In der Praxis tauchen immer wieder Fragen zur Umsetzung von GeBüV Art. 9 auf. Insbesondere unter welchen Umständen veränderbare Speicher im Archiv eingesetzt werden dürfen. Hier die Voraussetzungen, damit eine Archivlösung nach Art. 9 kompatibel ist und veränderbare Speicher eingesetzt werden können.
Gesetzestext:
Art. 9 Zulässige Informationsträger
1 Zur Aufbewahrung von Unterlagen sind zulässig:
- unveränderbare Informationsträger, namentlich Papier, Bildträger und unveränderbare Datenträger;
- veränderbare Informationsträger, wenn:
- technische Verfahren zur Anwendung kommen, welche die Integrität der gespeicherten Informationen gewährleisten (z.B. digitale Signatur- verfahren),
- der Zeitpunkt der Speicherung der Informationen unverfälschbar nach- weisbar ist (z. B. durch «Zeitstempel»),
- die zum Zeitpunkt der Speicherung bestehenden weiteren Vorschriften über den Einsatz der betreffenden technischen Verfahren eingehalten werden, und4. die Abläufe und Verfahren zu deren Einsatz festgelegt und dokumentiert sowie die entsprechenden Hilfsinformationen (wie Protokolle und Log files) ebenfalls aufbewahrt werden.
2 Informationsträger gelten als veränderbar, wenn die auf ihnen gespeicherten Informationen geändert oder gelöscht werden können, ohne dass die Änderung oder Löschung auf dem Datenträger nachweisbar ist (wie Magnetbänder, magnetische oder magnetooptische Disketten, Fest- oder Wechselplatten, solid state-Speicher).
Auslegung und Praxis zur Umsetzung von Art. 9 Abs. 1 lit. 2. Die folgenden Verfahren sind kumulativ erforderlich, um die Anforderungen zu erfüllen:
- Integritätsschutz mit kombinierten Krypto/Hashverfahren (Hash Algorithmen ohne Signaturen erfüllen die Anforderungen nicht).
UND
- Signaturen mit Einbindung der aktuellen Zeit, am Besten über einen Time Stamping Service. Der Nachweis der Zeitintegrität muss gewärleiset werden können.
UND
- Zugriffssteuerung mit eingeschränkten Rechten für Administratoren und Protokollierung aller systemrelevanter Handlungen.
UND
- Lückenlose Dokumentation der eingesetzten Verfahren (mit Historie)
Fazit: Die Absicherung der Integrität auf veränderbaren Speichern ist nur Kunden zu empfehlen, die sehr hohe Archivvolumen verarbeiten müssen und Know-how im Umgang mit Kryptoverfahren haben. Ansonsten wird empfohlen, sich auf spezielle Speicherhardware etablierter Hersteller zu verlassen.
Zertifizierung Ihrer Archivlösung:
Dies ist nur eine Anforderung aus dem Gesamtkatalog. Im Lauf der letzten Jahre wurde ein umfassender Ordnungsmässigkeitskatalog entwickelt, welcher als Benchmark für die Überprüfung der Rechtskonformität von Archivlösungen dient. Die GeBüV dient als Ausführungsbestimmung als rechtliche Grundlage für fast alle Tätigkeitsbereiche, sowohl im privaten wie auch öffentlich-rechtlichen Umfeld.
Möchten Sie wissen, ob Ihre Lösung den schweizerischen Anforderungen genügt? Dann kontaktieren Sie uns.
Hei Bruno
ich bin gerade dabei, die Ordner meines Arbeitgebers zu digitalisieren.
Kannst du mir weiterhelfen. Reicht eine Protokollierung von unserer Seite aus (von Hand in einem Excel) und eine digitale Unterschrift, die ich im adobe reader erstellen kann, so dass die Dokumente trotzdem beweiskräftig wären?
Ich bin ein Bisschen ratlos, ich finde so praktisch gar nichts, betreffend dieses Themas.
Ich hoffe, du kannst mir helfen
Gruess Kaja
Hallo Kaja,
danke für die Anfrage. Hier sind zwei Themenkreise betroffen. Erstens geht es um den Prozess des „Ersetzenden Scannens“ und die Frage, ob das elektronische Endprodukt vertrauenswürdig ist, d.h. den Anforderungen der Steuerbehörde (oder eines Gerichts) standhalten würde. Dazu braucht es ein passendes Verfahren und die Dokumentation dazu. Zweitens müssen alle Dokumente/Daten, welche den rechtlichen Aufbewahrungsvorschriften unterliegen, unveränderbar archiviert werden. Dazu wird normalerweise ein vollwertiges Archivsystem (ECM/DMS) eingesetzt. Lösungen sind aber immer natürlich auch von der Organisationsgrösse und dem Risikoprofil abhängig. Ein kleiner Handwerksbetrieb hat nicht dieselbe Risikoexposition wie eine Bank. Deine Lösung wäre für eine einfache KMU dann möglich, wenn die Daten zusätzlich unveränderbar archiviert würden, sinnvollerweise auf eine CD gebrannt (klassisch) oder moderner in eine konforme Cloud WORM (unveränderbar) Lösung geschrieben (jetzt müsste hier noch ein grosser Disclaimer von wegen Unverbindlichkeit der Empfehlung stehen, etc, den spare ich mir aber jetzt…).