Unsicherheiten und Probleme bereitet vor allem die Archivierung digitaler Dokumente (Bild: Iron Mountain)

Dokumente geordnet und sicher aufbewahren, sie gleichwohl im schnellen Zugriff haben, sie im Anschluss sicher archivieren und dann irgendwann im Einklang mit den geltenden Gesetzen vernichten – klingt zunächst ganz einfach, ist es aber nicht. Im Gegenteil: Denn in Europa herrscht wahrlich eine Flut von Gesetzen zur Datenspeicherung. Für die verschiedenen Arten von Akten gibt es unterschiedlich lange Aufbewahrungsfristen – diese reichen von ein paar Monaten bis zu 20 oder mehr Jahren. Die in Europa vorhandenen Gesetze unterscheiden sich  – je nach Branche –  teilweise erheblich voneinander. Außerdem kommt noch hinzu, dass sie sich laufend ändern.

Werden Dokumente zu lange aufbewahrt, riskiert das Unternehmen den Verstoß gegen Datenschutzgesetze. Eine zu frühe Vernichtung der Dokumente hingegen, stellt einen Verstoß gegen gesetzliche Aufbewahrungsfristen dar. So ist es auch nicht verwunderlich, dass sich laut einer von Iron Mountain in Auftrag gegebenen PwC-Studie 36 Prozent der mittelständischen Unternehmen in Europa [1], dafür entschieden haben, Papier und elektronische Dokumente nur für den Fall der Fälle aufzubewahren. 39 Prozent der Finanzdienstleister sowie 45 Prozent des produzierenden Gewerbes bewahren grundsätzlich alle Dokumente auf.

Nirgendwo sind die Auswirkungen der damit verbundenen Irrtümer offensichtlicher als im Falle der digitalen Kommunikation über E-Mails, SMS und Beiträge in den Sozialen Medien. Im Gegensatz zum oberen Ansatz, scheinen viele Unternehmen auf diese Flut von neuen Inhalten einfach nicht zu reagieren und auf entsprechende Datensicherungsprozesse zu verzichten.

Während laut einer aktuellen AIIM-Studie (American Association for Information and Image Management) [2] 73 Prozent aller Unternehmen die Inhalte von Firmen-Mails in ihre internen Aufbewahrungsrichtlinien aufgenommen haben, löschen die meisten der befragten Unternehmen ihre E-Mails immer noch manuell. In 55 Prozent der befragten Unternehmen bleibt es den Mitarbeitern überlassen, E-Mails nach eigenem Ermessen zu speichern oder zu löschen. Ein solcher, hauptsächlich von den Mitarbeitern getragener Ansatz, gilt insbesondere im Hinblick auf die wachsende Zahl von öffentlichkeitswirksamen Klagen, die sich in ihrer Beweisführung auf E-Mail-Inhalte berufen, als riskant.

Wie sensibel die Thematik ist, zeigt folgendes Praxisbeispiel. Nachdem ein Mitarbeiter eines Konzerns gesetzlich verbotene Bilder über seinen Firmenaccount versendet hatte, musste das Unternehmen auf Forderung der Staatsanwaltschaft das betreffende Bildmaterial dauerhaft aus dem E-Mail-Archiv des inzwischen entlassenen Mitarbeiters löschen. Als das Unternehmen dieser Forderung nachgehen wollte, konnte es nicht beweisen, dass es bei diesem einmaligen Eingriff in das E-Mailsystem bleiben würde und es für steuerrechtlich relevante Daten als nicht manipulierbar gilt. Die vollständige Entfernung des Bildmaterials wurde schließlich in Anwesenheit eines Anwalts und einem Beratungshaus als externen Datenschutzbeauftragten durchgeführt [3].

In Deutschland sind Unternehmen laut Handelsgesetzbuch(HGB) dazu verpflichtet, steuerlich und buchhalterisch relevante E-Mails zehn Jahre lang aufzubewahren. Mails mit Geschäftsinhalten müssen sechs Jahre lang geordnet und revisionssicher und nur in ihrer ursprünglichen Form aufbewahrt werden. Sie dürften weder verändert noch vorzeitig gelöscht werden. Steuerlich relevante Daten müssen laut den Grundsätzen zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) in einem maschinell auswertbaren Format bereitgestellt werden und zusätzlich durch gängige Prüfsoftware der deutschen Behörden lesbar sein. Neben diesen nationalen Vorschriften kommen noch eine Reihe von internationalen Regelungen, wie der US-amerikanische Sarbanes-Oxley Act, die Basel-II-Richtlinien und der Gramm-Leach-Bliley Act (GLBA) zum Tragen [4].

Ein zusätzliches Problem bei der Umsetzung einer Aufbewahrungs-Strategie für die elektronische Korrespondenz ist, dass ein Dokument in mehrfacher Ausführung vorhanden sein kann – etwa auf einem Desktop-PC, Smartphone und Laptop. Daher ist es nahezu unmöglich, all diese Inhalte zurückzuverfolgen und zu verwalten.

Und das ist erst der Anfang: Es stellt sich auch die Frage, was ein Unternehmen tun soll, wenn eine dringend benötigte Information nur in Form einer SMS-Nachricht auf einem Mobiltelefon vorlag, dann aber gelöscht wurde, als der Besitzer des Gerätes die Firma verließ.

Die meisten Unternehmen haben ein Content-Management für die Inhalte der Sozialen Medien noch nicht einmal auf ihrem Radar. Die AIIM-Studie [2] ergab beispielsweise auch, dass weniger als 15 Prozent der befragten Organisationen die Einträge in den Sozialen Netzwerken in ihre Aufbewahrungspläne mit einbeziehen. Dieses Versagen, Inhalte der Sozialen Medien nicht als gültige Firmendokumente zu behandeln, ist auf eine Reihe von Faktoren zurückzuführen, darunter auch die Notwendigkeit, Risiken durch Ressourcen auszugleichen. Für viele Unternehmen, kann es jedoch in der schnelllebigen Welt der Sozialen Netzwerke schnell zum Problem werden, alle Einträge zurückzuverfolgen oder zu erfassen.

Dennoch gilt laut der AIIM-Studie festzuhalten, dass ein Drittel der Firmen die Einträge im Social Web als Firmendokumente behandeln, und daher davon Gebrauch machen. Eine kleine aber signifikante Anzahl von 27 Prozent verwendet die Einträge beispielsweise dazu, um Kundenbeschwerden zu lösen und bei 17 Prozent der Unternehmen kamen sie sogar im Zuge von Disziplinarmaßnahmen gegen Mitarbeiter zum Einsatz. Dies sind beides Bereiche, die für die Reputation von Unternehmen äußerst wichtig sind.

Es ist möglicherweise bezeichnend, dass nach Angaben von AIIM [2], in rund ein Drittel der Unternehmen niemand für die Kontrolle der Inhalte aus Instant Messanging, Sozialen Medien sowie mobilen Inhalten verantwortlich ist. Dieser Mangel an Eigenverantwortung legt nahe, dass die Lage in vielen Unternehmen schlechter als gedacht ausfällt. Dies ist insofern äußerst beunruhigend, als wir es heutzutage mit wirtschaftlichen Rahmenbedingungen zu tun haben, in denen sowohl Unternehmen als auch Konsumenten auf ihre Rechte bestehen wollen – notfalls vor Gericht.

Werden wir von einem Informations-Tsunami getroffen? Wie können wir wissen, was wir horten oder ignorieren sollen? Wie verhalten wir uns konform zu Bestimmungen und Gesetzen? Die Tatsache, dass es genauso gefährlich ist, etwas zu lange aufzubewahren (zum Beispiel persönliche Daten oder erfolglose Bewerbungen), wie etwas zu früh zu vernichten (zum Beispiel die Korrespondenz einer Klage oder Details zu Gesundheitsgefahren), überfordert schlicht und ergreifend viele Unternehmen.

Rechtsorganisationen sowie Unternehmen, die sich mit dem Thema Informations-Management befassen, besitzen eine Sorgfaltspflicht gegenüber Unternehmen, die einen Ausweg aus den sich ständig verändernden Rahmenbedingungen suchen und Kontrolle über all ihre Informationen behalten wollen. Der Grat zwischen „zu früh“ und „zu spät“ ist sehr schmal. Unternehmen sollten sich daher auf hieb- und stichfeste Ansätze  verlassen und sich zur Klärung der gesetzlichen Aufbewahrungspflichten für elektronische Dokumente von einem externen Dienstleister beraten lassen. Nur so können sich Firmen rechtlich hinreichend gegen Fälle, wie im oberen Beispiel beschrieben, absichern und profitieren von einer zeitgemäßen Archivierung im digitalen Zeitalter.

[1] PwC Studie im Auftrag von Iron Mountain, 2013. PwC sprach mit 600 leitenden Angestellten in Großbritannien, Deutschland, Spanien, Frankreich, Ungarn und den Niederlanden.
[2] Informations-Kontrolle – Akten, Risiken und Aufbewahrung im Zeitalter der Gerichtsprozesse, AIIM Industry Watch, 2013.
[3] www.searchstorage.de/themenbereiche/archivierung/e-mail/articles/256037/
[4] www.computerwoche.de/a/unternehmen-lassen-wertvolles-wissen-meist-einfach-liegen,1911772,2