Aufbewahrung elektronischer Informationen Vom gesetzeskonformen Umgang mit digitalen Informationen Lukas Fässler Rechtsanwalt & Informatikexperte 6300 Zug I I I I I I I II IIII III IIII IIIIII III IIIII IIIIIIIIIIIIII adeon AG IIIIIIIIIIIIIIIIII Lukas Fässler Rechtsanwalt Zug 2007
Inhaltsübersicht Von den Informationen = Modelle Von gesetzlichen Grundlagen = Regulation Von Standards & Normen = Selbstregulierung Von der Verantwortung = Sorgfaltspflichten Von der Verletzung der Sorgfalt = Haftung Zusammenfassung = Einsichten
Gerichtsentscheid Betreff: [INFOLAW-L] OVG Lüneburg: Beweiswert von Emails OVG Lüneburg vom 17.01.2005, Az. 2 PA 108/05 E-Mail ist nur mit Signatur beweiskräftig Eine ausländische Antragstellerin begehrte die Zulassung zu einer deutschen Hochschule. Dies wurde ihr verweigert, da sie nicht das ausländische Äquivalent zu einer Hochschulreife nachweisen habe können. Gegen diese Abweisung erhob die verhinderte Studentin Beschwerde vor dem Verwaltungsgericht. Das Internationale Büro der Universität habe ihr in einer E-Mail zugesichert, dass sie die Hochschulreife besitze. Wegen dieser Bestätigung müsse sie nunmehr zum Studium zugelassen werden. Das Oberverwaltungsgericht wies die Beschwerde letztlich ab. Die E-Mail könne nicht als Zusicherung der Zulassung zum Hochschulstudium gewertet werden. Wenn das Büro diese E-Mail mit dem notwendigen Rechtsbindungswillen versenden wollte, hätte diese mit der Signatur versehen werden müssen. Ohne diesen Schutz sei die Mail nicht sicher genug, um als Beweis in einem gerichtlichen Verfahren gelten zu können.
Thesen aus Studie HTW Chur 2006
Von den Informationen Der Lebenszyklus geschäftsrelevanter Informationen
E-Mail als Information nur eine Erscheinungsform digitaler Informationen Vorab ein Informatikerproblem? Nur soweit von Geschäftsrelevanz Ausführungen gelten für alle geschäftsrelevanten Informationen im Unternehmen
Information Lifecycle Management (ILM) 1 Information Lifecycle Management ist der gesamthaft gesetzeskonforme nach internationalen Standards ausgerichtete ordnungsgemässe beweistaugliche rechtzeitig reproduzierbare angemessene risikobezogene Umgang mit allen geschäftsrelevanten Informationen
Information Lifecycle Management (ILM) 2 Erfassen Bearbeiten Verwalten Weitergeben Aufbewahren (speichern & archivieren) von Informationen aller Art und in jeder Form (Papier & digitale Informationen {elektronische Dokumente, Datenbanken, Fotos, Filme, Sprache etc.})
Von den gesetzlichen Grundlagen Die gesetzliche Regulierung
Obligationenrecht (OR) Obligationenrecht Art. 957 963 OR Vo über die Führung und Aufbewahrung der Geschäftsbücher vom 24.4.2002 Art. 1-10 GeBüV Erlaubnis zur elektronischen Führung und Aufbewahrung von Geschäftsbüchern Buchungsbelege Geschäftskorrespondenzen
Beweiskraft Art. 957 Abs. 4 OR Elektronisch oder in vergleichbarer Weise aufbewahrte Geschäftsbücher, Buchungsbelege und Geschäftskorrespondenzen haben die gleiche Beweiskraft wie solche, die ohne Hilfsmittel lesbar sind.
Urkundencharakter Art. 110 Abs. 5 StGB Urkunden sind Schriften, die bestimmt und geeignet sind, oder Zeichen, die bestimmt sind, eine Tatsache von rechtlicher Bedeutung zu beweisen. Die Aufzeichnung auf Bild- und Datenträgern steht der Schriftform gleich, sofern sie demselben Zweck dient.
Geschäftskorrespondenz Geschäftskorrespondenz Art. 957 OR / Art. 1 ff GeBüV weiter Begriff beinhaltet alle Informationen, welche für eine Unternehmung / Amtsstelle von rechtlicher Relevanz sein können auch automatisch generierte Informationen aus Maschinen Alle Informationen, welche Rechte und Pflichten begründen, verändern oder aufheben
Informationsträger Art. 9 GeBüV Zwei Arten von Informationsträger zulässig Unveränderbare Informationsträger (Papier, Bildträger & Datenträger wie WORM = Write once Read many) Veränderbare Informationsträger, wenn technische Verfahren, welche die Integrität der gespeicherten Informationen gewährleisten (digitale Signaturverfahren) b. Zeitpunkt der Speicherung unverfälschbar nachweisbar ist (Zeitstempel) die im Zeitpunkt der Speicherung bestehenden Vorschriften über den Einsatz der betreffenden technischen Verfahren (technischer Verfahrensprozessnachweis) eingehalten werden, d. Abläufe & Verfahren zu deren Einsatz sind festgelegt & dokumentiert (organisatorische Dokumentationsprozessnachweis) sowie die entsprechenden Hilfsinformationen (Protokolle Log Files) werden aufbewahrt.
Aufbewahrungsfristen Art. 962 OR 1 Die Geschäftsbücher, die Buchungsbelege und die Geschäftskorrespondenz sind während zehn Jahren aufzubewahren. 2 Die Aufbewahrungsfrist beginnt mit dem Ablauf des Geschäftsjahres, in dem die letzten Eintragungen vorgenommen wurden, die Buchungsbelege entstanden sind und die Geschäftskorrespondenz ein- oder ausgegangen ist. Gesetzliche Minimalfrist - Risikoabhängige Beurteilung zur Langzeitarchivierung Sonderbestimmungen vorbehalten (z.b. Pensionskassen, Engineering etc.)
Grundsätze ordnungsgemässer Aufbewahrung Art. 3-10 GeBüV Integrität & Authentizität (Echtheit & Unverfälschbarkeit) Art. 3 Feststellung von Aenderungen im Nachhinein Art. 3 allg. Sorgfaltspflichten (Schutz vor schädlichen Einwirkungen) Art. 5 Verfügbarkeit innert angemessener Frist Art. 6 Trennung archivierter von aktuellen Informationen Art. 7 Sicherstellung jederzeitiger Lesbarkeit der Daten Art. 10 Anforderungen an die Migration von Daten Art. 10
Beweistauglichkeit Art. 8 ZGB Wer aus einer behaupteten Tatsache Rechte für sich ableitet, hat diese zu beweisen. Anspruchsverlust / Prozessverlust Beweislosigkeit Beweisuntauglichkeit fehlende Authentizität (Orginalkonformität) Integrität (Unveränderbarkeit) Identität (Nicht Autor zuweisbar) Nicht Reproduzierbarkeit
Spezialgesetze Produktehaftpflichtgesetz Kausalhaftung für Produzent Art. 5 PHG Spielbankengesetz Art. 30 und 34 Aufzeichnungspflicht über Handlungen an Spieltischen (Videoaufnahmen) Aufbewahrungspflicht 5 Jahre Mehrwertsteuer Art. 43 MwStG Digitale Aufzeichnungen mit gleicher Beweiskraft für Steuererhebung, Steuerbezug oder Vorsteuerabzug Bankengesetz Art. 46 BankG Nicht vorschriftsgemässe Führung der Bücher, Gefängnis bis 6 Monate oder Busse bis CHF 50 000.00
Verpflichtung auf Standards Art. 2 GeBüV Ueberall, wo der CH-Gesetzgeber keine Regelungen getroffen hat, muss man sich nach diesen international anerkannten Normen & Standards ausrichten (Art. 2 GeBüV). Art. 2 Abs. 2 GeBüV Die Ordnungsmässigkeit der Führung und Aufbewahrung.. richtet sich nach den allgemein anerkannten Regelwerken und Fachempfehlungen, sofern diese Verordnung oder darauf gestützte Erlasse keine Vorschriften enthalten. Richter werden Verantwortung (Sorgfaltspflicht & Verschulden) und Haftung (Schadenersatzpflicht) der Führungskräfte in Bezug auf die gesamte Schriftgutverwaltung nach solchen Regelwerken beurteilen. FSDZ Rechtsanwälte. Attorneys@law www.fsdz.ch
Von Standards und Normen Selbstregulierung
Internationale Standards Vorarchivischer Bereich ISO 15489-1:2001: records management ISO 15489-2:2001: technical Report (Implementation Guidelines) Archivischer Bereich ISO 14721:2001 open archival Information System (OAIS) Referenzmodell ISAD(G) International Standard Archival Description, General Rules of the International Council on Archive (ICA) ISAAR (CPF) International Standard Archival Authority Record for Corporate Bodies, Persons, and Families ist ein vom internationalen Archivrat verabschiedeter Standard für Normdateien im Archivbereich EAD Encoded Archival Description (EAD) ist ein dokumentarischer XML-Standard zur Beschreibung von Findbüchern und anderen Findhilfen in Archiven METS Metadata Encoding and Transmission Standard est un schema XML développé à l'initiative de la Digital Library Federation (DLF)
Corporate Governance OECD-Grundsätze der Corporate Governance 2004 (Nachfolger 1999) http://www.oecd.org/document/49/0,2340,en_2649_34813_31530865_1_1_1_1,00.html In der Schweiz wurden die OECD-Grundsätze 1999 durch SWX Swiss Exchange Richtlinie betr. Informationen zur Corporate Governance RLCG 07-2002 (Transparenzrichtlinie) umgesetzt.
economiesuisse - code of best practice
FSDZ Rechtsanwälte. Attorneys@law www.fsdz.ch
Von der Verantwortung Sorgfaltspflichten des Managements
Auswirkungen für VR & GL Der Verwaltungsrat (und die Geschäftsleitung) müssen bezüglich Umgang mit Informationen dafür sorgen, dass das Unternehmen verfügt über: 1. ein angepasstes Risiko-Management (auch bezüglich Schriftgutverwaltung) 2. eine dafür geeignete Organisation (Aufbau- und Ablauforganisation) 3. eine kontinuierliche Verbesserung der geeigneten Organisation (ILM-System) 4. regelmässiges Berichtswesen (ILM-Reporting) mit Schwerpunkten Stand (Ist-Analyse) Entwicklungen (SOLL-Ziele) Handlungsbedarf (Differenzanalyse) Anträge (Massnahmenplan) FSDZ Rechtsanwälte. Attorneys@law www.fsdz.ch
Verantwortung VR Art. 716 OR Unübertragbare und unentziehbare Aufgaben des Verwaltungsrates: Organisationsverantwortung (Art. 716a Abs. 1 und 2 OR) Complianceverantwortung des VR (Art. 716a Abs. 1 OR) Unternehmensverantwortung des VR (Art. 716a Abs. 1 OR) Verantwortung für Personalauswahl des VR (Art. 716a Abs. 4 OR) Führungsverantwortung des VR (Art. 716a Abs. 5 OR) Aufgaben kann man delegieren, Verantwortung NIE
Von der Verletzung der Sorgfalt Zivilrechtliche Haftung Strafrechtliche Haftung
Zivilrechtliche Verantwortung VR & GL Art. 754 OR 1 Die Mitglieder des Verwaltungsrates und alle mit der Geschäftsführung oder mit der Liquidation befassten Personen sind sowohl der Gesellschaft als den einzelnen Aktionären und Gesellschaftsgläubigern für den Schaden verantwortlich, den sie durch absichtliche oder fahrlässige Verletzung ihrer Pflichten verursachen. 2 Wer die Erfüllung einer Aufgabe befugterweise einem anderen Organ überträgt, haftet für den von diesem verursachten Schaden, sofern er nicht nachweist, dass er bei der Auswahl, Unterrichtung und Überwachung die nach den Umständen gebotene Sorgfalt angewendet hat.
Strafrechtliche Verantwortung Art. 325 StGB Wer vorsätzlich oder fahrlässig der gesetzlichen Pflicht, Geschäftsbücher ordnungsgemäss zu führen, nicht nachkommt. Wer vorsätzlich oder fahrlässig der gesetzlichen Pflicht, Geschäftsbücher, Geschäftsbriefe und Geschäftstelegramme aufzubewahren, nicht nachkommt, wird mit Haft oder mit Busse bestraft.
Sorgfaltspflichten der Führungskräfte Die Chefs sind ist verantwortlich für Sorgfalt in der Auswahl Sorgfalt in der Anleitung Sorgfalt in der Aufsicht Cura in eligendo Cura in instruendo Cura in custodiendo K K K Kommandieren Kontrollieren Korrigieren
Zusammenfassung
Zusammenfassung E-Mails können geschäftsrelevante Informationen enthalten dann aufbewahrungspflichtig Gesetzeskonforme Aufbewahrung Authentisch, Identisch, Integrität, Beweistauglichkeit Unveränderbares Format (z.b. PDF /A) Informationsträger gemäss Art. 9 GeBüV Unveränderbares Medium Veränderbares Medium mit Zusatzanforderungen (Signatur, Zeitstempel, Dokumentationen) Aufbewahrungsfrist 10 Jahre (ausser Sondergesetze) -> gesetzliche Minimalfrist Getrennt von aktiven Informationen Migrationskonzept mit erhöhten Anforderungen bei wichtigen Daten Nicht delegierbare Führungsverantwortung von GL & VR ILM-System aufbauen Nachweisdokumente aufbewahren Kontinuierliche Verbesserung institutionalisieren Verantwortliche Personen definieren Regelmässiges Berichtswesen etablieren und dokumentieren Organisatorische und technische Umsetzung Organisation vor Technik Klassierung und Klassifizierung für Informationen festlegen Langzeitarchivierung von Personen-Informationen regeln, bekanntgeben und Einwilligung holen (Weisung) Technisch sauber Implementierung ohne Medienbrüche und Datenveränderung Input, Output und Attachments aufbewahren Evaluation gesetzeskonformer Systeme (Zertifizierte Systeme) Migrationskonzept im Voraus festlegen
ISBN 3-905413-09-4 BPX Edition, Rheinfelden 2006 Bezugsquelle: Lukas Fässler, Artherstrasse 23a, 6300 Zug Email: faessler@fsdz.ch Fax: 041 727 60 85
www.fsdz.ch faessler@fsdz.ch