VOI PK-DML
Vorwort - Auszug


VOI PK-DML: Auditkriterien für digitale Dokumenten-Management-Prozesse und verbundene IT-Lösungen



1. Vorwort des VOI

Die VOI PK-DML steht seit dem Jahr 2000 für Compliance bei der

„Digitalisierung von vormals papiergestützten Prozessen“ sowie der „Gestaltung von digitalen Prozessen“ mit dem Fokus auf rechts- und revisionssichere Erfassung, Erzeugung, Verarbeitung, Nutzung, Reproduktion und Aufbewahrung von digitalen Dokumenten aller Art. Von Anfang an wurde dabei nicht nur das Objekt „Dokument“ betrachtet, sondern auch die Art und Weise des „rechts- und revisionssicheren Dokumentierens von Prozessen“. Das übergeordnete Ziel war und ist, Übereinstimmung mit Gesetzen, Verträgen, Normen und sonstigen Rahmenbedingungen – neudeutsch Compliance – nachweisen zu können.

Bereits mit der 4. Auflage wurde der zunehmenden Herausforderung durch Vernetzung sowie der Anforderung, Wertschöpfungspotentiale aus vorhandenen Informationen und Daten umfänglich nutzen zu können, Rechnung getragen. Dieser zugrundeliegende Trend hat sich verstärkt. Dementsprechend wurde die Verlagerung des Schwerpunkts – weg von der Sicht auf Anwendungslösungen, hin zur Betrachtung von Prozesslösungen – fortgesetzt.

Das Redaktionsteam hat sich daher entschlossen, mit der neuen Auflage übergreifend von „Lösung“ und „IT-System“ zu sprechen, um den Fokus stärker auf die erforderlichen Rahmenbedingungen und Funktionalitäten für den Umgang mit und die Nutzung von Dokumenten nebst Inhalten sowie der Art des Dokumentierens an sich zu lenken. Im Kapitel „Was ist neu?“ finden Sie dazu weitergehende Erläuterungen.

Standen schon für die 4. Auflage Themen wie BigData und zunehmende IT-Risiken im Blickpunkt, haben sich nun Bandbreite und Handlungsdruck noch einmal erhöht. Der Umfang von Datendiebstahl, Übergriffe auf öffentliche IT-Einrichtungen, digitale Wahlmanipulationen über nationale Grenzen hinweg u.v.m. sind sichtbare Zeugnisse dafür. Aber nicht alles ist so offensichtlich und schon gar nicht weniger bedeutsam. Da ist z.B. der aufstrebende Einsatz von Künstlicher Intelligenz (KI): Wer ist hier der Herr „der Daten“ und „der Art und Weise“, wie diese genutzt werden? Oder der Einsatz von Blockchain-Technologie: Löschen von einzelnen Daten nicht möglich! Diese Themen stehen an vorderster Stelle dem Datenschutz gegenüber, der in Europa durch die neue EU-Datenschutz-Grundverordnung 2016/679 (DSGVO) massiv verschärft und mit empfindlichen Sanktionen verbunden wurde.

Für genau solche Herausforderungen bietet dieses Werk eine Methode, die hilft, Entscheidungssicherheit zu bekommen, indem sie Wirkzusammenhänge systematisch aufschlüsselt, deren Ordnungsmäßigkeit transparent macht und sich diesbezüglich belastbar überprüfen lässt.

Ein Hauptelement, das für den Nachweis von Compliance im geschilderten Kontext stark an Bedeutung gewonnen hat, ist die Umsetzung und Führung einer „geeigneten Verfahrensdokumentation“. Was darunter zu verstehen ist, finden Sie im neuen Kapitel „Verfahrensdokumentation“.

Neben ihrem Ziel, ein Leitfaden für IT-Compliance im vorgenannten Rahmen zu bieten, steht des Weiteren ein Konzept für deren belastbare Überprüfung und Zertifizierung. Ein darauf ausgerichteter Prüfungsrahmen ist somit gleichfalls Bestandteil. Die mitwirkenden Prüforganisationen, TÜVIT (TÜV-Gruppe Nord) und VOI-CERT, haben diesen methodisch so gestaltet, dass Auslegungsspielräume klein gehalten werden. Mit der vorliegenden Version wurde der Anwendungsrahmen zudem erneut erweitert, um zusätzlich zu DMS-Lösungen und DMS-Systemen auch Teilbereiche – wie z.B. Verfahrensdokumentationen, Qualifikation der Beschäftigten und Compliance-relevante IT-Eigenschaften – abzudecken. Ebenfalls berücksichtigt ist das ggf. erforderliche Zusammenwirken mit ISO-Normen wie der 19600 „Compliance-Managementsysteme-Leitlinien“ oder der ISO 27001/27002 „Managementsysteme für Informationssicherheit“, um redundanten Aufwand zu vermeiden.

Mit der 5. Auflage der VOI PK-DML vollzieht sich somit insbesondere eine strategische Weiterentwicklung, die sich gleichermaßen auf den Verwendungsrahmen als auch auf den Titel ausgewirkt. Dabei ist gewährleistet, dass die Abwärtskompatibilität zur Vorversion weiter eingehalten wird.

Unverändert gilt auch die Ausrichtung auf die Unabhängigkeit von bestimmten Rechtsräumen, wirtschaftliche Angemessenheit und Best-Practice.

Zusammenfassend bieten die VOI PK-DML einen praxisorientierten Rahmen für alle Organisations- und Unternehmensgrößen, die Anforderungen an IT-Compliance umzusetzen.

Ihnen, liebe Leser, wünsche ich im Namen des gesamten Redaktionsteams, dass Sie mit dem vorliegenden Dokument Ihre IT-Compliance erfolgreich, effizient und zukunftstauglich weiterentwickeln können. Hierfür steht Ihnen entweder die bekannte Papierausgabe des Werks zur Verfügung – oder aber von jetzt an auch eine eBook-Version.

Mein Dank geht an alle Mitwirkende, die mit großem Einsatz diese 5. Auflage möglich gemacht haben!

Dipl. Inform. Ralf Kaspras

Leiter des Arbeitskreises PK-DML des VOI e.V


2. Vorwort des TÜViT

 

Die digitale Transformation in der Wirtschaft schreitet immer schneller voran. Das führt in vielen Bereichen zu einer rasant steigenden Zahl von verschiedenartigen elektronischen Informationen und Dokumenten. Diese gilt es sicher zu verarbeiten und in revisionssicheren elektronischen Archiven aufzubewahren.

Zwei Beispiele für neuere, rechtliche Normen sind die EU-Datenschutzgrundverordnung 2016/679 (DSGVO) und die eIDAS-Verordnung 910/2014. Die DSGVO fordert den Schutz personenbezogener Daten und enthält Vorschriften für eine sichere Übertragung (freier Verkehr). Die eIDAS-Verordnung definiert Anforderungen für rechtssichere elektronische Transaktionen. Sie schafft damit einen Rechtsrahmen für elektronische Signaturen, Siegel, Zeitstempel, Dokumente, Einschreiben und deren (Auf-)Bewahrung.

Beide Normen enthalten Regeln zur Überprüfung der umgesetzten Sicherheitsmaßnahmen durch neutrale Dritte und unterstreichen die Wichtigkeit einer unabhängigen Zertifizierung. Die DSGVO definiert eine freiwillige Zertifizierung. Diese soll bestätigen, dass alle relevanten Schutzanforderungen bei der Datenverarbeitung eingehalten werden. Bei der eIDAS-Verordnung ist die Konformitätsbewertung sogar Voraussetzung für Rechtswirkungen wie Äquivalenz zur Unterschrift, Unversehrtheit der Daten und korrekte Herkunftsangabe.

Beide Rechtsnormen haben neben den Grundsätzen zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD) Auswirkungen auf eine revisionssichere Archivierung. Deshalb wurden sie in der hier vorliegenden über14 PK-DML Auditkriterien arbeiteten Auflage der Prüfkriterien für Dokumentenmanagement-Lösungen (PK-DML) berücksichtigt. Die seit den Anfängen in den PK-DML enthaltenden Kernkriterien Ordnungsmäßigkeit, Vollständigkeit, Nachvollziehbarkeit, Unveränderbarkeit und Verfügbarkeit bleiben unverändert. Sie bilden damit seit rund 20 Jahren eine bewährte Prüfbasis.

Mit dieser überarbeiteten Auflage der PK-DML ist eine verlässliche und aktuelle Grundlage zur Überprüfung revisionssicherer elektronischer Archivlösungen entstanden, die in die Zukunft weist.

 

Dr. Christoph Sutter
Leiter der Zertifizierungsstelle TÜV Informationstechnik GmbH
Unternehmensgruppe TÜV NORD