In der Praxis tauchen immer wieder Fragen zur Umsetzung von GeBüV Art. 9 auf. Insbesondere unter welchen Umständen veränderbare Speicher im Archiv eingesetzt werden dürfen. Hier die Voraussetzungen, damit eine Archivlösung nach Art. 9 kompatibel ist und veränderbare Speicher eingesetzt werden können.
Gesetzestext:
Art. 9 Zulässige Informationsträger
1 Zur Aufbewahrung von Unterlagen sind zulässig:
- unveränderbare Informationsträger, namentlich Papier, Bildträger und unveränderbare Datenträger;
- veränderbare Informationsträger, wenn:
- technische Verfahren zur Anwendung kommen, welche die Integrität der gespeicherten Informationen gewährleisten (z.B. digitale Signatur- verfahren),
- der Zeitpunkt der Speicherung der Informationen unverfälschbar nach- weisbar ist (z. B. durch «Zeitstempel»),
- die zum Zeitpunkt der Speicherung bestehenden weiteren Vorschriften über den Einsatz der betreffenden technischen Verfahren eingehalten werden, und4. die Abläufe und Verfahren zu deren Einsatz festgelegt und dokumentiert sowie die entsprechenden Hilfsinformationen (wie Protokolle und Log files) ebenfalls aufbewahrt werden.
2 Informationsträger gelten als veränderbar, wenn die auf ihnen gespeicherten Informationen geändert oder gelöscht werden können, ohne dass die Änderung oder Löschung auf dem Datenträger nachweisbar ist (wie Magnetbänder, magnetische oder magnetooptische Disketten, Fest- oder Wechselplatten, solid state-Speicher).
Auslegung und Praxis zur Umsetzung von Art. 9 Abs. 1 lit. 2. Die folgenden Verfahren sind kumulativ erforderlich, um die Anforderungen zu erfüllen:
- Integritätsschutz mit kombinierten Krypto/Hashverfahren (Hash Algorithmen ohne Signaturen erfüllen die Anforderungen nicht).
UND
- Signaturen mit Einbindung der aktuellen Zeit, am Besten über einen Time Stamping Service. Der Nachweis der Zeitintegrität muss gewärleiset werden können.
UND
- Zugriffssteuerung mit eingeschränkten Rechten für Administratoren und Protokollierung aller systemrelevanter Handlungen.
UND
- Lückenlose Dokumentation der eingesetzten Verfahren (mit Historie)
Fazit: Die Absicherung der Integrität auf veränderbaren Speichern ist nur Kunden zu empfehlen, die sehr hohe Archivvolumen verarbeiten müssen und Know-how im Umgang mit Kryptoverfahren haben. Ansonsten wird empfohlen, sich auf spezielle Speicherhardware etablierter Hersteller zu verlassen.
Zertifizierung Ihrer Archivlösung:
Dies ist nur eine Anforderung aus dem Gesamtkatalog. Im Lauf der letzten Jahre wurde ein umfassender Ordnungsmässigkeitskatalog entwickelt, welcher als Benchmark für die Überprüfung der Rechtskonformität von Archivlösungen dient. Die GeBüV dient als Ausführungsbestimmung als rechtliche Grundlage für fast alle Tätigkeitsbereiche, sowohl im privaten wie auch öffentlich-rechtlichen Umfeld.
Möchten Sie wissen, ob Ihre Lösung den schweizerischen Anforderungen genügt? Dann kontaktieren Sie uns.
0 Kommentare