In der Realität sieht die Aufbewahrungspflicht von Dokumenten in Unternehmen ganz anders aus. Denn in Europa herrscht eine Flut von Gesetzen zur Datenspeicherung. Für die verschiedenen Arten von Akten gibt es unterschiedlich lange Aufbewahrungsfristen - diese reichen von ein paar Monaten bis zu 20 oder mehr Jahren. Die in Europa vorhandenen Gesetze unterscheiden sich - je nach Branche - teilweise erheblich voneinander. Hinzu kommt, dass sie sich laufend ändern.
Unternehmen verstoßen gegen geltendes Recht
Werden Dokumente zu lange aufbewahrt, riskiert das Unternehmen, gegen Datenschutzgesetze zu verstoßen. Eine zu frühe Vernichtung der Dokumente hingegen stellt einen Verstoß gegen gesetzliche Aufbewahrungsfristen dar. So ist es auch nicht verwunderlich, dass sich laut einer von Iron Mountain in Auftrag gegebenen PwC-Studie 36 Prozent der mittelständischen Unternehmen in Europa dafür entschieden haben, Papier und elektronische Dokumente nur für den Fall der Fälle aufzubewahren. 39 Prozent der Finanzdienstleister sowie 45 Prozent des produzierenden Gewerbes bewahren grundsätzlich alle Dokumente auf.
Nirgendwo sind die Auswirkungen der damit verbundenen Irrtümer offensichtlicher als im Falle der digitalen Kommunikation über E-Mails, SMS und Beiträge in den sozialen Medien. Viele Unternehmen scheinen auf diese Flut von neuen Inhalten einfach nicht zu reagieren und auf entsprechende Datensicherungsprozesse zu verzichten.
Während laut einer aktuellen AIIM-Studie (American Association for Information and Image Management) 73 Prozent aller Unternehmen die Inhalte von Firmen-Mails in ihre internen Aufbewahrungsrichtlinien aufgenommen haben, löschen die meisten der befragten Unternehmen ihre E-Mails immer noch manuell. In 55 Prozent der befragten Unternehmen bleibt es den Mitarbeitern überlassen, E-Mails nach eigenem Ermessen zu speichern oder zu löschen. Ein solcher, hauptsächlich von den Mitarbeitern getragener Ansatz gilt insbesondere im Hinblick auf die wachsende Zahl von öffentlichkeitswirksamen Klagen, die sich in ihrer Beweisführung auf E-Mail-Inhalte berufen, als riskant.
Die gesetzlichen Pflichten
In Deutschland sind Unternehmen laut Handelsgesetzbuch (HGB) verpflichtet, steuerlich und buchhalterisch relevante E-Mails zehn Jahre lang aufzubewahren. Mails mit Geschäftsinhalten müssen sechs Jahre lang geordnet und revisionssicher und nur in ihrer ursprünglichen Form aufbewahrt werden. Sie dürften weder verändert noch vorzeitig gelöscht werden. Steuerlich relevante Daten müssen laut den Grundsätzen zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) in einem maschinell auswertbaren Format bereitgestellt werden und zusätzlich durch gängige Prüfsoftware der deutschen Behörden lesbar sein. Neben diesen nationalen Vorschriften kommen noch eine Reihe von internationalen Regelungen, wie der US-amerikanische Sarbanes-Oxley Act, die Basel-II-Richtlinien und der Gramm-Leach-Bliley Act (GLBA) zum Tragen.
Ein Praxisbeispiel
Wie sensibel die Thematik der Aktenaufbewahrung ist, zeigt folgendes Praxisbeispiele: Nachdem ein Mitarbeiter eines Konzerns gesetzlich verbotene Bilder über seinen Firmen-Account versendet hatte, musste das Unternehmen auf Forderung der Staatsanwaltschaft das betreffende Bildmaterial dauerhaft aus dem E-Mail-Archiv des inzwischen entlassenen Mitarbeiters löschen. Als das Unternehmen dieser Forderung nachgehen wollte, konnte es nicht beweisen, dass es bei diesem einmaligen Eingriff in das E-Mail-System bleiben würde und es für steuerrechtlich relevante Daten als nicht manipulierbar gilt. Die vollständige Entfernung des Bildmaterials wurde schließlich in Anwesenheit eines Anwalts und eines Beratungshauses als externen Datenschutzbeauftragten durchgeführt.
Unternehmen sind überfordert
Ein zusätzliches Problem bei der Umsetzung einer Aufbewahrungsstrategie für die elektronische Korrespondenz ist, dass ein Dokument in mehrfacher Ausführung vorhanden sein kann - etwa auf einem Desktop-PC, Smartphone und Laptop. Daher ist es nahezu unmöglich, all diese Inhalte zurückzuverfolgen und zu verwalten.
Und das ist erst der Anfang: Es stellt sich auch die Frage, was ein Unternehmen tun soll, wenn eine dringend benötigte Information nur in Form einer SMS-Nachricht auf einem Mobiltelefon vorlag, dann aber gelöscht wurde, als der Besitzer des Gerätes die Firma verließ.
Die meisten Unternehmen haben ein Content-Management für die Inhalte der sozialen Medien noch nicht einmal auf ihrem Radar. Die AIIM-Studie ergab beispielsweise auch, dass weniger als 15 Prozent der befragten Organisationen die Einträge in den sozialen Netzwerken in ihre Aufbewahrungspläne mit einbeziehen. Diese fatale Einstellung, Inhalte der sozialen Medien nicht als gültige Firmendokumente zu behandeln, ist auf eine Reihe von Faktoren zurückzuführen, darunter auch die Notwendigkeit, Risiken durch Ressourcen auszugleichen. Für viele Unternehmen kann es jedoch in der schnelllebigen Welt der sozialen Netzwerke schnell zum Problem werden, alle Einträge zurückzuverfolgen oder zu erfassen.
Dennoch ist laut der AIIM-Studie festzuhalten, dass ein Drittel der Firmen die Einträge im Social Web als Firmendokumente behandelt und daher davon Gebrauch macht. Ein kleiner, aber signifikanter Anteil von 27 Prozent verwendet die Einträge beispielsweise dazu, Kundenbeschwerden zu bearbeiten, und bei 17 Prozent der Unternehmen kamen sie sogar im Zuge von Disziplinarmaßnahmen gegen Mitarbeiter zum Einsatz.
Es ist möglicherweise bezeichnend, dass nach Angaben von AIIM in rund einem Drittel der Unternehmen niemand für die Kontrolle der Inhalte aus Instant Messanging, sozialen Medien und mobilen Inhalten verantwortlich ist. Dieser Mangel an Eigenverantwortung legt nahe, dass die Lage in vielen Unternehmen schlechte ist als angenommen. Dies ist insofern äußerst beunruhigend, als wir es heutzutage mit wirtschaftlichen Rahmenbedingungen zu tun haben, in denen sowohl Unternehmen als auch Konsumenten auf ihren Rechten bestehen wollen - notfalls vor Gericht.
Der Ausweg aus dem Dilemma
Die Tatsache, dass es genauso gefährlich ist, etwas zu lange aufzubewahren (zum Beispiel persönliche Daten oder erfolglose Bewerbungen), wie etwas zu früh zu vernichten (zum Beispiel die Korrespondenz einer Klage oder Details zu Gesundheitsgefahren), überfordert schlicht und ergreifend viele Unternehmen.
Rechtsorganisationen sowie Unternehmen, die sich mit dem Thema Informationsmanagement befassen, haben daher eine Sorgfaltspflicht gegenüber Unternehmen, die einen Ausweg aus den sich ständig verändernden Rahmenbedingungen suchen und die Kontrolle über all ihre Informationen behalten wollen. Der Grat zwischen "zu früh" und "zu spät" ist sehr schmal.
Unternehmen sollten sich daher auf hieb- und stichfeste Ansätze verlassen und sich zur Klärung der gesetzlichen Aufbewahrungspflichten für elektronische Dokumente von einem externen Dienstleister beraten lassen. Nur so können sich Firmen rechtlich ausreichend gegen Fälle, wie im obigen Beispiel beschrieben, absichern und von einer zeitgemäßen Archivierung im digitalen Zeitalter profitieren.
Dieser Artikel basiert auf einem Beitrag der CW-Schwesterpublikation TecChannel. (mhr)