☁️ Cloud Explained: Revisionssicherheit

So profitieren Unternehmen von der Datenarchivierung in der Cloud

Unternehmen sammeln große Mengen unterschiedlicher Daten an, von einfachen Mails über Rechnungen bis hin zu Verträgen. Diese Schriftstücke gilt es revisionssicher zu archivieren, um sie für die spätere Nutzung zu sichern und IT-Systeme zu entlasten.

Die Archivierung unterliegt dabei strengen Richtlinien, die u. a. die unberechtigte Nutzung der Daten verhindern sollen. Das Inkrafttreten der DSGVO im Jahr 2018 sowie der Datenschutz haben die Rechte des Einzelnen zusätzlich gestärkt.

Insbesondere das Recht auf die restlose Löschung personenbezogener Daten betrifft auch die (digitalen) Archive von Organisationen: Hat eine Person berechtigtes Interesse an der Löschung ihrer Daten, muss das Unternehmen diesem Wunsch sofort nachkommen und die jeweiligen Informationen unverzüglich und restlos löschen – hierunter fallen dann auch Archive.

Hinzu kommen die GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff): Diese geben einen engen Rahmen vor, was die Archivierung von Dokumenten angeht, beispielsweise zu Steuerzwecken.

Unternehmen befinden sich hier in einer Zwickmühle: Einerseits müssen sie Daten aufbewahren, um ihrer Nachweispflicht zu genügen und bei Revisionen auf der sicheren Seite zu sein, andererseits müssen sie im Rahmen der DSGVO darauf achten, welche Daten sie wo speichern und wann sie sie löschen. Diese beiden Seiten gilt es im Geschäftsalltag immer wieder gegeneinander abzuwägen und rechtssicher miteinander zu verbinden .

Kommt bei einer offiziellen Prüfung beispielsweise heraus, dass etwa zur Löschung bestimmte Daten nicht ordnungsgemäß gelöscht wurden, kommen auf das Unternehmen möglicherweise die bekannten horrenden Strafzahlungen zu. Grund genug, sich mit dem Thema revisionssicherer Datenspeicherung auseinanderzusetzen.

Revisionssicherheit und ihre Tücken

Revisionssicherheit bedeutet, dass die Archivierung für elektronische Archivsysteme bei Revisionen nicht beanstandet werden kann. Revision bedeutet hier aus wirtschaftlicher Sicht die Überprüfung der Compliance zu gesetzlichen Vorgaben und betrifft aufbewahrungspflichtige oder aufbewahrungswürdige Informationen und Dokumente.

Soweit die Definition. Die Umsetzung der Revisionssicherheit stellt sich in der Praxis allerdings als schwierig heraus: Unternehmen erhalten jeden Tag unzählige Mengen an Daten, sei es per Mail, auf dem Postweg oder auf anderen Kanälen. Organisationen müssen die Daten, die auf diese Weise anfallen, systematisch archivieren, um sie im Falle einer späteren Prüfung korrekt abrufen zu können.

Die Anforderungen an die revisionssichere Archivierung von Daten lassen sich dabei in 10 Punkten zusammenfassen:

Compliance
Die Archivierung sämtlicher Dokumente muss compliant zu rechtlichen und unternehmensinternen Vorgaben sein.
Vollständigkeit
Sowohl auf dem Übertragungsweg in das Archiv als auch im Archiv selbst müssen Daten komplett bleiben und dürfen nicht verloren gehen.
Nachvollziehbarkeit
Sämtliche Änderungen, die im Archiv getätigt werden, müssen nachvollziehbar sein bzw. protokolliert werden.
Überprüfbarkeit
Das Archiv muss jederzeit von einem Prüfer eingesehen werden können.
Frühestmögliche Speicherung
Organisationen müssen Dokumente so früh wie möglich abspeichern.
Fälschungssicherheit
Archivierte Dokumente müssen mit ihren Originalen übereinstimmen.
Sicherung vor Verlust
Mitarbeiter und Prüfer müssen Dokumente schnellstmöglich auffinden und reproduzieren können.
Identity Management
Nur die Personen dürfen Zugriff auf das Archiv und die dort gespeicherten Informationen haben, die ein berechtigtes Interesse daran haben.
Aufbewahrungsfristen
Dokumente dürfen erst nach Ablaufen gesetzlicher Fristen gelöscht werden.
Dokumentation
Die Einhaltung dieser Grundsätze und mögliche Änderungen im Archivsystem müssen dokumentiert werden.

Es gibt also viele Dinge bei der Archivierung von Daten zu beachten. Dies gilt ganz besonders, wenn das Archiv in einer Cloud gespeichert ist, sei sie public, private oder hybrid.

Das Archiv in den Wolken

Viele Organisationen setzen für die Archivierung mittlerweile auf Cloud-Services wie die von gridscale, die durch ihre Ausrichtung an den strengen deutschen und europäischen Datenschutzvorgaben eine besonders hohe Rechtssicherheit gewährleisten. Anders als US-amerikanische Cloud-Anbieter fallen deutsche Provider nicht unter den CLOUD Act, der Unternehmen verpflichtet, Daten bei Bedarf beispielsweise auch Strafverfolgungsbehörden zugänglich zu machen.

Im zweiten Schritt muss das Unternehmen sicherstellen, dass es die Daten nachvollziehbar, auffindbar, unveränderbar und verfälschungssicher archiviert. Cloud-Systeme sind übrigens erst seit 2019 offiziell von den GoBD zur Verarbeitung von Unternehmensdokumenten zugelassen. Zuvor befanden sich Nutzer in einer Grauzone.

Der dritte Schritt umfasst die Nutzung und schließlich die Löschung der archivierten Informationen. Elektronische Archive sollen ihren Vorteil ausspielen, eine große Menge an Informationen schnellstmöglich bereitzustellen. Die Tage schier endloser Archivwände sind schließlich – zum Glück – lange vorbei. Dennoch: Je größer die Menge an Daten wird, desto länger brauchen Suchanfragen, um Ergebnisse zu liefern.

Eingehende Mails etwa werden meist sofort archiviert, hinzu kommen andere Dokumente von Mitarbeitern und Kunden wie Angebote, Kostenvoranschläge, Rechnungen etc. Die Cloud trägt also eine Grundlast in Form des mehr oder weniger konstanten Schriftverkehrs, andere Daten belasten die Infrastruktur willkürlich bzw. nicht vorhersehbar.

Der Archivierungsexperte Inoxision aus Oberfranken nutzt gridscales Cloud-Services für seine Angebote, um seinen Kunden rechtssichere Archivierung bei gleichzeitig kurzen Zugriffszeiten zu bieten. Aufgrund der großen Datenmengen, die das Unternehmen für seine Kunden archiviert, muss die zugrundeliegende Cloud-Lösung schnell und einfach skalierbar sein. Schnelle Zugriffszeiten auf das Archiv von unter einer Sekunde sorgen nicht nur für frustfreie Suchen: Die schnelle Datenwiederherstellung ermöglicht die sofortige Reaktion auf Anfragen zu länger zurückliegenden Geschäftsvorfällen, Buchprüfungen oder zur Speicherung von Personendaten nach der EU-DSGVO.

Auch beim Spezialisten für Vertragsmanagement Otris kommt die gridscale Cloud für das Archiv zum Einsatz. Aufgrund der hohen Sensibilität der gespeicherten Daten setzten die Dortmunder bei ihrer Lösung lange auf On-Premises-Rechenzentren. Cloud-Angebote von Hyperscalern kamen aus Compliance-Gründen nicht in Frage. Die flexibel konfigurierbaren Cloud-Dienste von gridscale boten hier die nötige Skalierbarkeit bei gleichzeitiger Revisionssicherheit.

Revisionssicherheit und Cloud? Das passt.

Cloud-Anbieter können für Unternehmen, die ihre Systeme revisionssicher gestalten wollen, die richtige Lösung sein. Besonders deutsche Provider wie gridscale setzen auf hohe Datenschutzstandards und können zudem kritische Punkte für revisionssichere Archive erfüllen. Insbesondere das Zugriffsmanagement ist elementarer Bestandteil jeder Cloud, aber auch bei der Unveränderlichkeit und Vollständigkeit der Daten sowie ihrer bei Bedarf restlosen Löschung haben Cloud Provider die Nase vorn. Ein Praxistipp: Auf Standards und Normen wie ISO 27001, 27018 oder die Trusted Cloud Zertifizierung des BMWi achten. Sie zeichnen diejenigen Anbieter mit besonders hoher Datenschutzgüte aus.

Cookie	Dauer	Beschreibung
_ga	2 years	Das _ga-Cookie, das von Google Analytics installiert wird, berechnet Besucher-, Sitzungs- und Kampagnendaten und verfolgt auch die Nutzung der Website für den Analysebericht der Website. Das Cookie speichert Informationen anonym und weist eine zufällig generierte Nummer zu, um eindeutige Besucher zu erkennen.
_ga_YXMZ98M2VB	2 years	Dieses Cookie wird von uns zu Analysezwecken installiert.
_gid	1 day	Das von uns installierte _gid-Cookie speichert Informationen darüber, wie Besucher eine Website nutzen, und erstellt einen Analysebericht über die Leistung der Website. Zu den gesammelten Daten gehören die Anzahl der Besucher, ihre Quelle und die Seiten, die sie anonym besuchen.
cookielawinfo-checkbox-advertisement	1 year	Dieses Cookie wird vom GDPR Cookie Consent Plugin gesetzt und dient dazu, die Zustimmung des Nutzers für die Cookies der Kategorie "Werbung" zu erfassen.
cookielawinfo-checkbox-analytics	11 months	Dieses Cookie wird vom GDPR Cookie Consent Plugin gesetzt. Das Cookie wird verwendet, um die Zustimmung des Nutzers für die Cookies in der Kategorie "Analytics" zu speichern.
cookielawinfo-checkbox-functional	11 months	Dieses Cookie wird vom GDPR Cookie Consent Plugin gesetzt. Das Cookie wird verwendet, um die Zustimmung des Nutzers für die Cookies in der Kategorie "Functional" zu speichern.
cookielawinfo-checkbox-necessary	11 months	Dieses Cookie wird vom GDPR Cookie Consent Plugin gesetzt. Das Cookie wird verwendet, um die Zustimmung des Nutzers für die Cookies in der Kategorie "Notwendig" zu speichern.
cookielawinfo-checkbox-others	11 months	Dieses Cookie wird vom GDPR Cookie Consent Plugin gesetzt. Das Cookie wird verwendet, um die Zustimmung des Nutzers für die Cookies in der Kategorie "Andere" zu speichern.
CookieLawInfoConsent	1 year	Speichert den Standard-Schaltflächenstatus der entsprechenden Kategorie & den Status von CCPA/DSGVO. Es funktioniert nur in Koordination mit dem primären Cookie.
mautic_device_id	1 year	Dieser Cookie wird von dem Anbieter Mautic gesetzt und dient der Identifizierung von Besuchern über Besuche und Geräte hinweg. Mautic-Cookies werden zur Unterstützung von Marketingaktivitäten verwendet.
mautic_referer_id	30 minutes	Dieses Cookie wird von dem Anbieter Mautic gesetzt. Dieses Cookie wird für Marketingzwecke verwendet. Es hilft bei der Verfolgung von Personen, die Formulare einreichen.
mtc_id	session	Dieses Cookie wird von dem Anbieter Mautic gesetzt und dient dazu, eine eindeutige ID für den Besucher zu setzen, um ihn über mehrere Websites hinweg zu verfolgen und ihm relevante Werbung zu zeigen. Mautic-Cookies werden zur Unterstützung von Marketingaktivitäten verwendet.
mtc_sid	session	Dieses Cookie wird von dem Anbieter Mautic gesetzt und dient dazu, eine eindeutige ID für den Besucher zu setzen, um ihn über mehrere Websites hinweg zu verfolgen und ihm relevante Werbung zu zeigen. Mautic-Cookies werden zur Unterstützung von Marketingaktivitäten verwendet.
viewed_cookie_policy	11 months	Das Cookie wird vom GDPR Cookie Consent Plugin gesetzt und wird verwendet, um zu speichern, ob der Nutzer der Verwendung von Cookies zugestimmt hat oder nicht. Es speichert keine persönlichen Daten.

Cookie	Dauer	Beschreibung
_gat_UA-64546682-1	1 minute	Eine Variante des _gat-Cookies, das von Google Analytics und Google Tag Manager gesetzt wird, um Website-Besitzern zu ermöglichen, das Besucherverhalten zu verfolgen und die Leistung der Website zu messen. Das Musterelement im Namen enthält die eindeutige Identitätsnummer des Kontos oder der Website, auf die es sich bezieht.
_gcl_au	3 months	Wird von Google Tag Manager zur Verfügung gestellt, um die Werbeeffizienz von Websites zu testen, die deren Dienste nutzen.
AnalyticsSyncHistory	1 month	Mit diesem Cookie speichert LinkedIn, wann eine Synchronisierung mit dem Cookie „lms_analytics cookie“ stattgefunden hat.

Cookie	Dauer	Beschreibung
_fbp	3 months	Dieses Cookie wird von Facebook gesetzt, um nach dem Besuch der Website entweder auf Facebook oder auf einer digitalen Plattform, die von Facebook-Werbung unterstützt wird, Werbung anzuzeigen.
_uetsid	1 day	Bing Ads setzt dieses Cookie, um mit einem Nutzer in Kontakt zu treten, der zuvor die Website besucht hat.
_uetvid	1 year 24 days	Bing Ads setzt dieses Cookie, um mit einem Nutzer in Kontakt zu treten, der zuvor die Website besucht hat.
bcookie	1 year	LinkedIn setzt dieses Cookie aufgrund LinkedIn-Share-Buttons und Anzeigen-Tags, um die Browser-ID zu erkennen.
bscookie	1 year	LinkedIn setzt dieses Cookie, um auf der Website durchgeführte Aktionen zu speichern.
fr	3 months	Facebook setzt dieses Cookie, um Nutzern relevante Werbung zu zeigen, indem es das Nutzerverhalten im gesamten Web auf Websites verfolgt, die mit dem Facebook-Pixel oder dem Facebook Social Plugin ausgestattet sind.
lang	session	LinkedIn setzt dieses Cookie, um sich die Spracheinstellung eines Nutzers zu merken.
li_gc	5 months 27 days	Mit diesem Cookie wird von LinkedIn die Einwilligung von Gästen zur Verwendung von nicht zwingend erforderlichen Cookies gespeichert.
lidc	1 day	LinkedIn setzt das lidc-Cookie, um die Auswahl des Rechenzentrums zu erleichtern.
MUID	1 year 24 days	Bing setzt dieses Cookie, um einzelne Webbrowser zu erkennen, die Microsoft-Seiten besuchen. Dieses Cookie wird für Werbung, Website-Analysen und andere Vorgänge verwendet.
test_cookie	15 minutes	Der test_cookie wird von doubleclick.net gesetzt und dient dazu, festzustellen, ob der Browser des Benutzers Cookies unterstützt.
UserMatchHistory	1 month	LinkedIn setzt dieses Cookie für die Synchronisierung der LinkedIn Ads ID.

Cookie	Dauer	Beschreibung
_chatwoot_session	session	Wird von Chatwoot verwendet, um die Benutzersitzung zu erhalten.
cw_conversation	1 year	Dieses Cookie ermöglicht es Chatwoot, die Konversation aufrechtzuerhalten, wenn der Kontakt durch die Webseiten navigiert / die Website später erneut besucht.

Cookie	Dauer	Beschreibung
csrf_token	10 years	No description available.
new_session	session	Keine Beschreibung verfügbar.
session_data	10 years	Keine Beschreibung verfügbar.
show_cookie_banner	session	Zeigt das Cookie als Banner.

On Demand Cloud

Private Cloud

Compute

Storage

Netzwerk

Database

Marketplace

On Demand Cloud

Private Cloud

Compute

Storage

Netzwerk

Database

Marketplace

On Demand Cloud

Private Cloud

Compute

Storage

Netzwerk

Database

Marketplace

Ich möchte mich kostenlos beraten lassen

Lösungen

Compute

Dev Tools

Storage

Netzwerk

Community