Compliance in Bezug auf digitale Daten: Anforderungen und Möglichkeiten für Unternehmen

Neben den allgemein anfallenden Dokumenten, die in einem Unternehmen zu bearbeiten sind, werden heute immer mehr Geschäftsbeziehungen über E-Mails gepflegt. Digitale Daten besitzen einen ungeheuren Stellenwert im Unternehmen. Damit einher geht die Tatsache, dass die elektronische Form der Kommunikation als Bestandteil unternehmenskritischer Prozesse anzusehen ist. Dieser Umstand ist mittlerweile nicht nur den Unternehmen bewusst. Bereits seit einigen Jahren befasst sich die nationale und internationale Gesetzgebung mit Themen rund um die elektronische Datenkommunikation und digitale geschäftsrelevante Dokumente. Die entstandenen Forderungen sind gleichzeitig Bürde und Chance.

SPAM ist nicht das einzige aktuelle Thema
Viele Unternehmen und Verwaltungen stehen heute vor der Herausforderung, große E-Mail-Umgebungen ordnungsgemäß, effizient und kostenorientiert zu verwalten und darüber hinaus die Compliance-Vorgaben einzuhalten. Compliance steht dabei für die Übereinstimmung mit und Erfüllung von rechtlichen und regulativen Vorgaben. Gesetze und Regularien dürfen jedoch nicht isoliert gesehen werden, sondern müssen mit internen Richtlinien und Verfahren in Einklang gebracht werden.

Einige dieser rechtlichen und regulativen Vorgaben sind:

  • GoBS (Grundsätze ordnungsgemäßer DV-gestützter Buchführungssysteme)
  • GDPdU (Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen)
  • Sarbanes-Oxley-Act (SOAX, Gesetz für an der New York Exchange gelistete Unternehmen)
  • CFR 17 (Code of Federal Regulations, Regularien für Börsenmakler)
  • FDA 21 CFR Part 11 (Food and Drug Administration)
  • HIPAA (Health Insurance Portability and Accountability Act.)
  • Basel II (benannt nach Baseler Ausschuß für Bankenaufsicht)

Dieser Auszug von Compliance-Anforderungen bezieht sich auf allgemeine öffentliche Richtlinien und Abmachungen für technische Kontrollen und betrifft drei wichtige Zielsetzungen für Dokumente und deren Inhalt (Content):

  • Integrität: Content muss vollständig und richtig sein und unter Beachtung administrativer, physischer und technischer Sicherheitsvorkehrungen gespeichert werden, damit er vor unzulässiger Änderung, Beschädigung und Löschung geschützt ist.
  • Vertraulichkeit: Content darf nur für autorisierte Benutzer zugänglich sein und muss vor unzulässiger Nutzung und Veröffentlichung geschützt werden.
  • Verfügbarkeit: Regulierungsbeauftragte und Vollstreckungsbehörden müssen bei Bedarf auf Content und Records zugreifen können. In bestimmten Fällen muss auch Personen der Zugriff auf Records erlaubt sein, die im Zusammenhang mit ihren persönlichen Daten stehen.

Über diese allgemeinen Anforderungen hinaus verlangt das Gesetz zur Kontrolle und Transparenz im Geschäftsverkehr (KonTraG) ein effizientes Risikomanagementsystem, das nach einhelliger Ansicht eine Überwachung und Früherkennung sowie entsprechende Reaktionsszenarien im Schadensfall umfasst.

GDPdU, GoB, GoBS, AO oder HGB: Revisionssichere Speicherung von unternehmensrelevanten Daten
Dabei sind die gesetzlichen Regelungen weder neu noch überraschend. Denn GDPdU, KonTraG und Basel II existieren bereits seit mehreren Jahren und fangen nach entsprechenden Übergangsfristen nun an zu greifen. Im Mai 1998 ist das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) in Kraft getreten, welches Unternehmen verpflichtet, für ihre elektronischen Dokumente bezüglich der „Erstellung, Weiterleitung und Dokumentation der Informationen“ Regelungen und Maßnahmen zu treffen. Der Gesetzgeber fordert heute beispielsweise die revisionssichere Archivierung aller Auftragsbestätigungen, Rechnungen oder auch Verträge, die mit elektronischer Post verschickt werden sowie die unverzügliche Bereitstellung der Unterlagen in maschinenlesbarer Form. Dokumente zeitnah irgendwo im Unternehmen zu speichern oder „sicherheitshalber auszudrucken“ genügt nicht. Dokumente gelten nur dann als revisionssicher, wenn diese nachweisbar vollständig, ursprünglich, unveränderbar und wieder auffindbar aufbewahrt werden können.

Dem gegenüber ist die Verbreitung von Archivierungssystemen für elektronische Dateien oder gar E-Mails in Unternehmen (egal welcher Größe) erschreckend gering. Doch gemäß den gültigen gesetzlichen Regelungen müssen alle steuerlich relevanten Dateien auch für die Betriebsprüfung bereitgestellt werden. Das betrifft alle elektronischen Medien und zunehmend speziell die Korrespondenz per E-Mail, die den Finanzbeamten zur Verfügung gestellt werden müssen. Die Behörden sind den Unternehmen aber einen Schritt voraus: Sie haben sich deutlich schneller gerüstet. Vor allem kleine und mittelständische Unternehmen stellt die E-Mail-Archivierung vor eine besondere Herausforderung. Leider sind sich viele der Firmen nicht den gesetzlichen Anforderungen bewusst. Ungeachtet dessen sind die Sanktionen für Verstöße gegen archivierungsrelevante Buchführungs- und Datenschutzpflichten erheblich.

Rechtspflicht und ihre Umsetzung
Die Umsetzung hinsichtlich Revisions- und Rechtssicherheit stößt auf diverse Hindernisse, die auch aus dem gesetzlichen Bereich stammen können: Datenschutz und das Fernmeldegeheimnis der Mitarbeiter. So gilt bei erlaubter oder geduldeter Privatmail im Grundsatz, dass ohne die Zustimmung der Mitarbeiter oder ihrer Vertretung (Betriebsrat/Personalrat) eine Überwachung der Inhalte unzulässig ist. Wichtig ist ferner, dass private Mail dem Mitarbeiter gehört und dieser die Herausgabe verlangen kann, prinzipiell auch nach seinem Ausscheiden. Problematisch ist in diesem Zusammenhang auch, Privatmails durch Filter zu unterdrücken oder gar zu löschen. Deswegen sind rechtlich-organisatorische Maßnahmen unabdingbar, z.B. in Form von individualvertraglichen Vereinbarungen mit dem Arbeitnehmer, Betriebsvereinbarungen, Security- und User-Richtlinien sowie Schulungs- und Informationsmaßnahmen der Belegschaft.

All die hier beispielhaft genannten Bestimmungen rechts- und revisionssicher umzusetzen und unter praktikablen Gesichtspunkten einzubinden, stellt eine Herausforderung für alle Unternehmen dar. Die Erfüllung gesetzlicher Vorgaben in Bezug auf die Aufbewahrung handels- und steuerrechtlich relevanter Daten wird zwar als essentiell definiert, präsentiert aber nur einen Aspekt der Unternehmensinformationen. Ebenso wichtig ist die vollständige Dokumentation von Geschäftsvorgängen unter den Gesichtspunkten der Beweisrelevanz.

Ihr Ansprechpartner:

Harald Justen

Telefon: +49(0)228 97125-57, Mobil: +49(0)173 9119489
Fax: +49(0)228 97125-757, E-mail: justen@act-online.de

COPYRIGHT 2009 ACT UNTERNEHMENSGRUPPE