Verordnung über die elektronische Geschäftsverwaltung in der Bundesverwaltung (GEVER- Verordnung; SR )

Transkript

1 Eidgenössisches Justiz- und Polizeidepartement EJPD Bundesamt für Justiz BJ Direktionsbereich Zentrale Dienste Fachbereich Rechtsinformatik Verordnung über die elektronische Geschäftsverwaltung in der Bundesverwaltung (GEVER- Verordnung; SR ) Erläuterungen zur Verordnung vom 30. November Einleitung Um effiziente Abläufe und transparentes, nachvollziehbares Verwaltungshandeln sicherzustellen, werden die Bundeskanzlei BK und alle Departemente nach dem Beschluss des Bundesrates vom 23. Januar 2008 künftig die elektronische Geschäftsverwaltung (GEVER) im Rahmen des Programms GEVER Bund einführen. Der Bundesrat beschloss am 6. Juni 2011 die Einführung von GEVER per Die Aufbau- und Ablauforganisation der elektronischen Geschäftsverwaltung des Bundes ist nach den Vorgaben dieser Verordnung in den folgenden Dokumenten beschrieben 1 : - Anforderungskatalog ÜDP vom Organisationshandbuch GEVER vom (Teile I, II, III), Version GEVER-Systemkonzept vom , Version Fachanforderungen an die Sicherheit von GEVER als System vom , Version 0.37 Das Organisationshandbuch und das GEVER-Systemkonzept sind nach Inkrafttreten der GEVER-Verordnung von der Generalsekretärenkonferenz GSK noch zu genehmigen, damit sie allgemein verbindlich werden (Art. 17 Abs. 4). Die Einführung von GEVER berücksichtigt die geltenden gesetzlichen Vorgaben. Die Bundesverfassung der Schweizerischen Eidgenossenschaft vom 18. April 1999 (BV; SR 101) legt die Grundsätze des Verwaltungshandelns und der Verantwortlichkeiten fest (Art. 5: Grundsätze rechtsstaatlichen Handelns; 5. Titel, 3. Kapitel: Bundesrat und Bundesverwaltung). Das Regierungs- und Verwaltungsorganisationsgesetz vom 21. März 1997 (RVOG; SR ) konkretisiert diese Grundsätze in Artikel 8, der eine zweckmässige, leistungsfähige und innovative Organisation und Führung der Bundesverwaltung verlangt. Die Regierungsund Verwaltungsorganisationsverordnung vom 25. November 1998 (RVOV; SR ) regelt in Artikel 22 den Nachweis der Verwaltungstätigkeit durch Aktenführung und integriert diese in die allgemeinen Planungs- und Controllingaufgaben. 1 Informationen zum Thema GEVER sind unter zu finden.

2 Rechtsgrundlage der GEVER-Verordnung ist Artikel 57h RVOG. Danach kann jedes Bundesorgan zur Registrierung, Verwaltung, Indexierung und Kontrolle von Schriftenverkehr und Geschäften ein Dokumentationssystem führen. Diese Verordnung bestimmt die Grundlagen für solche Systeme. Die Verordnung setzt dabei die politischen und funktionalen Vorentscheide des Bundesrates um. Diese zielen auf eine künftigen Ansprüchen an die Informationsverarbeitung gewachsene Konzeption, die nicht nur zukunftssicher ist, sondern auch die Rechtmässigkeit, Nachvollziehbarkeit und Effizienz der Bearbeitung der Unterlagen des Bundes sicherstellt. Sie steht zudem in Einklang mit der egovernment-strategie des Bundesrates. 2 In der Verordnung werden die folgenden Grundsätze fixiert: Die Vorschriften sollen für alle Verwaltungseinheiten der zentralen Bundesverwaltung gelten. Die Departemente und die Bundeskanzlei entscheiden, welche der ihnen zugeordneten Verwaltungseinheiten der dezentralen Bundesverwaltung sie der Verordnung unterstellen. Dokumente des Bundes sollen, wo immer möglich, elektronisch bearbeitet werden. Ausnahmen haben sich in engen Grenzen zu bewegen. Geschäftsverwaltungsdokumente sind grundsätzlich in einem GEVER-System zu führen. Nebensysteme, gemeinsame Ablagen oder andere elektronische Aufbewahrungsgefässe sind nach Möglichkeit aufzuheben. Elektronisch erstellte oder erfasste Dokumente sollen im Papieroriginal weitestgehend vernichtet werden; Doppelarchivierungen sind zu vermeiden. Parallele Papierablagen dürfen nicht mehr bewirtschaftet werden. Das Bundesarchiv BAR bestimmt für die elektronische Archivierung ein zukunftssicheres Format, das die künftige Lesbarkeit der Dokumente gewährleistet. Schutzwürdige Dokumente in den GEVER-Systemen sind durch technische Massnahmen (zum Beispiel durch Verschlüsselung) und klare Regelung der Zugriffsberechtigungen mit dem Stand der Technik entsprechenden Sicherheitsmerkmalen zu versehen. Die Verordnung orientiert sich an bereits beschlossenen Massnahmen des Bundesrates und den geltenden Standards. Die Informationssicherheit der GEVER-Systeme soll mithilfe eines obligatorischen Informationssicherheits-Konzeptes gewährleistet werden. Die Verordnung weist folgende Struktur auf: - Der 1. Abschnitt der Verordnung enthält die allgemeinen Bestimmungen wie Grundsätze, Regelungsgegenstand, Geltungsbereich, Begriffe und eine Regelung zur Produktewahl. - Im 2. Abschnitt werden die Datenbearbeitung und der Datenschutz geregelt. Es wird unter anderem vorgeschrieben, wie elektronische Dokumente zu signieren und welche Vorschriften bei einem Trägerwandel einzuhalten sind. Zudem wird das für die Datenbearbeitung verantwortliche Organ genannt. - Der 3. Abschnitt enthält Bestimmungen zur Daten- und Systemsicherheit. In diesem Zusammenhang werden unter anderem die Grundsätze für die Sicherheit der GEVER- Systeme und der darin bearbeiteten Dokumente, die Verschlüsselung besonders schutzwürdiger Informationen, der Datenaustausch sowie die Authentifikation geregelt. Zusätzlich werden Massnahmen vorgeschrieben, die zur Umsetzung und Erhaltung der Informationssicherheit dienen. - Im 4. Abschnitt geht es um die Zuständigkeiten in der Bundesverwaltung im Bereich GEVER. Es werden die einzelnen Organe genannt und deren Aufgaben festgelegt, soweit diese nicht schon in anderen Bestimmungen geregelt sind. - Der 5. Abschnitt bestimmt den Grundsatz für die Finanzierung von Betrieb, Unterhalt und Weiterentwicklung der GEVER-Systeme /19

3 - Der 6. Abschnitt enthält schliesslich die Schlussbestimmungen mit den Vorschriften für Vollzug und Umsetzung. Auf Dokumente, die in GEVER-Systemen bearbeitet werden, sind von Fall zu Fall noch diverse andere Erlasse anwendbar: - Das Auskunftsrecht richtet sich nach den Artikeln 8, 9 und 25 des Bundesgesetzes vom 19. Juni 1992 über den Datenschutz (DSG; SR 235.1). - Die Bekanntgabe von Personendaten aus GEVER-Systemen durch Bundesorgane richtet sich nach den Vorschriften von Artikel 19 DSG. Verwaltungseinheiten der Bundesverwaltung dürfen Personendaten nur bekannt geben, wenn dafür eine gesetzliche Grundlage besteht (Art. 17 Abs. 1 in Verbindung mit Art. 19 Abs. 1 DSG). In Artikel 19 DSG sind jedoch einige Ausnahmen vorgesehen, um eine rationelle Verwaltungstätigkeit und die Erfüllung der gesetzlichen Aufgaben zu sichern. Diese Ausnahmen gelten jedoch nur in den Einzelfällen, die in Artikel 19 DSG abschliessend aufgezählt und eng auszulegen sind. - Für Gesuche um Zugang zu amtlichen Dokumenten gilt das Bundesgesetz vom 17. Dezember 2004 über das Öffentlichkeitsprinzip der Verwaltung (BGÖ; SR 152.3). Gemäss Artikel 6 BGÖ hat jede Person das Recht, amtliche Dokumente einzusehen und von den Behörden Auskünfte über den Inhalt amtlicher Dokumente zu erhalten. Das Recht auf Zugang zu amtlichen Dokumenten kann unter den in Artikel 7 und 8 BGÖ genannten Gründen eingeschränkt, aufgeschoben oder verweigert werden. Der Zugang zu Dokumenten der Bundesverwaltung darf nicht dazu führen, dass die Regierungsfähigkeit des Landes gefährdet oder eingeschränkt wird. - Werden klassifizierte Informationen aus GEVER-Systemen bekanntgegeben, so finden die Bestimmungen der Verordnung vom 4. Juli 2007 über den Schutz von Informationen des Bundes (Informationsschutzverordnung [ISchV]; SR ) Anwendung. Damit ist sichergestellt, dass für Dokumente aus GEVER-Systemen kein Sonderrecht geschaffen wird, sondern die allgemeinen Grundsätze gelten. - Die Ablieferung von archivwürdigen Dokumenten richtet sich nach dem Bundesgesetz vom 26. Juni 1998 über die Archivierung (BGA; SR 152.1) und der Verordnung vom 8. September 1999 über die Archivierung (VBGA; SR ). Weiter gelten die Weisungen vom 28. September 1999 über die Anbietepflicht und die Ablieferung von Unterlagen an das Schweizerische Bundesarchiv sowie die Weisungen des EDI vom 13. Juli 1999 über die Aktenführung in der Bundesverwaltung [WAF; BBl ]). Das sachgemässe Aufbewahren von geschäftsrelevanten Dokumenten liegt in der Verantwortung der Verwaltungseinheit. Sie befolgt dabei die WAF und ist für die Lesbarhaltung ihrer Daten besorgt. Sie muss die Nachvollziehbarkeit ihrer Dokumente gewährleisten. Zur Aufbewahrungsfrist: Grundsätzlich entscheiden die Verwaltungseinheiten, wie lange sie die geschäftsrelevanten Dokumente im direkten Zugriff im Interesse ihrer Geschäfte benötigen. Einmal ans BAR abgeliefert, stehen die Dokumente in der Online-Recherche nicht mehr zur Verfügung. Das BAR kann sie nach einem entsprechenden Suchauftrag der Verwaltungseinheit innert 24 Stunden wieder elektronisch zur Verfügung stellen. Spätestens zehn Jahre nach dem letzten Aktenzuwachs sind die Dokumente dem BAR anzubieten (Art. 4 Abs. 1 VBGA). Anbieten und Abliefern von Dokumenten liegen in der Verantwortung der Verwaltungseinheit. Spezialgesetzliche Regelungen sind vorbehalten. 3/19

4 2. Erläuterungen zu den einzelnen Bestimmungen 1. Abschnitt: Allgemeine Bestimmungen (Artikel 1-5) Artikel 1: Grundsätze Absatz 1 legt den Grundsatz dieser Verordnung fest. Danach sind geschäftsrelevante Dokumente der Bundesverwaltung nicht länger in Papierform, sondern in der Regel elektronisch und in einem GEVER-System zu führen. Die Geschäftsrelevanz beurteilt sich nach Artikel 22 RVOV. Der Nachweis der Verwaltungstätigkeit der Verwaltungseinheiten bezieht sich nur auf die geschäftsrelevanten Dokumente. Grundsätzlich nicht geschäftsrelevant sind Dokumente gemäss der sogenannten Negativliste 3. Es handelt sich hierbei um eine Liste von Dokumenten, die nicht registriert werden müssen, weil sie für den Nachweis der Verwaltungstätigkeit nicht relevant sind. Diese Liste wird von jeder Verwaltungseinheit erstellt, ist Teil der Organisationsvorschriften 4 und muss dem BAR zur Beurteilung unterbreitet werden. Beispiel BK: Geschäftsrelevant sind nach dieser Liste z.b. für die BK alle Informationen, welche die Verwaltungstätigkeit der BK dokumentieren, das heisst alle Dokumente, welche für die BK wichtig sind, die Bestandteile ihrer Geschäfte bilden, zur Lagebeurteilung und Entscheidungsfindung beitragen, Verpflichtungen für die BK begründen oder Verpflichtungen Dritter gegenüber der BK dokumentieren. 5 Dazu gehören namentlich auch alle Dokumente, die aus Bundesrats- und Parlamentsgeschäften entstehen (ungeachtet ihrer Klassifizierung). Dabei sind Doppelablagen unbedingt zu vermeiden. Dokumente, die nach Ablauf der Aufbewahrungsfrist ans Bundesarchiv BAR abgeliefert werden, sollten bei der abliefernden Verwaltungseinheit nicht mehr geführt werden. So gehören namentlich die Dokumente aus folgenden Geschäften zum zwingenden Inhalt von Artikel 22 RVOV: - Bundesrats-, Parlaments- und Departementsgeschäfte; - Rechtsetzung; - Alle Korrespondenz; - Berichte; - Präsentationen; - Protokolle; - Verträge/SLAs (Service Level Agreement, d.h. Dienstleistungsverträge) 6 ; - Verfügungen, soweit diese nicht in einer Fachapplikation geführt werden; - Weisungen und Führungsunterlagen. - Persönliche und interne Notizen, soweit sie für die Geschäfte der Verwaltungseinheiten entscheidend sind. 3 Vgl. beispielhaft Anhang I, Ziffer 2.2, letzter Abschnitt der Weisung des EDI über die Aktenführung in der Bundesverwaltung (BBl ). 4 Vgl. zum Beispiel: riften_d.pdf oder 7t,lnp6I0NTU042l2Z6ln1acy4Zn4Z2qZpnO2Yuq2Z6gpJCDdoJ4fGym162epYbg2c_JjKbNoKSn6A-- 5 Anhang 5, Ziffer 2.2 Organisationsvorschriften für die elektronische Geschäftsverwaltung (GEVER) in der Bundeskanzlei. 6 Vgl. zum Beispiel 4/19

5 Grundsätzlich haben alle Verwaltungseinheiten der Bundesverwaltung, die unter den in Artikel 2 geregelten Geltungsbereich fallen, bis zum 1. Januar GEVER einzuführen. Spezialgesetzliche Regelungen bleiben vorbehalten. Die Übergangsfrist nach dieser Verordnung läuft bis zum 31. Dezember Absatz 2: Diese Verordnung bezweckt den rechtmässigen, sicheren und wirtschaftlichen Einsatz der elektronischen Geschäftsverwaltungssysteme des Bundes. GEVER orientiert sich an den Geschäftsabläufen. Sie unterstützt die systematische Aufzeichnung der Geschäftstätigkeit sowie die strukturierte Ablage von Dokumenten in Dossiers. Eine moderne, transparente und rechtskonforme Aktenführung bringt folgenden Nutzen: - Erhöhung der Transparenz und Nachvollziehbarkeit; - Kürzere Durchlaufzeit; - Steigerung der Effizienz; - Erhöhte Selbständigkeit der Mitarbeiter; - Zunahme der Flexibilität der Verwaltungsarbeit. Absatz 3: Diese Bestimmung ist das Korrelat von Artikel 10 Absatz 3 Buchstabe b, der die Aufbewahrung der physischen Dokumente solange erlaubt, wie es die Geschäftsbearbeitung nötig macht. Damit soll sichergestellt werden, dass keine doppelten Papierablagesysteme entstehen, die beide bewirtschaftet werden und dann archiviert werden müssen. Artikel 2: Gegenstand Diese Verordnung beschränkt sich auf die Regelung der Grundsätze, der Informationssicherheit und der Zuständigkeiten. Für alle weiteren Aspekte gelten bereits bestehende Regelungen (vgl. S. 3). Artikel 3: Geltungsbereich Absatz 1: In den persönlichen Geltungsbereich dieser Verordnung fallen die Verwaltungseinheiten der zentralen Bundesverwaltung, welche in Artikel 7 in Verbindung mit Artikel 8 Absatz 1 Buchstabe a RVOV 8 aufgelistet sind. Zudem gilt die Verordnung für Dritte, die von ausserhalb der Bundesverwaltung zugreifen und im Auftrag des Bundes Dokumente aus GEVER-Systemen bearbeiten. Dritte im Sinne der Verordnung sind ausserhalb der jeweiligen Verwaltungseinheit stehende Personen und Organisationen (z.b. Kantone). Absatz 2: Diese Norm erlaubt den Departementen und der BK, die ihnen zugeordneten Verwaltungseinheiten der dezentralen Bundesverwaltung den Vorschriften dieser Verordnung zu unterstellen. Dies wird in der Praxis vor allem dort der Fall sein, wo es nötig ist, die innerdepartementalen Prozesse (IDP) kohärent durchzuführen. Die Departemente sind daran interessiert, die Geschäfte soweit als möglich elektronisch abzuwickeln. Diese Norm macht Sinn, da die politische Verantwortlichkeit für die ordnungsgemässe Geschäftsführung bei der BK und den Departementen liegt. Zudem ermöglicht eine solche Vorschrift, GEVER-Systeme wirtschaftlich zu betreiben und teure Parallel-Systeme und Medienbrüche zu verhindern. Die Departemente und die BK werden bei ihrem Entscheid über die Unterstellung unter die Verordnung die betroffenen Verwaltungseinheiten anhören und deren spezielle Rechtsstellung berücksichtigen. Die Unterstellung sollte nicht dazu führen, dass gesetzliche Organisationsautonomien gefährdet würden. 7 Vgl. BRB vom 23. Januar 2008 und vom 6. Juni Anhang 1 RVOV (Liste der Verwaltungseinheiten der Bundesverwaltung). 5/19

6 Absatz 3: Damit soll sichergestellt werden, dass keine regelungsfreien Ablagen entstehen. Die Verordnung gilt deshalb teilweise auch für Dokumente, die obwohl geschäftsrelevant ausserhalb von GEVER-Systemen abgelegt sind. So ist sichergestellt, dass Geschäftsverwaltungsdaten einem einheitlichen rechtlichen Schicksal unterliegen. Die Bestimmung ist Ausfluss der Strategie, wonach Geschäftsverwaltungsdokumente eigentlich in einem GE- VER-System zu bearbeiten sind. Auch für Ablagen ist ein Bearbeitungsreglement zu erstellen. Zudem sind die Grundsätze der Daten- und Systemsicherheit zu berücksichtigen. In der Praxis betrifft dies Dokumente, die etwa auf gemeinsamen Laufwerken liegen oder Daten aus dem -Verkehr sowie Dokumente aus Projektarbeiten, die auf sogenannten Collaboration-Plattformen geführt werden. Dokumente können während der Dauer des Projektes auf dieser Plattform ausserhalb des GEVER-Systems bearbeitet werden. Nach Projektabschluss müssen sie im Collaboration-System gelöscht und in das jeweilige GEVER- System transferiert werden. Dieser Transfer erübrigt sich, wenn das Projekt innerhalb eines GEVER-Systems geführt wird. Absatz 4: Wo bereits Regelungen bestehen oder gar keine Personendaten bearbeitet werden, findet die Verordnung keine Anwendung. Die Regeln der GEVER-Verordnung gelten damit nur für Sachverhalte, die in der Rechtsgrundlage der Fachanwendungen ungeregelt sind. Selbstverständlich können die GEVER-Normen auch lückenfüllende Anwendung finden. Fachanwendungen ohne spezielle Rechtsgrundlage unterstehen den Vorschriften dieser Verordnung. Die Rechtsgrundlage für die Führung von elektronischen Bewerbungs- und Personaldossiers von Bundesangestellten wurde im Rahmen der Revision des Bundespersonalgesetzes vom 24. März 2000 (BPG; SR ) geschaffen. In den GEVER-Systemen werden aktuell keine Personaldossiers verwaltet. Für die Regelung der Bearbeitung von Personaldossiers ist das Eidgenössische Personalamt (EPA) federführend. Es hat dazu die Verordnung vom 26. Oktober 2011 über den Schutz von Personendaten des Bundespersonals (BPDV; SR ) erarbeitet. Falls in GEVER-Systemen Personaldaten bearbeitet werden sollten, gelten ebenfalls die Vorschriften dieser Vollzugsverordnung. Weitere Beispiele für Fachanwendungen, die über eine spezielle Rechtsgrundlage verfügen: - Verordnung vom 12. April 2006 über das Zentrale Migrationsinformationssystem (ZEMIS- Verordnung; SR ); - Verordnung vom 7. Mai 2008 über den nationalen Teil des Schengener Informationssystems (N-SIS) und das SIRENE-Büro (N-SIS-Verordnung; SR 362.0); - Verordnung vom 16. Dezember 2009 über das Personen-, Akten- und Geschäftsverwaltungssystem PAGIRUS des Bundesamtes für Justiz (PAGIRUS-Verordnung; SR ). Fachanwendungen, die nicht der Verordnung unterstehen, sind auch die polizeilichen Informationssysteme des Bundes (Art des Bundesgesetzes vom 13. Juni 2008 über die polizeilichen Informationsysteme des Bundes [BPI]; SR 361). Als weiteres Beispiel zu erwähnen sind in diesem Zusammenhang die militärgerichtlichen Verfahren: Der Militärstrafprozess (MStP; SR 322.1) regelt in Artikel 43 in Verbindung mit Artikel 35b der Verordnung über die Militärstrafrechtspflege (MStV; SR 322.2) die Aktenverwaltung der Militärjustiz. Ebenso wenig fallen technische Systeme, wie z.b. etwa das Ticketsystem zum Management von Störungen des Bundesamtes für Informatik und Telekommunikation BIT unter die Verordnung. 6/19

7 Artikel 4: Begriffe Überdepartementale Prozesse (ÜDP, Buchstabe a) sind Geschäfte, an denen [ ] mindestens zwei Generalsekretariate bzw. mindestens ein Generalsekretariat mit den Parlamentsdiensten in Zusammenarbeit, Koordination mit der Bundeskanzlei bzw. Federführung durch die Bundeskanzlei stehen. 9 Die Dokumente aus den Ämterkonsultationen fallen nicht unter diese Bestimmung. Die Ämterkonsultation entspricht nicht der ÜDP-Grunddefinition, da die BK keine Koordinationsrolle innehat. Ämterkonsultationen werden daher künftig auch nicht im ÜDP-System abgewickelt. Ein Dokument (Buchstabe b) besteht aus einer Datei und ihrer Beschreibung, den sogenannten Metadaten. Eine Datei (z.b. Word- oder PDF-Datei) ist ein strukturierter Bestand inhaltlich zusammengehöriger Daten, die auf einem beliebigen Datenträger oder Speichermedium abgelegt bzw. gespeichert werden kann. Metadaten sind Daten, die Informationen über andere Daten enthalten (z.b. Titel, Beschreibung oder Dokumenttyp). Ordnungssysteme, Dossiers/Subdossiers und Dokumente müssen mit Metadaten versehen sein. Diese werden zur Abwicklung von Geschäften benötigt und sind Grundlage für die Nachvollziehbarkeit der Geschäftstätigkeit. Metadaten unterstützen die elektronische Verwaltung von erhaltenen bzw. erstellten Dokumenten über deren gesamten Lebenszyklus. Darüber hinaus liefern sie Zusatzinformationen über Dokumente und erleichtern deren Auffinden. Das Ordnungssystem (Buchstabe c) ist nach den Aufgaben und Geschäftsfeldern der Verwaltungseinheiten des Bundes strukturiert und erlaubt mit der Hinterlegung und der automatischen Vererbung von Metadaten eine geschäftsbezogene Ablage und Bewirtschaftung aller Dossiers samt deren Inhalte im gesamten Lebenszyklus. Es ermöglicht die Kontextbildung und Kontexterhaltung, eine einheitliche Verwaltung unterschiedlicher Informationsträger, eine strukturierte Suche, eine Aufbewahrungs- und Aussonderungsplanung, ein Workflowmanagement sowie die Erfüllung einer rechtskonformen Aktenführung. Insofern bildet das Ordnungssystem die Voraussetzung für die systematische Ablage von Dokumenten. 10 Artikel 5: Produktwahl Absatz 1: Verwaltungseinheiten, die unter den Geltungsbereich dieser Verordnung fallen, wählen ein GEVER-System, das vom zuständigen Organ als Standard zugelassen ist. Das zuständige Organ wird durch die Verordnung vom 9. Dezember 2011 über die Informatik und Telekommunikation in der Bundesverwaltung (Bundesinformatikverordnung, BinfV; SR ) bestimmt. Nach der revidierten BinfV ist der Bundesrat für die Bestimmung von Standarddiensten zuständig (Art. 14 Bst. b BinfV). Aktuell ist nur ein System (fabasoft) als Standard zugelassen. Absatz 2: Ausnahmen sollen sehr restriktiv gehalten werden. Spezielle Verwaltungseinheiten müssen die Möglichkeit haben, das für sie optimale System wählen zu können. Wenn sie ein anderes Produkt wählen möchten, gelangen sie via Steuerungsausschuss an das Informatiksteuerungsorgan des Bundes ISB, welches den Antrag prüft und die Generalsekretärenkonferenz konsultiert. Danach wird die Ausnahme bewilligt oder verweigert. Diese Zuständigkeit deckt sich auch mit Artikel 17 Absatz 1 Buchstabe f BinfV. 9 Anforderungskatalog ÜDP (Version 2.1i), Ziffer Vgl. die Ausführungen zu Artikel 9. 7/19

8 2. Abschnitt: Datenbearbeitung und Datenschutz (Artikel 6-11) Artikel 6: Für die Datenbearbeitung verantwortliches Organ Verantwortliches Organ im Sinne von Artikel 16 DSG ist für die Datenbearbeitung für den Bereich GEVER-ÜDP die Bundeskanzlei (Bst. a) und für die anderen GEVER-Systeme die jeweilige Verwaltungseinheit nach Artikel 7-8 RVOV (Bst. b). Artikel 7: Bearbeitungsreglemente Bearbeitungsreglemente sind Elemente des Datenschutzes und der Informationssicherheit. Sie sollen für die notwendige Transparenz im Umfeld sowohl der Systementwicklung als auch der Compliance der Datenbearbeitung sorgen. Gemäss Artikel 11 der Verordnung vom 14. Juni 1993 zum Bundesgesetz über den Datenschutz (VDSG; SR ) in Verbindung mit Artikel 21 VDSG haben Verwaltungseinheiten der Bundesverwaltung ein Bearbeitungsreglement zu erlassen, wenn sie ein GEVER-System führen. Der Inhaber der Datensammlung resp. das verantwortliche Organ hat das Bearbeitungsreglement regelmässig zu aktualisieren (Art. 11 Abs. 2 VDSG). Da diese in Artikel 21 VDSG ausführlich geregelt werden, erübrigen sich weitere Ausführungen. Die BK erlässt für den Bereich ÜDP ein Bearbeitungsreglement. Als für das Gesamtsystem verantwortliches Bundesorgan muss die BK im Bearbeitungselement auch festlegen, welche konkreten Massnahmen von den Verwaltungseinheiten zu treffen sind. Artikel 8: Anmeldung der GEVER-Systeme Nach Artikel 11a Absatz 2 DSG müssen die Bundesorgane ihre GEVER-Systeme anmelden. Diese Verpflichtung wird in Artikel 16 VDSG explizit festgehalten. Die Bundesorgane haben bei der Anmeldung die gleichen Informationen zu liefern wie Inhaber von Datensammlungen im privaten Bereich (Art. 3 und 4 VDSG), unter zusätzlicher Angabe der Rechtsgrundlage. Die Bundesorgane sind verpflichtet, diese Angaben laufend zu aktualisieren. Artikel 9: Ordnungssystem Das Ordnungssystem weist verschiedene Hauptmerkmale auf: Einerseits enthält es alle Aufgaben und Geschäfte der Verwaltungseinheit, anderseits erlaubt sein flexibler Aufbau die Integration neuer Aufgaben. Um den Überblick über die Aufgabenbereiche optimal zu gewährleisten, muss es hierarchisch aufgebaut, angemessen detailliert und ausbaufähig sein. Die Organisationseinheiten definieren, wie ihre Aufgaben und Geschäfte in der Struktur des Ordnungssystems abzubilden sind. Ein Ordnungssystem ist hierarchisch in Ordnungspositionen gegliedert und weist eine einheitliche Systematik auf, welche die eindeutige Dossierzuordnung unterstützt. Zu den Ordnungspositionen werden notwendige Metadaten wie Klassifikation, Berechtigungen, Standort- und Aufbewahrungsplanung sowie die Steuerung der Zugriffs- und Bearbeitungsrechte etc. bestimmt und auf Dossiers/Subdossiers vererbt. Dossiers werden zur jeweils untersten Stufe des Ordnungssystems, d.h. der hierarchisch tiefsten Ordnungsposition ( Rubrik ), eröffnet. Je besser bzw. übersichtlicher die Aufgaben abgebildet sind und je eindeutigere Titel vergeben werden, desto leichter fällt die Zuordnung. Das ist ein entscheidender Faktor für die Akzeptanz des Ordnungssystems in der Amtsstelle. Im Aufbau ist darauf zu achten, dass die Bezeichnungen im Ordnungssystem selbst keine Sicherheitsrisiken schaffen. Eine Suche nach dem Begriff VERTRAULICH sollte Unberechtigten keine Resultate liefern. 8/19

9 Ordnungssysteme werden vom Bundesarchiv bewertet und abgenommen. 11 Artikel 10: Trägerwandel Die Abwicklung von Geschäften in Wirtschaft und Verwaltung verlagert sich zunehmend von der papierbasierten in die elektronische Welt. Dieser Prozess hat vor einem guten Jahrzehnt begonnen und wird noch zwei bis drei Jahrzehnte dauern. Während dieser Zeit und vermutlich auch später noch werden somit im Geschäftsverkehr Papierdokumente und elektronische Dokumente existieren. Unter Trägerwandel werden der Wechsel vom papierenen in elektronische Formate oder umgekehrt verstanden. Es gibt dabei folgende Konstellationen (Anwendungsfälle): - Elektronischer Eingang bei interner Papierablage: Gemäss den neuen Prozessordnungen können Eingaben bei Behörden auch elektronisch erfolgen. Diese müssen in Papierdokumente umgewandelt werden, damit sie archiviert werden können. - Papiereingang bei interner elektronischer Ablage: Mit der Einführung der elektronischen Geschäftsverwaltung in der Bundesverwaltung müssen die weiter vorkommenden Papiereingänge zur Bearbeitung und Aufbewahrung in elektronische Form umgewandelt werden. - Massen-Scanning zur Einsparung von Aufbewahrungsplatz: Grossvolumige Ablagen oder Archive mit Papierdokumenten sollen durch Scanning in elektronische Form gebracht und dadurch platzsparend abgelegt werden. - Wechsel des elektronischen Formats: Es stellt sich hier die Frage, wie ein elektronisches Dokument von einem Format auf ein anderes umgewandelt werden kann. So z.b., wenn sich neue Dateiformate für die Archivierung durchsetzen oder wenn Anwendungen mit ihren Daten von einem System auf ein Neues migriert werden müssen. Es findet hier zwar in dem Sinne kein Trägerwandel statt, aber eine Umwandlung mit vergleichbaren Fragen. Sobald in einem solchen Anwendungsfall spezifische Vorschriften existieren, seien sie betrieblicher, vertraglicher oder staatlicher Natur, gehen diese vor (z.b. die in Art. 9 der Verordnung vom 24. April 2002 über die Führung und Aufbewahrung der Geschäftsbücher [Geschäftsbücherverordnung; SR ] geregelten zulässigen Informationsträger). Beim Trägerwandel geht der mit dem Papierdokument verbundene Beweiswert als Original grundsätzlich verloren. Deshalb sind Dokumente nach Artikel 10 Absatz 3 Buchstabe a-c, die dieses Beweiswertes bedürfen, von der Vernichtung ausgenommen. Alle anderen transformierten Dokumente gelten nach Artikel 10 Absatz 2 als Original; diese und ihre Ausdrucke haben denselben Beweiswert wie das ursprüngliche Papierdokument resp. deren Kopien. Bei dieser Rechtswirkung liegt es auf der Hand, dass ein Trägerwandel klar zu definieren ist. Die BK muss deshalb Vorschriften über die beim Trägerwandel einzuhaltenden Prozesse und Qualitätssicherungsmassnahmen (Abs. 1 Bst. a) sowie über die zu verwendende elektronische Signatur und das Format (Abs. 1 Bst. b) erlassen: Buchstabe a: Die einzuhaltenden Prozesse werden im Organisationshandbuch GEVER (OHb GEVER) Teil III, Ziffer 3.3, in Abbildung 7 festgehalten. Die Qualitätssicherung wird zum einen durch den Prozess im OHb Teil III, Ziffer 3.3 beschrieben und zum anderen durch die Anweisung im OHb Teil I, Ziffer definiert. Die BK legt gestützt auf Buchstabe b fest, welche der im Bundesgesetz vom 19. Dezember 2003 über Zertifizierungsdienste im Bereich der elektronischen Signatur (Bundesgesetz über die elektronische Signatur, ZertES; SR ) 12 geregelten elektronischen Signatur zu verwenden ist. Bezüglich des Formates hat die BK bereits PDF/A als zu verwendendes Format festgelegt (vgl. OHb GEVER Teil I). Hier ist für die definitive Festlegung obligatorisch das 11 Vgl. dazu 12 Das ZertES wird zurzeit revidiert. 9/19

10 BAR zu konsultieren. Damit soll die reibungslose Überführung von Dokumenten in die für die Archivierung vorgeschriebenen Formate sichergestellt werden. Absatz 2 stellt ordnungsgemäss elektronisch erfasste Dokumente im Rechts- und Geschäftsverkehr den Originalen gleich. Absatz 3: Physische Originaldokumente sind grundsätzlich drei Monate nach ihrer elektronischen Erfassung zu vernichten. Damit wird eine gesetzliche Verpflichtung zur Vernichtung von eingegangenen Papierdokumenten statuiert. Es liegt nicht im Belieben der Verwaltungseinheiten, eingescannte Dokumente im Original weiter aufzubewahren. Diese gesetzliche Verpflichtung gilt jedoch nicht absolut: - Buchstabe a: Von der Vernichtung ausgenommen sind Dokumente, die aufgrund gesetzlicher Bestimmungen aufzubewahren sind, z.b.: Artikel 192 der Schweizerischen Strafprozessordnung vom 5. Oktober 2007 (Strafprozessordnung, StPO; SR 312.0), (Beweisgegenstände): Die Strafbehörden nehmen die Beweisgegenstände vollständig und im Original zu den Akten (Abs. 1). Artikel 103 StPO (Aktenaufbewahrung): Die Akten sind mindestens bis zum Ablauf der Verfolgungs- und Vollstreckungsverjährung aufzubewahren (Abs. 1). Artikel 26 des Bundesgesetzes über das Verwaltungsverfahren (Verwaltungsverfahrensgesetz, VwVG; SR ), (Akteneinsicht): Die Partei oder ihr Vertreter hat Anspruch darauf, in alle als Beweismittel dienenden Aktenstücke einzusehen (Abs. 1 Bst. b). Artikel 9 und 10 der Verordnung vom 24. April 2002 über die Führung und Aufbewahrung der Geschäftsbücher (Geschäftsbücherverordnung, GeBüV; SR ). - Buchstabe b erlaubt die Aufbewahrung aller Originaldokumente, solange sie noch für die Erledigung von Geschäften benötigt werden. - Buchstabe c: Beim Trägerwandel geht der mit dem Papierdokument verbundene Beweiswert als Original grundsätzlich verloren. Deshalb sind Dokumente, die voraussichtlich benötigt werden, um rechtserhebliche Sachverhalte zu beweisen, in originaler Form aufzubewahren. - Buchstabe d: Dokumente, die aufgrund ihrer historischen und kulturellen Bedeutung aufbewahrt werden sollen, müssen nicht vernichtet werden. Die Aufzählung in Absatz 3 ist alternativ. Ziel und Zweck dieser Bestimmung ist die Vermeidung von Doppelablagen und die Verschlankung der Papierregistraturen. Die eingeräumte Frist (drei Monate) soll dazu beitragen, dass Fehler in der Erfassung noch korrigiert werden können. Wenn ein Dokument aus technischen Gründen nicht erfasst werden kann, ist es ebenfalls physisch aufzubewahren. Beispielhaft erwähnt sei hier ein signierter Baumstamm, welcher in Zusammenhang mit einer Initiative zum Thema Waldsterben eingereicht wurde. Artikel 11: Signatur Wenn elektronische Dokumente zum Zweck der Bearbeitung signiert werden sollen, regelt die BK (wie bei Art. 10 Abs. 1 Bst. b) die zu verwendende Signatur und in Absprache mit dem BAR das Dateiformat. Beim Anbringen der elektronischen Signatur kann diese mit einem Bild einer eingescannten Unterschrift ergänzt werden, damit man durchgehend mit elektronischen Dokumenten arbeiten kann. So müssen diese nicht ausgedruckt, von Hand unterschrieben und wieder eingescannt werden. Damit immer nachvollzogen werden kann, von wem das betreffende Dokument stammt, kann auch ein nachvollziehbares Visum eines GEVER-Systems verwendet werden. Es genügt das Vorliegen eines Visums, mit dem die Identität der visierenden Person sichergestellt und vermieden werden kann, dass die visierende Person zusätzlich unterzeichnen muss. 10/19

11 3. Abschnitt: Daten- und Systemsicherheit (Artikel 12-16) Die Dokumente in den GEVER-Systemen des Bundes sollen vor Zugriffen Unberechtigter, Diebstahl und unautorisierter Verwendung oder Veränderung geschützt werden. Der Bundesrat trägt mit den Schutzvorschriften den Erfahrungen der letzten Jahre Rechnung. Artikel 12: Grundsätze Absatz 1 bestimmt im Sinne eines Grundschutzes für alle Dokumente in GEVER-Systemen, dass Bestand und Inhalt bestimmter Dokumente vor der Kenntnisnahme durch Unberechtigte geschützt werden müssen. Das gilt auch im Rahmen einer Suche über alle elektronischen Dokumente. Treffer sollen nur angezeigt werden, wenn die suchende Person oder die entsprechende Funktion über die nötige Zugriffberechtigung gemäss Bearbeitungsreglement verfügt. Administratoren und Registratoren mit umfassender Zugriffsberechtigung gehören zum Kreis der Berechtigten. Deshalb werden sie auch einer erweiterten Sicherheitsprüfung unterzogen (vgl. Art. 25). Absatz 2: Für besonders schutzwürdige Dokumente schreibt die Verordnung obligatorisch den heute besten Schutz für elektronische Daten vor: ihre Verschlüsselung. Verschlüsselung ist die technische Umformung von Klartext, welche eine dem Stand der Technik entsprechende Qualität aufweist (Art. 3 Bst. k ISchV). Das Ziel der Verschlüsselung ist die möglichst sichere Verhinderung der Kenntnisnahme von Dateninhalten durch Unberechtigte. Das Restrisiko soll möglichst klein sein. Bereits nach heutigem Recht sind deshalb alle elektronischen Dokumente mit VERTRAULICHEN Inhalten zwingend zu verschlüsseln (Art. 18 ISchV und Anhang; Weisungen der Generalsekretärenkonferenz [GSK] vom über die Klassifizierung (Klassifizierungskatalog). Auch bei ihrer elektronischen Kommunikation sind diese Dokumente, die in GEVER-Systemen abgelegt sind, elektronisch zu verschlüsseln. Entsprechende Technologien sind mit vertretbaren Kosten verfügbar und stehen bereits im Einsatz. Unter Kommunikation ist ein zeitlich begrenzter Austausch von Datenpaketen zwischen mindestens zwei Teilnehmern zu verstehen. 13 Mit der Vorschrift zur Verschlüsselung wird sinngemäss zum Ausdruck gebracht, dass in der Bearbeitungskette dieser Dokumente keine Sicherheitslücken entstehen dürfen. Die elektronische Ablage eines Dokumentes im Klartext und in verschlüsselter Form macht den Schlüssel detektierbar. Nach anerkannten Fachmeinungen ist die Verschlüsselung heute technisch möglich und eines der Schutzmittel der Zukunft. Der zusätzliche Aufwand (Key Management, Datensicherung u.a.) wird durch den Sicherheitsgewinn aufgewogen. Bei breiter Anwendung wird auch der Bearbeitungsprozess vereinfacht und die Benutzerfreundlichkeit verbessert. Soweit eine Schlüsselverwaltung notwendig ist, obliegt sie dem Inhaber des jeweiligen GE- VER-Systems. Absatz 3: Geheime Daten dürfen nicht in GEVER-Systemen bearbeitet werden. Sie sind nach heutiger Rechtslage in gesicherten Einzelplatzsystemen zu bearbeiten. Die Datenbearbeitungsvorschriften der GSK im Sinne von Artikel 18 Absatz 3 ISchV (vereinfachte Handhabung im Bereich von Information der Nachrichtendienste und Polizei) gehen diesen Vorschriften als lex specialis vor. 13 Ziffer 5.1 Anhang 2 (Definitionen und Sicherheitsvorgaben für die Netzwerksicherheit) i.v.m. Ziffer 4.1 der Weisungen über die Informatiksicherheit in der Bundesverwaltung (WIsB; Abrufbar unter: 11/19

12 Artikel 13: Datenaustausch Absatz 1: Benutzerinnen und Benutzer haben die Möglichkeit Dokumente ihres GEVER- Systems in ein anderes zu senden. Jedoch besteht keine Möglichkeit Dokumente aus einem anderen GEVER-System in das eigene abzurufen. Zwischen GEVER-Systemen darf (spezialgesetzliche Regelungen vorbehalten) kein Abrufverfahren (Pull) eingerichtet werden; die Datenübermittlung muss immer vom Absender ausgelöst werden (Push). Aufgrund von Artikel 57 h Absatz 2 RVOG ist diese Regel rechtlich zwingend. Absatz 2 schreibt für die Übermittlung von GEVER-Daten zwischen den verschiedenen GE- VER-Systemen einen gesicherten Kommunikationskanal vor. Ein solcher steht heute mit der Plattform Sedex (secure data exchange) zur Verfügung. Sedex garantiert die: - Vertraulichkeit der Daten (kein Unbefugter hat Einsicht in die Daten); - Integrität der Daten (die Daten verändern sich nicht während des Transports); - gesicherte Herkunft (der Absender ist sicher identifizierbar); - Nachvollziehbarkeit (Verfolgbarkeit des Datentransports über den gesamten Prozess). Der Datenaustausch wird durch das Übermittlungssystem protokolliert und quittiert. Sedex befindet sich ausserhalb der einzelnen GEVER-Systeme. Absatz 3: Die BK als Leitbehörde für die Umsetzung von GEVER Bund bestimmt im Einvernehmen mit dem ISB, welches Produkt dafür von den GEVER-Systemen in der Bundesverwaltung zu verwenden ist. Artikel 14: Authentifikation Die GEVER-Systeme sind mit einer Authentifikation nach den Vorgaben über die Informatiksicherheit des zuständigen Organs zu führen. Nach Ziffer 5.3 Absatz 1 Anhang 2 der Weisungen des IRB vom 27. September 2004 über die Informatiksicherheit in der Bundesverwaltung (WIsB) dient die Authentifikation einerseits der Verifizierung der Identität der Teilnehmer an einer Kommunikation und hilft anderseits einer Firewall, einen Kommunikationswunsch zu autorisieren. Eine Zwei-Faktor-Authentifikation stellt immer auch eine starke Authentifikation dar. Diese wird gemäss Ziffer 5.3 Absatz 2 Buchstabe a WIsB wie folgt definiert: Ein Angreifer, der eine erfolgreiche Authentifikation auf einem der Netze mithört, kann daraus keine Information zwecks nicht-autorisierter Maskierung gewinnen". Gemäss Ziffer 5.3 Absatz 2 Buchstabe b Anhang 2 WIsB sind für eine Zwei-Faktor- Authentifikation mindestens zwei der folgenden drei Authentifikationsfaktoren notwendig: Wissen-Faktor (z.b. Passwort oder PIN), Besitz-Faktor (z.b. Zertifikat, Token oder Mobiltelefon/SIM-Karte), Sein-Faktor (Fingerabdruck, Retina Scan oder Stimmerkennung). Artikel 15: Protokollierung Die Vorschrift orientiert sich an der ständigen Praxis für Datenbanken mit schutzwürdigen Informationen (z.b. Geschäftsverwaltungssystem PAGIRUS, Informationssystem HOOGAN 14 ). Absatz 1: Bearbeitungen von Dokumenten in einem GEVER-System sind in einem Protokoll festzuhalten. Die folgenden Aktivitäten werden dabei aus Sicherheitsgründen protokolliert: Zugriffe, Druck, Versand und Änderungen am Zugriffsschutz. Das Protokoll erlaubt die Sicherstellung der Nachvollziehbarkeit und der Rechtmässigkeit der GEVER-Daten. Absatz 2: Die (elektronischen) Protokolle werden zwei Jahre lang aufbewahrt. Diese Pflicht ergibt sich aus der Geschäftsbücherverordnung vom 24. April 2002 (SR ). 14 Vgl. Verordnung des EJPD vom 14. März 2009 über die Zugriffsberechtigung für das Informationssystem HOOGAN (SR ). 12/19

13 Artikel 16: Informationssicherheitskonzept Absatz1: Die Gewährleistung der Informationssicherheit unter allen Aspekten (rechtliche, prozessuale, technische, etc.) verlangt ein systematisches Vorgehen nicht nur bei der Inbetriebnahme eines Systems, sondern auch im Dauerbetrieb. Durch die Verwendung anerkannter Normen ergeben sich automatisch aufgezeichnete Vergleichsmöglichkeiten, die Anwendung von best practises und eine gute Kontrollierbarkeit der Systeme. Dadurch wird auch die Compliance der Datenbearbeitung sichergestellt. Rechtskonformität und Datenschutz sind Teilaspekte eines gesamtheitlichen Informationsschutzes. Die Massnahmen zur Umsetzung und Erhaltung der Informationssicherheit werden in der Regel in einem ISDS-Konzept schriftlich dokumentiert. Dieses Konzept ist regelmässig zu überprüfen und bei Bedarf zu aktualisieren. Zuständig dafür ist das für die Datenbearbeitung verantwortliche Organ gemäss Artikel 6, also die BK für GEVER-ÜDP resp. für die andern GEVER-Systeme die jeweilige Verwaltungseinheit. Absatz 2: Es geht darum, die Risiken zu managen. Kaum eine Organisation hat die Mittel, alle Risiken gleichzeitig auf ein vertretbares Mass zu reduzieren. Also muss sie die nötigen Prioritäten setzen. Beim Eintreten von gefährlichen Ereignissen darf der geschäftliche Erfolg nicht verhindert werden. Zudem muss sichergestellt werden, dass die Information nicht von Unbefugten gelesen (Vertraulichkeit) und nicht unbefugt verändert werden kann (Integrität), nachweislich vom genannten Absender stammt (Authentizität) sowie nachweislich zur angegebenen Zeit versandt wurde (Zeitstempel). Ein solches Konzept ist ein wesentlicher Bestandteil eines umfassenden Risk Managements. 15 Unter Massnahmen sind solche zu verstehen, die der Informationssicherheit dienen. Es kann sich um Korrektur- oder Vorbeugungsmassnahmen handeln. Selbstverständlich fallen darunter auch organisatorische Massnahmen zur Verbesserung der Abläufe. Es kann auf die Liste in Anhang A von ISO 27001: verwiesen werden. 4. Abschnitt: Zuständigkeiten in der Bundesverwaltung (Artikel 17-22) Auf Antrag der BK hat der Bundesrat mit Beschluss vom 15. Februar 2012 die Organisation und Aufgaben der künftigen Organisation GEVER Bund beschlossen. Die Elemente des BRB wurden in die Verordnung übernommen. Für die Umsetzung, Weiterentwicklung und Führung des Programmes GEVER Bund braucht es das Zusammenwirken aller mitbeteiligten Verwaltungseinheiten. Im Vordergrund stehen folgende Aufgaben: Die im Rahmen des Programms GEVER Bund erarbeitete GEVER-Strategie ist für die Bundesverwaltung einheitlich weiterzuentwickeln, um den sicheren, rechtskonformen und wirtschaftlichen Behördenverkehr zu gewährleisten. Zur Erreichung der strategischen Ziele sind Massnahmen/Vorhaben zu planen, auszuarbeiten, anzuordnen und deren Umsetzung zu überwachen sowie ein gesamtheitliches Ausbildungskonzept im Bereich GEVER auszuarbeiten. Das durch das Programm GEVER Bund (mit allen betroffenen Organisationseinheiten) ganzheitlich erarbeitete GEVER-Anforderungsmanagement (produktneutrale Beschreibung der organisatorischen, fachlichen und systemtechnischen Anforderungen an GE- VER) ist neuen Entwicklungen anzupassen, um die einheitliche Umsetzung von GEVER in der Bundesverwaltung zu gewährleisten Seite 26 f. 13/19

14 Das technische Anforderungsmanagement (Change und Release Management) sowie die durch das ISB/BIT in Zusammenarbeit mit dem Programm GEVER Bund erarbeitete GEVER-Referenzarchitektur sind neuen gesetzlichen und technischen Anforderungen anzupassen, um die Umsetzung des GEVER-Verfahrens unter Berücksichtigung der Informationssicherheit sicherzustellen. Die durch das Programm GEVER Bund etablierten Gremien (Programmausschuss GE- VER Bund, Fachgruppe GEVER, User Groups der Standard-Lösungen) sind beizubehalten, um die Koordination mit der BK, den Departementen, Querschnittsämtern und Produktlieferanten sowie die einheitliche Ausprägung von GEVER in der Bundesverwaltung zu gewährleisten. Politische Grundlagen, wie die Strategie, sollen durch die GSK beschlossen oder genehmigt werden. Artikel 17: Generalsekretärenkonferenz Absatz 1 und 2: Die GSK genehmigt die GEVER-Strategie Bund. Diese umfasst alle organisatorischen und technischen Massnahmen für die unter Berücksichtigung der Informationssicherheit (Datensicherheit, Daten- und Informationsschutz) rechtskonforme, prozessorientierte, nachvollziehbare, systematische und transparente elektronische Geschäftsabwicklung. GEVER ist aber auch die Grundlage für eine effiziente und medienbruchfreie Interoperabilität zwischen den verschiedenen Beteiligten (z.b. ÜDP und E-Government) sowie dem Archiv. Absatz 3: Auch ohne eigentliche Finanzkompetenz liegt es an der GSK die Finanzierung der Umsetzung der GEVER-Strategie zu koordinieren. Die GSK beschliesst auf Antrag der BK alle Richtlinien, die für das einheitliche Funktionieren der GEVER-Systeme notwendig sind (Abs. 3). Die GSK sorgt im Auftrag des Bundesrates für eine einheitliche Durchsetzung der elektronischen Geschäftsverwaltung im Bund. Die GE- VER-Strategie ist in den Verwaltungseinheiten konsequent umzusetzen: - GEVER hat die gesetzlichen Anforderungen zu erfüllen; - IKT-Standards sind einzuhalten (inkl. der Standardprodukte); - Interoperabilität ist zu gewährleisten; - Einführung und Betrieb von GEVER haben wirtschaftlich zu sein; - Koordination (Top-Down-Ansatz; Integration aller Bundesstellen) ist zu gewährleisten. Es ist sicherzustellen, dass diese Grundsätze in der gesamten Bundesverwaltung Anwendung finden. Richtlinien werden erst mit förmlichem Beschluss der GSK für alle Verwaltungseinheiten des Bundes verbindlich. Absatz 4 Buchstabe a: Die GSK genehmigt das OHb GEVER. Dieses beschreibt ein gemeinsames Verständnis für GEVER und enthält die organisatorischen Vorgaben für deren Umsetzung in den Departementen und Dienststellen der Bundesverwaltung. Darüber hinaus bildet es die Grundlage für die systematische Beschreibung der funktionalen Anforderungen an die Geschäftsverwaltung, welche die rechtlichen und sicherheitsrelevanten Aspekte (z.b. Integrität, Authentizität) im Sinne einer Legal Compliance gewährleistet, sowie für die medienbruchfreie elektronische Zusammenarbeit (Interoperabilität), welche im E-Government gefordert wird. Mit der Erarbeitung des OHb GEVER wurde ein systemunabhängiges Dokument erarbeitet. Es ist im Rahmen des Projekts Erschliessung und Aussonderung (Programm GEVER Bund) in enger Zusammenarbeit mit der Fachgruppe GEVER in der BK, alle Departemente sowie die Querschnittsämter BAR, ISB und Bundesamt für Bauten und Logistik BBL sowie als Leis- 14/19

15 tungserbringer das BIT vertreten sind entstanden und wurde vom Programmausschuss GEVER Bund am sowie durch die GSK am verabschiedet. Das OHb GEVER enthält Grundsätze, Definitionen, Vorgaben für Aufbau und Ablauforganisation einer elektronischen Geschäftsverwaltung, die von allen Organisationseinheiten der gesamten Bundesverwaltung anzuwenden sind. Insgesamt thematisiert das OHb GEVER das Zusammenspiel zwischen Organisation, Technik und Akteuren. Damit dieses Zusammenspiel gelebt und umgesetzt werden kann, sind alle an diesem Prozess Beteiligten zu schulen und die im vorliegenden Dokument enthaltenen Vorgaben bekannt zu machen sowie umzusetzen. Geschäftsverwaltung ist Führungssache: Das oberste Kader hat die Governance der Geschäftsverwaltung (GEVER) in den Departementen und in den Verwaltungseinheiten zu übernehmen. Einzig die Etablierung und Verbesserung der Aktenführung und der Arbeitsabläufe entlang der Geschäftsprozesse mit klar definierten Rollen und Zuständigkeiten führen zur Verbesserung der Arbeitsabläufe und zur effizienten und effektiven Geschäftsabwicklung im Sinne des Bundesratsbeschlusses vom (BRB ). Das OHb GEVER besteht aus drei Dokumenten: Teil I: Grundlagen und Vorgaben; Teil II: Aufgaben, Funktionen und Rollen und Teil III: Das Verfahren. Teil I behandelt Grundsätze und Definitionen der elektronischen Geschäftsverwaltung. Diese Vorgaben sind von den Departementen zu übernehmen sowie in Kapitel 9 spezifisch zu erweitern. Auf der Basis des OHb GEVER und der departementalen Grundlagen erarbeitet jedes Amt in Kapitel 10 seine individuellen Organisationsvorschriften, in denen der notwendige Regelungsbedarf (u.a. Grundsätze; Eingeschränkte Zugriffsrechte; Verantwortlichkeiten für die GEVER im Amt etc.) festgehalten wird. Diese dürfen den Departementsvorgaben in keiner Weise widersprechen. Amtsspezifische Vorschriften haben den Zweck, die wichtigsten GEVER-Vorgaben in komprimierter und verständlicher Form für die Benutzer aufzuführen. Teil II bezieht sich auf die Aufbauorganisation von GEVER. Es wird aufgezeigt, welche Aufgaben im Rahmen der Geschäftsabwicklung in der Geschäftsverwaltung wahrzunehmen sind und wer (in welcher Rolle resp. Funktion) für deren Umsetzung zuständig ist. Somit bildet Teil II die Grundlage der Zusammenarbeit zwischen den verschiedenen Rollen resp. Funktionen. Teil III befasst sich vorwiegend mit der Ablauforganisation der Geschäftsverwaltung und zeigt den gesamten Lebenszyklus von Dokumenten (von der Entstehung bis zur Archivierung) auf. Darüber hinaus werden die für den Betrieb eines elektronischen Geschäftsverwaltungssystems notwendigen Voraussetzungen sowie unterstützenden Elemente (Supportprozesse) beschrieben. Buchstabe b: Das GEVER-Systemkonzept ist die herstellerneutrale und gesamte Beschreibung der funktionalen Anforderungen an ein GEVER-System. Es basiert auf dem GEVER- Verfahren (OHb GEVER, Teil III) und berücksichtigt den gesamten Lebenszyklus von Dokumenten unter Berücksichtigung der rechtlichen und sicherheitsrelevanten Aspekte (z.b. Integrität, Authentizität) im Sinne einer Legal Compliance sowie medienbruchfreien elektronischen Zusammenarbeit (Interoperabilität). Das GEVER-Systemkonzept bildet die Grundlage für die Spezifikation der technischen Anforderungen an GEVER als System (GEVER-Anforderungskatalog) und dient der für das Change- und Releasemanagement verantwortlichen Stelle sowie Fachgremien als Grundlage zur Vernehmlassung neuer funktionaler Anforderungen. 15/19

16 Artikel 18: Steuerungsausschuss Der Steuerungsausschuss führt in gleicher Zusammensetzung die Aufgaben des aktuellen Programmausschusses weiter. Damit ist die notwendige Kontinuität von der Projektentwicklung in die Anwendung sichergestellt. Der Steuerungsausschuss ist das leitende und umsetzende Organ der GEVER-Systeme des Bundes. Er sichert die Mitsprache und Mitwirkung der Departemente und der BK. Artikel 19: Bundeskanzlei Die BK ist für die Aufgabenerfüllung aller Organe zuständig. In diesem Zusammenhang übernimmt sie die Führung und Organisation. Die Fachgruppe GEVER steht unter dem Vorsitz der BK und setzt sich aus den GEVER- Fachspezialisten der Departemente, des BAR, des ISB, des BIT, allfälliger Leistungserbringer und der Parlamentsdienste zusammen. Die konkreten Aufgaben der Fachgruppe werden durch die BK festgelegt. Die BK kann weitere Experten beiziehen. Die User Groups der Standardlösungen stehen unter dem Vorsitz der BK und bestehen aus Vertretern der BK, der Departemente, des BAR, des ISB, des BBL sowie den für die Standardlösung zuständigen Leistungserbringern. Die konkreten Aufgaben werden in einem Reglement geregelt (z.b. User Group Fabasoft: P015). Die BK ist das verantwortliche Organ für die jährliche Berichterstattung an den Bundesrat (Art. 19 Bst. h). Artikel 20: Bundesarchiv Das BAR ist auch für den Bereich der Geschäftsverwaltungssysteme im Rahmen seiner gesetzlichen Beratungs- und Ausbildungstätigkeit zuständig. Buchstabe b: Der Standard I004 des Informatikrates Bund 16 regelt die Abgabeschnittstelle des BAR für Daten aus GEVER-Systemen. GEVER-Daten sind anbietepflichtige Dokumente. Dieser Standard wurde vom Informatikrat Bund IRB verabschiedet und ist für alle anbietepflichtigen Stellen (für die gesamte Bundesverwaltung) verbindlich. Das BAR ist gehalten, die Schnittstelle und das Format im Einvernehmen mit der BK, die die Sicht der Betroffenen vertritt, festzulegen. Damit wird die Weisungskompetenz des BAR nicht in Frage gestellt, sondern sichergestellt, dass für GEVER-Systeme eine einheitliche Lösung gilt. Buchstabe c: Die Verantwortung der Ausbildung im Bereich GEVER liegt beim BAR. Diese Bestimmung verpflichtet das Ausbildungszentrum des Bundes im eidgenössischen Personalamt das BAR bei dieser Ausbildung zu unterstützen. Artikel 21: Informatiksteuerungsorgan des Bundes Das ISB ist für die Aufgabenbereiche gemäss der BinfV zuständig. Dazu gehören namentlich die Antragsstellung betreffend Standarddienste zuhanden des Bundesrates und die anschliessende Führung dieser Standarddienste (vgl. Art. 17 Abs. 1 BinfV) /19