3rd Mind Business Consulting

DIE DREI COMPLIANCE ASPEKTE

1. Die Auflagen (§§)
   Zunächst sollten die entsprechenden Richtlinien für Ihr Unternehmen auf die technologische und betriebswirtschaftliche Umsetzung analysiert und die sinnvollste Herangehensweise ermittelt werden. In einer strategische Roadmap zur Realisierung und Implementierung werden die notwendigen Schritte für Ihr Unternehmen festgehalten.
   
   
2. Die Technologie (IT)
   Anhand der o.g. Erkenntnisse und den konkreten Anforderungen sollten herstellerneutral sinnvolle und zukunftsweisende technologische Lösungsbestandteile eruiert werden. Die speziell auf Ihr Unternehmen und Ihre Anforderungen zugeschnittenen Konzeptionen zur technischen Realisierung des Projekts wären der zweite Schritt.
   
   
3. Die Ökonomie (€)
   Danach sollte die unmittelbare Umgebung sowie die Auswirkungen der Richtlinien auf Geschäftsprozess-Ebene untersucht und alle Aspekte beleuchtet werden, die durch die Auflage sowie deren Erfüllung beeinflusst werden könnten. Eine Prozess- und Organisationsanalyse sowie eine Empfehlung einer der oben genannten Konzeptionen zur Erfüllung unter betriebswirtschaftlichen Gesichtspunkten wäre dann der letzte vorbereitende Schritt.

WAS IST MIT DEN SPEICHERMEDIEN

Zusätzlich sollten Migrationsstrategien entwickelt werden, die beim Wechsel auf neue Technologien oder Hersteller die Lesbarkeit wie auch die Regelkonformität sicherstellen. Es gibt beispielsweise Garantien zur Lesbarkeit von Datenträgern, bei CD / DVD ca. 25-30 Jahre. Doch wer garantiert, dass es in 25-30 Jahren noch Laufwerke gibt, die diese Medien noch lesen können? Gleiches gilt für (WORM-) Tapes, da diese in der Regel nur zwei Generationen abwärtskompatibel sind und somit ca. alle 5-7 Jahre migriert werden müssten.

WAS IST COMPLIANCE?

So macht es wenig Sinn, in ein Langzeitarchiv zu investieren, ohne eine passende (Langzeit-) Migrationsstrategie zu haben. Die Forschung an neuen Speichermedien bringt bereits erste marktreife Produkte hervor: das Comeback der Mechanik-freien Chip-Technologie SSD (Solid State Disk). Aber auch andere Entwicklungen sind bereits sehr weit fortgeschritten, genannt seien nur Kristalliner Speicher (z.B. Fe-RAM), Holographie und Photoadressierbares Polymer (PAP). Es werden also voraussichtlich in den kommenden drei bis fünf Jahren neue Medien auf den Markt kommen, welche mittel- bis langfristig die bestehende Magnettechnologie (Disk, Tape) ablösen können. Dies sollte bedacht werden, wenn ein (Compliance-) Archiv etabliert wird. Man sollte immer die aktuelle Forschung - auch auf Applikationsseite - beobachten.

TCO & ROI - BEI IT-COMPLIANCE MÖGLICH?

Auflagen und Regeln zu erfüllen mag für manche „lästig“ sein und nur als pure Geldverschwendung erscheinen. Man kommt aber nicht erst durch die Verschärfung des Steuerrechts nicht mehr daran vorbei. Hier am falschen Ende zu sparen, kann schwerwiegende (finanzielle) Folgen, Reputationsverlust und Schlimmeres nach sich ziehen.

Um auf der Compliance-Skala möglichst weit in Richtung 100 Prozent zu kommen, braucht es aber keine schweren, noch umfangreiche Investitionen in die IT-Infrastruktur, es muss eine wirkungsvolle, zukunftssichere und revisionssichere (noch besser, wenn auch aufwändiger: rechtssichere) Architektur geschaffen werden, in der alle nicht-veränderbaren Informationen zugriffssicher abgelegt werden können.

Compliance-Archive als Stand-alone Lösung sind zwar von der Auflagenseite her zielführend und technologisch einfach zu realisieren, betriebswirtschaftlich aber nicht in jedem Fall sinnvoll.

Warum nicht ein zentrales (Wissens-) Archiv im Unternehmen etablieren, das ebenfalls - zugangsgesteuert - die nicht-veränderbaren Informationen beinhalten kann? In diesem Moment würden die positiven betriebswirtschaftlichen Aspekte einer Einführung sichtbar.

DIE FALLSTRICKE SIND ES!

Dazu gehört das beliebte - aber auch "gefürchtete" - Thema E-Mail-Archivierung. Was technologisch seit Jahren relativ einfach zu realisieren ist, bietet genügend juristische und andere Fallstricke. Neben den teils unklaren Auflagen des Gesetzgebers (z.B. im HGB, AO, GDPdU usw.) gibt es auch höchstrichterliche Entscheidungen, welche die Situation noch verschärfen.

So wurde z.B. auf Basis des TKG (Telekommunikationsgesetz) in Verbindung mit dem StGB (Strafgesetzbuch) das Scannen von ausgehenden privaten Emails im Unternehmen grundsätzlich verboten. Ein Lösungsweg dazu wäre, das E-Mail-Archivierungsprojekt "Betriebsratskompatibel" zu machen. Dies ist aber nur eine Klippe, die umschifft werden muss. Es ist z.B. auch ausschlaggebend, wann exakt eine E-Mail ins Archiv wandert (bzw. „darf“): bereits auf dem Mail-Server, erst im Posteingang der User etc.

Also doch lieber die Finger davon lassen? Manche versuchen es auf diesem Weg, es ist aber klar, dass das nicht allzu lange gut gehen wird. Die Verschärfung des Steuerrechts letztes Jahr, gezielte Audits und Prozesse bei Haftungsfragen erhöhen das Risiko für die Verantwortungsträger immens.

UND DIE (JURISTISCHE) VERANTWORTUNG?

Diese hat zunächst immer die Geschäftsleitung, die in besonderen Fällen persönlich in die Haftung genommen wird. Man kann zwar vieles delegieren, auch zu Dienstleistern für Outsourcing/-Tasking, man kann das monetäre Haftungsrisiko durch Einbau von Pönalen verringern. Eines lässt sich aber nicht delegieren: die Verantwortung (siehe z.B. AktG, GmbHG, KonTraG, AO etc.).

IT-Compliance ist also nach wie vor ein sehr dynamisches Thema, das weder von der reinen Auflagenseite her, noch von der Technologie und schon gar nicht durch reine „Excel-Sheet-Betrachtung“ gelöst werden kann. Das macht es aber auch so spannend!

Compliance ist notwendig und mit einer intelligenten Strategie sogar nutzbringend in eine bestehende IT-Infrastruktur und somit in die Geschäftsprozesse zu integrieren. Auf die Herangehensweise kommt es an und darauf, Compliance nicht als „lästig“, sondern als hilfreich zu betrachten. Wer sagt denn, dass Compliance nicht auch zusätzliche Sicherheit, Vereinfachung im Arbeitsablauf oder gar Produktivitätssteigerungen bringen kann?