Daten aufbewahren oder vernichten? Die Aufbewahrungspflicht für Dokumente erklärt

„Ich glaube, wir müssen bei den grundlegenden Prozesse für die Erstellung und Verwaltung eines jeden Dokuments umdenken“, findet Bill Anderson von der Cyber-Sicherheitsfirma OptioLabs in einer Story auf cnet.com über die Panama Papers.

Als „Panama Papers“ wird das jüngste Mega-Datenleck bezeichnet, bei dem Millionen an vertraulichen Dokumenten einer Anwaltskanzlei in Panama an die Öffentlichkeit gelangten. Dabei wurden Offshore-Bankkonten – und mögliche Steueroasen – wohlhabender Klienten aufgedeckt.

Zahlreiche Aspekte sorgen für zuverlässige Informationssicherheit, und eine gut durchdachte Document-Retention-Policy stellt einen der wichtigsten Eckpfeiler dar.  Es sollte jedermann ein Anliegen sein zu wissen, welche vertraulichen Dokumente aufbewahrt werden müssen, und welche regelmäßig vernichtet werden sollten; ganz besonders zu den Fristen der Steuererklärungen, denn dann haben Datendiebe Hochsaison.  

Nachfolgend finden Sie einige Richtlinien in Bezug auf die Aufbewahrungsfristen für Dokumente, die Sie dabei unterstützen können, Ihre Informationen zu schützen:

• Information Audits: Organisieren Sie Audits um eine Übersicht auszuarbeiten, welche Dokumente Ihr Unternehmen erstellt. Auf Basis dieses Wissens generieren Sie dann ein Verzeichnis, welches Sie regelmäßig aktualisieren. 
• Geldstrafen – so oder so: Während es gesetzlich verpflichtend ist, gewisse Dokumente über einen definierten Zeitraum aufzubewahren, kann ein zu langes Aufbewahren bestimmter Dateien ebenfalls wieder mit einem Prozessrisiko und Geldstrafen verbunden sein. Die Datenschutzgesetze verlangen in der Regel, dass eine Datei sicher vernichtet werden muss, sobald die gesetzliche Aufbewahrungsfrist abgelaufen ist.
• E-Mails: Der Begriff „Unterlagen“ meint sowohl gedruckte Dokumente, digitale Dateien sowie jegliche Korrespondenz, darunter auch E-Mails. Laut Angaben von wire.com befanden sich unter den „Panama Papers“ mitunter 4,8 Millionen E-Mails (gemeinsam mit 3 Millionen Dateien aus der Datenbank sowie 2,1 Millionen PDF-Dateien). Wenn E-Mails nicht Bestandteil eines wichtigen Geschäfts oder von rechtlicher Bedeutung sind, bzw. nicht der Einhaltung von Verordnungen dienen, sollten Sie diese innerhalb eines angemessenen Zeitrahmens löschen.
• Einfacher Abruf der Daten: Indizieren Sie sämtliche Dokumente, damit Sie rasch aufgefunden werden können. Bewahren Sie diese an einem sicheren, abgesperrten Ort auf und/oder verwenden Sie kennwortgeschützte Dateien. Überwachen Sie den Zugriff auf diese Daten, sodass nur jene Angestellten, welche diese Informationen auch wirklich für Ihre Arbeit benötigen, sie auch abrufen können. Wenn Sie überflüssige Informationen aufbewahren, erhöhen Sie damit das Risiko einer Sicherheitslücke, außerdem verschwenden Sie Platz und Geld.
• Sichere Entsorgung: Die einzig akzeptable Weise, gedruckte oder digitale Unterlagen zu entsorgen, wenn sie nicht länger gebraucht werden, ist die vollständige Vernichtung dieser Dokumente. Schreddern ist für zahlreiche Dokumente gesetzlich verpflichtend. Outsourcen verringert in diesem Bereich das Risiko. Holen Sie sich mit einem qualifizierten Aktenvernichtungs-Unternehmen einen seriösen Partner ins Boot und vergewissern Sie sich, dass dieser für die Vernichtung von Informationen eine sichere Kontrollkette verwendet. Ein Vernichtungszertifikat dokumentiert die Einhaltung der Richtlinien und sollte für jede Vernichtung ausgestellt werden.
• Wie lange müssen Steuerunterlagen aufbewahrt werden? Die Aufbewahrungsfristen für Daten setzen sich aus zweierlei Faktoren zusammen: wie lange ein Dokument für das Geschäft benötigt wird, und wie lange die Unterlagen gemäß nationaler Gesetze und branchenspezifischer Anforderungen aufbewahrt werden müssen. Die Abgabenordnung und das Handelsgesetzbuch reglementieren in Deutschland die Aufbewahrung von Daten. Je nach Art der Unterlagen beträgt die Aufbewahrungsfrist zwischen drei und zehn Jahre.  

  §257 HGB: Aufbewahrung von Unterlagen
  „Jeder Kaufmann ist verpflichtet, die folgenden Unterlagen geordnet aufzubewahren:

  • Handelsbücher, Inventare, Eröffnungsbilanzen, Jahresabschlüsse, Einzelabschlüsse nach § 325 Abs. 2a, Lageberichte, Konzernabschlüsse, Konzernlageberichte sowie die zu ihrem Verständnis erforderlichen Arbeitsanweisungen und sonstigen Organisationsunterlagen,
  • die empfangenen Handelsbriefe,
  • Wiedergaben der abgesandten Handelsbriefe,
  • Belege für Buchungen in den von ihm nach § 238 Abs. 1 zu führenden Büchern (Buchungsbelege).“

Jedes Unternehmen muss sich informieren, welche Gesetze in der eigenen Branche Anwendung finden.

Vernichtungszertifikat dokumentiert die Einhaltung der Richtlinien und sollte für jede Vernichtung ausgestellt werden.