Ausgabe 2014 KW 34 - Compliance und Datensicherheit

IT-Compliance

Reputationsverlust und Sanktionen drohen bei Missachtung

IT-Compliance im Kontext von ECM

Quelle: Shutterstock/IT-Novum

Compliance ist ein omnipräsentes und viel diskutiertes Thema in Vorstandsetagen und Fachabteilungen. Wirklich praxisnah wird das Thema erst, wenn man es in einem konkreten Anwendungskontext betrachtet. Ein naheliegender und daher verlockender Trugschluss ist, dass IT-Compliance aufgrund der Namensgebung ein reines IT-Thema ist und daher durch die zuständige Business Unit eigenständig und zufriedenstellend besetzt werden kann.

Der Artikel erklärt, was IT-Compliance bedeutet, und wie das Thema im Umfeld Enterprise Content Management, also dem Verwalten von Dokumenten und Inhalten, aussieht.

Interdisziplinäres Thema

Quelle: Shutterstock/IT-Novum

Stark vereinfacht lässt sich Compliance als die Erfüllung regulatorischer und vertraglicher Verpflichtungen definieren. Compliance hat (etwas abstrakt formuliert) zum Ziel, die Transparenz und Überprüfbarkeit der unternehmensweiten Geschäftsprozesse zu erhöhen, Risiken zu minimieren und somit zur Beständigkeit des Geschäftsmodells beizutragen. Wenn nun von IT-Compliance die Rede ist, wird, anders als bei der unternehmensweiten Compliance, lediglich die Informationstechnik als Unternehmensbereichbetrachtet.IT-Compliance lässt sich noch weiter anhand der verschiedenen Vorschriften und den dadurch tangierten Informationssystemen untergliedern.

Dass IT-Compliance interdisziplinär gesehen werden muss, erkennt man anhand der nachfolgend genannten Vorschriften schnell. Während einige nationale Gesetze – wie beispielsweise das Bundesdatenschutzgesetz (BDSG), das Telekommunikationsgesetz (TKG)oder das Signaturgesetz (SigG) – zweifelsohne einen starken IT-Fokus haben, erfordert die Einhaltung vieler anderer gesetzlicher Vorschriften ein Höchstmaß an Interdisziplinarität. Wenn „IT-fremde“ Vorschriften – z.B. Regelungen des Handels- und Steuerrechts (HGB/AO) – auf die IT wirken, müssen verschiedene Unternehmensbereiche eng zusammenarbeiten, um ein valides Ergebnis erarbeiten zu können.

Neben den Juristen, den Verantwortlichen der involvierten Business Units und den operativ beauftragten Mitarbeitern macht es dabei häufig Sinn, auch externe Sachverständige mit einzubeziehen. Die Koordination der Zusammenarbeit stellt dabei erfahrungsgemäß bereits eine große Herausforderung dar.

IT-Compliance sicherzustellen ist jedoch keinesfalls optional. Reputationsverlust und mögliche Sanktionen bei Verstößen gegen die Vorschriften können abhängig von der jeweiligen Vorschrift ein ernst zunehmendes betriebswirtschaftliches Risiko darstellen. IT-Compliance muss letzten Endes deshalb nicht nur wegen der oftmals gefürchteten Gesellschafterhaftung aus Sicht der Unternehmensleitung betrachtet werden, sondern auch wegen der strategischen Zielstellungen, die damit verbunden sind. Maßnahmen zur Einhaltung der Vorgaben dienen grundsätzlich der Risikominimierung und beugen durch konformes Verhalten Schaden vor. Die Motivation, in IT-Compliance zu investieren, fußt dagegen meistens auf der Hoffnung, Effizienz- und Effektivitätssteigerungen zu erreichen.

ECM-Kontext

Was das Thema im Umfeld von Enterprise Content Management betrifft, so muss man stets die individuelle Situation im Unternehmen betrachten. Welche Vorschriften zu berücksichtigen sind, ergibt sich aus den verwalteten Informationen sowie den Unternehmensspezifika. Neben den eingangs erwähnten, weitverbreiteten Vorschriften gelten für ein Unternehme häufig auch branchenspezifische Regelwerke.

Banken und Kapitalanlagegesellschaften müssen beispielsweise das Wertpapierhandelsgesetzes WpHG berücksichtigen, für die Unternehmen der Pharma und Lebensmittelbranche können hingegen die „good practices“ der U.S. Food and Drug Administration(FDA) wichtig sein. Je nachdem welche Informationen abgelegt und Geschäftsprozesse abgebildet werden, variiert daher der Grad der Regulierung des entsprechenden Informationssystems.
Anders ausgedrückt: Enterprise Content Management selbst ist nicht reguliert, wohl aber unter Umständen die darin verwalteten Informationen und/oder die abgebildeten Geschäftsprozesse.

Der Erfahrung nach sind die beiden am häufigsten diskutierten Themen der IT-Compliance im vor dem Hintergrund von Enterprise Content Management:

  • die oftmals als Revisionssicherheit zusammengefasste Regelkonformität der Unterlagenaufbewahrung nach Handels- und Steuerrecht (§§ 239, 257 HGB, §§ 146, 147 AO). In diesem Zusammenhang sind insbesondere die Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS), die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) und die Stellungnahmen des Instituts der Wirtschaftsprüfer, insbesondere IDW RS FAIT 3 und IDW PS 880, immer wieder Thema.
  • das E-Mail-Management und seine Konformität nach dem Bundesdatenschutzgesetz (BDSG).

Enterprise Content Management kann grundsätzlich die Einhaltung verschiedener Vorschriften aktiv und sinnvoll unterstützen. Das gilt besonders, weil sich Compliance-Vorgaben sehr gut in der Kombination mit Effizienz- und Effektivitätssteigerungen realisieren lassen. Voraussetzung dafür ist aus meiner Sicht jedoch, dass das Vorhaben ganzheitlich betrachtet wird.

Häufig werden im Zusammenhang mit der angestrebten Rechtssicherheit einzelne Gesichtspunkte in den (technischen) Mittelpunkt gerückt, z.B. der Schutz vor Veränderung, Verfälschung oder Verlust. Das Gesamtverfahren wird während der Konzeption gerne vernachlässigt. Die Folge ist die unzureichende Umsetzung der Vorschriften.

Ein Grund dafür ist sicherlich die Verklausulierung und die mangelnde Konkretisierbarkeit der Gesetzestexte. Ein weiterer nicht zu vernachlässigender Faktor ist meiner Meinung nach die fehlende und nicht zielorientierte Kommunikation der internen und externen Stakeholder. Je nachdem, wer die treibende Kraft hinter der Umsetzung des Vorhabens ist, werden die Schwerpunkte unterschiedlich gesetzt.

Um das Thema Enterprise Content Management „compliant“ zu gestalten, ist es also notwendig, ein ganzheitliches und übergreifendes Konzept zu formulieren und vor allem kontinuierlich zu validieren.

Beispiel Alfresco

Um die vorherigen Punkte etwas mit Leben zu erfüllen, soll  das Thema IT-Compliance im Zusammenhang mit dem ECM-System Alfresco Enterprise betrachtet werden. Während die grundlegende Investitionsentscheidung für Alfresco Enterprise meist auf Basis eines quantifizierbaren Nutzens getroffen wird, sind es vor allem qualitative Faktoren, die über die Mitarbeiterakzeptanz und den generierbaren Mehrwert nach der Umsetzung entscheiden. Im Hinblick auf die IT-Compliance sind es primär die offenen Schnittstellen und die flexible Verwaltung von Inhaltsdefinitionen des Alfresco Repository (dem funktionalen Kern des Systems), die ein Unternehmen kosteneffizient, zeitnah und transparent auf sich ändernde regulatorische Verpflichtungen in seinem Umfeld reagieren lassen.

Das Standardszenario sieht so aus, dass Alfresco Enterprise eingeführt wird, um veraltete Strukturen aufzubrechen, die Zusammenarbeit verschiedenster Mitarbeitergruppen zu optimieren und Informationen unternehmensweit zur Verfügung zu stellen. Neben modellierten Geschäftsprozessen und der Zusammenarbeit außerhalb des Firmennetzwerks (Thema Hybrid-Cloud) spielt auch die meist in Verbindung mit zertifizierter Hardware (z.B. EMC Centerra, EMC VNX oder NetApp SnapLock) zu realisierende revisionssichere Speicherung aufbewahrungspflichtiger und aufbewahrungswürdiger Informationen eine große Rolle. Insbesondere wenn Integrationen ein zentrales Thema bei der Implementierung bilden, müssen oft erfahrungsgemäß verschiedene Compliance-Themen näher betrachtet werden.

Unternehmen profitieren in den meisten Szenarien nicht nur durch Einsparungen gegenüber der analogen Informationshaltung, sondern vor allem durch die neu gewonnene Flexibilität, was den Zugriff auf und die Verwaltung der Informationen betrifft. Viele übersehen an dieser Stelle aber gerne, dass die unveränderbare Speicherung der Informationen nicht das einzige Kriterium der meisten Vorschriften ist. Die revisionssichere Speicherung (Handels- und Steuerrecht) erfordert beispielsweise auch die Sicherung des Gesamtverfahrens sowie eine Verfahrensdokumentation (vgl. GoBS). Was genau das Gesamtverfahren umfasst, ist dabei wiederum abhängig von der konkreten Situation.

Dabei ist immer wieder die Rede von der „konkreten“ und der „individuellen“ Situation. Das Bundesministerium der Finanzen (BMF) bezieht deshalb in Zusammenhang mit den GDPdU sogar Stellung und schreibt„[...] die Vielzahl und unterschiedliche Ausgestaltung und Kombination selbst markt¬gängiger Buchhaltungs- und Archivierungssysteme lassen keine allgemein gültigen Aussagen der Finanzverwaltung zur Konformität der verwendeten oder geplanten Hard- und Software zu. „Zertifikate“ Dritter entfalten gegenüber der Finanzverwaltung keine Bindungswirkung.“

Wenn nun also immer die individuelle Situation des betroffenen Unternehmens betrachtet werden muss, sollte meiner Meinung nach der erste Schritt sein, die relevanten Vorschriften zu identifizieren. Das sollte in Zusammenarbeit mit den entsprechenden Fachabteilungen erfolgen. Das heißt, bevor beispielsweise Unterlagen des Rechnungswesens verarbeitet und/oder abgelegt werden, sollte man in Rücksprache mit der entsprechenden Fachabteilung eine Beurteilung des Sachverhalts vornehmen. Oftmals haben die Fachverantwortlichen bereits einen guten Überblick über die regulativen Vorgaben.

Erst nachdem ein Gesamtüberblick vorhanden ist, kann man ein Konzept erarbeiten. Das ist eine Binsenweisheit, wird aber gerne übersehen. Das Konzept sollte die anzuwendenden Vorschriften detailliert beschreiben und sie hinsichtlich ihrer technischen Konsequenzen beurteilen. Darüber hinaus gilt es aber beispielsweise auch, die Erfassung der Informationen zu berücksichtigen. Nicht nur die Speicherung ist Teil der Revisionssicherheit, auch die Erfassung (z.B. das Einscannen, sowie die damit verbundene Frage ob eine inhaltliche oder bildliche Übereinstimmung erforderlich ist) muss unter Umständen im Rahmen des Gesamtverfahrens abgesichert und berücksichtigt werden.

Ein Gesamtüberblick ist wichtig, da unter anderem Normenhierarchien berücksichtigt werden müssen. Gibt es mehrere Vorschriften, sollte der restriktiveren der Vorzug gegeben werden. Ein Beispiel: Eine Unterlage ist entsprechend des Handelsrechts für 6 Jahre aufzubewahren. Die Unterlage ist zugleich steuerrelevant und gemäß Steuerrecht für 10 Jahre aufzubewahren. Die Aufbewahrungsdauer der Unterlage erstreckt sich entgegen dem Handelsrecht somit über 10 Jahre.

Wurde das Konzept erstellt und durch die jeweils involvierten Fachabteilungen freigegeben, so gilt es eine Maßnahmenplanung vorzunehmen. Die zentrale Frage lautet dabei: Welche Schritte sind aus Sicht der IT vorzunehmen, um den Vorschriften Genüge zu tun und welche Auswirkungen haben die Vorschriften auf den Gesamtprozess? Neben der Bildung eines Projektteams ist es wichtig, die Umsetzung der Vorschriften als Prozess zu verstehen. Einmal abgeleitete Maßnahmen müssen unter Umständen kontinuierlich überarbeitet werden. In Hinblick auf die GoBS/GDPdU wurde inzwischen beispielsweise ein erster Entwurf der Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD) seitens des BMF veröffentlicht. Dieser wird seitens des IDW aktuell kritisiert, da die Neuregelung nach Meinung des IDW zulasten der Steuerpflichtigen geht. Es bleibt also abzuwarten, welchen Einfluss die Wirtschaftsvertreter an dieser Stelle auf den Entwurf des BMF ausüben können und welche Konsequenzen der Neuregelung gegenüberstehen.

Brian Kurbjuhn

ECM Consultant bei der it-novum GmbH