Revisisionssichere Archivierung ist auch mit Microsoft SharePoint / Microsoft 365 möglich. Hierzu hatten wir in einem anderen Blogbeitrag bereits berichtet: https://www.comdatis.de/ist-sharepoint-revisionssicher/
Was bedeutet eigentlich revisionssicher? Der Begriff Revisionssicherheit ist in keinem Gesetz exakt definiert. Gemeint ist damit die Einhaltung regulatorischer Vorgaben, insbesondere die fiskalischen Anforderungen. Hier sind im Wesentlichen die aus den GOBD bekannten Anforderungen gemeint. Die Einhaltung dieser Vorgaben durch die Einrichtung im SharePoint sowie die nachvollziehbare Dokumentation in der Verfahrensdokumentation (Tz. 151 GOBD) zur Nachweisführung führen zur Revisionssicherheit. Sofern eine digitale Belegablage außerhalb Deutschlands erfolgt, sind darüber hinaus die Informations- bzw. Antragspflichten gegenüber der zuständigen Finanzbehörde zu berücksichtigen.
Wie kann eine Revisionssicherheit in SharePoint erreicht werden? Für eine revisionssichere Archivierung im SharePoint Online haben wir Ihnen die folgende Anleitung erstellt.
Bitte stimmen Sie sich vor der Umsetzung mit einem technischen Lösungspartner ab.
I. Auswahl des Archivs
Im Microsoft SharePoint Online bestehen zwei bzw. drei Möglichkeiten eine Archivierung durchzuführen. Diese haben gewisse Vor- und Nachteile und können je nach Anwendungsbereich oder Geschmack gewählt werden.
- Zentrales Datenarchiv (Records Center): Dokumente werden dabei in ein extra geschaffenes Datenarchiv verschoben (z. B. alle Ein- und Ausgangsdokumente befinden sich in einem Datenarchiv)
- in-Place-Archivierung (in-Place-Record Management bzw. Retention Labels): Dokumente verbleiben an Ort und Stelle und werden nur mittels Aufbewahrungsrichtlinien klassifiziert (z. B. alle Ein- und Ausgangsdokumente befinden sich kontextbezogen in einem Projekt-/oder Kundenordner) ,
- Hybrides Archivieren (Records Center Management) Kombination aus Punkt 1 und 2 (z. B. alle Ein- und Ausgangsdokumente befinden sich kontextbezogen in einem Projekt-/oder Kundenordner, darüber hinaus werden die Dokumente in ein zentrale Datenarchiv übergeben
1. Records Center
Für die Archivierung mittels Records Center loggen Sie sich als Administrator im SharePoint Admin Center ein und wählen die klassische Ansicht aus. Nun erstellen Sie eine neue Webseite bzw. eine neue Websitesammlung und wählen den Reiter Enterprise aus, in der untenstehenden Auflistung wählen Sie den Eintrag „Datenarchiv“ aus. Im oberen Teil des Fensters können Sie das Datenarchiv z. B. je nach Anwendungsgebiet oder Dokumentenart benennen. Speichern Sie Ihre Angaben und wählen Sie in den Einstellungen (Zahnradsymbol) unter dem Reiter „Websitesammlungsverwaltung“ den Punkt „Inhaltstyp Richtlinienvorlagen“ aus.
1.1. Richtlinienvorlagen
Nun erstellen Sie die Richtlinien mit dem Menüpunkt „Erstellen“. Es öffnet sich ein neues Fenster, in dem Sie den Namen und eine administrative Beschreibung und eine Richtlinienanweisung eintragen können. Zum Beispiel können Sie hier den Text „11 Jahre Handels- und Steuerrecht“ eintragen. Wichtig ist, dass Sie einen Haken bei „Aufbewahrung aktivieren“ setzen und den Eintrag „Aufbewahrungsphase hinzufügen“ auswählen – nun öffnet sich ein neues Fenster in dem Sie die Zeitperiode z. B. „Erstellt am + 11 Jahre“ auswählen bzw. eintragen sollten. Abschließend können Sie die Aktion auswählen, die vorgenommen werden soll, wenn die Phase ausgelöst wird, z. B. „in den Papierkorb verschieben“. Wählen Sie abschließend OK – nun sehen Sie im vorherigen Fenster den Eintrag, den Sie soeben erstellt haben: „Erstellt am + 11 Jahre“ (Beispiel).
1.2. Anwenden
Wenn Sie nun innerhalb der Websitesammlung eine Datei verändern oder löschen möchten, sollten Sie einen Fehlerhinweis bekommen, dass Elemente nicht gelöscht werden, verschoben oder umbenannt werden können. Bitte bedenken Sie, dass Sie stets die zu archivierenden Dokumenten in dieses Record Center überführen müssen.
2. in-Place-Archivierung
Für eine in-Place-Archivierung, melden Sie sich als Administrator ein, wählen Sie sodann das Security & Compliance Center aus. Hier können Sie nun den Eintrag Data Governance auswählen und danach auf den Eintrag „Aufbewahrung“ klicken.
2.1. Bezeichnung
Nun öffnet sich ein neues Fenster in dem Sie vorerst eine Bezeichnung erstellen können, im oberen Bereich wählen Sie bitte den Eintrag „Aufbewahrung“ aus und klicken anschließend auf „+ Bezeichnung erstellen“. Nun öffnet sich eine neue Eingabemaske in die Sie Name [der Bezeichnung], Beschreibung für Administratoren und Beschreibung für Benutzer eintragen können, mit denen Benutzer Unternehmensweit Inhalte manuell klassifizieren und aufbewahren können. Zum Beispiel können Sie hier den Text „11 Jahre Handels- und Steuerrecht“ eintragen. Anschließend klicken Sie auf „Weiter“. In der nächsten Ansicht aktivieren Sie bitte die Schaltfläche „Aufbewahrung“ und nehmen Sie Ihre Einstellungen vor. Zum Beispiel „Inhalt aufbewahren Für so lange 11 Jahre“. Im nächsten Punkt können Sie auch auswählen, was geschehen soll, wenn der oben eingegebene Wert erfüllt wurde: z. B. eine Löschprüfung auslösen oder den Inhalt automatisch löschen lassen. Ferner wählen Sie bitte z. B. in der Option „Inhalt aufbewahren oder löschen, basierend auf“ „wann er erstellt wurde“ aus. Wichtig ist hier, dass Sie die Option „Bezeichnung verwenden, um Inhalt als einen Datensatz zu klassifizieren“ auswählen, da sonst eine Veränderung oder Löschung und eine Änderung der Bezeichnung durch Benutzer möglich wäre. Anschließend klicken Sie auf „Diese Bezeichnung erstellen“ und abschließend auf „Bezeichnung veröffentlichen“ um diese Ihren Kollegen/Angestellten bereit zu stellen.
2.2. Orte
In einem weiteren Fenster können Sie die Orte, an denen diese Klassifizierung für Benutzer möglich ist, granular auswählen (z. B. SharePoint-Websites oder alle Orte). Sie erhalten im nächsten Schritt eine Auflistung der von Ihnen vorab eingestellten Werte und sollten diese mit „Bezeichnung veröffentlichen“ akzeptieren.
2.3. Anwenden
Nun können Sie in einer beliebigen SharePoint-Online-Site ein Dokument oder einen kompletten Ordner mit der Aufbewahrungsbezeichnung versehen – zu erkennen auch am Schloss im Dateiicon. Auch die angewandten Bezeichnungen sollten nun nicht mehr von einem Benutzer geändert werden können. Haben Sie SharePoint mittels dem OneDrive-Client auf Ihrem PC oder Mac im Explorer eingebunden (gemappt), haben Sie zwar die Möglichkeit die Dateien in der Explorer-Ordnerstruktur optisch zu „löschen“, allerdings wird dies keine Auswirkungen darauf haben, dass die Dateien auch im Sharepoint Online gelöscht werden. Bitte bedenken Sie, dass Sie stets die zu archivierenden Dokumenten mit der entsprechenden Bezeichnung versehen müssen bzw. in einen Ordner überführen müssen, der die Bezeichnung aufweist.
II. Weitere Informationen
Da mittels Administratorkonto Dokumente / Dateien, die der Aufbewahrung unterliegen verändert, gelöscht oder die Aufbewahrungsbezeichnungen entfernt werden können, muss unbedingt sichergestellt werden, dass nur ein sehr geringer Personenkreis über Administratorrechte verfügt. Die von Microsoft vorgegebene Grundsätze sind: Aufbewahrung hat Vorrang vor Löschen, der längste Aufbewahrungszeitraum hat Vorrang, explizite Einbindung hat Vorrang vor implizierter Einbindung, der kürzeste Löschzeitraum hat Vorrang. Für einen noch weitergehende Sicherheit kann auch die Aufbewahrungsrichtlinie unveränderlich gesperrt werden, danach kann selbst der SharePoint-Administrator diese nicht abschalten, keine Verzeichnisse löschen, Dateien nicht verändern oder während der Aufbewahrung löschen und die Aufbewahrungsfristen nicht verkürzen – hierbei ist daher sehr viel vorsichtig geboten.
Die dargestellten Informationen stellen die Auffassung des Autors dar und erheben keinen Anspruch auf technische Umsetzbarkeit in konkreten Implementierungen. Die Darstellung ersetzt keine Beratungsleistung. Bei der Erstellung der Verfahrensdokumentation sind wir gerne behilflich.