Elektronische Archivierung ist längst mehr als eine rein technische Fragestellung: Sie bildet einen zentralen Bestandteil wirksamer Information Governance und ist ein wesentlicher Baustein für papierlose Arbeitsprozesse. Gleichzeitig stellt sich für viele Unternehmen die Frage, wie mit bestehenden physischen Archiven umzugehen ist, die im Zuge der Digitalisierung an betrieblicher Relevanz verloren haben.
Unternehmen sehen sich heute mit einer Vielzahl gesetzlicher und regulatorischer Vorgaben konfrontiert. In der Schweiz ergeben sich daraus klare Anforderungen an die Aufbewahrung von Geschäftsunterlagen, insbesondere aus der Geschäftsbücherverordnung (GeBüV), dem Datenschutzrecht und teilweise ergänzt durch weitere regulatorische Rahmenwerke. Viele Organisationen haben diese Vorgaben über längere Zeit vernachlässigt, da physische Archive als ausreichende Grundlage zur Erfüllung insbesondere der Anforderungen gemäss GeBüV angesehen wurden. In der Folge verfügen heute viele Unternehmen über veraltete Anwendungen und überholte Prozesse, die den heutigen regulatorischen Anforderungen der GeBüV nicht entsprechen.
In vielen Organisationen erfolgte der Schritt zur Digitalisierung unter Einsatz dieser veralteten Anwendungen, sodass Dokumente und Daten heute überwiegend oder ausschliesslich in elektronischer Form vorliegen. Gleichzeitig wurden die physischen Archive nicht mehr gepflegt und sind unvollständig. Diese Kombination – veraltete Systeme, welche nicht den GeBüV-Anforderungen entsprechen und mangelhafte physische Archive – führt dazu, dass viele Organisationen heute die regulatorischen Anforderungen der GeBüV nicht mehr erfüllen. Darüber hinaus wurde in vielen elektronischen wie auch physischen Archiven die aktive Bewirtschaftung des Informationslebenszyklus vernachlässigt. Zahlreiche Systeme sind nicht in der Lage, personenbezogene Daten regelkonform zu löschen. Selbst dort, wo technische Löschfunktionen grundsätzlich vorhanden sind, fehlen oftmals die notwendigen Prozesse, um nicht mehr archivierungspflichtige Informationen systematisch und nachvollziehbar zu entfernen.
All diese Punkte bergen das Risiko von Verstössen gegen gesetzliche Vorgaben und führen zu erhöhter operativer Komplexität sowie ineffizienten Kostenstrukturen. Die Folge sind uneinheitliche Aufbewahrungspraktiken, fehlende Transparenz bei Datenbeständen und unklar geregelte Zuständigkeiten.
Umgang mit physischen Archiven
Neben der Gestaltung elektronischer Archivierung stellt sich zunehmend die Frage nach dem künftigen Umgang mit physischen Archiven. Dadurch, dass sie kaum noch aktiv bewirtschaftet werden und nur noch einen begrenzten betrieblichen Nutzen aufweisen, dienen sie häufig als formale Referenz zur Erfüllung der Vorgaben gemäss GeBüV. Aber auch dieses Argument verliert an Bedeutung, da zahlreiche Dokumente heute nur digital vorliegen und daher gar nicht mehr ins physische Archiv aufgenommen werden.
Organisationen sind gut beraten, ihre Systeme zeitnah an die Anforderungen der GeBüV anzupassen, um potenzielle Compliance-Lücken frühzeitig zu erkennen und zu schliessen. Darüber hinaus empfiehlt es sich, physische Archive ebenso wie elektronische Archive hinsichtlich des Informationslebenszyklus zu überprüfen und Dokumente, die nicht mehr archivierungspflichtig sind, konsequent zu vernichten. Elektronische, revisionssichere Archivierung trägt vor diesem Hintergrund entscheidend dazu bei, physische Archive aufzulösen, Geschäftsinformationen effizient zu nutzen sowie regulatorische Vorgaben einzuhalten und Risiken zu steuern. Ebenso sollte analysiert werden, wie häufig und innerhalb welcher Zeitkriterien auf die Dokumente in den physischen Archiven zugegriffen werden muss. Je nach Ausgang dieser Analyse kann die physische Archivierung im Betrieb effizienter und ressourcenschonender gestaltet werden.
Mehr als Technologie
Revisionssichere Archivierung wird vielfach primär als technische Fragestellung verstanden und auf Aspekte wie manipulationssichere Speichersysteme oder restriktive Zugriffskontrollen reduziert. Tatsächlich entsteht Revisionssicherheit jedoch nicht durch Technologie allein. Sie ist das Ergebnis eines koordinierten Zusammenspiels organisatorischer, prozessualer und technischer Elemente.
Revisionssicherheit lässt sich nur dann gewährleisten, wenn regulatorische Anforderungen durch klare Governance-Strukturen, nachvollziehbare Prozesse und passende technische und organisatorische Kontrollen unterstützt werden. Nur wenn diese Elemente gemeinsam mit klar dokumentierten Zuständigkeiten und Verantwortlichkeiten konsistent und aufeinander abgestimmt ausgestaltet sind, lassen sich die regulatorischen Anforderungen an Aufbewahrung, Integrität, Verfügbarkeit und Informationslebenszyklus von Geschäftsinformationen nachhaltig erfüllen.
Neben einer gesetzlich vorgeschriebenen Mindestaufbewahrungsdauer verlangen datenschutzrechtliche Vorgaben auch eine zeitgerechte und nachweisbare Löschung personenbezogener Daten. Entscheidend ist, regulatorische Vorgaben mit betrieblichen Anforderungen gleichermassen zu berücksichtigen und in klar definierte Löschkonzepte und -prozesse zu überführen.
Information Governance als Ordnungsrahmen
In der Praxis zeigen sich wiederkehrende Herausforderungen, die einer wirksamen elektronischen Archivierung im Weg stehen. Unzureichend etablierte Governance-Strukturen sind dabei für viele Unternehmen ein zentrales Problem. Verantwortlichkeiten sind häufig auf mehrere Organisationseinheiten verteilt und nicht eindeutig definiert, was Risiken erhöht und eine konsequente Umsetzung regulatorischer Anforderungen erschwert. Hinzu kommt eine oftmals mangelnde Transparenz über bestehende Datenbestände. Sind Informationen und Metadaten nicht klar klassifiziert, lässt sich nur schwer bestimmen, welche Dokumente welchen Aufbewahrungs- und Löschpflichten unterliegen.
Auch auf technischer Ebene zeigen sich Stolpersteine, die wesentlich zur Entstehung von Risiken beitragen. Punktuell und isoliert eingesetzte Archivlösungen, die nicht in bestehende Systemlandschaften eingebettet sind, erschweren den konsistenten Nachweis der Compliance und erhöhen die Fehleranfälligkeit. Archivsysteme sind vielfach primär auf langfristige Aufbewahrung ausgelegt und vernachlässigen dabei Prozesse und Kontrollen wie Löschpflichten. Elektronische Archivierung kann daher nie isoliert betrachtet werden. Ohne eine übergeordnete Information-Governance-Strategie ergeben sich regulatorische Risiken, während Potenziale von Geschäftsinformationen ungenutzt bleiben.
Eine wirksame Information Governance schafft einen strukturellen Rahmen, um Geschäftsinformationen über ihren gesamten Lebenszyklus hinweg regelkonform und effizient zu steuern. Sie definiert Aufbewahrungs- und Sicherheitsanforderungen sowie die entsprechenden Zugriffsrechte. Internationale Standards wie ISO 15489 bieten hierfür eine etablierte Referenz und helfen, Reifegrad und Qualität von Records-Management-Prozessen systematisch zu bewerten und weiterzuentwickeln. Ein wirksames Governance-Modell zeichnet sich somit durch ein ausgewogenes Verhältnis zwischen Regelkonformität, Effizienz und Nutzbarkeit von Informationen aus.
Archivierung als Treiber datenbasierter Geschäftsmodelle
Vor dem Hintergrund des zunehmenden Einsatzes von Datenanalyse- und KI-Lösungen gewinnt die Frage an Bedeutung, inwiefern archivierte Informationen tatsächlich nutzbar sind. Um die Zuverlässigkeit von KI-Modellen zu garantieren, ist eine hohe Qualität der zugrunde liegenden Daten entscheidend. Archive können strategischen Mehrwert schaffen, indem sie eine fundierte Entscheidungsfindung ermöglichen, Such- und Abklärungsaufwände unterstützen und bei der Erkennung von Mustern, Risiken und Optimierungspotenzialen helfen. Sind Informationen unvollständig, inkonsistent oder fehlerhaft archiviert, beeinträchtigt dies nicht nur die Ergebnisqualität, sondern erhöht auch die regulatorischen Risiken.
Revisionssichere Archivierung und eine wirksame Information Governance schaffen damit eine zentrale Voraussetzung für den verantwortungsvollen Einsatz moderner Technologien. Damit wird die Archivierung zu einem entscheidenden Treiber datenbasierter Geschäftsmodelle.
Erfolgsfaktoren für eine nachhaltige Umsetzung
Elektronische, revisionssichere Archivierung ist heute ein zentraler Bestandteil wirksamer Information Governance. Sie schafft die Grundlage für die Einhaltung regulatorischer Anforderungen, reduziert operative Risiken und erhöht Transparenz und Effizienz im Umgang mit Geschäftsinformationen. Erfolgreich ist sie dort, wo rechtliche, organisatorische, prozessuale und technologische Aspekte ganzheitlich zusammenspielen, und in klaren Governance-Strukturen verankert sind. Entscheidend ist zudem die kontinuierliche Überprüfung und Weiterentwicklung der Archivierungs- und GovernanceStrukturen, um neuen regulatorischen und technologischen Anforderungen dauerhaft entsprechen zu können. Revisionssichere Archivierung entwickelt sich dadurch von einer Pflichtaufgabe zu einem strategischen Fundament moderner Unternehmenssteuerung.
Der Autor
Alberto Job ist Experte im Bereich Information Governance & Compliance bei
KPMG Schweiz, einer Wirtschaftsprüfungs- und Beratungsgesellschaft. Er berät Unternehmen zu komplexen regulatorischen Fragestellungen im Zusammenhang mit der regelkonformen Aufbewahrung, Nutzung und Löschung von Geschäftsinformationen.
