Welche rechtlichen Aspekte sind wichtig bei der digitalen Archivierung?

Wenn auf ein digitales Archiv umgestellt wird, stellen sich auch diverse rechtliche Fragen. Wie kann beispielsweise die «Echtheit» von Dokumenten nachgewiesen werden, wenn diese nicht mehr in Papierform, sondern als theoretisch beliebig veränderbare Bits und Bytes gespeichert sind? Rechtsanwältin Doris des Arts von «THE-IT-LAWYERS» beantwortet einige oft gehörte Fragen.

Welche gesetzlichen Grundlagen gelten bei der digitalen Archivierung?

Grundsätzlich sind die gesetzlichen Grundlagen für physische und digitale Archive die gleichen: das Obligationenrecht und die Geschäftsbücherverordnung. Sind Personendaten involviert, dann spielt auch das Schweizer Datenschutzgesetz (DSG) eine wichtige Rolle. Dieses ist aktuell in Revision und wird ab 2023 eine Annäherung an die europäische Regelung (EU-DSGVO) bringen.

 

Worauf müssen Unternehmen bei der Umstellung auf ein elektronisches Archiv achten?

Dass sie eine Software-Lösung wählen, mit der die bestehenden gesetzlichen Vorschriften eingehalten werden können. Das Gleiche gilt bei der Wahl eines allfälligen Outsourcingpartners für die Archivierung. Zertifizierungen und Labels bieten hier Orientierungshilfen. Zum Beispiel ISO 27001 und das Datenschutz-Gütesiegel GoodPriv@cy.

 

Welches ist der grösste Knackpunkt?

Auch bei einem elektronischen Archiv muss man beweisen können, dass die Dokumente mit dem zugrundeliegenden Geschäftsvorfall übereinstimmen und dass sie seit der Archivierung nicht verändert wurden. Nur so behalten sie aus rechtlicher Sicht ihren Beweiswert bei einer möglichen gerichtlichen Auseinandersetzung oder gegenüber den Behörden. Die Integritätssicherung ist der entscheidende Punkt bei der Digitalisierung.

 

Wie wird diese Integrität sichergestellt?

Durch technische und organisatorische Massnahmen. Früher wurden die Informationen auf WORM-Speichermedien geschrieben, die ein nachträgliches Löschen, Überschreiben und Ändern von Daten verunmöglichten. Heute braucht man aufgrund der erweiterten Datenschutzgesetzgebung mehr Flexibilität; Personendaten müssen auch in Archiven nachträglich gelöscht oder korrigiert werden können.

 

Moderne Archivierungslösungen bieten mehrstufige Sicherheitssysteme. Diese stellen die Integrität beispielsweise durch digitale Signaturen sicher und protokollieren sämtliche Zugriffe detailliert und manipulationssicher.

 

Des_Arts_-09

Lic. iur. Doris des Arts von «THE-IT-LAWYERS» ist seit 20 Jahren auf IT-Recht, Datenschutzrecht und Records Management spezialisiert.

Und die organisatorischen Massnahmen?

Häufig gehen Unternehmen einseitig von einer Bedrohung von aussen aus. Dabei ist die Gefahr, dass unbefugte Personen aus dem Unternehmen bzw. der Organisation versuchen, auf sensitive Informationen zuzugreifen, viel grösser. Dem kann man z.B. mit restriktiven Zugriffsrechten, einem Vier-Augen-Prinzip und einer Verschlüsselung der Daten entgegenwirken.

 

Wie beweist ein Unternehmen, dass es seine elektronisch archivierten Informationen bestmöglich schützt?

Mit einer Verfahrensdokumentation. Diese wird mit einem spezialisierten IT-Juristen erstellt und zeigt insbesondere die technischen und organisatorischen Massnahmen auf, welche zur Sicherung der Datenintegrität implementiert wurden. Sie ist essenziell im Falle einer gerichtlichen Auseinandersetzung.

 

Das tönt nach viel Aufwand. Kann sich das ein KMU leisten?

Ein sicheres und gesetzeskonformes digitales Archiv ist mit einem gewissen Initialaufwand verbunden, doch dieser ist auch für ein KMU tragbar. Es existieren Standard-Softwarelösungen, mit denen – sofern korrekt konfiguriert – die gesetzlichen Anforderungen gut eingehalten werden können.

 

Die einfachste und oft auch kostengünstigste Variante ist das Outsourcing der Archivierung an einen spezialisierten Schweizer Anbieter. Diese kennen die gesetzlichen Rahmenbedingungen und verfügen über die entsprechenden Zertifizierungen.

 

Was muss bei der Digitalisierung vorhandener Dokumente beachtet werden?

Dass das mit dem Scanning beauftragte Unternehmen zertifiziert ist, die mit dem Scanning betrauten Mitarbeitenden sorgfältig auditiert und entsprechende Geheimhaltungsvereinbarungen unterschrieben sind.

 

Und was ist in 10 Jahren, wenn die heutige Speicher-Technologie überholt ist?

Professionelle Archivierungslösungen bzw. Outsourcing-Anbieter führen regelmässige Lesbarkeitsprüfungen durch. Sie speichern die Informationen in langfristig stabilen Archivformaten und stellen sicher, dass diese in Zukunft bei Bedarf auf neue Datenträger migriert werden können.

 

In 3 Schritten zum gesetzeskonformen digitalen Archiv

  1. Schutzbedarfsanalyse durchführen (Nicht alle Daten brauchen den gleichen Schutz)
  2. Zertifizierten Schweizer Outsourcing-Partner wählen
  3. Verfahrensdokumentation erstellen

 

Kriterien für ein gesetzeskonformes («revisionssicheres») digitales Archiv

  • Wahrheitsgetreue und systematische Erfassung
  • Ordnungsmässigkeit und Vollständigkeit
  • Sicherheit des gesamten Verfahrens
  • Schutz vor unbefugter Kenntnisnahme, Veränderung, Verfälschung oder Verlust
  • Zugriff nur für Berechtigte (inkl. Aufzeichnung der Zugriffe)
  • Einhaltung der gesetzlichen Aufbewahrungsfristen
  • Dokumentation des Verfahrens
  • Nachvollziehbarkeit und Prüfbarkeit
  • Jederzeitige Verfügbarkeit und langfristige Lesbarkeit
  • Zeitgerechte, definitive Löschung

 

Download:

#Scanning #Archivierung #ISO27001 #digitalesArchiv #nDSG #THE-IT-LAWYERS #DorisdesArts #rechtskonform #DSG #Datenschutzrecht

Irene Feusi

Irene Feusi

arbeitet seit Februar 2015 als Marketing & Communication Managerin bei Arcplace.

Mehr von: Irene Feusi