26.01.2011, 06:00 Uhr
Rechtliche Aspekte der Archivierung
Die elektronische Archivierung von Dokumenten steht im Spannungsverhältnis zu diversen gesetzlichen Bestimmungen und bereitet Schweizer Unternehmen regelmässig Kopfzerbrechen. Eine Hilfestellung.
Der Autor ist auf IT-Recht spezialisierter Rechtsanwalt bei Wenger & Vieli aus Zürich Das Problem ist chronisch: Noch Mitte 2009 gaben in einer Computerworld-Umfrage 55 Prozent der Befragten zu, keine Ahnung davon zu haben, dass es überhaupt gesetzliche Vorgaben für die Archivierung von E-Mails gibt. Das mag sich inzwischen geändert haben. 9 Prozent der Befragten räumten jedoch damals schon ein, wider besseres Wissen keine elektronischen Nachrichten zu archivieren, weil ihnen dies zu umständlich sei – und daran hat sich bis heute wenig geändert. Für viele Schweizer Unternehmen ist es wohl schwierig, sich in der bestehenden Normenflut zurechtzufinden. Renitenz führt jedoch zu Risiken.
Die gesetzlichen Vorgaben
Bei der elektronischen Archivierung von besonderer Wichtigkeit sind Vorschriften des Schweizerischen Obligationenrechts (Art. 957–963) sowie der Geschäftsbücherverordnung. Darüber hinaus müssen Bestimmungen aus zahlreichen weiteren Rechtsbereichen beachtet werden, insbesondere aus dem Datenschutzrecht, dem Strafrecht, dem Steuerrecht und dem Sozialversicherungsrecht. Gegebenenfalls haben Schweizer Unternehmen auch ausländische Gesetze zu befolgen. Sofern seine Wertpapiere an US-Börsen gehandelt werden, kann für ein Schweizer Unternehmen etwa der Sorbanes-Oxley Act (US-Gesetz) relevant werden. Die meisten einschlägigen Vorschriften betreffen nicht nur die elektronische Archivierung, sondern die Archivierung ganz allgemein. Einzelne Vorschriften können im Rahmen der elektronischen Archivierung aber eine besondere Bedeutung erlangen. Explizit auf die elektronische Archivierung Bezug genommen wird etwa in Art. 2 Abs. 2 der Geschäftsbücherverordnung. Dort steht, dass die Grundsätze der ordnungsgemässen Datenverarbeitung einzuhalten sind, sofern Geschäftsbücher, Buchungsbelege und Geschäftskorrespondenz elektronisch oder auf vergleichbare Weise erfasst, geführt und aufbewahrt werden.
Die Geschäftsbücherverordnung
Zentral für die elektronische Archivierung von Dokumenten ist der Grundsatz der Integrität. Danach muss unter anderem sichergestellt sein, dass die archivierte Geschäftskorrespondenz nicht abgeändert werden kann, ohne dass sich dies feststellen lässt. Die Archivierung von geschäftsbezogenen E-Mails durch blosses Speichern auf der Festplatte genügt also grundsätzlich nicht. Auch muss Geschäftskorrespondenz so aufbewahrt werden, dass sie innert «angemessener Frist» eingesehen und geprüft werden kann. Was in diesem Zusammenhang als angemessen gilt, muss im Einzelfall beurteilt werden. Eine Woche sollte in der Regel aber nicht überschritten werden. Soweit für die Einsicht und Prüfung der Geschäftskorrespondenz erforderlich, sind entsprechendes Personal und Hilfsmittel verfügbar zu halten. Archivierte Informationen sind von aktuellen Informationen zu trennen bzw. so zu kennzeichnen, dass eine schnelle Unterscheidung möglich ist. Die Verantwortung für die archivierten Informationen ist klar zu regeln und zu dokumentieren. Die Aufbewahrung hat auf eine geordnete und systematische Art und Weise zu erfolgen, damit sich bei Bedarf jedes einzelne Aktenstück herausgreifen lässt. Die Archivierung muss einer bestimmten, frei wählbaren Systematik folgen. Schliesslich ist für die archivierten Informationen eine Zugriffskontrolle zu implementieren und die Daten sind vor unbefugtem Zugriff zu schützen. Zutritte zu den Räumlichkeiten bzw. Speichergeräten und Speichermedien, in denen die archivierten Daten aufbewahrt sind, sowie Zugriffe auf die Daten sind aufzuzeichnen.
Differenzierte Betrachtungsweise
Der juristische Laie hat regelmässig grosse Mühe, mit den unzähligen Vorschriften über die elektronische Archivierung zurechtzukommen. Die Rechtslage ist unübersichtlich. Zudem geben diverse Publikationen ein verzerrtes Bild über die bestehenden Risiken. Es werden darin teilweise unreflektiert strafrechtliche Bestimmungen zitiert und die drakonischen Folgen bei einer Verletzung dieser Bestimmungen überbetont. Das kann dazu führen, dass potenzielle Käufer einer Archivierungslösung eine falsche Risikoeinschätzung vornehmen und Investitionen in einem nicht gerechtfertigten Umfang tätigen. Vor allem bei grösseren Investitionen, die aus Gründen der Compliance geplant sind, ist es ratsam, sich vorher juristisch darüber beraten zu lassen, was wirklich nötig ist. Auf der anderen Seite kann ein sorgloser Umgang mit den gesetzlichen Vorgaben für die elektronische Archivierung zu Risiken führen, die nur sehr schwer quantifizierbar sind. Die Palette möglicher Folgen ist breit. Neben Reputationsschäden sind insbesondere zivilrechtliche Klagen sowie die Einleitung von Strafverfahren möglich. Beachtenswert ist, dass bis zu einem gewissen Grad auch der Verwaltungsrat für die Einhaltung von wichtigen Bestimmungen verantwortlich ist. Die Mitglieder des Verwaltungsrats können – bei gegebenen Voraussetzungen – auch persönlich zur Rechenschaft gezogen werden.
Archivierung privater E-Mails
Was oft vergessen wird: Persönliche Daten über Arbeitnehmer dürfen nur unter bestimmten Voraussetzungen archiviert werden. Die für den Arbeitgeber einfachste rechtlich zulässige Lösung besteht darin, den Arbeitnehmern den privaten E-Mail-Verkehr schlechthin zu verbieten. Sofern dieses Vorgehen dem Arbeitgeber zu restriktiv ist, sollte er in einem Nutzungsreglement zumindest den Empfang, die Archivierung, die Löschung und allfällige Einsichtsrechte des Arbeitgebers für private E-Mails regeln. Dieses Nutzungsreglement sollte kurz und verständlich sein. Der Arbeitnehmer muss sich ein Bild darüber verschaffen können, welche Grundsätze betreffend der Archivierung von E-Mails gelten. Damit die rechtliche Verbindlichkeit des Nutzungsreglements nicht infrage gestellt werden kann, sollte es der Arbeitnehmer schriftlich bestätigen. Das kann beispielsweise im Rahmen eines Arbeitsvertrags geschehen, der auf das geltende Nutzungsreglement Bezug nimmt. Bei komplexen oder umfangreichen Nutzungsreglements können Schulungen, allenfalls auch Kontrollen, angebracht sein.
Besser zu lange als zu kurz
Diverse Vorschriften legen Mindestzeitspannen für die Archivierung von bestimmten Dokumenten vor. So verpflichtet Art. 962 Abs. 1 des Schweizerischen Obligationenrechts etwa dazu, Geschäftsbücher, Buchungsbelege und Geschäftskorrespondenz während 10 Jahren nach dem Ablauf des Geschäftsjahrs aufzubewahren. Einzelne Steuergesetze sehen teilweise sogar eine Aufbewahrungsfrist von mindestens 15 Jahren vor. Noch länger sollten Dokumente aufbewahrt werden, die in allfälligen rechtlichen Auseinandersetzungen die vorgebrachten Behauptungen beweisen können. Denn Beweisnotstand kann die Siegeschancen in Prozessen bekanntlich massiv beeinträchtigen. Andererseits limitieren einige Gesetze die Aufbewahrungsdauer von Daten. So kann namentlich die Archivierung von Dokumenten während einer unverhältnismässig langen Dauer die Persönlichkeit der betroffenen Person verletzen und damit gegen die Datenschutzgesetzgebung verstossen. Wie soll ein Unternehmen also mit dem augenscheinlichen Widerspruch zwischen den verschiedenen Bestimmungen umgehen? Sofern es sich korrekt verhalten möchte, bleibt ihm nichts anderes übrig, als unter Berücksichtigung der anwendbaren Bestimmungen verschiedene Datenkategorien zu bilden und die jeweiligen Daten unterschiedlich lange aufzubewahren. Ein solches Vorgehen kann sich aber als ausgesprochen aufwendig erweisen. Sofern aus Überlegungen der Praktikabilität auf eine umfassende Auftrennung der Daten verzichtet wird, ist es in der Regel besser, die archivierten Dokumente zu lange als zu kurz aufzubewahren.
Rechtliche Vorgaben richtig umsetzen
Ein sorgloser Umgang mit den gesetzlichen Vorgaben kann zu Risiken führen. Das haben Sie in rechtlicher Hinsicht zu beachten:
- Die elektronische Archivierung von Dokumenten ist in diversen Gesetzeserlassen geregelt. Wichtige Grundsätze finden sich in den Artikeln 957–963 des Schweizerischen Obligationenrechts sowie der Geschäftsbücherverordnung.
- Die Rechtslage ist für den juristischen Laien jedoch unübersichtlich. Vor jeder grösseren Investition in ein Archivierungssystem sollten Sie deshalb die konkrete Rechtslage prüfen lassen.
- Entweder sind private Mails in den Unternehmen gänzlich zu verbieten oder deren Archivierung ist in einem speziellen Nutzungsreglement zu regeln.
- Die Länge der Archivierungsdauer wird in verschiedenen Gesetzen unterschiedlich festgelegt. In der Regel ist es weniger riskant, die archivierten Dokumente zu lange als zu kurz aufzubewahren.