Archivierung

Memorandum Minenfeld Archivierung

Immer wieder horten Unternehmen große Datenmengen auf unbegrenzte Zeit. Archivierung -zumindest soweit sie gesetzlich vorgeschrieben ist – wird vielfach als lästige Pflicht empfunden. Dabei kann sie viel mehr. Eine passende Archivstrategie hilft nicht nur Kosten nachhaltig zu reduzieren, sondern auch Wettbewerbsvorteile zu erhalten und zu schaffen.

Statt aber Wichtiges von Unwichtigem zu trennen und die Daten nach festgelegten Regeln zu managen und dabei bestehende Gesetze zu berücksichtigen, herrscht bei vielen Unternehmen das „Hamsterprinzip“. „Sammeln und archivieren, was das Zeug hält“, heißt die Devise – „wer weiß schon, wofür die Daten noch einmal nützlich sein können“. Besonders beliebt dabei sind personenbezogene Daten, die vor allem für Marketingabteilungen von „unschätzbarem Wert“ sind.

Folge ist ein Minenfeld an Unwägbarkeiten, die Unternehmen teuer zu stehen kommen können –sowohl im betriebswirtschaftlichen als auch rechtlichen Sinne.

Hohe Speicherkosten, zeitraubende Backups und nicht genau zuordenbare elektronische Beweisführung, wenn beispielsweise Auskünfte über die gespeicherten Daten von Betroffenen nach §34 Bundesdatenschutzgesetz (BDSG) verlangt werden, stellen Unternehmen vor vielfältige Probleme. Konflikte mit bestehenden Gesetzen wie dem Datenschutz sind vorprogrammiert. Nicht nur teure Abmahnungen von Konkurrenten, Verbraucherschutzorganisationen und anderen Berechtigten drohen. Auch die Aufsichtsbehörden der Bundesländer drängen auf Nachweise einer rechtskonformen Datenspeicherung, da sie Beschwerden nachgehen müssen.

Eine nicht zu vernachlässigende Pflicht sollte es deshalb für Unternehmen sein, gesetzliche Anforderungen für die Archivierung stets zu berücksichtigen wie sie beispielsweise

  • im Handelsgesetzbuch (HGB),
  • der Steuergesetzgebung wie der Abgabenordnung (AO),
  • der Datenschutzgesetzgebung oder
  • in branchenspezifischen Gesetzen

festgelegt sind.

Produkthaftung

Einen weiteren wichtigen Archivierungsgrund stellt die Produkthaftung im Schadensfall. Denn in nicht seltenen Fällen muss der Hersteller, Entwickler, Zulieferer, Händler oder Importeur beweisen, dass für Sach- oder Personenschäden nicht sein Produkt verantwortlich ist. Da es in vielen Fällen vom betroffenen Geschädigten zu viel verlangt ist, dass er den Beweis z.B. für Fertigungsfehler erbringen muss, kommt es daher oft zur Beweiserleichterung oder Beweislastumkehr. Das heißt: Der Hersteller muss beweisen, dass nach damaligen Stand der Technik keine Fehler in Entwicklung und Fertigung begangen wurden. Dabei werden an die Archiv-Lösung besondere Anforderungen gestellt. Zum einen müssen die Dokumente im Schadensfall schnell gefunden und zur Verfügung gestellt werden. Vor allem aber muss das Archiv Revisionssicherheit bieten, die eine nachträgliche Manipulation der Dokumente unmöglich macht.

Qualitätsmanagement

Wer darüber hinaus unternehmerische Verantwortung dokumentieren will, etabliert ein anerkanntes Qualitätsmanagement. Ein solches folgt gängigen Qualitätssicherungsnormen, die ebenfalls Voraussetzungen an die Aufbewahrung und Archivierung enthalten. Dazu gehören beispielsweise die EN ISO 9001:2000. Die Norm fordert Verfahren, in denen festgelegt wird, wie Dokumente und Aufzeichnungen

  •  gekennzeichnet werden,
  •  aufbewahrt und geschützt werden,
  •  lesbar und leicht erkennbar bleiben und
  •  wiedergefunden werden.

Weiterhin verlangt die Norm, dass Aufbewahrungsfristen für die Dokumententypen definiert werden und bestimmt wird, wer über welche Dokumente verfügen kann.
Wirksames Qualitätsmanagement verlangt zugleich aber auch ein funktionierendes Risikomanagement.

Risikomanagement

Studien belegen, dass bereits ein zehntägiger Ausfall von IT-Schlüsselsystemen ein Unternehmen so nachhaltig schädigt, dass es mit einer Wahrscheinlichkeit von 50 Prozent innerhalb der nächsten fünf Jahre vom Markt verschwindet. Aus dieser Erkenntnis heraus entstand auf nationaler wie internationaler Ebene die Verpflichtung zu einem effektiven Risiko- und Informationsmanagementsystem (RMS).
Das Vorhandensein eines solchen RMS einschließlich interner Kontrollsysteme (IKS) ist folgerichtig dann auch der zentrale Bestandteil aller nationalen und internationalen „Compliance-Gesetze“, beispielsweise in Bezug auf das Bundesdatenschutzgesetz (BDSG) oder auch „Euro-SOX“ (in Anlehnung an das US-Vorbild „SOX“).
EU-weit sind via Euro-SOX verschärfte Regelungen in Bezug auf die Dokumentation auf die IT- und TK-Infrastruktur aufgestellt. Insbesondere muss die IT dafür sorgen, dass alle relevanten Daten erfasst und jederzeit verfügbar sind und dass alle abschlussnahen Prozesse lückenlos nachvollziehbar dokumentiert sind.
Bei unzureichendem RMS und IKS kann im Schadensfalle das Management persönlich in die Haftung genommen werden, der Prüfer das Bilanztestat verweigern, und es zu Nachteilen in Ratings, zum Beispiel nach den Basel II-Kriterien oder beim Abschluss von Versicherungen, kommen.
Zu beachten ist ebenfalls das Bilanzrechtsmodernisierungsgesetz( BilMoG). Die Vorschrift verpflichtet dazu, die wesentlichen Merkmale des vorhandenen internen Kontroll- und Risikomanagementsystems nachzuweisen. Das Maß an Beschreibungen ist von den individuellen Gegebenheiten eines jeden Unternehmens abhängig. Es muss aber so ausgestattet sein, dass die Abschlussadressaten sich ein Bild von den wesentlichen Merkmalen des IKS und internen RSM machen können. Besteht kein internes IKS und RSM, ist dies anzugeben. Ist vergleichbare Effektivität nicht gegeben, liegt im Schadensfall eine Sorgfaltspflichtverletzung durch die Geschäftsführungsorgane mit entsprechender Haftung und relevanter Höhe möglichweise nahe.
Letztlich „muss“ - um ein Schlagwort zu benutzen „revisionssicher archiviert werden“. Doch welche Probleme verbergen sich hinter der erst einmal nichtssagenden Formulierung?

Revisionssicher archivieren

Bei der Archivierung von Daten im Unternehmen wie unter anderem der Geschäftskorrespondenz lauert eine Vielzahl Fallen und Problemen. Denn bei der Dokumentation steckt der Teufel im Detail. So sind Dokumente in Print-Archiven so aufzubewahren, dass sie innerhalb der gesetzlich vorgeschriebenen Aufbewahrungspflichten lesbar bleiben und nicht verloren gehen können. Das gleiche gilt für Unterlagen, die im Unternehmensinteresse wichtig sind.
Um Revisionssicherheit – oder genauer die revisionssichere Archivierung elektronischer Archivsysteme – zu gewährleisten, gilt es zahlreiche Gesetze zu berücksichtigen. Diese
Gesetzesvorgaben sollen sicherstellen, dass keine Daten verloren gehen und keine Daten nachträglich verändert werden können. Sollte dies trotzdem aus irgendwelchen Gründen geschehen, muss es möglich sein, Datenveränderungen wieder rückgängig zu machen.
Der hehre Anspruch einer revisionssicheren Archivierung lautet demnach: Niemandem – wie beispielsweise auch System-Administratoren, Geschäftsführern sowie externen Dritten wie Hackern – soll es möglich sein, Unternehmensdaten zu manipulieren. Ansonsten drohen massive Strafen.
Der Verband Organisations- und Informationssysteme hat dazu folgende Grundsätze zur Revisionssicherheit von elektronischen Archiven definiert, die sich an den Vorgaben der „Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen“ (GDPdU) orientieren.

  • Jedes Dokument wird unveränderbar archiviert,
  • es darf kein Dokument auf dem Weg ins Archiv oder im Archiv selbst verloren gehen,
  • jedes Dokument muss mit geeigneten Retrievaltechniken (zum Beispiel durch das Indexieren mit Metadaten) wieder auffindbar sein,
  • es muss genau das Dokument wiedergefunden werden, das gesucht worden ist,
  • kein Dokument darf während seiner vorgesehenen Lebenszeit zerstört werden können,
  • jedes Dokument muss in genau der gleichen Form, wie es erfasst wurde, wieder angezeigt und gedruckt werden können,
  • alle Inhalte müssen zeitnah wiedergefunden werden können,
  • alle Aktionen im Archiv, die Veränderungen in der Organisation und Struktur bewirken, sind derart zu protokollieren, dass die Wiederherstellung des ursprünglichen Zustandes möglich ist,
  • elektronische Archive sind so auszulegen, dass eine Migration auf neue Plattformen, Medien, Softwareversionen und Komponenten ohne Informationsverlust möglich ist,
  • das System muss dem Anwender die Möglichkeit bieten, die gesetzlichen Bestimmungen (BDSG, HGB, AO etc.) sowie die betrieblichen Bestimmungen des Anwenders hinsichtlich Datensicherheit und Datenschutz über die Lebensdauer des Archivs sicherzustellen.

Folge: Nach den Regelungen der GDPdU reicht es nicht aus, relevante E-Mails auszudrucken und abzuheften. Sie müssen digital und revisionssicher im oben beschriebenen Sinne innerhalb individueller Fristen gespeichert werden.

Gesetzliche Voraussetzungen

Wer als Unternehmer bei Beschwerden, Datenmissbrauch oder -diebstahl gegenüber Aufsichtsbehörden und vor Gericht auf der sicheren Seite sein will, muss nachweisen, dass er alle Gesetze berücksichtigt hat.
Das Problem: Ein eigenes Gesetz, das zum Beispiel alle Verpflichtungen zur Archivierung digitaler Speicherung, so auch von E-Mails, zusammenfasst, gibt es nicht. Stattdessen finden sich vereinzelte Regelungen an unterschiedlichsten Stellen wie beispielsweise
• der Abgabenordnung (AO)
• dem Handelsgesetzbuch (HGB)
• den Grundsätze ordnungsgemäßer Buchführung (GoBS)
• dem Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU)
• dem Gesetz zur Kontrolle und Transparenz im Geschäftsverkehr (KonTraG)
• dem Wertpapierhandelsgesetz (WpHG)
• dem Bundesdatenschutzgesetz (BDSG)
• dem Telekommunikationsgesetz (TKG)
• dem Aktiengesetz (AktG)
• dem GmbH-Gesetz (GmbHG)
• dem Strafgesetzbuch (StGB) und
• den Vorschriften nach Basel II und Basel III

Aufbewahrungs- und Löschfristen

Welche Aufbewahrungsfristen im jeweiligen Einzelfall bei verschiedenen Datenkategorien zu berücksichtigen sind, bedarf allerdings einer Recherche. So sind die wichtigsten Aufbewahrungsvorschriften für den nicht-öffentlichen Bereich beispielsweise in folgenden Gesetzen und Vorschriften festgelegt:

  • Handels- und Steuerrecht § 257 HGB Handelsgesetzbuch
  • Arbeitszeitordnung AZO (Arbeitszeitnachweis)
  • Bundesrechtsanwaltsordnung BRAO (Handakten von Rechtsanwälten)
  • Allgemeine Verwaltungsvorschrift über das Rechnungswesen in der Sozialversicherung (Jahresrechnung)
  • Unfallverhütungsvorschriften (Schadstoffuntersuchungen)
  • Aufbewahrungsvorschriften in der Datenverarbeitung nach BDSG und HGB (z.B. Systemnachrichten, Protokolle über Datenträgertransporte, Standardsoftware, Anwenderprogramme)

Dazu einige Beispiele für konkrete Aufbewahrungspflichten:

 

Datenart

Löschfrist (Norm)

Beitragsabrechnungsunterlagen

Bis zum Ablauf des auf die letzte Prüfung folgenden Kalenderjahres (jedoch nicht mehr als 3 Jahre), § 28f Abs. 1 SGB IV.

Berufsgenossenschaftsunterlagen

Zum Ablauf des auf die letzte Prüfung folgenden Kalenderjahres, § 28f Abs. 1 SGB IV.

Fahrtkostenerstattung

Bis zum Ablauf des 6. Kalenderjahres, das auf die zuletzt eingetragene Lohnzahlung erfolgt, § 41 Abs. 1 Satz 9 EStG i.V.m. Lohnsteuer-Richtlinie 2008, Abschnitt 38.1

Jubiläumszuwendungen

bis zum Ablauf des 6. Kalenderjahres, auf das die zuletzt eingetragene Zahlung erfolgt, §§ 39b Abs. 6, 41 Abs. 1 Satz 9 EStG i.V.m. Richtlinie des BMF, GZ . BMF-010222/0157-VI/7/2008 vom 04.07.2008

Kirchensteuer

6 Jahre mit dem Lohnkonto, LStDV § 4 Abs. 2 Nr. 8 i.V.m. § 41 Abs. 1 Satz 9 EStG

Lohnberechnungsunterlagen, mit Bedeutung für die Besteuerung

6 Jahre; Lohnkosten bis zum Ende des sechsten Jahres, das auf die zuletzt eingetragene Lohnzahlung folgt, § 147 Abs. 3 Var. 2 AO.

Lohnkonten bei Vergabe eines Arbeitgeberdarlehens

Bis zum Ablauf des 6. Kalenderjahres, das auf die zuletzt eingetragene Lohnzahlung erfolgt, § 41 Abs. 1 Satz 9 EStG i.V.m. BMF GZ IV C 5 - S 2334/07/0009, 2008/0537560

Quittungsbelege über Zahlungen von Arbeitslohn

Sechs Jahre, § 257 Abs. 4 Var. 2 HGB.

Unterlagen zur betrieblichen Altersversorgung

Sechs Jahre, § 11 Abs. 2 S. 2 BetrAVG.

 

Archivierung steuerrelevanter Emails

Bei der Archivierung gilt grundsätzlich: Steuerrelevante E-Mails sind unabhängig vom Tätigkeitsgebiet und der Rechtsform des Unternehmens gemäß gesetzlicher Aufbewahrungspflicht zu speichern. Zu diesen E-Mails zählen beispielsweise Rechnungen, Handelsbriefe, Buchungsanweisungen oder vertraglich relevante Bestätigungen und Zusagen.
Daneben gibt es Aufbewahrungspflichten für geschäftliche Korrespondenz:

  • Sechs Jahre aufzubewahren sind beispielsweise geschäftsrelevante E-Mails mit Außenwirkung. Dazu zählen mit Ausnahme von Werbeschreiben und unverbindlichen „Sales-Kontakten“ insbesondere vertraglich relevante Vorgänge, die „der Vorbereitung, dem Abschluss, der Durchführung oder auch der Rückgängigmachung eines Geschäfts“ dienen.
  • Zehn Jahre aufzubewahren sind E-Mails mit Auswirkungen auf die Bilanzierung, insbesondere Handelsbücher, Inventare, Eröffnungsbilanzen, Jahresabschlüsse, Einzelabschlüsse, Lageberichte, Konzernabschlüsse, Konzernlageberichte und Buchungsbelege.
  • Zudem liegt es im Interesse des Unternehmens, rechtlich relevante E-Mails entsprechend der Dauer rechtlicher Risiken aufzubewahren - beispielsweise gemessen an der Dauer eventueller Haftungsansprüche aus Gewährleistung oder Produkthaftung

mögliche technische Probleme

Wenn Daten vor der endgültigen Löschung oder Sperrung elektronisch über viele Jahre aufbewahrt werden müssen, darf die Speicherung nicht an technischen Problemen scheitern. Dateien mit einem veralteten Format eines vom Markt verschwundenen Anbieters sind in aller Regel nicht mehr lesbar. Deshalb sollte eine Lösung für ein Langzeitarchiv nicht nur darin bestehen, die Dateien in ihrem Originalformat zu speichern, sondern auch darin, die Dateien zusätzlich in einem anerkannten Archivformat wie PDF/A (ISO 19005-1).
Ist das ursprüngliche Format nicht mehr lesbar, lässt sich zumindest das Archivformat noch öffnen.
Damit die Beweiskraft dabei erhalten bleibt, muss jedoch bei der Konvertierung sichergestellt werden, dass die Daten in den verschiedenen Dateiformaten identisch sind und der ursprüngliche Zeitstempel für die Dateien erhalten bleibt.
Ebenfalls gerne übersehen wird, dass nicht jedes Speichermedium für die Langzeitarchivierung geeignet ist. So machen nicht nur der mögliche Verlust und die denkbar einfache mechanische Zerstörung vieler USB-Sticks ein solches Medium nur als Kurzzeit-Speicher geeignet.
Und nicht zuletzt spielt der Ort der Aufbewahrung der Archivmedien eine Rolle. Dabei geht es nicht nur um den erforderlichen Zugriffsschutz für Archivdaten, sondern auch um physikalische Einflüsse auf die Archivmedien wie

  • Wärme,
  • hohe Luftfeuchtigkeit und
  • Erschütterungen

Diese sind auf Dauer gesehen für viele Speichermedien ein Risiko.

Checkliste für die Langzeitarchivierung:

Zu prüfen  

  • Welche Daten im Unternehmen unterliegen einer Aufbewahrungspflicht?
  • Wie lautet die maximale Aufbewahrungsdauer?
  • Sollen die Daten einheitlich oder entsprechend ihrer Aufbewahrungsfrist getrennt archiviert werden?
  • Welcher Schutzbedarf besteht für die verschiedenen Datenbestände?
  • Sind Verantwortlichkeiten für den Archivierungsprozess geklärt?
  • Sind Zugriffsmöglichkeiten eindeutig und nachweisbar geklärt?
  • Berücksichtigt das Archivierungskonzept notwendige Migration bei Hard- und Software?
  • Ist das Langzeitarchiv gegen Manipulationen geschützt?
  • Gibt es ein mehrstufiges berechtigungs- und Rollensystem in der Archivlösung?
  • Werden die Zugriffe datenschutzgerecht protokolliert?
  • Sind die Archivbestände gegen unerlaubte personenbezogene Auswertungen geschützt?
  • Wurde bei der Konzeption das zu erwartende Datenaufkommen berücksichtigt?
  • Werden Dateiformate genutzt, die für eine Langzeitarchivierung geeignet sind?
  • Wurden die zu erwartenden Zugriffe sowie maximalen Schreib-und Lebenszyklen der Speichermedien berücksichtigt?
  • Sind die Speichermedien für eine Langzeitarchivierung geeignet?
  • Werden die Datenträger entsprechend möglicher Umwelteinflüsse wie Temperatur und Feuchtigkeit gelagert? 

Wann Daten gelöscht oder gesperrt werden müssen

Nach Ablauf der jeweiligen Aufbewahrungsfristen greift die Verpflichtung zur Löschung oder Sperrung der personenbezogenen Daten nach dem Bundesdatenschutzgesetz (§ 35 Abs. 2 Nr. 3 und 4 BDSG). Personenbezogene Daten müssen gelöscht werden, wenn sie für den Zweck ihrer Erhebung nicht mehr erforderlich sind und gesetzliche Aufbewahrungspflichten einer Löschung nicht widersprechen.
Bestehen Aufbewahrungspflichten, so tritt eine Sperrung an die Stelle der Löschung der Daten. Zudem werden die Daten auch dann gesperrt und nicht gelöscht, wenn die Löschung schutzwürdige Interessen der Betroffenen beeinträchtigen würde oder wegen der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßig hohen Aufwand möglich wäre.
Das Problem: Oft geben Unternehmen keine genauen Löschfristen an. Viele Betriebe beschränken sich auf die Aussage, eine Löschung der Daten vornehmen zu wollen, sobald die Daten für die Erfüllung des Zwecks ihrer Erhebung nicht mehr erforderlich sind.
Ohne konkrete Termine für die Datenlöschung aber ist Überwachung unmöglich. Ein solches Vorgehen ähnelt einem Projektplan, der keine Termine nennt. Ein sinnvolles Projektcontrolling ist dann ebenso wenig möglich wie eine Prüfung, ob die Fristen für die Datenlöschung entsprechend den Datenschutzvorgaben wirklich eingehalten werden. Es
muss also zunächst eine Festlegung der Löschfristen her. Ein Unternehmen braucht also nicht nur ein Archivierungskonzept, sondern auch ein Löschkonzept.
Wichtig: Löschfristen sind vom Unternehmen jeweils selbst zu definieren. Denn während sich die Aufbewahrungsfristen recherchieren lassen, gibt es abgesehen von einigen branchenspezifischen Datenschutzregelungen keine konkreten Löschfristen. So muss die verantwortliche Stelle im Unternehmen – also die Geschäftsführung - bestimmte Fristen für die Löschung festlegen. In der Praxis fällt dies der Unternehmensleitung oft nicht leicht. Gründe dafür sind meist:

  • die Furcht, Daten löschen zu lassen, die später noch gebraucht werden
  • die fehlende Motivation für eine Datenlöschung, abgesehen von dem frei werdenden Speicherplatz
  • die Schwierigkeit, die Löschfristen sinnvoll zu bemessen

Trotzdem darf auf ein Löschkonzept nicht verzichtet werden: Dazu gehören insbesondere

  • die Definition von Verantwortlichkeiten für die Löschprozesse (die Rollen von Systemadministration, Geschäftsleitung und Datenschutzbeauftragten)
  • die Datenbestände mit Personenbezug und ihren Speicherort regelmäßig zu ermitteln
  • schriftliche Anweisungen für die im Unternehmen erforderlichen Löschverfahren, die u.a. von den verwendeten Speichermedien abhängen
  • die Löschungen jeweils zu dokumentieren
  • die Definition von Maßnahmen zur technischen und organisatorischen Sicherstellung der Löschungen
  • Regelungen zur Löschung von Daten, die im Auftrag verarbeitet werden
  • Definition konkreter Maßnahmen zur Überprüfung der Einhaltung von Löschfristen

Checkliste zur Datenlöschung in Unternehmen

Zu klären:

  • Wird die Löschung zeitgleich mit der Archivierung geplant?
  • Sind in den Übersichten konkrete Fristen genannt?
  • Werden allgemeine Formulierungen zu Fristen vermieden bzw. konkret benannt?
  • Wird das interne Verfahrensverzeichnis zur Eigenkontrolle genutzt?
  • Werden Löschfristen auf Wiedervorlage gesetzt?
  • Wurden die Mitarbeiter in die datenschutzgerechte Löschung unterwiesen?
  • Ist für ein sicheres Löschungsverfahren gesorgt?
  • Werden beim Löschen an mögliche Dateikopien und Ausdrucke berücksichtigt?
  • Sind die Löschvorgänge sorgsam dokumentiert?

 

 

Erhaltung des unternehmensspezifischen Knowhows

Gelten einerseits Aufbewahrungsfristen und bei personenbezogenen Daten Vorschriften zur Löschung, ist es andererseits auch eine zentrale Hauptaufgabe der Archivierung, die nachhaltige Verfügbarkeit von unternehmensindividuellem Wissen und Knowhow sicher zu
stellen. Indem beispielsweise die Ergebnisse früherer Entwicklungen, Forschungen, Tests, Recherchen, Analysen sowie Projektdokumentationen erhalten bleiben und schnell auffindbar gemacht werden, können teure Doppeltentwicklungen vermieden bzw. der Entwicklungsaufwand durch die Wiederverwertung vorhandenen Wissens reduziert werden.
Die damit verbundenen Kostenvorteile können schnell zu Wettbewerbsvorteilen führen
Ein funktionierendes Archivsystem in Verbindung mit geeigneten Archivierungs- und Dokumentationsrichtlinien ermöglicht es zudem, Informationen auch anderen Abteilungen, Zweigstellen oder Tochterunternehmen zur Verfügung zu stellen und sie dort nutzbar zu machen. Diese Vorgehensweise beugt auch dem Wissensschwund durch Mitarbeiterfluktuation vor.
Wie wichtig ein durchstrukturiertes Archivsystem zum Wissens- und Knowhow-Erhalt ist, zeigt sich beispielsweise, wenn ein wichtiger Mitarbeiter die Firma verlässt, er zwar Aktenordner oder Festplatten voll mit Dateien hinterlässt, der Inhalt aber schlecht strukturiert ist und nur unter hohem Zeitaufwand wieder nutzbar gemacht werden kann. Zudem muss gesichert sein, dass vorhandenes Wissen bei einer Mitarbeiterfluktuation nicht kopiert und mitgenommen werden kann.

Sanktionen

Neben diesen unternehmenspolitisch weichen Faktoren drohen teilweise massive Sanktionen, wenn ein Unternehmen nicht ordnungsgemäß archiviert. Dazu ein Beispiel steuerrelevanter E-Mails:

  • Werden steuerrelevante E-Mails nicht archiviert, kann die Steuerbehörde z.B. den Gewinn und damit die Steuerschuld schätzen (vgl. § 162 Abs. 2 AO) oder ein Zwangsgeld zur Durchsetzung der ordnungsgemäßen Buchführung erwirken (vgl. § 328 Abs. 1 AO).
  • Eine nicht ordnungsgemäße Buchführung kann eine Steuergefährdung bzw. Steuerverkürzung begründen (vgl. §§ 378, 379 AO). (1) Danach kann eine Ordnungswidrigkeit mit einer Geldbuße bis zu fünfzigtausend Euro geahndet werden.
  • Die Unternehmensleitung muss gemäß § 13 Abs. 1 StGB sicherstellen, dass aus dem Unternehmen heraus keine Straftaten begangen werden. Strafrechtliche Maßnahmen drohen beispielsweise, wenn das Unternehmen durch eine unzureichende oder gar manipulative E-Mail-Archivierung vorsätzlich die Übersicht über das Vermögen erschwert, um Vermögensteile aus der Insolvenzmasse beiseite zu schaffen oder zu verheimlichen (vgl. § 283 ff. StGB).
  • Aus der gesellschaftsrechtlichen Haftung von Vorständen einer Aktiengesellschaft oder Geschäftsführern einer GmbH können sich auch zivilrechtliche Schadensersatzansprüche ergeben. Insbesondere im Bereich der unternehmerischen Risikovorsorge – zu der auch die ordnungsgemäße Archivierung zählt – haftet die Unternehmensleitung persönlich für unterlassene Risikomanagement-Maßnahmen, wenn dadurch ein finanzieller Schaden für das Unternehmen entsteht (vgl. §§ 93 Abs. 2 AktG, 43 Abs. 2 GmbHG).

Geheimhaltung gegenüber unbefugten Dritten

Zum Schluss noch ein weiterer wichtiger Hinweis: Um sicher zu gehen, dass nur denjenigen Personen und Abteilungen Daten zugänglich sind, die diese im berechtigten Interesse des Unternehmens lesen und nutzen dürfen, sind entsprechende Schutz und Selektionssysteme zu etablieren. Darüber hinaus empfiehlt es sich, für das Unternehmens-Knowhow wichtige Daten besondere schriftlichen Geheimhaltungsverpflichtungen zu vereinbaren.
Um insbesondere den Schutz personenbezogener Daten nach dem Bundesdatenschutzgesetz (BDSG) zu gewährleisten, sind - z.B. Daten von Testern und anderen Teilnehmern nach Projektbeendigung soweit verzichtbar zu pseudonymisieren.