Rechtliche Widersprüche Speicherpflichten – zwischen Vernichtung und Bewahrung

Autor / Redakteur: Rechtsanwalt Wilfried Reiners / Katrin Hofmann

Wenn Compliance so definiert wird, dass es bedeuten soll »to be in compliance with the law«, dann heißt es nichts anderes, als sich gesetzeskonform zu verhalten. Was ist aber zu tun, wenn die gesetzlichen Vorschriften einerseits die Löschung und andererseits das Archivieren von elektronischen Daten vorsehen?

Firmen zum Thema

( Archiv: Vogel Business Media )

IT-Experten befassen sich im Umfeld von Datenhaltung, Datenspeicherung und Storage zumeist mit den dafür zur Verfügung stehenden technischen Möglichkeiten. Die Datenhaltung beinhaltet aber auch eine Reihe von rechtlichen Komponenten. Der überwiegende Teil der digitalen Informationen in Unternehmen liegt heute in Form unstrukturierter Daten vor. Sie können sich in Hunderten verschiedener Applikationen und in ebenso vielen Datei-Formaten finden. Ihre Speicherung und Archivierung erfolgt in vielen Fällen unsystematisch.

Nehmen wir als Beispiel die eMail mit Anhängen. Dass eine personenbezogene eMail zu den personenbezogenen Daten im Sinne des Bundesdatenschutzgesetzes (BDSG) zählt, ist inzwischen unstreitig. Nach Paragraf 20, Absatz 2, Nummer 2 des BDSG gilt: Personenbezogene Daten, die automatisiert verarbeitet oder in nicht automatisierten Dateien gespeichert sind, sind zu löschen, wenn ihre Kenntnis für die verantwortliche Stelle zur Erfüllung der in ihrer Zuständigkeit liegenden Aufgaben nicht mehr erforderlich ist.

Nun nehmen wir den Fall, dass in einem Krankenhaus eine eMail an einen Mitarbeiter gesandt wird, die eine Information enthält, deren Informationsgehalt nicht wichtig ist. Der Datenschutzbeauftragte (DSB) des Krankenhauses wird daher nach rund drei Monaten eine Löschung dieser eMail verlangen. Auf dem gleichen eMailserver kommt eine eMail an, die an eine Person in der Buchhaltung gerichtet ist. Darin wird die Bestellung einer Partie Pflaster und Medikamenten bestätigt. Diese eMail ist von Handels- und steuerrechtlicher Bedeutung.

Das Handelsgesetzbuch (HGB) verpflichtet Kaufleute zur Aufbewahrung von Geschäftsunterlagen (Paragraf 257 HGB). Aus steuerlichen Gründen haben alle Unternehmen der gewerblichen Wirtschaft die zehnjährige Aufbewahrungspflicht nach Paragraf 147 Abgabenordnung (AO) einzuhalten. Das betrifft auch sämtliche elektronisch gespeicherte Daten: Nach Paragraf 146, Absatz 5 der AO sind »originär digitale Unterlagen« auf maschinell verwertbaren Datenträgern zu archivieren.

Zu guter Letzt gibt es noch einen Arzt in der Klinik, der Patientendaten mit einem niedergelassenen Kollegen austauscht. Hierfür soll eine Aufbewahrungsfrist von dreißig Jahren gelten. Der Arzt legt großen Wert auf eine ordnungsgemäße Archivierung.

Damit müssen folgende Fragen zu allen in dem Krankenhaus anfallenden eMails einer Beantwortung zugeführt werden: Was muss wie lange aufbewahrt werden? Was muss wie verfügbar sein? Was muss wann vernichtet werden? Wer legt was wohin? Zudem interessiert die Frage, wer denn zuständig ist.Hier wartet ein ausgewachsenes Projekt darauf, gestartet zu werden.

Umsetzung in der Praxis

Für solch ein Projekt sollte das Management gemeinsam mit der IT-Leitung, der Rechtsabteilung oder einem erfahrenen IT-Anwalt, dem Datenschutzbeauftragten und gegebenenfalls den Leitern der Fachabteilungen eine Projektgruppe bilden. Das Projekt ist dann in vier Phasen aufzuteilen.

In der ersten Phase (Analyse) müssen zunächst die für das Unternehmen relevanten Compliance-Vorschriften ermittelt werden. In der zweiten Phase (Transformation) müssen die relevanten Vorschriften auf die IT-gestützten Prozesse machbar heruntergebrochen werden. In der dritten Phase (Integration) wird die Einhaltung der relevanten Vorschriften als ge- und überprüfte Selbstverständlichkeit in den Regelbetrieb überführt. In der vierten Phase wird bedacht, dass sich auch Gesetze und Vorschriften ändern, daher sollten nach einer gewissen Zeit Nachprüfungen (Audit) durchgeführt werden.

Artikelfiles und Artikellinks

(ID:2004659)