Sie sind auf Seite 1von 44

Information

Management
Compliance

PROJECT CONSULT Whitepaper

Dr. Ulrich Kampffmeyer

PROJECT CONSULT
Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH

Hamburg, September 2007


Information Management Compliance

Die Information des Whitepapers wurde mit größter Sorgfalt Every effort has been made to make this white paper as
erarbeitet. Dennoch können Fehler nicht vollständig ausge- complete and as accurate as possible, but no warranty or
schlossen werden. Die Autoren übernehmen keine juristische fitness is implied. The authors shall have neither liability
Verantwortung oder Haftung für eventuell verbliebene Angaben nor responsibility to any person or entity with respect to
und deren Folgen. any loss or damages arising from the information con-
tained in this book.

Das Werk einschließlich aller seiner Teile ist urheberrechtlich This work including all parts is protected by copyright. No
geschützt. Jede Verwertung außerhalb der engen Grenzen des part of this work covered by the copyright hereon may be
Urheberrechtsgesetzes ist ohne Zustimmung des Autors unzu- reproduced or used in any form or by any means –
lässig und strafbar. Alle Rechte, wie Vervielfältigung, Überset- graphic, electronic or mechanical, including photocopying,
zung, Mikroverfilmung sowie digitale Einspeicherung, Verarbei- recording, translating, taping, or information storage and
tung und Verbreitung sind dem Autor vorbehalten. retrieval systems – without the written permission from
the author.

© PROJECT CONSULT Unternehmensberatung GmbH 2007. Alle © PROJECT CONSULT Unternehmensberatung GmbH
Rechte vorbehalten. 2007. All rights reserved.

Autorenrecht und CopyRight Copyright

Autor: Dr. Ulrich Kampffmeyer


PROJECT CONSULT Unternehmensberatung GmbH
Breitenfelder Str. 17
D-20251 Hamburg
Tel.: 040 / 460 762 20
Fax: 040 / 460 762 29
E-Mail: Presse@PROJECT-CONSULT.com
Web: www.PROJECT-CONSULT.com

Der gesamte Inhalt ist, sofern nicht gesondert zitiert, ein Origi- All content is the orginal text of the autor if not otherwise
naltext des Autors. Jeglicher Abdruck, auch auszugsweise oder cited. The author must agree to copies or citations before
als Zitat in anderen Veröffentlichungen, ist durch den Autor publishing. No part of this work covered by the copyright
vorab zu genehmigen. Die Verwendung von Texten, Textteilen, hereon may be reproduced or used in any form or by any
grafischen oder bildlichen Elementen ohne Kenntlichmachung means without citing the author. Specimen copies have
der Autorenschaft ist ein Verstoß gegen geltendes Urheber- to be sent to the author without request even if published
recht. Belegexemplare, auch bei auszugsweiser Veröffentli- partly or cited.
chung oder Zitierung, sind unaufgefordert einzureichen.
Information Management Compliance

Information Management Compliance

Ein PROJECT CONSULT Whitepaper A PROJECT CONSULT Whitepaper


Dr. Ulrich Kampffmeyer
Geschäftsführer der PROJECT CONSULT Managing Director PROJECT CONSULT
Unternehmensberatung GmbH, Hamburg Unternehmensberatung GmbH, Germany
Keynote-Präsentation auf der DMS EXPO 2007, Keynote presentation at the DMS EXPO 2007,
26. September 2007, Köln September 26th, 2007, Cologne, Germany

„Es muss eine Angleichung der elektro- “The electronic world must become
nischen Welt an die Papierwelt stattfinden. equivalent to the paper world. A generally
Nur mit einem komplett neuem Rahmenwerk accepted and fair basis for information
von Gesetzen und Richtlinien können all- management compliance requires a com-
gemeingültige und gerechte Grundlagen pletely new legal and regulatory frame-
für Information Management Compliance ge- work.”1)
schaffen werden.“ 1)
Der Begriff Compliance sorgt bei vielen Anwen- The term “compliance” is confusing for many
dern für Verunsicherung. Zahlreiche Anbieter users. Numerous vendors market their prod-
vermarkten inzwischen Ihre Produkte unter dem ucts using the compliance label – the tradi-
Etikett „Compliance“ – nicht nur herkömmliche tional DMS and ECM solution vendors, as
Anbieter von DMS- und ECM-Lösungen, sondern well as manufacturers of data storage sys-
auch Hersteller von Speichersystemen, Mana- tems, management information software,
gement-Informations-Programmen und ERP- and ERP solutions. “Compliance” has become
Lösungen. Mit dem Begriff Compliance hat sich a new market niche. In Germany the term
zugleich ein neues Marktsegment gebildet. In has thus far not gained broad currency, but
Deutschland wird der englische Begriff Compli- the legal and regulatory documentation re-
ance bisher nur selten verwendet. Rechtliche quirements are increasing steadily – one
und regulative Vorgaben für Dokumentations- need look no further than the GDPdU or
pflichten nehmen aber, wenn man an Beispiele Basel II. Thus, users now find themselves
wie die GDPdU oder Basel II denkt, stetig zu. Es having to decide between specialist island
liegt also am Kunden, sich zwischen spezialisier- solutions to fulfill specific compliance re-
ten Insellösungen zur Erfüllung bestimmter quirements, or broader-based solutions that
Compliance-Anforderungen oder übergreifenden include compliance fulfillment in their portfo-
Lösungen, die auch Compliance-Anforderungen lio.
mit abdecken, zu entscheiden.
Das Whitepaper bietet einen Überblick über Hin- This White Paper gives an overview of the
tergründe und notwendige Maßnahmen zur Er- background and and actions needed to fulfill
füllung der zunehmenden Compliance-Anforde- the growing compliance reqirements in IT. It
rungen im Umfeld der Informationstechnologie. will illustrate the current situation in 2007
Die aktuelle Situation im Jahr 2007 wird an using a few selected examples.
Hand einiger, ausgewählter Beispiele darge-
stellt.

1) 1)
Ulrich Kampffmeyer, Bedeutung von Compliance, Vortrag Importance of “Compliance”. Dr. Ulrich Kampffmeyer at
auf dem SAPERIONcongres 2007, „ECM 2.0“, 2007 the SAPERIONcongress 2007

Kunde: KoelnMesse Projekt: DMS EXPO 2007 Autor: Dr. Ulrich Kampffmeyer public
Thema: Information Management Compliance Topic: Whitepaper Status: fertig
Datei: Compliance_Kampffmeyer_20070926.doc Datum: 20.09.2007 Version: 1.2
Seite 1 von 40
© PROJECT CONSULT Unternehmensberatung GmbH 2007
Information Management Compliance

Kapitel/ Seite/
Chapter Inhalt Contents Page

Einführung Introduction 1

1 Compliance und Information Compliance and Information 3


Management Compliance Management Compliance
Was verbirgt sich hinter dem Begriff What is behind the term “Compliance”? 3
Compliance?
Unterschiedliche Auswirkungen Different consequences 5

2 Aktuelle Situation und wichtige Current situation and 6


Regularien important regulations
International International 6
Basel II Basel II 6
USA USA 7
Sarbanes-Oxley-Act Sarbanes Oxeley Act 7
eDiscovery eDiscory 8
Europa Europe 10
8. EU-Richtlinie 8th EU Directive 10
Deutschland Germany 11
EHUG und E-Mail-Management „EHUG“ and E-Mail Management 11
GDPDU: Aktuelle Urteile „GDPDU“: Current verdicts 12
Verfahrensdokumentation nach GoBS „GoBS Verfahrensdokumentation“ 15
Österreich und Schweiz Austria and Switzerland 16
Branchenspezifische Regularien Industry-Specific Regulations 18

3 Corporate Governance Corporate Governance 20


Corporate Governance Richtlinien Corporate Governance Guidelines 20
Risiko Management Risk Management 21

4 Information Management Information Management 23


Compliance Policy Compliance Policy
Aspekte der Information Management Aspects of Information Management 25
Compliance Compliance

5 Compliance und Records Compliance and Records 27


Management Management
Records Management nach ISO 15489 Records Management per ISO 15489 28
MoReq Model Requirements MoReq Model Requirements 29
Übergreifende Ansätze Comprehensive Approaches 30
Elektronische Archivierung und Digital Preservation and 32
Speichersysteme Storage Systems

6 10 Compliance-Merksätze 10 Compliance Rules 35

7 Ausblick Outlook 36
Compliance-Anforderungen treiben den Markt Compliance is driving the market for 36
für Dokumenten-Technologien document technologies

Literatur Bibliography 38
Über den Autor About the author 40
Über PROJECT CONSULT About PROJECT CONSULT 40

Kunde: KoelnMesse Projekt: DMS EXPO 2007 Autor: Dr. Ulrich Kampffmeyer public
Thema: Information Management Compliance Topic: Whitepaper Status: fertig
Datei: Compliance_Kampffmeyer_20070926.doc Datum: 20.09.2007 Version: 1.2
Seite 2 von 40
© PROJECT CONSULT GmbH 2007
Information Management Compliance

Compliance und Information


Management Compliance
1 Compliance and Information
Management Compliance
„Alle Gesetze und Regeln der Papierwelt “All laws and rules of the paper world also
gelten auch in der elektronischen Welt.“2) apply to the electronic world.”2)

Was verbirgt sich hinter dem Begriff What is behind the term “Compliance”?
Compliance?
Zu den häufig, zumindest für deutsche Ohren, “Compliance” is yet another English term
schwer verständlichen Begriffen aus dem anglo- that has found its way into international IT
amerikanischen Sprachraum muss auch der parlance.
Begriff „Compliance“ gezählt werden.
Compliance umfasst die Gesamtheit aller zu- Compliance refers to the totality of reason-
mutbaren Maßnahmen, die das regelkonforme able actions that underpin the compliance of
Verhalten eines Unternehmens, seiner Organisa- a company, its organizational members, and
tionsmitglieder und seiner Mitarbeiter im Hin- its employees with all legal requirements.
blick auf alle gesetzlichen Ge- und Verbote be-
gründen.
Auch wenn es Compliance-Anforderungen schon There have always been compliance
immer, auch im Ursprungsland des Begriffes - reguirements, but after the the ENRON and
den USA - gab, so haben sie nach den Skanda- WorldCom scandals in the US the topic has
len um ENRON und WorldCom eine brisante gained a new, more intense quality. Harsher
Qualität erhalten: neue, strafbewehrte Anforde- penalties and new requirements govern the
rungen zur Aufbewahrung geschäftsrelevanter storage of digital business records. In the
elektronischer Informationen. In der Vergangen- past there was already legislation; for exam-
heit gab es schon immer eine Reihe von rechtli- ple, bookkeeping software has always had to
chen Anforderungen; so mussten z.B. Finanz- meet compliance standards. With the in-
buchhaltungssoftware schon immer Compliance- creasing volume and significance of e-mail
Standards erfüllen. Mit dem steigendem Auf- and e-commerce, the documentation and
kommen und der wachsenden Bedeutung von E- digital preservation or archiving of business
Mails und E-Commerce gewann die Not- processes have become ever more impor-
wendigkeit der Dokumentation und elektro- tant.
nischen Archivierung von Geschäftsvorgängen
immer mehr Bedeutung.
Im Folgenden wird für den Begriff Compliance In the following, “compliance” refers to:
nachstehende Übertragung verwendet:
„Übereinstimmung mit und Erfüllung von “Agreement with and fulfillment of legal and
gesetzlichen und regulativen Vorgaben“3) regulatory requirements” 3)

2) 2)
Ulrich Kampffmeyer, Dokumenten-Technologien – Wohin Ulrich Kampffmeyer, Dokumenten-Technologien –
geht die Reise. PROJECT CONSULT 2003 Wohin geht die Reise. PROJECT CONSULT 2003
3) 3)
Ursprünglich “Übereinstimmung mit und Erfüllung von Previous version: Ulrich Kampffmeyer, Compliance
rechtlichen und regulativen Vorgaben“. Ulrich Kampffmeyer, Whitepaper, Documentum, 2004, S.3.
Compliance Whitepaper, Documentum, 2004, S.3.

Kunde: KoelnMesse Projekt: DMS EXPO 2007 Autor: Dr. Ulrich Kampffmeyer public
Thema: Information Management Compliance Topic: Whitepaper Status: fertig
Datei: Compliance_Kampffmeyer_20070926.doc Datum: 20.09.2007 Version: 1.2
Seite 3 von 40
© PROJECT CONSULT Unternehmensberatung GmbH 2007
Information Management Compliance

Betrachtet man die einzelnen Begriffe der deut- Looking at the individual terms in the
schen Übertragung der Definition von Complian- above definition “Agreement with and ful-
ce „Übereinstimmung mit und Erfüllung von fillment of legal and regulatory require-
gesetzlichen und regulativen Vorgaben“, dann ments,” several aspects of compliance
werden unterschiedliche Aspekte von Compli- stand out.
ance-Anforderungen deutlich.
• „Übereinstimmung“ • “Agreement”
Zur Erreichung der „Übereinstimmung“ wird Agreeing with something assumes that
vorausgesetzt, dass es nachlesbare, definier- there are defined, official, accessible
te, offizielle Vorgaben gibt, die die Regeln rules to agree with in the first place.
enthalten, was zu tun ist. Hier ist „Überein- These rules do not usually contain tech-
stimmung“ gefordert, ohne das die Regeln nical requirements on implementation.
meistens eine technische Vorgabe enthalten, This makes sense, since the rules should
wie die Anforderung umzusetzen ist. Dies ist not be tied to technologies that may be
auch sinnvoll, da sich solche Vorgaben nicht obsolete in just a few years.
an einer Technologie festmachen sollten, die Agreement is the static aspect of compli-
in ein paar Jahren schon wieder obsolet ist. ance.
Die Übereinstimmung ist der „statische As-
pekt“ von Compliance.
• „Erfüllung“ • “Fulfillment”
Der Begriff „Erfüllung“ impliziert zweierlei: This implies two things – first, that the
Einmal, dass die Anforderungen in einer Lö- requirements have to be implemented in
sung umgesetzt werden müssen, und zum some form, and secondly, that this is a
Zweiten, dass dies ein Prozess ist, keine ein- process, not a one-time action. The com-
malige Aktion. Das Unternehmen oder die Or- pany or organization must attend to ful-
ganisation muss kontinuierlich für die Einhal- fillment on an ongoing basis. Fulfillment
tung der Vorgaben Sorge tragen. „Erfüllung“ usually goes beyond mere technology, to
geht dabei meistens über eine rein technische include organizational and management
Lösung hinaus und beinhaltet auch organisa- aspects.
torische und Management-Aspekte. Fulfillment is the dynamic aspect of com-
Die kontinuierliche Erfüllung ist der „dynami- pliance.
sche Aspekt“ von Compliance.
• „Gesetzliche Vorgaben“ • “Legal requirements”
Hierbei handelt es sich um Gesetze oder be- These are laws or bureaucratic regula-
hördliche Verordnungen, die bestimmte Unter- tions that require specific organizations
nehmen, Organisationen oder Personen ver- or persons to obey the rules. It is not
pflichten, die jeweils aufgeführten Regelungen possible to get around fulfilling these; the
einzuhalten. Hier kann man sich auch nicht only room to maneuver is in interpreta-
um die Erfüllung „drücken“, lediglich in Hin- tion, scope, and mode of implementation.
blick auf Auslegung, Umfang und Umsetz-
ungsweise besteht Handlungsspielraum.
• „Regulative Vorgaben“ • “Regulatory requirements”
Man unterschiedet zwischen „rechtlich“ und Legal and regulatory requirements are
„regulativ“, da es eine Reihe von Vorgaben, distinct from one another, as there are
die nicht direkt auf Gesetzen basieren wie z.B. numerous requirements that do not have
Normen, Standards, Codes of Best Practice force of law, such as standards, codes of
oder andere Vorgaben. Vielfach ergeben sich best practice, etc. In many cases, legal
aus gesetzlichen Vorgaben für einen Anwen- requirements for a given instance have
dungsfall auch Auswirkungen und implizite consequences and implications for other
Anforderungen für andere Fälle. Diese werden instances. These are demarcated as
als „regulative Vorgaben“ abgegrenzt. regulatory requirements.

Kunde: KoelnMesse Projekt: DMS EXPO 2007 Autor: Dr. Ulrich Kampffmeyer public
Thema: Information Management Compliance Topic: Whitepaper Status: fertig
Datei: Compliance_Kampffmeyer_20070926.doc Datum: 20.09.2007 Version: 1.2
Seite 4 von 40
© PROJECT CONSULT GmbH 2007
Information Management Compliance

Unterschiedliche Auswirkungen Different consequences

Grundsätzlich gelten alle gesetzlichen, rechtli- In principle, all legal and regulatory require-
chen und regulativen Vorgaben auch in der ments apply to the digital world just as they
elektronischen Welt. Häufig sind die Anforde- do to the paper world. Often, however, the
rungen der DV-Welt jedoch noch nicht oder requirements are not phrased specifically for
nicht direkt enthalten und müssen daher IT applications, and these must therefore be
adäquat abgeleitet werden. derived.
• „Direkte Betroffenheit“ • “Direct consequences”
Dies betrifft besonders Gesetze und geset- Certain laws and requirements with the
zesgleiche Verordnungen, die in jedem Fall force of law must be complied with under
eingehalten werden müssen. Hier kann all circumstances. There is room for inter-
man lediglich den Umfang und die Ausprä- pretation only in terms of scope and ex-
gung interpretieren. Neben generell gülti- tent. In addition to generally applicable
gen Vorgaben treten besondere, die auf die laws, there are laws that refer to specific
Branche oder Geschäftstätigkeit bezogen industries or activities.
sind.
• „Indirekte Betroffenheit“ • “Indirect consequences”
Hier beginnt die große Grauzone, wo es The uncertainty begins with determining
darum geht, zunächst die für das Unter- and assessing the rules that apply to a
nehmen oder die Organisation zutreffenden company or organization. For example,
Regelungen zu ermitteln und zu bewerten. Basel IIx) applies not only to banks, but to
So betrifft beispielsweise Basel IIx) nicht any organization that borrows money,
nur die Banken, sondern jedes kreditneh- since the documentation and transparency
mende Unternehmen, da die Dokumentati- rules are propagated through from lender
ons- und Transparenzauflagen an die Kun- to borrower.
den weitergegeben werden.
Für direkte und indirekte Auswirkungen gibt es There are numerous compliance rules with
zahlreiche Compliance-Regeln, die sowohl die direct and indirect consequences, that apply
herkömmliche Papierdokumentation wie auch to both conventional paper documentation
die eingesetzte EDV betreffen. and to IT.
Der bindende Charakter einer Vorgabe kann Exactly how binding a requirement is can
also sehr unterschiedlich sein. Nicht zuletzt therefore differ greatly. Electrical sockets,
Steckdosen, Lebensmittel, Flugzeuge, elek- food, aircraft, electrical devices, medications,
trische Geräte, Medikamente, Kindergärten, kindergartens, video screens etc. must meet
Bildschirme usw. müssen auch bestimmte certain compliance rules that find expression
Compliance-Anforderungen erfüllen, die sich in test seals, for example.
beispielsweise in Prüfsiegeln niederschlagen.
Ein Abgleich der unterschiedlichen Anforderun- A comparison of the requirements and their
gen und Ausprägungen mit dem, was heute general meaning, with what is understood by
unter dem Schlagwort „Compliance“ bei infor- the term “compliance” specifically for IT so-
mationstechnologischen Lösungen verstanden lutions, shows significant differences. There-
wird, zeigt aber große Unterschiede. Daher wird fore, in the following we will discuss compli-
im Folgenden konkreter im Sinne von „IMC“, ance in the specific sense of IMC, Informa-
„Information Management Compliance“, gespro- tion Management Compliance.
chen.

Kunde: KoelnMesse Projekt: DMS EXPO 2007 Autor: Dr. Ulrich Kampffmeyer public
Thema: Information Management Compliance Topic: Whitepaper Status: fertig
Datei: Compliance_Kampffmeyer_20070926.doc Datum: 20.09.2007 Version: 1.2
Seite 5 von 40
© PROJECT CONSULT Unternehmensberatung GmbH 2007
Information Management Compliance

Aktuelle Situation
und wichtige Regularien
2 Current situation
and important regulations
„Der elektronische Geschäftsverkehr wird “Digital business transactions will become
zum Regelfall. Gleichbehandlung ist nur the rule. Equal treatment is possible only
möglich, wenn für alle Beeiligten die selben when the same transparency rules apply to
Transparenzpflichten gelten. Compliance everybody. Therefore, compliance must have
muss daher für alle und unabhängig von der the same validity for all, regardless of the
Form der Geschäfts- oder Verwaltungstätig- form taken by a business or administrative
keit gleichermaßen gültig sein.“4) activity.” 4)
Compliance-Anforderungen gibt es überall. Sie Compliance requirements are everywhere,
machen vor Landesgrenzen nicht halt. Sie and do not stop at national borders. They
betreffen Organisationen ebenso wie Individuen. affect organizations and individuals alike. In
In einer globalisierten Gesellschaft stellt sich a globalized society, problems are increas-
zunehmend das Problem, dass jedes Land im- ingly caused by the fact each country has its
mer noch eigene Gesetze und Regularien für own laws and regulations for businesses,
Geschäfte, Prozesse und Transaktionen hat, die processes, and transactions, which should
längst harmonisiert sein sollten. Internationalen have been harmonized long ago. Interna-
„Gesetzen“ und Regeln kommt daher eine im- tional “laws” and rules are therefore more
mer wichtige Rolle zu, da herkömmliche Gren- and more important, since traditional bor-
zen im Internet keien Bedeutung mehr haben. ders have no meaning in the Internet.

International International
Als gutes Beispiel für direkte und indirekte Aus- Basel II is a good example of direct and indi-
wirkungen der Gesetzgebung kann Basel II an- rect consequences of legislation. Financial
geführt werden. Finanzdienstleister müssen um- service providers must retain more own capi-
so mehr Eigenkapital vorhalten, je höher das tal as the borrower’s risk increases. Although
Risiko des Kreditnehmers ist. Auch wenn man in this legislation concerning credit and docu-
Bezug auf die Kreditvergabe und die Dokumen- mentation was intended only for banks,
tationspflichten hier zunächst nur an die Banken Basel II has substantial effects on all compa-
denkt, hat Basel II auch erhebliche Auswirkun- nies.
gen auf alle Unternehmen.
Mit Basel II wird die Neugestaltung der Eigen- Basel II refers to the reformation of own
kapitalvorschriften der Kreditinstitute bezeich- capital requirements for banks and credit
net. institutes.
Ziel von Basel II ist es, die Stabilität des inter- The objective of Basel II was to increase the
nationalen Finanzsystems zu erhöhen. Dazu stability of the international finance system.
sollen die Risiken im Kreditgeschäft besser er- The idea is to evaluate risks in the credit
fasst und die Eigenkapitalvorsorge der Kreditin- business better, and bring lender capital
stitute risikogerechter ausgestaltet werden. 5) overage more into line with risk. 5)
Basel II hat eine Vielzahl von Auflagen für die Basel II brought with it a great number of
Dokumentation nach sich gezogen, die in einer rules for documentation, which in a digital
elektronischen Welt nur mit Informationsmana- world can only by followed using information
gementlösungen vollzogen werden können. management solutions.

4) 4)
Ulrich Kampffmeyer, Marcus Evans Conference „Content Ulrich Kampffmeyer, Marcus Evans Conference „Content
Management – The driving factor for successful eBusiness”, Management – The driving factor for successful eBusi-
Berlin, 2001 ness”, Berlin, 2001
5) 5)
Wirtschaftswiki, Definition Basel II, 2005 Wirtschaftswiki (German), Definition of the term „Basel
II“, 2005

Kunde: KoelnMesse Projekt: DMS EXPO 2007 Autor: Dr. Ulrich Kampffmeyer public
Thema: Information Management Compliance Topic: Whitepaper Status: fertig
Datei: Compliance_Kampffmeyer_20070926.doc Datum: 20.09.2007 Version: 1.2
Seite 6 von 40
© PROJECT CONSULT GmbH 2007
Information Management Compliance

USA USA
In den USA gab es schon sehr lange Complian- In the US there have long been compliance
ce-Anforderungen an Softwaresysteme und die requirements for software systems and busi-
Dokumentation von Geschäftsprozessen. ness process documentation.
Am bekanntesten und am engsten mit dem Beg- The most well-known of these, and most
riff Compliance ist jedoch der Sarbanes Oxley closely associated with the term compliance,
Act verknüpft. is the Sarbanes Oxley Act.

Sarbanes-Oxley-Act Sarbanes Oxley Act


Durch die Skandale um ENRON, WorldCom und The scandals surrounding ENRON, WorldCom
einige andere Unternehmen rückte das Thema and other companies brought compliance
Compliance in den Mittelpunkt des allgemeinen into the center of public attention. The cause
Interesses. Anlass waren „geschönte“ Prüfungen was “edited” audits by auditors and the
von Wirtschaftsprüfern und die Geschäftsberich- companies’ own reporting. In the process of
te der Unternehmen. E-Mail wurde dabei als uncovering all this, e-mail was found to be
eine der möglichen Nachweisquellen für unge- one possible source of proof of illegal ac-
setzliches Handeln entdeckt. Dies führte im Jahr tions. In 2002 this led to the Sarbanes-Oxley
2002 zum Sarbanes-Oxley-Act, allgemein SOA Act, abbreviated as SOA or SOX. In accor-
oder SOX abgekürzt. Typisch amerikanisch wur- dance with common US practice it was
de es nach den beiden Leitern der Kommission named after the leaders of the commission
benannt, die das Gesetz entworfen hat. that drafted the law.
Das Gesetz findet Anwendung für alle Unter- The law applies to all companies listed on the
nehmen, die an der New York Stock Exchange New York Stock Exchange.
gelistet sind.
SOA hat die Aufgabe, die Transparenz und SOA is intended to improve the transparency
Nachvollziehbarkeit in den Unternehmen bei and auditability of companies’ dealings in
Prüfungen durch die SEC, Securities und Ex- audits by the SEC, the Securities und Ex-
change Commission, zu verbessern. change Commission.
Unternehmen werden verpflichtet, u. a. ein in- Among other things, it requires that compa-
ternes Kontrollsystem für die Rechnungslegung nies maintain an internal monitoring system
zu unterhalten, die Wirksamkeit der Systeme zu for accounting, that they evaluate the effec-
beurteilen und die Richtigkeit der Jahres- und tiveness of their systems, and that they cer-
Quartalsberichte beglaubigen zu lassen. 6) tify quarterly and annual reports. 6)
SOA hat in den USA besonders auf Grund von In the US, SOA is important especially be-
Abschnitt 802 Bedeutung erlangt, weil hier emp- cause of Section 802, which mandates se-
findliche Strafen in der Strafgesetzgebung ver- vere penalties of up to 20 years imprison-
ankert worden sind. Die Zerstörung oder Verän- ment for the destruction or alteration of
derung von aufbewahrungspflichtigen Unterla- documentation that is required to be kept
gen kann mit bis zu 20 Jahren Gefängnis be- unaltered.
straft werden.
Besonders die Wirtschaftsprüfer legen in ihrer Auditors in particular now attach great im-
Beratung nunmehr sehr viel Wert auf Complian- portance to compliance, since the scandals
ce, da im Rahmen der Skandale große, namhaf- caused the disappearance of formerly large,
te Wirtschaftsberatungsfirmen wie Andersen well-regarded auditing firms like Andersen.
vom Markt verschwanden.

6) 6)
USA, SOA Sarbanes-Oxley Act of 2002 (häufig auch als SOX SOA Sarbanes-Oxley Act of 2002
abgekürzt)

Kunde: KoelnMesse Projekt: DMS EXPO 2007 Autor: Dr. Ulrich Kampffmeyer public
Thema: Information Management Compliance Topic: Whitepaper Status: fertig
Datei: Compliance_Kampffmeyer_20070926.doc Datum: 20.09.2007 Version: 1.2
Seite 7 von 40
© PROJECT CONSULT Unternehmensberatung GmbH 2007
Information Management Compliance

e-Discovery e-discovery
Die in den USA am 1. Dezember 2006 in Kraft The changes to the FRCP or Federal Rules
getretenen Änderungen der FRCP Federal Rules of of Civil Procedure7) that came into force on
Civil Procedure7) können als signifikanter Wende- December 1, 2006 are a significant turning
punkt von den herkömmlichen papierbasierten point in the change of focus from conven-
hin zu elektronischen Beweisführungsregeln ge- tional paper-based to digital evidence. The
sehen werden. Die wachsende Bedeutung von Supreme Court underlined the growing
elektronisch gespeicherten Daten wurde somit importance of digitally preserved informa-
auch durch den obersten Gerichtshof unterstri- tion.
chen.
Electronic discovery, auch e-discovery oder eDis- Electronic discovery, also termed e-
covery, bezieht sich dabei auf jeden Prozess bei discovery oder eDiscovery, refers to any
dem elektronische Daten abgefragt, gefunden, process in which electronic data is refer-
gesichert und gesucht werden, mit dem Ziel, sie enced, found, saved, or searched, with the
bei einem Gerichtsverfahren zu verwenden. Dabei objective of using it in court. Any data can
können sämtliche Daten, wie z.B. Texte, Bilder, serve as evidence, including text, images,
Datenbanken, Audio-Dateien, Animationen, Web- databases, audio files, animations, web-
seiten und Programme als Beweis dienen. Die sites, and software. But frequently, e-mail
wertvollsten Quellen für strafrechtliche oder zivile is the most important source of evidence in
Gerichtsverfahren stellen aber oft E-Mails dar. criminal and civil cases.
Nachdem mit Sarbanes-Oxley bereits die elektro- After Sarbanes-Oxley had already boosted
nische Information vor Gericht aufgewertet wor- the importance of digital information in a
den war schafft eDiscovery nun die rechtliche court of law, eDiscovery created the legal
Grundlage für die Anerkennung elektronsicher basis for recognizing digital information in
Informationen in Gerichtsverfahren. Alle Formen court. All forms of digital information, not
von elektronischen Informationen, nicht nur als just documents defined as records, are
Record definierte Dokumente, können als Be- admissible as evidence. Unlike in Europe
weismittel vorgebracht werden. Anders als in Eu- and Germany in particular, the presence or
ropa und besonders in Deutschland spielt die e- absence of an electronic signature is of no
lektronische Signatur dabei keine Rolle. Bei der consequence. The only thing that matters
Ermittlung gilt das als gültig, was von den ermit- is what the investigators uncover. For-
telnden Behörden vorgefunden wurde. Bei der merly, only paper documents were consid-
Beweissicherung galten bisher nur Papierdoku- ered to be firm proof. The possibilities
mente als sicherer Nachweis. Durch die Möglich- opened up by electronic research will now
keiten der elektronischen Recherche dürfte sich change this.
dies ändern.
eDiscovery wird nicht nur die sichere, unverän- eDiscovery will not only promote the se-
derbare Speicherung von Informationen fördern cure, edit-proof archiving or preservation of
sondern mehr noch den Schutz des Zugriffs und information, but also access protection and
andere Sicherheitsaspekte. Policies zur kontrol- other security aspects. Policies for the con-
lierten Entsorgung von Information werden dabei trolled disposal of information will grow in
zunehmend wichtiger. importance.
Es sind aber nicht allein SOA und FRCP, die den But it is not just SOA and FRCP that have
Druck in bezug auf umfassende Dokumentations- increased the pressure on documentation
anforderungen im Umfeld der Steuerprüfung und in the context of tax audits.
Steuerfahndung erhöht haben.
Aus den CFR Code of Federal Regulations8) lassen Many other requirements for specific indus-
sich inzwischen eine Vielzahl weiterer Anforde- tries and business activities can now be
rungen für spezielle Branchen und Geschäftstätig- derived from the CFR or Code of Federal
keiten ableiten. Regulations8).

7) 7)
United States Supreme Court, Federal Rules of Civil Procedure, United States Supreme Court, Federal Rules of Civil Proce-
Bundesrichtlinie für zivilrechtliche Verfahren, 2006 dure, 2006
8) National Archives and Records Administration, Code of Federal Regu- 8) National Archives and Records Administration, Code of
lations. Bundesgrundsätze für Archive Federal Regulations.

Kunde: KoelnMesse Projekt: DMS EXPO 2007 Autor: Dr. Ulrich Kampffmeyer public
Thema: Information Management Compliance Topic: Whitepaper Status: fertig
Datei: Compliance_Kampffmeyer_20070926.doc Datum: 20.09.2007 Version: 1.2
Seite 8 von 40
© PROJECT CONSULT GmbH 2007
Information Management Compliance

Ein Beispiel ist der CFR 179), § 240, mit harten For example, CFR 179), sec. 240 strictly
Regularien für Börsenmakler. Die Regeln der US- regulates stockbrokers. SEC 17A-310) and
Börsenaufsicht für Aktien-Broker SEC 17A-310) SEC 17A-4 regulations for stockbrokers de-
und SEC 17A-4 definieren exakt, welche Auf- fine exactly what notes and documents
zeichnungen und Belege bei einer Transaktion must be retained for a transaction, and
aufgehoben und auf welchem Medium sie gespei- what medium they must be stored on.
chert werden müssen.
Ähnliche Regeln für die Finanzwelt hat die Natio- The National Association of Securities Deal-
nal Association of Securities Dealers (NASD)11) ers (NASD)11) has developed similar rules
entwickelt. NASD 3010 und NASD 3110 bei- for the financial business. For example,
spielsweise verlangen, dass Broker und Händler NASD 3010 and NASD 3110 require that
externe Transaktionen von registrierten Stellver- brokers and dealers monitor external trans-
tretern überwachen. actions via registered representatives.
Eine besondere Bedeutung hat zu dem der Patriot Of special significance is the Patriot Act12),
Act12), der weitgehenden Zugriff auf alle Informa- which allows far-reaching access to all in-
tionen ermöglicht und eine transparente Informa- formation, and requires transparent infor-
tionsbereitstellung fordert. mation provision.
In anderen Bereichen gibt es ebenfalls rechtliche There are also legal and regulatory re-
und regulative Vorgaben wie z.B. HIPAA13) im quirements in other areas as well, for ex-
Krankenhaus- als auch im Versicherungsbereich, ample HIPAA13) for hospitals and insurers,
den Tread Act14) mit umfangreichen Anforderun- the Tread Act14) with comprehensive re-
gen zur Produkt-, Qualitäts- und Herstellungsdo- quirements concerning product, quality, and
kumentation oder Regularien der EPA, Environ- manufacturing documentation, and the
mental Protection Agency 15). regulations of the EPA, the Environmental
Protection Agency 15).
Viele dieser Regelwerke beziehen sich auf die neu Many of these regulations cite the new FSG,
gefassten FSG, Federal Sentencing Guidelines16) the Federal Sentencing Guidelines16) of
von 2002, so dass Verstöße mit erheblichen Stra- 2002, meaning that infractions can be pun-
fen belegt werden können. ished with severity.
Gesetze und Regularien in den USA haben auch Laws and regulations in the US affect com-
Auswirkungen auf Unternehmen im Ausland, panies in other countries, if they are sub-
wenn sie Tochtergesellschaften oder Muttergesell- sidiaries of US companies or themselves
schaften amerikanischer Unternehmen sind, oder maintain US subsidiaries, or do certain
bestimmte Geschäfte in den USA abwickeln. types of business in the US.

9) 9)
Compliance Whitepaper, Documentum 2004, S.4 Compliance Whitepaper, Documentum 2004, S.4
10) 10)
Securities and Exchange Commission, Books and Records Securities and Exchange Commission, Books and
Requirements for Brokers and Dealers Under the Securities Records Requirements for Brokers and Dealers Under
Exchange Act of 1934, 2003 the Securities Exchange Act of 1934, 2003
11) 11)
National Association of Securities Dealers, NASD 3010 und National Association of Securities Dealers, NASD
NASD 3110 3010 und NASD 3110
12) 12)
U.S. Department of Justice , The Uniting and Strengthening U.S. Department of Justice , The Uniting and
America by Providing Appropriate Tools Required to Intercept Strengthening America by Providing Appropriate Tools
and Obstruct Terrorism Act of 2001, 2001 (Patriot Act) Required to Intercept and Obstruct Terrorism Act of
13)
United States Department of Health & Human Services, Office 2001, 2001
13)
for Civil Rights, Health Insurance Portability and United States Department of Health & Human Ser-
Accountability Act, 2003 vices, Office for Civil Rights, Health Insurance Portabil-
14)
National Highway Traffic Safety Administration , Transporta- ity and Accountability Act, 2003
14)
tion Recall Enhancement, Accountability and Documentation National Highway Traffic Safety Administration ,
Act , 2000 Transportation Recall Enhancement, Accountability and
15)
U.S. Environmental Protection Agency Documentation Act , 2000
15)
16)
United States Sentencing Commission, Federal Sentencing U.S. Environmental Protection Agency
16)
Guidelines, 2007 (Rechtsprechungsrichtlinie) United States Sentencing Commission, Federal Sen-
tencing Guidelines, 2007

Kunde: KoelnMesse Projekt: DMS EXPO 2007 Autor: Dr. Ulrich Kampffmeyer public
Thema: Information Management Compliance Topic: Whitepaper Status: fertig
Datei: Compliance_Kampffmeyer_20070926.doc Datum: 20.09.2007 Version: 1.2
Seite 9 von 40
© PROJECT CONSULT Unternehmensberatung GmbH 2007
Information Management Compliance

Europa Europe
Auf europäischer Ebene werden durch die Europä- At the European level, the European Com-
ische Kommission zahlreiche Richtlinien entwi- mission develops many guidelines which the
ckelt, die von den Mitgliedstaaten in nationales Member States must translate into national
Recht überführt werden müssen. Bereits durch law. The guidelines on e-commerce and
die Richtlinien zum E-Commerce und zur elektro- electronic signature have already led to a
nischen Signatur sind eine Reihe von Anforderun- number of compliance requirements. Elec-
gen für Compliance entstanden. Der elektronische tronic business transactions and the switch
Geschäftsverkehr und die Umstellung der öffentli- by public administration to electronically
chen Verwaltung auf elektronisch unterstützte supported processes will give rise to further
Verfahren wird weitere Compliance-Anfor- compliance requirements.
derungen nach sich ziehen.
Beispiele für europäische Richtlinien mit Geset- Some European guidelines have legal char-
zescharakter, die Bedeutung für die Rechtskraft acter and affect the legal validity of digital
elektronischer Dokumente besitzen und Doku- documents, as well as documentation re-
mentationspflichten nach sich ziehen, sind z.B.: sponsibilities. Examples are:
• „E-Commerce“ • “E-Commerce”
E-Commerce-Richtlinie17), die genau festge- E-commerce guideline17) which specifies
legt, was im elektronischen Geschäftsverkehr what is permitted and prohibited in digi-
erlaubt und verboten ist. Hierzu gehören auch tal business transactions. Includes proof
Nachweis- und Dokumentationspflichten. and documentation responsibilities.
• „E-Signatur“ • “E-Signature”
Europäische Richtlinie zur elektronischen Sig- European guideline on electronic signa-
natur18). Der Einsatz der elektronischen Signa- tures18), which replace paper signatures
tur ersetzt unter bestimmten Voraussetzungen under certain conditions. The e-signature
das Papier. Die elektronische Signatur ist da- is therefore included in numerous com-
her Bestandteil zahlreicher Compliance- pliance rules and regulations.
Regelungen.
Zahlreiche andere Richtlinien der Europäischen Many other guidelines of the European
Kommission haben ebenfalls Compliance- und Commission have also given rise to compli-
Dokumentationspflichten nach sich gezogen. Die ance and documentation requirements.
größte Wirkung entwickelt jedoch zur Zeit die However, the so-called 8th Directive cur-
sogenannte 8. Direktive. rently has the greatest effect.
8. EU-Richtlinie 8th EU Directive
th
Die 8. Direktive setzt Standard für Bilanzierungs- The 8 Directive sets the standard for the
richtlinien von börsennotierten Unternehmen. financial accounting of stock-exchange
listed companies.
Am 07. Juli 2006 ist die 8. EU-Richtlinie19) („Euro On July 7, 2006 the 8th EU Directive19)
SOX“) in Kraft getreten, die für alle europpäi- (“Euro-SOX”) came into force. For European
schen Kapitalgesellschaften ähnliche Auswirkun- corporations it will have similar effects to
gen haben wird wie Sarbanes-Oxley Act (SOX) in Sarbanes-Oxley (SOX) in the US, and must
USA. Spätestens bis Juli 2008 muss die 8. EU- be translated into national law by July 2008
Richtlinie in nationales Recht umgewandelt sein. at the latest. With it, throughout the EU
Damit greifen EU-weit unter anderem verschärfte there will be more stringent rules on docu-
Regeln in Bezug auf die Dokumentation der Ge- mentation of business processes and trans-
schäftsprozesse und –transaktionen sowie der actions, and of corporate IT and communi-
verwendeten IT- und TK-Infrastruktur eines Un- cation infrastructures.
ternehmens.

17) 17)
EU-Parlament, Richtlinie 2000/31/EG, 2000 European Parliament, Directive 2000/31/EG, 2000
18) 18)
EU-Parlament und Rat, Richtlinie 1999/93/EG, 2000 European Parliament and Assembly, Directive
19)
EU-Parlament und Rat, Richtlinie 2006/43/ EG, 2006 1999/93/EG, 2000
19)
European Parliament and Assembly, Directive
2006/43/ EG, 2006

Kunde: KoelnMesse Projekt: DMS EXPO 2007 Autor: Dr. Ulrich Kampffmeyer public
Thema: Information Management Compliance Topic: Whitepaper Status: fertig
Datei: Compliance_Kampffmeyer_20070926.doc Datum: 20.09.2007 Version: 1.2
Seite 10 von 40
© PROJECT CONSULT GmbH 2007
Information Management Compliance

Deutschland Germany
In Deutschland wird der Begriff „Compliance“ In the Germany the term “compliance” is still
zwar noch selten verwendet, doch die Anforde- seldom used, but the requirements have
rungen gibt es schon längst. Auch in Deutschland been in place for a while. Laws such as
werden die Gesetze, wie BGB20), ZPO21) oder BGB20), ZPO21) or HGB22) are more and more
HGB22), immer mehr den Anforderungen der In- conformant with the requirements of the
formationsgesellschaft angepasst sowie Richtli- information age, and EU guidelines are being
nien der Europäischen Kommision in nationales implemented in national legislation.
Recht übertragen.
In diesem Umfeld kommt der elektronischen Sig- In this context the electronic signature is
natur eine besondere Bedeutung zu. Der Einsatz gaining importance, and is now required by
der elektronischen Signatur findet sich inzwischen almost all recent legislation. Thus, for exam-
in nahezu allen neueren Gesetzen. So z.B. auch ple with digital invoices payers are allowed
bei der elektronischen Rechnung. Zum Vorsteuer- pretax deduction only with e-signed invoices.
abzug berechtigen den Empfänger nach § 14 Abs. Since the e-invoice constitutes the original, it
4 Satz 2 UStG nur elektronisch signierte Rech- must be stored electronically. Here, new
nungen. Da die elektronische Rechnung das Ori- laws and regulations interact, and the signa-
ginal darstellt, ist es auch elektronisch aufzu- ture law and changes to the BGB (German
bewahren. Hier greifen die verschiedenen neuen Civil Code) and ZPO (German Code of Civil
Gesetze und Regelungen ineinander. Das Signa- Procedure) mandating the electronic signa-
turgesetz und die Änderungen von BGB Bürgerli- ture are reflected in trade and tax law.
chem Gesetzbuch und ZPO Zivilprozessordnung
zur Verankerung der elektronischen Signatur fin-
den ihren Widerhall in der Handels- und Steuer-
gesetzgebung.
Aktuelle Beispiele sind das EHUG und die Erweite- Current examples are the EHUG and the ex-
rung des Anwendungsbereiches der GDPdU durch tension of the application area of the GDPdU
aktuelle Gerichtsurteile. In eine ähnliche Kerbe (German Data Access and Digital Signature
wie die GDPdU schlägt auch das Gesetz zu den Authentication Law) by recent court deci-
Dokumentationspflichten bei Verrechnungsprei- sions. The GAUFZ 23) is in a similar vein, but
sen. die Gewinnabgrenzungsaufzeichnungsver- unlike the GDPdU it is enforced by criminal
ordnung (GAUFZ)23), die anders als die GDPdU penalties.
bereits direkt strafbewehrt ist.
EHUG und E-Mail-Management “EHUG” and E-Mail Management
Das bundesweite Elektronische Handels- und Ge- The national electronic commercial and com-
nossenschaftsregister (EHUG)24), welches am 1. pany registry (EHUG)24), which came into
Januar 2007 in Kraft getreten ist, stellt eine digi- force January 1, 2007, is a digital version of
tale Version des Handelsregisters dar. Kapitalge- the commercial registry. Corporations are
sellschaften sind verpflichtet, ihre Abschlüsse required to submit their accounts to the elec-
beim elektronischen Bundesanzeiger einzurei- tronic Federal Bulletin. Failure to comply is
chen. Verstöße gegen die Offenlegungspflicht punishable by a fine of up to 25,000 Euros
werden mit bis zu 25.000 Euro von den Verwal- by the government administrative offices
tungsbehörden, welche vom elektronischen Bun- who draw their information from the elec-
desanzeiger informiert werden, geahndet. tronic bulletin.

20) 20)
BGB Bürgerliches Gesetzbuch, §§ 126, 127 BGB, German Civil Code §§ 126, 127
21) 21)
ZPO Zivilprozessordnung, §§ 292a, 286, 130, 371 ZPO, German Code of Civil Procedure §§ 292a, 286,
22)
HGB Handelsgesetzbuch, §§ 239, 257 130, 371
22)
23)
GAUFZ Gewinnabgrenzungsaufzeichnungsverordnung HGB, German Commercial Law §§ 239, 257
23)
24)
EHUG Elektronisches Handels- und Genossenschaftsregister GAUFZ, German Regulation on Recording Profit
Accruals
24)
EHUG, German Electronic Commercial and Company
Registry

Kunde: KoelnMesse Projekt: DMS EXPO 2007 Autor: Dr. Ulrich Kampffmeyer public
Thema: Information Management Compliance Topic: Whitepaper Status: fertig
Datei: Compliance_Kampffmeyer_20070926.doc Datum: 20.09.2007 Version: 1.2
Seite 11 von 40
© PROJECT CONSULT Unternehmensberatung GmbH 2007
Information Management Compliance

Das EHUG hat eine Reihe von Änderungen auch The EHUG has caused a series of modifica-
in anderen Gesetzen wie z.B. für GmbHs und tions to other laws relevant for registered
AGs nach sich gezogen. Eine regelung betrifft companies and their responsible managers.
die Angabe der kompletten Firmierungs- und One rule concerns the naming of complete
Verantwortungsangaben in der Signatur von E- company and responsibility information in e-
Mails. Was längst schon galt wird hierdurch jetzt mail signatures. This codifies what every-
jedem deutlich gemacht: E-Mails sind Ge- body already knew – that e-mails are busi-
schäftsbriefe und sind dementsprechend aufzu- ness correspondence, and must be archived
bewahren. as such.
Dies hat ein wahren Boom bei der E-Mail-Archi- This has launched a boom in e-mail archiv-
vierung ausgelöst. Dabei wird häufig übersehen, ing, but implementers often overlook the fact
dass E-Mails in einen Geschäftszusammenhang that e-mails belong in a business context,
gehören und nicht isoliert archiviert werden soll- and should not be archived in isolation. They
ten. Sie müssen zusammen mit anderen Doku- need to be preserved together with other
menten in Kunden-, Sach-, Projekt- oder ande- documents by customer, matter, project, or
ren Akten gemeinsam verwaltet werden, damit associated files, so that the completeness
die Vollständigkeit und Nachvollziehbarkeit des and auditability of the business procedure is
Geschäftsganges gewährleistet ist. assured.
Da jeder Mitarbeiter im Unternehmen Empfän- Since any employee in a company can be
ger wie Versender von geschäftsrelevanten E- sender or recipient of relevant e-mails, any
Mails sein kann, ist jedwede technische Lösung and all technology solutions must be under-
durch organisatorische Maßnahmen zu unterfüt- pinned by organizational measures.
tern.
GDPDU: aktuelle Urteile “GDPDU”: Current verdicts
Nach den Grundsätzen zum Datenzugriff und According to the German Data Access and
zur Prüfbarkeit digitaler Unterlagen (GDPdU)25) Digital Signature Authentication law
sind alle steuerlich relevanten Daten auswertbar (GDPdU)25), all tax-related information must
über den zeitraum der Aufbewahrungsfristen be stored in interpretable form for the perod
nach HGB auswertbar aufzubewahren und für of time mandated by the Commercial Code,
Prüfungen zugänglich zu machen. and made available for audits.
Die GDPdU sind eine Verordnung, die auf den The GDPdU is a regulation that is based on
Änderungen im Steueränderungsgesetz und canges in the tax change law and commer-
HGB Abgabenordnung, §§ 146, 147 und 200, cial code tax regulation, sections 146, 147,
basiert. Sie stellen eine Richtlinie für das Vorge- and 200. It provides a guideline for tax au-
hen der Finanzbehörden bei Außenprüfungen thorities to use in auditing. Companies must
dar. Die Unternehmen müssen sicherstellen, ensure that all tax-relevant data is preserved
dass alle steuerrelevanten Daten identifiziert, identifiably, unchanged, and completely, for
unverändert und vollständig und über einen a period of 10 years. The original data must
Zeitraum von 10 Jahren aufbewahrt werden. Die be complete, correct, and interpretable, ei-
originalen Daten müssen vollständig, richtig und ther in their origination systems or in digital
auswertbar entweder in den sie erzeugenden archives. Documents and e-mails play an
Systemen vorgehalten oder aber in elektroni- increasingly important role for the GDPdU,
sche Archive ausgelagert werden. Auch bei den alongside ERP and bookkeeping systems.
GDPdU spielen inzwischen Dokumente und E-
Mails neben den Daten aus ERP- und Buchhal-
tungssystemen eine zunehmend wichtigere Rol-
le.

25) 25)
GDPdU Grundsätze zum Datenzugriff und zur Prüfbarkeit GDPdU Data Access and Digital Signature Authentica-
digitaler Unterlagen, 2001 tion law, 2001

Kunde: KoelnMesse Projekt: DMS EXPO 2007 Autor: Dr. Ulrich Kampffmeyer public
Thema: Information Management Compliance Topic: Whitepaper Status: fertig
Datei: Compliance_Kampffmeyer_20070926.doc Datum: 20.09.2007 Version: 1.2
Seite 12 von 40
© PROJECT CONSULT GmbH 2007
Information Management Compliance

Bereits in einer Reihe von Verfahren vor Finanz- Interpretation of GDPdU has already been a
gerichten war die Auslegung der GDPdU ein The- topic of debate in a number of Finance
ma. Während frühere Urteile der Finanzgerichte Court cases. While 2006 verdicts of the
Rheinland-Pfalz und Hamburg aus dem Jahr 2006 Finance Courts of the states of Rhineland-
das Recht auf Datenzugriff noch an vielen Stellen Palatinate and Hamburg limited the right to
eingeschränkt und damit den Steuerpflichtigen data access at many points and thus sup-
unterstützt haben, weisen die Urteile der Düssel- ported the taxpayer, the verdicts of the
dorfer Fi-nanzrichter nun in eine andere Richtung. Düsseldorf Finance Court go in a different
Beide Entscheidungen vom 5. Februar 2007 be- direction. Both verdicts of February 5, 2007
schäftigen sich im Kern mit der Reichweite des ultimately involve the scope of data access,
Datenzugriffs, also mit dem Umfang, welcher ei- i.e. how far a digital audit can go, and in-
ner digitalen Betriebsprüfung zu Grunde zu legen terpret this in a way that goes beyond the
ist und interpretieren diesen in einer Art, welche previous interpretation of the literature and
über das bisherige Verständnis von Literatur und official usage. In doing this, the judges
Verwaltung hinausgeht. Dazu haben die Richter made some individual definitions of GDPdU
teilweise eigenständige Definition von GDPdU- terminology, thereby opening up new
Begrifflichkeiten vorgenommen und damit neue points for discussion.
Diskussionspunkte eröffnet.
Steuerrelevanz versus Steuerauswirkung: Tax-relevance vs. tax effect:
Die Finanzbehörde darf im Rahmen des steuerli- Tax authorities can, within the framework
chen Datenzugriffs auch auf solche Konten der of tax data access, access accounts of
handelsrechtlichen Finanzbuchhaltung zugreifen, commercial-law bookkeeping that record
auf denen steuerlich nicht abzugsfähige Be- non-tax-deductible business expenses. Per
triebsausgaben verbucht werden. Auf der Grund- Sec. 147 para. 1 through 6 of the Tax Pro-
lage des § 147 Abs. 1 i. V. m. Abs. 6 AO darf die cedure Act (AO), tax authorities may, for
Finanzverwaltung für Zwecke der steuerlichen the purposes of tax auditing, access only
Außenprüfung ausschließlich auf Daten zugreifen, such data as is relevant to tax assessment.
die für die Besteuerung von Bedeutung sind. Die Companies affected by data access have
vom Datenzugriff betroffenen Unternehmen sind therefore always tried to limit the digital
deshalb seit jeher darauf bedacht, das digitale search scope of auditors to data records to
Suchfeld des Betriebsprüfers auf solche Datenbe- which this right to data access applies. The
stände zu begrenzen, die vom Sinn und Zweck Düsseldorf Finance Court supported the
des Rechts auf Datenzugriff gedeckt sind. Das view of the tax office, and had no serious
Finanzgericht Düsseldorf gab der Auffassung des doubts as to the legality of data access to
Finanzamts Recht und sah keine ernstlichen Zwei- such formerly closed accounts. The digital
fel an der Rechtmäßigkeit des Datenzugriffs auf account entries in question were “books” in
die ursprünglich gesperrten Konten. Bei den frag- the sense of Sec. 147 para. 1 no. 1 of the
lichen digitalen Kontoaufzeichnungen handele es Tax Procedure Act, which – based on com-
sich um „Bücher“ i.S.d. § 147 Abs. 1 Nr. 1 AO, die mercial law – fulfill the function of docu-
– anknüpfend an das Handelsrecht – die Funktion menting a businessperson’s commercial
erfüllen, für einen Kaufmann seine Handelsge- business and the position of his company.
schäfte und die Lage seines Unternehmens zu The tax relevance required by GDPdU can-
dokumentieren. Die im Rahmen der GDPdU ge- not be made equivalent to the tax conse-
forderte steuerliche Relevanz kann nicht mit der quence, as claimed by the company in-
vom betroffenen Unternehmen angeführten steu- volved in the case. Further, the own tax
erlichen Auswirkung gleichgesetzt werden. Dabei relevance is always based on the extent to
habe sich die eigentliche Steuerrelevanz stets which the documents in question are rele-
auch daran zu orientieren, inwieweit die in Frage vant to the accounts and therefore to un-
kommenden Unterlagen einen Bezug zur Buch- derstanding them.26)
führung aufwiesen und mithin zu deren Verständ-
nis erforderlich seien. 26)

26) 26)
PROJECT CONSULT, Newsletter 20070720, 2007 PROJECT CONSULT, Newsletter 20070720, 2007

Kunde: KoelnMesse Projekt: DMS EXPO 2007 Autor: Dr. Ulrich Kampffmeyer public
Thema: Information Management Compliance Topic: Whitepaper Status: fertig
Datei: Compliance_Kampffmeyer_20070926.doc Datum: 20.09.2007 Version: 1.2
Seite 13 von 40
© PROJECT CONSULT Unternehmensberatung GmbH 2007
Information Management Compliance

GDPdU-Begrifflichkeiten neu definiert: GDPdU terms redefined:


Werden Eingangsbelege beim Steuerpflichtigen If the taxpayer scans and stores incoming
gescannt, gespeichert und die Originale anschlie- records and then destroys the originals, the
ßend vernichtet, so erstreckt sich das Zugriffs- right to access as part of electronic tax
recht im Rahmen der elektronischen Steuerprü- audit extends to the records thus gener-
fung auch auf derart erzeugte Datenbestände. ated. The taypayer must organize these
Der Steuerpflichtige muss diese Datenbestände records in such a way that allowable access
so organisieren, dass bei einer zulässigen Ein- does not touch protected areas of the com-
sichtnahme keine geschützten Bereiche des Un- pany. The IT access of the tax office is
ternehmens tangiert werden. Der EDV-Zugriff der solely for records that were originally in
Finanzverwaltung bezieht sich grundsätzlich auf digital form. This means that taypayers are
solche Datenbestände, die originär bereits in e- not obliged to scan or digitize paper docu-
lektronischer Form vorliegen. Dies schließt eine ments. With regard to the widely discussed
Verpflichtung zum Einscannen oder Digitalisieren scope of digital tax audit, there is increas-
von Papierdokumenten aus. In Bezug auf den viel ingly the question of to what extent digi-
diskutierten Umfang einer digitalen Betriebsprü- tized incoming records, whose paper origi-
fung stellt sich jedoch vermehrt die Frage, inwie- nals were destroyed, should be made
weit digitalisierte Eingangsbelege, deren Papier- available to auditors in digital form as well.
original vernichtet wurde, dem Betriebsprüfer The Düsseldorf Finance Court gave the tax
auch in digitaler Form zur Verfügung zu stellen office the right to gain access to the docu-
sind. Das Finanzgericht Düsseldorf gestand dem ments in question from the companies’
Finanzamt das Recht zu, auf die fraglichen Belege systems, and display them on-screen. The
aus dem System des Unternehmens heraus zu- legal basis for this is provided, in the opin-
zugreifen und diese am Bildschirm einzusehen. ion of the court, by Sec. 147 para. 6 sen-
Die Rechtsgrundlage hierfür ergibt sich nach Auf- tence 1 of the Tax Procedure Act. 27)
fassung der Richter bereits aus § 147 Abs. 6 Satz
1 AO. 27)
Während die bisherige Rechtsprechung eher in While previous verdicts tended to side with
Richtung Unternehmensseite tendierte, ver- business, these provisional verdicts by the
schaffen die beiden nun vorliegenden vorläufigen Düsseldorf Finance Court give the tax office
Entscheidungen aus Düsseldorf der Finanzverwal- significant backup. Companies should pay
tung einen deutlichen Rückenwind. Die Unter- special attention to the verdict on digitized
nehmen sollten insbesondere das Urteil betref- originals in their future GDPdU strategies,
fend die digitalisierten Originalbelege in ihre künf- and ensure good data access plus separa-
tige GDPdU-Strategie einbeziehen und einen adä- tion into tax-relevant and irrelevant docu-
quaten Datenzugriff nebst Trennung in steuerlich ments. In this context, process documenta-
relevante und irrelevante Unterlagen einplanen. tion should not be forgotten. To the extent
Was man in diesem Zusammenhang nicht verges- that outside auditors themselves use such
sen sollte, ist das derzeit häufig bemühte Thema systems for direct and indirect access, evi-
der Verfahrensdokumentation. In dem Maße, wie dence of proper processing, use, and op-
der Außenprüfer selbst solche Systeme für den eration will become ever more important.
Z1- und Z2-Zugriff benutzt, wird der Nachweis
von ordnungsgemäßer Verarbeitung, Nutzung und
Betrieb immer wichtiger.

27) 27)
PROJECT CONSULT, Newsletter 20070720, 2007 PROJECT CONSULT, Newsletter 20070720, 2007

Kunde: KoelnMesse Projekt: DMS EXPO 2007 Autor: Dr. Ulrich Kampffmeyer public
Thema: Information Management Compliance Topic: Whitepaper Status: fertig
Datei: Compliance_Kampffmeyer_20070926.doc Datum: 20.09.2007 Version: 1.2
Seite 14 von 40
© PROJECT CONSULT GmbH 2007
Information Management Compliance

Verfahrensdokumentation nach GoBS „GoBS Verfahrensdokumentation“

Die Anforderungen an eine Verfahrensdokumen- Requirements for process documentation are


tation sind in den Grundsätze ordnungsgemäßer laid down in GoBS (Basic Regulations for DP-
DV-gestützter Buchführungssysteme (GoBS)28) supported Accounting Systems) 28), which
niedergelegt. Die GoBS selbst leiten sich aus are derived from the German Commercial
dem Handelsgesetzbuch29) und der Abgaben- Code29) and Tax Procedure Act30). They rep-
ordnung30) ab. Sie stellen quasi eine Übertra- resent a kind of translation to the digital
gung der Anforderungen, die ursprünglich für world of the requirements for paper-based
eine papiergebundene Dokumentation gedacht documentation.
waren, in die elektronische Welt dar.
In den GoBS wird die Behandlung aufbewah- The GoBS regulates the treatment in elec-
rungspflichtiger Daten und Belege in elektroni- tronic accounting systems of custodyworthy
schen Buchführungssystemen sowie in revisi- data and documents, and deals with process
onssicheren Dokumentenmanagement- und technologies such as scanning and data
Archivsystemen geregelt. Die GoBS behandeln transfer. A core point is the Internal Control
dabei auch Verfahrenstechniken wie Scannen System (ICS). Process documentation must
und Datenübernahme. Ein wesentlicher Kern- contain all information needed to demon-
punkt ist das so genannte Interne Kontrollsys- strate the proper operation of the system.
tem (IKS). Die Verfahrensdokumentation muss From the German Commercial Code, the Tax
alle Angaben zum Nachweis des ordnungsmäßi- Procedure Act, and the GoBS are derived the
gen Betriebes des Systemes beinhalten. Aus basic requirements for documentation and
HGB, AO und GoBS leiten sich auch die grund- preservation:
sätzlichen Anforderungen an die Dokumentation
und Aufbewahrung ab:
• Ordnungsmäßigkeit • Proper procecure
• Vollständigkeit • Completeness
• Sicherheit des Gesamtverfahrens • Security of the overall process
• Schutz vor Veränderung und Verfälschung • Protection from editing and falsification
• Sicherung vor Verlust • Protection from loss
• Nutzung nur durch Berechtigte • Use only by authorized persons
• Einhaltung der Aufbewahrungsfristen • Mandated retention periods
• Dokumentation des Verfahrens • Documentation of the process
• Nachvollziehbarkeit • Traceability
• Prüfbarkeit 31) • Auditability 31)
Dokumentationspflichten ergeben sich jedoch Documentation is mandatory not just for
nicht nur für den handelsrechtlichen und steuer- commercial law and tax-related matters, but
rechtlichen Bereich sondern gelten auch alle for all other areas touched on by legislation
anderen Anwendungsgebiete, die gesetzlich and regulations. The principles given above
oder regulativ betroffen sind. Die oben aufge- from commercial law thus essentially apply
führten Grundsätze aus dem Handelsrecht gel- to all compliance requirements.
ten so im Prinzip für alle Compliance-relevanten
Anforderungen.

28) 28)
GoBS Grundsätze ordnungsmäßiger DV-gestützter Buchfüh- GoBS, Basic Regulations for DP-supported Accounting
rungssysteme, 1995 Systems, part of the German commercial laws, 1995
29) 29)
HGB Handelsgesetzbuch, §§ 239, 257 HGB, German Commercial Law §§ 239, 257
30) 30)
AO Abgabenordnung, §§ 146, 147, 200 AO Tax Procedure Act, §§ 146, 147, 200
31) 31)
PROJECT CONSULT, Artikel “Verfahrensdokumentation PROJECT CONSULT, article “Verfahrensdokumentation
leicht gemacht”, 2001 leicht gemacht”, 2001

Kunde: KoelnMesse Projekt: DMS EXPO 2007 Autor: Dr. Ulrich Kampffmeyer public
Thema: Information Management Compliance Topic: Whitepaper Status: fertig
Datei: Compliance_Kampffmeyer_20070926.doc Datum: 20.09.2007 Version: 1.2
Seite 15 von 40
© PROJECT CONSULT Unternehmensberatung GmbH 2007
Information Management Compliance

Österreich und die Schweiz Austria and Switzerland


In Österreich sieht die Situation nicht viel an- The situation in Austria does not differ
ders aus als in Deutschland. Die Unterschiede greatly from that in Germany. The differ-
liegen nur im Detail. Dies ist darauf zurückzu- ences are only in details. This is due to the
führen, dass die wesentlichen Compliance- fact that the basic compliance requirements
Anforderungen auf den europäischen Richtlinien are based on the same European guide-
basieren. Auch in Österreich ist analog zum BGB lines. Like in Germany, in Austria the elec-
in Deutschland die elektronische Signatur ver- tronic signature is legally binding, and
ankert, auch Österreich kennt im Handelsrecht commercial and tax law provisions are simi-
und in der Abgabenordnung ähnliche Be- lar to those in Germany in matters such as
stimmungen wie in Deutschland. Dies gilt z.B. digital information storage completeness,
für die Aufbewahrung von elektronischen Infor- identical nature of content, orderliness, and
mationen in Bezug auf Vollständigkeit, Inhalts- faithfulness to the original. While it may
gleichheit, Geordnetheit und Urschriftstreue. seem that in Austria data for tax audits
Auch wenn die Bereithaltung von Daten zur need only be held in list form, the same
steuerlichen Prüfung in Österreich in Listenform requirements apply in terms of interpretab-
ausreichend erscheint, ist die Forderung der lity of data. To prevent VAT fraud, essen-
Auswertbarkeit die Gleiche. Zur Vermeidung des tially the same rules apply to digital in-
Umsatzsteuerbetruges finden sich natürlich auch voices as in Germany.
die Regelungen zur elektronischen Rechnung
wieder.
Im Jahr 2007 wurde das UGB Unternehmensge- In 2007 the new Business Code32) came
setzbuch32) in Kraft gesetzt, dass das bisherige- into force, replacing the former Austrian
österreichische HGB Handelsgesetzbuch ablöst. Commercial Code. The Business Code con-
Aus dem neuen UGB ergeben sich zahlreiche tains numerous requirements concerning
Informations- und Dokumentationspflichten Un- information and documentation. The header
ter der Überschrift „Geschäftspapiere und Be- “Geschäftspapiere und Bestellscheine“ (Bu-
stellscheine“ werden die Mindestangaben fest- siness Documents and Order Forms) lays
gelegt, die für Geschäftsbriefe und ähnliche Do- down the minimum information required for
kumente gelten. Es müssen die Firma, die business letters and similar documents –
Rechtsform und der Sitz sowie auch Firmen- company, legal form, office location, regis-
buchnummer und –Gericht angegeben werden. try number and legal domicile. The new
Die neuen Bestimmungen gelten nicht mehr nur rules apply not just to business documents
für Geschäftspapiere und Bestellscheine, son- and order forms, but also to e-mails and
dern in Ergänzung zu den Bestimmungen des websites, supplementing the rules laid
MedG33) auch für E-Mails und Webseiten. down in the Media Law33).

32) 32)
UGB Unternehmensgesetzbuch, 2007 UGB Business Code, 2007
33) 33)
MedG Mediengesetz, 2005 MedG Media Law, 2005

Kunde: KoelnMesse Projekt: DMS EXPO 2007 Autor: Dr. Ulrich Kampffmeyer public
Thema: Information Management Compliance Topic: Whitepaper Status: fertig
Datei: Compliance_Kampffmeyer_20070926.doc Datum: 20.09.2007 Version: 1.2
Seite 16 von 40
© PROJECT CONSULT GmbH 2007
Information Management Compliance

Selbst die Schweiz hat als nicht EU-Mitglied in- Switzerland, while not in the EU, has also
zwischen die wesentlichen Gesetze und Verord- aligned its laws and regulations with the EU
nungen an die europäischen Vorgaben schrittwei- step by step. This is evident in the Code of
se angeglichen. Dies zeigt sich z.B. im Obliga- Obligations in the rules for accounting, OR
tionenrecht in den Bestimmungen über die Buch- Art. 957ff, which regulate the retention of
führung OR Art. 957ff, die die Aufbewahrung von business correspondence, accounts, and
Geschäftskorrespondenz, der Bücher und der accounting records in digital form.
Buchungsbelege in elektronischer Form regeln.
Ein wesentliches Dokument ist die GeBüV34), Ge- The GeBüV34), the law governing the main-
schäftsbücherverordnung bzw. die Verordnung tenance and retention of accounts, is a key
über die Führung und Aufbewahrung der Ge- document.
schäftsbücher.
• Die GeBüV legt fest, wie die Geschäftsunterla- • The GeBüV mandates which business
gen geführt und aufbewahrt werden müssen documents must be kept and retained.
• Die GeBüV beinhaltet die Grundsätze der ord- • The GeBüV contains the principles of or-
nungsgemässen Buchführung sowie die derly accounting and data processing of
Grundsätze der ordnungsgemässen Datenver- digital or similarly kept accounts.
arbeitung bei elektronisch oder in vergleichba-
rer Weise geführten Büchern
• Die GeBüV hält die Anforderungen an Integri- • The GeBüV contains requirements con-
tät, zulässige unveränderbare Speichermedien cerning data integrity, permissible edit-
und andere Spezfikationen mit Compliance- proof storage media, and other coompli-
Relevanz fest ance-relevant specifications.
Weitere Gesetze regeln sehr dediziert und mit Other dedicated laws regulate documenta-
Hinweisen auf geeignete Speichertechnologien tion custodyworthiness and retention peri-
und elektronische Signatur die Dokumentations- ods, and refer to suitable storage technolo-
und Aufbewahrugnspflichten auch außerhalb des gies and to electronic signatures, including
Handelsrechtes. outside the context of commercial law.

Angesichts des Zusammenwachsens der europäi- As the European Union member states be-
schen Union und ihrer Mitgliedsstaaten wird come more tightly integrated, the growth of
durch den grenzüberschreitenden Geschäftsver- cross-border business and electronic ser-
kehr und über das Internet abrufbare elektroni- vices over the Internet makes a uniform
sche Dienstleistungen ein einheitlicher Rechts- legal space indispensable, particularly as
raum insbesondere im Handels- und Steuerrecht concerns commercial and tax law. Accord-
unerlässlich. Dementsprechend werden sich auch ingly, the resulting compliance requirements
die daraus abgeleiteten Compliance-Anforde- are becoming ever more similar across
rungen immer einheitlicher und europaweit aus- Europe.
greifender gestalten.

34)
Verordnung über die Führung und Aufbewahrung der Ge- 34)
GeBüV law governing the maintenance and retention
schäftsbücher (GeBüV Geschäftsbücherverordnung) of accounts

Kunde: KoelnMesse Projekt: DMS EXPO 2007 Autor: Dr. Ulrich Kampffmeyer public
Thema: Information Management Compliance Topic: Whitepaper Status: fertig
Datei: Compliance_Kampffmeyer_20070926.doc Datum: 20.09.2007 Version: 1.2
Seite 17 von 40
© PROJECT CONSULT Unternehmensberatung GmbH 2007
Information Management Compliance

Branchenspezifische Regularien Industry-Specific Regulations


Neben den Richtlinien, die für alle Unternehmen, In addition to guidelines that apply equally
Organisationen, Behörden und Personen gleich- to all companies, organizations, authorities,
maßen gelten, gibt es zahlreiche spezielle Rege- and persons, there are numerous special
lungen für bestimmte Branchen, die öffentliche regulations for individual industries, gov-
Verwaltung und Geschäftstätigkeitsgebiete. Hier- ernment administration, and business areas.
bei gibt es internationale wie auch nationale Re- These can be national as well as interna-
gelungen. tional.
So ist die FDA Food and Drug Administration35) Thus, the US Food and Drug Administra-
aus den USA, mit ihren bindenden Regularien für tion35) (FDA), with its binding regulations
die Herstellung von Lebensmitteln, Pharmazeuti- concerning pharmaceuticals and medica-
ka und Medikamenten auch über die Grenzen der tions, has effects beyond the borders of the
Vereinigten Staaten zu beachten. Bei der Bean- United States. A document management
tragung eines neuen Medikamentes, mit Vorlage system usually pays for itself just in apply-
von allen Testnachweisen und Produktions- ing for a permit for a new medication, for
verfahren, hat sich die Anschaffung eines Doku- providing all documentation on tests and
mentenmanagementsystems meistens bereits production processes to FDA criteria, abbre-
gelohnt. die FDA-Kriterien, auch abgekürzt unter viated as FDA Part 1136). To standardize
FDA Part 1136) bekannt. Um Herstellungsmetho- manufacturing methods, the FDA has
den zu standardisieren hat die FDA ein Regelwerk brought out a regulation called CGMP37). One
mit der Bezeichnung CGMP37) herausgebracht. of the FDA’s basic requirements is that digi-
Eine grundsätzliche Forderung der FDA ist, dass tal records be equivalent to paper records,
elektronische Aufzeichnungen äquivalent zu Pa- and that electronic signatures have the
pieraufzeichnungen sind und elektronische Unter- same significance and uniqueness as hand-
schriften die gleiche Aussagekraft und Eindeutig- written signatures. The corresponding regu-
keit wie handgeschriebene Unterschriften haben. lations at the European level are GxP38) with
Auf europäische Ebene sind die entsprechenden the GSP and GMP39) sections.
Regualarien als GxP38) mit den Teilen GSP und
GMP39) einzuhalten.
Den Gesundheitssektor in den USA reguliert In the US, the HIPAA40) regulates the health
HIPAA40). Das Ziel von HiPAA ist die Vordergrund industry. HIPAA’s primary goal is health in-
steht die Reformierung der Gesundheitspflege- dustry reform, and legislation aims at
Industrie. Die Gesetzgebung strebt nach größerer greater economy, reduction in paperwork,
Wirtschaftlichkeit, Verringerung von Schreib- and simpler identification and tracing of
arbeiten und einfacher Identifizierung und Wei- fraud by mandating standards and safety
terverfolgung von Betrug durch die Auferlegung measures to combat the misuse of citizens’
von unterschiedlichen Normen und Sicherheits- health information. Thus, HIPAA contains
maßnahmen gegen den Missbrauch von gesund- numerous documentation and confidentiality
heitsbezogenen Angaben des Bürgers. HIPAA requirements.
beinhaltet so zahlreiche Dokumentations- und
Vertraulichkeitsanforderungen.

35) 35)
U.S. Food and Drug Administration U.S. Food and Drug Administration
36) 36)
U.S. Food and Drug Administration, Federal Register Part II, U.S. Food and Drug Administration, Federal Register
21 CFR Part 11; allgemein als “FDA-Richtlinie” bekannt Part II, 21 CFR Part 11
37) 37)
U.S. Food and Drug Administration , Current Good Manufac- U.S. Food and Drug Administration , Current Good
turing Practices Manufacturing Practices
38) 38)
Zusammenstellung der “guten Arbeitspraxis” für die Phar- Compilation of “Good practices” containing GLP, GSP,
mabranche mit GLP, GSP, GMP GMP
39) 39)
“Good Storage Practice” und “Good Manufacturing Practice” “Good Storage Practice” and “Good Manufacturing
40)
United States Department of Health & Human Services, Practice”
40)
Office for Civil Rights, Health Insurance Portability and Ac- United States Department of Health & Human Ser-
countability Act vices, Office for Civil Rights, Health Insurance Portabil-
ity and Ac-countability Act

Kunde: KoelnMesse Projekt: DMS EXPO 2007 Autor: Dr. Ulrich Kampffmeyer public
Thema: Information Management Compliance Topic: Whitepaper Status: fertig
Datei: Compliance_Kampffmeyer_20070926.doc Datum: 20.09.2007 Version: 1.2
Seite 18 von 40
© PROJECT CONSULT GmbH 2007
Information Management Compliance

Aus den USA kommt auch der defacto Standard The de-facto standard for records manage-
für das Records Management: DoD 5015.241) im ment comes from the US, DOD 5015.241) for
militärischen Umfeld. Der Standard des Departe- military contexts. This Department of De-
ment of Defense definiert die grundsätzlichen fense standard defines the basic require-
Anforderungen an Dokumenten-Management und ments for document and records manage-
Records-Management-Systeme. Die Einhaltung ment systems. This standard must be ad-
der Standards ist für alle Hersteller erforderlich, hered to by all manufacturers hoping to sell
die für die Bundesverwaltung in den USA im mili- to the US government in military and quasi-
tärischen und angrenzenden Bereich anbieten military areas.
wollen.
Ein Beispiel für einen detaillierten Standard für The German DOMEA concept42) is a good
den Einsatz elektronischer Vorgangsbearbeit- example of a detailed standard for digital
tungssysteme ist das deutsche DOMEA-Konzept42) process management systems. DOMEA dis-
DOMEA beschreibt die Anforderungen an das Do- cribes the requirements for document man-
kumentenmanagement und elektronische Archi- agement and electronic archiving in public
vierung in der öffentlichen Verwaltung und er- administration, and permits the testing and
möglicht auch die Prüfung und Zertifizierung von certification of products in this area. DOMEA
etsprechenden Produkten. DOMEA-Compliance ist compliance is a requirement in many RFPs.
bei vielen Ausschreibungen eine Anforderung. The fundamental objective of DOMEA is the
Wesentliches Ziel des DOMEA-Konzeptes ist die introduction of the virtual folder. Since the
Einführung der elektronischen Akte. Da für diese same laws, business regulations, guidelines,
die gleichen Gesetze, Geschäftsordnungen, Richt- and requirements exist for these as for pa-
linien und Vorschriften wie für Papierakten gel- per folders, official processes, procedures,
ten, müssen behördliche Geschäftsprozesse, Vor- and archiving must be transferred to fully
gangsbearbeitung und Archivierung vollständig in conformant IT processes. The DOMEA con-
konforme IT-Prozesse überführt werden. Das cept supplies guidelines for this, but despite
DOMEA-Konzept liefert dafür Richtlinien, ist aber its widespread use and certificability, it is
trotz seiner weiten Verbreitung und der Möglich- not an official standard.
keit der Zertifizierung kein genormter Standard.

41) 41)
Department of Defense, Electronic records management Department of Defense, Electronic records manage-
software applications design criteria standard, 2007, allge- ment software applications design criteria standard,
mein als DoD 5015.2 bekannt 2007, generically referred to as DoD 5015.2
42) 42)
DOMEA Dokumenten-Management und elektronische Archi- DOMEA document management and electronic archiv-
vierung. Aktuell DOMEA Version 2 ing. Current Version is DOMEA Version 2

Kunde: KoelnMesse Projekt: DMS EXPO 2007 Autor: Dr. Ulrich Kampffmeyer public
Thema: Information Management Compliance Topic: Whitepaper Status: fertig
Datei: Compliance_Kampffmeyer_20070926.doc Datum: 20.09.2007 Version: 1.2
Seite 19 von 40
© PROJECT CONSULT Unternehmensberatung GmbH 2007
Information Management Compliance

Corporate Governance 3 Corporate Governance

„Information Management Compliance darf “Information Management Compliance


nicht isoliert betrachtet werden. Compliance cannot be seen in isolation. Compliance
muss Bestandteil der Corporate Governance must become part of Corporate Govern-
des Unternehmens und ständiger Begleiter ance and an integral part of all proc-
aller Prozesse werden.“ 43) esses.” 43)
Hinter Schlagworten wie Corporate Governance, Behind terms like corporate governance,
Enterprise Information Policy oder Records Ma- enterprise information policy or records ma-
nagement Policy und Projekten zur Erarbeitung nagement policy, and projects for the im-
und Einführung solcher Regelwerke verbergen plementation of such policies, are many ap-
sich auch viele Ansätze zur Lösung von Compli- proaches to meeting compliance require-
ance-Anforderungen. ments.
Corporate Governance beinhaltet die rechtlichen Corporate governance covers the legal and
und institutionellen Rahmenbedingungen, die institutional framework, which have proxi-
mittelbar oder unmittelbar Einfluss auf die Füh- mate or immediate influence on manage-
rungsentscheidungen eines Unternehmens und ment decisions and thus company success.
somit auf den Unternehmenserfolg haben.
Der Ursprung für Corporate Governance liegt The origins of corporate governance in this
bereits in den 30er Jahren, als man sich ver- sense lie in the 30s, with the goal of
stärkt Gedanken über die Rechte der Aktionäre strengthening shareholders’ rights.
machte.
Corporate Governance Richtlinien Corporate Governance Guidelines
• International wurden Corporate Governance • Internationally, corporate governance
durch die OECD in Gestalt der „Principles of principles were laid down in 1984 by the
Corporate Governance“ 1984 verankert und OECD in the form of “Principles of Corpo-
2004 aktualisier.t44) rate Governance,” and updated in
2004.44)
• Die Europäische Kommission hat im Jahr • In 2004 the European Commission cre-
2004 ein European Corporate Governance ated a European Corporate Governance
Forum45) als Beratungsgremium eingerichtet, Forum45) as an advisory body, which
ohne jedoch bisher eine verbindliche Richtli- however has not resulted in a binding
nie herauszugeben. guideline as yet.
• In Deutschland hat das Bundesministerium • In Germany, the Federal Justice Ministry
der Justiz im Jahr 2002 den Corporate- published the Corporate Governance Code
Governance-Kodex veröffentlicht. Dieser hat in 2002. This has consequences for the
Auswirkungen auf die Unternahmensgesetze corporate laws KonTraG and UMAG, as
KonTraG und UMAG sowie auf das Handels- well as commercal and tax law, and con-
und Steuerrecht und auf den Verbraucher- sumer protection.46)
schutz. 46)

43) 43)
Ulrich Kampffmeyer, IMC Information Management Compli- Ulrich Kampffmeyer, IMC Information Management
ance Policies und ihre Umsetzung. 2006 Compliance Policies und ihre Umsetzung. 2006
44) 44)
OECD Principles of Corporate Governance, 2004 OECD Principles of Corporate Governance, 2004
45) 45)
Europäische Kommission, European Corporate Governance European Commission, European Corporate Governan-
Forum, 2004 ce Forum, 2004
46) 46)
DCGK Deutscher Corporate Governance Kodex, 2002 DCGK German Corporate Governance Code, 2002

Kunde: KoelnMesse Projekt: DMS EXPO 2007 Autor: Dr. Ulrich Kampffmeyer public
Thema: Information Management Compliance Topic: Whitepaper Status: fertig
Datei: Compliance_Kampffmeyer_20070926.doc Datum: 20.09.2007 Version: 1.2
Seite 20 von 40
© PROJECT CONSULT GmbH 2007
Information Management Compliance

• In Österreich gibt es den ÖCGK Österreichi- • In Austria there is the ÖCGK, the Austrian
schen Corporate Governance Kodex, der im Corporate Governance Code, published in
Jahr 2002 veröffentlicht wurde und sich an 2002. This follows international prece-
den internationalen Vorgaben orientiert. dents.
• In der Schweiz gibt es nur einen freiwilligen • In Switzerland there is only a volutary
Swiss Code of Best Practice aus dem Jahr Swiss Code of Best Practice from 2002.
2002.
Compliance und Information Management Com- Compliance and information management
pliance müssen in der Corporate Governance compliance must be anchored in corporate
verankert sein. Corporate Governance und governance. Corporate governance and
Compliance müssen auch die Umsetzung von compliance must take into account the im-
Prozessen und die Aufbewahrung von Dokumen- plementation of processes and retention of
ten berücksichtigen und entsprechende Vorga- documents, create requirements for IT stra-
ben für die IT-Strategie machen und deren Um- tegies, and monitor their implementation.
setzung überprüfen.

Risiko-Management Risk Management


Würde man alle nur denkbaren und eine spezifi- A company that tried to account for all imag-
sche Situation betreffenden Compliance-An- inable compliance requirements in a specific
forderungen im Unternehmen vollständig um- situation, and support it with technical sys-
setzen und durch technische Systeme unterstüt- tems, would come to a standstill. Risk man-
zen wollen, käme die Geschäftstätigkeit zum agement is therefore an important element
Erliegen. Risiko-Management ist daher ein wich- in corporate governance und information
tiger Bestandteil von Corporate Governance und management compliance.
Information Management Compliance.
Die Risiken müssen erhoben, aufbereitet und Risks must be assessed and evaluated, and
bewertet werden. Maßnahmen zur Vermeidung action taken to prevent them and meet rele-
der Risiken und zur Einhaltung der relevanten vant compliance requirements. Management
Compliance-Anforderungen sind zu treffen. Da- must take responsibility for the extent of
bei obliegt es der Geschäftsführung bzw. dem action planned and taken. According to cor-
Vorstand eines Unternehmens die Verantwor- porate governance and business law, this is
tung für den Umfang der Maßnahmen und deren the job of the people and committees re-
Einhaltung zu übernehmen. Entsprechend Cor- sponsible for a business. This includes the
porate Governance und Unternehmensgesetzen supervisory board of joint stock corporations.
ist dies auch genau die Aufgabe der für die Ge-
schäftstätigkeit verantwortlichen Personen und
Gremien. Diese Verantwortung schließt heute
bei Aktiengesellschaften auch den Aufsichtsrat
ein.

In Bezug auf eine Information Management Po- In terms of an information management pol-
licy sind dabei nicht nur die technischen Risiken icy, not just the technological risks must be
zu betrachten sondern auch diejenigen Risiken, taken into consideration, but also the risks
die sich aus der Nutzung und dem Betrieb der arising from the use and operation of the
Systeme, den Prozessen und aus dem Ausbil- systems, the processes, and the training
dungsstand der Mitarbeiter ergeben. levels of employees.

Kunde: KoelnMesse Projekt: DMS EXPO 2007 Autor: Dr. Ulrich Kampffmeyer public
Thema: Information Management Compliance Topic: Whitepaper Status: fertig
Datei: Compliance_Kampffmeyer_20070926.doc Datum: 20.09.2007 Version: 1.2
Seite 21 von 40
© PROJECT CONSULT Unternehmensberatung GmbH 2007
Information Management Compliance

• Zu den technischen Risiken gehören die Ver- • Technological risks include system avail-
fügbarkeit der Systeme, der Schutz vor un- ability, protection from unauthorized use
berechtigter Nutzung oder Löschung von Da- or deletion of data, restarting and recov-
ten, Wiederanlauf und Recovery, Richtigkeit ery, correctness of data, backup and ca-
der Daten, Backup und Katastrophenschutz, tastrophe protection, access, consistency
Zugang, Konsistenz und Integrität der Da- and integrity of data, software compatibil-
tenbestände, Kompatibilität der eingesetzten ity, virus protection, transaction security,
Softwarestände, Virenschutz, Transaktionssi- protection from downtime, system de-
cherheit, Ausfallsicherheit und Systemausle- sign, data protection, data security, and
gung, Datenschutz und Datensicherheit so- the fault-free running of software.
wie die fehlerfreie Ablauffähigkeit der Soft-
waresysteme.

• Zu den organisatorischen Risiken zählen Be- • Organizational risks include authorization


rechtigungsstrukturen, Ausbildungstände der structures, employee training levels, sys-
Mitarbeiter, Betreuung der Systeme und Mit- tem and employee support, consistent
arbeiter, durchgängige Prozesse, Zuständig- processes, responsibilities, correct and
keiten und Verantwortlichkeiten, korrekte updated work instructions, understanding
und aktuelle Arbeitsanweisungen, fehlendes of the value of information, and other or-
Bewusstsein für den Wert von Information ganizational, procedural, and person-
und andere aufbauorganisations-, prozess- related criteria.
und personenbezogene Kriterien.

Eine Information Management Compliance Poli- An information management compliance


cy muss allen Faktoren der Informationsentste- policy must consider all factors in informa-
hung, -verarbeitung, -verwaltung, -nutzung und tion origin, processing, administration, use,
-speicherung berücksichtigen und in die Corpo- and storage, and integrate them seamlessly
rate Governance Richtlien des Unternehmens into the company’s corporate governance
nahtlos integrieren. guidelines.

Kunde: KoelnMesse Projekt: DMS EXPO 2007 Autor: Dr. Ulrich Kampffmeyer public
Thema: Information Management Compliance Topic: Whitepaper Status: fertig
Datei: Compliance_Kampffmeyer_20070926.doc Datum: 20.09.2007 Version: 1.2
Seite 22 von 40
© PROJECT CONSULT GmbH 2007
Information Management Compliance

Information Management
Compliance Policy
4 Information Management
Compliance Policy
„Policies und Richtlinien haben nur dann ei- “Policies and guidelines are useful only
nen Nutzen, wenn sie nachgehalten und when they are followed. Electronic systems
befolgt werden. Elektronische Systeme can be an effective aid here, and document
können hierbei effektiv unterstützen und the auditability of business processes bet-
die Nachvollziehbarkeit von Geschäftsgän- ter than any person ever could.” 47)
gen besser dokumentieren als dies je ein
Mensch könnte.“ 47)
Basis für die Planung, Durchführung und kon- An information management compliance policy
tinuierliche Umsetzung von Information provides the basis for planning, implementing,
Compliance Management (IMC) im Unterneh- and maintaining information compliance man-
men ist eine so genannte Information Compli- agement. The policy should comprise four key
ance Policy. Die Inhalte einer solchen Richtlinie points:
und ihrer Umsetzung kann man in vier Punk-
ten zusammenfassen:
1. Policy 1. Policy
Grundregeln und Verhaltensweisen für den The information management compliance
Umgang mit Prozessen und Informationen, policy contains basic rules for processes
die sich in der Information Management and information handling. It allocates re-
Compliance Policy niederschlagen. Dies sponsibility, and makes company man-
schließt das Bewusstmachen, die Zuord- agement aware of the importance of com-
nung der Verantwortung und die Veranke- pliance. Company management is respon-
rung der Policy im Management der Orga- sible not just for abiding by the rules, but
nisation ein. Das Management trägt hier also for setting a good example in the
nicht nur die eigene Verantwortung für die company as a whole.
Einhaltung der Regelwerke, sondern auch
für die Umsetzung im Unternehmen mit
Vorbildfunktion.
2. Delegation 2. Delegation
Zuordnung von Verantwortlichkeiten und The assignment of responsibility and ap-
entsprechende Ausbildung auf den nach- propriate training at operational levels
geordneten Ebenen, die allen Betroffenen should make all involved aware of the im-
die Bedeutung von Compliance-Regeln portance of compliance rules. This finds
deutlich macht. Dies schlägt sich auch in expression in work processes, workplace
den Arbeitsprozessen, Arbeitsplatzbe- descriptions, contracts, and work instruc-
schreibungen, Verträgen und Arbeitsan- tions. Compliance must be consistently im-
weisungen nieder. Auf den verschiedenen plemented at all levels of an organization,
Ebenen einer Organisation muss abhängig as appropriate for the job description and
von Aufgaben und Zuständigkeiten der area of responsibility of each employee.
Mitarbeiter eine Durchgängigkeit erzeugt
werden.

47) 47)
Ulrich Kampffmeyer, “Rechtsänderungen im IT-Umfeld – Ulrich Kampffmeyer, “Rechtsänderungen im IT-Umfeld –
Anforderungen an elektronische Archivsysteme“, EURO- Anforderungen an elektronische Archivsysteme“, EURO-
FORUM, 2002 FORUM, 2002

Kunde: KoelnMesse Projekt: DMS EXPO 2007 Autor: Dr. Ulrich Kampffmeyer public
Thema: Information Management Compliance Topic: Whitepaper Status: fertig
Datei: Compliance_Kampffmeyer_20070926.doc Datum: 20.09.2007 Version: 1.2
Seite 23 von 40
© PROJECT CONSULT Unternehmensberatung GmbH 2007
Information Management Compliance

3. Nachhaltung 3. Follow-through
Die Einhaltung der Regeln muss regel- Adherence to the rules must be monitored
mäßig überprüft werden. Hierzu gehören regularly. This includes quality assurance
z.B. Qualitätssicherungsprogramme eben- programs as well as audits, focusing on
so wie Audits. Hierbei ist auf eine ständige continuous improvement of processes and
Verbesserung der Prozesse und auf die tracing documentation on the actions
Nachführung der Dokumentation zu den taken.
durchgeführten Maßnahmen Wert zu le-
gen.
4. Sichere Systeme 4. Secure systems
Die IT-Systeme müssen den Anforder- IT systems must have sufficient functional-
ungen mit ihrer Funktionalität, Sicherheit ity, security, and availability, and ensure
und Verfügbarkeit genügen und die Nach- auditability. Compliance is not just limited
vollziehbarkeit unterstützen. Compliance to application functionality and document
beschränkt sich hier nicht nur auf die An- management, but comprises the entire op-
wendungsfunktionalität und das Dokumen- eration of a solutuion.
tenmanagement, sondern schließt den ge-
samten Betrieb der Lösung ein.

Obwohl Compliance sehr viel mit Dokumenten Although compliance has much to do with
und Dokumentation zu tun, gilt es bei den documents and documentation, it is important
Anforderungen immer in Prozessen zu denken. to always think in terms of processes. The
Das Hauptproblem von Compliance ist dabei, main problem in compliance is that actions
dass die Maßnahmen zunächst einmal viel start out costing too much money and organ-
Geld und organisatorischen Aufwand kosten, izational effort, without generating any addi-
ohne dass hierdurch mehr Geschäft generiert tional revenue. Therefore compliance is usu-
wird. Compliance ist daher den meisten ein ally not popular with management. But when
ungeliebtes Kind. Wenn man aber sein Unter- a company is well structured and organized,
nehmen konsequent und strukturiert organi- the resulting transparency, auditability, and
siert, ist durch die Transparenz, die Nachvoll- integral availability of information gives bene-
ziehbarkeit und die integre Verfügbarkeit von fits that pay in day-to-day business.
Information ein hoher qualitativer Nutzen ge-
geben, der sich auch betriebswirtschaftlich
auszahlt.

Kunde: KoelnMesse Projekt: DMS EXPO 2007 Autor: Dr. Ulrich Kampffmeyer public
Thema: Information Management Compliance Topic: Whitepaper Status: fertig
Datei: Compliance_Kampffmeyer_20070926.doc Datum: 20.09.2007 Version: 1.2
Seite 24 von 40
© PROJECT CONSULT GmbH 2007
Information Management Compliance

Aspekte der Information Management Aspects of Information Management


Compliance Compliance

Bei der Erstellung einer Richtlinie sind folgende When drawing up a guideline, the following
Aspekte zu berücksichtigen: aspects must be born inmind:
• Compliance ist vorrangig ein organisatori- • Compliance is primarily an organizational
scher Prozess. Systeme dienen zur Unter- process. Systems merely support the proc-
stützung des Prozesses. Sie sind nicht in ess, but are not in and of themselves com-
sich „compliant“. Zertifikate der Ordnungs- pliant. Certificates of proper procedure and
mäßigkeit und Compliance-Einhaltung be- compliance refer to individual companies
ziehen sich auf das indviduelle Unterneh- and the way they use IT solutions, not to
men und den Einsatz der Lösungen, nicht the solutions themselves.
auf Produkte.
• Moderne Software kann alle notwendigen • Modern software can record all necessary
Informationen über die Systeme und Kom- information on systems and components,
ponenten sowie deren Nutzung selbst auf- and their use. The future lies with self-
zeichnen. Die Zukunft liegt in selbstdoku- documenting systems that relieve people of
mentierenden Systemen, die den Menschen the burden of documentation, checking,
von der Dokumentation, Überprüfung und and follow-through. Recording and evaluat-
Nachhaltung entlasten. Die Aufzeichnung ing this information can contravene data
und Auswertung kann im Widerspruch zu protection, however.
Anforderungen des Datenschutzes stehen.
• Compliance ist nicht punktuell und nicht • Compliance is neither one-time nor static.
statisch. Compliance muss kontinuierlich Compliance must be continuously lived at
über alle Ebenen, alle Mitarbeiter, alle Pro- all levels, by all employees, and in all proc-
zesse und alle Systeme des Unternehmens esses and systems of a company.
gelebt werden.
• Compliance darf nicht nur als lästige, die • Compliance must not be seen as an annoy-
Geschäftstätigkeit behindernde Aufgabe be- ing task that gets in the way of business.
trachtet werden. Compliance vermeidet Not only does compliance help prevent risk,
nicht nur Risiken sondern schafft Transpa- it also creates transparency in a company,
renz im Unternehmen, erlaubt die Erken- helps make potential visible, and promotes
nung von Potentialen und die Verbesserung the improvement of organization and proc-
der Organisation und Prozesse. Compliance esses. Thus, compliance can promote value
kann so auch zur Wertsteigerung und Wert- addition and growth.
schöpfung eingesetzt werden.
• Systeme nur zur Erfüllung der Compliance- • It is uneconomical to implement systems
Anforderungen einzuführen ist unwirt- solely for the purpose of meeting compli-
schaftlich. Systeme müssen die Complian- ance requirements. Systems should meet
ce-Anforderungen so quasi nebenbei mit these requirements “automatically” on the
erfüllen. side.
• Neben die sichtbare Welt der Geschäftspro- • Alongside the visible world of business
zesse treten Compliance-Prozesse in den processes, compliance processes enter into
Systemen selbst. Workflow, Business Pro- systems themselves. Workflow, business
cess Management und Protokollierung im process management, and logging as part
Rahmen des Records Management liefern of records management supply information
notwendige Informationen. that is needed for many purposes.
• Compliance ist kein Projekt. Compliance • Compliance is not a project. Compliance
kann im Rahmen eines Projektes initiiert can be initiated and implemented within
und eingeführt werden, ist jedoch ein kon- the framework of a project, but it is an
tinuierlicher Prozess. onging process.

Kunde: KoelnMesse Projekt: DMS EXPO 2007 Autor: Dr. Ulrich Kampffmeyer public
Thema: Information Management Compliance Topic: Whitepaper Status: fertig
Datei: Compliance_Kampffmeyer_20070926.doc Datum: 20.09.2007 Version: 1.2
Seite 25 von 40
© PROJECT CONSULT Unternehmensberatung GmbH 2007
Information Management Compliance

• Der Mensch ist bequem und damit das • People are lazy and therefore the greatest
größte Hindernis für Compliance. Informa- hindrance to compliance. Information man-
tion Management Compliance muss voraus- agement compliance must be practiced
schauend und aktiv gelebt werden. Die Be- proactively and predictively. Many decision-
deutung von Compliance wird auf Entschei- makers still underestimate the importance
derebene immer noch unterschätzt. of compliance.
• Compliance ist unumgänglich. IT-Com- • Compliance is indispensable. IT compliance
pliance sorgt für Transparenz in der virtuel- creates transparency in the virtual world of
len Welt der Systeme. Ohne IT-Compliance systems. Without IT compliance, the legal
ist eine rechtliche Gleichberechtigung elekt- equivalence of paper-based and digital in-
ronischer und papiergebundener Informati- formation is not possible.
on nicht möglich.
• Eine Information Management Compliance • An information management compliance
Policy regelt den Umgang mit Information. policy controls the use of information. If it
Wird sie nicht umgesetzt und ständig nach- is not implemented and constantly followed
gehalten, ist sie wertlos. Ohne sie fehlt der though on, it is valueless. Without it, there
Maßstab um Risiken, den Wert von Infor- is no benchmark for recognizing risks, the
mation und die Abhängigkeit von Informa- value of information, and information de-
tion zu erkennen. pendencies.

Kunde: KoelnMesse Projekt: DMS EXPO 2007 Autor: Dr. Ulrich Kampffmeyer public
Thema: Information Management Compliance Topic: Whitepaper Status: fertig
Datei: Compliance_Kampffmeyer_20070926.doc Datum: 20.09.2007 Version: 1.2
Seite 26 von 40
© PROJECT CONSULT GmbH 2007
Information Management Compliance

Compliance und
Records Management
5 Compliance and
Records Management
„Immer mehr Information entsteht “More and more information is created digi-
elektronisch. Der Ausdruck dieser talally. Printingg this information out on pa-
Information auf Papier ist nur noch eine per is just one possible form of representa-
mögliche Form der Repräsentation. Das tion. The electronic document itself is now
elektronische Dokument wird selbst zum the original.” 48)
Original.“ 48)

Um alle Informationen in einem Unternehmen, Records management (often called ERM,


einer Behörde oder einer Organisation effektiv Electronic Records Management, or EDRM,
verwalten zu können, ist der Einsatz von Re- Electronic Document and Records Manage-
cords-Management- Lösungen (auch ERM Elect- ment) is necessary for the efficient admini-
ronic Records Management oder EDRM Electro- stration of all of the information in a com-
nic Document and Records Management) erfor- pany, government office, or organization.
derlich. Records Management geht dabei über Records management goes beyond digital
den Ansatz der elektronischen Archivierung hin- preservation:
aus:

• Records Management Systeme verwalten • Records management systems have ref-


über Referenzen auch Informationen auf Pa- erences to information on paper, in fold-
pier in Aktenordnern oder auf Mikrofilm. Dies ers, or on microfilm. This allows complete
ermöglicht die vollständige Kontrolle auch control of “mixed” processes that require
„gemischter“ Verfahren, in denen ein Paral- parallel activities on different media.
lelbetrieb mit unterschiedlichen Medien er-
forderlich ist.

• Records Management Systeme besitzen e- • Records management systems have elec-


lektronische Ablagepläne und Thesauri, die tronic filing plans and thesauri which en-
eine strukturierte, geordnete, nachvollzieh- able a structured, comprehensible, and
bare und eindeutige Zuordnung der Informa- clear ordering of information. They sup-
tionen sicherstellen. Hierbei werden Mehr- port multiple filing iterations based on dif-
fachzuordnungen nach unterschiedlichen ferent topic criteria and the management
Sachzusammenhängen und die Verwaltung of different versions and statuses of the
unterschiedlicher Versions- und Historien- filing structure.
stände der Ordnungssystematik unterstützt.

Records Management ist daher eine Basis- This makes records management a basic
komponente für die Abbildung elektronischer, component for the imaging of virtual digital
virtueller Akten und für die elektronische Vor- folders and for digital processing of informa-
gangsbearbeitung, die auch diejenigen Informa- tion subject to compliance regulations.
tionen bereitstellen, die Compliance-Anforde-
rungen unterliegen.

48) 48)
Ulrich Kampffmeyer, „Paradigmenwechsel im Dokumenten- Ulrich Kampffmeyer, „Paradigmenwechsel im Doku-
Management“, DMS EXPO, 1998 menten-Management“, DMS EXPO, 1998

Kunde: KoelnMesse Projekt: DMS EXPO 2007 Autor: Dr. Ulrich Kampffmeyer public
Thema: Information Management Compliance Topic: Whitepaper Status: fertig
Datei: Compliance_Kampffmeyer_20070926.doc Datum: 20.09.2007 Version: 1.2
Seite 27 von 40
© PROJECT CONSULT Unternehmensberatung GmbH 2007
Information Management Compliance

Records Management nach ISO 15489 Records Management per ISO 15489
Die ISO 15489 Records Management stellt Ma- ISO 15489 Records Management presents
nagement-Richtlinien zur Unternehmenspolitik management guidelines for company policy
und Vorgehensweisen für das Records Manage- and procedure for record management, and
ment des Unternehmens auf und dient als Anlei- is a guide for implementing records man-
tung zur Implementierung bei der Einführung agement systems.
von Records Management.
Die Norm definiert „Elektronisches Records Ma- As defined by the standard records man-
nagement sind die Methoden, Verfahren und agement is the „Field of management re-
Anwendungen, die zur geordneten Verwaltung, sponsible for the efficient and systematic
Erschließung, Bewahrung, Sicherung und Aus- control of the creation, receipt, maintenance,
sonderung von elektronischen Informationen use and disposition of records, including
dienen, die Geschäftsvorfälle, Rechtshandlungen processes for capturing and maintaining evi-
und die Einhaltung rechtlicher und regulativer dence of and information about business
Vorgaben vollständig, richtig, authentisch, be- activities and transactions in the form of
weiskräftig und nachvollziehbar dokumen- records”.49)
tieren“.49)
Die Grundprinzipien des Records Management The basic principles of record management
sind in zahlreichen nationalen Regelungen der are contained in numerous national regula-
öffentlichen Verwaltung und Archive sowie in tions for public administration and archiving,
einer internationalen Norm niedergelegt. Die as well as in an international standard. ISO
ISO-Norm 15489 gibt in Teil 1 Hilfestellungen 15489 Part 1 helps to:
zum:
• Festlegen, welche Dokumente erzeugt und • Define which documents must be gener-
welche Information in die Dokumente einge- ated and what information included in
fügt werden müssen sowie welcher Genauig- these documents, and what level of exacti-
keitsgrad erforderlich ist tude is necessary.
• Entscheiden, in welcher Form und Struktur • Decide on the form and structure in which
Dokumente erzeugt und erfasst werden sollen documents should be generated and cap-
tured.
• Festlegen der Anforderungen zum Retrieval • Define the requirements for retrieval and
und Gebrauch von Dokumenten und wie lange use of documents, and how long they need
sie archiviert sein müssen, um diesen Anfor- to be archived for, in order to meet these
derungen zu genügen requirements.
• Festlegen, wie Dokumente zu organisieren • Define how documents should be organ-
sind, um die Anforderungen für den Gebrauch ized in order to best support their efficient
zu unterstützen. use.
Die ISO Norm 15489 beschreibt in Teil 2 die ISO 15489 Part 2 lays out the steps for im-
Schritte für das Vorgehen der Umsetzung fest: plementation, from the initial analysis and
Von der ersten Analyse und Identifizierung der indentification of the requirements, to the
Anforderungen bis zur Implementierung eines implementation of a records management
Records Management Systems und unterneh- system and company policies surrounding it.
menspolitischen Maßnahmen.
Auch wenn diese ISO Norm keine konkreten While the ISO standard does not contain
Kriterien für eine technische Prüfbarkeit von specific criteria for the technical testability of
Systemen beinhaltet, ist sie jedoch ein wertvol- systems, it is nevertheless a valuable guide
ler Leitfaden, um Information im Unternehmen for administering company information in a
transparent, geordnet und nachvollziehbar zu transparent, organized, auditable fashion.
verwalten. Professionelles Records-Management Professional records management is thus a
ist damit eine Grundvoraussetzung zur Erfüllung basic tool for meeting compliance require-
von Compliance-Vorgaben. ments.

49) 49)
ISO, ISO Norm 15489 Records Management, 2001 (Schrift- ISO, ISO Standard 15489 Records Management, 2001
gutverwaltung)

Kunde: KoelnMesse Projekt: DMS EXPO 2007 Autor: Dr. Ulrich Kampffmeyer public
Thema: Information Management Compliance Topic: Whitepaper Status: fertig
Datei: Compliance_Kampffmeyer_20070926.doc Datum: 20.09.2007 Version: 1.2
Seite 28 von 40
© PROJECT CONSULT GmbH 2007
Information Management Compliance

MoReq Model Requirements MoReq Model Requirements


50) 50)
MoReq ist die wichtigste Spezifikation für e- MoReq is the most important European
lektronisches Dokumenten- und Records- specification for electronic document and
Management in Europa. Die Abkürzung MoReq records management. The abbreviation
steht für „Model Requirements for the Manage- MoReq stands for “Model Requirements for
ment of Electronic Records“. MoReq wurde im the Management of Electronic Records.”
Auftrag der Europäischen Kommission51) durch MoReq was put together by the DLM Fo-
das DLM-Forum52) erarbeitet. Die Vorteile von rum52) at the reqest of the European Com-
MoReq liegen darin, dass Anbieter ihre Produkte mission51). Its advantage is that vendors
zukünftig nur noch auf einen europäischen need in future orient their products to just
Standard ausrichten müssen, und nicht mehr für one European standard, instead of different
jedes Land einen eigenen Standard in der Imp- implementation standards for each country.
lementierung zu berücksichtigen haben.
MoReq in der ersten Version (MoReq1) wurde The first iteration of MoReq (MoReq1) was
bereits von zahlreichen nationalen Standards als used as a benchmark for many national
maßstab genutzt, so z.B. TNA in England, Noark standards, such as TNA in England, Noark in
in Norwegen oder Remano in den Niederlanden. Norway, and Remano in the Netherlands.
MoReq beschränkt sich jedoch nicht nur auf die MoReq is not limited just to pubic admini-
öffentliche Verwaltung oder Nationalarchive stration or national archives, but is an open
sondern ist ein offener Standard, der auch in standard that has application in the private
der freien Wirtschaft zum Einsatz kommt. Mo- sector. MoReq1 has been translated into 10
Req1 wurde inzwischen in 10 Sprachen über- languages, and may establish itself as the
setzt und konnte sich als europäische Alternati- European alternative to the American DoD
ve zum amerkanischen DoD 5015.2 Standard 5015.2 standard. Since MoReq1 came out in
etablieren. Da MoReq1 bereits 2001 entstanden 2001, the European Commission and the
ist, wurde von der Europäischen Kommission DLM Forum have agreed on an updated and
zusammen mit dem DLM Forum eine Aktualise- expanded version.
rung und Erweiterung vereinbart.
Wesentliche Neuheiten in MoReq253) sind: The main innovations in MoReq253) are:
• Fexiblere Struktur • More flexible structure
Berücksichtigung nationaler Anforderungen, Consideration of individual national re-
Erweiterung des Funktionenkataloges, Defini- quirements, expanded function catalog,
tion optionaler Komponenten für unter- definition of optional components for dif-
schiedliche Umgebungen und Anforderungen ferent environments and needs
• Erweitertes Basismoduls • Expanded basic module
Zugriffsverwaltung, Aufbewahrungsfirsten Access management, retention periods
und Vernichtung, Export, Übertragung und and destruction, export, transfer, and
Dokumentenaustausch, langfristige Bewah- document exchange, long-term storage,
rung, konkretere Fassung und Beschreibung more specific description of metadata
der Metadaten
• Optionale Module • Optional modules
Content-Management, Hybridsysteme, Work- Content management, hybrid systems,
flow und Vorgangs-/Fallbearbeitung, E-Mail- workflow and process/case handling, e-
Management, Dokumentenmanagement und mail management, document manage-
Collaboration, Kryptographie, Verschlüsse- ment and collaboration, cryptography,
lung, Wasserzeichen, Digital Rights Manage- encoding, watermarks, digital rights man-
ment, Interoperabilität und Offenheit sowie agement, interoperabiliy and openness,
dezentrale Systeme decentral systems
50) 50)
Archiv der Europäischen Kommission, Model Requirements Archive of the European Commission, Model Require-
for the Management of Electronic Documents and Records, ments for the Management of Electronic Documents and
2001 Records, 2001
51) 51)
IDA Interchange of Data between Administrations, Katalog IDA Interchange of Data between Administrations,
gemeinsamer Werkzeuge und Techniken Catalogue of Common Tools and Techniques
52) 52)
DLM Network EEIG, DLM-Forum DLM Network EEIG, DLM-Forum
53) 53)
Ulrich Kampffmeyer; Sarah Risse, Artikel „MoReq Update“ Ulrich Kampffmeyer; Sarah Risse, „MoReq Update“

Kunde: KoelnMesse Projekt: DMS EXPO 2007 Autor: Dr. Ulrich Kampffmeyer public
Thema: Information Management Compliance Topic: Whitepaper Status: fertig
Datei: Compliance_Kampffmeyer_20070926.doc Datum: 20.09.2007 Version: 1.2
Seite 29 von 40
© PROJECT CONSULT Unternehmensberatung GmbH 2007
Information Management Compliance

• MoReq Compliance Test • MoReq Compliance Test


Beurteilung von Produkten, Entwicklung von Evaluation of products, development of
standardisierten Testskripten, Unterstützung standardized test scripts, support of uni-
einheitlicher MoReq-Compliance-Evaluierun- form MoReq compliance evaluations
gen durch Tests als Vorlage für ein Zertifizie- through tests as a basis for a certification
rungsverfahren process
Ende des Jahres 2007 wird die neue Version At the end of 2007, the new MoReq2 and its
MoReq2 und das dazugehörige Test- und Zertifi- associated test and certification procedures
zierungsverfahren für Records Management will be made available for records manage-
Produkte fertig gestellt54). ment products. 54)

Übergreifende Ansätze Comprehensive Approaches


Vielfach wird Records Management wie die alt- Often, records management, like traditional
hergebrachte Archivverwaltung als eigenständi- archive administration, is seen as a discrete
ge Lösung betrachtet. Bedeutsamer wird aber solution. But in terms of compliance, it is
unter Compliance-Gesichtspunkten die Integra- more important to integrate it into the IT
tion in die IT-Landschaft als Infrastruktur, die landscape as an infrastructure which takes
alle Komponenten berücksichtigt und die Durch- into account all components and ensures the
gängigkeit der Dokumentation über alle Prozes- consistency of documentation of all proc-
se, Datenquellen und Anwendungen sicherstellt. esses, data sources, and applications. Re-
Records Management ist daher eine wichtige cords management is thus an important
Komponente in Konzepten wie ECM Enterprise component in ECM (Enterprise Content Ma-
Content Management, ILM Information Lifecycle nagement), ILM (Information Lifecycle Ma-
Management und elektronischer Archivierung. nagement) and digital preservation.
ECM Enterprise Content Management ECM Enterprise Content Management
“Enterprise Content Management sind die “Enterprise Content Management is the
Technologien zur Erfassung, Verwaltung, Technologies used to Capture, Manage,
Bereitstellung, Speicherung und Langzeit- Store, Preserve, and Deliver Content and
archivierung von elektronischen Inhalten und Documents related to Organizational
Dokumenten zur Unterstützung der Ge- Processes.” 55)
schäftsprozesse im Unternehmen.”55)
ECM umfasst herkömmliche dokumentenorien- ECM comprises conventional document-
tierte Informationstechnologien wie Scanning, riented information technologies such as
Dokumentenmanagement, Knowledge Mana- scanning, document management, knowl-
gement, Workflow, Archivierung etc. und integ- edge management, workflow, archiving
riert die Host- und Client/Server-Welt mit Web- etc., and integrates the host and client
Content-Management-, Portal- und anderen server world with web content manage-
Internet-Technologien. ment, portal, and other internet technolo-
gies.

54)
54) Der MoReq2 Standard wird im Auftrag der Europäischen The MoReq2 standards ist authored by the company
Kommission vond er Firma SERCO erstellt. MoReq- SERCO, who was contracted by the European Commis-
Information in Deutsch, www.moreq2.de, in Englisch sion. Detailed information www.moreq2.eu.
www.moreq2.eu. 55)
AIIM Association for Information and Image Manage-
55)
AIIM Association for Information and Image Management ment International, 2005
International, 2005

Kunde: KoelnMesse Projekt: DMS EXPO 2007 Autor: Dr. Ulrich Kampffmeyer public
Thema: Information Management Compliance Topic: Whitepaper Status: fertig
Datei: Compliance_Kampffmeyer_20070926.doc Datum: 20.09.2007 Version: 1.2
Seite 30 von 40
© PROJECT CONSULT GmbH 2007
Information Management Compliance

Die Komponente Verwaltung sowie Verarbeitung The information administration and process-
von Information beinhaltet Document Manage- ing components include document manage-
ment, Records Management, Business Process ment, records management, business proc-
Management/ Workflow, Web Content Manage- ess management/workflow, web content
ment und Collaboration. 56) management, and collaboration. 56)
Ein wesentliches Ziel von Enterprise Content One of the key objectives of enterprise con-
Management ist die Sicherstellung der Einhal- tent management is to ensure adherence to
tung von Compliance-Anforderungen. Kompo- compliance requirements. Components such
nenten wie elektronische Archivierung, virtuelle as digital preservation, virtual folders, re-
Akten, Records Management und Process Mana- cords management, and process manage-
gement sind hierfür die entsprechenden Be- ment are examples of this.
standteile.

ILM Information Lifecycle Management ILM Information Lifecycle Management


„Information Lifecycle Management sind “Information Lifecycle Management is com-
Strategien, Methoden und Anwendungen um promised of the policies, processes, practices
Information automatisiert entsprechend ih- and tools used to align the business value of
rem Wert und ihrer Nutzung optimal auf dem information with the most appropriate and
jeweils kostengünstigsten Speichermedium cost effective IT infrastructure from the time
bereitzustellen, zu erschließen und langfristig information is conceived through its final
sicher aufzubewahren. disposition.
Information wird mit der Geschäftstätigkeit Information is aligned with business proc-
durch Prozess-Management und Service- esses through management processes and
leistungen in Zusammenhang mit Anwen- service levels associated with applications,
dungen, Metadaten, anderen Informationen metadata, information and data” 57)
und Daten koordiniert.“ 57)
Die Compliance-Anforderungen in den USA führ- The compliance requirements in the US are
ten auch zu neuen Trends wie ILM Information leading to new trends, such as ILM or Infor-
Lifecycle Management. Getrieben von Hard- mation Lifecycle Management. Driven by
ware- und Speichersoftwareanbietern zielten storage hardware and software vendors,
diese Lösungen besonders auf die Erfüllung von these solutions are targeted specifically at
Compliance-Anforderungen wie SOX. Daher ist compliance regulations such as SOX. There-
auch E-Mail-Archivierung eine Komponente, die fore they include e-mail archiving as a com-
häufig unter der Flagge ILM angeboten wird. ponent that often goes under the name ILM.
Kern ist dabei, dass Speichersysteme um immer The take-home is that storage systems are
mehr Softwarekomponenten ergänzt werden being supplemented with more and more
und in die traditionellen Bereiche von Records software components and pushing into the
Management, Archivierung und Dokumenten- traditional preserves of records manage-
management vordringen. ment, archiving and document management.
ILM setzt auf herkömmlichen HSM Hierarchi- ILM sits on top of traditional hierarchical
schem Speichermanagement auf und ergänzt storage management (HSM) and adds to it
dieses um Regeln, Prozesse und nur einmal be- rules, processes, and write-once storage
schreibbare Speichersysteme. systems.

56) 56)
AIIM international 2003 AIIM international 2003
57) 57)
The Storage Networking Industry Association (SNIA), ILM The Storage Networking Industry Association (SNIA),
definition, 2004 ILM definition, 2004

Kunde: KoelnMesse Projekt: DMS EXPO 2007 Autor: Dr. Ulrich Kampffmeyer public
Thema: Information Management Compliance Topic: Whitepaper Status: fertig
Datei: Compliance_Kampffmeyer_20070926.doc Datum: 20.09.2007 Version: 1.2
Seite 31 von 40
© PROJECT CONSULT Unternehmensberatung GmbH 2007
Information Management Compliance

Elektronische Archivierung und Digital Preservation and


Speichersysteme Storage Systems
“Elektronische Archive sind das Gedächtnis “Electronic Archives are the Memory of the
der Informationsgesellschaft”58) Information Society”58)
Elektronische Archivierung steht für die unver- Digital preservation refers to the unalterable,
änderbare, langzeitige Aufbewahrung elektroni- long-term storage of electronic information.
scher Information. Für die elektronische Archi- As a rule special archiving systems are used
vierung werden in der Regel spezielle Archivsys- for digital preservation. The term digital
teme eingesetzt. Der Begriff Elektronische Ar- preservation encompasses different compo-
chivierung fasst unterschiedliche Komponenten nents, which in common parlance are sepa-
zusammen, die im angloamerikanischen Sprach- rately designated as “records management,”
gebrauch separat als „Records Management“, “storage,” and “preservation.” 59)
„Storage“ und „Preservation“ bezeichnet wer-
den. 59)
Zweck eines elektronischen Archivsystems ist The objective of a digital preservation sys-
es, unabhängig von Quelle, Erzeuger und späte- tem is to keep information secure, regardless
rer Nutzung Information sicher aufzubewahren of source, originator, or subsequent use, and
und datenbankgestützt auf Anforderung wieder make it available with database support
bereit zu stellen. Archivsysteme sind daher upon request. Preservation systems are
Dienste, die allen Anwendungen zur Verfügung therefore services which are available to all
stehen, die Informationen erzeugen, die lang- users who generate information that needs
zeitig unverändert und sicher aufbewahrt to be retained long-term and securely. In
werden müssen. Man unterscheidet in Deutsch- Germany, a distinction is made between
land die Begriffe Langzeitarchivierung und Revi- long-term archiving and auditable archiving:
sionssichere Archivierung:
• Unter elektronischer Langzeitarchivierung • Long-term digital preservation is used to
versteht man Archivsysteme, die Daten und denote archive systems that keep data
Dokumente über einen Zeitraum von min- and documents available for at least ten
destens 10 Jahren verfügbar halten. years.
• Unter revisionssicherer elektronischer Archi- • Auditable digital preservation is used to
vierung versteht man Archivsysteme, die denote archive systems which meet the
nach den Vorgaben von HGB § 239, AO §147 requirements of Commercial Code § 239,
und GoBS Daten und Dokumente sicher, un- Tax Procedure Act §147 and GoBS in
verändert, vollständig, ordnungsgemäß, ver- terms of keeping data and documents se-
lustfrei reproduzierbar und datenbankge- cure, unaltered, complete, orderly, repro-
stützt recherchierbar verwalten. 60) ducible without loss, and searchable with
database support. 60)
Elektronische Archivsysteme stellen für die ge- Digital preservation systems are a secure
speicherten Dokumente, dazugehörige Daten archive for documents, their data, and
und Protokolle der Transaktionen die sichere transaction records, ensuring their auditabil-
Ablage dar, die die Nachvollziehbarkeit, Unver- ity, unalterability, and completeness.
änderbarkeit und Vollständigkeit gewährleistet.

58) 58)
Erki Liikanen, EU-Kommissar, DLM Forum 1999 Erki Liikanen, EU- commissioner, DLM Forum 1999
59) 59)
Verband Organisations- und Informationssysteme e. V. Verband Organisations- und Informationssysteme e. V.
(VOI), Grundsätze der elektronsiche Archivierung, 1997 (VOI), Grundsätze der elektronsiche Archivierung, 1997
60) 60)
Dr. Ulrich Kampffmeyer, PROJECT CONSULT, 1996 Dr. Ulrich Kampffmeyer, PROJECT CONSULT, 1996

Kunde: KoelnMesse Projekt: DMS EXPO 2007 Autor: Dr. Ulrich Kampffmeyer public
Thema: Information Management Compliance Topic: Whitepaper Status: fertig
Datei: Compliance_Kampffmeyer_20070926.doc Datum: 20.09.2007 Version: 1.2
Seite 32 von 40
© PROJECT CONSULT GmbH 2007
Information Management Compliance

Speichertechnologien für die Storage Technologies


elektronische Archivierung for Electronic Archiving
Eine wesentliche Komponente von Archiv- und Systems for the safe storage of data and
Compliance-Lösungen sind die Speichersysteme documents are an essential part of any pres-
zur sicheren Aufbewahrung der Daten und Do- ervation or compliance solution. Storage
kumente. Bei den Speichertechnologien muss systems today consist of administration and
man heute eine Trennung zwischen der Verwal- control software, as well as the actual stor-
tungs- und Ansteuerungssoftware einerseits und age media per se.
den eigentlichen Medien andererseits machen.
Für die unveränderbare Langzeitarchivierung Edit-proof long-term archiving requires stor-
wurden Speichertechnologien geschaffen, die age technologies that allow writing just once.
nur das einmalige Beschreiben erlauben. Dieses These are called WORM (Write Once Read
Verfahren nennt man WORM: „Write Once, Read Many)61). Orginally the term was used only
Many“61). Ursprünglich wurde dieser Begriff nur for digital-optical storage media such as
für digital-optische Speichertechnologien ver- CDs. The physical properties of the media
wendet. Die Speichermedien selbst waren dabei themselves inherently prevent alteration of
durch ihre physikalischen Eigenschaften gegen the data stored on them and have a much
Veränderungen geschützt und boten eine we- longer lifetime that the older magnetic stor-
sentlich höhere Lebensdauer als die bis dahin age media. Today, this category includes the
bekannten magnetischen Medien. In diese Kate- following types of media:
gorie von Speichermedien fallen heute folgende
Typen:
• CD-WORM62): nur einmal selbst beschreibbare • CD-WORM62): Compact discs that allow
Compact Disk Medien recording (writing) just once
• DVD-WORM63): ähnlich wie die CD wird bei der • DVD-WORM63): Like with CDs, the DVD
DVD die Speicheroberfläche irreversibel im surface is irreversibly altered during re-
Medium verändert. cording.
• 5¼“ WORM als UDO64) oder PDD65) • 5¼“ WORM as UDO64) or PDD65)
Bei diesen Medien und Laufwerken handelt es These media and drives are traditional
sich um die traditionelle Technologie, die spe- technologies designed especially for digital
ziell für die elektronische Archivierung entwi- preservation. The discs are protected by a
ckelt wurde. Die Medien befinden sich in einer sleeve and thus less exposed to outside in-
Schutzhülle und sind daher gegen Umweltein- fluences than CDs and DVDs, which were
flüsse besser gesichert, als CD und DVD, die developed for the consumer market.
für den Consumer-Markt entwickelt wurden.
Für die Verwaltung und Nutzung dieser Medien So-called jukeboxes, or automatic disc
sind so genannte Jukeboxen, Plattenwechselau- changers, are normally used to manage
tomaten, gebräuchlich. Diese stellen software- these media. Jukeboxes are driven by soft-
gestützt die benötigten Informationen von Me- ware and provide the desired data on de-
dien bereit. Die Software ermöglicht es in der mand. The software usually also enables
Regel auch, Medien mit zu verwalten, die sich administration of media outside the jukebox
nicht mehr in der Jukebox befinden und auf An- which must be manually accessed when
forderung manuell zugeführt werden müssen. needed.

61) 61)
WORM, Write Once, Read Many WORM, Write Once, Read Many
62) 62)
CD-WORM, Compact Disc - Write Once, Read Many CD-WORM, Compact Disc - Write Once, Read Many
63) 63)
DVD-WORM, DVD - Write Once, Read Many DVD-WORM, DVD - Write Once, Read Many
64) 64)
UDO, Ultra Density Optical, ISO/IEC 17345 UDO, Ultra Density Optical, ISO/IEC 17345
65) 65)
PDD, Professional Disc for Data PDD, Professional Disc for Data

Kunde: KoelnMesse Projekt: DMS EXPO 2007 Autor: Dr. Ulrich Kampffmeyer public
Thema: Information Management Compliance Topic: Whitepaper Status: fertig
Datei: Compliance_Kampffmeyer_20070926.doc Datum: 20.09.2007 Version: 1.2
Seite 33 von 40
© PROJECT CONSULT Unternehmensberatung GmbH 2007
Information Management Compliance

Neben die klassischen Archivspeicher, die auf In addition to the classic digital-optical pres-
rotierenden, digital-optischen Wechselmedien ervation based on removable discs, there are
basieren, treten inzwischen zwei weitere Tech- two further technlogies
nologien:

WORM-HD66): RAID-Festplattensysteme, die •
WORM-HD66): RAID hard drives using
durch spezielle Software die gleichen Eigen- special software to provide the same
schaften wie ein herkömmliches WORM- characteristics as conventional WORM
Medien erreichen. Ein Überschreiben oder media. Encoding during recording and
Ändern der Information auf dem Speicher- special address allocation prevent over-
system wird durch die Kodierung bei der writing or alteration of the data on the
Speicherung und die spezielle Adressierung drive, once it has been recorded.
verhindert.
• WORM-Tape67): Magnetbänder, die durch • WORM-tape67): Magnetic tape, again with
mehrere kombinierte Eigenschaften ebenfalls characteristics that provide the functions
die Anforderungen an ein herkömmliches of conventional WORM media. Special
WORM-Medium erfüllen. Hierzu gehören spe- tape, protected cassettes, and specially
zielle Bandmedien sowie geschützte Kassetten designed drives prevent overwriting and
und besondere Laufwerke, die die Einmal- editing.
beschreibbarkeit sicherstellen.
Besonders für größere Unternehmen und Ver- WORM-HD and WORM-tape are viable alter-
waltungen mit Rechenzentren und als Kompo- natives for large computing centers in par-
nenten in einer Speicherhierarchie stellen Fest- ticular, since they are simple to integrate
platten- oder WORM-Tape-Archive eine Option into the exsting infrastructure.
dar, da sie sich einfach in den laufenden Betrieb
und vorhandene Infrastrukturen integrieren las-
sen.

Generell gilt aber für alle Speichermedien: A few principles apply to all storage tech-
nologies:
• Ein Medium allein und Medien nur einen Typs • One medium alone, or media of just one
sind nie genug type, is never enough.
• Die Sicherheit von Hard- und Software allein • Hard- and software security alone is not
ist nicht ausreichend – der gesamte Betrieb, enough – the entire operation, usage, and
die Nutzung und die Verfahren müssen sicher process must be secure.
sein
• Die regelmäßige Prüfung der Lesbarkeit und • Regular inspection of readability and
Verarbeitungsfähigkeit vermeidet Risiken und processability prevents risks and losses.
Verluste
• Bereits bei der Erstinstallation eines elektro- • Migration should be planned for right
nischen Archives ist die Migration mit einzu- from the initial installation of any digital
planen archive.

66) 66)
WORM-HD, Write Once, Read Many – Hard Disc WORM-HD, Write Once, Read Many – Hard Disc
67) 67)
WORM-Tape, Write Once, Read Many - Tape WORM-Tape, Write Once, Read Many - Tape

Kunde: KoelnMesse Projekt: DMS EXPO 2007 Autor: Dr. Ulrich Kampffmeyer public
Thema: Information Management Compliance Topic: Whitepaper Status: fertig
Datei: Compliance_Kampffmeyer_20070926.doc Datum: 20.09.2007 Version: 1.2
Seite 34 von 40
© PROJECT CONSULT GmbH 2007
Information Management Compliance

10 Compliance-Merksätze 6 10 Compliance Rules


„Wichtigster Grundsatz: Keine Angst vorm “Most important: Don’t be afraid of com-
Thema Compliance!“68) pliance!” 68)
Als Zusammenfassung eine Reihe von Merksätzen In summary, 10 rules for information man-
zur Information Management Compliance69): agement compliance 69):
1. Compliance-Themen gehören auf die Entschei- 1. Compliance is a C-level matter, and ex-
derebene, die die Verantwortung für die Ein- ecutives are responsible for its implemen-
haltung und Umsetzung der Anforderungen tation and execution.
haben
2. Compliance-Anforderungen sind ein Bestand- 2. Compliance requirements must be part of
teil jedweder Corporate Governance Strategie any corporate governance strategy.
3. Unternehmen benötigen eine Richtlinie zum 3. All companies need a guideline for work-
Umgang mit Informationen, eine Information ing with information – an information pol-
Policy, die die Compliance-Anforderungen und icy that includes compliance requirements
die Lösung zur Umsetzung der Anforderungen and solutions for meeting them.
beinhaltet
4. Compliance muss durchgängig im Unterneh- 4. Compliance must be implemented consis-
men implementiert werden, um wirksam zu tently within a company in order to be ef-
sein fectual.
5. Die Erfüllung von Compliance-Anforderungen 5. Fulfillment of compliance requirements is
ist kein einmaliges Projekt, sondern ein konti- not a one-time project, but an ongoing
nuierlicher Prozess process.
6. Die Erfüllung von Compliance-Anforderungen 6. Compliance requirements must be part of
muss regelmäßig nach definierten Verfahren any corporate governance strategy.
überprüft werden
7. Information Management Compliance betrifft 7. Information management compliance af-
nicht nur Software und Systeme, sondern die fects not just software and systems, but
Prozesse im Unternehmen, die Organisation the way those systems are used, as well
und den Umgang mit den Systemen as company processes and organization.
8. Compliance-Anforderungen betreffen nicht nur 8. Compliance requirements affect not just
elektronische Archive, sondern alle System- digital arcives, but all system components
komponenten, in denen aufbewahrungspflich- in which custodyworthy data, information,
tige Daten, Informationen und Dokumente er- and documents are generated, used, and
zeugt, genutzt und verwaltet werden managed.
9. Die Erfüllung von Compliance-Anforderungen 9. Compliance requirements should be met
muss auch für den eigenen Nutzen im Unter- not only for their own sake, but also as a
nehmen genutzt werden, um mehr Transpa- tool to create more transparency and se-
renz und Sicherheit zu schaffen und um das curity within a company, and make it
Unternehmen auf das Informationszeitalter more competitive in an age of informa-
einzustellen. tion.
10. Man darf sich nicht durch den Begriff Compli- 10. Compliance is nothing to be afraid of.
ance verunsichern oder gar verängstigen las- Instead of shying away from it, com-
sen, sondern muss zunächst im Unternehmen panyies should start by examining what
prüfen, welche Regelungen für welchen An- compliance requirements are relevant for
wendungsfall überhaupt relevant sind. what application cases.

68) 68)
Ulrich Kampffmeyer, Vortrag “Compliance“. DMS EXPO 2004 Ulrich Kampffmeyer, Keynote presentation “Complian-
69)Ulrich Kampffmeyer, Compliance. Documentum Whitepaper, ce“. DMS EXPO 2004
2004 69)Ulrich Kampffmeyer, Compliance. Documentum White-
paper, 2004

Kunde: KoelnMesse Projekt: DMS EXPO 2007 Autor: Dr. Ulrich Kampffmeyer public
Thema: Information Management Compliance Topic: Whitepaper Status: fertig
Datei: Compliance_Kampffmeyer_20070926.doc Datum: 20.09.2007 Version: 1.2
Seite 35 von 40
© PROJECT CONSULT Unternehmensberatung GmbH 2007
Information Management Compliance

Ausblick 7 Outlook

„Lösungen für die Unterstützung von “Solutions for supporting compliance, such
Compliance wie E-Mail-Management und as e-mail and records management, are to-
Records Management sind heute die day’s leading market drivers for enterprise
wichtigsten Markttreiber für den Einsatz von content management.” 70)
Enterprise Content Management.“70)
Anbieter von Informations- und Dokumenten- Information and document management
Management-Lösungen wittern, aufgrund der in vendors see the growing compliance re-
nahezu allen Staaten wachsenden Compliance- quirements in almost every country as a
Anforderungen, das große Geschäft. Com- great business opportunity. Most enterprise
pliance-Angebote sind bei den meisten ECM content management vendors offer compli-
Enterprise-Content-Management-Anbietern ance solutions as a key part of their product
mittlerweile fester Bestandteil des Produktange- offerings.
botes.
Compliance-Anforderungen treiben den Compliance is driving the market for
Markt für Dokumenten-Technologien document technologies
Bei Umfang und Zielsetzung der angebotenen Of course there are differences in the scope
Software und Systeme sind aber noch Unter- and goals of the software and systems on
schiede zu finden. Die größeren Anbieter setzen the market. The larger vendors aim for com-
auf eine vollständige Kontrolle und Dokumenta- plete control and documentation of the flow
tion des Informationsflusses und beschränken of information, and do not limit themselves
sich nicht nur auf das Thema Archivierung oder to preservation or records management.
Records Management. Andere Anbieter preisen Other vendors offer dedicated e-mail archiv-
Lösungen für E-Mail-Archivierung an, was für ing solutions which brings the risk for users
Anwender die Gefahr birgt, auf einer Complian- of getting stuck with an isolated compliance
ce-Insellösung sitzen zu bleiben. E-Mails und solution. E-mails and their attachments
ihre Anhänge gehören in einen fachlichen Zu- should not be stored on an island, but in-
sammenhang, in elektronische Kunden-, Pro- stead archived in their subject context, in
dukt- oder Vorgangsakten. E-Mails separat zu virtual client, product, or process folders.
archivieren bringt mittelfristig mehr Probleme Merely archiving e-mails ultimately creates
denn Vorteile. Das Gleiche gilt für steuerrele- more problems than it solves. The same
vante Daten. Sie separat und nur für den Steu- goes for tax-related data. Preserving this
erprüfer aufzubewahren ist unwirtschaftlich. information separately ond only for the audi-
Auch dedizierte Systeme nur für Daten aus dem tor is uneconomical. Likewise, dedicated sys-
ERP oder nur für gescannte Dokumente sind aus tems just for ERP data or scanned docu-
Compliance-Gesichtspunkten nicht empfehlens- ments cannot be recommended from a com-
wert. Alle Informationen gehören unabhängig pliance point of view. All information, regard-
von ihrem Format entsprechend ihrem Inhalt less of format, should be preserved in its
und Rechtscharakter in einen Sachzusammen- context, in a way appropriate to its content
hang. and legal character.

70) 70)
Ulrich Kampffmeyer, „Compliance“. Documentum Whitepa- Ulrich Kampffmeyer, „Compliance“. Documentum
per 2004 Whitepaper 2004

Kunde: KoelnMesse Projekt: DMS EXPO 2007 Autor: Dr. Ulrich Kampffmeyer public
Thema: Information Management Compliance Topic: Whitepaper Status: fertig
Datei: Compliance_Kampffmeyer_20070926.doc Datum: 20.09.2007 Version: 1.2
Seite 36 von 40
© PROJECT CONSULT GmbH 2007
Information Management Compliance

Ein wesentliches Konzept ist daher die Nutzung Therefore, the use of uniform storage sys-
einheitlicher Speichersysteme, die unabhängig tems is a key concept. These systems make
von Format, Quellsystem oder Erzeuger Informa- information searchable and available in the
tionen recherchierfähig und im Kontext allen An- context of all applications, regardless of the
wendungen zur Verfügung stellen. Aber nicht der format, origination system, or source of the
Speicherort und seine Verwaltung mit einem Re- information. Yet the storage location and its
cords-Management-System allein ist die Lösung administration via a records management
für Compliance. Es gilt die Prozesse selbst zu un- system are not compliance solutions in and
terstützen und selbstdokumentierende Systeme of themselves. Processes must be supported,
zu schaffen, die den Anwender entlasten sowie and self-documenting systems created, that
Vollständikeit und Richtigkeit der Aufzeichnungen unburden the user and ensure the complete-
sicherstellen. ness and correctness of recorded data.
Lösungen zur Unterstützung von Compliance- Therefore, solutions that support compliance
Anforderungen sind daher zukünftig eher Infra- will in the future be part of infrastructure,
struktur denn separate Einzelsysteme. rather than separate systems.
Der Markt und das Produktangebot reagieren auf The market and product offerings are react-
diese Anforderung mit der Bereitstellung von ing to this need by providing services for
Diensten für SOA-Architekturen, ECM Enterprise- SOA architectures, ECM suites that cover all
Content-Management-Suiten, die alle Aspekte aspects, and business process management
berücksichtigen, und Business-Process-Manage- components that cover the procedural as-
ment-Komponenten, die die prozessualen Aspekte pects of compliance.
von Compliance abdecken sollen.
Dennoch bleibt bei Information Management But the most important requisite for informa-
Complaince die wichtigste Voraussetzung nicht tion management compliance is to avoid
nur in Systemen denken. Alle Komponenten – thinking only in terms of technology sys-
Richtlinien, Geschäftsprozesse, Aufbauorganisati- tems. All components – guidelines, business
on, Mitarbeiter – müssen zusammenspielen. Ein- processes, organizational structures, em-
zellösungen gibt es bei Compliance nicht. Durch- ployees – must work together. There are no
gängigkeit und Nachhaltigkeit sind entscheidend. single solutions to compliance. Consistency
and follow-through are the decisive factors.
Systeme können Compliance-Prozesse unterstüt- Systems can support, monitor, and docu-
zen, überwachen und dokumentieren. Sie selbst ment compliance processes. But they are
sind jedoch nur ein Baustein in einem größeren just one part of a larger process.
Gesamtprozess.
In dem Maße, wie das Thema Compliance in Wirt- To the extent that compliance gains currency
schaft und Gesellschaft an Raum gewinnt, müs- in business and society, all software systems
sen alle Softwaresysteme eines Unternehmens in an organization must be made compliant.
oder einer Organsiation Compliance-fähig ge- This goes far beyond purpose-designed sys-
macht werden. Dies geht über spezielle Systeme tems like records management or digital
wie Records Management oder elektronische Ar- preservation. The market will respond to this
chivierung weit hinaus. Der Markt wird auf diese changing need, because
sich verändernde Anforderung reagieren, denn
„Ohne Information Management Compliance “The information society cannot function
kann die Informationsgesellschaft nicht without information management
funktionieren.“71) compliance.” 71)
Compliance-Anforderungen sind ein Thema, mit Compliance is something that every com-
dem sich jedes Unternehmen auseinandersetzen pany needs to face, in order to thrive in the
muss, wenn es Bestand im Informationszeitalter information age.
haben will.

71) 71)
Ulrich Kampffmeyer, Marcus Evans Conference „Content Ulrich Kampffmeyer, Marcus Evans Conference „Con-
Management – The driving factor for successful eBusiness”, tent Management – The driving factor for successful
Berlin, 2001 eBusiness”, Berlin, 2001

Kunde: KoelnMesse Projekt: DMS EXPO 2007 Autor: Dr. Ulrich Kampffmeyer public
Thema: Information Management Compliance Topic: Whitepaper Status: fertig
Datei: Compliance_Kampffmeyer_20070926.doc Datum: 20.09.2007 Version: 1.2
Seite 37 von 40
© PROJECT CONSULT Unternehmensberatung GmbH 2007
Information Management Compliance

Literatur
Bibliography
Bundesministerium der Finanzen: Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS). BStBl 1995 I S.
738, 1995 (GoBS)

Bundesministerium der Finanzen: Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU), BGBl. I S.
1542, 2001 (GDPdU)

Bundesministerium der Justiz: Abgabenordnung (AO), §§ 146, 147, 200, BGBl. I S. 3866, ber. 2003 S. 61, 2002 (AO)

Bundesministerium der Justiz: Bürgerliches Gesetzbuch (BGB) §§ 126, 127, BGBl. I S. 42, ber. S. 2909 und BGBl. 2003 S. 738,
2002 (BGB)

Bundesministerium der Justiz: Gesetz über elektronische Handelsregister und Genossenschaftsregister sowie das Unterneh-
mensregister (EHUG), BGBl. 2006 Teil I Nr. 52, 2553 ff., 2007 (Unternehmensregister)

Bundesministerium der Justiz: Gewinnabgrenzungsaufzeichnungsverordnung (GAufzV), BGBl. I S. 2296, 2003 (GAufzV)

Bundesministerium der Justiz: Handelsgesetzbuch (HGB), §§ 239, 257, (Letzte Änderung) BGBl. I S. 1330, 1379,2007 (HGB)

Bundesministerium der Justiz: Zivilprozessordnung (ZPO), §§ 292a, 286, 130, 371, BGBl. I S. 3202, ber. 2006 I S. 431, 2007 I
S. 1781, 2005 (ZPO)

Bundesministerium des Innern: DOMEA-Konzept (Konzept für Dokumenten-Management und elektronische Archivierung in der
öffentlichen Verwaltung), Fassung 2.1, 2005 (DOMEA)

Bundesministerium für Justiz: Bundesgesetz über besondere zivilrechtliche Vorschriften für Unternehmen (Unternehmensge-
setzbuch (UGB)), BGBl. I Nr. 120/2005, 2005 (Handelsrechts-Änderungsgesetz (HaRÄG))

Cornell Law School, Legal Information Institute: Federal Rules of Civil Procedure (FRCP), 2006 (FRCP)

EU-Parlament: Richtlinie 2000/31/EG des Europäischen Parlaments und des Rates vom 8. Juni 2000 über bestimmte rechtliche
Aspekte der Dienste der Informationsgesellschaft, insbesondere des elektronischen Geschäftsverkehrs, im Binnenmarkt
("Richtlinie über den elektronischen Geschäftsverkehr"), 2000 (2000/31/EG)

EU-Parlament und Rat: Richtlinie 1999/93/EG des Europäischen Parlaments und des Rates vom 13. Dezember 1999 über ge-
meinschaftliche Rahmenbedingungen für elektronische Signaturen, 1999 (1999/93/EG)

EU-Parlament und Rat: Richtlinie 2006/43/EG des Europäischen Parlaments und des Rates vom 17. Mai 2006 über Abschluss-
prüfungen von Jahresabschlüssen und konsolidierten Abschlüssen, zur Änderung der Richtlinien 78/660/EWG und
83/349/EWG des Rates und zur Aufhebung der Richtlinie 84/253/EWG des Rates (8. EU-Richtlinie), 2006 (2006/43/EG)

Europäische Kommission: Model Requirements for the Management of Electronic Documents and Records. MoReq Specification.
INSAR Supplement VI, ISBN 92-894-1290-9. 2001

Finra - the Financial Industry Regulatory Authority: NASD 3010 und NASD 3110

handelsblatt.com/wirtschaftswiki: Definition Basel II, 2005 (Basel_II)

ISO: DIN ISO 15489-1 (Information and documentation - Records management - Part 1: General) und DIN ISO
15489-2 (Information and documentation - Records management - Part 2: Guidelines), 2001 (15489-1 und
15489-2)

Kahn, Randolph A.; Blair, Barclay T.: Information Nation - Seven Keys to Information Management Compliance.
AIIM, 2004

Kampffmeyer, Ulrich: IMC Information Management Compliance Policies und ihre Umsetzung. IIR Kongress „IT-Compliance“,
2006

Kampffmeyer, Ulrich: Corporate Governance, PROJECT CONSULT Newsletter 20050817, ISSN 1439-0809, 2005 (20050817)

Kampffmeyer, Ulrich: Dokumenten-Technologien: Wohin geht die Reise?, PROJECT CONSULT, ISBN 3980675645, 2003.

Kampffmeyer, Ulrich: Compliance. Documentum Whitepaper zum Keynote-Vortrag „Regulative Vorgaben beflügeln den Markt
für Dokumenten-Technologien“, DMS EXPO 2004, Essen, PROJECT CONSULT/Advanstar, 2004 (Compliance Whitepaper)

Kampffmeyer, Ulrich; Groß, Stefan und Lamm, Martin: GDPdU: Finanzgerichte weiten das Recht auf Datenzugriff aus,
PROJECT CONSULT Newsletter 20070720, ISSN 1439-0809, 2007

Kunde: KoelnMesse Projekt: DMS EXPO 2007 Autor: Dr. Ulrich Kampffmeyer public
Thema: Information Management Compliance Topic: Whitepaper Status: fertig
Datei: Compliance_Kampffmeyer_20070926.doc Datum: 20.09.2007 Version: 1.2
Seite 38 von 40
© PROJECT CONSULT GmbH 2007
Information Management Compliance

Literatur
Bibliography
Kampffmeyer, Ulrich und Risse, Sarah: Artikel „MoReq Update - Die Model Requirements für elektronisches Records Manage-
ment der Europäischen Kommission werden aktualisiert und erweitert“, 2007 (MoReq-Update)

Kampffmeyer, Ulrich und Rogalla, Jörg: Grundsätze der elektronischen Archivierung. VOI-Kompendium Band 3. Verband Orga-
nisations- und Informationssysteme e. V (VOI), ISBN 3-932898-03-6, 1997

Kampffmeyer, Ulrich; Henstorf, Karl-Georg; Prochnow, Jan et. al.: Grundsätze der Verfahrensdokumentationen nach GoBS.
VOI-Kompendium Band 4, Verband Organisations- und Informationssysteme e. V (VOI), ISBN 3-932898-04-4, 1999

Kampffmeyer, Ulrich; Llewellyn, A.: Are e-documents legal in Europe?. Document World, Vol. 4 No.3, pp.45-8,
1999

Kampffmeyer, Ulrich: GDPdU & Elektronische Archivierung. PROJECT CONSULT Newsletter (Teil 1-4) 20050531, 20050624,
20050720, 20050817, 2005 (GDPdU & Elektronische Archivierung)

National Archives and Records Administration: Code of Federal Regulations (CFR), (CFR)

National Highway Traffic Safety Administration: Transportation Recall Enhancement, Accountability and Docu-
mentation Act (TREAD), 2000 (TREAD)

Österreich: Mediengesetz (MedG). BGBl I Nr. 49/2005 und 151/2005, 2005 (MedG)

PROJECT CONSULT: Recht & Gesetz: Unternehmensgesetzbuch, PROJECT CONSULT Newsletter 20070529, ISSN 1439-0809,
2007 (20070529)

Sarbanes-Oxley Act of 2002 (SOX). Pub. L. No. 107-204, 116 Stat. 745, 2002 (Sarbanes-Oxley Act)

Securities and Exchange Commission: Books and Records Requirements for Brokers and Dealers Under the Se-
curities Exchange Act of 1934, 17 CFR PARTs 240 and 242 [Release No. 34-44992 ; File No. S7-26-98] RIN
3235-AH04, 2003 (SEC: 34-44992)

United States Department of Defense: DoD 5015.2-STD RMA Design Criteria Standard, 2007 (DoD 5015.2-STD)

United States Food and Drug Administration, Office of Regulatory Affairs: Federal Register Part II, 21 CFR Part
11, 2003 (Draft Guidance for Industry on Part 11)

United States Food and Drug Administration: 21CFR210 (Current good manufacturing practice in manufactur-
ing, processing, packing, or holding of drugs; general) und 21CFR211 (Current good manufacturing practice
for finished pharmaceuticals), 2006 (21CFR)

United States Department of Health & Human Services, Office for Civil Rights: Health Insurance Portability and
Accountability Act (HIPAA), Pub. L. 104-191, 110 Stat. 1936, 1996 (HIPAA)

United States Department of Justice: The Uniting and Strengthening America by Providing Appropriate Tools
Required to Intercept and Obstruct Terrorism Act (USA PATRIOT ACT) of 2001. Pub. L. No. 107-56, 115 Stat.
272, 2001 (USA PATRIOT ACT)

United States Sentencing Commission: Federal Sentencing Guidelines (FSG), 2006 (FSG)

Winkler, Maria: Verordnung über die Führung und Aufbewahrung der Geschäftsbücher – GeBüV, Vortrag „Rechtliche Aspekte
der elektronischen Archivierung“ auf dem Datenschutz-Forum, 2005 (Rechtliche Aspekte der elektronischen Archivierung)

Kunde: KoelnMesse Projekt: DMS EXPO 2007 Autor: Dr. Ulrich Kampffmeyer public
Thema: Information Management Compliance Topic: Whitepaper Status: fertig
Datei: Compliance_Kampffmeyer_20070926.doc Datum: 20.09.2007 Version: 1.2
Seite 39 von 40
© PROJECT CONSULT Unternehmensberatung GmbH 2007
Information Management Compliance

Über den Autor About the author

Dr. Ulrich Kampffmeyer,


Jahrgang 1952, ist Gründer und Geschäftsführer der born in 1952, is founder and president of PROJECT
PROJECT CONSULT Unternehmensberatung GmbH, CONSULT Unternehmensberatung Dr. Ulrich
Hamburg, eine der führenden produkt- und herstelle- Kampff¬meyer GmbH, one of the leading inde-
runabhängigen Beratungsgesellschaften für ECM En- pendent management consultancies for ECM En-
terprise Content Management, BPM Business Process terprise Content Management, BPM Business Proc-
Management, Knowledge Management und andere ess Management, Knowledge Management, and
DRT Document Related Technologies. other DRT Document Related Technologies.
Er berät namhafte Kunden aller Branchen im In- und He consults clients of all industries in Europe in
Ausland bei der Konzeption und Einführung von planning, organization, and implementation of
Compliance-, DRT-, ERM- und ECM-Lösungen. compliance, DRT, ERM and ECM solutions.
Als Gründer und langjähriger Vorstandsvorsitzender As founder and chairman of the boards of trade
nationaler und internationaler Branchenverbände associations, he formed the German market for
prägte er wesentlich den deutschen Markt für Doku- document management and is regarded as men-
menten-Management. Er ist einer der Gründer und tor. He is one of the founders and president of the
Geschäftsführer des DLM-Network EEIG. Ulrich DLM network EEIG. Ulrich Kampffmeyer is mem-
Kampffmeyer ist Mitglied in mehreren internationalen ber of several international standarization groups
Standardisierungsgremien im Umfeld des Workflow-, for workflow, document and records management
Dokumenten- und Records-Management.
Dr. Kampffmeyer ist anerkannter Kongressleiter, Refe- Dr. Kampffmeyer is an internationally well-known
rent und Moderator zu Themen wie elektronische Ar- keynote speaker, presenter, and panelist on the
chivierung, Records-Management, Dokumenten- subject of archiving, records management, docu-
Management, Workflow, Rechtsfragen, Business Re- ment management, workflow, code of practices,
Engineering, Wissensmanagement und Projekt- business reengineering, knowledge management,
management. Auf zahlreichen nationalen und interna- and project management. He took part in many
tionalen Kongressen und Konferenzen wirkte er als national and international conferences as keynote
Keynote-Sprecher mit. speaker.
Über PROJECT CONSULT About PROJECT CONSULT
Die PROJECT CONSULT Unternehmensberatung PROJECT CONSULT Unternehmensberatung GmbH,
GmbH mit Sitz in Hamburg wurde am 01.07.1992 ge- located in Hamburg, was founded in july 1992.
gründet.
PROJECT CONSULT hat sich auf die Beratung im Um- PROJECT CONSULT is specialised on all topics of
feld von DRT Document Related Technologies wie ECM DRT Document Related Technologies as enterprise
Enterprise Content Management, Wissensmanage- content management, knowledge management ,
ment, Dokumentenmanagement, elektronische Archi- document management, electronic archiving, re-
vierung, Records Management, ILM Information Life- cords management, information lifecycle man-
cycle Management und angrenzende Bereiche speziali- agement, compliance and others.
siert. Zum Leistungsangebot gehören Strategie, Kon- We offer strategy, planning, selection, test and
zeption, Auswahl, Abnahme und Dokumentation sowie acceptance test, documentation and project man-
das zugehörige Projektmanagement zur Einführung agement for the implementation of information
von komplexen Informationsmanagementsystemen. systems.
PROJECT CONSULT arbeitet branchenübergreifend mit PROJECT CONSULT supports all industries in the
Schwerpunkt im deutschsprachigen Raum. Die Unter- German speaking countries. The consulting com-
nehmensberatung ist ausschließlich für Endanwender pany only serves end users of document technolo-
tätig um eine von Anbietern unbeeinflusste, unabhän- gies. This is to ensure independent and impartial
gige Beratung sicherzustellen. consulting.
PROJECT CONSULT setzt auf das KnowHow langjährig PROJECT CONSULT assigns consultants based on
im ECM-Markt erfahrener Berater. their industry qualifications and special knowledge.
PROJECT CONSULT ist in verschiedenen Standardisie- PROJECT CONSULT is actively involved in several
rungsinitiativen wie z.B. MoReq der Europäischen standardization initiatives as MoReq of the Euro-
Kommission, aktiv tätig. pean Commission.

Kunde: KoelnMesse Projekt: DMS EXPO 2007 Autor: Dr. Ulrich Kampffmeyer public
Thema: Information Management Compliance Topic: Whitepaper Status: fertig
Datei: Compliance_Kampffmeyer_20070926.doc Datum: 20.09.2007 Version: 1.2
Seite 40 von 40
© PROJECT CONSULT GmbH 2007
Information Management Compliance
PROJECT CONSULT
Unternehmensberatung Dr.Ulrich Kampffmeyer GmbH
Breitenfelder Straße 17 • 20251 Hamburg
Tel.: + 49 (040) 460762-20 • Fax: + 49 (040) 460762-29

Das könnte Ihnen auch gefallen