FAQ Zertifizierung

Ja, wir kennen die grossen Herausforderungen bei den Löschungen auch in regulierten Branchen, z.B. Banken.

NEIN, denn die Ordnungsmässigkeitsanforderungen verlangen nach korekten Daten. Nicht löschbare Archive enthalten immer fehlerhafte Daten, die gelöscht werden müssten. Richtig brisant wurde das Thema allerdings erst mit der DSGVO, denn die Löschfähigkeit ist beim Datenschutz eine Schlüsselkompetenz.

Die Datenschutz-Konformität ist ein weites Feld. Wir spezialisieren uns auf die „schwierigen“ Themen rund um den Datenschutz. Dazu gehören typischerweise die Frage nach dem Integritätsschutz und der Löschfähigkeit von Anwendungen sowie der „Privacy by Design“ und „Privacy by Default“ Fähigkeiten. Diese Themen werden im Rahmen der Vorabklärungen angesprochen. Der Kunde entscheidet, ob eine Datenschutzprüfung stattfinden soll.

Mit der GeBüV (Geschäftsbücherverordnung) Zertifizierung erhalten Sie eine Bescheinigung dass die untersuchte Digitalisierungslösung die anwendbaren Rechtsnormen erfüllt.

Die neutrale Bescheinigung vermittelt Vertrauen und gibt Gewissheit, dass die Lösung den Gesetzesvorschriften entspricht. Sie erhöht den Beweiswert elektronischer Beweismittel, da die Verfahren ausreichend dokumentiert sind und den Ordnungsmässigkeitsanforderungen genügen. Sie reduziert den Aufwand bei einer allfälligen Prüfung durch die Revisionsstelle. Richtig teuer kann es werden, wenn Sie elektronische Rechnungen bei der Vorsteuer in Abzug bringen wollen und diese nicht beweiskräftig abgesichert hatten.

Nebst der GeBüV werden andere, relevante Quellen einbezogen sowie der Erfahrungsschatz des KRM. Diese Grundlagen werden im KRM BOK (Body of Knowledge) erfasst und dienen als Referenz für die Prüfung und Zertifizierung.

Nein, wir stimmen mit dem Kunden ab, welches System oder Verfahren untersucht und geprüft werden soll. Im Zertifikat werden Untersuchungsumfang und Beurteilungsgrundlagen erwähnt.

Die Schweiz kennt in diesem Bereich keine offizielle Zertifizierung. Das hängt damit zusammen, dass in einem Rechtsfall der Richter nach den Grundsätzen der freien Beweiswürdigung agiert. Die Glaubwürdigkeit und die Sorgfalt einer Partei steigen jedoch wesentlich, wenn eine unabhängig Überprüfung durch einen neutralen Gutachter vorgelegt wird. Das KRM verfügt auf Grund seiner Erfahrung und Beteiligung bei der Gesetzgebung über die grösste Erfahrung bei der Beurteilung von Digitalisierungslösungen.

Die Experten des KRM beschäftigen sich seit mehr als 25 Jahre mit den Themen elektronische Datenhaltung, Aufbewahrung, Informationssicherheit, Datenschutz und Vertragsrecht. Experten des KRM waren als Industrieexperten am Erstellen der GeBüV beteiligt und verfassen seit Jahren Gutachten zur GeBüV und verwandten Verfahren.

Das KRM hat keinerlei Bindungen zu Anbietern oder zu Parteien, welche unsere Neutralität beeinträchtigen würden. Das KRM bietet nur produktneutrale Beratungen an und Experten des KRM werden auch als neutrale Gutachter eingesetzt.

Ja, natürlich prüfen wir die uns vorgelegten Systeme nach bestem Wissen und Gewissen. Bei Unterschreiten der minimalen Sorgfaltshöhe verweigern wir die Ausstellung eines Zertifikats.

Wir bieten eine Wiederholungsprüfung an, welche normalerweise innerhalb von 2 Jahren nach der Erstprüfung erfolgen sollte. In der Regel gelten Zertifikate zwei Jahre, wobei dies natürlich immer davon abhängt, ob das geprüfte System wesentlich verändert wurde.

Bei der Erstzertifizierung werden alle notwendigen Parameter erfasst und dokumentiert. Wir führen die überprüften System in einer Datenbank zusammen mit dem verwendeten BOK (Body of Knowledge). Dies ermöglicht uns eine effiziente Re-Zertifizierung und auch jederzeitige Auskunft darüber, was geprüft wurde.

Der Preis hängt von drei Hauptfaktoren ab: 1. Der Komplexität des untersuchten Systems, 2. der Anzahl von Aussenpartnern(-systemen/-verträgen 3. den zu prüfenden Gesetzen und Normen (z.B. nur national, international, Branchennormen) Hinzu kommt die Berücksichtigung der speziellen Risikosituation. Diese drückt sich meist in den zu befolgenden Gesetzen und Normen ab, kann jedoch auch einmal bewusst nach oben angepasst werden (Erhöhung der Sorgfalt) Gerne erstellen wir eine individuelle Offerte für die Erstellung.

Nein, natürlich verwenden wir in unserem BOK (Body of Knowledge) alle relevanten Gesetzestexte und anderen Vorgaben, die relevant sind. Im Umfeld der Digitalisierung sind dies v.a. die Datenschutzbestimmungen, handelsrechtliche Vorgaben sowie spezialgesetzliche Vorgaben (z.B. Steuerrecht) oder spezialgesetzliche Aufbewahrungsvorschriften (z.B. Anlagenbau, Pharma, Finanzindustrie).

Nein, denn dieser Begriff existiert in der Schweiz nicht! Kein Berater, keine Revisionsstelle und keine Zertifizierungsinstanz kann eine solche Aussage machen oder eine entsprechende Absicherung geben (zB via Konventionalstrafe). Kein Hersteller würde eine solche Garantie unterschreiben. In der Schweiz gilt als Massstab die sogenannte „Ordnungsmässigkeit“, d.h. die für den konkret zu prüfenden Sachverhalt notwendige Sorgfalt und damit verbundenen Verfahren und Techniken. Diese Ordnungsmässigkeit entwickelt sich und enthält nebst den zwingenden Gesetzesvorschriften auch die gelebte Praxis bzw. die Anforderungshöhe. Eine Bank muss wesentlich höhere Anforderungen erfüllen als der kleine Handwerksbetrieb, deshalb wird bei der Überprüfung auch nicht derselbe Massstab angewendet. Wir kennen die Anforderungen und informieren Sie, wenn die von Ihnen gewählte Sorgfalt nicht der branchenüblichen entspricht. In solchen Fällen verzichten wir auf das Ausstellen eines Zertifikats.

Sie erhalten eine Bescheinigung, in welcher der Prüfungsumfang sowie das Prüfresultat festgehalten sind. Zudem wird Ihnen ein personalisiertes Zertifikat ausgestellt, welches sie auf Produkten oder Dokumenten, Websites etc. anbringen können. Diese Bescheinigung basiert auf einem umfassenden Bericht, in welchem die Ergebnisse der Untersuchung dokumentiert sind. Hier wird auch festgehalten, wenn z.B. bestimmte Teile des Verfahrens nicht zertifiziert werden konnten (Gap – Analyse). Dies könnte dann später nach-geholt werden (→ Re-Zertifizierung).

Selbstverständlich prüfen wir auch Dritte, welche Leistungen erbringen (z.B. Cloud Anbieter, Rechenzentren, externe Dienstleister) sofern wir Zugriff auf deren Leistungen erhalten und uns damit eine objektive Prüfung möglich ist.

Die normale Gültigkeitsdauer beträgt zwei Jahre. Je nach Prüfumfang und –komplexität oder Änderungsintervallen kann die Gültigkeit auch reduziert sein. Bei Systemen oder Produkten gelten die Zertifizierungen für den jeweils geprüften Systemstand (Release).

Elektronische Rechnungen werden von den Behörden nur akzeptiert, wenn die Beweiskraft stimmt. D.h. der Rechnungsempfänger muss nachweisen, dass er die Anforderungen der MWST erfüllt. Das kann er mit verschiedenen Verfahren gewährleisten. Als Rechnungsempfänger können Sie mit einer Überprüfung nachweisen, dass Sie diese Anforderungen erfüllen.

PDF-Rechnungen ohne zusätzliche Absicherungsmassnahmen werden von den Behörden nicht anerkannt. Richtig teuer kann es werden, wenn Sie elektronische Rechnungen bei der Vorsteuer in Abzug bringen wollen und diese nicht beweiskräftig abgesichert hatten. Dann gelten diese Daten nämlich nicht als zulässiger Beleg für die Geltendmachung der Vorsteuer. Als Rechnungsempfänger können Sie mit einer Überprüfung nachweisen, dass Sie die Anforderungen erfüllen.

Wir zertifizieren auch Produkte auf ihre Konformität mit den relevanten Vorschriften.

Ja, weil im Gegensatz zu anderen Ländern die GeBüV konkrete Anforderungen an die technische Umsetzung enthält.

In der Regel nicht, weil die ausländischen Gutachter die GeBüV meist ignoreren, insb, die kritischen Art. 7 und 9.

Die GeBüV ist zwar eine Norm des Handelsrechts, (Obligationenrecht); doch verweisen fast alle Gesetze der Schweiz auf sie als verbindliche Norm für die Umsetzung von Speicherung und Archivierung von Daten/Dokumenten (vgl. RM Leitfaden). Besonders wichtig ist hier die ESTV (Eidg. Steuerverwaltung), welche explizit darauf hinweist, dass Belege zum Vorsteuerabzug zwingend die GeBüV erfüllen müssen.

Ja, denn Archivprodukte sind ja immer auf Langfristigkeit ausgelegt. Damit sollten auch die wesentlichen Features nicht permanent geändert werden. Die Stabilität des Produkts muss Teil der Konzeption sein. Das Zertifikat behält seinen Wert somit länger, als dies bei anderen SW-Produkten der Fall ist.

Alle Produkte, welche Daten langfristig speichern und die gesetzlichen Vorgaben einhalten müssen. Dazu gehören auch ERP Produkte oder industriespezifische Fachapplikationen.

Grundsätzlich NICHT, dafür gibt es diverse Gründe, welche wir Ihnen gerne darlegen. Ein ganz zentraler Grund ist die Ordnungsmässigkeitsvoraussetzung, dass Archivdaten immer aus sich heraus interpretierbar sein müssen „self contained“ und systemunabhängig existieren können. Aus diesen Gründen wird z.B. ein standardisisertes Archivformat empfohlen, welches eine HW und SW unabhängige Wiedergabe ermöglicht.

Wir können alle verfügbaren Technologien prüfen, vom klassischen Archiv bis zur Blockchain-basierten Cloud-Archivlösung.