SAPERION Blog

Ich schrieb gerade an einem Kapitel für einen Leitfaden zur Einführung eines Dokumentenmanagementsystems, das ein Verband zur CeBIT rausbringen wird.  Es befasst sich mit der Einhaltung von Gesetzen und Regularien (Compliance) im Umgang mit geschäftlichen E-Mails. Und da wir auf unserem Blog bisher nur in kleinen Häppchen darüber schrieben, möchte ich die Gelegenheit genutzt, ciesen kleinen Teil des Gesamtwerks auch hier zu veröffentlichen.

Grundsätzlich kann festgestellt werden, dass die E-Mail inzwischen gleichgestellt ist mit dem normalen Brief, zumindest was ihre Aufbewahrung angeht. Der Umgang mit ihr ist allerdings in Details aufgrund ihres elektronischen Formats sicherlich etwas anders. Die Gleichstellung der geschäftlichen E-Mail ist spätestens mit dem § 257 des Handelsgesetzbuchs (HGB) erfolgt, denn sie ist damit ein Handelsbrief und entsprechend der Abgabenordnung (AO) und nach den Regeln der GoBS / GDPdU (Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen) aufzubewahren. § 147 AO fordert jegliche Korrespondenz, die “ein Geschäft vorbereitet, abwickelt, rückgängig macht oder abschließt”, also etwa Aufträge, Reklamationsschreiben, (more…)

Die wilden Dokumente treiben überall ihr Unwesen.

Wer kennt das nicht: Wo ist die Mail hin? Wer hat die Budgettabelle? Was ist mit der Rechnung passiert?

Der PC und die Dokumente machen mal wieder, was sie wollen. In solchen Ohnmachtsmomenten beschleicht einen der Verdacht, dass die Dokumente ein Eigenleben haben und es lieben, uns hinters Licht zu führen. In der Tat scheint das sogar der Fall zu sein: SAPERION hat die wilden Dokumente heimlich beobachtet und ihr verrücktes Verhalten auf Video aufgenommen.

Was die Dokumente so alles anstellen, wenn wir nicht hinschauen, sehen Sie hier:
www.saperion.com/simply-managed/#film

Logo des PCI Security Standards Concil

Der PCI-Datensicherheitsstandard (DSS) wurde entwickelt, um die Datensicherheit von Karteninhabern zu verbessern und die umfassende Akzeptanz einheitlicher Datensicherheitsmaßnahmen auf der ganzen Welt zu vereinfachen. Dieser liefert grundlegende technische und betriebliche Anforderungen zum Schutz von Karteninhaberdaten. Der PCI-DSS gilt für alle Einrichtungen, die an der Verarbeitung von Zahlungskarten beteiligt sind – einschließlich Vertragsunternehmen, EDV-Dienstleistern, abrechnenden Stellen, Kartenemittenten und Dienstleistern – sowie anderen Stellen, die Karteninhaberdaten speichern, verarbeiten oder übertragen. Dies ist entsprechend Version 2.0 von Oktober 2010 verbindlich .

Vermutlich werden nur wenige Blog-Leser einen genaueren Blick in diesen Standard geworfen haben. Schließlich geht es in diesem Blog u.A. um die Archivierung von Dokumenten und nicht um die Speicherung von Kartendaten. Doch nach all den Skandalen der letzten Monate (z.B.Kurierdienst im Visier, Datenpanne führt zur Sperrung von Kreditkarten) sollte man sich etwas genauer fragen, ob man vielleicht doch selbst mit Kreditkartendaten (more…)

Ich hatte vor einiger Zeit den ersten Best Practice Artikel zum E-Mail-Management gepostet, der sich im Schwerpunkt damit beschäftigt, wie mandie E-Mailflut heutiger Tage bewältigt bekommt. Dr. Ulrich Kampffmeyer hatte heute getwittert und eine Link auf einen Artikel schickt, der sich mit einer etwas heiklen Sache beim Mailen beschäftigt. Der Titel lautet Rechtliche Zulässigkeit der Weiterleitung von E-Mails bei (Urlaubs-) Abwesenheit – Best Practice Ansatz und wurde heute von Stephan Hansen-Oest auf Datenschutz Guru veröffentlicht.

Hintergrund ist folgende Situation, die der Autor peinlichst selbst als Absender erlebt hat und wie folgt schildert:

Ich hatte einmal einen Mandanten, einen Geschäftsführer einer GmbH, den ich aufgrund meiner Tätigkeit als Anwalt für das Unternehmen auch einmal in einer etwas pikanten, privaten Angelegenheit strafrechtlich vertreten – bzw. strafrechtlich korrekter ausgedrückt – verteidigt habe habe. Ohne auf weitere Details einzugehen, ging es in dem Fall um eine nicht besonders schwerwiegende Straftat, die sich jedoch – für den Mandanten etwas peinlich – im „Rotlichtbereich“ zugetragen haben soll. Mit Zustimmung des (more…)

Ich habe gerade einen nützlichen Artikel zum Thema auf dem Blog von Niels Warnecke gefunden, den ich hier gerne ungekürzt wiedergeben möchte, passt er doch gut zu unseren Compliance-Themen und gibt nützliche Handlungsempfehlungen, unserer zunehmenden eMail-Flut Herr zu werden. Initialzündung seines Artikels war der Artikel E-Mail-Dauerfeuer – Wer sortiert, verliert von Jochen Leffers im Spiegelonline, der auf die Empfehlung IBMs eingegangen ist, dass Automatismen nur zu noch mehr Suchereien führen würden. Hier nun die Gründe von Herrn Warnecke, warum das Ordnen von E-Mails doch Sinn macht:

Den Posteingang unstrukturiert volllaufen zu lassen, wie es in dem Artikel (Anmerkung: der von Jochen Leffers) postuliert wird, halte ich aus meiner Erfahrung heraus für ziemlichen Unfug. Die Unterschiedlichkeit der Mail-Arten (Informationen, Aufträge, Werbung, Bestätigungen etc.) erfordert ein Mindestmaß an Organisation. Je mehr Mails man unstrukturiert im Posteingang hat, um so größer wird auch die Gefahr, dass einzelne Mails/Aufgaben im Mail-Grundrauschen untergehen. Und wenn ich vergessen habe, dass (more…)

Hatte ich gestern noch berichtet, dass der VOI nun alle die Liste der kritischen Punkte, sowohl aus technischer als auch auf sprachlicher Ebene, an das BSI übermittelt hat, so habe ich gerade gefunden, dass Anfang der Woche die bisherigen Protagonisten der TR VELS (siehe den initialen Post ECM-Krimi), wie die TR 03125 noch alternativ genannt wird, im U-Boot schon weitergefahren sind. Im Dokumenten Management Portal documanager.de ist am 12.04.2010 ein Artikel mit dem Titel “Fujitsu und OpenLimit bereiten vertrauenswürdige Langzeitarchivierungslösung vor” veröffentlicht worden, worin zu lesen ist: (more…)

Hash-Baum mit Archivzeitstempel

Dieser Post richtet sich an Alle, die für sich den Bedarf erkannt haben, dass sie ihre qualifiziert signierten Dokumente zur Beweiswerterhaltung dem ArchiSig-Verfahren (siehe auch LTANS/ERS, oder Verjüngungskur für alternde Signaturen ? Dann klappt’s auch mit den elektronischen Prozessen) unterwerfen wollen. Der Bedarf besteht nach § 17 des Signaturgesetzes, wenn ein zum Signieren des Dokuments verwendeter Algorithmus von der Bundesnetzagentur als geschwächt eingestuft wird. Schwach, weil nun ein anderes Dokument auch als gültig erkannt werden könnte oder ein anderer Urheber vorgetäuscht werden könnte. Ein qualifiziert signiertes Dokument genießt nach §§ 292a, 371 der Zivilprozessordnung (ZPO) den höchsten Beweiswert, d.h. es unterliegt dem Anscheinbeweis. Der Richter muss ein solches Dokument als Beweis akzeptiert, es sei denn, die Gegenpartei kann triftige Gründe nennen.

(more…)

Der VOI hat sich heute als erste Organisation mit einem offenen Brief an das BSI gewandt und sich gegen die TR-VELS in der aktuellen Version ausgesprochen. Im Wesentlichen sind die Beiträge der Kritiker der initialen Diskussion im Xing-Forum von Dr. Ulrich Kampffmeyer in diesem Brief zusammen gefasst worden, nicht ohne auch einen weiteren Dialog anzubieten.

“Am Deutschen Wesen solltst Du genesen … .  So”,  meinte unser Chief Technology Officer und SAPERION-Mitgründer Axel Kroll,  ” … sollte dieser nationale Alleingang nicht schon wieder passieren. ” Der Staat solle sich aus solchen Dingen tunlichst heraushalten, zumindest was den nicht-öffentlichen Markt angeht.

Ich bin mal gespannt, ob und wann sich weitere Organisationen anschließen werden …

Vorherige Posts: Erster Beitrag “ECM-Krimi“zum Thema,  Zweiter Beitrag “Zug abgefahren?”

Ein Aufruf: Da sich bisher kaum Anwender zu dem Thema gemeldet haben, diese aber die Zeche bezahlen werden, sollte es sogar zu einem DIN Standard kommen, bitten wir speziell  unser SAPERION-Anwender sich mit einem Beitrag in der Xing-Diskussion zu beiteiligen.

In Forsetzung des Posts zum ECM-Krimi zur Technischen Richtlinie Vertrauenswürdige elektronische Langzeitspeicherung bleibt Folgendes zu bemerken:

Zwar wurde die Freigabe der BSI TR-VELS / TR-03125 erst im Dezember letzten Jahres offiziell in der Presse angekündigt. Dafür ist sie aber schon ganz schön rumgekommen. Es gibt auch kaum noch einen Ort, wo man die Mitteilung nicht findet. Der Anspruch geht entgegen allen Aussagen des BSI und anderer Protagonisten deutlich an den ganzen Markt und bschränkt sich nicht auf die Behörden. Einige Beispiele:

(more…)