Kolumne

Einige rechtliche Aspekte zur elektronischen Aufbewahrung

Uhr
von Mira Burri, Dozentin an der Universität Luzern und Leiterin des Forschungsprojekts Big Data and Trade und Reto Fanger, Rechtsanwalt und Datenschutzbeauftragter des Kanton Luzern

Die digitale Technologie bietet einmalige Möglichkeiten für Aufbewahrung und Archivierung, die in mehrerer Hinsicht den ­Geschäftsalltag erleichtern können. Rechtlich gesehen verbirgt sie aber gleichwohl viele Schwierigkeiten. Wir erläutern hier einen Bruchteil davon, insbesondere im Kontext des geltenden und sich stets wandelnden Datenschutzrechts.

(Quelle: iStock)
(Quelle: iStock)

Oft wird die elektronische Aufbewahrung im Gesetz nicht besonders von der Aufbewahrung im Allgemeinen geregelt. Es ist denn auch nicht die Aufbewahrung an sich, die im Kontext der modernen technologischen Möglichkeiten zur Datenspeicherung den Gesetzgeber vor besondere Probleme stellt, sondern vielmehr der Datenschutz beziehungsweise mögliche Verletzungen der Privatsphäre, die damit einhergehen.

Zuerst gilt es herauszufinden, welche Unterlagen wie lange aufbewahrt werden müssen und ob das in digitalisierter Form geschehen darf. Für private Unternehmen sind dabei insbesondere die Bestimmungen des Obligationsrechts über die kaufmännische Buchführung und Rechnungslegung relevant. Als Beispiel dürfen die danach aufzuhebenden Geschäftsbücher und Buchungsbelege auch in elektronischer oder vergleichbarer Form aufbewahrt werden. Nach wie vor schriftlich und unterzeichnet aufzubewahren sind hingegen Geschäfts- und Revisionsberichte.

Für besondere Bereiche finden sich auch immer wieder mehr oder weniger detaillierte Regelungen in den passenden Spezialgesetzen – etwa für Produkthaftung, Geldwäscherei oder im Bereich des Steuerrechts.

Datenvernichtung

In einem zweiten Schritt ist festzustellen, wann die Unterlagen nach dem Gesetz wieder zu vernichten sind. Nach geltendem Datenschutzrecht dürfen Daten, die sich auf eine bestimmte Person beziehen oder Rückschlüsse auf diese zulassen könnten, nur so lange aufbewahrt werden, wie sie für den Zweck, zu dem sie erhoben wurden, benötigt werden. Dabei muss es sich um einen konkreten Zweck handeln.

Der rein abstrakte Wunsch, Daten auf Vorrat zu sammeln und diese für einen späteren möglichen Einsatz zu speichern, genügt nicht. Der Gesetzgeber erwähnt hier bewusst keine genaue Zeitdauer, um dem Prinzip der Verhältnismässigkeit Rechnung zu tragen. Die herrschende Lehre geht jedoch davon aus, dass selten ein Szenario denkbar sein sollte, in dem Daten länger als zehn Jahre aufbewahrt werden dürften. Die laufende Reform des schweizerischen Datenschutzgesetzes, welche die EU-Datenschutzgrundverordnung nachahmt, wird in dieser Hinsicht zu keinen markanten Änderungen führen.

Datensicherheit

Wichtig bei der elektronischen Aufbewahrung ist auch der Grundsatz, dass persönliche Daten, die aufbewahrt werden, angemessen geschützt und sicher verwahrt sind. Während des gesamten Lebenszyklus eines Dokuments muss dessen Integrität, Verfügbarkeit und Beweiskraft sichergestellt werden können.

Die Datensicherheit kann nach dem Gesetz durch verschiedene technische und organisatorische Massnahmen garantiert werden. Unter technischen Massnahmen sind im klassischen Sinne IT-Sicherheitsmassnahmen, wie Zugangsbeschränkungen mittels Passwortschutz oder eine Firewall, zu verstehen. Organisatorische Massnahmen sehen hingegen vor, dass zum Beispiel nur Personen auf die entsprechenden Daten Zugriff haben, die sie auch wirklich benötigen.

Daten outsourcen

Bereits heute wird Datenaufbewahrung im grossen Stil betrieben, und immer mehr Anbieter stellen entsprechende Lösungen zur sinnvollen Aufbewahrung von Informationen zur Verfügung. Wenn man von einem solchen Angebot Gebrauch macht, ist ebenfalls der Datenschutz zu beachten. Grundsätzlich sollten Anbieter von Archivierungs- und Aufbewahrungstools deshalb darauf achten, dass die gesetzlichen Anforderungen in ihren Anwendungen berücksichtigen und beispielsweise entsprechende Zugangsschranken konfigurieren.

Wann immer Dritte wie Cloud-Dienste oder Anbieter von Aufbewahrungslösungen Daten bearbeiten, dürfen sie das nur so tun, wie es ihr Kunde selbst tun dürfte. Dabei bleibt der Auftraggeber für die Bearbeitung durch den Dritten haftbar und hat sich zu vergewissern, dass dieser die Datensicherheit gewährleistet. Insbesondere Vorsicht geboten ist, wenn Daten die Grenze überqueren und auf Servern im Ausland gespeichert werden. Diese dürfen nur in Länder bekannt gegeben werden, die einen angemessenen Schutz gewährleisten. Sicher gegeben ist das bei der Europäischen Union. Für die USA sind die Grundsätze des mit der Schweiz geschlossenen Safe-Harbor-Abkommens relevant.

Die Anforderungen des Datenschutzes in der Ära von Big Data ändern sich jedoch stets. Möglicherweise wird künftig die gesetzliche Last grösser, damit die Grundrechte der Nutzer, insbesondere der Schutz der Privatsphäre, garantiert werden können.

Webcode
DPF8_42316