E-Mail-Archivierung

E-Mail-Archivierung ist eine eigenständige Bezeichnung für eine langfristige, unveränderliche und sichere Aufbewahrung elektronischer Nachrichten. Grundlage dieser Archivierung sind zum einen gesetzliche Anforderungen für die lückenlose Dokumentation von steuerlich relevanten Dokumenten und zum anderen Anforderungen von Unternehmen und Privatleuten an die Verwaltung immer komplexer werdender E-Mail-Kommunikationsdaten und -prozesse.

Grundlagen

Die E-Mail-Kommunikation hat die „klassischen“ Kommunikationsarten Telefon, Brief, Telex und Fax an Bedeutung eingeholt oder sogar gänzlich übertroffen. Damit hat sich der E-Mail-Datenaustausch zu einer geschäftskritischen Kommunikationsplattform entwickelt, deren reibungsloses Funktionieren für viele Unternehmen unabdingbar geworden ist. Zurzeit sind noch die E-Mail-Nutzer, also beispielsweise Mitarbeiter einer Firma, für Inhalt, Absicherung und Verwertung der Daten zuständig. Eine systematische Verwertung und Archivierung durch das Unternehmen gewinnt zunehmend an Bedeutung. Gründe dafür sind:

E-Mail-Archivierung zur Erfüllung rechtlicher Anforderungen

Die Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD) schreiben Unternehmen vor, dass alle steuerrelevanten Daten in maschinell auswertbarer Form vorzeigbar aufbewahrt werden müssen. Dies trifft auch auf die E-Mails und deren Dateianhänge zu. Weitere Anforderungen ergeben sich auch aus der Abgabenordnung (AO) und dem Handelsgesetzbuch (HGB).

Archivierung als Schutz vor E-Mail-Datenverlust

E-Mails, als unternehmenskritische Informationsträger, müssen vor Datenverlust und illegalem Ausspähen geschützt werden. E-Mails gehen durch defekte PST-Dateien (MS-Outlook), unvorsichtiges Löschen oder Systemwechsel verloren. Oft werden ganze Postfächer beim Ausscheiden eines Mitarbeiters aus dem Unternehmen entfernt, ohne dass dafür eine notwendige Erlaubnis des Benutzers vorliegt.

Mails archivieren und rechtliche Anforderungen erfüllen.

Die Vorteile der E-Mail Archivierung auf einen Blick

  • Archivierung aller E-Mails über Dienstleister
  • vollautomatische Funktion
  • Erfüllung rechtlicher Anforderungen über Dienstleister (GoBD & BDSG)
  • keine Installation von Hard- oder Software im eigenen Unternehmen
  • Zentrales Management durch Anbieter
  • kalkulierbare Kosten für Unternehmen
  • Fachliche Beratung & Support über einen Dienstleister

Maximaler Schutz und oberste Rechtssicherheit

Die Archivierung erfolgt gleichzeitig mit Empfang und Versand der E-Mails, sodass Manipulationen der einzelnen Nachrichten wirkungsvoll verhindert werden. Im Fall einer Revision lässt sich umgehend ein Revisionszugang einrichten. Dieser gewährt einer externen Person einen zeitlich begrenzten Zugriff auf das E-Mail Archiv. Wenn der Unternehmenssitz sowie der Betrieb der Cloud sich in redundanten, gesicherten und zertifizierten Rechenzentren direkt in Deutschland befindet, ist ein Vertrag nach deutschem Recht aufgestellt. Unternehmen sollten dies für eine maximale Rechtssicherheit beachten. Als Dienstleister für eine rechtskonforme E-Mail Archivierung werden unternehmensübergreifend Systemhäuser mit betriebsfertigen IT-Komplettlösungen genutzt.

Archivierung als Schutz vor Überlastung von E-Mail-Servern

Im Laufe weniger Tage und Monate sammeln sich E-Mail-Daten auf Servern an und belegen Speicherplatz. Je größer der zulässige Anhang (Attachment), desto größer der benötigte Speicherplatz. Da viele Firmen Größenbeschränkungen für Postfächer definieren, müssen diese Daten in ein Archiv überführt und nicht mehr aktuelle Informationen in den Postfächern gelöscht werden.

Manipulationssicherheit

Zur Erfüllung rechtlicher Anforderungen wird eine manipulationssichere Archivierung gefordert. Diese wird neben der Möglichkeit eines Schreibens auf eine WORM (löschgeschützter Datenträger) (wobei auch hier eine jahrelange Manipulationssicherheit in Frage gestellt werden kann) durch kryptografische Prozesse auf die zu archivierenden E-Mails erzielt. Als unabhängige Instanz hat hier das Fraunhofer-Institut für Sichere Informationstechnologie (SIT) dazu ein Modul „ArchiSoft“[1] entwickelt, welches diesen Prozess übernimmt und auch sicherstellt, dass nach einer Kompromittierung dieses kryptografischen Prozesses alle bereits im E-Mail-Archiv befindlichen E-Mails mit dem neueren, sicheren kryptografischen Prozess nachsigniert werden. In Verbindung mit der Nutzung von akkreditierten Zeitstempeldiensten soll so eine dauerhafte Manipulationssicherheit gewährleistet werden.

Unterscheidung zwischen server- oder clientgesteuerter Archivierung

In Bezug auf die Strategie der Archivierung sind zwei grundlegende Ansätze zu unterscheiden. Eine Variante ist die serverseitige Archivierung. Verfolgt man diesen Ansatz, werden im Allgemeinen alle E-Mails, direkt nach ihrem Eingang auf dem E-Mailserver, in das Archivsystem übertragen. Gleiches gilt für ausgehende E-Mails. Diese Methode wird häufig auch als Journaling bezeichnet. Es kann damit sichergestellt werden, dass alle Nachrichten manipulationsfrei in das Archivsystem übertragen werden. Das Archivsystem selbst muss über Sicherheitseinrichtungen verfügen, um auch späteren Manipulationen entgegenzuwirken. Diese Methode benötigt jedoch einen hohen Speicherplatzbedarf. Deswegen sollten Spamfilter eingesetzt werden, die unerwünschte Nachrichten aussortieren und von der Archivierung ausschließen. Hierbei ist darauf zu achten, dass nicht versehentlich wichtige E-Mails als Spam-Nachrichten eingestuft werden. Das würde bedeuten, dass der als Spam deklarierte E-Mail-Bestand, regelmäßig und vor dem endgültigen Löschen, auf möglicherweise relevante E-Mails durchsucht werden muss. Gleichzeitig muss beachtet werden, dass dabei keine Mails archiviert werden, für die dies aus rechtlichen Gründen nicht zulässig ist (z. B. private Mails); d. h. solche Mails müssen gekennzeichnet sein oder (z. B. auf Grund eines Verbots von privaten Mails) ausgeschlossen werden können.

Weiterhin können bei der serverseitigen Archivierung regelbasierte Konzepte zum Einsatz kommen, die E-Mails entsprechend der definierten Regeln analysieren und archivieren. Über derartige Regeln sind vielfältige und individuelle Szenarien realisierbar. Üblicherweise werden bei der serverseitigen Archivierung die E-Mails aus dem produktiven E-Mail-System entfernt. Der Zugriff des Anwenders erfolgt nicht mehr über das E-Mail-System, sondern, meistens über eine Referenz, direkt auf das Archiv. Ebenfalls wird die Recherche direkt über das Archiv abgewickelt. Dies führt zu einer Entlastung der E-Mail-Server.

Die zweite Variante ist die clientseitige Archivierung. Hier steuert der Anwender selbst, welche E-Mails archiviert werden und welche nicht. Er benutzt dabei meistens Eigenschaften, die er den E-Mails zuordnet, oder er verschiebt sie in bestimmte, zur Archivierung vorgesehene, Ordner. Die clientseitige Archivierung bietet dem Anwender zwar ein hohes Maß an Flexibilität, jedoch ist die Gefahr gegeben, wichtige E-Mails versehentlich nicht zu archivieren. Für welche Archivierungsstrategie sich Unternehmen entscheiden, hängt von ihrer individuellen Präferenz ab. Wird der Einhaltung von Compliance-Anforderungen und einer damit einhergehenden rechtssicheren Archivierung ein hoher Wert zugerechnet, dann ist eine Journaling-Archivierung, also die serverseitige Variante, zu empfehlen.[2]

Kritik an isolierter E-Mail-Archivierung

Die isolierte Archivierung von E-Mails stellt für Unternehmen aber auch ein Risiko dar, da E-Mails in einen Sachzusammenhang mit anderen elektronischen Dokumenten gebracht werden müssen. Information muss entsprechend Inhalt, Nutzung und Rechtscharakter archiviert werden und nicht in Abhängigkeit von der Form. Es setzt sich daher der Ansatz des E-Mail-Managements durch, der E-Mails an elektronische Archivsysteme übergibt, die auch andere elektronische Dokumente, gescannte Faksimiles und Datensätze unter einem gemeinsamen Index verwalten. So können E-Mails als Bestandteil von elektronischen Akten visualisiert werden, die die Vollständigkeit und den Kontext aller zusammengehörigen Informationen berücksichtigen.

Möglichkeiten der E-Mail-Archivierung

ASP-Lösungen[3] (Application Service Provider) zur E-Mail-Archivierung

ASP-Anbieter erbringen ihre Leistungen, indem sie E-Mail-Datenmanagement-Funktionen mit oder ohne Spam-Filterungen über das Internet anbieten. Dazu sind in der Regel keine Client-seitigen Anwendungsprogramme notwendig.

Stand-alone-Lösungen Client- oder Server-seitig

Hierbei handelt es sich um Anwendungen, die Client- oder Server-seitig implementiert werden. E-Mails können vom Benutzer selbst oder organisiert über den System-Administrator gespeichert und verwaltet werden.
Appliances
Eine separate Speicherlösung archiviert alle E-Mails (eingehend/ausgehend) ohne Zutun und Einflussmöglichkeit des Benutzers. Durch eine Suchfunktion können die Benutzer die Mails wiederfinden und ggf. wiederherstellen. In einer Appliance können auch Regeln zur Archivierung hinterlegt werden.

Dokumentenmanagement-Lösungen und CRM-Systeme

Diese Lösungen stammen meist von Anbietern bestehender Dokumentenmanagementsysteme beispielsweise aus den Bereichen CAD und auch Kundenbeziehungsmanagement (Customer-Relationship-Management (CRM)); CRM-Anwendungen speichern traditionell die Kommunikationsgeschichte zwischen Unternehmen und Kunden.

Widerspruch zwischen Anforderungen der GoBD und dem Fernmeldegeheimnis

In den Grundsätzen zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (kurz: GoBD) wird definiert, dass ein „steuerlich relevantes Dokument“ – z. B. eine Rechnung, die in elektronischer Form bei einem Steuerpflichtigen eingegangen ist – ebenso zu dokumentieren und abzusichern ist wie eine normale, postalische Rechnung. Wird eine Rechnung als Anhang an eine E-Mail verschickt oder empfangen, so bedeutet dies:

  • Der Empfänger/Versender muss jedes dieser elektronischen Dokumente – und als solches ist auch eine E-Mail zu verstehen – rückholbar abspeichern.
  • Der Empfänger/Versender muss die Integrität der Daten prüfen und das Ergebnis dokumentieren.
  • Der Empfänger/Versender muss die Rechnung auf einem Trägermedium speichern, das Änderungen nicht mehr zulässt.
  • Der Empfänger/Versender muss den Eingang der steuerlich relevanten Daten und ihre weitere Verarbeitung und Archivierung protokollieren.
  • Der Empfänger/Versender muss sicherstellen, dass die Übertragungs-, Archivierungs- und Konvertierungssysteme den GoBS (Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme) entsprechen.

Bei einer etwaigen Betriebsprüfung muss ein unmittelbarer Lesezugriff, ein Zugriff über Auswertungen und die Datenträgerüberlassung in verschiedenen Formaten ermöglicht werden.

Die Frage, welches ein steuerlich relevantes Dokument ist oder nicht, entscheidet im Zweifel das Finanzamt, und es ist möglich, dass alle E-Mails als steuerlich relevante Dokumente klassifiziert werden können. In der Konsequenz bedeutet dies für das Unternehmen die Verpflichtung, alle eingehenden und ausgehenden E-Mails automatisch zu speichern. Auch private, von Mitarbeitern versendete oder empfangene E-Mails würden dann in einem Archivierungssystem abgelegt und einem Betriebsprüfer zugänglich sein. Eingriffe seitens der Mitarbeiter, z. B. Löschungen oder Veränderungen, in dieses System müssten konsequenterweise unterbunden werden.

Das Problem: Eine automatische Abspeicherung und der Zugang zu privaten E-Mails von Mitarbeitern könnte das Fernmeldegeheimnis, welches als Grundrecht im Artikel 10 des Grundgesetzes verankert wurde, verletzen. E-Mails unterliegen als „Sendung“ diesem Grundrecht, dass zudem durch § 88 f. Telekommunikationsgesetz spezialgesetzlich geschützt wird. Daher kann eine automatisierte E-Mail-Sicherungsmaßnahme in einem Unternehmen nur durch eine vertragliche Vereinbarung mit den Mitarbeitern oder mit der Zustimmung eines vertretungsberechtigten Betriebsrates erlaubt werden (wobei unter Juristen fraglich ist, ob eine Zustimmung in den bruch des Fernmeldegeheimnisses durch eine kollektivrechtliche Vereinbarung substituiert werden kann). Eine andere vergleichsweise rechtlich belastbarere Möglichkeit ist die Durchsetzung eines allgemeinen Verbots privater E-Mail-Kommunikation von Seiten der Geschäftsleitung. Die Abkehr von der Erlaubnis der Privatnutzung betrieblicher Internet- und Telekommunikationstechnik kann jedoch zu Folgeproblemen führen, da Beschäftigte einen Anspruch auf Privatnutzung erworben haben könnten (sog. betriebliche Übung). Im Raum steht auch eine mögliche Strafbarkeit nach § 206 StGB wenn vom Telekommunikationsgeheimnis geschützte Sendungen vom Transporteur geöffnet und eingesehen werden.

Literatur

  • IT-Management. „Deutsche Unternehmen verwalten ihre E-Mails nur halbherzig“. In: Computerwoche, 19. Februar 2008
  • Arno Burger: Pocket Business: Die E-Mail-Flut eindämmen: Betriebliche Information effizient organisieren. Cornelsen Verlag
  • M. Gantner et al.: E-Mail-Management. Systeme für Verwaltung, Archivierung und Response Management. Oxygon, München 2008, ISBN 978-3-937818-29-0, 495 Seiten.
  • Marktübersicht E-Mail-Archivsysteme: Hersteller und Produkte. VOI Verband Organisations- u. Informationssysteme e. V., 2009, ISBN 978-3-932898-19-8

Weblinks

Einzelnachweise

  1. Archisoft vom SIT
  2. M. Gantner et al.: E-Mail-Management. Systeme für Verwaltung, Archivierung und Response Management. Oxygon, München 2008, ISBN 978-3-937818-29-0.
  3. Markterhebung E-Mail-Archivierungslösungen für den deutschsprachigen Raum SofTrust Studie Juni 2006, Seite 11 ff