Elektronische Archivierung: Worauf Unternehmen rechtlich achten müssen

Die gesetzlichen Grundlagen finden sich insbesondere im Obligationenrecht (OR) und in der Geschäftsbücherverordnung (GeBüV). Nach Art. 958f OR sind Geschäftsbücher, Buchungsbelege, Geschäftsbericht und Revisionsbericht während zehn Jahren aufzubewahren; die Frist beginnt mit Ablauf des Geschäftsjahres. Die elektronische Aufbewahrung muss die Übereinstimmung der Geschäftsbücher und Buchungsbelege mit den zugrunde liegenden Geschäftsvorfällen gewährleisten. Zudem müssen die Unterlagen jederzeit wieder lesbar gemacht werden können.

Für Verwaltungsrat, Geschäftsleitung, CFO und CEO ist die Archivierung deshalb ein Compliance-, Governance- und Risikomanagementthema. Bei Aktiengesellschaften gehört die Ausgestaltung des Rechnungswesens zu den unübertragbaren und unentziehbaren Aufgaben des Verwaltungsrats; die Verantwortung für eine gesetzeskonforme Organisation kann daher nicht vollständig an IT, Buchhaltung oder externe Cloud-Anbieter delegiert werden. Neben dem OR sind weitere Vorschriften zu beachten, etwa aus dem Mehrwertsteuer-, Steuer-, Datenschutz-, Sozialversicherungs- oder Handelsregisterrecht sowie aus branchenspezifischen Regulierungen.

Welche Unterlagen sollten archiviert werden?

Das zwingende gesetzliche Minimum umfasst insbesondere jene Elemente, die erforderlich sind, um die finanzielle Situation der Gesellschaft nachzuweisen, also Geschäftsbücher, Buchungsbelege, Geschäftsbericht und Revisionsbericht.

Neben den genannten gesetzlichen Bestimmungen des OR kommen weitere Rechtsvorschriften zur Anwendung, die direkt oder indirekt eine Aufbewahrung von Dokumenten erfordern; teilweise weit über die zehnjährige Frist des OR hinaus. Die Eidgenössische Steuerverwaltung empfiehlt beispielsweise, Belege im Zusammenhang mit Renovationen von Immobilien während 26 Jahren aufzubewahren. Eine lange Zeit in unserer schnelllebigen digitalen Welt. Wer heute an die vor 26 Jahren eingesetzten Systeme denkt, erkennt rasch die Herausforderung: Dokumente müssen nicht nur gespeichert, sondern oft über Jahrzehnte hinweg lesbar, nachvollziehbar und beweiskräftig bleiben.

In der Praxis genügen die vom Gesetz zwingend vorgesehenen Dokumente allein nicht für eine sinnvolle Archivierung. Eine zweckmässige Archivierung umfasst auch Dokumente, die für spätere Nachweise, die Vertragsauslegung, Steuerprüfungen, arbeitsrechtliche Fragen, Qualitätsnachweise, Gewährleistungsfälle, Verantwortlichkeiten sowie Investitions- oder Finanzierungsthemen relevant sein können. Zwar ist hierfür nicht zwingend eine Archivierung vorgeschrieben, doch zur Vermeidung des Risikos einer Beweislosigkeit wird deren Aufbewahrung häufig sinnvoll sein.

Ein Archivkonzept sollte daher nicht auf den Begriff des «Buchungsbelegs» beschränkt sein, sondern sich am Informations- und Sicherheitsbedarf des Unternehmens orientieren. Aufzubewahren sind typischerweise neben Rechnungen und Jahresabschlüssen auch weitere Dokumente wie Verträge, wesentliche Korrespondenz, Verwaltungsrats- und Geschäftsleitungsprotokolle, Steuerunterlagen, MWST-relevante Dokumente, Lohn- und Personalunterlagen, Versicherungsdokumente, Gesellschaftsunterlagen sowie Unterlagen zu wesentlichen Projekten oder Transaktionen. Dabei gilt es, gesetzliche Aufbewahrungspflichten, Verjährungsfristen, Beweisinteressen und Datenschutzanforderungen sorgfältig gegeneinander abzuwägen - eine keineswegs triviale Aufgabe.

Da die Archivierung weiterer Dokumente zwar sinnvoll, rechtlich aber nicht in jedem Fall zwingend vorgeschrieben ist, besteht hierfür im Prinzip auch keine Pflicht zur Einhaltung sämtlicher gesetzlicher Anforderungen an die Archivierung. Um jedoch Zweifel an der Qualität der Aufbewahrung und damit an der Echtheit der Dokumente zu vermeiden, ist auch in diesen Fällen in aller Regel die Nutzung der für die gesetzeskonforme Archivierung vorgesehenen Infrastruktur empfehlenswert.

Die rechtlichen Anforderungen an ein elektronisches Archiv

Die GeBüV definiert die Anforderungen an aufbewahrungspflichtige Geschäftsbücher und regelt Themen wie Sorgfaltspflicht, Verfügbarkeit, Organisation und Archivierung. Ein eigener Abschnitt ist den Anforderungen an die Informationsträger der aufzubewahrenden Informationen gewidmet. Dabei wird unterschieden zwischen:

• «unveränderbaren Datenträgern» wie Papier, Bildträgern (insbesondere Mikrofilmen) und unveränderbaren elektronischen Datenträgern wie CD-ROM, DVD-ROM oder WORM-Systemen (write once read many) sowie
• «veränderbaren Datenträgern» wie Magnetbänder, HDD (Hard Disk Drive), SSD (Solid State Drives) usw.

Die meisten modernen Archiv- und Cloud-Lösungen speichern Informationen auf veränderbaren Datenträgern. Das ist technisch sinnvoll, stellt rechtlich aber zusätzliche Anforderungen. Die GeBüV verlangt deshalb verschiedene Massnahmen, um Manipulationen zu verhindern und die Nachvollziehbarkeit sicherzustellen.

Nur wenn die folgenden vier Anforderungen erfüllt sind, kann von einer gesetzeskonformen Aufbewahrung gesprochen werden.

1) Integrität nachweisen

Die Sicherstellung der Integrität erfolgt in der Praxis in der Regel mittels eines Zertifikats. Dabei muss es sich nicht zwingend um eine qualifizierte elektronische Signatur (QES) nach ZertES (Bundesgesetz über Zertifizierungsdienste im Bereich der elektronischen Signatur und anderer Anwendungen) handeln. Die Verwendung einer Schweizer QES bietet jedoch Vorteile bei der Beweisführung: Wird eine gültige QES eingesetzt, wird von deren Richtigkeit ausgegangen. Das bedeutet, dass die anfechtende Partei allfällige Mängel der QES zu beweisen hat.

2) Zeitpunkt der Speicherung dokumentieren

Der Nachweis des Zeitpunkts der Speicherung erfolgt in der Regel mittels eines sogenannten Zeitstempels.

3) Technische Standards einhalten

Dieser Punkt verweist auf die «Vorschriften über den Einsatz der betreffenden technischen Verfahren». Gemeint sind die einschlägigen gesetzlichen Vorgaben und anerkannten technischen Regeln, de facto also Standards wie ISO 27001, SOC 1 oder SOC 2.

4) Verfahrensdokumentation sicherstellen

Eine grosse praktische Hürde auf dem Weg zu einer gesetzeskonformen Archivierung stellt die Dokumentation dar. Diese wird häufig als Verfahrensdokumentation bezeichnet - in Anlehnung an die deutsche GoBD («Grundsätze zur ordnungsmässigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie Datenzugriff»).

Vereinfacht gesagt beschreibt die Verfahrensdokumentation, wie Dokumente im Unternehmen erfasst, verarbeitet, gespeichert und archiviert werden. Sie soll auch Jahre später noch nachvollziehbar machen, weshalb ein bestimmter Prozess ordnungsgemäss funktioniert hat.

In der Verfahrensdokumentation sind - angepasst an Art, Grösse und Umfang des Unternehmens - Organisation, Zuständigkeiten und Abläufe zu beschreiben. Zudem sind Verfahren, Maschinen und Software beziehungsweise Programme so zu dokumentieren, dass die ordnungsgemässe und korrekte Verarbeitung von Geschäftsbüchern und Buchungsbelegen nachvollzogen und überprüft werden kann. Diese Dokumentation ist bei Änderungen der Prozesse zu aktualisieren und nach denselben Grundsätzen sowie während derselben Dauer aufzubewahren wie die Dokumente, für die der Nachweis erbracht werden soll.

Revisionssicher ist nicht automatisch gesetzeskonform

Systemlösungen, welche die Punkte 1 (Integrität nachweisen) und 2 (Zeitpunkt der Speicherung dokumentieren) erfüllen, werden häufig als «revisionssicher» angepriesen. Revisionssicherheit allein führt jedoch noch nicht zur Gesetzeskonformität. In der Praxis fehlt oftmals eine Verfahrensdokumentation oder sie wird nicht aktuell gehalten. Auch der ordnungsgemässen Aufbewahrung der Verfahrensdokumentation und allfällig weiterer Hilfsinformationen ist die notwendige Aufmerksamkeit zu schenken. Sind diese Anforderungen nicht erfüllt, ist die Aufbewahrung nicht gesetzeskonform. Mit anderen Worten: Eine technisch sichere Lösung allein genügt nicht. Ebenso wichtig sind dokumentierte Prozesse und deren konsequente Umsetzung.

Wird eine Cloud-Lösung im Ausland eingesetzt, sind weitere Aspekte zu berücksichtigen, beispielsweise Datenschutz, Geheimhaltungspflichten oder das Erfordernis der jederzeitigen Verfügbarkeit der Daten.

Berechtigte Personen müssen während der gesamten Aufbewahrungsfrist innert angemessener Frist Einsicht nehmen und Prüfungen durchführen können; hierfür sind die erforderlichen Programme, Geräte und Dateiformate verfügbar zu halten. Dies stellt insbesondere dann eine Herausforderung dar, wenn Unternehmen Systeme wechseln, etwa die Buchhaltungssoftware durch jene eines anderen Anbieters ersetzen. Oft ist die Lesbarkeit von Datenbeständen aus einem anderen System nicht sichergestellt.

Eine Archivlösung ist nur dann belastbar, wenn auch nach mehreren Jahren noch nachvollziehbar ist, wie Daten gefunden, geöffnet, gelesen und hinsichtlich ihrer Herkunft überprüft werden können. Dies gilt insbesondere bei langen Aufbewahrungsfristen, wie etwa den zuvor erwähnten 26 Jahren für bestimmte Buchungsbelege und Geschäftsunterlagen für Mehrwertsteuerzwecke bei Immobilien. Soweit erforderlich, sind die notwendigen Geräte und Programme verfügbar zu halten. Gewisse Dateiformate, etwa archivtaugliche Formate wie PDF/A, eignen sich besser für die langfristige Aufbewahrung.

Für viele KMU besonders relevant: Ein normales Fileshare, ein unstrukturierter Cloud-Ordner oder eine Ablage in SharePoint, OneDrive, Teams, Dropbox oder einem ERP-Export stellt nicht automatisch ein GeBüV-konformes Archiv dar. Solche Systeme können Teil einer Archivlösung sein, müssen jedoch durch geeignete technische und organisatorische Massnahmen ergänzt werden. Dazu gehören insbesondere Rollen- und Berechtigungskonzepte, Versionierung, Manipulationsschutz, Protokollierung, Aufbewahrungsregeln, Löschsperren, Zeitstempel, Migrationskonzepte und dokumentierte Prozesse.

Zugriff steuern und Dokumente auffindbar halten

Ein rechtlich korrektes Archiv ist nicht nur ein sicherer Speicherort. Es muss auch organisatorisch so aufgebaut sein, dass Dokumente gefunden werden können, ohne dass unberechtigte Personen Zugriff auf vertrauliche Informationen erhalten. Gerade hier entstehen in KMU häufig Zielkonflikte: Wird der Zugriff zu weit geöffnet, drohen Datenschutz-, Geheimhaltungs- und Vertraulichkeitsprobleme. Wird er zu stark eingeschränkt oder unübersichtlich organisiert, können berechtigte Personen Belege, Verträge oder Nachweise im entscheidenden Moment nicht finden.

Das Need-to-know-Prinzip sollte deshalb nicht erst nachträglich auf ein bestehendes Archiv angewendet werden, sondern bereits bei dessen Konzeption berücksichtigt werden. Sinnvoll ist eine Trennung nach Dokumentklassen, Rollen und Schutzbedarf: Finanzbelege, Personaldossiers, Steuerunterlagen, Verträge, Verwaltungsratsunterlagen und Projektdokumentationen weisen unterschiedliche Vertraulichkeitsstufen und unterschiedliche Zugriffskreise auf. Gleichzeitig braucht es klare Metadaten, Suchlogiken, Dossiers, Dokumententypen und Verantwortlichkeiten, damit der Zugriffsschutz die Auffindbarkeit nicht faktisch verhindert.

Handlungsempfehlungen für Unternehmen

Für KMU empfiehlt sich ein risikobasierter Ansatz. Unternehmen sollten insbesondere folgende Fragen beantworten und entsprechende Massnahmen treffen:

• Welche Unterlagen entstehen im Unternehmen? Es ist zu erfassen, welche Dokumente gesetzlich aufzubewahren sind und welche aus Beweis-, Geschäfts- oder Risikogründen archiviert werden sollten.
• Welche Daten sind besonders heikel? Zu prüfen ist, ob Informationen einer Geheimhaltungspflicht unterliegen, Geschäftsgeheimnisse enthalten oder besonders schützenswerte Personendaten darstellen.
• Welches System ist das rechtlich massgebliche Archiv? Parallel geführte oder synchronisierte Datensammlungen – etwa in E-Mail-Postfächern, lokalen Laufwerken oder Teams-Kanälen – erschweren die Nachvollziehbarkeit und Kontrolle.
• Wie werden Integrität und Nachvollziehbarkeit sichergestellt? Beim Einsatz veränderbarer Datenträger sind insbesondere Integrität, Zeitnachweis und die Dokumentation der Prozesse mittels Verfahrensdokumentation sicherzustellen.
• Wie lange sollen die einzelnen Datenkategorien aufbewahrt werden? Soweit nicht bereits gesetzlich geregelt, sind entsprechende Aufbewahrungsfristen festzulegen.
• Bleiben die Daten langfristig lesbar und verfügbar? Dies ist insbesondere bei Softwarewechseln, Cloud-Migrationen oder Outsourcing-Projekten sicherzustellen.

Wer diese Punkte frühzeitig klärt und dokumentiert, schafft die Grundlage für eine rechtssichere und zugleich praxistaugliche Archivierung.

Fazit: Elektronische Archivierung ist mehr als ein IT-Projekt

Elektronische Archivierung ist in der Schweiz zulässig und für Unternehmen in der digitalen Welt zunehmend unverzichtbar. Ihre Einführung ist jedoch kein rein technisches IT-Projekt. Wer auf veränderbaren Datenträgern archiviert, muss Integrität, Zeitnachweis, Verfahrensdokumentation sowie die Verfügbarkeit und Sicherheit der Daten sicherstellen. Ein geordnetes Archivkonzept ist erforderlich. Es muss die gesetzlichen Mindestanforderungen abdecken und darüber hinaus regeln, welche weiteren Dokumente sinnvollerweise aufzubewahren sind. Dabei sind unterschiedliche Aspekte wie Beweisinteressen, Datenschutz, Vertraulichkeit und praktische Auffindbarkeit zu berücksichtigen.

Wer elektronische Archivierung frühzeitig und strukturiert angeht, reduziert rechtliche Risiken, verbessert die Nachvollziehbarkeit und schafft eine belastbare Grundlage für die Zukunft.