You are on page 1of 88

Records Management & Datenschutz

Dr. Ulrich Kampffmeyer
9. Datenschutzkongress 2008
Berlin, 7. Mai 2008
PROJECT

CONSULT

Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH

© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Agenda

Einführung: Compliance, Records Management und
Archivierung
Sicherung bei Speicherung und Zugriff
Funktionalität von Records Management, elektronischer
Archivierung und ILM Information Lifecycle Management
Organisatorische und technische Anforderungen an die
sichere Speicherung von Informationen
Zukunft: Sicherheit und Zugriffskontrolle in der
Langzeitarchivierung

© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Einführung:
Compliance, Records Management und
Archivierung

© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Compliance

© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Übereinstimmung mit und Erfüllung von
rechtlichen und regulativen Vorgaben.

5
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Compliance: Definition (1)
„Übereinstimmung“
 Voraussetzung sind nachlesbare, definierte, offizielle Vorgaben, die
die Regeln enthalten, was zu tun ist.
 Dazu ist „Übereinstimmung“ gefordert, ohne dass die Regeln
meistens eine technische Vorgabe enthalten, wie die Anforderung
umzusetzen ist.
 Das ist sinnvoll, da sich solche Vorgaben nicht an einer Technologie
festmachen sollten, die in ein paar Jahren schon wieder obsolet ist.
 „Übereinstimmung“ ist statisch bezogen auf die Vorgabe.

6
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Compliance: Definition (2)
„Erfüllung“
 Erfüllung der Anforderungen in der Lösung, dies muss ein Prozess
sein, keine einmalige Aktion.
 Das Unternehmen oder die Organisation muss kontinuierlich für die
Einhaltung der Vorgaben Sorge tragen.
 „Erfüllung“ geht meistens über eine rein technische Lösung hinaus
und beinhaltet auch organisatorische und Management-Aspekte.
 Es ist ein dynamischer, ständig laufender, kontrollierter Prozess.

7
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Compliance
Unterschiede:

Direkte Auswirkungen
• HGB
• AO / GDPdU / GOBS
• Verrechnungspreisdokumentation

Indirekte Auswirkungen
• Basel II (für „Nicht-Banken“)
• BDSG

8
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Grundsätzliche Kriterien für Compliance
• Authentizität

• Reproduzierbarkeit

• Vollständigkeit

• Unverändertheit

• Nachvollziehbarkeit

• Richtigkeit

• Zugriffssicherheit

• Prüfbarkeit

• Geordnetheit

• Portabilität

• Integrität

• Vertrauenswürdigkeit

• Auffindbarkeit

9
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Langzeitarchivierung: Definition
• Ist nicht nur die Erfüllung gesetzlicher Vorgaben über eine
bestimmte Zeitspanne
• „Langzeit“ bedeutet für die Bestandserhaltung digitaler Ressourcen
die Entwicklung von Strategien, die den ständigen Wandel im
Informationsmarkt bewältigen können
• „Archivierung“ ist im allgemeinen Sprachgebrauch mit der
fortschreitenden Anwendung der Informationstechnik seines Sinnes
nahezu entleert worden
• „Archivierung“ impliziert die Erhaltung der dauerhaften Verfügbarkeit
digitaler Ressourcen

10
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Langzeitarchivierung
• „Langzeit“ bedeutet für die Bestandserhaltung digitaler Ressourcen
die Entwicklung von Strategien, die den ständigen Wandel im
Informationsmarkt bewältigen können
• „Archivierung“ ist im allgemeinen Sprachgebrauch mit der
fortschreitenden Anwendung der Informa-tionstechnik seines Sinnes
nahezu entleert worden
• Ist nicht nur die Erfüllung gesetzlicher Vorgaben über eine
bestimmte Zeitspanne
• „Archivierung“ impliziert die Erhaltung der dauerhaften Verfügbarkeit
digitaler Ressourcen

11
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Records Management

© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Was ist ein Record? (1)
• Unter einem Record wird ein beliebiger Content-Typ verstanden, der
sich auf die Geschäftstätigkeit oder die Transaktion eines
Unternehmens bezieht.
• Die physikalische Form oder andere Merkmale spielen dabei keine
Rolle.
• Beispiele sind E-Mails, Verträge, Geschäftsvereinbarungen,
Kontoübersichten, Berichte sowie Video- und Audiodateien.

13
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Was ist ein Record? (2)
• Information created, received, and maintained as evidence and
information by an organisation or person, in pursuance of legal
obligations or in the transaction of business.
(ISO 15489 Part 1)
• Information, die erzeugt, empfangen und bewahrt wird, um als
Nachweis einer Organisation oder Person bei rechtlichen
Verpflichtungen oder zum Nachvollzug einer geschäftlichen
Handlung zu dienen.

14
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Was ist Records Management? (1)
• Field of management responsible for the efficient and systematic
control of the creation, receipt, maintenance, use and disposition of
records, including processes for capturing and maintaining evidence
of and information about business activities and transactions in the
form of records.
(ISO 15489 Part 1)
• Als Führungsaufgabe wahrzunehmende effiziente und
systematische Kontrolle und Durchführung der Erstellung,
Entgegennahme, Aufbewahrung, Nutzung und Aussonderung von
Schriftgut, einschließlich der Vorgänge zur Erfassung und
Aufbewahrung von Nachweisen und Informationen über
Geschäftsabläufe und Transaktionen in Form von Akten.
15
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Was ist Records Management? (2)
• Records Management oder Electronic Records Management (ERM)
bezieht sich auf die Strukturierungs-, Verwaltungs- und
Organisationskomponente zur Handhabung von Aufzeichnungen.
• ERM ist nicht mit elektronischer Archivierung deutscher Prägung
gleichzusetzen, obwohl viele Ansätze sich hier wiederfinden.
• ERM ist auch eine wichtige Komponente von ECM.
Der Begriff findet inzwischen auch weitere Verbreitung in
Deutschland und wird durch zahlreiche internationale Standards
gestützt.

16
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Was ist Records Management? (3)
• Abbildung von Aktenplänen und anderen strukturierten
Verzeichnissen zur geordneten Ablage von Informationen
• Thesaurus- oder kontrollierter Wortschatz-gestützte eindeutige
Indizierung von Informationen
• Verwaltung von Aufbewahrungsfristen (Retention Schedules) und
Vernichtungsfristen (Deletion Schedules)
• Schutz von Informationen entsprechend ihren Eigenschaften, z.T. bis
auf einzelnen Inhaltskomponenten in Dokumenten
• Nutzung international, branchenspezifisch oder zumindest
unternehmensweit standardisierter Meta-Daten zur eindeutigen
Identifizierung und Beschreibung der gespeicherten Informationen

17
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Was ist Records Management? (4)
• Records Management ist unabhängig vom Medium
• Verwaltung von physischen Records (z.B. Papierdokumenten)
• elektronisches Records Management (Verwaltung von digitalen
Objekten)

18
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Records Management: international normiert (1)
Internationale Standards:
• Committee of Best Practices and Standards (CBPS):
International Standard for Describing
Functions (ICA-ISDF)
• Vereinte Nationen:

ARMS Standard on Recordkeeping
Metadata

• Europäische Union:

MoReq

• ISO 15489:

Records Management

19
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Records Management: international normiert (2)
Nationale Standards:

Deutschland:

DOMEA

•Niederlande:

ReMANO

Australien:

VERS

•Norwegen:

NOARK

England:

TNA

•Österreich:

ELAK

Frankreich:

AFNOR

•Schweiz:

GEVER

Italien:

Protocollo

•USA:

DoD 5015

Luxemburg:

SEL GED

20
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Records Management: international normiert (3)
Meta-Standards (1):
• AIIM:

Integrated EDM/ERM Functional
Requirements

• Australian RKMS:

Recordkeeping Metadata Schema

• DCMI:

The Dublin Core Metadata Initiative

• DIRKS:
• e-GMS UK:

Designing and Implementing Recordkeeping
Systems (Australia)
e-Government Metadata Standard

• FEA Federal Enterprise Architecture:
DRM Data Reference Model 2.0
• ISO 23081, Teil 1:

Records Management Prozesse, Metadaten
für Records

© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

21

Records Management: international normiert (4)
Meta-Standards (2):
• ISO 2788, ISO 5964: Thesaurus
• LMER:

Langzeitarchivierungsmetadaten für elektronische Ressourcen. Nestor Projekt, 2007

• MARC:

Machine-Readable Cataloging

• METS:

Metadata Encoding & Transmission Standard

• MoReq2 Model:

Model Requirements for the Management of
Electronic Records

• US DoD:

Dept. of Defense 5015.2-STD: Standard für
Electronisches-Records-Management

• The National Archives (UK) Functional Requirements for ERM:
Metadata Standard
22
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

ERM bezogene Standards
DOD 5015.2
ISO 15801, 12654

GUID

ISO 12033

XML
Metadata:
DC, ISAAR, ISOs 23081,
639, 2788, 5964, 8601

PDF/A

ISO 18492, OAIS
RFC 2821, 2822,
TIFF, JPEG
ISO 216

ISO 12037

X.509, XKMS
PDF/A

RECORDS

Moreq2,
ISO15489
ISO 12142

ISO 15801, 12654

DOD 5015.2

23
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Elektronische Archivierung

© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Archiv
• Unter einem Archiv (v. lat.: archivum, aus griech.: archeion
Regierungs-, Amtsgebäude) versteht man üblicherweise eine meist
auf Dauer angelegte Sammlung von Unterlagen oder Informationen.
• Elektronische Archive erlauben datenbankgestützt den Zugriff auf
langzeitig, unveränderbar archivierte elektronische Informationen.
Elektronische Archive sind keine Datensicherungs- oder BackupSysteme.

25
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Elektronische Archivierung
• Grundsätzlich dient die elektronische Archivierung
zur langfristigen, sicheren, authentischen und unverfälschbaren
elektronischen Speicherung von Daten, Informationen, Dokumenten
und Content.
• Unter „elektronischer Langzeitarchivierung“ versteht man die
Bereitstellung von Daten und Dokumenten über einen Zeitraum von
mindestens 10 Jahren. Dies entspricht der Aufbewahrungsfrist von
Handelsbriefen.
• Unter „revisionssicherer elektronischer Archivierung“ versteht man
Archivsysteme, die nach den Vorgaben von §§ 239, 257 HGB, §§
146, 147 AO und GoBS beliebige Informationen sicher, unverändert,
vollständig, ordnungsgemäß, verlustfrei reproduzierbar und
datenbankgestützt recherchierbar verwalten.
26
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Elektronische Archivierung: Begriffe
Langzeitarchivierung
• Unter „elektronische Langzeitarchivierung“ versteht man die
Bereitstellung von Daten und Dokumenten über einen Zeitraum von
mindestens 10 Jahren.

Revisionssichere Archivierung
• Unter „revisionssicherer Archivierung“ versteht man Archivsysteme,
die nach den Vorgaben der Allgemeinen Abgabenordnung (HGB AO)
und der GoBS Daten und Dokumente sicher, unverändert,
vollständig, ordnungsgemäß, verlustfrei reproduzierbar und
datenbankgestützt recherchierbar verwalten.

27
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Archivierung
Archivierung ist normiert:
• ISO 17799: Information Security
• ISO 14721: OAIS Open Archive Information System
• ISO/TR 18492: Long-term preservation of electronic
documentbased information
• ISO/CD TR 26102: Information and documentation Requirements for long-term preservation of
electronic records
• Vertrauenswürdige Archive

28
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Sicherung bei Speicherung
und Zugriff

© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Sicherheit: Definition (1)
• Sicherheit bezeichnet einen Zustand, der frei von
unvertretbaren Risiken der Beeinträchtigung ist oder als
gefahrenfrei angesehen wird.
• Sicherheit ist sowohl auf ein einzelnes Individuum als auch auf
andere Lebewesen, auf unbelebte reale Objekte oder Systeme
wie auch auf abstrakte Gegenstände (z. B. eine Kapitalanlage
oder Information) bezogen.

30
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Sicherheit: Definition (2)
Für Informationssysteme sind verschiedene Ausprägungen von
Sicherheit zu unterscheiden:







Informationssicherheit
Systemsicherheit
Speichersicherheit
Zugangssicherheit
Investitionssicherheit
Revisionssicherheit
Migrationssicherheit
usw.

31
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Revisionssicherheit: Kriterien
Folgende Kriterien gelten für die Revisionssicherheit von
Archivsystemen:









Ordnungsmäßigkeit
Vollständigkeit
Sicherheit des Gesamtverfahrens
Schutz vor Veränderung und Verfälschung
Sicherung vor Verlust
Nutzung nur durch Berechtigte
Einhaltung der Aufbewahrungsfristen
Dokumentation des Verfahrens
Nachvollziehbarkeit
Prüfbarkeit

© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

32

Systemsicherheit und Records Management (1)
Die Sicherheit von Systemen bezieht sich im Rahmen von RMLösungen im Wesentlichen auf:





Stabilität und störungsfreier Betrieb
Hohe Verfügbarkeit und geringstmögliche Ausfallzeiten
Informationssicherheit und keine Datenverluste
Transaktionssicherheit und keine nicht behebbaren Abbrüche
Sichere Restart- und Recovery-Verfahren
Nachvollziehbarkeit von Änderungen am und im System

33
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Systemsicherheit und Records Management (2)
Die Sicherheit von Systemen bezieht sich im Rahmen von RMLösungen im Wesentlichen auf:
• Robustheit gegen versehentliche oder intentionelle
Beeinträchtigungen und herbeigeführte Fehlersituationen
• Migrationssicherheit für Komponenten, Software, Strukturen,
Metadaten, Kontext und Informationsobjekte
• Kryptografisch encodierte Übermittlung von Informationen über
externe Leitungen
• Firewall und Intrusion Detection zur Absicherung der Systeme
• Kontrollierte Redundanz denn ein Speicherort und ein
Speichermedium sind nie genug

34
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Zugangssicherheit und Records Management
Die Zugangssicherheit bezieht sich auf:


Räumlichkeiten mit Zugangskontrolle und nachvollziehbarem Zugang
Rechner am Arbeitsplatz oder unterwegs
Software auf dem Rechner, gesichert durch Benutzerkennung, Passwort
und gegebenenfalls weitere Schutzmechanismen wie Erkennung
biometrischer Merkmale oder Verschlüsse
Anwendungssysteme mit separatem Login oder Single-Login mit
rollenbasierter Berechtigung zur Nutzung von Funktionalität und Daten
mittels der Anwendung
Speicher-, Ablage- und Archivsysteme mit kontrolliertem, protokollierten
Zugriff auf gespeicherte Daten und Informationsobjekte einschließlich
Ausblenden von nicht zulässigen Suchergebnissen, Strukturen und
Informationsobjekten sowie Kontrolle der Bearbeitung mit Versionierung,
Historisierung, Checkout und anderen Mechanismen
35

© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Sicherheit und Risiko
• Absolute Sicherheit gibt es nicht! Auch nicht bei doppelt und
dreifach ausgelegten Rechenzentren, Rechnern, Leitungen,
Anschlüssen usw.!
• Vermeintlich absolute Sicherheit ist nicht bezahlbar!
• Der Umfang von Sicherheit und die durch Einschränkung von
Sicherheitsvorkehrungen entstehenden Risiken müssen
individuell für jedes Unternehmen und jedes System definiert
werden.
• Der Aufwand für Sicherheit muss sich am Wert der
gespeicherten Information und des durch die Anwendung
generierten Nutzens orientieren.

36
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Datenschutz

© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Schutz: Definition
• Schutz ist eine Maßnahme, um eine Sache oder Person vor
der Wirkung einer Gefahr zu bewahren.
• Im Informationsmanagement hat Schutz zusätzliche und
andere Ausprägungen, da sich der Schutz auch auf
immaterielle Güter wie Daten und Informationen bezieht.
• Datenschutz ist eine spezielle Ausprägung von Schutz, der
sich auf persönliche wie auch betriebliche Schutzbelange
bezieht.

38
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Problem der unterschiedlichen Zielrichtungen
des Datenschutzes
Datenschutz von




persönlichen und privaten Daten
betrieblicher Geheimnisse und betrieblichen Wissens
Kundeninformationen aus der geschäftlichen Tätigkeit
Information verbundener Dritter und Partner
Interessenteninformationen aus der Akquisitionstätigkeit

Abwägung konkurrierender Interessen?

39
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Persönlicher Datenschutz



Datenschutz bezeichnet den Schutz personenbezogener Daten vor
Missbrauch.
Der Zweck des Datenschutzes besteht darin, den Einzelnen davor zu
schützen, dass er durch den Umgang mit seinen personen-bezogenen
Daten in seinem Recht auf informationelle Selbstbestimmung beeinträchtigt
wird.
Der Datenschutz ist in Bundes- und Ländergesetzgebungen geregelt.
Schützenswerte Informationen über (Personendaten) oder von Mitarbeitern
(persönliche Daten) dürfen nicht gespeichert werden oder müssen nach
definierten Kriterien nach einer zulässigen Speicherung vernichtet werden.
Datenschutz betrifft alle Formen der Speicherung und des Zugriffs von
personenbezogenen und persönlichen Daten.
Datenschutz betrifft alle Formen von Informationen, Nachrichten und
Dokumenten aus allen Anwendungen und Kommunikationseinrichtungen
im Unternehmen.
40

© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Betrieblicher Datenschutz
• Der betriebliche Datenschutz soll das Wissen einer Organisation vor
Verlust, Missbrauch, Diebstahl, Verfälschung und Zerstörung
schützen.
• Betrieblicher Datenschutz dient zur Sicherung des geistigen
Eigentums des Unternehmens und seiner Mitarbeiter. Er sichert die
Werte und die Wettbewerbsfähigkeit des Unternehmens.
• Betrieblicher und persönlicher Datenschutz müssen gegeneinander
abgewogen werden. Das Unternehmen hat ein Anrecht zur
Sicherung seiner Schutzinteressen Informationen über die Nutzung
und Weitergabe von betrieblich wichtigen oder geheimen Unterlagen
zu erheben.
• Der betriebliche Datenschutz wird auch durch ComplianceAnforderungen gefordert.
41
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Schutz persönlicher Daten & Archivierung:
ein Widerspruch

42
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Datensicherheit und Datenschutz
Hardwarekomponenten

organisatorische
organisatorische
Planungen
Planungen

SoftwareSoftwarekomponenten
komponenten

BenutzerBenutzerprofile
profile

Migration
Migration

datenschutzdatenschutzrechtliche
rechtliche
Vorschriften
Vorschriften
43

© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Funktionalität von
Records Management,
elektronischer Archivierung und
ILM Information Lifecycle Management

© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

MoReq2
• Model Requirements for the Management of Electronic
Records
• wurde am 13. Februar 2008 von der Europäischen
Kommission veröffentlicht
• eine evolutionäre Weiterentwicklung von MoReq
• verbessert und erweitert MoReq
• aktualisiert MoReq in Bezug auf neue Technologien und
Regularien
• modularisiert MoReq
• ergänzt MoReq um Testkriterien und ein
Zertifizierungsverfahren für Softwareprodukte unter der
Federführung des DLM-Forums
45
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

ERM Funktionen nach MoReq

RECORDS

46
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Funktionen rund um Records Management
Funktion

RM Archiv COLD

DMS Akte

WFL

Archivierung

X

X

(X)

Importfunktion Aufzeichnungen

X

X

Aufbereitung, Aktenorganisation

X

(X)

Bearbeitung, Änderung

X

Retention-Verwaltung

X

(X)

Vernichtung

X

X

Protokollierung

X

X

Vollständigkeitskontrolle

X

X

Eskalation / Qualitätssicherung

X

X

X

X
(X)

X

X

X

(X)

X
X

X

X

(X)

X

47
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Archivierung

© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Anforderungen an die elektronische
Archivierung (1)
• programmgestützter, direkter Zugriff auf einzelne Informationsobjekte, landläufig auch Dokumente genannt, oder Informationskollektionen, z. B. Listen, Container mit mehreren Objekten etc.
• datenbankgestützte Verwaltung der Informationsobjekte auf Basis
von Metadaten und gegebenenfalls Volltexterschließung der Inhalte
der archivierten Informationsobjekte
• Unterstützung verschiedener Indizierungs- und Recherchestrategien, um auf die gesuchte Information direkt zugreifen zu
können
• Einheitliche und gemeinsame Speicherung beliebiger Informationsobjekte, vom gescannten Faksimile über Dokumentenformat-Dateien
und E-Mails bis hin zu komplexen XML-Strukturen, Listen, COLDDokumenten oder ganzen Datenbankinhalten
49
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Anforderungen an die elektronische
Archivierung (2)
• Verwaltung von Speichersystemen mit nur einmal beschreibbaren
Medien einschließlich des Zugriffs auf Medien die sich nicht mehr im
Speichersystem direkt befinden
• Sicherstellung der Verfügbarkeit der gespeicherten Informationen
über einen längeren Zeitraum, der Jahrzehnte betragen kann
• Bereitstellung von Informationsobjekten unabhängig von der sie
ursprünglich erzeugenden Anwendung auf verschiedenen Klienten
und mit Übergabe an andere Programme
• Unterstützung von „Klassen-Konzepten“ zur Vereinfachung der
Erfassung durch Vererbung von Merkmalen und Strukturierung der
Informationsbasis

50
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Anforderungen an die elektronische
Archivierung (3)
• Konverter zur Erzeugung von langfristig stabilen Archivformaten und
Betrachter (engl. Viewer) zur Anzeige von Informationsobjekten, für
die die ursprünglich erzeugende Anwendung nicht mehr zur
Verfügung steht
• Absicherung der gespeicherten Informationsobjekte gegen
unberechtigten Zugriff und gegen Veränderbarkeit der gespeicherten
Information
• Übergreifende Verwaltung unterschiedlicher Speichersysteme, um
z. B. durch Zwischenspeicher (Caches) schnellen Zugriff und zügige
Bereitstellung der Informationen zu gewährleisten
• Standardisierte Schnittstellen, um elektronische Archive als Dienste
in beliebige Anwendungen integrieren zu können
51
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Anforderungen an die elektronische
Archivierung (4)
• Eigenständige Wiederherstellungsfunktionalität (Recovery), um
inkonsistent gewordene oder gestörte Systeme aus sich heraus
verlustfrei wieder aufbauen zu können
• Sichere Protokollierung von allen Veränderungen an Strukturen und
Informationsobjekten, die die Konsistenz und Wiederauffindbarkeit
gefährden können und dokumentieren, wie die Informationen im
Archivsystem verarbeitet wurden
• Unterstützung von Standards für die spezielle Aufzeichnung von
Informationen auf Speichern mit WORM-Verfahren, für gespeicherte
Dokumente und für die Informationsobjekte beschreibende
Metadaten um eine langfristige Verfügbarkeit und die
Migrationssicherheit zu gewährleisten
• Unterstützung von automatisierten, nachvollziehbaren und
verlustfreien Migrationsverfahren
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

52

Digital Preservation

entspricht dem deutschen Begriff der „elektronischen
Archivierung“, wobei unter Preservation der Langzeit-Aspekt
und die Unveränderbarkeit betont wird.

53
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

ILM Information Lifecycle
Management

© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

ILM-Definition der SNIA 2005
• Information Lifecycle Management is compromised of the
policies, processes, practices and tools used to align the
business value of information with the most appropriate and
cost effective IT infrastructure from the time information is
conceived through its final disposition.
• Information is aligned with business processes through
management processes and service levels associated with
applications, metadata, information and data.
(SNIA 2005)

55
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

ILM-Definition der SNIA
Information Lifecycle Management sind Strategien, Methoden
und Anwendungen, um Information automatisiert entsprechend
ihrem Wert und ihrer Nutzung optimal auf dem jeweils
kostengünstigsten Speichermedium bereitzustellen, zu
erschließen und langfristig sicher aufzubewahren.

56
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Information Lifecycle Management
• A strategy to align IT infrastructure with the business
based upon the changing value of information.
Zugriff auf die
Information
Wert der
Information
Wirtschaftlichkeit der
Speicher-Infrastruktur

Zeit

57
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Ziele von ILM
Management des gesamten Lebenszyklus von Informationen:




Erstellung
Verteilung
Veränderung
Archivierung
Löschung

Hohe Verfügbarkeit für Anwendungen und Daten unter
Berücksichtigung wirtschaftlicher Aspekte:
• Optimierte Backup- und Recovery Verfahren (auch bei steigendem
Datenvolumen)
• Daten- und Informations-Archivierung
58
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

ILM ist nicht …
• … ein Produkt oder eine Produktklasse
• … eine Alternative zur elektronischen Archivierung von
Dokumenten
• … die vollständige Archivierung des E-Mail-Verkehrs

59
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Information Management und
Content Management
• Ressourcen, die sich sowohl der Infrastruktur als auch der
Anwendungen bewusst sind
Für alle Arten von Daten
Strukturiert

Unstrukturiert

Datenbanken/
Dateisysteme

Messaging

Enterprise Content
Management

Unterstützt
Business
Anwendungen,
z.B. ERP, CRM,
etc.

Mail, Voice

Dokumente
Webseiten, Sound,
Video, Bilder, Reports

Quelle : EMC

60
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Information Lifecycle Management
Architektur
ERP

Office

Filesystem

CRM

ECM

DB

PDM

...

Anwendungen

Dokumente, Data, Metadata, Media Assets, Files, Records...

ILM Logic
Migration

Metadaten

Verteilung

Logik
Protokollierung

Monitoring

ILM Virtualizing
Recovery

Allocation

Vernetzung

Backup

ILM Storage
Sekundär
online

Harddisk

Nearline
sekundär

Harddisk

Nearline
sekundär

Jukebox

Sicherung
Nearline

Tape

Remote

Verwaltung

Disposal
Archiv
Fixed
Content
Harddisk

Archiv
Tape
Worm
Tape

Archiv
Optical
Disk

SpeicherEbene

Jukebox

61
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Organisatorische und technische
Anforderungen an die sichere
Speicherung von Informationen

© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Aktuelle und zum Teil
widersprüchliche Anforderungen
an die Archivierung

© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Informationsfreiheitsgesetz - IFG
Das IFG ist am 1. Januar 2006 in Kraft getreten.
Ursprung: Empfehlung Nr. 854 des Europarates von 1979
Ziele:

gewährt Bürgerinnen und Bürgern einen grundsätzlich freien Zugang zu
Informationen, die bei öffentlichen Verwaltungen vorhanden sind

Inhalte:

Das IFG soll das Bürgerrecht auf informelle Selbstbestimmung fördern,

das Recht auf Informationszugang voraussetzungslos gewähren und

Transparenz, Nachvollziehbarkeit und Kontrolle staatlichen Handelns
gewährleisten.
(Quelle:
http://www.duesseldorf.de/datenschutz/informationsfreigesetz/faq.shtml)

64
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

8. EU-Richtlinie
Neufassung der Abschlussprüferrichtlinie
Umsetzung in nationale Gesetzgebung bis Juni 2008
Ziele:

Erhöhung der Glaubwürdigkeit der Finanzdaten

besserer Schutz der EU gegen Finanzskandale

Stärkung und Harmonisierung der Funktion der Abschlussprüfungen in
den Mitgliedsstaaten

Inhalte:

Zulassung, Unabhängigkeit und Pflichten der Abschlussprüfer

Zu beachtende Prüfungsgrundsätze

Verpflichtung zu einer externen Qualitätskontrolle

Unabhängige Berufsaufsicht

Sondervorschriften für Unternehmen im öffentlichen Interesse

© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

65

EU-Richtlinie zum Datenschutz in
Telekommunikationsnetzen (ISDN-Richtlinie)
Nachdem bereits 1990 ein erster Entwurf vorgelegt wurde, ist im Dezember
1997 die EU-Richtlinie verabschiedet worden.
Ziel:

Schaffung eines gemeinschaftsweit gleichwertigen Schutzes der
Grundrechte hinsichtlich personenbezogener TK-Daten

gilt auch für das interaktive Fernsehen und Video auf Abruf

Inhalt:

Richtlinie soll die in Vorbereitung befindliche allgemeine EUDatenschutzrichtlinie ergänzen

Reaktion auf die rapide zunehmende Digitalisierung der öffentlichen
Telekommunikationsnetze in der Europäischen Union

Mitgliedstaaten müssen die Vertraulichkeit der Telekommunikation
gewährleisten
(Quelle: http://www.datenschutz.mvnet.de/dschutz/taetberi/tb3/3_310.html)

© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

66

Handelsgesetzbuch - HGB
In Ableitung der HGB-Vorschriften gelten folgende Kriterien für die
Revisionssicherheit:








Ordnungsmäßigkeit
Vollständigkeit
Sicherheit des Gesamtverfahrens
Schutz vor Veränderung und Verfälschung
Sicherung vor Verlust
Nutzung nur durch Berechtigte
Einhaltung der Aufbewahrungsfristen
Dokumentation des Verfahrens
Nachvollziehbarkeit

Prüfbarkeit
67

© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

GDPdU
Was heißt GDPdU?
„Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler
Unterlagen“
• Umfeld
• Buchhaltungsdaten
• Sonstige steuerrechtlich relevante Informationen und Dokumente

• Gültigkeit
• Brief vom BMF 16.07.2001
• Umzusetzen ab 01.01.2002

• Herkunft
• Steuerreform (StSenkG)
• HGB AO

© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

68

Verschärfung der GDPdU
Bestätigung der Urteile des FG Düsseldorf zur
Ausweitung der GDPdU
•Ausweitung des Zugriffsrechts der Finanzbehörde auf Konten der
handelsrechtlichen Buchhaltung, auf denen steuerlich nicht
abzugsfähige Betriebsausgaben verbucht sind
•Eingescannte Belege, deren Original vernichtet wurde, müssen
digital vorgehalten werden; Organisation der Datenbestände mit
Trennung geschützter Daten, die nicht dem Einsichtnahme-recht
unterliegen, ist Aufgabe des Steuerpflichtigen

69
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Europäische Dienstleistungsrichtlinie
Umsetzung in nationales Recht bis Ende 2009
Ziele:

Beseitigung bürokratischer Hindernisse

Erleichterung des Handels mit grenzüberschreitenden
Dienstleistungen

Vollendung des Binnenmarkts für Dienstleistungen

Inhalte (Auswahl):

Vereinfachung der Antrags-Verfahren und einheitliche
Ansprechpartner

Dienstleister können alle Unterlagen, Anträge, etc. auch
elektronisch einreichen

Aufbau eines Informations- und Kommunikationssystems für
die europaweite Verwaltungszusammenarbeit

Konsequenz: Digitalisierung der öffentlichen Verwaltung
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

70

Strategie vor Organisation vor Technik
Strategie vor Organisation,
Organisation und Mensch vor Technik
Grundsatz (1)
Projekte scheitern weniger wegen technischer Probleme sondern
durch:
• mangelnde Planung
• mangelndes Know-how
• Unterschätzung der organisatorischen Aufwände
• Mangelnde Bereitschaft der Umstellung von Prozessen
• fehlende Akzeptanzschaffung

71
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Strategie vor Organisation vor Technik
Strategie vor Organisation,
Organisation und Mensch vor Technik
Grundsatz (2)
Bei der Einführung einer Dokumenten-Technologie-Lösung sind:
• 10 % Technik
• 90 % Organisation

72
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Durchgängigkeit




Alle Prozesse sind betroffen, nicht nur Systeme.
Es finden sich viele Inseln und wenig Durchgängigkeit.
Eine „Anfang-zu-Ende“-Dokumentation ist erforderlich.
Der Mensch ist das größte Problem um „compliant“ zu sein.
Automatische Prozesse in Systemen können unterstützen,
jedoch nicht ersetzen.

73
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Verfahrensdokumentation nach GoBS
• Eine Verfahrensdokumentation ist für alle elektronischen
Archivsysteme, in denen Daten und Dokumente, die unter das HGB
(und die GDPdU) fallen, Pflicht -> Grundsätzlich empfohlen für alle
ILM-Umsetzungen!
• Die Erstellung und Fortschreibung der Verfahrensdokumentation
liegt in der Verantwortung des Betreibers, im Sinne der GDPdU ist
dies jedoch das steuerpflichtige Unternehmen
• Die Verfahrensdokumentation muss vollständig, nachvollziehbar und
prüfbar sein.

74
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Vertrauenswürdige Archive

© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Vertrauenswürdige Archive (1)
Umfeld:
• Wissenschaftliche Erkenntnisse, historische Dokumente und
kulturelle Leistungen liegen immer häufiger nur noch in digitaler
Form vor.
• Probleme, die bei der Langzeitarchivierung elektronischer
Informationen auftreten nehmen eine immer stärkere Bedeutung an.
• Neben dem physischen Verfall der Medien ist die schnelle
Weiterentwicklung der Technik zum interpretieren der gespeicherten
Informationen, und damit einhergehend das schnelle veralten von
eingesetzter Technik, eine ernsthafte Bedrohung für den
Informationserhalt.

76
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Vertrauenswürdige Archive (2)
Umsetzung:
• Organisationen, die sich mit der Archivierung von Informationen
beschäftigen, müssen die Authentizität, Integrität, Vertraulichkeit und
Verfügbarkeit digitaler Information sicherstellen und
Vertrauenswürdigkeit nicht nur erlangen, sondern auch nach Außen
darstellen können.
• Die nestor-Arbeitsgruppe „Vertrauenswürdige Archive Zertifizierung“ hat Kriterien zur Bewertung der Vertrauenswürdigkeit
eines digitalen Langzeitarchivs in organisatorischer und technischer
Sicht identifiziert und in einem Kriterienkatalog festgehalten.
• Die funktionalen Entitäten und das Informationsmodell der OAIS
Open Archival Information System (ISO 17421) wird so oft es geht
als Grundlage zur Strukturierung des Kriterienkataloges genutzt, um
eine gemeinsame Begriffsbasis zu erhalten.
77
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Zukunft:
Sicherheit und Zugriffskontrolle in der
Langzeitarchivierung

© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Skandale (1)
Verlorene Daten in England – jüngster Fall:
Das Verteidigungsministerium teilte am 18.01.2008 mit, dass der
Laptop eines Offiziers mit persönlichen Angaben von bis zu 600.000
Rekruten und Bewerbern der Streitkräfte gestohlen worden sei.
Die gespeicherten Daten reichten in einigen Fällen von Ausweis- und
Führerschein-Details über Versicherungsnummern bis hin zu Angaben
zur Familie sowie Name und Adresse von Ärzten der betroffenen
Personen.
(Quelle: http://futurezone.orf.at/it/stories/250665/)

79
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Skandale (2)
Datenverlust in Deutschland:
• allein von 2005 bis 2007 sind in den Bundesbehörden 189
Computer, 326 Laptops, 38 Speicher-Sticks und 271 Handys mit
teilweise sensiblen Daten abhanden gekommen

Beispiele:
• beim Bundesamt für Zivildienst ist ein Notebook gestohlen worden,
auf dem komplette Datensätze mit persönlichen Daten gespeichert
waren
• dem Verteidigungsministerium sind geheime Datenträger mit
Informationen der Geheimhaltungsstufe "Verschlusssache
-Vertraulich" und höher abhanden gekommen
80
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Skandale (3)
Urteil gegen die Deutsche Bank:
• Die Deutsche Bank muss 87,5 Millionen Dollar Strafe zahlen,
da sie große Teile der von der Börsenaufsicht angeforderten EMail-Korrespondenz der Mitarbeiter nicht finden konnte.

81
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Skandale (4)
Siemens Korruptionsaffäre – mangelnde Transparenz

Der größte deutsche Technologiekonzern steht vor einem Scherbenhaufen:
Gleich drei Korruptionsaffären erschüttern das Traditionsunternehmen.
Laut einem Bericht der „WirtschaftsWoche“ halten inzwischen
Aufsichtsratsmitglieder eine Strafe in Höhe von bis zu 4 Milliarden Euro
nicht mehr für ausgeschlossen
Auch der Ex-Chef ist nun in den Fokus der Staatsanwaltschaft geraten. Der
ehemalige Vorstandsvorsitzende Heinrich von Pierer steht im Verdacht,
Bestechungsversuche persönlich in Auftrag gegeben zu haben. Pierer soll
im Zusammenhang mit einem Großauftrag in Argentinien fragwürdige
Zahlungen in Millionenhöhe angeordnet haben. Pierer bestreitet dies
vehement.

Quellen:
http://www.br-online.de/aktuell/siemens-korruption-bildergalerie-ID1209038237273.xml
http://www.zeit.de/themen/wirtschaft/unternehmen/korruption/siemens
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

82

Archivierung als
gesellschaftliche Herausforderung

© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

„Elektronische Archive sind das Gedächtnis der
Informationsgesellschaft.“
(Erkki Likaanen, EU-Kommissar, 1999)

84
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

„Das Gedächtnis der Informationsgesellschaft ist
ungeordnet, überfrachtet und zeigt erste
Ausfallerscheinungen.
Einerseits werden wir von der „Information Flood“
überrollt, andererseits tut sich aber ein immer größer
werdendes „Information Gap“ nicht mehr verfügbarer
oder auswertbarer elektronischer Information auf.“

85
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

„Zukünftige Archäologen werden vielleicht die
Frühzeit der EDV einmal als das ‚Dunkle Zeitalter der
frühen Informationskultur‘ bezeichnen.“

86
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Fazit

Archivierung, Records Management und Information
Lifecycle Management sind essentielle Bausteine jeder
Datensicherheit- und Datenschutzstrategie.

87
© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Vielen Dank für Ihre Aufmerksamkeit !
Dr. Ulrich Kampffmeyer
E-Mail: Ulrich.Kampffmeyer@PROJECT-CONSULT.com
Dokumentation des Vortrages, Newsletter, weitere Informationen zum Thema ...
www.PROJECT-CONSULT.com

© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008