Vous êtes sur la page 1sur 88

Records Management & Datenschutz

Dr. Ulrich Kampffmeyer


9. Datenschutzkongress 2008
Berlin, 7. Mai 2008
PROJECT

CONSULT

Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH

PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Agenda

Einfhrung: Compliance, Records Management und


Archivierung
Sicherung bei Speicherung und Zugriff
Funktionalitt von Records Management, elektronischer
Archivierung und ILM Information Lifecycle Management
Organisatorische und technische Anforderungen an die
sichere Speicherung von Informationen
Zukunft: Sicherheit und Zugriffskontrolle in der
Langzeitarchivierung

PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Einfhrung:
Compliance, Records Management und
Archivierung

PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Compliance

PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

bereinstimmung mit und Erfllung von


rechtlichen und regulativen Vorgaben.

5
PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Compliance: Definition (1)


bereinstimmung
Voraussetzung sind nachlesbare, definierte, offizielle Vorgaben, die
die Regeln enthalten, was zu tun ist.
Dazu ist bereinstimmung gefordert, ohne dass die Regeln
meistens eine technische Vorgabe enthalten, wie die Anforderung
umzusetzen ist.
Das ist sinnvoll, da sich solche Vorgaben nicht an einer Technologie
festmachen sollten, die in ein paar Jahren schon wieder obsolet ist.
bereinstimmung ist statisch bezogen auf die Vorgabe.

6
PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Compliance: Definition (2)


Erfllung
Erfllung der Anforderungen in der Lsung, dies muss ein Prozess
sein, keine einmalige Aktion.
Das Unternehmen oder die Organisation muss kontinuierlich fr die
Einhaltung der Vorgaben Sorge tragen.
Erfllung geht meistens ber eine rein technische Lsung hinaus
und beinhaltet auch organisatorische und Management-Aspekte.
Es ist ein dynamischer, stndig laufender, kontrollierter Prozess.

7
PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Compliance
Unterschiede:

Direkte Auswirkungen
HGB
AO / GDPdU / GOBS
Verrechnungspreisdokumentation

Indirekte Auswirkungen
Basel II (fr Nicht-Banken)
BDSG

8
PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Grundstzliche Kriterien fr Compliance


Authentizitt

Reproduzierbarkeit

Vollstndigkeit

Unverndertheit

Nachvollziehbarkeit

Richtigkeit

Zugriffssicherheit

Prfbarkeit

Geordnetheit

Portabilitt

Integritt

Vertrauenswrdigkeit

Auffindbarkeit

9
PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Langzeitarchivierung: Definition
Ist nicht nur die Erfllung gesetzlicher Vorgaben ber eine
bestimmte Zeitspanne
Langzeit bedeutet fr die Bestandserhaltung digitaler Ressourcen
die Entwicklung von Strategien, die den stndigen Wandel im
Informationsmarkt bewltigen knnen
Archivierung ist im allgemeinen Sprachgebrauch mit der
fortschreitenden Anwendung der Informationstechnik seines Sinnes
nahezu entleert worden
Archivierung impliziert die Erhaltung der dauerhaften Verfgbarkeit
digitaler Ressourcen

10
PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Langzeitarchivierung
Langzeit bedeutet fr die Bestandserhaltung digitaler Ressourcen
die Entwicklung von Strategien, die den stndigen Wandel im
Informationsmarkt bewltigen knnen
Archivierung ist im allgemeinen Sprachgebrauch mit der
fortschreitenden Anwendung der Informa-tionstechnik seines Sinnes
nahezu entleert worden
Ist nicht nur die Erfllung gesetzlicher Vorgaben ber eine
bestimmte Zeitspanne
Archivierung impliziert die Erhaltung der dauerhaften Verfgbarkeit
digitaler Ressourcen

11
PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Records Management

PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Was ist ein Record? (1)


Unter einem Record wird ein beliebiger Content-Typ verstanden, der
sich auf die Geschftsttigkeit oder die Transaktion eines
Unternehmens bezieht.
Die physikalische Form oder andere Merkmale spielen dabei keine
Rolle.
Beispiele sind E-Mails, Vertrge, Geschftsvereinbarungen,
Kontobersichten, Berichte sowie Video- und Audiodateien.

13
PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Was ist ein Record? (2)


Information created, received, and maintained as evidence and
information by an organisation or person, in pursuance of legal
obligations or in the transaction of business.
(ISO 15489 Part 1)
Information, die erzeugt, empfangen und bewahrt wird, um als
Nachweis einer Organisation oder Person bei rechtlichen
Verpflichtungen oder zum Nachvollzug einer geschftlichen
Handlung zu dienen.

14
PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Was ist Records Management? (1)


Field of management responsible for the efficient and systematic
control of the creation, receipt, maintenance, use and disposition of
records, including processes for capturing and maintaining evidence
of and information about business activities and transactions in the
form of records.
(ISO 15489 Part 1)
Als Fhrungsaufgabe wahrzunehmende effiziente und
systematische Kontrolle und Durchfhrung der Erstellung,
Entgegennahme, Aufbewahrung, Nutzung und Aussonderung von
Schriftgut, einschlielich der Vorgnge zur Erfassung und
Aufbewahrung von Nachweisen und Informationen ber
Geschftsablufe und Transaktionen in Form von Akten.
15
PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Was ist Records Management? (2)


Records Management oder Electronic Records Management (ERM)
bezieht sich auf die Strukturierungs-, Verwaltungs- und
Organisationskomponente zur Handhabung von Aufzeichnungen.
ERM ist nicht mit elektronischer Archivierung deutscher Prgung
gleichzusetzen, obwohl viele Anstze sich hier wiederfinden.
ERM ist auch eine wichtige Komponente von ECM.
Der Begriff findet inzwischen auch weitere Verbreitung in
Deutschland und wird durch zahlreiche internationale Standards
gesttzt.

16
PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Was ist Records Management? (3)


Abbildung von Aktenplnen und anderen strukturierten
Verzeichnissen zur geordneten Ablage von Informationen
Thesaurus- oder kontrollierter Wortschatz-gesttzte eindeutige
Indizierung von Informationen
Verwaltung von Aufbewahrungsfristen (Retention Schedules) und
Vernichtungsfristen (Deletion Schedules)
Schutz von Informationen entsprechend ihren Eigenschaften, z.T. bis
auf einzelnen Inhaltskomponenten in Dokumenten
Nutzung international, branchenspezifisch oder zumindest
unternehmensweit standardisierter Meta-Daten zur eindeutigen
Identifizierung und Beschreibung der gespeicherten Informationen

17
PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Was ist Records Management? (4)


Records Management ist unabhngig vom Medium
Verwaltung von physischen Records (z.B. Papierdokumenten)
elektronisches Records Management (Verwaltung von digitalen
Objekten)

18
PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Records Management: international normiert (1)


Internationale Standards:
Committee of Best Practices and Standards (CBPS):
International Standard for Describing
Functions (ICA-ISDF)
Vereinte Nationen:

ARMS Standard on Recordkeeping


Metadata

Europische Union:

MoReq

ISO 15489:

Records Management

19
PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Records Management: international normiert (2)


Nationale Standards:

Deutschland:

DOMEA

Niederlande:

ReMANO

Australien:

VERS

Norwegen:

NOARK

England:

TNA

sterreich:

ELAK

Frankreich:

AFNOR

Schweiz:

GEVER

Italien:

Protocollo

USA:

DoD 5015

Luxemburg:

SEL GED

20
PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Records Management: international normiert (3)


Meta-Standards (1):
AIIM:

Integrated EDM/ERM Functional


Requirements

Australian RKMS:

Recordkeeping Metadata Schema

DCMI:

The Dublin Core Metadata Initiative

DIRKS:
e-GMS UK:

Designing and Implementing Recordkeeping


Systems (Australia)
e-Government Metadata Standard

FEA Federal Enterprise Architecture:


DRM Data Reference Model 2.0
ISO 23081, Teil 1:

Records Management Prozesse, Metadaten


fr Records

PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

21

Records Management: international normiert (4)


Meta-Standards (2):
ISO 2788, ISO 5964: Thesaurus
LMER:

Langzeitarchivierungsmetadaten fr elektronische Ressourcen. Nestor Projekt, 2007

MARC:

Machine-Readable Cataloging

METS:

Metadata Encoding & Transmission Standard

MoReq2 Model:

Model Requirements for the Management of


Electronic Records

US DoD:

Dept. of Defense 5015.2-STD: Standard fr


Electronisches-Records-Management

The National Archives (UK) Functional Requirements for ERM:


Metadata Standard
22
PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

ERM bezogene Standards


DOD 5015.2
ISO 15801, 12654

GUID

ISO 12033

XML
Metadata:
DC, ISAAR, ISOs 23081,
639, 2788, 5964, 8601

PDF/A

ISO 18492, OAIS


RFC 2821, 2822,
TIFF, JPEG
ISO 216

ISO 12037

X.509, XKMS
PDF/A

RECORDS

Moreq2,
ISO15489
ISO 12142

ISO 15801, 12654

DOD 5015.2

23
PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Elektronische Archivierung

PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Archiv
Unter einem Archiv (v. lat.: archivum, aus griech.: archeion
Regierungs-, Amtsgebude) versteht man blicherweise eine meist
auf Dauer angelegte Sammlung von Unterlagen oder Informationen.
Elektronische Archive erlauben datenbankgesttzt den Zugriff auf
langzeitig, unvernderbar archivierte elektronische Informationen.
Elektronische Archive sind keine Datensicherungs- oder BackupSysteme.

25
PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Elektronische Archivierung
Grundstzlich dient die elektronische Archivierung
zur langfristigen, sicheren, authentischen und unverflschbaren
elektronischen Speicherung von Daten, Informationen, Dokumenten
und Content.
Unter elektronischer Langzeitarchivierung versteht man die
Bereitstellung von Daten und Dokumenten ber einen Zeitraum von
mindestens 10 Jahren. Dies entspricht der Aufbewahrungsfrist von
Handelsbriefen.
Unter revisionssicherer elektronischer Archivierung versteht man
Archivsysteme, die nach den Vorgaben von 239, 257 HGB,
146, 147 AO und GoBS beliebige Informationen sicher, unverndert,
vollstndig, ordnungsgem, verlustfrei reproduzierbar und
datenbankgesttzt recherchierbar verwalten.
26
PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Elektronische Archivierung: Begriffe


Langzeitarchivierung
Unter elektronische Langzeitarchivierung versteht man die
Bereitstellung von Daten und Dokumenten ber einen Zeitraum von
mindestens 10 Jahren.

Revisionssichere Archivierung
Unter revisionssicherer Archivierung versteht man Archivsysteme,
die nach den Vorgaben der Allgemeinen Abgabenordnung (HGB AO)
und der GoBS Daten und Dokumente sicher, unverndert,
vollstndig, ordnungsgem, verlustfrei reproduzierbar und
datenbankgesttzt recherchierbar verwalten.

27
PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Archivierung
Archivierung ist normiert:
ISO 17799: Information Security
ISO 14721: OAIS Open Archive Information System
ISO/TR 18492: Long-term preservation of electronic
documentbased information
ISO/CD TR 26102: Information and documentation Requirements for long-term preservation of
electronic records
Vertrauenswrdige Archive

28
PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Sicherung bei Speicherung


und Zugriff

PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Sicherheit: Definition (1)


Sicherheit bezeichnet einen Zustand, der frei von
unvertretbaren Risiken der Beeintrchtigung ist oder als
gefahrenfrei angesehen wird.
Sicherheit ist sowohl auf ein einzelnes Individuum als auch auf
andere Lebewesen, auf unbelebte reale Objekte oder Systeme
wie auch auf abstrakte Gegenstnde (z. B. eine Kapitalanlage
oder Information) bezogen.

30
PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Sicherheit: Definition (2)


Fr Informationssysteme sind verschiedene Ausprgungen von
Sicherheit zu unterscheiden:

Informationssicherheit
Systemsicherheit
Speichersicherheit
Zugangssicherheit
Investitionssicherheit
Revisionssicherheit
Migrationssicherheit
usw.

31
PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Revisionssicherheit: Kriterien
Folgende Kriterien gelten fr die Revisionssicherheit von
Archivsystemen:

Ordnungsmigkeit
Vollstndigkeit
Sicherheit des Gesamtverfahrens
Schutz vor Vernderung und Verflschung
Sicherung vor Verlust
Nutzung nur durch Berechtigte
Einhaltung der Aufbewahrungsfristen
Dokumentation des Verfahrens
Nachvollziehbarkeit
Prfbarkeit

PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

32

Systemsicherheit und Records Management (1)


Die Sicherheit von Systemen bezieht sich im Rahmen von RMLsungen im Wesentlichen auf:

Stabilitt und strungsfreier Betrieb


Hohe Verfgbarkeit und geringstmgliche Ausfallzeiten
Informationssicherheit und keine Datenverluste
Transaktionssicherheit und keine nicht behebbaren Abbrche
Sichere Restart- und Recovery-Verfahren
Nachvollziehbarkeit von nderungen am und im System

33
PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Systemsicherheit und Records Management (2)


Die Sicherheit von Systemen bezieht sich im Rahmen von RMLsungen im Wesentlichen auf:
Robustheit gegen versehentliche oder intentionelle
Beeintrchtigungen und herbeigefhrte Fehlersituationen
Migrationssicherheit fr Komponenten, Software, Strukturen,
Metadaten, Kontext und Informationsobjekte
Kryptografisch encodierte bermittlung von Informationen ber
externe Leitungen
Firewall und Intrusion Detection zur Absicherung der Systeme
Kontrollierte Redundanz denn ein Speicherort und ein
Speichermedium sind nie genug

34
PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Zugangssicherheit und Records Management


Die Zugangssicherheit bezieht sich auf:

Rumlichkeiten mit Zugangskontrolle und nachvollziehbarem Zugang


Rechner am Arbeitsplatz oder unterwegs
Software auf dem Rechner, gesichert durch Benutzerkennung, Passwort
und gegebenenfalls weitere Schutzmechanismen wie Erkennung
biometrischer Merkmale oder Verschlsse
Anwendungssysteme mit separatem Login oder Single-Login mit
rollenbasierter Berechtigung zur Nutzung von Funktionalitt und Daten
mittels der Anwendung
Speicher-, Ablage- und Archivsysteme mit kontrolliertem, protokollierten
Zugriff auf gespeicherte Daten und Informationsobjekte einschlielich
Ausblenden von nicht zulssigen Suchergebnissen, Strukturen und
Informationsobjekten sowie Kontrolle der Bearbeitung mit Versionierung,
Historisierung, Checkout und anderen Mechanismen
35

PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Sicherheit und Risiko


Absolute Sicherheit gibt es nicht! Auch nicht bei doppelt und
dreifach ausgelegten Rechenzentren, Rechnern, Leitungen,
Anschlssen usw.!
Vermeintlich absolute Sicherheit ist nicht bezahlbar!
Der Umfang von Sicherheit und die durch Einschrnkung von
Sicherheitsvorkehrungen entstehenden Risiken mssen
individuell fr jedes Unternehmen und jedes System definiert
werden.
Der Aufwand fr Sicherheit muss sich am Wert der
gespeicherten Information und des durch die Anwendung
generierten Nutzens orientieren.

36
PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Datenschutz

PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Schutz: Definition
Schutz ist eine Manahme, um eine Sache oder Person vor
der Wirkung einer Gefahr zu bewahren.
Im Informationsmanagement hat Schutz zustzliche und
andere Ausprgungen, da sich der Schutz auch auf
immaterielle Gter wie Daten und Informationen bezieht.
Datenschutz ist eine spezielle Ausprgung von Schutz, der
sich auf persnliche wie auch betriebliche Schutzbelange
bezieht.

38
PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Problem der unterschiedlichen Zielrichtungen


des Datenschutzes
Datenschutz von

persnlichen und privaten Daten


betrieblicher Geheimnisse und betrieblichen Wissens
Kundeninformationen aus der geschftlichen Ttigkeit
Information verbundener Dritter und Partner
Interessenteninformationen aus der Akquisitionsttigkeit

Abwgung konkurrierender Interessen?

39
PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Persnlicher Datenschutz

Datenschutz bezeichnet den Schutz personenbezogener Daten vor


Missbrauch.
Der Zweck des Datenschutzes besteht darin, den Einzelnen davor zu
schtzen, dass er durch den Umgang mit seinen personen-bezogenen
Daten in seinem Recht auf informationelle Selbstbestimmung beeintrchtigt
wird.
Der Datenschutz ist in Bundes- und Lndergesetzgebungen geregelt.
Schtzenswerte Informationen ber (Personendaten) oder von Mitarbeitern
(persnliche Daten) drfen nicht gespeichert werden oder mssen nach
definierten Kriterien nach einer zulssigen Speicherung vernichtet werden.
Datenschutz betrifft alle Formen der Speicherung und des Zugriffs von
personenbezogenen und persnlichen Daten.
Datenschutz betrifft alle Formen von Informationen, Nachrichten und
Dokumenten aus allen Anwendungen und Kommunikationseinrichtungen
im Unternehmen.
40

PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Betrieblicher Datenschutz
Der betriebliche Datenschutz soll das Wissen einer Organisation vor
Verlust, Missbrauch, Diebstahl, Verflschung und Zerstrung
schtzen.
Betrieblicher Datenschutz dient zur Sicherung des geistigen
Eigentums des Unternehmens und seiner Mitarbeiter. Er sichert die
Werte und die Wettbewerbsfhigkeit des Unternehmens.
Betrieblicher und persnlicher Datenschutz mssen gegeneinander
abgewogen werden. Das Unternehmen hat ein Anrecht zur
Sicherung seiner Schutzinteressen Informationen ber die Nutzung
und Weitergabe von betrieblich wichtigen oder geheimen Unterlagen
zu erheben.
Der betriebliche Datenschutz wird auch durch ComplianceAnforderungen gefordert.
41
PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Schutz persnlicher Daten & Archivierung:


ein Widerspruch

42
PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Datensicherheit und Datenschutz


Hardwarekomponenten

organisatorische
organisatorische
Planungen
Planungen

SoftwareSoftwarekomponenten
komponenten

BenutzerBenutzerprofile
profile

Migration
Migration

datenschutzdatenschutzrechtliche
rechtliche
Vorschriften
Vorschriften
43

PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Funktionalitt von
Records Management,
elektronischer Archivierung und
ILM Information Lifecycle Management

PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

MoReq2
Model Requirements for the Management of Electronic
Records
wurde am 13. Februar 2008 von der Europischen
Kommission verffentlicht
eine evolutionre Weiterentwicklung von MoReq
verbessert und erweitert MoReq
aktualisiert MoReq in Bezug auf neue Technologien und
Regularien
modularisiert MoReq
ergnzt MoReq um Testkriterien und ein
Zertifizierungsverfahren fr Softwareprodukte unter der
Federfhrung des DLM-Forums
45
PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

ERM Funktionen nach MoReq

RECORDS

46
PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Funktionen rund um Records Management


Funktion

RM Archiv COLD

DMS Akte

WFL

Archivierung

(X)

Importfunktion Aufzeichnungen

Aufbereitung, Aktenorganisation

(X)

Bearbeitung, nderung

Retention-Verwaltung

(X)

Vernichtung

Protokollierung

Vollstndigkeitskontrolle

Eskalation / Qualittssicherung

X
(X)

(X)

X
X

(X)

47
PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Archivierung

PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Anforderungen an die elektronische


Archivierung (1)
programmgesttzter, direkter Zugriff auf einzelne Informationsobjekte, landlufig auch Dokumente genannt, oder Informationskollektionen, z. B. Listen, Container mit mehreren Objekten etc.
datenbankgesttzte Verwaltung der Informationsobjekte auf Basis
von Metadaten und gegebenenfalls Volltexterschlieung der Inhalte
der archivierten Informationsobjekte
Untersttzung verschiedener Indizierungs- und Recherchestrategien, um auf die gesuchte Information direkt zugreifen zu
knnen
Einheitliche und gemeinsame Speicherung beliebiger Informationsobjekte, vom gescannten Faksimile ber Dokumentenformat-Dateien
und E-Mails bis hin zu komplexen XML-Strukturen, Listen, COLDDokumenten oder ganzen Datenbankinhalten
49
PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Anforderungen an die elektronische


Archivierung (2)
Verwaltung von Speichersystemen mit nur einmal beschreibbaren
Medien einschlielich des Zugriffs auf Medien die sich nicht mehr im
Speichersystem direkt befinden
Sicherstellung der Verfgbarkeit der gespeicherten Informationen
ber einen lngeren Zeitraum, der Jahrzehnte betragen kann
Bereitstellung von Informationsobjekten unabhngig von der sie
ursprnglich erzeugenden Anwendung auf verschiedenen Klienten
und mit bergabe an andere Programme
Untersttzung von Klassen-Konzepten zur Vereinfachung der
Erfassung durch Vererbung von Merkmalen und Strukturierung der
Informationsbasis

50
PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Anforderungen an die elektronische


Archivierung (3)
Konverter zur Erzeugung von langfristig stabilen Archivformaten und
Betrachter (engl. Viewer) zur Anzeige von Informationsobjekten, fr
die die ursprnglich erzeugende Anwendung nicht mehr zur
Verfgung steht
Absicherung der gespeicherten Informationsobjekte gegen
unberechtigten Zugriff und gegen Vernderbarkeit der gespeicherten
Information
bergreifende Verwaltung unterschiedlicher Speichersysteme, um
z. B. durch Zwischenspeicher (Caches) schnellen Zugriff und zgige
Bereitstellung der Informationen zu gewhrleisten
Standardisierte Schnittstellen, um elektronische Archive als Dienste
in beliebige Anwendungen integrieren zu knnen
51
PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Anforderungen an die elektronische


Archivierung (4)
Eigenstndige Wiederherstellungsfunktionalitt (Recovery), um
inkonsistent gewordene oder gestrte Systeme aus sich heraus
verlustfrei wieder aufbauen zu knnen
Sichere Protokollierung von allen Vernderungen an Strukturen und
Informationsobjekten, die die Konsistenz und Wiederauffindbarkeit
gefhrden knnen und dokumentieren, wie die Informationen im
Archivsystem verarbeitet wurden
Untersttzung von Standards fr die spezielle Aufzeichnung von
Informationen auf Speichern mit WORM-Verfahren, fr gespeicherte
Dokumente und fr die Informationsobjekte beschreibende
Metadaten um eine langfristige Verfgbarkeit und die
Migrationssicherheit zu gewhrleisten
Untersttzung von automatisierten, nachvollziehbaren und
verlustfreien Migrationsverfahren
PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

52

Digital Preservation

entspricht dem deutschen Begriff der elektronischen


Archivierung, wobei unter Preservation der Langzeit-Aspekt
und die Unvernderbarkeit betont wird.

53
PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

ILM Information Lifecycle


Management

PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

ILM-Definition der SNIA 2005


Information Lifecycle Management is compromised of the
policies, processes, practices and tools used to align the
business value of information with the most appropriate and
cost effective IT infrastructure from the time information is
conceived through its final disposition.
Information is aligned with business processes through
management processes and service levels associated with
applications, metadata, information and data.
(SNIA 2005)

55
PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

ILM-Definition der SNIA


Information Lifecycle Management sind Strategien, Methoden
und Anwendungen, um Information automatisiert entsprechend
ihrem Wert und ihrer Nutzung optimal auf dem jeweils
kostengnstigsten Speichermedium bereitzustellen, zu
erschlieen und langfristig sicher aufzubewahren.

56
PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Information Lifecycle Management


A strategy to align IT infrastructure with the business
based upon the changing value of information.
Zugriff auf die
Information
Wert der
Information
Wirtschaftlichkeit der
Speicher-Infrastruktur

Zeit

57
PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Ziele von ILM


Management des gesamten Lebenszyklus von Informationen:

Erstellung
Verteilung
Vernderung
Archivierung
Lschung

Hohe Verfgbarkeit fr Anwendungen und Daten unter


Bercksichtigung wirtschaftlicher Aspekte:
Optimierte Backup- und Recovery Verfahren (auch bei steigendem
Datenvolumen)
Daten- und Informations-Archivierung
58
PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

ILM ist nicht


ein Produkt oder eine Produktklasse
eine Alternative zur elektronischen Archivierung von
Dokumenten
die vollstndige Archivierung des E-Mail-Verkehrs

59
PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Information Management und


Content Management
Ressourcen, die sich sowohl der Infrastruktur als auch der
Anwendungen bewusst sind
Fr alle Arten von Daten
Strukturiert

Unstrukturiert

Datenbanken/
Dateisysteme

Messaging

Enterprise Content
Management

Untersttzt
Business
Anwendungen,
z.B. ERP, CRM,
etc.

Mail, Voice

Dokumente
Webseiten, Sound,
Video, Bilder, Reports

Quelle : EMC

60
PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Information Lifecycle Management


Architektur
ERP

Office

Filesystem

CRM

ECM

DB

PDM

...

Anwendungen

Dokumente, Data, Metadata, Media Assets, Files, Records...

ILM Logic
Migration

Metadaten

Verteilung

Logik
Protokollierung

Monitoring

ILM Virtualizing
Recovery

Allocation

Vernetzung

Backup

ILM Storage
Sekundr
online

Harddisk

Nearline
sekundr

Harddisk

Nearline
sekundr

Jukebox

Sicherung
Nearline

Tape

Remote

Verwaltung

Disposal
Archiv
Fixed
Content
Harddisk

Archiv
Tape
Worm
Tape

Archiv
Optical
Disk

SpeicherEbene

Jukebox

61
PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Organisatorische und technische


Anforderungen an die sichere
Speicherung von Informationen

PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Aktuelle und zum Teil


widersprchliche Anforderungen
an die Archivierung

PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Informationsfreiheitsgesetz - IFG
Das IFG ist am 1. Januar 2006 in Kraft getreten.
Ursprung: Empfehlung Nr. 854 des Europarates von 1979
Ziele:

gewhrt Brgerinnen und Brgern einen grundstzlich freien Zugang zu


Informationen, die bei ffentlichen Verwaltungen vorhanden sind

Inhalte:

Das IFG soll das Brgerrecht auf informelle Selbstbestimmung frdern,

das Recht auf Informationszugang voraussetzungslos gewhren und

Transparenz, Nachvollziehbarkeit und Kontrolle staatlichen Handelns


gewhrleisten.
(Quelle:
http://www.duesseldorf.de/datenschutz/informationsfreigesetz/faq.shtml)

64
PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

8. EU-Richtlinie
Neufassung der Abschlussprferrichtlinie
Umsetzung in nationale Gesetzgebung bis Juni 2008
Ziele:

Erhhung der Glaubwrdigkeit der Finanzdaten

besserer Schutz der EU gegen Finanzskandale

Strkung und Harmonisierung der Funktion der Abschlussprfungen in


den Mitgliedsstaaten

Inhalte:

Zulassung, Unabhngigkeit und Pflichten der Abschlussprfer

Zu beachtende Prfungsgrundstze

Verpflichtung zu einer externen Qualittskontrolle

Unabhngige Berufsaufsicht

Sondervorschriften fr Unternehmen im ffentlichen Interesse

PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

65

EU-Richtlinie zum Datenschutz in


Telekommunikationsnetzen (ISDN-Richtlinie)
Nachdem bereits 1990 ein erster Entwurf vorgelegt wurde, ist im Dezember
1997 die EU-Richtlinie verabschiedet worden.
Ziel:

Schaffung eines gemeinschaftsweit gleichwertigen Schutzes der


Grundrechte hinsichtlich personenbezogener TK-Daten

gilt auch fr das interaktive Fernsehen und Video auf Abruf

Inhalt:

Richtlinie soll die in Vorbereitung befindliche allgemeine EUDatenschutzrichtlinie ergnzen

Reaktion auf die rapide zunehmende Digitalisierung der ffentlichen


Telekommunikationsnetze in der Europischen Union

Mitgliedstaaten mssen die Vertraulichkeit der Telekommunikation


gewhrleisten
(Quelle: http://www.datenschutz.mvnet.de/dschutz/taetberi/tb3/3_310.html)

PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

66

Handelsgesetzbuch - HGB
In Ableitung der HGB-Vorschriften gelten folgende Kriterien fr die
Revisionssicherheit:

Ordnungsmigkeit
Vollstndigkeit
Sicherheit des Gesamtverfahrens
Schutz vor Vernderung und Verflschung
Sicherung vor Verlust
Nutzung nur durch Berechtigte
Einhaltung der Aufbewahrungsfristen
Dokumentation des Verfahrens
Nachvollziehbarkeit

Prfbarkeit
67

PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

GDPdU
Was heit GDPdU?
Grundstze zum Datenzugriff und zur Prfbarkeit digitaler
Unterlagen
Umfeld
Buchhaltungsdaten
Sonstige steuerrechtlich relevante Informationen und Dokumente

Gltigkeit
Brief vom BMF 16.07.2001
Umzusetzen ab 01.01.2002

Herkunft
Steuerreform (StSenkG)
HGB AO

PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

68

Verschrfung der GDPdU


Besttigung der Urteile des FG Dsseldorf zur
Ausweitung der GDPdU
Ausweitung des Zugriffsrechts der Finanzbehrde auf Konten der
handelsrechtlichen Buchhaltung, auf denen steuerlich nicht
abzugsfhige Betriebsausgaben verbucht sind
Eingescannte Belege, deren Original vernichtet wurde, mssen
digital vorgehalten werden; Organisation der Datenbestnde mit
Trennung geschtzter Daten, die nicht dem Einsichtnahme-recht
unterliegen, ist Aufgabe des Steuerpflichtigen

69
PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Europische Dienstleistungsrichtlinie
Umsetzung in nationales Recht bis Ende 2009
Ziele:

Beseitigung brokratischer Hindernisse

Erleichterung des Handels mit grenzberschreitenden


Dienstleistungen

Vollendung des Binnenmarkts fr Dienstleistungen

Inhalte (Auswahl):

Vereinfachung der Antrags-Verfahren und einheitliche


Ansprechpartner

Dienstleister knnen alle Unterlagen, Antrge, etc. auch


elektronisch einreichen

Aufbau eines Informations- und Kommunikationssystems fr


die europaweite Verwaltungszusammenarbeit

Konsequenz: Digitalisierung der ffentlichen Verwaltung


PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

70

Strategie vor Organisation vor Technik


Strategie vor Organisation,
Organisation und Mensch vor Technik
Grundsatz (1)
Projekte scheitern weniger wegen technischer Probleme sondern
durch:
mangelnde Planung
mangelndes Know-how
Unterschtzung der organisatorischen Aufwnde
Mangelnde Bereitschaft der Umstellung von Prozessen
fehlende Akzeptanzschaffung

71
PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Strategie vor Organisation vor Technik


Strategie vor Organisation,
Organisation und Mensch vor Technik
Grundsatz (2)
Bei der Einfhrung einer Dokumenten-Technologie-Lsung sind:
10 % Technik
90 % Organisation

72
PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Durchgngigkeit

Alle Prozesse sind betroffen, nicht nur Systeme.


Es finden sich viele Inseln und wenig Durchgngigkeit.
Eine Anfang-zu-Ende-Dokumentation ist erforderlich.
Der Mensch ist das grte Problem um compliant zu sein.
Automatische Prozesse in Systemen knnen untersttzen,
jedoch nicht ersetzen.

73
PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Verfahrensdokumentation nach GoBS


Eine Verfahrensdokumentation ist fr alle elektronischen
Archivsysteme, in denen Daten und Dokumente, die unter das HGB
(und die GDPdU) fallen, Pflicht -> Grundstzlich empfohlen fr alle
ILM-Umsetzungen!
Die Erstellung und Fortschreibung der Verfahrensdokumentation
liegt in der Verantwortung des Betreibers, im Sinne der GDPdU ist
dies jedoch das steuerpflichtige Unternehmen
Die Verfahrensdokumentation muss vollstndig, nachvollziehbar und
prfbar sein.

74
PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Vertrauenswrdige Archive

PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Vertrauenswrdige Archive (1)


Umfeld:
Wissenschaftliche Erkenntnisse, historische Dokumente und
kulturelle Leistungen liegen immer hufiger nur noch in digitaler
Form vor.
Probleme, die bei der Langzeitarchivierung elektronischer
Informationen auftreten nehmen eine immer strkere Bedeutung an.
Neben dem physischen Verfall der Medien ist die schnelle
Weiterentwicklung der Technik zum interpretieren der gespeicherten
Informationen, und damit einhergehend das schnelle veralten von
eingesetzter Technik, eine ernsthafte Bedrohung fr den
Informationserhalt.

76
PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Vertrauenswrdige Archive (2)


Umsetzung:
Organisationen, die sich mit der Archivierung von Informationen
beschftigen, mssen die Authentizitt, Integritt, Vertraulichkeit und
Verfgbarkeit digitaler Information sicherstellen und
Vertrauenswrdigkeit nicht nur erlangen, sondern auch nach Auen
darstellen knnen.
Die nestor-Arbeitsgruppe Vertrauenswrdige Archive Zertifizierung hat Kriterien zur Bewertung der Vertrauenswrdigkeit
eines digitalen Langzeitarchivs in organisatorischer und technischer
Sicht identifiziert und in einem Kriterienkatalog festgehalten.
Die funktionalen Entitten und das Informationsmodell der OAIS
Open Archival Information System (ISO 17421) wird so oft es geht
als Grundlage zur Strukturierung des Kriterienkataloges genutzt, um
eine gemeinsame Begriffsbasis zu erhalten.
77
PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Zukunft:
Sicherheit und Zugriffskontrolle in der
Langzeitarchivierung

PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Skandale (1)
Verlorene Daten in England jngster Fall:
Das Verteidigungsministerium teilte am 18.01.2008 mit, dass der
Laptop eines Offiziers mit persnlichen Angaben von bis zu 600.000
Rekruten und Bewerbern der Streitkrfte gestohlen worden sei.
Die gespeicherten Daten reichten in einigen Fllen von Ausweis- und
Fhrerschein-Details ber Versicherungsnummern bis hin zu Angaben
zur Familie sowie Name und Adresse von rzten der betroffenen
Personen.
(Quelle: http://futurezone.orf.at/it/stories/250665/)

79
PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Skandale (2)
Datenverlust in Deutschland:
allein von 2005 bis 2007 sind in den Bundesbehrden 189
Computer, 326 Laptops, 38 Speicher-Sticks und 271 Handys mit
teilweise sensiblen Daten abhanden gekommen

Beispiele:
beim Bundesamt fr Zivildienst ist ein Notebook gestohlen worden,
auf dem komplette Datenstze mit persnlichen Daten gespeichert
waren
dem Verteidigungsministerium sind geheime Datentrger mit
Informationen der Geheimhaltungsstufe "Verschlusssache
-Vertraulich" und hher abhanden gekommen
80
PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Skandale (3)
Urteil gegen die Deutsche Bank:
Die Deutsche Bank muss 87,5 Millionen Dollar Strafe zahlen,
da sie groe Teile der von der Brsenaufsicht angeforderten EMail-Korrespondenz der Mitarbeiter nicht finden konnte.

81
PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Skandale (4)
Siemens Korruptionsaffre mangelnde Transparenz

Der grte deutsche Technologiekonzern steht vor einem Scherbenhaufen:


Gleich drei Korruptionsaffren erschttern das Traditionsunternehmen.
Laut einem Bericht der WirtschaftsWoche halten inzwischen
Aufsichtsratsmitglieder eine Strafe in Hhe von bis zu 4 Milliarden Euro
nicht mehr fr ausgeschlossen
Auch der Ex-Chef ist nun in den Fokus der Staatsanwaltschaft geraten. Der
ehemalige Vorstandsvorsitzende Heinrich von Pierer steht im Verdacht,
Bestechungsversuche persnlich in Auftrag gegeben zu haben. Pierer soll
im Zusammenhang mit einem Groauftrag in Argentinien fragwrdige
Zahlungen in Millionenhhe angeordnet haben. Pierer bestreitet dies
vehement.

Quellen:
http://www.br-online.de/aktuell/siemens-korruption-bildergalerie-ID1209038237273.xml
http://www.zeit.de/themen/wirtschaft/unternehmen/korruption/siemens
PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

82

Archivierung als
gesellschaftliche Herausforderung

PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Elektronische Archive sind das Gedchtnis der


Informationsgesellschaft.
(Erkki Likaanen, EU-Kommissar, 1999)

84
PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Das Gedchtnis der Informationsgesellschaft ist


ungeordnet, berfrachtet und zeigt erste
Ausfallerscheinungen.
Einerseits werden wir von der Information Flood
berrollt, andererseits tut sich aber ein immer grer
werdendes Information Gap nicht mehr verfgbarer
oder auswertbarer elektronischer Information auf.

85
PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Zuknftige Archologen werden vielleicht die


Frhzeit der EDV einmal als das Dunkle Zeitalter der
frhen Informationskultur bezeichnen.

86
PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Fazit

Archivierung, Records Management und Information


Lifecycle Management sind essentielle Bausteine jeder
Datensicherheit- und Datenschutzstrategie.

87
PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Vielen Dank fr Ihre Aufmerksamkeit !


Dr. Ulrich Kampffmeyer
E-Mail: Ulrich.Kampffmeyer@PROJECT-CONSULT.com
Dokumentation des Vortrages, Newsletter, weitere Informationen zum Thema ...
www.PROJECT-CONSULT.com

PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008