Sie sind hier: Home » Fachartikel » Hintergrund

Compliance und Archivierungsvorschriften


Wenn der Betriebsprüfer kommt: Die Compliance-Thematik schwebt wie ein Damoklesschwert über den Unternehmen
Mit der "EMC Centera Governance Edition" erfüllen Anwender bei der Online-Speicherung elektronischer Daten wie E-Mails, Krankenberichte oder Röntgenbilder schon jetzt alle gesetzlichen Vorgaben für deren Aufbewahrung


CAS-Anwendung "Centera"
CAS-Anwendung "Centera" Technologie auf Basis von Festplattensystemen, Bild: EMC

(27.10.08) - Rund sechs Prozent ihres Budgets geben Unternehmen dafür aus, interne und externe Vorschriften zu erfüllen. Das geht aus einer Untersuchung des Wirtschaftsprüfungsunternehmens Price Waterhouse Coopers unter den Topmanagern amerikanischer und europäischer Konzerne hervor. Dabei gibt mehr als die Hälfte der Manager zu, keine klare Vorstellung hinsichtlich des Nutzens dieser Ausgaben für die eigene Firma zu haben. Eine fatale Entwicklung, zumal seit Beginn des Jahres 2005 neue gesetzliche Richtlinien definieren, wie Unternehmen steuerlich relevante Daten in auswertbarer Form vorhalten müssen.

Diese ergänzen bereits bestehende Anforderungen wie die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) in Deutschland sowie die Geschäftsbücherverordnung (GeBüV) für die Schweiz und werden trotz ihrer Wichtigkeit nur gering beachtet. Dabei müssten Organisationen ihre IT-Infrastrukturen bereits jetzt dahingehend ausrichten, dass sie für eine vollständige Kontrolle und Dokumentation des Informationsflusses sowie deren effiziente Archivierung geeignet sind.

Wer nach der konkreten Bedeutung des Begriffes Compliance fragt, wird zahlreiche Antworten erhalten und stößt häufig auf das Schlagwort Corporate Governance. Hierzu gibt es umfassendes Informationsmaterial von einer Definition des Bundesjustizministeriums bis zu einem Kodex für Corporate Governance, dessen Einhaltung in der Unternehmenspraxis sogar von einer Regierungskommission überwacht wird. Dieser Kodex soll die in Deutschland geltenden Regeln für Unternehmensleitung und -überwachung für nationale und internationale Investoren transparent machen. Der Kodex adressiert unter anderem mangelhafte Ausrichtung auf Aktionärsinteressen, duale Unternehmensverfassung mit Vorstand und Aufsichtsrat sowie die mangelnde Transparenz in der Unternehmensführung.

Aber jetzt zurück zum Thema Compliance, denn im Gegensatz zu Corporate Governance sind sich die Gelehrten über eine genaue Bedeutung und Definition immer noch nicht so ganz einig. Was bedeutet Compliance eigentlich? Wörterbücher und Übersetzungsprogramme helfen nicht wirklich weiter. Sie bieten für das Wort ein facettenreiches Spektrum. Das Angebot reicht von Einhaltung, Erfüllung oder Folgsamkeit sogar bis zur Unterwürfigkeit. In den gängigen Suchmaschinen tummeln sich zahlreiche Hinweise, aber wenige helfen wirklich weiter. Am weitesten kommen Interessenten derzeit noch mit einem Klick auf Seiten aus den USA. In Deutschland. (Lesen Sie auch: Was ist Compliance? - Die Definition von Compliance-Magazin.de)

Der Stein kommt ins Rollen
Denn wie so viele andere hat auch das Thema Compliance seine Wurzeln in den Vereinigten Staaten. Primär durch die Skandale rund um ENRON, WorldCom und andere Unternehmen wurden Compliance-Fragestellungen in größerem Umfang öffentlich diskutiert. Ursache waren damals Unregelmäßigkeiten bei Kontrollen durch Wirtschaftsprüfer und in Geschäftsberichten der Unternehmen. E-Mails spielten dabei erstmals als Beweismaterial für gesetzeswidriges Handeln eine wichtige Rolle. So kam es im Jahr 2002 zu dem Sarbanes-Oxley Act, kurz SOX, benannt nach den beiden Leitern der damals zuständigen Ermittlungskommission. Dieser Gesetzentwurf soll Prüfungen der US-Börsenaufsicht Securities and Exchange Commission (SEC) von Unternehmens- und Buchhaltungsdaten transparenter und besser nachvollziehbar gestalten.

Der SOX wird für alle Unternehmen angewendet, die an den US-Börsen gelistet sind. Dies kann deutsche und Schweizer Großunternehmen ebenso betreffen wie amerikanische Firmen, die international agieren. Demnach werden Unternehmen verpflichtet, unter anderem ein internes Kontrollsystem für die Rechnungslegung zu unterhalten und die Richtigkeit ihrer Quartals- und Jahresberichte beglaubigen zu lassen. Einfach ausgedrückt bedeutet Compliance somit die gesetzeskonforme Verwaltung von Informationen.

Alles elektronisch
Eine europäische Variante des Sarbanes-Oxley Act wird wohl nur noch eine Frage der Zeit sein. Denn E-Commerce und elektronischer Geschäftsverkehr, zunehmende Kommunikation per E-Mail und die Umstellung öffentlicher Verwaltungen auf elektronische Prozesse haben weitere Compliance-Anforderungen zur Folge. Einige EU-Richtlinien hat Deutschland bereits mit den Richtlinien für E-Commerce sowie zur elektronischen Signatur und die Schweiz mit dem Obligationenrecht (OR) umgesetzt.

Ein Beispiel hierfür ist die elektronische Rechnung. Sie berechtigt nur dann zum Vorsteuerabzug, wenn die elektronische Signatur diesen offiziellen Rahmenbedingungen entspricht. Unter Berücksichtigung dieser und noch zu erwartender Entwicklungen sind Unternehmen gut beraten, sich über eine IT-Strategie Gedanken zu machen, die möglichst viele Compliance-Anforderungen erfüllt und gleichzeitig Prozesse der Datenverarbeitung, -archivierung und -vernichtung effizient gestaltet.

Generell scheint der Begriff Compliance für viele noch ein Buch mit sieben Siegeln zu sein. Wer nach einem konkreten Compliance-Gesetz sucht, wird dementsprechend auch nichts finden. Dennoch sind beispielsweise die deutschen Grundsätze des Datenzugriffs und der Prüfbarkeit digitaler Unterlagen oder jene der Schweizer GeBüV durchaus mit Vorgaben der SEC vergleichbar.

Hier handelt es sich um landesweit gültige Vorschriften, die sicherstellen, dass Finanzverwaltungen im Rahmen von Außenprüfungen auf die steuerrelevanten Daten eines Unternehmens zugreifen können. Diese Informationen müssen gemäß den Aufbewahrungsfristen bis zu zehn Jahre vorgehalten werden. Die Originaldaten sind vollständig, richtig und auswertbar zu archivieren. Deshalb spielen auch bei der GDPdU sowie der GeBüV Dokumente und E-Mails neben den Daten aus Unternehmensanwendungen wie SAP-, ERP- und Buchhaltungssystemen eine zunehmend wichtigere Rolle.

Grundsätze für mehr Stringenz
Noch genauer regeln die Grundsätze ordnungsgemäßer DV-gestützter Buchführungssysteme (GoBS) beziehungsweise OR, Grundsätze ordnungsmäßiger Buchführung (GoB) und GeBüV in der Schweiz die Aufbewahrung von kaufmännischen Unterlagen in elektronischer Form. (Inwieweit die handelsrechtlichen von den steuerrechtlichen Vorgaben abweichen, lesen Sie in dem Artikel von Dietmar Hoffmann, Manager bei KPMG Advisory, auf den Seiten 9 und 10.)

Hier sind die Grundsätze für das interne Sicherheitssystem, die revisionssichere Archivierung und die Verfahrensdokumentation festgelegt. Mit diesen Vorgaben versprechen sich Bund und Länder, die Voraussetzungen für E-Commerce und E-Business sowie eine effektive elektronische Informationsverwaltung stringenter zu regeln. Die elektronische Signatur wird in diesem Zusammenhang immer häufiger genannt und könnte im Jahr 2005 den Durchbruch schaffen. Denn ihr Einsatz wird jetzt schon in nahezu allen neueren Gesetzen geregelt.

Die europäische Union und ihre Mitgliedsstaaten arbeiten zunehmend enger zusammen. Angesichts eines grenzüberschreitenden Geschäftsverkehrs oder über das Internet abrufbare elektronische Dienstleistungen wird ein einheitlicher Rechtsraum insbesondere im Handels- und Steuerrecht unerlässlich. Auf Basis von EU-Richtlinien, die für alle Mitglieder bindend sind, werden zwangsläufig weitestgehend einheitliche Compliance-Anforderungen entstehen. Zwischen Österreich und Deutschland bestehehen nur noch kleine Unterschiede in Detailregelungen.

Auch wenn beispielsweise die Bereithaltung von Daten zur steuerlichen Prüfung in Österreich in Form einer Liste ausreicht, sind die Anforderungen bei der Auswertbarkeit die gleichen. Selbst die Schweiz als Nicht-EU-Mitglied hat mittlerweile die wesentlichen Gesetze und Verordnungen an die europäischen Vorgaben schrittweise angeglichen. Dies zeigt sich beispielsweise in den Bestimmungen zur Buchführung im OR. Sie regeln die Aufbewahrung von Geschäftskorrespondenz, der Bücher und der Buchungsbelege in elektronischer Form.

Compliance: Eine Checkliste

  • Wie hoch wird der Zeitaufwand einer Bilanzprüfung eingeschätzt und wie könnte diese effizienter ablaufen?
  • Können mit der bisherigen Archivierungsstrategie alle verfahrenserheblichen Informationen bereitgestellt werden?
  • Wird es in fünf Jahren noch ein System geben, das heutige Band- beziehungsweise optische Medien lesen kann?
  • Verfügt die Organisation über ein zuverlässiges Verfahren zum Speichern und Abrufen geschäftskritischer und vertraulicher Daten?
  • Wie effizient und kostenintensiv sind Offenlegungs- und Reporting-Prozesse?
  • Gibt es ein integriertes System zur Verwaltung von Datensätzen – von der Erstellung über die Wartung bis zur Datenvernichtung?
  • Verfügt das Unternehmen über ein systematisches Verfahren zur Datensatzarchivierung – und lässt sich die Wirksamkeit dieses Verfahrens problemlos belegen?
  • Sind Aktivitäten ausgelagert, bei denen Datensätze (beispielsweise neue Konten oder Geschäftsbestätigungen) erstellt werden?
  • Werden aufgezeichnete Kundenanfragen archiviert?

IT soll es richten
Unabhängig von geografischen Regionen resultieren aus Compliance-Anforderungen auch wachsende Ansprüche an die IT-Infrastruktur. Das Angebot reicht von einzelner Software und Systemen bis hin zu Lösungen für die vollständige Kontrolle und Dokumentation des Informationsflusses. Die Tendenz geht klar in Richtung solcher Lösungen, die möglichst viele Anforderungen abdecken. Ziel sollte eine Infrastruktur sein, die alle Informationen des Unternehmens verwalten und bereithalten kann. Mit Enterprise Content Management, Records Management oder Information Lifecycle Management gibt es schon einige technologische Entwicklungen in die richtige Richtung.

Der Software-Anbieter Adobe Systems hat mit Compliance-Reporting schon eine Lösung im Portfolio, die auf dem selbst entwickelten Dateiformat PDF basiert. Diese ermöglicht Organisationen, Abstimmungsprozesse zu automatisieren, die Integrität finanzieller Berichte zu erhöhen und durchsuchbare Indizes für Finanzdaten zu erstellen. Letztlich bedarf es aber einer umfangreicheren Information und Aufklärung der Anwender rund um das Thema Compliance. Denn bisher gibt es nur wenige anerkannte Zertifizierungen. Diese beschränken sich dann wieder auf einzelne Produkte oder Prozesse. So bleibt dem Anwender derzeit oft nur die Möglichkeit, sich an Standards, Praxisbeispielen und Richtlinien, wie beispielsweise das Grundschutzhandbuch des BSI, zu orientieren. Wer schon jetzt auf der sicheren Seite sein will, stellt die Nutzung, Verteilung und Archivierung relevanter Informationen von Papier auf elektronische Dokumente um. Zur richtlinienkonformen Verwaltung, Archivierung und fristgerechten Löschung werden in zunehmendem Maße spezialisierte Speicherlösungen genutzt. Für die Steuerung und Kontrolle der Datenträger sind oft so genannte Jukeboxen im Einsatz.

Diese stellen Software-gestützt die benötigten Informationen bereit und ermöglichen in der Regel auch, Medien zu verwalten, die sich nicht mehr in der Jukebox befinden und auf Anforderung manuell zugeführt werden. Dieser Prozess ist allerdings extrem aufwändig und bietet keine Sicherheit, ob alte Daten mit den Jukeboxen der Zukunft noch kompatibel beziehungsweise lesbar sein werden. Deshalb erfreut sich neben den klassischen Archivspeichern eine neue Technologie auf Basis von Festplattensystemen wachsender Beliebtheit: Content Addressed Storage (CAS).

Eine typische CAS-Anwendung ist die "EMC Centera". Sie ist eine kombinierte Hard- und Software-Lösung mit einer online-basierten Architektur. Wird eine in Centera bereits archivierte Datei geändert, behandelt das System diese wie ein neues Objekt. Mithilfe einer Kodierung bei der Speicherung und Vergabe einer speziellen Adresse verhindert Centera ein Überschreiben oder Ändern der Informationen. Mit der "EMC Centera Governance Edition" erfüllen Anwender bei der Online-Speicherung elektronischer Daten wie E-Mails, Krankenberichte oder Röntgenbilder schon jetzt alle gesetzlichen Vorgaben für deren Aufbewahrung. Alle EMC Centera-Systeme von EMC sind zudem nach dem Prüfungsstandard 880 des Instituts der Wirtschaftsprüfer und Compliance zertifiziert.

Zum Abschluss sollte nicht unerwähnt bleiben, dass auch in Deutschland und der Schweiz schon einige Unternehmen das Thema Compliance sehr ernst nehmen. So gibt es bei dem Chemieriesen BASF bereits seit 2003 einen Chief Compliance Officer. Er ist zuständig für die kontinuierliche, gruppenweite Weiterentwicklung eines speziellen Programms und betreut ein Netzwerk von regionalen Compliance-Beauftragten. Dieses Programm bei BASF soll Mitarbeitern eine Hilfestellung zu korrektem Verhalten geben. Eine Handlungsanleitung fasst zentrale gesetzliche Bestimmungen und die entsprechende Unternehmenspolitik zusammen. Es kommt übrigens sicher nicht von ungefähr, dass dieser Chief Compliance Officer bei BASF ein zugelassener Rechtsanwalt ist. (EMC: ra)



Meldungen: Hintergrund

  • Wer ist von der CSRD betroffen?

    Für Unternehmen ist der eigene ökologische Fußabdruck mittlerweile eine entscheidende erfolgsrelevante Steuerungsgröße geworden. Welche Investitionen und wirtschaftlichen Tätigkeiten sind ökologisch nachhaltig und ermöglichen es, sich am Markt positiv zu differenzieren? Die Erstellung einer Nachhaltigkeitsberichtserstattung nimmt darüber hinaus auch seitens der Aufsichtsbehörden und Regulatoren einen immer größeren Raum ein. Das Jahr 2023 startete bereits mit einem wichtigen Meilenstein für das ESG-Reporting – der Berichterstattung für die Bereiche Umwelt (Environmental), Soziales (Social) und verantwortungsvolle Unternehmensführung (Governance). Am 5. Januar 2023 ist die EU-Richtlinie über die Nachhaltigkeitsberichterstattung der Corporate-Sustainability-Reporting-Direktive (CSRD) in Kraft getreten. Diese führt zu einer umfangreichen und verbindlichen Nachhaltigkeitsberichterstattung.

  • Data Act könnte schon 2024 in Kraft treten

    Wir erleben es jeden Tag: Datenmengen steigen ins Unermessliche. Die Prognose der EU-Kommission erwartet allein in der EU zwischen 2020 und 2030 einen Anstieg des Datenflusses in Cloud- und Edge-Rechenzentren um 1500 Prozent - kein Tippfehler. Entsprechend riesig ist das wirtschaftliche Potential, denn Daten sind der zentrale Rohstoff etwa für das Internet of Things. Das wiederum wird von der EU im Jahr 2030 (1) auf eine wirtschaftliche Gesamtleistung auf bis zu elf Billionen Euro geschätzt. Somit ist der EU Data Act, der in einem ersten Entwurf im Frühjahr 2022 von der EU-Kommission vorgestellt wurde, in seiner Bedeutung für die Datenökonomie nicht zu unterschätzen. Es geht nämlich um die Rahmenbedingungen für den Austausch von Daten: Das heißt, alle Geschäftsmodelle, die auf vernetzten Produkten und Dienstleistungen beruhen, sind betroffen. Und die Zeit steht nicht still. Der Data Act könnte schon 2024 in Kraft treten.

  • Aufsichtsbehörden machen Ernst

    Der Datenschutz wurde durch die im Mai 2018 in Kraft getretene EU-Datenschutz-Grundverordnung (DSGVO) europaweit geschärft und die Rechte der Betroffenen gestärkt. Die Aufsichtsbehörden sind mittlerweile aktiv geworden und verhängen teils empfindliche Strafen, wenn Unternehmen und Konzerne mit dem Schutz der User- und Kundendaten zu lax umgehen. Unternehmen, die online Leads und Kunden generieren, sollten deswegen ein Auge auf die Details haben und nur mit seriösen Partnern zusammenarbeiten, die eine DSGVO-konforme Verarbeitung von Daten nachweisen können. Das Inkrafttreten der DSGVO im Mai 2018 rollte wie eine Schockwelle durch die Welt des Online-Business und der Leadgenerierung. Denn die europäische Datenschutzgrundverordnung hat den Schutz personenbezogener Daten ausgeweitet und verschärft. Ziel war es, ein europaweit gleich hohes Schutzniveau zu erreichen, die Verfahren gegen Verstöße zu vereinfachen und den Datenschutz dem technischen Fortschritt der Digitalisierung anzupassen.

  • Audit-Druck ebnet Weg hin zu Abo-Modellen

    Beim Thema Software-Audit kommen zwei historisch signifikante Zustände zusammen: Einerseits hat sich Europa insbesondere von US-Softwareanbietern stark abhängig gemacht und ist andererseits durch den omnipräsenten Digitalisierungsdruck bereit, die Situation trotz gelegentlicher gegenteiliger Verlautbarungen offenbar noch zu verschlimmern. Lesen Sie hier, was die Erfindung des Software-Audits damit zu tun hat.

  • Digitale Verwaltungsdienste ohne Datengrundlage?

    Deutsche Behörden tun sich schwer, ihre Angebote für Bürger und Bürgerinnen digital anzubieten. Das aktuelle Onlinezugangsgesetz (OZG) macht aber Bund, Ländern und Kommunen jetzt kräftig Druck. Geht es nach dem Gesetzgeber, sollen bis Jahresende rund 600 Verwaltungsdienstleistungen in digitaler Form bereitstehen - und zwar bundesweit.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen