Sie sind hier: Home » Fachartikel » Hintergrund

Compliance bei Datensicherungsprozessen


Vom Chaos zur Compliance: Aktenaufbewahrung im digitalen Zeitalter
In Europa herrscht wahrlich eine Flut von Gesetzen zur Datenspeicherung

Autor Hans-Günter Börgmann
Autor Hans-Günter Börgmann Bild: Iron Mountain Deutschland

Von Hans-Günter Börgmann, Geschäftsführer von Iron Mountain Deutschland

(21.06.13) - Regelungen zur Aufbewahrung von Akten sollten wesentlicher Bestandteil eines verantwortungsvollen Informationsmanagements für Unternehmen sein. Das bedeutet, dass man Dokumente geordnet und sicher aufbewahrt, sie gleichwohl im schnellen Zugriff hat, sie im Anschluss sicher archiviert und schließlich im Einklang mit den geltenden Gesetzen vernichtet. Das klingt zunächst ganz einfach, oder?

Doch in der Realität sieht dies ganz anders aus. Denn in Europa herrscht wahrlich eine Flut von Gesetzen zur Datenspeicherung. Für die verschiedenen Arten von Akten gibt es unterschiedlich lange Aufbewahrungsfristen – diese reichen von ein paar Monaten bis zu 20 oder mehr Jahren. Die in Europa vorhandenen Gesetze unterscheiden sich - je nach Branche - teilweise erheblich voneinander. Außerdem kommt noch hinzu, dass sie sich laufend ändern.

Werden Dokumente zu lange aufbewahrt, riskiert das Unternehmen den Verstoß gegen Datenschutzgesetze. Eine zu frühe Vernichtung der Dokumente hingegen, stellt einen Verstoß gegen gesetzliche Aufbewahrungsfristen dar. So ist es auch nicht verwunderlich, dass sich laut einer von Iron Mountain in Auftrag gegebenen PwC-Studie 36 Prozent der mittelständischen Unternehmen in Europa [1], dafür entschieden haben, Papier und elektronische Dokumente nur für den Fall der Fälle aufzubewahren. 39 Prozent der Finanzdienstleister sowie 45 Prozent des produzierenden Gewerbes bewahren grundsätzlich alle Dokumente auf.

Nirgendwo sind die Auswirkungen der damit verbundenen Irrtümer offensichtlicher als im Falle der digitalen Kommunikation über E-Mails, SMS und Beiträge in den Sozialen Medien. Im Gegensatz zum oberen Ansatz, scheinen viele Unternehmen auf diese Flut von neuen Inhalten einfach nicht zu reagieren und auf entsprechende Datensicherungsprozesse zu verzichten.

Während laut einer aktuellen AIIM-Studie (American Association for Information and Image Management) [2] 73 Prozent aller Unternehmen die Inhalte von Firmen-Mails in ihre internen Aufbewahrungsrichtlinien aufgenommen haben, löschen die meisten der befragten Unternehmen ihre E-Mails immer noch manuell. In 55 Prozent der befragten Unternehmen bleibt es den Mitarbeitern überlassen, E-Mails nach eigenem Ermessen zu speichern oder zu löschen. Ein solcher, hauptsächlich von den Mitarbeitern getragener Ansatz, gilt insbesondere im Hinblick auf die wachsende Zahl von öffentlichkeitswirksamen Klagen, die sich in ihrer Beweisführung auf E-Mail-Inhalte berufen, als riskant.

Wie sensibel die Thematik ist, zeigt folgendes Praxisbeispiel. Nachdem ein Mitarbeiter eines Konzerns gesetzlich verbotene Bilder über seinen Firmen-Account versendet hatte, musste das Unternehmen auf Forderung der Staatsanwaltschaft das betreffende Bildmaterial dauerhaft aus dem E-Mail-Archiv des inzwischen entlassenen Mitarbeiters löschen. Als das Unternehmen dieser Forderung nachgehen wollte, konnte es nicht beweisen, dass es bei diesem einmaligen Eingriff in das E-Mail-System bleiben würde und es für steuerrechtlich relevante Daten als nicht manipulierbar gilt. Die vollständige Entfernung des Bildmaterials wurde schließlich in Anwesenheit eines Anwalts und einem Beratungshaus als externen Datenschutzbeauftragten durchgeführt.

In Deutschland sind Unternehmen laut Handelsgesetzbuch(HGB) dazu verpflichtet, steuerlich und buchhalterisch relevante E-Mails zehn Jahre lang aufzubewahren. Mails mit Geschäftsinhalten müssen sechs Jahre lang geordnet und revisionssicher und nur in ihrer ursprünglichen Form aufbewahrt werden. Sie dürften weder verändert noch vorzeitig gelöscht werden. Steuerlich relevante Daten müssen laut den Grundsätzen zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) in einem maschinell auswertbaren Format bereitgestellt werden und zusätzlich durch gängige Prüfsoftware der deutschen Behörden lesbar sein. Neben diesen nationalen Vorschriften kommen noch eine Reihe von internationalen Regelungen, wie der US-amerikanische Sarbanes-Oxley Act (SOX-Compliance), die Basel-II-Richtlinien und der Gramm-Leach-Bliley Act (GLBA) zum Tragen.

Ein zusätzliches Problem bei der Umsetzung einer Aufbewahrungs-Strategie für die elektronische Korrespondenz ist, dass ein Dokument in mehrfacher Ausführung vorhanden sein kann – etwa auf einem Desktop-PC, Smartphone und Laptop. Daher ist es nahezu unmöglich, all diese Inhalte zurückzuverfolgen und zu verwalten.

Und das ist erst der Anfang: Es stellt sich auch die Frage, was ein Unternehmen tun soll, wenn eine dringend benötigte Information nur in Form einer SMS-Nachricht auf einem Mobiltelefon vorlag, dann aber gelöscht wurde, als der Besitzer des Gerätes die Firma verließ.

Die meisten Unternehmen haben ein Content-Management für die Inhalte der Sozialen Medien noch nicht einmal auf ihrem Radar. Die AIIM-Studie [2] ergab beispielsweise auch, dass weniger als 15 Prozent der befragten Organisationen die Einträge in den Sozialen Netzwerken in ihre Aufbewahrungspläne mit einbeziehen. Dieses Versagen, Inhalte der Sozialen Medien nicht als gültige Firmendokumente zu behandeln, ist auf eine Reihe von Faktoren zurückzuführen, darunter auch die Notwendigkeit, Risiken durch Ressourcen auszugleichen. Für viele Unternehmen, kann es jedoch in der schnelllebigen Welt der Sozialen Netzwerke schnell zum Problem werden, alle Einträge zurückzuverfolgen oder zu erfassen.

Dennoch gilt laut der AIIM-Studie festzuhalten, dass ein Drittel der Firmen die Einträge im Social Web als Firmendokumente behandeln, und daher davon Gebrauch machen. Eine kleine aber signifikante Anzahl von 27 Prozent verwendet die Einträge beispielsweise dazu, um Kundenbeschwerden zu lösen und bei 17 Prozent der Unternehmen kamen sie sogar im Zuge von Disziplinarmaßnahmen gegen Mitarbeiter zum Einsatz. Dies sind beides Bereiche, die für die Reputation von Unternehmen äußerst wichtig sind.

Es ist möglicherweise bezeichnend, dass nach Angaben von AIIM [2], in rund ein Drittel der Unternehmen niemand für die Kontrolle der Inhalte aus Instant Messanging, Sozialen Medien sowie mobilen Inhalten verantwortlich ist. Dieser Mangel an Eigenverantwortung legt nahe, dass die Lage in vielen Unternehmen schlechter als gedacht ausfällt. Dies ist insofern äußerst beunruhigend, als wir es heutzutage mit wirtschaftlichen Rahmenbedingungen zu tun haben, in denen sowohl Unternehmen als auch Konsumenten auf ihre Rechte bestehen wollen – notfalls vor Gericht.

Werden wir von einem Informations-Tsunami getroffen? Wie können wir wissen, was wir horten oder ignorieren sollen? Wie verhalten wir uns konform zu Bestimmungen und Gesetzen? Die Tatsache, dass es genauso gefährlich ist, etwas zu lange aufzubewahren (zum Beispiel persönliche Daten oder erfolglose Bewerbungen), wie etwas zu früh zu vernichten (zum Beispiel die Korrespondenz einer Klage oder Details zu Gesundheitsgefahren), überfordert schlicht und ergreifend viele Unternehmen.

Rechtsorganisationen sowie Unternehmen, die sich mit dem Thema Informations-Management befassen, besitzen eine Sorgfaltspflicht gegenüber Unternehmen, die einen Ausweg aus den sich ständig verändernden Rahmenbedingungen suchen und Kontrolle über all ihre Informationen behalten wollen. Der Grat zwischen "zu früh" und "zu spät" ist sehr schmal. Unternehmen sollten sich daher auf hieb- und stichfeste Ansätze verlassen und sich zur Klärung der gesetzlichen Aufbewahrungspflichten für elektronische Dokumente von einem externen Dienstleister beraten lassen. Nur so können sich Firmen rechtlich hinreichend gegen Fälle, wie im oberen Beispiel beschrieben, absichern und profitieren von einer zeitgemäßen Archivierung im digitalen Zeitalter.

[1] PwC Studie im Auftrag von Iron Mountain, 2013. PwC sprach mit 600 leitenden Angestellten in Großbritannien, Deutschland, Spanien, Frankreich, Ungarn und den Niederlanden.
[2] Informations-Kontrolle – Akten, Risiken und Aufbewahrung im Zeitalter der Gerichtsprozesse, AIIM Industry Watch, 2013.
(Iron Mountain Deutschland: ra)

Iron Mountain: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Hintergrund

  • Wer ist von der CSRD betroffen?

    Für Unternehmen ist der eigene ökologische Fußabdruck mittlerweile eine entscheidende erfolgsrelevante Steuerungsgröße geworden. Welche Investitionen und wirtschaftlichen Tätigkeiten sind ökologisch nachhaltig und ermöglichen es, sich am Markt positiv zu differenzieren? Die Erstellung einer Nachhaltigkeitsberichtserstattung nimmt darüber hinaus auch seitens der Aufsichtsbehörden und Regulatoren einen immer größeren Raum ein. Das Jahr 2023 startete bereits mit einem wichtigen Meilenstein für das ESG-Reporting – der Berichterstattung für die Bereiche Umwelt (Environmental), Soziales (Social) und verantwortungsvolle Unternehmensführung (Governance). Am 5. Januar 2023 ist die EU-Richtlinie über die Nachhaltigkeitsberichterstattung der Corporate-Sustainability-Reporting-Direktive (CSRD) in Kraft getreten. Diese führt zu einer umfangreichen und verbindlichen Nachhaltigkeitsberichterstattung.

  • Data Act könnte schon 2024 in Kraft treten

    Wir erleben es jeden Tag: Datenmengen steigen ins Unermessliche. Die Prognose der EU-Kommission erwartet allein in der EU zwischen 2020 und 2030 einen Anstieg des Datenflusses in Cloud- und Edge-Rechenzentren um 1500 Prozent - kein Tippfehler. Entsprechend riesig ist das wirtschaftliche Potential, denn Daten sind der zentrale Rohstoff etwa für das Internet of Things. Das wiederum wird von der EU im Jahr 2030 (1) auf eine wirtschaftliche Gesamtleistung auf bis zu elf Billionen Euro geschätzt. Somit ist der EU Data Act, der in einem ersten Entwurf im Frühjahr 2022 von der EU-Kommission vorgestellt wurde, in seiner Bedeutung für die Datenökonomie nicht zu unterschätzen. Es geht nämlich um die Rahmenbedingungen für den Austausch von Daten: Das heißt, alle Geschäftsmodelle, die auf vernetzten Produkten und Dienstleistungen beruhen, sind betroffen. Und die Zeit steht nicht still. Der Data Act könnte schon 2024 in Kraft treten.

  • Aufsichtsbehörden machen Ernst

    Der Datenschutz wurde durch die im Mai 2018 in Kraft getretene EU-Datenschutz-Grundverordnung (DSGVO) europaweit geschärft und die Rechte der Betroffenen gestärkt. Die Aufsichtsbehörden sind mittlerweile aktiv geworden und verhängen teils empfindliche Strafen, wenn Unternehmen und Konzerne mit dem Schutz der User- und Kundendaten zu lax umgehen. Unternehmen, die online Leads und Kunden generieren, sollten deswegen ein Auge auf die Details haben und nur mit seriösen Partnern zusammenarbeiten, die eine DSGVO-konforme Verarbeitung von Daten nachweisen können. Das Inkrafttreten der DSGVO im Mai 2018 rollte wie eine Schockwelle durch die Welt des Online-Business und der Leadgenerierung. Denn die europäische Datenschutzgrundverordnung hat den Schutz personenbezogener Daten ausgeweitet und verschärft. Ziel war es, ein europaweit gleich hohes Schutzniveau zu erreichen, die Verfahren gegen Verstöße zu vereinfachen und den Datenschutz dem technischen Fortschritt der Digitalisierung anzupassen.

  • Audit-Druck ebnet Weg hin zu Abo-Modellen

    Beim Thema Software-Audit kommen zwei historisch signifikante Zustände zusammen: Einerseits hat sich Europa insbesondere von US-Softwareanbietern stark abhängig gemacht und ist andererseits durch den omnipräsenten Digitalisierungsdruck bereit, die Situation trotz gelegentlicher gegenteiliger Verlautbarungen offenbar noch zu verschlimmern. Lesen Sie hier, was die Erfindung des Software-Audits damit zu tun hat.

  • Digitale Verwaltungsdienste ohne Datengrundlage?

    Deutsche Behörden tun sich schwer, ihre Angebote für Bürger und Bürgerinnen digital anzubieten. Das aktuelle Onlinezugangsgesetz (OZG) macht aber Bund, Ländern und Kommunen jetzt kräftig Druck. Geht es nach dem Gesetzgeber, sollen bis Jahresende rund 600 Verwaltungsdienstleistungen in digitaler Form bereitstehen - und zwar bundesweit.

Gemeinsame Werte und handlungsleitende Normen Spione wider Willen

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen