Heutzutage müssen eine Vielzahl an Dokumenten, Unterlagen und Informationen über einen langen Zeitraum aufbewahrt werden. Aufgrund des hohen Datenvolumens und der steigenden Anforderungen an die Datenverfügbarkeit stellt die digitale Datenarchivierung eine Herausforderung dar. Grundsätzlich ist es nunmehr umso wichtiger, dass die Daten nicht ungeordnet abgelegt werden, sondern gewisse Strukturen und Hierarchien wie in einem Informationsmanagementsystem eingehalten werden. Die folgenden Hinweise können Ihnen einen Einblick in die Archivierungsthematik bieten:

1.

Grundsätzlich sollte der Datenbestand so gering wie möglich gehalten werden. Insbesondere personenbezogene Daten unterliegen gemäß Art. 5 Abs. 1 Buchst. c, e DSGVO dem Grundsatz der Datenminimierung und Speicherbegrenzung. In der Praxis bedeutet dies, dass eine zweckbezogene Datenablage nur bis zur Zweckerfüllung der Verarbeitung rechtmäßig ist. Eine darüberhinausgehende Speicherung ist nur notwendig, wenn satzungsmäßige, aufsichtsbehördliche oder gesetzliche Aufbewahrungsfristen eingehalten werden müssen (insbesondere können die Aufbewahrungsfristen bei öffentlichen Stellen auch politischen oder historischen Charakter haben).

2.

Bestenfalls sollte bei einem größeren Datenbestand eine Archivierungsstrategie oder gar ein Archivierungskonzept aufgestellt werden, dies dient zur Definition der unternehmensweiten Standards und Regelungen. Ein solches Konzept sollte dabei die organisationsinternen und rechtlichen Vorgaben sowie technische und organisatorische Umgebungsbedingungen berücksichtigen. Im Besonderen sollten die nachfolgenden Informationen dokumentarisch festgehalten werden:

• Zuständigkeiten und Verantwortlichen;
• Definition von Rechten (z.B. Zugriffsrechte) und Benutzerrollen (z. B. Archivverwalter, Administratoren);
• Abgrenzung der zu archivierenden Daten (z.B. Bereiche die archiviert werden sollen, Schutzniveau);
• Schutz der archivierten Daten (z.B. Verschlüsseln, Signieren);
• Systemdetails und technische Ausgestaltung des Archivs;
• Betrieb und Funktionsweise des Archivsystems.

3.

Von großer Bedeutung ist, dass die Archivierung revisionssicher sein muss. Es darf also keine Möglichkeit bestehen die archivierten Dokumente nachträglich zu verändern oder gar zu löschen. Diese Tatsache führt auch dazu, dass es nicht ausreichend ist ein bloßes Backup vom Datenbestand zu erstellen, denn dieses unterliegt im Normalfall keinen expliziten Beschränkungen hinsichtlich der Archivierung.

4.

Genauso wie die Trennung nach Benutzerberechtigungen sind die Datenbestände auch logisch zu auseinander zu halten und je nach „Archivierungsziel“(z.B. Steuertatbestände) aufzubewahren.

5.

Die Einhaltung der verschiedenen Aufbewahrungsfristen sollte bestenfalls systemseitig abbildbar sein. Neben den konkreten Archivierungszeiträumen werden teilweise unterschiedliche Anforderungen an die Art der Archivierung gestellt. Beispielhaft unterliegt die Finanzdienstleistungsbranche oder der Gesundheitssektor besonderen Restriktionen (je nach Sicherheitsniveau). Zur Abbildbarkeit der Archivierungsnotwendigkeit kann es sinnvoll sein die verschiedenen Daten zu charakterisieren (z.B. Daten einer bestimmten Abteilung, Dokumente über Geschäftsprozesse, Geschäftsdaten, Buchhaltungsdaten, Kundendaten, besonders klassifizierte Daten).

6.

Konkret für E-Mails als Handelsbriefe ist eine elektronische Archivierung vorgeschrieben, aber auch für die selbständig digitalisierten Dokumente ist die Auswahl (ggf. Datenschutz-Folgenabschätzung notwendig) des Archivierungssystems von entscheidender Bedeutung für die Revisionssicherheit. Es gibt eine Vielzahl an Storage-Lösungen auf Band, Festplatte, Flash On Premise Privat oder Public Cloud, aber nicht alle sind zur Archivierung auch geeignet. Insbesondere muss abgewogen werden, inwieweit es sinnvoll ist, die archivierten Datenbestände alleine im Unternehmen aufzubewahren (z.B. Brandfall) oder zertifizierte Externe einzubinden. Diesbezüglich sollten Maßnahmen (z.B. wie Brandschutztüren beim Server- oder Archivraum) eruiert werden, um die Archivbestände zu schützen.

7.

Im Rahmen der Archivierung sollten auch die Hinweise des Bundesamts für Sicherheit in der Informationstechnik (BSI) beachtet werden. Im IT-Grundschutzkatalog unter B1.12 werden sowohl kleine Archivsysteme (z.B. Archivserver mit Festplatte), als auch komplexe Archivierungssysteme (z.B. zentrale Archivserver-Komponenten mit RAID-Systemen, Jukeboxen oder der Anbindung an Storage Area Networks (SAN), WORM-Medien Cache-Servern und Client-Software) beschrieben.

Gerne stehen wir Ihnen für Rückfragen z.B. zur Auswahl eines E-Mail-Archivierungs-Programmes zur Verfügung.