[DE] “Für den Schutz von Information bedarf es einer ganzheitlichen Information-Governance-Strategie“ | Dr. Ulrich Kampffmeyer | Project Networks IT & Information Management 2018
Keynote vom 17. Oktober 2018, Berlin
“Für den Schutz von Information bedarf es einer ganzheitlichen Information-Governance-Strategie“
Agenda
- Information Governance
- Aktuelle Rechtsfragen im Information Management
- DSGVO
- TSD
- HGB, GobD & Co.
- ITSG
- UrhG
- eIDAS
- eInvoice
- Vom Umgang mit Compliance-Anforderungen
Similar a [DE] “Für den Schutz von Information bedarf es einer ganzheitlichen Information-Governance-Strategie“ | Dr. Ulrich Kampffmeyer | Project Networks IT & Information Management 2018
abtis informiert auf Modern Security Roadshow über Zukunft der IT-Securitybhoeck
Similar a [DE] “Für den Schutz von Information bedarf es einer ganzheitlichen Information-Governance-Strategie“ | Dr. Ulrich Kampffmeyer | Project Networks IT & Information Management 2018 (20)
[DE] Revisionssichere Archivierung und Dokumentenmanagement im Licht neuer re...
[DE] “Für den Schutz von Information bedarf es einer ganzheitlichen Information-Governance-Strategie“ | Dr. Ulrich Kampffmeyer | Project Networks IT & Information Management 2018
2. 2Dr. Ulrich Kampffmeyer“Für den Schutz von Information bedarf es einer ganzheitlichen Information-Governance-Strategie“ IT & Information Management
Agenda
• Information Governance
• Aktuelle Rechtsfragen im Information Management
• DSGVO
• TSD
• HGB, GobD & Co.
• ITSG
• UrhG
• eIDAS
• eInvoice
• Vom Umgang mit Compliance-Anforderungen
3. 3Dr. Ulrich Kampffmeyer“Für den Schutz von Information bedarf es einer ganzheitlichen Information-Governance-Strategie“ IT & Information Management
INFORMATION GOVERNANCE
ALS GANZHEITLICHE AUFGABE
4. 4Dr. Ulrich Kampffmeyer“Für den Schutz von Information bedarf es einer ganzheitlichen Information-Governance-Strategie“ IT & Information Management
GRC
Die Lösung rechtlicher Anforderungen als
Einzelschicksale?
… macht es Sinn, nur auf einzelne Probleme,
wie die E-Mail-Archivierung oder die Bereitstellung
von steuerrelevanten Daten und deren Lösung zu
schielen?
… ein ganzheitlicher Ansatz ist gefordert!
GRC Governance, Risk Management &
Compliance!
5. 5Dr. Ulrich Kampffmeyer“Für den Schutz von Information bedarf es einer ganzheitlichen Information-Governance-Strategie“ IT & Information Management
GRC Governance, Risk Management & Compliance
Governance
• Latein: "gubernator", Steuermann, Herrschaft, Lenkung,
Steuerung
• Vom französischen Begriff Gouvernance abgeleitet
• Übertragen als Corporate Governance auf das
Wirtschaftsleben
• "körperschaftliche Steuerung"
• "Leitung einer Körperschaft bzw. einer Gesellschaft„
• Eine ordentliche „Governance“ ist regulativ und zum Teil
gesetzlich für jedes Unternehmen vorgeschrieben:
• KontrAG
• UMAG
• GmbHG
• u.a.
6. 6Dr. Ulrich Kampffmeyer“Für den Schutz von Information bedarf es einer ganzheitlichen Information-Governance-Strategie“ IT & Information Management
GRC Governance, Risk Management & Compliance
Risk Management
• Risiko ist das italienische Wort für Wagnis oder
Gefahr
• Risikomanagement umfasst die Maßnahmen zur
• Erfassung der Risiken
• Bewertung der Risiken
• Steuerung der Risiken
• Risikomanagement ist durch
Unternehmensgesetze aber auch durch andere
Gesetze vorgeschrieben:
• HGB/GoBD
• ITSG
• DSGVO
• u.a.
7. 7Dr. Ulrich Kampffmeyer“Für den Schutz von Information bedarf es einer ganzheitlichen Information-Governance-Strategie“ IT & Information Management
GRC Governance, Risk Management & Compliance
Compliance
• Compliance ist die Gesamtheit aller zumutbaren
Maßnahmen, die das regelkonforme Verhalten
eines Unternehmens, seiner
Organisationsmitglieder und seiner Mitarbeiter
im Hinblick auf alle gesetzlichen Ge- und
Verbote begründen.
• Compliance ist auf allen Ebenen der
geschäftlichen (und privaten) Tätigkeit durch
zahlreiche Gesetze gefordert.
8. 8Dr. Ulrich Kampffmeyer“Für den Schutz von Information bedarf es einer ganzheitlichen Information-Governance-Strategie“ IT & Information Management
Compliance: Auswirkungen
Grundsätzlich gelten alle gesetzlichen, rechtlichen
und regulativen Vorgaben auch in der
elektronischen Welt.
Häufig sind die Anforderungen der IT-Welt jedoch
noch nicht oder nicht direkt enthalten und müssen
daher adäquat abgeleitet werden.
9. 9Dr. Ulrich Kampffmeyer“Für den Schutz von Information bedarf es einer ganzheitlichen Information-Governance-Strategie“ IT & Information Management
Compliance: Grundsätzliche Kriterien
• Authentizität
• Vollständigkeit
• Nachvollziehbarkeit
• Zugriffssicherheit
• Geordnetheit
• Integrität
• Auffindbarkeit
• Reproduzierbarkeit
• Unverändertheit
• Richtigkeit
• Prüfbarkeit
• Portabilität
• Vertrauenswürdigkeit
10. 10Dr. Ulrich Kampffmeyer“Für den Schutz von Information bedarf es einer ganzheitlichen Information-Governance-Strategie“ IT & Information Management
GRC als ganzheitlicher Ansatz
• Bisheriger Ansatz:
• Governance, Risk Management und Compliance als
einzelne Säulen
• Aufteilung auf verschiedene Rollen und Bereiche
• Umsetzung in spezifischen Lösungen
• GRC-Ansatz:
• Ganzheitliche Betrachtung und Umsetzung der
Anforderungen
• Technische Infrastruktur zur
• Implementierung und Überwachung von Prozessen
• Definition und Kontrolle von Risiken
• Dokumentation und Archivierung von
Geschäftsvorfällen
11. 11Dr. Ulrich Kampffmeyer“Für den Schutz von Information bedarf es einer ganzheitlichen Information-Governance-Strategie“ IT & Information Management
GRC vereinigt die Disziplinen Corporate
Governance, Risikomanagement und Compliance als
durchgängiges Vorgehensmodell
Governance, Risk Management & Compliance
12. 12Dr. Ulrich Kampffmeyer“Für den Schutz von Information bedarf es einer ganzheitlichen Information-Governance-Strategie“ IT & Information Management
INFORMATION GOVERNANCE
13. 13Dr. Ulrich Kampffmeyer“Für den Schutz von Information bedarf es einer ganzheitlichen Information-Governance-Strategie“ IT & Information Management
Information Governance
Die Corporate Governance muss eine
Information Governance beinhalten, die den
Umgang mit, die Bedeutung, den Wert, die
Verantwortlichkeiten, die Prozesse, die
Delegation, die Qualität, den Schutz, die
Vertraulichkeit sowie die Lösungen zur
Verwaltung und Erschließung von Information
definiert.
14. 14Dr. Ulrich Kampffmeyer“Für den Schutz von Information bedarf es einer ganzheitlichen Information-Governance-Strategie“ IT & Information Management
Information Governance: Definition
“Information governance is the specification of
decision rights and an accountability framework to
encourage desirable behavior in the valuation,
creation, storage, use, archival and deletion of
information. It includes the processes, roles,
standards and metrics that ensure the effective
and efficient use of information in enabling an
organization to achieve its goals.”
Gartner
15. 15Dr. Ulrich Kampffmeyer“Für den Schutz von Information bedarf es einer ganzheitlichen Information-Governance-Strategie“ IT & Information Management
Information Governance: Definition
“Information governance, or IG, is the set of multi-
disciplinary structures, policies, procedures,
processes and controls implemented to manage
information at an enterprise level, supporting an
organization's immediate and future regulatory,
legal, risk, environmental and operational
requirements.”
Wikipedia
16. 16Dr. Ulrich Kampffmeyer“Für den Schutz von Information bedarf es einer ganzheitlichen Information-Governance-Strategie“ IT & Information Management
Information Governance IT Governance
Information Governance ist nicht IT
Governance!
Information Governance betrifft die Information,
das Wissen, die virtuellen, immateriellen Werte
des Unternehmens selbst.
IT Governance ist ein Teilgebiet von Information
Governance.
17. 17Dr. Ulrich Kampffmeyer“Für den Schutz von Information bedarf es einer ganzheitlichen Information-Governance-Strategie“ IT & Information Management
Information Governance
Information Governance:
„Beherrschung von Information im Sinne von
Steuerung und Kontrolle der Information“
Mengenlehre:
• Information Governance Governance
• Information Governance IT Governance
• Information Governance Records Management
• Information Governance Steuerung
• Information Governance Kontrolle
• Information Governance = Beherrschung der
Information
18. 18Dr. Ulrich Kampffmeyer“Für den Schutz von Information bedarf es einer ganzheitlichen Information-Governance-Strategie“ IT & Information Management
Anforderungen von IG im Unternehmen
• Kenntnis und Dokumentation, welche Information
überhaupt in welcher Qualität und wo vorhanden ist
• Wissen um den Wert der Information und die
notwendigen Maßnahmen, diesen Wert zu nutzen
und zu bewahren
• Klarheit und Kommunikation der Verantwortung für
die Erstellung, Aktualisierung, Erschließung,
Nutzung, Qualität, Richtigkeit, Nachvollziehbarkeit,
Verfügbarkeit, Verwaltung, Sicherung,
Dokumentation und Entsorgung von Information
• Sicherstellung, dass die Information erschlossen ist,
dass auf sie schnell zugegriffen werden kann und
dass sie für rechtliche Nachweise gesichert ist
19. 19Dr. Ulrich Kampffmeyer“Für den Schutz von Information bedarf es einer ganzheitlichen Information-Governance-Strategie“ IT & Information Management
Anforderungen von IG im Unternehmen
• Jederzeitige Bereitstellung von Information im
Sachzusammenhang unabhängig von Ort, Zeit,
Quelle, Format und Erzeuger, jedoch mit der
Sicherstellung, dass nur für berechtigte Nutzer
Zugriff gegeben ist und die Vertraulichkeit von
Inhalten gewahrt ist
• Steuerung des Lebenszyklus der Information
von der Entstehung über die geordnete
Aufbewahrung bis zur Vernichtung mit
ständiger Überprüfbarkeit des Zustandes und
Wertes der Information in Abhängigkeit
gesetzlicher Vorgaben und interner Richtlinien
• Erstellung, Umsetzung, Kommunikation und
Nachhaltung von Richtlinien zur Gewährleistung
der Information Governance
20. 20Dr. Ulrich Kampffmeyer“Für den Schutz von Information bedarf es einer ganzheitlichen Information-Governance-Strategie“ IT & Information Management
Anforderungen von IG im Unternehmen
Information Governance ist nicht einfach …
21. 21Dr. Ulrich Kampffmeyer“Für den Schutz von Information bedarf es einer ganzheitlichen Information-Governance-Strategie“ IT & Information Management
Information Governance Reference Model
Linking duty + value to information asset =
efficient, effective management
22. 22Dr. Ulrich Kampffmeyer“Für den Schutz von Information bedarf es einer ganzheitlichen Information-Governance-Strategie“ IT & Information Management
Compliance-Anforderungen weltweit
23. 23Dr. Ulrich Kampffmeyer“Für den Schutz von Information bedarf es einer ganzheitlichen Information-Governance-Strategie“ IT & Information Management
Compliance unterschiedlicher Art
Operational
Risk
Identity Theft
CobiT
Solvency II (EU)
Freedom of Information (UK / USA)
Anti-terrorism Act (UK)
SEPA
Basel II (EU)
21 CFR Part 11 (US)
Companies Act (UK)
Sarbanes-Oxley (US)
ISO 9000 Quality
ECGI Action Plan (EU)
ISO 15801 Legal Admissibility
ISO 17799 Information Security
Cromme / GCCG (DE)
Preda Code (IT)
Data Protection Directive (EU, UK)
Computer Crime Law
Electronic Comms Act (BE)
Telecomms Act (BE)
BS8600 Complaints (UK)
FSA Handbook (UK)
BaFin (DE)
MiFID
AML / KYC
Privacy Requirements
Geopolitical Specific
RegulationRisk Management
Corporate Governance Industry Specific Regulations
24. 24Dr. Ulrich Kampffmeyer“Für den Schutz von Information bedarf es einer ganzheitlichen Information-Governance-Strategie“ IT & Information Management
Aktuelle Rechtsfragen im
Information Management
25. 25Dr. Ulrich Kampffmeyer“Für den Schutz von Information bedarf es einer ganzheitlichen Information-Governance-Strategie“ IT & Information Management
DSGVO
26. 26Dr. Ulrich Kampffmeyer“Für den Schutz von Information bedarf es einer ganzheitlichen Information-Governance-Strategie“ IT & Information Management
• Datennutzung:
Zunächst wurde nochmals festgeschrieben, dass
personenbezogene Daten nur nach einer Einwilligung
oder gesetzlichen Grundlage genutzt werden dürfen.
• Datensicherheit:
Unternehmen werden verpflichtet, geeignete technische
und organisatorische Maßnahmen zum Schutz der
personenbezogenen Daten zu treffen und diese zu
dokumentieren.
• Recht auf Vergessen werden:
Unternehmen müssen Daten löschen, wenn die
Betroffenen dies wünschen. Hier bedarf es – wie auch für
andere Betroffenenrechte (Auskunftsrechte etc.) –
entsprechender organisatorischer Vorkehrungen in den
Unternehmen.
Generelle Anforderungen der DSGVO
27. 27Dr. Ulrich Kampffmeyer“Für den Schutz von Information bedarf es einer ganzheitlichen Information-Governance-Strategie“ IT & Information Management
• Die DSGVO ist seit einigen Monaten in Kraft. Die
öffentliche Aufregung hat sich etwas gelegt.
• Allerdings merken immer mehr kleinere
Unternehmen, dass sie kaum in der Lage sind,
wortwörtlich die DSGVO zu erfüllen.
• Bei großen Unternehmen mit viel Aktivitäten im
Netz und per E-Mail-Marketing stapeln sich
inzwischen die Anfragen.
DSGVO, GDPR & Co.
28. 28Dr. Ulrich Kampffmeyer“Für den Schutz von Information bedarf es einer ganzheitlichen Information-Governance-Strategie“ IT & Information Management
• Während die kleineren Betroffenen zu wenig
Ressourcen investieren können, ist das
Problem bei den großen Unternehmen eher die
heterogene Landschaft mit nahezu unzähligen
Speicherorten.
• Eine Reihe von Anbietern setzen daher
inzwischen auf Werkzeuge, die alle Speicher-
und Anwendungsablagen durchsuchen, um
teilautomatisiert Informationslandkarten zu
produzieren.
DSGVO, GDPR & Co.
29. 29Dr. Ulrich Kampffmeyer“Für den Schutz von Information bedarf es einer ganzheitlichen Information-Governance-Strategie“ IT & Information Management
• Die Klassifikation der Informationen, das
Nachhalten und effektive Verwalten ist eine
große Herausforderung, die allerdings das
Thema Informationsmanagement wieder zu
einem neuen Auftritt verhilft.
• Auch Forschungsprojekte wie an der Universität
Konstanz versuchen inzwischen technische
Lösungen für den Mittelstand zu schaffen, um
die Identifizierung und Nachhaltung DSGVO-
relevanter Informationen zu ermöglichen.
• Die Klassifkation ist Thema für KI Künstliche
Intelligenz.
DSGVO, GDPR & Co.
30. 30Dr. Ulrich Kampffmeyer“Für den Schutz von Information bedarf es einer ganzheitlichen Information-Governance-Strategie“ IT & Information Management
• Das Thema möglicher Abmahnungen wurde
inzwischen durch erste Urteile eingedämmt. Die
Datenschutzbehörden kommen auch kaum zum
Abarbeiten und Prüfen von Anträgen, da die
personelle Ausstattung dem nicht gewachsen
ist.
DSGVO, GDPR & Co.
31. 31Dr. Ulrich Kampffmeyer“Für den Schutz von Information bedarf es einer ganzheitlichen Information-Governance-Strategie“ IT & Information Management
Seit der Veröffentlichung der GDPR wurden weitere
Dokumente zum Schutz der Persönlichkeitsrechte seitens
der EU veröffentlicht:
• European Commission High Level Privacy & Data
Protection Rules
Weitere Initiativen ergänzen die GDPR, Oktober 2017:
• European Commission ePrivacy Regulation
• “Privacy by Default”
Weitere Initiativen sind in 2018 und Folgejahren zu erwarten:
• European Commission Digital Single Market (DSM)
• Weitere Datenschutz- und Datensicherheitsanforderungen
für E-Commerce-Portale
• Verankerung des Datenschutzes und Austausch
personenbezogener Daten in ca. 43 neuer und überarbeiteter
Regeln für den E-Commerce
Weitere Entwicklungen in der EU
32. 32Dr. Ulrich Kampffmeyer“Für den Schutz von Information bedarf es einer ganzheitlichen Information-Governance-Strategie“ IT & Information Management
• Interessant ist, dass in anderen europäischen
Staaten das Thema GDPR offenbar deutlich
gelassener angegangen wird.
• Aber noch interessanter sind die internationalen
Auswirkungen der GDPR.
In Kalifornien, "The California Consumer
Privacy Act, 2018“, schlägt eine ähnliche
Richtung ein wie die GDPR.
DSGVO, GDPR & Co.
33. 33Dr. Ulrich Kampffmeyer“Für den Schutz von Information bedarf es einer ganzheitlichen Information-Governance-Strategie“ IT & Information Management
TSD
34. 34Dr. Ulrich Kampffmeyer“Für den Schutz von Information bedarf es einer ganzheitlichen Information-Governance-Strategie“ IT & Information Management
• TSD Trade Secret Directive
• „RICHTLINIE (EU) 2016/943 DES
EUROPÄISCHEN PARLAMENTS UND DES
RATES vom 8. Juni 2016 über den Schutz
vertraulichen Know-hows und vertraulicher
Geschäftsinformationen
(Geschäftsgeheimnisse) vor rechtswidrigem
Erwerb sowie rechtswidriger Nutzung und
Offenlegung“
• Gilt in Deutschland seit dem 1.6.2018
Datenschutz & EU Trade Secret Directive
35. 35Dr. Ulrich Kampffmeyer“Für den Schutz von Information bedarf es einer ganzheitlichen Information-Governance-Strategie“ IT & Information Management
• Neue Definition von „Geschäftsgeheimnis“:
• „Informationen, die geheim sind,
• die einen kommerziellen Wert haben weil sie geheim
sind,
• und die Gegenstand angemessener
Geheimhaltungsmaßnahmen sind.“
• Nur entsprechend nachgewiesene und geschützte
Geschäftsgeheimnisse können bei Mißbrauch,
Diebstahl oder Veröffentlichung vor Gericht
eingeklagt werden.
• Hieraus leiten sich neue Anforderungen an den
betrieblichen Datenschutz ab:
• Klassifizierung von geheimen und vertraulichen
Informationen
• Auswirkungen auf Verträge, NDAs und viele
Datensicherheits-/Datenschutzprozesse.
• Beinflussung von Entscheidungen zu Patent-
Anmeldungen oder interner/externer Geheimhaltung
Datenschutz & EU Trade Secret Directive
36. 36Dr. Ulrich Kampffmeyer“Für den Schutz von Information bedarf es einer ganzheitlichen Information-Governance-Strategie“ IT & Information Management
HGB, GOBD & CO.
37. 37Dr. Ulrich Kampffmeyer“Für den Schutz von Information bedarf es einer ganzheitlichen Information-Governance-Strategie“ IT & Information Management
GoBD
• Seit 1.1.2018 können Prüfungen auch ad
hoc als „Kassenprüfung“ seitens der
Steuerprüfer durchgeführt werden.
• Wer sich bis 1.1.2018 nicht mit
Aufbewahrung, dokumentierten
Prozessen usw. eingerichtet ist, kassiert
„Verzögerungsgeld“.
• Verfahrensdokumentationen werden
nachgefragt.
• Die Schonfrist ist vorbei.
Steuerrecht
38. 38Dr. Ulrich Kampffmeyer“Für den Schutz von Information bedarf es einer ganzheitlichen Information-Governance-Strategie“ IT & Information Management
ITSG
39. 39Dr. Ulrich Kampffmeyer“Für den Schutz von Information bedarf es einer ganzheitlichen Information-Governance-Strategie“ IT & Information Management
Das IT-Sicherheitsgesetz ITSiG (auch vielfach als ITSM
abgekürzt) der Bundesregierung trat am 25.7.2015 in Kraft
und fußt nach Angaben des Innenministeriums auf der im
Februar 2011 beschlossenen Cyber-Sicherheitsstrategie. Es
wurde im Rahmen der „Digitalen Agenda“ beschlossen.
„Das Gesetz regelt unter anderem, dass Betreiber
sogenannter „kritischer Infrastrukturen“ ein Mindestniveau
an IT-Sicherheit einhalten und dem Bundesamt für Sicherheit
in der Informationstechnik (BSI) IT-Sicherheitsvorfälle
melden müssen. Tun sie dies nicht, droht ihnen
entsprechend der beschlossenen Änderung der
Regierungsvorlage ein Bußgeld. Ebenfalls neu eingefügt
wurde in das Gesetz eine Evaluierung nach vier Jahren.
Gleichzeitig werden Hard- und Software-Hersteller zur
Mitwirkung bei der Beseitigung von Sicherheitslücken
verpflichtet. Außerdem wird der Aufgabenbereich des BSI
nochmals erweitert.“
IT-Sicherheitsgesetz (ITSiG)
40. 40Dr. Ulrich Kampffmeyer“Für den Schutz von Information bedarf es einer ganzheitlichen Information-Governance-Strategie“ IT & Information Management
Das ISMS „Managementsystem für Informationssicherheit“
(Information Security Management System ) ist eine der
Grundlagen des ITSiG und Grundlage der BSI Richtlinie zur
Umsetzung des ITMS IT Management Systems.
• ISMS beinhaltet die Verfahren und Regeln innerhalb einer
Organisation, die dazu dienen, die Informationssicherheit
dauerhaft zu definieren, zu steuern, zu kontrollieren,
aufrechtzuerhalten und fortlaufend zu verbessern.
• ISMS wird in den ISO-Normen 27001 und 27002 definiert
(zum Teil abweichend vom Vorgehen im IT-Grundschutz-
Kompendium, November 2017).
• Das ITSG mit ISMS ist bei den betroffenen Unternehmen
und Organisationen seit 1.1.2018 verpflichtend
Information Security Management System (ISMS)
41. 41Dr. Ulrich Kampffmeyer“Für den Schutz von Information bedarf es einer ganzheitlichen Information-Governance-Strategie“ IT & Information Management
Security & Datensicherheit
• Im Oktober 2017 hat das BSI eine überarbeitete Version
der Grundschutzhandbuches veröffentlicht:
• Besonders unter dem Gesichtspunkten DSGVo und ITSM
ist das Grundschutz-Kompendium von Wichtigkeit
• Es wurde auch in Bezug auf die ISO 27001 ISMS
„Information Security Management System“ harmonisiert
42. 42Dr. Ulrich Kampffmeyer“Für den Schutz von Information bedarf es einer ganzheitlichen Information-Governance-Strategie“ IT & Information Management
URHEBERRECHT
43. 43Dr. Ulrich Kampffmeyer“Für den Schutz von Information bedarf es einer ganzheitlichen Information-Governance-Strategie“ IT & Information Management
Am1.3.2018 trat das neue „Urheberrechts-
Wissensgesellschafts-Gesetz“ (UrhWissG) in Kraft
• In 6 neuen Abschnitten bringt das UrhWissG
Änderungen für Universitäten,
Forschungsinstitutionen und Publikations-
Webseiten
• Kernpunkt sind Regelungen für das Kopien und
Nutzen von Unterlagen im Wissenschaftsbetrieb
• Betrifft auch die Veröffentlichung auf
Unternehmenswebseiten und Social Media
Datenschutz & Urheberrechteschutz
44. 44Dr. Ulrich Kampffmeyer“Für den Schutz von Information bedarf es einer ganzheitlichen Information-Governance-Strategie“ IT & Information Management
Leistungsschutzrecht
• Die Lobbyisten haben sich durchgesetzt:
Auch für kleinere Texte gilt das
„Leistungsschutzgesetz“ in der europäischen
Variante (seit August 2018)
• Zitieren und Weiterverwendung von Texten wird
„schwierig“
• Auch externe Texte auf Unternehmenswebseiten
sind betroffen (z.B. Faksimile eines Artikels, in
dem über das Unternehmen berichtet wird).
• Verlage gehen jetzt mit Abmahnungen vor.
45. 45Dr. Ulrich Kampffmeyer“Für den Schutz von Information bedarf es einer ganzheitlichen Information-Governance-Strategie“ IT & Information Management
Das bloße setzen einer Verlinkung auf
urheberrechtlich geschütztes Material stellt noch
keine „öffentliche Wiedergabe“ im Sinne von Art. 3
Abs. 1 der Richtlinie 2001/29 dar.
Zur Begründung:
„Durch die entsprechenden Hyperlinks werden die
geschützten Werke, sofern sie bereits auf einer
anderen Website frei zugänglich sind, aber nicht der
Öffentlichkeit „zugänglich gemacht“, auch nicht
wenn es sich um direkte Hyperlinks handelt. Mit den
Hyperlinks wird lediglich die Entdeckung der
geschützten Werke erleichtert. Die eigentliche
„Zugänglichmachung“ ist durch die ursprüngliche
Wiedergabe erfolgt.“
Generalanwalt EU-GH:
Verlinkung bedeutet keine Urheberrechtsverletzung
46. 46Dr. Ulrich Kampffmeyer“Für den Schutz von Information bedarf es einer ganzheitlichen Information-Governance-Strategie“ IT & Information Management
EIDAS
47. 47Dr. Ulrich Kampffmeyer“Für den Schutz von Information bedarf es einer ganzheitlichen Information-Governance-Strategie“ IT & Information Management
Electronic IDentification And trust Services
(eIDAS)
Verordnung (EU) Nr. 910/2014 des europäische
Parlaments und des Rates vom 23. Juli 2014
über elektronische Identifizierung und
Vertrauensdienste für elektronische Transaktionen im
Binnenmarkt und zur Aufhebung der Richtlinie
1999/93/EG
eIDAS | EU-Verordnung 910/2014
48. 48Dr. Ulrich Kampffmeyer“Für den Schutz von Information bedarf es einer ganzheitlichen Information-Governance-Strategie“ IT & Information Management
eIDAS fördert neue Formen und Anwendungen der
Signatur und Authentifaktion:
• „Handy“-Signatur (Mobilgräte, z.B. bereits in
Österreich)
• „Fern-Signatur“ (Signatur durch
vertrauenswürdige Dritte)
• „Token-Signatur“ (Abfrage von Einmaltokens
für Identifizierung und Authentifizierung)
• „Biometrische Erkennung“ (Gesichts, Augen,
Fingerprint, Kombinationen verschiedener)
• „Cloud-Service-Signatur“ (beim Cloud-Provider
oder Zahlungsdienstleistern hinterlegte
personengebunden digitale Signatur)
• u.a.
Neue Anwendungen
49. 49Dr. Ulrich Kampffmeyer“Für den Schutz von Information bedarf es einer ganzheitlichen Information-Governance-Strategie“ IT & Information Management
Bei der Fernsignatur wird nicht vom Unterzeichner
des Dokumentes sondern von einem
Vertrauensdienst automatisch signiert.
Hierfür können zum Einsatz kommen:
• „Trusted Server Siegel“ in der öffentlichen
Verwaltung
• „Trusted Server Zeitstempel“ in allen Bereichen
Die Fernsignatur stellt zwar keine eigenhändige
Willenserklärung dar, dokumentiert jedoch
Identitäten und Transaktionen unabstreitbar.
„Trusted Server Siegel“ in Behörden können den
Einsatz personengebundener Signaturen (QES)
ersetzen.
Beispiel: Fernsignatur
50. 50Dr. Ulrich Kampffmeyer“Für den Schutz von Information bedarf es einer ganzheitlichen Information-Governance-Strategie“ IT & Information Management
E-RECHNUNG
51. 51Dr. Ulrich Kampffmeyer“Für den Schutz von Information bedarf es einer ganzheitlichen Information-Governance-Strategie“ IT & Information Management
• Elektronische Rechnungen sind eigentlich nur
ein inhaltlicher Informationstyp, der in
verschiedenen Formaten auftreten kann – als
PDF, als XML, als EDI, als Word, als Fax usw.
• Auch per Scannen in digitale Rechnungen
gewandelte Dokumente unterliegen einem
solchen Prozess zur Auswertung.
• Entsprechend den Formaten und vorhandenen
Metadaten gestalten sich unterschiedliche
Formen der Vorverarbeitung für die
Archivierung.
• Die Papier-Rechnung ist auf dem Rückzug
Elektronische Rechnung: Besonderheiten
52. 52Dr. Ulrich Kampffmeyer“Für den Schutz von Information bedarf es einer ganzheitlichen Information-Governance-Strategie“ IT & Information Management
Elektronische Rechnung: im Formatdschungel
Zulässige Formate für Rechnungen …
53. 53Dr. Ulrich Kampffmeyer“Für den Schutz von Information bedarf es einer ganzheitlichen Information-Governance-Strategie“ IT & Information Management
Die Europäische Kommission hat 2017 die
offizielle Syntax für die Entwicklung und
Implementierung von elektronischen Rechnungen
nach der Direktive 2014/55/EU der europäischen
Norm EN 16931 veröffentlicht
• UN/CEFACT Cross Industry Invoice XML
message as specified in XML Schemas 16B
(SCRDM — CII), 2017
• UBL invoice and credit note messages as
defined in ISO/IEC 19845:2015.
EN 16931
54. 54Dr. Ulrich Kampffmeyer“Für den Schutz von Information bedarf es einer ganzheitlichen Information-Governance-Strategie“ IT & Information Management
Zeitplan der E-Rechnungspflicht in Deutschland
55. 55Dr. Ulrich Kampffmeyer“Für den Schutz von Information bedarf es einer ganzheitlichen Information-Governance-Strategie“ IT & Information Management
• Mit dem sogenannten E-Rechnungsgesetz und der E-
Rechnungsverordnung aus 2017 werden die Vorgaben der
Richtlinie 2014/55/EU in nationales Recht umgesetzt.
• Das E-Rechnungsgesetz schafft damit eine verbindliche
Rechtsgrundlage für den Empfang und die Verarbeitung
elektronischer Rechnungen durch öffentliche
Auftraggeber.
• Ab ab dem 27. November 2018 treten die entsprechenden
Vorschriften für alle Bundesministerien und
Verfassungsorgane in Kraft.
• Theoretisch sind dann Rechnungen an solche
Institutionen nur in elektronischer Form und im Format
X-Rechnung (ein erweitertes Profil - CIUS - der EU-Norm
EN 16931) zulässig.
• Nachgeordnete Behörden auf Landes- und kommunaler
Ebene sollen sukzessive ab 2019 folgen.
Elektronische Rechnung in Deutschland 2018
56. 56Dr. Ulrich Kampffmeyer“Für den Schutz von Information bedarf es einer ganzheitlichen Information-Governance-Strategie“ IT & Information Management
PEPPOL
Pan European Public
Procurement Online
57. 57Dr. Ulrich Kampffmeyer“Für den Schutz von Information bedarf es einer ganzheitlichen Information-Governance-Strategie“ IT & Information Management
Das gesamte Vergabeverfahren ist elektronisch gestützt.
Unternehmen können sich elektronisch identifizieren und mit
Hilfe der VCD attestieren. Der weitere Prozess, einschließlich
Vergabe, Vertragsschließung, Bestellung, Rechnung und
Bezahlung wird ebenfalls elektronisch umgesetzt.
PEPPOL eAwarding & eProcurement
Elektronische Rechnung ist nur ein Aspekt, es geht um das
gesamte elektronische Vergabeverfahren.
58. 58Dr. Ulrich Kampffmeyer“Für den Schutz von Information bedarf es einer ganzheitlichen Information-Governance-Strategie“ IT & Information Management
VOM UMGANG MIT
RECHTLICHEN UND REGULATIVEN
ANFORDERUNGEN
59. 59Dr. Ulrich Kampffmeyer“Für den Schutz von Information bedarf es einer ganzheitlichen Information-Governance-Strategie“ IT & Information Management
Information Governance
Ein ganzheitlicher Information Governance Ansatz
ist notwendig
• Es werden zunehmend mehr rechtliche Anforderungen
zur elektronischen Dokumentation der Geschäftstätigkeit
kommen.
• Man darf sich nicht durch die rechtlichen Vorgaben
verunsichern lassen, sondern muss diese prüfen,
bewerten und die Risiken abwägen.
• Einheitliche Strategien und Vorgaben sowie deren
konsequente Umsetzung und Nachhaltung sind
essentielle Bestandteile von Governance, Risk
Management und Compliance.
60. 60Dr. Ulrich Kampffmeyer“Für den Schutz von Information bedarf es einer ganzheitlichen Information-Governance-Strategie“ IT & Information Management
Information Governance
Technik ist nicht die Lösung, sondern ein
Hilfsmittel
• Techniken, wie Informations-Management-Systeme,
sind nie allein die Lösung zur Erfüllung rechtlicher
Vorgaben, sondern nur eine Komponente in einem
ganzheitlichen Vorgehensmodell.
• Die Infrastruktur, muss so ausgelegt sein, dass sie
auch zukünftige Anforderungen abdecken kann.
61. 61Dr. Ulrich Kampffmeyer“Für den Schutz von Information bedarf es einer ganzheitlichen Information-Governance-Strategie“ IT & Information Management
Information Governance
Insellösungen vermeiden
• Compliance-relevante Informationen sind nur eine
Untermenge aller Informationen im Unternehmen.
Daher keine isolierte Teillösungen für Einzel-
probleme beschaffen (z.B. E-Mail-Archivierung),
da diese schwer integrierbare Inseln bilden und das
Problem noch verschärfen können.
• Ziel sollte sein, eine einheitliche
Informationsmanagement-Infrastruktur aufzubauen,
die auch die Governance- und Compliance-
Anforderungen „quasi nebenbei“ mit erfüllt. Auch
Compliance muss wirtschaftlich sein.
62. 62Dr. Ulrich Kampffmeyer“Für den Schutz von Information bedarf es einer ganzheitlichen Information-Governance-Strategie“ IT & Information Management
Information Governance
Saubere IT- und Informationsarchitektur mit
eingebauter Information Governance
• In die IT- und Informationsarchitektur eine
Middleware mit Yervices & Micro-Services zur
Erfüllung von Compliance-Anforderungen und
Datensicherheit/Datenschutz derart einbauen, dass
sie für alle Anwendungen gilt und für neue
Anforderungen einfach anpassbar ist.
• Durchgängigkeit und Einheitlichkeit in der
Umsetzung sind sicherstellen, z.B. Compliance als
Qualität im Sinne der ISO 9001:2016 begreifen und
nachhalten.
63. 63Dr. Ulrich Kampffmeyer“Für den Schutz von Information bedarf es einer ganzheitlichen Information-Governance-Strategie“ IT & Information Management
Information Governance
Die Angst muss aus den Köpfen
• Compliance-Anforderungen führen häufig zu Angst
vor „Bestrafung“. Diese Angst existiert aber häufig
nur in denKöpfen.
• Compliance muss auch als wirtschaftlicher Faktor
betrachtet werden und nicht als Selbstzweck.
• Die Aufgabe von Information Governance ist daher
auch Bewußtsein schaffen zum Umgang mit
Information, Weiterbildung und ständiges
Nachhalten der Umsetzung.
• Information Governance ist kein Projekt sondern ein
ständiger, alle Prozesse begleitender, alle Mitarbeiter
einbindender und alle Informationen betreffender
Prozess.
64. 64Dr. Ulrich Kampffmeyer“Für den Schutz von Information bedarf es einer ganzheitlichen Information-Governance-Strategie“ IT & Information Management
Fazit
Wir sind zu 100% von der
Verfügbarkeit und Richtigkeit
elektronischer Information abhängig!
Information Management &
Information Governance sind die
Strategien und Methoden dies
sicherzustellen.