Blog
Blog
Wenn auf ein digitales Archiv umgestellt wird, stellen sich auch diverse rechtliche Fragen. Wie kann beispielsweise die «Echtheit» von Dokumenten nachgewiesen werden, wenn diese nicht mehr in Papierform, sondern als theoretisch beliebig veränderbare Bits und Bytes gespeichert sind? Rechtsanwältin Doris des Arts von «THE-IT-LAWYERS» beantwortet einige oft gehörte Fragen.
Grundsätzlich sind die gesetzlichen Grundlagen für physische und digitale Archive die gleichen: das Obligationenrecht und die Geschäftsbücherverordnung. Sind Personendaten involviert, dann spielt auch das Schweizer Datenschutzgesetz (DSG) eine wichtige Rolle.
Dass sie eine Software-Lösung wählen, mit der die bestehenden gesetzlichen Vorschriften eingehalten werden können. Das Gleiche gilt bei der Wahl eines allfälligen Outsourcingpartners für die Archivierung. Zertifizierungen und Labels bieten hier Orientierungshilfen. Zum Beispiel ISO 27001 und das Datenschutz-Gütesiegel GoodPriv@cy.
Auch bei einem elektronischen Archiv muss man beweisen können, dass die Dokumente mit dem zugrundeliegenden Geschäftsvorfall übereinstimmen und dass sie seit der Archivierung nicht verändert wurden. Nur so behalten sie aus rechtlicher Sicht ihren Beweiswert bei einer möglichen gerichtlichen Auseinandersetzung oder gegenüber den Behörden. Die Integritätssicherung ist der entscheidende Punkt bei der Digitalisierung.
Durch technische und organisatorische Massnahmen. Früher wurden die Informationen auf WORM-Speichermedien geschrieben, die ein nachträgliches Löschen, Überschreiben und Ändern von Daten verunmöglichten. Heute braucht man aufgrund der erweiterten Datenschutzgesetzgebung mehr Flexibilität; Personendaten müssen auch in Archiven nachträglich gelöscht oder korrigiert werden können.
Moderne Archivierungslösungen bieten mehrstufige Sicherheitssysteme. Diese stellen die Integrität beispielsweise durch digitale Signaturen sicher und protokollieren sämtliche Zugriffe detailliert und manipulationssicher.
Häufig gehen Unternehmen einseitig von einer Bedrohung von aussen aus. Dabei ist die Gefahr, dass unbefugte Personen aus dem Unternehmen bzw. der Organisation versuchen, auf sensitive Informationen zuzugreifen, viel grösser. Dem kann man z.B. mit restriktiven Zugriffsrechten, einem Vier-Augen-Prinzip und einer Verschlüsselung der Daten entgegenwirken.
Mit einer Verfahrensdokumentation. Diese wird mit einem spezialisierten IT-Juristen erstellt und zeigt insbesondere die technischen und organisatorischen Massnahmen auf, welche zur Sicherung der Datenintegrität implementiert wurden. Sie ist essenziell im Falle einer gerichtlichen Auseinandersetzung.
Ein sicheres und gesetzeskonformes digitales Archiv ist mit einem gewissen Initialaufwand verbunden, doch dieser ist auch für ein KMU tragbar. Es existieren Standard-Softwarelösungen, mit denen – sofern korrekt konfiguriert – die gesetzlichen Anforderungen gut eingehalten werden können.
Die einfachste und oft auch kostengünstigste Variante ist das Outsourcing der Archivierung an einen spezialisierten Schweizer Anbieter. Diese kennen die gesetzlichen Rahmenbedingungen und verfügen über die entsprechenden Zertifizierungen.
Dass das mit dem Scanning beauftragte Unternehmen zertifiziert ist, die mit dem Scanning betrauten Mitarbeitenden sorgfältig auditiert und entsprechende Geheimhaltungsvereinbarungen unterschrieben sind.
Und was ist in 10 Jahren, wenn die heutige Speicher-Technologie überholt ist?
Professionelle Archivierungslösungen bzw. Outsourcing-Anbieter führen regelmässige Lesbarkeitsprüfungen durch. Sie speichern die Informationen in langfristig stabilen Archivformaten und stellen sicher, dass diese in Zukunft bei Bedarf auf neue Datenträger migriert werden können.