Anforderungen an elektronische Archivierung - Aufbewahrungsfristen - Aufbewahrungspflichten | Potrade

Anforderungen an elektronische Archivierung - Aufbewahrungsfristen - Aufbewahrungspflichten

Gesetzliche Anforderungen


Wichtig zu wissen:

Die rechtskonforme Archivierung von Geschäftsunterlagen ist gesetzliche Pflicht und kann nach den Buchführungsvorschriften (GeBüV) auch durch die elektronische Archivierung erfüllt werden.


Im Datenschutzgesetz (DSG) regelt der Art. 7 die elektronische Datensicherheit. In der Verordnung zum Bundesgesetz über den Datenschutz (VDSG) regelt der Abschnitt 4: Technische und organisatorische Massnahmen - den elektronischen Datenschutz.


Aufbewahrungsfristen

Gemäss (OR Art. 961 ; GeBüV) müssen die Betriebsrechnung und die Bilanz schriftlich und unterzeichnet im Original 10 Jahre aufbewahrt werden.
Die Geschäftsbücher, Buchungsbelege und die Geschäftskorrespondenz können elektronisch aufbewahrt werden, die Aufbewahrungsdauer beträgt
10 Jahre. (OR Art. 962 ; GeBüV)

Die Geschäftsbücher umfassen: Hauptbuch / Hilfsbücher (Lohnbuchhaltung, Debitoren- / Kreditorenbuchhaltung, etc.)

Mit Geschäftskorrespondenz werden alle mit Dritten ausgetauschten Unterlagen, welche Aufschluss über den Abschluss und die Abwicklung von Rechtsgeschäften geben, verstanden. (Ein- und ausgehende Briefe / Verträge / Telegramme / Fax / E-Mails / Statuten und Gesellschaftsverträge / Prozessakten, Gerichtsurteile, Vergleiche / Dokumente aus Arbeitsverhältnissen / Dokumente aus Werkverträgen / Dokumente aus dem Verkehr mit Behörden)

Die Buchungsbelege umfassen: Bank- und Postbelege / Konto- Depotauszüge / Lieferscheine / Lohnabrechnungen / Daten mit Belegcharakter / Rechnungen und Quittungen / Spesenabrechungen

Personalakten sind unter Beachtung des Datenschutzgesetzes (DSG) 10 Jahre ab Erstellung der Akte aufzubewahren.
- Darunter fallen: Anstellungsvertrag / Lohnabrechungen / Personalgespräche / Arbeitszeugnisse / etc.
Quelle: 9. Tätigkeitsbericht 2001/2002 Aufbewahrung des Personladossiers (Tätigkeitsberichte EDÖB)

Klientendaten sind 30 Jahre aufzubewahren.
Darunter fallen: Klienten-Erfassungsblatt (mit Angabe des Einweisungsgrundes, Auftragserteilung) / Medizinische Akten / Förderplanung - Begleitplanung / Protokolle von Standortgesprächen / Akten über besondere Ereignisse / Dokumentation über freiheitseinschränkende Massnahmen / Kündigungsschreiben / Austrittsbericht.

Eine umfassende Beschreibung finden Sie unter: Archivierung von Akten
Quelle: Dienststelle Soziales und Gesellschaft

Interne Auftragsdokumente sind 10 Jahre zu archivieren. (OR Art. 962 ; GeBüV) Darunter fallen: interner Auftrag / Fabrikationsauftrag / Operationsplan / Prüfprotokolle / Lieferantenbestellungen / Wareneingangskontrollrapporte / etc. Sie sind (gemäss ISO 9001 - Rückverfolgbarkeit) als Nachweis für die Geschäftskorrespondenz bestimmend.

Auch das Produktehaftpflichtgesetzes (PrHG) mit allen Beweisanforderungen ist zu beachten.


Gesetzliche Anforderungen an die Archivierung

(Art. 8 ZGB) - Beweislast: Es hat derjenige das Vorhandensein einer behaupteten Tatsache zu beweisen, der aus ihr Rechte ableitet.

Auch das Produktehaftpflichtgesetz (PrHG) fordert Beweise.

Die Beweiskraft elektronischer Dokumente: Elektronisch geführte und archivierte Dokumente haben die selbe Beweiskraft wie Papierdokumente, wenn die Voraussetzungen der Geschäftsbücherverordnung (GeBüV) erfüllt sind.

Demzufolge: Wird die Beweiskraft des elektronischen Dokumentes angezweifelt, dann scheitert u.U. die Beweisführung!

Anforderungen Geschäftsbücherverordnung (GeBüV)
Integrität: Die Bücher müssen so geführt und aufbewahrt werden, dass sie nicht geändert werden können, ohne dass sich dies feststellen lässt. Es wird keine absolute Unabänderbarkeit verlangt!

Dokumentationspflichten: Umfangreiche Dokumentationspflichten stellen sicher, dass die Geschäftsbücher, Buchungsbelege und die Geschäftskorrespondenz während der gesamten Aufbewahrungsdauer verstanden werden können.

Verfügbarkeit: Die aufbewahrten Dokumente müssen innerhalb einer angemessenen Frist von berechtigten Personen eingesehen und überprüft werden können. Die Dokumente müssen auch in Papierform vorgelegt werden können.

Organisation: Die archivierten Daten müssen von den aktuellen Informationen getrennt und systematisch archiviert werden. Die Zuständigkeit für die archivierten Daten ist genau festzulegen. Zugriffe und Zutritte sind aufzuzeichnen. Der Zugriff innert nützlicher Frist muss möglich sein!

Zulässige Informationsträger: Als Speichermedien sind unveränderbare (z.B. Papier, Bildträger, unveränderbare Datenträger) oder veränderbare Informationsträger (z.B. Magnetbändern, Disketten, Fest- oder Wechselplatten) zulässig. Bei den veränderbare Informationsträger ist die Gewährleistung der Integrität durch technische Verfahren, der Nachweis des Zeitpunkts der Speicherung, die Einhalten der Vorschriften betreffend der angewandten technischen Verfahren und die Dokumentation der Abläufe, Verfahren und Hilfsinformationen erforderlich. Die archivierten Dokumente müssen regelmässig auf ihre Lesbarkeit überprüft werden. Die Migration auf andere Formate oder andere Datenträger ist zulässig , muss aber protokolliert werden. Die Protokolle sind aufzubewahren!

Anforderungen Datenschutzgesetz (DSG / VDSG)
Folgende Anforderungen des VDSG sind in SR 235.11 Abs 4 Art. 9 Besondere Massnahmen (automatisierten Bearbeitung von Personendaten) festgelegt:

Zugangskontrolle: unbefugten Personen ist der Zugang zu den Einrichtungen, in denen Personendaten bearbeitet werden, zu verwehren.

Personendatenträgerkontrolle: unbefugten Personen ist das Lesen, Kopieren, Verändern oder Entfernen von Datenträgern zu verunmöglichen.

Transportkontrolle: bei der Bekanntgabe von Personendaten sowie beim Transport von Datenträgern ist zu verhindern, dass die Daten unbefugt gelesen, kopiert, verändert oder gelöscht werden können.

Bekanntgabekontrolle: Datenempfänger, denen Personendaten mittels Einrichtungen zur Datenübertragung bekannt gegeben werden, müssen identifiziert werden können.

Speicherkontrolle: unbefugte Eingabe in den Speicher sowie unbefugte Einsichtnahme, Veränderung oder Löschung gespeicherter Personendaten sind zu verhindern.

Benutzerkontrolle: die Benutzung von automatisierten Datenverarbeitungssystemen mittels Einrichtungen zur Datenübertragung durch unbefugte Personen ist zu verhindern.

Zugriffskontrolle: der Zugriff der berechtigten Personen ist auf diejenigen Personendaten zu beschränken, die sie für die Erfüllung ihrer Aufgabe benötigen.

Eingabekontrolle: in automatisierten Systemen muss nachträglich überprüft werden können, welche Personendaten zu welcher Zeit und von welcher Person eingegeben wurden.

Quelle: Detaillierte Leitfäden des EDÖB / Leitfaden zu den technischen und organisatorischen Massnahmen des Datenschutzes EDÖB / Leitfaden für die Bearbeitung von Personendaten im medizinischen Bereich EDÖB


Software-Anforderungen

Anerkannte Dateiformate
Detaillierte Untersuchungen und Standards führt die Koordinationsstelle für die dauerhafte Archivierung elektronischer Unterlagen (Kost) laufend nach.

Im ʺKatalog archivischer Dateiformate (KaD, v2)ʺ werden ankerkannte Dateiformate geführt.

Folgende Formate sind aufgeführt:

Textdateien: PDF / PDF-A entspricht dem Standart: ISO-19005-1 / TXT
Anmerkung: Das markführende Format DOC von Microsoft Word erfüllt wesentliche archivische Anforderungen nicht, da das Format durch Lizenzen gebunden ist und eine Strategie-Änderung zu Formatänderung führen kann, ebenso besteht auch die Gefahr der marktabhängigen, schnellen Formatänderungen. (Bsp: DOC-Dateien aus dem Jahre 1997 können erst nach einer Migration wieder geöffnet werden!)

Bilddateien: TIFF / JPEG2000

Audiodateien: WAV / MP3

Videodateien: MJPEG2000 / MPEG-4 / MPEG-2

Strukturierte Daten: Tabellenkalkulation: XLS / OOXML / PDF-A
Anmerkung: Obwohl das marktführende Format XLS von Microsoft Excel wesentliche archivische Anforderungen nicht erfüllt, ist es für ein Archiv sinnvoller, MS-Excel-Dateien in diesem proprietären Format zu belassen, als sie in ein idealeres, aber weder erprobtes noch verbreitetes Format zu migrieren. Die durch Abwärtskompatibilität erreichte Lesbarkeit von gegen 10 Jahren verschafft den Archiven einen Aufschub bei der Suche nach einem idealeren zukünftigen Archivformat.
Empfehlungen:
Wenn bei der Archivierung von Tabellenkalkulationsdaten die Bewahrung der Funktionalität als essentiell betrachtet wird, muss im Originalformat archiviert werden, also in der Regel in XLS oder OOXML. Dies kann auch allgemein als provisorische Lösung betrachtet werden, bis ein zukünftiges, besser geeignetes Archivformat vorliegt.
Wenn der Tabellenaspekt als essentiell betrachtet wird, sind die Datenbank-Archivformate empfehlenswert.
Wenn nur die optische Erscheinung, nicht aber die Funktionalität, als essentielle Eigenschaft gilt, können Spreadsheets in PDF/A konvertiert werden.

Strukturierte Daten: Datenbanken: SIARD / CSV / SQLX
Quelle: http://www.kost-ceco.ch/wiki/whelp/KaD/

E-Mails: Wenn E-Mails geschäftsrelevante Informationen enthalten, unterliegen sie ebenfalls der Aufbewahrungspflicht. Es liegt an den Unternehmen selbst, diese E-Mails zu identifizieren und zu archivieren.
E-Mails mit diesen Inhalten sind zu archivieren: Rechnung / Bestellung / Auftragsbestätigung / Zahlungsanweisung / Gutschrift / Inhalte nach Spezialgesetzen.
E-Mail Archivierung und Datenschutz:
- Interne Weisungen legen fest, ob E-Mail privat genutzt werden darf.
- Ohne Zustimmung des Mitarbeitenden ist die automatische Archivierung aller E-Mails unzulässig!

Nachweis der Eingabekonrolle (VDSG 235.11 Abs 4. Art. 9)
Die Eingabekontrolle fordert: In automatisierten Systemen muss nachträglich überprüft werden können, welche Personendaten zu welcher Zeit und von welcher Person eingegeben wurden.

Dazu hält EDÖB im Leitfaden zu den technischen und organisatorischen Massnahmen des Datenschutzes und im medizinischen Leitfaden fest:
Bei elektronischen Aufzeichnungen ist das anders: Ein späteres Löschen, Hinzufügen und Korrigieren im System ersetzt bei den meisten Speichertechnologien das Bestehende, ohne Spuren zu hinterlassen. Damit die Beweiskraft der elektronischen Dokumentation erhöht wird, sollten Systeme verwendet werden, die ein Überschreiben einmal erfasster Daten und Texte ausschliessen und spätere Ergänzungen in einem Dokument als solche kennzeichnen. Auch die automatische Angabe des Datums jeder neuen Eingabe steigert die Fälschungssicherheit.
Quelle: http://www.edoeb.admin.ch/dokumentation/00445/00472/index.html?lang=de

Anmerkung:
Dieser Nachweis kann durch ein Protokoll-LOG oder durch die elektronische Signatur erreicht werden. Zu beachten ist jedoch der Leitfaden EDÖB: Elektronische Spuren und Datenschutz

Achtung: Digitale Signaturen laufen nach einem Jahr ab und müssen erneuert werden! Sie bestätigen nur den Inhalt und nicht wann welche Inhalte erfasst / gelöscht wurden.

MS DOC oder XLS - Dateien: Werden Dokumente von verschiedenen Benutzern geführt, (z.Bsp. Verlaufsprotokoll, etc.) wird dadurch der Nachweis der Eingabekontrolle nicht erbracht. Der Änderungsnachweis von DOC und XLS kann gemäss Software-Handbuch eingeschaltet / ausgeschaltet und gelöscht werden, die Eingabekontrolle kann dadurch ebenfalls nicht erbracht werden. Es sind andere Softwareprodukte oder Zusatzprogrammierungen erforderlich.
Quelle: http://office.microsoft.com/de-at/word-help/

Authentifizierung
ist der Nachweis einer behaupteten Eigenschaft einer Partei, die beispielsweise ein Mensch, ein Gerät, ein Dokument oder eine Information sein kann, und die dabei durch ihren Beitrag ihre Authentisierungdurchführt.
Quelle: http://de.wikipedia.org/wiki/Authentifizierung
Im Beispiel eines Computerprogrammes, welches Zugang zu einem gesicherten Bereich gewähren kann, behauptet der Benutzer zuerst seine Zugangsberechtigung, indem er einen Benutzernamen eingibt. Zusätzlich authentisiert er sich, indem er sein Passwort angibt. Das Programm identifiziert dann den Benutzer anhand dieser Angaben und authentifiziert daraufhin dessen Zugangsberechtigung. Damit steht für das Programm die Identität des Kommunikationspartners fest. Ob dem authentifizierten Benutzer der Zugang gewährt werden darf, entscheidet das Programm im Rahmen der Autorisierung. Wenn auch dies erfolgreich ist, gewährt das Programm dem Benutzer Zugang zum gesicherten Bereich.
Damit wird die Herkunft und Unverfälschtheit von elektronischen Dokumenten und Daten gewährleistet.

Elektronische Unterschrift (Digitale Signatur)

Verschlüsselungsmechanismus, der mit einem privaten und einem öffentlichen Schlüssel arbeitet. - Sie ermöglicht die Identifizierung des Signierenden und die Überprüfung der Authentizität des Dokuments.

Jedes digitale Zertifikat - ganz gleich ob personen- oder maschinenbezogen - ist mit einem öffentlichen Schlüssel (public key) verknüpft, dem ein privater Schlüssel (private key) zugeordnet ist. Diesen privaten Schlüssel besitzt nur der Zertifikatsinhaber. Das Zertifikat, das den öffentlichen Schlüssel enthält, kann hingegen in einem Verzeichnis publiziert und so jedem zugänglich gemacht werden, der mit dem Inhaber eines Zertifikats sicher kommunizieren möchte.

Begriffe (Art. 2 ZertES):

Elektronische Signatur: Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder die logisch mit ihnen verknüpft sind und zu deren Authentifizierung dienen.

Fortgeschrittene elektronische Signatur: Elektronische Signatur, die ausschliesslich der InhaberIn zugeordnet ist und die Identifizierung ermöglicht. Sie ist mit Mitteln erzeugt, welche durch den Inhaber unter seiner alleinigen Kontrolle ist und kann mit den Daten, auf die sie sich bezieht, so verknüpft ist, dass eine nachträgliche Veränderung erkannt werden kann.

Qualifizierte elektronische Signatur: Eine fortgeschrittene elektronische Signatur, welche auf einer sicheren Signaturerstellungseinheit und auf einem qualifizierten und zum Zeitpunkt der Erzeugung gültigen Zertifikat beruht.

Gleichstellung mit der Handunterschrift: Der eigenhändigen Unterschrift gleichgestellt ist die qualifizierte elektronische Signatur, die auf einem qualifizierten Zertifikat einer anerkannten Anbieterin von Zertifizierungsdiensten im Sinne des ZertES beruht (Art. 14 Abs. 2 bis OR) (Liste der anerkannten Anbieter: http://www.seco.admin.ch/sas/00229/00251/index.html?lang=de)

Integritätssicherung: Will man mittels elektronischer Signatur nur die Integrität der gespeicherten Daten sichern, dann ist kein Zertifikat einer anerkannten CA erforderlich!
Hingegen können Signaturen und Zertifikate eingesetzt werden, die bereits heute bei verschiedenen Anbietern erhältlich sind.

Voraussetzungen an die Beweiskraft elektronischer Daten (EIDI-V vom 30. Januar 2002):
- Übermittlung und Aufbewahrung muss mittels digitaler Signatur abgesichert sein
- Zertifikat eines anerkannten Anbieters von Zertifizierungsdiensten muss vorhanden sein
- Verifikation der Daten vor ihrer Verwendung
- Aufbewahrung des öffentlichen Schlüssels
- Verwendung sicherer Signaturen


Fazit

Die Unternehmen müssen die jeweils für den eigenen Geschäftsbereich vorgeschriebenen aufbewahrungspflichtigen Dokumente identifizieren. Eine Archivierungsregelung sollte den Umgang mit aufbewahrungspflichtigen Dokumenten verbindlich festlegen.

Die Verwendung der elektronischen Signatur im Vertragswesen ist zu empfehlen, wenn es entweder vom Gesetz verlangt wird oder es aus Gründen der Beweissicherung erforderlich ist.
Welche Art der elektronischen Signatur eingesetzte wird hängt vom beabsichtigten Zweck ab!

Nur qualifizierte elektronische Signaturen, verifizierbar mit einem qualifizierten Zertifikat einer anerkannten CA sind der Handunterschrift gleichgestellt!

Die gesetzlichen Vorschriften (Art. 957 ff OR und GeBüV) sind technologieneutral formuliert.
- Die Identifikation der aufzubewahrenden Dokumente ist eine Daueraufgabe, welche das betroffene Unternehmen wahrzunehmen hat.
- Die elektronische Archivierung von Geschäftsdokumenten ist kein reines IT-Projekt!
- Die eingesetzte Technologie sollte das Unternehmen bei der Einhaltung der gesetzlichen Vorschriften unterstützen.
- Nur anerkannte Dateiformate benutzen.

Nur Technologien verwenden die auch die Anforderungen des Datenschutzgesetzes (Nachweis der Eingabekontrolle) einhalten.
Vom Hersteller des Produktes den Nachweis der Einhaltung verlangen und durch unabhängige Stelle auditieren lassen.

Hält ein Unternehmen die gesetzlichen Normen nicht ein, droht den Verantwortlichen ein Verlust von Forderungen aufgrund fehlender Beweise. Es kann aber auch zu zivilrechtlichen Schadenersatzpflichten kommen oder gar zu einer Verurteilung nach den Artikeln 166 und 325 StGB. Das bedeutet: Busse oder Gefängnis.


Umsetzung der elektronischen Archivierung

Hilfreich für die Umsetzung ist unsere Datenschutz-Auditcheckliste


Ihre Anfrage

Gerne unterstützen wir Sie bei der Erarbeitung und Umsetzung der Anforderungen der rechtskonformen elektronischen Archivierung von Geschäftsunterlagen gemäss den Buchführungsvorschriften (GeBüV) und des Datenschutzgesetzes (DSG).