computerwoche.de

Archiv

An gesetzeskonformer Archivierung führt kein Weg vorbei

Compliance – Risiko E-Mail-Chaos

02.05.2007
Financial Times: „Lösch! Mich! Nicht!“, Frankfurter Allgemeine: „Die ... Bank und die Jäger der verlorenen E-Mails.“ Die Wirtschaftspresse berichtet regelmäßig über Gerichtsprozesse und trafen, die Unternehmen zahlen müssen,weil sie aufbewahrungspflichtige E-Mails nicht mehr finden können.Meist beziehen sich diese Berichte auf spektakuläre Fälle in den USA, die dort tätige deutsche Unternehmen betreffen. Also außerhalb der USA kein Thema? Falsch. Denn auch in Deutschland müssen bei der Verwaltung von E-Mails gesetzliche Vorschriften beachtet werden. Und dies gilt für alle relevanten Dokumente inklusive E-Mails, deren Verwaltung den Compliance-Anforderungen des Handelsgesetzbuchs, der Abgabenordnung (AO), nach GDPdU, GOBS,KonTraG (Gesetz zur Kontrolle und Transparenz in Unternehmen) oder vielen branchenspezifischen Vorschriften, von Basel II bis zu Dokumentationsvorschriften verschiedener Industrien, unterliegt. Wobei der häufig zitierte Sarbanes-Oxley Act eben auch deutschen Unternehmen, die in den USA Geschäfte machen, weitreichende Archivierungspflichten auferlegt.

Ein Unternehmenskatalog für alle rechtlich relevanten Inhalte

Viele deutsche Unternehmen betreiben seit Jahren eine Posteingangsstelle, in der Dokumente gesichtet, gescannt und basierend auf der Klassifizierung revisionssicher archiviert werden. Dagegen setzen sich Firmen in den USA und in vielen europäischen Ländern erst seit wenigen Jahren mit revisionssicherer Archivierung auseinander – getrieben von Compliance-Anforderungen vor allem durch den Sarbanes-Oxley Act (Sox). Doch obwohl Deutschland als Weltmeister bei der elektronischen Archivierung gilt, sind viele deutsche Unternehmen von der gesetzeskonformen Aufbewahrung aller relevanten Dokumente inklusive E-Mails noch weit entfernt.

Ein Grund für diese Versäumnisse liegt sicherlich in der organisatorischen und technischen Komplexität einer umfassenden Archivierung relevanter E-Mails, hat doch jeder Anwender seinen persönlichen Mail-Eingang. Analog verfügt er noch über seine lokale Festplatte, seine persönlichen und Gruppenverzeichnisse, wo Dokumente, Tabellen oder Präsentationen gespeichert werden, die oft ebenfalls als geschäftsrelevante Handelsbriefe einzustufen sind. Die Einbeziehung dieser dezentralen Ablagen in ein umfassendes Archivierungskonzept ist nicht nur eine technische, sondern vor allem eine organisatorische Herausforderung.

In der Zusammenwirkung von Rechtsabteilung, Geschäftsführung, Organisation und IT sollte ein Konzept erstellt werden, das festhält, welche Inhalte wie lange und auf welche Weise aufzubewahren sind.Wichtig ist auch die Sensibilisierung der Anwender für die Compliance-Problematik, und natürlich muss die Technik eingeführt werden, mit der ein Unternehmen die Anforderungen möglichst einfach und komfortabel umsetzen kann.

Benötigt wird eine Enterprise-Content-Management-Plattform, auf der alle Inhalte in einem einzigen Unternehmenskatalog verwaltet werden: Rechnungen und Lieferscheine aus SAP oder vom Großrechner, gescannte Dokumente, Faxe, E-Mails und Office-Dateien.

Endanwender bei der Archivierung unterstützen

Eine andere Frage ist jedoch, ob die Anwender immer über die Disziplin, die Zeit und das Wissen verfügen, die zur Verschlagwortung und Ablage aller relevanten Office-Dokumente und E-Mails nötig sind.Deshalb sind Funktionen sinnvoll, die automatisch den Inhalt von E-Mail-Postfächern oder lokalen und Netzwerkdateiablagen analysieren und darauf basierend die entsprechenden Dokumente selbstständig oder nach Nachfrage im ECM-System ablegen. Die entsprechenden Regeln sind durch Experten aus der Rechtsabteilung und Organisation über Records Management zu definieren, sodass der Lebenszyklus von Vorgängen, Akten und Dokumenten automatisch gesteuert wird.

Über Content Federation alle Repositories kontrollieren

Zusätzliche Komplexität kann daraus entstehen,wenn relevante Dokumente auch in anderen Systemen, von Sharepoint bis zu Documentum-Repositories, abgelegt sind. Idealerweise kann ein leistungsfähiges ECM-System über Content-Federation-Funktionen auch auf diese Inhalte die unternehmensweiten Compliance-Regeln anwenden.Vor diesem Hintergrund sollten Unternehmen auch jenen eifrigen Verkäufern kritisch gegenüberstehen, die Microsoft Sharepoint als ECM- und Compliance-Lösung positionieren. Es gilt sehr genau zu prüfen, ob wirklich die entsprechenden Anforderungen wie Integration von SAP- oder Großrechner-Output und Langzeitarchivierung abgedeckt werden.

Alle solchen Module und Funktionen – automatisierte Übernahme von E-Mails und Dokumenten,Records Management, E-Mail Management, Office-Integration,Content Federation – sind als Technologiebausteine für eine Compliance-Lösung notwendig. Weitere Module kommen je nach Unternehmen hinzu, von der SAP-Integration bis zu COLD. Discovery-Funktionen können eine weitere sehr sinnvolle Ergänzung sein. All dies macht deutlich, dass eine homogene und leistungsfähige ECM-Plattform benötigt wird, um Compliance-Projekte erfolgreich zu realisieren. Der Schwerpunkt eines Compliance-Projekts sollte auf einer möglichst reibungsfreien Umsetzung der organisatorischen und juristischen Anforderungen liegen und nicht auf der Bewältigung technologischer Integrationsprobleme.

Mehr Informationen zum Thema Compliance finden Sie unter:

www.filenet-unverzichtbar.de/Compliance

Autor: Stefan Pfeiffer, Marketing Director ECM bei IBM