Elektronische Aufbewahrung und Archivierung von Geschäftsunterlagen

Transkript

1 Elektronische Aufbewahrung und Archivierung von Geschäftsunterlagen 1 Einführung Zur ordnungsgemässen Führung einer Organisation gehört es ohne Zweifel dazu, Daten über die eigene Tätigkeit zu sammeln. Diese Daten dienen regelmässig dazu, den Überblick über die laufenden Geschäfte zu bewahren, über diese Rechenschaft ablegen zu können und im Zweifel den tatsächlichen Sachverhalt rekonstruieren zu können. Betriebliche Daten liegen zunehmend in digitaler Form vor. Das hat bekanntlich den Vorteil, dass auf Daten rasch zugegrifen werden kann, diese leicht übermittelt und relativ kostengünstig aufbewahrt werden können. Für die Bearbeitung von digitalen Daten wird jedoch stets ein technisches System benötigt. An die Konzeption und Konstruktion von solchen Systemen sind hohe Ansprüche zu stellen, denn es wird eine grosse Ausfallsicherheit verlangt und die Daten müssen gegebenenfalls auch noch Jahrzehnte später zuverlässig reproduziert werden können. Grundsätzlich ist dabei zwischen Sicherung der produktiven Daten (Datensicherung, Backup) und Archivierung (Gewährleistung der Langzeitverfügbarkeit einer Ressource) zu unterscheiden. Dabei ist stets die Vertraulichkeit, Verfügbarkeit und Integrität der Daten mit unterschiedlicher Ausprägung durch technische und organisatorische Massnahmen sicherzustellen. 1.1 Verantwortlichkeit Um öfentliche (z.b. Steuern) als auch private (z.b. Aktionärs-) Interessen zu schützen, sieht die Gesetzgebung seit langem zahlreiche Normen für den Umgang mit Daten vor (z.b. Buchführungsvorschriften). Ob die Datenverarbeitung in digitaler oder in physischer Form erfolgt, spielt dabei grundsätzlich keine Rolle. Der Gesetzgeber hat jedoch Anpassungen an die digitale Datenverarbeitung vorgenommen, ohne einer bestimmten Technologie den Vorzug zu geben. Das Missachten von Normen zieht in der Regel Verantwortlichkeit nach sich. Letztlich sind die Organe (Verwaltungsrat, Geschäftsführer, Amtsleiter etc.) persönlich verantwortlich, dass die von ihnen geführte Organisation die gesetzlichen Bestimmungen einhält. Diese Organhaftung greift auch, wenn die Datenverarbeitung an Dritte übertragen wurde oder von Dritten überwacht wird. Nicht vergessen werden darf, dass in Schadensfällen Versicherungen zum Schluss kommen könnten, dass nur ungenügend Vorkehrungen gegen Datenverluste ergrifen wurden. In diesen Fällen verweigern Versicherungen die Schadensdeckung ganz oder teilweise oder nehmen beim Versicherten Regress. 2 Normen mit Bezug auf Datenhaltung 2.1 Einführung Grundsätzlich muss je nach der Art der Daten gesondert geprüft werden, ob und welche rechtliche, betriebs- oder verwaltungsinterne Vorschriften (Aufbewahrungsdauer, Reproduzierbarkeit, Zugang etc.) bezüglich der Datensicherheit und Archivierung anwendbar sind. Daher ist eine verbindliche Aussage ohne genaue Kenntnis der in Frage stehenden Daten nicht möglich. Zu berücksichtigen ist auch, dass möglicherweise in internationalen Unternehmen auch ausländische Rechtsordnungen berücksichtigt werden müssen oder dass kantonale Stellen und Gemeinden regelmässig auch Aufgaben des Bundesrechts wahrnehmen (z.b. Zivilstandswesen, Polizei, Steuerbehörden etc.) und demnach im Hinblick auf Datenaustausch und Speicherung auch eidg. Vorschriften anzuwenden sind 1. Das Recht kann für die Datenbearbeitung und Speicherung aufgrund der raschen technischen Innovation keine 1 Eine zentrale Rolle spielt dabei das Informatikstrategieorgan des Bundes ISB ( welches konkrete Richtlinien erlässt (z.b. Chifrierung von Massenspeicher, Auslagerung von Archiv-daten). RA lic.iur. Marc Fischer 1 6

2 konkrete technische (aber organisatorische!) Vorschrift festlegen. Normen verweisen daher oft auf den Begrif Stand der Technik. Was Stand der Technik ist, ergibt sich gegebenenfalls aus einzelnen Ausführungsbestimmungen, Expertisen von entsprechenden Fachgremien oder Experten. Dabei werden regelmässig internationale Standards mitberücksichtigt. 2.2 Buchführungsvorschriften in OR und MWST-Gesetz Im Handelsregister eingetragene Firmen sind zur ordnungsgemässen Buchführung verpfichtet, welche die Vermögenslage sowie die Schuld- und Forderungsverhältnisse wiedergeben. Zudem sind die Geschäftsbücher, die Buchungsbelege und die Geschäftskorrespondenz aufzubewahren. Buchungsbelege und Korrespondenz dürfen elektronisch aufbewahrt werden, wenn die Übereinstimmung mit dem zugrundeliegenden Geschäftsvorfall gewährleistet ist und sie jederzeit wieder lesbar gemacht werden können. Dabei haben die digitalen Daten den gleichen Beweiswert wie Unterlagen, die ohne Hilfsmittel lesbar sind 2. Aufgrund des Mehrwertsteuergesetzes 3 ist auch der MWST-Steuerpfichtige zur ordnungsgemässen Buchführung verpfichtet. Dadurch erstrecken sich die obligationenrechtlichen Buchführungsvorschriften auf alle mehrwertsteuerpfichtigen Unternehmen und Organisationen. Für die ausschliesslich papierlose Übermittlung und Aufbewahrung von Daten schreibt die MWST-Verordnung vor, dass die aufbewahrten elektronischen Daten einen Ursprungsnachweis, den Nachweis ihrer Integrität und die Nichtabstreitbarkeit von Versand und Empfang tragen müssen 4. Was die Wiedergabe der Geschäftsdaten betrift, so müssen während der ganzen gesetzlichen Aufbewahrungszeit (mindestens 10 Jahre, beginnend mit Ablauf des Geschäftsjahres) diese Daten jederzeit lesbar gemacht werden können. Gegebenenfalls müssen die Lesegeräte den Steuerbehörden (jederzeit) zur Verfügung gestellt werden 5. Weitergehende Ausführungsvorschriften fnden sich in der sog. ElDI-V 6. In der Praxis ist umstritten, welche Bedeutung die restriktiven Normen dieser Verordnung haben, möglicherweise wird die EIDI- V jedoch an die weniger strikten Regelungen der Geschäftsbücherverordnung angepasst werden müssen 7. Aus der EIDI-V ergibt sich, dass rein elektronisch übermittelte und aufbewahrte Daten (Rechnungen) digital signiert werden müssen 8. Für Rechnungen in Papierform, welche später digital erfasst und archiviert wurden, besteht die (digitale) Signaturpficht jedoch nicht. Die Verordnung verlangt weiter, dass das verwendete Datenverarbeitungsverfahren Gewähr bieten muss, dass alle zu verarbeitenden Daten, welche für die Steuererhebung relevant sein können, erfasst und zudem nicht unbemerkt unterdrückt oder verändert werden können 9. Zur Überprüfbarkeit ist für jedes Datenverarbeitungssystem (z.b. Buchführungssystem) eine Verfahrensdokumentation zu erstellen 10, welche ohne unzumutbare zeitliche Verzögerung und ohne wesentlichen Aufwand einzeln vom Beleg über die Buchhaltung bis zur Mehrwertsteuerabrechnung und umgekehrt überprüft werden kann 11. Die Archivierung, allfällige (Daten-) Konvertierungen sowie weitere Verarbeitungen sind zu protokollieren 12. Erfolgt die Rechnungstellung rein elektronisch (d.h. digital signiert), dann müssen die für die Steuererhebung relevanten Daten von Versender und Empfänger zwingend in digitaler Form und in ihrem ganzen Umfang archiviert werden 13. Kurz nach dem Inkrafttreten der EIDI-V wurde per 1. Juni 2002 auch die sog. Geschäftsbücherverordnung (GeBüV) angepasst. Auch diese verlangt die Integrität (Echtheit und Unverfälschbarkeit) der Buchungsbelege und der Geschäftskorrespondenz 14. Ebenso 2 Art. 957 OR 3 Art. 58 MWSTG 4 Art. 43 Abs. 1 MWSTGV 5 Art. 44 Abs. 1 MWSTGV 6 Verordnung des EFD über elektronisch übermittelte Daten und Informationen vom 30. Januar Lukas Marbacher, Elektronische Buchführung und Archivierung gesetzlich anerkannt, Der Schweizer Treuhänder 6-7/02, S Art. 3 Abs. 1 lit. a EIDI-V, es handelt sich wohl um die Fortsetzung von EDI-Fact. 9 Art. 4 EIDI-V 10 Art. 5 EIDI-V 11 sog. Prüfpfad, Art. 8 EIDI-V 12 Art. 8 Abs. 5 EIDI-V 13 Art. 10 EIDI-V 14 Art. 3 GeBüV RA lic.iur. Marc Fischer 2 6

3 müssen die Abläufe, Verfahren und die verwendete Infrastruktur (Maschinen und Programme) dokumentiert und zusammen mit den Geschäftsunterlagen aufbewahrt werden 15. Archivierte Daten sind von den aktuellen Informationen zu trennen auf Archivdaten muss jedoch innert nützlicher Frist zugegrifen werden können 16. Für die Aufbewahrung von Geschäftsdaten sind unveränderbare wie auch veränderbare Datenträger zulässig. Diese gelten als veränderbar, wenn die auf ihnen gespeicherten Informationen geändert oder gelöscht werden können, ohne dass die Änderung oder Löschung auf dem Datenträger nachweisbar ist (wie Magnetbänder, magnetische oder magnetooptische Disketten, Fest- oder Wechselplatten, solid state-speicher) 17. WORM-Datenträger gelten dabei als unveränderbare Datenträger 18. Veränderbare Datenträger dürfen für die Speicherung/Archivierung von Geschäftsdaten nur dann verwendet werden, wenn kumulativ: 1. technische Verfahren zur Anwendung kommen, welche die Integrität der gespeicherten Informationen gewährleisten (z.b. digitale Signaturverfahren), 2. der Zeitpunkt der Speicherung der Informationen unverfälschbar nachweisbar ist (z.b. durch Zeitstempel), 3. die zum Zeitpunkt der Speicherung bestehenden weiteren Vorschriften über den Einsatz der betrefenden technischen Verfahren eingehalten werden, und 4. die Abläufe und Verfahren zu deren Einsatz festgelegt und dokumentiert sowie die entsprechenden Hilfsinformationen (wie Protokolle und Log fles) ebenfalls aufbewahrt werden. 19 Gemäss Art. 10 GeBüV sind die Informationsträger regelmässig auf ihre Integrität und Lesbarkeit zu prüfen. Inwieweit diese Bestimmung für bereits archivierte Datenträger praktikabel erscheint, bleibt jedoch fraglich. Die Daten können in andere Formate oder auf andere Informationsträger übertragen werden (Datenmigration), wenn sichergestellt wird, dass: a. die Vollständigkeit und die Richtigkeit der Informationen gewährleistet bleiben; und b. die Verfügbarkeit und die Lesbarkeit den gesetzlichen Anforderungen weiterhin genügen. Die Übertragung von Daten von einem Informationsträger auf einen anderen ist jedoch zu protokollieren. Das Protokoll ist zusammen mit den Informationen aufzubewahren Datenschutzgesetz Das Datenschutzgesetz (DSG) schützt bekanntlich nicht Daten, sondern (natürliche und juristische) Personen und deren informationelles Selbstbestimmungsrecht. Dementsprechend dürfen Personendaten nur unter besonderen Voraussetzungen (i.d.r. Einwilligung der betroffenen Person oder mit Nachweis eines überwiegenden Interesses) gesammelt und bearbeitet werden. Als Personendaten gelten dabei alle Angaben, welche sich auf eine bestimmte oder bestimmbare Person beziehen 21. Sofern die Personendaten rechtmässig beschaft wurden, ist der Datenhalter verpfichtet, diese Daten und deren Übermittlung durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten zu schützen 22. Insbesondere wird verlangt, dass er sein System gegen a. unbefugte oder zufällige Vernichtung; b. zufälligen Verlust; c. technische Fehler; d. Fälschung, Diebstahl oder widerrechtliche Verwendung; e. unbefugtes Ändern, Kopieren, Zugreifen oder andere unbefugte Bearbeitungen schützt Art. 4 GeBüV 16 Art. 7 GeBüV 17 Art. 9 Abs. 2 GeBüV 18 vgl. auch Rolf H. Weber, Elektronische Aufbewahrung und Archivierung, recht Heft 2, S Art. 9 Abs. 1 lit. b. GeBüV 20 Art. 10 Abs. 2 und 3 GeBüV 21 Art. 3 lit. a DSG 22 Art. 7 DSG 23 Art. 8 VDSG RA lic.iur. Marc Fischer 3 6

4 Die technischen und organisatorischen Massnahmen müssen angemessen sein. Das Datenschutzgesetz äussert sich nicht ausdrücklich, was angemessen bedeutet. Immerhin sollen sich die Massnahmen nach dem Datenbearbeitungszweck, der Art und dem Umfang der Datenbearbeitung, den möglichen Risiken für die betrofenen Personen und den gegenwärtigen Stand der Technik richten. Die Massnahmen müssen periodisch überprüft werden 24. Bei der automatisierten (d.h. computerisierten) Bearbeitung von Personendaten verlangt der Gesetzgeber vom Inhaber der Datensammlung zusätzliche Massnahmen, um die Personendaten zu schützen 25 : a. Zugangskontrolle: unbefugten Personen ist der Zugang zu den Einrichtungen, in denen Personendaten bearbeitet werden, zu verwehren; b. Personendatenträgerkontrolle: unbefugten Personen ist das Lesen, Kopieren, Verändern oder Entfernen von Datenträgern zu verunmöglichen; c. Transportkontrolle: bei der Bekanntgabe von Personendaten sowie beim Transport von Datenträgern ist zu verhindern, dass die Daten unbefugt gelesen, kopiert, verändert oder gelöscht werden können; d. Bekanntgabekontrolle: Datenempfänger, denen Personendaten mittels Einrichtungen zur Datenübertragung bekannt gegeben werden, müssen identifziert werden können; e. Speicherkontrolle: unbefugte Eingabe in den Speicher sowie unbefugte Einsichtnahme, Veränderung oder Löschung gespeicherter Personendaten sind zu verhindern; f. Benutzerkontrolle: die Benutzung von automatisierten Datenverarbeitungssystemen mittels Einrichtungen zur Datenübertragung durch unbefugte Personen ist zu verhindern; g. Zugrifskontrolle: der Zugrif der berechtigten Personen ist auf diejenigen Personendaten zu beschränken, die sie für die Erfüllung ihrer Aufgabe benötigen; h. Eingabekontrolle: in automatisierten Systemen muss nachträglich überprüft werden können, welche Personendaten zu welcher Zeit und von welcher Person eingegeben wurden. Bei der automatisierten Bearbeitung von besonders schützenswerten Personendaten (religiöse, weltanschaulichen, politische oder gewerkschaftliche Ansichten oder Tätigkeiten, Gesundheit, Intimsphäre. Rassenzugehörigkeit, Massnahmen der sozialen Hilfe, administrative oder strafrechtliche Verfolgungen und Sanktionen) muss über die Bearbeitung eine Protokollierung erfolgen, welche ihrerseits während eines Jahres revisionsfest aufzubewahren ist 26. Die Revisionstauglichkeit ist mit den Bestimmungen über die Geschäftsbücher gleichzusetzen. 2.4 Beweislastverteilung: formellrechtliche (prozessuale) Vorschriften Wie Art. 963 OR bereits festhält: wer zur Führung von Geschäftsbüchern verpfichtet ist, kann in Streitfällen vom Gericht jederzeit zur Vorlage (Edition) von Geschäftsunterlagen verpfichtet werden. Dies betrift nicht nur archivierte Daten, sondern auch aktuelle Geschäftsdaten und Unterlagen. Die gleiche Regel fndet sich sinngemäss in der eidgenössischen Zivil- und Strafprozessordnungen, Verwaltungsverfahrensgesetzen und zahlreichen weiteren Normen. Gleichzeitig ergibt sich aus Art. 8 ZGB, dass in der Regel diejenige Partei das Vorhandensein einer behaupteten Tatsache zu beweisen hat, aus der sie Rechte ableitet (allgemeine Beweislastregel). Somit ergibt sich, dass für die Durchsetzung von Ansprüchen jeweils vom Kläger oder Beklagten die Beweise erbracht werden müssen. Wie bereits ausgeführt, sind elektronisch gespeicherte Geschäftsunterlagen grundsätzlich den übrigen Beweisen gleichgestellt. Dabei haben elektronische Beweismittel i.d.r. keine Urkundenqualität 27 (wie z.b. handschriftlich unterzeichnete Bilanzen). Elektronische Beweise unterliegen daher regelmässig der freien Beweiswürdigung. Der Wert des Beweismittels wird insbesondere durch die Integrität 24 Art. 8 Abs. 2 DSG 25 Art. 9 Abs. 1 VDSG 26 Art. 10 VDSG 27 erst mit der Signierung durch eine anerkannte digitale Signatur und sichergestellten Unveränderbarkeit eines elektronischen Dokumentes wird zusätzlich zu bestimmten inhaltlichen Erfordernissen - die Urkundenqualität gegeben sein. RA lic.iur. Marc Fischer 4 6

5 und Authentizität des digitalen Datums bestimmt. Im Zweifel muss ein neutraler Gutachter durch Analyse der Ordnungsmässigkeit der Datenhaltung diese beide Voraussetzungen beurteilen. Es ist jedoch leicht nachvollziehbar, dass der Verlust von digital gespeicherten Geschäftsdaten im Streitfalle ein Unternehmen allenfalls existentiell bedrohen kann. 2.5 Spezialgesetze Zahlreiche weitere Gesetze verpfichten zur ordnungsgemässen Aufbewahrung und Archivierung von Daten. Es handelt sich dabei insbesondere um: - Sozialversicherungsrecht 28 - Produktehaftpfichtgesetz 29 - Bankengesetz 30 - Geldwäschereigesetz 31 - Ökologierecht 32 - Forschungsrecht 33 - Öfentliches Archivierungsrecht - Führung von öfentlichen Ämtern Teilweise ergibt sich die Dokumentationspficht bloss sinngemäss (z.b. bei Produktehaftpficht), zum Teil explizit und unter Strafandrohung (z.b. Bankengesetz). Die kantonalen und bundesrechtlichen Vorschriften über die ordnungsgemässe Amtsführung 34 richten sich überwiegend nach den vorerwähnten Vorschriften über den Datenschutz und die Informationssicherheit. Ausser bestimmten Dokumentationspfichten und organisatorische Massnahmen ergeben sich daraus keine spezielle technische Anforderungen an die Datensicherung und archivierung, welche von den vorerwähnten Buchführungsvorschriften abweichen würden. 2.6 Selbstregulierung (Internationale Normen) Der Gesetzgeber verweist in verschiedenen Gesetzen bezüglich der ordnungsgemässen Datenhaltung auf nichtstaatliche Richtlinien und Empfehlungen, wie sie verschiedene nationale oder internationale Selbstregulierungsorganisationen (z.b. Treuhand-Kammer, ISACA, COBIT, ISO) erlassen 35. International die grösste Bedeutung hat wohl der seit dem Jahr 2001 gültige Standard ISO 15489/1, auf den sich auch in der Schweiz bereits die ersten gesetzlichen Bestimmungen ausdrücklich beziehen 36. Dieser Norm stellt Richtlinien für die Organisation und Aufbewahrung von Daten auf, die im Rahmen der Geschäftstätigkeit anfallen. Die deutsche Übersetzung und Integrierung in das Regelwerk der DIN-Normen ist unter DIN ISO erfolgt. International anerkannte Richtlinien für die Informationssicherheit fnden sich auch bei BS 7799 (gleichbedeutend mit ISO 17799). Die Richtlinien (ISO-Standards) verlangen vor allem konzeptionelle und organisatorische Massnahmen im Zusammenhang mit der Aufbewahrung von Daten. Gegebenenfalls lassen sich daraus technische Anforderungen ableiten. 2.7 Physischer Schutz Entsprechend dem wirtschaftlichen Wert, den Unternehmensdaten regelmässig haben, aber auch aufgrund gesetzlicher 37 oder Selbstregulierungs-Normen wird der physische Schutz von Daten verlangt. Darunter ist primär der Schutz der Daten vor äusseren physischen Einwirkungen (meist Elementarrisiken 38 ) zu verstehen, zusätzlich aber auch die Sicherstellung, dass nur 28 z.b. Art. 68 AHVG; Art. 136, 141, 156, 162 AHHV; Art. 81 f. KVG; Art. 93 UVG; Art. 116 UVV; Art. 53 BVG 29 Art. 5 PrHG 30 Art. 46 BaG 31 Art. 7 GwG 32 z.b. Art. 28 Giftverordnung, Art. 47 Stofverordnung, Art. 46 USG 33 z.b. Verordnung über die gute Laborpraxis (GLP) und ihre Anhänge (Zertifzierung) 34 z.b. Weisungen über die Aktenführung in der Bundesverwaltung vom ; Finanzhaushaltsverordnung vom , vgl. Weber, Elektronische Aufbewahrung und Archivierung, S z.b. Art. 2 Abs. 3 GeBüV 36 z.b. 6 Abs. 3 lit. c der kant. Verordnung über die Aktenführung im Kanton Basel-Landschaft 37 z.b. durch Datenschutzgesetz resp. Verordnung (Art. 9 Abs. 1 VDSG) 38 Wasser, Hitze, Erschütterung, Überspannung etc. RA lic.iur. Marc Fischer 5 6

6 berechtigte Personen physisch Zugrif zu den Daten erhalten. Dementsprechend sind die Archivierungs-Geräte grundsätzlich in zutritts- und einbruchgeschützten Räumlichkeiten zu installieren, welche dort vor Elementarschäden angemessen geschützt sind. Der physische Zugrif auf die Speichermedien ist zu protokollieren. Sinnvollerweise erfolgt die Abgabe der Passwörter immer unter Anwendung des sog. Vier-Augen-Prinzips, d.h. für die Verteilung und Änderung von Passwörtern sind jeweils zwei Personen verantwortlich. Dementsprechend ist die Erteilung eines Passwortes jeweils durch Kollektivunterschrift zu bestätigen. RA lic.iur. Marc Fischer 6 6