Das Datenvolumen in Unternehmen wird sich innerhalb der nächsten drei Jahre versechsfachen. Das ist eine beunruhigende Vorstellung - insbesondere vor dem Hintergrund rechtlicher Vorgaben zur Archivierung papiergebundener sowie elektronischer Dokumente und Daten. Geht es allerdings um die Anforderungen, die im Datenschutzrecht formuliert sind, relativiert sich die Besorgnis schnell. Denn danach müssen die Unternehmen Daten nur aufbewahren, soweit dies "erforderlich" ist. Alle anderen können sie problemlos löschen. Doch worauf fußt die gesetzliche Vorgabe des Löschens? Und wie können systematisches Aufbewahren und Löschen in der Unternehmenspraxis wirksam funktionieren?

Datenschutzrecht behindert Sammelwut

Bei der systematischen Archivierung von Dokumenten sind die Grundsätze des Datenschutzrechts zu beachten. Danach hat sich die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten auf das notwendige Maß zu beschränken. Dies ergibt sich unter anderem aus Paragraf 28 Absatz 1 Bundesdatenschutzgesetz (BDSG). Demnach ist es nur dann zulässig, personenbezogene Daten zu erheben, zu speichern, zu verändern oder zu übermitteln, wenn dies zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist.

Erforderlich ist die Datenverarbeitung nur dann, wenn die berechtigten Interessen der verantwortlichen Stelle auf andere Weise nicht angemessen zu wahren sind, wie es im Juristendeutsch heißt - oder im Klartext: wenn es nach Lage der Dinge kein anderes sinnvolles oder zumutbares Mittel gibt, um den Zweck zu erreichen, und schutzwürdige Interessen der Betroffenen dem nicht entgegenstehen. Aber auch was für die Dauer der Aufbewahrungspflicht gilt, ist nach deren Ablauf oft hinfällig; dann werden die schutzwürdigen Interessen der Betroffenen meist überwiegen. Sprich: Dokumente, die personenbezogene Daten enthalten, sind dann zu löschen.

In Paragraf 3a BDSG ist der Grundsatz der Datenvermeidung und Datensparsamkeit verankert. Danach haben sich Gestaltung und Auswahl von Datenverarbeitungssystemen an dem Ziel auszurichten, keine oder so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen. Insbesondere ist von den Möglichkeiten der Anonymisierung und Pseudonymisierung Gebrauch zu machen, soweit dies möglich ist und der Aufwand in einem angemessenen Verhältnis zum Schutzzweck steht. Werden beispielsweise die Daten allein zu statistischen Zwecken erhoben, so ist es grundsätzlich nicht notwendig, personenbezogene Daten zu speichern. In diesem Fall sind die Daten anonym zu erheben oder nachträglich zu anonymisieren.

Zwei gegenläufige Interessen

Aber es gibt noch andere Gründe, um sich mit der systematischen Datenlöschung zu beschäftigten. Die Beschäftigung mit dem Thema lässt sich ursprünglich auf das US-amerikanische Zivilrecht zurückführen. Der "Discovery-Grundsatz" besagt, dass Parteien eines Rechtsstreits Informationen des Gegners anfordern dürfen, um im Fall einer Anklage dessen Position besser einschätzen zu können. Dieser Grundsatz verpflichtet die Unternehmen also, auf Anfrage den punktuellen Zugriff auf Daten sicherzustellen. Damit müssten sie vor Gericht eventuell Informationen vorlegen, die ihnen selbst schaden können.

Vorbeugen lässt sich dieser unangenehmen Situation dadurch, dass die nachgefragten Daten bereits vor Beginn des Rechtstreits gelöscht wurden. Sollten diese Daten jedoch unrechtmäßig gelöscht worden sein, sieht das US-amerikanische Recht erhebliche Strafen vor. Insbesondere Unternehmen mit Geschäftsbeziehungen in die USA sollten daher die rechtlichen Vorgaben zum systematischen Archivieren und Löschen von Dokumenten kennen.

Dabei stoßen zwei gegenläufige Interessen aufeinander. Vom Compliance-Standpunkt aus betrachtet, sollen Unternehmen möglichst alle Daten archivieren, um auch ja den gesetzlichen Vorgaben zu genügen. Aus der Discovery-Perspektive stellt sich die Situation völlig anders dar: Hier sollten die Unternehmen in ihrem eigenen Interesse nicht mehr Daten speichern, als sie müssen. Einerseits sollen also Dokumente und Daten über einen bestimmten Zeitraum archiviert werden, andererseits sollten die Unternehmen große Datenmengen vermeiden - zum einen aus Datenschutzgründen, zum anderen aus prozessualen Erwägungen.

Die rechtlichen Grundlagen

Bleibt die Frage, welche Daten nun eigentlich wie lange aufbewahrt werden müssen. Laut Paragraf 257 Handelsgesetzbuch (HGB) ist jeder Kaufmann angehalten, Dokumente zu archivieren. Das betrifft nicht nur die Kapitalgesellschaften, sondern jede Person, die ein Handelsgewerbe betreibt, sowie Personengesellschaften (GbR, OHG, KG, GmbH & Co. KG), die diesem Zweck dienen. Aufbewahrt werden müssen Handelsbücher, Inventare, Eröffnungsbilanzen, Jahresabschlüsse, Einzelabschlüsse, Lageberichte, Konzernabschlüsse, Konzernlageberichte sowie die zu ihrem Verständnis erforderlichen Arbeitsanweisungen und sonstigen Organisationsunterlagen, aber auch Handelsbriefe und Buchungsbelege.

Die Unterlagen können auch elektronisch aufbewahrt werden - mit Ausnahme der Eröffnungsbilanzen und Abschlüsse. Verfügbar sein müssen die Unterlagen zehn Jahre lang; im Fall der Handelsbriefe reichen sechs Jahre. Dasselbe gilt für alle E-Mails, die ein Handelsgeschäft betreffen.

Ob es nun um einen letzten Eintrag in das Handelsbuch geht, die Inventur aufgestellt oder der Jahresabschluss getätigt wird oder ob ein Buchungsbeleg entstanden ist - die Aufbewahrungsfristen laufen immer zum 31. Dezember eines Jahres ab. Dieser einheitliche Stichtag erleichtert den Unternehmen das systematische Löschen von Dokumenten. Nicht mehr aufbewahrungspflichtige Daten lassen sich grundsätzlich zum 1. Januar eines Jahres automatisch löschen.

Was das Steuerrecht fordert

Neben dem Handels- hält auch das Steuerrecht Vorschriften zur Dokumenten-Aufbewahrung bereit. Gemäß Paragraf 147 Absatz 1 Abgabenordnung ("AO") ist jeder Steuerpflichtige verpflichtet, Unterlagen geordnet aufzubewahren, die Bedeutung für die Besteuerung haben.

Auch im Steuerrecht gilt, dass die Unterlagen grundsätzlich elektronisch aufbewahrt werden können - wiederum mit zwei Ausnahmen: Eröffnungsbilanzen und Zollunterlagen. Die Zeiträume zur Aufbewahrung decken sich mit den Anforderungen nach dem Handelsrecht. Und auch hier enden die Aufbewahrungsfristen grundsätzlich zum 31. Dezember eines Jahres. Abhängig vom Dokument beginnt die Frist in dem Jahr, in dem der letzte Eintrag vorgenommen wurde beziehungsweise in dem das Dokument entstand oder empfangen/versendet wurde.

Allerdings läuft die Aufbewahrungsfrist nicht eher ab als die Festsetzungsfrist der steuerrelevanten Unterlagen. Die Festsetzungsfrist beginnt mit Ablauf des Jahres, in dem die Steuer entsteht. Die Frist beträgt für Zölle und Verbrauchssteuern ein Jahr, für die übrigen Steuern vier Jahre. Bei leichtfertiger Steuerverkürzung verlängert sich die Frist auf fünf Jahre, bei Steuerhinterziehung auf zehn Jahre.

Entsprechend den GoBS

Geht es um die rechtlichen Anforderungen an die Archivierung, so müssen die Bücher eines Kaufmanns sowie dessen Jahresabschluss den Grundsätzen ordnungsgemäßer Buchführung (GoB) entsprechen. Das gilt für das Papierarchiv, aber auch für die elektronische Aufbewahrung. Doch weder das HGB noch die Abgabenordung definieren Art und Umfang der GoB. Deshalb hat die deutsche Finanzverwaltung 1995 die Grundsätze ordnungsmäßiger IT-gestützter Buchführungssysteme (GoBS) verabschiedet. Deren Ziel ist es, die GoB für die IT-gestützten Buchführung zu präzisieren.

Die GoBS regeln die Behandlung aufbewahrungspflichtiger Daten und Belege in elektronischen Buchführungssystemen sowie in datensicheren Dokumenten-Management- und revisionssicheren Archivsystemen. Darüber enthalten sie Regeln zu Verfahrenstechniken (zum Beispiel Scannen und Datenübernahme) sowie Vorgaben für die Verfahrensdokumentation.

Auch die GDPdU spielen eine Rolle

Neben den GoBS kommen auch die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) zur Anwendung. Sie enthalten Regeln zum Aufbewahren digitaler Unterlagen und zur Mitwirkungspflicht der Steuerpflichtigen bei Betriebsprüfungen. Im Detail sind das Regelungen zu:

• Anforderungen an die Aufbewahrung von Rechnungen im Sinne des UStG ("elektronische Abrechnungen");

• Anforderungen an die Prüfbarkeit digitaler Unterlagen;

• Mitwirkung des Steuerpflichtigen beim Datenzugriff durch Betriebsprüfer.

Erfordert eine Betriebsprüfung den Zugriff auf Daten, die beim Steuerpflichtigen gespeichert sind, kann der Betriebsprüfer laut GDPdU zwischen drei Arten des Datenzugriffs wählen. Möglich ist zum einen der unmittelbare Lesezugriff, zum anderen der mittelbare Datenzugriff über Auswertungen, die der Steuerpflichtige nach den Vorgaben des Prüfers erstellt, und zum dritten die Datenträgerüberlassung in verschiedenen Formaten. Dass die GDPdU-Vorschriften eingehalten werden, ist die Voraussetzung dafür, dass eine Auslagerung der elektronischen Bücher und sonstigen erforderlichen Unterlagen in das Ausland genehmigt wird.