O365 & Records Management
19. September 2020 10:21 Uhr | Dr. Ulrich Kampffmeyer | Permalink
Microsoft O365 mit Office, Sharepoint, Teams und OneDrive hat in der Covid-19-Krise einen bemerkenswerten Aufstieg erlebt. Schon vor zwei Jahren hatte die Verbreitung und Nutzung von Office365 die Wettbewerber bei Cloud-basierter Collaboration abgehängt.
Dennoch stellt sich gerade vielen Unternehmen die Frage, ob denn die adhoc eingeführten Lösungen den Compliance- und Information- Governance-Vorgaben, d.h. den rechtlichen und regulativen Anforderungen genügen. Diese Fragen stellen sich sehr häufig erst, wenn man die Systeme schon in Betrieb genommen hat.
Microsoft hat im Bereich von Sharepoint und Office365 inzwischen sehr viel getan, um Records-Management- und Information-Governance-Anforderungen gerecht werden zu können. Dies zeigt auch die Dokumentation für eHealth-Lösungen mit Sharepoint. Man kann auch Records Management mit O365 betreiben – jedoch sind bei der weit verbreiteten E3-Lizenz nicht alle Funktionen vorhanden, die man benötigen würde. Hier müsste man auf E5 oder zumindest Ergänzungspakete für E3 wie die Compliance add-on license oder Information Protection & Governance add-on license (die günstigste Lösung) zurückgreifen. Aber selbst hier fehlt das Konzept der revisionssicheren Archivierung in Bezug auf die sicheren Speicher. Deshalb entzündet sich häufig auch die Diskussion nicht nur an Vorgaben der DSGVO sondern wie und wo gespeichert wird. Die O365-Cloud-Lösung wird daher bei vielen Unternehmen nicht anerkannt.
Dabei bietet schon die E3-Standard-Lizenz für O365 zahlreiche Funktionen wie umfangreiche Rollen, ein DSGVO- und Compliance-Center, Labeling-Funktionalität, Dateiplan-Funktionalität, Schutzmechanismen usw. Man kann damit manuell Retention Labels für die Aufbewahrungsfristen vergeben, Exchange und Sharepoint lassen sich direkt in Teams einbinden um eine zentrale Kontrolle von Dateien zu erreichen, man kann E-Mails aufbewahren, es existieren grundlegende Verschlüsselungsmöglichkeiten für Nachrichten und andere.
Für „richtiges“ Records Management benötigt man dann aber die ergänzte oder gleich die E5-Funktionalität. Aber auch hier sind zu den grundsätzlichen Anforderungen des Records -Managements auch noch Schwachstellen z.B. im Bereich der Audit-Trails, der Aktenpläne, der revisionssicheren Archivierung, der Löschung von Information oder der Selbstdokumentation zu verzeichnen. Deshalb ist es auch schwierig ein spezialisiertes Records-Management- und Archivierungssystem einfach durch Office365 abzulösen. Ganz abgesehen von der Speicherung in der Cloud und dem Fehlen einer echten revisionssicheren Archivierungskomponente.
Verbesserung der Information Governance in O365 E3
Um die Information Governance schon mit einer E3-Lizenz zu verbessern, muss man die Funktionalität von Microsoft nur konsequent einsetzen, z.B. im Compliance-Center:
- Alles beginnt mit der Einrichtung – und dem Durchhalten – einer sauberen Informationsarchitektur, die standardisiert mit Konfigurationsmanagement für Sites und Teams sowie zentraler Speicherort-Allozierung für Ordnung sorgt.
- Klare organisatorische Regeln, was wo gespeichert wird, wie OneDrive genutzt oder nicht genutzt wird, wo Entwürfe hingehören und wo fertige Dokumente, wie mit dem Übernehmen von E-Mails umzugehen ist, was aufbewahrungspflichtet oder aufbewahrungswürdig ist, was für Rollen und Berechtigungen genutzt werden – all dies ist sowieso für die Nutzung von O365 zu regeln und in den Einstellungen zu verankern (ja, leider an vielen unterschiedlichen Orten in der Administration).
- Die Möglichkeiten des Findens lassen sich durch standardisierte Begrifflichkeit und Verwendung von Suchfiltern verbessern.
- Vertraulichkeit und Schutz von Inhalten lässt sich durch die Zuordnung von Labeln mit entsprechenden Sicherheitsstufen erreichen.
- Durch die Einrichtung von „Policies“ Richtlinien und die Verwendung von Retention Labels für die Zuordnung von Aufbewahrungsfristen kann der Lebenszyklus von Information gesteuert werden. Dies beinhaltet auch die Steuerung des Löschens von Informationen.
- Die O365 Security & Compliance Funktionalität bietet auch eDiscovery für die Erschließung von Inhalten.
- Nicht zuletzt bietet O365 als Plattform auch die Möglichkeit die Anwender entsprechend zu informieren und online Schulungen bereitzustellen.
- Einrichtung von automatischen Sicherungen auf z.B. separate NAS-Lösungen.
- Sharepoint integriert mit O365 und Teams kann hier auch als das Unternehmensverzeichnis und Speicherort für alle Richtlinien- und Arbeitsanweisungen dienen.
Also für ein „Schmalspur-Records-Management“ für kleinere Mittelständler langt es allemal – wenn man auch auf die Organisation rund um die Software herum achtet. Microsoft wird auch hier mit jedem neuen Release für Verbesserungen und Ergänzungen von O365 sorgen. Was allerdings zunehmend auf der Strecke bleibt, ist die Bereitstellung dieser Funktionalität auch für On-Premise-Lösungen. Alles zielt auf Cloud-Lösungen an.
Die eigentliche Herausforderung: Automatisierung
Cloud versus On-Premise ist eine generelle strategische Frage. Beim Thema Records Management gibt es jedoch eine ganz andere Herausforderung. Vieles der Funktionalität in O365, besonders bei E3-Lizenzen, ist auf manuelle Einrichtung und manuelle Nutzung ausgelegt. So z.B. die Vergabe von Records- und von Retention-Labels. Das reine Ablegen von Informationen kann so schon sehr aufwändig (und nicht immer korrekt) werden, Grundsätzlich fehlen hier Funktionen, die z.B. traditionelle Records-management-Systeme inzwischen mitbringen – z.B. die automatische Klassifikation von eingehenden Dokumenten, sei es per E-Mail, per Mobile-Foto, Import oder E-Mail. Das Klassifizieren, Indizieren und Labeln kann hier nicht nur erleichtert und beschleunigt sondern auch qualitativ verbessert werden. Das manuelle Ausfüllen umfangreicher Erfassungsmasken sollte sowieso bald der Vergangenheit angehören. Auch bei den Arbeitsschritten und Prozessen könnte man bereits in O365 mit RPA-Funktionalität, Robotic Process Automation, viel zur Erleichterung der Arbeit erreichen. Dies könnte auch helfen, nicht konsistente Nutzungsmodelle mit Outlook/Exchange, OneDrive, Teams, Sharepoint etc. zu überbrücken. beim Records Management geht es ja auch darum, Informationen aus unterschiedlichen Quellen und mit unterschiedlichen Formaten gemeinsam und konsistent zu verwalten.
Microsoft unternimmt Schritte in Richtung KI Künstliche Intelligenz, Machine Learning, Analytics und Automatisierung. Beispiele sind hier Microsoft Sharepoint Syntex für Content Services oder Microsoft Teams Ignite. Wann und in welchem Umfang diese dann auch in den „kleinen Version von O365“ verfügbar werden muss sich noch zeigen.
Es bleibt noch ein weiteres Wunschkonzert in Bezug auf Automatisierung, die richtige Herausforderung an die KI, wenn man bisher mit einem herkömmlichen Dateisystem gearbeitet hat und in die O365/Sharepoint-Welt wechseln möchte (oder muss).
Die automatische Konfiguration eines Records Management Systems.
Anstelle manueller Einrichtung von Ordnungsstrukturen, Speicherorten, Labeling und Co. eine automatische Analyse der bisherigen Ablagestrukturen und deren Inhalte. Daraus sollte das die Software selbsttätig die optimierte Strukturierung und Organisation der neuen Informationsbasis in Teams und Sharepoint (als Vorschlag) generieren, selbst einen „Aktenplan“ erfinden (bzw. aus Vorlagen mit den Ergebnissen der Analyse generieren), Vererbungsregeln für dien Lebenszyklus der Information konfigurieren, unkontrollierte Redundanz und Triviales entfernen – und dann selbsttätig sauber die vorhanden Inhalte in ein ordentlich aufgebautes O365/Exchange/Teams/Sharepoint/OneDrive-System überführen. Es dann sind wir wirklich bei der Künstlichen Intelligenz für Records Management und Information Governance angelangt, wo unzulängliche von Menschen durchgeführte Organisation von Information auf basis vorhandener echter Daten, konsistenter jedoch auf konsistent weiterentwickelbarer Organisation, einfacher Nutzung und sicherer Aufbewahrung ersetzt wird. Sozusagen von Automatisierung der Erfassung und der Prozesse hinzu zu einer Automatisierung der Gesamtorganisation der Information, Automatisierung des Betriebes und der Verwaltung, Automatisierung von Migrationen und automatischer Sicherung des Wertes der Information über die Zeit.
Wunschkonzert, Lolli und Sackgasse
„Daraus sollte das die Software selbsttätig die optimierte Strukturierung und Organisation der neuen Informationsbasis in Teams und Sharepoint (als Vorschlag) generieren, selbst einen “Aktenplan” erfinden (bzw. aus Vorlagen mit den Ergebnissen der Analyse generieren), Vererbungsregeln für dien Lebenszyklus der Information konfigurieren, unkontrollierte Redundanz und Triviales entfernen – und dann selbsttätig sauber die vorhanden Inhalte in ein ordentlich aufgebautes O365/Exchange/Teams/Sharepoint/OneDrive-System überführen.“
Das würde ja bedeuten, dass sie heute verwendeten „Aktenpläne“ erstens vorhanden, zweitens eingehalten und drittens auch noch sinnvoll sind. Das macht aus dem „Wunschkonzert“ ein „Du kannst Dir auch einen Lolli wünschen“.
Und dann wäre auch mal zu überlegen, ob das „O365/Exchange/Teams/Sharepoint/OneDrive-System“ nicht eher eine technologisch-organisatorische Monstersackgasse darstellt.
Ein "Aktenplan" ist nur eine mögliche Sicht auf ein "Classification Scheme"
Lieber Peter,
es geht nicht um herkömmliche statische Aktenpläne 😉 Wir sind uns einig, dass diese eine altertümliche Form sind um Information zu organisieren und zu erschließen. Jedoch sind Akten, Register und Aktenpläne immer noch als Konzepte in den Köpfen der Nutzer verankert.
Genaugenommen ist ein Aktenplan nur eine mögliche Sicht auf ein Classification Scheme, welches eine vernetzte Struktur von Entitäten und Terminologie darstellt. Deshalb war der „Aktenplan“ auch in Anführungsstrichen. Dass Metadaten, Klassifikationsschema, Ordnungsstrukturen usw. weiterhin bei der Verwaltung und Erschließung von Information essentiell sind, dürfte unbestreitbar sein. Menschliche Tätigkeiten bei Aufbau, Pflege, Zuordnung von Informationen, Indizierung etc. sollten jedoch durch geeignete Automatismen abgelöst werden. Den „Lolli“ gebe ich Dir hiermit unbenutzt zurück.
Dass O365/Sharepoint/Exchange/OneDrive ein schwer zu handhabbares Monster ist, kann ich bestätigen. Ob es eine Sackgasse ist, muss sich noch zeigen. Man sollte also Maßnahmen ergreifen um
a) die Informationsobjekte außerhalb des Sharepoints zu speichern und
b) sicherstellen dass Struktur- und Index-Daten auch aus der Umgebung „gerettet“ und außerhalb genutzt werden können.
O365/Sharepoint/Exchange/OneDrive mit seiner Marktmacht und Marktdurchdringung lässt sich aber nicht wegdiskutieren.
Schöne Grüße,
Uli
Microsoft Ankündigungen zu Records Management & Information Governance auf der Ignite
Auf der Ignite hat Microsoft zahleiche neue Features für Microsoft 365, Sharepoint, Teams & Co. angekündigt. Wir greifen hier einmal die relevanten Funktionen für Records Management und Information Governance heraus. Wann und in welcher Form und zu welchen Kosten diese Funktionalität Eingang in die Produkte findet, ist noch nicht ganz klar. Auch hier zeigt sich inzwischen der Spagat zwischen den Cloud-Versionen (früh) und den Inhouse-Versionen (spät, unvollständig). Beim Thema Compliance war Microsoft gezwungen erheblich nachzulegen um in den regulierten Unternehmen und der öffentlichen Verwaltung in den USA reüssieren zu können. Cohasset Associates hat ein Assessment veröffentlicht, das die Anforderungen des Standards der Finanzverwaltung SEC 17a-4 und vergleichbare Vorgaben für revisionssichere Archivierung und WORM-Speicherung erfüllt werden können.
Microsoft Ankündigung zu Retention Labels: „In-place retention policies for Yammer and Teams meeting recordings“
Microsoft reagiert auf die Kritik der Datenschützer. Aufzeichnungen aus Yammer und Teams (Skype) können mit Aufbewahrungsregeln und -fristen versehen werden. Die spätere Einsichtnahme kann durch Berechtigungen und Schutzlabel eingeschränkt werden. man kann sie separat von anderen Dateien in Sharepoint und OneDrive verwalten. Eine automatische Funktion für das Klassifizieren, sprich Auto-Labeling, wird ebenfalls kommen.
Microsoft Ankündigung zur Unveränderbarkeit von Aufzeichnungen: „Manage regulatory records with strict immutability requirements“
Hierbei geht es um die Vertraulichkeit von Inhalten, wie sie z.B. in SEC 17a-4, FINRA Rule 4511 und CFTC Rule 1.31 (c) – (d) gefordert ist. Die Eigenschaften „Confidentiality, Integrity & Availability“ werden dabei durch das neue „Retention-Label“ unterstützt. Diese Funktionalität soll zukünftig durch „public preview of regulatory record labels“ erweitert werden. Hier kommen Sicherheitsbeschränkungen gegen die Änderung von Metadaten, Verschieben von Records, Verhindern des Entfernens des Retention Labels, Unerlaubtes Kopien oder Versionieren etc. sobald ein Rentention Label vergeben wurde. Die Funktionalität gibt es für SharePoint, OneDrive for Business und Exchange, aber nur eingeschränkt für bestimmte vorkonfigurierte Teams und auch für Skype for Business auch nur beschränkt.
Microsoft Ankündigung zu Syntex: „Leverage SharePoint Syntex to manage records intelligently“
Sharepoint Syntex wird Bestandteil von Microsoft Information Governance and Records Management Center. Dies gilt erstmal für die „großen“ Lizenzen. Bei E3 muss man Komponenten hinzukaufen. Sharepoint Syntex nutzt die Retention Label zur Klassifikation und Erschließung von Records.
Microsoft Ankündigung zu Optimierung und Automatisierung: „Fine-tune trainable classifiers with the new feedback loop capabilities“
Endlich geht es auch bei Microsoft 365 in Richtung Automatisierung. Die manuelle Klassifizierung von Records und die Vergabe von Attributwerten war schon immer eine Akzeptanzhürde. Microsoft 365 Compliance hat nun die Funktionalität mittels Machine Learning (ML) antrainierbare „Classifiers“ und „Labels“ nach Inhaltsanalyse des Dokumentes automatisch zu vergeben. um die Ergebnisse der Klassifikation zu verbessern kommt nun die „Feedback Lop“ zunächst für Exchange hinzu. Die definierten und antrainierten Definitionen können mittels der Feedback Loop otimiert werden.
Microsoft Ankündigung zu 25 Konnektoren für externe Systeme: „Manage Zoom, Slack, WhatsApp, and more data with the new pre-built data connectors“
Schwierig mit der Compliance wird es allerdings, wenn man sich diese Ankündigung zu Zoom, Slack & Co. ansieht. Es ist kaum möglich – nach Meinung der deutschen Datenschützer – mit Microsoft 365 compliant zu arbeiten – und wenn man dann noch Fremdprodukte einbindet, die noch schlechter abschneiden … Von den Microsoft-Partnern TeleMessage und Globanet wird es 25 vorkonfigurierte Konnektoren-Schnittstellen für solche externen Produkte geben, um deren Inhalte in Microsoft 365 zu überführen. zumindest kann so der Wildwuchs eingefangen werden, wo Informationen des Unternehmens auf verschiedensten Plattformen verstreut sind.
Sich mit dem Thema Security & Compliance in der Microsoft Administrationskonsole auseinanderzusetzen ist mühsam und zeitraubend. Jedoch kann man die notwendige Übereinstimmung und Erfüllung der gesetzlichen und regulativen Vorgaben nur erreichen, wenn man sich eine Governance Strategie zurechtlegt und diese konsequent mit der Information Governance und Records Management umsetzt. Man hängt dann aber innerhalb der Microsoft-Lösungen „fest“, weil diese Regeln außerhalb von Microsoft natürlich nicht bekannt und nutzbar sind. Automatisierung und Konnektoren sind hier zwar ein Fortschritt, aber was eigentlich benötigt wird ist eine eigenständige Governance, Compliance & Records Management (GCRM) Lösung, die von allen Softwareprodukten im unternehmen gleichermaßen genutzt wird. Gleiche Regeln nicht nur im Office sondern auch in der FiBu, im CRM, im PLM usw. Nur so kann Durchgängigkeit erzeugt werden. Die „Spezialitäten“ der Label- und Metdaten-Handhabung innerhalb von Microsoft 365 machen es auch nicht einfach, Inhalte vollständig und interpretierbar in andere Aufbewahrungslösungen wie z.B. eine revisionssichere Archivierung, zu überführen.
Ob die neuen Funktionen die Datenschützer in Bezug auf die DSGVO/GDPR beruhigen? Wohl kaum.
Anders dürfte dies bei Daten und Dokumenten aus kaufmännischen oder regulierten Bereichen sein. Hier sind bei Microsoft 365 Fortschritte in die richtige Richtung zu vermerken.
Infotechtion Overview zu Microsoft Rentention Labels
Das norwegische Beratungsunternehmen Infotechtion hat einen Überblick zu den neuen Retention Labels für Sharepoint Online Records Management erstellt: https://bit.ly/30A9fx4. Der Überblick ergänzt die Beschreibung von Microsoft zu Retention Policies und Retention Labels: https://bit.ly/3iwTmxw.
Die wichtigsten Funktionen als Grafik:
Die Auswirkungen von Retention Labels auf die Datei-Funktionen:
Dazu gibt es vom Infotechtion-Spezialisten und CTO Vivek Bhatt auch ein Video:
https://youtu.be/cE1naW7t59c. Es erklärt zudem die Unterschiede der Nutzbarkeit in den Microsoft Lizenztypen E3 und §5.
Mit der Einführung von „Unified Labels“ für Retention und Sensivity können jetzt mittels den „Retention Labels“, die Unveränderbarkeit sichern sollen – das WORM -Prinzip – auch richtige Records Management Lösungen aufgebaut werden. Für kleinere Unternehmen können sie auch die rechtlichen Anforderungen an Compliance erfüllen helfen. Bei Einsatz geeigneter zusätzlicher Speichersysteme lassen mit den Retention Labels auch revisionssichere Archive realisieren. Offen bleibt hier in Deutschland, ob dieses Verfahren in der Cloud von Microsoft ausreichend ist oder ob man ein separates Archivspeichersystem benötigt.
Microsoft stellt zahlreiche Online-Ressourcen zum Records Management mit Retention Labels zur Verfügung:
SharePoint online records management – disposition reviews
SharePoint online records management – planning considerations
SharePoint online records management – record revisions
SharePoint online records management – Event based retention
SharePoint online records management – configuration options
SharePoint online records management – Upgrade design to Modern interface
SharePoint online records management – Automation options
Mit diesen Erweiterungen zur Funktionalität des Records Management greift Microsoft die bisherigen gängigen Lösungen der Archiv- und Records-Management-Anbieter an.
Wie reagieren die Anbieter von revisionssicher Archivierung & Records Management auf Microsoft?
Im obigen Beitrag haben wir die These aufgestellt „Mit diesen Erweiterungen zur Funktionalität des Records Management greift Microsoft die bisherigen gängigen Lösungen der Archiv- und Records-Management-Anbieter an.„. Wir haben nun per Social-Media-Kontakten eine ganze Reihe von Anbietern um Kommentare gebeten, wie sie die Weiterentwicklung von Microsoft Office 365 sehen und sieben Fragen gestellt:
Frage (1) an die Anbieter: Revisionssicherheit
Können mit den neuen Microsoft-Funktionen auch die Anforderungen an die Revisionssicherheit und die gesetzlichen Vorgaben in Deutschland erfüllt werden?
In Deutschland haben wir immer anstelle traditionellen Records Management auf die revisionssichere Archivierung mit spezieller Software-Funktionalität und nur einmal beschreibbaren Speichern gesetzt. Lassen sich diese Prinzipien vollständig jetzt mit Microsoft Office 365 in der E3 und E5 Lizenz abbilden?
Frage (2) an die Anbieter: Speicherort
Dürfen jetzt aufbewahrungspflichtige Daten und Dokumente in der Microsoft Cloud aufbewahrt werden?
Die Speicherung in einer öffentlichen Cloud wurde bisher von vielen Anwendern in der öffentlichen Verwaltung und Privatwirtschaft abgelehnt, da hier keine Zugangssicherheit gegenüber US-Behörden und US-Unternehmen gegeben ist und der Privacy Shield wirkungslos ist.
Frage (3) an die Anbieter: DSGVO
Erfüllen die neuen Funktionen des Microsoft Records Management die Anforderungen von GDPR, DSGVO und BDSG (neu) in Bezug auf den Datenschutz?
Deutsche Datenschutzbehörden haben sich in letzter Zeit deutlich gegen Microsoft Public Cloud Lösungen wie O365 mit Teams und OneDrive sowie Exchange online, Sharepoint online und Azure positioniert. Es ist aber die Strategie von Microsoft alles in die Cloud zu bringen.
Frage (4) an die Anbieter: Klassen & Label
Können die zwei Konzepte des Labelns bisherige Konzepte der Klassifikation und Attributierung mit Metadaten ersetzen?
Die Nutzung von Informationsobjektklassen (oder Dokumentenklassen oder Dokumentenkategorien) erlauben die Vererbung zahlreicher Merkmale bei der Klassifikation. Solche Klassen erleichtern und verbessern die Erfassungsqualität und erlauben auch globale Änderungen. Das Konzept der Label entspricht offenbar nicht dem Arbeiten mit Klassen.
Frage (5) an die Anbieter: Integration & Import
Wie müssen jetzt Schnittstellen zum Import von Daten und Dokumenten aus Office 365 Sharepoint mit den neuen Labels und Metadaten aussehen, um diese in ein herkömmliches externes Records-Management- oder Archiv-System zu übernehmen?
Die neuen Funktionen rund ums Labeling bringen auch neue Attribute, Eigenschaften und Kontexte mit sich, die bei Importen übernommen werden müssen. Da andere Attribute und Wertezuordnungen als in den Datenbanken von Archivierungs- und Records-Management-Systemen benutzt werden, müssen die gemappt, interpretiert, gegebenenfalls ergänzt werden, um Vollständigkeit zu erreichen. Dies hat auch Auswirkungen auf Migrationssoftware, Schnittstellen und Konverter.
Frage (6) an die Anbieter: Export
Wie muss die Metadaten- und Objektbereitstellung funktionieren, wenn man Daten und Dokumente aus einem herkömmlichen Records-Management- oder Archivsystem in Microsoft Office 365 und Sharepoint online umsetzen will?
Vielfach wird bereits der Weg zurück aus Archivsystemen in die Office365-Umgebung betrieben. Hierzu hat Gartner bereits 2019 eine Studie zu Migrationswerkzeugen veröffentlicht. Welche Werkzeuge, Konverter und Migrationstools müssen – Systemintegratoren und Migrationswerkzeuganbieter – bereitstellen, um herkömmliche Systeme abzulösen und in die Microsoft-Umgebung zu überführen?
Frage (7) an die Anbieter: Bedrohung
Bedroht die neue Funktionalität die traditionellen Produkte zu revisionssicherer Archivierung und Schriftgutverwaltung und eAkte a la Records Management?
In den USA sind die Records-Management und neuen Retention Label Funktionen positiv in Bezug auf gesetzliche und regulative Vorgaben begutachtet worden. Bedrohen die Microsoft-Funktionen nun international wie auch national das Geschäft mit traditionellen Archiv- und RM-Lösungen?
Wir freuen uns auf viele Antworten zu diesem Kommentar!
Portal Systems: Unsere Sicht auf die 7 Fragen
Im obigen Beitrag zur Microsoft 365 Records-Management-Funktionalität hat PROJECT CONSULT die These aufgestellt “Mit diesen Erweiterungen zur Funktionalität des Records Management greift Microsoft die bisherigen gängigen Lösungen der Archiv- und Records-Management-Anbieter an.“.
Sieben Fragen an die ECM-Anbieter.
Wir, die Portal Systems AG beschäftigen uns seit 2001 mit den Themen Dokumenten-Management (DMS), Enterprise Content Management (ECM) oder, wie es Microsoft heute nennt, Content Services (CS). Als Microsoft Gold und Microsoft 365 Content Services Partner haben wir auch eine dedizierte Meinung zu den 7 Fragen von Uli:
Frage (1) an die Anbieter: Revisionssicherheit
Können mit den neuen Microsoft-Funktionen auch die Anforderungen an die Revisionssicherheit und die gesetzlichen Vorgaben in Deutschland erfüllt werden?
Antwort Portal Systems:
Eindeutig ja.
In der neuen Fassung der GoBD ist unter Randziffer 20 die explizite Nutzung von Cloud-Systemen ergänzt worden. Aus Datenschutzsicht besteht eine Verarbeitung im Auftrag eines Verantwortlichen gemäß Art. 28 der DS-GVO. Rechtlich legitimiert wird diese Verarbeitung im Auftrag durch die Standardvertragsklauseln, die Bestandteil der Microsoft Online Services Terms sind. Rechtlich bestimmte Maßnahmen zur Datensicherheit werden durch bestehende Zertifikate von Microsoft erfüllt. Dokumente zur Beweissicherung in Rechtsstreitigkeiten können mittels Legal Hold Beweissicherungsverfahrens vor Löschung gesperrt werden. Eine Protokollierung kann je nach Anforderung in verschiedenen Umfängen implementiert werden. Alle Neukunden, die einen Microsoft 365 Tennant neu aufsetzen, können die Datenhaltung in Deutschland wählen. Damit ist auch der Speicherort der Daten festgelegt. Alle „älteren“ Kunden haben den Speicherort in West-Europa. Gemäß umsatzsteuerrechtlichen Anforderungen (§ 14 b UstG i.V.m. UStR 190b Abs. 9) ist eine Aufbewahrung im Gemeinschaftsgebiet zulässig, sofern ein Online-Zugriff und deren Herunterladen und Verwendung durch das Finanzamt gewährleistet ist. Eine Bewilligung gem. § 146 Abs. 2a AO muss durch das zuständige Finanzamt vorliegen, sofern eine Datenhaltung außerhalb des Geltungsbereichs (Deutschland) erfolgt. Die oben genannten rechtlichen Rahmenbedingungen lassen sich sowohl mit einem E3, E5 oder E3 mit Compliance Addon Plan realisieren. Nur die Herangehensweise ist eine andere. Mit E5 oder E3 mit Compliance Addon hat man zusätzlich noch die Möglichkeit des Retention Labels mit Datensatzaufbewahrung, was auch für größere Organisationen zu empfehlen wäre. Für kleinere Unternehmen ist die Standard-Datensatzaufbewahrung mit einem angepassten Berechtigungskonzept völlig ausreichend. Zusammenfassend kann unter Bezugnahme der Anforderungen aus dem Umsatzsteuergesetz (UStG) und der Abgabenordnung (AO) festgehalten werden, dass mit Microsoft 365 / SharePoint Online eine vollwertige und zulässige Lösung zur Belegarchivierung gegeben ist.
Frage (2) an die Anbieter: Speicherort
Dürfen jetzt aufbewahrungspflichtige Daten und Dokumente in der Microsoft Cloud aufbewahrt werden?
Antwort Portal Systems (siehe auch Antwort zu (1)):
Alle Neukunden, die einen Microsoft 365 neu aufsetzen, können die Datenhaltung in Deutschland wählen. Damit ist auch der Speicherort der Daten festgelegt. Alle „älteren“ Kunden haben den Speicherort in West-Europa. Gemäß umsatzsteuerrechtlichen Anforderungen (§ 14 b UstG i.V.m. UStR 190b Abs. 9) ist eine Aufbewahrung im Gemeinschaftsgebiet zulässig, sofern ein Online-Zugriff und deren Herunterladen und Verwendung durch das Finanzamt gewährleistet ist. Eine Bewilligung gem. § 146 Abs. 2a AO muss durch das zuständige Finanzamt vorliegen, sofern eine Datenhaltung außerhalb des Geltungsbereichs (Deutschland) erfolgt. Die Aufbewahrung der Daten in Deutschland sichert zumindest die fiskalischen Anforderungen ab. Siehe auch Stellungnahme der Microsoft zum Urteil des EuGH: https://news.microsoft.com/de-de/stellungnahme-zum-urteil-des-eugh-was-wir-unseren-kunden-zum-grenzueberschreitenden-datentransfer-bestaetigen-koennen/
Frage (3) an die Anbieter: DSGVO
Erfüllen die neuen Funktionen des Microsoft Records Management die Anforderungen von GDPR, DSGVO und BDSG (neu) in Bezug auf den Datenschutz?
Antwort Portal Systems (siehe auch Antwort zu (1)):
Eindeutig ja. In der neuen Fassung der GoBD ist unter Randziffer 20 die explizite Nutzung von Cloud-Systemen ergänzt worden. Aus Datenschutzsicht besteht eine Verarbeitung im Auftrag eines Verantwortlichen gemäß Art. 28 der DS-GVO. Rechtlich legitimiert wird diese Verarbeitung im Auftrag durch die Standardvertragsklauseln, die Bestandteil der Microsoft Online Services Terms sind. Rechtlich bestimmte Maßnahmen zur Datensicherheit werden durch bestehende Zertifikate vonMicrosoft erfüllt. Dokumente zur Beweissicherung in Rechtsstreitigkeiten können mittels Legal Hold Beweissicherungsverfahrens vor Löschung gesperrt werden. Eine Protokollierung kann je nach Anforderung in verschiedenen Umfängen implementiert werden. Microsoft bietet seit kurzem hier die Funktion des „Regulatory record“, der s.g. „Erhaltungssperre“ an. Dies bedeutet, dass nicht mal der Tennant Administrator nachträglich Änderungen an den Einstellungen vornehmen bzw. Daten manipulieren kann. Es solche Einstellung ist mir von „klassischen ECM“ Systemen nicht bekannt.
Frage (4) an die Anbieter: Klassen & Label
Können die zwei Konzepte des Labelns bisherige Konzepte der Klassifikation und Attributierung mit Metadaten ersetzen?
Antwort Portal Systems: Diese Thematik sehen wir auch. Deshalb ergänzen wir mit unserem Produkt Shareflex ECM Online https://www.portalsystems.de/shareflex-online/ecm-online/ auch die Funktionen und Werkzeuge von Microsoft 365 Compliance & Security, so dass eine ganzheitliche ECM Lösung entsteht. Shareflex bietet Dokumenten-Management-Funktionen, digitale Akten, Workflow für Geschäftsprozesse, Capturing Lösungen, Integration von Signaturlösungen u.v.w.m an. Genauso wie bei einem „klassischen ECM“ werden die Konzepte der Metadaten und der Dokumentklassen (Dokumentbibliotheken mit ContentTypes) abgebildet. Das Konzept des Labelns ist hier additiv zu sehen und bietet gegenüber klassischen ECM Systemen Vorteile im Umfeld Compliance und Sicherheit, und dies bei deutlich geringeren Gesamtkosten.
Frage (5) an die Anbieter: Integration & Import
Wie müssen jetzt Schnittstellen zum Import von Daten und Dokumenten aus Office 365 Sharepoint mit den neuen Labels und Metadaten aussehen, um diese in ein herkömmliches externes Records-Management- oder Archiv-System zu übernehmen?
Antwort Portal Systems:
Dieser Weg spielt in der nahen Zukunft keine Rolle mehr. Eher der Weg in die andere Richtung wird relevant. Auf diesem Marktplatz haben sich schon die ersten Unternehmen mit einem Migrationsangebot positioniert: ECMWise, Proventeq.
Frage (6) an die Anbieter:
Export Wie muss die Metadaten- und Objektbereitstellung funktionieren, wenn man Daten und Dokumente aus einem herkömmlichen Records-Management- oder Archivsystem in Microsoft Office 365 und Sharepoint online umsetzen will?
Antwort Portal Systems (siehe Antwort (4)):
SharePoint Online bietet analog wie ein „klassisches ECM“ Metadaten und Dokumentklassen (Dokumentbibliotheken mit ContentTypes) an. Damit lassen sich die allermeisten Daten und Dokumente problemlos migrieren. Mit einem System wie Shareflex ECM Online lassen sich basierend auf diesen Daten wieder Aktenstrukturen und Prozesse sowie ERP Integrationen abbilden.
Frage (7) an die Anbieter: Bedrohung
Bedroht die neue Funktionalität die traditionellen Produkte zu revisionssicherer Archivierung und Schriftgutverwaltung und eAkte a la Records Management?
Antwort Portal Systems:
Eindeutiges Ja.
Unser Shareflex Geschäftsmodell basiert auf diesem Modell Office 365 hat durch die Corona Krise eine noch weitere Verbreitung erfahren. Wie Uli in seinem Blog beschrieben hat, hat Microsoft in 2020 sehr viele neue und wichtige Compliance Funktionen in Microsoft 365 bereitgestellt. Microsoft hat dazu ein eigenes Partnerprogramm „Microsoft 365 Content Services“ aufgesetzt (Portal Systems/Shareflex gehört hier zu den ersten Charter Partnern in Deutschland) und dokumentiert dadurch, dass man den ECM Markt mit eigenen Lösungen besetzen wird. Dies wird nicht mit einem großen Knall passieren – zunächst wird sich Microsoft vor allen Dingen in den USA Kunden auf die großen ECM Kunden konzentrieren und den dortigen Herstellern etliche Kunden streitig machen. Der europäische und der DACH Markt wird hier aber sicher schnell nachziehen, so wie wir es mit Shareflex bereits heute machen. Was meiner Meinung nach diesen Markt weiter befeuert ist die Tatsache, dass auch die ERP und CRM Systeme wie Dynamics 365, Salesforce und SAP in die Cloud gehen. Ein IT-Entscheider braucht schon wirklich gute Argumente, wenn er bei seiner Cloud Strategie noch ein zusätzliches ECM on-prem betreiben will, aufwändige Schnittstellen zu einem ECM System bereitstellen und betreiben muss und er ECM Funktionalitäten bei einem ECM Anbieter kauft (oder teuer unter Wartung hat), die er mit Microsoft 365 eh schon im Haus hat. Mit Microsoft 365 hat er EINE strategische Plattform für Compliance & Security, DMS/ECM, KI/AI und Automatisierung (Power Plattform).
Frank von Orlikowski, Vorstand, Portal Systems, Hamburg
Antwort an Portal Systems | Sieben Fragen an die ECM-Szene zu Microsoft 365
Hallo Frank,
danke für Deinen Kommentar. Ein paar ketzerische Fragen hinterher …
Hattest Du jemals oder hast Portal Systems ein eigenständiges ECM-System gehabt, das jetzt sich im Wettbewerb zu Microsoft behaupten muss?
Soweit ich mich erinnere warst Du doch eher als Integrator und Lösungsanbieter für ECM-Hersteller, oder? Wenn ich die von Dir oben erwähnte Lösung sehe, handelt es sich doch eher um einen Aufsatz für Microsoft 365 denn um ein eigenständiges ECM-Produkt herkömmlicher Bauart.
Und auch das Thema On-Premise oder Hybrid wird ja dann wohl in eine rein Cloud-basierten Lösung – auch nur als SaaS – nicht machbar sein.
Auch stellt sich die Frage, ob Portal Systems dann eher einem Plattform-Gedanken folgt und die (aktuell vorhandenen Lücken) Lücken rund um Elektronische Akte, Revisionssichere Archivierung, Business Process Management etc. füllen will oder ob es doch wie bei den vielen klassischen ECM-Anbietern mehr in Richtung Lösung mit Nutzung von Microsoft 365 geht.
Und es stellt sich natürlich für den Marktbeobachter die Frage, was denn mit den alten Partnerschaften zu ECM-Herstellern passiert wenn man sich nun ganz auf Microsoft 365 fokussiert. Sind deren Produkte jetzt obsolet?
Aber immerhin habt ihr euch als ECM-Anbieter angesprochen gefühlt … Das war bei vielen anderen, die wir angesprochen hatten, nicht der Fall.
Schöne Grüße,
Uli Kampffmeyer
Antwort Portal Systems AG - ECM Lösungen für Microsoft 365
Lieber Uli,
gerne antworte ich auch deine ketzerischen Fragen 😊
Frage: Hattest Du jemals oder hat Portal Systems ein eigenständiges ECM-System gehabt, das jetzt sich im Wettbewerb zu Microsoft behaupten muss? Soweit ich mich erinnere warst Du doch eher als Integrator und Lösungsanbieter für ECM-Hersteller, oder? Wenn ich die von Dir oben erwähnte Lösung sehe, handelt es sich doch eher um einen Aufsatz für Microsoft 365 denn um ein eigenständiges ECM-Produkt herkömmlicher Bauart.
Antwort Frank von Orlikowski/Portal Systems: Ja du hast das gut in Erinnerung. Portal Systems war 16 Jahre erfolgreicher d.3ecm Partner der d.velop AG. Wir haben diesen Geschäftszweig im Frühjahr an unseren Partner edoc solutions ag verkauft und konzentrieren uns ab sofort voll und ganz auf das Lösungsgeschäft auf Basis unseres eigenen Produkts Shareflex for Microsoft 365.
Vorab: Wenn wir ein ECM Produkt herkömmlicher Bauart anbieten wollten, dann wären wir sicherlich gut beraten gewesen, d.velop Partner zu bleiben.
Unsere Strategie: Wir wollen unser Unternehmen mit modernen Cloud-Technologien- und Lösungen zukunftsfähig aufstellen. Wir bieten mit Shareflex ECM Online for Microsoft 365 ein ganzheitliches ECM System an. Was heißt das genau? Microsoft 365 stellt als einziger Anbieter ein wirklich umfassendes Enterprise Content Management zur Verfügung. Dabei können die persönliche Datei (OneDrive for Business), die typische Fileshare-Ordnerstruktur (Teams) und die Geschäftsprozesse- und Anwendungen auf Basis der Power Plattform, SharePoint Online und mit nun auch mit Shareflex auf der gleichen Plattform bereitgestellt werden. Ich kenne keinen, der das sonst schafft oder wenigstens darauf wirklich abzielt. Gegenüber herkömmlichen ECM Anbietern müssen wir uns auch nicht um die Basisfunktionen und Werkzeuge für Compliance, Security, Storage, mobiles Arbeiten, AI/KI, Datenbanken, DMS, Volltext, Versionierung etc. kümmern. Das bekommen unsere Kunden alles von Microsoft 365 aus der „Steckdose“. Diese Funktionen hat ein Microsoft 365 Kunde bereits gekauft und im Einsatz, und dies auf einer modernen Cloud-basierten Plattform. Shareflex fokussiert sich somit auf Geschäftsprozesse- und Anwendungen basierend auf Microsoft 365, also auf Lösungen. Wir bieten u.a. eine ECM Lösung für Akten, DMS, Workflow, Capturing, Archivierung, Dokumenten-Generierung, digitale Signaturen und vielfältige ERP Integrationen an, wie auch Fachlösungen für Vertrags-, Qualitäts/gelenkte Dokumente, Audit-, Eingangsrechnungsmanagement sowie eine Lösung für Personal- und Bewerberakte. Shareflex versteht sich auch als Lösungsplattform und es können eigene (Branchen)-Lösungen durch Partnerunternehmen entwickelt werden. Der Fokus liegt auf Benutzerfreundlichkeit, Lösungstiefe sowie Anpassbarkeit an die jeweiligen Anforderungen unserer Kunden.
Den Kunden ist es egal, ob wir ECM-Anbieter, -Hersteller, -Integrator, oder Erfinder sind. Sie wollen sehr gute Lösungen mit einer hohen Wirtschaftlichkeit. Shareflex liefert die passenden Lösungen basierend auf Microsoft 365.
Frage: Und auch das Thema On-Premise oder Hybrid wird ja dann wohl in einer rein Cloud-basierten Lösung – auch nur als SaaS – nicht machbar sein. Auch stellt sich die Frage, ob Portal Systems dann eher einem Plattform-Gedanken folgt und die (aktuell vorhandenen Lücken) Lücken rund um Elektronische Akte, Revisionssichere Archivierung, Business Process Management etc. füllen will oder ob es doch wie bei den vielen klassischen ECM-Anbietern mehr in Richtung Lösung mit Nutzung von Microsoft 365 geht.
Antwort Frank von Orlikowski/Portal Systems: Wie bereits oben erläutert, liefern wir und unsere Partner (ECM)-Lösungen basierend auf Microsoft 365. Dabei hilft uns unsere langjährige ECM Erfahrung und wir liefern Lösungen, die durch die klassischen ECM Anbieter auch angeboten werden, aber eben auf einer modernen und zukunftsweisenden Cloud-Plattform, die nebenbei vom Weltmarktführer kommt.
Frage: Und es stellt sich natürlich für den Marktbeobachter die Frage, was denn mit den alten Partnerschaften zu ECM-Herstellern passiert, wenn man sich nun ganz auf Microsoft 365 fokussiert. Sind deren Produkte jetzt obsolet?
Antwort Frank von Orlikowski/Portal Systems: Für uns ja 😊 Spaß beiseite, der Markt ist riesig und wächst stetig. Es wird weiter Unternehmen geben, die keine Cloud-Lösungen einsetzen werden. Wir beobachten aber, dass immer mehr Kunden in die Cloud gehen. On-Prem und Hybrid werden damit immer weniger relevant. ECM aus der Microsoft 365 Cloud wird ein Standardprodukt wie Office 365. Die Kunden sind keine IT-Systembetreiber. Das Kerngeschäft liegt woanders. Warum sollten sie sich dann mit dem Betrieb von Standardsystemen wie Exchange, SharePoint oder einem ECM-System beschäftigen wollen? Sie haben damit höchstwahrscheinlich einen Wettbewerbsnachteil.
Vielen Dank und ich freue mich auf den weiteren Austausch zu diesem spannenden Thema. Grüße aus der Hamburger (Eppendorfer) Nachbarschaft.
Frank
Da bin ich gespannt!
Das ist eine tolle Initiative. Ich bin schon sehr auf die Antworten gespannt.
Wie Du siehst siehst Du nichts
Hallo Peter,
natürlich hätten wir uns auch gefreut, wenn die Anbieter sich hier positionieren. 118 Kontakte bei 76 Anbietern angeschrieben. Aber bisher wollte keiner. War auch so zu erwarten. Wenigstens erhielt ich einige private Nachrichten als Antwort auf den von uns versendeten Link zu unseren Fragen – hier natürlich anonym zitiert:
Ob überhaupt hier jemals einer öffentlich antworten will? 😉 Ich schätze mal, irgendein Analystenhaus, irgendeine Fachzeitschrift, irgendein Verband wird einen „ähnlichen“ Fragenset dann mit einer anonymisierten Auswertung von Trends etwas veröffentlichen – wo man sich als Anbieter selbst nicht direkt öffentlich festlegen muss.
So gesehen ist es keine „tolle Initiative“, weil sie schon im Kern dazu auserkoren ist, nicht oder nur von wenigen Mutigen beantwortet zu werden 😉
Schöne Grüße,
Uli
Adoption ist hoch - Rechtssicherheit in Klärung
Vielen Dank für die Einladung, ich würde gerne etwas ausführlicher Stellung beziehen, kann aber vorab meine persönliche Wahrnehmung spiegeln. Was ich bzw. die fme AG als Anbieter in diesem Markt und insbesondere von Migrationslösungen aktuell beobachte ist das die „Adoption“ der Kunden bereits sehr hoch ist und somit 7) schon implizit mit Ja zu beantworten ist. Nun ist natürlich die derzeit mehrheitliche Einschätzung der Datenschutzkonferenz von Bund und Ländern auf den ersten Blick ein harter Schlag für viele aktuelle Projekte. Mittelfristig betrachtet beschleunigt es m.E. jedoch den Weg in Richtung Rechtssicherheit (und somit den Fragen 1-3), das hätten sich viele andere Anbieter vielleicht gewünscht die in den vergangenen 20 Jahren mit eben genau dieser Adoption gekämpft haben.
SER Group - unsere Einschätzung
Vielen Dank für die Einladung zu dieser Umfrage.
Die SER Group entwickelt und implementiert seit vielen Jahren Archiv, DMS und ECM-Lösungen, heute auf Basis der Doxis4-Plattform. Wir pflegen siet Jahren eine gute Partnerschaft mit Microsoft, ebenso wie mit SAP. Zudem sind wir seit inzwischen 13 Jahren Microsoft Gold-Partner, zuletzt in den Kategorien Application Development, Application Integration, Data Center und Data Analytics. Natürlich verfolgen wir die Entwicklung bei Microsoft mit Interesse, daher bringen wir unsere Sicht gerne in die Diskussion ein.
Frage (1) an die Anbieter: Revisionssicherheit
Können mit den neuen Microsoft-Funktionen auch die Anforderungen an die Revisionssicherheit und die gesetzlichen Vorgaben in Deutschland erfüllt werden?
Antwort SER Group:
Dass es rechtskonform möglich ist, galt auch schon vor Einführung dieser Features. Die Frage ist daher weniger, ob es möglich ist, sondern welcher manuelle und organisatorische Aufwand dahintersteckt. Von außen betrachtet erleichtern die neuen Funktionen sehr wahrscheinlich das Leben von Compliance-Verantwortlichen und IT-Administratoren, z.B. da sich Labels und Regeln übergreifend verwalten lassen und sich der manuelle Aufwand durch die ML-basierten Komponenten reduziert. Wie gut das in der Praxis auch mit deutschsprachigen Inhalten funktioniert, können wir noch nicht beurteilen. Für uns stellt sich aber ohnehin eher die Frage, inwieweit Microsoft 365 generell als Archiv-System geeignet bzw. konzipiert ist. Unsere Kunden suchen typischerweise nach IDW PS 880-zertifizierten Archiv-Lösungen, die mehrere Quellsysteme abdecken und sich nicht auf das Microsoft-Silo beschränken. Nach unserer Erfahrung kommt kaum ein Unternehmen auf die Idee, z.B. SAP-Belege in Microsoft Sharepoint oder OneDrive zu „archivieren“.
Eine mindestens ebenso wichtige Frage ist doch, ob Microsoft 365 für die verschiedenen ECM-Use Cases das richtige System mit den richtigen Konnektoren ist. Unternehmen müssen sich auch im Hinblick auf den Datenschutz ohnehin etwas für die Welt außerhalb von Microsoft 365 überlegen. Da scheint es aus unserer Sicht weiterhin auf die berühmte Koexistenz hinauszulaufen – vielleicht wächst der ECM-Markt sogar wegen und nicht trotz Microsoft 365 weiter.
Frage (2) an die Anbieter: Speicherort
Dürfen jetzt aufbewahrungspflichtige Daten und Dokumente in der Microsoft Cloud aufbewahrt werden?
Antwort SER Group:
Eine rechtliche Bewertung können wir als ECM-Hersteller hier nicht treffen. Stattdessen sollte man diese Fragestellung immer aus Sicht des jeweiligen Use Case betrachten. Diese Entscheidung liegt nicht bei den Anbietern. Unsere Kunden gehen damit sehr unterschiedlich um. Es gibt Unternehmen, die alle Daten in die Cloud verlagern – Microsoft, AWS etc. Andere möchten sensible Daten auch in Zukunft on-premises halten, aber dennoch in einigen Bereichen Cloud-Lösungen einsetzen. Solche hybriden Szenarien unterstützen wir als Anbieter. Es muss dazu gesagt werden, dass es nicht DIE Microsoft Cloud gibt. Ein ECM-System, das z.B. nach IDW PS880 zertifiziert ist und dessen Betrieb nach SOC2, kann auch in der Azure Cloud laufen. Eine Verfahrensdokumentation für die Teile, für die der Endkunde verantwortlich ist, ist weiterhin nötig.
Frage (3) an die Anbieter: DSGVO
Erfüllen die neuen Funktionen des Microsoft Records Management die Anforderungen von GDPR, DSGVO und BDSG (neu) in Bezug auf den Datenschutz?
Antwort SER Group:
In dieser Frage sind sich selbst die Datenschützer uneins, da steht uns kein Urteil zu. Auch hier müssen die Unternehmen Nutzen und potenzielle Risiken abwägen. Wir stellen bei unseren Cloud-Lösungen sicher, dass alle Daten verschlüsselt gespeichert werden und auch beim Transport gesichert sind. So ist ein Zugriff von außen bspw. auf personenbezogene Daten – auch durch die US-Behörden – nicht möglich.
Frage (4) an die Anbieter: Klassen &a Label
Können die zwei Konzepte des Labelns bisherige Konzepte der Klassifikation und Attributierung mit Metadaten ersetzen?
Antwort SER Group:
Hier können wir die Erläuterung zur Frage unterschreiben. Das Dokumentenmodell eines ECM-Systems ist deutlich flexibler, speziell, wenn man noch Themen wie Aktenmodelle, Aktenpläne und die Vererbung von Eigenschaften einbezieht. Metadaten kommen für viele unterschiedliche Zwecke zum Einsatz, die über Aufbewahrung und Berechtigungen hinausgehen – sofern das System nicht unnötig limitiert ist. Hier entstehen unterschiedliche Sichten auf die Informationen auf Basis von Metadaten, ohne dass eine hierarchische Abhängigkeit, ein fester Speicherort oder gar Duplikate nötig sind. Letztlich gilt aber auch hier: Es kommt auf den Anwendungsfall an – in manchen Szenarien sind die Labels sicher hinreichend.
Frage (5) an die Anbieter: Integration & Import
Wie müssen jetzt Schnittstellen zum Import von Daten und Dokumenten aus Office 365 Sharepoint mit den neuen Labels und Metadaten aussehen, um diese in ein herkömmliches externes Records-Management- oder Archiv-System zu übernehmen?
Antwort SER Group:
Die Schnittstellen müssen entsprechend erweitert werden, damit die Regeln aus Microsoft 365 auch in unseren Lösungen Anwendung finden. Hier besteht aber auch eine Chance: E-Mails z.B. gehören aus unserer Sicht – und unsere Kunden bestätigen das – unbedingt in den Geschäftskontext. Sind die Systeme synchronisiert, kann eine E-Mail, die im Exchange-Server wegen einer EU-DSGVO-Anforderung zum Löschen markiert wird, automatisch auch aus der Kundenakte entfernt werden. Mit solchen Mechanismen könnten Unternehmen Datenschutz-Anforderungen einfacher umsetzen.
Frage (6) an die Anbieter: Export
Wie muss die Metadaten- und Objektbereitstellung funktionieren, wenn man Daten und Dokumente aus einem herkömmlichen Records-Management- oder Archivsystem in Microsoft Office 365 und Sharepoint online umsetzen will?
Antwort SER Group:
Die Nachfrage nach solchen Werkzeugen ist aus unserer Erfahrung minimal. Was aber daran liegen dürfte, dass unsere Kunden zahlreiche Anwendungen auf Doxis4-Basis umsetzen, die über die SharePoint-Use Cases hinausgehen. Wir stellen solche Export-Funktionen aber natürlich bei Bedarf bereit.
Frage (7) an die Anbieter: Bedrohung
Bedroht die neue Funktionalität die traditionellen Produkte zu revisionssicherer Archivierung und Schriftgutverwaltung und eAkte a la Records Management?
Antwort SER Group:
Ohne Frage hat Microsoft in Bezug auf Records Management große Schritte nach vorne gemacht. Es wird sicher Fälle geben, die heute mit Microsoft-Bordmitteln gelöst werden, wo früher Produkte von Drittanbietern zum Einsatz kamen. Die Eignung der neuen RM-Funktionen in der Praxis muss man sicher differenziert nach Use Case betrachten – noch im letzten Jahr hatte bspw. Gartner in seinen Critical Capabilities darauf verwiesen, dass viele Unternehmen nach wie vor Produkte von Drittanbietern einsetzen, um komplexe Record Management-Anforderungen umzusetzen. Insofern wäre zu fragen, inwieweit vor allem Anbieter bedroht sind, die sich auf Add-ons fokussiert haben, die Microsoft-Produkte um entsprechende Funktionen erweitern.
Unsere Erfahrung zeigt, dass viele Unternehmen kein Microsoft-Monopol möchten, genauso wenig wie beispielsweise ein SAP-Monopol, u.a., weil man nicht von einem Hersteller abhängig sein möchte. In der Praxis besteht doch bei den meisten Systemen eine bunte Anwendungslandschaft aus Office, E-Mail, ERP, CRM und diversen Fachapplikationen aus der jeweiligen Branchenwelt. Wir positionieren uns als Bindeglied zwischen all diesen Anwendungen, um eine einheitliche, übergreifende Sicht auf die Informationen zu bekommen, dokumentenintensive Geschäftsprozesse zu orchestrieren und Archiv- sowie Records Management-Anforderungen systemübergreifend zu erfüllen. In Bezug auf elektronische Akten hat Microsoft 365 schlicht viel zu wenig zu bieten, das ist am Ende immer noch nur ein „Filesystem 2.0“. Darüber hinaus kommen wichtige Themen wie intelligentes Inputmanagement und Prozessautomatisierung in Microsoft 365 viel zu kurz, die für digitale Prozesse wichtig sind. Eine reine Archiv-Sichtweise sollte man so oder so schon lange nicht mehr einnehmen. Es geht um digitale Prozesse und eine durchgängigen Content Lifecycle.
Antwort an SER | Sieben Fragen an die ECM-Szene zu Microsoft 365
Lieber Herr Adams,
vielen Dank für Ihren Kommentar. Aber sind das nicht die Argumente, die wir von den klassischen ECM-Anbietern schon seit Jahren hören? Letztlich geht es doch um die Frage, ob Microsoft mit der ständigen Erweiterung und Verbesserung seiner Produkte bisherige Konzepte grundsätzlich in Frage stellt (nicht umsonst haben sich die Analysten in Richtung Content Services neu orientiert). Dies führt auch zur Frage eigenständige Produkte vs Produkt mit tiefer Integration vs Aufsatzprodukt auf Microsoft 365. Vielfach werden die Compliance-Frage (DSGVO, Sonderlocken mit Signaturen, GoBD, etc.) und die Speicher-Frage (Speicherort nur in Deutschland, kein Abfliessen von Daten in die USA, etc.) als die letzten „Schutz-Argumente“ vor der wachsenden Verdrängung durch Microsofts Plattform benutzt. Aber OK, im Bereich Elektronische Akte, Workflow und revisionssichere elektronische Archivierung ist Microsoft nicht so toll aufgestellt. Die Administrations-Werkzeuge ähneln bei Microsoft auch eher einem Irrgarten. Aber in anderen Bereichen wie Collaboration und Dokumentenmanagement, inzwischen auch bei Records Management, ist Microsoft als führende Plattform nicht mehr weg zu argumentieren. So bleibt für viele ECM/DMS/CSP/IIM/ERM/REA/usw-Anbieter letztlich doch die Frage, wie man sich positioniert – mit Grundfunktionalität auf die Lücken in Microsoft setzen oder auf Lösungen, die fachliche Probleme adressieren.
Schöne Grüße – und besonders Geburtstagswünsche zum heutigen Tag –
Ulrich Kampffmeyer
Differenzieren oder Komplementieren
Die Frage „So bleibt für viele ECM/DMS/CSP/IIM/ERM/REA/usw-Anbieter letztlich doch die Frage, wie man sich positioniert – mit Grundfunktionalität auf die Lücken in Microsoft setzen oder auf Lösungen, die fachliche Probleme adressieren.“
Diese Frage ist m.E. einfach zu beantworten aber vielleicht ist es auch nicht die richtige Frage:
Lücken zu adressieren ist keine gute Strategie weil niemals längerfristig erfolgreich. Hersteller wie MS schließen die Lücken entweder schnell sobald erfolgversprechend oder lassen sie mittels Marktmacht schlicht verblassen. Investment in Lücken ist teuer und schwer zu vermarkten (die Zeiten in denen IXOS für SAP Archivierung stand sind unwiederbringlich vorbei).
Ganz eindeutig muss die Lösung fachlicher Probleme im Vordergrund stehen.
Letztlich müssen Unternehmen (unsere Kunden) vor allem erfolgreich sein, was zunehmend schwieriger wird und daneben regulatorische Anforderungen erfüllen die nicht wertschöpfend sind. „Einfache und pauschale Lösungen sind da sehr willkommen. Schwieriger als die eigentliche Umsetzung ist häufig die Priorisierung, Involvierung, Entscheidung etcpp.
Ketzerisch hinterfragt:
1. Bislang hat sich MS kaum mit Themen rund um RM und Compliance beschäftigt, warum?
2. Nun bietet MS erste gute Lösungsansätze im Bezug auf RM und schon setzen sich viele Firmen damit auseinander die dem bislang keine hohe Bedeutung beigemessen haben, warum?
3. Bei der Menge an regulatorischen Vorgaben ist für Firmen das Thema DSGVO, IT Security, Betriebsrat sowie branchenspezifischen Regulatorien (die scharf kontrolliert werden) wie von der BaFin, FDA etc. wichtiger als die Klassifizierung von Unterlagen, warum?
Früher sprach man von Innovation, dann von Transformation jetzt von Disruption die nötig ist um weiterhin Wettbewerbsfähig zu sein. Die Herausforderung ändert sich, das Problem bleibt das gleiche: Gefangen in alten Prozessen und Mustern.
Nur derjenige der einfache Lösungen für reale Probleme bietet hat eine Daseinsberechtigung bzw. der sie adaptieren kann hat eine Chance.
Anbieter müssen sich m.E.
1. Differenzieren, nicht in Lücken gehen
2. das was MS bietet als gelöst betrachten bzw. Mehrwert bieten
3. Freuen die Basics als gelöst zu betrachten und einen Schritt weiter zu gehen
"Ketzerische" Fragen und Antworten ...
Lieber Herr Dahl,
auch Sie fragen „ketzerisch“ (mit einem zwinkernden Auge, weil Sie die Antwort kennen?), dennoch auf Ihre drei Fragen eine Antwort:
„1. Bislang hat sich MS kaum mit Themen rund um RM und Compliance beschäftigt, warum?“
Warum … das Thema „Compliance“ war immer relevant, denn es geht um die Erfüllung rechtlicher und regulativer Vorschriften wie Gesetze, Verordnungen etc. Wir haben hierfür nur selten den englischen Begriff „Compliance“ benutzt.
Warum … das Thema „Records Management“ war begrifflich in Deutschland nicht präsent – wie wir schon vor Jahren konstatiert haben. In Deutschland sprach man eher von Aufbewahrung, revisionssicherer Archivierung und ähnlichem. Viele Prinzipien des Records Management wurden in der revisionssicheren Archivierung umgesetzt. International ist Records Management als Begriff und Disziplin gesetzt. Auch in der Schweiz ist Records Management das Maß. In Deutschland „schleichen“ sich langsam auch die Begriffe und Prinzipien des Records Management ein wenn man z,.B. in den GoBD von „Aufzeichnungen“ spricht – dies sind Records, oder von Aufbewahrung anstelle von Archivierung. Lediglich in international ausgerichteten Unternehmen der Pharma-, Chemie-, Dienstleistungs-, Gesundheits- und Banken-Branche war Records Management schon immer ein Thema. Wer international handlungsfähig bleiben will muss sich mit den Anforderungen von Compliance, Records Management und Information Governance auseinandersetzen.
2. Nun bietet MS erste gute Lösungsansätze im Bezug auf RM und schon setzen sich viele Firmen damit auseinander die dem bislang keine hohe Bedeutung beigemessen haben, warum?
Warum … Microsoft musste in den USA zahlreiche Compliance- und Governance-Anforderungen erfüllen um im Public Sector die Produkte einsetzen zu können. Dies war schon in der Vergangenheit so dass sich Microsoft nach DoD 5015, nach FDA Part 11 und anderen Vorgaben zertifizieren ließ. In Europa kam das Thema eigentlich erst durch drei Effekte hoch: die (1) GDPR/DSGVO haben dedizierte Anforderungen an die Verwaltung der Informationen, die sich mit einem vernünftigen Records Management erfüllen lassen; (2) in der Corona-Krise breitete sich Office 365, heute Microsoft 365 (M365) massiv aus und wurde zur führenden Plattform bei Collaboration. Collaboration ist aber nicht so geordnet und nachvollziehbar wie Records Management so dass (3) durch neue Funktionen rund um Records Management, DSGVO-Center, Compliance- und Governance-Funktionen etc. die M365-Plattform mehr in Richtung „Tauglichkeit“ geschoben wurde. Diese drei Strömungen verstärken sich gegeneinander so dass jetzt auch in Deutschland Records Management ein wichtiges Thema geworden ist.
3. Bei der Menge an regulatorischen Vorgaben ist für Firmen das Thema DSGVO, IT Security, Betriebsrat sowie branchenspezifischen Regulatorien (die scharf kontrolliert werden) wie von der BaFin, FDA etc. wichtiger als die Klassifizierung von Unterlagen, warum?
Warum … Identifizierung und Klassifikation sind entscheidend um die Informationen, seien es Daten, Datensätze, Bilder, Video, Chats, Dokumente, Reports, Listen usw., so zu beschreiben, dass sie entsprechend den gesetzlichen Vorgaben verwaltet werden können. Das heißt, die Klassifizierung von Unterlagen ist die unabdingbare und notwendige Voraussetzung um überhaupt prüfen zu können, welche Regularien und Gesetze auf eine bestimmte Information anzuwenden sind. Hierbei stehen auch Vorgaben im „Wettbewerb“ wie unterschiedliche Aufbewahrungsfristen für das gleiche Informationsobjekt, der Umgang mit personenbezogenen Daten versus Aufbewahrungsverpflichtungen, die Veränderungen der Anforderungen und des Schutzbedarfes im Lebenszyklus der Information, u.a. Die regulatorischen Anforderungen können nur erfüllt werden, wenn die Information sauber, kontinuierlich konsistent und qualitätsgesichert klassifiziert und für die Verwaltung indiziert wurde. Dies ist genau das Problem mit den Altbeständen und gewachsenen Lösungen, dass diese die aktuellen Anforderungen zum Teil nicht mehr erfüllen können. Hierzu gehört z.B. dass in Deutschland gern bei der Archivierung vergessen wurde, dass Informationen auch gelöscht werden können und nach bestimmten Kriterien wie eben handelsgesetzliche Anforderungen, Sicherheitsanforderungen, DSGVO-Anforderungen usw. herausfilterbar sein müssen. Die Speicher sind dabei eher weniger das Problem als das Fehlen von Attributen und Daten in der Verwaltung und Erschließung der Information.
Zusammengefasst – Klassifikation von Unterlagen ist unabdingbare Voraussetzung zur Erfüllung rechtlicher Vorgaben und für eine saubere Information Governance.
M365 Classification of Records
Atle Skjekkeland, Infotechtion, hat eine interessante Tabelle zum Thema „M365 Records Classification for Collaborative Spaces“ unter dem Gesichtspunkt „Automating Records Management across Microsoft 365“ veröffentlicht. Dabei muss man aber immer berücksichtigen, dass das „Labeling“ in M365 wenig mit der klassischen Klassifikation mit der gleichzeitigen Vererbung von Attributwerten zum Record zu tun hat.
Microsoft baut Records Management Funktionalität aus
Die Diskussion, ob man nun Microsoft M365 mit Sharepoint & Teams „echte“ Records-Management-Funktionalität zubilligen kann, ist in den letzten Monaten leiser geworden. Microsoft baut die Funktionalität weiter aus und gewinnt mit seiner Plattform an Professionalität.
So zeigt die MC241868 aus der Microsoft Roadmap mit der Nachricht „Update for Core eDiscovery and Advanced eDiscovery legal holds, and Information Governance and Records Management“. Darin geht es im Wesentlichen um die Verbesserung der Skalierbarkeit und Stabilität bei größeren Benutzerzahlen.
Dies „kratzt“ an den „letzten Argumenten“ der „traditionellen“ Records-Management-Anbieter, die sich gern auf jahrelange Erfahrung, Skalierbarkeit und professionelle Werkzeuge zurückgezogen haben. Für Mittelständler dürfte die reine Records-Management-Funktionalität, besonders mit der E5-Lizenz, schon ausreichen, auch wenn es es dort keine revisionssichere Archivierung deutscher Prägung gibt. In großen Unternehmen, besonders den regulierten, läuft die Diskussion weiter, ob man ein klassisches ECM-Produkt oder die Microsoft-Lösung nimmt. Gründe hierfür sind einmal die vorhandenen Archivierungs- und Ablagesysteme, die schon durch ihre schiere Masse an Dokumenten, einen Wechsel ziemlich schwierig gestalten. Hinzu kommt die Compliance-Anforderung nach Speicherung im Hause, on Premises, die immer noch gegen die M365-Cloud-Lösung spricht. Von Architektur-Fragen und Schaffung einer Anwenderakzeptanz einmal ganz abgesehen. So zeigt sich hier eher eine Landschaft, in der M365 mit Teams, Sharepoint und OneDrive als Oberfläche genutzt wird, unter der sich dann ein traditionelles „großes“ Records-Management-System verbirgt.
Auf unsere Frage, besser, auf unsere 7 Fragen, ob M365 herkömmliche separate Records-Management-Lösungen überflüssig macht, hatten nur 3 Anbieter bei uns im Blog öffentlich geantwortet. Die Diskussion in den Unternehmensetagen finden aber weiterhin statt.