RECHTLICHE RAHMENBEDINGUNGEN_Das Recht stellt strenge Anforderungen an die Datensicherheit. Die Realität ist vielfach mit der Rechtslage überhaupt nicht deckungsgleich.
Es fängt wie so oft bei den Juristen schon bei der Frage an, was denn Datensicherheit überhaupt heisst. Verschiedene gesetzliche Bestimmungen verlangen vom Bürger und von den Unternehmen, dass sie Informationen (Daten) aufbewahren. Fast jeder weiss, dass man zum Beispiel Rechnungen 10 Jahre lang aufbewahren soll. Aber wie aufbewahren?
Dazu muss man wissen, dass die meisten Gesetze aus den Zeiten vor der Elektronik und vor pdf-Kopien stammen. Was man bekam, war Papier. Aufbewahren hiess, das Papier so wie es ist ordentlich aufbewahren, zum Beispiel in einem Ordner, an einem trockenen Ort. Und wegen untadeliger Papierqualität und Tinte (oder Kohlenband der Schreibmaschi-ne!) blieb so ein Papier problemlos 10 Jahre lang intakt und lesbar.
Das änderte bereits mit dem Telefax, den es anfänglich nur mit sogenanntem Thermopapier gab (Einbrennen von Dunkelpunkten): Wer solche Telefaxe an die Sonne legte, sah innert wenigen Tagen nichts mehr, und schon normale Zimmertemperatur und erst recht der warme Estrich reichten bei Weitem aus, um solche Dokumente lange vor Ablauf von 10 Jahren unlesbar zu machen. Weil das Thermopapier beschichtet war, konnte auch ruppiger Umgang damit zum Ablösen der Thermoschicht und damit zum Verschwinden des Textes führen.
Und damit sind wir ganz grob bei dem, was der Gesetzgeber meint, wenn er von Aufbewahren spricht: (a) physisch lagern an einem für das Speichermedium geeigneten Ort, (b) für die fortdauernde Lesbarkeit sorgen, und (c) die Ände-rung oder gar Fälschung des Inhalts verhindern.
Eine solche Aufbewahrung wird aber gesetzlich aus verschiedenen Gründen verlangt. Im Handelsrecht gibt es für Un-ternehmen die Buchführungspflicht (Art. 957 des Obligationenrechts, OR). Betriebsrechnung und Bilanz müssen förmlich unterzeichnet werden (Art. 961 OR). Unternehmen müssen Geschäftsbücher, Buchungsbelege und Korrespondenz während 10 Jahren aufbewahren (Art. 962 OR). Private tun das meist auch, aber nicht weil sie müssten, sondern weil die Verjährungsfrist nur selten länger als 10 Jahre ist, so dass man die Belege nachher nicht mehr braucht.
Diese Vorschriften gehen von Papierbelegen aus. Wie steht es mit elektronischen Belegen? Da gibt es eine besondere Verordnung, die sogenannte GeBüV, die Verordnung vom 24. April 2002 über die Führung und Aufbewahrung der Ge-schäftsbücher. Sie stellt hohe Anforderungen. Ein simples pdf auf einem Harddrive ist bei Weitem nicht ausreichend.
Und dann kommt noch das Steuerrecht, insbesondere das Mehrwertsteuerrecht. Da gibt es die sogenannte ElDI-V (sprich: Eldi-Vau), die Verordnung des Eidg. Finanzdepartementes vom 30. Januar 2002 über elektronische Daten und Informationen. Die dort gestellten Anforderungen sind noch deutlich höher als diejenigen der GeBüV.
Der Zweck dieser Vorschriften ist, ganz allgemein gesagt, «ordentliche Verhältnisse» herzustellen: ordentliche Bücher, die revidiert werden können und aussagekräftig sind, ordentliche Verhältnisse in Prozessen, wenn es um Beweismaterial geht, ordentliche Erfüllung der Steuerpflicht.
Wir sind noch nicht zu Ende. Das Datenschutzrecht stellt extrem hohe Anforderungen an die Aufbewahrung, insbeson-dere auch an die elektronische Aufbewahrung von Personendaten. Der Begriff der Personendaten umfasst alle Daten, die in irgendeiner Beziehung zu einer Person oder einem Unternehmen stehen. Wenn man sich überlegt, was für Daten das in einem Unternehmen sind, merkt man schnell, dass das fast alle Daten beinhaltet: Mitarbeiter, Kunden, Lieferan-ten. Jede Rechnung stellt «Personendaten» dar, die Personalabteilung hat überhaupt nur mit Personendaten zu tun.
Der Sinn der Aufbewahrungsvorschriften nach Datenschutzrecht liegt nicht in den oben genannten wirtschaftlichen ordentlichen Verhältnissen, sondern im Schutz der Person. Weil aber jedes Unternehmen voll von Personendaten ist, überschneiden sich die Vorschriften von OR, GeBüV und ElDI-V mit denjenigen des Datenschutzes. Das Dumme ist: Die Vorschriften des Datenschutzes sind die strengsten von allen. In der Verordnung zum Datenschutzgesetz werden in den Art. 8–11 unter anderem folgende Massnahmen verlangt: generell «angemessene» technische und organisatorische Massnahmen Systeme zur Erkennung von unbefugter oder zufälliger Vernichtung, zufälligem Verlust, technischen Fehlern, Fälschung, Diebstahl oder widerrechtlicher Verwen-dung, unbefugtem Ändern, Kopieren, Zugreifen usw. alles nach dem jeweiligen aktuellen Stand der Technik alles periodisch zu überprüfen mit einer Risikobeurteilung mit Kontrollen für Zugang zu den Daten, Zugang nur durch befugte Personen, Kontrollen beim Verschieben von Daten, Kontrollen bezüglich Datenversendern und -empfängern, Benutzerkontrollen, Ein- und Ausgabekontrollen mit einer Protokollierung aller Vorgänge und mit einem Reglement zu allem Obigen.
Tja – und was denkt der Schneider Meck-Meck, wenn er das liest? Er versteht es nicht mal, geschweige denkt er daran, sich daran zu halten. Die Anforderungen des OR an Papierunterlagen sind erfüllbar für jeden. Wer es (nur) elektronisch haben will, muss sich an die GeBüV und für die MWSt an die ElDI-V halten, was nicht einfach ist, aber machbar. Was aber nach Datenschutzrecht hinzukommt, übersteigt die Ressourcen von KMU bei weitem. Übrigens sind auch die Ge-werbevereine und sonstigen Berufsvereinigungen überfordert: Es ist dem Autor nicht ein einziges Beispiel für eine «Bran-chenlösung» bekannt. Grosse Unternehmen können (oder müssen) es sich leisten, solchen Aufwand zu treiben, KMU können es nicht. Und in der Schweiz sind etwa 99,5% aller Unternehmen KMU.
Die IT, so alltäglich und allgegenwärtig sie ist, bringt auch heute noch immer wieder Überraschungen und unerwartete Anforderungen. Dass der PC mal crasht, daran haben wir uns gewöhnt. Aber an die Anforderungen für ein papierloses Büro inklusive Aufbewahrung gewöhnt man sich wohl nicht leicht. Da gewöhnt man sich schon eher daran, der Forstwirtschaft auf die Beine zu helfen und alles auszudrucken …
Dr. Robert G. Briner ist Partner der Kanzlei CMS von Erlach Henrici AG. Der Rechtsexperte befasst sich seit 25 Jahren mit Technologierecht und ist Vortragender am Call Center Summit von ZfU.
Autor: Dr. Robert G. Briner
