Jusletter IT

Wer sich beruflich mit der Ordnungsmässigkeit in der Datenverarbeitung beschäftigt stellt fest, dass die Herausforderungen in den letzten Jahren deutlich gewachsen sind: Immer mehr gesetzliche und regulative Anforderungen gilt es zu erfüllen, exponentiell wachsende Datenmengen zu überblicken und erhöhte Risiken im Umgang mit Informationen angemessen zu bewältigen. Umso willkommener ist deshalb der eben erschienene «Leitfaden Information Governance», der sich wie schon sein Vorgänger «records management « (2008) an Praktiker richtet und der ausdrücklich dem «unternehmerischen Umgang» mit Informationen verpflichtet ist. Was unter anderem heisst: Im Unterschied zu früher «müssen wir uns vom Konzept des vollständig kontrollierten «System of Records» verabschieden ... (es) ist heute schlicht nicht mehr umsetzbar», sprich zu teuer. Wo aber ist der Bereich zwischen dem Machbaren und dem Notwendigen zu suchen? Auf knapp 300 Seiten versuchen die Autoren Anleitung und Orientierung zu geben. Das Konzept der Information Governance, die an die Stelle der Recordsverwaltung trifft, liefert dazu den zeitgemässen Rahmen.

Der Begriff Information Governance (IG) leitet sich von Corporate Governance ab, die ein Set von Regeln für die Arbeit des Verwaltungsrats (VR) einer Unternehmung beschreibt. Sie schreiben u.a. vor, dass eine Beurteilung der Unternehmensrisiken vorzunehmen und ein Internes Kontrollsystem (IKS) zu etablieren ist. Zu den Unternehmensrisiken zählen der Verlust oder die Preisgabe von Informationen an Unberechtigte, der nicht bestimmungsgemässe Gebrauch, das Nichtvorhandensein oder der Verlust der Beweisqualität von vorhandener Information. Information wird vom VR als ein strategisch bedeutender Produktionsfaktor betrachtet, den die IG zu schützen und zu stärken hat.

Darüber hinaus untersteht jedes Unternehmen einer Reihe von gesetzlichen und regulativen Anforderungen, die ebenfalls Unternehmensdaten und -informationen betreffen: Die Sicherstellung der Compliance ist die zweite zentrale Aufgabe der IG.

Die operative Unternehmensführung muss also angesichts begrenzter Ressourcen entscheiden, wie Unternehmensinformation sowohl im Hinblick auf die Unternehmensstrategie wie auch die Complianceanforderungen effektiv zu handhaben ist. Der Leitfaden will die Grundlagen bereitstellen, damit die richtigen Entscheidungen getroffen werden können.

Im Kapitel «Rechtliche Anforderungen» bietet das Buch auf rund 70 Seiten eine kompakte, auch für Nichtjuristen gut lesbare und verständliche Darstellung dieses umfangreichen Themas. Die wichtigste gesetzliche Grundlage für das Aufbewahrungsrecht von Informationen ist nach wie vor die Geschäftsbücherverordnung (GeBüV). Sie nennt die Grundsätze einer ordnungsgemässen Aufbewahrung von Informationen, wozu die Sorgfaltspflicht, Verfügbarkeit, Lesbarkeit sowie die Trennung von aktueller und archivierter Information zählen. Bei den Aufbewahrungsmedien wird klar festgehalten, dass alle Medien zugelassen sind, also auch veränderbare. Voraussetzung ist, dass technische Verfahren eingesetzt werden, welche die Integrität der Daten sicherstellen – welche dies sein sollen, lässt das Obligationenrecht hingegen offen.

Die Autoren weisen exemplarisch auf zahlreiche weitere Vorschriften in anderen Rechtsgebieten hin, die sich ebenfalls mit der Erstellung von Aufzeichnungen, Unterlagen und Dokumentationen sowie deren Aufbewahrung befassen. Bei allen Unterschieden geht es dabei doch letztlich immer um die Gewährleistung der Ordnungsmässigkeit, deren Nachweis von unterschiedlichsten Stakeholdern jederzeit eingefordert werden kann. IG ist daher weit zu fassen mit Blick auf die Auskunftsansprüche von Interessegruppen, das Bestehen von Sonderprüfungen, die Vermeidung von Beweisnachteilen in einem Rechtsstreit oder entsprechender Sanktionen aus dem Prozessrecht.

Aber nicht nur Unternehmen, auch Behörden und Verwaltungsstellen sind verpflichtet, über alle entscheidungsrelevanten Vorgänge Aufzeichnungen zu führen. Auch für sie gelten die Anforderungen an die Ordnungsmässigkeit. Im Bereich des Rechnungswesens sind diese explizit mit Vollständigkeit, Richtigkeit, Rechtzeitigkeit und Nachprüfbarkeit umschrieben.

Die sorgfältige Ordnung, Klassierung und systematische Inventarisierung von Daten erhält schliesslich durch den Datenschutz eine besondere und überraschende Bedeutung: So kann ein Archiv auch die Eigenschaft einer Datensammlung erhalten, die den Inhaber der Datensammlung der Auskunftspflicht unterstellt. Zudem kann es notwendig werden, Personendaten, die aus gesetzlichen Gründen nicht mehr gespeichert werden dürfen, gezielt zu vernichten. Sollte ein Recht auf Klageeinreichung durch Datenschutz- und Konsumentenorganisationen in Kraft treten, wie das heute postuliert wird, so ist künftig mit einer deutlichen Verschärfung von Strafen auch bei fahrlässiger Nichtbeachtung der Datenschutzregeln zu rechnen.

Bis IG im Unternehmen auch tatsächlich im betrieblichen Alltag gelebt wird, braucht es Anstrengungen auf allen Stufen der Organisation und über alle Hierarchien hinweg. Als Vorgehensweise zur Implementierung von IG in die Unternehmung empfehlen die Autoren die Anwendung der MATRIO-Methode, die sie sowohl im Kapitel «Grundlagen» und später ausführlicher im Kapitel «Umsetzung» umfassend vorstellen. Im Wesentlichen handelt es sich dabei um eine systematische Sammlung von Handlungsanweisungen für die Abwicklung von IG-Projekten, geordnet nach Themenblöcken und mit Checklisten. Die Methode erleichtert es, die Übersicht über die komplexe Materie zu behalten und unterstützt die Verantwortlichen dabei, ausführbare Projektpläne zu erstellen. Sie werden in der Regel dennoch nicht darum herumkommen, die Methode an die spezifischen Bedürfnisse ihrer eigenen Unternehmung anzupassen. Die dafür notwendige Flexibilität ist bei MATRIO bereits vorgesehen.

Die Autoren heben drei Funktionen hervor, die sich für die ordnungsgemässe Aufbewahrung als unverzichtbar herausgestellt haben. Es sind dies die Verwaltung der Aufbewahrungsfristen, die Ablage und das Auffinden anhand eines Ordnungssystems, und die Zusammenführung relevanter Dokumente eines Geschäftsfalles in Dossiers. Angesichts der zunehmenden Mobilität der Daten, der Verwischung der Grenzen zwischen Unternehmens- und privaten Informationen, des Einsatzes von Cloud-Diensten und Social Media sieht man ohne weiteres ein, dass diese Grundfunktionen heute weniger denn je auf einfache Weise implementierbar sind.

Die IG wird mit Hilfe von IT-Systemen umgesetzt, womit sich zwangsweise Fragen der Compliance der eingesetzten Systeme ergeben. In diesem Bereich erhalten die sog. «Soft-Law»-Vorgaben eine grosse Bedeutung: Als ordnungsgemäss wird häufig das bezeichnet, was sich als «Best-Practice» in den Unternehmungen durchgesetzt hat. Eine Liste von 15 bewährten Kriterien für organisatorisch-technische «Best Practices» auf Seite 191 ist deshalb von grossem Wert für alle, die praktische Aufgaben im Zusammenhang mit IG zu lösen haben.

Eine ausführliche Würdigung erhalten die Themen «e-Health» und «e-Discovery», wobei man sich fragt, ob dies wirklich in diesem Umfange gerechtfertigt ist. Gleiches gilt für Fallstudien, die man eher in einem Lehrbuch der Betriebswirtschaft suchen würde als in einem Leitfaden für Praktiker. Vielleicht ist an dieser Stelle ein kritisches Wort zum gesamten Kapitel «Umsetzung» erlaubt: Es behandelt wohl die meisten relevanten prozeduralen und auch technischen Fragestellungen der Einführung und des Betriebs von IG. Wer allerdings sicher sein will, dass er nichts verpasst, muss rund 140 Seiten der Kapitel «Grundlagen» und «Umsetzung» durchackern – ein wenig mehr Systematik hätte hier viel dazu beigetragen, den Leifaden als Nachschlagewerk benutzbarer zu machen.

Die Autoren haben sich mit dem Leitfaden hohe Ziele gesetzt: Nicht nur die zahlreichen Probleme, die sich im Zusammenhang mit der IG stellen, wollten sie darlegen, sondern ebenso Hand bieten zu konkreten Lösungen. Am besten genügen sie diesem Anspruch dort, wo sie den Mut aufbringen, komplizierte Sachverhalte so weit wie vertretbar auf das Wesentliche zu reduzieren. Namentlich in den Bereichen der Gesetzgebung und der Darstellung von betrieblichen «Best Practices» gelingt es ihnen in beispielhafter Weise.

Informationen zum Werk: Bruno Wildhaber (Hrsg.), Leitfaden Information Governance, Kompetenzzentrum Records Management (KRM), 1. Auflage (2015), 285 Seiten, gebunden, CHF 95.–, ISBN 3-9524430-0-2.

---

 

Dr. Phil. Pierre Brun, Jg. 1952, leitete als Partner bei PricewaterhouseCoopers den Beratungsbereich Information Governance. Seit 2009 ist er selbständig als Unternehmensberater und Dozent an der ZHAW tätig.