[en|de] imc information management compliance | english & german

8/14/2019 [EN|DE] IMC Information Management Compliance | English & German

1/44

InformationManagement

Compliance

PROJECT CONSULT Whitepaper

Dr. Ulrich Kampffmeyer

P R O J E C T C O N S U L TUnternehmensberatung Dr. Ulrich Kampffmeyer GmbH

Hamburg, September 2007


2/44

Information Management Compliance

Die Information des Whitepapers wurde mit grter Sorgfalterarbeitet. Dennoch knnen Fehler nicht vollstndig ausge-schlossen werden. Die Autoren bernehmen keine juristischeVerantwortung oder Haftung fr eventuell verbliebene Angabenund deren Folgen.

Every effort has been made to make this white paper ascomplete and as accurate as possible, but no warranty orfitness is implied. The authors shall have neither liabilitynor responsibility to any person or entity with respect toany loss or damages arising from the information con-tained in this book.

Das Werk einschlielich aller seiner Teile ist urheberrechtlichgeschtzt. Jede Verwertung auerhalb der engen Grenzen des

Urheberrechtsgesetzes ist ohne Zustimmung des Autors unzu-lssig und strafbar. Alle Rechte, wie Vervielfltigung, berset-zung, Mikroverfilmung sowie digitale Einspeicherung, Verarbei-tung und Verbreitung sind dem Autor vorbehalten.

This work including all parts is protected by copyright. Nopart of this work covered by the copyright hereon may be

reproduced or used in any form or by any means graphic, electronic or mechanical, including photocopying,recording, translating, taping, or information storage andretrieval systems without the written permission fromthe author.

PROJECT CONSULT Unternehmensberatung GmbH 2007. AlleRechte vorbehalten.

PROJECT CONSULT Unternehmensberatung GmbH2007. All rights reserved.

Autorenrecht und CopyRight Copyright

Autor: Dr. Ulrich KampffmeyerPROJECT CONSULT Unternehmensberatung GmbH

Breitenfelder Str. 17

D-20251 HamburgTel.: 040 / 460 762 20Fax: 040 / 460 762 29

E-Mail: [email protected]: www.PROJECT-CONSULT.com

Der gesamte Inhalt ist, sofern nicht gesondert zitiert, ein Origi-naltext des Autors. Jeglicher Abdruck, auch auszugsweise oderals Zitat in anderen Verffentlichungen, ist durch den Autorvorab zu genehmigen. Die Verwendung von Texten, Textteilen,grafischen oder bildlichen Elementen ohne Kenntlichmachungder Autorenschaft ist ein Versto gegen geltendes Urheber-recht. Belegexemplare, auch bei auszugsweiser Verffentli-chung oder Zitierung, sind unaufgefordert einzureichen.

All content is the orginal text of the autor if not otherwisecited. The author must agree to copies or citations beforepublishing. No part of this work covered by the copyrighthereon may be reproduced or used in any form or by anymeans without citing the author. Specimen copies haveto be sent to the author without request even if publishedpartly or cited.
http://www.project-consult.com/http://www.project-consult.com/http://www.project-consult.com/


3/44



Ein PROJECT CONSULT Whitepaper A PROJECT CONSULT Whitepaper

Dr. Ulrich Kampffmeyer

Geschftsfhrer der PROJECT CONSULTUnternehmensberatung GmbH, Hamburg

Managing Director PROJECT CONSULTUnternehmensberatung GmbH, Germany

Keynote-Prsentation auf der DMS EXPO 2007,26. September 2007, Kln

Keynote presentation at the DMS EXPO 2007,September 26th, 2007, Cologne, Germany

Es muss eine Angleichung der elektro-nischen Welt an die Papierwelt stattfinden.Nur mit einem komplett neuem Rahmenwerkvon Gesetzen und Richtlinien knnen all-gemeingltige und gerechte Grundlagenfr Information Management Compliance ge-schaffen werden. 1)

The electronic world must becomeequivalent to the paper world. A generallyaccepted and fair basis for informationmanagement compliance requires a com-pletely new legal and regulatory frame-work.1)

Der Begriff Compliance sorgt bei vielen Anwen-dern fr Verunsicherung. Zahlreiche Anbietervermarkten inzwischen Ihre Produkte unter demEtikett Compliance nicht nur herkmmlicheAnbieter von DMS- und ECM-Lsungen, sondernauch Hersteller von Speichersystemen, Mana-

gement-Informations-Programmen und ERP-Lsungen. Mit dem Begriff Compliance hat sichzugleich ein neues Marktsegment gebildet. InDeutschland wird der englische Begriff Compli-ance bisher nur selten verwendet. Rechtlicheund regulative Vorgaben fr Dokumentations-pflichten nehmen aber, wenn man an Beispielewie die GDPdU oder Basel II denkt, stetig zu. Esliegt also am Kunden, sich zwischen spezialisier-ten Insellsungen zur Erfllung bestimmterCompliance-Anforderungen oder bergreifendenLsungen, die auch Compliance-Anforderungenmit abdecken, zu entscheiden.

The term compliance is confusing for manyusers. Numerous vendors market their prod-ucts using the compliance label the tradi-tional DMS and ECM solution vendors, aswell as manufacturers of data storage sys-tems, management information software,

and ERP solutions. Compliance has becomea new market niche. In Germany the termhas thus far not gained broad currency, butthe legal and regulatory documentation re-quirements are increasing steadily oneneed look no further than the GDPdU orBasel II. Thus, users now find themselveshaving to decide between specialist islandsolutions to fulfill specific compliance re-quirements, or broader-based solutions thatinclude compliance fulfillment in their portfo-lio.

Das Whitepaper bietet einen berblick ber Hin-tergrnde und notwendige Manahmen zur Er-fllung der zunehmenden Compliance-Anforde-rungen im Umfeld der Informationstechnologie.Die aktuelle Situation im Jahr 2007 wird anHand einiger, ausgewhlter Beispiele darge-stellt.

This White Paper gives an overview of thebackground and and actions needed to fulfillthe growing compliance reqirements in IT. Itwill illustrate the current situation in 2007using a few selected examples.

1) Ulrich Kampffmeyer, Bedeutung von Compliance, Vortragauf dem SAPERIONcongres 2007, ECM 2.0, 2007

1) Importance of Compliance. Dr. Ulrich Kampffmeyer atthe SAPERIONcongress 2007

Kunde: KoelnMesse Projekt:DMS EXPO 2007 Autor: Dr. Ulrich Kampffmeyer publicThema: Information Management Compliance Topic: Whitepaper Status: fertigDatei: Compliance_Kampffmeyer_20070926.doc Datum: 20.09.2007 Version: 1.2

PROJECT CONSULT Unternehmensberatung GmbH 2007Seite 1 von 40


4/44


Kapitel/Chapter Inhalt Contents

Seite/Page

Einfhrung Introduction 1

1 Compliance und Info rmationManagement Compliance

Compliance and InformationManagement Compliance

3

Was verbirgt sich hinter dem BegriffCompliance?

What is behind the term Compliance? 3

Unterschiedliche Auswirkungen Different consequences 5

2 Aktuelle Situation und w ichtigeRegularien

Current situation andimportant regulations

6

International International 6

Basel II Basel II 6

USA USA 7Sarbanes-Oxley-Act Sarbanes Oxeley Act 7

eDiscovery eDiscory 8

Europa Europe 10

8. EU-Richtlinie 8th EU Directive 10

Deutschland Germany 11

EHUG und E-Mail-Management EHUG and E-Mail Management 11

GDPDU: Aktuelle Urteile GDPDU: Current verdicts 12

Verfahrensdokumentation nach GoBS GoBS Verfahrensdokumentation 15

sterreich und Schweiz Austria and Switzerland 16

Branchenspezifische Regularien Industry-Specific Regulations 18

3 Corporate Governance Corporate Governance 20Corporate Governance Richtlinien Corporate Governance Guidelines 20

Risiko Management Risk Management 21

4 In formation ManagementCompliance Policy

Information ManagementCompliance Policy

23

Aspekte der Information ManagementCompliance

Aspects of Information ManagementCompliance

25

5 Compliance und RecordsManagement

Compliance and RecordsManagement

27

Records Management nach ISO 15489 Records Management per ISO 15489 28

MoReq Model Requirements MoReq Model Requirements 29

bergreifende Anstze Comprehensive Approaches 30Elektronische Archivierung undSpeichersysteme

Digital Preservation and

Storage Systems

32

6 10 Compliance-Merkstze 10 Compliance Rules 35

7 Ausblick Outlook 36Compliance-Anforderungen treiben den Marktfr Dokumenten-Technologien

Compliance is driving the market fordocument technologies

36

Literatur Bibliography 38

ber den Autor About the author 40

ber PROJECT CONSULT About PROJECT CONSULT 40

Kunde: KoelnMesse Projekt: DMS EXPO 2007 Autor: Dr. Ulrich Kampffmeyer publicThema: Information Management Compliance Topic: Whitepaper Status: fertigDatei: Compliance_Kampffmeyer_20070926.doc Datum: 20.09.2007 Version: 1.2

PROJECT CONSULT GmbH 2007Seite 2 von 40


5/44


Compliance und Information

Management Compliance1 Compliance and Information

Management ComplianceAlle Gesetze und Regeln der Papierweltgelten auch in der elektronischen Welt.2)

All laws and rules of the paper world alsoapply to the electronic world.2)

Was verbirgt sich hinter dem BegriffCompliance?

What is behind the term Compliance?

Zu den hufig, zumindest fr deutsche Ohren,schwer verstndlichen Begriffen aus dem anglo-amerikanischen Sprachraum muss auch derBegriff Compliance gezhlt werden.

Compliance is yet another English termthat has found its way into international ITparlance.

Compliance umfasst die Gesamtheit aller zu-mutbaren Manahmen, die das regelkonforme

Verhalten eines Unternehmens, seiner Organisa-tionsmitglieder und seiner Mitarbeiter im Hin-blick auf alle gesetzlichen Ge- und Verbote be-grnden.

Compliance refers to the totality of reason-able actions that underpin the compliance ofa company, its organizational members, andits employees with all legal requirements.

Auch wenn es Compliance-Anforderungen schonimmer, auch im Ursprungsland des Begriffes -den USA - gab, so haben sie nach den Skanda-len um ENRON und WorldCom eine brisanteQualitt erhalten: neue, strafbewehrte Anforde-rungen zur Aufbewahrung geschftsrelevanterelektronischer Informationen. In der Vergangen-heit gab es schon immer eine Reihe von rechtli-chen Anforderungen; so mussten z.B. Finanz-

buchhaltungssoftware schon immer Compliance-Standards erfllen. Mit dem steigendem Auf-kommen und der wachsenden Bedeutung von E-Mails und E-Commerce gewann die Not-wendigkeit der Dokumentation und elektro-nischen Archivierung von Geschftsvorgngenimmer mehr Bedeutung.

There have always been compliancereguirements, but after the the ENRON andWorldCom scandals in the US the topic hasgained a new, more intense quality. Harsherpenalties and new requirements govern thestorage of digital business records. In thepast there was already legislation; for exam-ple, bookkeeping software has always had tomeet compliance standards. With the in-

creasing volume and significance of e-mailand e-commerce, the documentation anddigital preservation or archiving of businessprocesses have become ever more impor-tant.

Im Folgenden wird fr den Begriff Compliancenachstehende bertragung verwendet:

In the following, compliance refers to:

bereinstimmung mit und Erfllung vongesetzlichen und regulativen Vorgaben3)

Agreement with and fulfillment of legal andregulatory requirements3)

2) Ulrich Kampffmeyer, Dokumenten-Technologien Wohingeht die Reise. PROJECT CONSULT 2003

3) Ursprnglichbereinstimmung mit und Erfllung vonrechtlichen und regulativen Vorgaben. Ulrich Kampffmeyer,Compliance Whitepaper, Documentum, 2004, S.3.

2) Ulrich Kampffmeyer, Dokumenten-Technologien Wohin geht die Reise. PROJECT CONSULT 2003

3) Previous version: Ulrich Kampffmeyer, ComplianceWhitepaper, Documentum, 2004, S.3.




6/44


Betrachtet man die einzelnen Begriffe der deut-schen bertragung der Definition von Complian-

ce bereinstimmung mit und Erfllung vongesetzlichen und regulativen Vorgaben, dannwerden unterschiedliche Aspekte von Compli-ance-Anforderungen deutlich.

Looking at the individual terms in theabove definition Agreement with and ful-

fillment of legal and regulatory require-ments, several aspects of compliancestand out.

bereinstimmungZur Erreichung der bereinstimmung wirdvorausgesetzt, dass es nachlesbare, definier-te, offizielle Vorgaben gibt, die die Regelnenthalten, was zu tun ist. Hier ist berein-stimmung gefordert, ohne das die Regelnmeistens eine technische Vorgabe enthalten,wie die Anforderung umzusetzen ist. Dies istauch sinnvoll, da sich solche Vorgaben nichtan einer Technologie festmachen sollten, diein ein paar Jahren schon wieder obsolet ist.Die bereinstimmung ist der statische As-pekt von Compliance.

AgreementAgreeing with something assumes thatthere are defined, official, accessiblerules to agree with in the first place.These rules do not usually contain tech-nical requirements on implementation.This makes sense, since the rules shouldnot be tied to technologies that may beobsolete in just a few years.Agreement is the static aspect of compli-ance.

ErfllungDer Begriff Erfllung impliziert zweierlei:Einmal, dass die Anforderungen in einer L-sung umgesetzt werden mssen, und zumZweiten, dass dies ein Prozess ist, keine ein-malige Aktion. Das Unternehmen oder die Or-ganisation muss kontinuierlich fr die Einhal-tung der Vorgaben Sorge tragen. Erfllunggeht dabei meistens ber eine rein technischeLsung hinaus und beinhaltet auch organisa-

torische und Management-Aspekte.Die kontinuierliche Erfllung ist der dynami-sche Aspekt von Compliance.

FulfillmentThis implies two things first, that therequirements have to be implemented insome form, and secondly, that this is aprocess, not a one-time action. The com-pany or organization must attend to ful-fillment on an ongoing basis. Fulfillmentusually goes beyond mere technology, toinclude organizational and managementaspects.

Fulfillment is the dynamic aspect of com-pliance.

Gesetzliche VorgabenHierbei handelt es sich um Gesetze oder be-hrdliche Verordnungen, die bestimmte Unter-nehmen, Organisationen oder Personen ver-pflichten, die jeweils aufgefhrten Regelungeneinzuhalten. Hier kann man sich auch nichtum die Erfllung drcken, lediglich in Hin-blick auf Auslegung, Umfang und Umsetz-ungsweise besteht Handlungsspielraum.

Legal requirementsThese are laws or bureaucratic regula-tions that require specific organizationsor persons to obey the rules. It is notpossible to get around fulfilling these; theonly room to maneuver is in interpreta-tion, scope, and mode of implementation.

Regulative Vorgaben

Man unterschiedet zwischen rechtlich und regulativ, da es eine Reihe von Vorgaben,die nicht direkt auf Gesetzen basieren wie z.B.Normen, Standards, Codes of Best Practiceoder andere Vorgaben. Vielfach ergeben sichaus gesetzlichen Vorgaben fr einen Anwen-dungsfall auch Auswirkungen und impliziteAnforderungen fr andere Flle. Diese werdenals regulative Vorgaben abgegrenzt.

Regulatory requirements

Legal and regulatory requirements aredistinct from one another, as there arenumerous requirements that do not haveforce of law, such as standards, codes ofbest practice, etc. In many cases, legalrequirements for a given instance haveconsequences and implications for otherinstances. These are demarcated asregulatory requirements.




7/44


Unterschiedliche Ausw irkungen Different consequences

Grundstzlich gelten alle gesetzlichen, rechtli-chen und regulativen Vorgaben auch in derelektronischen Welt. Hufig sind die Anforde-rungen der DV-Welt jedoch noch nicht odernicht direkt enthalten und mssen daheradquat abgeleitet werden.

In principle, all legal and regulatory require-ments apply to the digital world just as theydo to the paper world. Often, however, therequirements are not phrased specifically forIT applications, and these must therefore bederived.

Direkte Betroffenheit Dies betrifft besonders Gesetze und geset-zesgleiche Verordnungen, die in jedem Falleingehalten werden mssen. Hier kannman lediglich den Umfang und die Auspr-gung interpretieren. Neben generell glti-gen Vorgaben treten besondere, die auf die

Branche oder Geschftsttigkeit bezogensind.

Direct consequencesCertain laws and requirements with theforce of law must be complied with underall circumstances. There is room for inter-pretation only in terms of scope and ex-tent. In addition to generally applicablelaws, there are laws that refer to specific

industries or activities.

Indirekte BetroffenheitHier beginnt die groe Grauzone, wo esdarum geht, zunchst die fr das Unter-nehmen oder die Organisation zutreffendenRegelungen zu ermitteln und zu bewerten.So betrifft beispielsweise Basel IIx) nichtnur die Banken, sondern jedes kreditneh-mende Unternehmen, da die Dokumentati-ons- und Transparenzauflagen an die Kun-den weitergegeben werden.

Indirect consequencesThe uncertainty begins with determiningand assessing the rules that apply to acompany or organization. For example,Basel IIx) applies not only to banks, but toany organization that borrows money,since the documentation and transparencyrules are propagated through from lenderto borrower.

Fr direkte und indirekte Auswirkungen gibt es

zahlreiche Compliance-Regeln, die sowohl dieherkmmliche Papierdokumentation wie auchdie eingesetzte EDV betreffen.

There are numerous compliance rules with

direct and indirect consequences, that applyto both conventional paper documentationand to IT.

Der bindende Charakter einer Vorgabe kannalso sehr unterschiedlich sein. Nicht zuletztSteckdosen, Lebensmittel, Flugzeuge, elek-trische Gerte, Medikamente, Kindergrten,Bildschirme usw. mssen auch bestimmteCompliance-Anforderungen erfllen, die sichbeispielsweise in Prfsiegeln niederschlagen.

Exactly how binding a requirement is cantherefore differ greatly. Electrical sockets,food, aircraft, electrical devices, medications,kindergartens, video screens etc. must meetcertain compliance rules that find expressionin test seals, for example.

Ein Abgleich der unterschiedlichen Anforderun-gen und Ausprgungen mit dem, was heuteunter dem Schlagwort Compliance bei infor-mationstechnologischen Lsungen verstandenwird, zeigt aber groe Unterschiede. Daher wirdim Folgenden konkreter im Sinne von IMC,Information Management Compliance, gespro-chen.

A comparison of the requirements and theirgeneral meaning, with what is understood bythe term compliance specifically for IT so-lutions, shows significant differences. There-fore, in the following we will discuss compli-ance in the specific sense of IMC, Informa-tion Management Compliance.




8/44


Aktuelle Situation

und w ichtige Regularien

2 Current situation

and important regulations Der elektronische Geschftsverkehr wirdzum Regelfall. Gleichbehandlung ist nurmglich, wenn fr alle Beeiligten die selbenTransparenzpflichten gelten. Compliancemuss daher fr alle und unabhngig von derForm der Geschfts- oder Verwaltungsttig-keit gleichermaen gltig sein.4)

Digital business transactions will becomethe rule. Equal treatment is possible onlywhen the same transparency rules apply toeverybody. Therefore, compliance must havethe same validity for all, regardless of theform taken by a business or administrativeactivity.4)

Compliance-Anforderungen gibt es berall. Siemachen vor Landesgrenzen nicht halt. Siebetreffen Organisationen ebenso wie Individuen.In einer globalisierten Gesellschaft stellt sichzunehmend das Problem, dass jedes Land im-mer noch eigene Gesetze und Regularien frGeschfte, Prozesse und Transaktionen hat, dielngst harmonisiert sein sollten. Internationalen Gesetzen und Regeln kommt daher eine im-mer wichtige Rolle zu, da herkmmliche Gren-zen im Internet keien Bedeutung mehr haben.

Compliance requirements are everywhere,and do not stop at national borders. Theyaffect organizations and individuals alike. Ina globalized society, problems are increas-ingly caused by the fact each country has itsown laws and regulations for businesses,processes, and transactions, which shouldhave been harmonized long ago. Interna-tional laws and rules are therefore moreand more important, since traditional bor-ders have no meaning in the Internet.

International InternationalAls gutes Beispiel fr direkte und indirekte Aus-wirkungen der Gesetzgebung kann Basel II an-gefhrt werden. Finanzdienstleister mssen um-so mehr Eigenkapital vorhalten, je hher dasRisiko des Kreditnehmers ist. Auch wenn man in

Bezug auf die Kreditvergabe und die Dokumen-tationspflichten hier zunchst nur an die Bankendenkt, hat Basel II auch erhebliche Auswirkun-gen auf alle Unternehmen.

Basel II is a good example of direct and indi-rect consequences of legislation. Financialservice providers must retain more own capi-tal as the borrowers risk increases. Althoughthis legislation concerning credit and docu-

mentation was intended only for banks,Basel II has substantial effects on all compa-nies.

Mit Basel II wird die Neugestaltung der Eigen-kapitalvorschriften der Kreditinstitute bezeich-net.

Basel II refers to the reformation of owncapital requirements for banks and creditinstitutes.

Ziel von Basel II ist es, die Stabilitt des inter-nationalen Finanzsystems zu erhhen. Dazusollen die Risiken im Kreditgeschft besser er-fasst und die Eigenkapitalvorsorge der Kreditin-stitute risikogerechter ausgestaltet werden. 5)

The objective of Basel II was to increase thestability of the international finance system.The idea is to evaluate risks in the creditbusiness better, and bring lender capitaloverage more into line with risk. 5)

Basel II hat eine Vielzahl von Auflagen fr die

Dokumentation nach sich gezogen, die in einerelektronischen Welt nur mit Informationsmana-gementlsungen vollzogen werden knnen.

Basel II brought with it a great number of

rules for documentation, which in a digitalworld can only by followed using informationmanagement solutions.

4) Ulrich Kampffmeyer, Marcus Evans Conference ContentManagement The driving factor for successful eBusiness,Berlin, 2001

5) Wirtschaftswiki, Definition Basel II, 2005

4) Ulrich Kampffmeyer, Marcus Evans Conference ContentManagement The driving factor for successful eBusi-ness, Berlin, 2001

5) Wirtschaftswiki (German), Definition of the term BaselII, 2005




9/44


USA USA

In den USA gab es schon sehr lange Complian-ce-Anforderungen an Softwaresysteme und dieDokumentation von Geschftsprozessen.

In the US there have long been compliancerequirements for software systems and busi-ness process documentation.

Am bekanntesten und am engsten mit dem Beg-riff Compliance ist jedoch der Sarbanes OxleyAct verknpft.

The most well-known of these, and mostclosely associated with the term compliance,is the Sarbanes Oxley Act.

Sarbanes-Oxley-Act Sarbanes Oxley Act

Durch die Skandale um ENRON, WorldCom undeinige andere Unternehmen rckte das ThemaCompliance in den Mittelpunkt des allgemeinenInteresses. Anlass waren geschnte Prfungenvon Wirtschaftsprfern und die Geschftsberich-te der Unternehmen. E-Mail wurde dabei als

eine der mglichen Nachweisquellen fr unge-setzliches Handeln entdeckt. Dies fhrte im Jahr2002 zum Sarbanes-Oxley-Act, allgemein SOAoder SOX abgekrzt. Typisch amerikanisch wur-de es nach den beiden Leitern der Kommissionbenannt, die das Gesetz entworfen hat.

The scandals surrounding ENRON, WorldComand other companies brought complianceinto the center of public attention. The causewas edited audits by auditors and thecompanies own reporting. In the process ofuncovering all this, e-mail was found to be

one possible source of proof of illegal ac-tions. In 2002 this led to the Sarbanes-OxleyAct, abbreviated as SOA or SOX. In accor-dance with common US practice it wasnamed after the leaders of the commissionthat drafted the law.

Das Gesetz findet Anwendung fr alle Unter-nehmen, die an der New York Stock Exchangegelistet sind.

The law applies to all companies listed on theNew York Stock Exchange.

SOA hat die Aufgabe, die Transparenz undNachvollziehbarkeit in den Unternehmen beiPrfungen durch die SEC, Securities und Ex-

change Commission, zu verbessern.

SOA is intended to improve the transparencyand auditability of companies dealings inaudits by the SEC, the Securities und Ex-

change Commission.Unternehmen werden verpflichtet, u. a. ein in-ternes Kontrollsystem fr die Rechnungslegungzu unterhalten, die Wirksamkeit der Systeme zubeurteilen und die Richtigkeit der Jahres- undQuartalsberichte beglaubigen zu lassen. 6)

Among other things, it requires that compa-nies maintain an internal monitoring systemfor accounting, that they evaluate the effec-tiveness of their systems, and that they cer-tify quarterly and annual reports. 6)

SOA hat in den USA besonders auf Grund vonAbschnitt 802 Bedeutung erlangt, weil hier emp-findliche Strafen in der Strafgesetzgebung ver-ankert worden sind. Die Zerstrung oder Vern-derung von aufbewahrungspflichtigen Unterla-gen kann mit bis zu 20 Jahren Gefngnis be-straft werden.

In the US, SOA is important especially be-cause of Section 802, which mandates se-vere penalties of up to 20 years imprison-ment for the destruction or alteration ofdocumentation that is required to be keptunaltered.

Besonders die Wirtschaftsprfer legen in ihrerBeratung nunmehr sehr viel Wert auf Complian-ce, da im Rahmen der Skandale groe, namhaf-te Wirtschaftsberatungsfirmen wie Andersenvom Markt verschwanden.

Auditors in particular now attach great im-portance to compliance, since the scandalscaused the disappearance of formerly large,well-regarded auditing firms like Andersen.

6) USA, SOA Sarbanes-Oxley Act of 2002 (hufig auch als SOXabgekrzt)

6) SOA Sarbanes-Oxley Act of 2002




10/44


e-Discovery e-discovery

Die in den USA am 1. Dezember 2006 in Kraft

getretenen nderungen der FRCP Federal Rules ofCivil Procedure7) knnen als signifikanter Wende-punkt von den herkmmlichen papierbasiertenhin zu elektronischen Beweisfhrungsregeln ge-sehen werden. Die wachsende Bedeutung vonelektronisch gespeicherten Daten wurde somitauch durch den obersten Gerichtshof unterstri-chen.

The changes to the FRCP or Federal Rules

of Civil Procedure7) that came into force onDecember 1, 2006 are a significant turningpoint in the change of focus from conven-tional paper-based to digital evidence. TheSupreme Court underlined the growingimportance of digitally preserved informa-tion.

Electronic discovery, auch e-discovery oder eDis-covery, bezieht sich dabei auf jeden Prozess beidem elektronische Daten abgefragt, gefunden,gesichert und gesucht werden, mit dem Ziel, siebei einem Gerichtsverfahren zu verwenden. Dabei

knnen smtliche Daten, wie z.B. Texte, Bilder,Datenbanken, Audio-Dateien, Animationen, Web-seiten und Programme als Beweis dienen. Diewertvollsten Quellen fr strafrechtliche oder zivileGerichtsverfahren stellen aber oft E-Mails dar.

Electronic discovery, also termed e-discovery oder eDiscovery, refers to anyprocess in which electronic data is refer-enced, found, saved, or searched, with theobjective of using it in court. Any data can

serve as evidence, including text, images,databases, audio files, animations, web-sites, and software. But frequently, e-mailis the most important source of evidence incriminal and civil cases.

Nachdem mit Sarbanes-Oxley bereits die elektro-nische Information vor Gericht aufgewertet wor-den war schafft eDiscovery nun die rechtlicheGrundlage fr die Anerkennung elektronsicherInformationen in Gerichtsverfahren. Alle Formenvon elektronischen Informationen, nicht nur alsRecord definierte Dokumente, knnen als Be-weismittel vorgebracht werden. Anders als in Eu-ropa und besonders in Deutschland spielt die e-lektronische Signatur dabei keine Rolle. Bei derErmittlung gilt das als gltig, was von den ermit-telnden Behrden vorgefunden wurde. Bei derBeweissicherung galten bisher nur Papierdoku-mente als sicherer Nachweis. Durch die Mglich-keiten der elektronischen Recherche drfte sichdies ndern.

After Sarbanes-Oxley had already boostedthe importance of digital information in acourt of law, eDiscovery created the legalbasis for recognizing digital information incourt. All forms of digital information, not just documents defined as records, areadmissible as evidence. Unlike in Europeand Germany in particular, the presence orabsence of an electronic signature is of noconsequence. The only thing that mattersis what the investigators uncover. For-merly, only paper documents were consid-ered to be firm proof. The possibilitiesopened up by electronic research will nowchange this.

eDiscovery wird nicht nur die sichere, unvern-derbare Speicherung von Informationen frdernsondern mehr noch den Schutz des Zugriffs undandere Sicherheitsaspekte. Policies zur kontrol-lierten Entsorgung von Information werden dabeizunehmend wichtiger.

eDiscovery will not only promote the se-cure, edit-proof archiving or preservation ofinformation, but also access protection andother security aspects. Policies for the con-trolled disposal of information will grow inimportance.

Es sind aber nicht allein SOA und FRCP, die denDruck in bezug auf umfassende Dokumentations-anforderungen im Umfeld der Steuerprfung undSteuerfahndung erhht haben.

But it is not just SOA and FRCP that haveincreased the pressure on documentationin the context of tax audits.

Aus den CFR Code of Federal Regulations8) lassensich inzwischen eine Vielzahl weiterer Anforde-rungen fr spezielle Branchen und Geschftsttig-keiten ableiten.

Many other requirements for specific indus-tries and business activities can now bederived from the CFR or Code of FederalRegulations8).

7) United States Supreme Court, Federal Rules of Civil Procedure,Bundesrichtlinie fr zivilrechtliche Verfahren, 2006

8) National Archives and Records Administration, Code of Federal Regu-lations. Bundesgrundstze fr Archive

7) United States Supreme Court, Federal Rules of Civil Proce-dure, 2006

8) National Archives and Records Administration, Code ofFederal Regulations.




11/44


Ein Beispiel ist der CFR 179), 240, mit hartenRegularien fr Brsenmakler. Die Regeln der US-Brsenaufsicht fr Aktien-Broker SEC 17A-310)und SEC 17A-4 definieren exakt, welche Auf-zeichnungen und Belege bei einer Transaktionaufgehoben und auf welchem Medium sie gespei-chert werden mssen.

For example, CFR 179), sec. 240 strictlyregulates stockbrokers. SEC 17A-310) and

SEC 17A-4 regulations for stockbrokers de-fine exactly what notes and documentsmust be retained for a transaction, andwhat medium they must be stored on.

hnliche Regeln fr die Finanzwelt hat die Natio-nal Association of Securities Dealers (NASD)11)entwickelt. NASD 3010 und NASD 3110 bei-spielsweise verlangen, dass Broker und Hndlerexterne Transaktionen von registrierten Stellver-tretern berwachen.

The National Association of Securities Deal-ers (NASD)11) has developed similar rulesfor the financial business. For example,NASD 3010 and NASD 3110 require thatbrokers and dealers monitor external trans-actions via registered representatives.

Eine besondere Bedeutung hat zu dem der PatriotAct12), der weitgehenden Zugriff auf alle Informa-

tionen ermglicht und eine transparente Informa-tionsbereitstellung fordert.

Of special significance is the Patriot Act12),which allows far-reaching access to all in-

formation, and requires transparent infor-mation provision.

In anderen Bereichen gibt es ebenfalls rechtlicheund regulative Vorgaben wie z.B. HIPAA13) imKrankenhaus- als auch im Versicherungsbereich,den Tread Act14) mit umfangreichen Anforderun-gen zur Produkt-, Qualitts- und Herstellungsdo-kumentation oder Regularien der EPA, Environ-mental Protection Agency 15).

There are also legal and regulatory re-quirements in other areas as well, for ex-ample HIPAA13) for hospitals and insurers,the Tread Act14) with comprehensive re-quirements concerning product, quality, andmanufacturing documentation, and theregulations of the EPA, the EnvironmentalProtection Agency 15).

Viele dieser Regelwerke beziehen sich auf die neugefassten FSG, Federal Sentencing Guidelines16)von 2002, so dass Verste mit erheblichen Stra-

fen belegt werden knnen.

Many of these regulations cite the new FSG,the Federal Sentencing Guidelines16) of2002, meaning that infractions can be pun-ished with severity.

Gesetze und Regularien in den USA haben auchAuswirkungen auf Unternehmen im Ausland,wenn sie Tochtergesellschaften oder Muttergesell-schaften amerikanischer Unternehmen sind, oderbestimmte Geschfte in den USA abwickeln.

Laws and regulations in the US affect com-panies in other countries, if they are sub-sidiaries of US companies or themselvesmaintain US subsidiaries, or do certaintypes of business in the US.

9) Compliance Whitepaper, Documentum 2004, S.410) Securities and Exchange Commission, Books and Records

Requirements for Brokers and Dealers Under the SecuritiesExchange Act of 1934, 2003

11)

National Association of Securities Dealers, NASD 3010 undNASD 311012) U.S. Department of Justice , The Uniting and Strengthening

America by Providing Appropriate Tools Required to Interceptand Obstruct Terrorism Act of 2001, 2001 (Patriot Act)

13) United States Department of Health & Human Services,Officefor Civil Rights, Health Insurance Portability andAccountability Act, 2003

14) National Highway Traffic Safety Administration , Transporta-tion Recall Enhancement, Accountability and DocumentationAct , 2000

15) U.S. Environmental Protection Agency

16) United States Sentencing Commission, Federal SentencingGuidelines, 2007 (Rechtsprechungsrichtlinie)

9) Compliance Whitepaper, Documentum 2004, S.410) Securities and Exchange Commission, Books and

Records Requirements for Brokers and Dealers Underthe Securities Exchange Act of 1934, 2003

11)

National Association of Securities Dealers, NASD3010 und NASD 311012) U.S. Department of Justice , The Uniting and

Strengthening America by Providing Appropriate ToolsRequired to Intercept and Obstruct Terrorism Act of2001, 2001

13) United States Department of Health & Human Ser-vices,Office for Civil Rights, Health Insurance Portabil-ity and Accountability Act, 2003

14) National Highway Traffic Safety Administration ,Transportation Recall Enhancement, Accountability andDocumentation Act , 2000

15) U.S. Environmental Protection Agency

16) United States Sentencing Commission, Federal Sen-tencing Guidelines, 2007




12/44


Europa Europe

Auf europischer Ebene werden durch die Europ-ische Kommission zahlreiche Richtlinien entwi-ckelt, die von den Mitgliedstaaten in nationalesRecht berfhrt werden mssen. Bereits durchdie Richtlinien zum E-Commerce und zur elektro-nischen Signatur sind eine Reihe von Anforderun-gen fr Compliance entstanden. Der elektronischeGeschftsverkehr und die Umstellung der ffentli-chen Verwaltung auf elektronisch untersttzteVerfahren wird weitere Compliance-Anfor-derungen nach sich ziehen.

At the European level, the European Com-mission develops many guidelines which theMember States must translate into nationallaw. The guidelines on e-commerce andelectronic signature have already led to anumber of compliance requirements. Elec-tronic business transactions and the switchby public administration to electronicallysupported processes will give rise to furthercompliance requirements.

Beispiele fr europische Richtlinien mit Geset-zescharakter, die Bedeutung fr die Rechtskraftelektronischer Dokumente besitzen und Doku-

mentationspflichten nach sich ziehen, sind z.B.:

Some European guidelines have legal char-acter and affect the legal validity of digitaldocuments, as well as documentation re-

sponsibilities. Examples are: E-Commerce

E-Commerce-Richtlinie17), die genau festge-legt, was im elektronischen Geschftsverkehrerlaubt und verboten ist. Hierzu gehren auchNachweis- und Dokumentationspflichten.

E-CommerceE-commerce guideline17) which specifieswhat is permitted and prohibited in digi-tal business transactions. Includes proofand documentation responsibilities.

E-SignaturEuropische Richtlinie zur elektronischen Sig-natur18). Der Einsatz der elektronischen Signa-tur ersetzt unter bestimmten Voraussetzungendas Papier. Die elektronische Signatur ist da-her Bestandteil zahlreicher Compliance-Regelungen.

E-SignatureEuropean guideline on electronic signa-tures18), which replace paper signaturesunder certain conditions. The e-signatureis therefore included in numerous com-pliance rules and regulations.

Zahlreiche andere Richtlinien der EuropischenKommission haben ebenfalls Compliance- undDokumentationspflichten nach sich gezogen. Diegrte Wirkung entwickelt jedoch zur Zeit diesogenannte 8. Direktive.

Many other guidelines of the EuropeanCommission have also given rise to compli-ance and documentation requirements.However, the so-called 8th Directive cur-rently has the greatest effect.

8. EU-Richtlinie 8th EU Directive

Die 8. Direktive setzt Standard fr Bilanzierungs-richtlinien von brsennotierten Unternehmen.

The 8th Directive sets the standard for thefinancial accounting of stock-exchangelisted companies.

Am 07. Juli 2006 ist die 8. EU-Richtlinie19) (EuroSOX) in Kraft getreten, die fr alle europpi-schen Kapitalgesellschaften hnliche Auswirkun-

gen haben wird wie Sarbanes-Oxley Act (SOX) inUSA. Sptestens bis Juli 2008 muss die 8. EU-Richtlinie in nationales Recht umgewandelt sein.Damit greifen EU-weit unter anderem verschrfteRegeln in Bezug auf die Dokumentation der Ge-schftsprozesse und transaktionen sowie derverwendeten IT- und TK-Infrastruktur eines Un-ternehmens.

On July 7, 2006 the 8th EU Directive19)(Euro-SOX) came into force. For Europeancorporations it will have similar effects to

Sarbanes-Oxley (SOX) in the US, and mustbe translated into national law by July 2008at the latest. With it, throughout the EUthere will be more stringent rules on docu-mentation of business processes and trans-actions, and of corporate IT and communi-cation infrastructures.

17) EU-Parlament, Richtlinie 2000/31/EG, 200018) EU-Parlament und Rat, Richtlinie 1999/93/EG, 200019) EU-Parlament und Rat, Richtlinie 2006/43/ EG, 2006

17) European Parliament, Directive 2000/31/EG, 200018) European Parliament and Assembly, Directive

1999/93/EG, 200019) European Parliament and Assembly, Directive

2006/43/ EG, 2006




13/44


Deutschland Germany

In Deutschland wird der Begriff Compliancezwar noch selten verwendet, doch die Anforde-rungen gibt es schon lngst. Auch in Deutschlandwerden die Gesetze, wie BGB20), ZPO21) oderHGB22), immer mehr den Anforderungen der In-formationsgesellschaft angepasst sowie Richtli-nien der Europischen Kommision in nationalesRecht bertragen.

In the Germany the term compliance is stillseldom used, but the requirements havebeen in place for a while. Laws such asBGB20), ZPO21) or HGB22) are more and moreconformant with the requirements of theinformation age, and EU guidelines are beingimplemented in national legislation.

In diesem Umfeld kommt der elektronischen Sig-natur eine besondere Bedeutung zu. Der Einsatzder elektronischen Signatur findet sich inzwischenin nahezu allen neueren Gesetzen. So z.B. auchbei der elektronischen Rechnung. Zum Vorsteuer-abzug berechtigen den Empfnger nach 14 Abs.4 Satz 2 UStG nur elektronisch signierte Rech-nungen. Da die elektronische Rechnung das Ori-ginal darstellt, ist es auch elektronisch aufzu-bewahren. Hier greifen die verschiedenen neuenGesetze und Regelungen ineinander. Das Signa-turgesetz und die nderungen von BGB Brgerli-chem Gesetzbuch und ZPO Zivilprozessordnungzur Verankerung der elektronischen Signatur fin-den ihren Widerhall in der Handels- und Steuer-gesetzgebung.

In this context the electronic signature isgaining importance, and is now required byalmost all recent legislation. Thus, for exam-ple with digital invoices payers are allowedpretax deduction only with e-signed invoices.Since the e-invoice constitutes the original, itmust be stored electronically. Here, newlaws and regulations interact, and the signa-ture law and changes to the BGB (GermanCivil Code) and ZPO (German Code of CivilProcedure) mandating the electronic signa-ture are reflected in trade and tax law.

Aktuelle Beispiele sind das EHUG und die Erweite-rung des Anwendungsbereiches der GDPdU durchaktuelle Gerichtsurteile. In eine hnliche Kerbe

wie die GDPdU schlgt auch das Gesetz zu denDokumentationspflichten bei Verrechnungsprei-sen. die Gewinnabgrenzungsaufzeichnungsver-ordnung (GAUFZ)23), die anders als die GDPdUbereits direkt strafbewehrt ist.

Current examples are the EHUG and the ex-tension of the application area of the GDPdU(German Data Access and Digital Signature

Authentication Law) by recent court deci-sions. The GAUFZ 23) is in a similar vein, butunlike the GDPdU it is enforced by criminalpenalties.

EHUG und E-Mail-Management EHUG and E-Mail Management

Das bundesweite Elektronische Handels- und Ge-nossenschaftsregister (EHUG)24), welches am 1.Januar 2007 in Kraft getreten ist, stellt eine digi-tale Version des Handelsregisters dar. Kapitalge-sellschaften sind verpflichtet, ihre Abschlssebeim elektronischen Bundesanzeiger einzurei-chen. Verste gegen die Offenlegungspflichtwerden mit bis zu 25.000 Euro von den Verwal-tungsbehrden, welche vom elektronischen Bun-desanzeiger informiert werden, geahndet.

The national electronic commercial and com-pany registry (EHUG)24), which came intoforce January 1, 2007, is a digital version ofthe commercial registry. Corporations arerequired to submit their accounts to the elec-tronic Federal Bulletin. Failure to comply ispunishable by a fine of up to 25,000 Eurosby the government administrative officeswho draw their information from the elec-tronic bulletin.

20) BGB Brgerliches Gesetzbuch, 126, 12721) ZPO Zivilprozessordnung, 292a, 286, 130, 37122) HGB Handelsgesetzbuch, 239, 25723)GAUFZ Gewinnabgrenzungsaufzeichnungsverordnung24) EHUG Elektronisches Handels- und Genossenschaftsregister

20) BGB, German Civil Code 126, 12721) ZPO, German Code of Civil Procedure 292a, 286,

130, 37122) HGB, German Commercial Law 239, 25723) GAUFZ, German Regulation on Recording Profit

Accruals24) EHUG, German Electronic Commercial and Company

Registry




14/44


Das EHUG hat eine Reihe von nderungen auchin anderen Gesetzen wie z.B. fr GmbHs und

AGs nach sich gezogen. Eine regelung betrifftdie Angabe der kompletten Firmierungs- undVerantwortungsangaben in der Signatur von E-Mails. Was lngst schon galt wird hierdurch jetzt jedem deutlich gemacht: E-Mails sind Ge-schftsbriefe und sind dementsprechend aufzu-bewahren.

The EHUG has caused a series of modifica-tions to other laws relevant for registered

companies and their responsible managers.One rule concerns the naming of completecompany and responsibility information in e-mail signatures. This codifies what every-body already knew that e-mails are busi-ness correspondence, and must be archivedas such.

Dies hat ein wahren Boom bei der E-Mail-Archi-vierung ausgelst. Dabei wird hufig bersehen,dass E-Mails in einen Geschftszusammenhanggehren und nicht isoliert archiviert werden soll-ten. Sie mssen zusammen mit anderen Doku-menten in Kunden-, Sach-, Projekt- oder ande-ren Akten gemeinsam verwaltet werden, damitdie Vollstndigkeit und Nachvollziehbarkeit desGeschftsganges gewhrleistet ist.

This has launched a boom in e-mail archiv-ing, but implementers often overlook the factthat e-mails belong in a business context,and should not be archived in isolation. Theyneed to be preserved together with otherdocuments by customer, matter, project, orassociated files, so that the completenessand auditability of the business procedure isassured.

Da jeder Mitarbeiter im Unternehmen Empfn-ger wie Versender von geschftsrelevanten E-Mails sein kann, ist jedwede technische Lsungdurch organisatorische Manahmen zu unterft-tern.

Since any employee in a company can besender or recipient of relevant e-mails, anyand all technology solutions must be under-pinned by organizational measures.

GDPDU: aktuelle Urteile GDPDU: Current verdicts

Nach den Grundstzen zum Datenzugriff undzur Prfbarkeit digitaler Unterlagen (GDPdU)25)sind alle steuerlich relevanten Daten auswertbarber den zeitraum der Aufbewahrungsfristen

nach HGB auswertbar aufzubewahren und frPrfungen zugnglich zu machen.

According to the German Data Access andDigital Signature Authentication law(GDPdU)25), all tax-related information mustbe stored in interpretable form for the perod

of time mandated by the Commercial Code,and made available for audits.

Die GDPdU sind eine Verordnung, die auf dennderungen im Steuernderungsgesetz undHGB Abgabenordnung, 146, 147 und 200,basiert. Sie stellen eine Richtlinie fr das Vorge-hen der Finanzbehrden bei Auenprfungendar. Die Unternehmen mssen sicherstellen,dass alle steuerrelevanten Daten identifiziert,unverndert und vollstndig und ber einenZeitraum von 10 Jahren aufbewahrt werden. Dieoriginalen Daten mssen vollstndig, richtig undauswertbar entweder in den sie erzeugendenSystemen vorgehalten oder aber in elektroni-sche Archive ausgelagert werden. Auch bei denGDPdU spielen inzwischen Dokumente und E-Mails neben den Daten aus ERP- und Buchhal-tungssystemen eine zunehmend wichtigere Rol-le.

The GDPdU is a regulation that is based oncanges in the tax change law and commer-cial code tax regulation, sections 146, 147,and 200. It provides a guideline for tax au-thorities to use in auditing. Companies mustensure that all tax-relevant data is preservedidentifiably, unchanged, and completely, fora period of 10 years. The original data mustbe complete, correct, and interpretable, ei-ther in their origination systems or in digitalarchives. Documents and e-mails play anincreasingly important role for the GDPdU,alongside ERP and bookkeeping systems.

25) GDPdU Grundstze zum Datenzugriff und zur Prfbarkeitdigitaler Unterlagen, 2001

25) GDPdU Data Access and Digital Signature Authentica-tion law, 2001




15/44


Bereits in einer Reihe von Verfahren vor Finanz-gerichten war die Auslegung der GDPdU ein The-

ma. Whrend frhere Urteile der FinanzgerichteRheinland-Pfalz und Hamburg aus dem Jahr 2006das Recht auf Datenzugriff noch an vielen Stelleneingeschrnkt und damit den Steuerpflichtigenuntersttzt haben, weisen die Urteile der Dssel-dorfer Fi-nanzrichter nun in eine andere Richtung.Beide Entscheidungen vom 5. Februar 2007 be-schftigen sich im Kern mit der Reichweite desDatenzugriffs, also mit dem Umfang, welcher ei-ner digitalen Betriebsprfung zu Grunde zu legenist und interpretieren diesen in einer Art, welcheber das bisherige Verstndnis von Literatur undVerwaltung hinausgeht. Dazu haben die Richterteilweise eigenstndige Definition von GDPdU-

Begrifflichkeiten vorgenommen und damit neueDiskussionspunkte erffnet.

Interpretation of GDPdU has already been atopic of debate in a number of Finance

Court cases. While 2006 verdicts of theFinance Courts of the states of Rhineland-Palatinate and Hamburg limited the right todata access at many points and thus sup-ported the taxpayer, the verdicts of theDsseldorf Finance Court go in a differentdirection. Both verdicts of February 5, 2007ultimately involve the scope of data access,i.e. how far a digital audit can go, and in-terpret this in a way that goes beyond theprevious interpretation of the literature andofficial usage. In doing this, the judgesmade some individual definitions of GDPdUterminology, thereby opening up newpoints for discussion.

Steuerrelevanz versus Steuerauswirkung:Die Finanzbehrde darf im Rahmen des steuerli-chen Datenzugriffs auch auf solche Konten derhandelsrechtlichen Finanzbuchhaltung zugreifen,auf denen steuerlich nicht abzugsfhige Be-triebsausgaben verbucht werden. Auf der Grund-lage des 147 Abs. 1 i. V. m. Abs. 6 AO darf dieFinanzverwaltung fr Zwecke der steuerlichenAuenprfung ausschlielich auf Daten zugreifen,die fr die Besteuerung von Bedeutung sind. Dievom Datenzugriff betroffenen Unternehmen sind

deshalb seit jeher darauf bedacht, das digitaleSuchfeld des Betriebsprfers auf solche Datenbe-stnde zu begrenzen, die vom Sinn und Zweckdes Rechts auf Datenzugriff gedeckt sind. DasFinanzgericht Dsseldorf gab der Auffassung desFinanzamts Recht und sah keine ernstlichen Zwei-fel an der Rechtmigkeit des Datenzugriffs aufdie ursprnglich gesperrten Konten. Bei den frag-lichen digitalen Kontoaufzeichnungen handele essich um Bcher i.S.d. 147 Abs. 1 Nr. 1 AO, die anknpfend an das Handelsrecht die Funktionerfllen, fr einen Kaufmann seine Handelsge-schfte und die Lage seines Unternehmens zudokumentieren. Die im Rahmen der GDPdU ge-

forderte steuerliche Relevanz kann nicht mit dervom betroffenen Unternehmen angefhrten steu-erlichen Auswirkung gleichgesetzt werden. Dabeihabe sich die eigentliche Steuerrelevanz stetsauch daran zu orientieren, inwieweit die in Fragekommenden Unterlagen einen Bezug zur Buch-fhrung aufwiesen und mithin zu deren Verstnd-nis erforderlich seien. 26)

Tax-relevance vs. tax effect:Tax authorities can, within the frameworkof tax data access, access accounts ofcommercial-law bookkeeping that recordnon-tax-deductible business expenses. PerSec. 147 para. 1 through 6 of the Tax Pro-cedure Act (AO), tax authorities may, forthe purposes of tax auditing, access onlysuch data as is relevant to tax assessment.Companies affected by data access havetherefore always tried to limit the digital

search scope of auditors to data records towhich this right to data access applies. TheDsseldorf Finance Court supported theview of the tax office, and had no seriousdoubts as to the legality of data access tosuch formerly closed accounts. The digitalaccount entries in question were books inthe sense of Sec. 147 para. 1 no. 1 of theTax Procedure Act, which based on com-mercial law fulfill the function of docu-menting a businesspersons commercialbusiness and the position of his company.The tax relevance required by GDPdU can-not be made equivalent to the tax conse-quence, as claimed by the company in-volved in the case. Further, the own taxrelevance is always based on the extent towhich the documents in question are rele-vant to the accounts and therefore to un-derstanding them.26)

26) PROJECT CONSULT, Newsletter 20070720, 2007 26) PROJECT CONSULT, Newsletter 20070720, 2007




16/44


GDPdU-Begrifflichkeiten neu definiert:Werden Eingangsbelege beim Steuerpflichtigen

gescannt, gespeichert und die Originale anschlie-end vernichtet, so erstreckt sich das Zugriffs-recht im Rahmen der elektronischen Steuerpr-fung auch auf derart erzeugte Datenbestnde.Der Steuerpflichtige muss diese Datenbestndeso organisieren, dass bei einer zulssigen Ein-sichtnahme keine geschtzten Bereiche des Un-ternehmens tangiert werden. Der EDV-Zugriff derFinanzverwaltung bezieht sich grundstzlich aufsolche Datenbestnde, die originr bereits in e-lektronischer Form vorliegen. Dies schliet eineVerpflichtung zum Einscannen oder Digitalisierenvon Papierdokumenten aus. In Bezug auf den vieldiskutierten Umfang einer digitalen Betriebspr-

fung stellt sich jedoch vermehrt die Frage, inwie-weit digitalisierte Eingangsbelege, deren Papier-original vernichtet wurde, dem Betriebsprferauch in digitaler Form zur Verfgung zu stellensind. Das Finanzgericht Dsseldorf gestand demFinanzamt das Recht zu, auf die fraglichen Belegeaus dem System des Unternehmens heraus zu-zugreifen und diese am Bildschirm einzusehen.Die Rechtsgrundlage hierfr ergibt sich nach Auf-fassung der Richter bereits aus 147 Abs. 6 Satz1 AO. 27)

GDPdU terms redefined:If the taxpayer scans and stores incoming

records and then destroys the originals, theright to access as part of electronic taxaudit extends to the records thus gener-ated. The taypayer must organize theserecords in such a way that allowable accessdoes not touch protected areas of the com-pany. The IT access of the tax office issolely for records that were originally indigital form. This means that taypayers arenot obliged to scan or digitize paper docu-ments. With regard to the widely discussedscope of digital tax audit, there is increas-ingly the question of to what extent digi-tized incoming records, whose paper origi-

nals were destroyed, should be madeavailable to auditors in digital form as well.The Dsseldorf Finance Court gave the taxoffice the right to gain access to the docu-ments in question from the companiessystems, and display them on-screen. Thelegal basis for this is provided, in the opin-ion of the court, by Sec. 147 para. 6 sen-tence 1 of the Tax Procedure Act. 27)

Whrend die bisherige Rechtsprechung eher inRichtung Unternehmensseite tendierte, ver-

schaffen die beiden nun vorliegenden vorlufigenEntscheidungen aus Dsseldorf der Finanzverwal-tung einen deutlichen Rckenwind. Die Unter-nehmen sollten insbesondere das Urteil betref-fend die digitalisierten Originalbelege in ihre knf-tige GDPdU-Strategie einbeziehen und einen ad-quaten Datenzugriff nebst Trennung in steuerlichrelevante und irrelevante Unterlagen einplanen.Was man in diesem Zusammenhang nicht verges-sen sollte, ist das derzeit hufig bemhte Themader Verfahrensdokumentation. In dem Mae, wieder Auenprfer selbst solche Systeme fr denZ1- und Z2-Zugriff benutzt, wird der Nachweis

von ordnungsgemer Verarbeitung, Nutzung undBetrieb immer wichtiger.

While previous verdicts tended to side withbusiness, these provisional verdicts by the

Dsseldorf Finance Court give the tax officesignificant backup. Companies should payspecial attention to the verdict on digitizedoriginals in their future GDPdU strategies,and ensure good data access plus separa-tion into tax-relevant and irrelevant docu-ments. In this context, process documenta-tion should not be forgotten. To the extentthat outside auditors themselves use suchsystems for direct and indirect access, evi-dence of proper processing, use, and op-eration will become ever more important.

27) PROJECT CONSULT, Newsletter 20070720, 2007 27) PROJECT CONSULT, Newsletter 20070720, 2007




17/44


Verfahrensdokumentation nach GoBS GoBS Verfahrensdokumentation

Die Anforderungen an eine Verfahrensdokumen-tation sind in den Grundstze ordnungsgemerDV-gesttzter Buchfhrungssysteme (GoBS)28)niedergelegt. Die GoBS selbst leiten sich ausdem Handelsgesetzbuch29) und der Abgaben-ordnung30) ab. Sie stellen quasi eine bertra-gung der Anforderungen, die ursprnglich freine papiergebundene Dokumentation gedachtwaren, in die elektronische Welt dar.

Requirements for process documentation arelaid down in GoBS (Basic Regulations for DP-supported Accounting Systems) 28), whichare derived from the German CommercialCode29) and Tax Procedure Act30). They rep-resent a kind of translation to the digitalworld of the requirements for paper-baseddocumentation.

In den GoBS wird die Behandlung aufbewah-rungspflichtiger Daten und Belege in elektroni-schen Buchfhrungssystemen sowie in revisi-onssicheren Dokumentenmanagement- undArchivsystemen geregelt. Die GoBS behandelndabei auch Verfahrenstechniken wie Scannenund Datenbernahme. Ein wesentlicher Kern-punkt ist das so genannte Interne Kontrollsys-tem (IKS). Die Verfahrensdokumentation mussalle Angaben zum Nachweis des ordnungsmi-gen Betriebes des Systemes beinhalten. AusHGB, AO und GoBS leiten sich auch die grund-stzlichen Anforderungen an die Dokumentationund Aufbewahrung ab:

The GoBS regulates the treatment in elec-tronic accounting systems of custodyworthydata and documents, and deals with processtechnologies such as scanning and data

transfer. A core point is the Internal ControlSystem (ICS). Process documentation mustcontain all information needed to demon-strate the proper operation of the system.From the German Commercial Code, the TaxProcedure Act, and the GoBS are derived thebasic requirements for documentation andpreservation:

Ordnungsmigkeit

Vollstndigkeit

Sicherheit des Gesamtverfahrens

Schutz vor Vernderung und Verflschung Sicherung vor Verlust

Nutzung nur durch Berechtigte

Einhaltung der Aufbewahrungsfristen

Dokumentation des Verfahrens

Nachvollziehbarkeit Prfbarkeit31)

Proper procecure

Completeness

Security of the overall process

Protection from editing and falsification Protection from loss

Use only by authorized persons

Mandated retention periods

Documentation of the process

Traceability Auditability 31)

Dokumentationspflichten ergeben sich jedochnicht nur fr den handelsrechtlichen und steuer-rechtlichen Bereich sondern gelten auch alleanderen Anwendungsgebiete, die gesetzlichoder regulativ betroffen sind. Die oben aufge-fhrten Grundstze aus dem Handelsrecht gel-ten so im Prinzip fr alle Compliance-relevantenAnforderungen.

Documentation is mandatory not just forcommercial law and tax-related matters, butfor all other areas touched on by legislationand regulations. The principles given abovefrom commercial law thus essentially applyto all compliance requirements.

28) GoBS Grundstze ordnungsmiger DV-gesttzter Buchfh-rungssysteme, 1995

29) HGB Handelsgesetzbuch, 239, 257

30) AO Abgabenordnung, 146, 147, 20031) PROJECT CONSULT, Artikel Verfahrensdokumentation

leicht gemacht, 2001

28) GoBS, Basic Regulations for DP-supported AccountingSystems, part of the German commercial laws, 1995

29) HGB, German Commercial Law 239, 257

30) AO Tax Procedure Act, 146, 147, 200

31) PROJECT CONSULT, article Verfahrensdokumentationleicht gemacht, 2001




18/44


sterreich und die Schweiz Austria and Switzerland

In sterreich sieht die Situation nicht viel an-ders aus als in Deutschland. Die Unterschiedeliegen nur im Detail. Dies ist darauf zurckzu-fhren, dass die wesentlichen Compliance-Anforderungen auf den europischen Richtlinienbasieren. Auch in sterreich ist analog zum BGBin Deutschland die elektronische Signatur ver-ankert, auch sterreich kennt im Handelsrechtund in der Abgabenordnung hnliche Be-stimmungen wie in Deutschland. Dies gilt z.B.fr die Aufbewahrung von elektronischen Infor-mationen in Bezug auf Vollstndigkeit, Inhalts-gleichheit, Geordnetheit und Urschriftstreue.Auch wenn die Bereithaltung von Daten zur

steuerlichen Prfung in sterreich in Listenformausreichend erscheint, ist die Forderung derAuswertbarkeit die Gleiche. Zur Vermeidung desUmsatzsteuerbetruges finden sich natrlich auchdie Regelungen zur elektronischen Rechnungwieder.

The situation in Austria does not differgreatly from that in Germany. The differ-ences are only in details. This is due to thefact that the basic compliance requirementsare based on the same European guide-lines. Like in Germany, in Austria the elec-tronic signature is legally binding, andcommercial and tax law provisions are simi-lar to those in Germany in matters such asdigital information storage completeness,identical nature of content, orderliness, andfaithfulness to the original. While it mayseem that in Austria data for tax auditsneed only be held in list form, the same

requirements apply in terms of interpretab-lity of data. To prevent VAT fraud, essen-tially the same rules apply to digital in-voices as in Germany.

Im Jahr 2007 wurde das UGB Unternehmensge-setzbuch32) in Kraft gesetzt, dass das bisherige-sterreichische HGB Handelsgesetzbuch ablst.Aus dem neuen UGB ergeben sich zahlreicheInformations- und Dokumentationspflichten Un-ter der berschrift Geschftspapiere und Be-stellscheine werden die Mindestangaben fest-

gelegt, die fr Geschftsbriefe und hnliche Do-kumente gelten. Es mssen die Firma, dieRechtsform und der Sitz sowie auch Firmen-buchnummer und Gericht angegeben werden.Die neuen Bestimmungen gelten nicht mehr nurfr Geschftspapiere und Bestellscheine, son-dern in Ergnzung zu den Bestimmungen desMedG33) auch fr E-Mails und Webseiten.

In 2007 the new Business Code32) cameinto force, replacing the former AustrianCommercial Code. The Business Code con-tains numerous requirements concerninginformation and documentation. The headerGeschftspapiere und Bestellscheine (Bu-siness Documents and Order Forms) lays

down the minimum information required forbusiness letters and similar documents company, legal form, office location, regis-try number and legal domicile. The newrules apply not just to business documentsand order forms, but also to e-mails andwebsites, supplementing the rules laiddown in the Media Law33).

32) UGB Unternehmensgesetzbuch, 200733) MedG Mediengesetz, 2005

32) UGB Business Code, 200733) MedG Media Law, 2005




19/44


Selbst die Schweiz hat als nicht EU-Mitglied in-zwischen die wesentlichen Gesetze und Verord-nungen an die europischen Vorgaben schrittwei-se angeglichen. Dies zeigt sich z.B. im Obliga-tionenrecht in den Bestimmungen ber die Buch-fhrung OR Art. 957ff, die die Aufbewahrung vonGeschftskorrespondenz, der Bcher und derBuchungsbelege in elektronischer Form regeln.

Switzerland, while not in the EU, has alsoaligned its laws and regulations with the EU

step by step. This is evident in the Code ofObligations in the rules for accounting, ORArt. 957ff, which regulate the retention ofbusiness correspondence, accounts, andaccounting records in digital form.

Ein wesentliches Dokument ist die GeBV34), Ge-schftsbcherverordnung bzw. die Verordnungber die Fhrung und Aufbewahrung der Ge-schftsbcher.

The GeBV34), the law governing the main-tenance and retention of accounts, is a keydocument.

Die GeBV legt fest, wie die Geschftsunterla-gen gefhrt und aufbewahrt werden mssen

The GeBV mandates which businessdocuments must be kept and retained.

Die GeBV beinhaltet die Grundstze der ord-

nungsgemssen Buchfhrung sowie dieGrundstze der ordnungsgemssen Datenver-arbeitung bei elektronisch oder in vergleichba-rer Weise gefhrten Bchern

The GeBV contains the principles of or-

derly accounting and data processing ofdigital or similarly kept accounts.

Die GeBV hlt die Anforderungen an Integri-tt, zulssige unvernderbare Speichermedienund andere Spezfikationen mit Compliance-Relevanz fest

The GeBV contains requirements con-cerning data integrity, permissible edit-proof storage media, and other coompli-ance-relevant specifications.

Weitere Gesetze regeln sehr dediziert und mitHinweisen auf geeignete Speichertechnologienund elektronische Signatur die Dokumentations-und Aufbewahrugnspflichten auch auerhalb des

Handelsrechtes.

Other dedicated laws regulate documenta-tion custodyworthiness and retention peri-ods, and refer to suitable storage technolo-gies and to electronic signatures, including

outside the context of commercial law.

Angesichts des Zusammenwachsens der europi-schen Union und ihrer Mitgliedsstaaten wirddurch den grenzberschreitenden Geschftsver-kehr und ber das Internet abrufbare elektroni-sche Dienstleistungen ein einheitlicher Rechts-raum insbesondere im Handels- und Steuerrechtunerlsslich. Dementsprechend werden sich auchdie daraus abgeleiteten Compliance-Anforde-rungen immer einheitlicher und europaweit aus-greifender gestalten.

As the European Union member states be-come more tightly integrated, the growth ofcross-border business and electronic ser-vices over the Internet makes a uniformlegal space indispensable, particularly asconcerns commercial and tax law. Accord-ingly, the resulting compliance requirementsare becoming ever more similar acrossEurope.

34)Verordnung ber die Fhrung und Aufbewahrung der Ge-schftsbcher (GeBV Geschftsbcherverordnung)

34)GeBV law governing the maintenance and retentionof accounts




20/44


Branchenspezifische Regularien Industry-Specific Regulations

Neben den Richtlinien, die fr alle Unternehmen,Organisationen, Behrden und Personen gleich-maen gelten, gibt es zahlreiche spezielle Rege-lungen fr bestimmte Branchen, die ffentlicheVerwaltung und Geschftsttigkeitsgebiete. Hier-bei gibt es internationale wie auch nationale Re-gelungen.

In addition to guidelines that apply equallyto all companies, organizations, authorities,and persons, there are numerous specialregulations for individual industries, gov-ernment administration, and business areas.These can be national as well as interna-tional.

So ist die FDA Food and Drug Administration35)aus den USA, mit ihren bindenden Regularien frdie Herstellung von Lebensmitteln, Pharmazeuti-ka und Medikamenten auch ber die Grenzen derVereinigten Staaten zu beachten. Bei der Bean-tragung eines neuen Medikamentes, mit Vorlagevon allen Testnachweisen und Produktions-

verfahren, hat sich die Anschaffung eines Doku-mentenmanagementsystems meistens bereitsgelohnt. die FDA-Kriterien, auch abgekrzt unterFDA Part 1136) bekannt. Um Herstellungsmetho-den zu standardisieren hat die FDA ein Regelwerkmit der Bezeichnung CGMP37) herausgebracht.Eine grundstzliche Forderung der FDA ist, dasselektronische Aufzeichnungen quivalent zu Pa-pieraufzeichnungen sind und elektronische Unter-schriften die gleiche Aussagekraft und Eindeutig-keit wie handgeschriebene Unterschriften haben.Auf europische Ebene sind die entsprechendenRegualarien als GxP38) mit den Teilen GSP und

GMP

39)

einzuhalten.

Thus, the US Food and Drug Administra-tion35) (FDA), with its binding regulationsconcerning pharmaceuticals and medica-tions, has effects beyond the borders of theUnited States. A document managementsystem usually pays for itself just in apply-ing for a permit for a new medication, for

providing all documentation on tests andproduction processes to FDA criteria, abbre-viated as FDA Part 1136). To standardizemanufacturing methods, the FDA hasbrought out a regulation called CGMP37). Oneof the FDAs basic requirements is that digi-tal records be equivalent to paper records,and that electronic signatures have thesame significance and uniqueness as hand-written signatures. The corresponding regu-lations at the European level are GxP38) withthe GSP and GMP39) sections.

Den Gesundheitssektor in den USA reguliertHIPAA40). Das Ziel von HiPAA ist die Vordergrundsteht die Reformierung der Gesundheitspflege-Industrie. Die Gesetzgebung strebt nach grererWirtschaftlichkeit, Verringerung von Schreib-arbeiten und einfacher Identifizierung und Wei-terverfolgung von Betrug durch die Auferlegungvon unterschiedlichen Normen und Sicherheits-manahmen gegen den Missbrauch von gesund-heitsbezogenen Angaben des Brgers. HIPAAbeinhaltet so zahlreiche Dokumentations- undVertraulichkeitsanforderungen.

In the US, the HIPAA40)regulates the healthindustry. HIPAAs primary goal is health in-dustry reform, and legislation aims atgreater economy, reduction in paperwork,and simpler identification and tracing offraud by mandating standards and safetymeasures to combat the misuse of citizenshealth information. Thus, HIPAA containsnumerous documentation and confidentialityrequirements.

35) U.S. Food and Drug Administration36) U.S. Food and Drug Administration, Federal Register Part II,

21 CFR Part 11; allgemein als FDA-Richtlinie bekannt37) U.S. Food and Drug Administration , Current Good Manufac-

turing Practices38) Zusammenstellung der guten Arbeitspraxis fr die Phar-

mabranche mit GLP, GSP, GMP39) Good Storage Practice und Good Manufacturing Practice40) United States Department of Health & Human Services,

Office for Civil Rights, Health Insurance Portability and Ac-countability Act

35) U.S. Food and Drug Administration36) U.S. Food and Drug Administration, Federal Register

Part II, 21 CFR Part 1137) U.S. Food and Drug Administration , Current Good

Manufacturing Practices38) Compilation of Good practices containing GLP, GSP,

GMP39) Good Storage Practice and Good Manufacturing

Practice40) United States Department of Health & Human Ser-

vices, Office for Civil Rights, Health Insurance Portabil-ity and Ac-countability Act




21/44


Aus den USA kommt auch der defacto Standardfr das Records Management: DoD 5015.241) im

militrischen Umfeld. Der Standard des Departe-ment of Defense definiert die grundstzlichenAnforderungen an Dokumenten-Management undRecords-Management-Systeme. Die Einhaltungder Standards ist fr alle Hersteller erforderlich,die fr die Bundesverwaltung in den USA im mili-trischen und angrenzenden Bereich anbietenwollen.

The de-facto standard for records manage-ment comes from the US, DOD 5015.241) for

military contexts. This Department of De-fense standard defines the basic require-ments for document and records manage-ment systems. This standard must be ad-hered to by all manufacturers hoping to sellto the US government in military and quasi-military areas.

Ein Beispiel fr einen detaillierten Standard frden Einsatz elektronischer Vorgangsbearbeit-tungssysteme ist das deutsche DOMEA-Konzept42)DOMEA beschreibt die Anforderungen an das Do-kumentenmanagement und elektronische Archi-

vierung in der ffentlichen Verwaltung und er-mglicht auch die Prfung und Zertifizierung vonetsprechenden Produkten. DOMEA-Compliance istbei vielen Ausschreibungen eine Anforderung.Wesentliches Ziel des DOMEA-Konzeptes ist dieEinfhrung der elektronischen Akte. Da fr diesedie gleichen Gesetze, Geschftsordnungen, Richt-linien und Vorschriften wie fr Papierakten gel-ten, mssen behrdliche Geschftsprozesse, Vor-gangsbearbeitung und Archivierung vollstndig inkonforme IT-Prozesse berfhrt werden. DasDOMEA-Konzept liefert dafr Richtlinien, ist abertrotz seiner weiten Verbreitung und der Mglich-keit der Zertifizierung kein genormter Standard.

The German DOMEA concept42) is a goodexample of a detailed standard for digitalprocess management systems. DOMEA dis-cribes the requirements for document man-agement and electronic archiving in public

administration, and permits the testing andcertification of products in this area. DOMEAcompliance is a requirement in many RFPs.The fundamental objective of DOMEA is theintroduction of the virtual folder. Since thesame laws, business regulations, guidelines,and requirements exist for these as for pa-per folders, official processes, procedures,and archiving must be transferred to fullyconformant IT processes. The DOMEA con-cept supplies guidelines for this, but despiteits widespread use and certificability, it isnot an official standard.

41) Department of Defense, Electronic records managementsoftware applications design criteria standard, 2007, allge-mein als DoD 5015.2 bekannt

42) DOMEA Dokumenten-Management und elektronische Archi-vierung. Aktuell DOMEA Version 2

41) Department of Defense, Electronic records manage-ment software applications design criteria standard,2007, generically referred to as DoD 5015.2

42) DOMEA document management and electronic archiv-ing. Current Version is DOMEA Version 2




22/44


Corporate Governance 3 Corporate Governance

Information Management Compliance darfnicht isoliert betrachtet werden. Compliancemuss Bestandteil der Corporate Governancedes Unternehmens und stndiger Begleiteraller Prozesse werden. 43)

Information Management Compliancecannot be seen in isolation. Compliancemust become part of Corporate Govern-ance and an integral part of all proc-esses.43)

Hinter Schlagworten wie Corporate Governance,Enterprise Information Policy oder Records Ma-nagement Policy und Projekten zur Erarbeitungund Einfhrung solcher Regelwerke verbergensich auch viele Anstze zur Lsung von Compli-ance-Anforderungen.

Behind terms like corporate governance,enterprise information policy or records ma-nagement policy, and projects for the im-plementation of such policies, are many ap-proaches to meeting compliance require-ments.

Corporate Governance beinhaltet die rechtlichenund institutionellen Rahmenbedingungen, diemittelbar oder unmittelbar Einfluss auf die Fh-rungsentscheidungen eines Unternehmens undsomit auf den Unternehmenserfolg haben.

Corporate governance covers the legal andinstitutional framework, which have proxi-mate or immediate influence on manage-ment decisions and thus company success.

Der Ursprung fr Corporate Governance liegtbereits in den 30er Jahren, als man sich ver-strkt Gedanken ber die Rechte der Aktionremachte.

The origins of corporate governance in thissense lie in the 30s, with the goal ofstrengthening shareholders rights.

Corporate Governance Richtlinien Corporate Governance Guidelines

International wurden Corporate Governancedurch die OECD in Gestalt der Principles of

Corporate Governance 1984 verankert und2004 aktualisier.t44)

Internationally, corporate governanceprinciples were laid down in 1984 by the

OECD in the form of Principles of Corpo-rate Governance, and updated in2004.44)

Die Europische Kommission hat im Jahr2004 ein European Corporate GovernanceForum45) als Beratungsgremium eingerichtet,ohne jedoch bisher eine verbindliche Richtli-nie herauszugeben.

In 2004 the European Commission cre-ated a European Corporate GovernanceForum45) as an advisory body, whichhowever has not resulted in a bindingguideline as yet.

In Deutschland hat das Bundesministeriumder Justiz im Jahr 2002 den Corporate-Governance-Kodex verffentlicht. Dieser hatAuswirkungen auf die UnternahmensgesetzeKonTraG und UMAG sowie auf das Handels-und Steuerrecht und auf den Verbraucher-schutz. 46)

In Germany, the Federal Justice Ministrypublished the Corporate Governance Codein 2002. This has consequences for thecorporate laws KonTraG and UMAG, aswell as commercal and tax law, and con-sumer protection.46)

43) Ulrich Kampffmeyer, IMC Information Management Compli-ance Policies und ihre Umsetzung. 2006

44) OECD Principles of Corporate Governance, 200445) Europische Kommission, European Corporate Governance

Forum, 200446) DCGK Deutscher Corporate Governance Kodex, 2002

43) Ulrich Kampffmeyer, IMC Information ManagementCompliance Policies und ihre Umsetzung. 2006

44) OECD Principles of Corporate Governance, 2004

45) European Commission, European Corporate Governan-ce Forum, 2004

46) DCGK German Corporate Governance Code, 2002




23/44


In sterreich gibt es den CGK sterreichi-schen Corporate Governance Kodex, der im

Jahr 2002 verffentlicht wurde und sich anden internationalen Vorgaben orientiert.

In Austria there is the CGK, the AustrianCorporate Governance Code, published in

2002. This follows international prece-dents.

In der Schweiz gibt es nur einen freiwilligenSwiss Code of Best Practice aus dem Jahr2002.

In Switzerland there is only a volutarySwiss Code of Best Practice from 2002.

Compliance und Information Management Com-pliance mssen in der Corporate Governanceverankert sein. Corporate Governance undCompliance mssen auch die Umsetzung vonProzessen und die Aufbewahrung von Dokumen-ten bercksichtigen und entsprechende Vorga-ben fr die IT-Strategie machen und deren Um-setzung berprfen.

Compliance and information managementcompliance must be anchored in corporategovernance. Corporate governance andcompliance must take into account the im-plementation of processes and retention ofdocuments, create requirements for IT stra-tegies, and monitor their implementation.

Risiko-Management Risk Management

Wrde man alle nur denkbaren und eine spezifi-sche Situation betreffenden Compliance-An-forderungen im Unternehmen vollstndig um-setzen und durch technische Systeme unterstt-zen wollen, kme die Geschftsttigkeit zumErliegen. Risiko-Management ist daher ein wich-tiger Bestandteil von Corporate Governance undInformation Management Compliance.

A company that tried to account for all imag-inable compliance requirements in a specificsituation, and support it with technical sys-tems, would come to a standstill. Risk man-agement is therefore an important elementin corporate governance und informationmanagement compliance.

Die Risiken mssen erhoben, aufbereitet und

bewertet werden. Manahmen zur Vermeidungder Risiken und zur Einhaltung der relevantenCompliance-Anforderungen sind zu treffen. Da-bei obliegt es der Geschftsfhrung bzw. demVorstand eines Unternehmens die Verantwor-tung fr den Umfang der Manahmen und derenEinhaltung zu bernehmen. Entsprechend Cor-porate Governance und Unternehmensgesetzenist dies auch genau die Aufgabe der fr die Ge-schftsttigkeit verantwortlichen Personen undGremien. Diese Verantwortung schliet heutebei Aktiengesellschaften auch den Aufsichtsratein.

Risks must be assessed and evaluated, and

action taken to prevent them and meet rele-vant compliance requirements. Managementmust take responsibility for the extent ofaction planned and taken. According to cor-porate governance and business law, this isthe job of the people and committees re-sponsible for a business. This includes thesupervisory board of joint stock corporations.

In Bezug auf eine Information Management Po-licy sind dabei nicht nur die technischen Risikenzu betrachten sondern auch diejenigen Risiken,die sich aus der Nutzung und dem Betrieb derSysteme, den Prozessen und aus dem Ausbil-dungsstand der Mitarbeiter ergeben.

In terms of an information management pol-icy, not just the technological risks must betaken into consideration, but also the risksarising from the use and operation of thesystems, the processes, and the traininglevels of employees.




24/44


Zu den technischen Risiken gehren die Ver-fgbarkeit der Systeme, der Schutz vor un-

berechtigter Nutzung oder Lschung von Da-ten, Wiederanlauf und Recovery, Richtigkeitder Daten, Backup und Katastrophenschutz,Zugang, Konsistenz und Integritt der Da-tenbestnde, Kompatibilitt der eingesetztenSoftwarestnde, Virenschutz, Transaktionssi-cherheit, Ausfallsicherheit und Systemausle-gung, Datenschutz und Datensicherheit so-wie die fehlerfreie Ablauffhigkeit der Soft-waresysteme.

Technological risks include system avail-ability, protection from unauthorized use

or deletion of data, restarting and recov-ery, correctness of data, backup and ca-tastrophe protection, access, consistencyand integrity of data, software compatibil-ity, virus protection, transaction security,protection from downtime, system de-sign, data protection, data security, andthe fault-free running of software.

Zu den organisatorischen Risiken zhlen Be-rechtigungsstrukturen, Ausbildungstnde derMitarbeiter, Betreuung der Systeme und Mit-

arbeiter, durchgngige Prozesse, Zustndig-keiten und Verantwortlichkeiten, korrekteund aktuelle Arbeitsanweisungen, fehlendesBewusstsein fr den Wert von Informationund andere aufbauorganisations-, prozess-und personenbezogene Kriterien.

Organizational risks include authorizationstructures, employee training levels, sys-tem and employee support, consistent

processes, responsibilities, correct andupdated work instructions, understandingof the value of information, and other or-ganizational, procedural, and person-related criteria.

Eine Information Management Compliance Poli-cy muss allen Faktoren der Informationsentste-hung, -verarbeitung, -verwaltung, -nutzung und-speicherung bercksichtigen und in die Corpo-rate Governance Richtlien des Unternehmens

nahtlos integrieren.

An information management compliancepolicy must consider all factors in informa-tion origin, processing, administration, use,and storage, and integrate them seamlesslyinto the companys corporate governance

guidelines.




25/44


Information Management

Compliance Policy

4 Information Management

Compliance Po licyPolicies und Richtlinien haben nur dann ei-nen Nutzen, wenn sie nachgehalten undbefolgt werden. Elektronische Systemeknnen hierbei effektiv untersttzen unddie Nachvollziehbarkeit von Geschftsgn-gen besser dokumentieren als dies je einMen