In diesem Blogartikel untersuche ich, wie SharePoint Online als eine effektive Lösung für die GoBD-konforme Archivierung von Unternehmensdaten eingesetzt werden kann. Die GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff) sind in Deutschland verbindliche Richtlinien für die ordnungsgemäße Verwaltung und Archivierung von Geschäftsunterlagen. SharePoint Online, Teil der Microsoft 365 Suite, bietet Unternehmen eine umfassende Plattform zur Verwaltung und Zusammenarbeit von Dokumenten. Ich erläutere die wichtigsten Aspekte der GoBD-konformen Archivierung und zeige, wie SharePoint Online dazu beitragen kann, die Einhaltung dieser Anforderungen zu gewährleisten.

Einführung in die GoBD-konforme Archivierung

Die Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff sind in Deutschland verbindliche Vorgaben für die Archivierung von Dokumenten und von steuerlicher Bedeutung. Die GoBD legen Richtlinien fest, um die Integrität, Nachvollziehbarkeit und Verfügbarkeit elektronischer Dokumente sicherzustellen.

Um die GoBD-Anforderungen zu erfüllen, müssen Unternehmen sicherstellen, dass ihre Archivierungssysteme bestimmte Grundsätze erfüllen. Dazu gehören:

• Vollständigkeit und Richtigkeit der Daten: Alle relevanten Dokumente und Informationen müssen erfasst und archiviert werden, um die Nachvollziehbarkeit und Genauigkeit sicherzustellen.
• Unveränderbarkeit der archivierten Dokumente: Einmal archivierte Dokumente dürfen nicht nachträglich verändert werden. Änderungen oder Löschungen müssen durch entsprechende Protokollierungen und Freigabeverfahren nachvollziehbar sein.
• Nachvollziehbarkeit von Änderungen und Zugriffen: Es muss möglich sein, alle Änderungen an den archivierten Dokumenten sowie die Zugriffe auf diese Dokumente lückenlos nachzuvollziehen.
• Aufbewahrungsdauer und Löschfristen: Die GoBD legen fest, wie lange bestimmte Dokumente aufbewahrt werden müssen. Unternehmen müssen diese Aufbewahrungsdauer einhalten und die rechtzeitige Löschung von Dokumenten nach Ablauf der Frist sicherstellen.
• Datenschutz und Datensicherheit: Die GoBD legen großen Wert auf den Schutz personenbezogener Daten sowie auf die Sicherheit der archivierten Dokumente. Es müssen geeignete Maßnahmen ergriffen werden, um den Datenschutz und die Datensicherheit zu gewährleisten.

Unternehmen, die diese Vorschriften nicht einhalten, gehen ein Risiko für rechtliche Konsequenzen wie Strafen und Steuernachzahlungen ein.

SharePoint Online: Funktionen und Möglichkeiten

SharePoint Online ist eine cloudbasierte Plattform von Microsoft, die Unternehmen dabei unterstützt, Dokumente effizient zu verwalten, zu teilen und zusammenzuarbeiten. SharePoint Online bietet eine Vielzahl von Funktionen, die sich für die Umsetzung einer GoBD-konformen Archivierung eignen.

Dokumentenmanagement und Metadaten

SharePoint Online ermöglicht es Unternehmen, ihre Dokumente in einer strukturierten und hierarchischen Ordnung zu organisieren. Durch die Verwendung von Metadaten lassen sich Dokumente mit zusätzlichen Informationen versehen, um die Klassifizierung, Suche und Filterung zu erleichtern.

Versionierung und Revisionssicherheit

SharePoint Online bietet die Funktion der Versionierung von Dokumenten – sei es automatisch oder aktiv durch den Anwender – und ermöglicht es den Benutzern, auf frühere Versionen zuzugreifen und Änderungen nachzuverfolgen. Dadurch wird die Nachvollziehbarkeit von Änderungen unterstützt.

Berechtigungsverwaltung und Zugriffskontrolle

SharePoint Online bietet umfangreiche Funktionen zur Verwaltung von Berechtigungen und Zugriffskontrolle. Unternehmen können granulare Berechtigungen für einzelne Benutzer oder Gruppen festlegen, um sicherzustellen, dass nur autorisierte Personen auf bestimmte Dokumente zugreifen können.

Audit-Trail und Protokollierung

SharePoint Online protokolliert alle Aktionen und Änderungen an Dokumenten, einschließlich des Zugriffs, der Bearbeitung und des Löschens. Diese Audit-Trail-Funktionen ermöglichen eine detaillierte Überwachung und Nachverfolgung aller Aktivitäten im System.

Compliance-Funktionen von SharePoint Online

SharePoint Online bietet eine Reihe von Compliance-Funktionen, um die Anforderungen an die GoBD-konforme Archivierung zu erfüllen. Dazu gehören unter anderem die Aufbewahrungsrichtlinien, das eDiscovery-Tool zur Suche und Identifizierung relevanter Dokumente sowie die Integration mit Information Rights Management (IRM) zur Dateiverschlüsselung und Zugriffssteuerung.

Implementierung einer GoBD-konformen Archivierung in SharePoint Online

Die Implementierung einer GoBD-konformen Archivierung in SharePoint Online erfordert eine sorgfältige Planung und Konfiguration. Die folgenden sechs Schritte, sollten Sie in Ihrem Unternehmen befolgen:

1. Strukturierung des SharePoint Online-Systems

Definieren Sie eine klare Struktur für Ihre SharePoint Online-Umgebung, um die Organisation und Navigation der archivierten Dokumente zu erleichtern. Dies umfasst die Erstellung von Websites, Bibliotheken, Ordnern und Metadatenfeldern gemäß den Geschäftsanforderungen.

2. Definition von Dokumenttypen, Metadaten und Attributen

Die Definition und Verwendung von Dokumenttypen und Metadatenfeldern ist entscheidend, um eine effektive Klassifizierung und Filterung der Dokumente zu ermöglichen. Identifizieren Sie relevante Dokumenttypen und Metadatenfelder und entsprechende Attribute, um eine einheitliche und strukturierte Archivierung zu gewährleisten.

3. Aufbewahrungsszenarien

Um eine Archivierung von Dokumenten zu realisieren, bieten sich in SharePoint online grundsätzlich zwei verschiedene Möglichkeiten an:

a) Zentrales Datenarchiv (Records Center)

In diesem Szenario werden Dokumente in ein zentrale spezielle SharePoint Seite, die explizit zur Aufnahme zu archivierender Dokumente eingerichtet wird, kopiert oder verschoben.

Die Kontrolle darüber, welche Dokumente nach welchen Kriterien wie beispielhaft Aufbewahrungsfristen aufbewahrt werden, erfolgt hierbei regelgesteuert oder auch manuell durch den entsprechend berechtigten Anwender.

b) In-Place Records Management mit Labeln

In einem neueren Ansatz bietet SharePoint Online die Möglichkeit Dokumente mit Labeln zu versehen. Basierend auf diesen Kennzeichnungen lassen sich dann entsprechende Richtlinien definieren, die wichtige Archivierungsparameter bestimmen.

Dokumente werden hierbei nicht in einen neuen Bereich im Gegensatz zum Records Center überführt bzw. kopiert, sondern verbleiben am ursprünglichen Ablageort.

Neben einzelnen Dokumenten können auch ganze Bereiche wie z.B. Sites oder Dokument Bibliotheken mit sogenannten Policy Labeln versehen werden, die dann das Verhalten für den gesamten Bereich definieren.

Abhängig von der verwendeten Microsoft Lizenz sind ferner auch automatisierte (KI gestützte) Verfahren verfügbar, die eine automatische Klassifizierung von Dokumenten ermöglichen.

4. Berechtigungen

Um die entsprechenden Richtlinien durchzusetzen, ist sichergestellt, dass diese nur über die entsprechenden Administratoren erstellt bzw. verändert werden können. In der restriktivsten Konfigurationsstufe können Sie sogar festlegen, dass selbst ein Administrator einmal definierte Richtlinien, bzw. Labels nicht wieder entfernen oder „aufweichen“ kann.

5. Einbindung von Drittanbieterlösungen

Je nach den spezifischen Anforderungen Ihres Unternehmens lassen sich Drittanbieterlösungen in SharePoint Online integrieren, um zusätzliche Funktionen zur GoBD-konformen Archivierung bereitzustellen.

6. Schulung und Sensibilisierung der Mitarbeiter

Die Schulung der Mitarbeiter ist ein wesentlicher Bestandteil einer erfolgreichen Implementierung. Stellen Sie sicher, dass Ihre Mitarbeiter über die GoBD-Richtlinien informiert sind und die richtigen Verfahren zur Archivierung in SharePoint Online kennen. Regelmäßige Schulungen und Sensibilisierungskampagnen tragen dazu bei, die Compliance und Einhaltung der Archivierungsrichtlinien zu verbessern.

Weitere relevante Aspekte

Bereitstellung für Prüfer

Im Rahmen einer Prüfung müssen die Prüfer, auf die archivierten Daten zugreifen können. Ein Zugriff kann in SharePoint Online über alle drei von den Finanzbehörden vorgesehen Zugriffswege ermöglicht werden:

• Unmittelbarer Zugriff (Z1)
  Ein Zugriff erfolgt direkt in Sharepoint online unter Verwendung eines Benutzers mit „nur lese“ Berechtigung.
• Mittelbarer Zugriff (Z2)Der Zugriff auf die Daten erfolgt nicht direkt durch den Prüfer. Dieser ordnet eine Auswertung der relevanten Daten durch das Unternehmen an und erhält dann auf die entsprechenden Daten lesenden Zugriff.
• Datenträgerüberlassung (Z3)
  Das Unternehmen stellt dem Prüfer die angeforderten Informationen auf einem separaten Datenträger zur Verfügung.

Verfahrensdokumentation

Um die GoBD-Forderung nach Nachvollziehbarkeit zu erfüllen, ist es erforderlich eine Verfahrensdokumentation zu erstellen, in der sowohl die Arbeitsprozesse als auch technischen Prozesse und Einstellungen anschaulich beschrieben sind.

eDiscovery

Bei Microsoft 365 eDiscovery handelt sich um ein Tool, das Unternehmen dabei unterstützt, elektronische Informationen für juristische Zwecke zu suchen, zu sammeln, zu analysieren und zu verwalten. eDiscovery bezieht sich auf den Prozess der Identifizierung, Gewinnung und Überprüfung von elektronisch gespeicherten Informationen im Rahmen rechtlicher Untersuchungen oder gerichtlicher Verfahren.

Microsoft

Dienste

Microsoft bietet Dienste und Lösungen für Unternehmen auf der ganzen Welt an, einschließlich der Europäischen Union (EU). In Bezug auf den Standort und die Datenverarbeitung hat Microsoft Maßnahmen ergriffen, um den Anforderungen der EU-Gesetzgebung gerecht zu werden und so z.B. den Schutz personenbezogener Daten zu gewährleisten.

Es wurden mehrere Rechenzentren in der EU errichtet, um den Kunden in der Region eine lokalisierte Datenhaltung und Datenverarbeitung anzubieten. Diese Rechenzentren befinden sich in verschiedenen Ländern der EU und dienen als Standorte für die Speicherung und Verarbeitung von Kundendaten.

Damit ist in der Regel sichergestellt, dass die jeweiligen Regularien der GoBD eingehalten werden.

Zertifizierungen

Seitens Microsofts sind eine Vielzahl von Zertifikaten vorhanden, die ein hohes Maß an Informationssicherheit belegen.

Ergänzende Informationen über die von Microsoft erworbenen Zertifizierungen sind unter folgenden Links aufrufbar:

• Datenschutz und Sicherheit mit Microsoft 365
• Microsoft Compliance-Angebote
• Starke Datenintegrität in der Cloud | Microsoft Trust Center

Fazit

Die Archivierung in SharePoint Online erfordert eine sorgfältige Beachtung der europäischen Datenschutzgesetze und Regularien, insbesondere der GoBD. Durch die Kombination bewährter Vorgehensweisen, wie Datenklassifizierung, Aufbewahrungsrichtlinien und Zugriffskontrolle, stellen Sie als Unternehmen sicher, dass die Archivierung in SharePoint Online den Regularien gerecht wird.

Bitte beachten Sie, dass dieser Artikel als allgemeine Informationsquelle dient und keine rechtliche Beratung darstellt. Bei spezifischen rechtlichen Anforderungen und Fragen empfehle ich, einen Fachexperten hinzuzuziehen.