von Dr. Ulrich Kampffmeyer, Geschäftsführer und Chefberater von PROJECT CONSULT, E-Mail: Ulrich.Kampffmeyer@PROJECT-CONSULT.com. Der Artikel ist das Skript und Handout des Vortrages von Dr. Kampffmeyer auf der GDPdU Jahreskonferenz 2005. Die Teile 1 bis 3 erschienen in den Newsletter Ausgaben 20050531, 20050624 und 20050720. | | |
| 6. | Funktionalität von Archivsystemen |
| | |
| 6.1. | Merkmale elektronischer Archivsysteme |
Elektronische Archivsysteme zeichnen sich durch folgende eigenständige Merkmale aus:
| | |
| · | programmgestützer, direkter Zugriff auf einzelne Informationsobjekte, landläufig auch Dokumente genannt, oder Informationskollektionen, z.B. Listen, Container mit mehreren Objekten etc. |
| | |
| · | Unterstützung verschiedener Indizierungs- und Recherchestrategien, um auf die gesuchte Information direkt zugreifen zu können |
| · | Einheitliche und gemeinsame Speicherung beliebiger Informationsobjekte, vom gescannten Faksimile über Word-Dateien bis hin zu komplexen XML-Strukturen, Listen oder ganzen Datenbankinhalten |
| · | Verwaltung von Speichersystemen mit nur einmal beschreibbaren Medien einschließlich dem Zugriff auf Medien die sich nicht mehr im Speichersystem direkt befinden |
| · | Sicherstellung der Verfügbarkeit der gespeicherten Informationen über einen längeren Zeitraum, der Jahrzehnte betragen kann |
| · | Bereitstellung von Informationsobjekten unabhängig von der sie ursprünglich erzeugenden Anwendung auf verschiedenen Clienten und mit Übergabe an andere Programme |
| · | Unterstützung von „Klassen-Konzepten“ zur Vereinfachung der Erfassung durch Vererbung von Merkmalen und Strukturierung der Informationsbasis |
| · | Konverter zur Erzeugung von langfristig stabilen Archivformaten und Viewer zur Anzeige von Informationsobjekten, für die die ursprünglich erzeugende Anwendung nicht mehr zur Verfügung steht |
| · | Absicherung der gespeicherten Informationsobjekte gegen unberechtigten Zugriff und gegen Veränderbarkeit der gespeicherten Information |
| · | Übergreifende Verwaltung unterschiedlicher Speichersysteme, um z.B. durch Zwischenspeicher (Caches) schnellen Zugriff und zügige Bereitstellung der Informationen zu gewährleisten |
| · | Standardisierte Schnittstellen, um elektronische Archive als Dienste in beliebige Anwendungen integrieren zu können |
| | |
| · | Eigenständige Widerherstellungsfunktionalität (Recovery), um inkonsistent gewordene oder gestörte Systeme aus sich heraus verlustfrei wieder aufbauen zu können |
| | |
| · | Sichere Protokollierung von allen Veränderungen an Strukturen und Informationsobjekten, die die Konsistenz und Wiederauffindbarkeit gefährden können und dokumentieren, wie die Informationen im Archivsystem verarbeitet wurden |
| · | Unterstützung von Standards für die spezielle Aufzeichnung von Informationen auf Speichern mit WORM-Verfahren, für gespeicherte Dokumente und für die Informationsobjekte beschreibende Meta-Daten um eine langfristige Verfügbarkeit und die Migrationssicherheit zu gewährleisten |
| | |
| · | Unterstützung von automatisierten, nachvollziehbaren und verlustfreien Migrationsverfahren |
Die Auflistung der wesentlichen Eigenschaften soll deutlich machen, dass es nicht um hierarchisches Speichermanagement oder herkömmliche Datensicherung geht. Elektronische Archivsysteme sind eine Klasse für sich, die als nachgeordnete Dienste heute in jede IT-Infrastruktur gehören.
| | |
| 6.2. | Der Unterschied zwischen Datensicherung und Archivierung |
Auch im Umfeld der Datensicherung wird häufig von Archivierung gesprochen, obwohl Zweck und Verfahren von einer datenbankgestützten Archivierung im traditionellen Sinn deutlich unterscheidbar sind. Datensicherungssysteme dienen im Allgemeinen ausschließlich zur Sicherung großer Datenmengen, auf die nur im Notfall durch Spezialisten zur Rekonstruktion des ursprünglichen Laufzeitsystems zugegriffen wird. Kennzeichnend ist der Zugriff auf Dateien oder größere Datensets und nicht auf einzelne Daten oder Objekte. In diese Kategorie fallen auch Systeme, die für die Auslagerung nicht mehr benötigter Daten eingesetzt werden. Bei diesen Daten kann es sich um solche handeln, die nur aus Gründen der Aufbewahrungspflicht gesichert werden. Wesentliche Charakteristika von Datensicherungssystemen sind daher:
| | |
| · | Sicherung zum Zwecke der Wiederherstellung im Störungs- oder Verlustfall für Daten aus Dateisystemen und operativen Anwendungen, |
| · | statisches, nur nach Entstehungsdatum der Informationen sortiertes, sequentielles Archiv ohne Änderungsdienst, |
| · | automatische Generierung zu archivierender Informationen durch die Systeme ohne Indizierung, |
| · | kein direkter Zugriff von Anwendern, sondern im Bedarfsfall Zurückspielen in die ursprüngliche Systemumgebung |
| · | Zugriff nur in Ausnahmesituationen und |
| · | nur gegebenenfalls Einsatz digitaler optischer Speicher in WORM-Technologie. |
Typische Anwendungen sind etwa die Sicherung von Rechenzentren und vergleichbare Massendatenanwendungen. Auch COLD-Systeme, die nicht für die individuelle Recherche an Sachbearbeiterplätzen genutzt werden, gehören in diese Kategorie (siehe unten). Ein weiteres Anwendungsgebiet sind Datensicherungs-systeme, bei denen komplette Systemkonfigurationen ausgelagert werden. Datensicherungssysteme gewinnen außerdem im Rahmen der Protokollierung von Zugriffen und Veränderungen in Internet- und Intranet-Systemen an Bedeutung. Hier können durch den Einsatz von WORM-Speichern (siehe unten), die Informationen unveränderbar archivieren, Art und Umfang unberechtigter Zugriffe und Änderungen im System nachvollzogen werden, ohne dass ein “Hacker” die Möglichkeit hätte, seine Spuren im System zu verwischen.
Je nach Einsatzzweck eines Datensicherungssystems kann dieses unterschiedlich ausgelegt sein. Bei der Auslagerung von Datenbeständen aus Datenbanken oder Anwendungssystemen werden die zu archivierenden Daten dem Sicherungssystem übergeben. Dies kann entweder direkt oder im Rahmen eines hierarchischen Speichermanagementsystems (HSM) geschehen. Aufgabe des Datensicherungssystems ist dann, die Informationen aufzubereiten und der Verwaltung des Speichersystems zu übergeben. Da kein direkter Datenbankzugriff auf die Informationen notwendig ist, reicht in der Regel eine Verweisstruktur mit neuem Speicherort und Ursprungsanwendung inklusive Übergabebereich aus.
Viele dieser Systeme werden daher nicht auf den Einzelzugriff auf Dokumente oder Dateien ausgelegt, sondern simulieren herkömmliche Medien wie sequentiell beschriebene Magnetbänder oder Magnetbandkassetten. Andere Lösungen bilden die herkömmliche Struktur eines Dateisystems auf den optischen Medien nach, so dass sich ein solches Datensicherungssystem bruchlos als unterste Stufe in ein hierarchisches Speichermanagement einfügt. Anstelle des Zugriffs über eine Datenbank tritt der übliche Weg des Zugriffs über ein Dateiverwaltungssystem. Dies erlaubt auch bestehenden Anwendungen ohne Anpassung von Clienten-Programmen auf archivierte Dateien zuzugreifen und diese wieder online zur Verfügung zu stellen.
Bei der Absicherung von Transaktionen oder der Online-Protokollierung werden Datensätze kontinuierlich und ohne Zwischenspeicherung archiviert. Weitere Anwendungen sind im Bereich der Massendatenerfassung wie zum Beispiel bei Umwelt- oder Weltraumdaten angesiedelt. Der Zugriff auf solche Informationen erfolgt in der Regel sequentiell unter Benutzung des mit gespeicherten Datums und der Uhrzeit.
Einen Sonderfall stellt die Archivierung von Dateiübermittlungen im EDI-Umfeld dar, bei der vor der Umwandlung in ein verarbeitbares Format das übermittelte Ursprungsformat für Kontroll- und Nachweiszwecke unveränderbar archiviert wird.
Für alle genannten Arten von Datensicherungssystemen sind keine Verwaltungs- und Zugriffsdatenbanken erforderlich. Da keine Online-Zugriffe erfolgen, können sie vollständig automatisiert und zeitgesteuert im Hintergrundbetrieb ablaufen. Der Rückgriff erfolgt nur mit speziellen Tools durch Personal der Systemadministration.
Im Gegensatz zu Datensicherungssystemen sind Archivsysteme für den Datenbank-gestützten, individuellen Zugriff auf einzelne Daten und Objekte ausgelegt. Entscheidend ist der direkte Zugriff über Indexmerkmale mit der Datenbank im Unterschied zur Filesystem-orientierten Ablage im Rahmen einer Datensicherung. Es handelt sich bei Archivsystemen um eine reine Endablage, die im Laufe der Zeit kontinuierlich wächst, und auf die nur selten zugegriffen wird. Da Informationen in Archivsystemen gewöhnlich auf WORM-Medien, die nur einmal beschrieben werden können, abgelegt werden, sind sie revisionssicher.
Datensicherungssysteme und hierarchisches Speichermanagement werden inzwischen zu ILM Information-Lifecycle-Management-Systemen ausgebaut (siehe unten).
Das Hauptanwendungsgebiet der elektronischen Archivierung zur Speicherung steuerrelevanter Daten ist das COLD-Verfahren, Computer Output on Laser Disk Strukturierte Daten aus Anwednungssystemen werden häufig in Gestalt von Reports und Listen ausgegeben. COLD, bezeichnet unabhängig vom Medium die automatische, regelbasierte Aufbereitung, Indizierung und Archivierung von strukturierten Ausgabedaten aus Anwendungssystemen. COLD-Systeme unterstützen die Speicherung seitenorientierter Computer-Ausgabedateien auf digitalen optischen Speichern und erlauben eine komfortable Suche, Anzeige und Ausgabe der Daten. COLD-Systeme dienen damit zur Archivierung von Dateien (Datensätze oder Druckoutput) aus operativen Anwendungen mit individuellen Zugriffsmöglichkeiten auf einzelne Datensätze oder Dokumente. Sie gehören in die Kategorie der Archivsysteme.
Es lassen sich zwei Strategien unterscheiden:
| | |
| · | Satzweise Speicherung aus Datenbank- oder operativen Anwendungen mit Indizierung jedes Satzes. Bei dieser Strategie kann jedoch die Anzahl der Indizes sehr groß werden und der Index kann fast die Größe der Objekte erreichen. |
| · | Listenweise Speicherung aus operativen Anwendungen mit Indizierung der Liste (Sekundärindex). Diese Strategie zieht zwar für eine Suche auf Satzebene eine aufwendigere Header- und Retrievalstrategie mit sich, bietet aber auf Grund der listenweisen Indizierung den Vorteil einer geringeren Anzahl an Primärindizes. |
Daneben besteht die Möglichkeit, beide Strategien zu kombinieren und innerhalb einer Liste satzweise zu indizieren, so dass ein Zugriff auf Satzebene möglich ist und Reports je nach Bedarf ad hoc zusammengestellt werden können.
Das ursprüngliche COLD-Verfahren kann durch die Verknüpfung der Daten mit eingescannten Blankoformularen oder Hintergrundlayouts erweitert werden. Auf diese Weise kann zum Beispiel eine originaler Vordruck jederzeit reproduziert werden. Dies ermöglicht eine speicherplatzsparende einmalige Archivierung von Hintergrundlayouts zur Verknüpfung mit den eigentlichen Daten.
Probleme mit verschiedenen Layouts, die für bestimmte Dokumente zu einem bestimmten Zeitpunkt Gültigkeit haben, können entstehen, wenn kein Versionsmanagement für die Hintergrundbilder vorliegt. Die Vorteile der Ausblendung des Hintergrundes liegen in der großen Speicherplatzersparnis. Diese Reduzierung des Speicherplatzes kann jedoch nur dann genutzt werden, wenn die Vordrucke für diesen Zweck entsprechend gestaltet werden.
Die gemischte Archivierung strukturierter und unstrukturierter Daten und Dateien kann sowohl im Druckformat als auch im Imageformat erfolgen. Die Archivierung im Druckformat bietet den Vorteil, dass die Reproduktion der “Originale” weitgehend sichergestellt ist und bestimmte Druckformate wie PDF auch eine inhaltliche Suche gestatten.
Für die Archivierung im Bildformat existieren weltweit gültige Standards (wie TIFF bzw. PDF-Archive für in PDF gewandelte Dokumente) und Dokumente können als „Images“ revisionssicher archiviert werden, da sie 1:1 wieder darstellbar und druckbar sind. Auf die Dokumente kann allerdings nur über den Primärindex zugegriffen werden, eine inhaltliche Suche ist nicht möglich. Zudem können die Dokumente nicht weiterverarbeitet werden. Solche Standards gibt es für COLD nicht. Hier ist man von zahlreichen proprietären Herstellerformaten abhängig, die häufig eine Konvertierung vor der Archivierung erforderlich machen.
Für steuerrelevante Daten ist ein Bildformat wie PDF- oder TIFF nicht zulässig. Die Speicherung im Bildformat kann daher nur zusätzlich erfolgen, wenn eine Visualisierung der Daten in der Form erforderlich ist, wie sie z.B. an Kunden versendet wurde.
Bei der Archivierung im Imageformat ist nur ein Zugriff über den Primärindex möglich, die Images können zudem nicht weiterverarbeitet werden. Die Images können in diesem Fall aber revisionssicher in einem weltweiten Standard archiviert und auch 1:1 reproduziert werden. Leider ist dieses Verfahren für die Archivierung von steuerrelevanten, originär digitalen Daten nicht zulässig. Das COLD-Verfahren aber gestattet im Gegensatz zur Imagespeicherung die Bereitstellung von auswertbaren Daten.
6.4.Speichertechnologien für die elektronische Archivierung
Bei den elektronischen Speichertechnologien muss man heute eine Trennung zwischen der Verwaltungs- und Ansteuerungssoftware einerseits und den eigentlichen Speichermedien andererseits machen. Herkömmliche magnetische Speichermedien gelten als nicht geeignet für die elektronische Archivierung, da die gespeicherten Informationen jederzeit geändert und überschrieben werden können. Dies betrifft im besonderen Maße Festplatten, die von Betriebssystemen dynamisch verwaltet werden. Magnetische Einflüsse, „Head-Crashs“ und andere Risiken wiesen den Festplatten die Rolle der reinen Onlinespeicher zu. Bei Magnetbändern kam neben der Löschbarkeit hinzu, dass diese hohen Belastungen und Abnutzungen sowie magnetischen Überlagerungen bei zu langer Aufbewahrung unterliegen. In den 80er Jahren wurden daher spezielle digital-optische Speichermedien entwickelt, die in ihrem Laufwerk mit einem Laser berührungsfrei nur einmal beschrieben werden können. Diese Speichertechnologie bezeichnet man als WORM „Write Once, Read Many“. Die Speichermedien selbst waren durch ihre physikalischen Eigenschaften gegen Veränderungen geschützt und boten eine wesentliche höhere Lebensdauer als die bis dahin bekannten magnetischen Medien.
In diese Kategorie von Speichermedien fallen heute folgende Typen:
| | |
| · | CD-WORM Nur einmal beschreibbare Compact Disk Medien mit ca. 650 MegaByte Speicherkapazität. Die Speicheroberfläche im Mediums wird beim Schreiben irreversibel verändert. CD-Medien sind durch die ISO 9660 standardisiert und kostengünstig. Die Qualität mancher billiger Medien ist aber für eine Langzeitarchivierung als nicht ausreichend zu erachten. Für Laufwerke und Medien gibt es zahlreiche Anbieter. Die Ansteuerung der Laufwerke wird von den Betriebssystemen direkt unterstützt. |
| | |
| · | DVD-WORM Ähnlich wie die CD wird bei der DVD-WORM die Speicheroberflächen irreversibel im Medium verändert. DVD sind derzeit noch nicht einheitlich genormt und bieten unterschiedliche Speicherkapazitäten zwischen 4 und 12 GigaByte. Beim Einsatz für die Archivierung ist daher darauf zu achten, das Laufwerk und Medien den Anforderungen der langzeitigen Verfügbarkeit gerecht werden. Es gibt auch hier zahlreiche Anbieter und die meisten Laufwerke werden auch direkt von den gängigen Betriebssystemen unterstützt. |
| | |
| · | 5¼“ WORM Bei diesen Medien und Laufwerken handelt es sich um die traditionelle Technologie, die speziell für die elektronische Archivierung entwickelt wurde. Die Medien befinden sich in einer Schutzhülle und sind daher gegen Umwelteinflüsse besser gesichert, als CD und DVD, die für den Consumer-Markt entwickelt wurden. Die Medien werden mit einem Laser beschreiben und bieten eine äußerst hohe Verfälschungssicherheit. Der derzeitige Stand der Technik sind so genannte UDO-Medien, die einen blauen Laser verwenden und eine Speicherkapazität von 50 GigaByte bieten. Zukünftig ist mit noch deutlich höheren Kapazitäten je Medium zu rechnen. Nachteilig ist, dass Medien der vorangegangenen Generationen von 5¼“-Medien in den neuen Laufwerken nicht verwendet werden können. Von diesen sind noch mehrere verschiedene Technologien am Markt verfügbar. Für den Anschluss von 5 ¼“-Laufwerken ist spezielle Treibersoftware notwendig. |
Für die Verwaltung und Nutzung der Medien sind so genannte '''Jukeboxen''', Plattenwechselautomaten, gebräuchlich. Diese stellen softwaregestützt die benötigten Informationen von Medien bereit. Die Software ermöglicht es in der Regel auch, Medien mit zu verwalten, die sich nicht mehr in der Jukebox befinden und auf Anforderung manuell zugeführt werden müssen. Die Software zur Ansteuerung von Jukeboxen wird direkt in die Archivsoftware integriert aber auch als unabhängige Ansteuerungssoftware angeboten. Zum Anschluss von Jukeboxen bedient man sich in der Regel eigener Server, die auch die Verwaltung und das Caching übernehmen. Inzwischen können solche Systeme aber auch als NAS Network attached Storage oder integriert in SAN Storage Area Networks genutzt werden. Die Software ermöglicht dabei respektable Zugriffs- und Bereitstellungszeiten, die im Regelfall ein ausreichendes Antwortzeitverhalten garantieren.
Neben diese klassischen Archivspeicher, die auf rotierenden, digital-optischen Wechselmedien basieren, treten inzwischen zwei weitere Technologien:
| | |
| · | CAS Content Adressed Storage Hierbei handelt es sich um Festplattensysteme, die durch spezielle Software die gleichen Eigenschaften wie ein herkömmliches WORM-Medium erreichen. Ein Überschreiben oder der Ändern der Information auf dem Speichersystem wird durch die Kodierung bei der Speicherung und die spezielle Adressierung verhindert. Bei diesen Speichern handelt es sich um abgeschlossene Subsysteme, die allerdings nahezu wie herkömmliche Festplattensysteme direkt in die IT-Umgebung integriert werden können. Sie bieten Speicherkapazitäten mit hoher Performance im TeraByte-Bereich. |
| · | WORM-Tapes WORM-Tapes sind Magnetbänder, die durch mehrere kombinierte Eigenschaften ebenfalls die Anforderungen an ein herkömmliches WORM-Medium erfüllen. Hierzu gehören spezielle Bandmedien sowie geschützte Kasetten und besondere Laufwerke, die die Einmalbeschreibbarkeit sicherstellen. Besonders in Rechenzentren, in denen Bandroboter und Librarysysteme bereits vorhanden sind, stellen die WORM-Tapes eine einfach zu integrierende Komponente für die Langzeitarchivierung dar. Die vorhandene Steuersoftware kann mit den Medien umgehen und auch entsprechendes Umkopieren und Sichern automatisieren. |
Besonders für größere Verwaltungen und Rechenzentren stellen Festplatten- oder WORM-Tape-Archive eine Option dar, da sie sich einfach in den laufenden Betrieb integrieren lassen.
| | |
| 6.5. | Strategien zur Sicherstellung der Verfügbarkeit archivierter Information |
Für die Aufbewahrung steuerrelevanter Daten sind heute Aufbewahrungsfristen von bis zu 10 Jahren vorgesehen. Dieser Zeitraum kann sich erheblich verlängern, wenn man die Risiken möglicher späterer Festsetzungen oder Rechtsstreitigkeiten mit einberechnet. Es ist daher schon bei der Erstinstallation eines Systems davon auszugehen, dass während der Aufbewahrungsfrist eine oder mehrere Migrationen von Software, Systemkomponenten und Speichermedien erforderlich werden.
Für die Verfügbarhaltung von archivierten Informationen gibt es unterschiedliche Strategien, die bei der Planung eines Archivsystems bereits berücksichtigt werden müssen:
| | |
| · | Standardisierung Wesentliche Voraussetzung für die langfristige Verfügbarmachung elektronischer Information ist die Einhaltung von Standards. Zu berücksichtigen sind Aufzeichnungsformate, Metadaten, Medien und die Dateiformate der Informationsobjekte selbst. Schon bei der Erzeugung von Daten sollte die langfristige Speicherung berücksichtigt werden. Langzeitig stabile Formate sollten bevorzugt verwendet werden. Eigenschaften eines solchen Formats sollten eine weite Verbreitung, eine offene Spezifikation (Norm) oder die spezielle Entwicklung als Format zur langfristigen Datenspeicherung sein. Beispiele sind XML-Dateien, TIFF und PDF-Archive. |
| · | Migration Eine Methode zur Sicherstellung der Verfügbarkeit ist die Migration von Information in eine neue Systemumgebung. Sie stellt unter Umständen ein Risiko dar, wenn die Informationen nicht nachweislich unverändert, vollständig und weiterhin uneingeschränkt wieder findbar von einer Systemlösung auf eine andere migriert werden. Originalität und Authentizität können durch eine Migration in Frage gestellt werden. Anderseits zwingt der technologische Wandel die Anwender auf neue Speicher- und Verwaltungskomponenten rechtzeitig zu wechseln, um die Information verfügbar zu halten. Die Migration ist daher bereits bei der Ersteinrichtung eines Archiv- und Speichersystems zu planen, um ohne Risiko und Aufwand den Wechsel vollziehen zu können. Kontrollierte, verlustfreie, „kontinuierliche Migration“ ist zur Zeit die wichtigste Lösung, Information über Jahrzehnte und Jahrhunderte verfügbar zu halten. Das Thema Migration wurde durch die Veränderungen und die Konsolidierung des Dokumentenmanagement-Marktes mit dem Verschwinden von zahlreichen Anbietern häufig diskutiert. Der Wegfall einzelner Produkte zwingt zur Migration auf andere Formate, manchmal mit Hilfe eines eigenen Migrationsprogramms. Wer ein Archivsystem einführt, muss sich daher von Anbeginn an mit dem Thema Migrationsplanung beschäftigen. |
| · | Emulation In der wissenschaftlichen Welt wird noch ein zweites Modell ähnlich stark diskutiert: Emulation. Emulation heißt, die Eigenschaften eines älteren Systems so zu simulieren, dass damit auch Daten dieses Systems mit neueren Computern und Betriebssystemen wieder genutzt werden können. Beispiele gibt es einige, zum Beispiel bei Computerspielen oder Apple-Computern. Diese Lösungsstrategie wird im Bereich der langfristigen Datenspeicherung aber noch nicht in größerem Ausmaß eingesetzt. Nachteile sind, dass der Aufwand künftiger Emulationsschritte nicht planbar ist und bei einem zu großen Paradigmenwechsel eines Tages vielleicht gar nicht mehr durchführbar ist. Diese Nachteile gelten in ähnlicher Form auch für nicht rechtzeitig durchgeführte Migrationen. |
| · | Kapselung Als Vorbereitung für Emulation eignet sich insbesondere das Kapselung-Verfahren. Dabei werden zusätzlich mit der zu bewahrenden Datei oder dem Informationsobjekt auch noch die Software, mit der man es visualisieren und reproduzieren kann, sowie die zugehörigen Metadaten in einer "Kapsel" gespeichert. Damit sind alle für die Nutzung notwendigen Informationen in Zukunft sofort zuzsammenhängend gespeichert. Durch diese Methode können die zu speichernden Objekte sehr groß werden, ohne dass jedoch vollständig sichergestellt ist, dass die mitarchivierte Software auch in zukünftigen Betriebssystemumgebungen lauffähig ist. |
| · | Konversion zur Laufzeit Lassen sich die Formate der zu speichernden Informationsobjekte nicht kontrollieren und auf wenige Langzeitformate einschränken, sind Konverter und Viewer systemseitig ständig vorzuhalten, die ältere Formate in anzeigbare Formate beim Aufruf der Objekte wandeln. Dies führt mittelfristig zu einer Vielzahl von bereitzuhaltenden Konvertern und Viewern, für die eine eigenständige Verwaltung erforderlich ist, um zu einem älteren Informationsobjekt den jeweils passenden, aktuellen Konverter aufrufen zu können. Die Konversion zur Laufzeit unterscheidet sich von der Emulation dadurch, dass nicht eine ältere Umgebung aufgerufen, sondern das Objekt für die aktuelle Umgebung gewandelt wird. Spezielle Eigenschaften von Formaten, elektronische Signaturen und Digital-Rights-Management-Komponenten können hierbei, ebenso wie bei den anderen Verfahren, zu Problemen führen. |
Bei allen Verfahren ist die Unverändertheit und die Integrität der ursprünglichen Daten nachzuweisen. Veränderungen am System, die den Inhalt oder die Auswertbarkeit der Daten betreffen können, sind zu dokumentieren und es ist sicherzustellen, dass der ursprüngliche Zustand der Daten verlustfrei wiederherzustellen ist. Alle Verfahren sind daher im Vorwege ausführlich zu testen und die Prozesse der verlustfreien Umsetzung nachvollziehbar zu dokumentieren.
| | |
| 6.6. | Die Weiterentwicklung der elektronischen Archivierung |
Entscheidend für den Einsatz von Archiv-Speichertechnologien ist inzwischen die Software geworden. Sie sichert unabhängig vom Medium die Unveränderbarkeit der Information, sie ermöglicht den schnellen Zugriff und sie verwaltet gigantische Speichermengen. Bisher waren elektronische Archive eine spezielle Domäne der Archivsystemanbieter. Nunmehr wird aber die Speichertechnologie selbst immer intelligenter. Systemmanagement- und Speicherverwaltungssoftware verwalten inzwischen auch die elektronischen Archive. Zusätzlich kann immer noch ein herkömmliches Archiv-, Records-Management- oder Content-Management-System für die inhaltliche Strukturierung, die Ordnung, Erschließung und Bereitstellung der Informationen eingesetzt werden. Die Speichersystemanbieter rüsten ihre Produkte mit immer weiteren Komponenten auf. Ziel ist, Archivspeicher als Infrastruktur betriebssystemnah und für alle Anwendungen gleich bereitzustellen: Dieser Trend wird seit 2003 ILM Information Lifecycle Management genannt und soll die elektronische Archivierung einschließen. Besonders das Versprechen, das ILM Migrationen unnötig macht oder automatisiert, weckt bei vielen Anwendern Interesse. Der Anspruch an ILM ist dabei deutlich jenseits des herkömmlichen HSM, Hierarchisches-Speicher-Management, angesiedelt. Es geht zunehmend um die Software zur Verwaltung des gesamten Lebenszyklus von Information anstelle von reiner Speicherhardware. Elektronische Archivierung wird als nachgeordneter Dienst eingesetzt, der in Enterprise-Content-Management-Lösungen integriert wird, aber als Archivierungskomponente allen Anwendungen zur Verfügung steht, deren Informationen langfristig und sicher aufbewahrt werden müssen.
| | |
| 7. | Grundsätze der elektronischen Archivierung |
Die folgenden allgemeinen 10 Merksätze zur revisionssicheren elektronischen Archivierung stammen von Verband Organisations- und Informationssysteme e.V. aus der Publikation „Code of Practice. Grundsätze der elektronischen Archivierung“:
| | |
| 1. | Jedes Dokument muss unveränderbar archiviert werden |
| 2. | Es darf kein Dokument auf dem Weg ins Archiv oder im Archiv selbst verloren gehen |
| 3. | Jedes Dokument muss mit geeigneten Retrievaltechniken wieder auffindbar sein |
| 4. | Es muss genau das Dokument wiedergefunden werden, das gesucht worden ist |
| 5. | Kein Dokument darf während seiner vorgesehenen Lebenszeit zerstört werden können |
| 6. | Jedes Dokument muss in genau der gleichen Form, wie es erfasst wurde, wieder angezeigt und gedruckt werden können |
| 7. | Jedes Dokument muss zeitnah wiedergefunden werden können |
| 8. | Alle Aktionen im Archiv, die Veränderungen in der Organisation und Struktur bewirken, sind derart zu protokollieren, dass die Wiederherstellung des ursprünglichen Zustandes möglich ist |
| 9. | Elektronische Archive sind so auszulegen, dass eine Migration auf neue Plattformen, Medien, Softwareversionen und Komponenten ohne Informationsverlust möglich ist |
| | |
| 10. | Das System muss dem Anwender die Möglichkeit bieten, die gesetzlichen Bestimmungen (BDSG, HGB/AO etc.) sowie die betrieblichen Bestimmungen des Anwenders hinsichtlich Datensicherheit und Datenschutz über die Lebensdauer des Archivs sicherzustellen |
Zur Erfüllung dieser Vorgaben wurden Archivsysteme bestehend aus Datenbanken, Archivsoftware und Speichersystemen geschaffen, die in Deutschland von zahlreichen Herstellern und Systemintegratoren angeboten werden. Diese Systeme basieren meistens auf dem Ansatz über eine Referenzdatenbank mit den Verwaltungs- und Indexkriterien auf einen externen Speicher zu verweisen, in dem die Informationsobjekte gehalten werden. Diese so genannte Referenz-Datenbank-Architektur war notwendig, um große Mengen von Informationen von den zwar schnellen aber teueren Online-Speichern in separate Archivspeicher auszulagern. Die Datenbank erlaubt über den Index dabei jederzeit das Dokument wieder zu finden und mit einem entsprechenden Anzeigeprogramm dem Anwender bereitzustellen. In den Frühzeiten dieser Technologie handelte es sich meistens um sehr geschlossene, eigenständige Systeme, die praktisch zu „Inseln“ in der IT-Landschaft führten. Heute gliedern sich Archivsysteme als nachgeordnete Dienste in die IT-Infrastruktur ein, werden direkt von Bürokommunikations- und Fachanwendungen bedient und stellen diesen Anwendungen auch die benötigten Informationen zur Verarbeitung und Anzeige wieder zur Verfügung. Für den Anwender ist es dabei unerheblich, wo die benötigte Information gespeichert ist, Archivspeichersysteme und die Speicherorte der Dokumente sind für ihn unerheblich.
| | |
| 8. | Compliance als Markttreiber für die Archivierung |
Der Begriff Compliance sorgt bei vielen Anwendern für Verunsicherung. Zahlreiche Anbieter vermarkten inzwischen Ihre Produkte unter dem Etikett „Compliance“ – nicht nur herkömmliche Anbieter von DMS- und ECM-Lösungen, sondern auch Hersteller von Speichersystemen, Management-Informations-Programmen und ERP-Lösungen. Mit dem Begriff Compliance hat sich zugleich ein neues Marktsegment gebildet. In Deutschland wird der englische Begriff Compliance bisher nur selten verwendet. Rechtliche und regulative Vorgaben für Dokumentationspflichten nehmen aber, wenn man an Beispiele wie die GDPdU denkt, stetig zu. Es liegt also am Kunden, sich zwischen spezialisierten Insellösungen zur Erfüllung bestimmter Compliance-Anforderungen oder übergreifenden Lösungen, die auch Compliance-Anforderungen mit abdecken, zu entscheiden.
| | |
| 8.1. | Was verbirgt sich hinter dem Begriff Compliance |
Zu den häufig, zumindest für deutsche Ohren, schwer verständlichen Begriffen aus den USA muss auch der Begriff „Compliance“ gezählt werden. Ein einzelnes Wort reicht bei der Übersetzung nicht aus, man benötigt schon einen ganzen Satz:
| | |
| · | Übereinstimmung mit und Erfüllung von rechtlichen und regulativen Vorgaben. |
Auch wenn es Compliance-Anforderungen schon immer, auch im Ursprungsland des Begriffes, den USA, gab, so haben sie nach den Skandalen um ENRON und WorldCom eine brisante Qualität erhalten: neue, strafbewehrte Anforderungen zur Aufbewahrung geschäftsrelevanter elektronischer Informationen. In der Vergangenheit gab es schon immer eine Reihe von rechtlichen Anforderungen; so mussten z.B. Finanzbuchhaltungssoftware schon immer Compliance-Standards erfüllen. Mit dem steigendem Aufkommen und der wachsenden Bedeutung von E-Mails und E-Commerce gewann die Notwendigkeit der Dokumentation und elektronischen Archivierung von Geschäftsvorgängen immer mehr Bedeutung.
Betrachtet man die einzelnen Begriffe der deutschen Übertragung der Definition von Compliance „Übereinstimmung mit und Erfüllung von rechtlichen und regulativen Vorgaben“, dann werden unterschiedliche Aspekte von Compliance-Anforderungen deutlich.
Zur Erreichung der „Übereinstimmung“ wird vorausgesetzt, dass es nachlesbare, definierte, offizielle Vorgaben gibt, die die Regeln enthalten, was zu tun ist. Hier ist „Übereinstimmung“ gefordert, ohne das die Regeln meistens eine technische Vorgabe enthalten, wie die Anforderung umzusetzen ist. Dies ist auch sinnvoll, da sich solche Vorgaben nicht an einer Technologie festmachen sollten, die in ein paar Jahren schon wieder obsolet ist.
Die Übereinstimmung ist der „statische Aspekt“ von Compliance.
Der Begriff „Erfüllung“ impliziert zweierlei: Einmal, dass die Anforderungen in einer Lösung umgesetzt werden müssen, und zum Zweiten, dass dies ein Prozess ist, keine einmalige Aktion. Das Unternehmen oder die Organisation muss kontinuierlich für die Einhaltung der Vorgaben Sorge tragen. „Erfüllung“ geht dabei meistens über eine rein technische Lösung hinaus und beinhaltet auch organisatorische und Management-Aspekte.
Die kontinuierliche Erfüllung ist der „dynamische Aspekt“ von Compliance.
Hierbei handelt es sich um Gesetze oder behördliche Verordnungen, die bestimmte Unternehmen, Organisationen oder Personen verpflichten, die jeweils aufgeführten Regelungen einzuhalten. Hier kann man sich auch nicht um die Erfüllung „drücken“, lediglich in Hinblick auf Auslegung, Umfang und Umsetzungsweise besteht Handlungsspielraum.
Warum unterscheidet man hier noch zwischen „rechtlich“ und „regulativ“? Es gibt eine Reihe von Vorgaben, die sich nicht auf Gesetze berufen wie z.B. Normen, Standards, Codes of Best Practice von Branchen oder andere Vorgaben. Vielfach ergeben sich aus gesetzlichen Vorgaben für einen Anwendungsfall auch Auswirkungen und implizite Anforderungen für andere Fälle. Diese werden als „regulative Vorgaben“ abgegrenzt.
Der bindende Charakter einer Vorgabe kann also sehr unterschiedlich sein. Steckdosen, Lebensmittel, Flugzeuge, elektrische Geräte, Medikamente, Kindergärten, Bildschirme usw. müssen auch bestimmte Compliance-Anforderungen erfüllen, die sich beispielsweise in Prüfsiegeln wieder finden. Ein Vergleich dieser Anforderungen mit dem, was heute unter dem Schlagwort „Compliance“ bei informationstechnologischen Lösungen verstanden wird, zeigt aber große Unterschiede. Daher scheint es sinnvoller, in diesem Fall konkreter von „Information Management Compliance“ zu sprechen.
| | |
| 8.2. | Die USA: Ursprung des Compliance-Trends |
In den USA gab es schon sehr lange Compliance-Anforderungen an Softwaresysteme. So ist die FDA Federal Drug Administration, mit ihren bindenden Regularien für die Herstellung von Lebensmitteln, Pharmazeutika und Medikamenten auch über die Grenzen der Vereinigten Staaten bekannt. Bei der Beantragung eines neuen Medikamentes, mit Vorlage von allen Testnachweisen und Produktionsverfahren, hat sich die Anschaffung eines Dokumentenmanagementsystems meistens bereits gelohnt. Durch die Skandale um ENRON, WorldCom und einige andere Unternehmen, die unter Zurücklassung von zahllosen Arbeits¬losen und riesigen Schulden insolvent wurden, rückte das Thema Compliance in den Mittelpunkt des allgemeinen Interesses. Anlass waren „geschönte“ Prüfungen von Wirtschafts¬prüfern und die Geschäftsberichte der Unternehmen. E-Mail wurde dabei als eine der möglichen Nachweisquellen für ungesetzliches Handeln entdeckt. Dies führte im Jahr 2002 zum Sarbanes-Oxley-Act, allgemein SOA oder SOX abgekürzt. Typisch amerikanisch wurde es nach den beiden Leitern der Kommission benannt, die das Gesetz entworfen haben. SOA hat die Aufgabe, die Transparenz und Nachvollziehbarkeit in den Unternehmen bei Prüfungen durch die SEC, Securities und Exchange Commission, zu verbessern. Äquivalent wären in Deutschland die Steuer¬behörden mit Steuerprüfung und Steuerfahndung. Das Gesetz findet Anwendung für alle Unternehmen, die an der New York Stock Exchange gelistet sind. SOA hat die Aufgabe, die Transparenz und Nachvollziehbarkeit in den Unternehmen bei Prüfungen durch die SEC, Securities und Exchange Commission, zu verbessern. Unternehmen werden verpflichtet, u. a. ein internes Kontrollsystem für die Rechnungslegung zu unterhalten, die Wirksamkeit der Systeme zu beurteilen und die Richtigkeit der Jahres- und Quartalsberichte beglaubigen zu lassen.
SOA hat in den USA besonders auf Grund von Abschnitt 802 Bedeutung erlangt, weil hier empfindliche Strafen in der Strafgesetzgebung verankert worden sind. Die Zerstörung oder Veränderung von aufbewahrungspflichtigen Unterlagen kann mit bis zu 20 Jahren Gefängnis bestraft werden. Dieser Abschnitt schreckte alle amerikanischen Unternehmensführer auf und machte den zurzeit zu beobachtenden Boom von Compliance-Lösungen erst möglich. Aber auch besonders die Wirtschaftsprüfer legen in ihrer Beratung nunmehr sehr viel Wert auf Compliance, da im Rahmen der Skandale große, namhafte Wirtschaftsberatungsfirmen wie Andersen vom Markt verschwanden.
SOA besitzt eine erhebliche Bedeutung für Unternehmen mit amerikanischer Muttergesellschaft oder mit Niederlassungen in den USA, da auch Unterlagen und Daten außerhalb der USA einer Nachweispflicht nach amerikanischem Recht und einem möglichen Zugriff amerikanischer Behörden unterliegen können. Für US-Firmen wurde der SOA am 15. 11.2004 verbindlich.
Es ist aber nicht allein SOA, der den Druck im Umfeld der Steuerprüfung und Steuerfahndung erhöht. Aus den CFR Code of Federal Regulations lassen sich inzwischen eine Vielzahl weiterer Anforderungen für spezielle Branchen und Geschäftstätigkeiten ableiten. Ein Beispiel ist der CFR 17, § 240, mit harten Regu¬larien für Börsenmakler. Die Regeln der US-Börsenaufsicht für Aktien-Broker SEC 17A-3 und SEC 17A-4 definieren exakt, welche Aufzeichnungen und Belege bei einer Transaktion aufgehoben und auf welchem Medium sie gespeichert werden müssen. Bislang waren ausschließlich optische Medien mit der so genannten WORM-Funktion (Write Once Read Many) erlaubt. Seit vergangenem Jahr akzeptiert die SEC auch magnetische Speichermedien, sofern sie WORM-Verfahren unterstützen. Die Steuerfahndung der SEC hat inzwischen erste harte Maßnahmen in Bezug auf die Einhaltung ergriffen und es wurden bereits Unternehmen zu Geldstrafen verurteilt, weil sie ihre elektronische Dokumentation nicht in Ordnung gehalten hatten. Ähnliche Regeln für die Finanzwelt hat die National Association of Securities Dealers (NASD) entwickelt. NASD 3010 und NASD 3110 beispielsweise verlangen, dass Broker und Händler externe Transaktionen von registrierten Stellvertretern überwachen.
| | |
| 8.3. | Internationale und europäische Compliance-Anforderungen |
In den Mitgliedstaaten der europäischen Union muss jede Richtlinie der Europäischen Kommission früher oder später in nationales Recht überführt werden. Mittlerweile haben viele der neuen nationalen Vorgaben in Europa ihren Ursprung in der europäischen Gesetzgebung, für zukünftige Entwicklungen ist ein Blick auf die Entwicklungen und Richtlinien in Brüssel daher immer lohnend. Bereits durch die Richtlinien zum E-Commerce und zur elektronischen Signatur sind eine Reihe von Anforderungen für Compliance in Deutschland entstanden. Erinnert sei hier nur an die elektronische Rechnung, die nur zum Vorsteuerabzug berechtigt, wenn sie qualifiziert elektronisch signiert wurde. Auch eine europäische Variante von SOA wird sich kaum vermeiden lassen. Der elektronische Geschäftsverkehr und die Umstellung der öffentlichen Verwaltung auf elektronisch unterstützte Verfahren wird weitere Compliance-Anforderungen nach sich ziehen. Auch deshalb ist es wichtig, nicht nur auf eine Einzellösung für ein bestimmtes Problem zu schauen, sondern eine IT-Strategie zu entwickeln, die mit einer Lösung möglichst viele Compliance-Anforderungen erfüllt und darüber hinaus für das Unternehmen auch im Geschäftsbetrieb nutzbringend eingesetzt werden kann.
Als gutes Beispiel für direkte und indirekte Auswirkungen der Gesetzgebung kann Basel II angeführt werden. Finanzdienstleister müssen umso mehr Eigenkapital vorhalten, je höher das Risiko des Kreditnehmers ist. Auch wenn man in Bezug auf die Kreditvergabe und die Dokumentationspflichten hier zunächst nur an die Banken denkt, hat Basel II auch erhebliche Auswirkungen auf alle Unternehmen. Kaum ein Unternehmen kommt ohne Kredite der Banken aus. Da sich die Kreditnehmer einem Rating unterziehen müssen, schlagen die Transparenzanforderungen von Basel II praktisch auf die Unternehmen durch. Wenn ein Unternehmen also einen Kredit haben will, sollte es Geschäftsdokumente und alle Informationen, die für die Kreditvergabe relevant sein können, gesichert abgelegt haben. Ohne die Vorhaltbarkeit der geforderten Dokumente setzen sich Unternehmen dem Risiko aus, einen Kredit nicht zu erhalten. Um einen Kredit überhaupt noch oder zu günstigen Konditionen zu erhalten, müssen sich die Unternehmen neu aufstellen.
Hinter Schlagworten wie Corporate Governance, Enterprise Information Policy oder Records Management Policy und Projekten zur Erarbeitung und Einführung solcher Regelwerke verbergen sich auch viele Ansätze zur Lösung von Compliance-Anforderungen.
| | |
| 8.4. | Compliance-Anforderungen in Deutschland |
In Deutschland wird der Begriff „Compliance“ zwar noch selten verwendet, folgende Beispiele sollen aber verdeutlichen, dass es vergleichbare Anforderungen schon längst gibt.
Die GDPdU, Grundsätze des Datenzugriffs und der Prüfbarkeit digitaler Unterlagen, sind ein typisches Beispiel für Compliance-Vorgaben. Zwar sind die GDPdU noch nicht so hart strafbewehrt wie SOA, aber durchaus mit anderen Anforderungen des SEC in den USA vergleichbar. Die Bereithaltung von steuerlich relevanten Daten in auswertbarer Form ist eine Pflichtvorgabe, die alle Unternehmen in Deutschland erfüllen müssen.
Aber auch bereits vor den GDPdU gab es verbindliche Vorgaben. Es sei hier nur an die GoBS erinnert, die die Aufbewahrung von kaufmännischen Unterlagen in elektronischer Form regelt. Neben sicheren Systemen wird hier auf die Prozesse und die Verfahrensdokumentation besonderes Augenmerk gelegt. Bei diesen Vorgaben geht es aber nicht darum, die Unternehmen mit bürokratischen Auflagen zu behindern, sondern die Voraussetzungen für E-Commerce und E-Business und eine effektive elektronische Informationsverwaltung zu schaffen. In diesem Umfeld kommt der elektronischen Signatur eine besondere Bedeutung zu. Der Einsatz der elektronischen Signatur findet sich inzwischen in nahezu allen neueren Gesetzen. So z.B. auch bei der elektronischen Rechnung. Zum Vorsteuerabzug berechtigen den Empfänger nach § 14 Abs. 4 Satz 2 UStG nur elektronisch signierte Rechnungen. Da die elektronische Rechnung das Original darstellt, ist es auch elektronisch aufzubewahren. Hier greifen die verschiedenen neuen Gesetze und Regelungen ineinander. Das Signaturgesetz und die Änderungen von BGB Bürgerlichem Gesetzbuch und ZPO Zivilprozessordnung zur Verankerung der elektronischen Signatur finden ihren Widerhall in der Handels- und Steuergesetzgebung. Die gesamte Gesetzgebung und Rechtsprechung befindet sich auf dem Weg ins Informationszeitalter und zieht damit automatisch immer mehr Compliance-Anforderungen für das Management von Informationen nach sich.
In eine ähnliche Kerbe wie die GDPdU schlägt auch das Gesetz zu den Dokumentationspflichten bei Verrechnungspreisen, das anders als die GDPdU bereits direkt strafbewehrt ist (Verordnung zu Art, Inhalt und Umfang von Aufzeichnungen im Sinne des §90 Abs. 3 der Abgabenordnung (AO)). Sie legt fest, welche Unterlagen und Dokumentationen zu erstellen sind, wenn Leistungen mit "nahe stehenden Personen und Unternehmen" verrechnet werden. Inhalt, Art und Umfang der Dokumentationspflichten werden durch eine Rechtsverordnung (GAufzV) näher bestimmt, die mit Rückwirkung zum 30. Juni 2003 in Kraft getreten ist. Auch hier ist es das Ziel analog zu den GDPdU, den Nachweis einer ordnungsgemäßen, nachvollziehbaren und prüfbaren Dokumentation aller steuerrelevanten Daten zu ermöglichen. Die Vorgaben für die Anforderungen wie die Nachvollziehbarkeit, die Ordnungsmäßigkeit oder die Prüfbarkeit bestehen schon seit langem und sind im Handelsgesetzbuch §§ 239 und 257 nachzulesen. Die Anforderungen, die sich ursprünglich an einer papiergebundenen Dokumentation orientierten, sind in die elektronische Welt zu übertragen und dort gleichermaßen anzuwenden.
| | |
| 8.5. | Information Management Compliance |
Eines darf man aber in keinem Fall vergessen: Compliance ist nicht nur ein Thema für die elektronische Archivierung, Compliance zieht sich durch alle Softwarekomponenten, in denen aufbewahrungspflichtige Daten, Informationen und Dokumente entstehen und verwaltet werden. Deshalb sind auch übergreifende Richtlinien erforderlich, die alle Quellen und alle Formen der Nutzung von Informationen berücksichtigen.
Basis für die Planung, Durchführung und kontinuierliche Umsetzung von Information Compliance Management (IMC) im Unternehmen ist eine so genannte Information Compliance Policy. Die Inhalte einer solchen Richtlinie und ihrer Umsetzung kann man in vier Punkten zusammenfassen:
1. Information Management Policy
Grundregeln und Verhaltensweisen für den Umgang mit Prozessen und Informationen, die sich in der „Corporate Governance“ niederschlagen. Dies schließt das Bewusstmachen, die Zuordnung der Verantwortung und die Verankerung der Policy im Management der Organisation ein. Das Management trägt hier nicht nur die eigene Verantwortung für die Einhaltung der Regelwerke, sondern auch für die Umsetzung im Unternehmen mit Vorbildfunktion.
2. Delegation Zuordnung von Verantwortlichkeiten und entsprechende Ausbildung auf den nachgeordneten Ebenen, die allen Betroffenen die Bedeutung von Compliance-Regeln deutlich macht. Dies schlägt sich auch in den Arbeitsprozessen, Arbeitsplatzbeschreibungen, Verträgen und Arbeitsanweisungen nieder. Auf den verschiedenen Ebenen einer Organisation muss abhängig von Aufgaben und Zuständigkeiten der Mitarbeiter eine Durchgängigkeit erzeugt werden.
3. Nachhaltung Die Einhaltung der Regeln muss regelmäßig überprüft werden. Hierzu gehören z.B. Qualitätssicherungsprogramme ebenso wie Audits. Hierbei ist auf eine ständige Verbesserung der Prozesse und auf die Nachführung der Dokumentation zu den durchgeführten Maßnahmen Wert zu legen.
4. Sichere Systeme Die IT-Systeme müssen den Anforderungen mit ihrer Funktionalität, Sicherheit und Verfügbarkeit genügen und die Nachvollziehbarkeit unterstützen. Compliance beschränkt sich hier nicht nur auf die Anwendungsfunktionalität und das Dokumentenmanagement, sondern schließt den gesamten Betrieb der Lösung ein.
Obwohl Compliance sehr viel mit Dokumenten und Dokumentation zu tun, gilt es bei den Anforderungen immer in Prozessen zu denken. Das Hauptproblem von Compliance ist dabei, dass die Maßnahmen zunächst einmal viel Geld und organisatorischen Aufwand kosten, ohne dass hierdurch mehr Geschäft generiert wird. Compliance ist daher den meisten ein ungeliebtes Kind. Wenn man aber sein Unternehmen konsequent und strukturiert organisiert, ist durch die Transparenz, die Nachvollziehbarkeit und die integre Verfügbarkeit von Information ein hoher qualitativer Nutzen gegeben, der sich auf längere Sicht auch betriebswirtschaftlich auszahlt.