Änderungskontrolle
| Version | Datum | Autor | Beschreibung der Änderungen |
|---|---|---|---|
| 1.0 | 05.05.2025 | Lukas Germann, Bedag Solutions AG | Initiale Version |
Summary
Die Bedag Solutions AG (Bedag) und deren Plattform eGV+ mit dem Fachmodul Notariat+ für Urkundspersonen ist vom Eidgenössischen Justiz- und Polizeidepartement (EJPD) als alternative Plattform für den elektronischen Geschäftsverkehr (eGV) mit den Grundbuchämtern im Sinne von Art. 21 f. TGBV anerkannt. Die Anerkennung ist an die Auflage gebunden, dass ein Konzept umgesetzt werden soll, welches sicherstellt, dass die Daten aus Urkunden gelöscht werden, während dem gleichzeitig die Nachvollziehbarkeit des Inhalts bei Empfang und Weitergabe erhalten bleiben muss.
Die Plattform der Bedag trägt diesen Anforderungen bereits im Systemdesign Rechnung: So sorgt ein striktes Mandantenkonzept und die zusätzliche Trennung der Fachdomänen dafür, dass alle auf der Plattform involvierten Parteien die Hoheit über ihre Daten und ihr Recht auf Löschung ausüben können. Konkret werden Daten aus den Urkunden bis zur deren Übermittlung an das Grundbuchamt im Mandanten der Urkundsperson gespeichert, wo diese sowohl im Entwurfsstadium als auch nach der Eintragung im Grundbuchamt unwiderruflich gelöscht werden können.
Bei der Übermittlung erzeugt die Software für jedes mitgesendete Dokument einen Hashwert. Für die Nachvollziehbarkeit wird dieser Hashwert sowohl auf der Abgabequittung zuhanden des Anmelders ausgegeben, als auch an ein plattform-internes Modul gesendet und dort, zusammen mit den erforderlichen Metadaten, langfristig gespeichert. Bei diesem Modul handelt es sich um die Fachapplikation für das kantonale Grundbuchamt, welches gemäss Systemdesign über einen eigenen, dedizierten Zugang zur Plattform verfügt. Auf diese Art und Weise kann die zuständige kantonale Behörde ohne Involvierung der Plattformbetreiberin in die Logdaten Einsicht nehmen.
Des Weiteren hält das Konzept eine zeitlich beschränkte Aufbewahrung von bestimmten Plattformdaten aus technischen und betrieblichen Gründen fest und dokumentiert weitere Massnahmen, die zur Umsetzung der verfügten Auflage und zur Sicherstellung der Informationssicherheit und des Datenschutzes (ISDS) im Allgemeinen umgesetzt wurden.
Inhalt
1. Ausgangslage
Die Bedag Solutions AG als Betreiberin der alternativen Zustellplattform eGV+ muss dem EJPD vor Betriebsaufnahme ein Konzept vorweisen, wie Daten aus Urkunden gelöscht werden und gleichzeitig die Nachvollziehbarkeit des Inhalts bei Empfang und Weitergabe erhalten bleibt.
2. Zweck dieses Dokuments
Dieses Konzept dient dem EJPD als eben jenes Dokument, um die Auflage aus der Anerkennungsverfügung bezüglich Datenhaltung und -löschung zu überprüfen. Gleichzeitig dient es den Kunden von eGV+, den Kantonen sowie auch den Endbenutzern der Plattform, als Information, welche Daten wie lange gespeichert werden und welche Möglichkeiten bestehen, Daten dauerhaft zu löschen.
3. Glossar
| Begriff / Abkürzung | Beschreibung |
|---|---|
| Anmelder/in | Person, welche einen Antrag auf Einschreibung/Mutation/Löschung im Grundbuch beim Grundbuchamt anmeldet. |
| eGV | elektronischer Geschäftsverkehr |
| eGV-Auftrag | Geschäftsfall, welcher vom Anmelder in den eGV+-Fachapplikationen erfasst und mittels dem GBDBS-Standard an das Grundbuch übermittelt wird. Ein eGV-Auftrag entspricht einer Transaktion/einem Geschäftsfall im Kontext der Plattform eGV+. |
| EJPD | Eidgenössisches Justiz und Polizeidepartement |
| EÖBV | Verordnung über die Erstellung elektronischer öffentlicher Urkunden und elektronischer Beglaubigungen |
| ISDS | Informationssicherheit und Datenschutz |
| TGBV | Technische Grundbuchverordnung |
| ZertES | Bundesgesetz über die elektronische Signatur |
4. Rahmenbedingungen und Anforderungen
| # | Beschreibung | Quelle |
|---|---|---|
| A1 | Nach der Übermittlung müssen die Daten von der Plattform gelöscht werden. | Bund (BJ, EGBA) |
| A2 | Eine allfällige zeitlich beschränkte Aufbewahrung aus technischen Gründen muss im Konzept ausgewiesen werden. | Bund (BJ, EGBA) |
| A3 | Es muss nachweisbar sein, welches Dokument gesendet und empfangen wurde, um im Streitfall Sendenden und Empfangenden den Beweis zu ermöglichen, ob und welches Dokument von wem an wen übermittelt wurde. | Bund (BJ, EGBA) |
R = Rahmenbedingung, A = Anforderung
5. Lösungsbeschreibung
5.1. Kontext und allgemeine Prinzipien
Die alternative Zustellplattform eGV+ besteht aus verschiedenen Komponenten:
|
|
Notariat+: Die Webapplikation für Notariatskanzleien um elektronische Geschäfte abzuwickeln. Admin+: Die Webapplikation für Grundbuchbehörden um die fachliche Administration der Grundbuchsysteme sowie die Berechtigungen für den Datenzugriff zu verwalten. IAM: Eine Identity and Access Management Lösung für die Verwaltung der Zugriffe auf die eGV+ Plattform basierend auf OAuth2 Access Tokens. SaaS+: Die Webapplikation für die Betreiberin Bedag um die Plattform zu verwalten. |
Die Löschung der Daten aus Urkunden soll mitunter verhindern, dass sich bei der Plattform-Betreiberin keine Daten ansammeln, mit denen die kantonalen Grundbücher aufgrund der über die Plattform abgewickelten Transaktionen nachvollzogen oder gar abgebildet werden können. Somit sind von dieser Anforderung der Datenlöschung insbesondere die fachlichen Daten der elektronischen Geschäftsfälle (eGV-Aufträge) gemeint, welche ausgehend vom Modul Notariat+ via Kantonsmodul Admin+ an das kantonale Grundbuchamt übermittelt werden (in der Grafik grün markiert).
Verschiedene andere, nicht-fachliche Arten von Daten, müssen zwecks Betrieb der Plattform permanent gespeichert werden. So etwa Benutzerinformationen, Mandanten und Informationen zu den Notariatskanzleien, Audit-Logs und andere "Randdaten" zur Systemprotokollierung.
Im Rahmen der kontinuierlichen ISDS-Bewertung wurden die Daten inventarisiert, beschrieben und deren Schutzbedarf ermittelt. Nehmen Sie bei Fragen Kontakt mit uns auf.
Das vorliegende Konzept befasst sich daher mit jenen Daten, für die eine dauerhafte Speicherung für den Plattformbetrieb nicht erforderlich ist. Dies umfasst:
- Bezogene Grundbuchdaten, welche der Anmelder zwecks Erstellung des eGV-Auftrags in seinem Fachmodul benötigt.
- eGV-Aufträge, dazu gehören:
- Metadaten wie Bezeichnung, Geschäftsverlauf, zuständiger Notar, zuständiges Grundbuchamt, allfällige Informationen zur Urkunde (Datum und Nummer) sowie die erhaltenen eGV-Notifikationen.
- allfällige weitere inhaltliche Details aus der Urkunde, welche der Anmelder im Rahmen von kantonalen Weisungen zuhanden der kantonalen Verwaltung erfasst (bspw. zwecks Steuerdeklaration).
- Grundbuchmutationen in unstrukturierter oder strukturierter Form, sowie die Referenzen zum Tagebuchgeschäft (Datum und Geschäfts-ID).
- Elektronische Dokumente/Rechtsgrundausweise
5.2. Umsetzung der Anforderung A1
5.2.1. Ablauf eGV-Auftrag grundsätzlich
Ein Geschäftsfall, der in eine elektronische Grundbuchanmeldung über die Plattform eGV+ mündet, kennt den folgenden Ablauf:
Erfassung: Der Benutzer ist frei in seiner Entscheidung, ob er die Daten zeitlich im Voraus erfasst, oder ob er diese unmittelbar vor der Übermittlung erfasst.
Elektronische Signatur: Die mit den Applikationen erzeugten sowie in die Applikation hochgeladenen Dokumente werden ZertES- und EÖBV-konform elektronisch signiert und versiegelt.
Übermittlung: Ab dem Moment der Übermittlung an das kantonale Grundbuch werden die für das Grundbuchamt erforderlichen Daten mit dem Kanton geteilt und können seitens des Anmelders grundsätzlich nicht mehr bearbeitet werden (eine Ausnahme stellt die Nachlieferung von Dokumenten dar).
Archivierung: Der Benutzer hat zu jedem Zeitpunkt im Lebenszyklus eines eGV-Auftrags die Möglichkeit, die Daten in ein standardisiertes Format (eCH-0147) zu verpacken und diese zu exportieren. Im Speziellen beim Statusübergang der Archivierung wird dem Benutzer vorgeschlagen, einen Export vorzunehmen. In bestimmten Kantonen wird der Benutzer auch die Möglichkeit haben, Geschäftsdaten in ein zentrales Archiv einzuliefern (separate Drittanbieter).
Löschung: Am Ende des Workflows hat der Benutzer die Möglichkeit, Geschäftsfälle und die damit verbundenen Daten unwiderruflich zu löschen. Dies wird dem Benutzer empfohlen, jedoch nicht applikatorisch forciert. Gründe für eine zeitlich versetzte Löschung können etwa Folgegeschäfte sein, welche auf Basis von vorangehenden Geschäften initialisieren kann.
5.2.2. Ausnahmen
Bestimmte Daten sind von der unwiderruflichen Löschung des eGV-Aufträge ausgenommen. Konkret sind dies:
- Daten, welche zur Erfüllung der Anforderung A3 auf der Plattform aus Gründen der Nachvollziehbarkeit aufbewahrt werden müssen (die Aufbewahrung erfolgt verteilt, sowohl im Fachmodul Admin+ für die kant. Behörde jederzeit konsultierbar (Audit-Log) als auch auf der Seite des Anmelders (über eine lokal exportierbare Abgabequittung).
- Daten in den von den Urkundspersonen freiwillig geführten Urkundenverzeichnissen (betrifft nur die Fachapplikation Notariat+).
- Daten des lokales Personenverzeichnisses (enthält Personen, welche in Geschäften oder in Urkundenverzeichnis-Einträgen referenziert werden). Ausgehend von diesen lassen sich keine Referenzen zu gelöschten Geschäften oder Grundbuchdaten herstellen.
Die Bewirtschaftung und eine allfällige Löschung dieser von der Urkundsperson freiwillig geführten Daten wird in der Applikation separat adressiert.
5.2.3. Massnahmen
Vertragliche Massnahmen
Die Kantone können von den Plattformbenutzern, e.g. Urkundspersonen, mittels Konvention verlangen, dass diese die vom Kanton bezogenen Daten nach der Geschäftsabwicklung löschen. Auf etwaige kantonale Bestimmungen wird zudem in den allgemeinen Nutzungsbestimmungen für die Plattform hingewiesen.
Darüber hinaus behält sich neben den kant. Behörden auch die Bedag in den allgemeinen Nutzungsbestimmungen für Notariat+ das Recht vor, die in der Applikation von einer Urkundsperson gespeicherten Dokumente (Entwürfe und Kopien von Anmeldungen und Belegen) zu löschen, falls der Mandant (Urkundsperson) länger als drei Monate nicht mehr genutzt oder wenn der zuständige Kanton der Urkundsperson die Nutzungsrechte entzieht.
Applikatorische Massnahmen
Die zuständige, kantonale Behörde hat über ihren Plattformzugang in Admin+ jederzeit die Möglichkeit, den Zugriff auf Registerdaten und den Zugang zum eGV unmittelbar auszusetzen. So kann etwa eine Missachtung von vertraglichen Bestimmungen durchgesetzt werden.
In Notariat+ wiederum werden dem Benutzer mittels eines Dashboards auf der Homepage jene Geschäftsfälle zur Archivierung und zur Löschung vorgeschlagen, welche rechtsgültig durch das Grundbuchamt abgeschlossen wurden. So wird er in seinen Pflichten betreffend Datenlöschung unterstützt. Die Dokumente der Geschäftsfälle können ausserdem in einem standardisierten und mit herkömmlichen Programmen lesbarbaren Format aus der Applikation heruntergeladen werden, für den Fall, dass diese dezentral archiviert werden sollen.
5.3. Umsetzung der Anforderung A2
Zwecks Backup und Wiederherstellung von Datenbeständen bei ausserordentlichen Ereignissen (Katastrophe/höhere Gewalt allgemein) werden die Daten auf der Plattform regelmässig gesichert. Diese Speicherung erfolgt in doppelter Ausführung, wobei die beiden Datenbestände an zwei geografisch getrennten Standorten (nur Produktionsstätten der Bedag, ausschliesslich auf Schweizer Territorium) aufbewahrt werden.
Die Daten auf der Produktions-Umgebung werden 3 Monate ab dem Sicherungszeitpunkt aufbewahrt und anschliessend gelöscht bzw. überschrieben.
Die Daten auf der Pre-Produktions-Umgebung sowie auf der Demo-/Testumgebung werden während zwei Wochen aufbewahrt.
Weiter ist die Vernichtung von Datenträgern ist bei der Betreiberin Bedag mit einem Prozess streng reglementiert. Dieser Prozess wird ausserdem regelmässig auditiert.
Aus Backup-Datenbeständen können aufgrund technischer Einschränkungen keine einzelnen Datensätze selektiv gelöscht werden. Da es sich bei eGV+ um ein System handelt, welches personenbezogene Daten bearbeitet, sind die Kunden (bspw. kant. Behörden und Notare) und deren Benutzer dazu verpflichtet, auf diesen Umstand ihren Endkunden gegenüber (bspw. Kunde des Notars) Aufmerksam zu tragen in Bezug auf das Recht auf Löschung.
5.4. Umsetzung der Anforderung A3
Bei der Übermittlung eines eGV-Auftrags erzeugt die Software für jedes mitgesendete Dokument einen Hashwert. Für die Nachvollziehbarkeit wird dieser Hashwert sowohl auf der Abgabequittung zuhanden des Anmelders (sendende Partei) ausgegeben, als auch an das Kantonsmodul Admin+ Modul gesendet. Dort wir werden diese Daten zusammen mit den erforderlichen Metadaten zur Identifikation des eGV-Auftrags langfristig gespeichert.
Das kantonale Grundbuchamt als empfangende Partei oder eine übergeordnete Instanz (bspw. Grundbuchinspektorat) verfügt über einen eigenen Zugang zu diesem Modul. Die kant. Behörden können demnach jederzeit Einsicht nehmen in dieses Audit-Log, womit jede elektronische Grundbucheingabe mit ihren Metadaten und den Hashwerten der übermittelten Dokumente nachvollzogen werden kann.
6. FAQ
| Question | Answer |
|---|---|
|
|
|
|
|
|
|
|
|