Die richtigen Daten richtig behandeln
Personenbezogene Daten müssen gelöscht werden, sobald ein Unternehmen sie nicht mehr zwingend benötigt. Das verlangt das deutsche Datenschutzrecht. Daten müssen revisionssicher aufbewahrt werden, fordern hingegen immer öfter Regulierer oder Betriebsprüfer, die nicht selten Massenauswertungen von Buchungsbelegen durchführen wollen. Der Konflikt zwischen schnellem und zuverlässigem Löschen einerseits und revisionssicherer Speicherung andererseits scheint vorprogrammiert, meint Derk Fischer, Partner im Bereich Risk Assurance Solutions (RAS) von PwC.
Auswahl von Fragen im Zusammenhang mit Datenhaltung
- Herrscht Transparenz über die Datenhaltung im Unternehmen?
- Werden Datenklassen sauber identifiziert und parametrisiert?
- Werden nur Daten gespeichert, deren Erhebung zulässig ist?
- Unterliegt die Weitergabe von Daten einer strengen Überwachung?
- Werden aufbewahrungspflichtige Dokumente revisionssicher vorgehalten?
- Werden nicht mehr benötigte personenbezogene Daten so zeitnah wie möglich datenschutzkonform gelöscht?
- Werden wann immer möglich Maßnahmen zur Anonymisierung der Daten ergriffen?
"Bei der Datenhaltung sitzen Verantwortliche derzeit zwischen allen Stühlen", fasst PwC-Experte Derk Fischer die Situation zusammen. Denn sie müssen nicht nur die widerstreitenden Interessen von Datenschützern und Betriebsprüfern unter einen Hut bringen. Vermehrt klopfen Datenschutzbeauftrage bei Unternehmen und Behörden an mit dem Verdacht, dass bestimmte Anwendungen für die Unternehmensplanung und -steuerung (Enterprise-Resource-Planning, ERP) Daten nur unzureichend löschen. Von den Unternehmen wollen die Datenschützer deshalb wissen, welche ERP-Anwendungen sie einsetzen.
Gelöscht ist nicht gelöscht
Die Datenschützer mahnen zur "Datensparsamkeit", nur die minimale Menge an Daten soll erhoben und gespeichert werden. Wenn personenbezogene Daten nicht mehr zwingend benötigt werden, sind sie konsequenterweise so zu löschen, das sie nicht wiederhergestellt werden können. Derk Fischer veranschaulicht das Problem: "Wer auf seinem eigenen Computer schon einmal in den elektronischen Papierkorb auf dem Desktop geschaut hat und längst gelöscht geglaubte Dokumente gefunden hat, der weiß, dass sich hinter der Softwarefunktion 'Löschen' nicht unbedingt ein technisches, unwiederbringliches Löschen verbirgt."
Unternehmen müssen deshalb sicherstellen, dass ihre IT-Systeme Funktionen für das Löschen von Daten vorhalten, die den Anforderungen des Bundesdatenschutzgesetzes (BDSG) genügen. Das Gesetz definiert in Paragraf 3 Absatz 4 Satz Nr. 5 das Löschen als "unkenntlich machen" gespeicherter personenbezogener Daten.
Löschvorgang muss dauerhaft und nachhaltig sein
Die reine Markierung von Daten als "gelöscht" reicht für die Erfüllung der gesetzlichen Anforderungen keinesfalls aus, betont IT-Spezialist Fischer. Auch ein logisches Löschen auf Ebene des Anwendungssystems ist nicht hinreichend, wenn die Daten auf Ebene des Datei- oder Datenbanksystems noch vorgehalten werden. Denn dann lässt sich entweder der Löschvorgang in der Anwendung umkehren oder über das Auslesen des Dateisystems oder der Datenbank auf die Daten zugreifen, so genannte "Data-Recovery"-Programme und -Prozeduren zeichnen sich eben dadurch aus, dass sie möglichst viele "alte" Daten wieder lesbar machen.
Wer wissen will, ob die Daten wirklich "gelöscht" wurden, muss teilweise tief in die Technik der Datenvernichtung einsteigen. Hinweise, wann Daten als gelöscht angesehen werden können, sind in DIN 32757 und DIN 33858 sowie den dort definierten Schutzklassen zu finden. Auch aus rechtlicher Sicht müssen IT-Anwendungen gewährleisten, dass Löschvorgänge dauerhaft sind und nachhaltig wirken. Stellt das eingesetzte Softwareprodukt keine geeigneten Verfahren zur Verfügung, müssen weiterführende Maßnahmen ergriffen werden.
Unternehmen brauchen den Überblick über ihre gespeicherten Daten
Nur Unternehmen, die eine klare und vollständige Landkarte über die gespeicherten Daten und deren Verknüpfungen besitzen, können zuverlässig entscheiden, welche Daten aufzubewahren sind und welche gelöscht werden müssen. Berücksichtigen müssen sie bei der Inventarisierung der Daten logische Verknüpfungen, die Zuordnung zu Prozessen, Speicherorten und IT-Systemen sowie die rechtliche Kategorisierung.
Zu handels- und steuerrechtlichen Zwecken aufzubewahrende Daten
- Handelsbücher
- Inventare
- Eröffnungsbilanzen
- Jahresabschlüsse
- Einzelabschlüsse
- Lageberichte
- Konzernabschlüsse
- Konzernlageberichte sowie die zu ihrem Verständnis erforderlichen Arbeitsanweisungen und sonstigen Organisationsunterlagen
- empfangene Handelsbriefe
- abgesandte Handelsbriefe
- Belege für Buchungen
Rechtsgrundlage: Paragraf 257 HGB, Paragraf 147 Abgabenordnung
Wenn die Entscheidungsgrundlage geschaffen ist, welche Daten gelöscht und welche möglicherweise aufbewahrt oder archiviert werden müssen, sind die Verfahren festzulegen. Dabei müssen Fach- und IT-Verantwortliche gemeinsam die Verfahren festlegen und deren Konformität mit den rechtlichen und betrieblichen Anforderungen gewährleisten.
Im Gespräch mit Derk Fischer, Partner im Bereich Risk Assurance Solutions (RAS) von PwC
Derk Fischer
Frage: Datenschützer misstrauen den ERP-Systemen, mit denen Unternehmen Steuerungsprozesse realisieren. Zu Recht?
Derk Fischer: Das lässt sich pauschal kaum beantworten. Unternehmen sollten aber ausgehend vom Verfahrensverzeichnis feststellen, ob die eingesetzten Anwendungssysteme datenschutzkonforme Löschfunktionen besitzen. So können sie sich auf etwaige Anfragen vorbereiten und sich rückversichern, dass sie den Anforderungen des BDSG genügen.
Frage: Sollten nicht die Hersteller der ERP-Systeme die Sicherheit bieten, den Anforderungen des Datenschutzes genüge zu tun?
Fischer: Die Verantwortung auf andere zu verlagern, ist in der aktuellen Diskussion wenig hilfreich. Aussagen wie "Das sollte unser Dienstleister gewährleisten" oder "Unser ERP-Programm bietet leider keine rechtskonformen Verfahren" werden eher als Ausrede oder als Zeichen für mangelndes Qualitätsbewusstsein ausgelegt. Aufsichtsbehörden unterscheiden nicht zwischen Verursacher und Verantwortlichem, im Ernstfall halten sie sich immer zuerst an den Verantwortlichen.
Frage: Was sollten Verantwortliche in den Unternehmen also tun?
Fischer: Dreierlei: Unternehmen müssen erstens die richtigen Daten verlässlich aufbewahren und archivieren, wie es HGB, Abgabenordnung und die unterschiedlichsten Regulierer fordern. Zweitens müssen sie, wie es der Datenschutz gebietet, nicht benötigte Daten schnell und zuverlässig löschen. Und drittens müssen sie sicherstellen, dass zur Speicherung wie zur Anonymisierung, Pseudonymisierung und Löschung die richtigen Verfahren zum Einsatz kommen.
