Sie sind hier: Home » Fachartikel » Hintergrund

Compliance bei Datensicherungsprozessen


Vom Chaos zur Compliance: Aktenaufbewahrung im digitalen Zeitalter
In Europa herrscht wahrlich eine Flut von Gesetzen zur Datenspeicherung


Autor Hans-Günter Börgmann
Autor Hans-Günter Börgmann Bild: Iron Mountain Deutschland

Von Hans-Günter Börgmann, Geschäftsführer von Iron Mountain Deutschland

(21.06.13) - Regelungen zur Aufbewahrung von Akten sollten wesentlicher Bestandteil eines verantwortungsvollen Informationsmanagements für Unternehmen sein. Das bedeutet, dass man Dokumente geordnet und sicher aufbewahrt, sie gleichwohl im schnellen Zugriff hat, sie im Anschluss sicher archiviert und schließlich im Einklang mit den geltenden Gesetzen vernichtet. Das klingt zunächst ganz einfach, oder?

Doch in der Realität sieht dies ganz anders aus. Denn in Europa herrscht wahrlich eine Flut von Gesetzen zur Datenspeicherung. Für die verschiedenen Arten von Akten gibt es unterschiedlich lange Aufbewahrungsfristen – diese reichen von ein paar Monaten bis zu 20 oder mehr Jahren. Die in Europa vorhandenen Gesetze unterscheiden sich - je nach Branche - teilweise erheblich voneinander. Außerdem kommt noch hinzu, dass sie sich laufend ändern.

Werden Dokumente zu lange aufbewahrt, riskiert das Unternehmen den Verstoß gegen Datenschutzgesetze. Eine zu frühe Vernichtung der Dokumente hingegen, stellt einen Verstoß gegen gesetzliche Aufbewahrungsfristen dar. So ist es auch nicht verwunderlich, dass sich laut einer von Iron Mountain in Auftrag gegebenen PwC-Studie 36 Prozent der mittelständischen Unternehmen in Europa [1], dafür entschieden haben, Papier und elektronische Dokumente nur für den Fall der Fälle aufzubewahren. 39 Prozent der Finanzdienstleister sowie 45 Prozent des produzierenden Gewerbes bewahren grundsätzlich alle Dokumente auf.

Nirgendwo sind die Auswirkungen der damit verbundenen Irrtümer offensichtlicher als im Falle der digitalen Kommunikation über E-Mails, SMS und Beiträge in den Sozialen Medien. Im Gegensatz zum oberen Ansatz, scheinen viele Unternehmen auf diese Flut von neuen Inhalten einfach nicht zu reagieren und auf entsprechende Datensicherungsprozesse zu verzichten.

Während laut einer aktuellen AIIM-Studie (American Association for Information and Image Management) [2] 73 Prozent aller Unternehmen die Inhalte von Firmen-Mails in ihre internen Aufbewahrungsrichtlinien aufgenommen haben, löschen die meisten der befragten Unternehmen ihre E-Mails immer noch manuell. In 55 Prozent der befragten Unternehmen bleibt es den Mitarbeitern überlassen, E-Mails nach eigenem Ermessen zu speichern oder zu löschen. Ein solcher, hauptsächlich von den Mitarbeitern getragener Ansatz, gilt insbesondere im Hinblick auf die wachsende Zahl von öffentlichkeitswirksamen Klagen, die sich in ihrer Beweisführung auf E-Mail-Inhalte berufen, als riskant.

Wie sensibel die Thematik ist, zeigt folgendes Praxisbeispiel. Nachdem ein Mitarbeiter eines Konzerns gesetzlich verbotene Bilder über seinen Firmen-Account versendet hatte, musste das Unternehmen auf Forderung der Staatsanwaltschaft das betreffende Bildmaterial dauerhaft aus dem E-Mail-Archiv des inzwischen entlassenen Mitarbeiters löschen. Als das Unternehmen dieser Forderung nachgehen wollte, konnte es nicht beweisen, dass es bei diesem einmaligen Eingriff in das E-Mail-System bleiben würde und es für steuerrechtlich relevante Daten als nicht manipulierbar gilt. Die vollständige Entfernung des Bildmaterials wurde schließlich in Anwesenheit eines Anwalts und einem Beratungshaus als externen Datenschutzbeauftragten durchgeführt.

In Deutschland sind Unternehmen laut Handelsgesetzbuch(HGB) dazu verpflichtet, steuerlich und buchhalterisch relevante E-Mails zehn Jahre lang aufzubewahren. Mails mit Geschäftsinhalten müssen sechs Jahre lang geordnet und revisionssicher und nur in ihrer ursprünglichen Form aufbewahrt werden. Sie dürften weder verändert noch vorzeitig gelöscht werden. Steuerlich relevante Daten müssen laut den Grundsätzen zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) in einem maschinell auswertbaren Format bereitgestellt werden und zusätzlich durch gängige Prüfsoftware der deutschen Behörden lesbar sein. Neben diesen nationalen Vorschriften kommen noch eine Reihe von internationalen Regelungen, wie der US-amerikanische Sarbanes-Oxley Act (SOX-Compliance), die Basel-II-Richtlinien und der Gramm-Leach-Bliley Act (GLBA) zum Tragen.

Ein zusätzliches Problem bei der Umsetzung einer Aufbewahrungs-Strategie für die elektronische Korrespondenz ist, dass ein Dokument in mehrfacher Ausführung vorhanden sein kann – etwa auf einem Desktop-PC, Smartphone und Laptop. Daher ist es nahezu unmöglich, all diese Inhalte zurückzuverfolgen und zu verwalten.

Und das ist erst der Anfang: Es stellt sich auch die Frage, was ein Unternehmen tun soll, wenn eine dringend benötigte Information nur in Form einer SMS-Nachricht auf einem Mobiltelefon vorlag, dann aber gelöscht wurde, als der Besitzer des Gerätes die Firma verließ.

Die meisten Unternehmen haben ein Content-Management für die Inhalte der Sozialen Medien noch nicht einmal auf ihrem Radar. Die AIIM-Studie [2] ergab beispielsweise auch, dass weniger als 15 Prozent der befragten Organisationen die Einträge in den Sozialen Netzwerken in ihre Aufbewahrungspläne mit einbeziehen. Dieses Versagen, Inhalte der Sozialen Medien nicht als gültige Firmendokumente zu behandeln, ist auf eine Reihe von Faktoren zurückzuführen, darunter auch die Notwendigkeit, Risiken durch Ressourcen auszugleichen. Für viele Unternehmen, kann es jedoch in der schnelllebigen Welt der Sozialen Netzwerke schnell zum Problem werden, alle Einträge zurückzuverfolgen oder zu erfassen.

Dennoch gilt laut der AIIM-Studie festzuhalten, dass ein Drittel der Firmen die Einträge im Social Web als Firmendokumente behandeln, und daher davon Gebrauch machen. Eine kleine aber signifikante Anzahl von 27 Prozent verwendet die Einträge beispielsweise dazu, um Kundenbeschwerden zu lösen und bei 17 Prozent der Unternehmen kamen sie sogar im Zuge von Disziplinarmaßnahmen gegen Mitarbeiter zum Einsatz. Dies sind beides Bereiche, die für die Reputation von Unternehmen äußerst wichtig sind.

Es ist möglicherweise bezeichnend, dass nach Angaben von AIIM [2], in rund ein Drittel der Unternehmen niemand für die Kontrolle der Inhalte aus Instant Messanging, Sozialen Medien sowie mobilen Inhalten verantwortlich ist. Dieser Mangel an Eigenverantwortung legt nahe, dass die Lage in vielen Unternehmen schlechter als gedacht ausfällt. Dies ist insofern äußerst beunruhigend, als wir es heutzutage mit wirtschaftlichen Rahmenbedingungen zu tun haben, in denen sowohl Unternehmen als auch Konsumenten auf ihre Rechte bestehen wollen – notfalls vor Gericht.

Werden wir von einem Informations-Tsunami getroffen? Wie können wir wissen, was wir horten oder ignorieren sollen? Wie verhalten wir uns konform zu Bestimmungen und Gesetzen? Die Tatsache, dass es genauso gefährlich ist, etwas zu lange aufzubewahren (zum Beispiel persönliche Daten oder erfolglose Bewerbungen), wie etwas zu früh zu vernichten (zum Beispiel die Korrespondenz einer Klage oder Details zu Gesundheitsgefahren), überfordert schlicht und ergreifend viele Unternehmen.

Rechtsorganisationen sowie Unternehmen, die sich mit dem Thema Informations-Management befassen, besitzen eine Sorgfaltspflicht gegenüber Unternehmen, die einen Ausweg aus den sich ständig verändernden Rahmenbedingungen suchen und Kontrolle über all ihre Informationen behalten wollen. Der Grat zwischen "zu früh" und "zu spät" ist sehr schmal. Unternehmen sollten sich daher auf hieb- und stichfeste Ansätze verlassen und sich zur Klärung der gesetzlichen Aufbewahrungspflichten für elektronische Dokumente von einem externen Dienstleister beraten lassen. Nur so können sich Firmen rechtlich hinreichend gegen Fälle, wie im oberen Beispiel beschrieben, absichern und profitieren von einer zeitgemäßen Archivierung im digitalen Zeitalter.

[1] PwC Studie im Auftrag von Iron Mountain, 2013. PwC sprach mit 600 leitenden Angestellten in Großbritannien, Deutschland, Spanien, Frankreich, Ungarn und den Niederlanden.
[2] Informations-Kontrolle – Akten, Risiken und Aufbewahrung im Zeitalter der Gerichtsprozesse, AIIM Industry Watch, 2013.
(Iron Mountain Deutschland: ra)

Iron Mountain: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Hintergrund

  • Datennutzung und ethische Verantwortung

    Große Datenmengen und die Erkenntnisse, die darin verborgen liegen, sind aus der deutschen Wirtschaft nicht mehr wegzudenken. Wie eine Bitkom-Umfrage ergab, sammelt die überwiegende Mehrheit der Unternehmen bereits Informationen, um sie zu analysieren und die Ergebnisse zur Optimierung interner Prozesse und zur Steigerung des Geschäftswerts zu nutzen. Gleichzeitig übersehen jedoch die meisten, dass mit diesem Erfolg eine neue Verantwortung einhergeht.

  • Entzug der Rechtsgrundlage

    Das vom Europäischen Gerichtshof (EuGH) gefällte Urteil "Schrems II" vom 16. Juli 2020 ist in aller Munde, da es nicht unerhebliche Auswirkungen auf denUmgang und den Schutz von Personendaten in international tätigen Unternehmen hat. Welche praktischen Folgen hat die Rechtsprechung des EuGH auf den internationalen Datentransferaber im Detail? Mit dem Urteil des Europäischen Gerichtshofes Mitte letzten Jahres wurde die als Privacy Shield bekannte Rahmenvereinbarung zwischen den USA und der EU für ungültig erklärt. Demnach dürfen personenbezogene Daten von EU-Bürgern nur an Drittländer außerhalb des Europäischen Wirtschaftsraums übermittelt werden, wenn sie in diesem Drittland einen im Wesentlichen gleichwertigen Schutz genießen wie in der EU. Für die USA hat der EuGH ein solches Schutzniveau verneint.

  • Aufsichtsbehörden machen Ernst

    Der Datenschutz wurde durch die im Mai 2018 in Kraft getretene EU-Datenschutz-Grundverordnung (DSGVO) europaweit geschärft und die Rechte der Betroffenen gestärkt. Die Aufsichtsbehörden sind mittlerweile aktiv geworden und verhängen teils empfindliche Strafen, wenn Unternehmen und Konzerne mit dem Schutz der User- und Kundendaten zu lax umgehen. Unternehmen, die online Leads und Kunden generieren, sollten deswegen ein Auge auf die Details haben und nur mit seriösen Partnern zusammenarbeiten, die eine DSGVO-konforme Verarbeitung von Daten nachweisen können. Das Inkrafttreten der DSGVO im Mai 2018 rollte wie eine Schockwelle durch die Welt des Online-Business und der Leadgenerierung. Denn die europäische Datenschutzgrundverordnung hat den Schutz personenbezogener Daten ausgeweitet und verschärft. Ziel war es, ein europaweit gleich hohes Schutzniveau zu erreichen, die Verfahren gegen Verstöße zu vereinfachen und den Datenschutz dem technischen Fortschritt der Digitalisierung anzupassen.

  • Was ist ein Selbst-Audit & warum ist es notwendig?

    Eine der üblichen Fallen, in die Unternehmen tappen, ist die Annahme, dass Cybersicherheitslösungen über Standard-Risikobewertungen gepflegt und gemanagt werden. Eine gefährliche Annahme, denn die rasche technologische Entwicklung und der Einsatz dieser Technologien in der Wirtschaft hat den Bereich einer allgemeinen Risikobewertung längst überschritten. Hier beschäftigen wir uns mit einigen Schritten, die nötig sind, um eine eingehende, weitreichende Sicherheitsrisikobewertung zu erstellen, die für genau Ihr Unternehmen gilt. Eine Cybersicherheitsbewertung spielt eine entscheidende Rolle, beim Wie und Warum man bestimmte Technologien in einem Unternehmen einsetzt. Anhand eines Assessments lassen sich Ziele und Parameter festlegen, die Ihnen die Möglichkeit geben.

  • Mit Analytik Betrug erkennen

    Zahlungsanweisungen über SWIFT gelten im Allgemeinen als sicher. Doch es gibt Schlupflöcher im System, durch die es Kriminelle regelmäßig schaffen, Betrug zu begehen. Banken nutzen vermehrt KI-Tools wie User Entity Behaviour Analytics (UEBA) um sich und ihre Kunden zu schützen. SWIFT ist eine Plattform, die selbst keine Konten oder Guthaben verwaltet und über die Finanzinstitute aus aller Welt Finanztransaktionen unter einander ausführen. Ursprünglich wurde die Plattform lediglich gegründet, um Treasury- und Korrespondenzgeschäfte zu erleichtern. Das Format entpuppte sich in den Folgejahren jedoch als sehr sicher und praktisch, sodass immer mehr Teilnehmer die Plattform nutzten. Neben Notenbanken und normalen Banken wird Swiftnet heute auch von Großunternehmen, Wertpapierhändlern, Clearingstellen, Devisen- und Geldmaklern und zahlreichen weiteren Marktteilnehmern genutzt.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen