E-Mails rechtskonform sichern und aufbewahren

Data & StorageNetzwerk-ManagementNetzwerkeSoftwareStorageZusammenarbeit

An der Aufbewahrung geschäftsrelevanter E-Mails führt kein Weg vorbei. Doch eine Vielzahl an Gesetzen und Vorschriften, internen Anforderungen und technischen Problemen überfordern viele Unternehmen. Peter Kopfmann vom Messaging-Anbieter Retarus erklärt, worauf es bei der Archivierung der Mails ankommt – und wie man sich diese Aufgabe leichter machen kann.

Die IT-Evolution beschert uns ständig neue digitale Kommunikationsformen – doch trotz Social-Media-Erscheinungen wie Facebook, Twitter und Xing verliert die E-Mail keinesfalls an Bedeutung. Schätzungsweise werden heute weltweit täglich 300 Milliarden E-Mails verschickt. Ein Büro-Arbeitsplatz ohne Mail-Anschluss ist kaum mehr vorstellbar. Analysten erwarten zudem einen weiteren Anstieg des weltweiten E-Volumens bis 2013. Damit wächst auch der Speicherbedarf pro Postfach, von aktuell 20 auf geschätzte 30 bis 40 Megabyte in zwei Jahren.

Doch nicht nur mengenmäßig nimmt der E-Mail-Verkehr zu, auch sein Stellenwert innerhalb der geschäftlichen Korrespondenz steigt. Einer Umfrage des Beratungsunternehmens Bearingpoint zufolge erreichen in deutschen Unternehmen 87 Prozent der Kundenanfragen, 82 Prozent der Angebote, 60 Prozent der Bestellungen und 43 Prozent der Rechnungen ihre Adressaten digital.

E-Mail als Handelsbrief

Allerdings müssen Unternehmen inzwischen eine Reihe von Vorschriften und Gesetzen beim digitalen Nachrichtenaustausch beachten, insbesondere in Bezug auf die Aufbewahrung. Zum einen wäre hier §257 des HGB (Handelsgesetzbuch) zu nennen, der eine ordnungsgemäße Aufbewahrung von Jahresabschlussdokumenten, Buchungsbelegen, Handelsbüchern und Organisationsunterlagen verlangt. Auch Mail-Inhalte, die als Handelsbrief gelten müssen aufbewahrt werden. Der Begriff Handelsbrief umfasst dabei die gesamte Bandbreite geschäftlicher Kommunikation, also jedes Schreiben, welches “der Vorbereitung, dem Abschluss, der Durchführung oder auch der Rückgängigmachung eines Geschäfts” dient.

Grundsätzlich ist hierzu keine Formvorschrift definiert, so dass eine papiergebundene Aufbewahrung des Ausdrucks rein handelsrechtlich ausreichend wäre. Allerdings ergeben sich aus dem Steuerrecht zentrale Archivierungsanforderungen, die es unbedingt zu beachten gilt: Laut Paragraf 147 der Abgabenordnung und den Grundsätzen der Prüfung digitaler Unterlagen (GDPdU) wird für alle steuerrechtlich relevanten E-Mails ausdrücklich eine elektronische Aufbewahrung gefordert.

Ausgenommen von der Aufbewahrungspflicht sind Kleingewerbetreibende und Freiberufler. Doch auch hier erweist sich eine langfristige Ablage als vorteilhaft. Nicht so sehr, um Postfächer vor dem Überquellen zu schützen, sondern vielmehr, um einzelne Geschäftsvorgänge, beispielsweise bei Rechtsstreitigkeiten, jederzeit lückenlos dokumentieren zu können.

Unternehmen haften für ordnungsgemäße E-Mail-Speicherung

Eine Verletzung der genannten Buchführungspflichten kann gravierende juristische Folgen haben. So stellt eine vorsätzliche oder fahrlässige Verletzung der Buchführungspflicht eine Ordnungswidrigkeit im Sinne einer Steuergefährdung dar. Sogar der Fall der persönlichen Haftung der Geschäftsführung kann eintreten, wenn die Entwicklungen, die ein zukünftiges Risiko des Unternehmens darstellen – wie eben die unterlassene Speicherung geschäfts- oder steuerrechtlich relevanter Mails – nicht überwacht und durch geeignete Maßnahmen vorgebeugt werden.

Selbst lösen oder auslagern?

Bei der Frage nach geeigneten Archivierungssystemen sind zunächst die Aufbewahrungsfristen zu berücksichtigen. Laut Abgabenordnung sind Handels- oder Geschäftsbriefe sechs Jahre aufzubewahren. Enthalten Mails dagegen Buchungsbelege, Rechnungen oder Jahresabschlüsse, beträgt die Aufbewahrungsfrist zehn Jahre. Das verwendete System muss also in der Lage sein, die E-Mails während der Dauer der Aufbewahrung jederzeit verfügbar zu halten, unverzüglich lesbar und maschinell auswertbar zu machen.

Über die zu beachtenden steuerrechtlichen Vorschriften hinaus gibt es heute allerdings auch eine Reihe wichtiger zentraler Anforderungen innerhalb eines Betriebs. Ist das Archivierungssystem mit gültigen Datenschutzrichtlinien vereinbar? Wie ist es um die Haftung für die Verfügbarkeit und die Zukunftssicherheit der Lösung bestellt? Scheinbar geeignete Hardware-Software-basierende Archivierungslösungen genügen auf den zweiten Blick oft nicht den gestellten Anforderungen. Sie sind zudem meist überdimensioniert, komplex zu administrieren und verursachen einen hohen Investitionsaufwand.

Der Screenshot zeigt die Software für die Messaging Services von Retarus. Damit kann das Unternehmen unter anderem die E-Mails langfristig und revisionssicher archivieren.

Spezialisierte Dienstleister

Weitaus sicherer und flexibler ist ein Unternehmen, das sich für die Auslagerung an einen spezialisierten Dienstleister entscheidet, der die komplette Abwicklung über ein weniger kompliziertes Retention-System übernimmt. Dafür sprechen viele Gründe: Neben der unbegrenzten Kapazität beim automatisierten Wegschreiben und langfristigen revisionssicheren Aufbewahren von Mail-Nachrichten ist eine Retention-Lösung in der Lage, alle unternehmensinternen und steuerrechtlichen Anforderungen exakt und mit minimalem Aufwand abzubilden.

Zudem punktet eine solche Lösung mit vergleichsweise niedrigen monatlichen Fixkosten, einer sehr leichten Handhabung und einer jederzeit beliebig skalierbarer Plattform. Idealerweise kommen dabei zusätzlich Filtermechanismen zum Einsatz, um Spam und Viren zu beseitigen und nur geschäftsrelevante Nachrichten ins Archiv zu befördern.

Aufbewahrungsfristen beachten

Bei der Wahl der richtigen Archivierungslösung sollte die Fristenthematik unbedingt beachtet werden. Archivierung ist per Definition eine langfristige Angelegenheit mit Prozessen, die meist auf zwingend einzuhaltenden Fristen beruhen. Die verwendete Technologie muss solche Anforderungen erfüllen und gegebenenfalls an ständig neue Vorschriften angepasst werden können.

Hier liegt der klare Vorteil eines Dienstleisters gegenüber einer Inhouse-Lösung, da man sich nicht über den gesamten Zeitraum um die sichere Aufbewahrung, etwaige Gesetzes- und steuerrechtliche Änderungen sowie Kompatibilitäts- und Konvertierungsprobleme von Software-basierenden Lösungen kümmern muss.

Exit-Strategie

Wer sich für die Auslagerung entscheidet, muss allerdings auch bei der Dienstleisterauswahl einige Punkte beachten. Weiche Faktoren wären etwa die bisherige zeitliche Marktpräsenz und die Reputation des Dienstleisters, die gewisse Rückschlüsse auf die Stabilität über die nächste Dekade zulassen. Für Szenarien wie die Pleite des Dienstleisters oder auch die Übernahme durch ein ausländisches Unternehmen sollte es stets eine “Exit-Strategie” geben, die auch in den Verträgen fixiert ist. Auf Nummer Sicher geht man, wenn der uneingeschränkte Import und Export von Daten jederzeit möglich ist, um so beispielsweise im schlimmsten Fall schnell einen Archiv-Wechsel durchführen zu können.

 

Website von Retarus

 

Datenschutz für private Mitarbeiter-Mails

Nicht zu vernachlässigen ist auch das Thema Datenschutz, insbesondere im Hinblick auf den Umgang mit privaten E-Mails von Mitarbeitern. Erlaubt ein Betrieb die private Nutzung des Firmen-Accounts, ist er laut Gesetz ein “Teledienste-Anbieter”. Als solcher darf er grundsätzlich nicht auf Inhalte von Mails zugreifen oder Mitarbeitern Mails – etwa durch Löschung von Spam – vorenthalten. Verstöße können mit Freiheitsstrafen bis zu fünf Jahren geahndet werden.

Auch aus Archivierungssicht ist eine solche Regelung problematisch. Mails müssen bei Ausscheiden eines Mitarbeiters gelöscht werden, was in einem steuerrechtlich einwandfreien Archivierungssystem nicht möglich ist. Als bessere Lösung gilt daher ein generelles Verbot der privaten E-Mail-Nutzung über den Geschäfts-Account und die Einrichtung eines zweiten Web-Maildienstes für die erlaubte oder geduldete Privatnutzung von E-Mail.

Auf diese Weise muss sich ein Arbeitgeber keine Sorgen um die Datenschutzproblematik bei der Archivierung machen.

Anforderungen an eine E-Mail-Archivierungslösung

Um die strengen gesetzlichen und behördlichen Vorschriften zu erfüllen, muss ein System zur E-Mail-Archivierung folgende Eigenschaften aufweisen:

1. Jede E-Mail muss unveränderbar und manipulationssicher archiviert werden

2. Keine E-Mail Nachricht darf auf dem Weg ins Archiv oder innerhalb des Archivs verloren gehen

3. Keine Nachricht darf während der vorgesehenen Aufbewahrungszeit vernichtet werden

4. Jede E-Mail muss durch geeignete Retrieval-Techniken sofort zugänglich sein

5. Mails müssen in exakt der Form, in der sie erfasst wurden, angezeigt und gedruckt werden können

6. Archivierte E-Mails müssen jederzeit nachvollziehbar und wieder auffindbar sein

7. Jeder Vorgang im Archiv, der Veränderungen in der Organisation und Struktur bewirkt, muss derart protokolliert werden, dass die Wiederherstellung des ursprünglichen Zustandes möglich ist

8. Elektronische Archive sind so auszulegen, dass eine Migration auf neue Plattformen, Medien, Softwareversionen und Komponenten ohne Informationsverlust möglich ist

9. Das System muss dem Anwender beim Einhalten gesetzlicher Bestimmungen (BDSG, HGB, AO etc.) sowie die betrieblicher Bestimmungen zu Datensicherheit und Datenschutz über die gesamte Lebensdauer des Archivs unterstützen

Vorteil einer Retention-Lösung

• Keine hohen Investitionskosten und kein (personeller) Administrationsaufwand

• Erfüllung zentraler rechtlicher und steuerbehördlicher Anforderungen

• Erfüllung zentraler Compliance Anforderungen, somit ideal auf die Bedürfnisse von Datenschutzbeauftragten, Betriebsräten, Rechts-, Finanz und Security-Abteilungen zugeschnitten

• Keine Updates oder Wartung erforderlich

• Schonung der unternehmensinternen Netz- und Serverinfrastruktur

• Klar kalkulierbare Kosten pro Monat, Verträge auch unter zehn Jahren und Export archivierter Daten jederzeit möglich

• Rasante Suchfunktionen und dadurch schnellste Retrieval-Zeiten

• Höchste Sicherheit durch verschlüsselte Ablage aller Nachrichten

• Sicheres Zugriffssystem nach dem 4-Augen-Prinzip

• Lückenlose Protokollierung aller Zugriffe

• Einhaltung der Telekommunikationsgesetz- und Bundesdatenschutzgesetz-Richtlinien

• Einhaltung strengster europäischer Datenschutzrichtlinien