Logo Swiss IT Reseller
MEDIADATEN
ABONNIEREN
NEWSLETTER

Ordnung im Datenchaos

Als der Mensch seine Geschäfte noch in Stein meisselte, auf Ton- oder Wachstafeln kritzelte und schliesslich auf Papier schrieb, hatte er noch Ordnung in seiner Dokumentensammlung. Seit sich der Mensch aber dem E-Commerce zugewendet hat, herrscht das elektronische Datenchaos.

Artikel erschienen in Swiss IT Reseller 2007/05

     

Fachleute nennen die «Ordnung im Datenchaos» «Records Management», also das Management der elektronischen Aufzeichnungen. Dazu gehört die Überwachung, Gewichtung, Verteilung, Umschichtung, Qualitätsprüfung, Korrektur, Archivierung und nicht zu vergessen Vernichtung von elektronischen Daten aus Geschäftsaktivitäten. Das Records Management ist Teil der Corporate bzw. IT Governance.

Rechtliche Grundlagen

Die rechtlichen Grundlagen für das Records Management finden sich primär im Obligationenrecht (Kaufmännische Buchführung), in der darauf basierenden Geschäftsbücherverordnung (GeBüV), im Strafgesetzbuch (StGB), im Mehrwertsteuergesetz (MWStG) bzw. der darauf basierenden Verordnungen (MWStV, EIDIV), im Datenschutzgesetz (DSG) sowie in öffentlichrechtlichen Buchführungs- und Aufbewahrungsvorschriften.

Aufbau und Umsetzung eines Records Management Systems

Der Aufbau und die Umsetzung eines Records Management Systems kann in eine Analyse, ein Konzept, eine Umsetzungs- und eine Controllingphase unterteilt werden. In einer ersten Phase müssen die für die Branche konkreten rechtlichen Grundlagen analysiert werden. Dazu kommt eine Analyse der Bedürfnisse der Stakeholder des Unternehmens (Corporate Governance). Schlussendlich müssen die technischen und betrieblichen Rahmenbedingungen untersucht werden. Zu letzterem gehört u. a. die Analyse der Geschäftsprozesse und der darin entstehenden und aufzubewahrenden Daten (Data Life Cycle).


Aufgrund der Analyse folgt dann die Konzeption des Records Managements, inklusive des Erlasses von entsprechenden Policys und Weisungen.
Bei der Umsetzung eines Records Managements Systems sind die im Unternehmen in Geschäftsprozessen entstehenden Daten zu klassieren (ordnen) und zu klassifizieren ­(Sicherheitsrelevanz). Entsprechend sind die Daten innerhalb des Unternehmens zu führen und wenn dafür vorgesehen zu archivieren. Ein Records Management führt zu einem bewussten Umgang mit allen im Unternehmen bestehenden und entstehenden Daten. Auch das Records Management braucht ein Controlling. Es reicht nicht, ein Records Management System einzuführen. Es muss regelmäs­sig kontrolliert werden, ob dieses entsprechend dem definierten Konzept, den Policies und Weisungen umgesetzt wird. Zu kontrollieren sind insbesondere die Auffindbarkeit, Vollständigkeit, Richtigkeit, Authentizität (Echtheit, z. B. elektronisch signiert) und Lesbarkeit der Daten.

E-Invoicing

Ein grosses Thema im Rahmen des Records Managements ist das E-Invoicing, die elektronische Rechnungsstellung. Dabei sind vor allem die Vorschriften der Mehrwertsteuergesetzgebung bzw. der entsprechenden Verordnung des Eidg. Finanz­departements über elektronisch übermittelte Daten und Informationen (EIDIV) zu beachten; andernfalls würden die im Rahmen des E-Invocings erstellten Belege nicht zum Vorsteuerabzug berechtigen. Beweiskräftig im Sinne der Mehrwertsteuergesetzgebung sind elektronische Belege, wenn sie den Nachweis des Ursprungs, der Integrität und der Nichtabstreitbarkeit von Versand und Empfang ermöglichen.

Archivierung

Art. 7 der Geschäftsbücherverordnung, aber auch die Grundsätze des Records Managements verlangen, dass aktuelle Daten klar von archivierten Daten getrennt gehalten werden; dies gilt auch bezüglich der personellen Zuständigkeit und Verantwortlichkeit. Der Zugang zu archivierten Daten ist restriktiver zu handhaben als der Zugang zu aktuellen Daten.

Zeitpunkt der Archivierung

Das Gesetz sieht keinen bestimmten Zeitpunkt für den Beginn der Archivierung von Daten vor. Sinnvoll ist die Trennung von Daten von den aktuellen Daten, wenn jene sich nicht mehr verändern. Als Archivierungsdauer gilt aufgrund der einschlägigen Normen die Faustregel von zehn Jahren. Ausnahmsweise sind es fünfzehn bzw. zwanzig Jahre.

Grundanforderung ans Archiv

Archiviert wird die letzte, rechtsgültige Version von Daten. Einmal archivierte Daten dürfen nicht mehr verändert werden; wenn notwendig können sie mit Zusätzen versehen werden. Die archivierten Daten sind in einem von den Daten verschiedenen Index zu erfassen. Geschäftsvorfälle müssen aufgrund archivierter Daten innert angemessener Frist (in der Regel innert max. einer Woche, Art. 6 Geschäftsbücherverordnung) von dazu Berechtigten (z. B. MWSt-Behörde) nachvollzogen werden können. Alle relevanten Vorgänge im Datenarchiv sind zu protokollieren. Am Ende des Data Life Cycle sind Daten in definierten und kontrollierten Verfahren zu vernichten.


Insbesondere zur Erhaltung der Lesbarkeit und für eine effizientere Speicherung ist eine Migration der Daten zulässig. Der entsprechende Prozess muss dokumentiert und protokolliert werden. Daten aufzubewahren bzw. zu archivieren ist nutzlos, wenn man sie später nicht mehr lesen kann. Darum kann es notwendig sein, mit den Daten auch entsprechende Hard- und Software (Hilfsmittel) aufzubewahren. Gemäss den Grundsätzen des Records Managements sind jedoch nur spezielle Hilfsmittel aufzubewahren. Die Aufbewahrung von Standard Hard- und Software ist nicht geboten.

Aufbewahrung von E-Mails

Auch E-Mails können Geschäftsdokumente darstellen, die im Rahmen des Records Managements zu erfassen und aufzubewahren bzw. zu archivieren sind. Erfahrungen der letzten Jahre haben dabei gezeigt, dass bei den E-Mails die (effektive!) Vernichtung besonders wichtig sein kann. E-Mails müssen allfällig im Rahmen von Prozessen an Gerichte herausgegeben werden. In verschiedenen Prozessen in den USA konnten dabei insbesondere Insider-Tatbestände nachgewiesen werden, da die entsprechenden E-Mails nicht gelöscht wurden.

Outsourcing

Das Gesetz verbietet es grundsätzlich nicht, das Records Management, insbesondere die Archivierung, durch Dritte, vornehmen zu lassen (Outsourcing). Die Verantwortung für die Daten verbleibt jedoch bei dessen Inhaber. Dieser hat u. a. dafür zu sorgen, dass allfällige Geheimhaltungsvorschriften und Datenschutzvorschriften eingehalten werden; letzteres insbesondere auch bei ausländischen Outsourcingpartnern.

Der Autor

Ueli Grüter, LL.M., Rechtsanwalt, ist ­Partner bei Grüter Schneider & Partner (gsplaw.ch), Rechts- und Patentanwälte, Zürich/Luzern, und Dozent für Kommunikations- und Technologierecht an der Fachhochschule Zentralschweiz (fhz.ch). Er berät zusammen mit Unic Internet Solutions, Zürich/Bern
(unic.com) Unternehmen bezüglich der Konzeption und Durchführung von Records-Management-Systemen.


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Vor wem mussten die sieben Geisslein aufpassen?
VORHERIGE NEWS
 
NÄCHSTE NEWS
Ingram Micro | HPE Smart Choice
Umfassende Cybersicherheit für OT-Umgebungen
Cisco-Distributoren im Fokus: Alltron
plus-IT AG feiert 20 Jahre Innovation und Wachstum - Stabsübergabe per 1.1.2025
Advertorial

plus-IT AG feiert 20 Jahre Innovation und Wachstum - Stabsübergabe per 1.1.2025

Winterthur, 26.02.2024 – Die plus-IT AG, ein führendes Schweizer Unternehmen im Bereich Business Intelligence, begeht ihr 20-jähriges Jubiläum. Dieser Meilenstein markiert zwei Jahrzehnte kontinuierlicher Innovation und Wachstum. Gegründet von Beat Honegger, hat sich plus-IT durch erstklassige BI-Lösungen und starke Kundenbeziehungen, mit namhaften Partnern wie SBB AG und Accelleron Industries AG, etabliert.
Neue Zertifizierungen für die komplexe Cybersecurity-Welt
AV-Projekte professionell umsetzen: Mit Ceconet klappt’s
GOLD SPONSOREN
SPONSOREN & PARTNER