Hat jemand Erfahrung mir „revisionssicheren“ DMS? Ich möchte alles digitalisieren und GeBüV-konform sein.
Habe swidoc.ch entdeckt. Hat jemand damit Erfahrung? Und generell, arbeitet ihr voll digital?
Ich lege alle Belege / Verträge direkt zu jeder Buchung in der Buchhaltungssoftware ab.
Ich arbeite hauptsächlich mit CashCtrl, da kannst du per Drag&Drop die Belege anhängen.
Zusätzlich gibt es da dann auch einen „Dateimanager“ wo du alle deine abgelegte Belege verwalten und sortieren kannst und bei Bedarf downloaden etc. Finde ich sehr praktisch, da du so innert wenigen Sekunden deine Belege findest und hast zudem von überall aus Zugriff, das einzige was du brauchst ist die Internetverbindung.
Weiter nutze ich auch vielfach die Cloud von OneDrive, diese ist auch sehr praktisch, da ich von überall aus Zugriff auf alle meine Dateien haben kann.
Habe mir kurz das swidoc Ding angeschaut und als ich die Preise gesehen habe ist mir grad schwindlig geworden, da bleibe ich lieber beim OneDrive von Microsoft.
Meine grösste Empfehlung ist die PDF Dateien immer Einheitlich und Sinnvoll zu benennen, ansonsten ist die Digitale Ablage auch kaum was Wert wenn du dann nichts richtig finden kannst.
Ein PDF ist genauso „unverfälschbar“ wie Papier. Technisch möglich, aber es lässt sich mit etwas Aufwand nachweisen.
Dazu gibt es noch digitale Signaturverfahren, da nutze ich offiziell das Tool von SwissID. Damit kann man Dateien genauso rechtssicher unterschreiben wie von Hand auf Papier.
Habe ich nun also Dokumente, die unbedingt einen unverfälschbaren Zeitstempel brauchen, dann nutze ich die digitale Signatur.
Gerade Quittungen wie Bahntickets oder Kassenzettel lassen sich oft schon nach kurzer Zeit auf Papier nicht mehr richtig lesen. Daher ist gerade dort die digitale Ablage sehr sinnvoll.
Aber wenn man schon papierlos anfängt, dann möglichst zu 100%, daher die Ausführungen oben.
Technisch gesehen ist es auch möglich die Unverfälschbarkeit einer Datei mit ihrer Hashsumme und/oder einer quelloffenen Signatur (z.B. OpenPGP) sicherzustellen. Diese Signaturen zählen vermutlich aber nicht als Unterschrift im rechtlichen Sinne und sind daher nur für den Nachweis der Unverfälschbarkeit geeignet.
PGP ist allerdings ein Thema für sehr versierte IT-Anwender. Da muss vermutlich sogar der Revisor einen Informatiker mitbringen, wenn er das prüfen will.
Am schwersten zu fälschen und damit per se ziemlich rechtssicher sind daher eingescannte PDF-Dokumente. Am Besten scannt man auch zeitnah ein, damit der Zeitstempel vom Datum her möglichst nahe am Datum auf dem Dokument (Rechnung, Verträge etc.) ist.
Und ganz wichtig: Backup, Backup, Backup!
Wer vollständig digital archiviert muss den Daten auch Sorge tragen, damit die Aufbewahrungspflicht von 10 Jahren eingehalten werden kann.
Ich arbeite hier z.B. mit zwei Backups: Ein lokales (1:1 Spiegelung der Festplatte) und ein Backup in der Cloud.
Wichtig: Die Cloudanbieter verschlüsseln ihre Speicherplätze zwar gegen aussen, allerdings gibt es keine 100%ige Sicherheit und zweitens sind viele Cloud-Anbieter gerade in den USA beheimatet, welche andere Datenschutzgesetze kennen.
Um die Verantwortung gegenüber den eigenen Kunden bestmöglich wahrnehmen zu können, empfehle ich daher dringend die Daten vor dem Upload in die Cloud schon selber zu verschlüsseln. Dann hat auch der Cloudanbieter selbst keinen Zugriff und falls es mal ein Datenleck gäbe, müsste der Hacker deine Daten nochmals separat entschlüsseln (sofern er das überhaupt schafft).
Hier empfehle ich z.B. die Nutzung von Software wie VeraCrypt mit z.B. einer RSA-2048 Verschlüsselung.
Art. 9 Abs. 1b GebüV regelt folgendes:
"Zur Aufbewahrung von Unterlagen sind zulässig:
b.
veränderbare Informationsträger, wenn:
technische Verfahren zur Anwendung kommen, welche die Integrität der gespeicherten Informationen gewährleisten (z.B. digitale Signaturverfahren),
2.
der Zeitpunkt der Speicherung der Informationen unverfälschbar nachweisbar ist (z. B. durch «Zeitstempel»)"
Yes. Danke für den Beitrag.
Wie siehts in der Realität aus? Wer und wann würde dies kontrollieren? Und hätte es Konsequenzen, falls nicht nach GeBüV abgelegt wird?
Nun ja, teure Lösungen (und bestimmt auch gute) gibt es viele - ob es die immer benötigt ist eine andere Frage 
Die Gesetzeslage, um die Buchführung zu digitalisieren - FlowPro Prozess Automatisation
Dokumente mit SharePoint online archivieren - FlowPro Prozess Automatisation
Happy Automation 
„Am schwersten zu fälschen und damit per se ziemlich rechtssicher sind daher eingescannte PDF-Dokumente.“
Normale PDF sind veränderter und daher nicht rechtssicher! Mindestes müsste ein PDF-A erstellt werden (PDF Langzeitarchivierung - Dokumente in PDF/A speichern | 7-PDF; nur der Infos wegen, ich habe mit dem Anbieter nichts zu tun und das Tool auch nicht im Einsatz), zusätzlich gerne auch passwortgeschützt und signiert. Bei einzelnen Dateien kein Problem, grössere Mengen sind schwieriger zu händeln. Dafür werden geeignete Tools benötigt. Und ja, die sind nicht gratis.
Zu verschlüsselten Cloud: Es gibt entsprechende Anbieter, dennoch empfiehlt sich die zusätzliche Verschlüsselung. Ich verwende dafür cryptomator.org (auch mit dem bin ich nicht verbunden, ausser durch die Nutzung der App).
Ein paar Anmerkungen - Achtung, sehr technisch und auch sehr theoretisch (aber zeigt wie Absurd die Gesetzgebung und deren Umsetzung ist 
)
Ein PDF ist genauso „unverfälschbar“ wie Papier. Technisch möglich, aber es lässt sich mit etwas Aufwand nachweisen.
Jedes PDF lässt sich grundsätzlich beliebig manipulieren, sie sind daher nicht wirklich fälschungssicher. Nachweisbar ist das insbesonder bei Scans ebenfalls nicht.
Habe ich nun also Dokumente, die unbedingt einen unverfälschbaren Zeitstempel brauchen, dann nutze ich die digitale Signatur.
Ja, ABER - Die Signatur muss entweder durch einen validierten Anbieter erfolgt sein (Chain-of-Trust) oder durch ein anderweitiges Verfahren nicht fälschbar sein.
Du kannst nämlich deine Dokumente auch alle selber signieren mit deinem eigenen Zertifikat, kannst dabei aber auch den Zeitstempel der Signatur beliebig selber bestimmen Rückdatieren ist daher ohne Probleme möglich.
Es gibt nur grundsätzlich nur zwei Ansätze die das Problem lösen:
- Anbieter welche ein Zertifikat zur Verfügung stellen und via Chain-Of-Trust garantieren das die Zeitstempel korrekt sind (teuer)
- Blockchain-basierte Signierung, wobei das fälschen des Zeitstempels schlichtweg zu teuer wäre für ein konkretes Angriffsszenario. In diesem Falle muss das Dokument auch gar nicht signiert werden, das publizieren vom Hash auf einer genügend sicheren Blockchain reicht grundsätzlich als Beweis aus, das ein Dokument zu einem vergangengen Zeitpunkt in genau diesem Zustand existiert hat.
In beiden Fällen allerdings kannst du das PDF grundsätzlich vorgängig modifizieren und dann bereits gefälscht signieren lassen
Die Problematik entsteht grundsätzlich schon beim Prozess wo das analoge Dokument digitalisiert wird - Eigentlich müsstest du bereits dort den digitalisierungsprozess entsprechend verifizieren und dein Scanner müsste die entsprechende Signatur anbringen.
In der Praxis wird das aber alles geflissentlich ignoriert, und die wenigstens Lösungen (ausser solche welche im Enterprise Umfeld im Einsatz sind) gehen derart in die Tiefe das bereits die Scanner entsprechend signierte PDF/A erstellen.
1 „Gefällt mir“
Ich denke, wie du deine Ablage machst wird in dem Sinne nicht kontrolliert. Aber z.B. wenn das Steueramt oder die AHV etwas an deinem Abschluss vor 7 Jahren überprüfen müssen, würden sie bei dir ja entsprechende Belege für die zu prüfenden Geschäftsfälle einfordern.
Und wenn du dann Belege einreichst, wo der Steuerkommissär Zweifel daran hat, ob die Belege original sind bzw. echt, dann kriegst du vermutlich eins aufs Dach.
Bei einer Revision kann das nochmals anders sein, da kenne ich mich zu wenig aus. Ich führe momentan keine Buchhaltungen, welche eine Revision durchlaufen müssten.
@SIP
Ja, es gibt da mehrere Arten von PDF-Dateien. Welches „Unterformat“ man verwendet, muss natürlich jeder für sich selber entscheiden. Das Format PDF/A ist z.B. sehr gut geeignet. Es gibt heutzutage sogar Scanner, wo man am Gerät selbst schon den PDF/A Standard einstellen kann.
Ich persönlich nutze die ganz normalen Standard-PDFs im Zusammenspiel mit einer PGP-Signatur.
Für mich als versierter IT-Anwender ist das die schnellste Lösung, da PGP recht unkompliziert nutzbar ist (z.B. mittels Kleopatra unter Windows), wenn es einmal richtig eingerichtet wurde.
Die meisten Menschen werden bei der Einrichtung bzw. dem Verständnis wie eine solche Signatur überhaupt funktioniert, Mühe beim Verständnis haben. Für mich regle ich das aber so, weil ich dann auch grosse Dateimengen gleichzeitig signieren kann. Die Signatur wird dann vom entsprechenden Keyserver rückbestätigt und dann hast du einen wasserdichten Zeitstempel.
1 „Gefällt mir“
Im Gesetzt steht nirgends das eine Signatur notwendig ist. Im Gegenteil die Motion 22.3004 wurde sogar genau mit dieser Begründung vom Bundesrat abgelehnt…
Stimmt, ja. Aber gleichzeitig steht dort:
Unterlagen sollen ohne digitale Signatur oder ähnlichen Verfahren auf veränderbaren Datenträgern aufbewahrt werden können, sofern der Nachweis des Ursprungs und der Unverändertheit über die Grundsätze ordnungsmässiger Buchführung nach OR 957ff erbracht werden kann.
Und weiter:
Demgegenüber verlangt Art. 9 Abs. 1 Bst. b GeBüV für die Zulässigkeit von veränderbaren Informationsträgern unter anderem ein technisches Verfahren, welches die Integrität der gespeicherten Informationen gewährleistet (Ziff. 1) und, dass der Zeitpunkt der Speicherung der Informationen unverfälschbar nachweisbar ist (Ziff. 2). Dabei nennt der Verordnungstext ausdrücklich als Beispiel digitale Signaturverfahren und Zeitstempel. Damit stellt der Verordnungstext klar, dass das Verwenden von digitalen Signaturverfahren nur eine Möglichkeit, aber keine zwingende Voraussetzung zur Erstellung von digitalen Buchführungsdaten ist. Es gibt in der GeBüV somit keine Pflicht zur Verwendung einer digitalen Signatur oder gar einer geregelten oder qualifizierten elektronischen Signatur im Sinne des Bundesgesetzes über die elektronische Signatur vom 18. März 2016 (SR 943.03).
Meines Erachtens muss der Nachweis schon erbracht werden, aber halt nicht zwingend durch eine digitale Signatur. Weshalb wir (und auch SwiDoc z.B.) das beispielsweise mit einem blockchain-basierten Timestamping lösen was im Gegensatz zu einer Chain-Of-Trust Signatur extrem viel günstiger und einfacher ist (plus die Originaldateien unverändert belässt).
Warum nicht einfach alles auf CD Brennen? Anstelle von technischem „Krimskrams“ der in 5 Jahren eh veraltet oder es keine Software mehr dafür gibt…10 halten ja grad so 10 Jahren und wenn dunkel und trocken noch länger. Alles Daten als PDF - that’s it
