Elektronische Archivierung - Nutzen ziehen aus der by Web Support

• Unabhängige Beratung, Projektunterstützung & Training in IT-Compliance • IT-Sicherheit • Datenschutz

Elektronische Archivierung s

Nutzen ziehen aus der gesetzlichen Auflage Expertenwissen kompakt 30. März 2011

© 20093rd– Mind 2011Business 3rd Mind Business www.3rd-mind.com 6173 – 322 527 • Fax +49 (0) 6173 – 322 528 • info@3rd-mind.com 1 Consulting e.K.Consulting • Langer Wege.K 60 ••65760 Eschborn • Tel. +49 (0) • www.3rd-mind.com

• Unabhängige Beratung, Projektunterstützung & Training in IT-Compliance • IT-Sicherheit • Datenschutz

Wichtige Information – Important information Urheberrecht und Markenschutz Diese Präsentation unterliegt nach dem Urheberrechtsgesetz (UrhG) dem Urheberrecht von 3rd Mind Business Consulting e.K. Die Inhalte dieser Präsentation sowie die darin enthaltenen Informationen dürfen nicht verändert oder in irgendeiner Form ohne die ausdrückliche Genehmigung von 3rd Mind vervielfältigt werden. Alle Markennamen, Logos und Handelsmarken von 3rd Mind sind markenrechtlich geschützt, alle weiteren, die in dieser Präsentation erwähnt werden, dienen nur der Information. 3rd Mind übernimmt keinerlei Haftung für die Auswahl oder die Leistung (dahinter). Diese weiteren Zeichen und Namen unterliegen evtl. ebenfalls Urheberrechten Dritter und den uneingeschränkten Bestimmungen der jeweils geschützten Marken- sowie den Besitzrechten der jeweiligen eingetragenen Eigentümer. Werden Markenzeichen nur erwähnt lässt sich daraus nicht schlussfolgern, dass diese Markenzeichen nicht durch Rechte Dritter geschützt sind. Das Urheberrecht für veröffentlichte, von 3rd Mind als Autor selbst erstellte Objekte verbleibt allein bei 3rd Mind. Jegliche Vervielfältigung oder Verwendung solcher Grafiken und Text-Informationen in anderen elektronischen oder gedruckten Publikationen ist ohne ausdrückliche – schriftliche – Zustimmung von 3rd Mind definitiv nicht gestattet. Vielen Dank für die Berücksichtigung dieser Hinweise Copyright and official trademark This presentation is under restriction of copyright by 3rd Mind Business Consulting e.K. The material contained within this presentation may not be altered or duplicated in any way without the explicit authorization of 3rd Mind. All brands, logo and trademarks of 3rd Mind are protected by trademark law, all other mentioned in this presentation are for information only and 3rd Mind accepts no liability for their selection or performance and, if applicable, are protected by third parties without restriction subject to the conditions of the respective trademark law and the rights of ownership of the respective registered proprietary. If trademarks are simply mentioned, one cannot draw a conclusion that trademarks are not protected by rights of third parties. The copyright for published objects compiled by 3rd Mind as the author himself remains exclusively by 3rd Mind. Copying or using such illustrations and text information’s in other electronic or printed publications is still not permitted without – written – 3rd Minds explicit agreement. Thank you for note this terms of use © 2009 – 2011 3rd Mind Business Consulting e.K • www.3rd-mind.com

• Unabhängige Beratung, Projektunterstützung & Training in IT-Compliance • IT-Sicherheit • Datenschutz

Unternehmen – Eckdaten Zentral: Firmensitz in Eschborn bei Frankfurt am Main Unabhängig: Inhabergeführt • hersteller- und technologieneutral Spezialisiert: IT-Compliance • IT-Sicherheit • Datenschutz (BDSG) Zielgerichtet: Beratung • Projektunterstützung • Dienstleistung • Know-how Transfer Starkes Kompetenznetzwerk:

• Unabhängige Beratung, Projektunterstützung & Training in IT-Compliance • IT-Sicherheit • Datenschutz

Kernkompetenzen – Beratung • Projektunterstützung • Beauftragung Beratung & Projektunterstützung IT – Compliance • Rechtssichere E-Mail-Archivierung • Elektronische Langzeitarchivierung

IT – Sicherheit • Datensicherheit (Desaster / Recovery, BC) • Identity Management, Kryptographie etc.

Beratung & Beauftragung Datenschutz (zertifiziert nach § 4f (2) BDSG) • Ext. Datenschutzbeauftragter (Bestellung) • Datenschutz Beratung • Datenschutz Dienstleistung • Datenschutz Auditierung

Betriebssicherheit • Risiko-Analysen & IT-Sicherheits-Checks • Security-Policies & Sicherheitsrichtlinien • In Anlehnung an bewährte Sicherheitsstandards © 2009 – 2011 3rd Mind Business Consulting e.K • www.3rd-mind.com

• Unabhängige Beratung, Projektunterstützung & Training in IT-Compliance • IT-Sicherheit • Datenschutz

Know-how Transfer – fast 2 Dekaden Expertise Aktuelle Seminare, z.B. Einführung von „rechtssicherer“ E-Mail-Archivierung IT-Compliance im Finanzwesen / für Unternehmen Grundlagen BSI Grundschutz Standards Einführung von Datenschutz im Unternehmen

Inhouse-Workshops Grundlagenwissen • IT – Compliance • IT – Sicherheit • Datenschutz

Individuelle Trainings • Themenbasiert (auch nach Vorgaben) • Prozessorientiert (Fachabteilungen)

• Unabhängige Beratung, Projektunterstützung & Training in IT-Compliance • IT-Sicherheit • Datenschutz

Unternehmergespräche – Projektvorbereitung & konkrete Sachfragen Rechtssichere E-Mail-Archivierung Gesetzliche Rahmenbedingungen / Betriebliche Übung Wege zur individuellen Konzeption und Projektierung Auswahl der Know-how Träger und Anbieter

IT – Compliance im Betrieb Elektronische Archivierung (E-Mail, DMS, ECM etc.) Kryptographie-Verfahren (Verschlüsselung) Steuerrelevante Datenhaltung (GDPdU & Co.)

IT – Sicherheit im Betrieb Sicherheits-Checks • Sicherheitsrichtlinien Datensicherungs- & Notfall-Konzepte

Aktiver, moderner Datenschutz im Unternehmen Einführung von rechtssicheren Datenschutz-Maßnahmen Bestellung • Beratung • Dienstleistung • Audits © 2009 – 2011 3rd Mind Business Consulting e.K • www.3rd-mind.com

• Unabhängige Beratung, Projektunterstützung & Training in IT-Compliance • IT-Sicherheit • Datenschutz

Elektronische (E-Mail-) Archivierung – Nutzen aus gesetzlichen Auflagen

• Unabhängige Beratung, Projektunterstützung & Training in IT-Compliance • IT-Sicherheit • Datenschutz

Agenda Grundsatz: Aufgabe und Nutzen eines (rechtssicheren) @-Archivs Herangehensweise: Königswege & Kernelemente Hilfestellung: Wie sich am „Markt“ zurechtfinden? Zusammenfassung, F&A

• Unabhängige Beratung, Projektunterstützung & Training in IT-Compliance • IT-Sicherheit • Datenschutz

Gesetzliche Regelung zu elektronischer Archivierung (IT-Compliance) Es gibt KEIN Gesetz, das zur Archivierung von E-Mails verpflichtet! Wohl aber viele, aus denen sich das ableiten lässt • z.B. Handels- & Steuerrecht • Finanzrecht etc. (elektr. Datenträger)

Keine Nennung von „E-Mail“ in Gesetzestexten Dafür genügend in der Rechtsprechung • Newsletter / E-Mail-Werbung

Theorie Keine geschäftlich (steuerlich) relevante Korrespondenz via E-Mail • Handels- / Geschäftsbriefe • Angebote • Bestellungen • Rechungen etc. • „Herkömmlich“ (Post, Fax)

Keine E-Mail-Archivierung verpflichtend (Medium)

• Unabhängige Beratung, Projektunterstützung & Training in IT-Compliance • IT-Sicherheit • Datenschutz

Unternehmenskommunikation im Wandel – E-Mail ist heute der Kern Innert 10 Jahren zum wichtigsten Kommunikationsmittel gewandelt Ablösung klassischer Kommunikation zu 75 %, teilweise sogar über 90% • Anforderungen aus den Geschäftsprozessen (schnell, bequem, kostenlos)

Die gesetzlichen Auflagen - z.B. Aufbewahrungspflichten - sind aber geblieben!

Vielfältiges Gefahrenpotential bei unsachgemäßem Umgang Oft bestehen keine klaren Konzepte und definierte Prozesse • Die Aufbewahrung der E-Mails wird meist den Mitarbeiter/innen überlassen

Gleichgültigkeit und Nichtwissen haben fatale Folgen • Organisationshaftung – kein Schutz vor Strafen, gerichtlichen Nachteilen etc.

E-Mail-Archive sind kein „Standard-Blech“ Server • PC • Laptops • Storage etc. – Hersteller ist funktional „egal“ @-Archive dienen der IT-gestützten Einhaltung von (gesetzlichen) Auflagen: IT-Compliance © 2009 – 2011 3rd Mind Business Consulting e.K • www.3rd-mind.com

• Unabhängige Beratung, Projektunterstützung & Training in IT-Compliance • IT-Sicherheit • Datenschutz

Was ist IT-Compliance?

„Es gibt auf der Welt ca. 30.000.000 Gesetze, um [die] 10 Gebote abzubilden.“

Albert Schweitzer

• Unabhängige Beratung, Projektunterstützung & Training in IT-Compliance • IT-Sicherheit • Datenschutz

IT-Compliance – Technologie ist nur EIN Bestandteil davon IT-Compliance beinhaltet drei Kriterien Anforderung (§§) - Rechtliche Rahmenbedingungen und Aufbewahrungsfristen Technologie (IT) - Mittel zum Zweck mit hohem Automatisierungsgrad Ökonomie ( ) - „Angemessenes“ Budget zur Erreichung der Ziele

Kardinalssatz „Nicht alles, was technologisch machbar, ist juristisch erlaubt oder betriebswirtschaftlich sinnvoll!“ Jede Entscheidung in den Bereichen IT-Compliance kennt nur diese zwei Richtungen:

• Unabhängige Beratung, Projektunterstützung & Training in IT-Compliance • IT-Sicherheit • Datenschutz

(IT-) Compliance – (IT-gestützte) Einhaltungsgrad mehrerer Auflagen Wort-Definition „Compliance“ Laut Dictionary geht es dabei um den Grad der Einhaltung gewisser Vorgaben aus unterschiedlichen Quellen Wie auf einer Skala spiegelt sich die Summe des Einhaltungsgrades aller Anforderungen auf der Geschäftsebene wider. Compliance - Skala

• Unabhängige Beratung, Projektunterstützung & Training in IT-Compliance • IT-Sicherheit • Datenschutz

IT-Compliance – Eingeschränkte Bewegungsfreiheit Die rechtlichen Vorgaben Das Erlaubte (gesetzliche Anforderungen)

Die Prozesse Das Gewünschte (z.B. @ / DMS im täglichen Ablauf)

Das Budget Das Bezahlbare („Komfort-Level“)

Die Technologie

Das Machbare (Umsetzung)

Die schlechte Nachricht:

Die gute Nachricht: 75 % volle Bewegungsfreiheit

Entscheidend sind die ersten 25%!

• Unabhängige Beratung, Projektunterstützung & Training in IT-Compliance • IT-Sicherheit • Datenschutz

Unterschiede bei der Archivierung – Papier vs. Elektronisch Die Gründe für die Archivierung von Post sind gleich Die Information Inhaltliche Nachweise

Aufbewahrung der Korrespondenz

Rechtsicherheit z.B. bei geschäftlichen Handlungen

Es gibt aber EINEN Unterschied Einen Brief zu fälschen ist schwer (Papier, Farbe, Schrift, Unterschrift) Einen elektronischen Brief dagegen überhaupt nicht Eine Standard-E-Mail (alleine) hat keine Beweiskraft

• Unabhängige Beratung, Projektunterstützung & Training in IT-Compliance • IT-Sicherheit • Datenschutz

Standard-E-Mails haben kaum Beweiskraft

Outlook 2007

• Unabhängige Beratung, Projektunterstützung & Training in IT-Compliance • IT-Sicherheit • Datenschutz

Veränderung ist schwer nachzuweisen – außer bei einer @-Archivierung

• Unabhängige Beratung, Projektunterstützung & Training in IT-Compliance • IT-Sicherheit • Datenschutz

Helfen Signaturen ?

Angaben auf Handels- / Geschäftsbriefen §§ 37a, 257 HGB, 35a GmbHG, 80 AktG (auch @!)

Signaturen helfen bestenfalls als Absendernachweis Nur in Form einer „qualifizierten Signatur“ (SigG, SiGV, §§ 126, 127 BGB, VwVFG, ...) Sie verifizieren NICHT den Inhalt

• Unabhängige Beratung, Projektunterstützung & Training in IT-Compliance • IT-Sicherheit • Datenschutz

MUST, not an OPTION - Einhaltung gesetzlicher Archivierungspflichten Aufbewahrungspflichten § 239 HGB (Führen der Handelsbücher) § 146 (4, 5) AO (3) Eine Eintragung oder eine Aufzeichnung darf nicht in einer Weise verändert werden, daß der ursprüngliche Inhalt nicht mehr feststellbar ist. Auch solche Veränderungen dürfen nicht vorgenommen werden, deren Beschaffenheit es ungewiß läßt, ob sie ursprünglich oder erst später gemacht worden sind. Unveränderbarkeit (4) Die Handelsbücher und die sonst erforderlichen Aufzeichnungen können auch [...] auf Datenträgern geführt werden, soweit diese Formen der Buchführung [...] den Grundsätzen ordnungsmäßiger Buchführung [GoB, ab 1995 GoBS] entsprechen. elektronisches Archiv Bei der Führung der Handelsbücher und der sonst erforderlichen Aufzeichnungen auf Datenträgern muss insbesondere sichergestellt sein, dass die Daten während der Dauer der Aufbewahrungsfrist verfügbar sind und jederzeit innerhalb angemessener Frist lesbar gemacht werden können. Verfügbarkeit (IT-Sicherheit Datensicherheit Backup / Recovery)

• Unabhängige Beratung, Projektunterstützung & Training in IT-Compliance • IT-Sicherheit • Datenschutz

Nutzen eines Archivs: Die Recherchefunktion „Wir haben doch ein Backup – wozu brauchen wir ein Archiv?“ 1. Unterschied: Geschäftsprozess - Ebene Was ist das Wichtigste am Backup? • RECOVERY - Das Wieder - herstellen von Daten

Was ist das Wichtigste am Archiv? • DISCOVERY – Das Wieder - finden von Informationen

2. Unterschied: Technologie - Ebene Keine einzelne Daten aus einem „Backup-String“ Dagegen einzelne Datenobjekte im Archiv

3. Unterschied: Juristische Ebene Ein Backup beinhaltet immer die Kopie - Das Archiv immer das Original! Archivierte Daten müssen zwingend (zeitnah) gefunden werden ( Verfügbarkeit)! Ein sehr wichtiges Kriterium ist demnach die Suchfunktion in einem Archiv © 2009 – 2011 3rd Mind Business Consulting e.K • www.3rd-mind.com

• Unabhängige Beratung, Projektunterstützung & Training in IT-Compliance • IT-Sicherheit • Datenschutz

Wer suchet, der findet (hoffentlich) - gesetzliche Archivierungsfristen Aufbewahrungsfristen § 257 HGB (Aufbewahrung v. Unterlagen / Aufbewahrungsfristen) § 147 AO (1) Jeder Kaufmann ist verpflichtet, die folgenden Unterlagen geordnet aufzubewahren: • 1. Handelsbücher, Inventare, Eröffnungsbilanzen, Jahresabschlüsse, Einzelabschlüsse nach § 325 Abs. 2a, Lageberichte, Konzernabschlüsse, Konzernlageberichte sowie die zu ihrem Verständnis erforderlichen Arbeitsanweisungen und sonstigen Organisationsunterlagen, • 2. die empfangenen Handelsbriefe (AO: oder Geschäftsbriefe) • 3. Wiedergabe der abgesandten Handelsbriefe (AO: oder Geschäftsbriefe) • Buchungsbelege (Rechnungen etc.)

(4) Die in Absatz 1 Nr. 1 und 4 aufgeführten Unterlagen sind zehn Jahre, die sonstigen in Absatz 1 aufgeführten Unterlagen sechs Jahre aufzubewahren. Kurz: Handelsbriefe (auch E-Mails*) 6 Jahre nach Datum, steuer-relevante Unterlagen 10 Jahre nach Abschluss des Wirtschaftsjahres * = Verweis auf GoBS

• Unabhängige Beratung, Projektunterstützung & Training in IT-Compliance • IT-Sicherheit • Datenschutz

Weitere Aufbewahrungsfristen ... ?

2 Jahre Nahrungsmittelfertigung nach Markteinführung 3 Jahre Morphine und Medikamente nach Verkaufsende 4 Jahre Finanzaudit b. AG n. Prüfung 5 Jahre Biologische Produkte, n. Fertigung Sarbanes Oxley BDSG

Handelsbriefe (auch E-Mails) - 6 Jahre Personaldaten nach Ausscheiden d. MA - 10 Jahre Steuerlich relevante Daten nach FJ Abschluss - 10 Jahre

HGB, AO, GDPdU, GoBS

Röntgenaufnahme /Behandlungsakten - 10 Jahre Medizinische Aufzeichnungen für Kinder – mind. 21 Jahre

KgVO, BO, RöntgenVO BGB

Giftige Inhaltsstoffe nach Audit-Ende - 30 Jahre Röntgenbehandlung / Krankengeschichte / Haftungsfälle - 30 Jahre Lebensversicherungspolicen - > 100 Jahre 1

20 Minimale Speicherdauer

• Unabhängige Beratung, Projektunterstützung & Training in IT-Compliance • IT-Sicherheit • Datenschutz

Zusammenfassung – Archivierungspflichten aus Handels- & Steuerrecht Nicht-veränderbar und Nachweis für Original und Herkunft Dokumentationspflicht für das Verfahren Handelsbriefe: 6 Jahre ab Datum Steuer-relevante Daten: 10+ Jahre nach Abschluss des Fiskaljahres Digital erzeugte Dokumente sind auch digital zu archivieren

• Unabhängige Beratung, Projektunterstützung & Training in IT-Compliance • IT-Sicherheit • Datenschutz

Stichwort: Datenschutz + Privatnutzung betrieblicher E-Mail

• Unabhängige Beratung, Projektunterstützung & Training in IT-Compliance • IT-Sicherheit • Datenschutz

Datenschutz – Kein „freies“ Archivieren bei Nicht-Regelung

Keine Verpflichtung des AG, eine Privatnutzung von @ u. Web zu gestatten Bei ungeregelter Nutzung / Duldung bzw. betrieblicher Übung gilt jedoch: Der Arbeitgeber „mutiert“ juristisch zu einem Telemedien-Diensteanbieter • Automatisch greifen §§ 11 (1) (Definition) TMG und 91 ff. (Datenschutz) TKG

AG muss das Fernmeldegeheimnis wahren ( § 88 TKG) Inhaltliche Zugriffe im Archiv nur unter Auflagen: • Nur mit Einwilligung ( § 4a BDSG) des AN, bei behördlicher Aufforderung etc.

Kein Scannen von ausgehenden Privat-Mails! Kennzeichnung???? Das Scannen eingehender @ ist rechtlich umstritten • Bei fälschlich als „Dienstmail“ gekennzeichneten eingehenden Privat-@ muss unverzüglich nach der Kenntnis dieser Mail dieselbe dem Adressaten zur alleinigen Einsicht vorgelegt werden

Eine automatisierte E-Mail-Archivierung ist nur mit Regelung praktizierbar! siehe Urteile wie das vom BVG (03/2006 bzw. 02/2007), das VG Frankfurt (11/2008) u.a.

• Unabhängige Beratung, Projektunterstützung & Training in IT-Compliance • IT-Sicherheit • Datenschutz

Datenschutz – Automatisiertes Archivieren bei Regelung Der AG verbietet in Regelungen die private Nutzung* Der AN nutzt die TK – Einrichtungen dann „auf eigene Gefahr“ Der Arbeitgeber ist juristisch kein Telemedien-Diensteanbieter (§ 11 (1) TMG) Zentrale Speicherung / Archivierung möglich Inhaltliche Zugriffe erfordern nur bei Kennzeichnung „Privat“ Einwilligung Scannen aller aus- und eingehenden Mails!

Nutzung in BV und Arbeitsvertrag (Side-Letter) regeln Regelmäßig kontrollieren, ggf. sanktionieren und dokumentieren • Vermeidung von Duldung, „Abrutschen“ in betriebliche Übung • Verfahrensbeschreibung in Datenschutz-Dokumentation (erl. der Datenschutzbeauftragte) • Dokumentation dient der Exculpation der „Leitung der verantwortlichen Stelle“

• Unabhängige Beratung, Projektunterstützung & Training in IT-Compliance • IT-Sicherheit • Datenschutz

Einige gute Gründe für eine (rechtssichere) E-Mail-Archivierung Rechtssicherheit in der Korrespondenz Einhaltung gesetzlicher Auflagen (Compliance) • Handelsrecht • Steuerrecht • Wirtschaftsrecht • Arbeitsrecht ...

Sicherheit in Streitfällen • E-Mail erhält Beweiskraft

IT-Sicherheit in den Abläufen Transparenz in der Kommunikation • Transaktionen werden beleghaft nachvollziehbar • Alle Beteiligten sind identifizierbar

Erhöhung des Sicherheitsniveaus • „Unfreundlicher Informationsabfluss“ via E-Mail zu riskant

Informationserhalt • Keine „aus Versehen“ gelöschte E-Mails mehr

• Unabhängige Beratung, Projektunterstützung & Training in IT-Compliance • IT-Sicherheit • Datenschutz

„Nicht alles, was technologisch machbar, ist auch juristisch erlaubt, oder betriebswirtschaftlich sinnvoll“.

• Unabhängige Beratung, Projektunterstützung & Training in IT-Compliance • IT-Sicherheit • Datenschutz

Wenn es gut läuft, haben Sie „nur“ Geld versenkt und verstoßen weiterhin gegen gesetzliche Auflagen. Wenn es schlecht läuft, machen Sie sich zusätzlich noch aus dem Betrieb heraus juristisch angreifbar. © 2009 – 2011 3rd Mind Business Consulting e.K • www.3rd-mind.com

• Unabhängige Beratung, Projektunterstützung & Training in IT-Compliance • IT-Sicherheit • Datenschutz

Kleiner Selbsttest – Wofür nutzen Sie E-Mail in den Prozessen? Welche Inhalte werden über E-Mail kommuniziert? Geschäftsrelevante Inhalte • „Kantinen-E-Mails“ Private E-Mails

Was ist die derzeitige „bevorzugte“ Ablageform? Lokaler Ordner? PDF auf Server? Ausdruck? „Rumdümpeln“ im Posteingang?

Wie hoch ist die Beweiskraft dieser Ablageform? Kann ich die abgelegte E-Mail verändern? B. = 0 (NULL)

Welchen „Komfort-Level“ benötigt das Unternehmen? Kann eine rechtssichere E-Mail-Archivierung sinnvoll in die täglichen Abläufe integriert werden? Sollen archivierte E-Mails nur „im Notfall“ gezogen werden, findet Recherche statt etc.? © 2009 – 2011 3rd Mind Business Consulting e.K • www.3rd-mind.com

• Unabhängige Beratung, Projektunterstützung & Training in IT-Compliance • IT-Sicherheit • Datenschutz

Die vier Eckpunkte eines „rechtssicheren“ elektronischen Archivs MUSS

Rechtliche Rahmenbedingungen I (was MUSS ich aufbewahren?) Aufbewahrungspflichten, Dokumentationspflichten, Aufbewahrungs- und Verjährungsfristen, Nachweispflichten, Unveränderbarkeit, Verschlüsselung, Sorgfaltspflichten, ...

DARF

Interne Anforderungen (was DARF ich aufbewahren? / kfm. Nutzen) Wissensarchiv, Projekt-Datenbank, Urlaubs- und Krankheitsvertretung, Nachweise, Erklärungen, Genehmigungen, ...

SOLL NICHT

Speicherbereinigung (was will ich auf keinen Fall aufbewahren?) Spiced Pork And HaM (Dosenfleisch im Archiv)

DARF NICHT

Rechtliche Rahmenbedingungen II (was ist mir verboten, aufzubewahren?) Ohne Weiteres keine privaten E-Mails, keine private Korrespondenz, keine abgelehnten Bewerbungen (AGG), Betriebsratsprotokolle, ...

• Unabhängige Beratung, Projektunterstützung & Training in IT-Compliance • IT-Sicherheit • Datenschutz

Zu klärende Kernfragen – VOR dem Technologie-Entscheid Grundlagen

Nutzenfaktoren + „interne Sicherheit“

Fachkonzept

Auflagenseite

Interne Anforderungen

Ausprägung

§§ Rechtliche Vorgaben

Aufbewahrung und Zugriffsrechte sowie

Einhaltung der Auflagenseite

Schutz- & Sicherheitsniveau

Aufbewahrungsfristen Dokumentationspflichten Nachweispflichten (KWG)

Erfüllung interner Anforderungen

- Geschäftsleitung / Management - Finance & Controlling, Buchhaltung, - Personalwesen, Betriebsrat / Personalrat

Sicherheitsregeln

- Forschung & Entwicklung, Konstruktion - Firmenwissen (Intellectual Property), etc.

Zugriffsregelungen

Leitlinien Richtlinien Standards etc.

Automatisierungsgrad

Datenschutz (z.B. Privatnutzung von E-Mail Erlaubt? Regelungen?

Verboten? BV / DV?

Geduldet?

Dokumentations- / Nachweispflichten

Betriebliche Übung?

UMSETZUNG

Interne Vorgaben

• Unabhängige Beratung, Projektunterstützung & Training in IT-Compliance • IT-Sicherheit • Datenschutz

Wenn Sie das Pferd von hinten aufzäumen und mit der Technologie anfangen ohne Ihre externen und internen Anforderungen zu kennen - bewegen Sie sich nur im Rahmen der herstellerseitigen Limitierungen Und nicht im Rahmen des Erlaubten • Gewünschten • Möglichen • Bezahlbaren © 2009 – 2011 3rd Mind Business Consulting e.K • www.3rd-mind.com

• Unabhängige Beratung, Projektunterstützung & Training in IT-Compliance • IT-Sicherheit • Datenschutz

Drei wesentliche Elemente eines „rechtssicheren“ Archivs

Unveränderbarkeit

Eine Buchung oder eine Aufzeichnung darf nicht in einer Weise verändert werden, dass der ursprüngliche Inhalt nicht mehr feststellbar ist. [...]. Bsp.: §§ 239 (3) HGB, 146 (4) AO

Verfügbarkeit

IT-Sicherheit

Bei der Führung der Handelsbücher [...] auf Datenträgern muß insbesondere sichergestellt sein, daß die Daten während der Dauer der Aufbewahrungsfrist verfügbar sind und jederzeit innerhalb angemessener Frist lesbar gemacht werden können.

Schutz vor - Verlust - Zerstörung - Manipulation - Diebstahl (z.B. § 9 BDSG)

Bsp.: § 239 (4) HGB

• Unabhängige Beratung, Projektunterstützung & Training in IT-Compliance • IT-Sicherheit • Datenschutz

Herangehensweisen an den Markt – Anbieterübersicht ÜBERSICHT - 87 x Anbieter (KEIN Anspruch auf Vollständigkeit • KEINE Wertung!) – alphabetisch Achab S.r.l.

Dokucom GmbH

GSD Software

Mimosa Systems

Sfbit GmbH

agorum Software GmbH

Captaris, Inc.

DSP Consult

H&S-Software AG

Mirapoint

Siebnich.com

antispameurope GmbH

Centaur GmbH

Easy Software AG

Habel

Message Labs

Softmine GmbH

ARTEC Computer GmbH

Ceyoniq Technology GmbH

EDS

Hyland/Document Solutions

Nowis GmbH

Sun Microsystems

Autonomy

Clearswift Inc

ELO Digital Office GmbH

IBM

OOTP Development GmbH

Symantec

AXSone

COI

EMC Corp

imos gmbH

Open Text

T-Systems

azeti Networks GmbH

com2 GmbH

Eurebis AG

Ironmountain

Optimal Systems GmbH

T.I.M. AG

Barracuda Networks

CommVault

GFi Software

Itio GmbH

PROCAD GmbH & Co. KG

Windream GmbH

BDV GmbH

CSB System AG

GFT Solutions

kippdata informationstechnologie

PW&T

Xerox Corp.

bitbone AG

daa Consult GmbH

gingcom GmbH

Lintegra GbR

Quest Software GmbH

Zantaz

BOO Technologies

d.velop AG

Google Inc

Marcant GmbH

Recommind

ZOE-One GmbH

Braintribe Technologies GmbH

daa Consult

Gotomaxx GmbH

Megabit Informationstechnik GmbH

rent a brain GmbH

ZyLab

Bull GmbH

deepinvent Software GmbH

Grau Data Systems

Message Partners

retarus GmbH

ByteAction GmbH

DM Dokument-Mgnt GmbH

GROUP Technologies AG

Messaging Architects

Saperion AG

C2C

DocuWare AG

GruppeMedia

Microsoft

SER Solutions

• Unabhängige Beratung, Projektunterstützung & Training in IT-Compliance • IT-Sicherheit • Datenschutz

Marktübersicht – Software-Lösungen ÜBERSICHT - 55 x Software (KEIN Anspruch auf Vollständigkeit • KEINE Wertung!) - alphabetisch Active One

Decisiv E-Mail

IMARC

OS.5/EMC

agorum core

DocuFRAME

infopeak cd

Out-Storage Management

Alchemy Mailstore

DocuWare

IPEX E-Mail-Archivierung

PRO.FILE

Archive Server for Mdaemon

DOXiS E-Mail Center

iQ.Suite Store

Quest Archive Manager

AXS-One Compliance Platform

EASY Notes • EASY xBASE

Livelink ECM

S4EP E-Mail-Archivierung

Braintribe DMS Mail

ELOprofessional, ELOenterprise

M+Archive

Saperion E-Mail-Lifecycle-Management

CA Message Manager

EMC EmailXtender

MailArchiva

scanview

Calypso

Enterprise Vault

MailStore Server

Simpana

CCMS Content and Compliance Management Solution COI-BusinessArchive for MS Exchange/ Lotus/Groupwise CommonStore for Exchange (CSX) • Lotus Dom. (CSLD)

exchange@PAM

MAP Mail Archive Pro

Uniarchiv +

Gfi MailArchiver+

maxx Archive Mail & Print

windream

GFT inboxx

MPP oder bitkit-MAILGATE

Xerox DocuShare

CRIA

HABEL-E-MAIL-ARCHIVIERUNG

NearPoint

ZANTAZ EAS for Exchange

CSB-System

im(R)Mail

nscale 6 for Microsoft Exchange • Lotus • GroupWise

ZyIMAGE+

d.3-d.link f. exchange • Lotus Notes • Groupw. • Tobit Dav.

ImageMaster for Microsoft Exchange

OnBase

• Unabhängige Beratung, Projektunterstützung & Training in IT-Compliance • IT-Sicherheit • Datenschutz

Marktübersicht – Appliances* ÜBERSICHT - 19 x Appliances (KEIN Anspruch auf Vollständigkeit • KEINE Wertung!) - alphabetisch azeti M Email-Archiv

IMARC-Appliance

Barracuda Message Archiver

Jatheon Plug n Comply

bitkit Mailgate

Megabit Emailarchiv

ComplianceVault

NetOrchestra

DiskPAK BettyMail

NorthSeas

Betty Mail

REDDOXX Maildepot

DSP e-mail Archiv

scanvew e-Archiv

EMA

Sofmine Archiver

Emailarchiv

ZOE.box 300

gingcom T2.2

• Unabhängige Beratung, Projektunterstützung & Training in IT-Compliance • IT-Sicherheit • Datenschutz

Marktübersicht – Online-Anbieter ÜBERSICHT - 19 x „as-a-Service“ (KEIN Anspruch auf Vollständigkeit • KEINE Wertung!) - alphabetisch ByteStorMail

Mail-to-Store

Centaur Emailarchivierung

Managed Storage Services

Digital Safe

MIMEsweeper Email Managed Service

Dynamic Services for Archiving

Postini

E-Mail Archive Service

Remote-Archiv

GFT inoboxx

RMX Managed E-Mail-Service

Hosted Email Archiving

Softmine Archiver

Hosted Exchange Service

store4me

IMARC

Total Email Management Suite

lobo-s@fe

• Unabhängige Beratung, Projektunterstützung & Training in IT-Compliance • IT-Sicherheit • Datenschutz

Entscheid: Selektionshilfen Kategorisierung der Funktionen und Erfüllungsgrad im Markt Archivierung nur von E-Mails oder auch anderen Dokumente? • Adressbücher • iCal • Files (DMS)

Anzahl der Postfächer • Multi-Server-Varianten • Einzelserver Spezialfunktionen? • Single-Instance • Push-@ (Schwarzbeere) • Instant-Messaging (Skype etc.)

Migrationsfähigkeit (Technologie-Wandel / Anbieter-Wandel) Skalierung • Lizenzkosten • SLA etc.

Archiv-Funktionen Gehen Sie von Ihren Anforderungen aus (Fachkonzept) • Auto-Delete • Migration • Verschlüsselung • Komprimierung • Suchfunktionen Anhang + Text, ... • Checken Sie die Sicherheitsfunktionen: Ausfallsicherheit / DR • Identity Management • Freeze, ...

Der Anbieter muss zwingend Ihre Anforderungen lösen können!

Definiert im Fachkonzept, ausgerichtet auf Ihre rechtlichen und internen Rahmenbedingungen Alles andere bewegt sich innerhalb der Hersteller-Limits © 2009 – 2011 3rd Mind Business Consulting e.K • www.3rd-mind.com

• Unabhängige Beratung, Projektunterstützung & Training in IT-Compliance • IT-Sicherheit • Datenschutz

Stichwort – Sicherheitsrisiko Rechteverwaltung (Identity Management) Vergabe der Nutzungsrechte User-Rechte Zugriffe im Netzwerk Zugriff auf das Archiv Zugriff auf Datenbanken

Administrator-Rechte

Sicherheits-Check durchführen (lassen)

dito – nur tiefer (Personaldaten?)

Ein- und Austritte Wer hat welche Rechte? Feste und temporäre Zugriffe

Wer hat diese Rechte noch?? Vertreter-Regelungen (Urlaub / Krankheit usw.)

• Unabhängige Beratung, Projektunterstützung & Training in IT-Compliance • IT-Sicherheit • Datenschutz

Stichwort – Zertifikate • Testate • Rechtsgutachten Rechtsgutachten? Juristen bewerten alleine ein IT-System? Beurteilen Informatiker ein Rechtsgeschäft? Erstellt ein Zahnarzt ein Kfz-Gutachten?

Klassiker: „GDPdU-Zertifikat“?? Die GDPdU ist eine Richtlinie – sie zertitifiziert nicht Die Finanzbehörden auch nicht!

Allenfalls ist ein TESTAT aussagekräftig Seriös: von großen Wirtschaftsprüfungsgesellschaften (K/P) Prüfung der Software nach IDW 880 – Juristen UND Informatiker UND Wirtschaftsprüfer Im Ergebnis oft, dass bei „korrekter Einstellung der Parameter“ eine Speicherung nach [...] gewährleistet wird.

Hinterfragen Sie Prüfer • Prüfung • Quellen • Disclaimer

Neutral bewerten lassen

• Unabhängige Beratung, Projektunterstützung & Training in IT-Compliance • IT-Sicherheit • Datenschutz

Stichwort – Beweiskraft von Standard-E-Mails (und deren Anhänge) Ablage im Posteingang / lokalem Ordner der Mail-Anwendung? Keine Beweiskraft, da Manipulation möglich • MS Outlook: wie beschrieben • Lotus Notes: STR + B (gleicher Effekt)

Ablage als Ausdruck auf Papier? Keine Beweiskraft, da Manipulation vorher möglich

Ablage als PDF/x? Keine Beweiskraft, da Manipulation vorher möglich

Sichern auf lokalem Ordner oder Netzlaufwerk? Keine Beweiskraft, da Manipulation vorher möglich

... Nur eine „unveränderbare“ Ablage stellt Beweiskraft sicher!

• Unabhängige Beratung, Projektunterstützung & Training in IT-Compliance • IT-Sicherheit • Datenschutz

Zusammenfassung: Fachkonzept vor jeglichem Technologie-Entscheid! Strategische Überlegungen Externe Anforderungen Interne Anforderungen Sicherheitskriterien Technologie

Herangehensweisen Was muss archiviert werden? Wie lange? Was soll archiviert werden? Wie lange? Was soll nicht archiviert werden? Was darf nicht archiviert werden?

@ Privat!

Fachkonzept Definition der Zugriffsregelungen (4- / 6-Augen-Prinzip, Id. Mgmt.) „Übersetzung“ in Attribute (Features) Definition der richtigen Technologie (Online • Software • Appliance?) Finden der passenden Technologie + des Anbieters © 2009 – 2011 3rd Mind Business Consulting e.K • www.3rd-mind.com

• Unabhängige Beratung, Projektunterstützung & Training in IT-Compliance • IT-Sicherheit • Datenschutz

Vielen Dank für Ihr Interesse

© 20093rd– Mind 2011Business 3rd Mind Business www.3rd-mind.com 6173 – 322 527 • Fax +49 (0) 6173 – 322 528 • info@3rd-mind.com 45 Consulting e.K.Consulting • Langer Wege.K 60 ••65760 Eschborn • Tel. +49 (0) • www.3rd-mind.com

• Unabhängige Beratung, Projektunterstützung & Training in IT-Compliance • IT-Sicherheit • Datenschutz

Ihr Experte für IT-Compliance • IT-Sicherheit • Datenschutz

3rd Mind Business Consulting e.K. Langer Weg 60 65760 Eschborn Telefon Telefax Mobil

+49 (0) 6173 322 527 +49 (0) 6173 322 528 +49 (0) 160 903 963 18

www.3rd-mind.com frank.giebel@3rd-mind.com

• Unabhängige Beratung, Projektunterstützung & Training in IT-Compliance • IT-Sicherheit • Datenschutz

Backup - Exkurs „Betriebliche Übung“ Definition dieser festen Institution in der Rechtsprechung „Unter einer betrieblichen Übung versteht man die regelmäßige Wiederholung bestimmter gleichförmiger Verhaltensweisen des AG, aufgrund deren die AN darauf vertrauen können, dass ihnen eine bestimmte Vergünstigung auf Dauer gewährt werden soll.“

Beispiele Urlaubs- / Weihnachtsgeld Essengeld Fahrtkostenzuschuss Sonstige Vergünstigungen Nutzung von Internet und E-Mail am Arbeitsplatz

Sehr wichtiger Aspekt bei elektronischer Archivierung

Einschränkung seitens des Arbeitgebers „... Freiwillige und jederzeit widerrufbare Leistung, die ...“

• Unabhängige Beratung, Projektunterstützung & Training in IT-Compliance • IT-Sicherheit • Datenschutz

Backup Steuerrechtliche Auflagen – Buchführung GoBS (Grundsätze ordnungsgemäßer DV-gestützter Buchführungssysteme) Originär digitale Dokumente werden [...] auf einen digitalen Datenträger archiviert. E-Archiv Bei originär digitalen Dokumenten [also E-Mail] muss [...] sichergestellt sein, dass während des Übertragungsvorgangs auf das Speichermedium eine Bearbeitung nicht möglich ist. Unveränderbarkeit (auch von E-Mails)

GDPdU (Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen) Rechnung muss eine qualifizierte elektronische Signatur tragen • Absendernachweis / Integritätsprüfung

Empfänger muss diese auf Datenintegrität + Signaturberechtigung prüfen + dokumentieren Die Rechnung auf WORM Datenträger speichern Unveränderbarkeit Dokumentationspflicht des Eingangs, Konvertierung, Verarbeitung und Archivierung Die eingesetzten Verfahren und Systeme müssen den GoBS entsprechen © 2009 – 2011 3rd Mind Business Consulting e.K • www.3rd-mind.com

• Unabhängige Beratung, Projektunterstützung & Training in IT-Compliance • IT-Sicherheit • Datenschutz

Backup – Datenschutz (Telemediengesetz) TMG (Telemediengesetz) Anbieter / Nutzer Verhältnis - § 11 (1) Die Vorschriften dieses Abschnitts [Datenschutz] gelten nicht für die Erhebung und Verwendung personenbezogener Daten der Nutzer von Telemedien, soweit die Bereitstellung solcher Dienste • 1. im Dienst- und Arbeitsverhältnis zu ausschließlich beruflichen oder dienstlichen Zwecken oder • 2. innerhalb von oder zwischen nicht öffentlichen Stellen oder öffentlichen Stellen ausschließlich zur Steuerung von Arbeits- oder Geschäftsprozessen erfolgt.

(2) Nutzer im Sinne dieses Abschnitts ist jede natürliche Person, die Telemedien nutzt, insbesondere um Informationen zu erlangen oder zugänglich zu machen.

• Unabhängige Beratung, Projektunterstützung & Training in IT-Compliance • IT-Sicherheit • Datenschutz

Backup – Datenschutz (Telekommunikationsgesetz) /1 TKG Wahrung der Nutzerinteressen - § 2 (2) • 1. die Wahrung der Nutzer-, insbesondere der Verbraucherinteressen auf dem Gebiet der Telekommunikation und die Wahrung des Fernmeldegeheimnisses.

Fernmeldegeheimnis - § 88 • (2) Zur Wahrung des F. ist jeder Diensteanbieter verpflichtet. Die Pflicht zur Geheimhaltung besteht auch nach dem Ende der Tätigkeit fort, durch die sie begründet worden ist. [selbst bei Kündigung des MA kein Einblick in die E-Mails!] • (3) Dem Diensteanbieter ist es untersagt, sich oder anderen über das für die geschäftsmäßige Erbringung der Telekommunikationsdienste einschließlich des Schutzes ihrer technischen Systeme erforderliche Maß hinaus Kenntnis vom Inhalt oder den näheren Umständen der Telekommunikation zu verschaffen. [s.o.]

• Unabhängige Beratung, Projektunterstützung & Training in IT-Compliance • IT-Sicherheit • Datenschutz

Backup – Datenschutz (Telekommunikationsgesetz) /2 TKG (Telekommunikationsgesetz) Datenschutz - §§ 91 - 107 (1) Dieser Abschnitt regelt den Schutz personenbezogener Daten der Teilnehmer und Nutzer von Telekommunikation bei der Erhebung und Verwendung dieser Daten durch Unternehmen und Personen, die geschäftsmäßig Telekommunikationsdienste erbringen oder an deren Erbringung mitwirken. [Also auch der Arbeitgeber] Dem Fernmeldegeheimnis unterliegende Einzelangaben über Verhältnisse einer bestimmten oder bestimmbaren juristischen Person oder Personengesellschaft, sofern sie mit der Fähigkeit ausgestattet ist, Rechte zu erwerben oder Verbindlichkeiten einzugehen, stehen den personenbezogenen Daten gleich.

• Unabhängige Beratung, Projektunterstützung & Training in IT-Compliance • IT-Sicherheit • Datenschutz

Backup - Beispielhafte Einbindung einer Appliance (1) E-Mail Archiv mit Server

E-Mail Server

Exchange Lotus IMAP POP3 …

Anbindung

und WORM

Zentrale Administration

Funktionalität

@ @ E-Mail Appliance mit WORM Disk Storage

@ @ IP Network

• Unabhängige Beratung, Projektunterstützung & Training in IT-Compliance • IT-Sicherheit • Datenschutz

Backup - Beispielhafte Einbindung einer Appliance (2) E-Mail Archiv mit Remote

E-Mail Server

Exchange Lotus IMAP POP3 …

Replikation

Zentrale Administration

@ @ E-Mail Appliance mit WORM Disk Storage

@ @ @

IP Network

Sekundär-Seite

E-Mail Appliance mit WORM Disk Storage

z.B. anderer Brandabschnitt

• Unabhängige Beratung, Projektunterstützung & Training in IT-Compliance • IT-Sicherheit • Datenschutz

Backup - Beispielhafte Einbindung einer Appliance (3) E-Mail Archiv mit Remote

E-Mail Server

Exchange Lotus IMAP POP3 …

Replikation u.

Anbindung

Zentrale Administration

an Tape-Library

@ @ E-Mail Appliance mit WORM Disk Storage

@ @ @

IP Network

Sekundär-Seite

E-Mail Appliance mit WORM Disk Storage

z.B. anderer Brandabschnitt