Beim Umgang mit sensiblen Daten stellt der Gesetzgeber hohe Anforderungen. Das gilt auch für die Vernichtung von wichtigen Unterlagen. Von Stefan Loos
Gewerbetreibende sind verpflichtet, geschäftliche Unterlagen sechs oder zehn Jahre aufzubewahren. Im Steuerrecht werden die Aufbewahrungspflichten in der Abgabenordnung (AO) geregelt, im Handelsrecht im Handelsgesetzbuch (HGB). Darüber hinaus gibt es auch Aufbewahrungsfristen aus anderen Rechtsgebieten wie dem Versicherungsrecht (Produkthaftpflicht). Die Daten müssen im Original sicher und geordnet aufbewahrt werden, also geschützt vor ungewollter Einsicht oder Beeinträchtigungen wie Feuer, Wasser und Feuchtigkeit.
Sichere Aufbewahrung
Interessant dabei: Daten obliegen auch nach dem Ablauf der Aufbewahrungsfrist einem besonderen Schutz, sie müssen daher laut Gesetz datenschutzgerecht entsorgt werden. Daten, die es zu entsorgen gilt, sollten daher auch in den eigenen Räumlichkeiten zugriffssicher aufbewahrt werden. Dafür bieten sich spezielle rollbare und verschließbare Sicherheitsbehälter an. Sie werden von Dienstleistungsunternehmen zur Verfügung gestellt, die auf Aktenvernichtung spezialisiert sind.
Sobald die Daten abgeholt werden, wird der komplette Vernichtungsprozess lückenlos dokumentiert: vom Abtransport beim Kunden bis zur Schredderanlage. Der Kunde erhält darüber auf Grundlage des Bundesdatenschutzgesetzes (BDSG) ein Datenträger-Vernichtungszertifikat, das von fünf verschiedenen Personen gegengezeichnet wurde – sicher ist sicher. Qualifizierte Anbieter setzen schon beim Transport eine telematikgestützte Fahrzeugüberwachung ein, bei der die Fahrtstrecke aufgezeichnet wird.
Die Datenträger werden in Hochleistungszerkleinerungsanlagen verpresst und zermahlen. Das ist wirtschaftlicher und umweltschonender als die früher übliche Vor-Ort-Vernichtung. Die Papierschnipsel einer Großschredderanlage werden wiederverwertet.
Je nach Sensibilität der Daten fordert die DIN 32757 unterschiedliche Sicherheitsstufen von 1 bis 5. Je höher die Stufe, desto kleiner die erlaubte Partikelgröße. Stufe 4 (max. zwei mal 15 Millimeter) erfüllen nur noch Hochleistungszerkleinerungsanlagen, wie sie auch vom Bundesamt für Sicherheit in der Informationstechnik (BSI) für die sichere Vernichtung von Festplatten empfohlen werden.
Verantwortung der Unternehmen
Kameraüberwachung, Sicherheitszäune, Alarmanlage und Zutrittskontrolle sind für renommierte Entsorgungsunternehmen unverzichtbar, jedoch längst nicht überall Standard. Daher ist es für Datenschutzbeauftragte von enormer Bedeutung, wem sie ihre Daten zur Archivierung, Auslagerung oder Vernichtung anvertrauen. Letztlich trägt das Unternehmen selbst dafür die Verantwortung, dass das von ihm beauftragte Dienstleistungsunternehmen die erforderlichen Kriterien erfüllt.
Das gilt insbesondere auch bei der Auslagerung zu archivierender Daten. Denn nicht jede muffige Lagerhalle ist ein geeignetes Datenarchiv. Zugriffsberechtigung, Brandschutz, Überwachung der Raumtemperatur und Feuchtigkeit: Das sind wichtige Prüfkriterien für die sinnvolle Auslagerung eines Datenbestands. Bei Archivbeständen, auf die öfter zugegriffen werden soll, müssen die Daten mit der nötigen Indextiefe versehen werden, sodass sie bei Bedarf auch schnell aufgefunden werden. So wird vermieden, dass man dann mühsam eine ganze Datenpalette nach einem einzigen Aktenordner durchstöbert. Eine zeitgemäße Archivierung wird heute über ein Webportal organisiert, um dadurch das Datenmanagement zu erleichtern.
Aufbewahrungspflichten
Die Aufbewahrungspflicht ist Teil der steuerlichen und handelsrechtlichen Buchführungs- und Aufzeichnungspflicht. Damit muss jeder, der nach Steuer- oder Handelsrecht zum Führen von Büchern und Aufzeichnungen verpflichtet ist, sie auch zwingend aufbewahren.
Handelsrechtlich verpflichtet § 257 Handelsgesetzbuch (HGB) zur Aufbewahrung von Geschäftsunterlagen. Nach den Vorschriften des Steuerrechts (insbesondere § 147 Abgabenordnung – AO) sind darüber hinaus alle diejenigen zur Buchführung und Führung von Aufzeichnungen verpflichtet, die nach anderen Gesetzen buchführungspflichtig sind. Mit „anderen Gesetzen“ ist nicht nur das HGB gemeint, sondern eine Vielzahl von Gesetzen und Verordnungen, die für bestimmte Berufe oder Tätigkeiten Aufzeichnungs- und Buchführungspflichten vorschreiben.
