Geschäftsbrief als E-Mail & Compliance

PROJECT CONSULT 20100730 NEWSLETTER „Compliance“ Artikel E-Mail & Compliance Der Begriff Compliance hat sich als Schlagwort auch im IT-Umfeld eingebürgert. Besonders seitdem es in Artikel von Dr. Ulrich Kampffmeyer, Geschäftsführer der den USA eine Reihe von Prozessen und neuen Geset- PROJECT CONSULT Unternehmensberatung GmbH, zen wie dem SOA Sarbanes-Oxley-Act gegeben hat, Ulrich.Kampffmeyer@PROJECT-CONSULT.com sind die Schlagworte „E-Mail-Archivierung“ und „E- Discovery“ als Markttreiber für die Enterprise- E-Mail als Geschäftsbrief Content-Management-Branche vielfach in Gebrauch gekommen. Inzwischen werden ganze IT- E-Mail hat unser Leben verändert. Die schnelle Kom- Architekturen und Softwaresysteme als „GRC munikation mittels E-Mail hat Schreibstil und Qualität Governance, Risk Management & Compliance“ Infra- unserer Nachrichten umgekrempelt, den Zeittakt der strukturen ausgelegt. Allerdings gibt es für den eng- Beantwortung drastisch erhöht, den sauber formulier- lischsprachigen Begriff „Compliance“ keine sinnvolle ten Brief auf Papier nahezu verdrängt, und mit der deutsche „Ein-Wort-Übersetzung“, man benötigt schon Möglichkeit, gleichzeitig an beliebige und beliebig vie- einen ganzen Satz: le Adressaten die Nachricht zu versenden, zur digita- len Flut geführt. Die Verwendung von E-Mails hat den „Compliance ist die Übereinstimmung mit und Erfüllung Kommunikationsfluss innerhalb der Unternehmen und von rechtlichen und regulativen Vorgaben“ zwischen Geschäftspartnern aber auch wesentlich er- Betrachtet man die einzelnen Komponenten dieser leichtert. Informationen erreichen die Empfänger sehr deutschsprachigen Definition, dann werden unter- schnell, auch wenn diese gerade nicht erreichbar sind. schiedliche Aspekte von Compliance deutlich. Große Empfängergruppen können einfach mit Infor- mationen in Form von Dateianlagen auch weltweit x „Übereinstimmung“ versorgt werden, die Weiterleitung passiert in Sekun- Zum ersten wird vorausgesetzt, dass es nachlesbare, denschnelle. Diese Vorteile führten zu einer ständig definierte, offizielle Vorgaben gibt, die die Regeln ent- wachsenden Zunahme des E-Mailverkehrs und zur halten, was zu tun ist. Hier ist „Übereinstimmung“ ge- gleichzeitigen Notwendigkeit den E-Mail-Verkehr fordert, ohne dass die Regeln meistens eine technische fachlich zu organisieren und technisch zu managen. Vorgabe enthalten, wie die Anforderung umzusetzen Die Speicherung von E-Mails in eigenständigen Syste- ist. Dies ist auch sinnvoll, da sich solche Vorgaben men begann ein Eigenleben neben Datenbanken, Da- nicht an einer Technologie festmachen sollten, die in teisystemen und den Speichern von Anwendungssys- ein paar Jahren schon wieder obsolet ist. temen zu führen. Der Medienbruch zwischen Papier und Elektronik fand sich so auf einem Mal auch in den x „Erfüllung“ verschiedenen elektronischen Systemen wieder. Der Begriff „Erfüllung“ impliziert zweierlei: Einmal, E-Mail ist das vorherrschende Medium für die schnelle dass die Anforderungen in einer Lösung umgesetzt Kommunikation im Geschäftsleben geworden. E-Mails werden müssen, und zum Zweiten, dass dies ein Pro- sind immer dann Geschäftsbriefe wenn es um geschäft- zess ist, keine einmalige Aktion. Das Unternehmen liche, handelsrechtliche oder steuerlich relevante Inhal- oder die Organisation muss kontinuierlich für die Ein- te geht. Alle E-Mails mit geschäftsrelevanten Informa- haltung der Vorgaben Sorge tragen. „Erfüllung“ geht tionen, sei es im E-Mail, sei es im Attachement oder sei dabei meistens über eine rein technische Lösung hin- es die Information hinter einem eingebetteten Link, aus und beinhaltet auch organisatorische und Mana- sind Handelsbriefe und damit aufbewahrungspflichtig. gement-Aspekte. Das Stichwort Aufbewahrungspflicht hat die Archivie- x „Rechtliche Vorgaben“ rungsbranche zum Anlass genommen, spezielle Lö- Hierbei handelt es sich um Gesetze oder behördliche sungen für E-Mail-Archivierung zu entwickeln. Gefor- Verordnungen, die bestimmte Unternehmen, Organi- dert sind aber das E-Mail-Management und die Er- sationen oder Personen verpflichten, die jeweils aufge- schließung der Information im Zusammenhang des führten Regelungen ein-zuhalten. Hier kann man sich Geschäftsgangs. Besonders durch das Thema Informa- auch nicht um die Erfüllung „drücken“, lediglich in tion Management Compliance getrieben schnellen die Hinblick auf Auslegung, Umfang und Umsetzungs- Verkaufszahlen einschlägiger Anbieter von E-Mail- weise besteht Handlungsspielraum. Archivierungssoftware hoch und zwingen damit, die Hersteller von komplexeren ECM Enterprise-Content- Management-Produkten für ganzheitliche Informati- ons-Management-Lösungen nachzuziehen. Compliance & revisionssichere Archivierung © PROJECT CONSULT Unternehmensberatung GmbH ISSN 1439-0809 Seite 7 von 21 20100730 PROJECT CONSULT NEWSLETTER x „Regulative Vorgaben“ Hierbei sind Zeiträume von über 100 Jahren bis ewig zu verstehen. Im allgemeinen Sprachgebrauch wird Es gibt eine Reihe von Vorgaben, die sich nicht auf Ge- aber der Begriff Archivierung bereits für Unterlagen setze berufen wie z.B. Normen, Standards, Codes of benutzt, die nach Handelsrecht und Steuerrecht 6, 10 Best Practice von Branchen oder andere Vorgaben von oder mehr Jahre aufbewahrt werden müssen. Hierun- Unternehmen und Verwaltungen selbst. Diese kann ter fallen wie festgestellt auch E-Mails mit geschäftli- man als „regulative Vorgaben“ zusammenfassen. Viel- chem Inhalt. Genaugenommen müsste man hier nicht fach ergeben sich aus gesetzlichen Vorgaben für einen von Archivierung sondern von Aufbewahrung spre- bestimmten Anwendungsfall auch indirekte Auswir- chen. Im Umfeld der Archive und akademischen Insti- kungen und implizite Anforderungen für andere Fälle. tutionen wird daher seit einiger Zeit von Langzeitar- Besonders erschwerend für die Bewertung der Comp- chivierung gesprochen, um diese Form der unbe- liance-Relevanz von Unterlagen kommt hinzu, dass schränkten langzeitigen Aufbewahrung vom allgemei- man zwischen „direkten“ und „indirekten“ Complian- nen Begriff Archivierung abzugrenzen . Die elektroni- ce-Anforderungen unterscheiden muss. sche Archivierung wird dabei verstanden als daten- bankgestützte, langzeitige, sichere und unveränderba- x „Direkt“ re Aufbewahrung von jederzeit wieder reproduzierba- Direkte Anforderungen lassen sich in der Regel einfach ren elektronischen Informationsobjekten. Im Folgen- identifizieren, in-dem man die Geschäftsfelder und – den wird der Begriff Archivierung im Sinne der ge- tätigkeiten gegen die relevanten Gesetze und Regula- brauchssprachlichen Bedeutung benutzt. rien abgleicht. x „Revisionssicherheit“ x „Indirekt“ Der Begriff Revisionssicherheit wurde 1992 vom Au- Indirekte Anforderungen können sich aus Geschäfts- tor eingeführt, da es prinzipiell bei der Aufbewahrung beziehungen, verwendeten Material oder der Tätigkeit und Speicherung von Informationen keine Rechtssi- in bestimmten geografischen Räumen ergeben. So z.B. cherheit geben kann. Revision versteht sich dabei als die Anforderung eines Autoherstellers an seine Kom- „rückblickend beurteilend“. D.h. eine Archivsystemlö- ponenten-Zulieferer bestimmte Auflagen zu erfüllen, sung wird durch einen unabhängigen Dritten begut- obwohl der Zulieferer diesen nicht direkt unterliegt. achtet, ob sie entsprechend Verfahrensdokumentation auch richtig betrieben, korrekt benutzt sowie alle In- E-Mails unterliegen den gleichen Compliance- formationen wieder auffindbar und unverändert wie- Anforderungen wie papiergebundene Geschäftskor- der bereitstellt. Daher gibt es auch keine Zertifikate für respondenz und andere elektronische Dokumente.