Teil 2: Was bedeutet «revisionssicher»?

 

Die Datensicherheit ist in Zeiten des digitalen Arbeitens wichtiger als je zuvor. Dokumente in digitaler Form können genauso wie in Papierform Manipulationen ausgesetzt sein, wenn die entsprechende Sicherheit nicht stimmt. Aus diesem Grund fordert der Gesetzgeber die Einhaltung bestimmter Regelungen in Bezug auf digitale Dokumente. Der Fachbegriff hierzu lautet «Revisionssicherheit». Aber was bedeutet das eigentlich?

 

Was bedeutet «revisionssicher»?

Revisionssicher heisst «vor einer Revision (Abänderung) geschützt» - sprich manipulationssicher im Sinne der Compliance. Der Begriff wird sowohl im technischen wie organisatorischen Kontext der elektronischen Speicherung von Daten verwendet. 

Die rechtliche Grundlage für Revisionssicherheit bilden in der Schweiz v.a. folgende Verordnungen und Gesetze:

  • Obligationenrecht (OR)
  • Verordnung über die Führung und Aufbewahrung der Geschäftsbücher (GeBüV)
  • Handelsregisterverordnung (HRegV)
  • Steuerrecht (DBG, StHG, StG, MWStGV)

 

Gestützt auf Art. 958f Abs. 4 OR, regelt die Geschäftsbücherverordnung (GeBüV) Vorschriften, die ein Unternehmen bei der Einführung und Pflege der Archivierungslösung beachten muss. Die vier wichtigsten Anforderungen an eine revisionssichere Archivierung sind:

  • Integrität (nach Art. 3 GeBüV)
  • allgemeine Sorgfaltspflicht (Art. 5 GeBüV)
  • Verfügbarkeit (Art. 6 GeBüV)
  • Verwendung eines zulässigen Informationsträgers (Art. 9 GeBüV)

 

Integrität:

Archivierte Dokumente müssen nach Art. 3 GeBüV während der gesamten Aufbewahrungsdauer so verwaltet und aufbewahrt werden, dass sie den Anforderungen der Integrität, also der Echtheit und Unverfälschtheit, genügen. Geschäftsunterlagen sind daher so zu führen und aufzubewahren, dass Bücher, Belege und Geschäftskorrespondenz sich nicht verändern lassen, ohne dass dies feststellbar wäre. Werden bspw. bei elektronischer Archivierung die Dokumente auf einem veränderbaren Informationsträger gespeichert, so muss deren Integrität zwingend durch zusätzliche technische Massnahmen, wie etwa einer elektronischen Signatur, sichergestellt werden.

 

Allgemeine Sorgfaltspflicht:

Damit ein Unternehmen diesen Rechtsvorschriften gerecht wird, muss es geeignete Kontroll- und Schutzmechanismen vorsehen. Das gilt für physische wie auch für elektronische Buchführung und Archivierung. Bei wachsender Frequentierung der Geschäftsdokumentation müssen auch die betroffenen Mitarbeitenden gemäss dem eingesetzten Archivierungssystem geschult werden. Nur so erfüllt ein Unternehmen seine Sorgfaltspflicht nach Art. 5 GeBüV, wonach Dokumente sorgfältig, geordnet und vor schädlichen Einwirkungen geschützt zu archivieren sind.

 

Verfügbarkeit:

Mit geeigneten Retrievaltechniken (z.B. durch Indexierung) muss ein Dokument bis zum Ende der Aufbewahrungsfrist von einer berechtigten Person zeitnah auffindbar sein und eingesehen resp. geprüft werden können. Zudem ist im täglichen Geschäft ein schneller und einfacher Zugriff auf archivierte Dokumente sehr wertvoll. Archivierungssysteme, die einen raschen und sicheren Zugriff auf die Daten ermöglichen, können Geschäftsabläufe erheblich beschleunigen. Unternehmen sollten daher auch aus der Sicht der Effizienzsteigerung und Kostensenkung an einem Archivierungssystem interessiert sein, das eine zeitgleiche Verfügbarkeit der Dokumente ermöglicht.

 

Verwendung eines zulässigen Informationsträgers:

Das Schweizer Gesetz sieht zwei verschiedene Arten von Informationsträgern als zulässig an. Einerseits sind unveränderbare Informationsträger, das heisst Papier, Bildträger und unveränderbare Datenträger rechtskonform. Anderseits können auch veränderbare Informationsträger verwendet werde. Veränderbar heisst, dass gespeicherte Informationen geändert oder gelöscht werden können. Solche Arten von Informationsträger können aber nur zum Einsatz kommen, wenn die Integrität der gespeicherten Informationen gewährleistet ist (z.B. durch ein digitales Signaturverfahren), Zeitpunkt der Speicherung unverfälschbar nachweisbar ist und alle Abläufe und Verfahren zu Änderungen dokumentiert werden und Hilfsinformationen ebenfalls während der Aufbewahrungsfrist aufbewahrt werden.

 

Was ausserdem sonst noch bei einer revisionssicheren Archivierung beachtet werden muss, regeln die verbleibenden Artikel der GeBüV:

  • Nach Art. 4 GeBüV muss ein archivierendes Unternehmen die Abläufe, Verfahren und Zuständigkeiten bei einer elektronischen Archivierung dokumentieren. Zudem ist vorgeschrieben, dass der Zeitpunkt der Speicherung nachweisbar ist (z.B. mit Zeitstempeldiensten).
  • Dokumente, die zu aktiven Geschäftsfällen gehören, sind gemäss Art. 7 GeBüV logisch und physisch von den Dokumenten abgeschlossener Geschäftsfälle zu trennen.
  • Ein Unternehmen muss gemäss Art. 8 GeBüV den Zugriff/Zutritt zu archivierten Informationen dokumentieren. Die Informationen sollen damit vor unbefugtem Zugriff geschützt werden.
  • Die archivierten Daten sind nach Art. 10 Abs. GeBüV regelmässig auf ihre Lesbarkeit zu überprüfen. Dieser Artikel sieht auch vor, dass Daten in andere Formate oder auf andere Informationsträger übertragen werden können, sofern die Vollständigkeit, Richtigkeit, Verfügbarkeit und Lesbarkeit weiterhin gewährleistet sind und der Datenübertrag protokolliert wird (Art. 10 Abs. 2,3 GeBüV).

 

Erfahren Sie im nächsten Teil mehr über die verschiedenen Dokumentenarten welche in Unternehmen anfallen und welche ein besonders hohes Potential im Bereich der Digitalisierung bergen. Abonnieren Sie rechts unseren Newsletter, um keinen Teil zu verpassen.

 

 

 

Produkte die wir einsetzen

 

Wir als IBM und Kofax Partner setzen in unseren Projekten auf die führenden Produkte dieser Anbieter.


Zum Einsatz kommen:

 

 

Unsere Partner

 

 

 

Newsletter

Möchten Sie via Newsletter über diese Blog-Serie informiert werden? Dann hinterlassen Sie uns hier Ihre E-Mail Adresse!