Fachleute nennen die «Ordnung im Datenchaos» «Records Management», also das Management der elektronischen Aufzeichnungen. Dazu gehört die Überwachung, Gewichtung, Verteilung, Umschichtung, Qualitätsprüfung, Korrektur, Archivierung und nicht zu vergessen Vernichtung von elektronischen Daten aus Geschäftsaktivitäten. Das Records Management ist Teil der Corporate bzw. IT Governance.
Rechtliche Grundlagen
Die rechtlichen Grundlagen für das Records Management finden sich primär im Obligationenrecht (Kaufmännische Buchführung), in der darauf basierenden Geschäftsbücherverordnung (GeBüV), im Strafgesetzbuch (StGB), im Mehrwertsteuergesetz (MWStG) bzw. der darauf basierenden Verordnungen (MWStV, EIDIV), im Datenschutzgesetz (DSG) sowie in öffentlichrechtlichen Buchführungs- und Aufbewahrungsvorschriften.
Aufbau und Umsetzung eines Records Management Systems
Der Aufbau und die Umsetzung eines Records Management Systems kann in eine Analyse, ein Konzept, eine Umsetzungs- und eine Controllingphase unterteilt werden. In einer ersten Phase müssen die für die Branche konkreten rechtlichen Grundlagen analysiert werden. Dazu kommt eine Analyse der Bedürfnisse der Stakeholder des Unternehmens (Corporate Governance). Schlussendlich müssen die technischen und betrieblichen Rahmenbedingungen untersucht werden. Zu letzterem gehört u. a. die Analyse der Geschäftsprozesse und der darin entstehenden und aufzubewahrenden Daten (Data Life Cycle).
Aufgrund der Analyse folgt dann die Konzeption des Records Managements, inklusive des Erlasses von entsprechenden Policys und Weisungen.
Bei der Umsetzung eines Records Managements Systems sind die im Unternehmen in Geschäftsprozessen entstehenden Daten zu klassieren (ordnen) und zu klassifizieren (Sicherheitsrelevanz). Entsprechend sind die Daten innerhalb des Unternehmens zu führen und wenn dafür vorgesehen zu archivieren. Ein Records Management führt zu einem bewussten Umgang mit allen im Unternehmen bestehenden und entstehenden Daten. Auch das Records Management braucht ein Controlling. Es reicht nicht, ein Records Management System einzuführen. Es muss regelmässig kontrolliert werden, ob dieses entsprechend dem definierten Konzept, den Policies und Weisungen umgesetzt wird. Zu kontrollieren sind insbesondere die Auffindbarkeit, Vollständigkeit, Richtigkeit, Authentizität (Echtheit, z. B. elektronisch signiert) und Lesbarkeit der Daten.
E-Invoicing
Ein grosses Thema im Rahmen des Records Managements ist das E-Invoicing, die elektronische Rechnungsstellung. Dabei sind vor allem die Vorschriften der Mehrwertsteuergesetzgebung bzw. der entsprechenden Verordnung des Eidg. Finanzdepartements über elektronisch übermittelte Daten und Informationen (EIDIV) zu beachten; andernfalls würden die im Rahmen des E-Invocings erstellten Belege nicht zum Vorsteuerabzug berechtigen. Beweiskräftig im Sinne der Mehrwertsteuergesetzgebung sind elektronische Belege, wenn sie den Nachweis des Ursprungs, der Integrität und der Nichtabstreitbarkeit von Versand und Empfang ermöglichen.
Archivierung
Art. 7 der Geschäftsbücherverordnung, aber auch die Grundsätze des Records Managements verlangen, dass aktuelle Daten klar von archivierten Daten getrennt gehalten werden; dies gilt auch bezüglich der personellen Zuständigkeit und Verantwortlichkeit. Der Zugang zu archivierten Daten ist restriktiver zu handhaben als der Zugang zu aktuellen Daten.
Zeitpunkt der Archivierung
Das Gesetz sieht keinen bestimmten Zeitpunkt für den Beginn der Archivierung von Daten vor. Sinnvoll ist die Trennung von Daten von den aktuellen Daten, wenn jene sich nicht mehr verändern. Als Archivierungsdauer gilt aufgrund der einschlägigen Normen die Faustregel von zehn Jahren. Ausnahmsweise sind es fünfzehn bzw. zwanzig Jahre.
Grundanforderung ans Archiv
Archiviert wird die letzte, rechtsgültige Version von Daten. Einmal archivierte Daten dürfen nicht mehr verändert werden; wenn notwendig können sie mit Zusätzen versehen werden. Die archivierten Daten sind in einem von den Daten verschiedenen Index zu erfassen. Geschäftsvorfälle müssen aufgrund archivierter Daten innert angemessener Frist (in der Regel innert max. einer Woche, Art. 6 Geschäftsbücherverordnung) von dazu Berechtigten (z. B. MWSt-Behörde) nachvollzogen werden können. Alle relevanten Vorgänge im Datenarchiv sind zu protokollieren. Am Ende des Data Life Cycle sind Daten in definierten und kontrollierten Verfahren zu vernichten.
Insbesondere zur Erhaltung der Lesbarkeit und für eine effizientere Speicherung ist eine Migration der Daten zulässig. Der entsprechende Prozess muss dokumentiert und protokolliert werden. Daten aufzubewahren bzw. zu archivieren ist nutzlos, wenn man sie später nicht mehr lesen kann. Darum kann es notwendig sein, mit den Daten auch entsprechende Hard- und Software (Hilfsmittel) aufzubewahren. Gemäss den Grundsätzen des Records Managements sind jedoch nur spezielle Hilfsmittel aufzubewahren. Die Aufbewahrung von Standard Hard- und Software ist nicht geboten.
Aufbewahrung von E-Mails
Auch E-Mails können Geschäftsdokumente darstellen, die im Rahmen des Records Managements zu erfassen und aufzubewahren bzw. zu archivieren sind. Erfahrungen der letzten Jahre haben dabei gezeigt, dass bei den E-Mails die (effektive!) Vernichtung besonders wichtig sein kann. E-Mails müssen allfällig im Rahmen von Prozessen an Gerichte herausgegeben werden. In verschiedenen Prozessen in den USA konnten dabei insbesondere Insider-Tatbestände nachgewiesen werden, da die entsprechenden E-Mails nicht gelöscht wurden.
Outsourcing
Das Gesetz verbietet es grundsätzlich nicht, das Records Management, insbesondere die Archivierung, durch Dritte, vornehmen zu lassen (Outsourcing). Die Verantwortung für die Daten verbleibt jedoch bei dessen Inhaber. Dieser hat u. a. dafür zu sorgen, dass allfällige Geheimhaltungsvorschriften und Datenschutzvorschriften eingehalten werden; letzteres insbesondere auch bei ausländischen Outsourcingpartnern.
Der Autor
Ueli Grüter, LL.M., Rechtsanwalt, ist Partner bei Grüter Schneider & Partner (gsplaw.ch), Rechts- und Patentanwälte, Zürich/Luzern, und Dozent für Kommunikations- und Technologierecht an der Fachhochschule Zentralschweiz (fhz.ch). Er berät zusammen mit Unic Internet Solutions, Zürich/Bern
(unic.com) Unternehmen bezüglich der Konzeption und Durchführung von Records-Management-Systemen.