Daten und E-Mails rechtskonform archivieren

62IT & TechnikCompliance und elektronische Archivierung (2/2)Daten und E-Mailsrechtskonform archivierenDer Gesetzgeber stellt hohe Anforderungen an die Archivierung von Geschäftsunterlagen. Dieszeigte ein Artikel im «KMU-Magazin» 8/2004. Wie setzen Unternehmen die rechtskonformeArchivierung in der Praxis um? Wie können moderne IT-Lösungen den Archivierungsprozess unterstützen?Und: Wie steht es um das Aufbewahren von E-Mails? Die Praxis zeigt: Wissenslücken wieAufholbedarf sind gross.Cathrin SchnurrenbergerDer Gesetzgeber verlangt das Aufbewahrenvon Geschäftsbüchern, Buchungsbelegenund Geschäftskorrespondenz sowie dasSicherstellen der Verfügbarkeit und Integritätarchivierter Daten. Die Verantwortung fürdas Einhalten dieser Normen tragen dieFührungsorgane eines Unternehmens. EineCompliance-Aufgabe, die sich mit Hilfedurchdachter Archivierungskonzepte undmoderner IT-Lösungen gesetzeskonformerfüllen lässt. Vorliegender Artikel zeigt auf,welche rechtlichen und organisatorischenAnforderungen es im Archivierungsprozesszu beachten gilt und mit welchen Massnahmendiese in der Praxis erfüllt werden.Schritt 1Archivierungskonzept erstellenDas zu erstellende Archivierungskonzepthält die organisatorischen und technischenMassnahmen fest, die ein Unternehmenbei der Archivierung ihrer Daten ergreifenwill. Das Archivierungskonzept definiertunter anderem:Bezugsgruppen mit Interesse an Archivdaten(z.B. Benutzer, Gesetzgeber,Finanzabteilung, Kunden, Management,Behörden)Geschäftsunterlagen, die aufbewahrtwerden sollen und müssenArchivierungspflichtige Geschäftsunterlagen und deren AusgangsmedienInhalt Bilanz, Betriebs- Buchungen, Buchungsbelege Geschäfts- GeschäftskritischeMedium abrechnung Daten aus dem ERP korrespondenz Arbeitsdokumente(z.B. Anweisungen,Protokolle, Zu- oderAbsagen, informelleAbmachungen)1ERP-System2(x) x xE-Mail x x xDMS/Fileserver x x xPapier x x x x1 Enterprise Resource Planning (ERP) Systeme sorgen für die unternehmensweite Ressourcen-Planung, z.B. Produktions-, Finanz-, Personal-, Vertriebs-, Materialwirtschaftssysteme.Bekanntestes Beispiel ist die betriebswirtschaftliche Standardsoftware SAP.2 Anmerkung: Betriebsrechnung und Bilanz sind im Original aufzubewahren.KMU-Magazin Nr. 9, September/Oktober 2004

IT & Technik 63Aufbewahrungsdauer (in der Regelzehn Jahre)Aufbewahrungsform (z.B. Papier, Magnetband,Harddisk, optische Speichermedien)Massnahmen bezüglich Datensicherheit(z.B. unveränderbare Medien, Zeitstempel,digitale Signatur, Zugriffsberechtigungen)Kontrollinstrumente sowie deren regelmässigeÜberprüfung und Aktualisierung(z.B. Protokolle, Zuständigkeiten,Verantwortlichkeiten, Benutzerrechte)Entscheid, ob elektronisch oder konventionellarchiviert wirdIm Fall einer elektronischen Archivierung:Speichersysteme (Archivierungssoftware)und Speichermedien (Hardware)Schritt 2Data Lifecycle ManagementVerwaltung und Kontrolle von Unternehmenswissen über alle LebensphasenArchivierungsprozesse definierenInformationen sind zu wichtigen Trägerndes Unternehmenswissens geworden, sogenannte digitale Vermögenswerte. Einmodernes Data Lifecycle Management umfasstdie Verwaltung und Kontrolle vonDaten ab ihrer Entstehung über die verschiedenenPhasen der aktiven Nutzungbis hin zur Archivierung und endgültigenVernichtung. Während des gesamten Zyklusmuss dieses Unternehmenswissen stetswiederauffindbar, verfügbar und damitnutzbar sein. Der Archivierungsprozess stelltden letzten Schritt des Dokumenten-Lebenszyklusdar: die Auslagerung von Daten ausdem Produktivsystem. Dieser Schritt reduziertden teuren Speicherplatz auf der Festplatteund garantiert im Optimalfall dieUnveränderbarkeit der Daten.Abhängig von Medium und Inhalt gilt es,für jede Dokumentenart einen separatenArchivierungsprozess zu definieren, der Verantwortlichkeitenund Datenverwaltung klarregelt. Die einzelnen Archivierungsprozessesollen sich nahtlos in die bestehendenGeschäftsprozesse integrieren und damiteffiziente Abläufe gewährleisten. Ob nunelektronisch oder konventionell archiviertwird – die Aufgabe bleibt sich gleich.prüfenbewilligenSchritt 3editierenarchivierenDokumentpublizierenArbeitsanweisungen und RichtlinienfestlegenArbeitsanweisungen und Archivierungsrichtliniensorgen dafür, dass die unterSchritt 2 definierten Prozesse im operativenGeschäft auch umgesetzt werden. Sieumfassen nicht nur die technischen Aspekte(z.B. Speichermedium, Benutzerrechte),sondern auch organisatorische. So hälteine Arbeitsanweisung etwa fest, dassFrau Meier alle eingehenden Rechnungentäglich scannt, im elektronischen Archivablegt und Teamleiter Müller diesenProzess jeweils am Monatsende überprüft.Auftrag:erstellen/ändernUnterstützung durch ITlöschenModerne IT-Lösungen erleichtern die gesetzeskonformeArchivierung, indem siesowohl elektronisch wie physisch vorliegendeDaten und Schriftstücke nach definiertenRegeln automatisch ablegen. Archivierungslösungenkönnen ein Unternehmenfolgendermassen unterstützen:KMU-Magazin Nr. 9, September/Oktober 2004

IT & Technik 65bewahrung geschäftsrelevanter Mails meistden Mitarbeitern überlassen bleibt. In denwenigsten Unternehmen bestehen klareKonzepte und definierte Prozesse, welchedie langfristige Ablage der elektronischenKorrespondenz regeln. Der Entscheid, obzu archivieren oder zu löschen ist undwohin die Daten abgelegt werden, erfolgtmeist nach eigenem Gutdünken, nachHierarchiestufe – oder gar nicht. Gleichgültigkeitund Nichtwissen können jedochfatale Folgen haben, denn sie schützennicht vor Strafe.Interaktiv oder automatischEine unterstützende IT-Lösung für die gesetzeskonformeArchivierung von Mails mussgemäss der Geschäftsbücherverordnung(GeBüV) alle geschäftsrelevanten E-Mailsabfangen und bis zum Ablauf der gesetzlichvorgesehenen Frist aufbewahren. Dabeientscheidet das Gesetz, was und wie langeabgelegt wird. Die Art und Weise derDatenaufbewahrung aber bestimmt dieGeschäftsleitung – und nicht der Zufall.Unterscheiden lässt sich zwischen nichttechnischen,interaktiven Archivierungsverfahrenund automatisierter Archivierungnach definierten Regeln. Ersteres bedeutetausdrucken und physisch aufbewahren odervon Hand elektronisch ablegen; bei derautomatisierten, regelbasierten Archivierunghingegen muss der Nutzer nicht mehreingreifen. Solche Regeln lauten beispielsweise:Zu archivieren sindnur die Postfächer bestimmter Benutzeralle ein- und ausgehenden Mails ohnefirmeninterne Mailsnur AttachementsMail inklusive Anhängesämtliche ein- und ausgehenden Mailsnach Ablauf von zehn Tagen.Das systematische Archivieren von E-Mailsmacht es unvermeidbar, dass auch privateMails mitarchiviert werden. Es ist Aufgabeder Geschäftsleitung, festzuhalten, ob dasVersenden und Empfangen von privatenMails überhaupt gestattet ist. Wenn ja,müssen die Mitarbeiter darüber in Kenntnisgesetzt werden, dass auch private Mailsim Archiv landen. Das Datenschutzgesetzverlangt einen strukturierten und kontrolliertenDatenzugriff sowie den Schutz privaterDaten vor unbefugter Einsicht.Inhalt ist entscheidendInteressant ist die Frage, was vor dem Gesetzals Geschäftskorrespondenz gilt und somitzehn Jahre aufzubewahren ist. Unter Geschäftskorrespondenzfallen alle mit Drittenausgetauschten Unterlagen, die über Abschlussund Abwicklung von RechtsgeschäftenAuskunft geben. Nach Berner Kommentarzu OR 962 sind dies hauptsächlichein- und ausgehende Briefe sowie VerträgeRechnungen und LieferscheineQuittungen und BankbelegeTelegramme, Fax, E-MailsStatuten und GesellschaftsverträgeProzessakten, Gerichtsurteile, VergleicheDokumente aus Arbeitsverhältnissen,Werkverträgen, aus dem Transportverkehrsowie aus dem Verkehr mit Behörden(Steuer und Sozialversicherungen)KMU-Magazin Nr. 9, September/Oktober 2004

66IT & TechnikEs lohnt sich indes, gewisse Unterlagenzur Beweissicherung freiwillig zu archivieren.Aus gutem Grund:Beweismaterial bei möglichen Uneinigkeitenmit oder ohne rechtlicheFolgenDienst am Kunden dank schnellen Auskünftenund Zugriff auf alte VereinbarungenImagesteigerung dank schnellem undfehlerfreiem Finden alter InformationenZugriff auf interne Abmachungen, vorallem aus dem PersonalwesenEffizientes Knowledge Managementdank erleichtertem, zentralem Zugriffauf ArchivdatenFazitVerhindern von Wissensverlust bei PersonalaustrittenDie gesetzliche Aufbewahrungspflicht betrifftsämtliche geschäftskritischen Dokumente.Verantwortlich für das rechtskonformeFühren und Archivieren von Geschäftsunterlagenist der Verwaltungsrat.E-Mails werden bei der Archivierung oftvergessen, obwohl heute der grösste Teilder geschäftlich relevanten Korrespondenzelektronisch abgewickelt wird. ModerneIT-Lösungen erfüllen die Anforderungendes Gesetzgebers und unterstützenUnternehmen bei der gesetzeskonformenArchivierung. Sie sind jedoch nur einAspekt. Ebenso wichtig sind die Kenntnisder rechtlichen Auflagen und Konsequen-zen auf allen Ebenen sowie die Information,Schulung und Sensibilisierung derMitarbeiter. Und nicht zuletzt: Ohne klareArchivierungskonzepte und definierteArchivierungsprozesse geht es heute nichtmehr.Fragen?Winkler MariaMag. iur., geschäftsführende PartnerinAdvokatur SURY BRUN HOOLTel. 041 227 58 58maria.winkler@advokatinnen.chwww.advokatinnen.chCaspar Steinerlic. oec. publ., Director Segment MarketingOpen Text – IXOSTel. 061 278 96 96caspar.steiner@ixos.chwww.ixos.ch/www.opentext.comFrei wie ein VogelHP Procurve WirelessVertrauen Sieden Spezialistenin Ihrer Region8005 ZürichTel. 01 447 10 305430 WettingenTel. 056 437 80 403007 BernTel. 031 376 06 065605 DottikonTel. 056 460 00 606004 LuzernTel. 041 419 46 33KMU-Magazin Nr. 9, September/Oktober 2004