Jun
09
2010

Das IKS muss auch die Schriftgutverwaltung (Records Management) steuern

Archivar

Archivar

Im Anglikanischen Raum wird vom Records Management gesprochen, im Deutsch-sprachigen Raum ist eher der alte Begriff Schriftgutverwaltung bekannt. Früher waren dies die Leute mit den schwarzen Ärmelschützern. Im Zuge des stetig wachsenden E-Mail-Verkehrs sind es heute mehr und mehr elektronische Dokumente, die es nach den diversen Regularien am Markt aufzubewahren gilt.

Seit Anfang der 1990er Jahre wurde damit begonnen, eingehende, papierbasierte Post zu elektronifizieren. Zuerst nur nach der Sachbearbeitung, um die Lagerkosten zu sparen und die Suchzeiten zu verkürzen. Mittlerweile wird die Post vor der Sachbearbeitung eingescannt und elektronisch an den Arbeitsplatz gebracht, um auch die Transportkosten einzusparen und die Prozesse schneller zu machen. Ein weiterer wichtiger Punkt ist das Backup. Während Papierarchive selten doppelt gepflegt werden, sprich keine Kopien erstellt werden, lassen sich elektronische Archive leicht an verschiedenen Orten replizieren. So ist sichergestellt, dass z.B. im Falle eines Brandes die Dokumente noch an dem anderen Ort verfügbar sind.

Um den lückenlosen Nachweis der Geschäftstätigkeiten im Sinne der Compliance zu gewährleisten, müssen die Dokumente aufbewahrt werden. Dabei ist darauf zu achten, dass nicht Jeder Alles sehen darf, sondern wie im Post IKS ist nicht die Abkürzung von Ikarus sondern steht für Internes Kontrollsystem beschrieben, darf ein Mitarbeiter nur die Informationen erhalten, die er für die Erfüllung seiner Rolle im Unternehmen benötigt.
Geschäftsdokumente müssen zu ihrem Kontext wieder gefunden werden können, d.h. sie sind mit Indexwerten beim Speichern zu versehen. Wer das richtig macht, hat dann gleich eine Kunden-, Projekt- oder Mitarbeiterakte. In diesem Sinne sind auch die E-Mails entsprechend wiederfindbar aufzubewahren. Eine reine E-Mail-Archivierung auf ein Tape ist hier wenig zweckdienlich, da sie nur mit großem Aufwand zu einem Geschäftsfall wiedergefunden werden können. Was in Deutschland wie lange aufzubewahren ist, hat die Gesellscahft für Datenschutz und Datensicherhiet e.V. (GDD ) für viele Dokumententypen in einer Checkliste veröffentlicht. Hilfreich ist auch der Handlungsleitfaden zur Aufbewahrung elektronischer und elektronisch signierter Dokumente des Bundesministeriums für Wirtschaft und Technologie.

Die Vernichtung des Schriftguts ist die nächste Herausforderung. Zu klären ist, welche Dokumente nach dem Scannen schon vernichtet werden können (siehe dazu den Post Wenn ich meine Papierbelege nach dem Scannen vernichte, bin ich dann noch compliant?) und welche besser parallel noch in Kartons aufgehoben werden sollten. Zu denken ist beim Papiervernichten auch an eine datensichere Vernichtung, denn die Dokumente sollten nicht durch Fremde auf einer Müllkippe eingesehen werden können.

Die Vernichtung von elektronischen Dokumenten ist wesentlich einfacher. Im Zeitalter der WORM, musste zwar noch etwas mehr gemacht werden als heute. Die Medien wurden jeweils so beschrieben, dass nur solche Dokumente drauf kamen, die auch gemeinsam nach Ablauf des entsprechenden Jahres vernichtet werden konnten. Die Vernichtung der Dokumente erfolgte also mit der Vernichtung der Medien inklusive ihrer Backups.

Kniffliger war es hier mit Dokumenten, die schon vorher vernichtet werden mussten. Aber da hat der Regulierer auch die Kirche im Dorf gelassen. Es reicht, wenn das elektronische Archiv dafür sorgen konnte, dass das betreffende Dokument über die Recherche nicht mehr wiedergefunden werden konnte, auch über den Administrator.

Mit den modernen, Festplatten-basierten Storage Systemen ist die Sache mit dem Vernichten nun etwas einfacher. Beim Speichern kann einer Datei die für sie bekannte Frist (fixed retention) mit angegeben werden. Käme seitens des Dokumentenmanagementsystems nun vorzeitig (sollte bei einem guten System nicht passieren) der Löschbefehl, würde das Storage System diesen Befehl verweigern.

Dokumente, für die die Aufbewahrungsfrist noch nicht bekannt ist, weil sie erst berechnet werden kann, wenn z.B. eine Akte geschlossen wird (z.B. Kredit abgezahlt, Patient gestorben, Mitarbeiter ist ausgeschieden), dann wird das Dokument erst einmal unbefristet gespeichert (event-based retention). Diese Dokumente werden dann seitens des Storage Systems auch vor dem vorzeitigen Löschen geschützt. Tritt dann das Ereignis ein, wird das Dokument auf dem Storage mit der passenden Aufbewahrungsfrist versehen.

Das Vernichten von Dokumenten, deren Aufbewahrungsfrist abgelaufen ist, erfolgt dann durch das Dokumentenmanagementsystem automatisiert.

Was aber, wenn Dokumente, deren Aufbewahrungsfrist bald abgelaufen ist, noch zu einem Streitfall gebraucht werden. In diesem Fall kann eine Rechtsstreitssperre (litigation hold) für die Dokumente gesetzt werden. Damit wird verhindert, dass der automatische Löschauftrag diese Dokumente vernichtet. Ist der Streitfall geklärt, wird die Sperre wieder entfernt und die Dokumente unterliegen wieder der normalen Löschung.

Dokumente, die zu einem bestimmten Zeitpunkt vernichtet werden müssen, ein typisches Beispiel sind die Abmahnungen in einer Personalakte, können mit der Vernichtungsfrist (disposition) versehen werden. Der automatische Löschauftrag wird dann auch diese Dokumente berücksichtigen.

Damit Dokumente entsprechend den hier dargestellten Regeln bzgl. Aufbewahrung und Vernichtung vom System korrekt behandelt werden, werden diese von einem verantwortlichem Mitarbeiter (Rolle: Records Manager) im System gepflegt. Er weist jedem Dokumententyp (content type) eine Aufbewahrungsklasse (retention class) zu. In der Klasse ist beschrieben, ob die Aufbewahrungs- bzw. Vernichtungsfrist direkt berechnet werden kann oder welches das Ereignis ist, das die Berechnung auslöst. Hier kann auch gleich hinterlegt werden, welche Zugriffsrechte beim Speichern gesetzt werden sollen und ob ggf. noch ein bestimmter Workflow gestartet werden muss.

Selbstredend, dass ich hier über Schriftgutverwaltugsfunktionen gesprochen habe, die unsere SAPERION ECM Edition mit der Option Records Management erfüllt. Welche Storage Systeme zertifiziert sind, ist hier gelistet.

Nun haben wir einen Typ von Dokumenten noch gesondert zu behandeln, zumindest in Deutschland. Für qualifiziert signierte Dokumente muss nach Bedarf noch etwas mehr gemacht werden. Denn diese verlieren ihren hohen Beweiswert, den Anscheinsbeweis nach der Zivilprozessordnung, wenn die Bundesnetzagentur die zum Signieren verwendeten Algorithmen für schwach erklärt. Firmen, die diesen hohen Beweiswert als sichernswert beurteilen, können diese Dokumente nach dem ArchiSig-Konzept (siehe Artikel Verjüngungskur für alternde Signaturen ? Dann klappt’s auch mit den elektronischen Prozessen ) neusignieren.

SAPERION hat hierzu die Lösung digiSeal archive von secrypt integriert. Signierte Dokumente (geht auch für unsignierte) werden beim Archivieren auch im digiSeal archive registriert. Dabei wird zuerst eine Verifikation durchgeführt. Der Prüfbericht wird zusammen mit Dokument und Signatur archiviert. Zudem wird für jedes Objekt ein Hash-Wert erstellt, der in einem Hash-Baum verwaltet wird. Am Ende des Tages wird der Tagesbaum mit einem Zeitstempel versehen und entsprechend gesichert. Muss nun neusigniert werden, so sorgt das digiSeal archive dafür. Für den Streitfall können die Dokumente zusammen mit ihrem Evidence Record exportiert werden und an Dritte versandt werden. Dieser Evidence Record ist Teil des Standards LTANS, stehend für Long-Term Archiving an Notary Services.

Damit sollte der Weg für eine Welt ohne Papiertransfer frei sein, siehe Post 8 Reasons to Abandon Paper Signatures Forever.

Wo wir gerade bei Standards sind. Im Kontext der Schriftgutverwaltung gibt es einen ganzen Sack voll, wie die folgende Grafik zeigt.

 

Schriftgutverwaltung und betreffende Standards

Schriftgutverwaltung und betreffende Standards

Interessant werden könnte der Nachfolger von MoReq2 (siehe auch Post MoReq2 under Scrutiny at DLM Forum 2008), stehend für Model Requirements for the Management of Electronic Records, einem von der Europäischen Union initiierten Standards. Da MoReq2 von Vielen als „Monster“ bezeichnet wird, soll es nun noch eine Light Version geben. Der Standard beschreibt die funktionalen Anforderung eines Electronique Records Management Systems (ERMS). Rein organisatorische Maßnahmen beschreibt dagegen der internationale Standard ISO 15489. Mit diesem ist es etwas verwunderlich, werden wir doch immer wieder gefragt, ob unser SAPERION diesem entspricht. Die richtige Frage lautet eher: „Entspricht die von mir (Kunde) betriebene Schriftgutverwaltung aus organisatorischer Sicht dem Standard?“

Die wichtigsten Aufbewahrungsfristen in Deutschland veröffentlicht in Lohn + Gehalt Februar 2007

Post to Twitter Post to Delicious Post to Digg Post to Facebook Post to MySpace

Download PDF
Written by Dr. Martin Bartonitz in: deutsch,general,language | Tags: , , ,

1 Comment »

  • Dr. Martin Bartonitz

    Auf den Seiten der Archivschule Marburg, der zentralen Forschungsstätte und eine der Ausbildungsstätten im Kontext Archivierung, Schriftgutverwaltung etc. ist ein Manual zur Schriftgutverwaltung und zum Records Management veröffentlicht worden.

    Vgl.: http://www.archivschule.de/forschung/schriftgut/

    Die Materialien beinhalten ein FAQ, dass die häufigsten Fragen zur Schriftgutverwaltung prägnant beantwortet. Daneben werden die grundlegenden Anforderungen an die Schriftgutverwaltung und Records Management sowie deren Umsetzung anhand der Kapitel der ISO-15489 – der Norm zur Schriftgutverwaltung – allgemeinverständlich beschrieben. Des Weiteren enthält das Manual ein Glossar.

    Mit den Materialien liegt somit in kompakter Form ein verständliches Onlinehandbuch zum komplexen Thema Schriftgutverwaltung und Records Management vor, dass auf dem neusten Stand die Anforderungen beschreibt.

    Entstanden sind die Materialien im Arbeitskreis Schriftgutverwaltung /Records Management des DIN NABD sowie der Archivschule Marburg selbst.

    Comment | 17 November 2010

RSS feed for comments on this post. TrackBack URL

Leave a comment


× four = 20

Theme: TheBuckmaker.com Web Templates | Bankwechsel Umschuldung, Iplexx IT Solutions