Immer mehr Datenquellen liefern eine exponentiell wachsende Menge an Daten. Eine steigende Zahl von Mitarbeitern greift mit unterschiedlichsten Endgeräten auf die Systeme und Daten zu. Der Aufwand, den Unternehmen betreiben, um die richtige Information zum richtigen Zeitpunkt an der richtigen Stelle verfügbar zu machen, ist immens und steigt rapide weiter. Denn für immer mehr Firmen und Geschäftsprozesse gilt: Ohne elektronische Daten und Informationen geht nichts mehr.
Was infolge dieser Entwicklung häufig übersehen wird, ist die Notwendigkeit der Aufbewahrung digitaler Daten und Dokumente auch dann, wenn diese für die operativen Prozesse im Unternehmen nicht mehr benötigt werden. Dabei sind viele Informationen schon von Gesetzes wegen aufbewahrungspflichtig.
Für steuerrelevante Unterlagen beispielsweise gilt die Pflicht zur Aufbewahrung je nach Inhalt und einschlägiger Vorschrift für sechs bis zehn Jahre. Während dieser Zeit sind die Dokumente nach GoBS (Grundsätze ordnungsmäßiger EDV gestützter Buchführungssysteme) und GDPdU (Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen) revisionssicher zu archivieren. Das bedeutet, dass die betreffenden elektronischen Belege wie Rechnungen, Buchungsdaten oder E-Mails während dieser Frist in unveränderlicher Form gespeichert und jederzeit verfügbar sein müssen.
Viele Vorschriften verpflichten zur Archivierung
Hinzu kommen in vielen Wirtschaftsbereichen weitere Vorschriften für die Aufbewahrung von Unterlagen. So sind etwa Patentunterlagen mindestens sechs Jahre nach Ablauf des Patentschutzes aufzubewahren. Versicherungsunternehmen müssen Versicherungsverträge während ihrer gesamten Laufzeit sowie zwei bis fünf Jahre danach aufbewahren - bis keine Ansprüche aus dem Vertrag mehr bestehen. Und im Gesundheitswesen sind Patientenunterlagen, soweit sie Röntgen- und andere Strahlenbehandlungen oder im Zusammenhang mit Bluttransfusionen stehen, 30 Jahre lang verfügbar zu halten.
Die gleiche Frist gilt für Arbeitsschutzunterlagen, soweit sie den Umgang mit radioaktiven Stoffen betreffen. Messergebnisse am Arbeitsplatz im Gefahrenbereich von krebserzeugenden und erbgutverändernden Gefahrstoffen sind gar für mindestens 60 Jahre aufzubewahren. (BGR 163, Abschnitt 7.4)
Archivierungsexperten wie Petra Waldmüller-Schantz, Leiterin Public Relations bei Governikus, wissen: "Generell wird die Bedeutung der Aufbewahrungspflichten von den Verantwortlichen in den Unternehmen unterschätzt. Das gilt insbesondere für die Archivierung elektronischer Dokumente wie beispielsweise E-Mails. Viele Entscheider meinen, sie seien hier mit regelmäßigen Backups auf der sicheren Seite. Doch ein Backup ist kein Archiv. Neben dem juristisch bedeutsamen Nachweis der Echtheit von Dokumenten mangelt es auch an praktischen Anforderungen wie der einfachen Recherchierbarkeit von Inhalten.
Versäumnisse können teuer werden
Wie teuer die Nichtbeachtung von Aufbewahrungspflichten im Ausland werden kann, zeigte sich schon im Jahr 2002 für Deutsche Bank Securities, Goldman Sachs, Morgan Stanley und andere Banken: Sie wurden mit Bußgeldern von insgesamt mehr als acht Millionen US-Dollar belegt, weil sie E-Mails und andere geschäftliche Unterlagen nicht vorschriftsgemäß aufbewahrt hatten.
Im gleichen Jahr wurde der "Sarbanes-Oxley Act" erlassen, wonach Unternehmen, die an der New York Stock Exchange notiert sind, aufbewahrungspflichtige elektronische Dokumente gegen vorsätzliche Löschung, Manipulation und Zerstörung schützen müssen. Darüber hinaus müssen sie auch nachweisen, dass keine Veränderungen oder Manipulationen an den Dokumenten stattgefunden haben.
Dennoch ergibt sich die Motivation vieler Firmen für die Beschäftigung mit Langzeitarchivierung nicht nur aus der Pflicht zur Einhaltung gesetzlicher Regelungen und Vorschriften (Compliance). Der Gesamtverband der Versicherungswirtschaft GDV etwa nennt in seinen "Aufbewahrungspflichten und Aufbewahrungsgrundsätze für Geschäftsunterlagen von Versicherungsunternehmen" eine Vielzahl von Unterlagen, für die eine Aufbewahrungspflicht aus betrieblichen Gründen besteht. Dabei geht es sowohl um die Erfüllung möglichen Informationsbedarfs in der Zukunft als auch um firmenhistorische Aspekte sowie die Möglichkeit von Nachweisen im Falle rechtlicher Auseinandersetzungen.
Eigeninteresse als Motivator zur Archivierung
Die CAD/CAM-Entwicklungsgesellschaft zur Förderung des Erfahrungsaustausches in der Industrie (CEFE), nennt in ihrem "Leitfaden für die Langzeitarchivierung technischer Daten und Dokumente", an dessen Erstellung unter anderem Siemens und Volkswagen beteiligt waren, die Sicherstellung des betrieblichen Ablaufs im Katastrophenfall als erstes der Ziele des Leitfadens. Und die VDA Empfehlung 4958 "Langzeitarchivierung (LZA) digitaler, nicht-zeichnungsbasierter Produktdaten" dient neben der "Absicherung gesetzlicher Bestimmungen und Auflagen" ausdrücklich der Sicherstellung der Reproduzierbarkeit von 3-D-Daten beispielsweise für das Ersatzteilgeschäft.
Branchenbezogene Regelungen reichen nicht aus
Allgemeiner formulierten die Forscher des Fraunhofer-Instituts für Biomedizinische Technik IBMT in einer Pressemitteilung zum EU-Projekt ENSURE, das sich mit der digitalen Langzeitarchivierung von Gesundheitsdaten befasst: "Viele kommerziell ausgerichtete Organisationen stehen vor dem gravierenden Problem, eine Vielzahl von Daten zur künftigen Nutzung kostengünstig erhalten und dabei den Schutz sensibler Geschäftsdaten oder persönlicher Daten sicherstellen zu müssen." Dennoch hat die von der EU geförderte Forschungsinitiative mit den anderen erwähnten Projekten zur Langzeitarchivierung gemeinsam, dass sie nur für bestimmte Branchen gilt.
Daraus ergeben sich vor allem für solche Firmen Probleme, die Geschäftsbeziehungen mit Kunden oder Lieferanten aus anderen Branchen unterhalten. Sie stehen vor der Frage, mit welchem Verfahren sie sicherstellen können, dass ihre digitale Langzeitarchivierung den unterschiedlichen rechtlichen Normen entspricht und sich gleichzeitig wirtschaftlich effizient betreiben lässt.
TR-ESOR: eine Referenzarchitektur für alle
Antworten auf diese Frage liefert die Technische Richtlinie 03125 des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Unter der Bezeichnung TR-ESOR - Beweiswerterhaltung kryptografisch signierter Dokumente - beschreibt sie ein Referenzmodell für die beweiswerterhaltende elektronische Ablage aufbewahrungspflichtiger Unterlagen.
Im Fokus der Richtlinie stehen dabei alle mit der Erhaltung der Beweiskraft elektronischer Signaturen verbundenen Maßnahmen, da nur die Signatur den Nachweis über die Echtheit eines Dokumentes und die zweifelsfreie Zuordnung zu ihrem Urheber ermöglicht. Dabei gilt: Nur die Qualifizierte Elektronische Signatur (QES) gemäß deutschem Signaturgesetz darf die gesetzlich vorgeschriebene Schriftform ersetzen, und nur sie hat gemäß Zivilprozessordnung (ZPO) einen erleichterten Anscheinsbeweis für elektronische Dokumente und verbindliche Erklärung in Gerichtsprozessen.
Damit dieser Anscheinsbeweis über Jahre und Jahrzehnte hinweg möglich bleibt, müssen Systeme für die digitale Langzeitarchivierung laut TR-ESOR sowohl für die digitalen Inhalte als auch für deren Metadatensätze sicherstellen:
• Verfügbarkeit und Lesbarkeit,
• Integrität (Unversehrtheit),
• Beweiswerterhaltung von Signaturen und Zeitstempeln, Authentizität (daraus folgt auch die Nichtabstreitbarkeit) sowie
• Datenschutz, Datensicherheit und Vertraulichkeit.
Den Nutzen der TR-ESOR für Unternehmen erläutert Petra Waldmüller-Schantz von Governikus so: "Die BSI TR-ESOR beschreibt in einer Referenzarchitektur, wie Archivsysteme aufgebaut sein müssen, um diese Anforderungen zu erfüllen. Sie regelt gleichzeitig die Zertifizierung von IT-Systemen, die der Referenzarchitektur entsprechen. Unternehmen, die eine nach TR-ESOR zertifizierte Lösung einsetzen, können damit sicher sein, alles Mögliche getan zu haben, um ihre Inhalte auch über lange Zeiträume sicher und gerichtsverwertbar zu erhalten." (hal)