[en|de] information management compliance | english & german

8/14/2019 [EN|DE] Information Management Compliance | English & German

1/47

InformationManagement

Compliance

PROJECT CONSULT Whitepaper

Dr. Ulrich Kampffmeyer

P R O J E C T C O N S U L TUnternehmensberatung Dr. Ulrich Kampffmeyer GmbH

Hamburg, September 2007


2/47

Information Management Compliance

Die Information des Whitepapers wurde mit grter Sorgfalterarbeitet. Dennoch knnen Fehler nicht vollstndigausgeschlossen werden. Die Autoren bernehmen keine

juristische Verantwortung oder Haftung fr eventuellverbliebene Angaben und deren Folgen.

Every effort has been made to make this white paper ascomplete and as accurate as possible, but no warranty orfitness is implied. The authors shall have neither liabilitynor responsibility to any person or entity with respect toany loss or damages arising from the information con-tained in this book.

Das Werk einschlielich aller seiner Teile ist urheberrechtlichgeschtzt. Jede Verwertung auerhalb der engen Grenzen desUrheberrechtsgesetzes ist ohne Zustimmung des Autorsunzulssig und strafbar. Alle Rechte, wie Vervielfltigung,bersetzung, Mikroverfilmung sowie digitale Einspeicherung,Verarbeitung und Verbreitung sind dem Autor vorbehalten.

This work including all parts is protected by copyright. Nopart of this work covered by the copyright hereon may bereproduced or used in any form or by any means graph-ic, electronic or mechanical, including photocopying, re-cording, translating, taping, or information storage andretrieval systems without the written permission fromthe author.

PROJECT CONSULT Unternehmensberatung GmbH 2007. AlleRechte vorbehalten.

PROJECT CONSULT Unternehmensberatung GmbH2007. All rights reserved.

Autorenrecht und CopyRight Copyright

Autor: Dr. Ulrich KampffmeyerPROJECT CONSULT Unternehmensberatung GmbH

Breitenfelder Str. 17

D-20251 HamburgTel.: 040 / 460 762 20Fax: 040 / 460 762 29

E-Mail: [email protected]: www.PROJECT-CONSULT.com

Der gesamte Inhalt ist, sofern nicht gesondert zitiert, einOriginaltext des Autors. Jeglicher Abdruck, auch auszugsweiseoder als Zitat in anderen Verffentlichungen, ist durch denAutor vorab zu genehmigen. Die Verwendung von Texten,Textteilen, grafischen oder bildlichen Elementen ohneKenntlichmachung der Autorenschaft ist ein Versto gegengeltendes Urheberrecht. Belegexemplare, auch beiauszugsweiser Verffentlichung oder Zitierung, sindunaufgefordert einzureichen.

All content is the orginal text of the autor if not otherwisecited. The author must agree to copies or citations beforepublishing. No part of this work covered by the copyrighthereon may be reproduced or used in any form or by anymeans without citing the author. Specimen copies have tobe sent to the author without request even if publishedpartly or cited.
http://www.project-consult.com/http://www.project-consult.com/


3/47



Ein PROJECT CONSULT Whitepaper A PROJECT CONSULT Whitepaper

Dr. Ulrich Kampffmeyer

Geschftsfhrer der PROJECT CONSULTUnternehmensberatung GmbH, Hamburg

Managing Director PROJECT CONSULTUnternehmensberatung GmbH, Germany

Keynote-Prsentation auf der DMS EXPO 2007,26. September 2007, Kln

Keynote presentation at the DMS EXPO 2007,September 26th, 2007, Cologne, Germany

Es muss eine Angleichung der elektro-nischen Welt an die Papierwelt stattfinden.Nur mit einem komplett neuem Rahmenwerkvon Gesetzen und Richtlinien knnen all-gemeingltige und gerechte Grundlagenfr Information Management Compliancegeschaffen werden. 1)

The electronic world must become equi-valent to the paper world. A generally ac-cepted and fair basis for informationmanagement compliance requires a com-pletely new legal and regulatory frame-work.1)

Der Begriff Compliance sorgt bei vielenAnwendern fr Verunsicherung. ZahlreicheAnbieter vermarkten inzwischen Ihre Produkteunter dem Etikett Compliance nicht nurherkmmliche Anbieter von DMS- und ECM-Lsungen, sondern auch Hersteller von

Speichersystemen, Management-Informations-Programmen und ERP-Lsungen. Mit demBegriff Compliance hat sich zugleich ein neuesMarktsegment gebildet. In Deutschland wird derenglische Begriff Compliance bisher nur seltenverwendet. Rechtliche und regulative Vorgabenfr Dokumentationspflichten nehmen aber, wennman an Beispiele wie die GDPdU oder Basel IIdenkt, stetig zu. Es liegt also am Kunden, sichzwischen spezialisierten Insellsungen zurErfllung bestimmter Compliance-Anforde-rungen oder bergreifenden Lsungen, die auchCompliance-Anforderungen mit abdecken, zuentscheiden.

The term compliance is confusing for manyusers. Numerous vendors market theirproducts using the compliance label thetraditional DMS and ECM solution vendors,as well as manufacturers of data storagesystems, management information software,

and ERP solutions. Compliance has becomea new market niche. In Germany the termhas thus far not gained broad currency, butthe legal and regulatory documentation re-quirements are increasing steadily oneneed look no further than the GDPdU orBasel II. Thus, users now find themselveshaving to decide between specialist islandsolutions to fulfill specific compliance re-quirements, or broader-based solutions thatinclude compliance fulfillment in their portfo-lio.

Das Whitepaper bietet einen berblick berHintergrnde und notwendige Manahmen zurErfllung der zunehmenden Compliance-Anfor-derungen im Umfeld derInformationstechnologie. Die aktuelle Situationim Jahr 2007 wird an Hand einiger,ausgewhlter Beispiele dargestellt.

This White Paper gives an overview of thebackground and and actions needed to fulfillthe growing compliance reqirements in IT. Itwill illustrate the current situation in 2007using a few selected examples.

1) Ulrich Kampffmeyer, Bedeutung von Compliance, Vortragauf dem SAPERIONcongres 2007, ECM 2.0, 2007

1) Importance of Compliance. Dr. Ulrich Kampffmeyer atthe SAPERIONcongress 2007

Kunde: KoelnMesse Projekt: DMS EXPO 2007 Autor: Dr. Ulrich Kampffmeyer publicThema: Information Management Compliance Topic: Whitepaper Status: fertigDatei: 5270196.doc Datum: 20.09.2007 Version: 1.2

PROJECT CONSULT Unternehmensberatung GmbH 2008Seite 1 von 40


4/47




Kapitel/Chapter Inhalt Contents Seite/Page

Einfhrung Introduction 1

1 Compliance und InformationManagement Compliance

Compliance and InformationManagement Compliance

3

Was verbirgt sich hinter dem BegriffCompliance?

What is behind the term Compliance? 3

Unterschiedliche Auswirkungen Different consequences 5

2 Aktuelle Situation und wichtigeRegularien

Current situation andimportant regulations

6

International International 6

Basel II Basel II 6

USA USA 7

Sarbanes-Oxley-Act Sarbanes Oxeley Act 7

eDiscovery eDiscory 8

Europa Europe 10

8. EU-Richtlinie 8th EU Directive 10

Deutschland Germany 11

EHUG und E-Mail-Management EHUG and E-Mail Management 11

GDPDU: Aktuelle Urteile GDPDU: Current verdicts 12

Verfahrensdokumentation nach GoBS GoBS Verfahrensdokumentation 15

sterreich und Schweiz Austria and Switzerland 16

Branchenspezifische Regularien Industry-Specific Regulations 18

3 Corporate Governance Corporate Governance 20

Corporate Governance Richtlinien Corporate Governance Guidelines 20

Risiko Management Risk Management 21

4 Information ManagementCompliance Policy

Information ManagementCompliance Policy

23

Aspekte der Information ManagementCompliance

Aspects of Information ManagementCompliance

25

5 Compliance und RecordsManagement

Compliance and RecordsManagement

27

Records Management nach ISO 15489 Records Management per ISO 15489 28


PROJECT CONSULT GmbH 2008Seite 2 von 40


5/47




MoReq Model Requirements MoReq Model Requirements 29

bergreifende Anstze Comprehensive Approaches 30

Elektronische Archivierung undSpeichersysteme

Digital Preservation and

Storage Systems

32

6 10 Compliance-Merkstze 10 Compliance Rules 35

7 Ausblick Outlook 36Compliance-Anforderungen treiben den Marktfr Dokumenten-Technologien

Compliance is driving the market fordocument technologies

36

Literatur Bibliography 38

ber den Autor About the author 40

ber PROJECT CONSULT About PROJECT CONSULT 40

Compliance und InformationManagement Compliance

1 Compliance and InformationManagement Compliance

Alle Gesetze und Regeln der Papierweltgelten auch in der elektronischen Welt.2)

All laws and rules of the paper worldalso apply to the electronic world.2)

Was verbirgt sich hinter dem BegriffCompliance? What is behind the term Compliance?

Zu den hufig, zumindest fr deutsche Ohren,schwer verstndlichen Begriffen aus demangloamerikanischen Sprachraum muss auchder Begriff Compliance gezhlt werden.

Compliance is yet another English termthat has found its way into international ITparlance.

Compliance umfasst die Gesamtheit allerzumutbaren Manahmen, die das regelkonformeVerhalten eines Unternehmens, seinerOrganisationsmitglieder und seiner Mitarbeiterim Hinblick auf alle gesetzlichen Ge- undVerbote begrnden.

Compliance refers to the totality of reason-able actions that underpin the compliance ofa company, its organizational members, andits employees with all legal requirements.

Auch wenn es Compliance-Anforderungen schonimmer, auch im Ursprungsland des Begriffes -den USA - gab, so haben sie nach denSkandalen um ENRON und WorldCom einebrisante Qualitt erhalten: neue, strafbewehrteAnforderungen zur Aufbewahrung geschfts-relevanter elektronischer Informationen. In derVergangenheit gab es schon immer eine Reihevon rechtlichen Anforderungen; so mussten z.B.Finanzbuchhaltungssoftware schon immerCompliance-Standards erfllen. Mit demsteigendem Aufkommen und der wachsendenBedeutung von E-Mails und E-Commercegewann die Notwendigkeit der Dokumentation

There have always been compliance reguire-ments, but after the the ENRON and World-Com scandals in the US the topic has gaineda new, more intense quality. Harsher penal-ties and new requirements govern the stor-age of digital business records. In the pastthere was already legislation; for example,bookkeeping software has always had tomeet compliance standards. With the in-creasing volume and significance of e-mailand e-commerce, the documentation and di-gital preservation or archiving of businessprocesses have become ever more import-ant.




6/47


und elektronischen Archivierung von Geschfts-vorgngen immer mehr Bedeutung.

Im Folgenden wird fr den Begriff Compliancenachstehende bertragung verwendet: In the following, compliance refers to:

bereinstimmung mit und Erfllung vongesetzlichen und regulativen Vorgaben3)

Agreement with and fulfillment of legal andregulatory requirements3)

2) Ulrich Kampffmeyer, Dokumenten-Technologien Wohingeht die Reise. PROJECT CONSULT 2003

3) Ursprnglich bereinstimmung mit und Erfllung vonrechtlichen und regulativen Vorgaben. Ulrich Kampffmeyer,Compliance Whitepaper, Documentum, 2004, S.3.

2) Ulrich Kampffmeyer, Dokumenten-Technologien Wohin geht die Reise. PROJECT CONSULT 2003

3) Previous version: Ulrich Kampffmeyer, ComplianceWhitepaper, Documentum, 2004, S.3.

Betrachtet man die einzelnen Begriffe derdeutschen bertragung der Definition vonCompliance bereinstimmung mit und Erfllungvon gesetzlichen und regulativen Vorgaben,dann werden unterschiedliche Aspekte vonCompliance-Anforderungen deutlich.

Looking at the individual terms in theabove definition Agreement with and ful-fillment of legal and regulatory require-ments, several aspects of compliancestand out.

bereinstimmungZur Erreichung der bereinstimmung wird

vorausgesetzt, dass es nachlesbare,definierte, offizielle Vorgaben gibt, die dieRegeln enthalten, was zu tun ist. Hier ist bereinstimmung gefordert, ohne das dieRegeln meistens eine technische Vorgabeenthalten, wie die Anforderung umzusetzenist. Dies ist auch sinnvoll, da sich solcheVorgaben nicht an einer Technologiefestmachen sollten, die in ein paar Jahrenschon wieder obsolet ist.Die bereinstimmung ist der statischeAspekt von Compliance.

AgreementAgreeing with something assumes that

there are defined, official, accessiblerules to agree with in the first place.These rules do not usually containtechnical requirements on implementa-tion. This makes sense, since the rulesshould not be tied to technologies thatmay be obsolete in just a few years.Agreement is the static aspect of com-pliance.

Erfllung

Der Begriff Erfllung impliziert zweierlei:Einmal, dass die Anforderungen in einerLsung umgesetzt werden mssen, und zumZweiten, dass dies ein Prozess ist, keineeinmalige Aktion. Das Unternehmen oderdie Organisation muss kontinuierlich fr dieEinhaltung der Vorgaben Sorge tragen. Erfllung geht dabei meistens ber einerein technische Lsung hinaus undbeinhaltet auch organisatorische undManagement-Aspekte.Die kontinuierliche Erfllung ist derdynamische Aspekt von Compliance.

Fulfillment

This implies two things first, that therequirements have to be implementedin some form, and secondly, that this isa process, not a one-time action. Thecompany or organization must attendto fulfillment on an ongoing basis. Ful-fillment usually goes beyond meretechnology, to include organizationaland management aspects.Fulfillment is the dynamic aspect ofcompliance.




7/47


Gesetzliche VorgabenHierbei handelt es sich um Gesetze oder

behrdliche Verordnungen, die bestimmteUnternehmen, Organisationen oderPersonen verpflichten, die jeweilsaufgefhrten Regelungen einzuhalten. Hierkann man sich auch nicht um die Erfllung drcken, lediglich in Hinblick aufAuslegung, Umfang und Umsetzungsweisebesteht Handlungsspielraum.

Legal requirementsThese are laws or bureaucratic regula-

tions that require specific organizationsor persons to obey the rules. It is notpossible to get around fulfilling these;the only room to maneuver is in inter-pretation, scope, and mode of imple-mentation.

Regulative VorgabenMan unterschiedet zwischen rechtlich undregulativ, da es eine Reihe von Vorgaben,die nicht direkt auf Gesetzen basieren wiez.B. Normen, Standards, Codes of Best

Practice oder andere Vorgaben. Vielfachergeben sich aus gesetzlichen Vorgaben freinen Anwendungsfall auch Auswirkungenund implizite Anforderungen fr andereFlle. Diese werden als regulativeVorgaben abgegrenzt.

Regulatory requirementsLegal and regulatory requirements aredistinct from one another, as there arenumerous requirements that do nothave force of law, such as standards,

codes of best practice, etc. In manycases, legal requirements for a giveninstance have consequences and im-plications for other instances. Theseare demarcated as regulatory require-ments.

Unterschiedliche Auswirkungen Different consequences

Grundstzlich gelten alle gesetzlichen,rechtlichen und regulativen Vorgaben auch inder elektronischen Welt. Hufig sind die

Anforderungen der DV-Welt jedoch noch nichtoder nicht direkt enthalten und mssendaher adquat abgeleitet werden.

In principle, all legal and regulatory require-ments apply to the digital world just as theydo to the paper world. Often, however, the

requirements are not phrased specifically forIT applications, and these must therefore bederived.

Direkte BetroffenheitDies betrifft besonders Gesetze undgesetzesgleiche Verordnungen, die in jedem Fall eingehalten werden mssen.Hier kann man lediglich den Umfang unddie Ausprgung interpretieren. Nebengenerell gltigen Vorgaben tretenbesondere, die auf die Branche oderGeschftsttigkeit bezogen sind.

Direct consequencesCertain laws and requirements with theforce of law must be complied with underall circumstances. There is room for in-terpretation only in terms of scope andextent. In addition to generally applic-able laws, there are laws that refer tospecific industries or activities.

Indirekte BetroffenheitHier beginnt die groe Grauzone, wo esdarum geht, zunchst die fr dasUnternehmen oder die Organisationzutreffenden Regelungen zu ermitteln undzu bewerten. So betrifft beispielsweiseBasel IIx) nicht nur die Banken, sondernjedes kreditnehmende Unternehmen, da dieDokumentations- und Transparenzauflagenan die Kunden weitergegeben werden.

Indirect consequencesThe uncertainty begins with determiningand assessing the rules that apply to acompany or organization. For example,Basel IIx) applies not only to banks, butto any organization that borrows money,since the documentation and transpar-ency rules are propagated through fromlender to borrower.

Fr direkte und indirekte Auswirkungen gibt eszahlreiche Compliance-Regeln, die sowohl dieherkmmliche Papierdokumentation wie auch

There are numerous compliance rules withdirect and indirect consequences, that applyto both conventional paper documentation




8/47


die eingesetzte EDV betreffen. and to IT.

Der bindende Charakter einer Vorgabe kann also

sehr unterschiedlich sein. Nicht zuletzt Steck-dosen, Lebensmittel, Flugzeuge, elektrischeGerte, Medikamente, Kindergrten, Bildschirmeusw. mssen auch bestimmte Compliance-Anforderungen erfllen, die sich beispielsweisein Prfsiegeln niederschlagen.

Exactly how binding a requirement is can

therefore differ greatly. Electrical sockets,food, aircraft, electrical devices, medications,kindergartens, video screens etc. must meetcertain compliance rules that find expressionin test seals, for example.

Ein Abgleich der unterschiedlichenAnforderungen und Ausprgungen mit dem, washeute unter dem Schlagwort Compliance beiinformationstechnologischen Lsungenverstanden wird, zeigt aber groe Unterschiede.Daher wird im Folgenden konkreter im Sinnevon IMC, Information ManagementCompliance, gesprochen.

A comparison of the requirements and theirgeneral meaning, with what is understood bythe term compliance specifically for ITsolutions, shows significant differences.Therefore, in the following we will discusscompliance in the specific sense of IMC, In-formation Management Compliance.

Aktuelle Situationund wichtige Regularien

2 Current situationand important regulations

Der elektronische Geschftsverkehr wird zum Regelfall. Gleichbehandlung ist nur

mglich, wenn fr alle Beeiligten die selbenTransparenzpflichten gelten. Compliancemuss daher fr alle und unabhngig von derForm der Geschfts- oder Verwaltungsttigkeit gleichermaen gltigsein.4)

Digital business transactions will becomethe rule. Equal treatment is possible only

when the same transparency rules apply toeverybody. Therefore, compliance must havethe same validity for all, regardless of theform taken by a business or administrativeactivity.4)

Compliance-Anforderungen gibt es berall. Siemachen vor Landesgrenzen nicht halt. Siebetreffen Organisationen ebenso wie Individuen.In einer globalisierten Gesellschaft stellt sichzunehmend das Problem, dass jedes Landimmer noch eigene Gesetze und Regularien frGeschfte, Prozesse und Transaktionen hat, die

lngst harmonisiert sein sollten. Internationalen Gesetzen und Regeln kommt daher eineimmer wichtige Rolle zu, da herkmmlicheGrenzen im Internet keien Bedeutung mehrhaben.

Compliance requirements are everywhere,and do not stop at national borders. They af-fect organizations and individuals alike. In aglobalized society, problems are increasinglycaused by the fact each country has its ownlaws and regulations for businesses, pro-cesses, and transactions, which should have

been harmonized long ago. International laws and rules are therefore more andmore important, since traditional bordershave no meaning in the Internet.

International International

Als gutes Beispiel fr direkte und indirekteAuswirkungen der Gesetzgebung kann Basel IIangefhrt werden. Finanzdienstleister mssenumso mehr Eigenkapital vorhalten, je hher dasRisiko des Kreditnehmers ist. Auch wenn man inBezug auf die Kreditvergabe und die Dokumen-

Basel II is a good example of direct and in-direct consequences of legislation. Financialservice providers must retain more own cap-ital as the borrowers risk increases. Al-though this legislation concerning credit anddocumentation was intended only for banks,




9/47


tationspflichten hier zunchst nur an die Bankendenkt, hat Basel II auch erheblicheAuswirkungen auf alle Unternehmen.

Basel II has substantial effects on all com-panies.

Mit Basel II wird die Neugestaltung derEigenkapitalvorschriften der Kreditinstitutebezeichnet.

Basel II refers to the reformation of owncapital requirements for banks and credit in-stitutes.

Ziel von Basel II ist es, die Stabilitt desinternationalen Finanzsystems zu erhhen. Dazusollen die Risiken im Kreditgeschft bessererfasst und die Eigenkapitalvorsorge derKreditinstitute risikogerechter ausgestaltetwerden. 5)

The objective of Basel II was to increase thestability of the international finance system.The idea is to evaluate risks in the creditbusiness better, and bring lender capitaloverage more into line with risk. 5)

Basel II hat eine Vielzahl von Auflagen fr dieDokumentation nach sich gezogen, die in einerelektronischen Welt nur mitInformationsmanagementlsungen vollzogenwerden knnen.

Basel II brought with it a great number ofrules for documentation, which in a digitalworld can only by followed using informationmanagement solutions.

4) Ulrich Kampffmeyer, Marcus Evans Conference ContentManagement The driving factor for successful eBusiness,Berlin, 2001

5) Wirtschaftswiki, Definition Basel II, 2005

4) Ulrich Kampffmeyer, Marcus Evans Conference ContentManagement The driving factor for successful eBusi-ness, Berlin, 2001

5) Wirtschaftswiki (German), Definition of the term BaselII, 2005

USA USA

In den USA gab es schon sehr langeCompliance-Anforderungen an Softwaresystemeund die Dokumentation vonGeschftsprozessen.

In the US there have long been compliancerequirements for software systems and busi-ness process documentation.

Am bekanntesten und am engsten mit demBegriff Compliance ist jedoch der SarbanesOxley Act verknpft.

The most well-known of these, and mostclosely associated with the term compliance,is the Sarbanes Oxley Act.

Sarbanes-Oxley-Act Sarbanes Oxley Act

Durch die Skandale um ENRON, WorldCom undeinige andere Unternehmen rckte das ThemaCompliance in den Mittelpunkt des allgemeinenInteresses. Anlass waren geschnte Prfungen

von Wirtschaftsprfern und dieGeschftsberichte der Unternehmen. E-Mailwurde dabei als eine der mglichenNachweisquellen fr ungesetzliches Handelnentdeckt. Dies fhrte im Jahr 2002 zumSarbanes-Oxley-Act, allgemein SOA oder SOXabgekrzt. Typisch amerikanisch wurde es nachden beiden Leitern der Kommission benannt, diedas Gesetz entworfen hat.

The scandals surrounding ENRON, WorldComand other companies brought complianceinto the center of public attention. The causewas edited audits by auditors and the com-

panies own reporting. In the process of un-covering all this, e-mail was found to be onepossible source of proof of illegal actions. In2002 this led to the Sarbanes-Oxley Act, ab-breviated as SOA or SOX. In accordance withcommon US practice it was named after theleaders of the commission that drafted thelaw.

Das Gesetz findet Anwendung fr alleUnternehmen, die an der New York StockExchange gelistet sind.

The law applies to all companies listed on theNew York Stock Exchange.




10/47


SOA hat die Aufgabe, die Transparenz undNachvollziehbarkeit in den Unternehmen beiPrfungen durch die SEC, Securities undExchange Commission, zu verbessern.

SOA is intended to improve the transparencyand auditability of companies dealings inaudits by the SEC, the Securities und Ex-change Commission.

Unternehmen werden verpflichtet, u. a. eininternes Kontrollsystem fr die Rechnungs-legung zu unterhalten, die Wirksamkeit derSysteme zu beurteilen und die Richtigkeit derJahres- und Quartalsberichte beglaubigen zulassen. 6)

Among other things, it requires that compan-ies maintain an internal monitoring systemfor accounting, that they evaluate the effect-iveness of their systems, and that they certi-fy quarterly and annual reports. 6)

SOA hat in den USA besonders auf Grund vonAbschnitt 802 Bedeutung erlangt, weil hierempfindliche Strafen in der Strafgesetzgebungverankert worden sind. Die Zerstrung oderVernderung von aufbewahrungspflichtigen

Unterlagen kann mit bis zu 20 Jahren Gefngnisbestraft werden.

In the US, SOA is important especially be-cause of Section 802, which mandatessevere penalties of up to 20 years imprison-ment for the destruction or alteration of doc-umentation that is required to be kept un-

altered.

Besonders die Wirtschaftsprfer legen in ihrerBeratung nunmehr sehr viel Wert aufCompliance, da im Rahmen der Skandale groe,namhafte Wirtschaftsberatungsfirmen wieAndersen vom Markt verschwanden.

Auditors in particular now attach great im-portance to compliance, since the scandalscaused the disappearance of formerly large,well-regarded auditing firms like Andersen.

6) USA, SOA Sarbanes-Oxley Act of 2002 (hufig auch als SOXabgekrzt)

6) SOA Sarbanes-Oxley Act of 2002

e-Discovery e-discovery

Die in den USA am 1. Dezember 2006 in Kraftgetretenen nderungen der FRCP Federal Rules ofCivil Procedure7) knnen als signifikanterWendepunkt von den herkmmlichenpapierbasierten hin zu elektronischenBeweisfhrungsregeln gesehen werden. Diewachsende Bedeutung von elektronischgespeicherten Daten wurde somit auch durch denobersten Gerichtshof unterstrichen.

The changes to the FRCP or Federal Rulesof Civil Procedure7) that came into force onDecember 1, 2006 are a significant turningpoint in the change of focus from conven-tional paper-based to digital evidence. TheSupreme Court underlined the growing im-portance of digitally preserved information.

Electronic discovery, auch e-discovery odereDiscovery, bezieht sich dabei auf jeden Prozessbei dem elektronische Daten abgefragt, gefunden,gesichert und gesucht werden, mit dem Ziel, siebei einem Gerichtsverfahren zu verwenden. Dabeiknnen smtliche Daten, wie z.B. Texte, Bilder,Datenbanken, Audio-Dateien, Animationen,Webseiten und Programme als Beweis dienen. Diewertvollsten Quellen fr strafrechtliche oder zivileGerichtsverfahren stellen aber oft E-Mails dar.

Electronic discovery, also termed e-discov-ery oder eDiscovery, refers to any processin which electronic data is referenced,found, saved, or searched, with the object-ive of using it in court. Any data can serveas evidence, including text, images, data-bases, audio files, animations, websites,and software. But frequently, e-mail is themost important source of evidence in crim-inal and civil cases.

Nachdem mit Sarbanes-Oxley bereits dieelektronische Information vor Gericht aufgewertetworden war schafft eDiscovery nun die rechtlicheGrundlage fr die Anerkennung elektronsicher

After Sarbanes-Oxley had already boostedthe importance of digital information in acourt of law, eDiscovery created the legalbasis for recognizing digital information in




11/47


Informationen in Gerichtsverfahren. Alle Formenvon elektronischen Informationen, nicht nur alsRecord definierte Dokumente, knnen alsBeweismittel vorgebracht werden. Anders als inEuropa und besonders in Deutschland spielt dieelektronische Signatur dabei keine Rolle. Bei derErmittlung gilt das als gltig, was von denermittelnden Behrden vorgefunden wurde. Beider Beweissicherung galten bisher nurPapierdokumente als sicherer Nachweis. Durchdie Mglichkeiten der elektronischen Recherchedrfte sich dies ndern.

court. All forms of digital information, notjust documents defined as records, are ad-missible as evidence. Unlike in Europe andGermany in particular, the presence or ab-sence of an electronic signature is of noconsequence. The only thing that mattersis what the investigators uncover. Formerly,only paper documents were considered tobe firm proof. The possibilities opened upby electronic research will now change this.

eDiscovery wird nicht nur die sichere,unvernderbare Speicherung von Informationenfrdern sondern mehr noch den Schutz desZugriffs und andere Sicherheitsaspekte. Policies

zur kontrollierten Entsorgung von Informationwerden dabei zunehmend wichtiger.

eDiscovery will not only promote the se-cure, edit-proof archiving or preservation ofinformation, but also access protection andother security aspects. Policies for the con-

trolled disposal of information will grow inimportance.

Es sind aber nicht allein SOA und FRCP, die denDruck in bezug auf umfassendeDokumentationsanforderungen im Umfeld derSteuerprfung und Steuerfahndung erhht haben.

But it is not just SOA and FRCP that haveincreased the pressure on documentationin the context of tax audits.

Aus den CFR Code of Federal Regulations8) lassensich inzwischen eine Vielzahl weitererAnforderungen fr spezielle Branchen undGeschftsttigkeiten ableiten.

Many other requirements for specific indus-tries and business activities can now be de-rived from the CFR or Code of Federal Reg-ulations8).

7) United States Supreme Court, Federal Rules of Civil Procedure,Bundesrichtlinie fr zivilrechtliche Verfahren, 2006

8) National Archives and Records Administration, Code of Federal Regu-lations. Bundesgrundstze fr Archive

7) United States Supreme Court, Federal Rules of Civil Proced-ure, 2006

8) National Archives and Records Administration, Code of Fed-eral Regulations.

Ein Beispiel ist der CFR 179), 240, mit hartenRegularien fr Brsenmakler. Die Regeln der US-Brsenaufsicht fr Aktien-Broker SEC 17A-310)

und SEC 17A-4 definieren exakt, welcheAufzeichnungen und Belege bei einer Transaktionaufgehoben und auf welchem Medium siegespeichert werden mssen.

For example, CFR 179), sec. 240 strictly reg-ulates stockbrokers. SEC 17A-310) and SEC17A-4 regulations for stockbrokers defineexactly what notes and documents must beretained for a transaction, and what medi-um they must be stored on.

hnliche Regeln fr die Finanzwelt hat dieNational Association of Securities Dealers(NASD)11) entwickelt. NASD 3010 und NASD 3110beispielsweise verlangen, dass Broker und

Hndler externe Transaktionen von registriertenStellvertretern berwachen.

The National Association of Securities Deal-ers (NASD)11) has developed similar rulesfor the financial business. For example,NASD 3010 and NASD 3110 require that

brokers and dealers monitor external trans-actions via registered representatives.

Eine besondere Bedeutung hat zu dem der PatriotAct12), der weitgehenden Zugriff auf alleInformationen ermglicht und eine transparenteInformationsbereitstellung fordert.

Of special significance is the Patriot Act12),which allows far-reaching access to all in-formation, and requires transparent inform-ation provision.

In anderen Bereichen gibt es ebenfalls rechtlicheund regulative Vorgaben wie z.B. HIPAA13) imKrankenhaus- als auch im Versicherungsbereich,den Tread Act14) mit umfangreichenAnforderungen zur Produkt-, Qualitts- undHerstellungsdokumentation oder Regularien der

There are also legal and regulatory require-ments in other areas as well, for exampleHIPAA13) for hospitals and insurers, theTread Act14) with comprehensive require-ments concerning product, quality, andmanufacturing documentation, and the reg-




12/47


EPA, Environmental Protection Agency 15). ulations of the EPA, the Environmental Pro-tection Agency 15).

Viele dieser Regelwerke beziehen sich auf die neugefassten FSG, Federal Sentencing Guidelines16)

von 2002, so dass Verste mit erheblichenStrafen belegt werden knnen.

Many of these regulations cite the new FSG,the Federal Sentencing Guidelines16) of2002, meaning that infractions can be pun-ished with severity.

Gesetze und Regularien in den USA haben auchAuswirkungen auf Unternehmen im Ausland,wenn sie Tochtergesellschaften oderMuttergesellschaften amerikanischerUnternehmen sind, oder bestimmte Geschfte inden USA abwickeln.

Laws and regulations in the US affect com-panies in other countries, if they are subsi-diaries of US companies or themselvesmaintain US subsidiaries, or do certaintypes of business in the US.

9)

Compliance Whitepaper, Documentum 2004, S.410)Securities and Exchange Commission, Books and Records Re-quirements for Brokers and Dealers Under the Securities Ex-change Act of 1934, 2003

11) National Association of Securities Dealers, NASD 3010 undNASD 3110

12) U.S. Department of Justice , The Uniting and StrengtheningAmerica by Providing Appropriate Tools Required to Interceptand Obstruct Terrorism Act of 2001, 2001 (Patriot Act)

13) United States Department of Health & Human Services,Officefor Civil Rights, Health Insurance Portability andAccountability Act, 2003

14) National Highway Traffic Safety Administration , Transporta-tion Recall Enhancement, Accountability and DocumentationAct , 2000

15) U.S. Environmental Protection Agency16)

United States Sentencing Commission, Federal SentencingGuidelines, 2007 (Rechtsprechungsrichtlinie)

9)

Compliance Whitepaper, Documentum 2004, S.410)Securities and Exchange Commission, Books and Re-cords Requirements for Brokers and Dealers Under theSecurities Exchange Act of 1934, 2003

11) National Association of Securities Dealers, NASD 3010und NASD 3110

12) U.S. Department of Justice , The Uniting andStrengthening America by Providing Appropriate ToolsRequired to Intercept and Obstruct Terrorism Act of2001, 2001

13) United States Department of Health & Human Ser-vices,Office for Civil Rights, Health Insurance Portabil-ity and Accountability Act, 2003

14) National Highway Traffic Safety Administration ,Transportation Recall Enhancement, Accountability andDocumentation Act , 2000

15)

U.S. Environmental Protection Agency16) United States Sentencing Commission, Federal Sen-tencing Guidelines, 2007

Europa Europe

Auf europischer Ebene werden durch dieEuropische Kommission zahlreiche Richtlinienentwickelt, die von den Mitgliedstaaten innationales Recht berfhrt werden mssen. Be-reits durch die Richtlinien zum E-Commerce undzur elektronischen Signatur sind eine Reihe vonAnforderungen fr Compliance entstanden. Derelektronische Geschftsverkehr und dieUmstellung der ffentlichen Verwaltung auf

elektronisch untersttzte Verfahren wird weitereCompliance-Anforderungen nach sich ziehen.

At the European level, the European Com-mission develops many guidelines which theMember States must translate into nationallaw. The guidelines on e-commerce andelectronic signature have already led to anumber of compliance requirements. Elec-tronic business transactions and the switchby public administration to electronicallysupported processes will give rise to further

compliance requirements.

Beispiele fr europische Richtlinien mitGesetzescharakter, die Bedeutung fr dieRechtskraft elektronischer Dokumente besitzenund Dokumentationspflichten nach sich ziehen,sind z.B.:

Some European guidelines have legal char-acter and affect the legal validity of digitaldocuments, as well as documentation re-sponsibilities. Examples are:

E-CommerceE-Commerce-Richtlinie17), die genaufestgelegt, was im elektronischenGeschftsverkehr erlaubt und verboten ist.Hierzu gehren auch Nachweis- undDokumentationspflichten.

E-CommerceE-commerce guideline17) which specifieswhat is permitted and prohibited in digit-al business transactions. Includes proofand documentation responsibilities.




13/47


E-SignaturEuropische Richtlinie zur elektronischen

Signatur18)

. Der Einsatz der elektronischenSignatur ersetzt unter bestimmtenVoraussetzungen das Papier. Die elektronischeSignatur ist daher Bestandteil zahlreicherCompliance-Regelungen.

E-SignatureEuropean guideline on electronic signa-

tures18)

, which replace paper signaturesunder certain conditions. The e-signatureis therefore included in numerous com-pliance rules and regulations.

Zahlreiche andere Richtlinien der EuropischenKommission haben ebenfalls Compliance- undDokumentationspflichten nach sich gezogen. Diegrte Wirkung entwickelt jedoch zur Zeit diesogenannte 8. Direktive.

Many other guidelines of the EuropeanCommission have also given rise to compli-ance and documentation requirements.However, the so-called 8th Directive cur-rently has the greatest effect.

8. EU-Richtlinie 8th EU Directive

Die 8. Direktive setzt Standard frBilanzierungsrichtlinien von brsennotiertenUnternehmen.

The 8th Directive sets the standard for thefinancial accounting of stock-exchange listedcompanies.

Am 07. Juli 2006 ist die 8. EU-Richtlinie19) (EuroSOX) in Kraft getreten, die fr alleeuroppischen Kapitalgesellschaften hnlicheAuswirkungen haben wird wie Sarbanes-Oxley Act(SOX) in USA. Sptestens bis Juli 2008 muss die8. EU-Richtlinie in nationales Recht umgewandeltsein. Damit greifen EU-weit unter anderemverschrfte Regeln in Bezug auf dieDokumentation der Geschftsprozesse und transaktionen sowie der verwendeten IT- und TK-Infrastruktur eines Unternehmens.

On July 7, 2006 the 8th EU Directive19)

(Euro-SOX) came into force. For Europeancorporations it will have similar effects toSarbanes-Oxley (SOX) in the US, and mustbe translated into national law by July 2008at the latest. With it, throughout the EUthere will be more stringent rules on docu-mentation of business processes and trans-actions, and of corporate IT and communic-ation infrastructures.

17) EU-Parlament, Richtlinie 2000/31/EG, 200018) EU-Parlament und Rat, Richtlinie 1999/93/EG, 200019) EU-Parlament und Rat, Richtlinie 2006/43/ EG, 2006

17) European Parliament, Directive 2000/31/EG, 200018) European Parliament and Assembly, Directive

1999/93/EG, 200019) European Parliament and Assembly, Directive

2006/43/ EG, 2006

Deutschland Germany

In Deutschland wird der Begriff Compliancezwar noch selten verwendet, doch dieAnforderungen gibt es schon lngst. Auch inDeutschland werden die Gesetze, wie BGB20),ZPO21) oder HGB22), immer mehr denAnforderungen der Informationsgesellschaftangepasst sowie Richtlinien der EuropischenKommision in nationales Recht bertragen.

In the Germany the term compliance is stillseldom used, but the requirements havebeen in place for a while. Laws such as BG-B20), ZPO21) or HGB22) are more and moreconformant with the requirements of the in-formation age, and EU guidelines are beingimplemented in national legislation.

In diesem Umfeld kommt der elektronischenSignatur eine besondere Bedeutung zu. DerEinsatz der elektronischen Signatur findet sichinzwischen in nahezu allen neueren Gesetzen. Soz.B. auch bei der elektronischen Rechnung. ZumVorsteuerabzug berechtigen den Empfnger nach 14 Abs. 4 Satz 2 UStG nur elektronischsignierte Rechnungen. Da die elektronischeRechnung das Original darstellt, ist es auchelektronisch aufzubewahren. Hier greifen dieverschiedenen neuen Gesetze und Regelungen

In this context the electronic signature isgaining importance, and is now required byalmost all recent legislation. Thus, for ex-ample with digital invoices payers are al-lowed pretax deduction only with e-signedinvoices. Since the e-invoice constitutes theoriginal, it must be stored electronically.Here, new laws and regulations interact, andthe signature law and changes to the BGB(German Civil Code) and ZPO (German Codeof Civil Procedure) mandating the electronic




14/47


ineinander. Das Signaturgesetz und die nder-ungen von BGB Brgerlichem Gesetzbuch undZPO Zivilprozessordnung zur Verankerung derelektronischen Signatur finden ihren Widerhall inder Handels- und Steuergesetzgebung.

signature are reflected in trade and tax law.

Aktuelle Beispiele sind das EHUG und dieErweiterung des Anwendungsbereiches derGDPdU durch aktuelle Gerichtsurteile. In einehnliche Kerbe wie die GDPdU schlgt auch dasGesetz zu den Dokumentationspflichten beiVerrechnungspreisen. dieGewinnabgrenzungsaufzeichnungsverordnung(GAUFZ)23), die anders als die GDPdU bereitsdirekt strafbewehrt ist.

Current examples are the EHUG and the ex-tension of the application area of the GDPdU(German Data Access and Digital SignatureAuthentication Law) by recent court de-cisions. The GAUFZ 23) is in a similar vein, butunlike the GDPdU it is enforced by criminalpenalties.

EHUG und E-Mail-Management EHUG and E-Mail Management

Das bundesweite Elektronische Handels- undGenossenschaftsregister (EHUG)24), welches am 1.Januar 2007 in Kraft getreten ist, stellt einedigitale Version des Handelsregisters dar.Kapitalgesellschaften sind verpflichtet, ihreAbschlsse beim elektronischen Bundesanzeigereinzureichen. Verste gegen dieOffenlegungspflicht werden mit bis zu 25.000Euro von den Verwaltungsbehrden, welche vomelektronischen Bundesanzeiger informiert werden,geahndet.

The national electronic commercial and com-pany registry (EHUG)24), which came intoforce January 1, 2007, is a digital version ofthe commercial registry. Corporations are re-quired to submit their accounts to the elec-tronic Federal Bulletin. Failure to comply ispunishable by a fine of up to 25,000 Eurosby the government administrative officeswho draw their information from the elec-tronic bulletin.

20) BGB Brgerliches Gesetzbuch, 126, 12721) ZPO Zivilprozessordnung, 292a, 286, 130, 37122) HGB Handelsgesetzbuch, 239, 25723)GAUFZ Gewinnabgrenzungsaufzeichnungsverordnung24) EHUG Elektronisches Handels- und Genossenschaftsregister

20) BGB, German Civil Code 126, 12721) ZPO, German Code of Civil Procedure 292a, 286,

130, 37122) HGB, German Commercial Law 239, 25723)GAUFZ, German Regulation on Recording Profit

Accruals24)EHUG, German Electronic Commercial and Company

Registry

Das EHUG hat eine Reihe von nderungen auchin anderen Gesetzen wie z.B. fr GmbHs undAGs nach sich gezogen. Eine regelung betrifftdie Angabe der kompletten Firmierungs- undVerantwortungsangaben in der Signatur von E-Mails. Was lngst schon galt wird hierdurch jetzt

jedem deutlich gemacht: E-Mails sindGeschftsbriefe und sind dementsprechendaufzubewahren.

The EHUG has caused a series of modifica-tions to other laws relevant for registeredcompanies and their responsible managers.One rule concerns the naming of completecompany and responsibility information in e-mail signatures. This codifies what every-

body already knew that e-mails are busi-ness correspondence, and must be archivedas such.

Dies hat ein wahren Boom bei der E-Mail-Archi-vierung ausgelst. Dabei wird hufig bersehen,dass E-Mails in einen Geschftszusammenhanggehren und nicht isoliert archiviert werdensollten. Sie mssen zusammen mit anderenDokumenten in Kunden-, Sach-, Projekt- oderanderen Akten gemeinsam verwaltet werden,damit die Vollstndigkeit undNachvollziehbarkeit des Geschftsgangesgewhrleistet ist.

This has launched a boom in e-mail archiv-ing, but implementers often overlook the factthat e-mails belong in a business context,and should not be archived in isolation. Theyneed to be preserved together with otherdocuments by customer, matter, project, orassociated files, so that the completenessand auditability of the business procedure isassured.




15/47


Da jeder Mitarbeiter im UnternehmenEmpfnger wie Versender vongeschftsrelevanten E-Mails sein kann, ist jedwede technische Lsung durchorganisatorische Manahmen zu unterfttern.

Since any employee in a company can besender or recipient of relevant e-mails, anyand all technology solutions must be under-pinned by organizational measures.

GDPDU: aktuelle Urteile GDPDU: Current verdicts

Nach den Grundstzen zum Datenzugriff und zurPrfbarkeit digitaler Unterlagen (GDPdU)25) sindalle steuerlich relevanten Daten auswertbar berden zeitraum der Aufbewahrungsfristen nachHGB auswertbar aufzubewahren und frPrfungen zugnglich zu machen.

According to the German Data Access andDigital Signature Authentication law (GDP-dU)25), all tax-related information must bestored in interpretable form for the perod oftime mandated by the Commercial Code, andmade available for audits.

Die GDPdU sind eine Verordnung, die auf dennderungen im Steuernderungsgesetz undHGB Abgabenordnung, 146, 147 und 200,

basiert. Sie stellen eine Richtlinie fr dasVorgehen der Finanzbehrden beiAuenprfungen dar. Die Unternehmen mssensicherstellen, dass alle steuerrelevanten Datenidentifiziert, unverndert und vollstndig undber einen Zeitraum von 10 Jahren aufbewahrtwerden. Die originalen Daten mssenvollstndig, richtig und auswertbar entweder inden sie erzeugenden Systemen vorgehaltenoder aber in elektronische Archive ausgelagertwerden. Auch bei den GDPdU spielen inzwischenDokumente und E-Mails neben den Daten ausERP- und Buchhaltungssystemen einezunehmend wichtigere Rolle.

The GDPdU is a regulation that is based oncanges in the tax change law and commer-cial code tax regulation, sections 146, 147,

and 200. It provides a guideline for tax au-thorities to use in auditing. Companies mustensure that all tax-relevant data is preservedidentifiably, unchanged, and completely, fora period of 10 years. The original data mustbe complete, correct, and interpretable,either in their origination systems or in digit-al archives. Documents and e-mails play anincreasingly important role for the GDPdU,alongside ERP and bookkeeping systems.

25) GDPdU Grundstze zum Datenzugriff und zur Prfbarkeitdigitaler Unterlagen, 2001

25) GDPdU Data Access and Digital Signature Authentica-tion law, 2001




16/47


Bereits in einer Reihe von Verfahren vorFinanzgerichten war die Auslegung der GDPdU einThema. Whrend frhere Urteile derFinanzgerichte Rheinland-Pfalz und Hamburg ausdem Jahr 2006 das Recht auf Datenzugriff nochan vielen Stellen eingeschrnkt und damit denSteuerpflichtigen untersttzt haben, weisen dieUrteile der Dsseldorfer Fi-nanzrichter nun in eineandere Richtung. Beide Entscheidungen vom 5.Februar 2007 beschftigen sich im Kern mit derReichweite des Datenzugriffs, also mit demUmfang, welcher einer digitalen Betriebsprfungzu Grunde zu legen ist und interpretieren diesenin einer Art, welche ber das bisherigeVerstndnis von Literatur und Verwaltunghinausgeht. Dazu haben die Richter teilweise

eigenstndige Definition von GDPdU-Begriffl-ichkeiten vorgenommen und damit neueDiskussionspunkte erffnet.

Interpretation of GDPdU has already been atopic of debate in a number of Finance

Court cases. While 2006 verdicts of the Fin-ance Courts of the states of Rhineland-Palatinate and Hamburg limited the right todata access at many points and thus sup-ported the taxpayer, the verdicts of theDsseldorf Finance Court go in a differentdirection. Both verdicts of February 5, 2007ultimately involve the scope of data access,i.e. how far a digital audit can go, and in-terpret this in a way that goes beyond theprevious interpretation of the literature andofficial usage. In doing this, the judgesmade some individual definitions of GDPdUterminology, thereby opening up new

points for discussion.

Steuerrelevanz versus Steuerauswirkung:Die Finanzbehrde darf im Rahmen dessteuerlichen Datenzugriffs auch auf solche Kontender handelsrechtlichen Finanzbuchhaltungzugreifen, auf denen steuerlich nicht abzugsfhigeBetriebsausgaben verbucht werden. Auf derGrundlage des 147 Abs. 1 i. V. m. Abs. 6 AOdarf die Finanzverwaltung fr Zwecke dersteuerlichen Auenprfung ausschlielich aufDaten zugreifen, die fr die Besteuerung vonBedeutung sind. Die vom Datenzugriff betroffenenUnternehmen sind deshalb seit jeher daraufbedacht, das digitale Suchfeld des Betriebsprfersauf solche Datenbestnde zu begrenzen, die vomSinn und Zweck des Rechts auf Datenzugriffgedeckt sind. Das Finanzgericht Dsseldorf gabder Auffassung des Finanzamts Recht und sahkeine ernstlichen Zweifel an der Rechtmigkeitdes Datenzugriffs auf die ursprnglich gesperrtenKonten. Bei den fraglichen digitalenKontoaufzeichnungen handele es sich um Bcher i.S.d. 147 Abs. 1 Nr. 1 AO, die anknpfend an das Handelsrecht die Funktionerfllen, fr einen Kaufmann seine

Handelsgeschfte und die Lage seinesUnternehmens zu dokumentieren. Die im Rahmender GDPdU geforderte steuerliche Relevanz kannnicht mit der vom betroffenen Unternehmenangefhrten steuerlichen Auswirkunggleichgesetzt werden. Dabei habe sich dieeigentliche Steuerrelevanz stets auch daran zuorientieren, inwieweit die in Frage kommendenUnterlagen einen Bezug zur Buchfhrungaufwiesen und mithin zu deren Verstndniserforderlich seien. 26)

Tax-relevance vs. tax effect:Tax authorities can, within the frameworkof tax data access, access accounts of com-mercial-law bookkeeping that record non-tax-deductible business expenses. Per Sec.147 para. 1 through 6 of the Tax ProcedureAct (AO), tax authorities may, for the pur-poses of tax auditing, access only suchdata as is relevant to tax assessment.Companies affected by data access have

therefore always tried to limit the digitalsearch scope of auditors to data records towhich this right to data access applies. TheDsseldorf Finance Court supported theview of the tax office, and had no seriousdoubts as to the legality of data access tosuch formerly closed accounts. The digitalaccount entries in question were books inthe sense of Sec. 147 para. 1 no. 1 of theTax Procedure Act, which based on com-mercial law fulfill the function of docu-menting a businesspersons commercialbusiness and the position of his company.The tax relevance required by GDPdU can-

not be made equivalent to the tax con-sequence, as claimed by the company in-volved in the case. Further, the own tax rel-evance is always based on the extent towhich the documents in question are relev-ant to the accounts and therefore to under-standing them.26)

26) PROJECT CONSULT, Newsletter 20070720, 2007 26) PROJECT CONSULT, Newsletter 20070720, 2007




17/47


GDPdU-Begrifflichkeiten neu definiert:Werden Eingangsbelege beim Steuerpflichtigen

gescannt, gespeichert und die Originaleanschlieend vernichtet, so erstreckt sich dasZugriffsrecht im Rahmen der elektronischenSteuerprfung auch auf derart erzeugteDatenbestnde. Der Steuerpflichtige muss dieseDatenbestnde so organisieren, dass bei einerzulssigen Einsichtnahme keine geschtztenBereiche des Unternehmens tangiert werden. DerEDV-Zugriff der Finanzverwaltung bezieht sichgrundstzlich auf solche Datenbestnde, dieoriginr bereits in elektronischer Form vorliegen.Dies schliet eine Verpflichtung zum Einscannenoder Digitalisieren von Papierdokumenten aus. InBezug auf den viel diskutierten Umfang einer

digitalen Betriebsprfung stellt sich jedochvermehrt die Frage, inwieweit digitalisierteEingangsbelege, deren Papieroriginal vernichtetwurde, dem Betriebsprfer auch in digitaler Formzur Verfgung zu stellen sind. Das FinanzgerichtDsseldorf gestand dem Finanzamt das Recht zu,auf die fraglichen Belege aus dem System desUnternehmens heraus zuzugreifen und diese amBildschirm einzusehen. Die Rechtsgrundlagehierfr ergibt sich nach Auffassung der Richterbereits aus 147 Abs. 6 Satz 1 AO. 27)

GDPdU terms redefined:If the taxpayer scans and stores incoming

records and then destroys the originals, theright to access as part of electronic taxaudit extends to the records thus gener-ated. The taypayer must organize these re-cords in such a way that allowable accessdoes not touch protected areas of the com-pany. The IT access of the tax office issolely for records that were originally in di-gital form. This means that taypayers arenot obliged to scan or digitize paper docu-ments. With regard to the widely discussedscope of digital tax audit, there is increas-ingly the question of to what extent digit-ized incoming records, whose paper origin-

als were destroyed, should be made avail-able to auditors in digital form as well. TheDsseldorf Finance Court gave the tax of-fice the right to gain access to the docu-ments in question from the companies sys-tems, and display them on-screen. The leg-al basis for this is provided, in the opinionof the court, by Sec. 147 para. 6 sentence1 of the Tax Procedure Act. 27)

Whrend die bisherige Rechtsprechung eher inRichtung Unternehmensseite tendierte, ver-

schaffen die beiden nun vorliegenden vorlufigenEntscheidungen aus Dsseldorf derFinanzverwaltung einen deutlichen Rckenwind.Die Unternehmen sollten insbesondere das Urteilbetreffend die digitalisierten Originalbelege in ihreknftige GDPdU-Strategie einbeziehen und einenadquaten Datenzugriff nebst Trennung insteuerlich relevante und irrelevante Unterlageneinplanen. Was man in diesem Zusammenhangnicht vergessen sollte, ist das derzeit hufigbemhte Thema der Verfahrensdokumentation. Indem Mae, wie der Auenprfer selbst solcheSysteme fr den Z1- und Z2-Zugriff benutzt, wirdder Nachweis von ordnungsgemerVerarbeitung, Nutzung und Betrieb immerwichtiger.

While previous verdicts tended to side withbusiness, these provisional verdicts by the

Dsseldorf Finance Court give the tax officesignificant backup. Companies should payspecial attention to the verdict on digitizedoriginals in their future GDPdU strategies,and ensure good data access plus separa-tion into tax-relevant and irrelevant docu-ments. In this context, process documenta-tion should not be forgotten. To the extentthat outside auditors themselves use suchsystems for direct and indirect access,evidence of proper processing, use, andoperation will become ever more import-ant.

27) PROJECT CONSULT, Newsletter 20070720, 2007 27) PROJECT CONSULT, Newsletter 20070720, 2007




18/47


Verfahrensdokumentation nach GoBS GoBS Verfahrensdokumentation

Die Anforderungen an eineVerfahrensdokumentation sind in denGrundstze ordnungsgemer DV-gesttzterBuchfhrungssysteme (GoBS)28) niedergelegt.Die GoBS selbst leiten sich aus demHandelsgesetzbuch29) und derAbgabenordnung30) ab. Sie stellen quasi einebertragung der Anforderungen, dieursprnglich fr eine papiergebundeneDokumentation gedacht waren, in die elektro-nische Welt dar.

Requirements for process documentation arelaid down in GoBS (Basic Regulations for DP-supported Accounting Systems) 28), which arederived from the German CommercialCode29) and Tax Procedure Act30). They rep-resent a kind of translation to the digitalworld of the requirements for paper-baseddocumentation.

In den GoBS wird die Behandlungaufbewahrungspflichtiger Daten und Belege inelektronischen Buchfhrungssystemen sowie inrevisionssicheren Dokumentenmanagement-und Archivsystemen geregelt. Die GoBSbehandeln dabei auch Verfahrenstechniken wieScannen und Datenbernahme. Ein wesentlicherKernpunkt ist das so genannte InterneKontrollsystem (IKS). DieVerfahrensdokumentation muss alle Angabenzum Nachweis des ordnungsmigen Betriebesdes Systemes beinhalten. Aus HGB, AO undGoBS leiten sich auch die grundstzlichenAnforderungen an die Dokumentation undAufbewahrung ab:

The GoBS regulates the treatment in elec-tronic accounting systems of custodyworthy

data and documents, and deals with processtechnologies such as scanning and datatransfer. A core point is the Internal ControlSystem (ICS). Process documentation mustcontain all information needed to demon-strate the proper operation of the system.From the German Commercial Code, the TaxProcedure Act, and the GoBS are derived thebasic requirements for documentation andpreservation:

Ordnungsmigkeit

Vollstndigkeit

Sicherheit des Gesamtverfahrens

Schutz vor Vernderung und Verflschung

Sicherung vor Verlust

Nutzung nur durch Berechtigte

Einhaltung der Aufbewahrungsfristen

Dokumentation des Verfahrens

Nachvollziehbarkeit

Prfbarkeit31)

Proper procecure

Completeness

Security of the overall process

Protection from editing and falsification

Protection from loss

Use only by authorized persons

Mandated retention periods

Documentation of the process

Traceability

Auditability 31)

Dokumentationspflichten ergeben sich jedochnicht nur fr den handelsrechtlichen undsteuerrechtlichen Bereich sondern gelten auchalle anderen Anwendungsgebiete, die gesetzlichoder regulativ betroffen sind. Die obenaufgefhrten Grundstze aus dem Handelsrechtgelten so im Prinzip fr alle Compliance-relevanten Anforderungen.

Documentation is mandatory not just forcommercial law and tax-related matters, butfor all other areas touched on by legislationand regulations. The principles given abovefrom commercial law thus essentially applyto all compliance requirements.

28) GoBS Grundstze ordnungsmiger DV-gesttzter 28) GoBS, Basic Regulations for DP-supported Accounting




19/47


Buchfhrungssysteme, 199529) HGB Handelsgesetzbuch, 239, 25730) AO Abgabenordnung, 146, 147, 20031) PROJECT CONSULT, Artikel Verfahrensdokumentation leicht

gemacht, 2001

Systems, part of the German commercial laws, 199529) HGB, German Commercial Law 239, 25730) AO Tax Procedure Act, 146, 147, 20031) PROJECT CONSULT, article Verfahrensdokumentation

leicht gemacht, 2001

sterreich und die Schweiz Austria and Switzerland

In sterreich sieht die Situation nicht vielanders aus als in Deutschland. Die Unterschiedeliegen nur im Detail. Dies ist daraufzurckzufhren, dass die wesentlichenCompliance-Anforderungen auf deneuropischen Richtlinien basieren. Auch insterreich ist analog zum BGB in Deutschlanddie elektronische Signatur verankert, auchsterreich kennt im Handelsrecht und in der

Abgabenordnung hnliche Bestimmungen wie inDeutschland. Dies gilt z.B. fr die Aufbewahrungvon elektronischen Informationen in Bezug aufVollstndigkeit, Inhaltsgleichheit, Geordnetheitund Urschriftstreue. Auch wenn dieBereithaltung von Daten zur steuerlichenPrfung in sterreich in Listenform ausreichenderscheint, ist die Forderung der Auswertbarkeitdie Gleiche. Zur Vermeidung desUmsatzsteuerbetruges finden sich natrlich auchdie Regelungen zur elektronischen Rechnungwieder.

The situation in Austria does not differgreatly from that in Germany. The differ-ences are only in details. This is due to thefact that the basic compliance requirementsare based on the same Europeanguidelines. Like in Germany, in Austria theelectronic signature is legally binding, andcommercial and tax law provisions are sim-ilar to those in Germany in matters such as

digital information storage completeness,identical nature of content, orderliness, andfaithfulness to the original. While it mayseem that in Austria data for tax auditsneed only be held in list form, the same re-quirements apply in terms of interpretablityof data. To prevent VAT fraud, essentiallythe same rules apply to digital invoices asin Germany.

Im Jahr 2007 wurde das UGB

Unternehmensgesetzbuch32) in Kraft gesetzt,dass das bisherigesterreichische HGBHandelsgesetzbuch ablst. Aus dem neuen UGBergeben sich zahlreiche Informations- undDokumentationspflichten Unter der berschrift Geschftspapiere und Bestellscheine werdendie Mindestangaben festgelegt, die frGeschftsbriefe und hnliche Dokumente gelten.Es mssen die Firma, die Rechtsform und derSitz sowie auch Firmenbuchnummer und Gericht angegeben werden. Die neuenBestimmungen gelten nicht mehr nur frGeschftspapiere und Bestellscheine, sondern inErgnzung zu den Bestimmungen des MedG33)

auch fr E-Mails und Webseiten.

In 2007 the new Business Code32) came into

force, replacing the former Austrian Com-mercial Code. The Business Code containsnumerous requirements concerning inform-ation and documentation. The header Geschftspapiere und Bestellscheine(Business Documents and Order Forms)lays down the minimum information re-quired for business letters and similar docu-ments company, legal form, office loca-tion, registry number and legal domicile.The new rules apply not just to businessdocuments and order forms, but also to e-mails and websites, supplementing therules laid down in the Media Law33).

32) UGB Unternehmensgesetzbuch, 200733) MedG Mediengesetz, 2005

32) UGB Business Code, 200733) MedG Media Law, 2005




20/47


Selbst die Schweiz hat als nicht EU-Mitgliedinzwischen die wesentlichen Gesetze undVerordnungen an die europischen Vorgabenschrittweise angeglichen. Dies zeigt sich z.B. imObligationenrecht in den Bestimmungen ber dieBuchfhrung OR Art. 957ff, die die Aufbewahrungvon Geschftskorrespondenz, der Bcher und derBuchungsbelege in elektronischer Form regeln.

Switzerland, while not in the EU, has alsoaligned its laws and regulations with the EU

step by step. This is evident in the Code ofObligations in the rules for accounting, ORArt. 957ff, which regulate the retention ofbusiness correspondence, accounts, and ac-counting records in digital form.

Ein wesentliches Dokument ist die GeBV34),Geschftsbcherverordnung bzw. die Verordnungber die Fhrung und Aufbewahrung derGeschftsbcher.

The GeBV34), the law governing the main-tenance and retention of accounts, is a keydocument.

Die GeBV legt fest, wie dieGeschftsunterlagen gefhrt und aufbewahrtwerden mssen

The GeBV mandates which businessdocuments must be kept and retained.

Die GeBV beinhaltet die Grundstze derordnungsgemssen Buchfhrung sowie dieGrundstze der ordnungsgemssenDatenverarbeitung bei elektronisch oder invergleichbarer Weise gefhrten Bchern

The GeBV contains the principles of or-derly accounting and data processing ofdigital or similarly kept accounts.

Die GeBV hlt die Anforderungen anIntegritt, zulssige unvernderbareSpeichermedien und andere Spezfikationenmit Compliance-Relevanz fest

The GeBV contains requirements con-cerning data integrity, permissible edit-proof storage media, and other coompli-ance-relevant specifications.

Weitere Gesetze regeln sehr dediziert und mitHinweisen auf geeignete

Speichertechnologien und elektronischeSignatur die Dokumentations- undAufbewahrugnspflichten auch auerhalb desHandelsrechtes.

Other dedicated laws regulate documenta-tion custodyworthiness and retention peri-

ods, and refer to suitable storage technolo-gies and to electronic signatures, includingoutside the context of commercial law.

Angesichts des Zusammenwachsens dereuropischen Union und ihrer Mitglieds-staaten wird durch den grenzber-schreitenden Geschftsverkehr und ber dasInternet abrufbare elektronische Dienst-leistungen ein einheitlicher Rechtsrauminsbesondere im Handels- und Steuerrechtunerlsslich. Dementsprechend werden sichauch die daraus abgeleiteten Compliance-Anforderungen immer einheitlicher undeuropaweit ausgreifender gestalten.

As the European Union member states be-come more tightly integrated, the growth ofcross-border business and electronic ser-vices over the Internet makes a uniform leg-al space indispensable, particularly as con-cerns commercial and tax law. Accordingly,the resulting compliance requirements arebecoming ever more similar across Europe.




21/47


34)Verordnung ber die Fhrung und Aufbewahrung der

Geschftsbcher (GeBV Geschftsbcherverordnung)

34)GeBV law governing the maintenance and retention of

accounts

Branchenspezifische Regularien Industry-Specific Regulations

Neben den Richtlinien, die fr alle Unternehmen,Organisationen, Behrden und Personengleichmaen gelten, gibt es zahlreiche spezielleRegelungen fr bestimmte Branchen, dieffentliche Verwaltung undGeschftsttigkeitsgebiete. Hierbei gibt esinternationale wie auch nationale Regelungen.

In addition to guidelines that apply equallyto all companies, organizations, authorities,and persons, there are numerous specialregulations for individual industries, govern-ment administration, and business areas.These can be national as well as internation-al.

So ist die FDA Food and Drug Administration35)

aus den USA, mit ihren bindenden Regularien frdie Herstellung von Lebensmitteln,Pharmazeutika und Medikamenten auch ber dieGrenzen der Vereinigten Staaten zu beachten. Beider Beantragung eines neuen Medikamentes, mitVorlage von allen Testnachweisen und Produk-tionsverfahren, hat sich die Anschaffung einesDokumentenmanagementsystems meistensbereits gelohnt. die FDA-Kriterien, auchabgekrzt unter FDA Part 1136) bekannt. UmHerstellungsmethoden zu standardisieren hat dieFDA ein Regelwerk mit der Bezeichnung CGMP37)

herausgebracht. Eine grundstzliche Forderungder FDA ist, dass elektronische Aufzeichnungenquivalent zu Papieraufzeichnungen sind und

elektronische Unterschriften die gleicheAussagekraft und Eindeutigkeit wiehandgeschriebene Unterschriften haben. Aufeuropische Ebene sind die entsprechendenRegualarien als GxP38) mit den Teilen GSP undGMP39) einzuhalten.

Thus, the US Food and Drug Administra-tion35) (FDA), with its binding regulationsconcerning pharmaceuticals and medica-tions, has effects beyond the borders of theUnited States. A document managementsystem usually pays for itself just in apply-ing for a permit for a new medication, forproviding all documentation on tests andproduction processes to FDA criteria, abbre-viated as FDA Part 1136). To standardizemanufacturing methods, the FDA hasbrought out a regulation called CGMP37). Oneof the FDAs basic requirements is that digit-al records be equivalent to paper records,and that electronic signatures have thesame significance and uniqueness as hand-

written signatures. The corresponding regu-lations at the European level are GxP38) withthe GSP and GMP39) sections.

Den Gesundheitssektor in den USA reguliertHIPAA40). Das Ziel von HiPAA ist die Vordergrundsteht die Reformierung der Gesundheitspflege-Industrie. Die Gesetzgebung strebt nach grererWirtschaftlichkeit, Verringerung von Schreib-arbeiten und einfacher Identifizierung undWeiterverfolgung von Betrug durch dieAuferlegung von unterschiedlichen Normen undSicherheitsmanahmen gegen den Missbrauchvon gesundheitsbezogenen Angaben des Brgers.HIPAA beinhaltet so zahlreiche Dokumentations-und Vertraulichkeitsanforderungen.

In the US, the HIPAA40)regulates the healthindustry. HIPAAs primary goal is health in-dustry reform, and legislation aims at great-er economy, reduction in paperwork, andsimpler identification and tracing of fraud bymandating standards and safety measuresto combat the misuse of citizens health in-formation. Thus, HIPAA contains numerousdocumentation and confidentiality require-ments.

35) U.S. Food and Drug Administration36) U.S. Food and Drug Administration, Federal Register Part II,

21 CFR Part 11; allgemein als FDA-Richtlinie bekannt37) U.S. Food and Drug Administration , Current Good Manufac-

turing Practices38) Zusammenstellung der guten Arbeitspraxis fr die

35) U.S. Food and Drug Administration36) U.S. Food and Drug Administration, Federal Register

Part II, 21 CFR Part 1137) U.S. Food and Drug Administration , Current Good

Manufacturing Practices38) Compilation of Good practices containing GLP, GSP,




22/47


Pharmabranche mit GLP, GSP, GMP39) Good Storage Practice und Good Manufacturing Practice40) United States Department of Health & Human Services, Of-

fice for Civil Rights, Health Insurance Portability and Ac-countability Act

GMP39) Good Storage Practice and Good Manufacturing

Practice

40) United States Department of Health & Human Ser-vices, Office for Civil Rights, Health Insurance Portabil-ity and Ac-countability Act

Aus den USA kommt auch der defacto Standardfr das Records Management: DoD 5015.241) immilitrischen Umfeld. Der Standard desDepartement of Defense definiert diegrundstzlichen Anforderungen an Dokumenten-Management und Records-Management-Systeme.Die Einhaltung der Standards ist fr alleHersteller erforderlich, die fr die Bundes-verwaltung in den USA im militrischen undangrenzenden Bereich anbieten wollen.

The de-facto standard for records manage-ment comes from the US, DOD 5015.241) formilitary contexts. This Department of De-fense standard defines the basic require-ments for document and records manage-ment systems. This standard must be ad-hered to by all manufacturers hoping to sellto the US government in military and quasi-military areas.

Ein Beispiel fr einen detaillierten Standard frden Einsatz elektronischerVorgangsbearbeittungssysteme ist das deutscheDOMEA-Konzept42) DOMEA beschreibt dieAnforderungen an das Dokumentenmanagementund elektronische Archivierung in der ffentlichenVerwaltung und ermglicht auch die Prfung undZertifizierung von etsprechenden Produkten.DOMEA-Compliance ist bei vielenAusschreibungen eine Anforderung. WesentlichesZiel des DOMEA-Konzeptes ist die Einfhrung derelektronischen Akte. Da fr diese die gleichenGesetze, Geschftsordnungen, Richtlinien und

Vorschriften wie fr Papierakten gelten, mssenbehrdliche Geschftsprozesse,Vorgangsbearbeitung und Archivierungvollstndig in konforme IT-Prozesse berfhrtwerden. Das DOMEA-Konzept liefert dafrRichtlinien, ist aber trotz seiner weitenVerbreitung und der Mglichkeit der Zertifizierungkein genormter Standard.

The German DOMEA concept42)is a good ex-ample of a detailed standard for digital pro-cess management systems. DOMEA dis-cribes the requirements for document man-agement and electronic archiving in publicadministration, and permits the testing andcertification of products in this area. DOMEAcompliance is a requirement in many RFPs.The fundamental objective of DOMEA is theintroduction of the virtual folder. Since thesame laws, business regulations, guidelines,and requirements exist for these as for pa-per folders, official processes, procedures,

and archiving must be transferred to fullyconformant IT processes. The DOMEAconcept supplies guidelines for this, but des-pite its widespread use and certificability, itis not an official standard.




23/47


41) Department of Defense, Electronic records management soft-ware applications design criteria standard, 2007, allgemeinals DoD 5015.2 bekannt

42) DOMEA Dokumenten-Management und elektronischeArchivierung. Aktuell DOMEA Version 2

41) Department of Defense, Electronic records manage-ment software applications design criteria standard,2007, generically referred to as DoD 5015.2

42) DOMEA document management and electronic archiv-ing. Current Version is DOMEA Version 2

Corporate Governance 3 Corporate Governance

Information Management Compliance darfnicht isoliert betrachtet werden. Compliancemuss Bestandteil der Corporate Governance

des Unternehmens und stndiger Begleiteraller Prozesse werden. 43)

Information Management Compliancecannot be seen in isolation. Compliancemust become part of Corporate Gov-

ernance and an integral part of all pro-cesses.43)

Hinter Schlagworten wie Corporate Governance,Enterprise Information Policy oder RecordsManagement Policy und Projekten zurErarbeitung und Einfhrung solcher Regelwerkeverbergen sich auch viele Anstze zur Lsungvon Compliance-Anforderungen.

Behind terms like corporate governance, en-terprise information policy or records man-agement policy, and projects for the imple-mentation of such policies, are many ap-proaches to meeting compliance require-ments.

Corporate Governance beinhaltet die rechtlichenund institutionellen Rahmenbedingungen, diemittelbar oder unmittelbar Einfluss auf dieFhrungsentscheidungen eines Unternehmensund somit auf den Unternehmenserfolg haben.

Corporate governance covers the legal andinstitutional framework, which have proxim-ate or immediate influence on managementdecisions and thus company success.

Der Ursprung fr Corporate Governance liegtbereits in den 30er Jahren, als man sichverstrkt Gedanken ber die Rechte derAktionre machte.

The origins of corporate governance in thissense lie in the 30s, with the goal ofstrengthening shareholders rights.

Corporate Governance Richtlinien Corporate Governance Guidelines

International wurden Corporate Governancedurch die OECD in Gestalt der Principles ofCorporate Governance 1984 verankert und2004 aktualisier.t44)

Internationally, corporate governanceprinciples were laid down in 1984 by theOECD in the form of Principles of Cor-porate Governance, and updated in2004.44)

Die Europische Kommission hat im Jahr2004 ein European Corporate GovernanceForum45) als Beratungsgremium eingerichtet,ohne jedoch bisher eine verbindlicheRichtlinie herauszugeben.

In 2004 the European Commission cre-ated a European Corporate GovernanceForum45) as an advisory body, whichhowever has not resulted in a bindingguideline as yet.

In Deutschland hat das Bundesministeriumder Justiz im Jahr 2002 den Corporate-Governance-Kodex verffentlicht. Dieser hatAuswirkungen auf die UnternahmensgesetzeKonTraG und UMAG sowie auf das Handels-und Steuerrecht und auf denVerbraucherschutz.46)

In Germany, the Federal Justice Ministrypublished the Corporate GovernanceCode in 2002. This has consequences forthe corporate laws KonTraG and UMAG,as well as commercal and tax law, andconsumer protection.46)




24/47


43) Ulrich Kampffmeyer, IMC Information ManagementCompliance Policies und ihre Umsetzung. 2006

44) OECD Principles of Corporate Governance, 200445) Europische Kommission, European Corporate Governance

Forum, 200446) DCGK Deutscher Corporate Governance Kodex, 2002

43) Ulrich Kampffmeyer, IMC Information ManagementCompliance Policies und ihre Umsetzung. 2006

44) OECD Principles of Corporate Governance, 200445) European Commission, European Corporate

Governance Forum, 200446) DCGK German Corporate Governance Code, 2002

In sterreich gibt es den CGKsterreichischen Corporate GovernanceKodex, der im Jahr 2002 verffentlichtwurde und sich an den internationalenVorgaben orientiert.

In Austria there is the CGK, the Austri-an Corporate Governance Code, pub-lished in 2002. This follows internationalprecedents.

In der Schweiz gibt es nur einen freiwilligenSwiss Code of Best Practice aus dem Jahr2002.

In Switzerland there is only a volutarySwiss Code of Best Practice from 2002.

Compliance und Information Management Com-pliance mssen in der Corporate Governanceverankert sein. Corporate Governance undCompliance mssen auch die Umsetzung vonProzessen und die Aufbewahrung vonDokumenten bercksichtigen undentsprechende Vorgaben fr die IT-Strategiemachen und deren Umsetzung berprfen.

Compliance and information managementcompliance must be anchored in corporategovernance. Corporate governance and com-pliance must take into account the imple-mentation of processes and retention of doc-uments, create requirements for ITstrategies, and monitor their implementa-tion.

Risiko-Management Risk Management

Wrde man alle nur denkbaren und einespezifische Situation betreffenden Compliance-Anforderungen im Unternehmen vollstndigumsetzen und durch technische Systemeuntersttzen wollen, kme dieGeschftsttigkeit zum Erliegen. Risiko-Management ist daher ein wichtiger Bestandteilvon Corporate Governance und InformationManagement Compliance.

A company that tried to account for all ima-ginable compliance requirements in a specificsituation, and support it with technical sys-tems, would come to a standstill. Risk man-agement is therefore an important elementin corporate governance und informationmanagement compliance.

Die Risiken mssen erhoben, aufbereitet und

bewertet werden. Manahmen zur Vermeidungder Risiken und zur Einhaltung der relevantenCompliance-Anforderungen sind zu treffen.Dabei obliegt es der Geschftsfhrung bzw. demVorstand eines Unternehmens dieVerantwortung fr den Umfang der Manahmenund deren Einhaltung zu bernehmen.Entsprechend Corporate Governance undUnternehmensgesetzen ist dies auch genau dieAufgabe der fr die Geschftsttigkeitverantwortlichen Personen und Gremien. DieseVerantwortung schliet heute beiAktiengesellschaften auch den Aufsichtsrat ein.

Risks must be assessed and evaluated, and

action taken to prevent them and meet rel-evant compliance requirements. Manage-ment must take responsibility for the extentof action planned and taken. According tocorporate governance and business law, thisis the job of the people and committees re-sponsible for a business. This includes thesupervisory board of joint stock corporations.




25/47


In Bezug auf eine Information Management

Policy sind dabei nicht nur die technischenRisiken zu betrachten sondern auch diejenigenRisiken, die sich aus der Nutzung und demBetrieb der Systeme, den Prozessen und ausdem Ausbildungsstand der Mitarbeiter ergeben.

In terms of an information management

policy, not just the technological risks mustbe taken into consideration, but also therisks arising from the use and operation ofthe systems, the processes, and the traininglevels of employees.

Zu den technischen Risiken gehren dieVerfgbarkeit der Systeme, der Schutz vorunberechtigter Nutzung oder Lschung vonDaten, Wiederanlauf und Recovery,Richtigkeit der Daten, Backup undKatastrophenschutz, Zugang, Konsistenzund Integritt der Datenbestnde,Kompatibilitt der eingesetzten

Softwarestnde, Virenschutz,Transaktionssicherheit, Ausfallsicherheit undSystemauslegung, Datenschutz undDatensicherheit sowie die fehlerfreieAblauffhigkeit der Softwaresysteme.

Technological risks include system avail-ability, protection from unauthorized useor deletion of data, restarting and recov-ery, correctness of data, backup andcatastrophe protection, access, consist-ency and integrity of data, software com-patibility, virus protection, transactionsecurity, protection from downtime, sys-

tem design, data protection, data secur-ity, and the fault-free running of soft-ware.

Zu den organisatorischen Risiken zhlenBerechtigungsstrukturen, Ausbildungstndeder Mitarbeiter, Betreuung der Systeme undMitarbeiter, durchgngige Prozesse,Zustndigkeiten und Verantwortlichkeiten,korrekte und aktuelle Arbeitsanweisungen,fehlendes Bewusstsein fr den Wert vonInformation und andereaufbauorganisations-, prozess- undpersonenbezogene Kriterien.

Organizational risks include authorizationstructures, employee training levels, sys-tem and employee support, consistentprocesses, responsibilities, correct andupdated work instructions, understand-ing of the value of information, and otherorganizational, procedural, and person-related criteria.

Eine Information Management Compliance Policymuss allen Faktoren derInformationsentstehung, -verarbeitung,-verwaltung, -nutzung und -speicherungbercksichtigen und in die CorporateGovernance Richtlien des Unternehmens nahtlosintegrieren.

An information management compliancepolicy must consider all factors in informa-tion origin, processing, administration, use,and storage, and integrate them seamlesslyinto the companys corporate governanceguidelines.




26/47


Information ManagementCompliance Policy

4 Information ManagementCompliance Policy

Policies und Richtlinien haben nur danneinen Nutzen, wenn sie nachgehalten undbefolgt werden. Elektronische Systemeknnen hierbei effektiv untersttzen unddie Nachvollziehbarkeit vonGeschftsgngen besser dokumentieren alsdies je ein Mensch knnte. 47)

Policies and guidelines are useful onlywhen they are followed. Electronic systemscan be an effective aid here, and documentthe auditability of business processes bet-ter than any person eve