[DE] Records Management & Datenschutz | Dr. Ulrich Kampffmeyer | Datenschutzkongress | Berlin 2008

© PROJECT CONSULT Unternehmensberatung GmbH und EUROFORUM Deutschland GmbH 2008

Records Management & DatenschutzDr. Ulrich Kampffmeyer9. Datenschutzkongress 2008Berlin, 7. Mai 2008

P R O J E C T C O N S U L TUnternehmensberatung Dr. Ulrich Kampffmeyer GmbH


Agenda

Einführung: Compliance, Records Management und Archivierung

Sicherung bei Speicherung und Zugriff Funktionalität von Records Management, elektronischer

Archivierung und ILM Information Lifecycle Management Organisatorische und technische Anforderungen an die

sichere Speicherung von Informationen Zukunft: Sicherheit und Zugriffskontrolle in der

Langzeitarchivierung


Einführung: Compliance, Records Management und Archivierung


Compliance


5

Übereinstimmung mit und Erfüllung von rechtlichen und regulativen Vorgaben.


6

Compliance: Definition (1)

„Übereinstimmung“

Voraussetzung sind nachlesbare, definierte, offizielle Vorgaben, die die Regeln enthalten, was zu tun ist.

Dazu ist „Übereinstimmung“ gefordert, ohne dass die Regeln meistens eine technische Vorgabe enthalten, wie die Anforderung umzusetzen ist.

Das ist sinnvoll, da sich solche Vorgaben nicht an einer Technologie festmachen sollten, die in ein paar Jahren schon wieder obsolet ist.

„Übereinstimmung“ ist statisch bezogen auf die Vorgabe.


7

Compliance: Definition (2)

„Erfüllung“

Erfüllung der Anforderungen in der Lösung, dies muss ein Prozess sein, keine einmalige Aktion.

Das Unternehmen oder die Organisation muss kontinuierlich für die Einhaltung der Vorgaben Sorge tragen.

„Erfüllung“ geht meistens über eine rein technische Lösung hinaus und beinhaltet auch organisatorische und Management-Aspekte.

Es ist ein dynamischer, ständig laufender, kontrollierter Prozess.


8

Compliance

Unterschiede:

• Direkte Auswirkungen• HGB• AO / GDPdU / GOBS• Verrechnungspreisdokumentation

• Indirekte Auswirkungen

• Basel II (für „Nicht-Banken“)• BDSG


9

Grundsätzliche Kriterien für Compliance

• Authentizität

• Vollständigkeit

• Nachvollziehbarkeit

• Zugriffssicherheit

• Geordnetheit

• Integrität

• Auffindbarkeit

• Reproduzierbarkeit

• Unverändertheit

• Richtigkeit

• Prüfbarkeit

• Portabilität• Vertrauenswürdigkeit


10

Langzeitarchivierung: Definition

• Ist nicht nur die Erfüllung gesetzlicher Vorgaben über eine bestimmte Zeitspanne

• „Langzeit“ bedeutet für die Bestandserhaltung digitaler Ressourcen die Entwicklung von Strategien, die den ständigen Wandel im Informationsmarkt bewältigen können

• „Archivierung“ ist im allgemeinen Sprachgebrauch mit der fortschreitenden Anwendung der Informationstechnik seines Sinnes nahezu entleert worden

• „Archivierung“ impliziert die Erhaltung der dauerhaften Verfügbarkeit digitaler Ressourcen


11

Langzeitarchivierung

• „Langzeit“ bedeutet für die Bestandserhaltung digitaler Ressourcen die Entwicklung von Strategien, die den ständigen Wandel im Informationsmarkt bewältigen können

• „Archivierung“ ist im allgemeinen Sprachgebrauch mit der fortschreitenden Anwendung der Informa-tionstechnik seines Sinnes nahezu entleert worden

• Ist nicht nur die Erfüllung gesetzlicher Vorgaben über eine bestimmte Zeitspanne

• „Archivierung“ impliziert die Erhaltung der dauerhaften Verfügbarkeit digitaler Ressourcen


Records Management


13

Was ist ein Record? (1)

• Unter einem Record wird ein beliebiger Content-Typ verstanden, der sich auf die Geschäftstätigkeit oder die Transaktion eines Unternehmens bezieht.

• Die physikalische Form oder andere Merkmale spielen dabei keine Rolle.

• Beispiele sind E-Mails, Verträge, Geschäftsvereinbarungen, Kontoübersichten, Berichte sowie Video- und Audiodateien.


14

Was ist ein Record? (2)

• Information created, received, and maintained as evidence and information by an organisation or person, in pursuance of legal obligations or in the transaction of business.

(ISO 15489 Part 1)

• Information, die erzeugt, empfangen und bewahrt wird, um als Nachweis einer Organisation oder Person bei rechtlichen Verpflichtungen oder zum Nachvollzug einer geschäftlichen Handlung zu dienen.


15

Was ist Records Management? (1)

• Field of management responsible for the efficient and systematic control of the creation, receipt, maintenance, use and disposition of records, including processes for capturing and maintaining evidence of and information about business activities and transactions in the form of records.

(ISO 15489 Part 1)

• Als Führungsaufgabe wahrzunehmende effiziente und systematische Kontrolle und Durchführung der Erstellung, Entgegennahme, Aufbewahrung, Nutzung und Aussonderung von Schriftgut, einschließlich der Vorgänge zur Erfassung und Aufbewahrung von Nachweisen und Informationen über Geschäftsabläufe und Transaktionen in Form von Akten.


16


• Records Management oder Electronic Records Management (ERM) bezieht sich auf die Strukturierungs-, Verwaltungs- und Organisationskomponente zur Handhabung von Aufzeichnungen.

• ERM ist nicht mit elektronischer Archivierung deutscher Prägung gleichzusetzen, obwohl viele Ansätze sich hier wiederfinden.

• ERM ist auch eine wichtige Komponente von ECM. Der Begriff findet inzwischen auch weitere Verbreitung in Deutschland und wird durch zahlreiche internationale Standards gestützt.


17


• Abbildung von Aktenplänen und anderen strukturierten Verzeichnissen zur geordneten Ablage von Informationen

• Thesaurus- oder kontrollierter Wortschatz-gestützte eindeutige Indizierung von Informationen

• Verwaltung von Aufbewahrungsfristen (Retention Schedules) und Vernichtungsfristen (Deletion Schedules)

• Schutz von Informationen entsprechend ihren Eigenschaften, z.T. bis auf einzelnen Inhaltskomponenten in Dokumenten

• Nutzung international, branchenspezifisch oder zumindest unternehmensweit standardisierter Meta-Daten zur eindeutigen Identifizierung und Beschreibung der gespeicherten Informationen


18


• Records Management ist unabhängig vom Medium

• Verwaltung von physischen Records (z.B. Papierdokumenten)

• elektronisches Records Management (Verwaltung von digitalen Objekten)


19

Records Management: international normiert (1)

Internationale Standards:• Committee of Best Practices and Standards (CBPS):

International Standard for Describing Functions (ICA-ISDF)

• Vereinte Nationen: ARMS Standard on Recordkeeping Metadata

• Europäische Union: MoReq

• ISO 15489: Records Management


20


Nationale Standards:• Deutschland: DOMEA

• Australien: VERS

• England: TNA

• Frankreich: AFNOR

• Italien: Protocollo

• Luxemburg: SEL GED

•Niederlande: ReMANO

•Norwegen: NOARK

•Österreich: ELAK

•Schweiz: GEVER

•USA: DoD 5015


21


Meta-Standards (1):• AIIM: Integrated EDM/ERM Functional

Requirements

• Australian RKMS: Recordkeeping Metadata Schema

• DCMI: The Dublin Core Metadata Initiative

• DIRKS: Designing and Implementing Recordkeeping Systems (Australia)

• e-GMS UK: e-Government Metadata Standard

• FEA Federal Enterprise Architecture:

DRM Data Reference Model 2.0

• ISO 23081, Teil 1: Records Management Prozesse, Metadaten für Records


22


Meta-Standards (2):• ISO 2788, ISO 5964: Thesaurus

• LMER: Langzeitarchivierungsmetadaten für elektro-nische Ressourcen. Nestor Projekt, 2007

• MARC: Machine-Readable Cataloging

• METS: Metadata Encoding & Transmission Standard

• MoReq2 Model: Model Requirements for the Management of Electronic Records

• US DoD: Dept. of Defense 5015.2-STD: Standard für Electronisches-Records-Management

• The National Archives (UK) Functional Requirements for ERM: Metadata Standard


23

RECORDS

Moreq2, ISO15489

XMLMetadata:DC, ISAAR, ISOs 23081, 639, 2788, 5964, 8601

ISO 18492, OAIS

X.509, XKMS

ISO 12142

ISO 15801, 12654

ISO 12033

PDF/A

RFC 2821, 2822, TIFF, JPEG

ISO 216

ISO 12037

GUID

PDF/A

ISO 15801, 12654

DOD 5015.2

DOD 5015.2

ERM bezogene Standards


Elektronische Archivierung


25

Archiv

• Unter einem Archiv (v. lat.: archivum, aus griech.: archeion Regierungs-, Amtsgebäude) versteht man üblicherweise eine meist auf Dauer angelegte Sammlung von Unterlagen oder Informationen.

• Elektronische Archive erlauben datenbankgestützt den Zugriff auf langzeitig, unveränderbar archivierte elektronische Informationen.Elektronische Archive sind keine Datensicherungs- oder Backup-Systeme.


26

Elektronische Archivierung

• Grundsätzlich dient die elektronische Archivierung zur langfristigen, sicheren, authentischen und unverfälschbaren elektronischen Speicherung von Daten, Informationen, Dokumenten und Content.

• Unter „elektronischer Langzeitarchivierung“ versteht man die Bereitstellung von Daten und Dokumenten über einen Zeitraum von mindestens 10 Jahren. Dies entspricht der Aufbewahrungsfrist von Handelsbriefen.

• Unter „revisionssicherer elektronischer Archivierung“ versteht man Archivsysteme, die nach den Vorgaben von §§ 239, 257 HGB, §§ 146, 147 AO und GoBS beliebige Informationen sicher, unverändert, vollständig, ordnungsgemäß, verlustfrei reproduzierbar und datenbankgestützt recherchierbar verwalten.


27

Elektronische Archivierung: Begriffe

Langzeitarchivierung• Unter „elektronische Langzeitarchivierung“ versteht man die

Bereitstellung von Daten und Dokumenten über einen Zeitraum von mindestens 10 Jahren.

Revisionssichere Archivierung • Unter „revisionssicherer Archivierung“ versteht man Archivsysteme,

die nach den Vorgaben der Allgemeinen Abgabenordnung (HGB AO) und der GoBS Daten und Dokumente sicher, unverändert, vollständig, ordnungsgemäß, verlustfrei reproduzierbar und datenbankgestützt recherchierbar verwalten.


28

Archivierung

Archivierung ist normiert:

• ISO 17799: Information Security• ISO 14721: OAIS Open Archive Information System• ISO/TR 18492: Long-term preservation of electronic document-

based information • ISO/CD TR 26102: Information and documentation -

Requirements for long-term preservation of electronic records

• Vertrauenswürdige Archive


Sicherung bei Speicherung und Zugriff


30

Sicherheit: Definition (1)

• Sicherheit bezeichnet einen Zustand, der frei von unvertretbaren Risiken der Beeinträchtigung ist oder als gefahrenfrei angesehen wird.

• Sicherheit ist sowohl auf ein einzelnes Individuum als auch auf andere Lebewesen, auf unbelebte reale Objekte oder Systeme wie auch auf abstrakte Gegenstände (z. B. eine Kapitalanlage oder Information) bezogen.


31

Sicherheit: Definition (2)

Für Informationssysteme sind verschiedene Ausprägungen von Sicherheit zu unterscheiden:

• Informationssicherheit• Systemsicherheit• Speichersicherheit• Zugangssicherheit• Investitionssicherheit• Revisionssicherheit• Migrationssicherheit• usw.


32

Revisionssicherheit: Kriterien

Folgende Kriterien gelten für die Revisionssicherheit von Archivsystemen:

• Ordnungsmäßigkeit• Vollständigkeit• Sicherheit des Gesamtverfahrens• Schutz vor Veränderung und Verfälschung• Sicherung vor Verlust• Nutzung nur durch Berechtigte• Einhaltung der Aufbewahrungsfristen• Dokumentation des Verfahrens• Nachvollziehbarkeit• Prüfbarkeit


33

Systemsicherheit und Records Management (1)

Die Sicherheit von Systemen bezieht sich im Rahmen von RM-Lösungen im Wesentlichen auf:

• Stabilität und störungsfreier Betrieb• Hohe Verfügbarkeit und geringstmögliche Ausfallzeiten• Informationssicherheit und keine Datenverluste• Transaktionssicherheit und keine nicht behebbaren Abbrüche• Sichere Restart- und Recovery-Verfahren• Nachvollziehbarkeit von Änderungen am und im System


34

Systemsicherheit und Records Management (2)

Die Sicherheit von Systemen bezieht sich im Rahmen von RM-Lösungen im Wesentlichen auf:

• Robustheit gegen versehentliche oder intentionelle Beeinträchtigungen und herbeigeführte Fehlersituationen

• Migrationssicherheit für Komponenten, Software, Strukturen, Metadaten, Kontext und Informationsobjekte

• Kryptografisch encodierte Übermittlung von Informationen über externe Leitungen

• Firewall und Intrusion Detection zur Absicherung der Systeme• Kontrollierte Redundanz denn ein Speicherort und ein

Speichermedium sind nie genug


35

Zugangssicherheit und Records Management

Die Zugangssicherheit bezieht sich auf:• Räumlichkeiten mit Zugangskontrolle und nachvollziehbarem Zugang• Rechner am Arbeitsplatz oder unterwegs• Software auf dem Rechner, gesichert durch Benutzerkennung, Passwort

und gegebenenfalls weitere Schutzmechanismen wie Erkennung biometrischer Merkmale oder Verschlüsse

• Anwendungssysteme mit separatem Login oder Single-Login mit rollenbasierter Berechtigung zur Nutzung von Funktionalität und Daten mittels der Anwendung

• Speicher-, Ablage- und Archivsysteme mit kontrolliertem, protokollierten Zugriff auf gespeicherte Daten und Informationsobjekte einschließlich Ausblenden von nicht zulässigen Suchergebnissen, Strukturen und Informationsobjekten sowie Kontrolle der Bearbeitung mit Versionierung, Historisierung, Checkout und anderen Mechanismen


36

Sicherheit und Risiko

• Absolute Sicherheit gibt es nicht! Auch nicht bei doppelt und dreifach ausgelegten Rechenzentren, Rechnern, Leitungen, Anschlüssen usw.!

• Vermeintlich absolute Sicherheit ist nicht bezahlbar!• Der Umfang von Sicherheit und die durch Einschränkung von

Sicherheitsvorkehrungen entstehenden Risiken müssen individuell für jedes Unternehmen und jedes System definiert werden.

• Der Aufwand für Sicherheit muss sich am Wert der gespeicherten Information und des durch die Anwendung generierten Nutzens orientieren.


Datenschutz


38

Schutz: Definition

• Schutz ist eine Maßnahme, um eine Sache oder Person vor der Wirkung einer Gefahr zu bewahren.

• Im Informationsmanagement hat Schutz zusätzliche und andere Ausprägungen, da sich der Schutz auch auf immaterielle Güter wie Daten und Informationen bezieht.

• Datenschutz ist eine spezielle Ausprägung von Schutz, der sich auf persönliche wie auch betriebliche Schutzbelange bezieht.


39

Problem der unterschiedlichen Zielrichtungendes Datenschutzes

Datenschutz von

• persönlichen und privaten Daten• betrieblicher Geheimnisse und betrieblichen Wissens• Kundeninformationen aus der geschäftlichen Tätigkeit• Information verbundener Dritter und Partner• Interessenteninformationen aus der Akquisitionstätigkeit

Abwägung konkurrierender Interessen?


40

Persönlicher Datenschutz

• Datenschutz bezeichnet den Schutz personenbezogener Daten vor Missbrauch.

• Der Zweck des Datenschutzes besteht darin, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personen-bezogenen Daten in seinem Recht auf informationelle Selbstbestimmung beeinträchtigt wird.

• Der Datenschutz ist in Bundes- und Ländergesetzgebungen geregelt.• Schützenswerte Informationen über (Personendaten) oder von Mitarbeitern

(persönliche Daten) dürfen nicht gespeichert werden oder müssen nach definierten Kriterien nach einer zulässigen Speicherung vernichtet werden.

• Datenschutz betrifft alle Formen der Speicherung und des Zugriffs von personenbezogenen und persönlichen Daten.

• Datenschutz betrifft alle Formen von Informationen, Nachrichten und Dokumenten aus allen Anwendungen und Kommunikationseinrichtungen im Unternehmen.


41

Betrieblicher Datenschutz

• Der betriebliche Datenschutz soll das Wissen einer Organisation vor Verlust, Missbrauch, Diebstahl, Verfälschung und Zerstörung schützen.

• Betrieblicher Datenschutz dient zur Sicherung des geistigen Eigentums des Unternehmens und seiner Mitarbeiter. Er sichert die Werte und die Wettbewerbsfähigkeit des Unternehmens.

• Betrieblicher und persönlicher Datenschutz müssen gegeneinander abgewogen werden. Das Unternehmen hat ein Anrecht zur Sicherung seiner Schutzinteressen Informationen über die Nutzung und Weitergabe von betrieblich wichtigen oder geheimen Unterlagen zu erheben.

• Der betriebliche Datenschutz wird auch durch Compliance-Anforderungen gefordert.


42

Schutz persönlicher Daten & Archivierung:ein Widerspruch


43

Benutzer-profile

datenschutz-rechtliche

VorschriftenMigrationorganisatorische

Planungen

Software-komponenten

Hardware-komponenten

Datensicherheit und Datenschutz


Funktionalität von Records Management, elektronischer Archivierung und ILM Information Lifecycle Management


45

MoReq2

• Model Requirements for the Management of Electronic Records

• wurde am 13. Februar 2008 von der Europäischen Kommission veröffentlicht

• eine evolutionäre Weiterentwicklung von MoReq• verbessert und erweitert MoReq • aktualisiert MoReq in Bezug auf neue Technologien und

Regularien• modularisiert MoReq• ergänzt MoReq um Testkriterien und ein

Zertifizierungsverfahren für Softwareprodukte unter der Federführung des DLM-Forums


46

RECORDS

ERM Funktionen nach MoReq


47

Funktion RM Archiv COLD DMS Akte WFLArchivierung X X (X)Importfunktion Aufzeichnungen X X X XAufbereitung, Aktenorganisation X (X) (X) XBearbeitung, Änderung X X XRetention-Verwaltung X (X) (X) XVernichtung X X XProtokollierung X X X X (X) XVollständigkeitskontrolle X XEskalation / Qualitätssicherung X X

Funktionen rund um Records Management


Archivierung


49

Anforderungen an die elektronischeArchivierung (1)

• programmgestützter, direkter Zugriff auf einzelne Informations-objekte, landläufig auch Dokumente genannt, oder Informations-kollektionen, z. B. Listen, Container mit mehreren Objekten etc.

• datenbankgestützte Verwaltung der Informationsobjekte auf Basis von Metadaten und gegebenenfalls Volltexterschließung der Inhalte der archivierten Informationsobjekte

• Unterstützung verschiedener Indizierungs- und Recherche-strategien, um auf die gesuchte Information direkt zugreifen zu können

• Einheitliche und gemeinsame Speicherung beliebiger Informations-objekte, vom gescannten Faksimile über Dokumentenformat-Dateien und E-Mails bis hin zu komplexen XML-Strukturen, Listen, COLD-Dokumenten oder ganzen Datenbankinhalten


50


• Verwaltung von Speichersystemen mit nur einmal beschreibbaren Medien einschließlich des Zugriffs auf Medien die sich nicht mehr im Speichersystem direkt befinden

• Sicherstellung der Verfügbarkeit der gespeicherten Informationen über einen längeren Zeitraum, der Jahrzehnte betragen kann

• Bereitstellung von Informationsobjekten unabhängig von der sie ursprünglich erzeugenden Anwendung auf verschiedenen Klienten und mit Übergabe an andere Programme

• Unterstützung von „Klassen-Konzepten“ zur Vereinfachung der Erfassung durch Vererbung von Merkmalen und Strukturierung der Informationsbasis


51


• Konverter zur Erzeugung von langfristig stabilen Archivformaten und Betrachter (engl. Viewer) zur Anzeige von Informationsobjekten, für die die ursprünglich erzeugende Anwendung nicht mehr zur Verfügung steht

• Absicherung der gespeicherten Informationsobjekte gegen unberechtigten Zugriff und gegen Veränderbarkeit der gespeicherten Information

• Übergreifende Verwaltung unterschiedlicher Speichersysteme, um z. B. durch Zwischenspeicher (Caches) schnellen Zugriff und zügige Bereitstellung der Informationen zu gewährleisten

• Standardisierte Schnittstellen, um elektronische Archive als Dienste in beliebige Anwendungen integrieren zu können


52


• Eigenständige Wiederherstellungsfunktionalität (Recovery), um inkonsistent gewordene oder gestörte Systeme aus sich heraus verlustfrei wieder aufbauen zu können

• Sichere Protokollierung von allen Veränderungen an Strukturen und Informationsobjekten, die die Konsistenz und Wiederauffindbarkeit gefährden können und dokumentieren, wie die Informationen im Archivsystem verarbeitet wurden

• Unterstützung von Standards für die spezielle Aufzeichnung von Informationen auf Speichern mit WORM-Verfahren, für gespeicherte Dokumente und für die Informationsobjekte beschreibende Metadaten um eine langfristige Verfügbarkeit und die Migrationssicherheit zu gewährleisten

• Unterstützung von automatisierten, nachvollziehbaren und verlustfreien Migrationsverfahren


53

Digital Preservation

entspricht dem deutschen Begriff der „elektronischen Archivierung“, wobei unter Preservation der Langzeit-Aspektund die Unveränderbarkeit betont wird.


ILM Information Lifecycle Management


55

ILM-Definition der SNIA 2005

• Information Lifecycle Management is compromised of the policies, processes, practices and tools used to align the business value of information with the most appropriate and cost effective IT infrastructure from the time information is conceived through its final disposition.

• Information is aligned with business processes through management processes and service levels associated with applications, metadata, information and data.

(SNIA 2005)


56

ILM-Definition der SNIA

Information Lifecycle Management sind Strategien, Methoden und Anwendungen, um Information automatisiert entsprechend ihrem Wert und ihrer Nutzung optimal auf dem jeweils kostengünstigsten Speichermedium bereitzustellen, zu erschließen und langfristig sicher aufzubewahren.


57

Wert derInformation

Zugriff auf die Information

Wirtschaftlichkeit der Speicher-Infrastruktur

Zeit

Information Lifecycle Management

• A strategy to align IT infrastructure with the business based upon the changing value of information.


58

Ziele von ILM

Management des gesamten Lebenszyklus von Informationen:• Erstellung• Verteilung• Veränderung• Archivierung • Löschung

Hohe Verfügbarkeit für Anwendungen und Daten unter Berücksichtigung wirtschaftlicher Aspekte:• Optimierte Backup- und Recovery Verfahren (auch bei steigendem

Datenvolumen)• Daten- und Informations-Archivierung


59

ILM ist nicht …

• … ein Produkt oder eine Produktklasse

• … eine Alternative zur elektronischen Archivierung von Dokumenten

• … die vollständige Archivierung des E-Mail-Verkehrs


60

Für alle Arten von Daten

Strukturiert Unstrukturiert

Datenbanken/ DateisystemeUnterstützt Business Anwendungen, z.B. ERP, CRM, etc.

Messag-ingMail, Voice

Enterprise Content ManagementDokumente

Webseiten, Sound, Video, Bilder, Reports

Quelle : EMC

Information Management und Content Management

• Ressourcen, die sich sowohl der Infrastruktur als auch der Anwendungen bewusst sind

http://www.showcaseontario.com/2004/Presentations/files/Workshop%205.ppt


61

Anwendungen

Logik

Speicher-Ebene

Verwaltung

ERP OfficeFile-

systemCRM ECM DB PDM ...

Dokumente, Data, Metadata, Media Assets, Files, Records...

ILM Logic

ILM Virtualizing

ILM Storage

MonitoringProtokollierungVerteilungMetadatenMigration

RemoteBackupVernetzungAllocationRecovery

Sekundäronline

Nearlinesekundär

Nearlinesekundär

Harddisk Jukebox

SicherungNearline

Tape

ArchivFixed

Content

ArchivTapeWorm

ArchivOptical

Disk

Tape JukeboxHarddisk

Disposal

Harddisk

Information Lifecycle Management Architektur


Organisatorische und technische Anforderungen an die sichere Speicherung von Informationen


Aktuelle und zum Teil widersprüchliche Anforderungen an die Archivierung


64

Informationsfreiheitsgesetz - IFG

Das IFG ist am 1. Januar 2006 in Kraft getreten.

Ursprung: Empfehlung Nr. 854 des Europarates von 1979

Ziele: • gewährt Bürgerinnen und Bürgern einen grundsätzlich freien Zugang

zu Informationen, die bei öffentlichen Verwaltungen vorhanden sind

Inhalte:• Das IFG soll das Bürgerrecht auf informelle Selbstbestimmung fördern,

• das Recht auf Informationszugang voraussetzungslos gewähren und

• Transparenz, Nachvollziehbarkeit und Kontrolle staatlichen Handelns gewährleisten.

(Quelle: http://www.duesseldorf.de/datenschutz/informationsfreigesetz/faq.shtml)


65

8. EU-Richtlinie

Neufassung der Abschlussprüferrichtlinie

Umsetzung in nationale Gesetzgebung bis Juni 2008

Ziele:

• Erhöhung der Glaubwürdigkeit der Finanzdaten

• besserer Schutz der EU gegen Finanzskandale

• Stärkung und Harmonisierung der Funktion der Abschlussprüfungen in den Mitgliedsstaaten

Inhalte:

• Zulassung, Unabhängigkeit und Pflichten der Abschlussprüfer

• Zu beachtende Prüfungsgrundsätze

• Verpflichtung zu einer externen Qualitätskontrolle

• Unabhängige Berufsaufsicht

• Sondervorschriften für Unternehmen im öffentlichen Interesse


66

EU-Richtlinie zum Datenschutz inTelekommunikationsnetzen (ISDN-Richtlinie)

Nachdem bereits 1990 ein erster Entwurf vorgelegt wurde, ist im Dezember 1997 die EU-Richtlinie verabschiedet worden.Ziel:

• Schaffung eines gemeinschaftsweit gleichwertigen Schutzes der Grundrechte hinsichtlich personenbezogener TK-Daten

• gilt auch für das interaktive Fernsehen und Video auf Abruf

Inhalt:

• Richtlinie soll die in Vorbereitung befindliche allgemeine EU-Datenschutzrichtlinie ergänzen

• Reaktion auf die rapide zunehmende Digitalisierung der öffentlichen Telekommunikationsnetze in der Europäischen Union

• Mitgliedstaaten müssen die Vertraulichkeit der Telekommunikation gewährleisten

(Quelle: http://www.datenschutz.mvnet.de/dschutz/taetberi/tb3/3_310.html)


67

Handelsgesetzbuch - HGB

In Ableitung der HGB-Vorschriften gelten folgende Kriterien für die Revisionssicherheit:• Ordnungsmäßigkeit • Vollständigkeit • Sicherheit des Gesamtverfahrens • Schutz vor Veränderung und Verfälschung • Sicherung vor Verlust • Nutzung nur durch Berechtigte • Einhaltung der Aufbewahrungsfristen • Dokumentation des Verfahrens • Nachvollziehbarkeit • Prüfbarkeit


68

GDPdU

Was heißt GDPdU?

„Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen“

• Umfeld

• Buchhaltungsdaten

• Sonstige steuerrechtlich relevante Informationen und Dokumente

• Gültigkeit

• Brief vom BMF 16.07.2001

• Umzusetzen ab 01.01.2002

• Herkunft

• Steuerreform (StSenkG)

• HGB AO


69

Verschärfung der GDPdU

Bestätigung der Urteile des FG Düsseldorf zur Ausweitung der GDPdU

•Ausweitung des Zugriffsrechts der Finanzbehörde auf Konten der handelsrechtlichen Buchhaltung, auf denen steuerlich nicht abzugsfähige Betriebsausgaben verbucht sind

•Eingescannte Belege, deren Original vernichtet wurde, müssen digital vorgehalten werden; Organisation der Datenbestände mit Trennung geschützter Daten, die nicht dem Einsichtnahme-recht unterliegen, ist Aufgabe des Steuerpflichtigen


70

Europäische Dienstleistungsrichtlinie

Umsetzung in nationales Recht bis Ende 2009

Ziele:• Beseitigung bürokratischer Hindernisse• Erleichterung des Handels mit grenzüberschreitenden Dienstleistungen• Vollendung des Binnenmarkts für Dienstleistungen

Inhalte (Auswahl):• Vereinfachung der Antrags-Verfahren und einheitliche Ansprechpartner• Dienstleister können alle Unterlagen, Anträge, etc. auch elektronisch einreichen• Aufbau eines Informations- und Kommunikationssystems für die europaweite Verwaltungszusammenarbeit• Konsequenz: Digitalisierung der öffentlichen Verwaltung


71

Strategie vor Organisation vor Technik

Strategie vor Organisation,Organisation und Mensch vor Technik

Grundsatz (1)

Projekte scheitern weniger wegen technischer Probleme sondern durch:• mangelnde Planung• mangelndes Know-how• Unterschätzung der organisatorischen Aufwände• Mangelnde Bereitschaft der Umstellung von Prozessen• fehlende Akzeptanzschaffung


72

Strategie vor Organisation vor Technik

Strategie vor Organisation,Organisation und Mensch vor Technik

Grundsatz (2)

Bei der Einführung einer Dokumenten-Technologie-Lösung sind:• 10 % Technik• 90 % Organisation


73

Durchgängigkeit

• Alle Prozesse sind betroffen, nicht nur Systeme.• Es finden sich viele Inseln und wenig Durchgängigkeit.• Eine „Anfang-zu-Ende“-Dokumentation ist erforderlich.• Der Mensch ist das größte Problem um „compliant“ zu sein.• Automatische Prozesse in Systemen können unterstützen,

jedoch nicht ersetzen.


74

Verfahrensdokumentation nach GoBS

• Eine Verfahrensdokumentation ist für alle elektronischen Archivsysteme, in denen Daten und Dokumente, die unter das HGB (und die GDPdU) fallen, Pflicht -> Grundsätzlich empfohlen für alle ILM-Umsetzungen!

• Die Erstellung und Fortschreibung der Verfahrensdokumentation liegt in der Verantwortung des Betreibers, im Sinne der GDPdU ist dies jedoch das steuerpflichtige Unternehmen

• Die Verfahrensdokumentation muss vollständig, nachvollziehbar und prüfbar sein.


Vertrauenswürdige Archive


76

Vertrauenswürdige Archive (1)

Umfeld:• Wissenschaftliche Erkenntnisse, historische Dokumente und

kulturelle Leistungen liegen immer häufiger nur noch in digitaler Form vor.

• Probleme, die bei der Langzeitarchivierung elektronischer Informationen auftreten nehmen eine immer stärkere Bedeutung an.

• Neben dem physischen Verfall der Medien ist die schnelle Weiterentwicklung der Technik zum interpretieren der gespeicherten Informationen, und damit einhergehend das schnelle veralten von eingesetzter Technik, eine ernsthafte Bedrohung für den Informationserhalt.


77

Vertrauenswürdige Archive (2)

Umsetzung:• Organisationen, die sich mit der Archivierung von Informationen

beschäftigen, müssen die Authentizität, Integrität, Vertraulichkeit und Verfügbarkeit digitaler Information sicherstellen und Vertrauenswürdigkeit nicht nur erlangen, sondern auch nach Außen darstellen können.

• Die nestor-Arbeitsgruppe „Vertrauenswürdige Archive - Zertifizierung“ hat Kriterien zur Bewertung der Vertrauenswürdigkeit eines digitalen Langzeitarchivs in organisatorischer und technischer Sicht identifiziert und in einem Kriterienkatalog festgehalten.

• Die funktionalen Entitäten und das Informationsmodell der OAIS Open Archival Information System (ISO 17421) wird so oft es geht als Grundlage zur Strukturierung des Kriterienkataloges genutzt, um eine gemeinsame Begriffsbasis zu erhalten.


Zukunft:Sicherheit und Zugriffskontrolle in der Langzeitarchivierung


79

Skandale (1)

Verlorene Daten in England – jüngster Fall:

Das Verteidigungsministerium teilte am 18.01.2008 mit, dass der Laptop eines Offiziers mit persönlichen Angaben von bis zu 600.000 Rekruten und Bewerbern der Streitkräfte gestohlen worden sei.

Die gespeicherten Daten reichten in einigen Fällen von Ausweis- und Führerschein-Details über Versicherungsnummern bis hin zu Angabenzur Familie sowie Name und Adresse von Ärzten der betroffenen Personen.

(Quelle: http://futurezone.orf.at/it/stories/250665/)


80

Skandale (2)

Datenverlust in Deutschland:• allein von 2005 bis 2007 sind in den Bundesbehörden 189

Computer, 326 Laptops, 38 Speicher-Sticks und 271 Handys mit teilweise sensiblen Daten abhanden gekommen

Beispiele:• beim Bundesamt für Zivildienst ist ein Notebook gestohlen worden,

auf dem komplette Datensätze mit persönlichen Daten gespeichert waren

• dem Verteidigungsministerium sind geheime Datenträger mit Informationen der Geheimhaltungsstufe "Verschlusssache -Vertraulich" und höher abhanden gekommen


81

Skandale (3)

Urteil gegen die Deutsche Bank:

• Die Deutsche Bank muss 87,5 Millionen Dollar Strafe zahlen, da sie große Teile der von der Börsenaufsicht angeforderten E-Mail-Korrespondenz der Mitarbeiter nicht finden konnte.


82

Skandale (4)

Siemens Korruptionsaffäre – mangelnde Transparenz

• Der größte deutsche Technologiekonzern steht vor einem Scherbenhaufen: Gleich drei Korruptionsaffären erschüttern das Traditionsunternehmen.

• Laut einem Bericht der „WirtschaftsWoche“ halten inzwischen Aufsichtsratsmitglieder eine Strafe in Höhe von bis zu 4 Milliarden Euro nicht mehr für ausgeschlossen

• Auch der Ex-Chef ist nun in den Fokus der Staatsanwaltschaft geraten. Der ehemalige Vorstandsvorsitzende Heinrich von Pierer steht im Verdacht, Bestechungsversuche persönlich in Auftrag gegeben zu haben. Pierer soll im Zusammenhang mit einem Großauftrag in Argentinien fragwürdige Zahlungen in Millionenhöhe angeordnet haben. Pierer bestreitet dies vehement.

Quellen: http://www.br-online.de/aktuell/siemens-korruption-bildergalerie-ID1209038237273.xmlhttp://www.zeit.de/themen/wirtschaft/unternehmen/korruption/siemens


Archivierung als gesellschaftliche Herausforderung


84

„Elektronische Archive sind das Gedächtnis der Informationsgesellschaft.“

(Erkki Likaanen, EU-Kommissar, 1999)


85

„Das Gedächtnis der Informationsgesellschaft ist ungeordnet, überfrachtet und zeigt erste Ausfallerscheinungen. Einerseits werden wir von der „Information Flood“ überrollt, andererseits tut sich aber ein immer größer werdendes „Information Gap“ nicht mehr verfügbarer oder auswertbarer elektronischer Information auf.“


86

„Zukünftige Archäologen werden vielleicht die Frühzeit der EDV einmal als das ‚Dunkle Zeitalter der frühen Informationskultur‘ bezeichnen.“


87

Fazit

Archivierung, Records Management und Information Lifecycle Management sind essentielle Bausteine jeder Datensicherheit- und Datenschutzstrategie.


Vielen Dank für Ihre Aufmerksamkeit !

Dr. Ulrich KampffmeyerE-Mail: [email protected]

Dokumentation des Vortrages, Newsletter, weitere Informationen zum Thema ...www.PROJECT-CONSULT.com

Date post:	16-Apr-2017
Category:	Business
Upload:	ulrich-kampffmeyer
View:	250 times
Download:	0 times