Compliance

Langfristige und gesetzeskonforme Archivierung geschäftsrelevanter Daten

Der aus der USA stammende Begriff Compliance lässt sich nicht einfach mit einem Wort übersetzen. Er bedeutet so viel wie die Übereinstimmung mit und Erfüllung von rechtlichen und regulatorischen Vorgaben.

Unaufmerksamkeit kann teuer werden

Gesetzliche Vorgaben gab es schon immer. In den USA und auch in Deutschland. Aber gerade durch die großen Skandale um ENRON und WorldCom wurde dieses Thema noch weiter verschärft. Buchhaltungssoftware musste zwar schon immer eine Reihe von gesetzlichen Anforderungen erfüllen, aber gerade durch den steigenden Anteil von elektronischem Datenaustausch z.B. per E-Mail kamen neue Vorgaben auf die Unternehmen zu. So wurde der amerikanische Tabakkonzern Philip Morris zu einer Geldstrafe von 2,75 Millionen US-Dollar verurteilt, weil sämtliche E-Mails nach sechs Wochen gelöscht wurden und mit Ihnen auch geschäftsrelevante Informationen. Auch die Deutsche Bank wurde mit einer Geldstrafe von 7,5 Millionen US-Dollar belegt, weil sie von der amerikanischen Börsenaufsicht angeforderte E-Mails nicht rechtzeitig zur Verfügung stellen konnte.

Gesetzliche Grundlagen

Durch den Mitte 2002 in den USA erlassenen Sarbanes-Oxley Act kann die Unternehmensleitung nun mit bis zu 20 Jahren Gefängnis bestraft werden, wenn aufbewahrungspflichtige Unterlagen zerstört oder verändert werden. Das soll die Nachvollziehbarkeit und Transparenz bei Prüfungen der Securities and Exchange Commission verbessern. Neben anderen amerikanischen Vorgaben, wie HIPAA, Tread Act, DoD 5015.2 u.s.w. ist auch der Sarbanes-Oxley Act für deutsche Firmen mit Mutterunternehmen oder Niederlassungen in den USA von Bedeutung. Regularien für den Umgang und die Bereitstellung von elektronischen Informationen sind einfach unumgänglich, da immer mehr Informationen digital entstehen und bearbeitet werden.

Auch in Deutschland gibt es Compliance-Anforderungen. Am bekanntesten sind da wohl die GDPdU (Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen). Sie verpflichten Unternehmen, steuerrelevante Daten gemäß der Abgabenordnung in auswertbarer Form für eine Außenprüfung des Finanzamtes zur Verfügung zu stellen. Dies gilt für große Konzerne ebenso, wie für kleine und mittelständische Unternehmen aller Branchen.
Konkretere Angaben zur Aufbewahrung und Verwaltung von GDPdU-relevanten Informationen geben da die Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS). Diese beinhalten die Datensicherheit, den Zugriffsschutz, die Möglichkeit einer schnellen Recherchierbarkeit und auch die Sicherstellung der Unveränderbarkeit. Neben GoBS und GDPdU gibt es noch eine Reihe weiterer Regularien, wie beispielsweise das Umsatzsteuergesetz (UStG), die Allgemeine Verwaltungsvorschrift über das Rechnungswesen in der Sozialversicherung (SRVwV), das Handelsgesetzbuch (HGB) und das Geldwäschegesetz (GwG).

Entwicklung in Deutschland

Zwar gibt es in Deutschland noch keine rigorose Überprüfung und Verfolgung dieser Regularien, doch es ist sicher nur eine Frage der Zeit, bis auch hier der Staat auf die konsequente Umsetzung achtet und eine Nichtbeachtung ahndet. Ferner geben auch Aspekte und Inhalte der neuen amerikanischen Gesetze in Europa die Richtung an, in die sich das Thema Compliance für deutsche Unternehmen entwickeln bzw. orientieren wird.

Das Lösungsangebot von Ceyoniq

Ceyoniq hat diese Anforderungen aufgenommen und das Thema Compliance zu einem Kernthema bei der Entwicklung von nscale - der Standardplattform für Enterprise Content Management gemacht. Damit können Kunden mit geschäftsrelevanten Daten wie gewohnt arbeiten, haben aber zugleich die Sicherheit, dass diese Informationen gesetzeskonform verwaltet werden. Dazu ist es nicht nötig, einzelne Module oder Komponenten zu erwerben, die nur bestimmte Daten archivieren. nscale bietet bereits standardmäßig die Möglichkeit, unternehmensweit alle anfallenden Informationen, wie E-Mails, Drucklisten, Host-Output, elektronisch erstellte Dokumente, z.B. Briefe, Tabellen, Rechnungen und Faxe sicher zu verwalten. Den Kunden werden verschiedene Möglichkeiten geboten, die Anforderungen an eine revisionssichere Speicherung zu erfüllen.

Revisionssichere Archivierung

Der Begriff der revisionssicheren Archivierung bezieht sich auf die Unveränderbarkeit der abgelegten Informationen. Eine Unveränderbarkeit der Daten kann aber nur durch die Betrachtung des kompletten Verfahrens sichergestellt werden. Zusätzlich zu den Möglichkeiten, die nscale für eine gesetzeskonforme Speicherung bietet, sollten Unternehmen eine Verfahrensbeschreibung anfertigen, die von der Erfassung bzw. dem Eingang der Information bis zur endgültigen Speicherung sämtliche Schritte dokumentiert.

nscale stellt durch ein Bündel von Maßnahmen organisatorischer und technischer Art sowie durch die verwendete Technologie sicher, dass die archivierten Dokumente nicht verändert werden können.
Alle Abläufe der Archivierung und auch der Wiederherstellung von Dokumenten sind so gestaltet, dass unberechtigten Eingriffen und Zugriffen möglichst wirkungsvoll vorgebeugt wird.

nscale bietet folgende Funktionalitäten:

• Möglichst sofortige Ablage der Dokumente auf nur einmal beschreibbaren, optischen Datenträgern
• Protokollierung aller relevanten Vorgänge (Archivierungen, Konfigurationsänderungen, Löschungen, Retrievalvorgänge) innerhalb von nscale
• Zugriffsschutz durch Kennwörter und Logins
• Technische Maßnahmen zur Verhinderung von Änderungen bereits archivierter Dokumente
• Zugriff auf Archivmedien nur über den nscale Server möglich, kein Ansprechen der Dateien etwa durch den Dateimanager des Betriebssystems
• Redundante Speicherung an mehreren Speicherorten
• Redundante Auslegung des Gesamtsystems
• Detailliertes Berechtigungskonzept

Empfohlene Links:

• SOX
• HIPAA
• GDPdU
• GoBS
• GWG
• HGB
• UStG