SlideShare ist ein Scribd-Unternehmen logo
© Kompetenzzentrum Records Management, Zollikon 2016
THE SWISS
INFORMATION GOVERNANCE
COMPETENCE CENTER
Dr. iur. Bruno Wildhaber & Dr. Daniel Burgwinkel
1
Geschäftsrelevante Daten in der Cloud
© Kompetenzzentrum Records Management, Zollikon 2016
THE SWISS
INFORMATION GOVERNANCE
COMPETENCE CENTER
Informationen verstehen - nutzen - optimieren - beherrschen
2
Das Kompetenzzentrum
Records Management (KRM)
ist 2002 aus den Arbeiten an
der Revision der
handelsrechtlichen
Aufbewahrungspflichten (Art.
957 ff OR) und der
Geschäftsbücherverordnung
(«GeBüV») hervorgegange. Es
vermittelt Know-how und
berät Kunden im Umgang mit
Information. Beratung zu
Information Governance und
anverwandten Themen ist
unsere Kernkompetenz.
www.informationgovernance.ch
Wir bieten ein umfassendes Beratungsangebot zu Information Governance,
Records Management, Elektronischer Archivierung
© Kompetenzzentrum Records Management, Zollikon 2016
THE SWISS
INFORMATION GOVERNANCE
COMPETENCE CENTER
Agenda
u Was ist Information Governance?
u Information Governance in der Cloud
u FAQ – Aufbewahrung von Daten in der Cloud
u Prüfung und Zertifizierung von Digitalisierungslösungen
3
4 Video: https://youtu.be/DZFWPeP_hS0
© Kompetenzzentrum Records Management, Zollikon 2016
THE SWISS
INFORMATION GOVERNANCE
COMPETENCE CENTER
5
Information Governance ist darauf ausgerichtet, die
informationsbezogene Risikobewältigung des
Unternehmens zu optimieren.
Beschreibt die Verfahren, Organisation und Technologien welche
benötigt werden, um Informationen während ihres gesamten
Lebenszyklus (Nutzen, Erfassen, Klassieren, Speichern, Löschen) in
Übereinstimmung mit den strategischen Vorgaben des Unternehmens und
den externen und internen Vorschriften aktiv zu bewirtschaften.
Information Governance umfasst Teilbereiche des Information
Managements, der IT-Governance und des Risk Managements.
© Kompetenzzentrum Records Management, Zollikon 2016
THE SWISS
INFORMATION GOVERNANCE
COMPETENCE CENTER
6
© Kompetenzzentrum Records Management, Zollikon 2016
THE SWISS
INFORMATION GOVERNANCE
COMPETENCE CENTER
Gesetzliche Grundlagen: Pflicht des VR
Information Governance ist Teil der Corporate Governance
Die wichtigsten Aufgaben des CH-Verwaltungsrats sind (OR 716ff. OR):
•  Normative Funktion: Erstellen der notwendigen Vorgaben für die
Unternehmensführung
•  Erstellen von Strategische Vorgaben für die Entwicklung des Unternehmens, inkl.
Einstufung der Rolle von Daten/Information
•  Kontrolle und Überwachungstätigkeiten, inkl. Risiko Management
•  Entwicklung der personellen Ressourcen und Teamentwicklung
•  Kommunikation
Der VR muss sich aus zwei Perspektiven um Information kümmern:
•  Externe Sicht: Nutzung von Informationen zur Steuerung des Unternehmens
•  Interne Sicht: Effiziente Nutzung von Information zur Wahrnehmung der Aufgabe als
VR
7
Einhaltung der Gesetze und Regulative Gewinnerzielung
© Kompetenzzentrum Records Management, Zollikon 2016
THE SWISS
INFORMATION GOVERNANCE
COMPETENCE CENTER
Traditionelle Sicherheit
Services & Verträge
Identitätsmanagement
© Bruno Wildhaber, Zürich 2010
Cloud Governance
8
Auswahl des Anbieters und
Management der Beziehungen
SLA
Klare Festlegung, wo sich die Daten
befinden (Lifecycle Management)
Zugriffe durch Dritte identifizieren und
beschreiben (Risikoanalyse)
Identitätsmanagement und
Zugriffsschutz
Klare Haftungssituation
schaffen (Verträge)
Datentransfer und - rückgabe
zu Beginn regeln
Disaster Recovery und
Katastrophenvorsorge
Verantwortlichkeit des Business regeln;
Bypass um IT
Compliance, u.a. Datenschutz
IG Methode
RZ Sicherheit / Betrieb
Incident Response /
Überwachung
Anwendungssicherheit
Verschlüsselung / Key
Management
Virtualisierung
Audit
© Kompetenzzentrum Records Management, Zollikon 2016
THE SWISS
INFORMATION GOVERNANCE
COMPETENCE CENTER
Der Druck auf die Unternehmen steigt, die Daten und
Dokumente ordnungsgemäss aufzubewahren
•  Daten und Dokumente müssen
ordnungsgemäss und rechtskonform
aufbewahrt werden, d.h.
•  Aufbewahrungsfristen müssen beachtet
werden
•  Organisatorische und technische
Anforderungen wie Schutz vor
Veränderungen müssen erfüllt werden
•  Daten zum richtigen Zeitpunkt löschen
und einen Nachweis der Löschung
erbringen
(Datenschutz, Rechtsfälle etc.)
•  Im Fall von Gerichtsverfahren müssen
Daten zeitnah an die Behörden
ausgeliefert werden
Veränderungen Gesetze
Risiken bzgl.
Skandalen
NeueTrends in der IT
(Cloud, Industrie 4.0, Social
Media, Mobile)
Wie steuert die
Organisation den Umgang
mit digitalen Informationen
und Geschäftsunterlagen
Digitale
Transformation
Effizienz und
Kostendruck
© Kompetenzzentrum Records Management, Zollikon 2016
THE SWISS
INFORMATION GOVERNANCE
COMPETENCE CENTER
e-Business
Verträge
Elektronische
AufbewahrungUrkundenschutz
(Strafrecht)
e-Government
Vollstreckung
Datenschutz
Digitale Signatur,
Zertifizierung
Beweismittel
im Prozess
Steuerrecht
Rechtlicher Kontext
© Kompetenzzentrum Records Management, Zollikon 2016
THE SWISS
INFORMATION GOVERNANCE
COMPETENCE CENTER
Merksatz
11
Art. 958f Abs. 3 OR:
Die Geschäftsbücher und die Buchungsbelege können auf
Papier, elektronisch oder in vergleichbarer Weise
aufbewahrt werden, soweit dadurch die
Übereinstimmung mit den zugrunde liegenden
Geschäftsvorfällen und Sachverhalten gewährleistet ist
und wenn sie jederzeit wieder lesbar gemacht werden
können.
Wegfall der Aufbewahrungspflicht von
Geschäftskorrespondenz seit 1.1.13
Es gibt für 90% der CH-
Unternehmen keinen Grund,
Unterlagen physisch
aufzubewahren!
Vorbehältlich Speziabestimmungen und gesetzlich geregelter
Ausnahmen, macht ca. 2-10% des Gesamtvolumens aus.
© Kompetenzzentrum Records Management, Zollikon 2016
THE SWISS
INFORMATION GOVERNANCE
COMPETENCE CENTER
Fallstudie(n)
© Kompetenzzentrum Records Management, Zollikon 2016
THE SWISS
INFORMATION GOVERNANCE
COMPETENCE CENTER
FAQ – Aufbewahrung von Daten in der Cloud
ü  Welche rechtlichen Vorgaben muss ich beachten?
ü  Welche Branchennormen sind für mich relevant?
ü  Welchen Einfluss haben die aktuellen Diskussionen und Veränderungen im
Datenschutzr (EU-USA)?
ü  Die verschiedenen Cloudanbieter nennen verschiedenen Standards/
Zertifizierungen. Welche sind für mich relevant?
ü  Was muss ich beim Vertragsabschluss beachten und welche Punkte muss ich
regelmässig prüfen?
ü  Welche ISO Normen sind hilfreich? Welchen Nutzen hat die in 2015 publizierte
ISO 30302 „Management systems for records - Guidelines for implementation“?
© Kompetenzzentrum Records Management, Zollikon 2016
THE SWISS
INFORMATION GOVERNANCE
COMPETENCE CENTER
Vision: unternehmensweites Managementsystem für Records
Geschäftsprozesse
IT-Applikationen
Infrastruktur
Daten/Dokumente
Management-

system
Realität:
-  viele Subsysteme in den Daten verarbeitet werden
-  Verschiedene Managementsysteme und 

Verantwortlichkeiten für z.B. Qualität, Datenschutz, 

Sicherheit
…
…
Daten
X
Cloud
ERP
QM-
Doku
Vision:
Ein unternehmensweites Managementsystem 

für alle Geschäftsunterlagen/Daten
© Kompetenzzentrum Records Management, Zollikon 2016
THE SWISS
INFORMATION GOVERNANCE
COMPETENCE CENTER
Wenn Sie sich absichern möchten...
Prüfung und Zertifizierung von Digitalisierungslösungen
Informationsveranstaltungen z.B. am 16.3. / Region Zürich


Veranstaltungen: http://informationgovernance.ch/events/
Erfüllt die Anwendung/Lösung die
gesetzlichen Anforderungen?
•  Um diese Frage zu beantworten, führen wir einen st
rukturierten Audit durch und erstellen einen Bericht
mit Zertifikat.
•  Dabei berücksichtigen wir natürlich nicht nur die
GeBüV, sondern alle für Sie relevanten Vorgaben.
•  Wir bestätigen die rechtskonforme Behandlung
digitaler Unterlagen nach GeBüV, Datenschutz,
Cloud- und IT-Recht sowie Verträgen.
© Kompetenzzentrum Records Management, Zollikon 2016
THE SWISS
INFORMATION GOVERNANCE
COMPETENCE CENTER
Allgemeine Grundsätze
Grundsätze ordnungsgemässer Führung und Aufbewahrung der Bücher
•  Ordnungsgemässe Buchführung gemäss anerkannten kaufmännischen Grundsätzen
•  Einhaltung der Grundsätze der ordnungsgemässen Datenverarbeitung
•  Verweis auf allgemein anerkannte Regelwerke und Fachempfehlungen
Integrität
•  Echtheit
•  Unverfälschbarkeit
Dokumentation
•  Organisation, Prozesse
•  Aktualisierung
© Kompetenzzentrum Records Management, Zollikon 2016
THE SWISS
INFORMATION GOVERNANCE
COMPETENCE CENTER
Hilfe für den Einstieg in die Umsetzung
17
www.informationgovernance.ch
© Kompetenzzentrum Records Management, Zollikon 2016
THE SWISS
INFORMATION GOVERNANCE
COMPETENCE CENTER
GOVERNANCE
INFORMATION
LEITFADEN
Heerausgeber:
Koompetenzzenzenttrurumm Records Management
«TThe Swiswiss IInfonformation Governance
Comompetpeteence Center»t C t
mit Checklisten, Mustern und Vorlagen
Von Bruno Wildhdhaber
AAutoren: Daniel Burgwinkel,
Jürg Hagmann, Stephan Holländer,
Peter K. Neuenschwander,
Dieter Schmutz, Daniel SpicichthtyDieter Schmutz Daniel Spichtyty
Der erste deutschsprachige Leitfaden zum Thema Information
Governance mit Fokus Schweiz
18
Case Studies:
•  eDiscovery
•  ERP Datenhaltung
•  eHealth Patientendossier
•  ECM im Autohandel
Methoden und
Checklisten zu den
wichtigsten
Information
Governance
Fragen
Rechtliche
Rahmenbedingungen
in der Schweiz
+ Internationaler
Ausblick
© Kompetenzzentrum Records Management, Zollikon 2015
THE SWISS
INFORMATION GOVERNANCE
COMPETENCE CENTER
KRM Produkte
19
Leitfaden Information
Governance
MATRIO®
Methode
Leitfaden Records
Management
Information Management
(Digitalisierungsstrategie)
www.informationgovernance.ch

Weitere ähnliche Inhalte

Ähnlich wie Cloud Governance

Michele Schönherr (d.velop AG), Ing. Nikolaus Proske (d.velop GmbH)
Michele Schönherr (d.velop AG), Ing. Nikolaus Proske (d.velop GmbH)Michele Schönherr (d.velop AG), Ing. Nikolaus Proske (d.velop GmbH)
Michele Schönherr (d.velop AG), Ing. Nikolaus Proske (d.velop GmbH)
Agenda Europe 2035
 
[DE] Records Management & Datenschutz | Dr. Ulrich Kampffmeyer | Datenschutzk...
[DE] Records Management & Datenschutz | Dr. Ulrich Kampffmeyer | Datenschutzk...[DE] Records Management & Datenschutz | Dr. Ulrich Kampffmeyer | Datenschutzk...
[DE] Records Management & Datenschutz | Dr. Ulrich Kampffmeyer | Datenschutzk...
PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH
 
Standardlösungen für Track & Trace von elektronischen Dokumenten
Standardlösungen für Track & Trace von elektronischen DokumentenStandardlösungen für Track & Trace von elektronischen Dokumenten
Standardlösungen für Track & Trace von elektronischen Dokumenten
SEEBURGER
 
Basismodul Informationsmanagement in der Bundesverwaltung
Basismodul Informationsmanagement in der BundesverwaltungBasismodul Informationsmanagement in der Bundesverwaltung
Basismodul Informationsmanagement in der BundesverwaltungCH_Bundesarchiv
 
Vertragsmanagement mit der Lösung Sealbase von PublicSeal
Vertragsmanagement mit der Lösung Sealbase von PublicSealVertragsmanagement mit der Lösung Sealbase von PublicSeal
Vertragsmanagement mit der Lösung Sealbase von PublicSeal
Franz Schreiber
 
Lernen Sie Diamant Kennen In 120 Sekunden
Lernen Sie Diamant Kennen In 120 SekundenLernen Sie Diamant Kennen In 120 Sekunden
Lernen Sie Diamant Kennen In 120 Sekunden
Diamant Software GmbH & Co. KG
 
Seal Software - Digitales Vertragsmanagement mit kuenstlicher Intelligenz
Seal Software - Digitales Vertragsmanagement mit kuenstlicher IntelligenzSeal Software - Digitales Vertragsmanagement mit kuenstlicher Intelligenz
Seal Software - Digitales Vertragsmanagement mit kuenstlicher Intelligenz
Constanze Liebenau
 
Fit für Solvency II – wie man Datenqualität messbar macht
Fit für Solvency II – wie man Datenqualität messbar machtFit für Solvency II – wie man Datenqualität messbar macht
Fit für Solvency II – wie man Datenqualität messbar macht
PPI AG
 
Microsoft Kompendium IT-Compliance und -Security
Microsoft Kompendium IT-Compliance und -SecurityMicrosoft Kompendium IT-Compliance und -Security
Microsoft Kompendium IT-Compliance und -Security
Michael Hettich
 
Mag. Michael Sifkovits (USU Austria)
Mag. Michael Sifkovits (USU Austria)Mag. Michael Sifkovits (USU Austria)
Mag. Michael Sifkovits (USU Austria)
Praxistage
 
16021 conect papers
16021 conect papers16021 conect papers
16021 conect papers
CON.ECT Eventmanagement
 
Governikus it plr-ce_bit2015
Governikus it plr-ce_bit2015Governikus it plr-ce_bit2015
Governikus it plr-ce_bit2015Governikus KG
 
Cloud-ERP-System mit TCPOS-Schnittstelle
Cloud-ERP-System mit TCPOS-SchnittstelleCloud-ERP-System mit TCPOS-Schnittstelle
Cloud-ERP-System mit TCPOS-Schnittstelle
wolter & works - die web manufaktur
 
Facility Management mit SAP Business ByDesign
Facility Management mit SAP Business ByDesignFacility Management mit SAP Business ByDesign
Facility Management mit SAP Business ByDesign
GiS Gesellschaft für integrierte Systemplanung mbH
 
Mag. Lorenz Szabo (BDO Austria)
Mag. Lorenz Szabo (BDO Austria)Mag. Lorenz Szabo (BDO Austria)
Mag. Lorenz Szabo (BDO Austria)
Agenda Europe 2035
 
Klöcker & Kück Datenschutz
Klöcker & Kück Datenschutz Klöcker & Kück Datenschutz
Klöcker & Kück Datenschutz
Andreas Klöcker
 
[DE] Records Management Konferenz 2014 | Ordnung schaffen & Ordnung halten | ...
[DE] Records Management Konferenz 2014 | Ordnung schaffen & Ordnung halten | ...[DE] Records Management Konferenz 2014 | Ordnung schaffen & Ordnung halten | ...
[DE] Records Management Konferenz 2014 | Ordnung schaffen & Ordnung halten | ...
PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH
 
Daten- und Informationsqualitätsmanagement als integraler Baustein von Manage...
Daten- und Informationsqualitätsmanagement als integraler Baustein von Manage...Daten- und Informationsqualitätsmanagement als integraler Baustein von Manage...
Daten- und Informationsqualitätsmanagement als integraler Baustein von Manage...
Marco Geuer
 
Tisson & Company IT Management - Innovationsmanagement
Tisson & Company IT Management - InnovationsmanagementTisson & Company IT Management - Innovationsmanagement
Tisson & Company IT Management - Innovationsmanagement
Horst Tisson
 

Ähnlich wie Cloud Governance (20)

Michele Schönherr (d.velop AG), Ing. Nikolaus Proske (d.velop GmbH)
Michele Schönherr (d.velop AG), Ing. Nikolaus Proske (d.velop GmbH)Michele Schönherr (d.velop AG), Ing. Nikolaus Proske (d.velop GmbH)
Michele Schönherr (d.velop AG), Ing. Nikolaus Proske (d.velop GmbH)
 
[DE] Records Management & Datenschutz | Dr. Ulrich Kampffmeyer | Datenschutzk...
[DE] Records Management & Datenschutz | Dr. Ulrich Kampffmeyer | Datenschutzk...[DE] Records Management & Datenschutz | Dr. Ulrich Kampffmeyer | Datenschutzk...
[DE] Records Management & Datenschutz | Dr. Ulrich Kampffmeyer | Datenschutzk...
 
Standardlösungen für Track & Trace von elektronischen Dokumenten
Standardlösungen für Track & Trace von elektronischen DokumentenStandardlösungen für Track & Trace von elektronischen Dokumenten
Standardlösungen für Track & Trace von elektronischen Dokumenten
 
Basismodul Informationsmanagement in der Bundesverwaltung
Basismodul Informationsmanagement in der BundesverwaltungBasismodul Informationsmanagement in der Bundesverwaltung
Basismodul Informationsmanagement in der Bundesverwaltung
 
Vertragsmanagement mit der Lösung Sealbase von PublicSeal
Vertragsmanagement mit der Lösung Sealbase von PublicSealVertragsmanagement mit der Lösung Sealbase von PublicSeal
Vertragsmanagement mit der Lösung Sealbase von PublicSeal
 
Lernen Sie Diamant Kennen In 120 Sekunden
Lernen Sie Diamant Kennen In 120 SekundenLernen Sie Diamant Kennen In 120 Sekunden
Lernen Sie Diamant Kennen In 120 Sekunden
 
Seal Software - Digitales Vertragsmanagement mit kuenstlicher Intelligenz
Seal Software - Digitales Vertragsmanagement mit kuenstlicher IntelligenzSeal Software - Digitales Vertragsmanagement mit kuenstlicher Intelligenz
Seal Software - Digitales Vertragsmanagement mit kuenstlicher Intelligenz
 
2011 01 06 13-00 maria winkler
2011 01 06 13-00 maria winkler2011 01 06 13-00 maria winkler
2011 01 06 13-00 maria winkler
 
Fit für Solvency II – wie man Datenqualität messbar macht
Fit für Solvency II – wie man Datenqualität messbar machtFit für Solvency II – wie man Datenqualität messbar macht
Fit für Solvency II – wie man Datenqualität messbar macht
 
Microsoft Kompendium IT-Compliance und -Security
Microsoft Kompendium IT-Compliance und -SecurityMicrosoft Kompendium IT-Compliance und -Security
Microsoft Kompendium IT-Compliance und -Security
 
Mag. Michael Sifkovits (USU Austria)
Mag. Michael Sifkovits (USU Austria)Mag. Michael Sifkovits (USU Austria)
Mag. Michael Sifkovits (USU Austria)
 
16021 conect papers
16021 conect papers16021 conect papers
16021 conect papers
 
Governikus it plr-ce_bit2015
Governikus it plr-ce_bit2015Governikus it plr-ce_bit2015
Governikus it plr-ce_bit2015
 
Cloud-ERP-System mit TCPOS-Schnittstelle
Cloud-ERP-System mit TCPOS-SchnittstelleCloud-ERP-System mit TCPOS-Schnittstelle
Cloud-ERP-System mit TCPOS-Schnittstelle
 
Facility Management mit SAP Business ByDesign
Facility Management mit SAP Business ByDesignFacility Management mit SAP Business ByDesign
Facility Management mit SAP Business ByDesign
 
Mag. Lorenz Szabo (BDO Austria)
Mag. Lorenz Szabo (BDO Austria)Mag. Lorenz Szabo (BDO Austria)
Mag. Lorenz Szabo (BDO Austria)
 
Klöcker & Kück Datenschutz
Klöcker & Kück Datenschutz Klöcker & Kück Datenschutz
Klöcker & Kück Datenschutz
 
[DE] Records Management Konferenz 2014 | Ordnung schaffen & Ordnung halten | ...
[DE] Records Management Konferenz 2014 | Ordnung schaffen & Ordnung halten | ...[DE] Records Management Konferenz 2014 | Ordnung schaffen & Ordnung halten | ...
[DE] Records Management Konferenz 2014 | Ordnung schaffen & Ordnung halten | ...
 
Daten- und Informationsqualitätsmanagement als integraler Baustein von Manage...
Daten- und Informationsqualitätsmanagement als integraler Baustein von Manage...Daten- und Informationsqualitätsmanagement als integraler Baustein von Manage...
Daten- und Informationsqualitätsmanagement als integraler Baustein von Manage...
 
Tisson & Company IT Management - Innovationsmanagement
Tisson & Company IT Management - InnovationsmanagementTisson & Company IT Management - Innovationsmanagement
Tisson & Company IT Management - Innovationsmanagement
 

Mehr von Humoback

Information Governance - Die Rolle des Verwaltungsrats (Board of Directors)
Information Governance - Die Rolle des Verwaltungsrats (Board of Directors) Information Governance - Die Rolle des Verwaltungsrats (Board of Directors)
Information Governance - Die Rolle des Verwaltungsrats (Board of Directors)
Humoback
 
The 10 biggest threats to your information (caused by yourself the CEO)
The 10 biggest threats to your information (caused by yourself the CEO)The 10 biggest threats to your information (caused by yourself the CEO)
The 10 biggest threats to your information (caused by yourself the CEO)
Humoback
 
Was ist Information Governance?
Was ist Information Governance?Was ist Information Governance?
Was ist Information Governance?
Humoback
 
Web Archivierung - Gründe
Web Archivierung - GründeWeb Archivierung - Gründe
Web Archivierung - Gründe
Humoback
 
Information Management Strategy 2011
Information Management Strategy  2011Information Management Strategy  2011
Information Management Strategy 2011
Humoback
 
Information Management Strategie Leitfaden
Information Management Strategie LeitfadenInformation Management Strategie Leitfaden
Information Management Strategie Leitfaden
Humoback
 

Mehr von Humoback (6)

Information Governance - Die Rolle des Verwaltungsrats (Board of Directors)
Information Governance - Die Rolle des Verwaltungsrats (Board of Directors) Information Governance - Die Rolle des Verwaltungsrats (Board of Directors)
Information Governance - Die Rolle des Verwaltungsrats (Board of Directors)
 
The 10 biggest threats to your information (caused by yourself the CEO)
The 10 biggest threats to your information (caused by yourself the CEO)The 10 biggest threats to your information (caused by yourself the CEO)
The 10 biggest threats to your information (caused by yourself the CEO)
 
Was ist Information Governance?
Was ist Information Governance?Was ist Information Governance?
Was ist Information Governance?
 
Web Archivierung - Gründe
Web Archivierung - GründeWeb Archivierung - Gründe
Web Archivierung - Gründe
 
Information Management Strategy 2011
Information Management Strategy  2011Information Management Strategy  2011
Information Management Strategy 2011
 
Information Management Strategie Leitfaden
Information Management Strategie LeitfadenInformation Management Strategie Leitfaden
Information Management Strategie Leitfaden
 

Cloud Governance

  • 1. © Kompetenzzentrum Records Management, Zollikon 2016 THE SWISS INFORMATION GOVERNANCE COMPETENCE CENTER Dr. iur. Bruno Wildhaber & Dr. Daniel Burgwinkel 1 Geschäftsrelevante Daten in der Cloud
  • 2. © Kompetenzzentrum Records Management, Zollikon 2016 THE SWISS INFORMATION GOVERNANCE COMPETENCE CENTER Informationen verstehen - nutzen - optimieren - beherrschen 2 Das Kompetenzzentrum Records Management (KRM) ist 2002 aus den Arbeiten an der Revision der handelsrechtlichen Aufbewahrungspflichten (Art. 957 ff OR) und der Geschäftsbücherverordnung («GeBüV») hervorgegange. Es vermittelt Know-how und berät Kunden im Umgang mit Information. Beratung zu Information Governance und anverwandten Themen ist unsere Kernkompetenz. www.informationgovernance.ch Wir bieten ein umfassendes Beratungsangebot zu Information Governance, Records Management, Elektronischer Archivierung
  • 3. © Kompetenzzentrum Records Management, Zollikon 2016 THE SWISS INFORMATION GOVERNANCE COMPETENCE CENTER Agenda u Was ist Information Governance? u Information Governance in der Cloud u FAQ – Aufbewahrung von Daten in der Cloud u Prüfung und Zertifizierung von Digitalisierungslösungen 3
  • 5. © Kompetenzzentrum Records Management, Zollikon 2016 THE SWISS INFORMATION GOVERNANCE COMPETENCE CENTER 5 Information Governance ist darauf ausgerichtet, die informationsbezogene Risikobewältigung des Unternehmens zu optimieren. Beschreibt die Verfahren, Organisation und Technologien welche benötigt werden, um Informationen während ihres gesamten Lebenszyklus (Nutzen, Erfassen, Klassieren, Speichern, Löschen) in Übereinstimmung mit den strategischen Vorgaben des Unternehmens und den externen und internen Vorschriften aktiv zu bewirtschaften. Information Governance umfasst Teilbereiche des Information Managements, der IT-Governance und des Risk Managements.
  • 6. © Kompetenzzentrum Records Management, Zollikon 2016 THE SWISS INFORMATION GOVERNANCE COMPETENCE CENTER 6
  • 7. © Kompetenzzentrum Records Management, Zollikon 2016 THE SWISS INFORMATION GOVERNANCE COMPETENCE CENTER Gesetzliche Grundlagen: Pflicht des VR Information Governance ist Teil der Corporate Governance Die wichtigsten Aufgaben des CH-Verwaltungsrats sind (OR 716ff. OR): •  Normative Funktion: Erstellen der notwendigen Vorgaben für die Unternehmensführung •  Erstellen von Strategische Vorgaben für die Entwicklung des Unternehmens, inkl. Einstufung der Rolle von Daten/Information •  Kontrolle und Überwachungstätigkeiten, inkl. Risiko Management •  Entwicklung der personellen Ressourcen und Teamentwicklung •  Kommunikation Der VR muss sich aus zwei Perspektiven um Information kümmern: •  Externe Sicht: Nutzung von Informationen zur Steuerung des Unternehmens •  Interne Sicht: Effiziente Nutzung von Information zur Wahrnehmung der Aufgabe als VR 7 Einhaltung der Gesetze und Regulative Gewinnerzielung
  • 8. © Kompetenzzentrum Records Management, Zollikon 2016 THE SWISS INFORMATION GOVERNANCE COMPETENCE CENTER Traditionelle Sicherheit Services & Verträge Identitätsmanagement © Bruno Wildhaber, Zürich 2010 Cloud Governance 8 Auswahl des Anbieters und Management der Beziehungen SLA Klare Festlegung, wo sich die Daten befinden (Lifecycle Management) Zugriffe durch Dritte identifizieren und beschreiben (Risikoanalyse) Identitätsmanagement und Zugriffsschutz Klare Haftungssituation schaffen (Verträge) Datentransfer und - rückgabe zu Beginn regeln Disaster Recovery und Katastrophenvorsorge Verantwortlichkeit des Business regeln; Bypass um IT Compliance, u.a. Datenschutz IG Methode RZ Sicherheit / Betrieb Incident Response / Überwachung Anwendungssicherheit Verschlüsselung / Key Management Virtualisierung Audit
  • 9. © Kompetenzzentrum Records Management, Zollikon 2016 THE SWISS INFORMATION GOVERNANCE COMPETENCE CENTER Der Druck auf die Unternehmen steigt, die Daten und Dokumente ordnungsgemäss aufzubewahren •  Daten und Dokumente müssen ordnungsgemäss und rechtskonform aufbewahrt werden, d.h. •  Aufbewahrungsfristen müssen beachtet werden •  Organisatorische und technische Anforderungen wie Schutz vor Veränderungen müssen erfüllt werden •  Daten zum richtigen Zeitpunkt löschen und einen Nachweis der Löschung erbringen (Datenschutz, Rechtsfälle etc.) •  Im Fall von Gerichtsverfahren müssen Daten zeitnah an die Behörden ausgeliefert werden Veränderungen Gesetze Risiken bzgl. Skandalen NeueTrends in der IT (Cloud, Industrie 4.0, Social Media, Mobile) Wie steuert die Organisation den Umgang mit digitalen Informationen und Geschäftsunterlagen Digitale Transformation Effizienz und Kostendruck
  • 10. © Kompetenzzentrum Records Management, Zollikon 2016 THE SWISS INFORMATION GOVERNANCE COMPETENCE CENTER e-Business Verträge Elektronische AufbewahrungUrkundenschutz (Strafrecht) e-Government Vollstreckung Datenschutz Digitale Signatur, Zertifizierung Beweismittel im Prozess Steuerrecht Rechtlicher Kontext
  • 11. © Kompetenzzentrum Records Management, Zollikon 2016 THE SWISS INFORMATION GOVERNANCE COMPETENCE CENTER Merksatz 11 Art. 958f Abs. 3 OR: Die Geschäftsbücher und die Buchungsbelege können auf Papier, elektronisch oder in vergleichbarer Weise aufbewahrt werden, soweit dadurch die Übereinstimmung mit den zugrunde liegenden Geschäftsvorfällen und Sachverhalten gewährleistet ist und wenn sie jederzeit wieder lesbar gemacht werden können. Wegfall der Aufbewahrungspflicht von Geschäftskorrespondenz seit 1.1.13 Es gibt für 90% der CH- Unternehmen keinen Grund, Unterlagen physisch aufzubewahren! Vorbehältlich Speziabestimmungen und gesetzlich geregelter Ausnahmen, macht ca. 2-10% des Gesamtvolumens aus.
  • 12. © Kompetenzzentrum Records Management, Zollikon 2016 THE SWISS INFORMATION GOVERNANCE COMPETENCE CENTER Fallstudie(n)
  • 13. © Kompetenzzentrum Records Management, Zollikon 2016 THE SWISS INFORMATION GOVERNANCE COMPETENCE CENTER FAQ – Aufbewahrung von Daten in der Cloud ü  Welche rechtlichen Vorgaben muss ich beachten? ü  Welche Branchennormen sind für mich relevant? ü  Welchen Einfluss haben die aktuellen Diskussionen und Veränderungen im Datenschutzr (EU-USA)? ü  Die verschiedenen Cloudanbieter nennen verschiedenen Standards/ Zertifizierungen. Welche sind für mich relevant? ü  Was muss ich beim Vertragsabschluss beachten und welche Punkte muss ich regelmässig prüfen? ü  Welche ISO Normen sind hilfreich? Welchen Nutzen hat die in 2015 publizierte ISO 30302 „Management systems for records - Guidelines for implementation“?
  • 14. © Kompetenzzentrum Records Management, Zollikon 2016 THE SWISS INFORMATION GOVERNANCE COMPETENCE CENTER Vision: unternehmensweites Managementsystem für Records Geschäftsprozesse IT-Applikationen Infrastruktur Daten/Dokumente Management-
 system Realität: -  viele Subsysteme in den Daten verarbeitet werden -  Verschiedene Managementsysteme und 
 Verantwortlichkeiten für z.B. Qualität, Datenschutz, 
 Sicherheit … … Daten X Cloud ERP QM- Doku Vision: Ein unternehmensweites Managementsystem 
 für alle Geschäftsunterlagen/Daten
  • 15. © Kompetenzzentrum Records Management, Zollikon 2016 THE SWISS INFORMATION GOVERNANCE COMPETENCE CENTER Wenn Sie sich absichern möchten... Prüfung und Zertifizierung von Digitalisierungslösungen Informationsveranstaltungen z.B. am 16.3. / Region Zürich 
 Veranstaltungen: http://informationgovernance.ch/events/ Erfüllt die Anwendung/Lösung die gesetzlichen Anforderungen? •  Um diese Frage zu beantworten, führen wir einen st rukturierten Audit durch und erstellen einen Bericht mit Zertifikat. •  Dabei berücksichtigen wir natürlich nicht nur die GeBüV, sondern alle für Sie relevanten Vorgaben. •  Wir bestätigen die rechtskonforme Behandlung digitaler Unterlagen nach GeBüV, Datenschutz, Cloud- und IT-Recht sowie Verträgen.
  • 16. © Kompetenzzentrum Records Management, Zollikon 2016 THE SWISS INFORMATION GOVERNANCE COMPETENCE CENTER Allgemeine Grundsätze Grundsätze ordnungsgemässer Führung und Aufbewahrung der Bücher •  Ordnungsgemässe Buchführung gemäss anerkannten kaufmännischen Grundsätzen •  Einhaltung der Grundsätze der ordnungsgemässen Datenverarbeitung •  Verweis auf allgemein anerkannte Regelwerke und Fachempfehlungen Integrität •  Echtheit •  Unverfälschbarkeit Dokumentation •  Organisation, Prozesse •  Aktualisierung
  • 17. © Kompetenzzentrum Records Management, Zollikon 2016 THE SWISS INFORMATION GOVERNANCE COMPETENCE CENTER Hilfe für den Einstieg in die Umsetzung 17 www.informationgovernance.ch
  • 18. © Kompetenzzentrum Records Management, Zollikon 2016 THE SWISS INFORMATION GOVERNANCE COMPETENCE CENTER GOVERNANCE INFORMATION LEITFADEN Heerausgeber: Koompetenzzenzenttrurumm Records Management «TThe Swiswiss IInfonformation Governance Comompetpeteence Center»t C t mit Checklisten, Mustern und Vorlagen Von Bruno Wildhdhaber AAutoren: Daniel Burgwinkel, Jürg Hagmann, Stephan Holländer, Peter K. Neuenschwander, Dieter Schmutz, Daniel SpicichthtyDieter Schmutz Daniel Spichtyty Der erste deutschsprachige Leitfaden zum Thema Information Governance mit Fokus Schweiz 18 Case Studies: •  eDiscovery •  ERP Datenhaltung •  eHealth Patientendossier •  ECM im Autohandel Methoden und Checklisten zu den wichtigsten Information Governance Fragen Rechtliche Rahmenbedingungen in der Schweiz + Internationaler Ausblick
  • 19. © Kompetenzzentrum Records Management, Zollikon 2015 THE SWISS INFORMATION GOVERNANCE COMPETENCE CENTER KRM Produkte 19 Leitfaden Information Governance MATRIO® Methode Leitfaden Records Management Information Management (Digitalisierungsstrategie) www.informationgovernance.ch