Seit dem 1. Juni 2002 gelten unter anderem die revidierten Regelungen der Art. 957 bis 963 des Schweizerischen Obligationenrechts (OR) sowie der Verordnung über die Führung und Aufbewahrung der Geschäftsbücher (GeBüV).
Manch einer verdrängt gekonnt, dass ihn auch gesetzliche Auflagen zur Aufbewahrung von E-Mails verpflichten. Wenn die Zeit drängt werden Mails kurzerhand gelöscht, oder dann irgendwohin gespeichert, wo sie bei Bedarf gelesen werden könnten.
Zudem sitzt die intern verordnete Grössenbeschränkung fürs Postfach im Genick. Doch so einfach dürfen es sich Unternehmen nicht machen.
Wer und was unterliegt der Aufbewahrungspflicht?
Unternehmungen, welche verpflichtet sind, sich in das Handelsregister eintragen zu lassen – d.h. ein gemäss Art. 934 Abs. 1 OR nach kaufmännischer Art geführtes Gewerbe betreiben – sind verpflichtet, diejenigen Bücher ordnungsgemäss zu führen und aufzubewahren, die nach Art und Umfang des Geschäftes nötig sind, um die Vermögenslage des Geschäftes und die mit dem Geschäftsbetrieb zusammenhängenden Schuld- und Forderungsverhältnisse sowie die Ergebnisse der einzelnen Geschäftsjahre festzustellen (Art. 957 Abs. 1 OR).
Generell erlaubt das Gesetz die Führung und Aufbewahrung von Geschäftskorrespondenz auch in elektronischer oder in vergleichbarer Weise. Voraussetzung ist aber, dass die Korrespondenz jederzeit lesbar gemacht werden kann (Art. 957 Abs. 2 und 3 OR).
Wenn E-Mails zur Führung der Geschäftskorrespondenz verwendet werden, unterliegen sie somit ebenfalls der Aufbewahrungspflicht. Von besonderer Bedeutung ist in diesem Zusammenhang, dass E-Mails vor Gericht die gleiche Beweiskraft haben wie Korrespondenz, welche ohne Hilfsmittel lesbar ist.
Wie lange und nach welchen Kriterien müssen E-Mails aufbewahrt werden?
E-Mails als Teil der Geschäftskorrespondenz sind während der gesetzlichen Mindestfrist von 10 Jahren aufzubewahren (Art. 962 Abs. 1 OR). Die Frage der Art und Weise der Aufbewahrung ist dabei nicht unwesentlich. Insbesondere ist die Integrität (Echtheit und Unverfälschbarkeit) der elektronischen Nachrichten zu gewährleisten, d.h. sie sind so zu erfassen und aufzubewahren, dass sie nicht verändert werden können, ohne dass sich dies feststellen liesse (Art. 3 GeBüV).
Eine umfangreiche Dokumentationspflicht soll zudem sicherstellen, dass die archivierten Daten auch noch nach Jahren verstanden werden können.
Weiter müssen die als Geschäftskorrespondenz geführten E-Mails gemäss Art. 6 GeBüV so aufbewahrt werden, dass sie bis zum Ende der Aufbewahrungsfrist und innert angemessener Frist eingesehen und geprüft werden können.
Auch muss man das entsprechende Personal sowie die Geräte oder Hilfsmittel für die Dauer der Aufbewahrungsfrist verfügbar halten. Dies dürfte zunehmend viele Unternehmungen vor Probleme stellen. Sei es bedingt durch Know-how-Verlust oder die dem rasanten Technologiewandel zum Opfer gefallenen Ausgabegeräte.
Die Datenträgerfalle
Werden E-Mails auf unveränderbaren Medien (z.B. CD-R) gespeichert, hat der Datenträger keine zusätzlichen Bedingungen zu erfüllen. Sollen E-Mails jedoch auf veränderbaren Informationsträgern (z.B. Magnetbändern, Disketten, Fest- oder Wechselplatten) archiviert werden, bindet dies der Gesetzgeber gemäss Art. 9 GeBüV an einen umfangreiche Katalog von Voraussetzungen. Insbesondere:
müssen technische Verfahren zur Anwendung kommen, welche die Integrität der gespeicherten Informationen gewährleisten (z.B. mittels digitaler Signatur),
muss der Zeitpunkt der Speicherung der Informationen unverfälschbar nachweisbar sein (z.B. durch einen «Zeitstempel»),
müssen die zum Zeitpunkt der Speicherung bestehenden weiteren Vorschriften über den Einsatz der betreffenden technischen Verfahren eingehalten werden, und
die Abläufe und Verfahren zu deren Einsatz festgelegt und dokumentiert sowie die entsprechenden Hilfsinformationen (wie Protokolle und Log files) ebenfalls aufbewahrt werden.
Mit den herkömmlichen, bei den meisten Unternehmungen im Einsatz stehenden Verfahren sowie Software- und Hardware-Produkten zur Mailarchivierung dürften diese gesetzlichen Anforderungen zum jetzigen Zeitpunkt wohl von den wenigsten erfüllt werden können.
Wer ist verantwortlich für die ordnungsgemässe Aufbewahrung von E-Mails?
Einerseits hat die Geschäftsleitung die entsprechenden Weisungen zur Nutzung der in einem Betrieb eingesetzten Informatikmittel zu erlassen und deren Einhaltung auch regelmässig zu überprüfen.
Geschäftliche E-Mails sind entsprechend der übrigen Korrespondenz mit gleicher Sorgfalt zu behandeln.
Unter Umständen trifft den Arbeitnehmer gar eine erhöhte Sorgfaltspflicht beim Einsatz von IT-Infrastrukturen. So dürfen je nach betrieblicher Voraussetzung insbesondere Geschäftsgeheimnisse oder andere sensitive, dem Datenschutz unterliegende Informationen nur gesichert, d.h. verschlüsselt übermittelt und aufbewahrt werden.
Die drei E-Mail-Grundregeln
Geschäftsrelevante E-Mails sind mindestens 10 Jahre zu archivieren.
E-Mails müssen nicht nur 10 Jahre aufbewahrt werden, sondern auch lesbar bleiben. Am besten sind unveränderbare Datenträger wie z.B. CD-R.
Verantwortlich für die Gewährleistung eines ordnungsgemässen Einsatzes elektronischer Medien ist in erster Linie die Geschäftsleitung.
Der Autor
Philipp Rügländer ist Jurist mit Ausbildung als Datenschutz- und Informatiksicherheitsbeauftragter NDK. Er gehört dem IT-Team der Anwaltskanzlei Sury Brun Hool, Luzern (www.asbh.ch) an. Kontakt: Philipp.Rueglaender@asbh.ch
