Академический Документы
Профессиональный Документы
Культура Документы
Management
Compliance
PROJECT CONSULT
Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH
Die Information des Whitepapers wurde mit größter Sorgfalt Every effort has been made to make this white paper as
erarbeitet. Dennoch können Fehler nicht vollständig complete and as accurate as possible, but no warranty or
ausgeschlossen werden. Die Autoren übernehmen keine fitness is implied. The authors shall have neither liability
juristische Verantwortung oder Haftung für eventuell nor responsibility to any person or entity with respect to
verbliebene Angaben und deren Folgen. any loss or damages arising from the information con-
tained in this book.
Das Werk einschließlich aller seiner Teile ist urheberrechtlich This work including all parts is protected by copyright. No
geschützt. Jede Verwertung außerhalb der engen Grenzen des part of this work covered by the copyright hereon may be
Urheberrechtsgesetzes ist ohne Zustimmung des Autors reproduced or used in any form or by any means – graph-
unzulässig und strafbar. Alle Rechte, wie Vervielfältigung, ic, electronic or mechanical, including photocopying, re-
Übersetzung, Mikroverfilmung sowie digitale Einspeicherung, cording, translating, taping, or information storage and
Verarbeitung und Verbreitung sind dem Autor vorbehalten. retrieval systems – without the written permission from
the author.
© PROJECT CONSULT Unternehmensberatung GmbH 2007. Alle © PROJECT CONSULT Unternehmensberatung GmbH
Rechte vorbehalten. 2007. All rights reserved.
Der gesamte Inhalt ist, sofern nicht gesondert zitiert, ein All content is the orginal text of the autor if not otherwise
Originaltext des Autors. Jeglicher Abdruck, auch auszugsweise cited. The author must agree to copies or citations before
oder als Zitat in anderen Veröffentlichungen, ist durch den publishing. No part of this work covered by the copyright
Autor vorab zu genehmigen. Die Verwendung von Texten, hereon may be reproduced or used in any form or by any
Textteilen, grafischen oder bildlichen Elementen ohne means without citing the author. Specimen copies have to
Kenntlichmachung der Autorenschaft ist ein Verstoß gegen be sent to the author without request even if published
geltendes Urheberrecht. Belegexemplare, auch bei partly or cited.
auszugsweiser Veröffentlichung oder Zitierung, sind
unaufgefordert einzureichen.
Information Management Compliance
„Es muss eine Angleichung der elektro- “The electronic world must become equi-
nischen Welt an die Papierwelt stattfinden. valent to the paper world. A generally ac-
Nur mit einem komplett neuem Rahmenwerk cepted and fair basis for information
von Gesetzen und Richtlinien können all- management compliance requires a com-
gemeingültige und gerechte Grundlagen pletely new legal and regulatory frame-
für Information Management Compliance work.”1)
geschaffen werden.“ 1)
Der Begriff Compliance sorgt bei vielen The term “compliance” is confusing for many
Anwendern für Verunsicherung. Zahlreiche users. Numerous vendors market their
Anbieter vermarkten inzwischen Ihre Produkte products using the compliance label – the
unter dem Etikett „Compliance“ – nicht nur traditional DMS and ECM solution vendors,
herkömmliche Anbieter von DMS- und ECM- as well as manufacturers of data storage
Lösungen, sondern auch Hersteller von systems, management information software,
Speichersystemen, Management-Informations- and ERP solutions. “Compliance” has become
Programmen und ERP-Lösungen. Mit dem a new market niche. In Germany the term
Begriff Compliance hat sich zugleich ein neues has thus far not gained broad currency, but
Marktsegment gebildet. In Deutschland wird der the legal and regulatory documentation re-
englische Begriff Compliance bisher nur selten quirements are increasing steadily – one
verwendet. Rechtliche und regulative Vorgaben need look no further than the GDPdU or
für Dokumentationspflichten nehmen aber, wenn Basel II. Thus, users now find themselves
man an Beispiele wie die GDPdU oder Basel II having to decide between specialist island
denkt, stetig zu. Es liegt also am Kunden, sich solutions to fulfill specific compliance re-
zwischen spezialisierten Insellösungen zur quirements, or broader-based solutions that
Erfüllung bestimmter Compliance-Anforde- include compliance fulfillment in their portfo-
rungen oder übergreifenden Lösungen, die auch lio.
Compliance-Anforderungen mit abdecken, zu
entscheiden.
Das Whitepaper bietet einen Überblick über This White Paper gives an overview of the
Hintergründe und notwendige Maßnahmen zur background and and actions needed to fulfill
Erfüllung der zunehmenden Compliance-Anfor- the growing compliance reqirements in IT. It
derungen im Umfeld der will illustrate the current situation in 2007
Informationstechnologie. Die aktuelle Situation using a few selected examples.
im Jahr 2007 wird an Hand einiger,
ausgewählter Beispiele dargestellt.
1)
Ulrich Kampffmeyer, Bedeutung von Compliance, Vortrag 1)
Importance of “Compliance”. Dr. Ulrich Kampffmeyer at
auf dem SAPERIONcongres 2007, „ECM 2.0“, 2007 the SAPERIONcongress 2007
Kunde: KoelnMesse Projekt: DMS EXPO 2007 Autor: Dr. Ulrich Kampffmeyer public
Thema: Information Management Compliance Topic: Whitepaper Status: fertig
Datei: 5270196.doc Datum: 20.09.2007 Version: 1.2
Seite 1 von 40
© PROJECT CONSULT Unternehmensberatung GmbH 2008
Information Management Compliance
Inhalt Contents
Kapitel/ Seite/
Chapter Page
Einführung Introduction 1
Basel II Basel II 6
USA USA 7
eDiscovery eDiscory 8
Europa Europe 10
Deutschland Germany 11
Kunde: KoelnMesse Projekt: DMS EXPO 2007 Autor: Dr. Ulrich Kampffmeyer public
Thema: Information Management Compliance Topic: Whitepaper Status: fertig
Datei: 5270196.doc Datum: 20.09.2007 Version: 1.2
Seite 2 von 40
© PROJECT CONSULT GmbH 2008
Information Management Compliance
7 Ausblick Outlook 36
Compliance-Anforderungen treiben den Markt Compliance is driving the market for 36
für Dokumenten-Technologien document technologies
Literatur Bibliography 38
Was verbirgt sich hinter dem Begriff What is behind the term “Compliance”?
Compliance?
Zu den häufig, zumindest für deutsche Ohren, “Compliance” is yet another English term
schwer verständlichen Begriffen aus dem that has found its way into international IT
angloamerikanischen Sprachraum muss auch parlance.
der Begriff „Compliance“ gezählt werden.
Compliance umfasst die Gesamtheit aller Compliance refers to the totality of reason-
zumutbaren Maßnahmen, die das regelkonforme able actions that underpin the compliance of
Verhalten eines Unternehmens, seiner a company, its organizational members, and
Organisationsmitglieder und seiner Mitarbeiter its employees with all legal requirements.
im Hinblick auf alle gesetzlichen Ge- und
Verbote begründen.
Auch wenn es Compliance-Anforderungen schon There have always been compliance reguire-
immer, auch im Ursprungsland des Begriffes - ments, but after the the ENRON and World-
den USA - gab, so haben sie nach den Com scandals in the US the topic has gained
Skandalen um ENRON und WorldCom eine a new, more intense quality. Harsher penal-
brisante Qualität erhalten: neue, strafbewehrte ties and new requirements govern the stor-
Anforderungen zur Aufbewahrung geschäfts- age of digital business records. In the past
relevanter elektronischer Informationen. In der there was already legislation; for example,
Vergangenheit gab es schon immer eine Reihe bookkeeping software has always had to
von rechtlichen Anforderungen; so mussten z.B. meet compliance standards. With the in-
Finanzbuchhaltungssoftware schon immer creasing volume and significance of e-mail
Compliance-Standards erfüllen. Mit dem and e-commerce, the documentation and di-
steigendem Aufkommen und der wachsenden gital preservation or archiving of business
Bedeutung von E-Mails und E-Commerce processes have become ever more import-
gewann die Notwendigkeit der Dokumentation ant.
Kunde: KoelnMesse Projekt: DMS EXPO 2007 Autor: Dr. Ulrich Kampffmeyer public
Thema: Information Management Compliance Topic: Whitepaper Status: fertig
Datei: 5270196.doc Datum: 20.09.2007 Version: 1.2
Seite 3 von 40
© PROJECT CONSULT Unternehmensberatung GmbH 2008
Information Management Compliance
2)
Ulrich Kampffmeyer, Dokumenten-Technologien – Wohin 2)
Ulrich Kampffmeyer, Dokumenten-Technologien –
geht die Reise. PROJECT CONSULT 2003 Wohin geht die Reise. PROJECT CONSULT 2003
3)
Ursprünglich “Übereinstimmung mit und Erfüllung von 3)
Previous version: Ulrich Kampffmeyer, Compliance
rechtlichen und regulativen Vorgaben“. Ulrich Kampffmeyer, Whitepaper, Documentum, 2004, S.3.
Compliance Whitepaper, Documentum, 2004, S.3.
Betrachtet man die einzelnen Begriffe der Looking at the individual terms in the
deutschen Übertragung der Definition von above definition “Agreement with and ful-
Compliance „Übereinstimmung mit und Erfüllung fillment of legal and regulatory require-
von gesetzlichen und regulativen Vorgaben“, ments,” several aspects of compliance
dann werden unterschiedliche Aspekte von stand out.
Compliance-Anforderungen deutlich.
• „Übereinstimmung“ • “Agreement”
Zur Erreichung der „Übereinstimmung“ wird Agreeing with something assumes that
vorausgesetzt, dass es nachlesbare, there are defined, official, accessible
definierte, offizielle Vorgaben gibt, die die rules to agree with in the first place.
Regeln enthalten, was zu tun ist. Hier ist These rules do not usually contain
„Übereinstimmung“ gefordert, ohne das die technical requirements on implementa-
Regeln meistens eine technische Vorgabe tion. This makes sense, since the rules
enthalten, wie die Anforderung umzusetzen should not be tied to technologies that
ist. Dies ist auch sinnvoll, da sich solche may be obsolete in just a few years.
Vorgaben nicht an einer Technologie Agreement is the static aspect of com-
festmachen sollten, die in ein paar Jahren pliance.
schon wieder obsolet ist.
Die Übereinstimmung ist der „statische
Aspekt“ von Compliance.
• „Erfüllung“ • “Fulfillment”
Der Begriff „Erfüllung“ impliziert zweierlei: This implies two things – first, that the
Einmal, dass die Anforderungen in einer requirements have to be implemented
Lösung umgesetzt werden müssen, und zum in some form, and secondly, that this is
Zweiten, dass dies ein Prozess ist, keine a process, not a one-time action. The
einmalige Aktion. Das Unternehmen oder company or organization must attend
die Organisation muss kontinuierlich für die to fulfillment on an ongoing basis. Ful-
Einhaltung der Vorgaben Sorge tragen. fillment usually goes beyond mere
„Erfüllung“ geht dabei meistens über eine technology, to include organizational
rein technische Lösung hinaus und and management aspects.
beinhaltet auch organisatorische und Fulfillment is the dynamic aspect of
Management-Aspekte. compliance.
Die kontinuierliche Erfüllung ist der
„dynamische Aspekt“ von Compliance.
Kunde: KoelnMesse Projekt: DMS EXPO 2007 Autor: Dr. Ulrich Kampffmeyer public
Thema: Information Management Compliance Topic: Whitepaper Status: fertig
Datei: 5270196.doc Datum: 20.09.2007 Version: 1.2
Seite 4 von 40
© PROJECT CONSULT GmbH 2008
Information Management Compliance
Grundsätzlich gelten alle gesetzlichen, In principle, all legal and regulatory require-
rechtlichen und regulativen Vorgaben auch in ments apply to the digital world just as they
der elektronischen Welt. Häufig sind die do to the paper world. Often, however, the
Anforderungen der DV-Welt jedoch noch nicht requirements are not phrased specifically for
oder nicht direkt enthalten und müssen IT applications, and these must therefore be
daher adäquat abgeleitet werden. derived.
Kunde: KoelnMesse Projekt: DMS EXPO 2007 Autor: Dr. Ulrich Kampffmeyer public
Thema: Information Management Compliance Topic: Whitepaper Status: fertig
Datei: 5270196.doc Datum: 20.09.2007 Version: 1.2
Seite 5 von 40
© PROJECT CONSULT Unternehmensberatung GmbH 2008
Information Management Compliance
Aktuelle Situation
und wichtige Regularien
2 Current situation
and important regulations
„Der elektronische Geschäftsverkehr wird “Digital business transactions will become
zum Regelfall. Gleichbehandlung ist nur the rule. Equal treatment is possible only
möglich, wenn für alle Beeiligten die selben when the same transparency rules apply to
Transparenzpflichten gelten. Compliance everybody. Therefore, compliance must have
muss daher für alle und unabhängig von der the same validity for all, regardless of the
Form der Geschäfts- oder form taken by a business or administrative
Verwaltungstätigkeit gleichermaßen gültig activity.” 4)
sein.“4)
Compliance-Anforderungen gibt es überall. Sie Compliance requirements are everywhere,
machen vor Landesgrenzen nicht halt. Sie and do not stop at national borders. They af-
betreffen Organisationen ebenso wie Individuen. fect organizations and individuals alike. In a
In einer globalisierten Gesellschaft stellt sich globalized society, problems are increasingly
zunehmend das Problem, dass jedes Land caused by the fact each country has its own
immer noch eigene Gesetze und Regularien für laws and regulations for businesses, pro-
Geschäfte, Prozesse und Transaktionen hat, die cesses, and transactions, which should have
längst harmonisiert sein sollten. Internationalen been harmonized long ago. International
„Gesetzen“ und Regeln kommt daher eine “laws” and rules are therefore more and
immer wichtige Rolle zu, da herkömmliche more important, since traditional borders
Grenzen im Internet keien Bedeutung mehr have no meaning in the Internet.
haben.
International International
Als gutes Beispiel für direkte und indirekte Basel II is a good example of direct and in-
Auswirkungen der Gesetzgebung kann Basel II direct consequences of legislation. Financial
angeführt werden. Finanzdienstleister müssen service providers must retain more own cap-
umso mehr Eigenkapital vorhalten, je höher das ital as the borrower’s risk increases. Al-
Risiko des Kreditnehmers ist. Auch wenn man in though this legislation concerning credit and
Bezug auf die Kreditvergabe und die Dokumen- documentation was intended only for banks,
Kunde: KoelnMesse Projekt: DMS EXPO 2007 Autor: Dr. Ulrich Kampffmeyer public
Thema: Information Management Compliance Topic: Whitepaper Status: fertig
Datei: 5270196.doc Datum: 20.09.2007 Version: 1.2
Seite 6 von 40
© PROJECT CONSULT GmbH 2008
Information Management Compliance
tationspflichten hier zunächst nur an die Banken Basel II has substantial effects on all com-
denkt, hat Basel II auch erhebliche panies.
Auswirkungen auf alle Unternehmen.
Mit Basel II wird die Neugestaltung der Basel II refers to the reformation of own
Eigenkapitalvorschriften der Kreditinstitute capital requirements for banks and credit in-
bezeichnet. stitutes.
Ziel von Basel II ist es, die Stabilität des The objective of Basel II was to increase the
internationalen Finanzsystems zu erhöhen. Dazu stability of the international finance system.
sollen die Risiken im Kreditgeschäft besser The idea is to evaluate risks in the credit
erfasst und die Eigenkapitalvorsorge der business better, and bring lender capital
Kreditinstitute risikogerechter ausgestaltet overage more into line with risk. 5)
werden. 5)
Basel II hat eine Vielzahl von Auflagen für die Basel II brought with it a great number of
Dokumentation nach sich gezogen, die in einer rules for documentation, which in a digital
elektronischen Welt nur mit world can only by followed using information
Informationsmanagementlösungen vollzogen management solutions.
werden können.
4)
Ulrich Kampffmeyer, Marcus Evans Conference „Content 4)
Ulrich Kampffmeyer, Marcus Evans Conference „Content
Management – The driving factor for successful eBusiness”, Management – The driving factor for successful eBusi-
Berlin, 2001 ness”, Berlin, 2001
5)
Wirtschaftswiki, Definition Basel II, 2005 5)
Wirtschaftswiki (German), Definition of the term „Basel
II“, 2005
USA USA
In den USA gab es schon sehr lange In the US there have long been compliance
Compliance-Anforderungen an Softwaresysteme requirements for software systems and busi-
und die Dokumentation von ness process documentation.
Geschäftsprozessen.
Am bekanntesten und am engsten mit dem The most well-known of these, and most
Begriff Compliance ist jedoch der Sarbanes closely associated with the term compliance,
Oxley Act verknüpft. is the Sarbanes Oxley Act.
Kunde: KoelnMesse Projekt: DMS EXPO 2007 Autor: Dr. Ulrich Kampffmeyer public
Thema: Information Management Compliance Topic: Whitepaper Status: fertig
Datei: 5270196.doc Datum: 20.09.2007 Version: 1.2
Seite 7 von 40
© PROJECT CONSULT Unternehmensberatung GmbH 2008
Information Management Compliance
SOA hat die Aufgabe, die Transparenz und SOA is intended to improve the transparency
Nachvollziehbarkeit in den Unternehmen bei and auditability of companies’ dealings in
Prüfungen durch die SEC, Securities und audits by the SEC, the Securities und Ex-
Exchange Commission, zu verbessern. change Commission.
Unternehmen werden verpflichtet, u. a. ein Among other things, it requires that compan-
internes Kontrollsystem für die Rechnungs- ies maintain an internal monitoring system
legung zu unterhalten, die Wirksamkeit der for accounting, that they evaluate the effect-
Systeme zu beurteilen und die Richtigkeit der iveness of their systems, and that they certi-
Jahres- und Quartalsberichte beglaubigen zu fy quarterly and annual reports. 6)
lassen. 6)
SOA hat in den USA besonders auf Grund von In the US, SOA is important especially be-
Abschnitt 802 Bedeutung erlangt, weil hier cause of Section 802, which mandates
empfindliche Strafen in der Strafgesetzgebung severe penalties of up to 20 years imprison-
verankert worden sind. Die Zerstörung oder ment for the destruction or alteration of doc-
Veränderung von aufbewahrungspflichtigen umentation that is required to be kept un-
Unterlagen kann mit bis zu 20 Jahren Gefängnis altered.
bestraft werden.
Besonders die Wirtschaftsprüfer legen in ihrer Auditors in particular now attach great im-
Beratung nunmehr sehr viel Wert auf portance to compliance, since the scandals
Compliance, da im Rahmen der Skandale große, caused the disappearance of formerly large,
namhafte Wirtschaftsberatungsfirmen wie well-regarded auditing firms like Andersen.
Andersen vom Markt verschwanden.
6)
USA, SOA Sarbanes-Oxley Act of 2002 (häufig auch als SOX 6)
SOA Sarbanes-Oxley Act of 2002
abgekürzt)
e-Discovery e-discovery
Die in den USA am 1. Dezember 2006 in Kraft The changes to the FRCP or Federal Rules
getretenen Änderungen der FRCP Federal Rules of of Civil Procedure7) that came into force on
Civil Procedure7) können als signifikanter December 1, 2006 are a significant turning
Wendepunkt von den herkömmlichen point in the change of focus from conven-
papierbasierten hin zu elektronischen tional paper-based to digital evidence. The
Beweisführungsregeln gesehen werden. Die Supreme Court underlined the growing im-
wachsende Bedeutung von elektronisch portance of digitally preserved information.
gespeicherten Daten wurde somit auch durch den
obersten Gerichtshof unterstrichen.
Electronic discovery, auch e-discovery oder Electronic discovery, also termed e-discov-
eDiscovery, bezieht sich dabei auf jeden Prozess ery oder eDiscovery, refers to any process
bei dem elektronische Daten abgefragt, gefunden, in which electronic data is referenced,
gesichert und gesucht werden, mit dem Ziel, sie found, saved, or searched, with the object-
bei einem Gerichtsverfahren zu verwenden. Dabei ive of using it in court. Any data can serve
können sämtliche Daten, wie z.B. Texte, Bilder, as evidence, including text, images, data-
Datenbanken, Audio-Dateien, Animationen, bases, audio files, animations, websites,
Webseiten und Programme als Beweis dienen. Die and software. But frequently, e-mail is the
wertvollsten Quellen für strafrechtliche oder zivile most important source of evidence in crim-
Gerichtsverfahren stellen aber oft E-Mails dar. inal and civil cases.
Nachdem mit Sarbanes-Oxley bereits die After Sarbanes-Oxley had already boosted
elektronische Information vor Gericht aufgewertet the importance of digital information in a
worden war schafft eDiscovery nun die rechtliche court of law, eDiscovery created the legal
Grundlage für die Anerkennung elektronsicher basis for recognizing digital information in
Kunde: KoelnMesse Projekt: DMS EXPO 2007 Autor: Dr. Ulrich Kampffmeyer public
Thema: Information Management Compliance Topic: Whitepaper Status: fertig
Datei: 5270196.doc Datum: 20.09.2007 Version: 1.2
Seite 8 von 40
© PROJECT CONSULT GmbH 2008
Information Management Compliance
Informationen in Gerichtsverfahren. Alle Formen court. All forms of digital information, not
von elektronischen Informationen, nicht nur als just documents defined as records, are ad-
Record definierte Dokumente, können als missible as evidence. Unlike in Europe and
Beweismittel vorgebracht werden. Anders als in Germany in particular, the presence or ab-
Europa und besonders in Deutschland spielt die sence of an electronic signature is of no
elektronische Signatur dabei keine Rolle. Bei der consequence. The only thing that matters
Ermittlung gilt das als gültig, was von den is what the investigators uncover. Formerly,
ermittelnden Behörden vorgefunden wurde. Bei only paper documents were considered to
der Beweissicherung galten bisher nur be firm proof. The possibilities opened up
Papierdokumente als sicherer Nachweis. Durch by electronic research will now change this.
die Möglichkeiten der elektronischen Recherche
dürfte sich dies ändern.
eDiscovery wird nicht nur die sichere, eDiscovery will not only promote the se-
unveränderbare Speicherung von Informationen cure, edit-proof archiving or preservation of
fördern sondern mehr noch den Schutz des information, but also access protection and
Zugriffs und andere Sicherheitsaspekte. Policies other security aspects. Policies for the con-
zur kontrollierten Entsorgung von Information trolled disposal of information will grow in
werden dabei zunehmend wichtiger. importance.
Es sind aber nicht allein SOA und FRCP, die den But it is not just SOA and FRCP that have
Druck in bezug auf umfassende increased the pressure on documentation
Dokumentationsanforderungen im Umfeld der in the context of tax audits.
Steuerprüfung und Steuerfahndung erhöht haben.
Aus den CFR Code of Federal Regulations8) lassen Many other requirements for specific indus-
sich inzwischen eine Vielzahl weiterer tries and business activities can now be de-
Anforderungen für spezielle Branchen und rived from the CFR or Code of Federal Reg-
Geschäftstätigkeiten ableiten. ulations8).
7) 7)
United States Supreme Court, Federal Rules of Civil Procedure, United States Supreme Court, Federal Rules of Civil Proced-
Bundesrichtlinie für zivilrechtliche Verfahren, 2006 ure, 2006
8) National Archives and Records Administration, Code of Federal Regu- 8) National Archives and Records Administration, Code of Fed-
lations. Bundesgrundsätze für Archive eral Regulations.
Ein Beispiel ist der CFR 179), § 240, mit harten For example, CFR 179), sec. 240 strictly reg-
Regularien für Börsenmakler. Die Regeln der US- ulates stockbrokers. SEC 17A-310) and SEC
Börsenaufsicht für Aktien-Broker SEC 17A-310) 17A-4 regulations for stockbrokers define
und SEC 17A-4 definieren exakt, welche exactly what notes and documents must be
Aufzeichnungen und Belege bei einer Transaktion retained for a transaction, and what medi-
aufgehoben und auf welchem Medium sie um they must be stored on.
gespeichert werden müssen.
Ähnliche Regeln für die Finanzwelt hat die The National Association of Securities Deal-
National Association of Securities Dealers ers (NASD)11) has developed similar rules
(NASD)11) entwickelt. NASD 3010 und NASD 3110 for the financial business. For example,
beispielsweise verlangen, dass Broker und NASD 3010 and NASD 3110 require that
Händler externe Transaktionen von registrierten brokers and dealers monitor external trans-
Stellvertretern überwachen. actions via registered representatives.
Eine besondere Bedeutung hat zu dem der Patriot Of special significance is the Patriot Act12),
Act12), der weitgehenden Zugriff auf alle which allows far-reaching access to all in-
Informationen ermöglicht und eine transparente formation, and requires transparent inform-
Informationsbereitstellung fordert. ation provision.
In anderen Bereichen gibt es ebenfalls rechtliche There are also legal and regulatory require-
und regulative Vorgaben wie z.B. HIPAA13) im ments in other areas as well, for example
Krankenhaus- als auch im Versicherungsbereich, HIPAA13) for hospitals and insurers, the
den Tread Act14) mit umfangreichen Tread Act14) with comprehensive require-
Anforderungen zur Produkt-, Qualitäts- und ments concerning product, quality, and
Herstellungsdokumentation oder Regularien der manufacturing documentation, and the reg-
Kunde: KoelnMesse Projekt: DMS EXPO 2007 Autor: Dr. Ulrich Kampffmeyer public
Thema: Information Management Compliance Topic: Whitepaper Status: fertig
Datei: 5270196.doc Datum: 20.09.2007 Version: 1.2
Seite 9 von 40
© PROJECT CONSULT Unternehmensberatung GmbH 2008
Information Management Compliance
EPA, Environmental Protection Agency 15). ulations of the EPA, the Environmental Pro-
tection Agency 15).
Viele dieser Regelwerke beziehen sich auf die neu Many of these regulations cite the new FSG,
gefassten FSG, Federal Sentencing Guidelines16) the Federal Sentencing Guidelines16) of
von 2002, so dass Verstöße mit erheblichen 2002, meaning that infractions can be pun-
Strafen belegt werden können. ished with severity.
Gesetze und Regularien in den USA haben auch Laws and regulations in the US affect com-
Auswirkungen auf Unternehmen im Ausland, panies in other countries, if they are subsi-
wenn sie Tochtergesellschaften oder diaries of US companies or themselves
Muttergesellschaften amerikanischer maintain US subsidiaries, or do certain
Unternehmen sind, oder bestimmte Geschäfte in types of business in the US.
den USA abwickeln.
9)
Compliance Whitepaper, Documentum 2004, S.4 9)
Compliance Whitepaper, Documentum 2004, S.4
10)
Securities and Exchange Commission, Books and Records Re- 10)
Securities and Exchange Commission, Books and Re-
quirements for Brokers and Dealers Under the Securities Ex- cords Requirements for Brokers and Dealers Under the
change Act of 1934, 2003 Securities Exchange Act of 1934, 2003
11)
National Association of Securities Dealers, NASD 3010 und 11)
National Association of Securities Dealers, NASD 3010
NASD 3110 und NASD 3110
12)
U.S. Department of Justice , The Uniting and Strengthening 12)
U.S. Department of Justice , The Uniting and
America by Providing Appropriate Tools Required to Intercept Strengthening America by Providing Appropriate Tools
and Obstruct Terrorism Act of 2001, 2001 (Patriot Act) Required to Intercept and Obstruct Terrorism Act of
13)
United States Department of Health & Human Services, Office 2001, 2001
for Civil Rights, Health Insurance Portability and 13)
United States Department of Health & Human Ser-
Accountability Act, 2003 vices, Office for Civil Rights, Health Insurance Portabil-
14)
National Highway Traffic Safety Administration , Transporta- ity and Accountability Act, 2003
tion Recall Enhancement, Accountability and Documentation 14)
National Highway Traffic Safety Administration ,
Act , 2000 Transportation Recall Enhancement, Accountability and
15)
U.S. Environmental Protection Agency Documentation Act , 2000
16)
United States Sentencing Commission, Federal Sentencing
15)
U.S. Environmental Protection Agency
Guidelines, 2007 (Rechtsprechungsrichtlinie) 16)
United States Sentencing Commission, Federal Sen-
tencing Guidelines, 2007
Europa Europe
Auf europäischer Ebene werden durch die At the European level, the European Com-
Europäische Kommission zahlreiche Richtlinien mission develops many guidelines which the
entwickelt, die von den Mitgliedstaaten in Member States must translate into national
nationales Recht überführt werden müssen. Be- law. The guidelines on e-commerce and
reits durch die Richtlinien zum E-Commerce und electronic signature have already led to a
zur elektronischen Signatur sind eine Reihe von number of compliance requirements. Elec-
Anforderungen für Compliance entstanden. Der tronic business transactions and the switch
elektronische Geschäftsverkehr und die by public administration to electronically
Umstellung der öffentlichen Verwaltung auf supported processes will give rise to further
elektronisch unterstützte Verfahren wird weitere compliance requirements.
Compliance-Anforderungen nach sich ziehen.
Beispiele für europäische Richtlinien mit Some European guidelines have legal char-
Gesetzescharakter, die Bedeutung für die acter and affect the legal validity of digital
Rechtskraft elektronischer Dokumente besitzen documents, as well as documentation re-
und Dokumentationspflichten nach sich ziehen, sponsibilities. Examples are:
sind z.B.:
• „E-Commerce“ • “E-Commerce”
E-Commerce-Richtlinie17), die genau E-commerce guideline17) which specifies
festgelegt, was im elektronischen what is permitted and prohibited in digit-
Geschäftsverkehr erlaubt und verboten ist. al business transactions. Includes proof
Hierzu gehören auch Nachweis- und and documentation responsibilities.
Dokumentationspflichten.
Kunde: KoelnMesse Projekt: DMS EXPO 2007 Autor: Dr. Ulrich Kampffmeyer public
Thema: Information Management Compliance Topic: Whitepaper Status: fertig
Datei: 5270196.doc Datum: 20.09.2007 Version: 1.2
Seite 10 von 40
© PROJECT CONSULT GmbH 2008
Information Management Compliance
• „E-Signatur“ • “E-Signature”
Europäische Richtlinie zur elektronischen European guideline on electronic signa-
Signatur18). Der Einsatz der elektronischen tures18), which replace paper signatures
Signatur ersetzt unter bestimmten under certain conditions. The e-signature
Voraussetzungen das Papier. Die elektronische is therefore included in numerous com-
Signatur ist daher Bestandteil zahlreicher pliance rules and regulations.
Compliance-Regelungen.
Zahlreiche andere Richtlinien der Europäischen Many other guidelines of the European
Kommission haben ebenfalls Compliance- und Commission have also given rise to compli-
Dokumentationspflichten nach sich gezogen. Die ance and documentation requirements.
größte Wirkung entwickelt jedoch zur Zeit die However, the so-called 8th Directive cur-
sogenannte 8. Direktive. rently has the greatest effect.
8. EU-Richtlinie 8th EU Directive
Die 8. Direktive setzt Standard für The 8 Directive sets the standard for the
th
17)
EU-Parlament, Richtlinie 2000/31/EG, 2000 17)
European Parliament, Directive 2000/31/EG, 2000
18)
EU-Parlament und Rat, Richtlinie 1999/93/EG, 2000 18)
European Parliament and Assembly, Directive
19)
EU-Parlament und Rat, Richtlinie 2006/43/ EG, 2006 1999/93/EG, 2000
19)
European Parliament and Assembly, Directive
2006/43/ EG, 2006
Deutschland Germany
In Deutschland wird der Begriff „Compliance“ In the Germany the term “compliance” is still
zwar noch selten verwendet, doch die seldom used, but the requirements have
Anforderungen gibt es schon längst. Auch in been in place for a while. Laws such as BG-
Deutschland werden die Gesetze, wie BGB20), B20), ZPO21) or HGB22) are more and more
ZPO21) oder HGB22), immer mehr den conformant with the requirements of the in-
Anforderungen der Informationsgesellschaft formation age, and EU guidelines are being
angepasst sowie Richtlinien der Europäischen implemented in national legislation.
Kommision in nationales Recht übertragen.
In diesem Umfeld kommt der elektronischen In this context the electronic signature is
Signatur eine besondere Bedeutung zu. Der gaining importance, and is now required by
Einsatz der elektronischen Signatur findet sich almost all recent legislation. Thus, for ex-
inzwischen in nahezu allen neueren Gesetzen. So ample with digital invoices payers are al-
z.B. auch bei der elektronischen Rechnung. Zum lowed pretax deduction only with e-signed
Vorsteuerabzug berechtigen den Empfänger nach invoices. Since the e-invoice constitutes the
§ 14 Abs. 4 Satz 2 UStG nur elektronisch original, it must be stored electronically.
signierte Rechnungen. Da die elektronische Here, new laws and regulations interact, and
Rechnung das Original darstellt, ist es auch the signature law and changes to the BGB
elektronisch aufzubewahren. Hier greifen die (German Civil Code) and ZPO (German Code
verschiedenen neuen Gesetze und Regelungen of Civil Procedure) mandating the electronic
Kunde: KoelnMesse Projekt: DMS EXPO 2007 Autor: Dr. Ulrich Kampffmeyer public
Thema: Information Management Compliance Topic: Whitepaper Status: fertig
Datei: 5270196.doc Datum: 20.09.2007 Version: 1.2
Seite 11 von 40
© PROJECT CONSULT Unternehmensberatung GmbH 2008
Information Management Compliance
ineinander. Das Signaturgesetz und die Änder- signature are reflected in trade and tax law.
ungen von BGB Bürgerlichem Gesetzbuch und
ZPO Zivilprozessordnung zur Verankerung der
elektronischen Signatur finden ihren Widerhall in
der Handels- und Steuergesetzgebung.
Aktuelle Beispiele sind das EHUG und die Current examples are the EHUG and the ex-
Erweiterung des Anwendungsbereiches der tension of the application area of the GDPdU
GDPdU durch aktuelle Gerichtsurteile. In eine (German Data Access and Digital Signature
ähnliche Kerbe wie die GDPdU schlägt auch das Authentication Law) by recent court de-
Gesetz zu den Dokumentationspflichten bei cisions. The GAUFZ 23) is in a similar vein, but
Verrechnungspreisen. die unlike the GDPdU it is enforced by criminal
Gewinnabgrenzungsaufzeichnungsverordnung penalties.
(GAUFZ)23), die anders als die GDPdU bereits
direkt strafbewehrt ist.
EHUG und E-Mail-Management “EHUG” and E-Mail Management
Das bundesweite Elektronische Handels- und The national electronic commercial and com-
Genossenschaftsregister (EHUG)24), welches am 1. pany registry (EHUG)24), which came into
Januar 2007 in Kraft getreten ist, stellt eine force January 1, 2007, is a digital version of
digitale Version des Handelsregisters dar. the commercial registry. Corporations are re-
Kapitalgesellschaften sind verpflichtet, ihre quired to submit their accounts to the elec-
Abschlüsse beim elektronischen Bundesanzeiger tronic Federal Bulletin. Failure to comply is
einzureichen. Verstöße gegen die punishable by a fine of up to 25,000 Euros
Offenlegungspflicht werden mit bis zu 25.000 by the government administrative offices
Euro von den Verwaltungsbehörden, welche vom who draw their information from the elec-
elektronischen Bundesanzeiger informiert werden, tronic bulletin.
geahndet.
20)
BGB Bürgerliches Gesetzbuch, §§ 126, 127 20)
BGB, German Civil Code §§ 126, 127
21)
ZPO Zivilprozessordnung, §§ 292a, 286, 130, 371 21)
ZPO, German Code of Civil Procedure §§ 292a, 286,
22)
HGB Handelsgesetzbuch, §§ 239, 257 130, 371
23)
GAUFZ Gewinnabgrenzungsaufzeichnungsverordnung
22)
HGB, German Commercial Law §§ 239, 257
24)
EHUG Elektronisches Handels- und Genossenschaftsregister
23)
GAUFZ, German Regulation on Recording Profit
Accruals
24)
EHUG, German Electronic Commercial and Company
Registry
Das EHUG hat eine Reihe von Änderungen auch The EHUG has caused a series of modifica-
in anderen Gesetzen wie z.B. für GmbHs und tions to other laws relevant for registered
AGs nach sich gezogen. Eine regelung betrifft companies and their responsible managers.
die Angabe der kompletten Firmierungs- und One rule concerns the naming of complete
Verantwortungsangaben in der Signatur von E- company and responsibility information in e-
Mails. Was längst schon galt wird hierdurch jetzt mail signatures. This codifies what every-
jedem deutlich gemacht: E-Mails sind body already knew – that e-mails are busi-
Geschäftsbriefe und sind dementsprechend ness correspondence, and must be archived
aufzubewahren. as such.
Dies hat ein wahren Boom bei der E-Mail-Archi- This has launched a boom in e-mail archiv-
vierung ausgelöst. Dabei wird häufig übersehen, ing, but implementers often overlook the fact
dass E-Mails in einen Geschäftszusammenhang that e-mails belong in a business context,
gehören und nicht isoliert archiviert werden and should not be archived in isolation. They
sollten. Sie müssen zusammen mit anderen need to be preserved together with other
Dokumenten in Kunden-, Sach-, Projekt- oder documents by customer, matter, project, or
anderen Akten gemeinsam verwaltet werden, associated files, so that the completeness
damit die Vollständigkeit und and auditability of the business procedure is
Nachvollziehbarkeit des Geschäftsganges assured.
gewährleistet ist.
Kunde: KoelnMesse Projekt: DMS EXPO 2007 Autor: Dr. Ulrich Kampffmeyer public
Thema: Information Management Compliance Topic: Whitepaper Status: fertig
Datei: 5270196.doc Datum: 20.09.2007 Version: 1.2
Seite 12 von 40
© PROJECT CONSULT GmbH 2008
Information Management Compliance
25)
GDPdU Grundsätze zum Datenzugriff und zur Prüfbarkeit 25)
GDPdU Data Access and Digital Signature Authentica-
digitaler Unterlagen, 2001 tion law, 2001
Kunde: KoelnMesse Projekt: DMS EXPO 2007 Autor: Dr. Ulrich Kampffmeyer public
Thema: Information Management Compliance Topic: Whitepaper Status: fertig
Datei: 5270196.doc Datum: 20.09.2007 Version: 1.2
Seite 13 von 40
© PROJECT CONSULT Unternehmensberatung GmbH 2008
Information Management Compliance
Bereits in einer Reihe von Verfahren vor Interpretation of GDPdU has already been a
Finanzgerichten war die Auslegung der GDPdU ein topic of debate in a number of Finance
Thema. Während frühere Urteile der Court cases. While 2006 verdicts of the Fin-
Finanzgerichte Rheinland-Pfalz und Hamburg aus ance Courts of the states of Rhineland-
dem Jahr 2006 das Recht auf Datenzugriff noch Palatinate and Hamburg limited the right to
an vielen Stellen eingeschränkt und damit den data access at many points and thus sup-
Steuerpflichtigen unterstützt haben, weisen die ported the taxpayer, the verdicts of the
Urteile der Düsseldorfer Fi-nanzrichter nun in eine Düsseldorf Finance Court go in a different
andere Richtung. Beide Entscheidungen vom 5. direction. Both verdicts of February 5, 2007
Februar 2007 beschäftigen sich im Kern mit der ultimately involve the scope of data access,
Reichweite des Datenzugriffs, also mit dem i.e. how far a digital audit can go, and in-
Umfang, welcher einer digitalen Betriebsprüfung terpret this in a way that goes beyond the
zu Grunde zu legen ist und interpretieren diesen previous interpretation of the literature and
in einer Art, welche über das bisherige official usage. In doing this, the judges
Verständnis von Literatur und Verwaltung made some individual definitions of GDPdU
hinausgeht. Dazu haben die Richter teilweise terminology, thereby opening up new
eigenständige Definition von GDPdU-Begriffl- points for discussion.
ichkeiten vorgenommen und damit neue
Diskussionspunkte eröffnet.
Steuerrelevanz versus Steuerauswirkung: Tax-relevance vs. tax effect:
Die Finanzbehörde darf im Rahmen des Tax authorities can, within the framework
steuerlichen Datenzugriffs auch auf solche Konten of tax data access, access accounts of com-
der handelsrechtlichen Finanzbuchhaltung mercial-law bookkeeping that record non-
zugreifen, auf denen steuerlich nicht abzugsfähige tax-deductible business expenses. Per Sec.
Betriebsausgaben verbucht werden. Auf der 147 para. 1 through 6 of the Tax Procedure
Grundlage des § 147 Abs. 1 i. V. m. Abs. 6 AO Act (AO), tax authorities may, for the pur-
darf die Finanzverwaltung für Zwecke der poses of tax auditing, access only such
steuerlichen Außenprüfung ausschließlich auf data as is relevant to tax assessment.
Daten zugreifen, die für die Besteuerung von Companies affected by data access have
Bedeutung sind. Die vom Datenzugriff betroffenen therefore always tried to limit the digital
Unternehmen sind deshalb seit jeher darauf search scope of auditors to data records to
bedacht, das digitale Suchfeld des Betriebsprüfers which this right to data access applies. The
auf solche Datenbestände zu begrenzen, die vom Düsseldorf Finance Court supported the
Sinn und Zweck des Rechts auf Datenzugriff view of the tax office, and had no serious
gedeckt sind. Das Finanzgericht Düsseldorf gab doubts as to the legality of data access to
der Auffassung des Finanzamts Recht und sah such formerly closed accounts. The digital
keine ernstlichen Zweifel an der Rechtmäßigkeit account entries in question were “books” in
des Datenzugriffs auf die ursprünglich gesperrten the sense of Sec. 147 para. 1 no. 1 of the
Konten. Bei den fraglichen digitalen Tax Procedure Act, which – based on com-
Kontoaufzeichnungen handele es sich um mercial law – fulfill the function of docu-
„Bücher“ i.S.d. § 147 Abs. 1 Nr. 1 AO, die – menting a businessperson’s commercial
anknüpfend an das Handelsrecht – die Funktion business and the position of his company.
erfüllen, für einen Kaufmann seine The tax relevance required by GDPdU can-
Handelsgeschäfte und die Lage seines not be made equivalent to the tax con-
Unternehmens zu dokumentieren. Die im Rahmen sequence, as claimed by the company in-
der GDPdU geforderte steuerliche Relevanz kann volved in the case. Further, the own tax rel-
nicht mit der vom betroffenen Unternehmen evance is always based on the extent to
angeführten steuerlichen Auswirkung which the documents in question are relev-
gleichgesetzt werden. Dabei habe sich die ant to the accounts and therefore to under-
eigentliche Steuerrelevanz stets auch daran zu standing them.26)
orientieren, inwieweit die in Frage kommenden
Unterlagen einen Bezug zur Buchführung
aufwiesen und mithin zu deren Verständnis
erforderlich seien. 26)
26)
PROJECT CONSULT, Newsletter 20070720, 2007 26)
PROJECT CONSULT, Newsletter 20070720, 2007
Kunde: KoelnMesse Projekt: DMS EXPO 2007 Autor: Dr. Ulrich Kampffmeyer public
Thema: Information Management Compliance Topic: Whitepaper Status: fertig
Datei: 5270196.doc Datum: 20.09.2007 Version: 1.2
Seite 14 von 40
© PROJECT CONSULT GmbH 2008
Information Management Compliance
27)
PROJECT CONSULT, Newsletter 20070720, 2007 27)
PROJECT CONSULT, Newsletter 20070720, 2007
Kunde: KoelnMesse Projekt: DMS EXPO 2007 Autor: Dr. Ulrich Kampffmeyer public
Thema: Information Management Compliance Topic: Whitepaper Status: fertig
Datei: 5270196.doc Datum: 20.09.2007 Version: 1.2
Seite 15 von 40
© PROJECT CONSULT Unternehmensberatung GmbH 2008
Information Management Compliance
• Nachvollziehbarkeit • Traceability
28)
GoBS Grundsätze ordnungsmäßiger DV-gestützter 28)
GoBS, Basic Regulations for DP-supported Accounting
Kunde: KoelnMesse Projekt: DMS EXPO 2007 Autor: Dr. Ulrich Kampffmeyer public
Thema: Information Management Compliance Topic: Whitepaper Status: fertig
Datei: 5270196.doc Datum: 20.09.2007 Version: 1.2
Seite 16 von 40
© PROJECT CONSULT GmbH 2008
Information Management Compliance
32)
UGB Unternehmensgesetzbuch, 2007 32)
UGB Business Code, 2007
33)
MedG Mediengesetz, 2005 33)
MedG Media Law, 2005
Kunde: KoelnMesse Projekt: DMS EXPO 2007 Autor: Dr. Ulrich Kampffmeyer public
Thema: Information Management Compliance Topic: Whitepaper Status: fertig
Datei: 5270196.doc Datum: 20.09.2007 Version: 1.2
Seite 17 von 40
© PROJECT CONSULT Unternehmensberatung GmbH 2008
Information Management Compliance
Selbst die Schweiz hat als nicht EU-Mitglied Switzerland, while not in the EU, has also
inzwischen die wesentlichen Gesetze und aligned its laws and regulations with the EU
Verordnungen an die europäischen Vorgaben step by step. This is evident in the Code of
schrittweise angeglichen. Dies zeigt sich z.B. im Obligations in the rules for accounting, OR
Obligationenrecht in den Bestimmungen über die Art. 957ff, which regulate the retention of
Buchführung OR Art. 957ff, die die Aufbewahrung business correspondence, accounts, and ac-
von Geschäftskorrespondenz, der Bücher und der counting records in digital form.
Buchungsbelege in elektronischer Form regeln.
Ein wesentliches Dokument ist die GeBüV34), The GeBüV34), the law governing the main-
Geschäftsbücherverordnung bzw. die Verordnung tenance and retention of accounts, is a key
über die Führung und Aufbewahrung der document.
Geschäftsbücher.
• Die GeBüV legt fest, wie die • The GeBüV mandates which business
Geschäftsunterlagen geführt und aufbewahrt documents must be kept and retained.
werden müssen
• Die GeBüV beinhaltet die Grundsätze der • The GeBüV contains the principles of or-
ordnungsgemässen Buchführung sowie die derly accounting and data processing of
Grundsätze der ordnungsgemässen digital or similarly kept accounts.
Datenverarbeitung bei elektronisch oder in
vergleichbarer Weise geführten Büchern
• Die GeBüV hält die Anforderungen an • The GeBüV contains requirements con-
Integrität, zulässige unveränderbare cerning data integrity, permissible edit-
Speichermedien und andere Spezfikationen proof storage media, and other coompli-
mit Compliance-Relevanz fest ance-relevant specifications.
Weitere Gesetze regeln sehr dediziert und mit Other dedicated laws regulate documenta-
Hinweisen auf geeignete tion custodyworthiness and retention peri-
Speichertechnologien und elektronische ods, and refer to suitable storage technolo-
Signatur die Dokumentations- und gies and to electronic signatures, including
Aufbewahrugnspflichten auch außerhalb des outside the context of commercial law.
Handelsrechtes.
Angesichts des Zusammenwachsens der As the European Union member states be-
europäischen Union und ihrer Mitglieds- come more tightly integrated, the growth of
staaten wird durch den grenzüber- cross-border business and electronic ser-
schreitenden Geschäftsverkehr und über das vices over the Internet makes a uniform leg-
Internet abrufbare elektronische Dienst- al space indispensable, particularly as con-
leistungen ein einheitlicher Rechtsraum cerns commercial and tax law. Accordingly,
insbesondere im Handels- und Steuerrecht the resulting compliance requirements are
unerlässlich. Dementsprechend werden sich becoming ever more similar across Europe.
auch die daraus abgeleiteten Compliance-
Anforderungen immer einheitlicher und
europaweit ausgreifender gestalten.
Kunde: KoelnMesse Projekt: DMS EXPO 2007 Autor: Dr. Ulrich Kampffmeyer public
Thema: Information Management Compliance Topic: Whitepaper Status: fertig
Datei: 5270196.doc Datum: 20.09.2007 Version: 1.2
Seite 18 von 40
© PROJECT CONSULT GmbH 2008
Information Management Compliance
34)
Verordnung über die Führung und Aufbewahrung der 34)
GeBüV law governing the maintenance and retention of
Geschäftsbücher (GeBüV Geschäftsbücherverordnung) accounts
35)
U.S. Food and Drug Administration 35)
U.S. Food and Drug Administration
36)
U.S. Food and Drug Administration, Federal Register Part II, 36)
U.S. Food and Drug Administration, Federal Register
21 CFR Part 11; allgemein als “FDA-Richtlinie” bekannt Part II, 21 CFR Part 11
37)
U.S. Food and Drug Administration , Current Good Manufac- 37)
U.S. Food and Drug Administration , Current Good
turing Practices Manufacturing Practices
38)
Zusammenstellung der “guten Arbeitspraxis” für die 38)
Compilation of “Good practices” containing GLP, GSP,
Kunde: KoelnMesse Projekt: DMS EXPO 2007 Autor: Dr. Ulrich Kampffmeyer public
Thema: Information Management Compliance Topic: Whitepaper Status: fertig
Datei: 5270196.doc Datum: 20.09.2007 Version: 1.2
Seite 19 von 40
© PROJECT CONSULT Unternehmensberatung GmbH 2008
Information Management Compliance
Aus den USA kommt auch der defacto Standard The de-facto standard for records manage-
für das Records Management: DoD 5015.241) im ment comes from the US, DOD 5015.241) for
militärischen Umfeld. Der Standard des military contexts. This Department of De-
Departement of Defense definiert die fense standard defines the basic require-
grundsätzlichen Anforderungen an Dokumenten- ments for document and records manage-
Management und Records-Management-Systeme. ment systems. This standard must be ad-
Die Einhaltung der Standards ist für alle hered to by all manufacturers hoping to sell
Hersteller erforderlich, die für die Bundes- to the US government in military and quasi-
verwaltung in den USA im militärischen und military areas.
angrenzenden Bereich anbieten wollen.
Ein Beispiel für einen detaillierten Standard für The German DOMEA concept42) is a good ex-
den Einsatz elektronischer ample of a detailed standard for digital pro-
Vorgangsbearbeittungssysteme ist das deutsche cess management systems. DOMEA dis-
DOMEA-Konzept42) DOMEA beschreibt die cribes the requirements for document man-
Anforderungen an das Dokumentenmanagement agement and electronic archiving in public
und elektronische Archivierung in der öffentlichen administration, and permits the testing and
Verwaltung und ermöglicht auch die Prüfung und certification of products in this area. DOMEA
Zertifizierung von etsprechenden Produkten. compliance is a requirement in many RFPs.
DOMEA-Compliance ist bei vielen The fundamental objective of DOMEA is the
Ausschreibungen eine Anforderung. Wesentliches introduction of the virtual folder. Since the
Ziel des DOMEA-Konzeptes ist die Einführung der same laws, business regulations, guidelines,
elektronischen Akte. Da für diese die gleichen and requirements exist for these as for pa-
Gesetze, Geschäftsordnungen, Richtlinien und per folders, official processes, procedures,
Vorschriften wie für Papierakten gelten, müssen and archiving must be transferred to fully
behördliche Geschäftsprozesse, conformant IT processes. The DOMEA
Vorgangsbearbeitung und Archivierung concept supplies guidelines for this, but des-
vollständig in konforme IT-Prozesse überführt pite its widespread use and certificability, it
werden. Das DOMEA-Konzept liefert dafür is not an official standard.
Richtlinien, ist aber trotz seiner weiten
Verbreitung und der Möglichkeit der Zertifizierung
kein genormter Standard.
Kunde: KoelnMesse Projekt: DMS EXPO 2007 Autor: Dr. Ulrich Kampffmeyer public
Thema: Information Management Compliance Topic: Whitepaper Status: fertig
Datei: 5270196.doc Datum: 20.09.2007 Version: 1.2
Seite 20 von 40
© PROJECT CONSULT GmbH 2008
Information Management Compliance
41)
Department of Defense, Electronic records management soft- 41)
Department of Defense, Electronic records manage-
ware applications design criteria standard, 2007, allgemein ment software applications design criteria standard,
als DoD 5015.2 bekannt 2007, generically referred to as DoD 5015.2
42)
DOMEA Dokumenten-Management und elektronische 42)
DOMEA document management and electronic archiv-
Archivierung. Aktuell DOMEA Version 2 ing. Current Version is DOMEA Version 2
• Die Europäische Kommission hat im Jahr • In 2004 the European Commission cre-
2004 ein European Corporate Governance ated a European Corporate Governance
Forum45) als Beratungsgremium eingerichtet, Forum45) as an advisory body, which
ohne jedoch bisher eine verbindliche however has not resulted in a binding
Richtlinie herauszugeben. guideline as yet.
Kunde: KoelnMesse Projekt: DMS EXPO 2007 Autor: Dr. Ulrich Kampffmeyer public
Thema: Information Management Compliance Topic: Whitepaper Status: fertig
Datei: 5270196.doc Datum: 20.09.2007 Version: 1.2
Seite 21 von 40
© PROJECT CONSULT Unternehmensberatung GmbH 2008
Information Management Compliance
43)
Ulrich Kampffmeyer, IMC Information Management 43)
Ulrich Kampffmeyer, IMC Information Management
Compliance Policies und ihre Umsetzung. 2006 Compliance Policies und ihre Umsetzung. 2006
44)
OECD Principles of Corporate Governance, 2004 44)
OECD Principles of Corporate Governance, 2004
45)
Europäische Kommission, European Corporate Governance 45)
European Commission, European Corporate
Forum, 2004 Governance Forum, 2004
46)
DCGK Deutscher Corporate Governance Kodex, 2002 46)
DCGK German Corporate Governance Code, 2002
• In Österreich gibt es den ÖCGK • In Austria there is the ÖCGK, the Austri-
Österreichischen Corporate Governance an Corporate Governance Code, pub-
Kodex, der im Jahr 2002 veröffentlicht lished in 2002. This follows international
wurde und sich an den internationalen precedents.
Vorgaben orientiert.
• In der Schweiz gibt es nur einen freiwilligen • In Switzerland there is only a volutary
Swiss Code of Best Practice aus dem Jahr Swiss Code of Best Practice from 2002.
2002.
Compliance und Information Management Com- Compliance and information management
pliance müssen in der Corporate Governance compliance must be anchored in corporate
verankert sein. Corporate Governance und governance. Corporate governance and com-
Compliance müssen auch die Umsetzung von pliance must take into account the imple-
Prozessen und die Aufbewahrung von mentation of processes and retention of doc-
Dokumenten berücksichtigen und uments, create requirements for IT
entsprechende Vorgaben für die IT-Strategie strategies, and monitor their implementa-
machen und deren Umsetzung überprüfen. tion.
Kunde: KoelnMesse Projekt: DMS EXPO 2007 Autor: Dr. Ulrich Kampffmeyer public
Thema: Information Management Compliance Topic: Whitepaper Status: fertig
Datei: 5270196.doc Datum: 20.09.2007 Version: 1.2
Seite 22 von 40
© PROJECT CONSULT GmbH 2008
Information Management Compliance
• Zu den technischen Risiken gehören die • Technological risks include system avail-
Verfügbarkeit der Systeme, der Schutz vor ability, protection from unauthorized use
unberechtigter Nutzung oder Löschung von or deletion of data, restarting and recov-
Daten, Wiederanlauf und Recovery, ery, correctness of data, backup and
Richtigkeit der Daten, Backup und catastrophe protection, access, consist-
Katastrophenschutz, Zugang, Konsistenz ency and integrity of data, software com-
und Integrität der Datenbestände, patibility, virus protection, transaction
Kompatibilität der eingesetzten security, protection from downtime, sys-
Softwarestände, Virenschutz, tem design, data protection, data secur-
Transaktionssicherheit, Ausfallsicherheit und ity, and the fault-free running of soft-
Systemauslegung, Datenschutz und ware.
Datensicherheit sowie die fehlerfreie
Ablauffähigkeit der Softwaresysteme.
Kunde: KoelnMesse Projekt: DMS EXPO 2007 Autor: Dr. Ulrich Kampffmeyer public
Thema: Information Management Compliance Topic: Whitepaper Status: fertig
Datei: 5270196.doc Datum: 20.09.2007 Version: 1.2
Seite 23 von 40
© PROJECT CONSULT Unternehmensberatung GmbH 2008
Information Management Compliance
Information Management
Compliance Policy
4 Information Management
Compliance Policy
„Policies und Richtlinien haben nur dann “Policies and guidelines are useful only
einen Nutzen, wenn sie nachgehalten und when they are followed. Electronic systems
befolgt werden. Elektronische Systeme can be an effective aid here, and document
können hierbei effektiv unterstützen und the auditability of business processes bet-
die Nachvollziehbarkeit von ter than any person ever could.” 47)
Geschäftsgängen besser dokumentieren als
dies je ein Mensch könnte.“ 47)
Basis für die Planung, Durchführung und An information management compliance policy
kontinuierliche Umsetzung von Information provides the basis for planning, implementing,
Compliance Management (IMC) im and maintaining information compliance man-
Unternehmen ist eine so genannte Information agement. The policy should comprise four key
Compliance Policy. Die Inhalte einer solchen points:
Richtlinie und ihrer Umsetzung kann man in
vier Punkten zusammenfassen:
1. Policy 1. Policy
Grundregeln und Verhaltensweisen für den The information management compliance
Umgang mit Prozessen und Informationen, policy contains basic rules for processes
die sich in der Information Management and information handling. It allocates re-
Compliance Policy niederschlagen. Dies sponsibility, and makes company manage-
schließt das Bewusstmachen, die ment aware of the importance of compli-
Zuordnung der Verantwortung und die ance. Company management is respons-
Verankerung der Policy im Management ible not just for abiding by the rules, but
der Organisation ein. Das Management also for setting a good example in the
trägt hier nicht nur die eigene company as a whole.
Verantwortung für die Einhaltung der
Regelwerke, sondern auch für die
Umsetzung im Unternehmen mit
Vorbildfunktion.
2. Delegation 2. Delegation
Zuordnung von Verantwortlichkeiten und The assignment of responsibility and ap-
entsprechende Ausbildung auf den propriate training at operational levels
nachgeordneten Ebenen, die allen should make all involved aware of the im-
Betroffenen die Bedeutung von Compli- portance of compliance rules. This finds ex-
ance-Regeln deutlich macht. Dies schlägt pression in work processes, workplace de-
sich auch in den Arbeitsprozessen, scriptions, contracts, and work instructions.
Arbeitsplatzbeschreibungen, Verträgen und Compliance must be consistently imple-
Arbeitsanweisungen nieder. Auf den mented at all levels of an organization, as
verschiedenen Ebenen einer Organisation appropriate for the job description and area
muss abhängig von Aufgaben und of responsibility of each employee.
Kunde: KoelnMesse Projekt: DMS EXPO 2007 Autor: Dr. Ulrich Kampffmeyer public
Thema: Information Management Compliance Topic: Whitepaper Status: fertig
Datei: 5270196.doc Datum: 20.09.2007 Version: 1.2
Seite 24 von 40
© PROJECT CONSULT GmbH 2008
Information Management Compliance
47)
Ulrich Kampffmeyer, “Rechtsänderungen im IT-Umfeld – 47)
Ulrich Kampffmeyer, “Rechtsänderungen im IT-Umfeld –
Anforderungen an elektronische Archivsysteme“, Anforderungen an elektronische Archivsysteme“,
EUROFORUM, 2002 EUROFORUM, 2002
3. Nachhaltung 3. Follow-through
Die Einhaltung der Regeln muss regel- Adherence to the rules must be monitored
mäßig überprüft werden. Hierzu gehören regularly. This includes quality assurance
z.B. Qualitätssicherungsprogramme programs as well as audits, focusing on
ebenso wie Audits. Hierbei ist auf eine continuous improvement of processes and
ständige Verbesserung der Prozesse und tracing documentation on the actions
auf die Nachführung der Dokumentation zu taken.
den durchgeführten Maßnahmen Wert zu
legen.
4. Sichere Systeme 4. Secure systems
Die IT-Systeme müssen den Anforder- IT systems must have sufficient functional-
ungen mit ihrer Funktionalität, Sicherheit ity, security, and availability, and ensure
und Verfügbarkeit genügen und die auditability. Compliance is not just limited
Nachvollziehbarkeit unterstützen. Com- to application functionality and document
pliance beschränkt sich hier nicht nur auf management, but comprises the entire op-
die Anwendungsfunktionalität und das eration of a solutuion.
Dokumentenmanagement, sondern
schließt den gesamten Betrieb der Lösung
ein.
Obwohl Compliance sehr viel mit Dokumenten Although compliance has much to do with doc-
und Dokumentation zu tun, gilt es bei den uments and documentation, it is important to
Anforderungen immer in Prozessen zu denken. always think in terms of processes. The main
Das Hauptproblem von Compliance ist dabei, problem in compliance is that actions start out
dass die Maßnahmen zunächst einmal viel Geld costing too much money and organizational
und organisatorischen Aufwand kosten, ohne effort, without generating any additional rev-
dass hierdurch mehr Geschäft generiert wird. enue. Therefore compliance is usually not pop-
Compliance ist daher den meisten ein ular with management. But when a company
ungeliebtes Kind. Wenn man aber sein is well structured and organized, the resulting
Unternehmen konsequent und strukturiert transparency, auditability, and integral availab-
organisiert, ist durch die Transparenz, die ility of information gives benefits that pay in
Nachvollziehbarkeit und die integre Ver- day-to-day business.
fügbarkeit von Information ein hoher
qualitativer Nutzen gegeben, der sich auch
betriebswirtschaftlich auszahlt.
Kunde: KoelnMesse Projekt: DMS EXPO 2007 Autor: Dr. Ulrich Kampffmeyer public
Thema: Information Management Compliance Topic: Whitepaper Status: fertig
Datei: 5270196.doc Datum: 20.09.2007 Version: 1.2
Seite 25 von 40
© PROJECT CONSULT Unternehmensberatung GmbH 2008
Information Management Compliance
Bei der Erstellung einer Richtlinie sind folgende When drawing up a guideline, the following as-
Aspekte zu berücksichtigen: pects must be born inmind:
• Compliance ist vorrangig ein • Compliance is primarily an organizational
organisatorischer Prozess. Systeme dienen process. Systems merely support the pro-
zur Unterstützung des Prozesses. Sie sind cess, but are not in and of themselves
nicht in sich „compliant“. Zertifikate der compliant. Certificates of proper procedure
Ordnungsmäßigkeit und Compliance- and compliance refer to individual com-
Einhaltung beziehen sich auf das panies and the way they use IT solutions,
indviduelle Unternehmen und den Einsatz not to the solutions themselves.
der Lösungen, nicht auf Produkte.
• Moderne Software kann alle notwendigen • Modern software can record all necessary
Informationen über die Systeme und information on systems and components,
Komponenten sowie deren Nutzung selbst and their use. The future lies with self-
aufzeichnen. Die Zukunft liegt in documenting systems that relieve people
selbstdokumentierenden Systemen, die of the burden of documentation, checking,
den Menschen von der Dokumentation, and follow-through. Recording and evalu-
Überprüfung und Nachhaltung entlasten. ating this information can contravene data
Die Aufzeichnung und Auswertung kann im protection, however.
Widerspruch zu Anforderungen des
Datenschutzes stehen.
• Compliance ist nicht punktuell und nicht • Compliance is neither one-time nor static.
statisch. Compliance muss kontinuierlich Compliance must be continuously lived at
über alle Ebenen, alle Mitarbeiter, alle all levels, by all employees, and in all pro-
Prozesse und alle Systeme des cesses and systems of a company.
Unternehmens gelebt werden.
• Compliance darf nicht nur als lästige, die • Compliance must not be seen as an an-
Geschäftstätigkeit behindernde Aufgabe noying task that gets in the way of busi-
betrachtet werden. Compliance vermeidet ness.
nicht nur Risiken sondern schafft Not only does compliance help prevent
Transparenz im Unternehmen, erlaubt die risk, it also creates transparency in a com-
Erkennung von Potentialen und die pany, helps make potential visible, and
Verbesserung der Organisation und promotes the improvement of organization
Prozesse. Compliance kann so auch zur and processes. Thus, compliance can pro-
Wertsteigerung und Wertschöpfung mote value addition and growth.
eingesetzt werden.
Kunde: KoelnMesse Projekt: DMS EXPO 2007 Autor: Dr. Ulrich Kampffmeyer public
Thema: Information Management Compliance Topic: Whitepaper Status: fertig
Datei: 5270196.doc Datum: 20.09.2007 Version: 1.2
Seite 26 von 40
© PROJECT CONSULT GmbH 2008
Information Management Compliance
Kunde: KoelnMesse Projekt: DMS EXPO 2007 Autor: Dr. Ulrich Kampffmeyer public
Thema: Information Management Compliance Topic: Whitepaper Status: fertig
Datei: 5270196.doc Datum: 20.09.2007 Version: 1.2
Seite 27 von 40
© PROJECT CONSULT Unternehmensberatung GmbH 2008
Information Management Compliance
Kunde: KoelnMesse Projekt: DMS EXPO 2007 Autor: Dr. Ulrich Kampffmeyer public
Thema: Information Management Compliance Topic: Whitepaper Status: fertig
Datei: 5270196.doc Datum: 20.09.2007 Version: 1.2
Seite 28 von 40
© PROJECT CONSULT GmbH 2008
Information Management Compliance
Records Management ist daher eine Basis- This makes records management a basic
komponente für die Abbildung elektronischer, component for the imaging of virtual digital
virtueller Akten und für die elektronische folders and for digital processing of informa-
Vorgangsbearbeitung, die auch diejenigen tion subject to compliance regulations.
Informationen bereitstellen, die Compliance-
Anforderungen unterliegen.
48)
Ulrich Kampffmeyer, „Paradigmenwechsel im Dokumenten- 48)
Ulrich Kampffmeyer, „Paradigmenwechsel im
Management“, DMS EXPO, 1998 Dokumenten-Management“, DMS EXPO, 1998
Records Management nach ISO 15489 Records Management per ISO 15489
Die ISO 15489 Records Management stellt ISO 15489 Records Management presents
Management-Richtlinien zur Unternehmens- management guidelines for company policy
politik und Vorgehensweisen für das Records and procedure for record management, and
Management des Unternehmens auf und dient is a guide for implementing records manage-
als Anleitung zur Implementierung bei der ment systems.
Einführung von Records Management.
Die Norm definiert „Elektronisches Records As defined by the standard records manage-
Management sind die Methoden, Verfahren und ment is the „Field of management respons-
Anwendungen, die zur geordneten Verwaltung, ible for the efficient and systematic control of
Erschließung, Bewahrung, Sicherung und the creation, receipt, maintenance, use and
Aussonderung von elektronischen Informationen disposition of records, including processes
dienen, die Geschäftsvorfälle, Rechtshandlungen for capturing and maintaining evidence of
und die Einhaltung rechtlicher und regulativer and information about business activities and
Vorgaben vollständig, richtig, authentisch, be- transactions in the form of records”.49)
weiskräftig und nachvollziehbar dokumen-
tieren“.49)
Die Grundprinzipien des Records Management The basic principles of record management
sind in zahlreichen nationalen Regelungen der are contained in numerous national regula-
öffentlichen Verwaltung und Archive sowie in tions for public administration and archiving,
einer internationalen Norm niedergelegt. Die as well as in an international standard. ISO
ISO-Norm 15489 gibt in Teil 1 Hilfestellungen 15489 Part 1 helps to:
zum:
• Festlegen, welche Dokumente erzeugt und • Define which documents must be gener-
welche Information in die Dokumente ated and what information included in
eingefügt werden müssen sowie welcher these documents, and what level of ex-
Genauigkeitsgrad erforderlich ist actitude is necessary.
• Entscheiden, in welcher Form und Struktur • Decide on the form and structure in which
Dokumente erzeugt und erfasst werden sollen documents should be generated and cap-
tured.
Kunde: KoelnMesse Projekt: DMS EXPO 2007 Autor: Dr. Ulrich Kampffmeyer public
Thema: Information Management Compliance Topic: Whitepaper Status: fertig
Datei: 5270196.doc Datum: 20.09.2007 Version: 1.2
Seite 29 von 40
© PROJECT CONSULT Unternehmensberatung GmbH 2008
Information Management Compliance
• Festlegen der Anforderungen zum Retrieval • Define the requirements for retrieval and
und Gebrauch von Dokumenten und wie lange use of documents, and how long they need
sie archiviert sein müssen, um diesen to be archived for, in order to meet these
Anforderungen zu genügen requirements.
49)
ISO, ISO Norm 15489 Records Management, 2001 49)
ISO, ISO Standard 15489 Records Management, 2001
(Schriftgutverwaltung)
Kunde: KoelnMesse Projekt: DMS EXPO 2007 Autor: Dr. Ulrich Kampffmeyer public
Thema: Information Management Compliance Topic: Whitepaper Status: fertig
Datei: 5270196.doc Datum: 20.09.2007 Version: 1.2
Seite 30 von 40
© PROJECT CONSULT GmbH 2008
Information Management Compliance
Kunde: KoelnMesse Projekt: DMS EXPO 2007 Autor: Dr. Ulrich Kampffmeyer public
Thema: Information Management Compliance Topic: Whitepaper Status: fertig
Datei: 5270196.doc Datum: 20.09.2007 Version: 1.2
Seite 31 von 40
© PROJECT CONSULT Unternehmensberatung GmbH 2008
Information Management Compliance
Die Komponente Verwaltung sowie Verarbeitung The information administration and pro-
von Information beinhaltet Document cessing components include document man-
Management, Records Management, Business agement, records management, business
Process Management/ Workflow, Web Content process management/workflow, web content
Management und Collaboration. 56) management, and collaboration. 56)
Ein wesentliches Ziel von Enterprise Content One of the key objectives of enterprise con-
Management ist die Sicherstellung der tent management is to ensure adherence to
Einhaltung von Compliance-Anforderungen. compliance requirements. Components such
Komponenten wie elektronische Archivierung, as digital preservation, virtual folders, re-
virtuelle Akten, Records Management und cords management, and process manage-
Process Management sind hierfür die ment are examples of this.
entsprechenden Bestandteile.
Kunde: KoelnMesse Projekt: DMS EXPO 2007 Autor: Dr. Ulrich Kampffmeyer public
Thema: Information Management Compliance Topic: Whitepaper Status: fertig
Datei: 5270196.doc Datum: 20.09.2007 Version: 1.2
Seite 32 von 40
© PROJECT CONSULT GmbH 2008
Information Management Compliance
Information wird mit der Geschäftstätigkeit Information is aligned with business pro-
durch Prozess-Management und Service- cesses through management processes and
leistungen in Zusammenhang mit service levels associated with applications,
Anwendungen, Metadaten, anderen metadata, information and data” 57)
Informationen und Daten koordiniert.“ 57)
Die Compliance-Anforderungen in den USA The compliance requirements in the US are
führten auch zu neuen Trends wie ILM leading to new trends, such as ILM or In-
Information Lifecycle Management. Getrieben formation Lifecycle Management. Driven by
von Hardware- und Speichersoftwareanbietern storage hardware and software vendors,
zielten diese Lösungen besonders auf die these solutions are targeted specifically at
Erfüllung von Compliance-Anforderungen wie compliance regulations such as SOX. There-
SOX. Daher ist auch E-Mail-Archivierung eine fore they include e-mail archiving as a com-
Komponente, die häufig unter der Flagge ILM ponent that often goes under the name ILM.
angeboten wird. Kern ist dabei, dass The take-home is that storage systems are
Speichersysteme um immer mehr being supplemented with more and more
Softwarekomponenten ergänzt werden und in software components and pushing into the
die traditionellen Bereiche von Records traditional preserves of records manage-
Management, Archivierung und Dokumenten- ment, archiving and document management.
management vordringen.
ILM setzt auf herkömmlichen HSM ILM sits on top of traditional hierarchical
Hierarchischem Speichermanagement auf und storage management (HSM) and adds to it
ergänzt dieses um Regeln, Prozesse und nur rules, processes, and write-once storage sys-
einmal beschreibbare Speichersysteme. tems.
56)
AIIM international 2003 56)
AIIM international 2003
57)
The Storage Networking Industry Association (SNIA), ILM 57)
The Storage Networking Industry Association (SNIA),
definition, 2004 ILM definition, 2004
Kunde: KoelnMesse Projekt: DMS EXPO 2007 Autor: Dr. Ulrich Kampffmeyer public
Thema: Information Management Compliance Topic: Whitepaper Status: fertig
Datei: 5270196.doc Datum: 20.09.2007 Version: 1.2
Seite 33 von 40
© PROJECT CONSULT Unternehmensberatung GmbH 2008
Information Management Compliance
Anwendungen zur Verfügung stehen, die users who generate information that needs
Informationen erzeugen, die langzeitig to be retained long-term and securely. In
unverändert und sicher aufbewahrt werden Germany, a distinction is made between
müssen. Man unterscheidet in Deutschland die long-term archiving and auditable archiving:
Begriffe Langzeitarchivierung und
Revisionssichere Archivierung:
58)
Erki Liikanen, EU-Kommissar, DLM Forum 1999 58)
Erki Liikanen, EU- commissioner, DLM Forum 1999
59)
Verband Organisations- und Informationssysteme e. V. 59)
Verband Organisations- und Informationssysteme e. V.
(VOI), Grundsätze der elektronsiche Archivierung, 1997 (VOI), Grundsätze der elektronsiche Archivierung, 1997
60)
Dr. Ulrich Kampffmeyer, PROJECT CONSULT, 1996 60)
Dr. Ulrich Kampffmeyer, PROJECT CONSULT, 1996
Kunde: KoelnMesse Projekt: DMS EXPO 2007 Autor: Dr. Ulrich Kampffmeyer public
Thema: Information Management Compliance Topic: Whitepaper Status: fertig
Datei: 5270196.doc Datum: 20.09.2007 Version: 1.2
Seite 34 von 40
© PROJECT CONSULT GmbH 2008
Information Management Compliance
dabei durch ihre physikalischen Eigenschaften data stored on them and have a much longer
gegen Veränderungen geschützt und boten eine lifetime that the older magnetic storage me-
wesentlich höhere Lebensdauer als die bis dahin dia. Today, this category includes the follow-
bekannten magnetischen Medien. In diese ing types of media:
Kategorie von Speichermedien fallen heute
folgende Typen:
• CD-WORM62): nur einmal selbst • CD-WORM62): Compact discs that allow
beschreibbare Compact Disk Medien recording (writing) just once
• DVD-WORM63): ähnlich wie die CD wird bei • DVD-WORM63): Like with CDs, the DVD
der DVD die Speicheroberfläche irreversibel surface is irreversibly altered during re-
im Medium verändert. cording.
• 5¼“ WORM als UDO64) oder PDD65) • 5¼“ WORM as UDO64) or PDD65)
Bei diesen Medien und Laufwerken handelt These media and drives are traditional
es sich um die traditionelle Technologie, die technologies designed especially for di-
speziell für die elektronische Archivierung gital preservation. The discs are protec-
entwickelt wurde. Die Medien befinden sich ted by a sleeve and thus less exposed to
in einer Schutzhülle und sind daher gegen outside influences than CDs and DVDs,
Umwelteinflüsse besser gesichert, als CD which were developed for the consumer
und DVD, die für den Consumer-Markt market.
entwickelt wurden.
Für die Verwaltung und Nutzung dieser Medien So-called jukeboxes, or automatic disc
sind so genannte Jukeboxen, changers, are normally used to manage
Plattenwechselautomaten, gebräuchlich. Diese these media. Jukeboxes are driven by soft-
stellen softwaregestützt die benötigten ware and provide the desired data on de-
Informationen von Medien bereit. Die Software mand. The software usually also enables ad-
ermöglicht es in der Regel auch, Medien mit zu ministration of media outside the jukebox
verwalten, die sich nicht mehr in der Jukebox which must be manually accessed when
befinden und auf Anforderung manuell zugeführt needed.
werden müssen.
61)
WORM, Write Once, Read Many 61)
WORM, Write Once, Read Many
62)
CD-WORM, Compact Disc - Write Once, Read Many 62)
CD-WORM, Compact Disc - Write Once, Read Many
63)
DVD-WORM, DVD - Write Once, Read Many 63)
DVD-WORM, DVD - Write Once, Read Many
64)
UDO, Ultra Density Optical, ISO/IEC 17345 64)
UDO, Ultra Density Optical, ISO/IEC 17345
65)
PDD, Professional Disc for Data 65)
PDD, Professional Disc for Data
Neben die klassischen Archivspeicher, die auf In addition to the classic digital-optical pre-
rotierenden, digital-optischen Wechselmedien servation based on removable discs, there
basieren, treten inzwischen zwei weitere are two further technlogies
Technologien:
• WORM-HD66): RAID-Festplattensysteme, die • WORM-HD66): RAID hard drives using
durch spezielle Software die gleichen special software to provide the same
Eigenschaften wie ein herkömmliches characteristics as conventional WORM
WORM-Medien erreichen. Ein Überschreiben media. Encoding during recording and
oder Ändern der Information auf dem special address allocation prevent over-
Speichersystem wird durch die Kodierung writing or alteration of the data on the
bei der Speicherung und die spezielle drive, once it has been recorded.
Adressierung verhindert.
Kunde: KoelnMesse Projekt: DMS EXPO 2007 Autor: Dr. Ulrich Kampffmeyer public
Thema: Information Management Compliance Topic: Whitepaper Status: fertig
Datei: 5270196.doc Datum: 20.09.2007 Version: 1.2
Seite 35 von 40
© PROJECT CONSULT Unternehmensberatung GmbH 2008
Information Management Compliance
Generell gilt aber für alle Speichermedien: A few principles apply to all storage techno-
logies:
• Ein Medium allein und Medien nur einen • One medium alone, or media of just one
Typs sind nie genug type, is never enough.
• Die Sicherheit von Hard- und Software allein • Hard- and software security alone is not
ist nicht ausreichend – der gesamte Betrieb, enough – the entire operation, usage,
die Nutzung und die Verfahren müssen and process must be secure.
sicher sein
• Die regelmäßige Prüfung der Lesbarkeit und • Regular inspection of readability and pro-
Verarbeitungsfähigkeit vermeidet Risiken cessability prevents risks and losses.
und Verluste
• Bereits bei der Erstinstallation eines • Migration should be planned for right
elektronischen Archives ist die Migration mit from the initial installation of any digital
einzuplanen archive.
66)
WORM-HD, Write Once, Read Many – Hard Disc 66)
WORM-HD, Write Once, Read Many – Hard Disc
67)
WORM-Tape, Write Once, Read Many - Tape 67)
WORM-Tape, Write Once, Read Many - Tape
Kunde: KoelnMesse Projekt: DMS EXPO 2007 Autor: Dr. Ulrich Kampffmeyer public
Thema: Information Management Compliance Topic: Whitepaper Status: fertig
Datei: 5270196.doc Datum: 20.09.2007 Version: 1.2
Seite 36 von 40
© PROJECT CONSULT GmbH 2008
Information Management Compliance
Entscheiderebene, die die Verantwortung für utives are responsible for its implementa-
die Einhaltung und Umsetzung der tion and execution.
Anforderungen haben
2. Compliance-Anforderungen sind ein 2. Compliance requirements must be part of
Bestandteil jedweder Corporate Governance any corporate governance strategy.
Strategie
3. Unternehmen benötigen eine Richtlinie zum 3. All companies need a guideline for work-
Umgang mit Informationen, eine Information ing with information – an information
Policy, die die Compliance-Anforderungen und policy that includes compliance require-
die Lösung zur Umsetzung der Anforderungen ments and solutions for meeting them.
beinhaltet
4. Compliance muss durchgängig im 4. Compliance must be implemented consist-
Unternehmen implementiert werden, um ently within a company in order to be ef-
wirksam zu sein fectual.
5. Die Erfüllung von Compliance-Anforderungen 5. Fulfillment of compliance requirements is
ist kein einmaliges Projekt, sondern ein not a one-time project, but an ongoing
kontinuierlicher Prozess process.
6. Die Erfüllung von Compliance-Anforderungen 6. Compliance requirements must be part of
muss regelmäßig nach definierten Verfahren any corporate governance strategy.
überprüft werden
7. Information Management Compliance betrifft 7. Information management compliance af-
nicht nur Software und Systeme, sondern die fects not just software and systems, but
Prozesse im Unternehmen, die Organisation the way those systems are used, as well
und den Umgang mit den Systemen as company processes and organization.
8. Compliance-Anforderungen betreffen nicht 8. Compliance requirements affect not just
nur elektronische Archive, sondern alle digital arcives, but all system components
Systemkomponenten, in denen in which custodyworthy data, information,
aufbewahrungspflichtige Daten, Informa- and documents are generated, used, and
tionen und Dokumente erzeugt, genutzt und managed.
verwaltet werden
9. Die Erfüllung von Compliance-Anforderungen 9. Compliance requirements should be met
muss auch für den eigenen Nutzen im not only for their own sake, but also as a
Unternehmen genutzt werden, um mehr tool to create more transparency and se-
Transparenz und Sicherheit zu schaffen und curity within a company, and make it
um das Unternehmen auf das Informations- more competitive in an age of informa-
zeitalter einzustellen. tion.
10. Man darf sich nicht durch den Begriff 10. Compliance is nothing to be afraid of. In-
Compliance verunsichern oder gar stead of shying away from it, companyies
verängstigen lassen, sondern muss zunächst should start by examining what compli-
im Unternehmen prüfen, welche Regelungen ance requirements are relevant for what
für welchen Anwendungsfall überhaupt application cases.
relevant sind.
68)
Ulrich Kampffmeyer, Vortrag “Compliance“. DMS EXPO 2004 68)
Ulrich Kampffmeyer, Keynote presentation
69) Ulrich Kampffmeyer, Compliance. Documentum Whitepaper, “Compliance“. DMS EXPO 2004
2004 69) Ulrich Kampffmeyer, Compliance. Documentum
Whitepaper, 2004
Ausblick 7 Outlook
„Lösungen für die Unterstützung von “Solutions for supporting compliance, such
Kunde: KoelnMesse Projekt: DMS EXPO 2007 Autor: Dr. Ulrich Kampffmeyer public
Thema: Information Management Compliance Topic: Whitepaper Status: fertig
Datei: 5270196.doc Datum: 20.09.2007 Version: 1.2
Seite 37 von 40
© PROJECT CONSULT Unternehmensberatung GmbH 2008
Information Management Compliance
70)
Ulrich Kampffmeyer, „Compliance“. Documentum 70)
Ulrich Kampffmeyer, „Compliance“. Documentum
Whitepaper 2004 Whitepaper 2004
Ein wesentliches Konzept ist daher die Nutzung Therefore, the use of uniform storage sys-
einheitlicher Speichersysteme, die unabhängig tems is a key concept. These systems make
von Format, Quellsystem oder Erzeuger information searchable and available in the
Kunde: KoelnMesse Projekt: DMS EXPO 2007 Autor: Dr. Ulrich Kampffmeyer public
Thema: Information Management Compliance Topic: Whitepaper Status: fertig
Datei: 5270196.doc Datum: 20.09.2007 Version: 1.2
Seite 38 von 40
© PROJECT CONSULT GmbH 2008
Information Management Compliance
71)
Ulrich Kampffmeyer, Marcus Evans Conference „Content Man- 71)
Ulrich Kampffmeyer, Marcus Evans Conference „Content
agement – The driving factor for successful eBusiness”, Berlin, Management – The driving factor for successful eBusi-
2001 ness”, Berlin, 2001
Literatur
Kunde: KoelnMesse Projekt: DMS EXPO 2007 Autor: Dr. Ulrich Kampffmeyer public
Thema: Information Management Compliance Topic: Whitepaper Status: fertig
Datei: 5270196.doc Datum: 20.09.2007 Version: 1.2
Seite 39 von 40
© PROJECT CONSULT Unternehmensberatung GmbH 2008
Information Management Compliance
Bibliography
Bundesministerium der Finanzen: Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS). BStBl 1995 I S.
738, 1995 (GoBS)
Bundesministerium der Finanzen: Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU), BGBl. I S.
1542, 2001 (GDPdU)
Bundesministerium der Justiz: Abgabenordnung (AO), §§ 146, 147, 200, BGBl. I S. 3866, ber. 2003 S. 61, 2002 (AO)
Bundesministerium der Justiz: Bürgerliches Gesetzbuch (BGB) §§ 126, 127, BGBl. I S. 42, ber. S. 2909 und BGBl. 2003 S. 738,
2002 (BGB)
Bundesministerium der Justiz: Gesetz über elektronische Handelsregister und Genossenschaftsregister sowie das
Unternehmensregister (EHUG), BGBl. 2006 Teil I Nr. 52, 2553 ff., 2007 (Unternehmensregister)
Bundesministerium der Justiz: Handelsgesetzbuch (HGB), §§ 239, 257, (Letzte Änderung) BGBl. I S. 1330, 1379,2007 (HGB)
Bundesministerium der Justiz: Zivilprozessordnung (ZPO), §§ 292a, 286, 130, 371, BGBl. I S. 3202, ber. 2006 I S. 431, 2007 I
S. 1781, 2005 (ZPO)
Bundesministerium des Innern: DOMEA-Konzept (Konzept für Dokumenten-Management und elektronische Archivierung in der
öffentlichen Verwaltung), Fassung 2.1, 2005 (DOMEA)
Bundesministerium für Justiz: Bundesgesetz über besondere zivilrechtliche Vorschriften für Unternehmen
(Unternehmensgesetzbuch (UGB)), BGBl. I Nr. 120/2005, 2005 (Handelsrechts-Änderungsgesetz (HaRÄG))
Cornell Law School, Legal Information Institute: Federal Rules of Civil Procedure (FRCP), 2006 (FRCP)
EU-Parlament: Richtlinie 2000/31/EG des Europäischen Parlaments und des Rates vom 8. Juni 2000 über bestimmte rechtliche
Aspekte der Dienste der Informationsgesellschaft, insbesondere des elektronischen Geschäftsverkehrs, im Binnenmarkt
("Richtlinie über den elektronischen Geschäftsverkehr"), 2000 (2000/31/EG)
EU-Parlament und Rat: Richtlinie 1999/93/EG des Europäischen Parlaments und des Rates vom 13. Dezember 1999 über
gemeinschaftliche Rahmenbedingungen für elektronische Signaturen, 1999 (1999/93/EG)
EU-Parlament und Rat: Richtlinie 2006/43/EG des Europäischen Parlaments und des Rates vom 17. Mai 2006 über
Abschlussprüfungen von Jahresabschlüssen und konsolidierten Abschlüssen, zur Änderung der Richtlinien 78/660/EWG und
83/349/EWG des Rates und zur Aufhebung der Richtlinie 84/253/EWG des Rates (8. EU-Richtlinie), 2006 (2006/43/EG)
Europäische Kommission: Model Requirements for the Management of Electronic Documents and Records. MoReq Specification.
INSAR Supplement VI, ISBN 92-894-1290-9. 2001
Finra - the Financial Industry Regulatory Authority: NASD 3010 und NASD 3110
ISO: DIN ISO 15489-1 (Information and documentation - Records management - Part 1: General) und DIN ISO
15489-2 (Information and documentation - Records management - Part 2: Guidelines), 2001 (15489-1 und
15489-2)
Kahn, Randolph A.; Blair, Barclay T.: Information Nation - Seven Keys to Information Management Compliance.
AIIM, 2004
Kampffmeyer, Ulrich: IMC Information Management Compliance Policies und ihre Umsetzung. IIR Kongress „IT-Compliance“,
2006
Kampffmeyer, Ulrich: Corporate Governance, PROJECT CONSULT Newsletter 20050817, ISSN 1439-0809, 2005 (20050817)
Kampffmeyer, Ulrich: Dokumenten-Technologien: Wohin geht die Reise?, PROJECT CONSULT, ISBN 3980675645, 2003.
Kampffmeyer, Ulrich: Compliance. Documentum Whitepaper zum Keynote-Vortrag „Regulative Vorgaben beflügeln den Markt für
Dokumenten-Technologien“, DMS EXPO 2004, Essen, PROJECT CONSULT/Advanstar, 2004 (Compliance Whitepaper)
Kampffmeyer, Ulrich; Groß, Stefan und Lamm, Martin: GDPdU: Finanzgerichte weiten das Recht auf Datenzugriff aus,
PROJECT CONSULT Newsletter 20070720, ISSN 1439-0809, 2007
Literatur
Bibliography
Kunde: KoelnMesse Projekt: DMS EXPO 2007 Autor: Dr. Ulrich Kampffmeyer public
Thema: Information Management Compliance Topic: Whitepaper Status: fertig
Datei: 5270196.doc Datum: 20.09.2007 Version: 1.2
Seite 40 von 40
© PROJECT CONSULT GmbH 2008
Information Management Compliance
Kampffmeyer, Ulrich und Risse, Sarah: Artikel „MoReq Update - Die Model Requirements für elektronisches Records
Management der Europäischen Kommission werden aktualisiert und erweitert“, 2007 (MoReq-Update)
Kampffmeyer, Ulrich und Rogalla, Jörg: Grundsätze der elektronischen Archivierung. VOI-Kompendium Band 3. Verband
Organisations- und Informationssysteme e. V (VOI), ISBN 3-932898-03-6, 1997
Kampffmeyer, Ulrich; Henstorf, Karl-Georg; Prochnow, Jan et. al.: Grundsätze der Verfahrensdokumentationen nach GoBS. VOI-
Kompendium Band 4, Verband Organisations- und Informationssysteme e. V (VOI), ISBN 3-932898-04-4, 1999
Kampffmeyer, Ulrich; Llewellyn, A.: Are e-documents legal in Europe?. Document World, Vol. 4 No.3, pp.45-8,
1999
Kampffmeyer, Ulrich: GDPdU & Elektronische Archivierung. PROJECT CONSULT Newsletter (Teil 1-4) 20050531, 20050624,
20050720, 20050817, 2005 (GDPdU & Elektronische Archivierung)
National Archives and Records Administration: Code of Federal Regulations (CFR), (CFR)
National Highway Traffic Safety Administration: Transportation Recall Enhancement, Accountability and Docu-
mentation Act (TREAD), 2000 (TREAD)
Österreich: Mediengesetz (MedG). BGBl I Nr. 49/2005 und 151/2005, 2005 (MedG)
PROJECT CONSULT: Recht & Gesetz: Unternehmensgesetzbuch, PROJECT CONSULT Newsletter 20070529, ISSN 1439-0809,
2007 (20070529)
Sarbanes-Oxley Act of 2002 (SOX). Pub. L. No. 107-204, 116 Stat. 745, 2002 (Sarbanes-Oxley Act)
Securities and Exchange Commission: Books and Records Requirements for Brokers and Dealers Under the Se-
curities Exchange Act of 1934, 17 CFR PARTs 240 and 242 [Release No. 34-44992 ; File No. S7-26-98] RIN
3235-AH04, 2003 (SEC: 34-44992)
United States Department of Defense: DoD 5015.2-STD RMA Design Criteria Standard, 2007 (DoD 5015.2-STD)
United States Food and Drug Administration, Office of Regulatory Affairs: Federal Register Part II, 21 CFR Part
11, 2003 (Draft Guidance for Industry on Part 11)
United States Food and Drug Administration: 21CFR210 (Current good manufacturing practice in manufactur-
ing, processing, packing, or holding of drugs; general) und 21CFR211 (Current good manufacturing practice
for finished pharmaceuticals), 2006 (21CFR)
United States Department of Health & Human Services, Office for Civil Rights: Health Insurance Portability and
Accountability Act (HIPAA), Pub. L. 104-191, 110 Stat. 1936, 1996 (HIPAA)
United States Department of Justice: The Uniting and Strengthening America by Providing Appropriate Tools
Required to Intercept and Obstruct Terrorism Act (USA PATRIOT ACT) of 2001. Pub. L. No. 107-56, 115 Stat.
272, 2001 (USA PATRIOT ACT)
United States Sentencing Commission: Federal Sentencing Guidelines (FSG), 2006 (FSG)
Winkler, Maria: Verordnung über die Führung und Aufbewahrung der Geschäftsbücher – GeBüV, Vortrag „Rechtliche Aspekte der
elektronischen Archivierung“ auf dem Datenschutz-Forum, 2005 (Rechtliche Aspekte der elektronischen Archivierung)
Kunde: KoelnMesse Projekt: DMS EXPO 2007 Autor: Dr. Ulrich Kampffmeyer public
Thema: Information Management Compliance Topic: Whitepaper Status: fertig
Datei: 5270196.doc Datum: 20.09.2007 Version: 1.2
Seite 41 von 40
© PROJECT CONSULT Unternehmensberatung GmbH 2008
Information Management Compliance
PROJECT CONSULT hat sich auf die Beratung im PROJECT CONSULT is specialised on all topics of
Umfeld von DRT Document Related Technologies wie DRT Document Related Technologies as enterprise
ECM Enterprise Content Management, content management, knowledge management ,
Wissensmanagement, Dokumentenmanagement, document management, electronic archiving, re-
elektronische Archivierung, Records Management, ILM cords management, information lifecycle manage-
Information Lifecycle Management und angrenzende ment, compliance and others.
Bereiche spezialisiert. Zum Leistungsangebot gehören We offer strategy, planning, selection, test and ac-
Strategie, Konzeption, Auswahl, Abnahme und ceptance test, documentation and project man-
Dokumentation sowie das zugehörige agement for the implementation of information
Projektmanagement zur Einführung von komplexen systems.
Informationsmanagementsystemen. PROJECT CONSULT supports all industries in the
PROJECT CONSULT arbeitet branchenübergreifend mit German speaking countries. The consulting com-
Schwerpunkt im deutschsprachigen Raum. Die pany only serves end users of document technolo-
Unternehmensberatung ist ausschließlich für gies. This is to ensure independent and impartial
Endanwender tätig um eine von Anbietern consulting.
unbeeinflusste, unabhängige Beratung sicherzustellen. PROJECT CONSULT assigns consultants based on
PROJECT CONSULT setzt auf das KnowHow langjährig their industry qualifications and special knowledge.
im ECM-Markt erfahrener Berater. PROJECT CONSULT is actively involved in several
PROJECT CONSULT ist in verschiedenen standardization initiatives as MoReq of the
Standardisierungsinitiativen wie z.B. MoReq der
Kunde: KoelnMesse Projekt: DMS EXPO 2007 Autor: Dr. Ulrich Kampffmeyer public
Thema: Information Management Compliance Topic: Whitepaper Status: fertig
Datei: 5270196.doc Datum: 20.09.2007 Version: 1.2
Seite 42 von 40
© PROJECT CONSULT GmbH 2008
Information Management Compliance
Kunde: KoelnMesse Projekt: DMS EXPO 2007 Autor: Dr. Ulrich Kampffmeyer public
Thema: Information Management Compliance Topic: Whitepaper Status: fertig
Datei: 5270196.doc Datum: 20.09.2007 Version: 1.2
Seite 43 von 40
© PROJECT CONSULT Unternehmensberatung GmbH 2008
Information Management Compliance
Kunde: KoelnMesse Projekt: DMS EXPO 2007 Autor: Dr. Ulrich Kampffmeyer public
Thema: Information Management Compliance Topic: Whitepaper Status: fertig
Datei: 5270196.doc Datum: 20.09.2007 Version: 1.2
Seite 44 von 40
© PROJECT CONSULT GmbH 2008
PROJECT CONSULT
Unternehmensberatung Dr.Ulrich Kampffmeyer GmbH
Breitenfelder Straße 17 • 20251 Hamburg
Tel.: + 49 (040) 460762-20 • Fax: + 49 (040) 460762-29