Rechtskonforme E-Mail Archivierung für Unternehmen

 

Leitfaden zur E-Mail-Archivierung in Deutschland

In diesem Dokument geht es um die Fragestellung, weshalb es für Unternehmen sinnvoll ist E-Mails zu archivieren und warum es rechtlich erforderlich ist, E-Mails zu archivieren. In Unternehmen und Organisationen gewinnt die E-Mail-Archivierung zunehmend an Bedeutung: Zum einen aufgrund der Vielzahl an technischen und wirtschaftlichen Vorteilen, zum anderen aufgrund der rechtlichen Notwendigkeit.

Hierzu hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) Richtlinien bereitgestellt, die in dieser Übersicht berücksichtigt werden.

Sie erhalten damit einen aktuellen Leitfaden für den Einsatz von E-Mail-Archivierungsprodukten, der Ihnen technische, wirtschaftliche und gesetzliche Fragestellungen umfassend beantwortet.

Welche Fragestellungen wichtig sind

Für den Einsatz einer Archivierungslösung sollten im Vorfeld einige grundsätzliche Fragen beantwortet werden:

  1. Warum ist es sinnvoll zu archivieren?
  2. Was muss archiviert werden?
  3. Wie lange müssen Daten aufbewahrt werden?
  4. Wer trägt die Verantwortung und was kann passieren, wenn nicht archiviert wird?
  5. Welche Richtlinien gibt es dafür?
  6. Gesetzliche Konflikte: Datenschutz versus E-Mail-Archivierung

1. Warum ist es sinnvoll zu archivieren?

Das Handling von E-Mails und der darin enthaltenen Dokumente ist sehr wichtig für Unternehmen geworden, da sich mit der Zeit automatisch ein großer Wissens- und Datenpool in den Mailservern und in den E-Mail-Konten der Mitarbeiter bildet.

Diese Daten dürfen nicht verloren gehen, und sollte dennoch Verlust vorkommen, müssen sie schnell wieder herzustellen sein. Im Gegensatz zu einem Backup muss eine Archivierungslösung nachweislich dafür sorgen, dass eine Manipulation der archivierten Daten nicht stattgefunden hat. Dies wird mit qualifizierten Zeitstempeln erreicht. Eine laufende Signierung des Zustandes der archivierten E-Mails mit qualifizierten Zeitstempeln sorgt für die Beweiswerterhaltung und garantiert im Zweifel auch vor Gericht, dass keine Manipulation von archivierten Datenbeständen stattgefunden hat. Aus rechtlicher Sicht ist dieser Umstand unverzichtbar, da sonst eine Beweisbarkeit – z. B. vor Gericht oder dem Finanzamt – nicht gegeben ist.

Darüber hinaus ist auch das schnelle Wiederfinden von Informationen maßgeblich, da ein normaler Mailserver/Mail-Client dies nur schlecht oder gar nicht leisten kann. Zudem sorgen die wachsenden Datenmengen für große Probleme auf Mailservern. Speicherkosten und Lizenzkosten steigen, da nicht mehr genutzte E-Mail-Konten weiter vorgehalten werden müssen und der E-Mail-Verkehr auf diese Weise stetig zunimmt. In der Folge werden Server und Clients immer langsamer, entsprechend schwerer ist es, Informationen in riesigen E-Mail-Beständen (wieder) zu finden. Die Praxis zeigt: Um ihre E-Mail-Konten übersichtlich zu halten, löschen Anwender E-Mails oft vorzeitig oder unüberlegt an, und vernichten damit wichtige Daten und Dokumente. Auch ein absichtliches Löschen von E-Mails – evtl. aus kriminellen Gründen – kommt immer wieder vor.

Rechtskonforme E-Mail-Archivierung? Warum?:

Rechtskonforme E-Mail-Archivierung erfordert gesetzlich unveränderte und unveränderbare Speicherung über sehr lange Zeiten – zwei, sechs, zehn, 30 Jahre oder sogar ewig. Eine Manipulation der Daten muss dabei ausgeschlossen sein. Viele Archivierungsprodukte erfüllen leider diese Anforderungen nicht und entsprechen damit nicht den Richtlinien (TR 03125) des Bundesamt für Sicherheit in der Informationstechnik (BSI). Die Rechtssicherheit im Sinne der Beweiswerterhaltung im Fall der Fälle vor Gericht, Finanzamt etc. geht damit verloren. Die geltenden gesetzlichen Anforderungen schreiben jedoch den Einsatz einer revisionssicheren E-Mail-Archivierung zwingend und umfassend vor.

2. Was muss archiviert werden?

Mailen ist eine rechtsrelevante Kommunikationsform geworden. E-Mails zu schreiben ist leicht, schnell und billig. So können z. B. Rechnungen, Angebote, Geschäftsbriefe und sonstige Dokumente sehr viel besser, schneller und kostengünstiger verschickt werden als per konventioneller Post. Der klassische Postversand ist durch den E-Mail-Verkehr inzwischen zu fast 75% ersetzt worden. Dabei ist jedoch zu berücksichtigen, dass die Kommunikation mit Kunden oder Lieferanten, Buchführung, Personalthemen, medizinische Dokumentation, Akten der Verwaltung etc. inzwischen einer gesetzeskonformen Archivierungspflicht unterliegen.

Konflikte mit Datenschutz:

Nicht alle E-Mails müssen archiviert werden. Der Aufwand, zu ermitteln was archivierungspflichtig ist oder was nicht, ist jedoch meist zu hoch. Also wird in der Regel alles archiviert und das kann zu Konflikten mit anderen Gesetzen führen. Siehe weiter unten…

3. Wie lange müssen Daten aufbewahrt werden?

Gängige gesetzliche Aufbewahrungspflichten und -zeiten reichen je nach Dokumentenart von zwei Jahren bis „unbegrenzt“. Die Kommunikation mit Geschäftspartnern – dazu gehört jegliche Korrespondenz, durch die ein Geschäft vorbereitet, abgewickelt, abgeschlossen oder rückgängig gemacht wird – verlangt beispielsweise eine sechsjährige Archivierung. Rechnungen oder Personalakten dagegen müssen 10 Jahre archiviert werden. Gerichtsurteile und Baupläne müssen sogar dauerhaft aufbewahrt werden. Hier einige Beispiele für die Archivierung von unterschiedlichen Daten.

Wie sieht die Praxis aus?:

In der Regel sollten E-Mails so archiviert werden, dass das Mindestaufbewahrungsdatum 10 Jahre beträgt. Im normalen Geschäftsbetrieb reicht das meist aus. Das Archivierungssystem sollte es aber zulassen, dass unterschiedliche Archivierungszeiträume gleichzeitig festgelegt werden können und E-Mails automatisch, durch von Ihnen festgelegte Regeln abgelegt bzw. kategorisiert werden können.
Achtung:

Sie müssen jedoch in bestimmten Berufsgruppen darauf achten, dass andere Aufbewahrungspflichten in der Regel vorkommen und Ihr Archivierungssystem eventuell entsprechend konfiguriert werden muss. Insbesondere Ärzte und Anwälte sind hiervon vermehrt betroffen.

4. Wer trägt die Verantwortung und was kann passieren, wenn nicht archiviert wird?

Der Verlust von Daten – durch Soft- oder Hardwarefehler oder auch durch absichtliche Löschung – kann geschäftskritisch, zumindest aber teuer oder kompliziert werden, sollten die Daten wiederhergestellt werden müssen. Manchmal ist ein Wiederherstellen aber auch gar nicht mehr möglich, bzw. oft reicht eine für IT-Systeme übliche Datensicherung/Backup nicht aus.

Außerdem ist der Zeitraum, auf den Sie zurückgreifen können, häufig viel zu gering. Wenn Sie sich beispielsweise am Ende eines zwei Jahre umfassenden Projektes mit dem Kunden über den Projektumfang streiten, wird es keine passende Datensicherung mehr geben.

Eine E-Mail-Archivierung hat dieses Problem nicht – E-Mails können direkt und ohne Umwege gesucht, darauf zugegriffen und wiederhergestellt werden. Die Gründe für eine Wiederherstellung sind vielfältig: Im einfachsten Fall geht es um versehentlich gelöschte E-Mails und Dokumente, oftmals soll jedoch etwas im Nachhinein verstanden, bearbeitet oder bewiesen werden. Oder aber: Ein Mitarbeiter verlässt das Unternehmen und sein Nachfolger muss sich in Projekte einarbeiten, Aufträge nachvollziehen, Fehler oder Tätigkeiten Verantwortlichen zuordnen oder dem Finanzamt oder dem Gericht Sachverhalte beweisen.

Wichtig ist auch, dass Betriebe den unmittelbaren bzw. mittelbaren Zugriff seitens der Steuerbehörden langfristig sicherstellen müssen. Dies ist zwingend vorgeschrieben. Die Verantwortung liegt daher in jedem Fall beim zuständigen EDV-Leiter und schlussendlich natürlich auch beim Geschäftsführer.

Geschäftsführerhaftung:

Kommen Geschäftsführer den gesetzlichen Pflichten nicht nach, drohen in schweren Fällen Geldbußen oder sogar Freiheitsstrafen.

5. Welche Richtlinien gibt es dafür?

Elektronische Dokumente wie E-Mails werden zunehmend papiergebundenen Dokumenten gleichgestellt. Eine Reihe von Gesetzen und Verordnungen stellen E-Mails bereits Briefen gleich. Verträge können per E-Mail geschlossen werden und die elektronische Post hat vor Gericht volle Beweiskraft erlangt. In Deutschland gibt es eine Reihe von Compliance-Anforderungen:

  • HGB (Handelsgesetzbuch)
  • AO (Abgabenordnung)
  • GDPdU (Grundsatze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen)
  • Basel II
  • sowie die TR 03125 des Bundesamtes für Sicherheit in der Informationstechnik (BSI)

All diese Gesetze und Verordnungen beeinflussen die Verwaltung von E-Mails. Wenn eine E-Mail eine elektronische Signatur mit qualifizierten Zeitstempeln entsprechend dem Signaturgesetz trägt, wird sie als ein rechtsverbindliches Original betrachtet. Dementsprechend muss der Anwender sie zentral verwalten und langfristig sichern. Ebenso müssen steuerlich relevante, per E-Mail verschickte Informationen laut GDPdU in digitaler Form aufbewahrt werden. Qualifizierte Zeitstempel von einem Trustcenter sind deshalb für die Beweiswerterhaltung von archivierten Dokumenten unabdingbar. Da Verschlüsselungen mit der Zeit jedoch unsicher werden und gehackt werden können und damit eine Manipulation von Daten in Zukunft möglich würde, ist es äußerst wichtig, auch bereits signierte Dokumente von Zeit zu Zeit wieder mit anderen, besseren kryptografischen Algorithmen neu zu signieren. Idealerweise und zur Sicherheit sollte dies in einer Archivierungslösung täglich und automatisch geschehen.

Wie sieht die Praxis aus?

Grundsätzlich müssen alle relevanten E-Mails und die Anhänge vollständig, manipulationssicher und jederzeit verfügbar archiviert werden. Die Daten müssen in dem Format vorliegen, in dem sie ursprünglich waren, d. h. ein Formatwechsel darf nicht stattgefunden haben. Gleichzeitig müssen sie maschinell auswertbar sein.

Anforderungen an eine revisionssichere E-Mail-Archivierung

Einen Leitfaden* stellen die Informationen des Verbandes Organisations- und Informationssysteme e.V. zur revisionssicheren elektronischen Archivierung dar:

  • Jedes Dokument muss nach Maßgabe der rechtlichen und organisationsinternen Anforderungen ordnungsgemäß aufbewahrt werden
  • Die Archivierung hat vollständig zu erfolgen – kein Dokument darf auf dem Weg ins Archiv oder im Archiv selbst verloren gehen.
  • Jedes Dokument ist zum organisatorisch frühestmöglichen Zeitpunkt zu archivieren
  • Jedes Dokument muss mit seinem Original übereinstimmen und unveränderbar archiviert werden
  • Jedes Dokument darf nur von entsprechend berechtigten Benutzern eingesehen werden
  • Jedes Dokument muss in angemessener Zeit wiedergefunden und reproduziert werden können
  • Jedes Dokument darf frühestens nach Ablauf seiner Aufbewahrungsfrist vernichtet, d. h. aus dem Archiv gelöscht werden
  • Jede ändernde Aktion im elektronischen Archivsystem muss für Berechtigte nachvollziehbar protokolliert werden
  • Das gesamte organisatorische und technische Verfahren der Archivierung muss von einem sachverständigen Dritten jederzeit überprüfbar sein
  • Bei allen Migrationen und Änderungen am Archivsystem muss die Einhaltung aller zuvor aufgeführten Grundsätze sichergestellt sein

BSI-Richtlinie TR 03125

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat hierzu die technische BSI-Richtlinie TR 03125 zur Beweiswerterhaltung kryptographisch signierter Dokumente bereitgestellt. Diese beschreibt genau, wie E-Mails und andere elektronische Dokumente archiviert werden müssen, um den jetzigen und zukünftigen Erfordernissen des Gesetzgebers und der Beweiswerterhaltung zu genügen. Weiterführende Informationen zur Aufbewahrung elektronisch signierter Dokumente sind im Handlungsleitfaden des Bundesministeriums für Wirtschaft und Technologie beschrieben.

Siehe auch: https://www.bsi.bund.de/DE/Publikationen/TechnischeRichtlinien/tr03125/indexhtm.html

Handlungsleitfaden zur Aufbewahrung elektronisch signierter Dokumente:

Im Verwaltungs- und Unternehmensbereich wird das Aufkommen elektronischer und elektronisch signierter Dokumente in den kommenden Jahren drastisch zunehmen. Die rechtsichere Behandlung dieser Dokumente wird hier näher erläutert: http://www.securepoint.de/fileadmin/securepoint/downloads/uma/bmwi-leitfaden.pdf

6. Gesetzliche Konflikte: Datenschutz versus E-Mail-Archivierung

Die Einführung einer Compliance in Verwaltungen, Organisationen und Unternehmen, mit deren Hilfe die gesetzlichen Anforderungen zur Aufbewahrung von E-Mails umgesetzt werden soll, kollidiert häufig mit anderen Gesetzen oder Richtlinien.

Fallstrick Betriebsvereinbarung zur privaten E-Mail-Nutzung

Es wird teilweise davon ausgegangen, dass eine private Nutzung des beruflichen E-Mail-Kontos nicht mit der Archivierung in Konflikt steht, wenn der Mitarbeiter mittels einer Betriebsvereinbarung zugestimmt hat. Theoretisch ist das auch zutreffend. In der Praxis tauchen dann jedoch weitere Fallstricke auf, da Mitarbeiter zwar ihre eigenen, durch das Fernmeldegeheimnis geschützten Rechte abtreten können, jedoch nicht das Recht ihrer externen Kommunikationspartner, deren Kommunikation ja ebenfalls archiviert werden würde.

Private Inhalte in berufliche E-Mails

Auch berufliche E-Mails können datenschutzrechtlich relevante, personenbezogene Inhalte besitzen, denn eine berufliche E-Mail ist beispielsweise auch die Kommunikation eines Mitarbeiters mit einem Betriebsarzt. Einige deutsche IT-Rechtler vertreten jedoch die Auffassung, dass bei einer Interessenabwägung zwischen dem Datenschutz des Arbeitnehmers (Art. 2 I GG i.V.m. Art.1 I GG) und dem „Schutz des eingerichteten und ausgeübten Gewerbebetriebes des Arbeitgebers“ (Art. 14 I GG) letzterer obsiegt. Der Begriff der „Erforderlichkeit“ (§ 32 BDSG) spielt hierbei eine wichtige Rolle. Denn aufgrund der zahlreichen Gesetze und Vorschriften besteht eben nicht nur ein Interesse, sondern geradezu die Pflicht zur Archivierung. Allerdings muss der Arbeitgeber unbedingt seiner Informationspflicht über die E-Mail-Archivierung gemäß § 4 III BDSG nachkommen und alle Mitarbeiter vor der Implementation einer Archivierungslösung informieren.

Automatische Archivierung aller E-Mails und private Nutzung

Es wäre praxisfremd alle ein- und ausgehenden E-Mails dahingehend zu überprüfen, ob es sich um archivierungspflichtige oder nicht archivierungspflichtige E-Mails handelt. Da die Archivierung jedoch in jedem Fall vollständig sein soll, muss die sofortige und automatische Archivierung bei Ein- und Ausgang gewährleistet sein, um mögliche Manipulationen zu unterbinden. Diese Archivierungsstrategie kann aber wie bereits erwähnt in Konflikt mit den Datenschutzrichtlinien stehen. Ist Mitarbeitern z. B. die private E-Mail-Nutzung gestattet, unterliegt der Arbeitgeber als Telekommunikationsanbieter dem Bundesdatenschutzgesetz (BDSG) und dem Telekommunikationsgesetz (TKG).

Untersagung der privaten E-Mail-Nutzung

Die beste und – streng genommen – einzige Lösung ist daher, dem Mitarbeiter aus vorgenannten Gründen die Nutzung des beruflichen E-Mail-Kontos für private Zwecke explizit zu untersagen. Dies muss mit dem Mitarbeiter besprochen und schriftlich fixiert werden. Die regelmäßige Überprüfung dieser Maßnahme ist ebenfalls notwendig, um rechtlichen Bestand zu haben.

Best Practice/Lösung:

In Anbetracht der gesetzlichen Richtlinien ist das Verbot der privaten Nutzung beruflicher E-Mail-Konten der einzige Weg, um Konflikte zwischen Datenschutz und der gesetzlich vorgeschriebenen Archivierung von E-Mails zu vermeiden. Da die meisten Mitarbeiter heutzutage Smartphones und Tablets besitzen, können sie ohnehin jederzeit problemlos privat kommunizieren.


Wir haben eine Lösung für Sie – zur rechtskonformen E-Mail-Archivieurng

Securepoint Unified Mail Archive (UMA)

Rechtssicher. Revisionssicher. Vertrauenswürdig.

Rechtskonforme E-Mail-Archivierung erfordert gesetzlich unveränderte und unveränderbare Speicherung über sehr lange Zeiten oder sogar dauerhaft.

Die Bedeutung der E-Mail-Archivierung geht damit längst über die Entlastung Ihres Mailservers hinaus. Das Securepoint Unified Mail Archive (UMA) bietet eine effiziente Möglichkeit zur permanenten Archivierung Ihrer E-Mails.

Dabei werden die komplexen Anforderungen des Gesetzgebers erfüllt. Die Archivierung erfolgt gesetzeskonform, revisionssicher und automatisch.

xxxxxxxxxxxxxxxxxxx

Preise auf Anfrage!

Übersicht:

  • 100-prozentige Archivierung aller ein-/ausgehenden und internen E-Mails für beliebig lange Zeiträume und nach einfach festzulegenden Regeln
  • Indizierung von E-Mails
  • Indizierung von an E-Mails angehängte Dokumente (diese können getrennt durchsucht werden)
  • OCR von Bildern und Scans
  • Gesetzeskonforme, revisionssichere und automatische Archivierung des E-Mail-Verkehrs
  • Performante Aufbewahrung und Prüfung elektronischer und elektronisch signierter Dokumente
  • Sicherer Schutz vor Rechtsnachteilen wie z. B. steuerlichen Schätzungen, Beweisverlusten, Gutachten, Prozessen etc.
  • Zur Beweiswerterhaltung mit qualifizierten Zeitstempeln; automatisches tägliches Signieren von E-Mails nach den neusten kryptografischen Methoden zu Beweiswerterhaltung
  • Einfaches Wiederfinden und Wiederherstellung von versehentlich oder absichtlich gelöschten E-Mails
  • Entlastung Ihres bestehenden E-Mailservers
  • Kostengünstiger, vollautomatischer und einfacher Betrieb
  • Verfügbar als Cloud-, VM- und Appliance-Version

Falls Sie als Unternehmen noch keine rechtskonforme E-Mail Archivierung einsetzen, dann lassen Sie sich von uns unverbindlich beraten. Wir bieten Ihnen unterschiedliche Archivierungslösungen, jenachdem wie Ihre IT-Infrastruktur aufgebaut ist.

Dieser Block dient der unverbindlichen Information und ist keine Rechtsberatung. Alle Angaben sind ohne jede Gewähr. Bitte lassen Sie sich in jedem Fall von einem Juristen beraten!

 


Weiterführende Informationen erhalten Sie direkt vom PCD systems-Team:

PCD systems | IT-Dienstleistungen
Inhaber Siegfried Lambertz
Lindenthalgürtel 103 – 50935 Köln Lindenthal
Telefon (0221) 4744168-0
Kontakt-Link: https://www.pcd-systems.de/kontakt/
Öffnungszeiten: https://www.pcd-systems.de/oeffnungszeiten/

Facebook: https://www.facebook.com/pcdsystems/
Xing: https://www.xing.com/profile/Siegfried_Lambertz/
LinkeIn: https://www.linkedin.com/in/siegfriedlambertz

Mit freundlicher Unterstützung der SecurePoint GmbH (Leitfaden)

Wir verwenden Cookies um unsere Website optimal für Sie zu gestalten. Durch die Nutzung unserer Website stimmen Sie der Verwendung von Cookies zu. Weitere Informationen finden Sie in unserer Datenschutzerklärung.

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen