RECHT
18.12.2005, 17:25 Uhr
E-Archivierung ist nicht nur IT-Sache
Soll ein Papierarchiv durch ein elektronisches Archiv abgelöst werden, so gilt es, nicht nur die technischen, sondern auch die rechtlichen Aspekte zu berücksichtigen.
Um den Corporate-Governance-Anforderungen zu genügen, ist die Geschäftsleitung eines Unternehmens verpflichtet, mittels interner Kontrollsysteme und einem Risikomanagement die
finanziellen und operativen Risiken abzu-decken. Teil des internen Kontrollsystems ist die rechtskonforme Führung und Aufbewahrung der geschäftskritischen Informationen.
In der Schweiz finden sich die grund-legenden gesetzlichen Vorschriften betreffend der rechtskonformen Führung und Aufbewahrung von Geschäftsbüchern im Obligationenrecht (OR) und in der Geschäftsbücherverordnung (GeBüV). Seit die Vorschriften des OR über die kaufmännische Buchführung revidiert und gemeinsam mit der GeBüV im Jahr 2002 in Kraft gesetzt wurden, dürfen die Bücher, die Buchungsbelege und die Geschäftskorrespondenz auch elektronisch geführt und aufbewahrt werden. Der Medienbruch, der bis 2002 häufig mit der Archivierung der Geschäftsdokumente verbunden war, scheint der Vergangenheit anzugehören. Die unternehmensinternen Prozesse können optimiert werden, das damit verbundene Einsparungspotenzial scheint verheissungsvoll. Die vorhandenen Zweifel und Unsicherheiten betreffend der praktischen Umsetzung der noch relativ neuen Normen des OR und der GeBüV hindern zurzeit aber noch viele Unternehmen daran, das vorhandene Papierarchiv durch ein elektronisches Archiv abzulösen. Und das, obwohl häufig sogar sowohl elektronisch als auch in Papierform archiviert wird - elektronische Archive erleichtern durch ihre Suchfunktionen das Auffinden eines bestimmten Dokuments im unübersichtlichen Dschungel eines Papierarchivs.
finanziellen und operativen Risiken abzu-decken. Teil des internen Kontrollsystems ist die rechtskonforme Führung und Aufbewahrung der geschäftskritischen Informationen.
In der Schweiz finden sich die grund-legenden gesetzlichen Vorschriften betreffend der rechtskonformen Führung und Aufbewahrung von Geschäftsbüchern im Obligationenrecht (OR) und in der Geschäftsbücherverordnung (GeBüV). Seit die Vorschriften des OR über die kaufmännische Buchführung revidiert und gemeinsam mit der GeBüV im Jahr 2002 in Kraft gesetzt wurden, dürfen die Bücher, die Buchungsbelege und die Geschäftskorrespondenz auch elektronisch geführt und aufbewahrt werden. Der Medienbruch, der bis 2002 häufig mit der Archivierung der Geschäftsdokumente verbunden war, scheint der Vergangenheit anzugehören. Die unternehmensinternen Prozesse können optimiert werden, das damit verbundene Einsparungspotenzial scheint verheissungsvoll. Die vorhandenen Zweifel und Unsicherheiten betreffend der praktischen Umsetzung der noch relativ neuen Normen des OR und der GeBüV hindern zurzeit aber noch viele Unternehmen daran, das vorhandene Papierarchiv durch ein elektronisches Archiv abzulösen. Und das, obwohl häufig sogar sowohl elektronisch als auch in Papierform archiviert wird - elektronische Archive erleichtern durch ihre Suchfunktionen das Auffinden eines bestimmten Dokuments im unübersichtlichen Dschungel eines Papierarchivs.
RECHT: E-Archivierung ist nicht nur IT-Sache
Policies und Weisungen
Wird ein Archivierungsprojekt lanciert, muss neben der Evaluation der für das Unternehmen optimalen technischen Archi-vierungslösung die Frage geklärt werden, welche Dokumente auf Grund gesetzlicher Vorgaben, aus Gründen der Beweissicherung oder der internen Dokumentation in welcher Form aufzubewahren sind.
Die Vorschriften über die kaufmän-nische Buchführung dienen in erster Linie dem Schutz externer Interessen und sind von allen Unternehmen zu beachten, welche sich ins Handelsregister eintragen lassen müssen. Zusätzlich finden sich häufig in Spe-zialgesetzen Aufbewahrungsvorschriften, welche für bestimmte Branchen erlassen wurden. Bedürfnisse der unternehmensinternen Dokumentation sowie der Sicherung von Beweisen für mögliche spätere Rechtsstreitigkeiten erweitern den Kreis der geschäftskritischen Informationen, welche für eine bestimmte Zeit archiviert werden sollten.
Die Archivierung von E-Mails stellt für die Unternehmen eine besondere Herausforderung dar. Rechtlich gesehen handelt es sich dabei aber um keinen Spezialfall: Ist ein E-Mail seinem Inhalt nach als Geschäftskorrespondenz zu qualifizieren, dann muss es auch archiviert werden. Um einerseits sicherzustellen, dass alle relevanten E-Mails aufbewahrt und andererseits nicht automatisch alle privaten E-Mails der Mitarbeitenden gespeichert werden, ist mittels Policies und Weisungen verbindlich zu regeln, wie dieses Kommunikationsmittel im Unternehmen eingesetzt wird.
Entgegen der weit verbreiteten Auffassung, dass Archivierungsprojekte als IT-Projekte auch die alleinige Aufgabe und Verantwortung der IT-Abteilung sind, liegt die Identifikation der zu archivierenden Do-kumente in der Verantwortung der Unternehmensführung. Durch den Erlass ent--sprechender Policies werden die zu archi-vierenden Dokumente sowie die Art der Auf-bewahrung - in Papierform oder elektronisch - bestimmt. Ein Archivsystem kann die Unternehmensführung bei der rechtskonformen Archivierung unterstützen - ein grosser Teil der Verantwortung bleibt jedoch beim Unternehmen selbst.
Die Vorschriften über die kaufmän-nische Buchführung dienen in erster Linie dem Schutz externer Interessen und sind von allen Unternehmen zu beachten, welche sich ins Handelsregister eintragen lassen müssen. Zusätzlich finden sich häufig in Spe-zialgesetzen Aufbewahrungsvorschriften, welche für bestimmte Branchen erlassen wurden. Bedürfnisse der unternehmensinternen Dokumentation sowie der Sicherung von Beweisen für mögliche spätere Rechtsstreitigkeiten erweitern den Kreis der geschäftskritischen Informationen, welche für eine bestimmte Zeit archiviert werden sollten.
Die Archivierung von E-Mails stellt für die Unternehmen eine besondere Herausforderung dar. Rechtlich gesehen handelt es sich dabei aber um keinen Spezialfall: Ist ein E-Mail seinem Inhalt nach als Geschäftskorrespondenz zu qualifizieren, dann muss es auch archiviert werden. Um einerseits sicherzustellen, dass alle relevanten E-Mails aufbewahrt und andererseits nicht automatisch alle privaten E-Mails der Mitarbeitenden gespeichert werden, ist mittels Policies und Weisungen verbindlich zu regeln, wie dieses Kommunikationsmittel im Unternehmen eingesetzt wird.
Entgegen der weit verbreiteten Auffassung, dass Archivierungsprojekte als IT-Projekte auch die alleinige Aufgabe und Verantwortung der IT-Abteilung sind, liegt die Identifikation der zu archivierenden Do-kumente in der Verantwortung der Unternehmensführung. Durch den Erlass ent--sprechender Policies werden die zu archi-vierenden Dokumente sowie die Art der Auf-bewahrung - in Papierform oder elektronisch - bestimmt. Ein Archivsystem kann die Unternehmensführung bei der rechtskonformen Archivierung unterstützen - ein grosser Teil der Verantwortung bleibt jedoch beim Unternehmen selbst.
RECHT: E-Archivierung ist nicht nur IT-Sache
Die Beweiskraft
Wenn die Voraussetzungen der GeBüV eingehalten werden, dann haben die elektronisch geführten und aufbewahrten Geschäftsdokumente die selbe Beweiskraft wie Papierdokumente.
Bei der elektronischen Archivierung sind neben den Grundsätzen der ordnungsgemässen Buchführung auch die Grundsätze der ordnungsgemässen Datenverarbeitung einzuhalten. Die GeBüV ist technologieneut-ral formuliert und verweist auf die Vorgaben der allgemein anerkannten Regelwerke und Fachempfehlungen. Die Umstellung vom Papierarchiv auf das elekt-ronische Archiv bedingt somit die Berücksichtigung der Komplexität der Informationstechnologie.
Bei der elektronischen Archivierung sind neben den Grundsätzen der ordnungsgemässen Buchführung auch die Grundsätze der ordnungsgemässen Datenverarbeitung einzuhalten. Die GeBüV ist technologieneut-ral formuliert und verweist auf die Vorgaben der allgemein anerkannten Regelwerke und Fachempfehlungen. Die Umstellung vom Papierarchiv auf das elekt-ronische Archiv bedingt somit die Berücksichtigung der Komplexität der Informationstechnologie.
Integrität sicherstellen
Die Integrität der elektronisch archivierten Dokumente muss während der gesamten Aufbewahrungsdauer - in der Regel 10 Jahre - sichergestellt werden. Der Gesetzgeber stellt an die Integrität der elektronisch archivierten Dokumente keine höheren Anforderungen als an Papierdokumente. Er verlangt nicht, dass diese absolut unver-änderbar sind, sondern, dass sie nach dem Zeitpunkt der Archivierung nicht verändert werden können, ohne dass dies feststell-bar ist.
Werden die elektronischen Dokumente auf veränderbaren Informationsträgern gespeichert, dann muss deren Integrität durch den Einsatz zusätzlicher technischer Massnahmen gewährleistet werden und der Zeitpunkt der Speicherung muss nachweisbar sein. Die GeBüV überlässt es dem verantwortlichen Unternehmen, die entsprechenden technischen Verfahren selbst auszuwählen, es nennt jedoch als Beispiele die digitale Signatur und Zeitstempeldienste. Der Einsatz der digitalen Signatur ist somit nicht zwingend gefordert, es können auch andere technische Massnahmen verwendet werden, welche im Resultat den selben Schutz herbeiführen.
Werden die elektronischen Dokumente auf veränderbaren Informationsträgern gespeichert, dann muss deren Integrität durch den Einsatz zusätzlicher technischer Massnahmen gewährleistet werden und der Zeitpunkt der Speicherung muss nachweisbar sein. Die GeBüV überlässt es dem verantwortlichen Unternehmen, die entsprechenden technischen Verfahren selbst auszuwählen, es nennt jedoch als Beispiele die digitale Signatur und Zeitstempeldienste. Der Einsatz der digitalen Signatur ist somit nicht zwingend gefordert, es können auch andere technische Massnahmen verwendet werden, welche im Resultat den selben Schutz herbeiführen.
RECHT: E-Archivierung ist nicht nur IT-Sache
Verfügbarkeit
Die archivierten Geschäftsdokumente müssen zudem während der gesamten Aufbewahrungsdauer innerhalb einer angemessenen Frist verfügbar sein. Diese Forderung führte bisher in mehrfacher Hinsicht zu kont-roversen Diskussionen. Zum einen ist der Begriff der «angemessenen Frist» sehr unbestimmt und interpretationsbedürftig. Zum anderen wird zum Teil heftig diskutiert, inwieweit die Erfüllung dieser gesetzlichen Vorgaben die Archivierung der verwendeten Programme erfordert.
Die Beantwortung dieser Frage ist nicht pauschal möglich. In Verbindung mit der ebenfalls geforderten Dokumentation der eingesetzten Verfahren, Abläufe und der Infrastruktur, welche sicherstellen soll, dass die archivierten Informationen auch während der gesamten Aufbewahrungsdauer verstanden werden können, ist zu vermuten, dass bei Verwendung von Standardprogrammen auf eine Archivierung der Programme verzichtet werden kann. Werden jedoch Individualprogramme verwendet, dann wird die Verfügbarkeit wohl nur durch die Archivierung der Programme sichergestellt werden können.
Die Beantwortung dieser Frage ist nicht pauschal möglich. In Verbindung mit der ebenfalls geforderten Dokumentation der eingesetzten Verfahren, Abläufe und der Infrastruktur, welche sicherstellen soll, dass die archivierten Informationen auch während der gesamten Aufbewahrungsdauer verstanden werden können, ist zu vermuten, dass bei Verwendung von Standardprogrammen auf eine Archivierung der Programme verzichtet werden kann. Werden jedoch Individualprogramme verwendet, dann wird die Verfügbarkeit wohl nur durch die Archivierung der Programme sichergestellt werden können.
Organisation
Die Zuständigkeiten für die archivierten Informationen müssen genau geregelt werden. Zugriffe und Zutritte müssen aufgezeichnet und überwacht werden. Zu diesem Zweck müssen die Archivdaten von den aktuellen Daten getrennt werden. Eine physische Trennung ist jedoch nicht zwingend erforderlich, es genügt, wenn die Daten so gekennzeichnet sind, dass eine entsprechende Unterscheidung möglich ist.
* Maria Winkler ist geschäftsführende Partnerin der IT & Law Consulting in Zug und Luzern und Dozentin für Informatikrecht sowie Recht im Internet an der Hochschule für Wirtschaft Luzern.
Maria Winkler *