedeutet, dass die Archivierung für elektronische Archivsysteme bei Revisionen nicht beanstandet werden kann. Revision bedeutet hier aus wirtschaftlicher Sicht die Überprüfung der Compliance zu gesetzlichen Vorgaben und betrifft aufbewahrungspflichtige oder aufbewahrungswürdige Informationen und Dokumente.
Soweit die Definition. Die Umsetzung der Revisionssicherheit stellt sich in der Praxis allerdings als schwierig heraus: Unternehmen erhalten jeden Tag unzählige Mengen an Daten, sei es per Mail, auf dem Postweg oder auf anderen Kanälen. Organisationen müssen die Daten, die auf diese Weise anfallen, systematisch archivieren, um sie im Falle einer späteren Prüfung korrekt abrufen zu können.
Die Anforderungen an die revisionssichere Archivierung von Daten lassen sich dabei in 10 Punkten zusammenfassen:
- Compliance
Die Archivierung sämtlicher Dokumente muss compliant zu rechtlichen und unternehmensinternen Vorgaben sein. - Vollständigkeit
Sowohl auf dem Übertragungsweg in das Archiv als auch im Archiv selbst müssen Daten komplett bleiben und dürfen nicht verloren gehen. - Nachvollziehbarkeit
Sämtliche Änderungen, die im Archiv getätigt werden, müssen nachvollziehbar sein bzw. protokolliert werden. - Überprüfbarkeit
Das Archiv muss jederzeit von einem Prüfer eingesehen werden können. - Frühestmögliche Speicherung
Organisationen müssen Dokumente so früh wie möglich abspeichern. - Fälschungssicherheit
Archivierte Dokumente müssen mit ihren Originalen übereinstimmen. - Sicherung vor Verlust
Mitarbeiter und Prüfer müssen Dokumente schnellstmöglich auffinden und reproduzieren können. - Identity Management
Nur die Personen dürfen Zugriff auf das Archiv und die dort gespeicherten Informationen haben, die ein berechtigtes Interesse daran haben. - Aufbewahrungsfristen
Dokumente dürfen erst nach Ablaufen gesetzlicher Fristen gelöscht werden. - Dokumentation
Die Einhaltung dieser Grundsätze und mögliche Änderungen im Archivsystem müssen dokumentiert werden.
Es gibt also viele Dinge bei der Archivierung von Daten zu beachten. Dies gilt ganz besonders, wenn das Archiv in einer Cloud gespeichert ist, sei sie public, private oder hybrid.
Das Archiv in den Wolken
Viele Organisationen setzen für die Archivierung mittlerweile auf Cloud-Services wie die von gridscale, die durch ihre Ausrichtung an den strengen deutschen und europäischen Datenschutzvorgaben eine besonders hohe Rechtssicherheit gewährleisten. Anders als US-amerikanische Cloud-Anbieter fallen deutsche Provider nicht unter den CLOUD Act, der Unternehmen verpflichtet, Daten bei Bedarf beispielsweise auch Strafverfolgungsbehörden zugänglich zu machen.
Im zweiten Schritt muss das Unternehmen sicherstellen, dass es die Daten nachvollziehbar, auffindbar, unveränderbar und verfälschungssicher archiviert. Cloud-Systeme sind übrigens erst seit 2019 offiziell von den GoBD zur Verarbeitung von Unternehmensdokumenten zugelassen. Zuvor befanden sich Nutzer in einer Grauzone.
Der dritte Schritt umfasst die Nutzung und schließlich die Löschung der archivierten Informationen. Elektronische Archive sollen ihren Vorteil ausspielen, eine große Menge an Informationen schnellstmöglich bereitzustellen. Die Tage schier endloser Archivwände sind schließlich – zum Glück – lange vorbei. Dennoch: Je größer die Menge an Daten wird, desto länger brauchen Suchanfragen, um Ergebnisse zu liefern.
Eingehende Mails etwa werden meist sofort archiviert, hinzu kommen andere Dokumente von Mitarbeitern und Kunden wie Angebote, Kostenvoranschläge, Rechnungen etc. Die Cloud trägt also eine Grundlast in Form des mehr oder weniger konstanten Schriftverkehrs, andere Daten belasten die Infrastruktur willkürlich bzw. nicht vorhersehbar.
Der Archivierungsexperte Inoxision aus Oberfranken nutzt gridscales Cloud-Services für seine Angebote, um seinen Kunden rechtssichere Archivierung bei gleichzeitig kurzen Zugriffszeiten zu bieten. Aufgrund der großen Datenmengen, die das Unternehmen für seine Kunden archiviert, muss die zugrundeliegende Cloud-Lösung schnell und einfach skalierbar sein. Schnelle Zugriffszeiten auf das Archiv von unter einer Sekunde sorgen nicht nur für frustfreie Suchen: Die schnelle Datenwiederherstellung ermöglicht die sofortige Reaktion auf Anfragen zu länger zurückliegenden Geschäftsvorfällen, Buchprüfungen oder zur Speicherung von Personendaten nach der EU-DSGVO.
Auch beim Spezialisten für Vertragsmanagement Otris kommt die gridscale Cloud für das Archiv zum Einsatz. Aufgrund der hohen Sensibilität der gespeicherten Daten setzten die Dortmunder bei ihrer Lösung lange auf On-Premises-Rechenzentren. Cloud-Angebote von Hyperscalern kamen aus Compliance-Gründen nicht in Frage. Die flexibel konfigurierbaren Cloud-Dienste von gridscale boten hier die nötige Skalierbarkeit bei gleichzeitiger Revisionssicherheit.
Revisionssicherheit und Cloud? Das passt.
Cloud-Anbieter können für Unternehmen, die ihre Systeme revisionssicher gestalten wollen, die richtige Lösung sein. Besonders deutsche Provider wie gridscale setzen auf hohe Datenschutzstandards und können zudem kritische Punkte für revisionssichere Archive erfüllen. Insbesondere das Zugriffsmanagement ist elementarer Bestandteil jeder Cloud, aber auch bei der Unveränderlichkeit und Vollständigkeit der Daten sowie ihrer bei Bedarf restlosen Löschung haben Cloud Provider die Nase vorn. Ein Praxistipp: Auf Standards und Normen wie ISO 27001, 27018 oder die Trusted Cloud Zertifizierung des BMWi achten. Sie zeichnen diejenigen Anbieter mit besonders hoher Datenschutzgüte aus.