GDPdU und elektronische Archivierung | Dr, Ulrich Kampffmeyer | PROJECT CONSULT | 2004

GDPdU und elektronische Archivierung

Dr, Ulrich Kampffmeyer

PROJECT CONSULT

UnternehmensberatungDr. Ulrich Kampffmeyer GmbH

Breitenfelder Straße 17

20251 Hamburg

www.project-consult.com© PROJECT CONSULT 2004

1


Dr. Ulrich Kampffmeyer

München, 27.10.2004

P R O J E C T C O N S U L TUnternehmensberatung Dr. Ulrich Kampffmeyer GmbH



PROJECT CONSULT



20251 Hamburg


2

Background

Dr. Ulrich Kampffmeyer

Inhaber und Geschäftsführer, PROJECT CONSULT Unternehmensberatung GmbH, Hamburg (D)Managing Partner, PCI PROJECT CONSULT International Ltd., London (UK)Mitglied des Board of Directors, DLM Network EEIG, Worcester (UK)Vorsitz des Scientific Committee, DLM Forum of the European Commission, Brussels (B)Früheres Mitglied des Board of Directors, AIIM International, Washington (USA)Vorsitz des Board of Directors, AIIM Europe, Datchet (bis 2004) (UK)Mitglied des ISO committees 15489 Records Management und 19005 PDF-Archive (D, USA)

PROJECT CONSULT Unternehmensberatung

Hersteller- und produktunabhängiges Beratungsunternehmen für IT-Strategie, Fachberatung, Planung und Organisation zu Einführung, Migration und Abnahme von Informationssystemen, Projektmanagement und Coaching für Projekte der DRT Document Related Technologies wie Archivierung, Dokumenten -, Enterprise Content - , Information Lifecycle Management u.a.

PROJECT CONSULT bietet Content + News sowie kommentierte Unternehmensinfos zu allem Wissenswerten der DRT in einem umfangreichen Archiv ( http://www.project-consult.com )

CDIA+ Zertifizierungs-Programm

MoReq und E-Term Seminare, White Papers und Veröffentlichungen

Web Portal mit Artikeln, Glossar, Markt, Newsletter (Deutsch; mit Übersetzungen in Englisch, Französisch, Spanisch und Russisch)

Diskussionsforen, Branchennachrichten



PROJECT CONSULT



20251 Hamburg


3

Agenda

• Rechtsgrundlagen

• Aktueller Stand der Diskussion um die GDPdU

• Elektronische Archivierung und GDPdU

• Verfahrensdokumentation nach GoBS

• Ausblick auf weitere Entwicklungen



PROJECT CONSULT



20251 Hamburg


4

Unterlagen in digitaler Form

http:// www . Elektronische-Steuerpruefung. de

http:// www . GDPdU-Portal. de

http:// www . PROJECT-CONSULT. com



PROJECT CONSULT



20251 Hamburg


5

Rechtsgrundlagen

• Handelsrecht und Steuerrecht (HGB, AO, GDPdU, GoBS ...)• Sonstiges rechtliches Umfeld• Elektronische Signatur• Compliance



PROJECT CONSULT



20251 Hamburg


6

Massive Veränderung der rechtlichen Situation

ZivilprozessordnungZivilprozessordnung

AbgabenordnungAbgabenordnung

HandelsgesetzbuchHandelsgesetzbuch

Informations- und KommunikationsdienstegesetzInformations- und Kommunikationsdienstegesetz

SteuergesetzgebungSteuergesetzgebung

SGBSGB

ZPOZPOBDSGBDSG

Elektronischer GeschäftsverkehrgesetzElektronischer Geschäftsverkehrgesetz

EGGEGG

SigGSigG

VerwaltungsverfahrensgesetzVerwaltungsverfahrensgesetz

GoBSGoBS

VwVfGVwVfG SRVwVSRVwVGDPdUGDPdU

Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen

Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen

Allgemeine Verwaltungsvorschrift über das Rechnungswesen in der Sozialversicherung

Allgemeine Verwaltungsvorschrift über das Rechnungswesen in der Sozialversicherung

Bürgerliches GesetzbuchBürgerliches GesetzbuchTDSGTDSG

HGB/AO

HGB/AO

BetriebsverfassungsgesetzBetriebsverfassungsgesetz

SignaturverordnungSignaturverordnung

BGBBGB

BundesdatenschutzgesetzBundesdatenschutzgesetz

Betr.VG

Betr.VG

IuKDGIuKDGSignaturgesetzSignaturgesetz

SiGVSiGV

Grundsätze ordnungsgemäßer DV-gestützter Buchführungssysteme

Grundsätze ordnungsgemäßer DV-gestützter Buchführungssysteme



PROJECT CONSULT



20251 Hamburg


7

RechtsfragenArchivierung von Dokumenten

In der alten Bürowelt gab es stets die Fragen:• Was kann weggeworfen werden?• Im Ordner kann ich blättern und finde immer alles...• “Ein Büro ohne Papier ist genauso sinnvoll wie eine Toilette

ohne Papier.” (Unbekannt)

In der neuen digitalen Welt folgende:• Was muss gespeichert werden...und in welcher Form?...bevor

es für immer verloren ist?• Wie wird der Kontext einer Web-Transaktion sicher

dokumentiert? Werden Dokumente mit Metadaten verbunden und die Verarbeitung dokumentiert?

• In absehbarer Zukunft werden die Benutzer mit einen komplexen Mix aus Datei-Typen umgehen müssen, die nicht nur von verschiedenen Quellen stammen, sondern auch an verschiedene Stellen versendet werden müssen.



PROJECT CONSULT



20251 Hamburg


8

Gesetzesgrundlagen in DeutschlandÜberblick (1)

• HGB/AO - Handelsgesetzbuch/Abgabenordnung• Einführungsgesetz zur Abgabenordnung 1977

geändert 2000

• BGB - Bürgerliches Gesetzbuch• 2001 Anpassung der Formvorschriften für den

Rechtsgeschäftsverkehr• § 126 BGB Schriftform / Textform / elektronische Form

• SigG – Signaturgesetz• Grundlage: RLES Europäische Richtlinie für elektronische

Signaturen• 3 (+ 1) Qualitäten der elektronischen Signatur

• EGG - Elektronischer Geschäftsverkehrgesetz• Herkunftslandprinzip• Revisionssichere Protokollierung von Geschäftstransaktionen

Steuergesetzgebung• Steuersenkungsgesetz von 2000

© PROJECT CONSULT 2002



PROJECT CONSULT



20251 Hamburg


9

• TDG – Teledienstegesetz• TDDSG – Teledienstedatenschutzgesetz• SGB - Sozialgesetzbuch

• Elektronische Signatur beim Scannen

• ZPO - Zivilprozessordnung• keine Urkundenqualität

• Objekt des Augenscheins

• BDSG - Bundesdatenschutzgesetz• Datenschutz

• Recht auf Löschung personenbezogener Daten





PROJECT CONSULT



20251 Hamburg


10

• IuKDG - Informations- und Kommunikationsdienstegesetz• Daten- und Dokumentenaustausch• Elektronische Signatur (siehe SigG)

• Betr.VerfG - Betriebsverfassungsgesetz• Unterweisungsrecht• Mitbestimmungsrecht des Betriebsrates

• VwVfG – Verwaltungsverfahrensgesetz• 3. Änderungsgesetz mit Verankerung der elektronischen

Signatur in zahlreichen Bereichen

• 3. Gesetz zur Änderung verwaltungsverfahrens-rechtlicher Vorschriften

Ohne Anspruch auf Vollständigkeit !© PROJECT CONSULT 2002




PROJECT CONSULT



20251 Hamburg


11

Verordnungen und UmsetzungsrichtlinienÜberblick

• GoBS • Grundsätze ordnungsgemäßer DV-gestützter

Buchführungssysteme

• GDPdU • Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler

Unterlagen

• SiGV• Signaturverordnung

• SRVwV• Allgemeine Verwaltungsvorschrift über das

Rechnungswesen in der Sozialversicherung

• u.a.




PROJECT CONSULT



20251 Hamburg


12

HGB Handelsgesetzbuch

• Die §§ 239, 257 HGB regeln die grundsätzlichen Voraussetzungen für die Archivierung von kaufmännischen Dokumenten – unabhängig davon, ob in Papier oder in elektronischer Form

• Die grundsätzlichen Anforderungen lassen sich wie folgt zusammenfassen:

• Ordnungsmäßigkeit• Vollständigkeit• Sicherheit des Gesamtverfahrens• Schutz vor Veränderung und Verfälschung• Sicherung vor Verlust• Nutzung nur durch Berechtigte• Einhaltung der Aufbewahrungsfristen• Dokumentation des Verfahrens• Nachvollziehbarkeit• Prüfbarkeit



PROJECT CONSULT



20251 Hamburg


13

AO AbgabenordnungAufbewahrungsform und -fristen

In der Abgabenordnung §§ 146, 147, 200 AO sind die Anforderungen an die Aufbewahrung und die Prüfung von kaufmännischen Dokumenten aufgeführt.

Papierform• Papierform nur für Eröffnungsbilanz und Jahres-

abschlüsse vorgeschrieben• Elektronische Aufbewahrung muss GoB entsprechen

Aufbewahrungsfristen• 10 Jahre für Bücher und Aufzeichnungen, Jahres-

abschlüsse, Lageberichte, Eröffnungsbilanz, Arbeits-anweisungen und Organisationsunterlagen hierzu

• 10 Jahre für Buchhaltungsbelege• 6 Jahre für Handels- oder Geschäftsbriefe• Wenn die Festsetzungsfrist noch nicht abgelaufen ist

auch längere Aufbewahrungsfristen möglich



PROJECT CONSULT



20251 Hamburg


14

AO AbgabenordnungAufbewahrungspflicht der Daten

• Die Änderungen in der AO führten zur digitalen Steuerprüfung, die in den GDPdU beschrieben ist.

• Während der Aufbewahrungsfristen müssen Daten jederzeit verfügbar sein, unverzüglich lesbar gemacht werden und maschinell ausgewertet werden können

• Sind Daten mit einem DV-System erzeugt worden, hat die Finanzbehörde das Recht, Einsicht zu nehmen und das System zur Prüfung zu nutzen

• Die Daten müssen maschinell auswertbar sein und auf Anforderung auf Datenträgern zur Verfügung gestellt werden



PROJECT CONSULT



20251 Hamburg


15

GDPdU

Was heißt GDPdU ?„Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen“ • Umfeld

• Buchhaltungsdaten• Sonstige steuerrechtlich relevante Informationen und

Dokumente

• Gültigkeit• Brief vom BMF 16.07.2001• Umzusetzen ab 01.01.2002• Übergangsregelungen abgelaufen

• Herkunft• Steuerreform (StSenkG)• HGB AO



PROJECT CONSULT



20251 Hamburg


16

Wichtige Aussagen der GDPdU

I. Datenzugriff

• Prüfungsgegenstand sind wie bisher nur die aufbewahrungspflichtigen Unterlagen

• Recht auf direkten Zugriff auf kaufmännische Systeme mit Recherchemöglichkeit

• Drei additive Formen des Zugriffs:Z1 die eigenständige Recherche beim Steuerpflichtigen mit

Unterstützung durch das Personal des Steuerpflichtigen (Unmittelbarer Zugriff)

Z2 Zurverfügungstellung von Auswertungen durch den Steuerpflichtigen entsprechend den Vorgaben des Prüfers (Mittelbarer Zugriff)

Z3 die Mitnahme von Medien mit allen Daten und Dokumenten für die Prüfung im Finanzamt (Datenträgerüberlassung)



PROJECT CONSULT



20251 Hamburg


17


II. Prüfbarkeit digitaler Unterlagen

• Elektronische Unterlagen sind:• Elektronische Abrechnungen• Die qualifizierte elektronische Signatur ist Bestandteil der

elektronischen Abrechnung• Elektronisch signierte Dokumente• Sonstige aufbewahrungspflichtige Unterlagen i.S.d. §147 Abs. 1

AO, die digitalisiert sind und nicht in Papierform übermittelt werden

• Aufbewahrungsfristen• Speicherung von Zertifikaten• Protokollierung

• Konvertierung• Verarbeitung• Indexänderungen• Transformationen



PROJECT CONSULT



20251 Hamburg


18


III. Archivierung digitaler Unterlagen

• Maschinelle Auswertbarkeit• COM-Verfilmung nicht mehr ausreichend• PDF, TIFF und andere Image-Formate für

ursprünglich auswertbare Dateien nicht zulässig• Nur einmal beschreibbare digitale Speicher

(WORM-Verfahren: write once read many)



PROJECT CONSULT



20251 Hamburg


19

BGB Bürgerliches Gesetzbuch

• Durch das „Gesetz zur Anpassung der Formvor-schriften des Privatrechts und anderer Vorschriften an den modernen Rechtsgeschäftsverkehr“ vom 3.7.2001 werden in den §§ 126, 127 BGB elektronische Dokumente rechtlich anerkannt:

• Die schriftliche Form kann nach § 126 (3) BGB durch die elektronische Form ersetzt werden

• In § 126a BGB ist die qualifizierte elektronische Signatur verankert, die verwendet werden muss, um eine Gleichstellung von Schriftform und elektronischer Form zu erreichen.

• In § 127b BGB wird auch die vereinbarte Form für die Verwendung elektronischer Dokumente und Übertragungsformen geöffnet



PROJECT CONSULT



20251 Hamburg


20

Bürgerliches GesetzbuchBGB

• §§126a, 126b, 127 – Schriftform / Textform• Rechtliche Grenzen bei der digitalen Archivierung• Änderung von Schriftform in elektronische Form

und Textform. Gleichstellung elektronischer Dokumente

• Rechtsfolge: Der Empfänger eines elektronischen Dokuments kann sich auf die Vermutung der Echtheit berufen. Der Schlüsselinhaber haftet dafür, dass unberechtigte Dritte die eigene Chipkarte missbraucht haben



PROJECT CONSULT



20251 Hamburg


21

Bürgerliches GesetzbuchBGB

Ausnahmen von der elektronischen Form:• Verbraucherschutz • Kündigung, Beendigung, Befristung eines

Arbeitsverhältnisses • Zeugnis• Bürgschaftserklärung• Schuldversprechen• Schuldanerkenntnis



PROJECT CONSULT



20251 Hamburg


22

BGB Bürgerliches Gesetzbuch

• Die Änderungen des BGB sind von grundlegender Natur für alle elektronischen Dokumente!

• Die Einführung der elektronischen Form betrifft alle Rechtsbereiche und zog eine Vielzahl von Gesetzesänderungen und Änderungen von Formvorschriften nach sich.



PROJECT CONSULT



20251 Hamburg


23

SignaturgesetzSigG

• Modellgesetz von 1997• Grundlage: RLES Europäische Richtlinie für elektronische

Signaturen• Elektronische Dokumente sind rechtskräftig und revisionssicher

zu speichern. Umsetzung durch alle Mitgliedsstaaten

• § 11 I: Anbieterhaftung bei Verletzung der Anforderungen nach SigG oder SigV oder Versagen der Produkte für qualifizierte elektronische Signaturen oder sonstige elektronische Sicherheitseinrichtungen

• § 11 II: Haftung entfällt nur dann, wenn der Anbieter beweisen kann, dass er nicht schuldhaft gehandelt hat. Haftung für Leistungen von Subunternehmern

• § 11 III: Möglichkeit einer Haftungseinschränkung • Mindestdeckungsvorsorge von 250.000€. Haftung für

Vermögensschäden durch fehlerhafte Zertifizierung



PROJECT CONSULT



20251 Hamburg


24

SigG Signaturgesetz

• Die Grundlage des aktuellen Signaturgesetzes ist die RLES Europäische Richtlinie für elektronische Signaturen. In 2004 ist eine Vereinheitlichung der technischen Standards geplant.

• Es gibt drei Formen mit unterschiedlicher Qualität der elektronischen Signatur:

• Einfache elektronische Signaturen

• Fortgeschrittene elektronische Signaturen

• Qualifizierte elektronische Signaturen

• In Deutschland gilt im offiziellen Rechtsverkehr die qualifizierte elektronische Signatur, die zu dem eine Anbieterakkreditierung aufweisen muss.

• Elektronisch signierte Dokumente existieren rechtskräftig nur in elektronischer Form und sind daher elektronisch sicher zu speichern.



PROJECT CONSULT



20251 Hamburg


25

SignaturverordnungSigV

• Seit Oktober 2001• Qualifizierte Signaturen• Registrierung vs. Akkreditierung: Freiwilligkeit eingeschränkt• Um Ausführungen im Hinblick auf die elektronische

Archivierung ergänzt: Aufbewahrung zwischen 5 und 30 Jahren nach Unwirksamwerden eines Zertifikats

• § 12 Abs. 2 und § 16 Abs. 6: Die Regulierungsbehörde führt einen Katalog mit geeigneten Sicherheitsmaßnahmen für Zertifizierungsstellen. Beachtung der Zertifizierungsstellen für Sicherheitskonzepte und die eingesetzte technische Komponenten

• Übergreifende Neusignierung veralteter Daten: Neue Datenorganisation



PROJECT CONSULT



20251 Hamburg


26

Elektronisch signierte Dokumente

• Durch die Verwendung der elektronischen Signatur entsteht aus einer Datei ein Dokument das einem manuell unterzeichneten Papierdokument im Prinzip gleichwertig ist.

• Die elektronische Signatur sichert vorrangig die Unverändertheit der Nachricht und die Authentizität des Unterzeichers.



PROJECT CONSULT



20251 Hamburg


27

Elektronisches GeschäftsverkehrgesetzEGG

• In Kraft seit 20.12.2001• Herkunftslandprinzip

• Unternehmen müssen sich in die Rechtsordnungen anderer EU-Staaten einarbeiten

• Negativ unter Verbraucherschutzgesichtspunkten: Massive Auswirkungen auf das deutsche Wettbewerbs- und Werberecht (z.B. Streichung von Zugabeverordnung oder Rabattgesetz)

• Revisionssichere Protokollierung von Geschäftstransaktionen: „Elektronischer Poststempel“ bei B2B-Transaktionen



PROJECT CONSULT



20251 Hamburg


28

TelediensteTDG & TDDSG

Teledienstegesetz (TDG)• Angebot von Produkten und Dienstleistungen auf einer

Homepage• Unterscheidung zwischen Content Provider, Service Provider

und Access Provider• Hauptpflicht: Der vereinbarte Teledienst• Nebenpflicht: Störungsfreie Übermittlung

Teledienstedatenschutzgesetz (TDDSG)• Grundsatz der Datenvermeidung: Es sind so wenig

personengebundenen Daten wie möglich zu erheben und zu speichern

• Bestands-, Nutzungs- und Abrechnungsdaten• Kostenfreies Recht die gespeicherten Informationen auch

elektronisch einsehen zu können



PROJECT CONSULT



20251 Hamburg


29

ZivilprozessordnungZPO

• § 292a: Eine in elektronischer Form vorliegende Willenserklärung (entsprechend § 126a BGB) gilt als sogenannter Beweis des ersten Anscheins

• Dies gilt nur dann nicht, wenn aufgrund von Tatsachen ernstliche Zweifel daran bestehen, dass die Erklärung mit dem Willen des Signaturschlüsselinhabers abgegeben wurde

• Erweiterung der bisherigen Beweisgrundsätze: Beim Bestreiten der Echtheit einer Unterschrift muss ein voller Beweis erbracht werden



PROJECT CONSULT



20251 Hamburg


30


• Nach § 286 unterliegen elektronische Dokumente der freien Beweiswürdigung.

• Das Prozessrisiko wird durch die elektronische Unterschrift reduziert ...

• und zusätzlich durch die Verwendung akkreditierter Signaturen als öffentliches Gütesiegel abgesichert



PROJECT CONSULT



20251 Hamburg


31

BundesdatenschutzgesetzBDSG

• Datenschutz• Löschung und Sperrung von Daten• Recht auf Löschung personengebundener Daten• In 2001 novelliert - Speicherung steuerrelevanter

Informationen in elektronischen Personalakten sollte vermieden oder die Daten redundant gespeichert werden, um Zugriff von Prüfern auf persönliche, schützenswerte Daten zu vermeiden



PROJECT CONSULT



20251 Hamburg


32

BetriebsverfassungsgesetzBetrVerfG

• §81 Unterrichtungs- und Erörterungspflicht des Arbeitgebers(1) Der Arbeitgeber hat den Arbeitnehmer über dessen Aufgabe und Verantwortung sowie über die Art seiner Tätigkeit und ihre Einordnung in den Arbeitsablauf des Betriebes zu unterrichten.

• §91 MitbestimmungsrechtWerden die Arbeitnehmer durch Änderung der Arbeitsplätze, des Arbeitsablaufs oder der Arbeitsumgebung ... in besonderer Weise belastet, so kann der Betriebsrat angemessene Maßnahmen zur Abwendung, Milderung oder zum Ausgleich der Belastung verlangen.



PROJECT CONSULT



20251 Hamburg


33

SRVwV

• Allgemeine Verwaltungsvorschrift über das Rechnungswesen in der Sozialversicherung

• Letzte Änderung 06.08.1999• § 36 (1) Aufbewahrung von Dokumenten

• Elektronische Signatur• Bildliche Wiedergabe

• § 36 (2) Aufbewahrung von Daten• Ursprünglicher Inhalt unveränderbar• Maschinell verwendbare Datenträger

• § 36 (3) Einschränkungen für bestimmte Dokumente




PROJECT CONSULT



20251 Hamburg


34

Verwaltungs- und Verfahrensrechtliche Vorschriften

• „Drittes Gesetz zur Änderung verwaltungsverfahrensrechtlicher Vorschriften“ vom 27. August 2002

• Amtliche Papiere können nun auch elektronisch unterschieben werden

• Der Bürger hat die Wahl zwischen „Kugelschreiber und elektronischer Signatur“

• Notwendigkeit von Anpassungen durch die Landesregierungen

• Die technischen Voraussetzungen fehlen weiterhin!




PROJECT CONSULT



20251 Hamburg


35

3. Gesetz zur Änderung verwaltungs-verfahrensrechtlicher Vorschriften

• Verwaltungsverfahrensgesetz / §§ 3, 15, 23, 33, 37, 39, 41, 42, 44, 45, 61, 69, 71, 101 / besonders Ersatz oder Ergänzung der Schriftform mit elektronischen Dokumenten, Verankerung der qualifizierten elektronischen Signatur /

• Sozialgesetzbuch, 10. Buch / §§ 13, 14, 19, 21, 29, 33, 35, 38, 40, 60 / besonders Verankerung der qualifizierten elektronischen Signatur und ihrer Nutzung auch als Beglaubigung /

• Abgabenordnung / §§ 80, 87, 93, 119, 121, 122, 123, 125, 129, 150, 224, 244, 309, 324, 356, 366 / Besonders Verankerung der qualifizierten elektronischen Signatur und ihrer Nutzung auch als Beglaubigung; Regelungen zur Anerkennung elektronischer Dokumente im Rechtsstreit /

• Verwaltungsrecht im Geschäftsbereich des Bundesministerium des Innern: / - Staatsangehörigengesetz / - Bundesministergesetz / - Sicherheitsprüfungsgesetz / - Beamtenrechtsrahmengesetz / - Bundesbeamtengesetz / - Bundesreisekostengesetz / - Bundesumzugskostengesetz / - Bundesdatenschutzgesetz / - Passgesetz / - Personenstandsgesetz / - Vereinsgesetz / - Bundesstatistikgesetz / - Gesetz über die Änderung von / Familiennamen und Vornamen / - Verordnung zur Ausführung des / Personenstandsgesetz / - Verordnung zur Regelung des öffentlichen Vereinrechts (Vereinsgesetz) / Zahlreiche Einzelparagraphen, besonders mit Verankerung der neuen Schriftform nach BGB und Festlegungen, welche Dokumente nicht in elektronischer Form akzeptiert werden /

• Verwaltungsrecht im Geschäftsbereich des Bundesministerium der Justiz: / - Vermögenszuordnungsgesetz / - Einführungsgesetz zum Bürgerlichen / Gesetzbuch / - Bodensonderungsgesetz / - Investitionsvorranggesetz / - Grundstückverkehrsordnung / Zahlreiche Einzelparagraphen, besonders mit Verankerung der neuen Schriftform nach BGB und der qualifizierten elektronischen Signatur /

• Verwaltungsrecht im Geschäftsbereich des Bundesministerium der Finanzen: / - Grunderwerbsteuergesetz / - Erbschaftssteuer- und Schenkungssteuergesetz / - Versicherungssteuergesetz 1996 / - Kraftfahrzeugsteuergesetz 1994 / - Feuerschutzsteuergesetz / - Kreditwesengesetz / - Auslandinvestment-Gesetz / - Gesetz über Bausparkassen / - Erbschaftssteuer-Durchführungsverordnung / - Ausführungen zum Rennwett- und / Lotteriegesetz / - Kraftfahrzeugsteuer-Durchführungsverordnung / Eher geringfügige Anpassungen und Ergänzungen zu schriftlichen Anträgen, Auskünften etc. sowie teilweiser Verankerung der qualifizierten elektronischen Signatur /

• Verwaltungsrecht im Geschäftsbereich des Bundesministerium für Wirtschaft und Technologie: / - Wirtschaftsprüferordnung / - Bundesberggesetz / - Außenwirtschaftsverordnung / Hier geht es eher um die Ausschlüsse der elektronischen Form. /

• Verwaltungsrecht im Geschäftsbereich des Bundesministerium für Verbraucherschutz, Ernährung und Landwirtschaft: / - Weingesetz / - Wein-Vergünstigungsverordnung / - Verordnung flächenbezogene Hopfenbeihilfe / - Pflanzenschutzmittelverordnung / - Pflanzenbeschauverordnung / - Psittakose-Verordnung / - Fischseuchen-Verordnung / Hier geht es eher um die Ausschlüsse der elektronischen Form. /

• Verwaltungsrecht im Geschäftsbereich des Bundesministerium für Arbeit und Sozialordnung: / - Sozialgesetzbuch, Viertes Buch / Zahlreiche Änderungen zur elektronischen Form, Aufbewahrung von Unterlagen und qualifizierten Signatur in den §§ 28, 79, 110 / - Sozialgesetzbuch, Siebtes Buch /

• Verwaltungsrecht im Geschäftsbereich des Bundesministerium für Verkehr, Bau- und Wohnungswesen / - Personenbeförderungsgesetz / - Binnenschifffahrtsaufgabengesetz / - Flaggenrechtsgesetz / - Seelotgesetz / - Luftverkehrgesetz / - Ölhaftungsbescheinigungs-Verordnung / - Verordnung über die Zuständigkeit für / die Verfolgung und Ahndung von / Ordnungswidrigkeiten nach dem / Gesetz über Schifferdienstbücher / - Verordnung über Seefunkzeugnisse / - Schiffsmechaniker-Ausbildungsverordnung / - Verordnung über die Seediensttauglichkeit / - Verordnung über die Krankenfürsorge / auf Kauffahrteischiffen / - Schiffsoffizierausbildungsverordnung / - Schiffsvermessungsverordnung / Hier geht es meistens um die Ausschlüsse der elektronischen Form. /

• Verwaltungsrecht im Geschäftsbereich des Bundesministerium der Verteidigung / - Wehrpflichtgesetz / - Soldatengesetz / - Soldatenversorgungsgesetz / Zahlreiche Einzelparagraphen, besonders mit Ausschlusskriterien, wo die elektronische Form nicht benutzt werden darf. /

• Verwaltungsrecht im Geschäftsbereich des Bundesministerium für Familie, Frauen, Senioren und Jugend: / - Zivildienstgesetz / Die elektronische Form wird in einem § eingefügt. /

• Verwaltungsrecht im Geschäftsbereich des Bundesministerium für Umwelt, Naturschutz und Reaktorsicherheit: / - Bundes-Immissionsschutzgesetz / - Kreislaufwirtschaft- und Abfallgesetz / - Atomgesetz / - Atomrechtliche Zuverlässigkeitsüberprüfungs-Verordnung / mit Einführung der elektronischen Kommunikation aber auch vielen Ausschlüssen der elektronischen Form. /



PROJECT CONSULT



20251 Hamburg


36















•Abgabenordnung / §§ 80, 87, 93, 119, 121, 122, 123, 125, 129, 150, 224, 244, 309, 324, 356, 366 / Besonders Verankerung der qualifizierten elektronischen Signatur und ihrer Nutzung auch als Beglaubigung; Regelungen zur Anerkennung elektronischer Dokumente im Rechtsstreit



PROJECT CONSULT



20251 Hamburg


37















Verwaltungsrecht im Geschäftsbereich des Bundesministerium der Justiz: / - Vermögenszuordnungsgesetz / - Einführungsgesetz zum Bürgerlichen / Gesetzbuch / - Bodensonderungsgesetz / - Investitionsvorranggesetz / - Grundstückverkehrsordnung / Zahlreiche Einzelparagraphen, besonders mit Verankerung der neuen Schriftform nach BGB und der qualifizierten elektronischen Signatur



PROJECT CONSULT



20251 Hamburg


38

BundesdatenschutzgesetzBDSG

• Datenschutz• Löschung und Sperrung von Daten• Recht auf Löschung personengebundener Daten• In 2001 novelliert - Speicherung steuerrelevanter

Informationen sollte vermieden oder die Daten redundant archiviert werden, um Zugriff von Prüfern auf persönliche, schützenswerte Daten zu vermeiden



PROJECT CONSULT



20251 Hamburg


39


• § 292a: Eine in elektronischer Form vorliegende Willenserklärung (entsprechend § 126a BGB) gilt als sog. Beweis des ersten Anscheins

• Dies gilt nur dann nicht, wenn aufgrund von Tatsachen ernstliche Zweifel daran bestehen, dass die Erklärung mit dem Willen des Signaturschlüsselinhabers abgegeben wurde

• Erweiterung der bisherigen Beweisgrundsätze: Beim Bestreiten der Echtheit einer Unterschrift muss ein voller Beweis erbracht werden



PROJECT CONSULT



20251 Hamburg


40


• Nach § 286 unterliegen elektronische Dokumente der freien Beweiswürdigung

• Das Prozessrisiko wird durch die elektronische Unterschrift reduziert

• Und zusätzlich durch die Verwendung akkreditierter Signaturen als öffentliches Gütesiegel



PROJECT CONSULT



20251 Hamburg


41

BetriebsverfassungsgesetzBetrVerfG

• §81 Unterrichtungs- und Erörterungspflicht des Arbeitgebers(1) Der Arbeitgeber hat den Arbeitnehmer über dessen Aufgabe und Verantwortung sowie über die Art seiner Tätigkeit und ihre Einordnung in den Arbeitsablauf des Betriebes zu unterrichten.

• §91 MitbestimmungsrechtWerden die Arbeitnehmer durch Änderung der Arbeitsplätze, des Arbeitsablaufs oder der Arbeitsumgebung ... in besonderer Weise belastet, so kann der Betriebsrat angemessene Maßnahmen zur Abwendung, Milderung oder zum Ausgleich der Belastung verlangen.



PROJECT CONSULT



20251 Hamburg


42

GoBS Grundsätze ordnungsgemäßer DV-gestützter Buchführungssysteme

• Die GoBS besteht aus einem BMF-Schreiben und einer Ausarbeitung der AWV, die im Bundessteuerblatt Teil 1 vom 14.12.1995 veröffentlicht wurde

• Die Anforderungen gelten nicht nur für Buchführungssysteme sondern sind auch für Dokumenten-Management und elektronische Archivsysteme anzuwenden

• In der GoBS ist im Detail geregelt:• wie mit gescannten Dokumenten und originär elektronischen

Daten umgegangen werden muss,

• wie das IKS Interne Kontrollsystem beschaffen sein muss,

• welche Anforderungen an die Sicherung und Bereitstellung von elektronisch gespeicherten kaufmännischen Informationen bestehen,

• dass eine Verfahrensdokumentation zu erstellen und zu pflegen ist,

• etc.



PROJECT CONSULT



20251 Hamburg


43

GoBS Grundsätze ordnungsgemäßer DV-gestützter Buchführungssysteme

• Die GoBS sind daher von grundlegenderer Bedeutung für das Thema Archivierung als die GDPdU.

• Die GDPdU regelt nur den Datenzugriff und die Datenträgerüberlassung, die GoBS enthalten dagegen die Vorgaben zur ordnungsgemäßen Aufbewahrung.

• Die GoBS sind in der GDPdU als maßgebliches Dokument referenziert.



PROJECT CONSULT



20251 Hamburg


44

Elektronische Signatur



PROJECT CONSULT



20251 Hamburg


45

Elektronische Signatur & GDPdU

• Elektronische Rechnung nur mit qualifizierter Signatur

• Elektronische Rechnung ohne Signatur berechtigt nicht zum Vorsteuerabzug

• Die elektronische Rechnung ist das Original. Ausdrucke sind nur Kopien



PROJECT CONSULT



20251 Hamburg


46

Elektronische SignaturZiele

Berufsrechtlich:• Verschwiegenheitsgrundsatz• Hohe Anforderungen an Vertraulichkeit

• Verschlüsselung

Berufsständisch• Herkunftsnachweis (Authentizität)• Unverfälschtheit und Vollständigkeit (Integrität)• Rechtsverbindlichkeit

• Elektronische Signatur• Eindeutige Identifizierung• Legitimationsprüfung

• Elektronische Zertifikate



PROJECT CONSULT



20251 Hamburg


47

Elektronische Signatur Rechtssituation

Papierwelt:• Willenserklärung und Unterschrift (Körperlicher

Gegenstand)• Weitere Angaben z.B. Angaben nach GmbHG• Traditionelle national gesetzliche LösungElektronische Welt:• Textform vs. elektronische Form• Willenserklärung in elektronischer Form und

qualifizierte elektronische Signatur (keine Urkunde aber Augenscheinsbeweis)

• Übergangsphase gesetzlicher Regelungen• Harmonisierung europäischer und internationaler

Vorgaben



PROJECT CONSULT



20251 Hamburg


48

Elektronische Signatur Elektronische Zertifikate

Papierwelt:• Personalausweis• Reisepass• Passfoto• Körperliche Merkmale• EinwohnermeldeamtElektronische Welt:• SmartCard• Zertifizierte Schlüssel• Vertrauenswürdige Dritte• Trusted Third Party, Trustcenter• Zertifizierungsstelle



PROJECT CONSULT



20251 Hamburg


49

Elektronische Signatur

Eine elektronische Signatur entspricht...

„Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit

ihnen verknüpft sind und die zur Authentifizierung dienen“

§2 SigG



PROJECT CONSULT



20251 Hamburg


50

Elektronische Signatur• Elektr. Signatur:

• einfache gescannte Unterschriften• Email-Footer• in Anwendungen wie Lotus Notes integrierte Verfahren• Public Key-Verfahren ohne Authentizitätsprüfung, z.B. „PGP“

• Fortgeschrittene elektr. Signatur• Gemäß RleS (Europäische Richtlinie) gehören zu den

"fortgeschrittenen elektronischen Signaturen" alle Verfahren, die die technischen Voraussetzungen erfüllen und von einem angemeldeten Trustcenter zertifiziert werden

• Bestätigen die Authentizität des Absenders

• Fortgeschrittene elektr. Signatur besonderer Qualität

• Die qualifizierte elektronische Signatur entspricht den rechtlichen Anforderungen der fortgeschrittenen Signatur und verlangt darüber hinausgehend ein gültiges Zertifikat sowie die Signaturerzeugung mit einer sicheren Signaturerstellungseinheit

• Sie entspricht weitgehend den Anforderungen des deutschen Signaturgesetzes. „Rechtssichere“ Signaturen



PROJECT CONSULT



20251 Hamburg


51

qualifizierte elektronische Signaturen

PersonenbezogeneSignaturen

WER & WAS

Identifikation von einzelnen Anwendern

oder Gruppen

Zeitstempel

WAS & WANN

Beweis der Echtheit von Zeit und Datenz.B. rechtssichere

Archivierung

Qualifizierte elektronische Signaturen



PROJECT CONSULT



20251 Hamburg


52

Elektronische Signatur Akkreditierte qualifizierte elek. Signatur

• Bereitstellung der PKI durch einen Trustcenter, der sich dem Verfahren der freiwilligen Akkreditierung unterzogen hat.

• Zertifikatanbieter weisen vor Aufnahme des Betriebs die Einhaltung der Vorgaben des Gesetzes und der SigV nach

• Durch die Akkreditierung als Gütezeichen wird der Nachweis der umfassend geprüften Sicherheit erbracht.



PROJECT CONSULT



20251 Hamburg


53

Elektronische Signatur Gesetzliche Entwicklungen

• Europäische Signaturrichtlinie 19.01.2000

• Novelliertes Signaturgesetz 22.05.2001, löst Version vom 01.08.1997 ab

• Elektronische Form Neuer §126a BGB, Beweisregel §292a ZPO

• Elektronische Form im öffentlichen Recht Neuer §3a VerwVerfG

• Artikelgesetz Geplant VerwVerfG, AO, FGO

• Vorsteuerabzug aus elektronischen Rechnungen StÄndG 2001: §14 Abs.4 UStG

• Sozialgesetzgebung



PROJECT CONSULT



20251 Hamburg


54

• Prinzipielle Übereinstimmung mit der qualifizierten elektronischen Signatur

• Auswirkungen des geänderten SigG:• Freiwillige Akkreditierung für Trustcenter. Keine Vorab-

Genehmigung für den Betrieb durch die Regulierungsbehörde

• Einordnung der rechtlichen Relevanz für definierte Geschäftsvorgänge (Änderungen im HGB und BGB)

• Protokollierung der Zertifikaterstellung• Eindeutige Haftungsregelungen des Trustcenters• In der Schwebe sind derzeit Überlegungen, ob das

Trustcenter die abgeschlossenen Transaktionen zwischen den Kunden als neutrale dritte Stelle archivieren und bei Rechtsstreitigkeiten vorlegen muss

Elektronische Signatur Deutsches Signatur Gesetz (SigG)



PROJECT CONSULT



20251 Hamburg


55

Elektronische Signatur Funktionsweise / Absender

Jjhkjqwfqnckqlef b pok poküf kefleqöükbökwreöplbkpowrigbewporgk

gop4ggkpo45kgpo45gkpogkpo45kg gio54go5gpoipoi4tgpo4ipo45igpogi opiopi poi43po ip o4it p4p ip ipo4i p

o4ipoi4poti5pot4potiiipo itpo4tpo5tpo45opi op4i5 poipo44uitzr

iop3u4i6upoupo io

43otip342top34 3

3

46t3434t432pt u34oiuio3t4

4t432tpoiuopu e35porpof

Dokument




iop3u4i6upoupo io

43otip342top34 3

3



Inhalt

AB15Gf7889436

Prüfsumme



PROJECT CONSULT



20251 Hamburg


56

Elektronische Signatur Funktionsweise / Absender

AB15Gf7889436

PrüfsummeSignaturprivater Schlüssel




iop3u4i6upoupo io

43otip342top34 3

3


4t432tpoiuopu e35porpof ----------------------------------------------------

-

XXXXXXXXXXXX-----------------------------------------------------

Elektr. Versand



PROJECT CONSULT



20251 Hamburg


57

Elektronische Signatur Funktionsweise / Empfänger




iop3u4i6upoupo io

43otip342top34 3

3


4t432tpoiuopu e35porpof ----------------------------------------------------

-

XXXXXXXXXXXX -----------------------------------------------------

-----------------------------------------------------

XXXXXXXXXXXX -----------------------------------------------------

AB15Gf7889436

Prüfsumme

Entschlüsselung der Prüfsumme

Vom Trustcenter:

• Öffentlicher Schlüssel

• Zertifikat (Authentizität)

AB15Gf7889436

Prüfsumme




iop3u4i6upoupo io

43otip342top34 3

3



InhaltIntegrität



PROJECT CONSULT



20251 Hamburg


58

Elektronische Signatur Probleme der Archivierung

• Zeitlich begrenzte Gültigkeit• Speicherung

• Zusammenhang zwischen Dokument und Zertifikat

• Persönliche Signatur nicht für automatische Dokumenterstellung in Massenverfahren geeignet

• Mehrfach-Signaturen, z.B.:• Mitzeichnung gleichberechtigter Unterzeichner• Unterzeichnung Mitarbeiter und Vorgesetzter in vorgegebener

Reihenfolge• Abruf elektronisch signierter Dokumente aus einem Archiv führt

automatisch zur Erzeugung einer Anzeigekopie• Formatprobleme des Dokumentinhaltes, die nicht mehr

angezeigt werden können (Konvertierung führt zum Verlust der Signatur)

• Referenzierung elektronisch signierter Dokumente zu Index-Datenbank, gespeicherten Zertifikaten und Journalen bei Reorganisation und Migration

• usw.



PROJECT CONSULT



20251 Hamburg


59

Zeichnungsvarianten

einfache Signatur Gleichberechtigte Signatur

Hierarchische Signatur Gemischte Signatur

Signatur Schröder

Dokument

Signatur Sachbearbeiter 1Signatur Sachbearbeiter 2

Dokument

Signatur Abteilungsleiter

Signatur Sachbearbeiter

Dokument

Signatur Sachbearbeiter 1Signatur Sachbearbeiter 2

Dokument

Signatur Bereichsleiter

Elektronische Signatur Integration



PROJECT CONSULT



20251 Hamburg


60

Elektronisch signierte Dokumente müssen entsprechend ihrer Aufbewahrungsfristen nach Jahren in ihrem Kontext widerspruchsfrei dargestellt werden können !

Elektronische Signatur Integration



PROJECT CONSULT



20251 Hamburg


61

Elektronisch signieren beim Output?

Wert der Signatur?Keine persönliche Unterschrift entsprechend Signaturgesetz (SigG)

Datenbank /Anwendung

Archiv-

Server

Druckauf-bereitung

DFÜ (elektronisch signiert)

oder

E-Mail

Brief

Fax

Smart Card

oder

ListeDatensatzDFÜ-Kopie

Archiv

© PROJECT CONSULT 2002 Autorenrecht Dr. Ulrich Kampffmeyer

Signature-Server



PROJECT CONSULT



20251 Hamburg


62

Elektronisch signieren beim Scannen?

Wert der Signatur?• Nur Bestätigung, dass vollständig und lesbar erfasst wurde• Keine Beziehung zum Absender / Nutzer der Nachricht

Scanner

Signature-Server

Archiv-ServerPC

Smart-Card

oder

Archiv



PROJECT CONSULT



20251 Hamburg


63

• Die USA galten lange Zeit als die Vorreiter in Sachen Kryptografie

• Trotz des jahrelangen Schutzes ihrer Algorithmen wurde das Public Key-Verfahren kaum vorangetrieben

• Die PKI-Lösungen werden insgesamt als unzureichend gelöst bewertet

• Aus diesem Grund wird den biometrischen Verfahren der Vorzug gegeben

• Diese gewährleisten allerdings nur Sicherheit im Bereich der Autorisierung und nicht bei der Authentifzierung und Datenintegrität

• Damit verfolgen die USA primär den Weg der „Einfachen Signatur“. Ein Wandel ist nun allerdings festzustellen

• In Standardprodukte integrierte Software aus den USA kann alle europäischen und nationalen Bemühungen obsolet machen

Elektronische Signatur & Kryptographie in den USA



PROJECT CONSULT



20251 Hamburg


64

Elektronische Signatur SmartCards

• In Deutschland steht die Umsetzung erst am Anfang

• Unzureichende Kryptoprozessoren und hohe Sicherheitsanforderungen gestalten die Verarbeitung auf der Karte schwierig

• Erste Ideen in Verbindung mit der Geldkarte• Beispiel Finnland: Kombination mit

Personalausweis



PROJECT CONSULT



20251 Hamburg


65

Compliance

• Was ist Compliance• Compliance als Marktreiber für Document Related Technologies in den USA• Regulative Vorgaben• Compliance als Markttrend auch in Deutschland• Grundanforderungen, Zertifizierung, Codes of Best Practice und Information Compliance

Policies• Information Management Compliance als Bestandteil von Corporate Governance• Der Wert von Informationen



PROJECT CONSULT



20251 Hamburg


66

Compliance

Übereinstimmung mit und Erfüllung vonrechtlichen und regulativen Vorgaben



PROJECT CONSULT



20251 Hamburg


67

„Übereinstimmung“

• Es wird vorausgesetzt, dass es nachlesbare, definierte, offizielle Vorgaben gibt, die die Regeln enthalten, was zu tun ist

• Hier ist „Übereinstimmung“ gefordert, ohne das die Regeln meistens eine technische Vorgabe enthalten, wie die Anforderung umzusetzen ist

• Es ist sinnvoll, da sich solche Vorgaben nicht an einer Technologie festmachen sollten, die in ein paar Jahren schon wieder obsolet ist

• „Übereinstimmung“ ist statisch bezogen auf die Vorgabe



PROJECT CONSULT



20251 Hamburg


68

„Erfüllung“

• Der Begriff „Erfüllung“ impliziert zweierlei:Einmal, das die Anforderungen in einer Lösung umgesetzt werden müssen, und zum Zweiten, dass dies ein Prozess ist, keine einmalige Aktion

• Das Unternehmen oder die Organisation muss kontinuierlich für die Einhaltung der Vorgaben Sorge tragen

• „Erfüllung“ geht dabei meistens über eine rein technische Lösung hinaus und beinhaltet auch organisatorische und Management-Aspekte

• „Erfüllung“ ist dynamisch, ein ständig laufender, kontrollierter Prozess



PROJECT CONSULT



20251 Hamburg


69

„Rechtliche Vorgaben“

• Gesetze oder behördliche Verordnungen, die bestimmte Unternehmen, Organisationen oder Personen verpflichten, die jeweils aufgeführten Regelungen einzuhalten

• Man kann sich nicht um die Erfüllung „drücken“, lediglich in Hinblick auf Auslegung, Umfang und Umsetzungsweise besteht Handlungsspielraum



PROJECT CONSULT



20251 Hamburg


70

„Regulative Vorgaben“

Warum unterscheidet man zwischen „rechtlich“ undregulativ“?

• Es gibt eine Reihe von Vorgaben, die sich nicht auf Gesetze berufen wie z.B. Normen, Standards,

Codes of Best Practice von Branchen oder andere Vorgaben• Vielfach ergeben sich aus gesetzlichen Vorgaben für einen Anwendungsfall auch Auswirkungen und implizite Anforderungen für andere Fälle



PROJECT CONSULT



20251 Hamburg


71

Unterschiede

Direkte Auswirkungen• HGB• AO / GDPdU / GOBS• Verrechnungspreisdokumentation

Indirekte Auswirkungen• Basel II (für „Nicht-Banken“)• BDSG



PROJECT CONSULT



20251 Hamburg


72

Grundsätzlich

• Alle rechtlichen und gesetzlichen Vorgaben gelten auch in der elektronischen Welt!

• Die Anforderungen der DV-Welt sind jedoch häufig noch nicht oder nicht direkt enthalten und müssen daher adäquat abgeleitet werden



PROJECT CONSULT



20251 Hamburg


73

Compliance als Marktreiber für Document Related Technologies in den USA



PROJECT CONSULT



20251 Hamburg


74

Wichtigster Grund für Investition in ECMin den USA

Quelle: AIIM International

Grund für Investition in ECM Technologien USA

5%

4%

9%

14%

17%

18%

6%

27%

Effizienzsteigerung

Risk Management

Höhere Reaktionsfähigkeit

Verbesserter Kundenservice

Compliance

Kostenreduzierung

Verbesserung der Wettbewerbsfähigkeit

Höhere Gewinne, bessere Performance



PROJECT CONSULT



20251 Hamburg


75

SOA Sarbanes-Oxley-Act behindert das ECM-Geschäft?

„Große US-Unternehmen sind damit beschäftigt, ihre Organisationen auf bestimmte Vorschriften des US-Bilanzgesetzes »Sarbanes-Oxley Act« (SOA) vorzubereiten. Aus diesem Grund sind urplötzlich gegen Ende des zweiten Quartals andere IT-Projekte verschoben worden. Die Schwäche ist ein isoliertes Problem bei großen US-Unternehmen“

Lee Roberts

CEO Filenet

Quelle: http://www.speicherguide.de



PROJECT CONSULT



20251 Hamburg


76

Regulative Vorgaben

USAEuropaDeutschlandausgewählte Branchen



PROJECT CONSULT



20251 Hamburg


77

USA



PROJECT CONSULT



20251 Hamburg


78

Sarbanes Oxley Act von 2002TOP auf der Prioritätenliste von CIO und CEO

• Verabschiedet nach großen Finanz-Skandalen amerikanischer Unternehmen

• Vertrauen der Anlieger wieder stärker• Einführung eines Internen Kontrollsystems (IKS)• Section 404: detaillierte Dokumentation jedes

signifikanten Geschäftsprozesses• wie dieser initiiert, autorisiert, aufgezeichnet, durchgeführt

und berichtet wird.

• Fokus: Alle Kontrollprozesse rund um die Rechnungslegung.

• Section 302: direkte Verantwortung des Managements eines Unternehmens



PROJECT CONSULT



20251 Hamburg


79

Sarbanes-Oxley-Act (SOX oder SOA)

• Nach den beiden Leitern der Kommission benannt, die das Gesetz entworfen haben

• Das Gesetz findet Anwendung für alle Unternehmen, die an der New York Stock Exchange gelistet sind

• SOX hat die Aufgabe, die Transparenz und Nachvollziehbarkeit in den Unternehmen bei Prüfungen durch die SEC, Securities und Exchange Commission, zu verbessern

• Unternehmen werden verpflichtet, u.a. ein internes Kontrollsystem für die Rechnungslegung zu unterhalten, die Wirksamkeit der Systeme zu beurteilen und die Richtigkeit der Jahres- und Quartalsberichte beglaubigen zu lassen

• SOX wurde als Folge von Bilanzskandalen und Unternehmenszusammenbrüchen durch die US-amerikanische Legislative 2002 erlassen und stellt die bedeutendste Änderung der US-Wertpapiergesetze seit 1933/34 dar



PROJECT CONSULT



20251 Hamburg


80

SOX – nicht nur für die USA relevant

• Sarbanes-Oxley Act auch für deutsche Aktiengesellschaften relevant

• Vorschriften gelten für alle an den US-Börsen gelisteten Unternehmen sowie Tochtergesellschaften von Unternehmen, deren Anteile dort gehandelt werden



PROJECT CONSULT



20251 Hamburg


81

SOX treibt in den USA Records Management

• 2003: 85% der Befragten sagten aus, dass SOX minimalen Einfluss auf Investitionen haben werde

• 2004: 77% wollen ihre Ausgaben wegen Compliance steigern

• 61% wollen in Security investieren• 52% mehr in Speicher• 40% in spezielle Prozesskontrol-Software• 39% in Records Management Systeme

Forrester Research Umfrage bei nordamerikanischen Unternehmen mit mehr als 1000 MA



PROJECT CONSULT



20251 Hamburg


82

Sarbanes-Oxley-Act

,,. . . whoever knowingly alters, destroys, mutilates, conceals, covers up, falsifies or makes a false entry in any record, document or tangible object with intent to impede, obstruct or influence the investigation or proper administration of any matter within the jurisdiction of any department or agency of the United States or any case filed under title 11 or in relation to, or contemplation of any such matter of case, shall be fined under this title, imprisoned not more than 20 years, or both."

(Quelle: ‘‘Sarbanes-Oxley Act of 2002“, Sec. 802, §1519)



PROJECT CONSULT



20251 Hamburg


83

Sarbanes Oxley Act von 2002TOP auf der Prioritätenliste von CIO und CEO

• Verabschiedet nach großen Finanz-Skandalen amerikanischer Unternehmen

• Vertrauen der Anlieger wieder stärker• Einführung eines Internen Kontrollsystems (IKS)• Section 404: detaillierte Dokumentation jedes

signifikanten Geschäftsprozesses• wie dieser initiiert, autorisiert, aufgezeichnet, durchgeführt

und berichtet wird.

• Fokus: Alle Kontrollprozesse rund um die Rechnungslegung.

• Section 302: direkte Verantwortung des Managements eines Unternehmens



PROJECT CONSULT



20251 Hamburg


84

0

200

400

600

800

1000

1200

1400

1600

1800

2001 2002 2003 2004 2005 2006

Explosion der Unternehmensinformationen

78% durchschnittliches

Wachstum

Feststehende „unstruktur.“ Daten

Dynamische „strukturierte“ Daten

Storgage

Demand

Petabytes

Gespeicherte Information wächst um 30% pro Jahr

Über 90% aller „Records“ werden elektronisch erzeugt

Über 85% der benutzten Information befindet sich in unstrukturierten Dokumenten

Über 600 Milliarden eMails werden jedes Jahr verschickt

Ungefähr 65% aller Informationen sind relevante Records, die festgehalten werden müssten

95% aller Records könnten vernichtet werden



PROJECT CONSULT



20251 Hamburg


85

SOX – nicht nur für die USA relevant

• Sarbanes-Oxley Act auch für deutsche Aktiengesellschaften relevant

• Vorschriften gelten für alle an den US-Börsen gelisteten Unternehmen sowie Tochtergesellschaften von Unternehmen, deren Anteile dort gehandelt werden



PROJECT CONSULT



20251 Hamburg


86

Securities und Exchange Commission (SEC)

,, Electronic documents and the storage on which they reside contain relevant, discoverable information beyond that which may be found in printed documents.Therefore, even where a paper copy exists, we will seek all documents in their electronic form along with information about those documents contained on the media."

(Auszug aus Electronic Evidence Discovery der SEC)



PROJECT CONSULT



20251 Hamburg


87

Food and Drug Administration (FDA)

• FDA 21 CFR Part 11• Seit dem 20.03.97 ist in den USA die elektronische

Datenverwaltung und die Benutzung elektronischer Unterschriften in Datenüberwachungs- und Steuerungssoftware in bestimmten Industriezweigen gesetzlich geregelt

• Dieses Gesetz ist auf Maschinen, die in die USA exportiert werden, anzuwenden.

• Eine grundsätzliche Forderung der FDA ist, dass elektronische Aufzeichnungen äquivalent zu Papieraufzeichnungen sind und elektronische Unterschriften die gleiche Aussagekraft und Eindeutigkeit wie handgeschriebenen Unterschriften haben

• Das System sollte einen einfachen aber wirkungsvollen Schutz gegen Manipulation bieten, gleichwohl bekannt ist, dass elektronisch erzeugte Daten oder auch Papieraufzeichnungen mit genügend krimineller Energie fast immer nachträglich verändert oder gelöscht werden können



PROJECT CONSULT



20251 Hamburg


88

The Health Insurance Portability and Accountability Act (HIPAA)

• HIPAA (Gesetz zur Krankenversicherung-Uebertragbarkeit und Verantwortlichkeit) von 1996 wurde in der Vereinigten Staaten eingeführt, um die Gesundheitspflege-Industrie zu reformieren

• Die Gesetzgebung strebt nach Ermäßigung der Unwirtschaftlichkeit, Verringerung von Schreibarbeiten und einfacher Identifizierung und Weiterverfolgung von Betrug durch die Auferlegung von unterschiedlichen Normen und Sicherheitsmassnahmen gegen den Missbrauch von gesundheitsbezogenen Angaben des Bürgers

• Bei den Regeln handeln sich besonders um Normen der Adresse-Transaktion, Code-Sets, Vertraulichkeit und Sicherheit.



PROJECT CONSULT



20251 Hamburg


89

Department of Defense (Dod 5015.2)

• DoD 5015.2: Standard des Departement of Defense für Dokumentenmanagement

• Der Standard beschreibt die benötigten Funktionen• Informationsmanagement• Systemmanagement © PROJECT CONSULT 2002 Urheberrechte Dr. Ulrich Kampffmeyer

• Verfolgt gleichen Ansatz wie DIN/ISO 15489 ,,Records Management„ geht jedoch weniger auf die funktionalen Beschreibungen ein

• Einhaltung der Standards für alle Hersteller erforderlich, die für die Bundesverwaltung in den USA im militärischen und angrenzendem Bereich anbieten wollen



PROJECT CONSULT



20251 Hamburg


90

EU



PROJECT CONSULT



20251 Hamburg


91

Beispiele aus den Richtlinien der EU

• E-Commerce• Elektronische Signatur• Umsatzsteuer• u.a.



PROJECT CONSULT



20251 Hamburg


92

Compliance in Europa

• Europa: das große, umfassende Ereignis wie der Sarbanes-Oxley Act (SOX) fehlt

• Keine industrieübergreifende Fokussierung auf Compliance

• Europäische Gerichte / EU diskutieren mehr Regularien, aber nichts zu SOX vergleichbares wurde implementiert

• Und das trotz: Parmalat in Italien, Ahold in den Niederlanden



PROJECT CONSULT



20251 Hamburg


93

Basel II

• Mit „Basel II" ist die Neugestaltung der Eigenkapitalvorschriften der Kreditinstitute bezeichnet

• Der Basler Ausschuss für Bankenaufsicht eröffnete mit der Vorlage eines Konsultationspapieres im Juni 1999 die Diskussion, die am 26.06.2004 abgeschlossen wurde

• Ziel von "Basel II" ist es, die Stabilität des internationalen Finanzsystems zu erhöhen

• Dazu sollen die Risiken im Kreditgeschäft besser erfasst und die Eigenkapitalvorsorge der Kreditinstitute risikogerechter ausgestaltet werden



PROJECT CONSULT



20251 Hamburg


94

Compliance Treiber Basel II

• Häufigste Mängel:• nicht nachvollziehbare Kreditentscheidungen• ungenügende Kreditprozesse• fehlende Berücksichtigung von Risikokonzentrationen in

den Kreditportfolien

• In den vergangenen zwei Jahren verzeichnete die BAFin rund 240 Problemfälle

• Bei über 100 Kreditinstituten wuchsen sie sich zu Schieflagen oder Insolvenzen aus

• Bankgesellschaft Berlin• Hofer Schmidt Bank



PROJECT CONSULT



20251 Hamburg


95

Compliance Treiber für Europa

• Der ISO-Standard 15489 Records Management wurde 2001 veröffentlicht und beschreibt für die öffentliche Verwaltung ebenso wie für die Privatwirtschaft die Best Practices im Umgang mit Geschäftsunterlagen

• „Die Standardisierung von Records Management Richtlinien und Prozeduren stellt sicher, dass allen Geschäftsunterlagen angemessene Beachtung und Schutz zukommt, und dass die Fakten und Informationen, die sie beinhalten, effizienter und effektiver gefunden werden können, indem standardisierte Verfahren und Prozeduren verwendet werden.“



PROJECT CONSULT



20251 Hamburg


96

Records Management in den Industrien

• Pharma: GMP, FDA• Industrie / Anlagenbau: Einzelvertrag, DIN-Normen,

Verbandsrichtlinien• Bankenwesen: Kreditvergaberichtlinien, Basel II• Versicherungen: Verträge, Rückversicherungs-

verträge, v. a. bei hohen Risiken• Telekom: Kundenakte, Abrechnungsinformationen• Öffentliche Verwaltung: DOMEA• generische Anforderungen



PROJECT CONSULT



20251 Hamburg


97

Funktionen rund um Records Management

Funktion RM Archiv COLD DMS Akte WFL

Archivierung X X (X)

Importfunktion Aufzeichnungen X X X X

Aufbereitung, Aktenorganisation X (X) (X) X

Bearbeitung, Änderung X X X

Retention-Verwaltung X (X) (X) X

Vernichtung X X X

Protokollierung X X X X (X) X

Vollständigkeitskontrolle X X

Eskalation / Qualitätssicherung X X



PROJECT CONSULT



20251 Hamburg


98

Compliance Treiber eGovernment

• „Model Requirements for the Management of Electronic Records – MoReq“

• Initiative der Europäischen Kommission• Liste funktionaler Anforderungen an elektronische

Records Management Systeme• auch die Anforderungen der Geschäftskontrolle und

Prozessführung weitgehend abgedeckt• soll in Europa die Umsetzung des eGovernment

unterstützen

• In Deutschland (Projekt DOMEA) und Österreich (Projekt ELAK) und in der Schweiz (GEVER) bestehen vergleichbare länderspezifische Konzepte, zur Vorgangsbearbeitung.



PROJECT CONSULT



20251 Hamburg


99

Compliance als Markttrend auch in Deutschland?



PROJECT CONSULT



20251 Hamburg


100

Compliance in Deutschland

• Viele der neuen Regularien haben ihren Ursprung in der europäischen Gesetzgebung

• Mit etwas Zeitverzögerung wird jede Richtlinie der Europäischen Kommission in nationales Recht überführt, so dass es sich lohnt, immer einen Blick auf die Vorgaben und Entwicklungen Brüssels zu werfen

• Bereits durch die Richtlinien zum E-Commerce und zur elektronischen Signatur sind eine Reihe von Anforderungen für Compliance in Deutschland entstanden



PROJECT CONSULT



20251 Hamburg


101

Grundsätze ordnungsgemäßer DV-gestützter Buchführungssysteme (GOBS)

• Bei den GoBS handelt es sich um Vorschriften mit bundesweiter Gesetzeskraft (BMF-Schreiben von 1997)

• Sie schreiben bei elektronischer Buchführung die Dokumentation betroffener Geschäftsvorfälle und des Gesamtsystems vor

• In den GOBS sind die Grundsätze für die revisionssichere Archivierung und die Verfahrensdokumentation festgelegt

• Handels- und Steuerrecht fordern die Einhaltung der GOBS ein



PROJECT CONSULT



20251 Hamburg


102

Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG)

• Im Mai 1998 verabschiedete Gesetz zur Kontrolle und Transparenz im Unternehmensbereich im BGBl

• Ziel des KonTraG sind die Verbesserung der Arbeit des Aufsichtsrates, die Erhöhung der Transparenz, die Stärkung der Kontrolle durch die Hauptversammlung, der Abbau von Stimmrechtsdifferenzierungen, die Zulassung moderner Finanzierungs- und Vergütungsinstrumente, die Verbesserung der Qualität der Abschlußprüfung und der Zusammenarbeit von Abschlußprüfer und Aufsichtsrat sowie die kritische Prüfung des Beteiligungsbesitzes von Kreditinstituten



PROJECT CONSULT



20251 Hamburg


103

Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU)

• Der digitale Durchgriff der Finanzverwaltung auf die Unternehmensdaten mit Ziel der Steigerung der Effizienz der Finanzbehörden

• Ähnlich den GoBS handelt es sich um bundesweit gültige Vorschriften in Form eines BMF-Schreibens, zur Sicherstellung des Zugriffs der Finanzverwaltung auf die gesamten, buchhaltungsrelevanten DV-Daten eines Unternehmens

• Prüfbarkeit steuerrelevanter Daten mit Z1, Z2, und Z3

• Zugriff über die Dauer der Aufbewahrungsfrist auf Basis originärer Daten



PROJECT CONSULT



20251 Hamburg


104

Verrechnungspreisdokumentation

• Verordnung zu Art, Inhalt und Umfang von Aufzeichnungen im Sinne des §90 Abs. 3 der Abgabenordnung (AO)

• Sie legt fest, welche Unterlagen und Dokumentationen zu erstellen sind, wenn Leistungen mit "nahestehenden Personen" verrechnet werden

• Inhalt, Art und Umfang der Dokumentationspflichten werden durch eine Rechtsverordnung (GAufzV) näher bestimmt, die mit Rückwirkung zum 30. Juni 2003 in Kraft getreten ist.



PROJECT CONSULT



20251 Hamburg


105

• DOMEA: Dokumentenmanagement und elektronische Archivierung eines IT-gestützten Geschäftsgangs

• Von der Koordinierung- und Beratungsstelle der Bundesregierung für Informationstechnik in der Bundesverwaltung und Bundesministerium des Inneren

• Zielgruppe: öffentliche Verwaltung. Andere Institutionen schließen sich zunehmend an (z.B. Versicherungsträger)

• Aktuell: Version 2• Zertifizierungsverfahren (derzeit 10 Anbieter)

Dokumentenmanagement und elektro-nische Archivierung (DOMEA)




PROJECT CONSULT



20251 Hamburg


106

Grundanforderungen, Zertifizierung, Codes of Best Practice und Information Compliance Policies



PROJECT CONSULT



20251 Hamburg


107

Grundsätzliche Kriterien für Compliance

• Authentizität• Vollständigkeit• Nachvollziehbarkeit• Zugriffssicherheit• Geordnetheit • Integrität• Auffindbarkeit• Reproduzierbarkeit• Unverändertheit• Richtigkeit• Prüfbarkeit• Portabilität• Vertrauenswürdigkeit



PROJECT CONSULT



20251 Hamburg


108

Zertifizierung

Was wird zertifiziert?• Produkte

z.B.Domea, DoD 5015.2• Lösungen und ihr Betrieb vor Ort

z.B. GOBS, FDA

Wer zertifiziert?• KBSt: Domea• TüVIT:

Verfahrensdokumentation• Wirtschaftsprüfer: GoBS• BSI: Sicherheit von Systemen



PROJECT CONSULT



20251 Hamburg


109

Die Rolle von Normen und Standards

• Normen und Standards geben konkret prüfbare, einheitliche Kriterien vor

• Der Anwender von Lösungen braucht keine eigene Definition entwickeln und kann sich die Einhaltung von Normen und Standards zusichern lassen

• Normen und Standards gibt es jedoch im Compliance-Umfeld zu wenig

• Die ISO 15489 „Records Management“ ist nur bedingt als Maßstab für Compliance-Anforderungen nutzbar



PROJECT CONSULT



20251 Hamburg


110

Codes of Best Practice

• Organisationen, Verbände, Branchenorganisationen und Herstellervereinigungen geben häufig „ Codes of Best Practice“ heraus

• Codes of Best Practice haben nur Empfehlungscharakter• Sie können jedoch als Leitlinien vom Anwender verwendet

werden, um Lösungen zu prüfen und sicherzustellen, dass man nach gegenwärtigen Stand der Technik alles berücksichtigt hat

• Beispiele:• EU DLM Leitlinie zur elektronischen Archivierung• VOI Grundsätze der elektronischen Archivierung

• VOI Grundsätze der Verfahrensdokumentation nach GOBS

• BSI Grundschutzhandbuch

• TüVIT PK-DML

• IDW Fait



PROJECT CONSULT



20251 Hamburg


111

Information Management Compliance als Bestandteil von Corporate Governance



PROJECT CONSULT



20251 Hamburg


112

Information Management Compliance (IMC)

• IMC hat nicht nur mit Technik zu tun, sie muss sich im gesamten Unternehmen, im Umgang mit Information und in den Prozessen einer Organisation widerspiegeln

• Sie hat mit Verantwortung von Personen und deren Tätigkeit, Nachvollziehbarkeit und Qualitätsstandards zu tun

• Information Management Compliance ist eine Abbildung all dieser Komponenten in elektronischen Systemen

• Diese beinhalten nicht nur Komponenten wie Records Management und Archivierung, sondern Datensicherung und Datensicherheit, Zugriffsschutz, Kontrollsysteme und andere Komponenten



PROJECT CONSULT



20251 Hamburg


113

Vier Komponenten für Information Management Compliance (1)

1. Information Management PolicyGrundregeln und Verwaltensweisen für den Umgang mit Prozessen und Informationen, die sich in der „Corporate Governance“ niederschlagen. Dies schließt die das Bewusstmachen, die Zuordnung der Verantwortung, und die Verankerung der Policy im Management der Organisation ein. Das Management trägt hier nicht nur die eigene Verantwortung für die Einhaltung der Regularien, sondern auch für Umsetzung im Unternehmen mit Vorbildfunktion



PROJECT CONSULT



20251 Hamburg


114


2. DelegationZuordnung von Verantwortlichkeiten und entsprechende Ausbildung auf den nachgeordneten Ebenen, die allen Betroffenen die Bedeutung von Compliance-Regeln deutlich macht. Dies schlägt sich auch in den Arbeitsprozessen, Arbeitsplatzbeschreibungen, Verträgen und Arbeits anweisungen nieder Auf den verschiedenen Ebenen einer Organisation muss abhängig von Aufgaben und Zuständigkeiten der Mitarbeiter eine Durchgängigkeit erzeugt werden



PROJECT CONSULT



20251 Hamburg


115


3. NachhaltungDie Einhaltung der Regeln muss regelmäßig überprüft werden. Hierzu gehören z.B. Qualitätssicherungsprogramme ebenso wie Audits. Dabei ist auf eine ständige Verbesserung der Prozesse und auf die Nachführung der Dokumentation zu den durchgeführten Maßnahmen Wert zu legen



PROJECT CONSULT



20251 Hamburg


116


4. Sichere SystemeDie IT-Systeme müssen den Anforderungen mit ihrer Funktionalität, Sicherheit und Verfügbarkeit genügen und die Nachvollziehbarkeit unterstützen. Compliance beschränkt sich hier nicht nur auf die Anwendungsfunktionalität und das Dokumentenmanagement sondern schließt den gesamten Betrieb der Lösung ein



PROJECT CONSULT



20251 Hamburg


117

Insellösungen vermeiden

• Compliance-relevante Informationen sind nur eine Untermenge aller Informationen im Unternehmen

• Daher keine isolierte Teillösungen für Einzelprobleme beschaffen (z.B. E-Mail-Archivierung), da diese schwer integrierbare Inseln bilden und das Problem noch verschärfen können

• Ziel sollte sein, eine einheitliche ECM Enterprice Content Management Infrastruktur aufzubauen, die auch die Compliance-Anforderungen mit erfüllt



PROJECT CONSULT



20251 Hamburg


118

10 Merksätze (1)

1. Compliance-Themen gehören auf die Entscheiderebene, die die Verantwortung für die Einhaltung und Umsetzung der Anforderungen haben

2. Compliance-Anforderungen sind ein Bestandteil jedweder Corporate Gover nance Strategie

3. Unternehmen benötigen eine Richtlinie zum Umgang mit Informationen, eine Information Policy, die die Compliance-Anforderungen und die Lösung zur Umsetzung der Anforderungen beinhaltet

4. Compliance muss durchgängig im Unternehmen implementiert werden um wirksam zu sein

5. Die Erfüllung von Compliance-Anforderungen ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess



PROJECT CONSULT



20251 Hamburg


119

10 Merksätze (2)

6. Die Erfüllung von Compliance-Anforderungen muss regelmäßig nach definierten Verfahren überprüft werden

7. Information Management Compliance betrifft nicht nur Software und Systeme sondern die Prozesse im Unternehmen, die Organisation und den Umgang mit den Systemen

8. Compliance-Anforderungen betreffen nicht nur elektronische Archive sondern alle Systemkomponenten in denen aufbewahrungspflichtige Daten, Informa tionen und Dokumente erzeugt, genutzt und verwaltet werden

9. Die Erfüllung von Compliance-Anforderungen muss auch für den eigenen Nutzen im Unternehmen genutzt werden, um mehr Transparenz und Sicherheit zu schaffen und um das Unternehmen auf das Informationszeitalter einzustellen.

10. Man darf sich nicht durch den Begriff Compliance verunsichern oder gar verängstigen lassen, sondern muss zunächst im Unternehmen prüfen, welche Regelungen für welchen Anwendungsfall überhaupt relevant sind



PROJECT CONSULT



20251 Hamburg


120

Records Management



PROJECT CONSULT



20251 Hamburg


121

Wert von Dokumenten

• Der Wert und Charakter eines Dokumentes ergibt sich in der Regel erst durch inhaltliche, prozessabhängige, zeitliche oder fachliche Zusammenhänge

• Im englischsprachigen Raum spricht man anstelle „Dokumenten“ von „Records“

• Ein Record ist entsprechend der ISO 15489-11 eine „Information, die erzeugt, empfangen und bewahrt wird, um als Nachweis einer Organisation oder Person bei rechtlichen Verpflichtungen oder zum Nachvollzug einer geschäftlichen Handlung zu dienen“



PROJECT CONSULT



20251 Hamburg


122

Records Management

• Abbildung von Aktenplänen und anderen strukturierten Verzeichnissen zur geordneten Ablage von Informationen

• Thesaurus- oder kontrollierter Wortschatz-gestützte eindeutige Indizierung von Informationen

• Verwaltung von Aufbewahrungsfristen (Retention Schedules) und Ver nichtungsfristen (Deletion Schedules)

• Schutz von Informationen entsprechend ihren Eigenschaften, z.T. bis auf einzelnen Inhaltskomponenten in Dokumenten

• Nutzung international, branchenspezifisch oder zumindest unternehmensweit standardisierter Meta-Daten zur eindeutigen Identifizierung und Beschrei bung der gespeicherten Informationen



PROJECT CONSULT



20251 Hamburg


123

Funktionen rund um Records Management

Funktion RM Archiv COLD DMS Akte WFL

Archivierung X X (X)

Importfunktion Aufzeichnungen X X X X

Aufbereitung, Aktenorganisation X (X) (X) X

Bearbeitung, Änderung X X X

Retention-Verwaltung X (X) (X) X

Vernichtung X X X

Protokollierung X X X X (X) X

Vollständigkeitskontrolle X X

Eskalation / Qualitätssicherung X X



PROJECT CONSULT



20251 Hamburg


124

ILM Information Lifecycle Management

• Neues „Schlagwort“ der Anbieter von Speicher-Technologien (Storage)

• Ergänzung von Speichersubsystemen mit Software zur Verwaltung des Lebenszyklus von Daten

• Hinterlegte „Policies“ (Regeln) steuern die Speicherung, Speicherorte und Aussonderung von Informationen

• Weiterentwicklung des HSM hierarchischen Speichermanagements in Richtung elektronische Archivierung, Dokumentenmanagement und Enterprise Content Management

• Betriebssystemnahe Infrastruktur



PROJECT CONSULT



20251 Hamburg


125

Die Abhängigkeit von Information

Die Abhängigkeit von der Verfügbarkeit und der Richtigkeit von elektronischer Information wächst ständig

Unternehmen, Behörden und Gesellschaft sind von der Verfügbarkeit von Information inzwischen existentiell abhängig geworden

© Copyright PROJECT CONSULT GmbH 2002 / Autorenrecht Dr- Ulrich Kampffmeyer 2001-2002© PROJECT CONSULT 2002




PROJECT CONSULT



20251 Hamburg


126

Aktueller Stand der Diskussion um die GDPdU

• Grundfragen• Vorgehensmodelle• SAP DART und vergleichbare Lösungen



PROJECT CONSULT



20251 Hamburg


127

Prämissen

• Elektronische Steuerprüfung ist sinnvoll und unumgänglich

• Im BMF herrscht mehr juristischer als informationstechnischer Sachverstand

• Keine Schlupflöcher• Keine Selbstbeschränkung• Keine Überlegungen zur technischen Umsetzbarkeit

• Das System muss funktionieren• Unternehmen• Steuerberater• IT-Anbieter (Software, Hardware, Berater)• Finanzverwaltung



PROJECT CONSULT



20251 Hamburg


128

Hindernisse

• Offene Fragen, die nur der Gesetzgeber oder die Finanzverwaltung beantworten kann

• Welche Bedeutung haben die zentralen Begriffe? • Was sind steuerlich relevante Daten? • Was sind von der Finanzverwaltung akzeptierte

Lösungen?

• Zeitliche Diskrepanz zwischen Aktion (des Steuer-pflichtigen) und Reaktion (der Finanzverwaltung)

• Handlungsverweigerung • Bewusstsein der neuen Qualität der Außenprüfung • Kommunikation zwischen Steuer- und IT-Experten• Prozessbetrachtung / Qualitätsmanagement



PROJECT CONSULT



20251 Hamburg


129

Ort der Außenprüfung

• Grundsätzlich Geschäftsräume• Mangels geeigneter Geschäftsräume Wohnraum

oder an Amtsstelle• Auf Antrag beim Steuerberater• Beim Datenzugriff überlagern sich

Ermessenserwägungen hinsichtlich Prüfungsort mit denen über Art des Datenzugriffs

• Bei Z1 und Z2 wird die Prüfung wegen des hohen Aufwandes im Regelfall beim Steuerberater stattfinden.



PROJECT CONSULT



20251 Hamburg


130

Aktueller Stand bei den Beteiligten

• Finanzverwaltung• IDEA-Schulung nur schleppend

• Technische Ausstattung vielfach unzureichend

• Schwerfällige Abstimmungsprozesse zwischen Bund und Ländern

• Unternehmen• Groß: Tragweite meist erkannt, arbeiten an Lösungen

• Mittel: Betroffenheit erkannt

• Klein: weitgehend noch keine Maßnahmen ergriffen

• Steuerberater• Kaum Auseinandersetzung mit der Thematik/Problematik

• IT-Anbieter• Anfangseuphorie bei Archivsystemherstellern

• Kaufmännische Software allmählich GDPdU-konform

• Nachfrage nach Lösungen nimmt langsam zu



PROJECT CONSULT



20251 Hamburg


131

GDPdUOffene Fragen und Problemfelder

• Was sind steuerrelevante Daten („Verknüpfungen“, Stammdaten)?

• Welche Zugriffrechte benötigt ein Prüfer• Archivierungsformat eingehender elektronischer

Dokumente• Handhabung redundanter Daten• Vorgehen bei einer Software- oder Systemmigration• Speicherung von komprimierter Information möglich?

(siehe Diskussion um SAP DART)• Keine Richtlinien für Datenextraktionsverfahren der

Hersteller• Wie sieht eine zumutbare Mitwirkung aus?• Wahrung der Verhältnismäßigkeit• Haftung bei Systemabstürzen?• Geeignete Medien für Langzeitarchivierung?



PROJECT CONSULT



20251 Hamburg


132

Stellungnahme zur GDPdUPROJECT CONSULT + Zöller & Partner

Aussagen am Markt:

„Achtung CD-R und DVD-R … werden von den Finanzbehörden bei der Archivierung als nicht revisionssicher anerkannt“

„Generell müssen Sie alle archivierten Daten immer verschlüsseln …“

„Der einfachste Weg … liegt in der Archivierung auf

optischen Medien“

„COLD-Verfahren, die eine TIFF-Datei erzeugen, sind nicht mehr AO-konform“



PROJECT CONSULT



20251 Hamburg


133

Stellungnahme zur GDPdUPROJECT CONSULT + Zöller & Partner

Stellungnahme zur GDPdU im April 2003:

• Relevanz für die Unternehmen• Umsetzung der Anforderungen im Unternehmen

• Steuerrelevante Daten• Speicherung der Daten• Berechtigungen• Auswertbarkeit und Zugriff• IDEA• Sichere Speichersysteme und Langzeitverfügbarkeit• Absicherung des Gesamtverfahrens

• 10 GDPdU-Merksätze• Offene Fragen



PROJECT CONSULT



20251 Hamburg


134

Steuerlich relevante Daten

• In welchen Systemen kommen steuerlich relevante Daten vor?

• Formaler Definitionsversuch• Qualifikationsstrategien



PROJECT CONSULT



20251 Hamburg


135

Systeme mit steuerlich relevanten Daten

• Buchhaltungssysteme• Finanzbuchhaltung, Anlagenbuchhaltung,

Lohnbuchhaltung• Der Buchhaltung vorgelagerte Systeme

• Faktura, Kassenbuch, Reisekostenabrechnung, Zeiterfassung, Electronic Banking, Registrierkassen, ...

• Weitere Systeme (Inhalte spezifisch)• Warenwirtschaft/Materialwirtschaft,

Kostenrechnung/Leistungsrechnung, Webshop, ...• Systeme mit übergreifenden Funktionalitäten

• ERP-System, ...• Office-Systeme (Inhalte unspezifisch)

• Email, Textverarbeitung, Tabellenkalkulation, Datenbank, ...

• Datenadministrationssysteme (Inhalte unspezifisch)• Datenbank, Data-Warehouse, Archivierungssystem,

Dokumenten-Management-System, Webserver, ...



PROJECT CONSULT



20251 Hamburg


136

Steuerrelevante Daten

• Originär elektronische Unterlagen • Maschinell auswertbare Daten• Nicht maschinell auswertbare Belege



PROJECT CONSULT



20251 Hamburg


137

GDPdU

Steuerrelevante Daten:• Im Prinzip alle Daten mit Informationen, die relevant

sind für Kosten und Ertrag

Problemfelder:• Technische Abgrenzung• Daten außerhalb FiBu, z.B. Anlagenbuchhaltung,

Lohndaten, Zeiterfassung, aus Registrierkassen, Mail-Dokumente, Konstuktionsdaten

• Daten aus verschiedenen Speicherorten



PROJECT CONSULT



20251 Hamburg


138

Speicherung der Daten:• Basis: Nicht verdichtete Daten, i.d.R. zunächst aus

Finanzsystemen, dann Belegprüfung• Möglichkeit eines GDPdU-konformen Datenexports

zwingend• Bei Archivierung von Daten müssen die GoBS erfüllt

sein• Bei der Sicherung der Daten sind nicht

wiederbeschreibbare Medien nicht zwingend

Problemfelder:• Lebensdauer der Software-Systeme• Updates, Upgrades, Systemwechsel• Sicherstellung der Langzeitverfügbarkeit

GDPdU



PROJECT CONSULT



20251 Hamburg


139

Steuerlich relevante Daten – formaler Definitionsversuch

• Daten, die als numerischer Wert in den Algorithmus zur Berechnung des zu entrichtenden Steuerbetrages eingehen (z.B. Gehalt bei der Lohnbuchhaltung),

• Daten, die als Bedingung in den Algorithmus zur Berechnung des zu entrichtenden Steuerbetrages eingehen (z.B. Familienstand bei der Lohnbuchhaltung),

• Daten zur Prüfung eines Sachverhaltes, der Einfluss auf den zu entrichtenden Steuerbetrag hat, wobei die Prüfung dieses Sachverhaltes ohne diese Daten nicht möglich wäre.

• Daten, die zu einem Datensatz mit u.a. steuerlich relevanten Datenelementen gehören, der aufgrund von Vorschriften als Einheit zu betrachten ist.



PROJECT CONSULT



20251 Hamburg


140

Warum überhaupt Z1 und Z2?

• Ursprüngliche Absicht: Systemprüfung• Finanzverwaltung fehlt bei größeren Datenvolumina

IT-Ausstattung für Z3



PROJECT CONSULT



20251 Hamburg


141

GDPdU

Sicherung des Gesamtverfahrens:• Im Prinzip alle Daten mit Informationen, die relevant

sind für Kosten und Ertrag

Problemfelder:• Technische Abgrenzung• Daten außerhalb FiBu, z.B. Anlagenbuchhaltung,

Lohndaten, Zeiterfassung, aus Registrierkassen, Mail-Dokumente

• Daten aus verschiedenen Speicherorten



PROJECT CONSULT



20251 Hamburg


142

Sanktionsmöglichkeiten

• Schätzung, wenn Verletzung der Mitwirkungspflicht• Schätzung, falls Besteuerungsgrundlagen nicht

ermittelt werden können• Zwangsmittel bis zu 25.000,- Euro• Strafbarkeit des Abschlussprüfers

• Testat umfasst auch die Einhaltung der GoBS• Fehlende maschinelle Auswertbarkeit führt zur

Einschränkung des Testats



PROJECT CONSULT



20251 Hamburg


143

Sanktionen nach RVO vom 11.8.2003

Gewinnabgrenzungsaufzeichnungsverordnung• Werden die Aufzeichnungen nicht vorgelegt oder sind sie

im Wesentlichen unverwertbar, wird ein Zuschlag von (...)• Bei verspäteter Vorlage beträgt der Zuschlag bis zu 1

Mio. Euro (...)



PROJECT CONSULT



20251 Hamburg


144

Vorgehensmodell



PROJECT CONSULT



20251 Hamburg


145

Qualifikationsstrategien

• Inklusivstrategie• Benennung der auf jeden Fall steuerlich relevanten Daten

• Exklusivstrategie• Ausschluss der mit Sicherheit nicht steuerlich relevanten

Daten



PROJECT CONSULT



20251 Hamburg


146

Vorgehensmodell (1)

• Analyse• Prüfung der Anwendbarkeit der GDPdU• Aufnahme der IT-Infrastruktur • Bestimmung der steuerlich relevanten Daten und

Dokumente

• Konzeption• Aufbewahrungsstrategie• Fachkonzept• DV-Konzept• Verfahrensdokumentation



PROJECT CONSULT



20251 Hamburg


147

Vorgehensmodell (2)

• Implementierung• Anpassung der Geschäftsprozesse• Einrichtung von Berechtigungskonzept und Zugriffsprofil

(Z1 und Z2) • Datenträgerüberlassung (Z3)

• Organisation der Außenprüfung• Unternehmensrichtlinie für den Prüfungsablauf• Aufzeichnung der Prüfungstätigkeiten



PROJECT CONSULT



20251 Hamburg


148

Analyse

• Welche steuerlich relevanten Daten gibt es im Unternehmen?

• Hier ist der Steuerberater gefordert!• Die Beratung ist Vorbehaltsaufgabe der

steuerberatenden Berufe.



PROJECT CONSULT



20251 Hamburg


149

Implementierung

• Einrichtung von differenzierten Berechtigungen

• Betriebsprüfung• Lohnsteuer-Außenprüfung• Umsatzsteuer-Sonderprüfung



PROJECT CONSULT



20251 Hamburg


150

GDPdU – Aktuell (1)Stand der Diskussion

• Laut aktueller Aussage des BMF dürfen die Daten in einem elektronischen Archivierungssystem gehalten werden, sofern die Daten dort GDPdU-konform recherchiert und exportiert werden können.

• Das von SAP zur Verfügung gestellte Auswer-tungs- und Exporttool DART wird von den Finanzbehörden teilweise nicht als GDPdU-konform angesehen, da die Daten dort in komprimierter Form bereitgestellt werden. Es gibt aber keine offizielle Stellungnahme hierzu.

• Andere Anbieter von Buchhaltungssystemen wurden vom BMF gezwungen, ihr Extraktions-verfahren in diesem Sinne umzustellen.




PROJECT CONSULT



20251 Hamburg


151

GDPdU – Aktuell (2)Stand der Diskussion

• Erste Prüfungen nach GDPdU führen zu Schwierigkeiten und hohen Aufwänden für die betroffenen Firmen

• Es wird keine Zertifizierung einer „GDPdU-Konformität“ geben, aber es wird von den Finanzbehörden Aussagen zu „Negativ-Zertifikaten“ geben

• Ab 2004 wird es einen Katalog von Sanktionen vom BMF geben




PROJECT CONSULT



20251 Hamburg


152

GDPdU – Aktuell : SAP DARTIst DART GDPdU-konform? (1)

• Es gibt keine offizielle Stellungnahme einer Finanzbehörde hierzu.

• DSAG (Deutsche SAP-Anwendergruppe):„…keinerlei Zweifel bezüglich Gesetzeskonformität …“

• SAP:Definition und Separation der Daten kann nicht auf den

Softwareanbieter übertragen werden. DART unterstützt diesen Prozess. „Es muss jedoch betont werden, dass man von Gesetzeskonformität nur bezüglich des beim Unternehmen implementierten Prozesses sprechen kann …Diesbezüglich können sprachliche Unschärfen auch seitens der Prüfer nicht ausgeschlossen werden…Das Tool DART nimmt keine Verdichtung = Aggregation von steuerrelevanten Daten vor.“

Kunde soll Steuerprüfer mit einbeziehen

• DATEV musste seine Software entsprechend anpassen




PROJECT CONSULT



20251 Hamburg


153

GDPdU – Aktuell : SAP DARTIst DART GDPdU-konform? (2)

• Es gibt keine offizielle Stellungnahme einer Finanzbehörde hierzu.

• DSAG (Deutsche SAP-Anwendergruppe):„…keinerlei Zweifel bezüglich Gesetzeskonformität …“

• SAP:Definition und Separation der Daten kann nicht auf den

Softwareanbieter übertragen werden. DART unterstützt diesen Prozess. „Es muss jedoch betont werden, dass man von Gesetzeskonformität nur bezüglich des beim Unternehmen implementierten Prozesses sprechen kann …Diesbezüglich können sprachliche Unschärfen auch seitens der Prüfer nicht ausgeschlossen werden…Das Tool DART nimmt keine Verdichtung = Aggregation von steuerrelevanten Daten vor.“

Kunde soll Steuerprüfer mit einbeziehen




PROJECT CONSULT



20251 Hamburg


154

Elektronische Archivierung und GDPdU

• Grundlegende Ansätze der elektronischen Archivierung• Auswertbarkeit gespeicherter Daten• Sonderfall E-Mailarchivierung• Speichermedien• Archive und die GDPdU• IDEA und TaxAudit



PROJECT CONSULT



20251 Hamburg


155

Funktionale Anforderungen

Grundfunktionen• Erfassen• Erschließen• Verwalten• Speichern• Finden• Zugänglich machen• Sichern• Reproduzieren• Integrieren Copyright PROJECT CONSULT GmbH 2002 / Autorenrecht Dr. Ulrich Kampffmeyer 2001-2002

• Migrieren© Copyright PROJECT CONSULT GmbH 2002 / Autorenrecht Dr. Ulrich Kampffmeyer 2001-2002




PROJECT CONSULT



20251 Hamburg


156

Ein- und Ausgänge aus Dokumentensicht

Fremdbestimmt EigennutzungDFÜ

E-Mail- Attachment- SignaturFaxPosteingang- Scan Akte- Scan DokumenteInternet-Formular„no-Scans“

Eigenbestimmt

E-Mail- AttachmentScanOffice (Word)ColdDatenVordrucke

IntranetSicherheitskopienStatistikProtokollVorgängeDokumenteE-MailDruck

Fremdnutzung

DFÜDokumenteVorgängeVordruckeE-MailWebseitePrüfung

DRT-Lösung

Vorgangs-bearbeitung

WF DMS Akte

Archiv

Aus-sonderung

Historisches

Archiv



PROJECT CONSULT



20251 Hamburg


157

Erfassung

• Arten von Daten und Informationen die erfasst werden

• Computergestützte Erfassung (=Document Imaging) • Nichtkodierte Informationen (NCI) sind Bilder, Sprache,

Ton, Video etc., die vom Rechner nicht direkt verarbeitbar sind. Eine typische NCI-Anwendung ist die Erfassung von Dokumenten mit Scannern und deren Behandlung als Faksimiles © PROJECT CONSULT 2002 Urheberrechte Dr. Ulrich Kampffmeyer

• Kodierte Informationen (WORD, etc.)

• Arten der Erfassung von Informationen• vollautomatisch (OCR, ICR)• teilautomatisch • manuell




PROJECT CONSULT



20251 Hamburg


158

ScannenUnterschiede und Problemfelder

• Individuelles Schriftgut• Eindeutig identifizierbar• Schlecht identifizierbar• „No-Scans“

• Vordrucke• Selbst gestaltet• Fremdvordrucke

• Gleichbehandlung• Scannen und Fax• E-Mail• Internet-Formulare




PROJECT CONSULT



20251 Hamburg


159

Speicherung (1)

• Speichern eines Dokumentes im Archiv (Dokumentbibliothek)• Lokale Speicherung eines Dokumentes (außerhalb des

zentralen Archives)• Speichern in einem anderen Dokumentenformat, damit

Dokumente von verschiedenen Applikationen angezeigt und geändert werden können (Konverter)

• Bereitstellung von Daten und Dokumenten über einen Zeitraum von mindestens 10 Jahren

• Archivsysteme, die nach den Vorgaben der Allgemeinen Abgabenordnung (HGB AO) und der GoBS Daten und Dokumente sicher, unverändert, vollständig, ordnungsgemäß, verlustfrei reproduzierbar und datenbankgestützt recherchierbar verwalten




PROJECT CONSULT



20251 Hamburg


160

Speicherung (2)

• Im Gegensatz zum hierarchischen Speichermanagement verfügt ein elektronisches Archivsystem über eine datenbankgestützte Verwaltungs- und Retrievalkomponente

• Die elektronische Archivierung ist auf die langzeitige Verfügbarkeit von Daten und Dokumenten ausgelegt

• Im Gegensatz zum hierarchischen Speichermanagement verfügt ein elektronisches Archivsystem über eine datenbankgestützte Verwaltungs- und Retrievalkomponente

• Elektronische Archivsysteme sichern die Vollständigkeit, Unveränderbarkeit und Verfügbarkeit von beliebigen Informationen unabhängig von der erzeugenden Anwendung

• Archivsysteme können sowohl Online-Bestände als auch Nearline (Jukebox, Bandspeichersysteme) und Offline (im Regal mit Nachlegen des Mediums auf Anforderung) verwalten




PROJECT CONSULT



20251 Hamburg


161

Speicherung (3)

• Elektronische Archive sollten als nachgeordnete Dienste allen Anwendungen in einem Unternehmen zur Verfügung stehen und Information übergreifend erschließbar machen

• Elektronische Archive müssen Standard-Schnittstellen und Standard-Formate unterstützen, um den übergreifenden Zugriff und die Migration von Beständen zu unterstützen

• Archivsysteme müssen über effektive Sicherheits- und Schutzmechanismen verfügen




PROJECT CONSULT



20251 Hamburg


162

Berechtigungssystem (1)

• Zugriffsberechtigungen, Sichten und Funktionen werden über die Rollen und Gruppen der Benutzerverwaltung gesteuert

• Entsprechend der Benutzergruppen und Rolle sind unterschiedliche Sichten vorhanden © PROJECT CONSULT 2002 Urheberrechte Dr. Ulrich Kampffmeyer

• Berechtigungen:• Benutzer:

Berechtigungen sollten nie an Einzelpersonen festgemacht werden, sondern neutralen Benutzergruppen zugeordnet werden.

• Benutzergruppe: Neutrale Benutzergruppe beinhalten vertikale (Lesen, Schreiben etc.) und horizontale Berechtigungen (Dokumentenklassen) in entsprechender Kombination




PROJECT CONSULT



20251 Hamburg


163

Berechtigungssystem (2)

Berechtigungen:• Dokumentklasse:

Dokumentobjekten selbst können bestimmte Berechtigungsinformationen tragen. Durch die Zuordnung zu Dokumentklassen werden die Klassenmerkmale weitergegeben.

• Sicherheitsanforderungen: Dokumentobjekte gelten für die aktuelle Aufbewahrungsfrist. Sie können weder mutwillig noch versehentlich gelöscht werden können




PROJECT CONSULT



20251 Hamburg


164

Datenbank

• Dient der Indexverwaltung in einem elektronischen Archiv und Verpointerung auf die Dokumente

• Erlaubt Replikationen über verteilte Standorte und Roaming User (Mobile User)

• Einheitliches Datenmodell ist wichtig für spätere Migrationen © PROJECT CONSULT 2002 Urheberrechte Dr. Ulrich Kampffmeyer

• Zugriffssteuerung über mehrere physikalische Archive über ein einheitliches logisches Archiv

• Unterschiedliche Typen:• Volltext Datenbank• Relationale Datenbank• BLOB Datenbank




PROJECT CONSULT



20251 Hamburg


165

Konverter

• Umwandlung verschiedener Dokumentenformate in ein einheitliches Format für die langfristige Archivierung

• Wandlung beliebiger Originalformate in definierte Zielformate zur plattformunabhängigen Dokumentenbereitstellung

• Konverter sollten verlustfrei arbeiten, Viewer müssen dies nicht

• Hinzufügen des Headers bei der Archivierung• Interpretation des Headers bei der Rückgabe aus

dem Archiv




PROJECT CONSULT



20251 Hamburg


166

Protokollierung

• Wahrung der Nachvollziehbarkeit im Sinne der GoBS• Die revisionssichere Protokollierung führt in Verbindung mit

der Verfahrensdokumentation zu einem sogenannten „elektronischen Dokument hoher Qualität“

• Protokollierung von:• Wartung und Softwareupdates

• Einrichtung und Änderung von Benutzerdaten

• Einstellen, Ändern und Löschen von Dokumenten

• Änderung am Datenmodell

• Fehlern

• Verlustbehafteten Konvertierungen

• etc.

• Protokollsätze mit den Angaben von Benutzer, Signaturcode, Datum/Uhrzeit, Unique Identifier des Informationsobjekts, etc.




PROJECT CONSULT



20251 Hamburg


167

Journale

• Verbesserung der rechtlichen Anerkennung durch revisionssichere Protokollierung

• Die revisionssichere Protokollierung führt in Verbindung mit der elektronischen Unterschrift und der Verfahrensdokumentation zu einem sogenannten ”elektronischen Dokument hoher Qualität” mit einer verbesserten Rechtssicherheit



PROJECT CONSULT



20251 Hamburg


168

Journale

Notwendige Protokollierungen sind im Bereich:• Pflege• Einrichtung und Änderung von Benutzerdaten,• Einstellen und Löschen von Signaturen, wenn diese

auf dem Server hinterlegt sind,• Nutzung• Protokollsätze mit den Angaben Benutzer,

Signaturcode, Datum/Uhrzeit und Unique Identifier des Informationsobjekts.



PROJECT CONSULT



20251 Hamburg


169

Journale

Die Sicherheitsmerkmale sind:• die Prüfsumme im Dokumentenheader,• die Eindeutigkeit des Unique Identifier,• die Unveränderbarkeit des Dokuments und des

Protokolls beim Speichern,• die Verfahren sind in sich geschlossen, d. h. es

existiert keine manuelle Eingriffsmöglichkeit,

das Verfahren ist nach GoBS in der Verfahrensdokumentation beschrieben.



PROJECT CONSULT



20251 Hamburg


170

Restart - Wiederanlauf

• Wiederanlauf nach Betriebsstörungen• Verlust der Netzwerkverbindung• Störungen der Indexdatenbank• Störungen des IRS• Störungen der optischen Speichereinheit• Störungen (z.B. Überlauf) der temporären Speicher• Der Wiederanlauf stellt sicher, daß die Systeme

kurzfristig mit herkömmlichen DV-Mitteln ohne Dokumentenverlust weiterarbeiten können

• Gegebenenfalls ist ein Teil-Recovery notwendig, um die Konsistenz im System wieder herzustellen



PROJECT CONSULT



20251 Hamburg


171

Verfahren zum Wiederanlauf

• Redundante Systeme• z.B. gespiegelter Server, RAID, Dual Homing etc.

innerhalb eines Systems • z.B. Sicherheitsrechenzentren

• Problem: hohe Kosten, aufwendiger Betrieb

• Einspielen von Sicherungen• z.B. Bandsicherungen

Problem: Teile der aktuellen Daten- und Dokumentenbestände fehlen, Teil-Recovery und Konsistenzabgleich erforderlich



PROJECT CONSULT



20251 Hamburg


172

Teil-Recovery

• Definierte Teile des optischen Archivs sind nicht mehr verfügbar

• Teil-Recovery, z.B.• Recovery über einen bestimmten Zeitraum• Recovery eines Mediums• Recovery einer bestimmten Dokumentengruppe

oder eines bestimmten Dokumentenortes• Durch das Zusammenwirken von Teil-Recovery

und Wiederanlauf wird das System nach Störungen konsistent wieder bereitgestellt



PROJECT CONSULT



20251 Hamburg


173

Voll-Recovery

• Komplettes Archiv oder Archiv-Subsystem ist ausgefallen

• Voll-Recovery• Recovery meint in der Regel den Wiederaufbau des

gesamten Systems von den optischen Speichermedien

• Durch das Zusammenwirken von Voll-Recovery mit Wiederanlauf wird das System nach Störungen konsistent wieder bereitgestellt



PROJECT CONSULT



20251 Hamburg


174

Herkömmlich• Datenbank, Netzwerk etc. werden über Bänder gesichert• Im Archiv liegen nur die Dokumente selbst

(in Zukunft für revisionssichere Archivierung nicht mehr zulässig)

Zusätzliche Sicherung über digitale optische Speicher• Zugriffs- und Indexinformationen werden als String nahe beim

Dokument gespeichert• Teile der Datenbank werden mit auf die gleiche Seite der

optischen Platte geschrieben• Es werden “Self contained”-Informationsobjekte archiviert, die

im Header alle notwendigen Informationen mit sich tragen(sicherste Methode; auch für den Austausch von Dokumenten geeignet)

Verfahren der Absicherung für den Recovery-Fall



PROJECT CONSULT



20251 Hamburg


175

Sonderfall E-Mailarchivierung



PROJECT CONSULT



20251 Hamburg


176

Archivierung von E-Mails

• Rechtsregeln für die E-Mail-Archivierung• Archivierungspflicht für empfangene und

abgesandte Handelsbriefe, § 257 HGB.• „Grundsätze zum Datenzugriff und zur Prüfbarkeit

digitaler Unterlagen“• „Grundsätze ordnungsmäßiger DV-gestützter

Buchführungssysteme“



PROJECT CONSULT



20251 Hamburg


177

Kontrolle von E-Mails (1)

• Ausschließlich dienstliche Nutzung der E-Mail-Kommunikation erlaubt:

• Persönlichkeitsschutz des Arbeitnehmers• Begleitumstände kontrollierbar• Zugriff auf Inhalte ausnahmsweise, wie bei

Verdacht von Straftaten und Verrat von Betriebsgeheimnissen.



PROJECT CONSULT



20251 Hamburg


178

Kontrolle von E-Mails (2)

• Private Nutzung der E-Mail-Kommunikation erlaubt:• Arbeitgeber als Anbieter von TK-Diensten.• Es gilt Fernmeldegeheimnis nach TKG.• Kenntnis vom Inhalt und angewählter Adresse nur

für die Organisation der TK-Dienste erlaubt.



PROJECT CONSULT



20251 Hamburg


179

Filterung von E-Mails (1)

• SPAM-Mail adressiert an Mitarbeiter:• Strafrechtliche Aspekte• Verletzung des Fernmeldegeheimnisses,• § 206 Abs. 2 NR. 2 StGB• Datenunterdrückung, § 303a StGB



PROJECT CONSULT



20251 Hamburg


180

Filterung von E-Mails (2)

Private Nutzung erlaubt:• Verletzung des Fernmeldegeheimnisses

und Datenunterdrückung

Private Nutzung nicht erlaubt:• Datenunterdrückung

Notstand: drohende Funktionsunfähigkeit

Lösung: Betriebsvereinbarung



PROJECT CONSULT



20251 Hamburg


181

Aktive Archivierung von E-mails

Weitere Gründe• Reduzierung von Suchzeiten aufgrund der

integrierten Suchfunktionalitäten im Archivsystem.• Sicherung und Bereitstellung von in E-Mails

vorhandenen geschäftskritischen Informationen in nachgelagerten Systemen.



PROJECT CONSULT



20251 Hamburg


182

Anforderungen an eine E-Mail-Archivierung (1)

• Langzeitarchivierung aller in einer Mail enthaltenen Informationen, einschließlich Formatierungen, Rechteinformationen und Anhänge.

• Hohe Skalierbarkeit in Bezug auf Anzahl zu archivierender Mail und Datenvolumina.

• Wiederherstellen der archivierten Mails ohne Informationsverluste

• Wahlweise vollständiges oder teilweises Löschen von bereits archivierten E-Mails aus dem führenden Mailsystem. (z.B. Löschen der Anhänge und/oder des Mailtextes)



PROJECT CONSULT



20251 Hamburg


183

Anforderungen an eine E-Mail-Archivierung (2)

• Komprimierung der archivierten Dokumente• Archivierung von verschlüsselten

Maildokumenten• Konvertierung der Anhänge und/oder des

Mailtextes in Bild- bzw. Richtext Formate• Single Instance Archivierung.

(Attachments von identischen Mails an mehrere Nutzer werden nur einmal archiviert.)

• Statistische Auswertungsmöglichkeiten aller abrechnungsrelevanten Aktionen



PROJECT CONSULT



20251 Hamburg


184

Vollständige Archivierung (1)

Vorteile:

• Konformität mit den rechtlichen Erfordernissen

• Möglichkeit der Prozessintegration

• Kaum Einfluss auf die Arbeitsweise der Nutzer

• Volle Integration in das bestehende IT Management des Unternehmers

Nachteile:

• Umfangreichster und aufwendigster Lösungsansatz

• Meist kostenintensivste Lösung

• Oft komplizierte Verhandlungen mit Betriebsrat und Datenschutzbeauftragten der Unternehmen



PROJECT CONSULT



20251 Hamburg


185


Vorteile:

• Wesentliche Reduzierung der Mailboxgrößen.

• Daraus resultierender Performancegewinn.

• Reduzierung der Hardwareanforderungen.

Nachteile:

• Rechtliche Anforderungen werden nicht erfüllt.

• Nach Crash des Mailsystems ist eine Zuordnung der archivierten Anhänge zu Mails fast unmöglich.

• Offline Retrieval der Anhänge nicht möglich.



PROJECT CONSULT



20251 Hamburg


186


Vorteile:

• Filterung unerwünschter Mails.

• Reduzierung des Speicherplatzbedarfs.

• Daraus resultierender Performancegewinn.

• Reduzierung der Hardwareanforderungen.

Nachteile:

• Bei ungenauer Festlegung der Selektionskriterien werden rechtliche Anforderungen nicht erfüllt.



PROJECT CONSULT



20251 Hamburg


187

Speichermedien



PROJECT CONSULT



20251 Hamburg


188

Digitale optische Speichermedien:

• WORM (Write Once Read Many)• CD (Compact Disk) © PROJECT CONSULT 2002 Urheberrechte Dr. Ulrich Kampffmeyer

• DVD (Digital Versatile Disk)

Werden physikalische WORM-Medien überhaupt noch gebraucht?

Standards von Speichermedien




PROJECT CONSULT



20251 Hamburg


189

WORM SpeichermedienTraditionelle WORM (Write Once Read Many)

• Lagerung in einer geschützten „Cartridge“• True WORM sind physisch nur einmal

beschreibbare Medien• Soft WORM sind im Prinzip wiederbeschreibbare

Medien• Lesbarkeit der Daten bis 40 Jahre „garantiert“• 5 ¼“ ist am weitesten verbreitet• Aufnahmekapazität bis zu 9,1 GB je Medium• Zugriff i.d.R. über SCSI (1,2 - 2,3 MByte/s), relativ

gering• Teure Medien (ca. 40 €)




PROJECT CONSULT



20251 Hamburg


190

Datensicherheit von WORM Speichern Technische Datensicherheit

• wesentlich höherer Grad an Datensicherheit als magnetische Speicher

• ECC Verfahren (Error Correction Code) gewährleisten eine Fehlerrate kleiner 10-12 Bit

• 1.000.000.000.000 Bits speichern, 1 Bit falsch interpretieren• etwa 1000 Gigabyte oder ca. 2000 Stunden ununterbrochener

Schreib-(= Archivier-)Betrieb, ehe ein gespeichertes Bit falsch wiedergegeben wird

• geschützt gegen Einflüsse von magnetischen Feldern und Headcrashes

• keine Aufbewahrung in klimatisierten Räumen erforderlich • lediglich Schutz vor Überhitzung über 50 Grad Celsius und

direkter physikalischer Zerstörung erforderlich




PROJECT CONSULT



20251 Hamburg


191

WORM SpeichermedienCD (Compact Disk)

• CD-ROM (ist nur lesbar, nicht beschreibbar)• CD-R (einmal beschreibbar, dann nur noch lesbar)• CD-RW (ca. 1000-fach beschreibbar, dann nur

noch lesbar)• CD-I (Interaktive Spiele etc.) • Photo-CD • CD-Extra (Audio -und Datenspur nebeneinander)• Lesbarkeit der Daten 10-15 Jahre• Aufnahmekapazität bis zu 800 MB je Medium• Zugriff über SCSI oder IDE (bis zu 10,8 MB/sek.)• Günstige Medien (ca. 0,25 €)




PROJECT CONSULT



20251 Hamburg


192

WORM SpeichermedienDVD (Digital Versatile Disk)

• Gleiche Abmessung wie eine CD• Zwei Schichten pro Seite (beidseitig)• Verschiedene Formate, weitere zu erwarten• Aufnahmekapazität bis zu 17 GB je Medium• Zugriff über SCSI oder IDE (20,8 MB/sek.)• Teurere Medien (ca. 10 €)




PROJECT CONSULT



20251 Hamburg


193

Der Speichermanagement für die WORM: die Jukebox

Jukeboxen sind softwaregesteuerte, automatische Medienverwaltungssysteme für rotierende Speichermedien. Sie verwalten:

• „online“ Medium befindet sich im Laufwerk

• „nearline“ Medium befindet sich in der Jukebox und wird von der Steuersoftware automatisch gefunden und in ein freies Laufwerk eingelegt

• „offline“Medium muss auf Anforderung der Steuersoftware der Jukebox manuell zugeführt werden; anschließend wie „Nearline“



PROJECT CONSULT



20251 Hamburg


194

WORM-Tapes

• Von Sony (AIT) oder StorageTek (VolSafe)• Auch für die allgemeine Bandsicherung nutzbar• Hohe Sicherheit bei ordnungsgemäßem

Rechenzentrumsbetrieb und der regelmäßigen Migration

• Aufnahmekapazität bis zu 260 GB je Medium (komprimiert)

• Zugriffsgeschwindigkeiten mit denen von herkömmlichen WORMs vergleichbar oder schneller

• Medien durch große Kapazität relativ günstig (120€)




PROJECT CONSULT



20251 Hamburg


195

Festplattenspeicher

• Z.B. Centera von EMC• Einfaches Management• Sehr schnell Datenzugriffe• Unveränderbarkeit und Wahrung der Authentizität

der Daten• Wahrung der Integrität• Replikation• Ein 19inch Rack fasst bis zu 9,6TB (gespiegelt)




PROJECT CONSULT



20251 Hamburg


196

Architektur von elektronischen Archivsystemen

ArchivsystemManagement

ArchivsystemSpeicher

IndexDatenbank



PROJECT CONSULT



20251 Hamburg


197


Architektur von ArchivsystemenTraditionelle Referenz-Datenbank

Pointer

JukeboxMagnetplatteBandarchiv

„Referenz-Datenbank“



PROJECT CONSULT



20251 Hamburg


198




IndexDatenbank

AusgebenErfassen

Anwendungen

ERP

Client

E-Mail Office ...

Client Client

AusgebenErfassen



PROJECT CONSULT



20251 Hamburg


199

Archivsysteme

• Archivsysteme schützen Information vor Verlust, Veränderung und unautorisierter Benutzung

• Archivsysteme sind Infrastruktur-Komponenten• Archivsysteme stehen als Dienst jeder Anwendung

einheitlich zur Verfügung• Archivsysteme bilden die universelle, übergreifend

nutzbare Wissensbasis des Unternehmens• Archivsysteme speichern alle Formen von Daten

und Dokumenten und erschließen sie über Datenbanken

• Archivsysteme unterstützen die Nutzung von Informationen in geschlossenen und offenen Kommunikationsgemeinschaften

© Copyright PROJECT CONSULT GmbH 2002 / Autorenrecht Dr. Ulrich Kampffmeyer 2001-2002© PROJECT CONSULT 2002




PROJECT CONSULT



20251 Hamburg


200

Anwendungsgebiete

• Imaging-Archive für die Speicherung gescannter Dokumente• E-Mail-Archive für E-Mails und Attachments • Web-Archive für die Speicherung von Transaktionen und

Webseiten• COLD-Archive für die Speicherung von Listen und Output-

Dateien• Multimedia-Archive für Video, Filme, Sprache und

multimediale Objekte (Rich Media oder Media Assets)• CAD-Archive für die Speicherung großformatiger Pläne und

Plandateien• ...

Das Ziel:• Universal-Archive für die Speicherung aller Formen von

Daten, Informationen, Dokumenten, Content und Media Assets





PROJECT CONSULT



20251 Hamburg


201

Archive und die GDPdU



PROJECT CONSULT



20251 Hamburg


202

Datenverarbeitungssystem im Sinne der GDPdU

• Hauptsystem• Vorgelagertes System• Nebensystem• Archivsystem• Universelles Auswertungsprogramm für

steuerrelevante Daten



PROJECT CONSULT



20251 Hamburg


203


Was heißt dies für die GDPdU ?



IndexDatenbank

KaufmännischeAnwendung

Client

Übergibt an das Archiv auswertbare Daten

Erhält auswertbare Daten zurück

Erlaubt Zugriff nach Z1 und Z2Z1 & Z2

Erstellt Daten für Z3 Überlassung

Z3



PROJECT CONSULT



20251 Hamburg


204


Was heißt dies für die GDPdU ?



IndexDatenbank

KaufmännischeAnwendung

Kaufmännische Anwendungkann Daten nicht verarbeiten

Spezielle Anwendungauf dem Archivsystem

SpezielleAnwendung

Erlaubt Zugriff nach Z1 und Z2

Z1 & Z2

Erstellt Daten für Z3 Überlassung

ClientZ3



PROJECT CONSULT



20251 Hamburg


205

Revisionssicherheit

• Revisionssicherheit ist eine Verfahrenseigenschaft und keine Produkteigenschaft

• Keine Zertifizierung von Produkten• Revisionssicherheit ist nur für ein bestimmtes

Unternehmen für eine bestimmte Zeit feststellbar



PROJECT CONSULT



20251 Hamburg


206

Lösung zur Datenträgerüberlassung

• Export• Export aus Produktivsystem• Export aus Archivsystem

• Formate• Beschreibungsstandard Smart X• Andere GDPdU-konforme Formate



PROJECT CONSULT



20251 Hamburg


207

IDEA & TaxAudit



PROJECT CONSULT



20251 Hamburg


208

Prüfungssoftware IDEAAllgemeines (1)

• Analysetool für Betriebsprüfungen• Vor über 17 Jahren vom Kanadischen

Rechnungshof entwickelt• BMF hat 14.000 Lizenzen erworben• Deutscher Vertrieb über die Firma Audicon

(hat den neuen XML-basierten Beschreibungsstandard entwickelt)

• Datenbestände des zu prüfenden Unternehmens werden auf Datenträger kopiert

• Der Prüfer kann somit direkt vom (lokalen) Datenträger aus arbeiten




PROJECT CONSULT



20251 Hamburg


209

Prüfungssoftware IDEAAllgemeines (2)

• Nach wie vor lässt die Vielzahl und unterschiedliche Ausgestaltung und Kombination selbst marktgängiger Buchhaltungs-und Archivierungssysteme keine Aussagen der Finanzverwaltung zur Konformität der verwendeten oder geplanten Hard-und Software mit den „GDPdU“ und den „GoBS“ zu.

• Vor dem Hintergrund der vom Softwarehersteller frei wählbaren Beschreibung der Datenstrukturen gilt dies gleichermaßen für eine nach dem Beschreibungsstandard für die Datenträgerüberlassung konzipierte „GDPdU“-Schnittstelle.

• Über die Firma Audicon (http://www.audicon.net) kann der aktuelle „Beschreibungsstandard für die Datenträgerüberlassung“angefordert werden




PROJECT CONSULT



20251 Hamburg


210

Prüfungssoftware IDEAZugelassene Formate

• Sofern die zur Auswertung notwendigen Strukturinformationen in maschinell verwertbarer Form vorliegen, können mit IDEA prinzipiell folgende Formate verarbeitet werden:

• ASCII feste Länge und ASCII Delimited (einschließlich kommagetrennter Werte)

• EBCDIC feste Länge und EBCDIC Dateien mit variabler Länge• Excel und Access (auch ältere Versionen)• dBASE• Lotus 123• Druckdateien• Dateien von SAP/AIS• Konvertieren von AS/400 Datensatzbeschreibungen (FDF-

Dateien erstellt von PC Support/400) in RDE-Datensatzbeschreibungen

• Dateien im IDEA-Format (mit XML-Beschreibung)




PROJECT CONSULT



20251 Hamburg


211

Prüfungssoftware IDEAZugelassene DV-Systeme

• Die Installation der Prüfsoftware erfolgt ausschließlich auf den Laptops der Außenprüfer und Arbeitsplatzrechnern der Finanzverwaltung

• Auf DV-Systemen des Steuerpflichtigen, eines beauftragten Dritten oder seines steuerlichen Beraters darf IDEA durch die Prüfer des BMF aus lizenzrechtlichen Gründen keinesfalls installiert werden

• Der Prüfer hat keine Möglichkeit, sich mit Hilfe seiner Prüfsoftware ohne Kenntnis und Möglichkeit der Einflussnahme durch den Steuerpflichtigen Zugriff auf nicht steuerrelevante Daten zu verschaffen




PROJECT CONSULT



20251 Hamburg


212

IDEA und TaxAudit

„Beschreibungsstandard“ BMF und Audicon:

• Information zum Beschreibungsstandard für die Datenträgerüberlastung

• Die aktuelle technische Beschreibung kann bei der Fa. Audicon kostenlos heruntergeladen werden

• Sie beinhaltet insbesondere die technische Organisation des Beschreibungsstandards und eine Erläuterung



PROJECT CONSULT



20251 Hamburg


213

IDEA und TaxAudit

• Die Prüfer der Finanzverwaltung nutzen SmartX von Audicon zum Einlesen und Verstehen der CD-ROM nach dem Beschreibungsstandard



PROJECT CONSULT



20251 Hamburg


214

IDEA und TaxAudit

Problem:

Was und wie

soll digital

geprüft werden?

CD-ROM nach

BeschreibungsstandardS

mar

tX-I

mpo

rt

IDE

A



PROJECT CONSULT



20251 Hamburg


215

IDEA und TaxAudit

Problem:

Wie verbinde ich

die Prüfungs-

makros mit den

importierten

Daten?

CD-ROM nach

BeschreibungsstandardS

mar

tX-I

mpo

rt

IDE

A



PROJECT CONSULT



20251 Hamburg


216

IDEA und TaxAudit

AIS TaxAudit1. Prüfungsinhalte

2. Ausgefeiltes Verbinden

importierter Daten.



PROJECT CONSULT



20251 Hamburg


217

Archivierung und SAP DART



PROJECT CONSULT



20251 Hamburg


218

ECM-Anwendungen / -Infrastruktur

ECM-Bereich SAP-Produkt / -Komponente ZuordnungInfrastruktur Anwendung

Infrastruktur Anwendung

Archivierung

Workflow

Portal

Collaboration

EDM

Records-Mgmt

PLM

ArchiveLink, HTTP Cont.Serv.Schnitt.

DocumentViewer

SAPScript, SAPForms

ADK, DART (Datenarchivierung)

Business Workflow

Enterprise Portal

Enterprise Portal

cFolders (PLM)

Knowledge Provider (KPro)

DVS

Records Management

mySAP PLM



PROJECT CONSULT



20251 Hamburg


219

Archivierung bei SAP

• Dokumenten- und Datenarchivierung• SAP eigene Standard-Schnittstelle

(ArchiveLink bzw. HTTP Content Server Schnittstelle)

• ECM-Hersteller-Zertifizierung:

• alle namhaften ECM-Systeme sind zertifiziert („Externe Ablagesysteme“)

• SAP-eigener Content Server

• Dokumentenzugriff erfolgt über die SAP-Oberfläche

• Zugriffsinformationen ausschließlich in SAP gespeichert (SAP-Verknüpfungstabellen)

• Keine „Aktenansicht



PROJECT CONSULT



20251 Hamburg


220

Aktuell Alte Bezeichnung

ArchiveLink: Erfassungsszenarios

Ablegen für spätere Erfassung

Ablegen und Erfassen

Zuordnen und Ablegen

Spätes Ablegen mit Barcode

Frühes Ablegen mit Barcode

Ablegen für spätere Zuordnung

Ablegen und Zuordnen

Frühe Archivierung

Gleichzeitige Archivierung

Späte Archivierung

Späte Archivierung mit Barcode

Frühe Archivierung mit Barcode

Neu

Neu



PROJECT CONSULT



20251 Hamburg


221

SAP-Datenarchivierung

• R/3 Datenbanken wachsen mit jeder Eingabe von SAP-Belegen

• Antwortzeiten• Die Performance der Anwendungen kommt in kritische

Bereiche, Anwenderakzeptanz schwindet

• Systemverfügbarkeit• Notwendige Releasewechsel können in den zur Verfügung

stehenden Zeitfenstern nicht mehr durchgeführt werden

• Ressourcennutzung• Laufzeiten zur Datensicherung verursachen lfd. mehr Kosten für

Administration

• Hardwareaufrüstungen bzgl. Rechnerleistung und Plattenspeicher werden notwendig und verursachen Kosten

• Insbesondere steuerrelevante Daten können nicht einfach gelöscht, sondern müssen archiviert werden!



PROJECT CONSULT



20251 Hamburg


222

DART – Datenauslagerung

• Datenarchivierung mit ADK genügt „eingeschränkt“ den GDPdU, da die archivierten Daten nur begrenzt (Prüfungsszenarien: Z1, Z2) auswertbar sind.

• DART („Data Retention Tool“) exportiert SAP-Daten in flache Dateien. Inzwischen wird aber auch das XML-Format für IDEA unterstützt

• Erlaubt Auswertungsmöglichkeiten für Finanzbehörden und WP´s mit 3rd-Party Tools wie z. B. WinIDEA

• Erzeugte Dateien können entweder auf einem Dateisystem oder über ArchiveLink in einem zertifizierten Content Server abgelegt werden

• ADK und DART werden für die gleichen Daten verwendet, um diese zu archivieren und zusätzlich der Finanzbehörde zur Verfügung stellen zu können („doppelte Archivierung“)



PROJECT CONSULT



20251 Hamburg


223

COLD im SAP-Umfeld

• Ablage von ausgehenden Dokumenten und Drucklisten über ArchiveLink-/Content-Server-Schnittstelle

• Archiv ist ein zusätzlicher „Drucker“

• Layoutgestaltung von ausgehenden Dokumenten über SAPForms / SmartForms; Archivierung in PDF

• Sonderfall: Externes Output Management-System• Ausgabe Netto-Druckdaten über RDI-Schnittstelle,

Formatierung über OMS• Archivierung und nachträgliche Verknüpfung in SAP immer

durch anbieterspezifische Lösung – Keine Kontrolle durch SAP!

• Drucklisten werden in ALF (Advanced List Format) archiviert• Anzeige direkt im SAPGUI

• Sonderfunktionen Drucklisten:• Schnelles Finden von Konto- / Belegnummern etc. durch

Indizierung – auch in umfangreichen Listen• Unmittelbares Verzweigen in das SAP Business Objekt durch

Hyperlinks



PROJECT CONSULT



20251 Hamburg


224

Daten der Rechnungsprüfung

• Kopfdaten• Identifizieren den Buchungsvorgang• Wer, wann, wieviel, Währung, Rechnungsart, ...• Sind ausreichend für eine Vorerfassung

• Positionsdaten• Mehrere Zeilen, mindestens jedoch 2 (Konto /

Gegenkonto)• Exakte Kontierungsangaben• Steuerangaben, Beschreibung, Zahlungsbedingungen,

Skonto, ...

• Zusatzangaben• Zur internen Verrechnung• Kontenabhängige Angaben (Pflicht, freiwillig)• Kostenstelle, Auftragsdaten, Projektdaten,

Aufteilungsschlüssel, ...



PROJECT CONSULT



20251 Hamburg


225

FV60 FBV1

Eingangskanäle für SAP

manuell IDOC BAPI XMLBatch

Konnektoren / Interfaces

FB60 FB01

MR41 MIR7

MR01 MIRO

Workflow-Integration•Zahlsperren•Kontierung•Freigabe

SAP



PROJECT CONSULT



20251 Hamburg


226

Wichtige Buchungstransaktionen in SAP

Rechnung erfassen

enjoySAPklassisch

vorerfassen buchen vorerfassen buchen

ROB RMB ROB RMB ROB RMB ROB RMB

FBV1 MR41 FB01 MR01 FV60 MIR7 FB60 MIRO

46B46C



PROJECT CONSULT



20251 Hamburg


227

SAP

Verschiedene Produkte werden kombiniert

Scannen

ValidierungDaten-

übergabe

Vor-

erfassen

Daten-

import

Buchen

FreigabeArchiv-

System

OCR/ICR

Indexdaten Prüfdaten



PROJECT CONSULT



20251 Hamburg


228

Verfahrensdokumentation nach GoBS

• Zusammenhänge zwischen GDPdU und GoBS• Aufbau und Inhalt einer Verfahrensdokumentation



PROJECT CONSULT



20251 Hamburg


229

• Eine Verfahrensdokumentation ist für alle elektronischen Archivsysteme, in denen Daten und Dokumente, die unter das HGB (und die GDPdU) fallen, Pflicht

• Die Erstellung und Fortschreibung der Verfahrensdokumentation liegt in der Verantwortung des Betreibers, im Sinne der GDPdU ist dies jedoch das steuerpflichtige Unternehmen

• Die Verfahrensdokumentation muß vollständig, nachvollziehbar und prüfbar sein

• Die Verfahrensdokumentation „lebt“

Verfahrensdokumentation nach GoBS




PROJECT CONSULT



20251 Hamburg


230

• Umfang und Aufbau einer Verfahrensdokumentation sind nicht vorgeschrieben

• Die GoBS legen nur den Mindestinhalt fest, der auf die speziellen Eigenschaften eines Dokumenten-Management- und elektronischen Archivsystems anzupassen ist

• Eine Reihe von Anbietern und Systemintegratoren verfügen über Musterverfahrensdokumentationen, die die individuelle Anpassung und Ergänzung erleichtern

• Der VOI hat die „Grundsätze der Verfahrens-dokumentation“ als Richtlinie herausgegeben

• Diese Richtlinie ist Grundlage für das PK-DML- Zertifizierungsverfahren von VOI/TüVIT

Verfahrensdokumentation nach GoBSUmfang und Struktur




PROJECT CONSULT



20251 Hamburg


231

VerfahrensdokumentationStruktur (1)

Verfahrensdokumentation• Organisatorische Teile des Betreibers• Technik einschließlich Subsysteme Dritter• Software - Grundmodule des Herstellers• individuelle Anpassungen das

Systemintegrators• Betriebsvoraussetzungen für den Anwender• Sicherheit, Wiederherstellung und Migration• Qualitätssicherung

Abnahme und Testdokumentation• Testmaterial und Szenarien © PROJECT CONSULT 2002 Urheberrechte Dr. Ulrich Kampffmeyer

• Abnahmendokument

Zertifikat der Ordnungsmäßigkeit




PROJECT CONSULT



20251 Hamburg


232

VerfahrensdokumentationStruktur (2)

© Copyright PROJECT CONSULT GmbH 1999

Verzeichnis für Versionierung

Verfahrensbeschreibung

Anhänge mit veränderlichen Teilen

Verzeichnis der Anhänge

Arbeits-anweisung

Verträge

Wartung

...

Referenzen





PROJECT CONSULT



20251 Hamburg


233

Aufbau einer Verfahrensdokumentation



PROJECT CONSULT



20251 Hamburg


234

• Eine Verfahrensdokumentation ist für alle elektronischen Archivsysteme, in denen Daten und Dokumente, die unter das HGB (und die GDPdU) fallen, Pflicht

• Die Erstellung und Fortschreibung der Verfahrensdokumentation liegt in der Verantwortung des Betreibers, im Sinne der GDPdU ist dies jedoch das steuerpflichtige Unternehmen © PROJECT CONSULT 2002 Urheberrechte Dr. Ulrich Kampffmeyer

• Die Verfahrensdokumentation muss vollständig, nachvollziehbar und prüfbar sein

VerfahrensdokumentationGoBS




PROJECT CONSULT



20251 Hamburg


235

VerfahrensdokumentationGrundlagen

• „Code of Practice“

Grundsätze der Verfahrensdokumentation

Richtlinie für Verfahrensbeschreibungen des

VOI Verband Organisations- und Informationssysteme e.V., 1999




PROJECT CONSULT



20251 Hamburg


236

VerfahrensdokumentationBedeutung

• Kontinuierliche Fortschreibung aller Informationen, die für einen sicheren und geordneten Betrieb sind

• Technische, organisatorische, administrative und nutzungsrelevante Informationen die die Integrität, Vollständigkeit, Unveränderbarkeit, Sicherheit, Fehlerfreiheit, etc. dokumentieren © PROJECT CONSULT 2002 Urheberrechte Dr. Ulrich Kampffmeyer

• Verfahrensdokumentationen sind im Prinzip für alle Informationssysteme erforderlich, die

• Steuerlich / kaufmännische Belege speichern• Qualitätsdaten managen• Sicherheitsinformationen beinhalten• Daten nach BDSG oder TDDSG verarbeiten




PROJECT CONSULT



20251 Hamburg


237

• Umfang und Aufbau einer Verfahrensdokumentation sind nicht vorgeschrieben

• Die GoBS legen nur den Mindestinhalt fest, der auf die speziellen Eigenschaften eines Dokumenten-Management- und elektronischen Archivsystems anzupassen ist © PROJECT CONSULT 2002 Urheberrechte Dr. Ulrich Kampffmeyer

• Eine Reihe von Anbietern und Systemintegratoren verfügen über Musterverfahrensdokumentationen, die die individuelle Anpassung und Ergänzung erleichtern

• Der VOI hat die „Grundsätze der Verfahrens-dokumentation“ als Richtlinie herausgegeben

• Diese Richtlinie ist Grundlage für das PK-DML- Zertifizierungsverfahren von VOI/TüVIT

VerfahrensdokumentationUmfang und Struktur




PROJECT CONSULT



20251 Hamburg


238

VerfahrensdokumentationGrundlagen in Deutschland

• HGB / AO: Handelsgesetzbuch / Abgabenordnung• GoBS: Grundsätze ordnungsgemäßer DV-

gestützter Buchführungssysteme• IDW PS 880: Erteilung und Verwendung von

Softwarebescheinigungen (Institut der Wirtschaftsprüfer) © PROJECT CONSULT 2002 Urheberrechte Dr. Ulrich Kampffmeyer

• „Code of Practice“: Grundsätze der Verfahrensdokumentation (Fassung vom 14.12.1995)

• „Code of Practice“: Grundsätze elektronischer Archivierung (Fassung vom September 1997)

• TüVIT PK-DML: Prüfkriterien für Dokumentenmanagement-Lösungen




PROJECT CONSULT



20251 Hamburg


239

Verfahrensdokumentation (1)

• Beschreibung des Einsatzgebietes• Allgemeines Verfahren aus fachlicher und technischer Sicht.

• Beschreibung der sachlogischen Systemlösung• fachliche Aufgabe aus dem Blickwinkel des Betreibers, Inhalt

und Nutzung des Systems vor dem Hintergrund der rechtlichen Anforderungen, Umsetzung der Prüfungsanforderungen der GDPdU.

• Technische Systemlösung und Migration• Softwarekomponenten, Hardware für Server und Clienten,

Netzwerk, Speichersysteme, Dokumentationen sowie Konzept zur Langzeitverfügbarkeit der Daten und Dokumente.

• IT-Sicherheit• Gesamtkonzeption, Datenflusskontrolle, Datensicherheit und

-integrität, Datenschutz, Protokollierung.



PROJECT CONSULT



20251 Hamburg


240

Verfahrensdokumentation (2)

• Technischer Betrieb• Notwendige Maßnahmen und deren Einhaltung zur

Gewährleistung des ordnungsgemäßen Betriebes.

• Prozesse• Erfassung, Bearbeitung, Recherche, Reproduktion.

• Mitarbeiterqualifikation• Rollen, erforderliche Kenntnisse, Zuordnung, Nachweis.

• Test• Alle Systemabnahmen werden durch Tests und

Freigabeprozesse nachgewiesen.

• Wartung• Durchzuführende Prüfungs- und präventive

Wartungsmaßnahmen.



PROJECT CONSULT



20251 Hamburg


241

Bestandteile einer Verfahrensbeschreibung

1. Allgemeines Verfahren

2. Organisation

3. Rechtsgrundlagen

4. Datenschutz

5. Vorgangsdefinition

6. Scannen

7. Transport im System

8. Datenbank

9. Archivsystemkomponenten

10. Drucken

11. Ausfallsicherheit des Systems

12. Formate

13. Qualität

14. Betrieb © PROJECT CONSULT 2002 Urheberrechte Dr. Ulrich Kampffmeyer

15. Wartung

16. Migration




PROJECT CONSULT



20251 Hamburg


242

VerfahrensdokumentationChecklisten über Bestandteile (1)

• Allgemeine Beschreibung des Einsatzgebietes• Einsatzgebiet der Lösung• Beschreibung der allgemeinen Organisation

• Beschreibung der Lösung• Beschreibung der sachlogischen Lösung • Umsetzung der Anforderungen nach GDPdU• Programmtechnischer Ablauf der Lösung• Identität der Beschreibungen mit dem eingesetzten

Programm © PROJECT CONSULT 2002 Urheberrechte Dr. Ulrich Kampffmeyer

• Systembeschreibung• Netzinfrastruktur• Spezielle Hardwarekomponenten• Standard-Softwarekomponenten• Individuelle Programmteile der Lösung




PROJECT CONSULT



20251 Hamburg


243


• Beschreibung des Internen Kontrollsystem (IKS)• Internes Kontrollsystem• Datensicherheit• Daten- und Zugriffsschutz• Datenintegrität

• Beschreibung der relevanten Prozesse (1)• Scannen• Erfassung von originär digitalen Dokumenten• Transport im System © PROJECT CONSULT 2002 Urheberrechte Dr. Ulrich Kampffmeyer

• Indizierung und Datenbank• Archivierung• Visualisierung und Reproduktion• Protokollierung• Sonstige Bestandteile und Anlagen• Verzeichnis der gültigen technischen Dokumentationen,

Handbücher etc.• Betriebsvoraussetzungen




PROJECT CONSULT



20251 Hamburg


244


• Beschreibung der relevanten Prozesse (2)• Betreiberdokumentationen• Anbieterdokumentationen• Vertragsrelevante Dokumentationen• Arbeitsanweisungen• Migration• Aktuell eingestellte Parameter,

Benutzerberechtigungen und Dokumentenklassen mit Aufbewahrungsregeln und Aufbewahrungsfristen 2002 Urheberrechte Dr. Ulrich Kampffmeyer

• Test- und Abnahmeprotokolle© PROJECT CONSULT 2002



PROJECT CONSULT



20251 Hamburg


245

Software für die Verwaltung von Verfahrensdokumentationen



PROJECT CONSULT



20251 Hamburg


246

GoBScape

• Merkmale• Globale und lokale Suchfunktionen: Relational und

Volltext • Kooperative Erstellung für Buchhaltung, Controlling, IT • Konsequente Benutzerführung • Schnelle Orientierung für den Betriebsprüfer • Jederzeit für alle Beteiligten zu erreichen • Export-, Import- und Archivfunktion • Schrittweise laufende Ergänzung • Arbeit jederzeit unterbrechbar



PROJECT CONSULT



20251 Hamburg


247

GoBScapeAufbau (1)

• Zur Darstellung einer unternehmensspezifischen Verfahrensdokumentation werden folgende Ansätze verfolgt:

• Zerlegung der GoBS in Dokumentations-Objekte (Attribute und Parameter)

• Zusammensetzung von Komplex-Objekten aus einfachen Objekten über dynamisch versorgte Auswahllisten

• Schwache Datenbindung zwischen Objekten durch reine Textbezüge

• Funktionstrennung für IT, Buchhaltung, Organisation und Controlling

• Modellierung des Geschäftsvorfalls als Komplex-Objekt • Orientierung an der TÜVit-Gliederung• Unternehmensspezifische generische Definition von

Methoden



PROJECT CONSULT



20251 Hamburg


248

GoBScapeAufbau (2)



PROJECT CONSULT



20251 Hamburg


249

Ausblick und weitere Entwicklungen



PROJECT CONSULT



20251 Hamburg


250

10 Thesen zum ThemaGDPdU und elektronische Archivierung

1. Die GDPdU betrifft vorrangig Daten in kaufmännischer Software

• Die GDPdU betrifft in erster Linie Daten in kaufmännischer Software wie z.B. Finanzbuchhaltungen und hat nur indirekt mit elektronischer Archivierung zu tun. Erst wenn Daten ausgelagert werden sollen, stellt die elektronische Archivierung eine Option dar.

2. Der GOBS-konforme Betrieb der Buchhaltungssoftware erfüllt fast alle Anforderungen der GDPdU

• Bezüglich der Revisionssicherheit gibt es durch die GDPdU kaum neue Anforderungen, die nicht bereits durch die bisherige GOBS geregelt wären.

3. Die GDPdU enthalten keine neue Definition für Revisionssicherheit

• Die geänderten Paragraphen der Abgabenordnung setzen bezüglich der Revisionssicherheit der von Unternehmen zu verwendenden DV-Systeme wie bisher auf die bereits in den GOBS von 1995 dargestellten Anforderungen.

4. Neu sind nur Aufbewahrung von und Zugriff auf steuerrelevante Daten

• Die Dauer der Aufbewahrungsfrist für originär elektronische Daten (anstelle von Papierausdrucken) hat sich verlängert und die Zugriffsmethoden auf die Daten sind in den GDPdU neu geregelt.





PROJECT CONSULT



20251 Hamburg


251


5. Revisionssicherheit definiert sich nicht allein durch das Speichermedium

• Das gesamte Verfahren der Erfassung, Bearbeitung, Speicherung und Reproduktion von steuerrechtlich und handelsrechtlich relevanten Daten mit allen organisatorischen, Betriebs- und technischen Faktoren muss revisionssicher sein.

6. Elektronische Archive nur für die GDPdU sind unwirtschaftlich• Der Einsatz elektronischer Archivsysteme nur zur Erfüllung der rechtlichen

Anforderungen ist unwirtschaftlich. Elektronische Archive müssen als universeller Wissensspeicher für alle Informationen des Unternehmens nutzbar sein.

7. Die GDPdU schreibt keine besonderen Medien für die Aufbewahrung vor

• Die Daten der normalen kaufmännischen Anwendungen können wie bisher auf denjenigen Speichern aufbewahrt werden, die nach GOBS zulässig sind. Hierzu zählen Diskette, Magnetband, Magnetplatte, digitale optische Medien und andere elektronische Speicher.





PROJECT CONSULT



20251 Hamburg


252


8. Strukturierte Daten sind durch wahlfreien Zugriff auswertbar, unstrukturierte Dokumente nicht

• Der Begriff der maschinellen Auswertbarkeit bezieht sich in erster Linie auf kaufmännische Daten, die in einer Struktur vorliegen, die den direkten Zugriff auf beliebige Daten erlaubt. Die meisten Dokumente sind in diesem Sinne nicht maschinell auswertbar, da sie naturgemäß schwach oder unstrukturiert sind.

9. Die Verantwortung für die technische Auslegung liegt beim Steuerpflichtigen

• Die GDPdU regeln, wie eine Prüfung durchgeführt wird und wie Daten bereitgestellt werden müssen. Sie enthält keine Vorgaben, was für Systeme beim Steuerpflichtigen vorhanden und wie diese ausgelegt sein müssen.

10. Eine Verfahrensdokumentation nach GoBS ist wichtig• In einer Verfahrensdokumentation nach GoBS wird nachvollziehbar

beschrieben, wie alle kaufmännisch relevanten Informationen entstehen, geordnet gespeichert, indiziert, geschützt, wiedergefunden und verlustfrei reproduziert werden können.





PROJECT CONSULT



20251 Hamburg


253

Migration



PROJECT CONSULT



20251 Hamburg


254

Migration

Ein schwerwiegender Interessenkonflikt:

• Der Gesetzgeber fordert Aufbewahrungsfristen von 10 oder mehr Jahren

• Informationen sollen langfristig verfügbar seinDer Markt entwickelt sich stürmisch weiter: jedes Jahr neue Software, neue Hardware, neue Standards ...




PROJECT CONSULT



20251 Hamburg


255

Migration

Entscheidung

Realisierung Produktions-betrieb

GeänderteAnforderungen

Migration



PROJECT CONSULT



20251 Hamburg


256

Die Konsequenz der Abhängigkeit: Migration

• Das Verschwinden von Produkten und Anbietern ist keine Katastrophe, sondern in Hinblick auf eine langfristige Informationsverfügbarkeit der Regelfall

• Der Anwender muss sich durch Einhaltung von Standards, offene Schnittstellen und Migration grundsätzlich auf Wechsel von Anbietern, Produkten und Formaten wappnen

• Migrationen sind für wertvolle, über Jahrzehnte aufzubewahrende Daten und Dokumente als „Continuous“, kontinuierliche Migration zu planen




PROJECT CONSULT



20251 Hamburg


257

MigrationUrsachen und Notwendigkeit (1)

Migration von Informationen• Umkopieren von Informationen von einem Medium auf ein

anderes sowie den Wechsel von Laufwerken und Medien • Überführung der Zugriffsinformationen (Indizes) in eine andere

Datenbank - bedingt durch die Weiterentwicklung der Speichertechnologien

Migration bei technologischer Weiterentwicklung• wenn Laufwerke und Medien kostengünstiger werden,• wenn Laufwerke und Medien mehr Speicherkapazität haben,• wenn es neue Speicherstrategien gibt, die einen schnelleren

Zugriff erlauben © PROJECT CONSULT 2002 Urheberrechte Dr. Ulrich Kampffmeyer




PROJECT CONSULT



20251 Hamburg


258

MigrationUrsachen und Notwendigkeit (2)

Migration bei Aufgabenerweiterung und Ausbau von Systemen

• Die Skalierbarkeit und Kaskadierbarkeit eines Archivsystems ist hier von Bedeutung

Migration durch Unternehmenszusammenführung

• Die Zusammenführung lässt sich nur durch eine integrierende Middleware mit Anpassung vorhandener Archive oder durch die Migration in eine Lösung bewältigen




PROJECT CONSULT



20251 Hamburg


259

MigrationTypen im Archivierungsumfeld (1)

Erst-Migration• Befüllung eines noch leeren Archivsystems mit

Stammdaten und Informationen aus anderen Anwendungen

Migration auf Medien• Umkopieren von Festplatten-Caches auf

Archivsystem-Speichermedien im laufenden Betrieb




PROJECT CONSULT



20251 Hamburg


260


Kampffmeyer

Harte Migration• Umkopieren von Index-Datenbanken,

Anwendungsinformation und Dokumenten in neue Systeme und auf neue Medien (bei einer Systemumstellung)




PROJECT CONSULT



20251 Hamburg


261


Kampffmeyer

Harte Migration• Umkopieren von Index-Datenbanken, Anwendungsinformation

und Dokumenten in neue Systeme und auf neue Medien (bei einer Systemumstellung)

Weiche Migration• Nur umkopieren und neu organisieren der Index-

Datenbank bei einer Systemumstellung• Bestehende Medien werden genutzt




PROJECT CONSULT



20251 Hamburg


262


Kampffmeyer

Harte Migration• Umkopieren von Index-Datenbanken, Anwendungsinformation

und Dokumenten in neue Systeme und auf neue Medien (bei einer Systemumstellung)

Weiche Migration• Nur umkopieren und neu organisieren der Index-Datenbank bei

einer Systemumstellung• Bestehende Medien werden genutzt

Integrative Migration• Parallel Betrieb unterschiedlicher alter Strukturen

oder Hersteller-Archive unter einer Middleware mit gegebenenfalls Ausalterung alter Komponenten (bei einer Systemumstellung)




PROJECT CONSULT



20251 Hamburg


263

MigrationStrategie

• Strategie eines Migrationskonzeptes muss sein, über die erste Realisierungsphase hinaus

• Betrieb,• Informationsverfügbarkeit,• Ausbaufähigkeit und• Systemwechsel

sicherzustellen

• Das Migrationskonzept sollte bei jeder Ausschreibung Bestandteil der Anforderungen sein und in den Vertrag übernommen werden




PROJECT CONSULT



20251 Hamburg


264

Über den Tellerrand



PROJECT CONSULT



20251 Hamburg


265

0

200

400

600

800

1000

1200

1400

1600

1800

2001 2002 2003 2004 2005 2006

Explosion der Unternehmensinformationen

78% durchschnittliches

Wachstum

Feststehende „unstruktur.“ Daten

Dynamische „strukturierte“ Daten

Storgage

Demand

Petabytes

Gespeicherte Information wächst um 30% pro Jahr

Über 90% aller „Records“ werden elektronisch erzeugt

Über 85% der benutzten Information befindet sich in unstrukturierten Dokumenten

Über 600 Milliarden E-Mails werden jedes Jahr verschickt

Ungefähr 65% aller Informationen sind relevante Records, die festgehalten werden müssten

95% aller Records könnten vernichtet werden



PROJECT CONSULT



20251 Hamburg


266

Wert und Abhängigkeit

• Der Wert von Information• Information hat nur dann einen inhärenten Wert,

wenn man die Information als Wissen auch in Prozessen nutzbar macht

• Abhängigkeit von Information• Die Abhängigkeit von der Verfügbarkeit und der

Richtigkeit von elektronischer Information wächst ständig

• Unternehmen, Behörden und Gesellschaft sind von der Verfügbarkeit von Information inzwischen existentiell abhängig geworden





PROJECT CONSULT



20251 Hamburg


267

Elektronische Archivierung

„Die elektronische Archivierung ist das Gedächtnis

des Informationszeitalters“

Erkki Liikanen

EU-Kommissar

„Information Society“



PROJECT CONSULT



20251 Hamburg


268

Information Overflow, Information Gap und Information Divide

• Information Overflow• Wir leiden an einer Informationsüberflutung und

müssen die werthaltige, wichtige Information mühsam suchen

• Information Gap• Die ersten Lücken in der elektronischen

Überlieferung treten auf. Elektronisches Wissen ist bereits unwiderbringlich verloren gegangen

• Information Divide• Information steht nicht jedem gleichermaßen zur

Verfügung. Die Trennung betrifft Kontinente und Gesellschaftsschichten, aber auch die einzelnen Mitarbeiter in Unternehmen und Verwaltung





PROJECT CONSULT



20251 Hamburg


269

Die Bedeutung elektronischer Archive

Wir ertrinken in Informationenund dürsten nach Wissen.

John NaisbittMegatrends 2000

Die elektronische Archivierung liefert einen wichtigen Beitrag zur Lösung der Probleme der Bewahrung und Erschließung von Information. © Copyright PROJECT CONSULT GmbH 2002 / Autorenrecht Dr. Ulrich Kampffmeyer 2001-2002





PROJECT CONSULT



20251 Hamburg


270

Compliance als Chance

• GDPdU als Anlass zum Handeln sehen und nicht als Ursache

• Einstieg ins Qualitätsmanagement• Wer die Anforderungen der GDPdU und der GoBS

erfüllt, ist mit seinem Unternehmen fit für die elektronische Geschäftswelt der Zukunft



PROJECT CONSULT



20251 Hamburg


271

Vielen Dank für Ihre Aufmerksamkeit !

Dr. Ulrich KampffmeyerE-Mail: [email protected]

WebSite, Newsletter, Informationen ...www.PROJECT-CONSULT.com

GDPdU und elektronische Archivierung | Dr, Ulrich Kampffmeyer | PROJECT CONSULT | 2004

Documents

Transcript of GDPdU und elektronische Archivierung | Dr, Ulrich Kampffmeyer | PROJECT CONSULT | 2004