KPMG ist ein globales Netzwerk rechtlich selbstständiger und unabhängiger Unternehmen in den Bereichen Wirtschaftsprüfung, Steuerberatung und Unternehmens- bzw. Managementberatung. Microsoft Deutschland hat KPMG beauftragt, eine Compliance-Analyse von Microsoft Exchange Server 2010 und Microsoft SharePoint Server 2010 durchzuführen.

KPMG hat sowohl Sharepoint Server 2010, als auch Exchange Server 2010 in handels- und steuerrechtlicher Hinsicht auf Herz und Nieren geprüft und unter Voraussetzung der richtigen Konfiguration und Überwachung als compliant bestätigt.

Ziel der Analyse war es zu untersuchen, inwieweit Exchange 2010 und SharePoint 2010 bei der Einhaltung deutscher Aufbewahrungsvorschriften (gemäß Handels- und Steuerrecht)  - auch „revisionssichere“ oder „GoB-konforme Archivierung“ genannt - unterstützen kann. Als Maßstab zur Beurteilung der Compliance wurden:

  • die gesetzlichen Vorschriften des Handels- und Steuerrechts (§§ 238 ff. HGB sowie §§ 140 - 148 AO),
  • die Grundsätze ordnungsmäßiger Buchführung (GoB),
  • das BMF-Schreiben vom 7. November 1995 zu den „Grundsätzen ordnungsmäßiger DVgestützter
    Buchführungssysteme“ (GoBS),
  • das BMF-Schreiben betreffend die „Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler
    Unterlagen (GDPdU)“ vom 16. Juli 2001,
  • die Stellungnahme des Fachausschusses für Informationstechnologie (FAIT) des Instituts der
    Wirtschaftsprüfer in Deutschland e.V. (IDW) „Grundsätze ordnungsmäßiger Buchführung
    bei Einsatz von Informationstechnologie“ (IDW RS FAIT 1),
  • die Stellungnahme des Fachausschusses für Informationstechnologie (FAIT) des Instituts der
    Wirtschaftsprüfer in Deutschland e.V. (IDW) „Grundsätze ordnungsmäßiger Buchführung
    beim Einsatz elektronischer Archivierungsverfahren“ (IDW RS FAIT 3),
  • der IDW-Prüfungsstandard „Abschlussprüfung bei Einsatz von Informationstechnologie“
    (IDW PS 330) sowie
  • der IDW-Prüfungsstandard „Die Prüfung von Softwareprodukten“ (IDW PS 880)

zu Grunde gelegt. Die Arbeiten führte KPMG anhand der von Microsoft vorgelegten Dokumentation, durch Gespräche mit Mitarbeitern der Microsoft Deutschland GmbH und Microsoft Corp. durch.

Compliance zu deutschem Handels- und Steuerrecht betrifft ein Produkt wie Exchange 2010 oder SharePoint 2010 insbesondere in Hinblick auf die ordnungsmäßige Aufbewahrung von rechnungslegungsrelevanten E-Mails. Die sachgerechte Anwendung und der ordnungsmäßige Betrieb einer Speicherinfrastruktur muss die Umsetzung weiterer Maßnahmen beinhalten, die im Rahmen einer Kundeninstallation basierend auf der Risikobeurteilung und dem geplanten Einsatzzweck bestimmt werden sollten.

Eine unveränderliche Aufbewahrung von nach Handels- und Steuerrecht aufbewahrungspflichtigen E-Mails ist in beiden Produkten grundsätzlich möglich. Es werden entsprechende Möglichkeiten zum Aufbau einer konformen Installation systemseitig bereitgestellt. Exchange 2010 enthält weiterhin umfangreiche Funktionalitäten für einen Schutz von gespeicherten Inhalten, wie z. B. Wiederherstellbare Elemente und Litigation Hold. Diese sind bei richtiger Konfiguration grundsätzlich geeignet, eine unveränderliche Speicherung von sämtlichen E-Mails zu unterstützen.

Eine unveränderliche Speicherung nur von aufbewahrungspflichtigen E-Mails innerhalb von Exchange setzt die Abgrenzung dieser von den nicht aufbewahrungspflichtigen E-Mails voraus. Dies kann z. B. über die Weiterleitung an ein separates Postfach erreicht werden, für das die Exchange 2010-Funktion Litigation Hold genutzt wird. Eine andere Alternative kann die Ablage von E-Mails im Kontext des Geschäftsvorfalls sein, z. B. in Microsoft SharePoint unter Nutzung der von SharePoint bereitgestellten ECM- und Archivfunktionalitäten in Verbindung mit einem WORM-fähigen Storage, der über eine als SharePoint Solution bereitgestellte, das Policy Management von SharePoint unterstützende Schnittstelle integriert wird.

Wie bei Lösungen dieser Art üblich, können Exchange 2010 und SharePoint 2010 die Compliance nicht allein sicherstellen, sondern das System muss um entsprechende organisatorische Maßnahmen im konkreten Installationsumfeld ergänzt werden. Zusätzliche organisatorische Maßnahmen zur Erreichung von Compliance sind insbesondere in den Bereichen Administration sowie Überwachung und Auswertung erforderlich.

Eine detaillierte Betrachtung einzelner rechtlicher Vorgaben und den entsprechenden Funktionalitäten und Einstellungen bei beiden Produkten findet man in den folgenden Berichten:

An dieser Stelle möchte ich noch einmal an das schon vor längerer Zeit veröffentlichte Whitepaper Archivierung mit Microsoft Exchange Server 2010 SP1 von PRW Rechtsanwälte hinweisen:

Have fun!
Daniel