Bundesamt für Sicherheit in der Informationstechnik

M 2.245 Ermittlung der rechtlichen Einflussfaktoren für die elektronische Archivierung

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: Archivverwalter, IT-Sicherheitsbeauftragter

Für die Aufbewahrung bestimmter Informationen bestehen verschiedene rechtliche Vorgaben, deren Nichteinhaltung zivil- oder strafrechtliche Konsequenzen haben kann. Daher sollten sich die Verantwortlichen informieren, welche rechtlichen Vorgaben in ihrem Fall anzuwenden sind. Hieraus ergeben sich Anforderungen für die Gestaltung des Archivierungskonzepts, die bei der Planung elektronischer Archivierung berücksichtigt werden müssen. Dies betrifft unter anderem

  • die Mindestaufbewahrung aus steuerlichen, haushaltsrechtlichen oder sonstigen Gründen,
  • Höchstaufbewahrungsdauer aus Datenschutzgründen,
  • Zugriffsrechte für Externe, wie z. B. Steuerbehörden, sowie
  • Qualität von digitalen Signaturen.

Die anzuwendenden rechtlichen Grundlagen sind im Einzelfall zu klären.

Im Folgenden werden einige Quellen genannt, die in Deutschland typischerweise zu berücksichtigen sind:

  • Bürgerliches Gesetzbuch ( BGB )
    Hier werden insbesondere Anforderungen an die Rechtsgültigkeit von Dokumenten im Zivilrecht gestellt. Das BGB definiert auch Verjährungsfristen, z. B. für Schadenersatz aus unerlaubter Handlung.
  • Zivilprozessordnung (ZPO)
    Analog zum BGB wird durch die ZPO geregelt, welche Dokumente als Urkunde anerkannt werden müssen, beispielsweise aufgrund einer eigenhändigen Unterschrift oder einer qualifizierten digitalen Signatur.
  • Handelsgesetzbuch (HGB)
    Hier werden Anforderungen an die Ordnungsmäßigkeit und Revisionsfähigkeit der Geschäftstätigkeit gestellt. Dies umfasst auch bestimmte Aufbewahrungsfristen für Geschäftsdokumente.
  • Grundsätze ordnungsmäßiger Datenverarbeitung (GoDV)
    Die GoDV sind selbst keine gesetzliche Vorschrift, sondern hergeleitet aus den im HGB definierten Grundsätzen ordnungsmäßiger Buchführung. Sie sind als de facto-Standard für die DV-Revision in Unternehmen zu verstehen.
  • Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU)
    Das Bundesministerium der Finanzen hat die in den GoDV vorgesehenen Revisionsanforderungen im Rahmen der GDPdU präzisiert. Dies betrifft hauptsächlich alle steuerlich relevanten digital vorliegenden Dokumente.
    Hierbei wird u. a. gefordert, dass alle zur Auswertung der Daten notwendigen Informationen wie Dateistruktur, Datenfelder, interne und externe Verknüpfungen in maschinell auswertbarer Form zur Verfügung stehen müssen.
  • Gesetze und Vorschriften zum Schutz personenbezogener Daten
    Sofern personenbezogene Daten archiviert werden, müssen die hierfür geltenden Gesetze und Vorschriften eingehalten werden. Dazu gehören vor allem das Bundesdatenschutzgesetz ( BDSG ) und die entsprechenden Gesetze der Länder.

Weiterhin gibt es Gesetze und Vorschriften, die speziell für Behörden und in der Verwaltung zu beachten sind, beispielsweise:

  • Bundesarchivgesetz und die entsprechen Landesarchivgesetze,
  • Registraturrichtlinie für das Bearbeiten und Verwalten von Schriftgut in Bundesministerien (RegR),
  • Empfehlungen des Bundesarchivs zur Aussonderung elektronischer Akten im Konzept zur Aussonderung elektronischer Akten der Koordinierungs- und Beratungsstelle der Bundesregierung für Information in der Bundesverwaltung (Schriftenreihe der KBSt, Band 40).

Organisationsspezifisch gelten darüber hinaus zahlreiche weitere gesetzliche und organisationsinterne Regelungen (z. B. Vorschriften für Sozialversicherungsträger, Krankenhäuser, Pharmaindustrie, Militär oder Kreditwesen), die im Einzelfall ermittelt werden müssen. Wesentliche Regelungskriterien sind üblicherweise die Aufbewahrungsdauer sowie der Vertraulichkeits- und Integritätsbedarf, wobei bei letzteren neben der Stärke auch die Zeitdauer des Schutzbedarfs eingeht.

Für die öffentliche Verwaltung besteht darüber hinaus die gesetzliche Verpflichtung, auch in digitaler Form vorliegende Dokumente den zuständigen Archiven anzubieten (Anbietungspflicht).

Prüffragen:

  • Sind die rechtlichen Vorgaben ermittelt und bei der Planung der elektronischen Archivierung berücksichtigt?

  • Sind die Mindestaufbewahrungsdauer, die Höchstaufbewahrungsdauer und die Zugriffsrechte auf zu archivierende Dokumente ermittelt?

  • Öffentliche Verwaltung: Werden digitale Dokumente den zuständigen Archiven angeboten (Anbietungspflicht)?

Stand: 13. EL Stand 2013