White Paper Electronic Discovery. Die Compliance des innerbetrieblichen Informationsmanagements bringt hohen unternehmerischen Nutzen.

Transkript

1 White Paper Electronic Discovery. Die Compliance des innerbetrieblichen Informationsmanagements bringt hohen unternehmerischen Nutzen.

2 Inhalt Einleitung Electronic Discovery Die amerikanische Sicht auf ediscovery Rechtliche Situation in Deutschland Status Quo / Der Bekanntheitsgrad bei den IT-Verantwortlichen ediscovery-konformes Informationsmanagement Heutige Grenzen im innerbetrieblichen Informationsmanagement Die richtige IT-Strategie hilft ediscovery zur Leistungsgrad-Messung des Informationsmanagements Betriebswirtschaftlicher Nutzen einer ediscovery-compliance Zusammenfassung und Ausblick Glossar Abbildungsverzeichnis Literaturverzeichnis.

3 1. Einleitung.! IT-Risk und Compliance Governance, Business Alignment, IT-Portfolio-Management und Service Oriented Architecture sind Fachbegriffe, die jeder IT-Leiter versteht. Fragt man sie jedoch der Bedeutung von Electronic Discovery oder kurz ediscovery für das innerbetriebliche Informationsmanagement, so ist ein Achselzucken die häufigste Reaktion. Dabei muss jedes international ausgerichtete Unternehmen mit Geschäftstätigkeit in den USA spätestens bei drohenden gerichtlichen Auseinandersetzungen damit rechnen, seine elektronischen Daten aufgrund von Electronic Discovery -Regelungen als Beweismittel offenlegen zu müssen. Unternehmen können also verpflichtet werden, elektronisch gespeicherte Informationen der Klägerpartei auszuhändigen, wenn diese als Beweismittel in einem Gerichtsverfahren in Betracht kommen. Das ediscovery-gesetz zwingt beklagte Unternehmen, der Gegenpartei grundsätzlich alle angeforderten Unterlagen auszuhändigen. Wie viele andere Vorgaben im Bereich IT-Compliance stammen natürlich auch die prozessualen Anforderungen von ediscovery aus Übersee. ediscovery ist die in den amerikanischen Zivilprozessordnungen vorgesehene Beweissammlung von elektronisch gespeicherten Informationen. Sie ist Teil einer frühen Stufe einer juristischen Auseinandersetzung, der so genannten Pre-Trial-Discovery-Phase, in der ein Kläger vom Beklagten nach US-amerikanischem Zivilrecht (Federal Rules of Civil Procedure, FRCP) elektronisch gespeicherte Informationen verlangen kann. Die Aufklärung dieses Sachverhaltes bezieht sich dabei auf alle relevanten Informationen (ein dehnbarer Begriff), die als Beweismittel vor Gericht verwendbar sind [FRCP 2009, Rule 26-b-1]. Dieser Anspruch kann erhoben werden, bevor es zu einem gerichtlichen Verfahren kommt [Spies 2008]. Brisant wird der Sachverhalt für deutsche Unternehmen aber erst dadurch, dass sich die Offenlegungspflicht beklagter amerikanischer Unternehmen auch auf ihre ausländischen Organisationen, z.b. auf ihre deutschen Mutterkonzerne, erstreckt. Betrachtet man ediscovery nicht aus juristischer Sicht, sondern aus der IT-Perspektive des beklagten Unternehmens, so ist es zunächst nur eine weitere gesetzliche Anforderung, die es im Eintretensfall mit der Unterstützung und den Mitteln der IT umzusetzen gilt. Bei näherer Betrachtung vor allem der vielen bereits vorliegenden Gerichtsverfahren wird jedoch sehr schnell klar, dass man während der Informationsbeschaffung auf eine Reihe von innerbetrieblicher Hürden stoßen wird. So ist die Durchsuchung großer Datenmengen, die in unterschiedlichen Systemen zugriffsgeschützt verwaltet werden neben der individuell zu prüfenden rechtlichen Verwendbarkeit nur eine der zu bewältigenden Aufgaben. ediscovery muss daher zum Anlass genommen werden, das innerbetriebliche Informationsmanagement auf seine Effizienz und Effektivität im Sinne der Steigerung des Beitrags zum Unternehmenserfolg hin zu überprüfen und zielgerichtete Maßnahmen zu starten. Diese White Paper vertieft in den nachfolgenden Kapiteln das Thema ediscovery. Zunächst werfen wir einen Blick auf die generell gültigen Eigenschaften und praktischen Konsequenzen aus amerikanischer und deutscher Sicht. Anschließend stellen wir das Ergebnis einer kurzen Marktanalyse über den Bekanntheitsgrad von ediscovery bei IT-Managern der deutschen Fertigungsindustrie vor. Kapitel drei zeigt auf, wo heute die innerbetrieblichen Schwierigkeiten bei der Durchführung einer ediscovery liegen. Anschließend wird beispielhaft für Unternehmen der Automobilindustrie aufgezeigt, wie mit der informationsorientierten Ausrichtung der IT-Strategie nicht nur die Anforderungen eines ediscovery-verfahrens gelöst, sondern mit geeigneten IT-Maßnahmen erhebliche Beiträge zur Steigerung des Unternehmenswertes geleistet werden können. 3

4 2. Electronic Discovery. 2.1 Die amerikanische Sicht auf ediscovery. Die verbreitete Unkenntnis des juristischen Sachverhalts und die Pflicht zur vorgerichtlichen Zusammenarbeit [K&L Gates 2008] während einer ediscovery ist nicht überraschend, da erst seit dem 1. Dezember 2006 mit Erweiterung der FRCP um die Rule 34-a im Zuge der vorgerichtlichen Informationsbereitstellung auch elektronisch generierte und gespeicherte Daten (Electronic Stored Information, ESI) betroffen sind [Thomas 2007]. Dass es sich hierbei nicht nur um einen Sturm im Wasserglas handelt, zeigen erste medienwirksame Urteile [Applied Discovery 2009]. Auslöser einer ediscovery können amerikanische Rechtsanwälte, Insolvenzverwalter, Revisoren, Steuerfahnder oder auch Behörden sein. So stützen sich beispielsweise die Ermittlungen der US-Securities and Exchange Commission auf die Erfüllung regulatorischer Anforderungen wie beispielsweise des Foreign Corrupt Practices Act [FCPA 1998] oder des Sarbanes-Oxley Act (2002). Die Bekanntgabe gegenüber der beklagten Partei erfolgt dabei durch einen sog. Preservation Letter oder eine Discovery Order. Im Rahmen der Beweisaufnahme bzw. Sachverhaltsfeststellung in dieser Pre-Trial-Phase verschaffen sie sich somit mit rechtlicher Absicherung durch die FRCP Zugriff auf eine Vielfalt unterschiedlicher Informationen.... FRCP V: DISCLOSURES AND DISCOVERY (Pre-Trial) Voruntersuchung FRCP VI: TRIALS Gerichtsverhandlung FRCP VII: JUDGMENT Gerichtsurteil... Abbildung 1: Ablauf in der amerikanischen Zivilprozessordnung Da die FRCP Rule 34-a-1-A von any designated documents or electronically stored information including writings, drawings, graphs, charts, photographs, sound recordings, images and other data or data compilations spricht, werden in der Praxis so gut wie keine Daten oder Informationsträger ausgelassen. So sind Blogs, s, Datenbanken und PDAs nicht weniger von Interesse als gelöschte Daten [Hilgard 2008]. Erschwerend kommt hinzu, dass sich nicht nur die finalen Daten oder Dokumente, sondern auch ihre Entstehungsgeschichte (z.b. Versionen zum Zeitpunkt x) im Zugriff befinden müssen. das vorsätzliche Nicht-Aufbewahren beweisrelevanter Informationen oder das Aufstellen falscher Behauptungen, die angefragten Informationen seien nicht verfügbar, als Beweisvereitelung ( Spoliation ) verstanden und mit Sanktionen (z.b. Beweislast-Umkehr) geahndet wird [Hilgard 2008]. mit Kenntnis des bevorstehenden Rechtsstreits im Rahmen einer Litigation Hold keine Daten mehr gelöscht werden dürfen und die bewusste Vernichtung beweisrelevanter Informationen ebenfalls bestraft wird [Wilke 2007]. Kurz gesagt: für den Beklagten im amerikanischen Rechtsraum müssen zunächst alle digitalen Informationen während des entsprechenden Betrachtungszeitraums abrufbar sein. 4

5 ! Angeforderte Informationen zu löschen, zurückzuhalten, nicht zu finden oder zu verändern wird vor Gericht hart bestraft Allein der Aufwand, der Klägern, Beklagten und Richtern durch die Sammlung, Sichtung und Bewertung der angefragten Informationen entsteht, übersteigt schnell den eigentlichen Streitwert. Inzwischen ist schon die Rede von einem Regenguss, der die amerikanischen Zivilgerichte lahm legt und Großunternehmen viele Millionen Dollar kostet [Economist 2008]. 2.2 Rechtliche Situation in Deutschland. Eine für deutsche Unternehmen mit transatlantischen Geschäftsbeziehungen wichtige Betrachtungsebene kommt dadurch hinzu, dass sich der genannte Aspekt einer ediscovery zunächst auf in den USA ansässige Unternehmen erstreckt, aber grundsätzlich auch Informationen einbezieht, die sich bei deren zugehörigen Unternehmensteilen (z.b. Tochtergesellschaft oder Konzernmutter) im Ausland (z.b. Deutschland) befinden. Es sind Unternehmen, die an der New Yorker Börse notiert sind, die im amerikanischen Markt direkt mit Vertriebs-, Entwicklungs- oder Produktionseinheiten aktiv sind oder indirekt dorthin beispielsweise als Zulieferer Geschäftsbeziehungen unterhalten. Die Frage, ob deutsche Behörden von amerikanischen Organen zur Amtshilfe verpflichtet werden können, wird durch Rath und Klug verneint. Auch internationale Kooperationsvereinbarungen wie das Haager Übereinkommen über die Beweisaufnahme im Ausland können für eine ediscovery aufgrund deutscher Vorbehalte nicht bemüht werden. Es existiert auch keine unmittelbare Pflicht deutscher Unternehmen zur Mitwirkung [K&R 2008]. Schließlich besitzt Deutschland ein anderes Rechtssystem, das noch dazu ein völlig anderes Verständnis vom Umgang mit Daten pflegt.! Aus Angst vor Sanktionen unterstützen Unternehmen die ediscovery, obwohl die amerikanische Rechtsprechung in Deutschland keine Wirkung hat. Um aber sowohl den amerikanischen als auch den deutschen Interessen gerecht zu werden, wird auf europäischer Ebene durch die so genannte Artikel 29-Arbeitsgruppe nach Kompromissen gesucht [EC 2009]. Für Februar 2009 ist ein erstes Arbeitspapier angekündigt, das Empfehlungen zur Behandlung von amerikanisch-europäischen ediscovery-verfahren enthalten soll. International hat sich aber auch The Sedona Conference als interdisziplinäre Vereinigung führender Juristen, Akademiker und IT-Experten diesem Thema in ihrer Arbeitsgruppe 6 angenommen [Sedona 2008]. Die Praxis zeigt jedoch, dass deutsche Unternehmen den amerikanischen Anfragen nachkommen [Spies 2008]. Mangels Knowhow im Umgang mit amerikanischen Compliance-Themen verhalten sich die deutschen Entscheidungsträger im Ernstfall oft falsch [Tsolkas 2008]. Häufiger Grund ist die Angst vor Sanktionen. Werden Daten oder Dokumente, die als Beweismaterial in einem Betrugsverfahren dienen könnten, verändert, gelöscht oder versteckt, so wird dies nach dem Sarbanes-Oxley Act 1519 in den USA mit bis zu 20 Jahren Haft bestraft. Zur Reduzierung des eigenen Aufwands schnüren aber manche Unternehmen ein Gesamtpaket und übergeben so der Gegenpartei mehr Informationen als angefragt. Die damit einhergehende Offenlegung von nicht Fall-relevanten Firmengeheimnissen ist dann oftmals ein unerwünschter Nebeneffekt. 5

6 Problematisch bei dieser Datenweitergabe ist jedoch weniger der Vorgang an sich, sondern die Tatsache, dass in Deutschland die unterschiedlichsten Gesetze die Speicherung spezieller Informationen vorschreiben, aber auch deren Verwendung stark reglementieren (vgl. Abbildung 2). Dies betrifft insbesondere personenbezogene Daten z.b. in s, Telefonaten, SMS und Blogs. Allein die Reaktionen auf aktuelle Vorfälle des Datenmissbrauchs bei der Berliner Landesbank, der Telekom oder der Bahn zeigen, wie sensibel der Datenschutz in Deutschland behandelt werden muss, um verheerende Imageschäden zu vermeiden. Ohne frühzeitigen Einbezug von Datenschutzbeauftragten und Rechtsexperten sollten daher deutsche Firmen davon absehen, ediscovery-verfahren in den USA mit elektronischen Informationen aus Deutschland zu beliefern. Gesetz Handelsgesetzbuch HGB Abgabenordnung (AO) Gesetz zur Neuregelung der Telekommunikationsüberwachung und anderer verdeckter Ermittlungsmaßnahmen sowie zur Umsetzung der Richtlinie 2006/24/EG Telekommunikationsgesetz (TKG) Bundesdatenschutzgesetzt (BDSG) Betriebsverfassungsgesetz (BEtrVG) Strafgesetzbuch (StGB) Zivilprozessordnung (ZPO) Beispiel 257: Aufbewahrung von Unterlagen. Aufbewahrungsfristen 147: Ordnungsvorschriften für die Aufbewahrung von Unterlagen Vorratsdatenspeicherung 113a: Speicherungspflichten für Daten 29: Geschäftsmäßige Datenerhebung und -speicherung zum Zweck der Übermittlung 87 Nr.6: Mitbestimmung im Umgang mit und Internetnutzung 274 Abs.1 Nr.2: Strafmaß für unzulässige Handhabung von beweiserheblichen Daten 142: Anordnung der Aktenübermittlung Abbildung 2: Auszug aus deutschen Gesetzen zum Umgang mit Daten und Dokumenten Da Unwissenheit bekanntlich nicht vor Strafe schützt, und man die Regularien der Märkte, in denen man agiert, kennen sollte, ist vorbeugendes Handeln angesagt. Voraussetzung ist allerdings, dass der Handlungsbedarf überhaupt erst erkannt und dann konform zur aktuellen Rechtssprechung umgesetzt wird. Ganz besonders von den IT-Verantwortlichen, die im ediscovery-fall wesentlich an der Sammlung und Bereitstellung der anforderten Informationen beteiligt sind, wird eine besonnene und qualifizierte Reaktion erwartet. Zur Unterstützung stehen ihnen neben spezialisierten Juristen vorrangig Lösungsanbieter aus der Service- und Software-Branche zur Seite, die ihren Produkten nach dem Hype um Basel II und Sarbanes-Oxley-Act nun das Label ediscovery-compliant anheften. Somit werden am Markt wieder Lösungen angeboten, bevor die potentiellen Kunden das Problem richtig verstanden haben [Gartner 2007], wie auch die Ergebnisse der nachfolgenden Befragung zur Bekanntheit von ediscovery zeigen. 6

7 2.3 Status Quo / Der Bekanntheitsgrad bei den IT-Verantwortlichen. Inwieweit die Unternehmen und ihre IT-Chefs über das Thema informiert sind, die möglichen Konsequenzen kennen und welche Maßnahmen der Vorbeugung sie gestartet haben, blieb im Vorfeld dieses Beitrages mangels verlässlicher und aktueller Felddaten offen. Aus diesem Grunde startete T-Systems im Dezember 2008 eine erste selektive Umfrage unter 51 deutschen Mittelstands- und Großunternehmen mit Geschäftsbeziehungen in die USA und einem Umsatz von mehr als 200 Millionen EUR. Eine zweite Umfrage, geplant für Januar 2009 unter weiteren 100 Unternehmen wurde aufgrund der tendenziellen Eindeutigkeit der Ergebnisse aus der ersten Umfrage zurückgestellt. Die hohe Rücklaufquote von 34% innerhalb von zwei Werktagen scheint ein Signal für das hohe Interesse zu sein, insgesamt antworteten 23 Unternehmen, dies entspricht einer Gesamtquote von 45 %. 70 % der beantworteten Fragebögen stammen von Automobilzulieferern, 13 % von Maschinen- und Anlagenbauern, die restlichen 17 % von Firmen der Branche Industrie & Handel.! IT-Manager international agierender Konzerne müssen sich mit ediscovery auseinander setzen, denn Unwissenheit schützt nicht vor Schaden. In der Annahme, dass die IT-Verantwortlichen Kenntnis von den IT-relevanten Diskussionen in ihrem Haus haben, wurden sie über die Rolle von ediscovery bei ihrem Unternehmen befragt. In der finalen Auswertung sahen 61 % aktuell keine Bedeutung von ediscovery für ihr Haus, bei 39 % der Firmen ist geplant, Know-how aufzubauen (vgl. Abbildung 3). Keines der Unternehmen hat jedoch außerhalb der IT-Abteilungen Mitarbeiter, die sich intensiv mit dem Thema beschäftigen. Welche Rolle spielt ediscovery in Ihrem Unternehmen? Wie ist Ihr persönlicher Wissensstand zum Thema ediscovery? Wir haben Mitarbeiter, die sich damit intensiv beschäftigen. 0 % Ich bin sehr gut darüber informiert. 0 % Wir planen, intern Knowhow aufzubauen. 39 % Ich habe davon gehört. 48 % ediscovery hat für uns heute keine Bedeutung. 61 % Das Thema ist mir neu. 52 % Abbildung 3: Die Rolle von ediscovery im Unternehmen (Quelle: T-Systems) 7

8 Gefragt nach ihrem persönlichen Wissensstand gaben 52% der befragten CIOs oder IT-Leiter an, dass das Thema für sie neu sei. 48 % hatten zumindest etwas davon gehört. Ein einziger CIO eines globalen Automobilzulieferers war über ediscovery bestens informiert, wollte aber nicht in die Statistik aufgenommen werden er setzt sich gerade mit einer Untersuchung an einem seiner US-Standorte auseinander. Seine Einschätzung war zudem, dass je nach Situation eine von zwei Rechtsmeinungen verfolgt wird: entweder alles oder nichts finden. Überraschend ist die allgemeine Unkenntnis nicht, berücksichtigt man, wie gerade in der IT-Branche mit immer neuen Begriffskreationen Altes neu verpackt wird. Konsequenter Weise ist in den IT-Bereichen von 83% der befragten CIOs auch keine Erfahrung vorhanden, wie man sich im ediscovery Fall verhalten soll. 13 % der IT-Bereiche haben die Risiken verstanden und haben begonnen, in der IT entsprechendes Know-how aufzubauen. Ein paar wenige CIOs (4 %), die vom Thema bereits gehört haben, lassen bereits Mitarbeiter sich mit ediscovery intensiv beschäftigen. Verfügt Ihre zentrale IT-Organisation über Knowhow zu ediscovery? Wenn ediscovery für Ihr Unternehmen ein Thema ist, wie gehen Sie es an? Wir haben IT-Mitarbeiter, die sich damit intensiv beschäftigen. 4 % Wir schulen regelmäßig unsere Anwender in diesem Thema. 0 % Wir fangen gerade an, in der IT Knowhow aufzubauen. 13 % Wir schaffen geeignete Prozesse und Richtlinien. Wir werden durch externe Spezialisten unterstützt. 39 % 26 % Wir haben heute in der IT kein Knowhow zu diesem Thema. 83 % Wir setzen spezielle Software ein. 4 % Abbildung 4: Vorbeugende Maßnahmen (Quelle: T-Systems) Auf die Frage, wie sie ediscovery angehen, wenn es für ihr Unternehmen Relevanz besitzt, verweisen die Mehrzahl der Befragten (39%) auf die Anpassung ihrer internen Ablauforganisation (Prozesse und Richtlinien), 26% lassen sich zusätzlich von externen Spezialisten unterstützten. Dass lediglich 4% spezielle ediscovery-software einsetzen, lässt unterschiedliche Schlussfolgerungen zu: entweder sehen die IT-Verantwortlichen keinen Handlungsbedarf oder spezielle Software mit ediscovery-relevanten Funktionen wird nicht als Lösungsansatz gesehen. Es mag auch sein, dass die Verkaufsargumente der Software-Hersteller in den IT-Abteilungen noch nicht angekommen sind. Erstaunlich ist auch, dass keiner der IT-Leiter seine Anwender im Umgang mit ediscovery schult. Da es aber im ediscovery-fall gerade deren Daten und Informationen sind, die einer eingehenden Prüfung unterzogen werden, kann man hier entsprechenden Sensibilisierungsbedarf mit Compliance-Themen erkennen. Zusammenfassend ist festzustellen, dass im Kreis der befragten Unternehmen das Thema ediscovery bis Ende 2008 weitgehend unbekannt war. Vorbeugende Maßnahmen für den Ernstfall sind ebenso wenig gestartet wie Know-how für die fallgerechten Begleitung einer ediscovery vorhanden ist. 8

9 3. ediscovery-konformes Informationsmanagement. 3.1 Heutige Grenzen im innerbetrieblichen Informationsmanagement. Neben der juristisch korrekten Verhaltensweise steht die grundsätzliche Aufgabenstellung, die angefragten Informationen im geforderten Umfang einzusammeln, hinsichtlich ihrer Relevanz zu bewerten und der Gegenpartei bereitzustellen. Zentralfunktionen Finanzen/ Controlling Personal IT PR Marketing Einkauf Recht... Innovations- und Produktrealisierungsprozess Vertrieb KeyAccount F&E Konstruktion Test Prototyp Auftragsabwicklung Produktion Montage Service Tools Systeme VIS CAE (MCAD, ECAD, FEM, Simulation, DMU,...) CAPP CAM... Office (Word, Excel, PowerPoint, Access, Project) PDM/PLM CRM SCM, APO,... BDE, MES,... EDI Business Intelligence, Content Management, EIS, HR,... Communication ( , FAX, SMS, EDI,...) PPS JIT/JIS Infrastruktur Interne Datenablage (zentrale Datenbank, Fileserver, Optisches Archiv, Intranet, Papier-Ordner, lokale Festplatte, PDA, USB-Stick Externe Datenablage (Extranet, Patent-Datenbank, Fachzeitschriften, IMDS, Internetforen, Internet-Blogs, Internet-Marktplätze,...) Datentransport (LAN, WAN, WLAN, VPN, ENX,...) Abbildung 5: Beispielhafte Systemlandschaft eines Automobilzulieferers Der erste Schritt der Informationserhebung ist dabei eines der Hauptprobleme. Betrachtet man beispielsweise die IT-Landschaft eines Automobilzulieferers (vgl. Abbildung 5), so existieren entlang der Wertschöpfungskette verschiedene Hürden, die zu nehmen sind: Die Zentral- und Fachbereiche arbeiten teils lokal, teils länderübergreifend. Auch wenn der Trend zu unternehmensweit integrierten Datenverwaltungssystemen geht, werden ein Großteil der Informationen lokal (z.b. auf PC/Laptop) und offline (digital auf CD/DVD) gespeichert oder im ungünstigsten Fall sogar analog auf Papier festgehalten. Informationen zu ein und demselben Patent, Projekt, Produkt oder Kundenvorgang (z.b. Auftrag, Reklamation) werden in unterschiedlichen Systemen (z.b. Vertriebsinformationssystem, CAD, PLM, ERP) mit verschiedenen Zugriffssteuerungen abgelegt und bearbeitet. Auch hat oftmals ein Produkt je nach Bearbeiter (z.b. Konstrukteur, Einkäufer, Fertigungsplaner) oder Landessprache unterschiedliche Bezeichnungen oder Identifikatoren. 9

10 Suchroutinen erfassen in der Regel Metadaten oder Angaben im Dateinamen. Informationen, nach denen gesucht wird, stehen aber innerhalb von digitalen Dokumenten (z.b. CAD-Zeichnungen, Grafiken, Videoaufzeichnungen, Prüfberichten, s). Diese Files werden normalerweise in einem Format gespeichert, das nur durch das erzeugende Programm gelesen werden kann. Werden sie von einem Dokumenten-Management- System oder auf einem Fileserver verwaltet, sind sie zudem nur mit den entsprechenden Berechtigungen zu öffnen. Vor allem die Firmen der Automobilindustrie (Hersteller und Zulieferer) arbeiten im Rahmen eines Collaborative Engineerings (CE) unternehmensübergreifend eng zusammen. In allen Phasen des Produktentstehungsprozesses werden stark anwachsende Volumen an Daten und Files auf allen möglichen Kommunikationswegen und plattformen zwischen den Partnern ausgetauscht, redundant gespeichert, protokolliert und wieder zu unterschiedlichen Zeitpunkten verändert weitergereicht. Die Frage, welcher Informationstand zu einem bestimmten Zeitpunkt welchem Anwender bekannt war, kann nur mit erheblichem Rechercheaufwand beantwortet werden. Informationen verändern entlang der Zeitschiene sowohl ihren Inhalt (z.b. durch fortschreitenden Reifegrad in der Vorentwicklung, Erprobung und Produktion) als auch ihre Bedeutung (z.b. durch neue Testberichte, Marktanalysen oder Risikobewertungen). Regeln (Policies), welche Informationszustände wann nachhaltig gespeichert oder gelöscht werden müssen, sind nicht definiert, dem Anwender nicht bekannt oder werden individuell oder situationsgerecht ausgelegt. IT-Systeme speichern ihre Informationen in vorgegebenen oder angepassten Datenbank-Strukturen ab. Die Standard-Suchfunktionen unterstützen daher auch nur die syntaktische Abfrage der vordefinierten Pfade innerhalb des Systems und scheitern, sobald ein über die Systemgrenzen hinausgehendes syntaktisches und semantisches Beziehungswissen von Interesse ist. Das syntaktisch eindeutige Wort Bank kann beispielsweise semantisch als Geldbank oder Sitzbank verstanden werden. Die hohe Trefferzahl beim googeln bei gleich zeitig niedriger Ergebnisrelevanz verdeutlicht die Problematik. Das Volumen der gespeicherten Information eines global agierenden Unternehmens steigt rasant. Die BMW- Gruppe beispielsweise plant im Zeitraum von mit einer Steigerung des globalen Backup-Volumens von 2,8 auf 7,6 Pentabyte. Dies entspricht einem Zuwachs von 270 Prozent innerhalb von 5 Jahren. Entwickelt sich die Performance der Infrastruktur nicht ebenso schnell, steigt der Zeitaufwand für die Informationssuche mit Zunahme der gespeicherten Informationen. Die automatische Informationsspeicherung durch IT-Systeme ist durch ihre maximale Speicherkapazität technisch nicht nur begrenzt, sondern auch bei nachfolgendem Backup und Archivierung kostenintensiv. Für die Online-Verfügbarkeit von gespeicherten und redundant gesicherten Daten (als Backup oder Managed Storage bezeichnet) muss derzeit ein Kostenaufwand von etwa 800 Euro pro Terabyte monatlich gerechnet werden. Grundlage dieser Total-Cost-of-Ownership-Kalkulation ist eine Managed-Storage-Umgebung mit 50 Terabyte Kapazität. Dass aus diesem Grund sehr restriktiv mit der sicheren Aufbewahrung von Daten umgegangen wird, ist nachvollziehbar. 10

11 ! Die unternehmensweite Suche nach Informationen zu einem speziellen Sachverhalt, Schlagwort oder zeitgebundenen Ereignis kann aus den genannten Gründen nur manuell durch entsprechend qualifizierte Mitarbeiter gelöst werden. Das Ergebnis der Informationserhebung ist ein Sammelsurium aus digitalen und analogen Daten, Dokumenten, Protokollen, s, Datenbankauszügen oder Sonstigem. Das Informationsmanagement deutscher Automobilzulieferer kann die Anforderungen von ediscovery nicht effizient und effektiv erfüllen. Im zweiten Schritt ist dieser Informationsberg zu strukturieren, auf seine wirkliche Relevanz zu analysieren sowie mit geltenden Datenschutzbestimmungen und Unternehmensinteressen abzugleichen. Der hierdurch entstehende Aufwand ist enorm und für die Firmen aus eigener Kraft normalerweise nicht zu stemmen. Zur Unterstützung haben sich am Markt inzwischen viele Anbieter und Organisationen etabliert. Das Angebot reicht von methodischen Vorgehensweisen und Datenaustauschformaten [EDRM 2009], über Software-Lösungen zur elektronischen Beweissicherung aus dem Bereich der Computer-Forensik [Kern 2005] bis hin zu professionellen juristischen oder IT-technischen ediscovery-beratungen. Das Problem, dass bei Inanspruchnahme dieser Dienstleistungen das Kind schon im Brunnen liegt, bleibt bestehen. Im Zeitalter des Web 2.0 ist der enorme manuelle Aufwand doch eher überraschend, der für eine Kontext-gerichtete Auswertung des unternehmensweiten, digitalen Wissens zu investieren ist. Dabei sollte der Bedarf einer strukturierten Informationsbereitstellung nicht außergewöhnlich sein. Dies wird deutlich, wenn man den feindlich gesinnten Initiator einer ediscovery-phase gegen einen internen Firmenmitarbeiter austauscht, beispielsweise gegen einen Vertreter aus der Geschäftleitung, der Revision oder der Produktentwicklung. Diese und andere Personen haben tagtäglich den Anspruch, unternehmerische Entscheidungen auf Basis vollständiger und aktueller Informationen zu treffen. Die unternehmerische Praxis zeigt, dass das Gegenteil zutrifft: überquellende -Systeme nach dem Urlaub, qualitätsfreie Informationsflut aus dem Internet, unternehmerische Veränderungen, Mitarbeiterfluktuation sowie Kostendruck und harter Wettbewerb am Markt. Dies alles muss zunächst mal bewältigt werden und somit bleibt immer weniger Zeit, die Informationswelt im Unternehmen als betriebswirtschaftliche Ressource strategisch zu entwickeln [Schmid 2008]. 3.2 Die richtige IT-Strategie hilft. Wie die bisherigen Ausführungen verdeutlichen, spielt es in der Praxis keine Rolle, ob ein Unternehmen oder dessen IT fit für eine juristische ediscovery-auseinandersetzung ist oder nicht, der inhaltliche Bedarf bleibt. Die Aufgabe, für einen speziellen Fall alle relevanten Informationen aus unterschiedlichsten Quellen zusammenzusuchen und zu bewerten, sollte im innerbetrieblichen Alltag eine Routineübung sein. Das neue Thema ediscovery ist somit ein bedeutender Anlass, die originäre Aufgabenstellung einer IT-Funktion, die Mitarbeiter optimal mit Informationen zu versorgen, wieder in den Mittelpunkt zu rücken. Aufgrund der inhaltlichen Komplexität kann die Lösung nur in einem strategischen, vorbeugenden Ansatz gefunden werden. Die strukturellen Anhaltspunkte und Argumente hierzu werden aus der Diskussion um die IT-Strategie geliefert. 11

12 Diese beschreibt den langfristigen Zielzustand der Informationsversorgung, den Weg dorthin, die Abhängigkeiten sowie die Konsequenzen und stellt damit sicher, dass Unternehmensstrategie und Unternehmensziele unterstützt werden [Schmid 2008]. Üblicherweise werden die exter nen und unternehmerischen Anforderungen auf die definierten IT-Ziele, die IT-Organisation, die IT-Prozesse, die IT-Systeme und die Applikationen sowie die erforderliche IT-Infrastruktur abgebildet (vgl. Abbildung 6). Externe Anforderungen (Gesetze und Vorschriften) Unternehmensanforderungen (Vision und Strategie) Entwicklung/Anpassung IT-Strategie Umsetzung IT-Strategie Ziele Due Diligence Organisation Prozesse Informationen IT-Applikationen & Systeme Infrastruktur (IT, HR,...) Transformation Management & Controlling Abbildung 6: Bausteine einer IT-Strategieentwicklung Die oft vernachlässigte Informationsebene, auch als Unternehmensdatenmodell bezeichnet [Scheer 1995], beinhaltet aber die zentralen Datenobjekte, ihre statischen und dynamischen Ausprägungen sowie ihre gegenseitigen Beziehungen. Es ist das geldwerte Wissen, das außerhalb der Köpfe der Mitarbeiter existiert und viele technische wie menschliche Veränderungen überlebt. Die strategische IT-Diskussion sollte sich daher auch in der aktuellen Wirtschaftslage nicht ausschließlich um die Reduzierung der IT-Kosten drehen. Sie muss vielmehr lauten: Welche Informationen sind notwendig, um die Geschäftsprozesse optimal abzuwickeln (Daten-Hygiene) und wie müssen die IT-Systeme strukturiert werden, damit die Informationen verlustfrei erzeugt, verändert, abgelegt, wieder gefunden und weiter genutzt werden können (Daten-Technik). Die erfolgversprechendsten Ansätze in dieser Richtung sind: Einheitliche Vorgaben zur Nutzung der IT-Ressourcen (z.b. ausschließlich geschäftlicher Gebrauch von , Internet, Software) und kontinuierliche Schulung der Anwender in Datenmanagement und den Anforderungen der Governance and Risk-Management-Compliance [ITGI 2006]. Unternehmensweite Standardisierung und Harmonisierung von IT-Prozessen (z.b. auf Basis von ITIL oder ISO 17799/27002), Systemen (v.a. PLM, ERP), Applikationen (z.b. Office, ) und Infrastruktur-Komponenten (z.b. Rechenzentren, Server, Archiven). Datenintegration durch offene, serviceorientierte Systemarchitekturen (SOA) und standardisierte Schnittstellen (z.b. XML, STEP). 12

13 ! Definition und Realisierung von firmenweiten Regelwerken für ein einheitliches Stammdaten-Management (z.b. Produkt-, Kunden- und Lieferanteninformationen) sowie der Berechtigungen. Hierzu gehört auch die Indizierung und Klassifizierung von unstrukturiertem Wissen z.b. durch virtuelle Repositories. Die Ziele des Informationsmanagements Standardisierung, Harmonisierung und Integration müssen noch intensiver verfolgt werden. Aufbau eines unternehmensweit einheitlichen Identity Management Systems (IMS) für die Verwaltung der Identitäten und Zugriffsrechte der IT-Anwender unter Berücksichtigung soziologischer, legaler und technischer Rahmenbedingungen [ULD-i 2003]. Automatisierung der Datenspeicherung durch geeignete Archivsysteme und wirksame Datenvernichtung auf Basis der gesetzlichen Aufbewahrungspflichten [Hilgard 2007] sowie des verbleibenden Informationswertes zum Zeitpunkt x. Automatisierung von Report-Aufgaben (z.b. durch Business-Intelligence-Systeme) und Einbindung moderner Suchtechnologien (z.b. der Firma Autonomy). Auch wenn diese Ansätze dem aktuellen Stand der Technik entsprechen, werden noch Jahre vergehen, bis sie in den Unternehmen flächendeckend eingeführt sind und von den Mitarbeitern sicher anwendet werden. 3.3 ediscovery zur Leistungsgrad-Messung des Informationsmanagements. Die Fähigkeit zur Erfüllung der Anforderungen eines ediscovery-verfahrens, auch als ediscovery-compliance bezeichnet, lässt sich aber auch ohne externen Anstoß ermitteln. Ein Geschäftsführer oder Vorstand müsste hierzu nur seinen IT-Verantwortlichen im Rahmen eines internen IT-Audits anweisen, beispielsweise alle Vorgänge und Unterlagen zusammenzutragen, die ein ehemaliger Mitarbeiter in den letzten sechs Monaten bearbeitet hat (z.b. bei Weitergabe von Insiderwissen bei Jobwechsel gemäß Fall Daimler gegen Younessy [Younessy 2008]. Oder er fordert alle s, Vereinbarungen, Entwicklungs- und Prüfberichte, Dokumentationen sowie Publikationen und Vortragsunterlagen zu einem Patentstreit einer innovativen Produktneuheit an (wie im Fall Baxter Healthcare gegen Fresenius 2008 [Baxter 2008]). Um den Anspruch einer Leistungsgrad-Messung für das innerbetriebliche Informationsmanagement zu erfüllen, muss eine methodische Vorgehensweise zugrunde gelegt werden. Diese erfordert mindestens eine klare Spezifikation der Suchanfrage (welche Information wird gesucht, welche nicht; Kriterien für die Relevanz, Zeitraum), eine Vorgabe des Suchraums (z.b. alle Standorte, alle Fileserver, ERP- und -Systeme), eine Qualitätssicherungsfunktion zur Bewertung der Vollständigkeit (z.b. durch gezieltes Verstecken eines relevanten Dokumentes, einer oder eines Datensatzes) sowie eine Festlegung der Struktur für die Ergebnisdokumentation und Visualisierung (z.b. vollständig oder zusammengefasst und referenziert; Originalformate oder generiertes Standardformat). 13

14 Dauer der Informationsbeschaffung sowie die Relevanz des Ergebnisses wären zuverlässige Messwerte für die Performance und den Wirkungsgrad des innerbetrieblichen Informationsmanagements (IM). Die regelmäßige Durchführung solcher Übungen lässt sehr schnell die Problemzonen oder Defizite erkennen, aber auch sinnvolle Maßnahmen ableiten. Hieraus ergibt sich die Chance, die IT-Budgets nachhaltig in eine sinnvolle Richtung zu lenken. Nach [Galdy 2007] zahlen sich dann sogar höhere IT-Investitionen aus.! 3.4 Betriebswirtschaftlicher Nutzen einer ediscovery-compliance. Wie bei jeder Investitionsentscheidung, so stellt sich natürlich auch bezüglich ediscovery die Frage, welchen betriebswirtschaftlichen Vorteil ein Unternehmen davon hat, wenn es seine IT-relevanten Investitionen nach den spezifischen ediscovery-anforderungen an ein unternehmensweites Informationsmanagement ausrichtet. Die Antwort zum betrieblichen Nutzen findet sich in einer kausalen Argumentationskette zwischen den generellen Anforderungen an das Informationsmanagement, den daraus abgeleiteten ediscovery-konformen Maßnahmen sowie deren Wirkungen und Ergebnissen. Veranschaulicht werden diese Argumentationsketten in Abbildung 7. Die Anforderungen an das Informationsmanagement lassen sich hierbei in allgemeine sowie ediscovery-relevante Anforderungen unterteilen. Eine zweite Strukturierungsebene ergibt sich aus der Perspektive dessen, der die Anforderungen erhebt: die Unternehmensführung, der IT-Anwender oder der IT-Fachbereich. Realisieren lässt sich jede Anforderung durch eine Menge an Maßnahmen oder Aktivitäten, die eine oder mehrere Wirkungen im Unternehmen erzielen. Der Nutzen beschreibt letztlich den Umfang der Wirkung in den Dimensionen Geld, Zeit und / oder Qualität. In die Erfüllung der Anforderungen von ediscovery zu investieren hat einen großen betriebswirtschaftlichen Nutzen. Die Argumentationsketten in Abbildung 7 zeigen beispielhaft auf, wie ein Unternehmen durch verschiedene Maßnahmen die Konformität mit Gesetzen und Vorschriften erreichen kann. Folgende Maßnahmen haben einen direkten Einfluss auf die Durchführung und das Ergebnis von ediscovery-verfahren: Einforderung einer IT-Governance und IT-Strategie. Erstellung von internen Richtlinien und Arbeitanweisungen zur Umsetzung der gesetzlichen Anforderungen (z.b. der Litigation Hold, vgl. Abschnitt 2.1). Nutzung moderner Suchtechnologien und Reportsysteme. Strukturierte Informationsablage in Zentralsystemen (ERP, PLM, ). Prozess zur automatisierten Datenvernichtung unter Berücksichtigung gesetzlicher Vorgaben zur Datenaufbewahrung (vgl. Abschnitt 2.2). Unternehmensweites Identity Management System. Speicher-, Backup und Archiv-Management. Regelmäßige Schulung der Anwender im Umgang mit Gesetzesvorgaben (v.a. Datenschutz, Datenaufbewahrung). 14

15 Abbildung 6: Betriebswirtschaftlicher Nutzen eines ediscovery-konformen Informationsmanagements Unternehmen (Kunden, Mitarbeiter, Lieferanten) Konformität mit Gesetzen und Vorschriften Aktuelle und vollständige Informationsversorgung Nachhaltige IT-Investitionen Niedrige indirekt Kosten (z.b. durch IT) Wirksames Risiko-Management Anforderung an das Informationsmanagement Anwender (Prozesse, Aufgaben, Hilfsmittel) Sichere Datenspeicherung und Wiederverwendung Effektive Datensuche und Datenauswertung Effiziente Nutzung von Applikationen Keine Mehrfacheingaben Hohe Datenqualität IT (Prozesse, Systeme, Infrastruktur) Beitrag zur Steigerung des Unternehmenswertes Hohe Verfügbarkeit von Infrastruktur, Applikationen und Informationen Hohe Anwenderzufriedenheit Effizienz und Effektivität in der Informationsversorgung Maßnahmen mit ediscovery-bezug Einforderung einer IT-Governance Richtlinien & Arbeitsanweisungen zur Umsetzung gesetzl. Anforderungen Moderne Suchtechnologien und Reportsysteme Strukturierte Informationsablage Prozess zur automatisierten Datenvernichtung Unternehmensweites Identity Management Speicher-, Backup- & Archiv-Management Regelmäßige Anwenderschulung Wirkungen aus ediscovery-maßnahmen Einhaltung gesetzlicher Vorgaben Transparenz im Informationsfluss (wer, wann, was,..) Reduzierung des Aufwandes bei der Informationssuche Steigerung der Datenqualität Schnellere Antwortzeiten Reduzierung des verwalteten Datenspeichers Weniger Aufwand in der Datenmigration bei Systemwechsel Betriebswirtschafliche Nutzeneffekte Vermeidung bzw. Verringerung von Geldstrafen wegen Verletzung gesetzlicher Auflagen Steigerung des Images bei Geschäftspartnern & Mitarbeitern sowie in der Öffentlichkeit Reduzierung der Kosten für Datenspeicherung, Backup und Archivierung sowie für den Ausbau der Netzwerk-Bandbreiten Senkung der Kosten zur Einhaltung von SLAs Senkung der Reaktionszeiten auf Kundenanfragen und Marktveränderungen Abbildung 7: Betriebswirtschaftlicher Nutzen eines ediscovery-konformen Informationsmanagements Am Beispiel der Maßnahme Prozess zur automatisierten Datenvernichtung lassen sich verschiedene Auswirkungen prognostizieren: Die Einhaltung gesetzliche Vorgaben zur Datenspeicherung wird systematisch sichergestellt. Es verringert sich das Volumen des erforderlichen Primär-Speichers, des sekundären Backups sowie des digitalen Langzeitarchivs. Dadurch, dass ein verringertes Datenvolumen auf Übereinstimmung mit den Kriterien von Suchanfragen durchforstet werden muss, reduziert sich der Aufwand bei der Informationssuche (geringere Dauer bei gleicher Performance der Infrastruktur) im ediscovery-fall. Aus diesen Wirkungen lassen sich qualitativ unterschiedlichste Nutzenpotentiale ableiten. Die systematische Einhaltung der Regeln einer ediscovery hilft, Geldstrafen wegen Verletzung verfahrensrechtlicher Auflagen zu vermeiden und vermeidet ein negatives Image in der Öffentlichkeit, bei Geschäftspartnern und den eigenen Mitarbeitern. Die begleitende Reduzierung des so genannten Managed Storage führt zudem nicht nur zu sinkenden Kosten für Datenspeicherung, Backup und Langzeitarchivierung, sondern auch zu einer längeren Nutzung der vorhandenen Bandbreiten in den Datenleitungen zwischen den Unternehmensstandorten. Dass es bei den Kostentreibern Speicher und Bandbreite um sehr viel Geld gehen kann, lässt sich aus den Zahlenbeispielen von Abschnitt 3.1 leicht errechnen. Während die genannten Effekte einer ediscovery-compliance zuordenbar sind, wird der unternehmerische Vorteil auch an anderen Stellen bemerkbar. Die Abwicklung der Geschäftsprozesse (z.b. Anfrage-Angebotsprozess) nimmt weniger Zeit in Anspruch. Die erhöhte Aktualität, Zuverlässigkeit und Verfügbarkeit der Daten zum Angebotszeitpunkt wird sich in der Angebots-Auftrags-Hitrate sowie im positiven Ergebnis der Auftragsnachkalkulation zeigen. Ebenso lässt sich die gestiegene Zufriedenheit der Anwender mit ihrer IT-Umgebung messen. 15

16 4. Zusammenfassung und Ausblick. Wie aufgezeigt wurde, kann ein in den USA anhängiges Verfahren die beklagten Unternehmen mit der Beweisaufnahme während der ediscovery-phase intensiv beschäftigen. Die Folgen falscher Informationsbereitstellung oder eines unprofessionellen Verhaltens sind weit reichend. Obwohl auch deutsche Unternehmen mit Geschäftsbeziehungen in die USA hiervon betroffen sein können, ist ediscovery, wie die angeführte Kurzstudie zeigt, unter den befragten IT-Verantwortlichen nicht sehr bekannt. Auch wenn kein ediscovery-verfahren ansteht, liefern eine Vielzahl an Urteilen ausreichend Gründe, sich hiermit auseinander zu setzen, vor allem dann, wenn man im amerikanischen Markt aktiv ist. Für einen IT-Leiter viel interessanter dürfte der Versuch sein, aus eigenem Anstoß heraus eine ediscovery praktisch durchzuspielen. Die gewonnenen Erfahrungen lassen sich mit einem sinnvollen IT-Portfoliomanagement [Zimmermann 2008] direkt in eine Strategie zur Verbesserung des Informationsmanagements umsetzen. Die IT-technische Seite einer ediscovery wird zukünftig auch ohne juristischen Anstoß gewaltig an Bedeutung gewinnen. Die Informationszunahme in den Unternehmen ist enorm. Trotzdem wird die Notwendigkeit eines nachhaltigen IM teils aus Zeitdruck, oftmals auch aus Geldmangel immer noch missachtet. Dabei lassen sich durch die Anforderungen von ediscovery an das IM genügend Maßnahmen ableiten, deren Wirkung sich direkt in Kosteneinsparungen, qualitativen Verbesserung im Informationsmanagement sowie Prozessbeschleunigungen bemerkbar machen. Aber auch auf Seiten der IT-Systemanbieter sind erste Reaktionen bereits erkennbar. Als positives Beispiel im Anbieterdschungel sei Dassault Systems genannt, einer der global führenden Anbieter von Software und Dienstleistung für die Produktentwicklung. Dieses Unternehmen hat inzwischen seine neue V6 PLM Plattform mit einer neuen Suchmaschine ausgestattet [Dassault 2007]. Auch Spezialisten aus dem Bereich der Langzeitarchivierung suchen nach neuen Lösungen, wie dem digitalen, archivarischen Alptraum [Warnke 2008] begegnet werden kann. Wagt man einen Blick in die Zukunft, so werden neue Architekturen des Cloud-Computing zum Einsatz kommen, bei denen dem Anwender Software-Programme, Speicherplatz und Rechnerleistung bedarfsgerecht online zur Verfügung gestellt werden. Wie dann aber noch Informationen nachhaltig im Sinne einer Electronic Discovery zu finden sind, sollte heute schon zum Gegenstand neuer Forschungsprojekte gemacht werden. 16

17 5. Glossar. BASEL II Business Alignment CAD CIO Collaborative Engeneering Compliance Computer-Forensik Corporate Governance CRM EDMR ESI ERP Basel II bezeichnet die Gesamtheit der Eigenkapitalvorschriften, die vom Basler Ausschuss für Bankenaufsicht in den letzten Jahren vorgeschlagen wurden. Diese müssen seit dem 1. Januar 2007 in den Mitgliedsstaaten der EU Union für alle Kreditinstitute und Finanz dienstleistungsinstitute angewendet werden. Wechselseitige Abstimmung von Zielen, Strategien, Architekturen, Leistungen und Prozessen zwischen Informatikbereichen und Fachbereichen in Unternehmen. Computer Aided Design (CAD) bezeichnet das Erstellen von Konstruktionsunterlagen für mechanische, elektrische oder elektronische Erzeugnisse mit Hilfe von spezieller Software. Der Chief Information Officer (CIO), zu deutsch etwa Leiter für Informationstechnologie, nimmt allgemein in einem Unternehmen die Aufgaben der strategischen und operativen Führung der Informationstechnologie (IT) wahr. Prozesse, Abläufe und Organisation der unternehmensübergreifenden Zusammenarbeit in Produktentwicklungsprozessen (etwa in der Automobilindustrie). Gesamtheit aller zumutbaren Maßnahmen, die das regelkonforme Verhalten eines Unternehmens, seiner Organisationsmitglieder und seiner Mitarbeiter im Hinblick auf alle gesetzlichen Ge- und Verbote begründen. Die Computer-Forensik (auch IT-Forensik) behandelt die Untersuchung von verdächtigen Vorfällen im Zusammenhang mit IT-Systemen und der Feststellung des Tatbestandes und der Täter durch Erfassung, Analyse und Auswertung digitaler Spuren in Computersystemen. Setzen und Einhalten von Verhaltensregeln durch Gesetzgeber, Eigentümer, Mitarbeiter, Aufsichts- oder Verwaltungsrat, Management, Geschäftspartner oder andere Interessenten die für Mitarbeiter von Unternehmen oder das Unternehmen selbst gelten. Customer Relationship Management (CRM) beschreibt Verfahren und Techniken mit denen das Verhältnis zwischen Kunden und Lieferanten abgebildet werden kann. Electronic Discovery Reference Model Electronic Stored Information Der Begriff Enterprise Resource Planning bezeichnet die unternehmerische Aufgabe, die in einem Unternehmen vorhandenen Ressourcen (Kapital, Betriebsmittel oder Personal) effizient für den betrieblichen Ablauf einzusetzen. 17

18 FCPA FRCP IM IMS ISO17799/27002 IT-Governance ITIL IT-Portfolio- Management Litigation Hold Pentabyte Der Foreign Corrupt Practices Act (FCPA) von 1977 ist ein Bundesgesetz der USA, das alle börsennotierten Unternehmen dazu verpflichtet, Unterlagen zu erstellen, die alle Transaktionen akkurat und wahr dokumentieren. Zusätzlich ist jedes börsennotierte Unternehmen dazu verpflichtet, ein adäquates internes Finanzsystem zu haben Die Federal Rules of Civil Procedure (FRCP) beschreibt die Verfahrensweise, nach der ein Zivilprozess in den USA abgewickelt wird (Zivilprozessordnung). Im Kontext dieses Beitrages wird Informationsmanagement (IM) als die Summe aller Aktivitäten verstanden, die der Erstellung, der Verwaltung, dem Speichern, dem Suchen und der Wiederverwendung von Informationen (Daten und Dokumente) dienen. Identity Management Systeme (IMS) dienen der Administration und der Beschreibung von Identitätsmerkmalen. Als Identitätsmanagement wird der zielgerichtete und bewusste Umgang mit Identität, Anonymität und Pseudoanonymität bezeichnet. Der Personalausweis ist ein Beispiel für eine staatlich vorgegebene Form der Identifizierung. Internationaler Standard, der Kontrollmechanismen für die Informationssicherheit beinhaltet. Besteht aus Führung, Organisationsstrukturen und Prozessen, die sicherstellen, dass die IT die Unternehmensstrategie und -ziele unterstützt. Die IT Infrastructure Library (ITIL) ist eine Sammlung von Good Practices, die eine mögliche Umsetzung eines IT-Service-Managements (ITSM) beschreiben und international als De-facto- Standard hierfür gelten. Dieses Regel- und Definitionswerk beschreibt für den Betrieb einer IT-Infrastruktur notwendige Prozesse, Werkzeuge und Aufbauorganisation. Unter IT-Portfolio-Management wird die auf ökonomischen Kriterien beruhende operative Planung und Verwaltung von IT-Systemen, IT-Lösungen, Schnittstellen und ganzer IT- Architekturen verstanden. Ein Litigation Hold bedeutet im Rahmen der Prozessregeln des Ausforschungsbeweisverfahrens, das in den USA Discovery heißt, im Kern nur eine Pflicht zur Datensicherung für Prozesszwecke. Bei elektronischen Medien spricht man von der ediscovery mit besonderen rechtlichen und faktischen Sicherungsvorkehrungen. Einheit zur Mengenangabe von Daten, welche Terabyte entspricht. 18

19 PDA PLM Preservation Letter Pre-Trial-Phase SOA SOX STEP Terabyte TCO US-Securities and Exchange Commission XML Ein Personal Digital Assistant (PDA) ist ein kompakter, tragbarer Computer, der neben vielen anderen Programmen hauptsächlich für die persönliche Kalender-, Adress- und Aufgaben verwaltung benutzt wird. PDAs können zusätzlich Office-Dateien verarbeiten. Product Lifecycle Management (PLM) ist die Summe aller strategischen, organisatorischen und IT-technischen Maßnahmen für ein unternehmensweites, innovationsgetriebenes Management aller produktbezogener Information entlang des gesamten Produktlebenszyklusses von der ersten Idee bis zum Recycling. Schriftstück, das dem Beklagten zu Prozessbeginn zugesandt wird und in welchem er aufgefordert wird, bestimmte Beweismittel zu sichern. Gerichtliches Vorverfahren bzw. Beweisverfahren vor einer möglichen Verhandlung. Service Orientierte Architektur (SOA) ist ein Managementkonzept, welche erst in zweiter Linie auch ein Systemarchitekturkonzept voraussetzt. Dieses Konzept strebt eine an den gewünschten Geschäftsprozessen ausgerichtete Infrastruktur an, die schnell auf veränderte Anforderungen im Geschäftsumfeld reagieren kann. Der Sarbanes-Oxley Act (SOX) ist ein 2002 verabschiedetes US-Kapitalmarktgesetz, nach dem alle an den US-amerikanischen Börsen notierten Unternehmen ihr internes Kontrollsystem überprüfen, dokumentieren und von den Wirtschaftsprüfern testieren lassen müssen. STEP (Standard for the Exchange of Product model data) ist ein Standard zur Beschreibung von Produktdaten. Diese Beschreibung umfasst neben den physischen auch funktionale Aspekte eines Produktes. STEP eignet sich für den Datenaustausch zwischen verschiedenen Systemen und ist formal in dem ISO-Standard definiert. Einheit zur Mengenangabe von Daten, welche Gigabyte entspricht. Total Cost of Ownership (TCO) ist ein Kosten-Berechnungsverfahren und dient dazu, Verbrauchern und Unternehmen dabei zu helfen, alle anfallenden Kosten von Investiti - onsgütern wie beispielsweise Software und Hardware abzuschätzen. Institution, die für die Kontrolle des Wertpapierhandels in den USA zuständig ist. Die Extensible Markup Language (XML, engl. für erweiterbare Auszeichnungssprache ), ist eine Auszeichnungssprache zur Darstellung hierarchisch strukturierter Daten in Form von Textdaten, die u. a. für den Austausch von Daten zwischen Computersystemen, speziell über das Internet, eingesetzt wird. 19

20 6. Abbildungsverzeichnis. Abbildung 1: Abbildung 2: Abbildung 3: Abbildung 4: Abbildung 5: Abbildung 6: Abbildung 7: Ablauf in der amerikanischen Zivilprozessordnung Auszug aus deutschen Gesetzen zum Umgang mit Daten und Dokumenten Die Rolle von ediscovery im Unternehmen (Quelle: T-Systems) Vorbeugende Maßnahmen (Quelle: T-Systems) Beispielhafte Systemlandschaft eines Automobilzulieferers Bausteine einer IT-Strategieentwicklung Betriebswirtschaftliche Nutzenaspekte eines ediscovery-konformen Informationsmanagements 20