15.04.2014 Aufrufe

Compliance - PROJECT CONSULT Unternehmensberatung Dr ...

Compliance - PROJECT CONSULT Unternehmensberatung Dr ...

Compliance - PROJECT CONSULT Unternehmensberatung Dr ...

MEHR ANZEIGEN
WENIGER ANZEIGEN

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.

<strong>Compliance</strong><br />

<strong>Dr</strong>. Ulrich Kampffmeyer<br />

<strong>PROJECT</strong><br />

<strong>CONSULT</strong><br />

<strong>Unternehmensberatung</strong> <strong>Dr</strong>. Ulrich Kampffmeyer GmbH<br />

Hamburg 2006


<strong>Compliance</strong>:<br />

Rechtliche Anforderungen an die elektronische Dokumentation<br />

<strong>Compliance</strong>:<br />

Rechtliche Anforderungen an die elektronische Dokumentation<br />

von <strong>Dr</strong>. Ulrich Kampffmeyer<br />

Geschäftsführer der <strong>PROJECT</strong> <strong>CONSULT</strong> <strong>Unternehmensberatung</strong> GmbH, Hamburg<br />

Die IT-Welt schmückt sich mit vielen schwer verständlichen Begriffen und<br />

Akronmyen. In den letzten Jahren sind zahlreiche neue hinzugekommen, die<br />

rechtliche Anforderungen an IT-Lösungen betreffen: GDPdU, SOX und andere. In<br />

dem Maße wie sich die Komunikation und die Geschäftstätigkeit auf elektronische<br />

Medien verlagert, wird die Einhaltung rechtlicher Rahmenbedingungen immer<br />

wichtiger. Grundsätzlich kann man festhalten: Alle Regelungen für die<br />

Dokumentation in der Papierwelt gelten auch für die elektronische Welt. Viele der<br />

Gesetze und Verordnungen orientieren sich jedoch in Ihrer Begrifflichkeit und<br />

Auswirkung immer noch an der herkömmlichen Form des Dokuments: Papier. Sie<br />

müssen daher für die Umsetzung in der Welt der Datenverarbeitung interpretiert<br />

werden. Inzwischen ist jeder Privatmann, jedes Unternehmen, jede Verwaltung und<br />

jede Organisation hiervon betroffen. Dokumente entstehen immer mehr originär in<br />

elektronischer Form. Der Ausdruck auf Papier ist häufig nur noch eine Kopie. Der<br />

Einsatz von elektronischen Dokumentenmanagement- und Archivsystemen wird<br />

immer essentieller, um die Flut der Informationen in den Griff zu bekommen. Aus<br />

Sicht der Dokumentationsanforderungen wird die elektronische Verwaltung der<br />

Dokumente inzwischen unerlässlich.<br />

<strong>Compliance</strong><br />

Aus dem Amerikanischen kam vor kurzem der Begriff „<strong>Compliance</strong>“ auch nach<br />

Deutschland. Die Skandale um ENRON, Worldcom und andere haben deutlich<br />

gemacht, wie wichtig eine geordnete Ablage aller geschäftsrelevanten Informationen<br />

ist. <strong>Compliance</strong>-Anforderungen gab es schon immer, auch im Ursprungland des<br />

Begriffes. Er hat jedoch durch die erwähnten Skandale eine neue Brisanz erhalten:<br />

neue, strafbewehrte Anforderungen zur Aufbewahrung geschäftsrelevanter<br />

elektronischer Informationen. Die Verantwortung für die Erfüllung von <strong>Compliance</strong>-<br />

Anforderungen in Unternehmen ist klar geregelt, die Vorstände und Geschäftsführer<br />

sind hierfür verantwortlich. Aus diesem Grund hat <strong>Compliance</strong> und die Vermeidung<br />

von Risiken einen hohen Stellenwert gewonnen.<br />

<strong>Compliance</strong> ist so zur Zeit das Schlagwort, mit dem die Anbieter von unterschiedlichen<br />

Lösungen mit Begriffen wie Records Management, Enterprise Content<br />

Management oder Information Lifecycle Management anbieten, die die Erfüllung<br />

rechtlicher Vorgaben zur Dokumentation von Geschäftsprozessen unterstützen<br />

sollen. Für den Begriff „<strong>Compliance</strong>“ gibt es keine Übersetzung in nur einem Wort,<br />

man benötigt schon einen ganzen Satz:<br />

Kunde: Ingram Projekt: Artikel Autor: Kff<br />

Thema: Rechtsfragen Topic: <strong>Compliance</strong> Status: Fertig<br />

Datei: Ingram_<strong>Compliance</strong>.doc Datum: 30.08.2007 Version: 1.1<br />

© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2007 Seite 2 von 10


<strong>Compliance</strong>:<br />

Rechtliche Anforderungen an die elektronische Dokumentation<br />

Übereinstimmung mit und Erfüllung von rechtlichen und regulativen Vorgaben<br />

Betrachtet man die einzelnen Komponenten der deutschen Definition<br />

„Übereinstimmung mit und Erfüllung von rechtlichen und regulativen Vorgaben“,<br />

dann werden unterschiedliche Aspekte von <strong>Compliance</strong> deutlich.<br />

• „Übereinstimmung“<br />

Zum ersten wird vorausgesetzt, dass es nachlesbare, definierte, offizielle<br />

Vorgaben gibt, die die Regeln enthalten, was zu tun ist. Hier ist<br />

„Übereinstimmung“ gefordert, ohne dass die Regeln meistens eine technische<br />

Vorgabe enthalten, wie die Anforderung umzusetzen ist. Dies ist auch sinnvoll,<br />

da sich solche Vorgaben nicht an einer Technologie festmachen sollten, die in<br />

ein paar Jahren schon wieder obsolet ist.<br />

• „Erfüllung“<br />

Der Begriff „Erfüllung“ impliziert zweierlei: Einmal, dass die Anforderungen in<br />

einer Lösung umgesetzt werden müssen, und zum Zweiten, dass dies ein<br />

Prozess ist, keine einmalige Aktion. Das Unternehmen oder die Organisation<br />

muss kontinuierlich für die Einhaltung der Vorgaben Sorge tragen. „Erfüllung“<br />

geht dabei meistens über eine rein technische Lösung hinaus und beinhaltet<br />

auch organisatorische und Management-Aspekte.<br />

• „Rechtliche Vorgaben“<br />

Hierbei handelt es sich um Gesetze oder behördliche Verordnungen, die<br />

bestimmte Unternehmen, Organisationen oder Personen verpflichten, die<br />

jeweils aufgeführten Regelungen einzuhalten. Hier kann man sich auch nicht<br />

um die Erfüllung „drücken“, lediglich in Hinblick auf Auslegung, Umfang und<br />

Umsetzungsweise besteht Handlungsspielraum.<br />

• „Regulative Vorgaben“<br />

Warum unterscheidet man hier noch zwischen „rechtlich“ und „regulativ“? Es<br />

gibt eine Reihe von Vorgaben, die sich nicht auf Gesetze berufen wie z.B.<br />

Normen, Standards, Codes of Best Practice von Branchen oder andere<br />

Vorgaben. Diese werden im Folgenden als „regulative Vorgaben“ abgegrenzt.<br />

Vielfach ergeben sich aus gesetzlichen Vorgaben für einen Anwendungsfall<br />

auch Auswirkungen und implizite Anforderungen für andere Fälle.<br />

Der bindende Charakter einer Vorgabe kann aus den oben genannten Gründen sehr<br />

unterschiedlich sein. Auch Steckdosen, Lebensmittel, Flugzeuge, elektrische Geräte,<br />

Medikamente, Kindergärten, Bildschirme usw. müssen bestimmte <strong>Compliance</strong>-<br />

Anforderungen erfüllen. Nur haben diese Anforderungen, die sich z.B. in Prüfsiegeln<br />

niederschlagen – ein Thema dem wir uns im Softwareumfeld noch gesondert widmen<br />

müssen -, wenig zu tun mit dem, was heute unter dem Schlagwort „<strong>Compliance</strong>“ an<br />

informationstechnologischen Lösungen assoziiert wird. Wir werden uns daher nur im<br />

Folgenden nur noch mit der „Information Management <strong>Compliance</strong>“ beschäftigen.<br />

Kunde: Ingram Projekt: Artikel Autor: Kff<br />

Thema: Rechtsfragen Topic: <strong>Compliance</strong> Status: Fertig<br />

Datei: Ingram_<strong>Compliance</strong>.doc Datum: 30.08.2007 Version: 1.1<br />

© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2007 Seite 3 von 10


<strong>Compliance</strong>:<br />

Rechtliche Anforderungen an die elektronische Dokumentation<br />

Vier Komponenten für Information Management <strong>Compliance</strong><br />

Die wesentlichen Anforderungen an Information Management <strong>Compliance</strong> kann man<br />

in vier Punkten zusammenfassen:<br />

1. Information Management Policy<br />

Grundregeln und Verwaltensweisen für den Umgang mit Prozessen und<br />

Informationen, die sich in der „Corporate Governance“ niederschlagen. Dies<br />

schließt das Bewusstmachen, die Zuordnung der Verantwortung, und die<br />

Verankerung der Policy im Management der Organisation ein.<br />

2. Delegation<br />

Zuordnung von Verantwortlichkeiten und entsprechende Ausbildung auf den<br />

nachgeordneten Ebenen, die allen Betroffenen die Bedeutung von<br />

<strong>Compliance</strong>-Regeln deutlich macht. Dies schlägt sich auch in den<br />

Arbeitsprozessen, Arbeitsplatzbeschreibungen, Verträgen und<br />

Arbeitsanweisungen nieder.<br />

3. Nachhaltung<br />

Die Einhaltung der Regeln muss regelmäßig überprüft werden. Hierzu<br />

gehören z.B. Qualitätssicherungsprogramme ebenso wie Audits. Hierbei ist<br />

auf eine ständige Verbesserung der Prozesse und auf die Nachführung der<br />

Dokumentation zu den durchgeführten Maßnahmen Wert zu legen.<br />

4. Sichere Systeme<br />

Die IT-Systeme müssen den Anforderungen mit ihrer Funktionalität, Sicherheit<br />

und Verfügbarkeit genügen und die Nachvollziehbarkeit unterstützen.<br />

<strong>Compliance</strong> beschränkt sich hier nicht nur auf die Anwendungsfunktionalität<br />

und das Dokumentenmanagement sondern schließt den gesamten Betrieb der<br />

Lösung ein.<br />

Obwohl <strong>Compliance</strong> sehr viel mit Dokumenten und Dokumentation zu tun, gilt es bei<br />

den Anforderungen immer in Prozessen zu denken. Das Hauptproblem von<br />

<strong>Compliance</strong> ist dabei, dass die Maßnahmen zunächst einmal viel Geld und<br />

organisatorischen Aufwand kosten ohne dass hierdurch mehr Geschäft generiert<br />

wird. <strong>Compliance</strong> ist daher meisten ein ungeliebtes Kind. Wenn man aber sein<br />

Unternehmen konsequent und strukturiert organisiert, ist durch die Transparenz, die<br />

Nachvollziehbarkeit und die integre Verfügbarkeit von Information ein hoher<br />

qualitativer Nutzen gegeben, der sich auf längere Sicht auch betriebswirtschaftlich<br />

auszahlt.<br />

<strong>Compliance</strong> ist ein internationales Thema<br />

Betrachtet man die hunderten von einzelnen <strong>Compliance</strong>-Anforderungen<br />

international, so zeichnen sich mehrere Ebenen ab.<br />

• Weltweit<br />

Hier sind z.B. Vorgaben der OECD zu berücksichtigen, die weltweit Gültigkeit<br />

haben und im Prinzip alle international Handel-treibenden Unternehmen<br />

Kunde: Ingram Projekt: Artikel Autor: Kff<br />

Thema: Rechtsfragen Topic: <strong>Compliance</strong> Status: Fertig<br />

Datei: Ingram_<strong>Compliance</strong>.doc Datum: 30.08.2007 Version: 1.1<br />

© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2007 Seite 4 von 10


<strong>Compliance</strong>:<br />

Rechtliche Anforderungen an die elektronische Dokumentation<br />

betreffen. Auch Basel II und Solvency II sind internationale Regelungen für die<br />

gesamte Finanzdienstleistungsbranche.<br />

• USA<br />

Aus den USA kommen viele <strong>Compliance</strong>-Regelungen, die z.B. auch in<br />

Deutschland erfüllt werden müssen. Unternehmen, die in Amerika an der<br />

Börse notiert sind, Tochtergesellschaften amerikanischer Mütter,<br />

Niederlassungen in den USA – sie alle müssen die Regeln des SEC und des<br />

Sarbanes-Oxley-Act beachten. Auch ganze Branchen hängen „am Tropf“<br />

ursprünglich amerikanischer Vorgaben, so z.B. die Weltraum-, Waffen- und<br />

Pharmaindustrie.<br />

• Europa<br />

Viele Gesetze werden inzwischen auf europäischer Ebene verfasst. Sie<br />

nennen sich dort „Richtlinien“, sind aber in gegebener Frist in nationales Recht<br />

umzuwandeln. Im Rahmen der Harmonisierung der Geschäfts- und<br />

Wirtschaftslebens in Europa gibt es inzwischen zahlreiche Gesetze<br />

europäischen Ursprungs, so z.B. das Signaturgesetz oder das Gesetz zum<br />

elektronischen Geschäftsverkehr. Trotz der Richtlinien gibt in den nationalen<br />

Umsetzungen immer wieder kleinere Abweichungen, die individuell unter<br />

<strong>Compliance</strong>-Gesichtspunkten betrachtet werden müssen.<br />

• National<br />

Jeder Staat hat eine Vielzahl von Gesetzen und Verordnungen, die direkt oder<br />

indirekt das Thema <strong>Compliance</strong> betreffen. Hierzu gehören bürgerliche<br />

Gesetze, Zivilprozessgesetze, Signaturgesetze, Handelsgesetze,<br />

Steuergesetze, Gesetze für die Verfahren der öffentlichen Verwaltung, und so<br />

weiter. Aber auch auf den ersten Blick abgelegenere Gesetze betreffen das<br />

Thema <strong>Compliance</strong>: Umweltschutz-, Zoll-, Verbraucherschutz-,<br />

Telekommunikations-, Datenschutz-, Betriebsverfassungs- und andere<br />

Gesetze besitzen Auflagen für die Dokumentation.<br />

Hierbei muss man unterschieden, ob das eigene Unternehmen direkt durch eine<br />

Vorgabe betroffen ist, oder nur indirekt.<br />

• Direkt betroffen<br />

Direkt betroffen ist ein Unternehmen zum Beispiel durch die Vorgaben des<br />

Handelsgesetzes und der Steuergesetze. Hier geht es lediglich um den<br />

Umfang und die Festlegung der notwendigen Maßnahmen zur Erfüllung der<br />

Gesetze und Verordnungen.<br />

Ferner ist zu unterscheiden, ob es sich um Gesetz handelt, eine<br />

Branchenvorgabe oder aber um eine interne Richtlinie, die dazu dient,<br />

Transparenz und Nachvollziehbarkeit generell zu schaffen.<br />

• Indirekt betroffen<br />

Vielfach sind Unternehmen indirekt betroffen, d.h. durch ihre Tätigkeit legen<br />

Ihnen Geschäftspartner die Erfüllung von Vorgaben auf, die eigentlich nur<br />

den Geschäftspartner selbst betreffen. Beispiele sind BASEL II, wo die<br />

Banken ihre Risiken an das kreditnehmende Unternehmen durchreichen,<br />

oder Zulieferer, die die Haftungs- und <strong>Compliance</strong>-Anforderungen erfüllen<br />

müssen um im Geschäft zu bleiben. So sind z.B. eine Vielzahl von<br />

Kunde: Ingram Projekt: Artikel Autor: Kff<br />

Thema: Rechtsfragen Topic: <strong>Compliance</strong> Status: Fertig<br />

Datei: Ingram_<strong>Compliance</strong>.doc Datum: 30.08.2007 Version: 1.1<br />

© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2007 Seite 5 von 10


<strong>Compliance</strong>:<br />

Rechtliche Anforderungen an die elektronische Dokumentation<br />

Unternehmen in Deutschland auch indirekt von SOX und anderen<br />

amerikanischen Gesetzen betroffen.<br />

Die Vielfalt macht eines deutlich, für jedes Unternehmen, jeden Geschäftszweck ist<br />

im Prinzip zunächst einmal eine Matrix aufzustellen, welche Regelungen für welche<br />

Geschäftstätigkeit in welchem Umfang und mit welchem Risiko für das Unternehmen<br />

zutreffend ist. Die Suche nach einer technischen Lösung, Systemen oder Software,<br />

macht erst dann Sinn, wenn man sich über die Anforderungen klar geworden ist.<br />

Gibt es <strong>Compliance</strong>-Anforderungen auch in Deutschland?<br />

Natürlich, man nennt es nur nicht so. Einige Beispiele sollen dies verdeutlichen. Die<br />

GDPdU Grundsätze des Datenzugriffs und der Prüfbarkeit digitaler Unterlagen sind<br />

ein typisches Beispiel. Zwar noch nicht strafbewehrt wie SOX, aber durch aus mit<br />

anderen Anforderungen des SEC in den USA vergleichbar. Die Bereithaltung von<br />

steuerlich relevanten Daten in auswertbarer Form ist eine Pflichtvorgabe. Die<br />

GDPdU selbst ist eine Verordnung, die auf den Änderungen im<br />

Steueränderungsgesetz und HGB Abgabenordnung basiert. Sie stellt eine Richtlinie<br />

für das Vorgehen der Finanzbehörden bei Außenprüfungen dar. Die Unternehmen<br />

müssen sicherstellen, dass alle steuerrelevanten Daten identifiziert, unverändert und<br />

vollständig und über einen Zeitraum von 10 Jahren aufbewahrt werden. Auch bei den<br />

GDPdU spielen inzwischen Dokumente und Emails neben den Daten aus ERP- und<br />

Buchhaltungssystemen eine zunehmend wichtigere Rolle. In eine ähnliche Kerbe<br />

schlägt auch das Gesetz zu den Dokumentationspflichten bei Verrechnungspreisen,<br />

das anders als die GDPdU strafbewehrt ist.<br />

Aber auch bereits vor den GDPdU gab es verbindliche Vorgaben. Es sei hier nur an<br />

die GoBS erinnert, die die Aufbewahrung von kaufmännischen Unterlagen in<br />

elektronischer Form regelt. Neben sicheren Systemen wird hier auf die Prozesse und<br />

die Verfahrensdokumentation besonderes Augenmerk gelegt.<br />

Viele der neuen Regularien in Deutschland haben ihren Ursprung in der<br />

europäischen Gesetzgebung. Bereits durch die Richtlinien zum E-Commerce und zur<br />

elektronischen Signatur sind eine Reihe von Anforderungen für <strong>Compliance</strong> in<br />

Deutschland entstanden. Erinnert sei hier nur an die elektronische Rechnung, die nur<br />

zum Vorsteuerabzug berechtigt, wenn sie qualifiziert elektronisch signiert wurde.<br />

Zu den wichtigsten Gesetzen in Deutschland, aus denen sich<br />

Dokumentationsanforderungen ableiten und die wichtig für den Rechtscharakter<br />

elektronischer Dokumente sind, gehören folgende:<br />

ZPO Zivilprozessordnung (§§ 272, 371)<br />

BGB Bürgerliches Gesetzbuch (§§ 126, 127)<br />

HGB Handelsgesetzbuch (§§239, 257)<br />

AO Abgabenordnung (§§ 146 ff)<br />

GoBS Grundsätze ordnungsmäßiger Speicherbuchführung<br />

Steuergesetze (verschiedene wie Umsatzsteuergesetz und zahlreiche andere)<br />

GDPdU Grundsätze der Prüfbarkeit digitaler Unterlagen<br />

SigG Signaturgesetz<br />

BDSG Bundesdatenschutzgesetz (und Länderdatenschutzgesetze)<br />

Kunde: Ingram Projekt: Artikel Autor: Kff<br />

Thema: Rechtsfragen Topic: <strong>Compliance</strong> Status: Fertig<br />

Datei: Ingram_<strong>Compliance</strong>.doc Datum: 30.08.2007 Version: 1.1<br />

© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2007 Seite 6 von 10


<strong>Compliance</strong>:<br />

Rechtliche Anforderungen an die elektronische Dokumentation<br />

Weitere relevante Vorgaben finden sich im Verwaltungsverfahrensgesetz,<br />

Betriebsverfassungsgesetz, Verbraucherschutzgesetz sowie zahlreichen<br />

Verordnungen und Verwaltungsanweisungenwie z.B. zur<br />

Verrechnungspreisdokumentation. Die Vielzahl der Vorgaben, die zum Teil auch<br />

noch widersprüchlich sind, ist nur schwer zu überblicken. Weitere Vorgaben werden<br />

folgen, damit die Rechtsprechung mit der Entwicklung der Informations- und<br />

Kommunikationstechnologie Schritt halten kann.<br />

Auch eine europäische Variante des amerikanischen SOX - der bei Verstößen bis zu<br />

20 Jahre Gefängnis vorsieht - wird sich kaum vermeiden lassen. Der elektronische<br />

Geschäftsverkehr und die Umstellung der öffentlichen Verwaltung auf elektronisch<br />

unterstütze Verfahren wird weitere <strong>Compliance</strong>-Anforderungen nach sich ziehen.<br />

Die elektronische Verwaltung von Dokumenten ist die Zukunft<br />

Auch deshalb ist es wichtig, nicht nur auf eine Einzellösung für ein bestimmtes<br />

Problem zu schauen, sondern eine IT-Strategie zu entwickeln, die mit einer Lösung<br />

möglichst viele <strong>Compliance</strong>-Anforderungen erfüllt und darüber hinaus für das<br />

Unternehmen auch im Geschäftsbetrieb nutzbringend eingesetzt werden kann.<br />

Hierfür gibt es eine Vielzahl von Ansätzen, die mit unterschiedlichen Systemen<br />

adressiert werden. Viele der verwendeten Begriffe sind jedoch nur Etiketten und eine<br />

Unterscheidung fällt häufig schwer:<br />

• ECM Enterprise Content Management<br />

ECM ist der Sammelbegriff, unter dem sich alle dokumentenorientierten<br />

Technologien heute wieder finden. Erfassung mit Scannen und Datenimport,<br />

Dokumentenmanagement, Workflow, Web Content Management,<br />

Ausgabetechnologien, Speicherung, datenbankgestützte Verwaltung,<br />

elektronische Akten und Vorgänge und die Langzeitarchivierung. ECM<br />

verfolgt einen ganzheitlichen Ansatz: Dienste, die allen Anwendungen zur<br />

Verfügung stehen, einen einheitlichen Speicherort für alle Informationen und<br />

eine durchgängige Nachvollziehbarkeit aller Tätigkeiten und Veränderungen<br />

an und mit Informationen wie Dokumenten, Daten, Content und so weiter.<br />

• Records Management<br />

Records Management dient zur Verwaltung und Erschließung aller<br />

aufbewahrungspflichtigen und aufbewahrungswürdigen Dokumente. Eine<br />

Record im Angloamerikanischen entspricht in etwa unserer Auffassung eines<br />

Dokumentes. Dokumentenmanagement im Amerikanischen bezeichnet<br />

dagegen „nur“ die Verwaltung des aktiven, dynamischen Teils des<br />

Lebenszyklus bevor ein elektronisches Dokument an ein Records<br />

Management oder Archivsystem übergeben wird. Records Management<br />

Systeme verwalten gleichermaßen elektronische Dokumente wie auch die<br />

Standorte herkömmlicher Papierablagen. Records Management ist<br />

international durch zahlreiche Normen, Standards und Codes of Best Practice<br />

geregelt. Dies gilt besonders für die öffentliche Verwaltung und<br />

Pharmabranche.<br />

Kunde: Ingram Projekt: Artikel Autor: Kff<br />

Thema: Rechtsfragen Topic: <strong>Compliance</strong> Status: Fertig<br />

Datei: Ingram_<strong>Compliance</strong>.doc Datum: 30.08.2007 Version: 1.1<br />

© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2007 Seite 7 von 10


<strong>Compliance</strong>:<br />

Rechtliche Anforderungen an die elektronische Dokumentation<br />

• Elektronische Archivierung<br />

Die elektronische Archivierung benutzt Datenbanken zur Verwaltung der<br />

Informationsobjekte (überschneidet sich hier mit dem Records Management)<br />

und speichert Informationen so, dass unveränderbar langzeitig aufbewahrt<br />

und sicher wiedergefunden werden können. Man spricht von revisionssicherer<br />

Archivierung, den die Anforderungen an Unveränderbarkeit,<br />

Wiederauffindbarkeit, Originalität, Sicherheit, Schutz, Nachvollziehbarkeit,<br />

Migrationsfähigkeit, Ordnungsmäßigkeit, Integrität, Identität und Authentizität<br />

erfüllt sind. Für eine revisionssichere Archivierung sind nicht die Speicher<br />

allein, sondern das Ganze System und seine Nutzung ausschlaggebend. Für<br />

die sichere Speicherung kommen heute digital-optische Speicherplatten<br />

sowie vermehrt, spezielle Festplatten und Bänder zum Einsatz.<br />

• E-Mail-Management<br />

E-Mail-Archivierung ist eines der Hype-Themen des Jahres. Besonders durch<br />

den SOX Sarbanes-Oxley-Act getrieben, wurden spezielle Systeme für die<br />

Speicherung von E-Mails außerhalb der Standard-Email-Systeme wie Lotus<br />

Notes/Domino, Microsoft Exchange/Outlook oder Novell Groupwise<br />

geschaffen. Rechtlich gesehen können E-Mails heute Geschäftsbriefe sein,<br />

die den Aufbewahrungspflichten unterliegen. Sie gezielt und gut aufbereitet<br />

zu archivieren ist unbedingt erforderlich. Jedoch die E-Mails auf Grund ihres<br />

Formates in einen „extra Speichertopf“ abzulegen, macht wenig Sinn. E-Mails<br />

gehören in ihren Geschäftszusammenhang, in virtuelle Kunden-, Vorgangs-,<br />

Reklamations-, Sach- oder wie auch immer organisierte Sichten auf<br />

Informationen, die Daten und Dokumente unabhängig von Format und Quelle<br />

zusammenführen.<br />

• ILM Information Lifecycle Management<br />

ILM ist ein Akronym, das von den Speichersystemanbietern in den letzten<br />

Jahren vorangebracht wurde. Es steht für die intelligente Speicherung von<br />

Information entsprechend dem Wert der Information auf dem jeweils<br />

günstigsten und richtigen Speichermedium. Hier überschneiden sich<br />

herkömmliche Archivsystem- und Speichersystemkonzepte. Im Unternehmen<br />

ist zu klären, welches System die für die Verwaltung der Daten und<br />

Dokumente führende Anwendung ist.<br />

• Elektronische Signatur<br />

Die elektronische Signatur macht aus elektronischen Daten rechtskräftige<br />

Dokumente, zumindest wenn es sich um die qualifizierte elektronische<br />

Signatur handelt. Die Signatur gewinnt in unterschiedlichsten Anwendungen<br />

immer mehr Bedeutung. So müssen zum Beispiel elektronische Rechnungen<br />

qualifiziert elektronisch signiert sein, damit sie zum Vorsteuerabzug<br />

berechtigen. Elektronisch signierte Dokumente sind Originale, der Ausdruck<br />

ist nur eine Kopie. Daraus ergibt sich die Anforderung, elektronisch signierte<br />

Dokumente langfristig und sicher aufzubewahren. Der elektronische E-Mail-<br />

Postkorb und irgendein Verzeichnis im Dateisystem sind hierfür nicht der<br />

richtige Ort. Elektronisch signierte Dokumente erfordern den Einsatz eines<br />

Dokumentenmanagementsystems.<br />

Kunde: Ingram Projekt: Artikel Autor: Kff<br />

Thema: Rechtsfragen Topic: <strong>Compliance</strong> Status: Fertig<br />

Datei: Ingram_<strong>Compliance</strong>.doc Datum: 30.08.2007 Version: 1.1<br />

© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2007 Seite 8 von 10


<strong>Compliance</strong>:<br />

Rechtliche Anforderungen an die elektronische Dokumentation<br />

Die Vielfalt der Lösungen ist groß. Immer mehr Produkte kommen auch von<br />

Standardsoftwareanbietern wie Microsoft oder Oracle, so dass es wichtig ist, eine<br />

Strategie zu besitzen, welche Lösung soll für welchen Zweck benutzt werden.<br />

Ohne ein strategisches Konzept, eine Richtlinie für den Umgang mit<br />

Informationen, eine gute Beschreibung der tatsächlichen Anforderungen, macht<br />

es wenig Sinn, sich nach einem Produkt umzusehen. Produkte gibt es viele,<br />

jedoch ist der entscheidende Punkt für <strong>Compliance</strong>, der richtige und konsequente<br />

Einsatz. Die organisatorische Herausforderung bleibt auch zukünftig - trotz der<br />

Vielzahl der Lösungen.<br />

Anschrift des Autors<br />

<strong>PROJECT</strong> <strong>CONSULT</strong> GmbH, Büro Hamburg<br />

Breitenfelder Str. 17<br />

D-20251 Hamburg<br />

Tel.: 040 / 460 762 20<br />

Fax: 040 / 460 762 29<br />

E-Mail: Presse@<strong>PROJECT</strong>-<strong>CONSULT</strong>.com<br />

Web: www.<strong>PROJECT</strong>-<strong>CONSULT</strong>.com<br />

Autorenrecht und CopyRight<br />

Autor: <strong>Dr</strong>. Ulrich Kampffmeyer<br />

<strong>PROJECT</strong> <strong>CONSULT</strong> <strong>Unternehmensberatung</strong> GmbH<br />

Breitenfelder Str. 17<br />

D-20251 Hamburg<br />

Tel.: 040 / 460 762 20<br />

Fax: 040 / 460 762 29<br />

E-Mail: Presse@<strong>PROJECT</strong>-<strong>CONSULT</strong>.com<br />

Web: www.<strong>PROJECT</strong>-<strong>CONSULT</strong>.com<br />

© <strong>PROJECT</strong> <strong>CONSULT</strong> <strong>Unternehmensberatung</strong> GmbH 2006. Alle Rechte vorbehalten<br />

Der gesamte Inhalt ist, sofern nicht gesondert zitiert, ein Originaltext des Autors. Jeglicher Abdruck,<br />

auch auszugsweise oder als Zitat in anderen Veröffentlichungen, ist durch den Autor vorab zu<br />

genehmigen. Die Verwendung von Texten, Textteilen, grafischen oder bildlichen Elementen ohne<br />

Kenntlichmachung der Autorenschaft ist ein Verstoß gegen geltendes Urheberrecht. Belegexemplare,<br />

auch bei auszugsweiser Veröffentlichung oder Zitierung, sind unaufgefordert einzureichen.<br />

Kunde: Ingram Projekt: Artikel Autor: Kff<br />

Thema: Rechtsfragen Topic: <strong>Compliance</strong> Status: Fertig<br />

Datei: Ingram_<strong>Compliance</strong>.doc Datum: 30.08.2007 Version: 1.1<br />

© <strong>PROJECT</strong> <strong>CONSULT</strong> GmbH 2007 Seite 9 von 10


<strong>Compliance</strong>:<br />

Rechtliche Anforderungen an die elektronische Dokumentation<br />

Profil<br />

<strong>Dr</strong>. Ulrich Kampffmeyer ist Gründer und Geschäftsführer der <strong>PROJECT</strong><br />

<strong>CONSULT</strong> <strong>Unternehmensberatung</strong> GmbH, Hamburg, eine produkt- und<br />

herstellerunabhängige Beratungsgesellschaft für<br />

Informationsmanagement (IM).<br />

Er berät Kunden aller Branchen im In- und Ausland bei Strategie,<br />

Konzeption, Einführung, Ausbau, Migration und Dokumentation von IM-<br />

Lösungen (wie Records Management, Enterprise Content Management,<br />

Information Lifecycle Management, Wissensmanagement etc.)<br />

Von Fachzeitschriften wurde er zu den 100 wichtigsten IT-Machern<br />

Deutschlands gezählt. Er gilt als der Mentor der ECM-Branche in<br />

Europa.<br />

Er ist Mitglied der Geschäftsführung der DLM Network EEIG, Worcester,<br />

beteiligt sich an der internationalen Standardisierung im IM und ist als Referent und Autor über<br />

die Grenzen Europas hinaus bekannt.<br />

Adresse:<br />

<strong>PROJECT</strong> <strong>CONSULT</strong><br />

<strong>Unternehmensberatung</strong> <strong>Dr</strong>. Ulrich Kampffmeyer GmbH<br />

Breitenfelder St. 17<br />

20251 Hamburg<br />

Ulrich.Kampffmeyer@<strong>PROJECT</strong>-<strong>CONSULT</strong>.com<br />

©<strong>PROJECT</strong> <strong>CONSULT</strong> GmbH Ingram_<strong>Compliance</strong>.doc 2005

Hurra! Ihre Datei wurde hochgeladen und ist bereit für die Veröffentlichung.

Erfolgreich gespeichert!

Leider ist etwas schief gelaufen!