Vom Chaos zur Compliance

Regelungen zur Aufbewahrung von Akten sollten Bestandteil des Informationsmanagements in Unternehmen sein. Das bedeutet, dass man Dokumente geordnet und sicher aufbewahrt, sie im schnellen Zugriff hat und sie schließlich gesetzeskonform vernichtet. [...]

In Europa herrscht eine Flut von Gesetzen zur Datenspeicherung. Für die verschiedenen Arten von Akten gibt es unterschiedlich lange Aufbewahrungsfristen – diese reichen von ein paar Monaten bis zu 20 oder mehr Jahren. Die in Europa vorhandenen Gesetze unterscheiden sich je nach Branche teilweise erheblich voneinander und ändern sich laufend. Dazu kommen noch internationale Regelungen, wie der US-amerikanische Sarbanes-Oxley Act, die Basel-II-Richtlinien und der Gramm-Leach-Bliley Act (GLBA).

Werden Dokumente zu lange aufbewahrt, riskiert das Unternehmen den Verstoß gegen Datenschutzgesetze. Eine zu frühe Vernichtung der Dokumente hingegen stellt einen Verstoß gegen gesetzliche Aufbewahrungsfristen dar. So ist es auch nicht verwunderlich, dass sich laut einer von Iron Mountain in Auftrag gegebenen PwC-Studie 36 Prozent der mittelständischen Unternehmen in Europa dafür entschieden haben, Papier und elektronische Dokumente nur für den Fall der Fälle aufzubewahren. 39 Prozent der Finanzdienstleister sowie 45 Prozent des produzierenden Gewerbes bewahren grundsätzlich alle Dokumente auf.

PROBLEMATISCHE E-MAILS
Nirgendwo sind die Auswirkungen der damit verbundenen Irrtümer offensichtlicher als im Falle der digitalen Kommunikation über E-Mails, SMS und Beiträge in Sozialen Medien. Im Gegensatz zum oberen Ansatz scheinen viele Unternehmen auf diese Flut von neuen Inhalten einfach nicht zu reagieren und auf entsprechende Datensicherungsprozesse zu verzichten. Während laut einer aktuellen AIIM-Studie (American Association for Information and Image Management) 73 Prozent aller Unternehmen die Inhalte von Firmen-Mails in ihre internen Aufbewahrungsrichtlinien aufgenommen haben, löschen die meisten der befragten Unternehmen ihre E-Mails immer noch manuell. In 55 Prozent der befragten Unternehmen bleibt es den Mitarbeitern überlassen, E-Mails nach eigenem Ermessen zu speichern oder zu löschen. Ein solcher, hauptsächlich von den Mitarbeitern getragener Ansatz, gilt insbesondere im Hinblick auf die wachsende Zahl von öffentlichkeitswirksamen Klagen, die sich in ihrer Beweisführung auf E-Mail-Inhalte berufen, als riskant.

Wie sensibel die Thematik ist, zeigt folgendes Praxisbeispiel. Nachdem ein Mitarbeiter eines Konzerns gesetzlich verbotene Bilder über seinen Firmenaccount versendet hatte, musste das Unternehmen auf Forderung der Staatsanwaltschaft das betreffende Bildmaterial dauerhaft aus dem E-Mail-Archiv des inzwischen entlassenen Mitarbeiters löschen. Als das Unternehmen dieser Forderung nachgehen wollte, konnte es nicht beweisen, dass es bei diesem einmaligen Eingriff in das E-Mail-System bleiben würde und es für steuerrechtlich relevante Daten als nicht manipulierbar gilt. Die vollständige Entfernung des Bildmaterials wurde schließlich in Anwesenheit eines Anwalts und einem Beratungshaus als externen Datenschutzbeauftragten durchgeführt. Die meisten Unternehmen haben ein Content-Management für die Inhalte in Sozialen Medien noch nicht einmal auf ihrem Radar. Die AIIM-Studie ergab beispielsweise auch, dass weniger als 15 Prozent der befragten Organisationen die Einträge in den Sozialen Netzwerken in ihre Aufbewahrungspläne mit einbeziehen. Dieses Versagen, Inhalte der Sozialen Medien nicht als gültige Firmendokumente zu behandeln, ist auf eine Reihe von Faktoren zurückzuführen, darunter auch die Notwendigkeit, Risiken durch Ressourcen auszugleichen. Für viele Unternehmen kann es jedoch in der schnelllebigen Welt der Sozialen Netzwerke schnell zum Problem werden, alle Einträge zurückzuverfolgen oder zu erfassen. Dennoch behandeln laut der AIIM-Studie ein Drittel der Firmen die Einträge im Social Web als Firmendokumente und machen daher davon Gebrauch. Eine kleine aber signifikante Anzahl von 27 Prozent verwendet die Einträge beispielsweise dazu, um Kundenbeschwerden zu lösen und bei 17 Prozent der Unternehmen kamen sie sogar im Zuge von Disziplinarmaßnahmen gegen Mitarbeiter zum Einsatz. Dies sind beides Bereiche, die für die Reputation von Unternehmen äußerst wichtig sind. Es ist möglicherweise bezeichnend, dass nach Angaben von AIIM in rund einem Drittel der Unternehmen niemand für die Kontrolle der Inhalte aus Instant Messanging, Sozialen Medien sowie mobilen Inhalten verantwortlich ist. Dieser Mangel an Eigenverantwortung legt nahe, dass die Lage in vielen Unternehmen schlechter als gedacht ausfällt. Dies ist insofern äußerst beunruhigend, als wir es heutzutage mit wirtschaftlichen Rahmenbedingungen zu tun haben, in denen sowohl Unternehmen als auch Konsumenten auf ihre Rechte bestehen wollen – notfalls vor Gericht.

ZU FRÜH ODER ZU SPÄT
Werden wir von einem Informations-Tsunami getroffen? Wie können wir wissen, was wir horten oder ignorieren sollen? Wie verhalten wir uns konform zu Bestimmungen und Gesetzen? Die Tatsache, dass es genau so gefährlich ist, etwas zu lange aufzubewahren (zum Beispiel persönliche Daten oder erfolglose Bewerbungen), wie etwas zu früh zu vernichten (die Korrespondenz einer Klage oder Details zu Gesundheitsgefahren), überfordert schlicht und ergreifend viele Unternehmen.

Rechtsorganisationen sowie Unternehmen, die sich mit dem Thema Informations-Management befassen, besitzen eine Sorgfaltspflicht gegenüber Unternehmen, die einen Ausweg aus den sich ständig verändernden Rahmenbedingungen suchen und Kontrolle über all ihre Informationen behalten wollen. Der Grat zwischen „zu früh“ und „zu spät“ ist sehr schmal. Unternehmen sollten sich daher auf hieb- und stichfeste Ansätze  verlassen und sich zur Klärung der gesetzlichen Aufbewahrungspflichten für elektronische Dokumente von einem externen Dienstleister beraten lassen. Nur so können sich Firmen rechtlich hinreichend gegen Fälle, wie im oberen Beispiel beschrieben, absichern und profitieren von einer zeitgemäßen Archivierung im digitalen Zeitalter.

*Hans-Günter Börgmann ist Geschäftsführer von Iron Mountain Deutschland.


Mehr Artikel

Oliver Köth, Chief Technology Officer, NTT DATA DACH (c) NTT DATA
News

GenAI-Avatare als Webbereiter für die Zukunft

Der Blick in die Zukunft gleicht oftmals einem Blick in die Glaskugel. Dennoch wollen und müssen Unternehmen wissen, was auf sie zukommt, um sich optimal auf neue Herausforderungen einstellen zu können. Generative KI und damit entwickelte Avatare können dabei helfen, indem sie völlig neue Einblicke ermöglichen. NTT DATA beantwortet die wichtigsten Fragen rund um die Methode. ​ […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*