Nach der Systemabschaltung von Altsystemen: Wer ist eigentlich verantwortlich für die Daten?
Emanuel Böminghaus, Legacy System Experte, Geschäftsführer AvenDATA
Emanuel Böminghaus
Legacy System Experte
Geschäftsführer AvenDATA
Geschäftsführer AvenDATA
Die Abschaltung eines Altsystems ist oft ein technischer Meilenstein – Projekte gelten als abgeschlossen, Schnittstellen werden getrennt, Server deaktiviert. Doch was bleibt, sind die Daten. Und mit ihnen eine zentrale Frage: Wer trägt eigentlich die Verantwortung für diese Informationen, wenn das ursprüngliche Altsystem nicht mehr existiert?
In der Praxis kommt es nach der Stilllegung von Altsystemen immer wieder zu Unklarheiten. IT-Abteilungen sehen sich nicht mehr zuständig, Fachbereiche verlieren den Zugriff, Datenschutzbeauftragte fordern Löschung und Compliance-Verantwortliche verlangen gleichzeitig Aufbewahrung. Dieses Spannungsfeld lässt sich nur auflösen, wenn Zuständigkeiten frühzeitig und eindeutig geregelt werden.
Verantwortung endet nicht mit der Systemabschaltung
Auch wenn ein Altsystem technisch abgeschaltet ist, bleiben die zugehörigen Daten inhaltlich, rechtlich und organisatorisch relevant. Geschäftsdokumente, Transaktionen, Verträge oder Personalinformationen unterliegen weiterhin gesetzlichen Aufbewahrungsfristen, Datenschutzvorgaben und potenziellen Prüfpflichten. Das bedeutet: Die Verantwortung für diese Daten verlagert sich, aber sie verschwindet nicht.
Ein häufiger Fehler ist es, anzunehmen, dass mit dem Abschalten des Altsystems auch die Verantwortung automatisch an die IT übergeht – oder dort endet. Tatsächlich sind meist mehrere Stellen betroffen, die jeweils unterschiedliche Perspektiven mitbringen.
Die Rolle der IT
Die IT ist in der Regel für die technische Stilllegung zuständig – also für das sichere Abschalten der Infrastruktur, die Migration oder Archivierung der Daten und das Auflösen von Zugriffswegen. Auch das Bereitstellen einer Archivlösung für das ehemalige Altsystem fällt häufig in ihren Aufgabenbereich. Allerdings: Die IT ist nicht verantwortlich für die fachliche Bewertung der Daten oder deren rechtliche Relevanz. Sie kann technische Maßnahmen umsetzen, trägt aber keine inhaltliche Hoheit.
Die Verantwortung der Fachabteilungen
Fachabteilungen sind inhaltlich für die Entstehung, Nutzung und Interpretation der Daten aus dem Altsystem verantwortlich. Das gilt auch nach dessen Abschaltung. Sie wissen, welche Daten relevant sind, welche Dokumente aufbewahrt werden müssen und was im Einzelfall gelöscht werden kann. Deshalb sollten Fachbereiche in den Archivierungsprozess aktiv eingebunden sein – insbesondere bei der Festlegung von Datenumfang, Zugriffsrechten und Aufbewahrungsfristen.
Nach der Archivierung bleibt die inhaltliche Verantwortung bei der jeweiligen Fachabteilung, auch wenn der Zugriff nur noch lesend erfolgt. Wird diese Verantwortung nicht klar geregelt, kommt es im Ernstfall zu Zuständigkeitslücken – beispielsweise bei Betriebsprüfungen oder internen Anfragen.
Datenschutz und Löschpflichten
Der Datenschutzbeauftragte ist verpflichtet, die Einhaltung der Speicherbegrenzung und der Rechte betroffener Personen zu überwachen. Auch nach einer Archivierung muss sichergestellt sein, dass personenbezogene Daten aus Altsystemen nicht unbegrenzt gespeichert werden, sondern nach Ablauf definierter Fristen gelöscht oder anonymisiert werden können.
Hierfür braucht es abgestimmte Löschkonzepte und Zuständigkeiten – insbesondere für die Entscheidung, welche Daten aus dem Altsystem archiviert und welche gelöscht werden sollen. Die Datenschutzverantwortung liegt nicht bei der IT, sondern in der Regel bei der Fachabteilung in Abstimmung mit dem Datenschutzbeauftragten.
Compliance, Prüfung und Haftung
Compliance- und Rechtsabteilungen haben ein besonderes Interesse daran, dass archivierte Daten aus Altsystemen vollständig, unverändert und zugänglich bleiben. Sie tragen Verantwortung gegenüber Aufsichtsbehörden, Wirtschaftsprüfern oder Gerichten. Insbesondere bei steuerlich relevanten Daten oder potenziellen Rechtsstreitigkeiten ist der Zugriff auf historische Informationen entscheidend.
Die Compliance-Abteilung sollte daher eng mit IT und Fachbereichen zusammenarbeiten, um sicherzustellen, dass alle relevanten Regelwerke eingehalten werden – etwa GoBD, DSGVO, HGB oder branchenspezifische Vorgaben. Letztlich sind es oft die Geschäftsführer oder Vorstände, die im Falle einer Pflichtverletzung haftbar gemacht werden – auch Jahre nach der Abschaltung eines Altsystems.
Fazit: Klare Zuständigkeiten vermeiden teure Missverständnisse
Die Verantwortung für Daten endet nicht mit der Abschaltung eines Altsystems. Sie verteilt sich auf mehrere Schultern – IT, Fachbereiche, Datenschutz und Compliance – und muss klar geregelt sein. Wer diese Rollen nicht aktiv definiert, riskiert Unklarheiten, Verstöße gegen gesetzliche Auflagen oder den Verlust wichtiger Informationen.
Archivierung ist deshalb nicht nur eine technische Aufgabe, sondern ein interdisziplinäres Projekt. Nur durch klare Verantwortlichkeiten, abgestimmte Prozesse und transparente Dokumentation lässt sich sicherstellen, dass die Daten auch nach der Stilllegung eines Altsystems korrekt behandelt werden – rechtssicher, nachvollziehbar und zugänglich.
Sie planen ein Altsystem zu archivieren?
