Document Compliance Management - Lückenlose Sicherheit beim Umgang mit vertraulichen digitalen Dokumenten

WhITEPAPER Document Compliance Management Lückenlose Sicherheit beim Umgang mit vertraulichen digitalen Dokumenten Anwendungsbeispiele DCM Zentrale geschäftliche Aktivitäten, bei denen es um viel Geld und manchmal › Finanzen um die Existenz eines Unternehmens geht, beziehen in aller Regel viele · Interne Revision Personen ein, die nicht oder nicht direkt dem Unternehmen angehören. Das · Quartals- und Jahresberichte können Aufsichtsräte oder externe Berater sein, Partner, die an einem Joint · Investor Relations Venture interessiert sind und immer öfter staatliche Regulierungsbehörden. Die für diese Geschäftsprozesse relevanten digitalen Dokumente können › Rechtsabteilung nicht hinter den Firewall-Systemen des Unternehmens gehalten werden, · Vertragsmanagement · Patentrecht sondern müssen auf sichere Art unter den berechtigten Personen zirkulie- · Rechtsprüfung ren können. › M&A Viele bekannte Sicherheitsmaßnahmen wie Verschlüsselung während des · Pre-Due Diligence Datentransports und auf den verschiedenen Speichermedien sowie unter- · Due Diligence nehmensweite Digital-Rights-Management Systeme sind lediglich Teilkom- · Post-Merger Integration ponenten eines umfassenden und ganzheitlich konzipierten Document › Einkauf Compliance Management (DCM), das für die heutige Unternehmensdy- · Ausschreibungen namik mit ihrem ausgeprägten »Extranet-Charakter« ausgelegt ist. · Lieferantenbeziehungen › Personalabteilung · Personalakte · Personalentwicklung Hochsicherheitstrakt für vertrauliche Idealer Weise ist ein DCM-System · Recruitment digitale Dokumente als Software-as-a-Service-Lösung DCM-Systeme benötigen auf der realisiert. Es ist von jedem Basis einer speziellen IT-Infrastruktur Arbeitsplatz aus erreichbar und eine Art digitalen hochsicherheits- arbeitet ohne das Aufspielen von Speichermedien abgelegt und trakt, in dem allen Zugangsberech- Client-Software. Die Schlüsselver- werden über digitale Netze ausge- tigten vertrauliche Dokumente waltung ist so organisiert, dass tauscht. Digitale Dokumente haben gemäß ihrem jeweiligen Rechtestatus niemand, insbesondere auch nicht Papierdokumente in vielen Bereichen zugänglich sind. Dieser hochsicher- das IT-Personal des Unternehmens, abgelöst. Durch Dokumenten- und heitstrakt für Dokumente muss Einblick und Zugriff hat. Die Content Management Systeme problemlos über einen Web-Browser Verwaltung eines Generalschlüssels lassen sich die digitalen Akten in durch Endanwender z.B. aus der für das Notfallmanagement ist auf vielfältiger Weise auswerten und Vorstands- oder Geschäftsführungs- mehrere Personen, von denen jeder mit anderen Dokumenten abglei- ebene bedient werden können. nur einen Teil dieses Schlüssels chen und verknüpfen. Viele der besitzt, aufgeteilt. Möglichkeiten, die digitale Doku- Das ideale DCM-System deckt mente bieten, wären mit Papier- den gesamten Lebenszyklus eines akten nicht oder nur mit immensem Dokuments – vom Anlegen bis zum 1. Die Problemstellung Zeitaufwand möglich. Löschen – lückenlos ab. Ein Doku- Die Arbeitsabläufe bei Behörden ment ist folglich auch dann noch und Unternehmen sind heute schon unter der Kontrolle des Systems, weitgehend durch digitale Infra- wenn es am Arbeitsplatz angezeigt, strukturen geprägt. Nachrichten gespeichert oder bearbeitet wird. und Dokumente sind auf digitalen Whitepaper – Document Compliance Management 2/6 Durch digitales Dokumentenmana- Solche Systeme müssen vertrauliche 2. Die Anforderungen im Kontext gement und dessen Einbindung in Dokumente von ihrer Entstehung Die vernetzten Arbeits- und die geschäftlichen Workflows bis zur Archivierung oder Löschung Geschäftsstrukturen der Gegenwart werden indes nicht nur die Verar- begleiten, ohne dass innerhalb sind mit dem klassischen statischen beitungsmöglichkeiten erweitert, dieses »Lebenszyklus« auch nur die Unternehmensbegriff nicht mehr sondern es werden vor allem auch geringste Lücke in den Sicherheits- voll zu erfassen. Unternehmen sind die Entscheidungsprozesse erheblich maßnahmen auftritt. Ebenso ist lü- heute in größere Beziehungsge- beschleunigt. Ganz gleich, ob es ckenlos zu dokumentieren, wer flechte integriert. Das können sich um die Vorbereitung von wann diese Dokumente eingesehen, hersteller-Zulieferer-Netzwerke Firmenkäufen, um Abstimmungs- verschickt oder verändert hat. wie beispielsweise in der Automobil- prozesse im Vorfeld von haupt- und Luftfahrtindustrie sein oder versammlungen oder den Schutz Ein solcher Anforderungskatalog auch die regelmäßige Interaktion geistigen Eigentums, z. B. von für den durchgängigen Schutz zwischen staatlichen Überwachungs- vertraulichen Konstruktionsdaten vertraulicher Dokumente und die behörden und Unternehmen, wie für Maschinen oder von Rezepturen komplette und unveränderbare sie besonders im Finanz- oder auch und Testergebnissen für Pharmaka Dokumentation aller Zwischenstände im Pharma- und Biotechnologie- handelt: Die betreffenden Informa- und Zugriffe wird zunehmend bereich zu finden ist. tionen müssen in Sekundenschnelle unter dem Begriff Document zwischen den beteiligten Personen Compliance Management (DCM) »Innen« und »Außen« verschwim- ausgetauscht oder auch gemeinsam diskutiert. men also zunehmend bei der Orga- bearbeitet werden können. nisation unserer Geschäftswelt. So Für ein umfassendes Document ist schon der Aufsichtsrat einer Bei diesen digitalen Abläufen und Compliance Management bieten Aktiengesellschaft sowohl »außen« Kooperationen muss zu jedem Zeit- bekannte Sicherheitstechniken wie als auch »innen«, ganz zu schweigen punkt und an jeder Stelle des Verschlüsselung der Ablage der Do- von zeitlich begrenzten Projekt- Prozesses sicher gestellt sein, dass kumente (Festplatte und Massen- teams, die sich bei Fusionsverhand- die Dokumente nur für jeweils speichersysteme) beziehungsweise lungen bilden, oder bei partiellen berechtigte Personen einsehbar, der Transportstrecken (E-Mail- und Joint Ventures zwischen Konkurren- versendbar, kopierbar oder verän- Dateiübertragungsstrecken im In- ten, wie sie etwa bei Automobil- derbar sind. Angesichts der Brisanz ternet) keine hinreichende Gewähr. bauern vorkommen. der Dokumente dürfen diese für Ebenso sind Digital-Rights-Manage- Unbefugte – und das sind in diesem ment-Systeme nur eine (wenn auch Fall auch die eigenen IT-Systemad- sehr wichtige) Teilkomponente ei- ministratoren – in unverschlüsselter nes ganzheitlich angelegten DCM, Form nicht zugänglich sein. das allen gesetzlichen und innerbe- trieblichen Vorgaben entspricht Das ist durch entsprechende Ver- (Details siehe Abschnitt 5). fahren und Kontrollsysteme zu gewährleisten, wobei die dies- Mit anderen Worten: Für ein durch- bezüglichen Regeln die gesetzlich gängiges Document Compliance vorgeschriebenen Vorsorge- und Management, also den korrekten Sorgfaltspflichten ebenso umfassen Umgang mit Dokumenten, die aus wie branchenspezifische Normen unternehmerischen oder gesetzli- wie etwa die Sicherheitsvorschriften chen Gründen besonders geschützt der Kreditkartenherausgeber. werden müssen, ist eine völlig neue Lösungsarchitektur notwendig.