E-Mail-Archivierung
E-Mail-Archivierung ist die Bezeichnung für die langfristige, unveränderliche und sichere Aufbewahrung von elektronischer Nachrichten. Grundlage dieser Archivierung sind zum einen gesetzliche Anforderungen für die lückenlose Dokumentation von steuerlich relevanten Dokumenten und zum anderen Anforderungen von Unternehmen und Privatleuten an die Verwaltung immer komplexer werdender E-Mail-Kommunikationsdaten und -prozesse.
Grundlagen
Die E-Mail-Kommunikation hat die „klassischen“ Kommunikationsarten Telefon, Brief, Telex und Fax an Bedeutung eingeholt oder sogar gänzlich übertroffen. Damit hat sich der E-Mail-Datenaustausch zu einer geschäftskritischen Kommunikationsplattform entwickelt, deren reibungsloses Funktionieren für viele Unternehmen unabdingbar geworden ist. Zurzeit sind noch die E-Mail-Nutzer, also beispielsweise Mitarbeiter einer Firma, für Inhalt, Absicherung und Verwertung der Daten zuständig. Eine systematische Verwertung und Archivierung durch das Unternehmen gewinnt zunehmend an Bedeutung. Gründe dafür sind:
E-Mail-Archivierung zur Erfüllung rechtlicher Anforderungen
Die Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD) schreiben Unternehmen vor, dass alle steuerrelevanten Daten in maschinell auswertbarer Form vorzeigbar aufbewahrt werden müssen. Dies trifft auch auf die E-Mails und deren Dateianhänge zu. Weitere Anforderungen ergeben sich auch aus der Abgabenordnung (AO) und dem Handelsgesetzbuch (HGB).
Archivierung als Schutz vor E-Mail-Datenverlust
E-Mails, als unternehmenskritische Informationsträger, müssen vor Datenverlust und illegalem Ausspähen geschützt werden. E-Mails gehen beispielsweise durch defekte PST-Dateien (MS-Outlook), unvorsichtiges Löschen oder Systemwechsel verloren. Oft werden ganze Postfächer beim Ausscheiden eines Mitarbeiters aus dem Unternehmen entfernt, ohne dass dafür eine notwendige Erlaubnis des Benutzers vorliegt.
Maximaler Schutz und Rechtssicherheit
Die Archivierung kann gleichzeitig mit Empfang und Versand der E-Mails erfolgen, sodass Manipulationen der einzelnen Nachrichten wirkungsvoll verhindert werden. Im Fall einer Revision lässt sich umgehend ein Revisionszugang einrichten. Dieser gewährt einer externen Person einen zeitlich begrenzten Zugriff auf das E-Mail Archiv. Wenn der Unternehmenssitz sowie der Betrieb der Cloud sich in redundanten, gesicherten und zertifizierten Rechenzentren direkt in Deutschland befindet, ist ein Vertrag nach deutschem Recht aufgestellt. Unternehmen sollten dies für eine maximale Rechtssicherheit beachten. Als Dienstleister für eine rechtskonforme E-Mail Archivierung werden unternehmensübergreifend Systemhäuser mit betriebsfertigen IT-Komplettlösungen genutzt.
Archivierung als Schutz vor Überlastung von E-Mail-Servern
Im Laufe der Zeit sammeln sich E-Mail-Daten auf Servern an und belegen Speicherplatz. Je größer der zulässige Anhang (Attachment), desto größer der benötigte Speicherplatz. Wenn Größenbeschränkungen für Postfächer definiert wurden, müssen diese Daten in ein Archiv überführt und nicht mehr aktuelle Informationen in den Postfächern gelöscht werden.
Manipulationssicherheit
Zur Erfüllung rechtlicher Anforderungen wird eine manipulationssichere Archivierung gefordert. Diese wird neben der Möglichkeit eines Schreibens auf eine WORM (löschgeschützter Datenträger) (wobei auch hier eine jahrelange Manipulationssicherheit in Frage gestellt werden kann) durch kryptografische Prozesse auf die zu archivierenden E-Mails erzielt. Als unabhängige Instanz hat hier das Fraunhofer-Institut für Sichere Informationstechnologie (SIT) dazu ein Modul „ArchiSoft“[1] entwickelt, welches diesen Prozess übernimmt und auch sicherstellt, dass nach einer Kompromittierung dieses kryptografischen Prozesses alle bereits im E-Mail-Archiv befindlichen E-Mails mit dem neueren, sicheren kryptografischen Prozess nachsigniert werden. In Verbindung mit der Nutzung von akkreditierten Zeitstempeldiensten soll so eine dauerhafte Manipulationssicherheit gewährleistet werden.
Anforderungen der GoBD
In den Grundsätzen zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (kurz: GoBD) wird definiert, dass ein „steuerlich relevantes Dokument“ – z. B. eine Rechnung, die in elektronischer Form bei einem Steuerpflichtigen eingegangen ist – ebenso zu dokumentieren und abzusichern ist wie eine normale, postalische Rechnung. Wird eine Rechnung als Anhang an eine E-Mail verschickt oder empfangen, so bedeutet dies für den Empfänger und den Versender:
- Jedes dieser elektronischen Dokumente muss rückholbar abgespeichert werden.
- Die Integrität der Daten muss geprüft und das Ergebnis muss dokumentiert werden.
- Die Rechnung muss auf einem Trägermedium gespeichert werden, das Änderungen nicht mehr zulässt.
- Der Eingang der steuerlich relevanten Daten und ihre weitere Verarbeitung und Archivierung muss protokolliert werden.
- Es muss sichergestellt werden, dass die Übertragungs-, Archivierungs- und Konvertierungssysteme den GoBS (Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme) entsprechen.
Bei einer etwaigen Betriebsprüfung muss ein unmittelbarer Lesezugriff, ein Zugriff über Auswertungen und die Datenträgerüberlassung in verschiedenen Formaten ermöglicht werden.
Möglichkeiten der E-Mail-Archivierung
ASP-Lösungen[2] (Application Service Provider) zur E-Mail-Archivierung
- ASP-Anbieter erbringen ihre Leistungen, indem sie E-Mail-Datenmanagement-Funktionen mit oder ohne Spam-Filterungen über das Internet anbieten. Dazu sind in der Regel keine Client-seitigen Anwendungsprogramme notwendig.
Stand-alone-Lösungen Client- oder Server-seitig
- Hierbei handelt es sich um Anwendungen, die Client- oder Server-seitig implementiert werden. E-Mails können vom Benutzer selbst oder organisiert über den System-Administrator gespeichert und verwaltet werden.
- Appliances
- Eine separate Speicherlösung archiviert alle E-Mails (eingehend/ausgehend) ohne Zutun und Einflussmöglichkeit des Benutzers. Durch eine Suchfunktion können die Benutzer die Mails wiederfinden und ggf. wiederherstellen. In einer Appliance können auch Regeln zur Archivierung hinterlegt werden.
Dokumentenmanagement-Lösungen und CRM-Systeme
- Diese Lösungen stammen meist von Anbietern bestehender Dokumentenmanagementsysteme beispielsweise aus den Bereichen CAD und auch Kundenbeziehungsmanagement (Customer-Relationship-Management (CRM)); CRM-Anwendungen speichern traditionell die Kommunikationsgeschichte zwischen Unternehmen und Kunden.
Unterscheidung zwischen server- oder clientgesteuerter Archivierung
In Bezug auf die Strategie der Archivierung sind zwei grundlegende Ansätze zu unterscheiden. Eine Variante ist die serverseitige Archivierung. Verfolgt man diesen Ansatz, werden im Allgemeinen alle E-Mails, direkt nach ihrem Eingang auf dem E-Mailserver, in das Archivsystem übertragen. Gleiches gilt für ausgehende E-Mails. Diese Methode wird häufig auch als Journaling bezeichnet. Es kann damit sichergestellt werden, dass alle Nachrichten manipulationsfrei in das Archivsystem übertragen werden. Das Archivsystem selbst muss über Sicherheitseinrichtungen verfügen, um auch späteren Manipulationen entgegenzuwirken. Diese Methode benötigt jedoch einen hohen Speicherplatzbedarf. Deswegen sollten Spamfilter eingesetzt werden, die unerwünschte Nachrichten aussortieren und von der Archivierung ausschließen. Hierbei ist darauf zu achten, dass nicht versehentlich wichtige E-Mails als Spam-Nachrichten eingestuft werden. Das würde bedeuten, dass der als Spam deklarierte E-Mail-Bestand, regelmäßig und vor dem endgültigen Löschen, auf möglicherweise relevante E-Mails durchsucht werden muss. Gleichzeitig muss beachtet werden, dass dabei keine Mails archiviert werden, für die dies aus rechtlichen Gründen nicht zulässig ist (z. B. private Mails); d. h. solche Mails müssen gekennzeichnet sein oder (z. B. auf Grund eines Verbots von privaten Mails) ausgeschlossen werden können.
Weiterhin können bei der serverseitigen Archivierung regelbasierte Konzepte zum Einsatz kommen, die E-Mails entsprechend der definierten Regeln analysieren und archivieren. Über derartige Regeln sind vielfältige und individuelle Szenarien realisierbar. Üblicherweise werden bei der serverseitigen Archivierung die E-Mails aus dem produktiven E-Mail-System entfernt. Der Zugriff des Anwenders erfolgt nicht mehr über das E-Mail-System, sondern, meistens über eine Referenz, direkt auf das Archiv. Ebenfalls wird die Recherche direkt über das Archiv abgewickelt. Dies führt zu einer Entlastung der E-Mail-Server.
Die zweite Variante ist die clientseitige Archivierung. Hier steuert der Anwender selbst, welche E-Mails archiviert werden und welche nicht. Er benutzt dabei meistens Eigenschaften, die er den E-Mails zuordnet, oder er verschiebt sie in bestimmte, zur Archivierung vorgesehene, Ordner. Die clientseitige Archivierung bietet dem Anwender zwar ein hohes Maß an Flexibilität, jedoch ist die Gefahr gegeben, wichtige E-Mails versehentlich nicht zu archivieren. Für welche Archivierungsstrategie sich Unternehmen entscheiden, hängt von ihrer individuellen Präferenz ab. Wird der Einhaltung von Compliance-Anforderungen und einer damit einhergehenden rechtssicheren Archivierung ein hoher Wert zugerechnet, dann ist eine Journaling-Archivierung, also die serverseitige Variante, zu empfehlen.[3]
Widerspruch zwischen Anforderungen der GoBD und dem Fernmeldegeheimnis
Die Frage, welches ein steuerlich relevantes Dokument ist oder nicht, entscheidet im Zweifel das Finanzamt, und es ist möglich, dass alle E-Mails als steuerlich relevante Dokumente klassifiziert werden können. In der Konsequenz bedeutet dies für das Unternehmen die Verpflichtung, alle eingehenden und ausgehenden E-Mails automatisch zu speichern. Auch private, von Mitarbeitern versendete oder empfangene E-Mails würden dann in einem Archivierungssystem abgelegt und einem Betriebsprüfer zugänglich sein. Eingriffe seitens der Mitarbeiter, z. B. Löschungen oder Veränderungen, in dieses System müssten konsequenterweise unterbunden werden.
Das Problem: Eine automatische Abspeicherung und der Zugang zu privaten E-Mails von Mitarbeitern könnte das Fernmeldegeheimnis, welches als Grundrecht im Artikel 10 des Grundgesetzes verankert wurde, verletzen. E-Mails unterliegen als „Sendung“ diesem Grundrecht, das zudem durch § 88 f. Telekommunikationsgesetz spezialgesetzlich geschützt wird. Daher kann eine automatisierte E-Mail-Sicherungsmaßnahme in einem Unternehmen nur durch eine vertragliche Vereinbarung mit den Mitarbeitern oder mit der Zustimmung eines vertretungsberechtigten Betriebsrates erlaubt werden (wobei unter Juristen fraglich ist, ob eine Zustimmung in den Bruch des Fernmeldegeheimnisses durch eine kollektivrechtliche Vereinbarung substituiert werden kann). Eine andere vergleichsweise rechtlich belastbarere Möglichkeit ist die Durchsetzung eines allgemeinen Verbots privater E-Mail-Kommunikation von Seiten der Geschäftsleitung. Die Abkehr von der Erlaubnis der Privatnutzung betrieblicher Internet- und Telekommunikationstechnik kann jedoch zu Folgeproblemen führen, da Beschäftigte einen Anspruch auf Privatnutzung erworben haben könnten (sog. betriebliche Übung). Im Raum steht auch eine mögliche Strafbarkeit nach § 206 StGB wenn vom Telekommunikationsgeheimnis geschützte Sendungen vom Transporteur geöffnet und eingesehen werden.
Kritik an der isolierten E-Mail-Archivierung
Erfolgt die E-Mail-Archivierung getrennt, also isoliert, von der Archivierung anderer Formen von Dokumenten, stellt das für Unternehmen aber auch ein Risiko dar, da E-Mails dann erst in einen Sachzusammenhang mit anderen elektronischen Dokumenten gebracht werden müssen. Informationen müssen entsprechend Inhalt, Nutzung und Rechtscharakter archiviert werden. Eine Lösung hierfür besteht in der Nutzung von elektronische Archivsystemen, die auch andere elektronische Dokumente, gescannte Faksimiles und Datensätze unter einem gemeinsamen Index verwalten. So können E-Mails als Bestandteil von elektronischen Akten visualisiert werden, die die Vollständigkeit und den Kontext aller zusammengehörigen Informationen berücksichtigen.
Literatur
- IT-Management. „Deutsche Unternehmen verwalten ihre E-Mails nur halbherzig“. In: Computerwoche, 19. Februar 2008
- Arno Burger: Pocket Business: Die E-Mail-Flut eindämmen: Betriebliche Information effizient organisieren. Cornelsen Verlag
- M. Gantner et al.: E-Mail-Management. Systeme für Verwaltung, Archivierung und Response Management. Oxygon, München 2008, ISBN 978-3-937818-29-0, 495 Seiten.
- Marktübersicht E-Mail-Archivsysteme: Hersteller und Produkte. VOI Verband Organisations- u. Informationssysteme e. V., 2009, ISBN 978-3-932898-19-8
Weblinks
Einzelnachweise
- Archisoft vom SIT
- Markterhebung E-Mail-Archivierungslösungen für den deutschsprachigen Raum SofTrust Studie Juni 2006, Seite 11 ff
- M. Gantner et al.: E-Mail-Management. Systeme für Verwaltung, Archivierung und Response Management. Oxygon, München 2008, ISBN 978-3-937818-29-0.