Fachartikel

Compliance und Archivierungsvorschriften

Wenn der Betriebsprüfer kommt: Die Compliance-Thematik schwebt wie ein Damoklesschwert über den Unternehmen
Mit der "EMC Centera Governance Edition" erfüllen Anwender bei der Online-Speicherung elektronischer Daten wie E-Mails, Krankenberichte oder Röntgenbilder schon jetzt alle gesetzlichen Vorgaben für deren Aufbewahrung

CAS-Anwendung "Centera"

Technologie auf Basis von Festplattensystemen, Bild: EMC

(27.10.08) - Rund sechs Prozent ihres Budgets geben Unternehmen dafür aus, interne und externe Vorschriften zu erfüllen. Das geht aus einer Untersuchung des Wirtschaftsprüfungsunternehmens Price Waterhouse Coopers unter den Topmanagern amerikanischer und europäischer Konzerne hervor. Dabei gibt mehr als die Hälfte der Manager zu, keine klare Vorstellung hinsichtlich des Nutzens dieser Ausgaben für die eigene Firma zu haben. Eine fatale Entwicklung, zumal seit Beginn des Jahres 2005 neue gesetzliche Richtlinien definieren, wie Unternehmen steuerlich relevante Daten in auswertbarer Form vorhalten müssen.

Diese ergänzen bereits bestehende Anforderungen wie die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) in Deutschland sowie die Geschäftsbücherverordnung (GeBüV) für die Schweiz und werden trotz ihrer Wichtigkeit nur gering beachtet. Dabei müssten Organisationen ihre IT-Infrastrukturen bereits jetzt dahingehend ausrichten, dass sie für eine vollständige Kontrolle und Dokumentation des Informationsflusses sowie deren effiziente Archivierung geeignet sind.

Wer nach der konkreten Bedeutung des Begriffes Compliance fragt, wird zahlreiche Antworten erhalten und stößt häufig auf das Schlagwort Corporate Governance. Hierzu gibt es umfassendes Informationsmaterial von einer Definition des Bundesjustizministeriums bis zu einem Kodex für Corporate Governance, dessen Einhaltung in der Unternehmenspraxis sogar von einer Regierungskommission überwacht wird. Dieser Kodex soll die in Deutschland geltenden Regeln für Unternehmensleitung und -überwachung für nationale und internationale Investoren transparent machen. Der Kodex adressiert unter anderem mangelhafte Ausrichtung auf Aktionärsinteressen, duale Unternehmensverfassung mit Vorstand und Aufsichtsrat sowie die mangelnde Transparenz in der Unternehmensführung.

Aber jetzt zurück zum Thema Compliance, denn im Gegensatz zu Corporate Governance sind sich die Gelehrten über eine genaue Bedeutung und Definition immer noch nicht so ganz einig. Was bedeutet Compliance eigentlich? Wörterbücher und Übersetzungsprogramme helfen nicht wirklich weiter. Sie bieten für das Wort ein facettenreiches Spektrum. Das Angebot reicht von Einhaltung, Erfüllung oder Folgsamkeit sogar bis zur Unterwürfigkeit. In den gängigen Suchmaschinen tummeln sich zahlreiche Hinweise, aber wenige helfen wirklich weiter. Am weitesten kommen Interessenten derzeit noch mit einem Klick auf Seiten aus den USA. In Deutschland. (Lesen Sie auch: Was ist Compliance? - Die Definition von Compliance-Magazin.de)

Der Stein kommt ins Rollen
Denn wie so viele andere hat auch das Thema Compliance seine Wurzeln in den Vereinigten Staaten. Primär durch die Skandale rund um ENRON, WorldCom und andere Unternehmen wurden Compliance-Fragestellungen in größerem Umfang öffentlich diskutiert. Ursache waren damals Unregelmäßigkeiten bei Kontrollen durch Wirtschaftsprüfer und in Geschäftsberichten der Unternehmen. E-Mails spielten dabei erstmals als Beweismaterial für gesetzeswidriges Handeln eine wichtige Rolle. So kam es im Jahr 2002 zu dem Sarbanes-Oxley Act, kurz SOX, benannt nach den beiden Leitern der damals zuständigen Ermittlungskommission. Dieser Gesetzentwurf soll Prüfungen der US-Börsenaufsicht Securities and Exchange Commission (SEC) von Unternehmens- und Buchhaltungsdaten transparenter und besser nachvollziehbar gestalten.

Der SOX wird für alle Unternehmen angewendet, die an den US-Börsen gelistet sind. Dies kann deutsche und Schweizer Großunternehmen ebenso betreffen wie amerikanische Firmen, die international agieren. Demnach werden Unternehmen verpflichtet, unter anderem ein internes Kontrollsystem für die Rechnungslegung zu unterhalten und die Richtigkeit ihrer Quartals- und Jahresberichte beglaubigen zu lassen. Einfach ausgedrückt bedeutet Compliance somit die gesetzeskonforme Verwaltung von Informationen.

Alles elektronisch
Eine europäische Variante des Sarbanes-Oxley Act wird wohl nur noch eine Frage der Zeit sein. Denn E-Commerce und elektronischer Geschäftsverkehr, zunehmende Kommunikation per E-Mail und die Umstellung öffentlicher Verwaltungen auf elektronische Prozesse haben weitere Compliance-Anforderungen zur Folge. Einige EU-Richtlinien hat Deutschland bereits mit den Richtlinien für E-Commerce sowie zur elektronischen Signatur und die Schweiz mit dem Obligationenrecht (OR) umgesetzt.

Ein Beispiel hierfür ist die elektronische Rechnung. Sie berechtigt nur dann zum Vorsteuerabzug, wenn die elektronische Signatur diesen offiziellen Rahmenbedingungen entspricht. Unter Berücksichtigung dieser und noch zu erwartender Entwicklungen sind Unternehmen gut beraten, sich über eine IT-Strategie Gedanken zu machen, die möglichst viele Compliance-Anforderungen erfüllt und gleichzeitig Prozesse der Datenverarbeitung, -archivierung und -vernichtung effizient gestaltet.

Generell scheint der Begriff Compliance für viele noch ein Buch mit sieben Siegeln zu sein. Wer nach einem konkreten Compliance-Gesetz sucht, wird dementsprechend auch nichts finden. Dennoch sind beispielsweise die deutschen Grundsätze des Datenzugriffs und der Prüfbarkeit digitaler Unterlagen oder jene der Schweizer GeBüV durchaus mit Vorgaben der SEC vergleichbar.

Hier handelt es sich um landesweit gültige Vorschriften, die sicherstellen, dass Finanzverwaltungen im Rahmen von Außenprüfungen auf die steuerrelevanten Daten eines Unternehmens zugreifen können. Diese Informationen müssen gemäß den Aufbewahrungsfristen bis zu zehn Jahre vorgehalten werden. Die Originaldaten sind vollständig, richtig und auswertbar zu archivieren. Deshalb spielen auch bei der GDPdU sowie der GeBüV Dokumente und E-Mails neben den Daten aus Unternehmensanwendungen wie SAP-, ERP- und Buchhaltungssystemen eine zunehmend wichtigere Rolle.

Grundsätze für mehr Stringenz
Noch genauer regeln die Grundsätze ordnungsgemäßer DV-gestützter Buchführungssysteme (GoBS) beziehungsweise OR, Grundsätze ordnungsmäßiger Buchführung (GoB) und GeBüV in der Schweiz die Aufbewahrung von kaufmännischen Unterlagen in elektronischer Form. (Inwieweit die handelsrechtlichen von den steuerrechtlichen Vorgaben abweichen, lesen Sie in dem Artikel von Dietmar Hoffmann, Manager bei KPMG Advisory, auf den Seiten 9 und 10.)

Hier sind die Grundsätze für das interne Sicherheitssystem, die revisionssichere Archivierung und die Verfahrensdokumentation festgelegt. Mit diesen Vorgaben versprechen sich Bund und Länder, die Voraussetzungen für E-Commerce und E-Business sowie eine effektive elektronische Informationsverwaltung stringenter zu regeln. Die elektronische Signatur wird in diesem Zusammenhang immer häufiger genannt und könnte im Jahr 2005 den Durchbruch schaffen. Denn ihr Einsatz wird jetzt schon in nahezu allen neueren Gesetzen geregelt.

Die europäische Union und ihre Mitgliedsstaaten arbeiten zunehmend enger zusammen. Angesichts eines grenzüberschreitenden Geschäftsverkehrs oder über das Internet abrufbare elektronische Dienstleistungen wird ein einheitlicher Rechtsraum insbesondere im Handels- und Steuerrecht unerlässlich. Auf Basis von EU-Richtlinien, die für alle Mitglieder bindend sind, werden zwangsläufig weitestgehend einheitliche Compliance-Anforderungen entstehen. Zwischen Österreich und Deutschland bestehehen nur noch kleine Unterschiede in Detailregelungen.

Auch wenn beispielsweise die Bereithaltung von Daten zur steuerlichen Prüfung in Österreich in Form einer Liste ausreicht, sind die Anforderungen bei der Auswertbarkeit die gleichen. Selbst die Schweiz als Nicht-EU-Mitglied hat mittlerweile die wesentlichen Gesetze und Verordnungen an die europäischen Vorgaben schrittweise angeglichen. Dies zeigt sich beispielsweise in den Bestimmungen zur Buchführung im OR. Sie regeln die Aufbewahrung von Geschäftskorrespondenz, der Bücher und der Buchungsbelege in elektronischer Form.

Compliance: Eine Checkliste

• Wie hoch wird der Zeitaufwand einer Bilanzprüfung eingeschätzt und wie könnte diese effizienter ablaufen?
• Können mit der bisherigen Archivierungsstrategie alle verfahrenserheblichen Informationen bereitgestellt werden?
• Wird es in fünf Jahren noch ein System geben, das heutige Band- beziehungsweise optische Medien lesen kann?
• Verfügt die Organisation über ein zuverlässiges Verfahren zum Speichern und Abrufen geschäftskritischer und vertraulicher Daten?
• Wie effizient und kostenintensiv sind Offenlegungs- und Reporting-Prozesse?
• Gibt es ein integriertes System zur Verwaltung von Datensätzen – von der Erstellung über die Wartung bis zur Datenvernichtung?
• Verfügt das Unternehmen über ein systematisches Verfahren zur Datensatzarchivierung – und lässt sich die Wirksamkeit dieses Verfahrens problemlos belegen?
• Sind Aktivitäten ausgelagert, bei denen Datensätze (beispielsweise neue Konten oder Geschäftsbestätigungen) erstellt werden?
• Werden aufgezeichnete Kundenanfragen archiviert?

IT soll es richten
Unabhängig von geografischen Regionen resultieren aus Compliance-Anforderungen auch wachsende Ansprüche an die IT-Infrastruktur. Das Angebot reicht von einzelner Software und Systemen bis hin zu Lösungen für die vollständige Kontrolle und Dokumentation des Informationsflusses. Die Tendenz geht klar in Richtung solcher Lösungen, die möglichst viele Anforderungen abdecken. Ziel sollte eine Infrastruktur sein, die alle Informationen des Unternehmens verwalten und bereithalten kann. Mit Enterprise Content Management, Records Management oder Information Lifecycle Management gibt es schon einige technologische Entwicklungen in die richtige Richtung.

Der Software-Anbieter Adobe Systems hat mit Compliance-Reporting schon eine Lösung im Portfolio, die auf dem selbst entwickelten Dateiformat PDF basiert. Diese ermöglicht Organisationen, Abstimmungsprozesse zu automatisieren, die Integrität finanzieller Berichte zu erhöhen und durchsuchbare Indizes für Finanzdaten zu erstellen. Letztlich bedarf es aber einer umfangreicheren Information und Aufklärung der Anwender rund um das Thema Compliance. Denn bisher gibt es nur wenige anerkannte Zertifizierungen. Diese beschränken sich dann wieder auf einzelne Produkte oder Prozesse. So bleibt dem Anwender derzeit oft nur die Möglichkeit, sich an Standards, Praxisbeispielen und Richtlinien, wie beispielsweise das Grundschutzhandbuch des BSI, zu orientieren. Wer schon jetzt auf der sicheren Seite sein will, stellt die Nutzung, Verteilung und Archivierung relevanter Informationen von Papier auf elektronische Dokumente um. Zur richtlinienkonformen Verwaltung, Archivierung und fristgerechten Löschung werden in zunehmendem Maße spezialisierte Speicherlösungen genutzt. Für die Steuerung und Kontrolle der Datenträger sind oft so genannte Jukeboxen im Einsatz.

Diese stellen Software-gestützt die benötigten Informationen bereit und ermöglichen in der Regel auch, Medien zu verwalten, die sich nicht mehr in der Jukebox befinden und auf Anforderung manuell zugeführt werden. Dieser Prozess ist allerdings extrem aufwändig und bietet keine Sicherheit, ob alte Daten mit den Jukeboxen der Zukunft noch kompatibel beziehungsweise lesbar sein werden. Deshalb erfreut sich neben den klassischen Archivspeichern eine neue Technologie auf Basis von Festplattensystemen wachsender Beliebtheit: Content Addressed Storage (CAS).

Eine typische CAS-Anwendung ist die "EMC Centera". Sie ist eine kombinierte Hard- und Software-Lösung mit einer online-basierten Architektur. Wird eine in Centera bereits archivierte Datei geändert, behandelt das System diese wie ein neues Objekt. Mithilfe einer Kodierung bei der Speicherung und Vergabe einer speziellen Adresse verhindert Centera ein Überschreiben oder Ändern der Informationen. Mit der "EMC Centera Governance Edition" erfüllen Anwender bei der Online-Speicherung elektronischer Daten wie E-Mails, Krankenberichte oder Röntgenbilder schon jetzt alle gesetzlichen Vorgaben für deren Aufbewahrung. Alle EMC Centera-Systeme von EMC sind zudem nach dem Prüfungsstandard 880 des Instituts der Wirtschaftsprüfer und Compliance zertifiziert.

Zum Abschluss sollte nicht unerwähnt bleiben, dass auch in Deutschland und der Schweiz schon einige Unternehmen das Thema Compliance sehr ernst nehmen. So gibt es bei dem Chemieriesen BASF bereits seit 2003 einen Chief Compliance Officer. Er ist zuständig für die kontinuierliche, gruppenweite Weiterentwicklung eines speziellen Programms und betreut ein Netzwerk von regionalen Compliance-Beauftragten. Dieses Programm bei BASF soll Mitarbeitern eine Hilfestellung zu korrektem Verhalten geben. Eine Handlungsanleitung fasst zentrale gesetzliche Bestimmungen und die entsprechende Unternehmenspolitik zusammen. Es kommt übrigens sicher nicht von ungefähr, dass dieser Chief Compliance Officer bei BASF ein zugelassener Rechtsanwalt ist. (EMC: ra)

Meldungen: Hintergrund

Fälschungen: Eine zunehmende Online-Bedrohung "If you can make it, they can fake it." Leider ist dieses Sprichwort nur allzu wahr. Der Handel mit gefälschten Waren betrifft heute fast alle Branchen und Produkte, von Luxusgütern und Technologieprodukten mit entsprechend hoher Marge bis hin zu eher margenschwachen Verbrauchsartikeln wie Batterien, Shampoo, Kraftstoff und Nahrungsmitteln. Und das Problem breitet sich aus. Nicht zuletzt, weil immer mehr gefälschte Waren hergestellt werden, und zwar vor allem in Ländern wie China, wo die Produktionskapazitäten förmlich explodieren (89 Prozent aller beschlagnahmten Fälschungen stammen von dort).

Gefahren beim Online-Banking Millionen Europäer nutzen heute Online-Banking – obwohl Umfragen zeigen, dass 85 Prozent der europäischen Verbraucher Sicherheitsbedenken bei der Nutzung von Finanzdienstleistungen im Internet haben. Dass die Bedenken begründet sind, lässt sich fast im Wochenrhythmus in den Zeitungen nachlesen: Ständig kann man Nachrichten über gestohlene Identitäten, verlorengegangene persönliche Daten und neue Betrugsversuche lesen. Dennoch bleiben die Methoden, die Cyber-Kriminelle für den Betrug im Online-Banking nutzen, für die meisten Menschen ein Buch mit sieben Siegeln.

Datendiebstahl und Informationssicherheit Weshalb ist es möglich, dass ein "Army Intelligence Analyst" mit über 250.000 Diplomatischen Datensätzen – gebrannt auf eine ganz normale CD-RW und gelabelt mit Lady Gagas Song "Telephone" – den Irakischen Stützpunkt in der Nähe von Bagdad verlassen konnte? Ein 22-jähriger Mann hat damit den wahrscheinlich größten Datendiebstahl in der amerikanischen Geschichte geschafft.

Die gravierenden Risiken der Non-Compliance 84 Prozent der deutschen Unternehmensführer betrachten Compliance, also die Einhaltung von Verhaltensmaßregeln, Gesetzen und Richtlinien inzwischen als wichtigen Faktor für den Unternehmenserfolg. Die nicht endende Flut an "Skandalen", zuletzt in Folge der Wirtschafts- und Finanzkrise, macht die Compliance-Schadensfälle für Unternehmen zur Chefsache. Das sind Ergebnisse der Potenzialanalyse Compliance von Steria Mummert Consulting.

Datenschutzprinzipien zur besseren Compliance Die Zeitschrift Forbes nannte das Jahr 2009 das "Year of the Mega Data Breach". Mit 220 Millionen gestohlenen Datensätzen wird der 2008 aufgestellte Rekord von 35 Millionen um mehr als das sechsfache übertroffen. Einen großen Anteil an dieser Entwicklung tragen unsicher entwickelte Softwareapplikationen, die Datensysteme zum Selbstbedienungsladen für Kriminelle machen.

Compliance durch sicheren Umgang mit Log-Daten Zahlreiche Compliance-Vorschriften wie Health Insurance Portability and Accountability Act (HIPPA) oder Payment Card Industry Data Security Standard (PCI-DSS) fordern von Unternehmen die Sammlung und Speicherung ihrer Log-Daten. Doch den Betroffenen entstehen dadurch auch neue Möglichkeiten um beispielsweise Angriffe zu erkennen oder Fehlerursachen schneller zu finden.

Informationsaustausch in Steuersachen Im Fall des Ex-Vorstandes der Deutschen Post AG, Klaus Zumwinkel, stand bereits vor Beginn der Razzia und bei seiner Abfahrt in Polizeibegleitung das Kamerateam bereit. In der Folge hätte rechtlich geklärt werden können, ob man Steuersünder aufgrund "erst gestohlener und später gleichsam als Hehlerware weiterverkaufter Daten" überhaupt verurteilen darf. Ab dem 01.01.2010 hat sich diese Fragestellung endgültig erledigt, denn dann tritt ein Abkommen zwischen Deutschland und Liechtenstein in Kraft, welches nahezu jeden Informationsaustausch in Steuersachen sicherstellt.

E-Mail und die digitale Steuerprüfung Kaufmännische Briefe und Rechnungen werden seit über 500 Jahren auf dem Postweg verschickt. Anschließend wurden sie in Kellern oder Lagern aufbewahrt, damit sie für notwendige Zugriffe schnell verfügbar waren. Inzwischen läuft der Versand kaufmännischer Dokumente fast ausschließlich digital per E-Mail. Dies erfordert jedoch neue Strukturen für die Archivierung und Strukturierung der Daten sowie zum Nachweis, dass die Daten und Inhalte nicht verändert wurden. Denn das ist eine Grundvoraussetzung dafür, dass die Prüfbarkeit auch der digitalen Daten und Dokumente gegeben ist.

Erfassung interner und externer Mails Nach einem Urteil des Oberlandesgerichts Karlsruhe von 2005 erfüllt schon das Löschen und Ausfiltern von E-Mails den Tatbestand des Unterdrückens gemäß §206 StGB. Daher müssen Unternehmen zur Gewährleistung der Compliance sämtliche elektronischen Nachrichten im Originalformat archivieren, selbst Spam- und vireninfizierte E-Mails. Entsprechend bieten manche herkömmliche E-Mail-Archivierungssysteme nur eine unzureichende juristische Absicherung. Denn sie erfassen und speichern eingehende Mails erst, nachdem sie von Antiviren- oder Spam-Filtern aussortiert wurden. Zusätzlich können bei Systemabstürzen einzelne Mails verloren gehen, wenn sie nicht zuvor vom Archivsystem gesichert wurden.

Compliance und ECM ergänzen sich gegenseitig Die Komplexität der heutigen Compliance-Vorschriften macht es für Mitarbeiter fast unmöglich, selbst den Überblick darüber zu behalten, welche Nachrichten gespeichert werden müssen und welche nicht. Daher können Unternehmen heutzutage nicht mehr darauf verzichten, E-Mails automatisch zu sichern. Eine softwareseitige Unterstützung erleichtert nicht nur den Mitarbeitern die Arbeit, sondern gibt der Geschäftsführung Sicherheit, dass wichtige E-Mails auch wirklich aufbewahrt werden.