Fachartikel

PDF und Compliance-Anforderungen im HR-Bereich

Die Ablösung von bisher papiergebundenen Abläufen durch elektronische Prozesse stellt erhöhte Anforderungen an die Compliance – besonders im Personalwesen
Intelligente PDF-Dokumente verfügen über eingebaute Sicherheitsmechanismen, die durch bisher wenig bekannte Funktionen im Adobe Reader aktiviert werden

Autor: Harald Esch:

Authentizität und Sicherheit der elektronischen Dokumente ein "Muß", Bild: Adobe

Von Harald Esch (*)

(19.08.08) - Personaldaten gehören zu den sensibelsten Informationen im Unternehmen und ihre Verarbeitung unterliegt höchsten Compliance-Anforderungen. Datenschutz, Sicherheit, Nachvollziehbarkeit, Kontrolle oder Archivierbarkeit sind auch in hundertprozentig elektronisch ablaufenden Prozessen die Voraussetzung für den Einsatz entsprechender IT-Lösungen. Und die sind heute unerlässlich. Denn der administrative Aufwand in den Personalabteilungen vieler Unternehmen hat erhebliche Ausmaße angenommen und ist recht kostenintensiv – von der Bearbeitung von Urlaubsanträgen, über Datenänderungen bei Anschriften bis zur Verwaltung von Bewerbungen. Daran hat auch die Einrichtung von Shared Service Centern in vielen großen Firmen bisher nur wenig geändert. Denn vielfach laufen auch hier die entsprechenden Prozesse noch papiergebunden ab, sind unstrukturiert und ließen sich sehr viel effizienter organisieren.

Etwa durch eine Vereinheitlichung der Prozessdokumente und die flexiblere Gestaltung der dokumentenbasierten Abläufe. Damit können in der Personalabteilung – so die Erfahrung aus verschiedenen Projekten – zusätzliche freie Kapazitäten in einer Größenordnung von bis zu 22 Prozent geschaffen werden. Denn gerade Prozesse im Bereich Human Ressources (HR) haben in aller Regel einen hohen Dokumentenanteil und betreffen viele – wenn nicht sogar alle – Mitarbeiter im Unternehmen gleichzeitig, sie sind also hochvolumig.

PDF ist mehr als nur Papierersatz
Intelligente Dokumente können hier eine Alternative sein. Ihre Basis ist das plattformunabhängige "Adobe Portable Document Format" (PDF), das vor mehr als 15 Jahren entwickelt und heute weltweit als ISO-Norm den Standard für den sicheren und zuverlässigen Austausch elektronischer Dokumente darstellt. Viele Unternehmen nutzen zwar heute bereits PDF-Dateien, aber meist nur als reinen Papierersatz. Doch der Clou sind eigentlich die intelligenten Eigenschaften dieses Formats wie die Dateneinbettung, die Formularfunktion, die gesteuerte Zugriffskontrolle und vor allem vielfältige Sicherheitsfunktionen.

Der Adobe Reader verfügt dazu über einige versteckte Funktionen, die im Normalfall nicht oder nur selten genutzt werden und sich über ein entsprechendes intelligentes Dokument aktivieren lassen. Dazu zählen die Möglichkeit zum Abspeichern von eingegebenen Daten und zum Aufbringen von Kommentaren, das Anfügen von Anhängen, das digitale Signieren und ein dynamischer Barcode.

Während statische Formulare ein genau festgelegtes Erscheinungsbild haben, können dynamische PDF-Formulare ihr Layout in Abhängigkeit von den Eingaben selbstständig erweitern, etwa Bestellformulare für Büromaterial mit einer dynamischen Artikelliste. Die direkte Übernahme von Daten aus dem PDF in die Backend-Systeme mittels der Adobe-Server-Technologien sorgt dafür, dass die entsprechenden Geschäftsprozesse erheblich schneller und fehlerfrei ablaufen.

Gerade im sensiblen HR-Bereich erfüllen die intelligenten Dokumente sämtliche Sicherheitsansprüche und können vor dem Hintergrund der heute immer wichtiger werdenden Revisionssicherheit sogar noch einen weiteren Vorteil ausspielen: Sie lassen sich dank der integrierten Logik so gestalten, dass darin nur noch bestimmte Textbereiche verändert werden können – und nicht mehr wie früher mit der Textverarbeitung das gesamte Dokument. Dies geschieht durch "unwiederbringliches Unkenntlichmachen" (text reduction) und beinhaltet auch die Metadaten der Originaldatei. Diese Schutzmaßnahme vor unerwünschten Änderungen kann auch sehr gut individuell von Fall zu Fall gesteuert werden.

Adobe PDF-Formulare:

PDF-Formular mit Signatur entsprichti in allen Punkten dem seines Pendants auf Papier, Bild: Adobe

Elektronische Workflows erfordern Sicherheit
Intelligente Formulare sind allerdings nur der Anfang. Mit Hilfe der "Adobe LiveCycle Suite", einem interaktiven Lösungspaket zur Prozessverwaltung, lässt sich die Erfassung, Verarbeitung und Archivierung von Informationen in Unternehmen durch den Aufbau komplett elektronischer Workflows deutlich vereinfachen. Die einzelnen Komponenten können softwaretechnisch wie eine Sammlung von Services betrachtet werden, die sich beliebig kombinieren und nutzen lassen. Etwa zur Prozessautomatisierung, zur Erstellung elektronischer Formulare, zur Steuerung von Geschäfts- und Verwaltungsprozessen, zur Informationssicherung und zum Generieren von Dokumenten.

Eine Grundvoraussetzung für ihren Einsatz ist die Authentizität und die Sicherheit der elektronischen Dokumente. Die Prozesse müssen sicher und nachvollziehbar gestaltet werden und sind auch richtlinienkonform zu dokumentieren. Eine wichtige Komponente dafür stellt neben dem integrierten Passwortschutz, der auch für einzelne Textpassagen aktiviert werden kann, die elektronische Signatur dar. Die intelligenten Formulare können dazu mit einer oder mehreren Signaturen innerhalb der PDF-Datei versehen werden. Diese umfassen auch Anlagen zum Dokument, etwa gescannte Belege, Nachweise oder Zeugnisse.

Nach dem Öffnen der Datei findet eine automatische Prüfung der Signatur statt. Der Empfänger kann an der Gültigkeit der Signatur erkennen, dass diese Datei zum einen unverfälscht ist und zum anderen die Echtheit des Absenders überprüfen. Seit 2005 ist in Deutschland die "Qualifizierte Elektronische Signatur" innerhalb von PDF-Dokumenten zugelassen und verschiedene Softwareanbieter haben dafür entsprechende Lösungen entwickelt. Mit nur wenigen Klicks lassen sich so Formulare am PC rechtsverbindlich und beweissicher elektronisch unterschreiben.

Das PDF-Formular mit Signatur entspricht dabei in allen Punkten dem seines Pendants auf Papier. Die "Qualifizierte Elektronische Signatur" ist mit wenigen Ausnahmen bei allen Dokumenten, die der so genannten Schriftform bedürfen, der handschriftlichen gleichgesetzt. Beim Empfänger des PDF-Dokuments wird sie bequem auf Gültigkeit geprüft – auch ohne Signaturkarte und Kartenleser.

Digital Rights Management und Plausibilitätskontrollen
Wenn höchste Anforderungen an den Dokumentenschutz und die Nachvollziehbarkeit der Prozesse gestellt werden oder der Empfang von Dokumenten protokolliert werden muss, bietet das Modul "Adobe LiveCycle Rights Management ES" die richtige Antwort. Diese DRM-Lösung kombiniert dynamische Schutzfunktionen auf Dokumentenebene mit Techniken des Enterprise-Rights-Management zum Schutz geschäftskritischer Dokumente. Über "Adobe LiveCycle"-Komponenten wie dem "Policy Server", der sich an vorhandene Verzeichnisstrukturen im Unternehmen (Active Directory, LDAP) ankoppeln lässt, werden ebenfalls der Zugriffsschutz und die Vertraulichkeit der Dokumente gewährleistet.

Neben den verschiedenen Sicherheits-Features können bei der Gestaltung der Formulare aber auch weitere Funktionen berücksichtigt werden, wie zum Beispiel zur Durchführung von Plausibilitätskontrollen in Echtzeit. Sie stellen sicher, dass die eingegebenen Daten – etwa in einem Zeugnis, bei einer Adressänderung oder einer neuen Bankverbindung für das Gehaltskonto – bereits bei der Erfassung korrekt sind und im Falle von Eingabefehlern nicht erst im Backend-System mühsam berichtigt werden müssen.

Um ein intelligentes Formular zu erstellen, kann der Sachbearbeiter in der Personalabteilung mit dem grafischen Autorenwerkzeug "Adobe LiveCycle Designer" einfach die benötigten Eingabefelder – sowohl für Texte als auch für Zahlen – auf eine Vorlage ziehen. Standardelemente wie Formularköpfe, Unterschriftsfelder und Barcodes sind in einer Bibliothek abgelegt und können ebenfalls per Drag und Drop ins Formular übernommen werden. Beim Ablegen der Objekte auf der Seite wird im Hintergrund der dazugehörige XML-Code automatisch erzeugt und es findet eine Verknüpfung der Formularfelder mit den dazugehörigen Strukturelementen des IT-Systems statt.

Durch die Einbindung der Business-Logik, von Sicherheitstechnologien, elektronischen Unterschriften und anderen Funktionalitäten lassen sich mit Hilfe der dynamischen PDF-Dokumente bisher papierbasierte Geschäftsprozesse relativ schnell durch einen elektronischen Workflow ersetzen und erhebliche Rationalisierungspotenziale erschließen – unter Einhaltung sämtlicher Compliance-Anforderungen.

(*) Harald Esch ist Sales Director Central Europe bei Adobe Systems.
(Adobe: ra)

Meldungen: Hintergrund

Fälschungen: Eine zunehmende Online-Bedrohung "If you can make it, they can fake it." Leider ist dieses Sprichwort nur allzu wahr. Der Handel mit gefälschten Waren betrifft heute fast alle Branchen und Produkte, von Luxusgütern und Technologieprodukten mit entsprechend hoher Marge bis hin zu eher margenschwachen Verbrauchsartikeln wie Batterien, Shampoo, Kraftstoff und Nahrungsmitteln. Und das Problem breitet sich aus. Nicht zuletzt, weil immer mehr gefälschte Waren hergestellt werden, und zwar vor allem in Ländern wie China, wo die Produktionskapazitäten förmlich explodieren (89 Prozent aller beschlagnahmten Fälschungen stammen von dort).

Gefahren beim Online-Banking Millionen Europäer nutzen heute Online-Banking – obwohl Umfragen zeigen, dass 85 Prozent der europäischen Verbraucher Sicherheitsbedenken bei der Nutzung von Finanzdienstleistungen im Internet haben. Dass die Bedenken begründet sind, lässt sich fast im Wochenrhythmus in den Zeitungen nachlesen: Ständig kann man Nachrichten über gestohlene Identitäten, verlorengegangene persönliche Daten und neue Betrugsversuche lesen. Dennoch bleiben die Methoden, die Cyber-Kriminelle für den Betrug im Online-Banking nutzen, für die meisten Menschen ein Buch mit sieben Siegeln.

Datendiebstahl und Informationssicherheit Weshalb ist es möglich, dass ein "Army Intelligence Analyst" mit über 250.000 Diplomatischen Datensätzen – gebrannt auf eine ganz normale CD-RW und gelabelt mit Lady Gagas Song "Telephone" – den Irakischen Stützpunkt in der Nähe von Bagdad verlassen konnte? Ein 22-jähriger Mann hat damit den wahrscheinlich größten Datendiebstahl in der amerikanischen Geschichte geschafft.

Die gravierenden Risiken der Non-Compliance 84 Prozent der deutschen Unternehmensführer betrachten Compliance, also die Einhaltung von Verhaltensmaßregeln, Gesetzen und Richtlinien inzwischen als wichtigen Faktor für den Unternehmenserfolg. Die nicht endende Flut an "Skandalen", zuletzt in Folge der Wirtschafts- und Finanzkrise, macht die Compliance-Schadensfälle für Unternehmen zur Chefsache. Das sind Ergebnisse der Potenzialanalyse Compliance von Steria Mummert Consulting.

Datenschutzprinzipien zur besseren Compliance Die Zeitschrift Forbes nannte das Jahr 2009 das "Year of the Mega Data Breach". Mit 220 Millionen gestohlenen Datensätzen wird der 2008 aufgestellte Rekord von 35 Millionen um mehr als das sechsfache übertroffen. Einen großen Anteil an dieser Entwicklung tragen unsicher entwickelte Softwareapplikationen, die Datensysteme zum Selbstbedienungsladen für Kriminelle machen.

Compliance durch sicheren Umgang mit Log-Daten Zahlreiche Compliance-Vorschriften wie Health Insurance Portability and Accountability Act (HIPPA) oder Payment Card Industry Data Security Standard (PCI-DSS) fordern von Unternehmen die Sammlung und Speicherung ihrer Log-Daten. Doch den Betroffenen entstehen dadurch auch neue Möglichkeiten um beispielsweise Angriffe zu erkennen oder Fehlerursachen schneller zu finden.

Informationsaustausch in Steuersachen Im Fall des Ex-Vorstandes der Deutschen Post AG, Klaus Zumwinkel, stand bereits vor Beginn der Razzia und bei seiner Abfahrt in Polizeibegleitung das Kamerateam bereit. In der Folge hätte rechtlich geklärt werden können, ob man Steuersünder aufgrund "erst gestohlener und später gleichsam als Hehlerware weiterverkaufter Daten" überhaupt verurteilen darf. Ab dem 01.01.2010 hat sich diese Fragestellung endgültig erledigt, denn dann tritt ein Abkommen zwischen Deutschland und Liechtenstein in Kraft, welches nahezu jeden Informationsaustausch in Steuersachen sicherstellt.

E-Mail und die digitale Steuerprüfung Kaufmännische Briefe und Rechnungen werden seit über 500 Jahren auf dem Postweg verschickt. Anschließend wurden sie in Kellern oder Lagern aufbewahrt, damit sie für notwendige Zugriffe schnell verfügbar waren. Inzwischen läuft der Versand kaufmännischer Dokumente fast ausschließlich digital per E-Mail. Dies erfordert jedoch neue Strukturen für die Archivierung und Strukturierung der Daten sowie zum Nachweis, dass die Daten und Inhalte nicht verändert wurden. Denn das ist eine Grundvoraussetzung dafür, dass die Prüfbarkeit auch der digitalen Daten und Dokumente gegeben ist.

Erfassung interner und externer Mails Nach einem Urteil des Oberlandesgerichts Karlsruhe von 2005 erfüllt schon das Löschen und Ausfiltern von E-Mails den Tatbestand des Unterdrückens gemäß §206 StGB. Daher müssen Unternehmen zur Gewährleistung der Compliance sämtliche elektronischen Nachrichten im Originalformat archivieren, selbst Spam- und vireninfizierte E-Mails. Entsprechend bieten manche herkömmliche E-Mail-Archivierungssysteme nur eine unzureichende juristische Absicherung. Denn sie erfassen und speichern eingehende Mails erst, nachdem sie von Antiviren- oder Spam-Filtern aussortiert wurden. Zusätzlich können bei Systemabstürzen einzelne Mails verloren gehen, wenn sie nicht zuvor vom Archivsystem gesichert wurden.

Compliance und ECM ergänzen sich gegenseitig Die Komplexität der heutigen Compliance-Vorschriften macht es für Mitarbeiter fast unmöglich, selbst den Überblick darüber zu behalten, welche Nachrichten gespeichert werden müssen und welche nicht. Daher können Unternehmen heutzutage nicht mehr darauf verzichten, E-Mails automatisch zu sichern. Eine softwareseitige Unterstützung erleichtert nicht nur den Mitarbeitern die Arbeit, sondern gibt der Geschäftsführung Sicherheit, dass wichtige E-Mails auch wirklich aufbewahrt werden.