(EN - DE) Information Management Compliance - English & German

Information
Management
Compliance
PROJECT CONSULT Whitepaper
Dr. Ulrich Kampffmeyer
PROJECT CONSULT
Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH
Hamburg, September 2007

Information Management Compliance
Die Information des Whitepapers wurde mit größter Sorgfalt Every effort has been made to make this white paper as
erarbeitet. Dennoch können Fehler nicht vollständig complete and as accurate as possible, but no warranty or
ausgeschlossen werden. Die Autoren übernehmen keine fitness is implied. The authors shall have neither liability
juristische Verantwortung oder Haftung für eventuell nor responsibility to any person or entity with respect to
verbliebene Angaben und deren Folgen. any loss or damages arising from the information con-
tained in this book.
Das Werk einschließlich aller seiner Teile ist urheberrechtlich This work including all parts is protected by copyright. No
geschützt. Jede Verwertung außerhalb der engen Grenzen des part of this work covered by the copyright hereon may be
Urheberrechtsgesetzes ist ohne Zustimmung des Autors reproduced or used in any form or by any means – graph-
unzulässig und strafbar. Alle Rechte, wie Vervielfältigung, ic, electronic or mechanical, including photocopying, re-
Übersetzung, Mikroverfilmung sowie digitale Einspeicherung, cording, translating, taping, or information storage and
Verarbeitung und Verbreitung sind dem Autor vorbehalten. retrieval systems – without the written permission from
the author.
© PROJECT CONSULT Unternehmensberatung GmbH 2007. Alle © PROJECT CONSULT Unternehmensberatung GmbH
Rechte vorbehalten. 2007. All rights reserved.
Autorenrecht und CopyRight Copyright
Autor: Dr. Ulrich Kampffmeyer

PROJECT CONSULT Unternehmensberatung GmbH
Breitenfelder Str. 17
D-20251 Hamburg
Tel.: 040 / 460 762 20
Fax: 040 / 460 762 29
E-Mail: Presse@PROJECT-CONSULT.com
Web: www.PROJECT-CONSULT.com
Der gesamte Inhalt ist, sofern nicht gesondert zitiert, ein All content is the orginal text of the autor if not otherwise
Originaltext des Autors. Jeglicher Abdruck, auch auszugsweise cited. The author must agree to copies or citations before
oder als Zitat in anderen Veröffentlichungen, ist durch den publishing. No part of this work covered by the copyright
Autor vorab zu genehmigen. Die Verwendung von Texten, hereon may be reproduced or used in any form or by any
Textteilen, grafischen oder bildlichen Elementen ohne means without citing the author. Specimen copies have to
Kenntlichmachung der Autorenschaft ist ein Verstoß gegen be sent to the author without request even if published
geltendes Urheberrecht. Belegexemplare, auch bei partly or cited.
auszugsweiser Veröffentlichung oder Zitierung, sind
unaufgefordert einzureichen.
Ein PROJECT CONSULT Whitepaper A PROJECT CONSULT Whitepaper

Dr. Ulrich Kampffmeyer
Geschäftsführer der PROJECT CONSULT Managing Director PROJECT CONSULT
Unternehmensberatung GmbH, Hamburg Unternehmensberatung GmbH, Germany
Keynote-Präsentation auf der DMS EXPO 2007, Keynote presentation at the DMS EXPO 2007,
26. September 2007, Köln September 26th, 2007, Cologne, Germany
„Es muss eine Angleichung der elektro- “The electronic world must become equi-
nischen Welt an die Papierwelt stattfinden. valent to the paper world. A generally ac-
Nur mit einem komplett neuem Rahmenwerk cepted and fair basis for information
von Gesetzen und Richtlinien können all- management compliance requires a com-
gemeingültige und gerechte Grundlagen pletely new legal and regulatory frame-
für Information Management Compliance work.”1)
geschaffen werden.“ 1)
Der Begriff Compliance sorgt bei vielen The term “compliance” is confusing for many
Anwendern für Verunsicherung. Zahlreiche users. Numerous vendors market their
Anbieter vermarkten inzwischen Ihre Produkte products using the compliance label – the
unter dem Etikett „Compliance“ – nicht nur traditional DMS and ECM solution vendors,
herkömmliche Anbieter von DMS- und ECM- as well as manufacturers of data storage
Lösungen, sondern auch Hersteller von systems, management information software,
Speichersystemen, Management-Informations- and ERP solutions. “Compliance” has become
Programmen und ERP-Lösungen. Mit dem a new market niche. In Germany the term
Begriff Compliance hat sich zugleich ein neues has thus far not gained broad currency, but
Marktsegment gebildet. In Deutschland wird der the legal and regulatory documentation re-
englische Begriff Compliance bisher nur selten quirements are increasing steadily – one
verwendet. Rechtliche und regulative Vorgaben need look no further than the GDPdU or
für Dokumentationspflichten nehmen aber, wenn Basel II. Thus, users now find themselves
man an Beispiele wie die GDPdU oder Basel II having to decide between specialist island
denkt, stetig zu. Es liegt also am Kunden, sich solutions to fulfill specific compliance re-
zwischen spezialisierten Insellösungen zur quirements, or broader-based solutions that
Erfüllung bestimmter Compliance-Anforde- include compliance fulfillment in their portfo-
rungen oder übergreifenden Lösungen, die auch lio.
Compliance-Anforderungen mit abdecken, zu
entscheiden.
Das Whitepaper bietet einen Überblick über This White Paper gives an overview of the
Hintergründe und notwendige Maßnahmen zur background and and actions needed to fulfill
Erfüllung der zunehmenden Compliance-Anfor- the growing compliance reqirements in IT. It
derungen im Umfeld der will illustrate the current situation in 2007
Informationstechnologie. Die aktuelle Situation using a few selected examples.
im Jahr 2007 wird an Hand einiger,
ausgewählter Beispiele dargestellt.
1)
Ulrich Kampffmeyer, Bedeutung von Compliance, Vortrag 1)
Importance of “Compliance”. Dr. Ulrich Kampffmeyer at
auf dem SAPERIONcongres 2007, „ECM 2.0“, 2007 the SAPERIONcongress 2007
Kunde: KoelnMesse Projekt: DMS EXPO 2007 Autor: Dr. Ulrich Kampffmeyer public
Thema: Information Management Compliance Topic: Whitepaper Status: fertig
Datei: 5270196.doc Datum: 20.09.2007 Version: 1.2
Seite 1 von 40
© PROJECT CONSULT Unternehmensberatung GmbH 2008

Inhalt Contents
Kapitel/ Seite/
Chapter Page
Einführung Introduction 1
1 Compliance und Information Compliance and Information 3

Management Compliance Management Compliance
Was verbirgt sich hinter dem Begriff What is behind the term “Compliance”? 3
Compliance?
Unterschiedliche Auswirkungen Different consequences 5
2 Aktuelle Situation und wichtige Current situation and 6

Regularien important regulations
International International 6
Basel II Basel II 6
USA USA 7
Sarbanes-Oxley-Act Sarbanes Oxeley Act 7
eDiscovery eDiscory 8
Europa Europe 10
8. EU-Richtlinie 8th EU Directive 10
Deutschland Germany 11
EHUG und E-Mail-Management „EHUG“ and E-Mail Management 11
GDPDU: Aktuelle Urteile „GDPDU“: Current verdicts 12
Verfahrensdokumentation nach GoBS „GoBS Verfahrensdokumentation“ 15
Österreich und Schweiz Austria and Switzerland 16
Branchenspezifische Regularien Industry-Specific Regulations 18
3 Corporate Governance Corporate Governance 20

Corporate Governance Richtlinien Corporate Governance Guidelines 20
Risiko Management Risk Management 21
4 Information Management Information Management 23

Compliance Policy Compliance Policy
Aspekte der Information Management Aspects of Information Management 25
Compliance Compliance
5 Compliance und Records Compliance and Records 27

Management Management
Records Management nach ISO 15489 Records Management per ISO 15489 28
Seite 2 von 40
© PROJECT CONSULT GmbH 2008

MoReq Model Requirements MoReq Model Requirements 29
Übergreifende Ansätze Comprehensive Approaches 30
Elektronische Archivierung und Digital Preservation and 32

Speichersysteme Storage Systems
6 10 Compliance-Merksätze 10 Compliance Rules 35
7 Ausblick Outlook 36
Compliance-Anforderungen treiben den Markt Compliance is driving the market for 36
für Dokumenten-Technologien document technologies
Literatur Bibliography 38
Über den Autor About the author 40
Über PROJECT CONSULT About PROJECT CONSULT 40
Compliance und Information

Management Compliance
1 Compliance and Information
Management Compliance
„Alle Gesetze und Regeln der Papierwelt “All laws and rules of the paper world
gelten auch in der elektronischen Welt.“2) also apply to the electronic world.”2)
Was verbirgt sich hinter dem Begriff What is behind the term “Compliance”?
Compliance?
Zu den häufig, zumindest für deutsche Ohren, “Compliance” is yet another English term
schwer verständlichen Begriffen aus dem that has found its way into international IT
angloamerikanischen Sprachraum muss auch parlance.
der Begriff „Compliance“ gezählt werden.
Compliance umfasst die Gesamtheit aller Compliance refers to the totality of reason-
zumutbaren Maßnahmen, die das regelkonforme able actions that underpin the compliance of
Verhalten eines Unternehmens, seiner a company, its organizational members, and
Organisationsmitglieder und seiner Mitarbeiter its employees with all legal requirements.
im Hinblick auf alle gesetzlichen Ge- und
Verbote begründen.
Auch wenn es Compliance-Anforderungen schon There have always been compliance reguire-
immer, auch im Ursprungsland des Begriffes - ments, but after the the ENRON and World-
den USA - gab, so haben sie nach den Com scandals in the US the topic has gained
Skandalen um ENRON und WorldCom eine a new, more intense quality. Harsher penal-
brisante Qualität erhalten: neue, strafbewehrte ties and new requirements govern the stor-
Anforderungen zur Aufbewahrung geschäfts- age of digital business records. In the past
relevanter elektronischer Informationen. In der there was already legislation; for example,
Vergangenheit gab es schon immer eine Reihe bookkeeping software has always had to
von rechtlichen Anforderungen; so mussten z.B. meet compliance standards. With the in-
Finanzbuchhaltungssoftware schon immer creasing volume and significance of e-mail
Compliance-Standards erfüllen. Mit dem and e-commerce, the documentation and di-
steigendem Aufkommen und der wachsenden gital preservation or archiving of business
Bedeutung von E-Mails und E-Commerce processes have become ever more import-
gewann die Notwendigkeit der Dokumentation ant.
Seite 3 von 40
und elektronischen Archivierung von Geschäfts-

vorgängen immer mehr Bedeutung.
Im Folgenden wird für den Begriff Compliance In the following, “compliance” refers to:
nachstehende Übertragung verwendet:
„Übereinstimmung mit und Erfüllung von “Agreement with and fulfillment of legal and
gesetzlichen und regulativen Vorgaben“3) regulatory requirements” 3)
2)
Ulrich Kampffmeyer, Dokumenten-Technologien – Wohin 2)
Ulrich Kampffmeyer, Dokumenten-Technologien –
geht die Reise. PROJECT CONSULT 2003 Wohin geht die Reise. PROJECT CONSULT 2003
3)
Ursprünglich “Übereinstimmung mit und Erfüllung von 3)
Previous version: Ulrich Kampffmeyer, Compliance
rechtlichen und regulativen Vorgaben“. Ulrich Kampffmeyer, Whitepaper, Documentum, 2004, S.3.
Compliance Whitepaper, Documentum, 2004, S.3.
Betrachtet man die einzelnen Begriffe der Looking at the individual terms in the
deutschen Übertragung der Definition von above definition “Agreement with and ful-
Compliance „Übereinstimmung mit und Erfüllung fillment of legal and regulatory require-
von gesetzlichen und regulativen Vorgaben“, ments,” several aspects of compliance
dann werden unterschiedliche Aspekte von stand out.
Compliance-Anforderungen deutlich.
• „Übereinstimmung“ • “Agreement”
Zur Erreichung der „Übereinstimmung“ wird Agreeing with something assumes that
vorausgesetzt, dass es nachlesbare, there are defined, official, accessible
definierte, offizielle Vorgaben gibt, die die rules to agree with in the first place.
Regeln enthalten, was zu tun ist. Hier ist These rules do not usually contain
„Übereinstimmung“ gefordert, ohne das die technical requirements on implementa-
Regeln meistens eine technische Vorgabe tion. This makes sense, since the rules
enthalten, wie die Anforderung umzusetzen should not be tied to technologies that
ist. Dies ist auch sinnvoll, da sich solche may be obsolete in just a few years.
Vorgaben nicht an einer Technologie Agreement is the static aspect of com-
festmachen sollten, die in ein paar Jahren pliance.
schon wieder obsolet ist.
Die Übereinstimmung ist der „statische
Aspekt“ von Compliance.
• „Erfüllung“ • “Fulfillment”
Der Begriff „Erfüllung“ impliziert zweierlei: This implies two things – first, that the
Einmal, dass die Anforderungen in einer requirements have to be implemented
Lösung umgesetzt werden müssen, und zum in some form, and secondly, that this is
Zweiten, dass dies ein Prozess ist, keine a process, not a one-time action. The
einmalige Aktion. Das Unternehmen oder company or organization must attend
die Organisation muss kontinuierlich für die to fulfillment on an ongoing basis. Ful-
Einhaltung der Vorgaben Sorge tragen. fillment usually goes beyond mere
„Erfüllung“ geht dabei meistens über eine technology, to include organizational
rein technische Lösung hinaus und and management aspects.
beinhaltet auch organisatorische und Fulfillment is the dynamic aspect of
Management-Aspekte. compliance.
Die kontinuierliche Erfüllung ist der
„dynamische Aspekt“ von Compliance.
Seite 4 von 40
• „Gesetzliche Vorgaben“ • “Legal requirements”

Hierbei handelt es sich um Gesetze oder These are laws or bureaucratic regula-
behördliche Verordnungen, die bestimmte tions that require specific organizations
Unternehmen, Organisationen oder or persons to obey the rules. It is not
Personen verpflichten, die jeweils possible to get around fulfilling these;
aufgeführten Regelungen einzuhalten. Hier the only room to maneuver is in inter-
kann man sich auch nicht um die Erfüllung pretation, scope, and mode of imple-
„drücken“, lediglich in Hinblick auf mentation.
Auslegung, Umfang und Umsetzungsweise
besteht Handlungsspielraum.
• „Regulative Vorgaben“ • “Regulatory requirements”
Man unterschiedet zwischen „rechtlich“ und Legal and regulatory requirements are
„regulativ“, da es eine Reihe von Vorgaben, distinct from one another, as there are
die nicht direkt auf Gesetzen basieren wie numerous requirements that do not
z.B. Normen, Standards, Codes of Best have force of law, such as standards,
Practice oder andere Vorgaben. Vielfach codes of best practice, etc. In many
ergeben sich aus gesetzlichen Vorgaben für cases, legal requirements for a given
einen Anwendungsfall auch Auswirkungen instance have consequences and im-
und implizite Anforderungen für andere plications for other instances. These
Fälle. Diese werden als „regulative are demarcated as regulatory require-
Vorgaben“ abgegrenzt. ments.
Unterschiedliche Auswirkungen Different consequences
Grundsätzlich gelten alle gesetzlichen, In principle, all legal and regulatory require-
rechtlichen und regulativen Vorgaben auch in ments apply to the digital world just as they
der elektronischen Welt. Häufig sind die do to the paper world. Often, however, the
Anforderungen der DV-Welt jedoch noch nicht requirements are not phrased specifically for
oder nicht direkt enthalten und müssen IT applications, and these must therefore be
daher adäquat abgeleitet werden. derived.
• „Direkte Betroffenheit“ • “Direct consequences”

Dies betrifft besonders Gesetze und Certain laws and requirements with the
gesetzesgleiche Verordnungen, die in force of law must be complied with under
jedem Fall eingehalten werden müssen. all circumstances. There is room for in-
Hier kann man lediglich den Umfang und terpretation only in terms of scope and
die Ausprägung interpretieren. Neben extent. In addition to generally applic-
generell gültigen Vorgaben treten able laws, there are laws that refer to
besondere, die auf die Branche oder specific industries or activities.
Geschäftstätigkeit bezogen sind.
• „Indirekte Betroffenheit“ • “Indirect consequences”
Hier beginnt die große Grauzone, wo es The uncertainty begins with determining
darum geht, zunächst die für das and assessing the rules that apply to a
Unternehmen oder die Organisation company or organization. For example,
zutreffenden Regelungen zu ermitteln und Basel IIx) applies not only to banks, but
zu bewerten. So betrifft beispielsweise to any organization that borrows money,
Basel IIx) nicht nur die Banken, sondern since the documentation and transpar-
jedes kreditnehmende Unternehmen, da die ency rules are propagated through from
Dokumentations- und Transparenzauflagen lender to borrower.
an die Kunden weitergegeben werden.
Für direkte und indirekte Auswirkungen gibt es There are numerous compliance rules with
zahlreiche Compliance-Regeln, die sowohl die direct and indirect consequences, that apply
herkömmliche Papierdokumentation wie auch to both conventional paper documentation
Seite 5 von 40
die eingesetzte EDV betreffen. and to IT.

Der bindende Charakter einer Vorgabe kann also Exactly how binding a requirement is can
sehr unterschiedlich sein. Nicht zuletzt Steck- therefore differ greatly. Electrical sockets,
dosen, Lebensmittel, Flugzeuge, elektrische food, aircraft, electrical devices, medications,
Geräte, Medikamente, Kindergärten, Bildschirme kindergartens, video screens etc. must meet
usw. müssen auch bestimmte Compliance- certain compliance rules that find expression
Anforderungen erfüllen, die sich beispielsweise in test seals, for example.
in Prüfsiegeln niederschlagen.
Ein Abgleich der unterschiedlichen A comparison of the requirements and their
Anforderungen und Ausprägungen mit dem, was general meaning, with what is understood by
heute unter dem Schlagwort „Compliance“ bei the term “compliance” specifically for IT
informationstechnologischen Lösungen solutions, shows significant differences.
verstanden wird, zeigt aber große Unterschiede. Therefore, in the following we will discuss
Daher wird im Folgenden konkreter im Sinne compliance in the specific sense of IMC, In-
von „IMC“, „Information Management formation Management Compliance.
Compliance“, gesprochen.
Aktuelle Situation
und wichtige Regularien
2 Current situation
and important regulations
„Der elektronische Geschäftsverkehr wird “Digital business transactions will become
zum Regelfall. Gleichbehandlung ist nur the rule. Equal treatment is possible only
möglich, wenn für alle Beeiligten die selben when the same transparency rules apply to
Transparenzpflichten gelten. Compliance everybody. Therefore, compliance must have
muss daher für alle und unabhängig von der the same validity for all, regardless of the
Form der Geschäfts- oder form taken by a business or administrative
Verwaltungstätigkeit gleichermaßen gültig activity.” 4)
sein.“4)
Compliance-Anforderungen gibt es überall. Sie Compliance requirements are everywhere,
machen vor Landesgrenzen nicht halt. Sie and do not stop at national borders. They af-
betreffen Organisationen ebenso wie Individuen. fect organizations and individuals alike. In a
In einer globalisierten Gesellschaft stellt sich globalized society, problems are increasingly
zunehmend das Problem, dass jedes Land caused by the fact each country has its own
immer noch eigene Gesetze und Regularien für laws and regulations for businesses, pro-
Geschäfte, Prozesse und Transaktionen hat, die cesses, and transactions, which should have
längst harmonisiert sein sollten. Internationalen been harmonized long ago. International
„Gesetzen“ und Regeln kommt daher eine “laws” and rules are therefore more and
immer wichtige Rolle zu, da herkömmliche more important, since traditional borders
Grenzen im Internet keien Bedeutung mehr have no meaning in the Internet.
haben.
International International
Als gutes Beispiel für direkte und indirekte Basel II is a good example of direct and in-
Auswirkungen der Gesetzgebung kann Basel II direct consequences of legislation. Financial
angeführt werden. Finanzdienstleister müssen service providers must retain more own cap-
umso mehr Eigenkapital vorhalten, je höher das ital as the borrower’s risk increases. Al-
Risiko des Kreditnehmers ist. Auch wenn man in though this legislation concerning credit and
Bezug auf die Kreditvergabe und die Dokumen- documentation was intended only for banks,
Seite 6 von 40
tationspflichten hier zunächst nur an die Banken Basel II has substantial effects on all com-
denkt, hat Basel II auch erhebliche panies.
Auswirkungen auf alle Unternehmen.
Mit Basel II wird die Neugestaltung der Basel II refers to the reformation of own
Eigenkapitalvorschriften der Kreditinstitute capital requirements for banks and credit in-
bezeichnet. stitutes.
Ziel von Basel II ist es, die Stabilität des The objective of Basel II was to increase the
internationalen Finanzsystems zu erhöhen. Dazu stability of the international finance system.
sollen die Risiken im Kreditgeschäft besser The idea is to evaluate risks in the credit
erfasst und die Eigenkapitalvorsorge der business better, and bring lender capital
Kreditinstitute risikogerechter ausgestaltet overage more into line with risk. 5)
werden. 5)
Basel II hat eine Vielzahl von Auflagen für die Basel II brought with it a great number of
Dokumentation nach sich gezogen, die in einer rules for documentation, which in a digital
elektronischen Welt nur mit world can only by followed using information
Informationsmanagementlösungen vollzogen management solutions.
werden können.
4)
Ulrich Kampffmeyer, Marcus Evans Conference „Content 4)
Ulrich Kampffmeyer, Marcus Evans Conference „Content
Management – The driving factor for successful eBusiness”, Management – The driving factor for successful eBusi-
Berlin, 2001 ness”, Berlin, 2001
5)
Wirtschaftswiki, Definition Basel II, 2005 5)
Wirtschaftswiki (German), Definition of the term „Basel
II“, 2005
USA USA
In den USA gab es schon sehr lange In the US there have long been compliance
Compliance-Anforderungen an Softwaresysteme requirements for software systems and busi-
und die Dokumentation von ness process documentation.
Geschäftsprozessen.
Am bekanntesten und am engsten mit dem The most well-known of these, and most
Begriff Compliance ist jedoch der Sarbanes closely associated with the term compliance,
Oxley Act verknüpft. is the Sarbanes Oxley Act.
Sarbanes-Oxley-Act Sarbanes Oxley Act

Durch die Skandale um ENRON, WorldCom und The scandals surrounding ENRON, WorldCom
einige andere Unternehmen rückte das Thema and other companies brought compliance
Compliance in den Mittelpunkt des allgemeinen into the center of public attention. The cause
Interesses. Anlass waren „geschönte“ Prüfungen was “edited” audits by auditors and the com-
von Wirtschaftsprüfern und die panies’ own reporting. In the process of un-
Geschäftsberichte der Unternehmen. E-Mail covering all this, e-mail was found to be one
wurde dabei als eine der möglichen possible source of proof of illegal actions. In
Nachweisquellen für ungesetzliches Handeln 2002 this led to the Sarbanes-Oxley Act, ab-
entdeckt. Dies führte im Jahr 2002 zum breviated as SOA or SOX. In accordance with
Sarbanes-Oxley-Act, allgemein SOA oder SOX common US practice it was named after the
abgekürzt. Typisch amerikanisch wurde es nach leaders of the commission that drafted the
den beiden Leitern der Kommission benannt, die law.
das Gesetz entworfen hat.
Das Gesetz findet Anwendung für alle The law applies to all companies listed on the
Unternehmen, die an der New York Stock New York Stock Exchange.
Exchange gelistet sind.
Seite 7 von 40
SOA hat die Aufgabe, die Transparenz und SOA is intended to improve the transparency
Nachvollziehbarkeit in den Unternehmen bei and auditability of companies’ dealings in
Prüfungen durch die SEC, Securities und audits by the SEC, the Securities und Ex-
Exchange Commission, zu verbessern. change Commission.
Unternehmen werden verpflichtet, u. a. ein Among other things, it requires that compan-
internes Kontrollsystem für die Rechnungs- ies maintain an internal monitoring system
legung zu unterhalten, die Wirksamkeit der for accounting, that they evaluate the effect-
Systeme zu beurteilen und die Richtigkeit der iveness of their systems, and that they certi-
Jahres- und Quartalsberichte beglaubigen zu fy quarterly and annual reports. 6)
lassen. 6)
SOA hat in den USA besonders auf Grund von In the US, SOA is important especially be-
Abschnitt 802 Bedeutung erlangt, weil hier cause of Section 802, which mandates
empfindliche Strafen in der Strafgesetzgebung severe penalties of up to 20 years imprison-
verankert worden sind. Die Zerstörung oder ment for the destruction or alteration of doc-
Veränderung von aufbewahrungspflichtigen umentation that is required to be kept un-
Unterlagen kann mit bis zu 20 Jahren Gefängnis altered.
bestraft werden.
Besonders die Wirtschaftsprüfer legen in ihrer Auditors in particular now attach great im-
Beratung nunmehr sehr viel Wert auf portance to compliance, since the scandals
Compliance, da im Rahmen der Skandale große, caused the disappearance of formerly large,
namhafte Wirtschaftsberatungsfirmen wie well-regarded auditing firms like Andersen.
Andersen vom Markt verschwanden.
6)
USA, SOA Sarbanes-Oxley Act of 2002 (häufig auch als SOX 6)
SOA Sarbanes-Oxley Act of 2002
abgekürzt)
e-Discovery e-discovery
Die in den USA am 1. Dezember 2006 in Kraft The changes to the FRCP or Federal Rules
getretenen Änderungen der FRCP Federal Rules of of Civil Procedure7) that came into force on
Civil Procedure7) können als signifikanter December 1, 2006 are a significant turning
Wendepunkt von den herkömmlichen point in the change of focus from conven-
papierbasierten hin zu elektronischen tional paper-based to digital evidence. The
Beweisführungsregeln gesehen werden. Die Supreme Court underlined the growing im-
wachsende Bedeutung von elektronisch portance of digitally preserved information.
gespeicherten Daten wurde somit auch durch den
obersten Gerichtshof unterstrichen.
Electronic discovery, auch e-discovery oder Electronic discovery, also termed e-discov-
eDiscovery, bezieht sich dabei auf jeden Prozess ery oder eDiscovery, refers to any process
bei dem elektronische Daten abgefragt, gefunden, in which electronic data is referenced,
gesichert und gesucht werden, mit dem Ziel, sie found, saved, or searched, with the object-
bei einem Gerichtsverfahren zu verwenden. Dabei ive of using it in court. Any data can serve
können sämtliche Daten, wie z.B. Texte, Bilder, as evidence, including text, images, data-
Datenbanken, Audio-Dateien, Animationen, bases, audio files, animations, websites,
Webseiten und Programme als Beweis dienen. Die and software. But frequently, e-mail is the
wertvollsten Quellen für strafrechtliche oder zivile most important source of evidence in crim-
Gerichtsverfahren stellen aber oft E-Mails dar. inal and civil cases.
Nachdem mit Sarbanes-Oxley bereits die After Sarbanes-Oxley had already boosted
elektronische Information vor Gericht aufgewertet the importance of digital information in a
worden war schafft eDiscovery nun die rechtliche court of law, eDiscovery created the legal
Grundlage für die Anerkennung elektronsicher basis for recognizing digital information in
Seite 8 von 40
Informationen in Gerichtsverfahren. Alle Formen court. All forms of digital information, not
von elektronischen Informationen, nicht nur als just documents defined as records, are ad-
Record definierte Dokumente, können als missible as evidence. Unlike in Europe and
Beweismittel vorgebracht werden. Anders als in Germany in particular, the presence or ab-
Europa und besonders in Deutschland spielt die sence of an electronic signature is of no
elektronische Signatur dabei keine Rolle. Bei der consequence. The only thing that matters
Ermittlung gilt das als gültig, was von den is what the investigators uncover. Formerly,
ermittelnden Behörden vorgefunden wurde. Bei only paper documents were considered to
der Beweissicherung galten bisher nur be firm proof. The possibilities opened up
Papierdokumente als sicherer Nachweis. Durch by electronic research will now change this.
die Möglichkeiten der elektronischen Recherche
dürfte sich dies ändern.
eDiscovery wird nicht nur die sichere, eDiscovery will not only promote the se-
unveränderbare Speicherung von Informationen cure, edit-proof archiving or preservation of
fördern sondern mehr noch den Schutz des information, but also access protection and
Zugriffs und andere Sicherheitsaspekte. Policies other security aspects. Policies for the con-
zur kontrollierten Entsorgung von Information trolled disposal of information will grow in
werden dabei zunehmend wichtiger. importance.
Es sind aber nicht allein SOA und FRCP, die den But it is not just SOA and FRCP that have
Druck in bezug auf umfassende increased the pressure on documentation
Dokumentationsanforderungen im Umfeld der in the context of tax audits.
Steuerprüfung und Steuerfahndung erhöht haben.
Aus den CFR Code of Federal Regulations8) lassen Many other requirements for specific indus-
sich inzwischen eine Vielzahl weiterer tries and business activities can now be de-
Anforderungen für spezielle Branchen und rived from the CFR or Code of Federal Reg-
Geschäftstätigkeiten ableiten. ulations8).
7) 7)
United States Supreme Court, Federal Rules of Civil Procedure, United States Supreme Court, Federal Rules of Civil Proced-
Bundesrichtlinie für zivilrechtliche Verfahren, 2006 ure, 2006
8) National Archives and Records Administration, Code of Federal Regu- 8) National Archives and Records Administration, Code of Fed-
lations. Bundesgrundsätze für Archive eral Regulations.
Ein Beispiel ist der CFR 179), § 240, mit harten For example, CFR 179), sec. 240 strictly reg-
Regularien für Börsenmakler. Die Regeln der US- ulates stockbrokers. SEC 17A-310) and SEC
Börsenaufsicht für Aktien-Broker SEC 17A-310) 17A-4 regulations for stockbrokers define
und SEC 17A-4 definieren exakt, welche exactly what notes and documents must be
Aufzeichnungen und Belege bei einer Transaktion retained for a transaction, and what medi-
aufgehoben und auf welchem Medium sie um they must be stored on.
gespeichert werden müssen.
Ähnliche Regeln für die Finanzwelt hat die The National Association of Securities Deal-
National Association of Securities Dealers ers (NASD)11) has developed similar rules
(NASD)11) entwickelt. NASD 3010 und NASD 3110 for the financial business. For example,
beispielsweise verlangen, dass Broker und NASD 3010 and NASD 3110 require that
Händler externe Transaktionen von registrierten brokers and dealers monitor external trans-
Stellvertretern überwachen. actions via registered representatives.
Eine besondere Bedeutung hat zu dem der Patriot Of special significance is the Patriot Act12),
Act12), der weitgehenden Zugriff auf alle which allows far-reaching access to all in-
Informationen ermöglicht und eine transparente formation, and requires transparent inform-
Informationsbereitstellung fordert. ation provision.
In anderen Bereichen gibt es ebenfalls rechtliche There are also legal and regulatory require-
und regulative Vorgaben wie z.B. HIPAA13) im ments in other areas as well, for example
Krankenhaus- als auch im Versicherungsbereich, HIPAA13) for hospitals and insurers, the
den Tread Act14) mit umfangreichen Tread Act14) with comprehensive require-
Anforderungen zur Produkt-, Qualitäts- und ments concerning product, quality, and
Herstellungsdokumentation oder Regularien der manufacturing documentation, and the reg-
Seite 9 von 40
EPA, Environmental Protection Agency 15). ulations of the EPA, the Environmental Pro-
tection Agency 15).
Viele dieser Regelwerke beziehen sich auf die neu Many of these regulations cite the new FSG,
gefassten FSG, Federal Sentencing Guidelines16) the Federal Sentencing Guidelines16) of
von 2002, so dass Verstöße mit erheblichen 2002, meaning that infractions can be pun-
Strafen belegt werden können. ished with severity.
Gesetze und Regularien in den USA haben auch Laws and regulations in the US affect com-
Auswirkungen auf Unternehmen im Ausland, panies in other countries, if they are subsi-
wenn sie Tochtergesellschaften oder diaries of US companies or themselves
Muttergesellschaften amerikanischer maintain US subsidiaries, or do certain
Unternehmen sind, oder bestimmte Geschäfte in types of business in the US.
den USA abwickeln.
9)
Compliance Whitepaper, Documentum 2004, S.4 9)
Compliance Whitepaper, Documentum 2004, S.4
10)
Securities and Exchange Commission, Books and Records Re- 10)
Securities and Exchange Commission, Books and Re-
quirements for Brokers and Dealers Under the Securities Ex- cords Requirements for Brokers and Dealers Under the
change Act of 1934, 2003 Securities Exchange Act of 1934, 2003
11)
National Association of Securities Dealers, NASD 3010 und 11)
National Association of Securities Dealers, NASD 3010
NASD 3110 und NASD 3110
12)
U.S. Department of Justice , The Uniting and Strengthening 12)
U.S. Department of Justice , The Uniting and
America by Providing Appropriate Tools Required to Intercept Strengthening America by Providing Appropriate Tools
and Obstruct Terrorism Act of 2001, 2001 (Patriot Act) Required to Intercept and Obstruct Terrorism Act of
13)
United States Department of Health & Human Services, Office 2001, 2001
for Civil Rights, Health Insurance Portability and 13)
United States Department of Health & Human Ser-
Accountability Act, 2003 vices, Office for Civil Rights, Health Insurance Portabil-
14)
National Highway Traffic Safety Administration , Transporta- ity and Accountability Act, 2003
tion Recall Enhancement, Accountability and Documentation 14)
National Highway Traffic Safety Administration ,
Act , 2000 Transportation Recall Enhancement, Accountability and
15)
U.S. Environmental Protection Agency Documentation Act , 2000
16)
United States Sentencing Commission, Federal Sentencing
15)
U.S. Environmental Protection Agency
Guidelines, 2007 (Rechtsprechungsrichtlinie) 16)
United States Sentencing Commission, Federal Sen-
tencing Guidelines, 2007
Europa Europe
Auf europäischer Ebene werden durch die At the European level, the European Com-
Europäische Kommission zahlreiche Richtlinien mission develops many guidelines which the
entwickelt, die von den Mitgliedstaaten in Member States must translate into national
nationales Recht überführt werden müssen. Be- law. The guidelines on e-commerce and
reits durch die Richtlinien zum E-Commerce und electronic signature have already led to a
zur elektronischen Signatur sind eine Reihe von number of compliance requirements. Elec-
Anforderungen für Compliance entstanden. Der tronic business transactions and the switch
elektronische Geschäftsverkehr und die by public administration to electronically
Umstellung der öffentlichen Verwaltung auf supported processes will give rise to further
elektronisch unterstützte Verfahren wird weitere compliance requirements.
Compliance-Anforderungen nach sich ziehen.
Beispiele für europäische Richtlinien mit Some European guidelines have legal char-
Gesetzescharakter, die Bedeutung für die acter and affect the legal validity of digital
Rechtskraft elektronischer Dokumente besitzen documents, as well as documentation re-
und Dokumentationspflichten nach sich ziehen, sponsibilities. Examples are:
sind z.B.:
• „E-Commerce“ • “E-Commerce”
E-Commerce-Richtlinie17), die genau E-commerce guideline17) which specifies
festgelegt, was im elektronischen what is permitted and prohibited in digit-
Geschäftsverkehr erlaubt und verboten ist. al business transactions. Includes proof
Hierzu gehören auch Nachweis- und and documentation responsibilities.
Dokumentationspflichten.
Seite 10 von 40
• „E-Signatur“ • “E-Signature”
Europäische Richtlinie zur elektronischen European guideline on electronic signa-
Signatur18). Der Einsatz der elektronischen tures18), which replace paper signatures
Signatur ersetzt unter bestimmten under certain conditions. The e-signature
Voraussetzungen das Papier. Die elektronische is therefore included in numerous com-
Signatur ist daher Bestandteil zahlreicher pliance rules and regulations.
Compliance-Regelungen.
Zahlreiche andere Richtlinien der Europäischen Many other guidelines of the European
Kommission haben ebenfalls Compliance- und Commission have also given rise to compli-
Dokumentationspflichten nach sich gezogen. Die ance and documentation requirements.
größte Wirkung entwickelt jedoch zur Zeit die However, the so-called 8th Directive cur-
sogenannte 8. Direktive. rently has the greatest effect.
8. EU-Richtlinie 8th EU Directive
Die 8. Direktive setzt Standard für The 8 Directive sets the standard for the
th
Bilanzierungsrichtlinien von börsennotierten financial accounting of stock-exchange listed

Unternehmen. companies.
Am 07. Juli 2006 ist die 8. EU-Richtlinie19) („Euro On July 7, 2006 the 8th EU Directive19)
SOX“) in Kraft getreten, die für alle (“Euro-SOX”) came into force. For European
europpäischen Kapitalgesellschaften ähnliche corporations it will have similar effects to
Auswirkungen haben wird wie Sarbanes-Oxley Act Sarbanes-Oxley (SOX) in the US, and must
(SOX) in USA. Spätestens bis Juli 2008 muss die be translated into national law by July 2008
8. EU-Richtlinie in nationales Recht umgewandelt at the latest. With it, throughout the EU
sein. Damit greifen EU-weit unter anderem there will be more stringent rules on docu-
verschärfte Regeln in Bezug auf die mentation of business processes and trans-
Dokumentation der Geschäftsprozesse und – actions, and of corporate IT and communic-
transaktionen sowie der verwendeten IT- und TK- ation infrastructures.
Infrastruktur eines Unternehmens.
17)
EU-Parlament, Richtlinie 2000/31/EG, 2000 17)
European Parliament, Directive 2000/31/EG, 2000
18)
EU-Parlament und Rat, Richtlinie 1999/93/EG, 2000 18)
European Parliament and Assembly, Directive
19)
EU-Parlament und Rat, Richtlinie 2006/43/ EG, 2006 1999/93/EG, 2000
19)
European Parliament and Assembly, Directive
2006/43/ EG, 2006
Deutschland Germany
In Deutschland wird der Begriff „Compliance“ In the Germany the term “compliance” is still
zwar noch selten verwendet, doch die seldom used, but the requirements have
Anforderungen gibt es schon längst. Auch in been in place for a while. Laws such as BG-
Deutschland werden die Gesetze, wie BGB20), B20), ZPO21) or HGB22) are more and more
ZPO21) oder HGB22), immer mehr den conformant with the requirements of the in-
Anforderungen der Informationsgesellschaft formation age, and EU guidelines are being
angepasst sowie Richtlinien der Europäischen implemented in national legislation.
Kommision in nationales Recht übertragen.
In diesem Umfeld kommt der elektronischen In this context the electronic signature is
Signatur eine besondere Bedeutung zu. Der gaining importance, and is now required by
Einsatz der elektronischen Signatur findet sich almost all recent legislation. Thus, for ex-
inzwischen in nahezu allen neueren Gesetzen. So ample with digital invoices payers are al-
z.B. auch bei der elektronischen Rechnung. Zum lowed pretax deduction only with e-signed
Vorsteuerabzug berechtigen den Empfänger nach invoices. Since the e-invoice constitutes the
§ 14 Abs. 4 Satz 2 UStG nur elektronisch original, it must be stored electronically.
signierte Rechnungen. Da die elektronische Here, new laws and regulations interact, and
Rechnung das Original darstellt, ist es auch the signature law and changes to the BGB
elektronisch aufzubewahren. Hier greifen die (German Civil Code) and ZPO (German Code
verschiedenen neuen Gesetze und Regelungen of Civil Procedure) mandating the electronic
Seite 11 von 40
ineinander. Das Signaturgesetz und die Änder- signature are reflected in trade and tax law.
ungen von BGB Bürgerlichem Gesetzbuch und
ZPO Zivilprozessordnung zur Verankerung der
elektronischen Signatur finden ihren Widerhall in
der Handels- und Steuergesetzgebung.
Aktuelle Beispiele sind das EHUG und die Current examples are the EHUG and the ex-
Erweiterung des Anwendungsbereiches der tension of the application area of the GDPdU
GDPdU durch aktuelle Gerichtsurteile. In eine (German Data Access and Digital Signature
ähnliche Kerbe wie die GDPdU schlägt auch das Authentication Law) by recent court de-
Gesetz zu den Dokumentationspflichten bei cisions. The GAUFZ 23) is in a similar vein, but
Verrechnungspreisen. die unlike the GDPdU it is enforced by criminal
Gewinnabgrenzungsaufzeichnungsverordnung penalties.
(GAUFZ)23), die anders als die GDPdU bereits
direkt strafbewehrt ist.
EHUG und E-Mail-Management “EHUG” and E-Mail Management
Das bundesweite Elektronische Handels- und The national electronic commercial and com-
Genossenschaftsregister (EHUG)24), welches am 1. pany registry (EHUG)24), which came into
Januar 2007 in Kraft getreten ist, stellt eine force January 1, 2007, is a digital version of
digitale Version des Handelsregisters dar. the commercial registry. Corporations are re-
Kapitalgesellschaften sind verpflichtet, ihre quired to submit their accounts to the elec-
Abschlüsse beim elektronischen Bundesanzeiger tronic Federal Bulletin. Failure to comply is
einzureichen. Verstöße gegen die punishable by a fine of up to 25,000 Euros
Offenlegungspflicht werden mit bis zu 25.000 by the government administrative offices
Euro von den Verwaltungsbehörden, welche vom who draw their information from the elec-
elektronischen Bundesanzeiger informiert werden, tronic bulletin.
geahndet.
20)
BGB Bürgerliches Gesetzbuch, §§ 126, 127 20)
BGB, German Civil Code §§ 126, 127
21)
ZPO Zivilprozessordnung, §§ 292a, 286, 130, 371 21)
ZPO, German Code of Civil Procedure §§ 292a, 286,
22)
HGB Handelsgesetzbuch, §§ 239, 257 130, 371
23)
GAUFZ Gewinnabgrenzungsaufzeichnungsverordnung
22)
HGB, German Commercial Law §§ 239, 257
24)
EHUG Elektronisches Handels- und Genossenschaftsregister
23)
GAUFZ, German Regulation on Recording Profit
Accruals
24)
EHUG, German Electronic Commercial and Company
Registry
Das EHUG hat eine Reihe von Änderungen auch The EHUG has caused a series of modifica-
in anderen Gesetzen wie z.B. für GmbHs und tions to other laws relevant for registered
AGs nach sich gezogen. Eine regelung betrifft companies and their responsible managers.
die Angabe der kompletten Firmierungs- und One rule concerns the naming of complete
Verantwortungsangaben in der Signatur von E- company and responsibility information in e-
Mails. Was längst schon galt wird hierdurch jetzt mail signatures. This codifies what every-
jedem deutlich gemacht: E-Mails sind body already knew – that e-mails are busi-
Geschäftsbriefe und sind dementsprechend ness correspondence, and must be archived
aufzubewahren. as such.
Dies hat ein wahren Boom bei der E-Mail-Archi- This has launched a boom in e-mail archiv-
vierung ausgelöst. Dabei wird häufig übersehen, ing, but implementers often overlook the fact
dass E-Mails in einen Geschäftszusammenhang that e-mails belong in a business context,
gehören und nicht isoliert archiviert werden and should not be archived in isolation. They
sollten. Sie müssen zusammen mit anderen need to be preserved together with other
Dokumenten in Kunden-, Sach-, Projekt- oder documents by customer, matter, project, or
anderen Akten gemeinsam verwaltet werden, associated files, so that the completeness
damit die Vollständigkeit und and auditability of the business procedure is
Nachvollziehbarkeit des Geschäftsganges assured.
gewährleistet ist.
Seite 12 von 40
Da jeder Mitarbeiter im Unternehmen Since any employee in a company can be

Empfänger wie Versender von sender or recipient of relevant e-mails, any
geschäftsrelevanten E-Mails sein kann, ist and all technology solutions must be under-
jedwede technische Lösung durch pinned by organizational measures.
organisatorische Maßnahmen zu unterfüttern.
GDPDU: aktuelle Urteile “GDPDU”: Current verdicts
Nach den Grundsätzen zum Datenzugriff und zur According to the German Data Access and
Prüfbarkeit digitaler Unterlagen (GDPdU)25) sind Digital Signature Authentication law (GDP-
alle steuerlich relevanten Daten auswertbar über dU)25), all tax-related information must be
den zeitraum der Aufbewahrungsfristen nach stored in interpretable form for the perod of
HGB auswertbar aufzubewahren und für time mandated by the Commercial Code, and
Prüfungen zugänglich zu machen. made available for audits.
Die GDPdU sind eine Verordnung, die auf den The GDPdU is a regulation that is based on
Änderungen im Steueränderungsgesetz und canges in the tax change law and commer-
HGB Abgabenordnung, §§ 146, 147 und 200, cial code tax regulation, sections 146, 147,
basiert. Sie stellen eine Richtlinie für das and 200. It provides a guideline for tax au-
Vorgehen der Finanzbehörden bei thorities to use in auditing. Companies must
Außenprüfungen dar. Die Unternehmen müssen ensure that all tax-relevant data is preserved
sicherstellen, dass alle steuerrelevanten Daten identifiably, unchanged, and completely, for
identifiziert, unverändert und vollständig und a period of 10 years. The original data must
über einen Zeitraum von 10 Jahren aufbewahrt be complete, correct, and interpretable,
werden. Die originalen Daten müssen either in their origination systems or in digit-
vollständig, richtig und auswertbar entweder in al archives. Documents and e-mails play an
den sie erzeugenden Systemen vorgehalten increasingly important role for the GDPdU,
oder aber in elektronische Archive ausgelagert alongside ERP and bookkeeping systems.
werden. Auch bei den GDPdU spielen inzwischen
Dokumente und E-Mails neben den Daten aus
ERP- und Buchhaltungssystemen eine
zunehmend wichtigere Rolle.
25)
GDPdU Grundsätze zum Datenzugriff und zur Prüfbarkeit 25)
GDPdU Data Access and Digital Signature Authentica-
digitaler Unterlagen, 2001 tion law, 2001
Seite 13 von 40
Bereits in einer Reihe von Verfahren vor Interpretation of GDPdU has already been a
Finanzgerichten war die Auslegung der GDPdU ein topic of debate in a number of Finance
Thema. Während frühere Urteile der Court cases. While 2006 verdicts of the Fin-
Finanzgerichte Rheinland-Pfalz und Hamburg aus ance Courts of the states of Rhineland-
dem Jahr 2006 das Recht auf Datenzugriff noch Palatinate and Hamburg limited the right to
an vielen Stellen eingeschränkt und damit den data access at many points and thus sup-
Steuerpflichtigen unterstützt haben, weisen die ported the taxpayer, the verdicts of the
Urteile der Düsseldorfer Fi-nanzrichter nun in eine Düsseldorf Finance Court go in a different
andere Richtung. Beide Entscheidungen vom 5. direction. Both verdicts of February 5, 2007
Februar 2007 beschäftigen sich im Kern mit der ultimately involve the scope of data access,
Reichweite des Datenzugriffs, also mit dem i.e. how far a digital audit can go, and in-
Umfang, welcher einer digitalen Betriebsprüfung terpret this in a way that goes beyond the
zu Grunde zu legen ist und interpretieren diesen previous interpretation of the literature and
in einer Art, welche über das bisherige official usage. In doing this, the judges
Verständnis von Literatur und Verwaltung made some individual definitions of GDPdU
hinausgeht. Dazu haben die Richter teilweise terminology, thereby opening up new
eigenständige Definition von GDPdU-Begriffl- points for discussion.
ichkeiten vorgenommen und damit neue
Diskussionspunkte eröffnet.
Steuerrelevanz versus Steuerauswirkung: Tax-relevance vs. tax effect:
Die Finanzbehörde darf im Rahmen des Tax authorities can, within the framework
steuerlichen Datenzugriffs auch auf solche Konten of tax data access, access accounts of com-
der handelsrechtlichen Finanzbuchhaltung mercial-law bookkeeping that record non-
zugreifen, auf denen steuerlich nicht abzugsfähige tax-deductible business expenses. Per Sec.
Betriebsausgaben verbucht werden. Auf der 147 para. 1 through 6 of the Tax Procedure
Grundlage des § 147 Abs. 1 i. V. m. Abs. 6 AO Act (AO), tax authorities may, for the pur-
darf die Finanzverwaltung für Zwecke der poses of tax auditing, access only such
steuerlichen Außenprüfung ausschließlich auf data as is relevant to tax assessment.
Daten zugreifen, die für die Besteuerung von Companies affected by data access have
Bedeutung sind. Die vom Datenzugriff betroffenen therefore always tried to limit the digital
Unternehmen sind deshalb seit jeher darauf search scope of auditors to data records to
bedacht, das digitale Suchfeld des Betriebsprüfers which this right to data access applies. The
auf solche Datenbestände zu begrenzen, die vom Düsseldorf Finance Court supported the
Sinn und Zweck des Rechts auf Datenzugriff view of the tax office, and had no serious
gedeckt sind. Das Finanzgericht Düsseldorf gab doubts as to the legality of data access to
der Auffassung des Finanzamts Recht und sah such formerly closed accounts. The digital
keine ernstlichen Zweifel an der Rechtmäßigkeit account entries in question were “books” in
des Datenzugriffs auf die ursprünglich gesperrten the sense of Sec. 147 para. 1 no. 1 of the
Konten. Bei den fraglichen digitalen Tax Procedure Act, which – based on com-
Kontoaufzeichnungen handele es sich um mercial law – fulfill the function of docu-
„Bücher“ i.S.d. § 147 Abs. 1 Nr. 1 AO, die – menting a businessperson’s commercial
anknüpfend an das Handelsrecht – die Funktion business and the position of his company.
erfüllen, für einen Kaufmann seine The tax relevance required by GDPdU can-
Handelsgeschäfte und die Lage seines not be made equivalent to the tax con-
Unternehmens zu dokumentieren. Die im Rahmen sequence, as claimed by the company in-
der GDPdU geforderte steuerliche Relevanz kann volved in the case. Further, the own tax rel-
nicht mit der vom betroffenen Unternehmen evance is always based on the extent to
angeführten steuerlichen Auswirkung which the documents in question are relev-
gleichgesetzt werden. Dabei habe sich die ant to the accounts and therefore to under-
eigentliche Steuerrelevanz stets auch daran zu standing them.26)
orientieren, inwieweit die in Frage kommenden
Unterlagen einen Bezug zur Buchführung
aufwiesen und mithin zu deren Verständnis
erforderlich seien. 26)
26)
PROJECT CONSULT, Newsletter 20070720, 2007 26)
PROJECT CONSULT, Newsletter 20070720, 2007
Seite 14 von 40
GDPdU-Begrifflichkeiten neu definiert: GDPdU terms redefined:

Werden Eingangsbelege beim Steuerpflichtigen If the taxpayer scans and stores incoming
gescannt, gespeichert und die Originale records and then destroys the originals, the
anschließend vernichtet, so erstreckt sich das right to access as part of electronic tax
Zugriffsrecht im Rahmen der elektronischen audit extends to the records thus gener-
Steuerprüfung auch auf derart erzeugte ated. The taypayer must organize these re-
Datenbestände. Der Steuerpflichtige muss diese cords in such a way that allowable access
Datenbestände so organisieren, dass bei einer does not touch protected areas of the com-
zulässigen Einsichtnahme keine geschützten pany. The IT access of the tax office is
Bereiche des Unternehmens tangiert werden. Der solely for records that were originally in di-
EDV-Zugriff der Finanzverwaltung bezieht sich gital form. This means that taypayers are
grundsätzlich auf solche Datenbestände, die not obliged to scan or digitize paper docu-
originär bereits in elektronischer Form vorliegen. ments. With regard to the widely discussed
Dies schließt eine Verpflichtung zum Einscannen scope of digital tax audit, there is increas-
oder Digitalisieren von Papierdokumenten aus. In ingly the question of to what extent digit-
Bezug auf den viel diskutierten Umfang einer ized incoming records, whose paper origin-
digitalen Betriebsprüfung stellt sich jedoch als were destroyed, should be made avail-
vermehrt die Frage, inwieweit digitalisierte able to auditors in digital form as well. The
Eingangsbelege, deren Papieroriginal vernichtet Düsseldorf Finance Court gave the tax of-
wurde, dem Betriebsprüfer auch in digitaler Form fice the right to gain access to the docu-
zur Verfügung zu stellen sind. Das Finanzgericht ments in question from the companies’ sys-
Düsseldorf gestand dem Finanzamt das Recht zu, tems, and display them on-screen. The leg-
auf die fraglichen Belege aus dem System des al basis for this is provided, in the opinion
Unternehmens heraus zuzugreifen und diese am of the court, by Sec. 147 para. 6 sentence
Bildschirm einzusehen. Die Rechtsgrundlage 1 of the Tax Procedure Act. 27)
hierfür ergibt sich nach Auffassung der Richter
bereits aus § 147 Abs. 6 Satz 1 AO. 27)
Während die bisherige Rechtsprechung eher in While previous verdicts tended to side with
Richtung Unternehmensseite tendierte, ver- business, these provisional verdicts by the
schaffen die beiden nun vorliegenden vorläufigen Düsseldorf Finance Court give the tax office
Entscheidungen aus Düsseldorf der significant backup. Companies should pay
Finanzverwaltung einen deutlichen Rückenwind. special attention to the verdict on digitized
Die Unternehmen sollten insbesondere das Urteil originals in their future GDPdU strategies,
betreffend die digitalisierten Originalbelege in ihre and ensure good data access plus separa-
künftige GDPdU-Strategie einbeziehen und einen tion into tax-relevant and irrelevant docu-
adäquaten Datenzugriff nebst Trennung in ments. In this context, process documenta-
steuerlich relevante und irrelevante Unterlagen tion should not be forgotten. To the extent
einplanen. Was man in diesem Zusammenhang that outside auditors themselves use such
nicht vergessen sollte, ist das derzeit häufig systems for direct and indirect access,
bemühte Thema der Verfahrensdokumentation. In evidence of proper processing, use, and
dem Maße, wie der Außenprüfer selbst solche operation will become ever more import-
Systeme für den Z1- und Z2-Zugriff benutzt, wird ant.
der Nachweis von ordnungsgemäßer
Verarbeitung, Nutzung und Betrieb immer
wichtiger.
27)
PROJECT CONSULT, Newsletter 20070720, 2007 27)
PROJECT CONSULT, Newsletter 20070720, 2007
Seite 15 von 40
Verfahrensdokumentation nach GoBS „GoBS Verfahrensdokumentation“
Die Anforderungen an eine Requirements for process documentation are

Verfahrensdokumentation sind in den laid down in GoBS (Basic Regulations for DP-
Grundsätze ordnungsgemäßer DV-gestützter supported Accounting Systems) 28), which are
Buchführungssysteme (GoBS)28) niedergelegt. derived from the German Commercial
Die GoBS selbst leiten sich aus dem Code29) and Tax Procedure Act30). They rep-
Handelsgesetzbuch29) und der resent a kind of translation to the digital
Abgabenordnung30) ab. Sie stellen quasi eine world of the requirements for paper-based
Übertragung der Anforderungen, die documentation.
ursprünglich für eine papiergebundene
Dokumentation gedacht waren, in die elektro-
nische Welt dar.
In den GoBS wird die Behandlung The GoBS regulates the treatment in elec-
aufbewahrungspflichtiger Daten und Belege in tronic accounting systems of custodyworthy
elektronischen Buchführungssystemen sowie in data and documents, and deals with process
revisionssicheren Dokumentenmanagement- technologies such as scanning and data
und Archivsystemen geregelt. Die GoBS transfer. A core point is the Internal Control
behandeln dabei auch Verfahrenstechniken wie System (ICS). Process documentation must
Scannen und Datenübernahme. Ein wesentlicher contain all information needed to demon-
Kernpunkt ist das so genannte Interne strate the proper operation of the system.
Kontrollsystem (IKS). Die From the German Commercial Code, the Tax
Verfahrensdokumentation muss alle Angaben Procedure Act, and the GoBS are derived the
zum Nachweis des ordnungsmäßigen Betriebes basic requirements for documentation and
des Systemes beinhalten. Aus HGB, AO und preservation:
GoBS leiten sich auch die grundsätzlichen
Anforderungen an die Dokumentation und
Aufbewahrung ab:
• Ordnungsmäßigkeit • Proper procecure
• Vollständigkeit • Completeness
• Sicherheit des Gesamtverfahrens • Security of the overall process
• Protection from editing and falsification
• Schutz vor Veränderung und Verfälschung
• Protection from loss
• Sicherung vor Verlust
• Nutzung nur durch Berechtigte
• Use only by authorized persons
• Einhaltung der Aufbewahrungsfristen • Mandated retention periods
• Dokumentation des Verfahrens • Documentation of the process
• Nachvollziehbarkeit • Traceability
• Prüfbarkeit 31) • Auditability 31)
Dokumentationspflichten ergeben sich jedoch Documentation is mandatory not just for

nicht nur für den handelsrechtlichen und commercial law and tax-related matters, but
steuerrechtlichen Bereich sondern gelten auch for all other areas touched on by legislation
alle anderen Anwendungsgebiete, die gesetzlich and regulations. The principles given above
oder regulativ betroffen sind. Die oben from commercial law thus essentially apply
aufgeführten Grundsätze aus dem Handelsrecht to all compliance requirements.
gelten so im Prinzip für alle Compliance-
relevanten Anforderungen.
28)
GoBS Grundsätze ordnungsmäßiger DV-gestützter 28)
GoBS, Basic Regulations for DP-supported Accounting
Seite 16 von 40
Buchführungssysteme, 1995 Systems, part of the German commercial laws, 1995

29)
HGB Handelsgesetzbuch, §§ 239, 257 29)
HGB, German Commercial Law §§ 239, 257
30)
AO Abgabenordnung, §§ 146, 147, 200 30)
AO Tax Procedure Act, §§ 146, 147, 200
31)
PROJECT CONSULT, Artikel “Verfahrensdokumentation leicht 31)
PROJECT CONSULT, article “Verfahrensdokumentation
gemacht”, 2001 leicht gemacht”, 2001
Österreich und die Schweiz Austria and Switzerland

In Österreich sieht die Situation nicht viel The situation in Austria does not differ
anders aus als in Deutschland. Die Unterschiede greatly from that in Germany. The differ-
liegen nur im Detail. Dies ist darauf ences are only in details. This is due to the
zurückzuführen, dass die wesentlichen fact that the basic compliance requirements
Compliance-Anforderungen auf den are based on the same European
europäischen Richtlinien basieren. Auch in guidelines. Like in Germany, in Austria the
Österreich ist analog zum BGB in Deutschland electronic signature is legally binding, and
die elektronische Signatur verankert, auch commercial and tax law provisions are sim-
Österreich kennt im Handelsrecht und in der ilar to those in Germany in matters such as
Abgabenordnung ähnliche Bestimmungen wie in digital information storage completeness,
Deutschland. Dies gilt z.B. für die Aufbewahrung identical nature of content, orderliness, and
von elektronischen Informationen in Bezug auf faithfulness to the original. While it may
Vollständigkeit, Inhaltsgleichheit, Geordnetheit seem that in Austria data for tax audits
und Urschriftstreue. Auch wenn die need only be held in list form, the same re-
Bereithaltung von Daten zur steuerlichen quirements apply in terms of interpretablity
Prüfung in Österreich in Listenform ausreichend of data. To prevent VAT fraud, essentially
erscheint, ist die Forderung der Auswertbarkeit the same rules apply to digital invoices as
die Gleiche. Zur Vermeidung des in Germany.
Umsatzsteuerbetruges finden sich natürlich auch
die Regelungen zur elektronischen Rechnung
wieder.
Im Jahr 2007 wurde das UGB In 2007 the new Business Code32) came into
Unternehmensgesetzbuch32) in Kraft gesetzt, force, replacing the former Austrian Com-
dass das bisherigeösterreichische HGB mercial Code. The Business Code contains
Handelsgesetzbuch ablöst. Aus dem neuen UGB numerous requirements concerning inform-
ergeben sich zahlreiche Informations- und ation and documentation. The header
Dokumentationspflichten Unter der Überschrift “Geschäftspapiere und Bestellscheine“
„Geschäftspapiere und Bestellscheine“ werden (Business Documents and Order Forms)
die Mindestangaben festgelegt, die für lays down the minimum information re-
Geschäftsbriefe und ähnliche Dokumente gelten. quired for business letters and similar docu-
Es müssen die Firma, die Rechtsform und der ments – company, legal form, office loca-
Sitz sowie auch Firmenbuchnummer und – tion, registry number and legal domicile.
Gericht angegeben werden. Die neuen The new rules apply not just to business
Bestimmungen gelten nicht mehr nur für documents and order forms, but also to e-
Geschäftspapiere und Bestellscheine, sondern in mails and websites, supplementing the
Ergänzung zu den Bestimmungen des MedG33) rules laid down in the Media Law33).
auch für E-Mails und Webseiten.
32)
UGB Unternehmensgesetzbuch, 2007 32)
UGB Business Code, 2007
33)
MedG Mediengesetz, 2005 33)
MedG Media Law, 2005
Seite 17 von 40
Selbst die Schweiz hat als nicht EU-Mitglied Switzerland, while not in the EU, has also
inzwischen die wesentlichen Gesetze und aligned its laws and regulations with the EU
Verordnungen an die europäischen Vorgaben step by step. This is evident in the Code of
schrittweise angeglichen. Dies zeigt sich z.B. im Obligations in the rules for accounting, OR
Obligationenrecht in den Bestimmungen über die Art. 957ff, which regulate the retention of
Buchführung OR Art. 957ff, die die Aufbewahrung business correspondence, accounts, and ac-
von Geschäftskorrespondenz, der Bücher und der counting records in digital form.
Buchungsbelege in elektronischer Form regeln.
Ein wesentliches Dokument ist die GeBüV34), The GeBüV34), the law governing the main-
Geschäftsbücherverordnung bzw. die Verordnung tenance and retention of accounts, is a key
über die Führung und Aufbewahrung der document.
Geschäftsbücher.
• Die GeBüV legt fest, wie die • The GeBüV mandates which business
Geschäftsunterlagen geführt und aufbewahrt documents must be kept and retained.
werden müssen
• Die GeBüV beinhaltet die Grundsätze der • The GeBüV contains the principles of or-
ordnungsgemässen Buchführung sowie die derly accounting and data processing of
Grundsätze der ordnungsgemässen digital or similarly kept accounts.
Datenverarbeitung bei elektronisch oder in
vergleichbarer Weise geführten Büchern
• Die GeBüV hält die Anforderungen an • The GeBüV contains requirements con-
Integrität, zulässige unveränderbare cerning data integrity, permissible edit-
Speichermedien und andere Spezfikationen proof storage media, and other coompli-
mit Compliance-Relevanz fest ance-relevant specifications.
Weitere Gesetze regeln sehr dediziert und mit Other dedicated laws regulate documenta-
Hinweisen auf geeignete tion custodyworthiness and retention peri-
Speichertechnologien und elektronische ods, and refer to suitable storage technolo-
Signatur die Dokumentations- und gies and to electronic signatures, including
Aufbewahrugnspflichten auch außerhalb des outside the context of commercial law.
Handelsrechtes.
Angesichts des Zusammenwachsens der As the European Union member states be-
europäischen Union und ihrer Mitglieds- come more tightly integrated, the growth of
staaten wird durch den grenzüber- cross-border business and electronic ser-
schreitenden Geschäftsverkehr und über das vices over the Internet makes a uniform leg-
Internet abrufbare elektronische Dienst- al space indispensable, particularly as con-
leistungen ein einheitlicher Rechtsraum cerns commercial and tax law. Accordingly,
insbesondere im Handels- und Steuerrecht the resulting compliance requirements are
unerlässlich. Dementsprechend werden sich becoming ever more similar across Europe.
auch die daraus abgeleiteten Compliance-
Anforderungen immer einheitlicher und
europaweit ausgreifender gestalten.
Seite 18 von 40
34)
Verordnung über die Führung und Aufbewahrung der 34)
GeBüV law governing the maintenance and retention of
Geschäftsbücher (GeBüV Geschäftsbücherverordnung) accounts
Branchenspezifische Regularien Industry-Specific Regulations

Neben den Richtlinien, die für alle Unternehmen, In addition to guidelines that apply equally
Organisationen, Behörden und Personen to all companies, organizations, authorities,
gleichmaßen gelten, gibt es zahlreiche spezielle and persons, there are numerous special
Regelungen für bestimmte Branchen, die regulations for individual industries, govern-
öffentliche Verwaltung und ment administration, and business areas.
Geschäftstätigkeitsgebiete. Hierbei gibt es These can be national as well as internation-
internationale wie auch nationale Regelungen. al.
So ist die FDA Food and Drug Administration35) Thus, the US Food and Drug Administra-
aus den USA, mit ihren bindenden Regularien für tion35) (FDA), with its binding regulations
die Herstellung von Lebensmitteln, concerning pharmaceuticals and medica-
Pharmazeutika und Medikamenten auch über die tions, has effects beyond the borders of the
Grenzen der Vereinigten Staaten zu beachten. Bei United States. A document management
der Beantragung eines neuen Medikamentes, mit system usually pays for itself just in apply-
Vorlage von allen Testnachweisen und Produk- ing for a permit for a new medication, for
tionsverfahren, hat sich die Anschaffung eines providing all documentation on tests and
Dokumentenmanagementsystems meistens production processes to FDA criteria, abbre-
bereits gelohnt. die FDA-Kriterien, auch viated as FDA Part 1136). To standardize
abgekürzt unter FDA Part 1136) bekannt. Um manufacturing methods, the FDA has
Herstellungsmethoden zu standardisieren hat die brought out a regulation called CGMP37). One
FDA ein Regelwerk mit der Bezeichnung CGMP37) of the FDA’s basic requirements is that digit-
herausgebracht. Eine grundsätzliche Forderung al records be equivalent to paper records,
der FDA ist, dass elektronische Aufzeichnungen and that electronic signatures have the
äquivalent zu Papieraufzeichnungen sind und same significance and uniqueness as hand-
elektronische Unterschriften die gleiche written signatures. The corresponding regu-
Aussagekraft und Eindeutigkeit wie lations at the European level are GxP38) with
handgeschriebene Unterschriften haben. Auf the GSP and GMP39) sections.
europäische Ebene sind die entsprechenden
Regualarien als GxP38) mit den Teilen GSP und
GMP39) einzuhalten.
Den Gesundheitssektor in den USA reguliert In the US, the HIPAA40) regulates the health
HIPAA40). Das Ziel von HiPAA ist die Vordergrund industry. HIPAA’s primary goal is health in-
steht die Reformierung der Gesundheitspflege- dustry reform, and legislation aims at great-
Industrie. Die Gesetzgebung strebt nach größerer er economy, reduction in paperwork, and
Wirtschaftlichkeit, Verringerung von Schreib- simpler identification and tracing of fraud by
arbeiten und einfacher Identifizierung und mandating standards and safety measures
Weiterverfolgung von Betrug durch die to combat the misuse of citizens’ health in-
Auferlegung von unterschiedlichen Normen und formation. Thus, HIPAA contains numerous
Sicherheitsmaßnahmen gegen den Missbrauch documentation and confidentiality require-
von gesundheitsbezogenen Angaben des Bürgers. ments.
HIPAA beinhaltet so zahlreiche Dokumentations-
und Vertraulichkeitsanforderungen.
35)
U.S. Food and Drug Administration 35)
U.S. Food and Drug Administration
36)
U.S. Food and Drug Administration, Federal Register Part II, 36)
U.S. Food and Drug Administration, Federal Register
21 CFR Part 11; allgemein als “FDA-Richtlinie” bekannt Part II, 21 CFR Part 11
37)
U.S. Food and Drug Administration , Current Good Manufac- 37)
U.S. Food and Drug Administration , Current Good
turing Practices Manufacturing Practices
38)
Zusammenstellung der “guten Arbeitspraxis” für die 38)
Compilation of “Good practices” containing GLP, GSP,
Seite 19 von 40
Pharmabranche mit GLP, GSP, GMP GMP

39)
“Good Storage Practice” und “Good Manufacturing Practice” 39)
“Good Storage Practice” and “Good Manufacturing
40)
United States Department of Health & Human Services, Of- Practice”
fice for Civil Rights, Health Insurance Portability and Ac- 40)
United States Department of Health & Human Ser-
countability Act vices, Office for Civil Rights, Health Insurance Portabil-
ity and Ac-countability Act
Aus den USA kommt auch der defacto Standard The de-facto standard for records manage-
für das Records Management: DoD 5015.241) im ment comes from the US, DOD 5015.241) for
militärischen Umfeld. Der Standard des military contexts. This Department of De-
Departement of Defense definiert die fense standard defines the basic require-
grundsätzlichen Anforderungen an Dokumenten- ments for document and records manage-
Management und Records-Management-Systeme. ment systems. This standard must be ad-
Die Einhaltung der Standards ist für alle hered to by all manufacturers hoping to sell
Hersteller erforderlich, die für die Bundes- to the US government in military and quasi-
verwaltung in den USA im militärischen und military areas.
angrenzenden Bereich anbieten wollen.
Ein Beispiel für einen detaillierten Standard für The German DOMEA concept42) is a good ex-
den Einsatz elektronischer ample of a detailed standard for digital pro-
Vorgangsbearbeittungssysteme ist das deutsche cess management systems. DOMEA dis-
DOMEA-Konzept42) DOMEA beschreibt die cribes the requirements for document man-
Anforderungen an das Dokumentenmanagement agement and electronic archiving in public
und elektronische Archivierung in der öffentlichen administration, and permits the testing and
Verwaltung und ermöglicht auch die Prüfung und certification of products in this area. DOMEA
Zertifizierung von etsprechenden Produkten. compliance is a requirement in many RFPs.
DOMEA-Compliance ist bei vielen The fundamental objective of DOMEA is the
Ausschreibungen eine Anforderung. Wesentliches introduction of the virtual folder. Since the
Ziel des DOMEA-Konzeptes ist die Einführung der same laws, business regulations, guidelines,
elektronischen Akte. Da für diese die gleichen and requirements exist for these as for pa-
Gesetze, Geschäftsordnungen, Richtlinien und per folders, official processes, procedures,
Vorschriften wie für Papierakten gelten, müssen and archiving must be transferred to fully
behördliche Geschäftsprozesse, conformant IT processes. The DOMEA
Vorgangsbearbeitung und Archivierung concept supplies guidelines for this, but des-
vollständig in konforme IT-Prozesse überführt pite its widespread use and certificability, it
werden. Das DOMEA-Konzept liefert dafür is not an official standard.
Richtlinien, ist aber trotz seiner weiten
Verbreitung und der Möglichkeit der Zertifizierung
kein genormter Standard.
Seite 20 von 40
41)
Department of Defense, Electronic records management soft- 41)
Department of Defense, Electronic records manage-
ware applications design criteria standard, 2007, allgemein ment software applications design criteria standard,
als DoD 5015.2 bekannt 2007, generically referred to as DoD 5015.2
42)
DOMEA Dokumenten-Management und elektronische 42)
DOMEA document management and electronic archiv-
Archivierung. Aktuell DOMEA Version 2 ing. Current Version is DOMEA Version 2
Corporate Governance 3 Corporate Governance
„Information Management Compliance darf “Information Management Compliance

nicht isoliert betrachtet werden. Compliance cannot be seen in isolation. Compliance
muss Bestandteil der Corporate Governance must become part of Corporate Gov-
des Unternehmens und ständiger Begleiter ernance and an integral part of all pro-
aller Prozesse werden.“ 43) cesses.” 43)
Hinter Schlagworten wie Corporate Governance, Behind terms like corporate governance, en-
Enterprise Information Policy oder Records terprise information policy or records man-
Management Policy und Projekten zur agement policy, and projects for the imple-
Erarbeitung und Einführung solcher Regelwerke mentation of such policies, are many ap-
verbergen sich auch viele Ansätze zur Lösung proaches to meeting compliance require-
von Compliance-Anforderungen. ments.
Corporate Governance beinhaltet die rechtlichen Corporate governance covers the legal and
und institutionellen Rahmenbedingungen, die institutional framework, which have proxim-
mittelbar oder unmittelbar Einfluss auf die ate or immediate influence on management
Führungsentscheidungen eines Unternehmens decisions and thus company success.
und somit auf den Unternehmenserfolg haben.
Der Ursprung für Corporate Governance liegt The origins of corporate governance in this
bereits in den 30er Jahren, als man sich sense lie in the 30s, with the goal of
verstärkt Gedanken über die Rechte der strengthening shareholders’ rights.
Aktionäre machte.
Corporate Governance Richtlinien Corporate Governance Guidelines
• International wurden Corporate Governance • Internationally, corporate governance

durch die OECD in Gestalt der „Principles of principles were laid down in 1984 by the
Corporate Governance“ 1984 verankert und OECD in the form of “Principles of Cor-
2004 aktualisier.t44) porate Governance,” and updated in
2004.44)
• Die Europäische Kommission hat im Jahr • In 2004 the European Commission cre-
2004 ein European Corporate Governance ated a European Corporate Governance
Forum45) als Beratungsgremium eingerichtet, Forum45) as an advisory body, which
ohne jedoch bisher eine verbindliche however has not resulted in a binding
Richtlinie herauszugeben. guideline as yet.
• In Deutschland hat das Bundesministerium • In Germany, the Federal Justice Ministry

der Justiz im Jahr 2002 den Corporate- published the Corporate Governance
Governance-Kodex veröffentlicht. Dieser hat Code in 2002. This has consequences for
Auswirkungen auf die Unternahmensgesetze the corporate laws KonTraG and UMAG,
KonTraG und UMAG sowie auf das Handels- as well as commercal and tax law, and
und Steuerrecht und auf den consumer protection.46)
Verbraucherschutz. 46)
Seite 21 von 40
43)
Ulrich Kampffmeyer, IMC Information Management 43)
Ulrich Kampffmeyer, IMC Information Management
Compliance Policies und ihre Umsetzung. 2006 Compliance Policies und ihre Umsetzung. 2006
44)
OECD Principles of Corporate Governance, 2004 44)
OECD Principles of Corporate Governance, 2004
45)
Europäische Kommission, European Corporate Governance 45)
European Commission, European Corporate
Forum, 2004 Governance Forum, 2004
46)
DCGK Deutscher Corporate Governance Kodex, 2002 46)
DCGK German Corporate Governance Code, 2002
• In Österreich gibt es den ÖCGK • In Austria there is the ÖCGK, the Austri-
Österreichischen Corporate Governance an Corporate Governance Code, pub-
Kodex, der im Jahr 2002 veröffentlicht lished in 2002. This follows international
wurde und sich an den internationalen precedents.
Vorgaben orientiert.
• In der Schweiz gibt es nur einen freiwilligen • In Switzerland there is only a volutary
Swiss Code of Best Practice aus dem Jahr Swiss Code of Best Practice from 2002.
2002.
Compliance und Information Management Com- Compliance and information management
pliance müssen in der Corporate Governance compliance must be anchored in corporate
verankert sein. Corporate Governance und governance. Corporate governance and com-
Compliance müssen auch die Umsetzung von pliance must take into account the imple-
Prozessen und die Aufbewahrung von mentation of processes and retention of doc-
Dokumenten berücksichtigen und uments, create requirements for IT
entsprechende Vorgaben für die IT-Strategie strategies, and monitor their implementa-
machen und deren Umsetzung überprüfen. tion.
Risiko-Management Risk Management

Würde man alle nur denkbaren und eine A company that tried to account for all ima-
spezifische Situation betreffenden Compliance- ginable compliance requirements in a specific
Anforderungen im Unternehmen vollständig situation, and support it with technical sys-
umsetzen und durch technische Systeme tems, would come to a standstill. Risk man-
unterstützen wollen, käme die agement is therefore an important element
Geschäftstätigkeit zum Erliegen. Risiko- in corporate governance und information
Management ist daher ein wichtiger Bestandteil management compliance.
von Corporate Governance und Information
Management Compliance.
Die Risiken müssen erhoben, aufbereitet und Risks must be assessed and evaluated, and
bewertet werden. Maßnahmen zur Vermeidung action taken to prevent them and meet rel-
der Risiken und zur Einhaltung der relevanten evant compliance requirements. Manage-
Compliance-Anforderungen sind zu treffen. ment must take responsibility for the extent
Dabei obliegt es der Geschäftsführung bzw. dem of action planned and taken. According to
Vorstand eines Unternehmens die corporate governance and business law, this
Verantwortung für den Umfang der Maßnahmen is the job of the people and committees re-
und deren Einhaltung zu übernehmen. sponsible for a business. This includes the
Entsprechend Corporate Governance und supervisory board of joint stock corporations.
Unternehmensgesetzen ist dies auch genau die
Aufgabe der für die Geschäftstätigkeit
verantwortlichen Personen und Gremien. Diese
Verantwortung schließt heute bei
Aktiengesellschaften auch den Aufsichtsrat ein.
Seite 22 von 40
In Bezug auf eine Information Management In terms of an information management

Policy sind dabei nicht nur die technischen policy, not just the technological risks must
Risiken zu betrachten sondern auch diejenigen be taken into consideration, but also the
Risiken, die sich aus der Nutzung und dem risks arising from the use and operation of
Betrieb der Systeme, den Prozessen und aus the systems, the processes, and the training
dem Ausbildungsstand der Mitarbeiter ergeben. levels of employees.
• Zu den technischen Risiken gehören die • Technological risks include system avail-
Verfügbarkeit der Systeme, der Schutz vor ability, protection from unauthorized use
unberechtigter Nutzung oder Löschung von or deletion of data, restarting and recov-
Daten, Wiederanlauf und Recovery, ery, correctness of data, backup and
Richtigkeit der Daten, Backup und catastrophe protection, access, consist-
Katastrophenschutz, Zugang, Konsistenz ency and integrity of data, software com-
und Integrität der Datenbestände, patibility, virus protection, transaction
Kompatibilität der eingesetzten security, protection from downtime, sys-
Softwarestände, Virenschutz, tem design, data protection, data secur-
Transaktionssicherheit, Ausfallsicherheit und ity, and the fault-free running of soft-
Systemauslegung, Datenschutz und ware.
Datensicherheit sowie die fehlerfreie
Ablauffähigkeit der Softwaresysteme.
• Zu den organisatorischen Risiken zählen • Organizational risks include authorization

Berechtigungsstrukturen, Ausbildungstände structures, employee training levels, sys-
der Mitarbeiter, Betreuung der Systeme und tem and employee support, consistent
Mitarbeiter, durchgängige Prozesse, processes, responsibilities, correct and
Zuständigkeiten und Verantwortlichkeiten, updated work instructions, understand-
korrekte und aktuelle Arbeitsanweisungen, ing of the value of information, and other
fehlendes Bewusstsein für den Wert von organizational, procedural, and person-
Information und andere related criteria.
aufbauorganisations-, prozess- und
personenbezogene Kriterien.
Eine Information Management Compliance Policy An information management compliance

muss allen Faktoren der policy must consider all factors in informa-
Informationsentstehung, -verarbeitung, tion origin, processing, administration, use,
-verwaltung, -nutzung und -speicherung and storage, and integrate them seamlessly
berücksichtigen und in die Corporate into the company’s corporate governance
Governance Richtlien des Unternehmens nahtlos guidelines.
integrieren.
Seite 23 von 40
Information Management
Compliance Policy
4 Information Management
Compliance Policy
„Policies und Richtlinien haben nur dann “Policies and guidelines are useful only
einen Nutzen, wenn sie nachgehalten und when they are followed. Electronic systems
befolgt werden. Elektronische Systeme can be an effective aid here, and document
können hierbei effektiv unterstützen und the auditability of business processes bet-
die Nachvollziehbarkeit von ter than any person ever could.” 47)
Geschäftsgängen besser dokumentieren als
dies je ein Mensch könnte.“ 47)
Basis für die Planung, Durchführung und An information management compliance policy
kontinuierliche Umsetzung von Information provides the basis for planning, implementing,
Compliance Management (IMC) im and maintaining information compliance man-
Unternehmen ist eine so genannte Information agement. The policy should comprise four key
Compliance Policy. Die Inhalte einer solchen points:
Richtlinie und ihrer Umsetzung kann man in
vier Punkten zusammenfassen:
1. Policy 1. Policy
Grundregeln und Verhaltensweisen für den The information management compliance
Umgang mit Prozessen und Informationen, policy contains basic rules for processes
die sich in der Information Management and information handling. It allocates re-
Compliance Policy niederschlagen. Dies sponsibility, and makes company manage-
schließt das Bewusstmachen, die ment aware of the importance of compli-
Zuordnung der Verantwortung und die ance. Company management is respons-
Verankerung der Policy im Management ible not just for abiding by the rules, but
der Organisation ein. Das Management also for setting a good example in the
trägt hier nicht nur die eigene company as a whole.
Verantwortung für die Einhaltung der
Regelwerke, sondern auch für die
Umsetzung im Unternehmen mit
Vorbildfunktion.
2. Delegation 2. Delegation
Zuordnung von Verantwortlichkeiten und The assignment of responsibility and ap-
entsprechende Ausbildung auf den propriate training at operational levels
nachgeordneten Ebenen, die allen should make all involved aware of the im-
Betroffenen die Bedeutung von Compli- portance of compliance rules. This finds ex-
ance-Regeln deutlich macht. Dies schlägt pression in work processes, workplace de-
sich auch in den Arbeitsprozessen, scriptions, contracts, and work instructions.
Arbeitsplatzbeschreibungen, Verträgen und Compliance must be consistently imple-
Arbeitsanweisungen nieder. Auf den mented at all levels of an organization, as
verschiedenen Ebenen einer Organisation appropriate for the job description and area
muss abhängig von Aufgaben und of responsibility of each employee.
Seite 24 von 40
Zuständigkeiten der Mitarbeiter eine

Durchgängigkeit erzeugt werden.
47)
Ulrich Kampffmeyer, “Rechtsänderungen im IT-Umfeld – 47)
Ulrich Kampffmeyer, “Rechtsänderungen im IT-Umfeld –
Anforderungen an elektronische Archivsysteme“, Anforderungen an elektronische Archivsysteme“,
EUROFORUM, 2002 EUROFORUM, 2002
3. Nachhaltung 3. Follow-through
Die Einhaltung der Regeln muss regel- Adherence to the rules must be monitored
mäßig überprüft werden. Hierzu gehören regularly. This includes quality assurance
z.B. Qualitätssicherungsprogramme programs as well as audits, focusing on
ebenso wie Audits. Hierbei ist auf eine continuous improvement of processes and
ständige Verbesserung der Prozesse und tracing documentation on the actions
auf die Nachführung der Dokumentation zu taken.
den durchgeführten Maßnahmen Wert zu
legen.
4. Sichere Systeme 4. Secure systems
Die IT-Systeme müssen den Anforder- IT systems must have sufficient functional-
ungen mit ihrer Funktionalität, Sicherheit ity, security, and availability, and ensure
und Verfügbarkeit genügen und die auditability. Compliance is not just limited
Nachvollziehbarkeit unterstützen. Com- to application functionality and document
pliance beschränkt sich hier nicht nur auf management, but comprises the entire op-
die Anwendungsfunktionalität und das eration of a solutuion.
Dokumentenmanagement, sondern
schließt den gesamten Betrieb der Lösung
ein.
Obwohl Compliance sehr viel mit Dokumenten Although compliance has much to do with doc-
und Dokumentation zu tun, gilt es bei den uments and documentation, it is important to
Anforderungen immer in Prozessen zu denken. always think in terms of processes. The main
Das Hauptproblem von Compliance ist dabei, problem in compliance is that actions start out
dass die Maßnahmen zunächst einmal viel Geld costing too much money and organizational
und organisatorischen Aufwand kosten, ohne effort, without generating any additional rev-
dass hierdurch mehr Geschäft generiert wird. enue. Therefore compliance is usually not pop-
Compliance ist daher den meisten ein ular with management. But when a company
ungeliebtes Kind. Wenn man aber sein is well structured and organized, the resulting
Unternehmen konsequent und strukturiert transparency, auditability, and integral availab-
organisiert, ist durch die Transparenz, die ility of information gives benefits that pay in
Nachvollziehbarkeit und die integre Ver- day-to-day business.
fügbarkeit von Information ein hoher
qualitativer Nutzen gegeben, der sich auch
betriebswirtschaftlich auszahlt.
Seite 25 von 40
Aspekte der Information Management Aspects of Information Management

Compliance Compliance
Bei der Erstellung einer Richtlinie sind folgende When drawing up a guideline, the following as-
Aspekte zu berücksichtigen: pects must be born inmind:
• Compliance ist vorrangig ein • Compliance is primarily an organizational
organisatorischer Prozess. Systeme dienen process. Systems merely support the pro-
zur Unterstützung des Prozesses. Sie sind cess, but are not in and of themselves
nicht in sich „compliant“. Zertifikate der compliant. Certificates of proper procedure
Ordnungsmäßigkeit und Compliance- and compliance refer to individual com-
Einhaltung beziehen sich auf das panies and the way they use IT solutions,
indviduelle Unternehmen und den Einsatz not to the solutions themselves.
der Lösungen, nicht auf Produkte.
• Moderne Software kann alle notwendigen • Modern software can record all necessary
Informationen über die Systeme und information on systems and components,
Komponenten sowie deren Nutzung selbst and their use. The future lies with self-
aufzeichnen. Die Zukunft liegt in documenting systems that relieve people
selbstdokumentierenden Systemen, die of the burden of documentation, checking,
den Menschen von der Dokumentation, and follow-through. Recording and evalu-
Überprüfung und Nachhaltung entlasten. ating this information can contravene data
Die Aufzeichnung und Auswertung kann im protection, however.
Widerspruch zu Anforderungen des
Datenschutzes stehen.
• Compliance ist nicht punktuell und nicht • Compliance is neither one-time nor static.
statisch. Compliance muss kontinuierlich Compliance must be continuously lived at
über alle Ebenen, alle Mitarbeiter, alle all levels, by all employees, and in all pro-
Prozesse und alle Systeme des cesses and systems of a company.
Unternehmens gelebt werden.
• Compliance darf nicht nur als lästige, die • Compliance must not be seen as an an-
Geschäftstätigkeit behindernde Aufgabe noying task that gets in the way of busi-
betrachtet werden. Compliance vermeidet ness.
nicht nur Risiken sondern schafft Not only does compliance help prevent
Transparenz im Unternehmen, erlaubt die risk, it also creates transparency in a com-
Erkennung von Potentialen und die pany, helps make potential visible, and
Verbesserung der Organisation und promotes the improvement of organization
Prozesse. Compliance kann so auch zur and processes. Thus, compliance can pro-
Wertsteigerung und Wertschöpfung mote value addition and growth.
eingesetzt werden.
Seite 26 von 40
• Systeme nur zur Erfüllung der Compliance- • It is uneconomical to implement systems

Anforderungen einzuführen ist solely for the purpose of meeting compli-
unwirtschaftlich. Systeme müssen die ance requirements. Systems should meet
Compliance-Anforderungen so quasi these requirements “automatically” on the
nebenbei mit erfüllen. side.
• Neben die sichtbare Welt der • Alongside the visible world of business
Geschäftsprozesse treten Compliance- processes, compliance processes enter
Prozesse in den Systemen selbst. into systems themselves. Workflow, busi-
Workflow, Business Process Management ness process management, and logging as
und Protokollierung im Rahmen des part of records management supply in-
Records Management liefern notwendige formation that is needed for many pur-
Informationen. poses.
• Compliance ist kein Projekt. Compliance • Compliance is not a project. Compliance
kann im Rahmen eines Projektes initiiert can be initiated and implemented within
und eingeführt werden, ist jedoch ein the framework of a project, but it is an
kontinuierlicher Prozess. onging process.
• Der Mensch ist bequem und damit das • People are lazy and therefore the greatest
größte Hindernis für Compliance. hindrance to compliance. Information
Information Management Compliance management compliance must be prac-
muss vorausschauend und aktiv gelebt ticed proactively and predictively. Many
werden. Die Bedeutung von Compliance decision-makers still underestimate the
wird auf Entscheiderebene immer noch importance of compliance.
unterschätzt.
• Compliance ist unumgänglich. IT-Com- • Compliance is indispensable. IT com-
pliance sorgt für Transparenz in der pliance creates transparency in the virtual
virtuellen Welt der Systeme. Ohne IT- world of systems. Without IT compliance,
Compliance ist eine rechtliche the legal equivalence of paper-based and
Gleichberechtigung elektronischer und digital information is not possible.
papiergebundener Information nicht
möglich.
• Eine Information Management Compliance • An information management compliance
Policy regelt den Umgang mit Information. policy controls the use of information. If it
Wird sie nicht umgesetzt und ständig is not implemented and constantly fol-
nachgehalten, ist sie wertlos. Ohne sie lowed though on, it is valueless. Without
fehlt der Maßstab um Risiken, den Wert it, there is no benchmark for recognizing
von Information und die Abhängigkeit von risks, the value of information, and in-
Information zu erkennen. formation dependencies.
Seite 27 von 40
Compliance und Compliance and

Records Management
5 Records Management
„Immer mehr Information entsteht “More and more information is created digit-
elektronisch. Der Ausdruck dieser alally. Printingg this information out on pa-
Information auf Papier ist nur noch eine per is just one possible form of representa-
mögliche Form der Repräsentation. Das tion. The electronic document itself is now
elektronische Dokument wird selbst zum the original.” 48)
Original.“ 48)
Um alle Informationen in einem Unternehmen, Records management (often called ERM,

einer Behörde oder einer Organisation effektiv Electronic Records Management, or EDRM,
verwalten zu können, ist der Einsatz von Electronic Document and Records Manage-
Records-Management- Lösungen (auch ERM ment) is necessary for the efficient adminis-
Electronic Records Management oder EDRM tration of all of the information in a company,
Electronic Document and Records Management) government office, or organization. Records
erforderlich. Records Management geht dabei management goes beyond digital preserva-
über den Ansatz der elektronischen Archivierung tion:
hinaus:
• Records Management Systeme verwalten • Records management systems have ref-

über Referenzen auch Informationen auf erences to information on paper, in
Papier in Aktenordnern oder auf Mikrofilm. folders, or on microfilm. This allows com-
Dies ermöglicht die vollständige Kontrolle plete control of “mixed” processes that
auch „gemischter“ Verfahren, in denen ein require parallel activities on different
Parallelbetrieb mit unterschiedlichen Medien media.
erforderlich ist.
• Records Management Systeme besitzen • Records management systems have

elektronische Ablagepläne und Thesauri, die electronic filing plans and thesauri which
eine strukturierte, geordnete, enable a structured, comprehensible,
nachvollziehbare und eindeutige Zuordnung and clear ordering of information. They
der Informationen sicherstellen. Hierbei support multiple filing iterations based
werden Mehrfachzuordnungen nach on different topic criteria and the man-
Seite 28 von 40
unterschiedlichen Sachzusammenhängen agement of different versions and

und die Verwaltung unterschiedlicher statuses of the filing structure.
Versions- und Historienstände der
Ordnungssystematik unterstützt.
Records Management ist daher eine Basis- This makes records management a basic
komponente für die Abbildung elektronischer, component for the imaging of virtual digital
virtueller Akten und für die elektronische folders and for digital processing of informa-
Vorgangsbearbeitung, die auch diejenigen tion subject to compliance regulations.
Informationen bereitstellen, die Compliance-
Anforderungen unterliegen.
48)
Ulrich Kampffmeyer, „Paradigmenwechsel im Dokumenten- 48)
Ulrich Kampffmeyer, „Paradigmenwechsel im
Management“, DMS EXPO, 1998 Dokumenten-Management“, DMS EXPO, 1998
Records Management nach ISO 15489 Records Management per ISO 15489
Die ISO 15489 Records Management stellt ISO 15489 Records Management presents
Management-Richtlinien zur Unternehmens- management guidelines for company policy
politik und Vorgehensweisen für das Records and procedure for record management, and
Management des Unternehmens auf und dient is a guide for implementing records manage-
als Anleitung zur Implementierung bei der ment systems.
Einführung von Records Management.
Die Norm definiert „Elektronisches Records As defined by the standard records manage-
Management sind die Methoden, Verfahren und ment is the „Field of management respons-
Anwendungen, die zur geordneten Verwaltung, ible for the efficient and systematic control of
Erschließung, Bewahrung, Sicherung und the creation, receipt, maintenance, use and
Aussonderung von elektronischen Informationen disposition of records, including processes
dienen, die Geschäftsvorfälle, Rechtshandlungen for capturing and maintaining evidence of
und die Einhaltung rechtlicher und regulativer and information about business activities and
Vorgaben vollständig, richtig, authentisch, be- transactions in the form of records”.49)
weiskräftig und nachvollziehbar dokumen-
tieren“.49)
Die Grundprinzipien des Records Management The basic principles of record management
sind in zahlreichen nationalen Regelungen der are contained in numerous national regula-
öffentlichen Verwaltung und Archive sowie in tions for public administration and archiving,
einer internationalen Norm niedergelegt. Die as well as in an international standard. ISO
ISO-Norm 15489 gibt in Teil 1 Hilfestellungen 15489 Part 1 helps to:
zum:
• Festlegen, welche Dokumente erzeugt und • Define which documents must be gener-
welche Information in die Dokumente ated and what information included in
eingefügt werden müssen sowie welcher these documents, and what level of ex-
Genauigkeitsgrad erforderlich ist actitude is necessary.
• Entscheiden, in welcher Form und Struktur • Decide on the form and structure in which
Dokumente erzeugt und erfasst werden sollen documents should be generated and cap-
tured.
Seite 29 von 40
• Festlegen der Anforderungen zum Retrieval • Define the requirements for retrieval and
und Gebrauch von Dokumenten und wie lange use of documents, and how long they need
sie archiviert sein müssen, um diesen to be archived for, in order to meet these
Anforderungen zu genügen requirements.
• Festlegen, wie Dokumente zu organisieren • Define how documents should be organ-

sind, um die Anforderungen für den Gebrauch ized in order to best support their efficient
zu unterstützen. use.
Die ISO Norm 15489 beschreibt in Teil 2 die ISO 15489 Part 2 lays out the steps for im-
Schritte für das Vorgehen der Umsetzung fest: plementation, from the initial analysis and
Von der ersten Analyse und Identifizierung der indentification of the requirements, to the
Anforderungen bis zur Implementierung eines implementation of a records management
Records Management Systems und system and company policies surrounding it.
unternehmenspolitischen Maßnahmen.
Auch wenn diese ISO Norm keine konkreten While the ISO standard does not contain
Kriterien für eine technische Prüfbarkeit von specific criteria for the technical testability of
Systemen beinhaltet, ist sie jedoch ein systems, it is nevertheless a valuable guide
wertvoller Leitfaden, um Information im for administering company information in a
Unternehmen transparent, geordnet und transparent, organized, auditable fashion.
nachvollziehbar zu verwalten. Professionelles Professional records management is thus a
Records-Management ist damit eine basic tool for meeting compliance require-
Grundvoraussetzung zur Erfüllung von ments.
Compliance-Vorgaben.
49)
ISO, ISO Norm 15489 Records Management, 2001 49)
ISO, ISO Standard 15489 Records Management, 2001
(Schriftgutverwaltung)
MoReq Model Requirements MoReq Model Requirements

MoReq50) ist die wichtigste Spezifikation für MoReq50) is the most important European
elektronisches Dokumenten- und Records- specification for electronic document and re-
Management in Europa. Die Abkürzung MoReq cords management. The abbreviation MoReq
steht für „Model Requirements for the Manage- stands for “Model Requirements for the Man-
ment of Electronic Records“. MoReq wurde im agement of Electronic Records.” MoReq was
Auftrag der Europäischen Kommission51) durch put together by the DLM Forum52) at the re-
das DLM-Forum52) erarbeitet. Die Vorteile von qest of the European Commission51). Its ad-
MoReq liegen darin, dass Anbieter ihre Produkte vantage is that vendors need in future orient
zukünftig nur noch auf einen europäischen their products to just one European stand-
Standard ausrichten müssen, und nicht mehr für ard, instead of different implementation
jedes Land einen eigenen Standard in der standards for each country.
Implementierung zu berücksichtigen haben.
MoReq in der ersten Version (MoReq1) wurde The first iteration of MoReq (MoReq1) was
bereits von zahlreichen nationalen Standards als used as a benchmark for many national
maßstab genutzt, so z.B. TNA in England, Noark standards, such as TNA in England, Noark in
in Norwegen oder Remano in den Niederlanden. Norway, and Remano in the Netherlands.
MoReq beschränkt sich jedoch nicht nur auf die MoReq is not limited just to pubic adminis-
öffentliche Verwaltung oder Nationalarchive tration or national archives, but is an open
sondern ist ein offener Standard, der auch in standard that has application in the private
der freien Wirtschaft zum Einsatz kommt. sector. MoReq1 has been translated into 10
MoReq1 wurde inzwischen in 10 Sprachen languages, and may establish itself as the
übersetzt und konnte sich als europäische European alternative to the American DoD
Alternative zum amerkanischen DoD 5015.2 5015.2 standard. Since MoReq1 came out in
Standard etablieren. Da MoReq1 bereits 2001 2001, the European Commission and the
entstanden ist, wurde von der Europäischen DLM Forum have agreed on an updated and
Kommission zusammen mit dem DLM Forum expanded version.
eine Aktualiserung und Erweiterung vereinbart.
Seite 30 von 40
Wesentliche Neuheiten in MoReq253) sind: The main innovations in MoReq253) are:

• Fexiblere Struktur • More flexible structure
Berücksichtigung nationaler Anforderungen, Consideration of individual national re-
Erweiterung des Funktionenkataloges, quirements, expanded function catalog,
Definition optionaler Komponenten für definition of optional components for dif-
unterschiedliche Umgebungen und ferent environments and needs
Anforderungen
• Erweitertes Basismoduls • Expanded basic module
Zugriffsverwaltung, Aufbewahrungsfirsten Access management, retention periods
und Vernichtung, Export, Übertragung und and destruction, export, transfer, and
Dokumentenaustausch, langfristige document exchange, long-term storage,
Bewahrung, konkretere Fassung und more specific description of metadata
Beschreibung der Metadaten
• Optionale Module • Optional modules
Content-Management, Hybridsysteme, Content management, hybrid systems,
Workflow und Vorgangs-/Fallbearbeitung, E- workflow and process/case handling, e-
Mail-Management, Dokumenten- mail management, document manage-
management und Collaboration, ment and collaboration, cryptography,
Kryptographie, Verschlüsselung, encoding, watermarks, digital rights
Wasserzeichen, Digital Rights Management, management, interoperabiliy and open-
Interoperabilität und Offenheit sowie ness, decentral systems
dezentrale Systeme
50)
Archiv der Europäischen Kommission, Model Requirements 50)
Archive of the European Commission, Model Require-
for the Management of Electronic Documents and Records, ments for the Management of Electronic Documents and
2001 Records, 2001
51)
IDA Interchange of Data between Administrations, Katalog 51)
IDA Interchange of Data between Administrations,
gemeinsamer Werkzeuge und Techniken Catalogue of Common Tools and Techniques
52)
DLM Network EEIG, DLM-Forum 52)
DLM Network EEIG, DLM-Forum
53)
Ulrich Kampffmeyer; Sarah Risse, Artikel „MoReq Update“ 53)
Ulrich Kampffmeyer; Sarah Risse, „MoReq Update“
• MoReq Compliance Test • MoReq Compliance Test

Beurteilung von Produkten, Entwicklung von Evaluation of products, development of
standardisierten Testskripten, Unterstützung standardized test scripts, support of uni-
einheitlicher MoReq-Compliance-Evaluierun- form MoReq compliance evaluations
gen durch Tests als Vorlage für ein through tests as a basis for a certification
Zertifizierungsverfahren process
Ende des Jahres 2007 wird die neue Version At the end of 2007, the new MoReq2 and its
MoReq2 und das dazugehörige Test- und associated test and certification procedures
Zertifizierungsverfahren für Records will be made available for records manage-
Management Produkte fertig gestellt54). ment products. 54)
Übergreifende Ansätze Comprehensive Approaches

Vielfach wird Records Management wie die Often, records management, like traditional
althergebrachte Archivverwaltung als archive administration, is seen as a discrete
eigenständige Lösung betrachtet. Bedeutsamer solution. But in terms of compliance, it is
wird aber unter Compliance-Gesichtspunkten die more important to integrate it into the IT
Integration in die IT-Landschaft als landscape as an infrastructure which takes
Infrastruktur, die alle Komponenten into account all components and ensures the
berücksichtigt und die Durchgängigkeit der consistency of documentation of all pro-
Dokumentation über alle Prozesse, Datenquellen cesses, data sources, and applications. Re-
und Anwendungen sicherstellt. Records cords management is thus an important
Management ist daher eine wichtige component in ECM (Enterprise Content
Komponente in Konzepten wie ECM Enterprise Management), ILM (Information Lifecycle
Content Management, ILM Information Lifecycle Management) and digital preservation.
Seite 31 von 40
Management und elektronischer Archivierung.

ECM Enterprise Content Management ECM Enterprise Content Management
“Enterprise Content Management sind die “Enterprise Content Management is the
Technologien zur Erfassung, Verwaltung, Technologies used to Capture, Manage,
Bereitstellung, Speicherung und Langzeit- Store, Preserve, and Deliver Content and
archivierung von elektronischen Inhalten und Documents related to Organizational
Dokumenten zur Unterstützung der Ge- Processes.” 55)
schäftsprozesse im Unternehmen.”55)
ECM umfasst herkömmliche dokumentenorien- ECM comprises conventional document-ri-
tierte Informationstechnologien wie Scanning, ented information technologies such as
Dokumentenmanagement, Knowledge scanning, document management, know-
Management, Workflow, Archivierung etc. und ledge management, workflow, archiving
integriert die Host- und Client/Server-Welt mit etc., and integrates the host and client
Web-Content-Management-, Portal- und server world with web content manage-
anderen Internet-Technologien. ment, portal, and other internet technolo-
gies.
54) Der MoReq2 Standard wird im Auftrag der Europäischen 54)

The MoReq2 standards ist authored by the company
Kommission vond er Firma SERCO erstellt. MoReq- SERCO, who was contracted by the European Commis-
Information in Deutsch, www.moreq2.de, in Englisch sion. Detailed information www.moreq2.eu.
www.moreq2.eu. 55)
AIIM Association for Information and Image
55)
AIIM Association for Information and Image Management Management International, 2005
International, 2005
Die Komponente Verwaltung sowie Verarbeitung The information administration and pro-
von Information beinhaltet Document cessing components include document man-
Management, Records Management, Business agement, records management, business
Process Management/ Workflow, Web Content process management/workflow, web content
Management und Collaboration. 56) management, and collaboration. 56)
Ein wesentliches Ziel von Enterprise Content One of the key objectives of enterprise con-
Management ist die Sicherstellung der tent management is to ensure adherence to
Einhaltung von Compliance-Anforderungen. compliance requirements. Components such
Komponenten wie elektronische Archivierung, as digital preservation, virtual folders, re-
virtuelle Akten, Records Management und cords management, and process manage-
Process Management sind hierfür die ment are examples of this.
entsprechenden Bestandteile.
ILM Information Lifecycle Management ILM Information Lifecycle Management

„Information Lifecycle Management sind “Information Lifecycle Management is com-
Strategien, Methoden und Anwendungen um promised of the policies, processes, practices
Information automatisiert entsprechend and tools used to align the business value of
ihrem Wert und ihrer Nutzung optimal auf information with the most appropriate and
dem jeweils kostengünstigsten cost effective IT infrastructure from the time
Speichermedium bereitzustellen, zu information is conceived through its final dis-
erschließen und langfristig sicher position.
aufzubewahren.
Seite 32 von 40
Information wird mit der Geschäftstätigkeit Information is aligned with business pro-
durch Prozess-Management und Service- cesses through management processes and
leistungen in Zusammenhang mit service levels associated with applications,
Anwendungen, Metadaten, anderen metadata, information and data” 57)
Informationen und Daten koordiniert.“ 57)
Die Compliance-Anforderungen in den USA The compliance requirements in the US are
führten auch zu neuen Trends wie ILM leading to new trends, such as ILM or In-
Information Lifecycle Management. Getrieben formation Lifecycle Management. Driven by
von Hardware- und Speichersoftwareanbietern storage hardware and software vendors,
zielten diese Lösungen besonders auf die these solutions are targeted specifically at
Erfüllung von Compliance-Anforderungen wie compliance regulations such as SOX. There-
SOX. Daher ist auch E-Mail-Archivierung eine fore they include e-mail archiving as a com-
Komponente, die häufig unter der Flagge ILM ponent that often goes under the name ILM.
angeboten wird. Kern ist dabei, dass The take-home is that storage systems are
Speichersysteme um immer mehr being supplemented with more and more
Softwarekomponenten ergänzt werden und in software components and pushing into the
die traditionellen Bereiche von Records traditional preserves of records manage-
Management, Archivierung und Dokumenten- ment, archiving and document management.
management vordringen.
ILM setzt auf herkömmlichen HSM ILM sits on top of traditional hierarchical
Hierarchischem Speichermanagement auf und storage management (HSM) and adds to it
ergänzt dieses um Regeln, Prozesse und nur rules, processes, and write-once storage sys-
einmal beschreibbare Speichersysteme. tems.
56)
AIIM international 2003 56)
AIIM international 2003
57)
The Storage Networking Industry Association (SNIA), ILM 57)
The Storage Networking Industry Association (SNIA),
definition, 2004 ILM definition, 2004
Elektronische Archivierung und Digital Preservation and

Speichersysteme Storage Systems
“Elektronische Archive sind das Gedächtnis “Electronic Archives are the Memory of the
der Informationsgesellschaft”58) Information Society”58)
Elektronische Archivierung steht für die Digital preservation refers to the unalterable,
unveränderbare, langzeitige Aufbewahrung long-term storage of electronic information.
elektronischer Information. Für die elektronische As a rule special archiving systems are used
Archivierung werden in der Regel spezielle for digital preservation. The term digital pre-
Archivsysteme eingesetzt. Der Begriff servation encompasses different compon-
Elektronische Archivierung fasst unterschiedliche ents, which in common parlance are separ-
Komponenten zusammen, die im ately designated as “records management,”
angloamerikanischen Sprachgebrauch separat “storage,” and “preservation.” 59)
als „Records Management“, „Storage“ und
„Preservation“ bezeichnet werden. 59)
Zweck eines elektronischen Archivsystems ist The objective of a digital preservation sys-
es, unabhängig von Quelle, Erzeuger und tem is to keep information secure, regardless
späterer Nutzung Information sicher of source, originator, or subsequent use, and
aufzubewahren und datenbankgestützt auf make it available with database support
Anforderung wieder bereit zu stellen. upon request. Preservation systems are
Archivsysteme sind daher Dienste, die allen therefore services which are available to all
Seite 33 von 40
Anwendungen zur Verfügung stehen, die users who generate information that needs
Informationen erzeugen, die langzeitig to be retained long-term and securely. In
unverändert und sicher aufbewahrt werden Germany, a distinction is made between
müssen. Man unterscheidet in Deutschland die long-term archiving and auditable archiving:
Begriffe Langzeitarchivierung und
Revisionssichere Archivierung:
• Unter elektronischer Langzeitarchivierung • Long-term digital preservation is used to

versteht man Archivsysteme, die Daten und denote archive systems that keep data
Dokumente über einen Zeitraum von and documents available for at least ten
mindestens 10 Jahren verfügbar halten. years.
• Unter revisionssicherer elektronischer Archi- • Auditable digital preservation is used to

vierung versteht man Archivsysteme, die denote archive systems which meet the
nach den Vorgaben von HGB § 239, AO requirements of Commercial Code § 239,
§147 und GoBS Daten und Dokumente Tax Procedure Act §147 and GoBS in
sicher, unverändert, vollständig, terms of keeping data and documents
ordnungsgemäß, verlustfrei reproduzierbar secure, unaltered, complete, orderly, re-
und datenbankgestützt recherchierbar producible without loss, and searchable
verwalten. 60) with database support. 60)
Elektronische Archivsysteme stellen für die Digital preservation systems are a secure
gespeicherten Dokumente, dazugehörige archive for documents, their data, and trans-
Daten und Protokolle der Transaktionen die action records, ensuring their auditability,
sichere Ablage dar, die die unalterability, and completeness.
Nachvollziehbarkeit, Unveränderbarkeit und
Vollständigkeit gewährleistet.
58)
Erki Liikanen, EU-Kommissar, DLM Forum 1999 58)
Erki Liikanen, EU- commissioner, DLM Forum 1999
59)
Verband Organisations- und Informationssysteme e. V. 59)
Verband Organisations- und Informationssysteme e. V.
(VOI), Grundsätze der elektronsiche Archivierung, 1997 (VOI), Grundsätze der elektronsiche Archivierung, 1997
60)
Dr. Ulrich Kampffmeyer, PROJECT CONSULT, 1996 60)
Dr. Ulrich Kampffmeyer, PROJECT CONSULT, 1996
Speichertechnologien für die Storage Technologies

elektronische Archivierung for Electronic Archiving
Eine wesentliche Komponente von Archiv- und Systems for the safe storage of data and
Compliance-Lösungen sind die Speichersysteme documents are an essential part of any pre-
zur sicheren Aufbewahrung der Daten und servation or compliance solution. Storage
Dokumente. Bei den Speichertechnologien muss systems today consist of administration and
man heute eine Trennung zwischen der control software, as well as the actual stor-
Verwaltungs- und Ansteuerungssoftware age media per se.
einerseits und den eigentlichen Medien
andererseits machen.
Für die unveränderbare Langzeitarchivierung Edit-proof long-term archiving requires stor-
wurden Speichertechnologien geschaffen, die age technologies that allow writing just once.
nur das einmalige Beschreiben erlauben. Dieses These are called WORM (Write Once Read
Verfahren nennt man WORM: „Write Once, Read Many)61). Orginally the term was used only
Many“61). Ursprünglich wurde dieser Begriff nur for digital-optical storage media such as CDs.
für digital-optische Speichertechnologien The physical properties of the media them-
verwendet. Die Speichermedien selbst waren selves inherently prevent alteration of the
Seite 34 von 40
dabei durch ihre physikalischen Eigenschaften data stored on them and have a much longer
gegen Veränderungen geschützt und boten eine lifetime that the older magnetic storage me-
wesentlich höhere Lebensdauer als die bis dahin dia. Today, this category includes the follow-
bekannten magnetischen Medien. In diese ing types of media:
Kategorie von Speichermedien fallen heute
folgende Typen:
• CD-WORM62): nur einmal selbst • CD-WORM62): Compact discs that allow
beschreibbare Compact Disk Medien recording (writing) just once
• DVD-WORM63): ähnlich wie die CD wird bei • DVD-WORM63): Like with CDs, the DVD
der DVD die Speicheroberfläche irreversibel surface is irreversibly altered during re-
im Medium verändert. cording.
• 5¼“ WORM als UDO64) oder PDD65) • 5¼“ WORM as UDO64) or PDD65)
Bei diesen Medien und Laufwerken handelt These media and drives are traditional
es sich um die traditionelle Technologie, die technologies designed especially for di-
speziell für die elektronische Archivierung gital preservation. The discs are protec-
entwickelt wurde. Die Medien befinden sich ted by a sleeve and thus less exposed to
in einer Schutzhülle und sind daher gegen outside influences than CDs and DVDs,
Umwelteinflüsse besser gesichert, als CD which were developed for the consumer
und DVD, die für den Consumer-Markt market.
entwickelt wurden.
Für die Verwaltung und Nutzung dieser Medien So-called jukeboxes, or automatic disc
sind so genannte Jukeboxen, changers, are normally used to manage
Plattenwechselautomaten, gebräuchlich. Diese these media. Jukeboxes are driven by soft-
stellen softwaregestützt die benötigten ware and provide the desired data on de-
Informationen von Medien bereit. Die Software mand. The software usually also enables ad-
ermöglicht es in der Regel auch, Medien mit zu ministration of media outside the jukebox
verwalten, die sich nicht mehr in der Jukebox which must be manually accessed when
befinden und auf Anforderung manuell zugeführt needed.
werden müssen.
61)
WORM, Write Once, Read Many 61)
WORM, Write Once, Read Many
62)
CD-WORM, Compact Disc - Write Once, Read Many 62)
CD-WORM, Compact Disc - Write Once, Read Many
63)
DVD-WORM, DVD - Write Once, Read Many 63)
DVD-WORM, DVD - Write Once, Read Many
64)
UDO, Ultra Density Optical, ISO/IEC 17345 64)
UDO, Ultra Density Optical, ISO/IEC 17345
65)
PDD, Professional Disc for Data 65)
PDD, Professional Disc for Data
Neben die klassischen Archivspeicher, die auf In addition to the classic digital-optical pre-
rotierenden, digital-optischen Wechselmedien servation based on removable discs, there
basieren, treten inzwischen zwei weitere are two further technlogies
Technologien:
• WORM-HD66): RAID-Festplattensysteme, die • WORM-HD66): RAID hard drives using
durch spezielle Software die gleichen special software to provide the same
Eigenschaften wie ein herkömmliches characteristics as conventional WORM
WORM-Medien erreichen. Ein Überschreiben media. Encoding during recording and
oder Ändern der Information auf dem special address allocation prevent over-
Speichersystem wird durch die Kodierung writing or alteration of the data on the
bei der Speicherung und die spezielle drive, once it has been recorded.
Adressierung verhindert.
Seite 35 von 40
• WORM-Tape67): Magnetbänder, die durch • WORM-tape67): Magnetic tape, again

mehrere kombinierte Eigenschaften with characteristics that provide the
ebenfalls die Anforderungen an ein functions of conventional WORM media.
herkömmliches WORM-Medium erfüllen. Special tape, protected cassettes, and
Hierzu gehören spezielle Bandmedien sowie specially designed drives prevent over-
geschützte Kassetten und besondere writing and editing.
Laufwerke, die die Einmalbeschreibbarkeit
sicherstellen.
Besonders für größere Unternehmen und WORM-HD and WORM-tape are viable altern-
Verwaltungen mit Rechenzentren und als atives for large computing centers in particu-
Komponenten in einer Speicherhierarchie stellen lar, since they are simple to integrate into
Festplatten- oder WORM-Tape-Archive eine the exsting infrastructure.
Option dar, da sie sich einfach in den laufenden
Betrieb und vorhandene Infrastrukturen
integrieren lassen.
Generell gilt aber für alle Speichermedien: A few principles apply to all storage techno-
logies:
• Ein Medium allein und Medien nur einen • One medium alone, or media of just one
Typs sind nie genug type, is never enough.
• Die Sicherheit von Hard- und Software allein • Hard- and software security alone is not
ist nicht ausreichend – der gesamte Betrieb, enough – the entire operation, usage,
die Nutzung und die Verfahren müssen and process must be secure.
sicher sein
• Die regelmäßige Prüfung der Lesbarkeit und • Regular inspection of readability and pro-
Verarbeitungsfähigkeit vermeidet Risiken cessability prevents risks and losses.
und Verluste
• Bereits bei der Erstinstallation eines • Migration should be planned for right
elektronischen Archives ist die Migration mit from the initial installation of any digital
einzuplanen archive.
66)
WORM-HD, Write Once, Read Many – Hard Disc 66)
WORM-HD, Write Once, Read Many – Hard Disc
67)
WORM-Tape, Write Once, Read Many - Tape 67)
WORM-Tape, Write Once, Read Many - Tape
10 Compliance-Merksätze 10 Compliance Rules

6
„Wichtigster Grundsatz: Keine Angst vorm “Most important: Don’t be afraid of com-
Thema Compliance!“68) pliance!” 68)
Als Zusammenfassung eine Reihe von Merksätzen In summary, 10 rules for information man-
zur Information Management Compliance69): agement compliance 69):
1. Compliance-Themen gehören auf die 1. Compliance is a C-level matter, and exec-
Seite 36 von 40
Entscheiderebene, die die Verantwortung für utives are responsible for its implementa-
die Einhaltung und Umsetzung der tion and execution.
Anforderungen haben
2. Compliance-Anforderungen sind ein 2. Compliance requirements must be part of
Bestandteil jedweder Corporate Governance any corporate governance strategy.
Strategie
3. Unternehmen benötigen eine Richtlinie zum 3. All companies need a guideline for work-
Umgang mit Informationen, eine Information ing with information – an information
Policy, die die Compliance-Anforderungen und policy that includes compliance require-
die Lösung zur Umsetzung der Anforderungen ments and solutions for meeting them.
beinhaltet
4. Compliance muss durchgängig im 4. Compliance must be implemented consist-
Unternehmen implementiert werden, um ently within a company in order to be ef-
wirksam zu sein fectual.
5. Die Erfüllung von Compliance-Anforderungen 5. Fulfillment of compliance requirements is
ist kein einmaliges Projekt, sondern ein not a one-time project, but an ongoing
kontinuierlicher Prozess process.
6. Die Erfüllung von Compliance-Anforderungen 6. Compliance requirements must be part of
muss regelmäßig nach definierten Verfahren any corporate governance strategy.
überprüft werden
7. Information Management Compliance betrifft 7. Information management compliance af-
nicht nur Software und Systeme, sondern die fects not just software and systems, but
Prozesse im Unternehmen, die Organisation the way those systems are used, as well
und den Umgang mit den Systemen as company processes and organization.
8. Compliance-Anforderungen betreffen nicht 8. Compliance requirements affect not just
nur elektronische Archive, sondern alle digital arcives, but all system components
Systemkomponenten, in denen in which custodyworthy data, information,
aufbewahrungspflichtige Daten, Informa- and documents are generated, used, and
tionen und Dokumente erzeugt, genutzt und managed.
verwaltet werden
9. Die Erfüllung von Compliance-Anforderungen 9. Compliance requirements should be met
muss auch für den eigenen Nutzen im not only for their own sake, but also as a
Unternehmen genutzt werden, um mehr tool to create more transparency and se-
Transparenz und Sicherheit zu schaffen und curity within a company, and make it
um das Unternehmen auf das Informations- more competitive in an age of informa-
zeitalter einzustellen. tion.
10. Man darf sich nicht durch den Begriff 10. Compliance is nothing to be afraid of. In-
Compliance verunsichern oder gar stead of shying away from it, companyies
verängstigen lassen, sondern muss zunächst should start by examining what compli-
im Unternehmen prüfen, welche Regelungen ance requirements are relevant for what
für welchen Anwendungsfall überhaupt application cases.
relevant sind.
68)
Ulrich Kampffmeyer, Vortrag “Compliance“. DMS EXPO 2004 68)
Ulrich Kampffmeyer, Keynote presentation
69) Ulrich Kampffmeyer, Compliance. Documentum Whitepaper, “Compliance“. DMS EXPO 2004
2004 69) Ulrich Kampffmeyer, Compliance. Documentum
Whitepaper, 2004
Ausblick 7 Outlook
„Lösungen für die Unterstützung von “Solutions for supporting compliance, such
Seite 37 von 40
Compliance wie E-Mail-Management und as e-mail and records management, are

Records Management sind heute die today’s leading market drivers for enterprise
wichtigsten Markttreiber für den Einsatz von content management.” 70)
Enterprise Content Management.“70)
Anbieter von Informations- und Dokumenten- Information and document management
Management-Lösungen wittern, aufgrund der in vendors see the growing compliance require-
nahezu allen Staaten wachsenden Compliance- ments in almost every country as a great
Anforderungen, das große Geschäft. Com- business opportunity. Most enterprise con-
pliance-Angebote sind bei den meisten ECM tent management vendors offer compliance
Enterprise-Content-Management-Anbietern solutions as a key part of their product offer-
mittlerweile fester Bestandteil des ings.
Produktangebotes.
Compliance-Anforderungen treiben den Compliance is driving the market for
Markt für Dokumenten-Technologien document technologies
Bei Umfang und Zielsetzung der angebotenen Of course there are differences in the scope
Software und Systeme sind aber noch and goals of the software and systems on
Unterschiede zu finden. Die größeren Anbieter the market. The larger vendors aim for com-
setzen auf eine vollständige Kontrolle und plete control and documentation of the flow
Dokumentation des Informationsflusses und of information, and do not limit themselves
beschränken sich nicht nur auf das Thema to preservation or records management.
Archivierung oder Records Management. Andere Other vendors offer dedicated e-mail archiv-
Anbieter preisen Lösungen für E-Mail- ing solutions which brings the risk for users
Archivierung an, was für Anwender die Gefahr of getting stuck with an isolated compliance
birgt, auf einer Compliance-Insellösung sitzen solution. E-mails and their attachments
zu bleiben. E-Mails und ihre Anhänge gehören in should not be stored on an island, but in-
einen fachlichen Zusammenhang, in stead archived in their subject context, in
elektronische Kunden-, Produkt- oder Vor- virtual client, product, or process folders.
gangsakten. E-Mails separat zu archivieren Merely archiving e-mails ultimately creates
bringt mittelfristig mehr Probleme denn Vorteile. more problems than it solves. The same
Das Gleiche gilt für steuerrelevante Daten. Sie goes for tax-related data. Preserving this in-
separat und nur für den Steuerprüfer formation separately ond only for the auditor
aufzubewahren ist unwirtschaftlich. Auch is uneconomical. Likewise, dedicated sys-
dedizierte Systeme nur für Daten aus dem ERP tems just for ERP data or scanned docu-
oder nur für gescannte Dokumente sind aus ments cannot be recommended from a com-
Compliance-Gesichtspunkten nicht pliance point of view. All information, regard-
empfehlenswert. Alle Informationen gehören less of format, should be preserved in its
unabhängig von ihrem Format entsprechend context, in a way appropriate to its content
ihrem Inhalt und Rechtscharakter in einen and legal character.
Sachzusammenhang.
70)
Ulrich Kampffmeyer, „Compliance“. Documentum 70)
Ulrich Kampffmeyer, „Compliance“. Documentum
Whitepaper 2004 Whitepaper 2004
Ein wesentliches Konzept ist daher die Nutzung Therefore, the use of uniform storage sys-
einheitlicher Speichersysteme, die unabhängig tems is a key concept. These systems make
von Format, Quellsystem oder Erzeuger information searchable and available in the
Seite 38 von 40
Informationen recherchierfähig und im Kontext context of all applications, regardless of the

allen Anwendungen zur Verfügung stellen. Aber format, origination system, or source of the
nicht der Speicherort und seine Verwaltung mit information. Yet the storage location and its
einem Records-Management-System allein ist die administration via a records management
Lösung für Compliance. Es gilt die Prozesse selbst system are not compliance solutions in and
zu unterstützen und selbstdokumentierende of themselves. Processes must be supported,
Systeme zu schaffen, die den Anwender entlasten and self-documenting systems created, that
sowie Vollständikeit und Richtigkeit der unburden the user and ensure the complete-
Aufzeichnungen sicherstellen. ness and correctness of recorded data.
Lösungen zur Unterstützung von Compliance- Therefore, solutions that support compliance
Anforderungen sind daher zukünftig eher will in the future be part of infrastructure,
Infrastruktur denn separate Einzelsysteme. rather than separate systems.
Der Markt und das Produktangebot reagieren auf The market and product offerings are react-
diese Anforderung mit der Bereitstellung von ing to this need by providing services for
Diensten für SOA-Architekturen, ECM Enterprise- SOA architectures, ECM suites that cover all
Content-Management-Suiten, die alle Aspekte aspects, and business process management
berücksichtigen, und Business-Process-Manage- components that cover the procedural as-
ment-Komponenten, die die prozessualen Aspekte pects of compliance.
von Compliance abdecken sollen.
Dennoch bleibt bei Information Management But the most important requisite for informa-
Complaince die wichtigste Voraussetzung nicht tion management compliance is to avoid
nur in Systemen denken. Alle Komponenten – thinking only in terms of technology sys-
Richtlinien, Geschäftsprozesse, tems. All components – guidelines, business
Aufbauorganisation, Mitarbeiter – müssen processes, organizational structures, em-
zusammenspielen. Einzellösungen gibt es bei ployees – must work together. There are no
Compliance nicht. Durchgängigkeit und single solutions to compliance. Consistency
Nachhaltigkeit sind entscheidend. and follow-through are the decisive factors.
Systeme können Compliance-Prozesse Systems can support, monitor, and docu-
unterstützen, überwachen und dokumentieren. ment compliance processes. But they are
Sie selbst sind jedoch nur ein Baustein in einem just one part of a larger process.
größeren Gesamtprozess.
In dem Maße, wie das Thema Compliance in To the extent that compliance gains currency
Wirtschaft und Gesellschaft an Raum gewinnt, in business and society, all software systems
müssen alle Softwaresysteme eines in an organization must be made compliant.
Unternehmens oder einer Organsiation This goes far beyond purpose-designed sys-
Compliance-fähig gemacht werden. Dies geht tems like records management or digital pre-
über spezielle Systeme wie Records Management servation. The market will respond to this
oder elektronische Archivierung weit hinaus. Der changing need, because
Markt wird auf diese sich verändernde
Anforderung reagieren, denn
„Ohne Information Management Compliance “The information society cannot function
kann die Informationsgesellschaft nicht without information management
funktionieren.“71) compliance.” 71)
Compliance-Anforderungen sind ein Thema, mit Compliance is something that every com-
dem sich jedes Unternehmen auseinandersetzen pany needs to face, in order to thrive in the
muss, wenn es Bestand im Informationszeitalter information age.
haben will.
71)
Ulrich Kampffmeyer, Marcus Evans Conference „Content Man- 71)
Ulrich Kampffmeyer, Marcus Evans Conference „Content
agement – The driving factor for successful eBusiness”, Berlin, Management – The driving factor for successful eBusi-
2001 ness”, Berlin, 2001
Literatur
Seite 39 von 40
Bibliography
Bundesministerium der Finanzen: Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS). BStBl 1995 I S.
738, 1995 (GoBS)
Bundesministerium der Finanzen: Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU), BGBl. I S.
1542, 2001 (GDPdU)
Bundesministerium der Justiz: Abgabenordnung (AO), §§ 146, 147, 200, BGBl. I S. 3866, ber. 2003 S. 61, 2002 (AO)
Bundesministerium der Justiz: Bürgerliches Gesetzbuch (BGB) §§ 126, 127, BGBl. I S. 42, ber. S. 2909 und BGBl. 2003 S. 738,
2002 (BGB)
Bundesministerium der Justiz: Gesetz über elektronische Handelsregister und Genossenschaftsregister sowie das
Unternehmensregister (EHUG), BGBl. 2006 Teil I Nr. 52, 2553 ff., 2007 (Unternehmensregister)
Bundesministerium der Justiz: Gewinnabgrenzungsaufzeichnungsverordnung (GAufzV), BGBl. I S. 2296, 2003 (GAufzV)
Bundesministerium der Justiz: Handelsgesetzbuch (HGB), §§ 239, 257, (Letzte Änderung) BGBl. I S. 1330, 1379,2007 (HGB)
Bundesministerium der Justiz: Zivilprozessordnung (ZPO), §§ 292a, 286, 130, 371, BGBl. I S. 3202, ber. 2006 I S. 431, 2007 I
S. 1781, 2005 (ZPO)
Bundesministerium des Innern: DOMEA-Konzept (Konzept für Dokumenten-Management und elektronische Archivierung in der
öffentlichen Verwaltung), Fassung 2.1, 2005 (DOMEA)
Bundesministerium für Justiz: Bundesgesetz über besondere zivilrechtliche Vorschriften für Unternehmen
(Unternehmensgesetzbuch (UGB)), BGBl. I Nr. 120/2005, 2005 (Handelsrechts-Änderungsgesetz (HaRÄG))
Cornell Law School, Legal Information Institute: Federal Rules of Civil Procedure (FRCP), 2006 (FRCP)
EU-Parlament: Richtlinie 2000/31/EG des Europäischen Parlaments und des Rates vom 8. Juni 2000 über bestimmte rechtliche
Aspekte der Dienste der Informationsgesellschaft, insbesondere des elektronischen Geschäftsverkehrs, im Binnenmarkt
("Richtlinie über den elektronischen Geschäftsverkehr"), 2000 (2000/31/EG)
EU-Parlament und Rat: Richtlinie 1999/93/EG des Europäischen Parlaments und des Rates vom 13. Dezember 1999 über
gemeinschaftliche Rahmenbedingungen für elektronische Signaturen, 1999 (1999/93/EG)
EU-Parlament und Rat: Richtlinie 2006/43/EG des Europäischen Parlaments und des Rates vom 17. Mai 2006 über
Abschlussprüfungen von Jahresabschlüssen und konsolidierten Abschlüssen, zur Änderung der Richtlinien 78/660/EWG und
83/349/EWG des Rates und zur Aufhebung der Richtlinie 84/253/EWG des Rates (8. EU-Richtlinie), 2006 (2006/43/EG)
Europäische Kommission: Model Requirements for the Management of Electronic Documents and Records. MoReq Specification.
INSAR Supplement VI, ISBN 92-894-1290-9. 2001
Finra - the Financial Industry Regulatory Authority: NASD 3010 und NASD 3110
handelsblatt.com/wirtschaftswiki: Definition Basel II, 2005 (Basel_II)
ISO: DIN ISO 15489-1 (Information and documentation - Records management - Part 1: General) und DIN ISO
15489-2 (Information and documentation - Records management - Part 2: Guidelines), 2001 (15489-1 und
15489-2)
Kahn, Randolph A.; Blair, Barclay T.: Information Nation - Seven Keys to Information Management Compliance.
AIIM, 2004
Kampffmeyer, Ulrich: IMC Information Management Compliance Policies und ihre Umsetzung. IIR Kongress „IT-Compliance“,
2006
Kampffmeyer, Ulrich: Corporate Governance, PROJECT CONSULT Newsletter 20050817, ISSN 1439-0809, 2005 (20050817)
Kampffmeyer, Ulrich: Dokumenten-Technologien: Wohin geht die Reise?, PROJECT CONSULT, ISBN 3980675645, 2003.
Kampffmeyer, Ulrich: Compliance. Documentum Whitepaper zum Keynote-Vortrag „Regulative Vorgaben beflügeln den Markt für
Dokumenten-Technologien“, DMS EXPO 2004, Essen, PROJECT CONSULT/Advanstar, 2004 (Compliance Whitepaper)
Kampffmeyer, Ulrich; Groß, Stefan und Lamm, Martin: GDPdU: Finanzgerichte weiten das Recht auf Datenzugriff aus,
PROJECT CONSULT Newsletter 20070720, ISSN 1439-0809, 2007
Literatur
Bibliography
Seite 40 von 40
Kampffmeyer, Ulrich und Risse, Sarah: Artikel „MoReq Update - Die Model Requirements für elektronisches Records
Management der Europäischen Kommission werden aktualisiert und erweitert“, 2007 (MoReq-Update)
Kampffmeyer, Ulrich und Rogalla, Jörg: Grundsätze der elektronischen Archivierung. VOI-Kompendium Band 3. Verband
Organisations- und Informationssysteme e. V (VOI), ISBN 3-932898-03-6, 1997
Kampffmeyer, Ulrich; Henstorf, Karl-Georg; Prochnow, Jan et. al.: Grundsätze der Verfahrensdokumentationen nach GoBS. VOI-
Kompendium Band 4, Verband Organisations- und Informationssysteme e. V (VOI), ISBN 3-932898-04-4, 1999
Kampffmeyer, Ulrich; Llewellyn, A.: Are e-documents legal in Europe?. Document World, Vol. 4 No.3, pp.45-8,
1999
Kampffmeyer, Ulrich: GDPdU & Elektronische Archivierung. PROJECT CONSULT Newsletter (Teil 1-4) 20050531, 20050624,
20050720, 20050817, 2005 (GDPdU & Elektronische Archivierung)
National Archives and Records Administration: Code of Federal Regulations (CFR), (CFR)
National Highway Traffic Safety Administration: Transportation Recall Enhancement, Accountability and Docu-
mentation Act (TREAD), 2000 (TREAD)
Österreich: Mediengesetz (MedG). BGBl I Nr. 49/2005 und 151/2005, 2005 (MedG)
PROJECT CONSULT: Recht & Gesetz: Unternehmensgesetzbuch, PROJECT CONSULT Newsletter 20070529, ISSN 1439-0809,
2007 (20070529)
Sarbanes-Oxley Act of 2002 (SOX). Pub. L. No. 107-204, 116 Stat. 745, 2002 (Sarbanes-Oxley Act)
Securities and Exchange Commission: Books and Records Requirements for Brokers and Dealers Under the Se-
curities Exchange Act of 1934, 17 CFR PARTs 240 and 242 [Release No. 34-44992 ; File No. S7-26-98] RIN
3235-AH04, 2003 (SEC: 34-44992)
United States Department of Defense: DoD 5015.2-STD RMA Design Criteria Standard, 2007 (DoD 5015.2-STD)
United States Food and Drug Administration, Office of Regulatory Affairs: Federal Register Part II, 21 CFR Part
11, 2003 (Draft Guidance for Industry on Part 11)
United States Food and Drug Administration: 21CFR210 (Current good manufacturing practice in manufactur-
ing, processing, packing, or holding of drugs; general) und 21CFR211 (Current good manufacturing practice
for finished pharmaceuticals), 2006 (21CFR)
United States Department of Health & Human Services, Office for Civil Rights: Health Insurance Portability and
Accountability Act (HIPAA), Pub. L. 104-191, 110 Stat. 1936, 1996 (HIPAA)
United States Department of Justice: The Uniting and Strengthening America by Providing Appropriate Tools
Required to Intercept and Obstruct Terrorism Act (USA PATRIOT ACT) of 2001. Pub. L. No. 107-56, 115 Stat.
272, 2001 (USA PATRIOT ACT)
United States Sentencing Commission: Federal Sentencing Guidelines (FSG), 2006 (FSG)
Winkler, Maria: Verordnung über die Führung und Aufbewahrung der Geschäftsbücher – GeBüV, Vortrag „Rechtliche Aspekte der
elektronischen Archivierung“ auf dem Datenschutz-Forum, 2005 (Rechtliche Aspekte der elektronischen Archivierung)
Seite 41 von 40
Über den Autor About the author
Dr. Ulrich Kampffmeyer,

Jahrgang 1952, ist Gründer und Geschäftsführer der born in 1952, is founder and president of PROJECT
PROJECT CONSULT Unternehmensberatung GmbH, CONSULT Unternehmensberatung Dr. Ulrich
Hamburg, eine der führenden produkt- und Kampff¬meyer GmbH, one of the leading inde-
herstellerunabhängigen Beratungsgesellschaften für pendent management consultancies for ECM En-
ECM Enterprise Content Management, BPM Business terprise Content Management, BPM Business Pro-
Process Management, Knowledge Management und cess Management, Knowledge Management, and
andere DRT Document Related Technologies. other DRT Document Related Technologies.
Er berät namhafte Kunden aller Branchen im In- und He consults clients of all industries in Europe in
Ausland bei der Konzeption und Einführung von planning, organization, and implementation of
Compliance-, DRT-, ERM- und ECM-Lösungen. compliance, DRT, ERM and ECM solutions.
Als Gründer und langjähriger Vorstandsvorsitzender As founder and chairman of the boards of trade
nationaler und internationaler Branchenverbände associations, he formed the German market for
prägte er wesentlich den deutschen Markt für document management and is regarded as ment-
Dokumenten-Management. Er ist einer der Gründer or. He is one of the founders and president of the
und Geschäftsführer des DLM-Network EEIG. Ulrich DLM network EEIG. Ulrich Kampffmeyer is member
Kampffmeyer ist Mitglied in mehreren internationalen of several international standarization groups for
Standardisierungsgremien im Umfeld des Workflow-, workflow, document and records management
Dokumenten- und Records-Management.
Dr. Kampffmeyer ist anerkannter Kongressleiter, Dr. Kampffmeyer is an internationally well-known
Referent und Moderator zu Themen wie elektronische keynote speaker, presenter, and panelist on the
Archivierung, Records-Management, Dokumenten- subject of archiving, records management, docu-
Management, Workflow, Rechtsfragen, Business Re- ment management, workflow, code of practices,
Engineering, Wissensmanagement und Projekt- business reengineering, knowledge management,
management. Auf zahlreichen nationalen und and project management. He took part in many
internationalen Kongressen und Konferenzen wirkte er national and international conferences as keynote
als Keynote-Sprecher mit. speaker.
Über PROJECT CONSULT About PROJECT CONSULT
Die PROJECT CONSULT Unternehmensberatung GmbH PROJECT CONSULT Unternehmensberatung GmbH,
mit Sitz in Hamburg wurde am 01.07.1992 gegründet. located in Hamburg, was founded in july 1992.
PROJECT CONSULT hat sich auf die Beratung im PROJECT CONSULT is specialised on all topics of
Umfeld von DRT Document Related Technologies wie DRT Document Related Technologies as enterprise
ECM Enterprise Content Management, content management, knowledge management ,
Wissensmanagement, Dokumentenmanagement, document management, electronic archiving, re-
elektronische Archivierung, Records Management, ILM cords management, information lifecycle manage-
Information Lifecycle Management und angrenzende ment, compliance and others.
Bereiche spezialisiert. Zum Leistungsangebot gehören We offer strategy, planning, selection, test and ac-
Strategie, Konzeption, Auswahl, Abnahme und ceptance test, documentation and project man-
Dokumentation sowie das zugehörige agement for the implementation of information
Projektmanagement zur Einführung von komplexen systems.
Informationsmanagementsystemen. PROJECT CONSULT supports all industries in the
PROJECT CONSULT arbeitet branchenübergreifend mit German speaking countries. The consulting com-
Schwerpunkt im deutschsprachigen Raum. Die pany only serves end users of document technolo-
Unternehmensberatung ist ausschließlich für gies. This is to ensure independent and impartial
Endanwender tätig um eine von Anbietern consulting.
unbeeinflusste, unabhängige Beratung sicherzustellen. PROJECT CONSULT assigns consultants based on
PROJECT CONSULT setzt auf das KnowHow langjährig their industry qualifications and special knowledge.
im ECM-Markt erfahrener Berater. PROJECT CONSULT is actively involved in several
PROJECT CONSULT ist in verschiedenen standardization initiatives as MoReq of the
Standardisierungsinitiativen wie z.B. MoReq der
Seite 42 von 40
Europäischen Kommission, aktiv tätig. European Commission.
Seite 43 von 40
Seite 44 von 40
PROJECT CONSULT
Unternehmensberatung Dr.Ulrich Kampffmeyer GmbH
Breitenfelder Straße 17 • 20251 Hamburg
Tel.: + 49 (040) 460762-20 • Fax: + 49 (040) 460762-29

(EN - DE) Information Management Compliance - English & German

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

(EN - DE) Information Management Compliance - English & German

Загружено:

Авторское право:

Доступные форматы

Information

PROJECT CONSULT Whitepaper

Dr. Ulrich Kampffmeyer

Hamburg, September 2007

Autorenrecht und CopyRight Copyright

Autor: Dr. Ulrich Kampffmeyer

Information Management Compliance

Ein PROJECT CONSULT Whitepaper A PROJECT CONSULT Whitepaper

Geschäftsführer der PROJECT CONSULT Managing Director PROJECT CONSULT

1 Compliance und Information Compliance and Information 3

2 Aktuelle Situation und wichtige Current situation and 6

Sarbanes-Oxley-Act Sarbanes Oxeley Act 7

8. EU-Richtlinie 8th EU Directive 10

EHUG und E-Mail-Management „EHUG“ and E-Mail Management 11

GDPDU: Aktuelle Urteile „GDPDU“: Current verdicts 12

Verfahrensdokumentation nach GoBS „GoBS Verfahrensdokumentation“ 15

Österreich und Schweiz Austria and Switzerland 16

Branchenspezifische Regularien Industry-Specific Regulations 18

3 Corporate Governance Corporate Governance 20

Risiko Management Risk Management 21

4 Information Management Information Management 23

5 Compliance und Records Compliance and Records 27

Geschäftsführer der PROJECT CONSULT Managing Director PROJECT CONSULT

Übergreifende Ansätze Comprehensive Approaches 30

Elektronische Archivierung und Digital Preservation and 32

6 10 Compliance-Merksätze 10 Compliance Rules 35

Über den Autor About the author 40

Über PROJECT CONSULT About PROJECT CONSULT 40

Compliance und Information

und elektronischen Archivierung von Geschäfts-

• „Gesetzliche Vorgaben“ • “Legal requirements”

Unterschiedliche Auswirkungen Different consequences

• „Direkte Betroffenheit“ • “Direct consequences”

die eingesetzte EDV betreffen. and to IT.

Sarbanes-Oxley-Act Sarbanes Oxley Act

Bilanzierungsrichtlinien von börsennotierten financial accounting of stock-exchange listed

Da jeder Mitarbeiter im Unternehmen Since any employee in a company can be

GDPdU-Begrifflichkeiten neu definiert: GDPdU terms redefined:

Verfahrensdokumentation nach GoBS „GoBS Verfahrensdokumentation“

Die Anforderungen an eine Requirements for process documentation are

• Einhaltung der Aufbewahrungsfristen • Mandated retention periods

• Dokumentation des Verfahrens • Documentation of the process

• Prüfbarkeit 31) • Auditability 31)

Dokumentationspflichten ergeben sich jedoch Documentation is mandatory not just for

Buchführungssysteme, 1995 Systems, part of the German commercial laws, 1995

Österreich und die Schweiz Austria and Switzerland

Branchenspezifische Regularien Industry-Specific Regulations

Pharmabranche mit GLP, GSP, GMP GMP

Corporate Governance 3 Corporate Governance

„Information Management Compliance darf “Information Management Compliance

Corporate Governance Richtlinien Corporate Governance Guidelines

• International wurden Corporate Governance • Internationally, corporate governance

• In Deutschland hat das Bundesministerium • In Germany, the Federal Justice Ministry

Risiko-Management Risk Management

In Bezug auf eine Information Management In terms of an information management

• Zu den organisatorischen Risiken zählen • Organizational risks include authorization

Eine Information Management Compliance Policy An information management compliance

Zuständigkeiten der Mitarbeiter eine

Aspekte der Information Management Aspects of Information Management

• Systeme nur zur Erfüllung der Compliance- • It is uneconomical to implement systems

Compliance und Compliance and

Um alle Informationen in einem Unternehmen, Records management (often called ERM,

• Records Management Systeme verwalten • Records management systems have ref-