Compliance - die Einhaltung von gesetzlichen oder unternehmensinternen Vorschriften -ist eine wichtige Anforderung bei der Entwicklung von Webportalen im privatwirtschaftlichen und öffentlichen Umfeld. Die Einhaltung dieser Vorgaben ist oftmals nicht mit den Bordmitteln bekannter Open-Source-Systeme zu realisieren, sondern verlangt zusätzlichen Aufwand.

Gesetzliche und unternehmensinterne Vorschriften stellen die Entwickler von Portalen vor unterschiedliche Aufgaben. Im ersten Fall geht es um Datenschutz oder die Aufbewahrung steuerlich relevanter Unterlagen im System, im zweiten Fall um den Einsatz bestimmter Technologien sowie die Einhaltung von Prozessen. Diese werden von den internen IT-Richtlinien eines Unternehmens vorgeschrieben. "Bei großen Unternehmen und Konzernen sind beide Szenarien zu berücksichtigen; gesetzliche Vorschriften greifen immer und ab einer bestimmten Größe erlässt ein Unternehmen meist auch IT-Richtlinien", so Dr. Günter Goetz, der für die Entwicklung von Web-Portalen bei INSIGMA verantwortlich ist.

Das Need-to-Know-Prinzip

Bei unternehmensinternen Vorschriften stehen zumeist Sicherheitsaspekte oder damit eng verbundene Themen wie Freigabeprozesse oder Etikette im Vordergrund. Sie unterscheiden sich von Unternehmen zu Unternehmen und müssen jeweils in einem individuellen Workflow abgebildet werden. Entscheidend ist dabei die Umsetzung des "Need-to-know-Prinzips". Es gestattet den Zugriff auf vertrauliche Dokumente nur den wirklich für die Bearbeitung notwendigen Personen - unabhängig davon, ob noch weitere Personen Zugriff auf den entsprechenden Bereich eines Portals haben.

Günter Goetz: "Dabei kann es sich entweder um automatisierte Prozesse handeln oder um computergestützte manuelle Prozesse. So können einem Dokument lese-, schreib- oder kopierberechtigte Personen zugeordnet oder vor der Veröffentlichung eines Dokumentes Freigabemechanismen angestoßen werden. Das alles bilden wir mit unserem workflowbasierten Portalsystem EPF3 nach den Vorgaben unserer Kunden ab." Auch andere Vorschriften, z. B. die Vergabe oder den Wechsel von sicheren Passwörtern, meistert EPF3.

Gesetzliche Vorschriften adäquat umsetzen

Es leuchtet ein, dass IT-Richtlinien variieren; Entwickler müssen aber auch bei gesetzlichen Vorschriften Unterschiede beachten. Das gilt u. a. für die Aufbewahrung steuerlich relevanter Unterlagen. "Auf nationaler Ebene sind das die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU). Sie regeln die Mitwirkungspflicht bei Betriebsprüfungen", erklärt Günter Goetz. "Auf internationaler Ebene ist der US-amerikanische Sarbanes-Oxley Act (SOX) die maßgebliche Richtlinie."

Dabei sind die Vorgaben kompliziert. Nur ein Beispiel: Bei Dokumenten muss zwischen dem Gültigkeits- und dem Aufbewahrungszeitraum unterschieden werden. So kann eine digital gespeicherte Preisliste bereits seit längerer Zeit nicht mehr gültig sein, muss aber für Prüfzwecke weiterhin im System
aufbewahrt werden. Doch auch in diesem Falle sind die Mitarbeiter von Günter Goetz bestens gewappnet: Durch die langjährige Zusammenarbeit
mit international agierenden Unternehmen sind sie zu Experten bei der Entwicklung GDPdU- und SOX-konformer Workflows geworden.