E-Mail-Archivierung

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche

E-Mail-Archivierung ist eine eigenständige Bezeichnung für eine langfristige, unveränderliche und sichere Aufbewahrung elektronischer Nachrichten. Grundlage dieser Archivierung sind zum einen gesetzliche Anforderungen für die lückenlose Dokumentation von steuerlich relevanten Dokumenten und zum anderen Anforderungen von Unternehmen und Privatleuten an die Verwaltung immer komplexer werdender E-Mail-Kommunikationsdaten und -prozesse.

Grundlagen[Bearbeiten]

Seit einigen Jahren schon hat die E-Mail-Kommunikation die „klassischen“ Kommunikationsarten Telefon, Brief, Telex und Fax an Bedeutung eingeholt oder sogar gänzlich übertroffen. Damit hat sich der E-Mail-Datenaustausch zu einer geschäftskritischen Kommunikationsplattform entwickelt, deren reibungsloses Funktionieren für viele Unternehmen unabdingbar geworden ist. Zurzeit sind noch die E-Mail-Nutzer, also beispielsweise Mitarbeiter einer Firma, für Inhalt, Absicherung und Verwertung der Daten zuständig. Eine systematische Verwertung und Archivierung durch das Unternehmen gewinnt zunehmend an Bedeutung. Gründe dafür sind:

E-Mail-Archivierung zur Erfüllung rechtlicher Anforderungen[Bearbeiten]

Die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) schreiben Unternehmen vor, dass alle steuerrelevanten Daten in maschinell auswertbarer Form vorzeigbar aufbewahrt werden müssen. Dies trifft auch auf die E-Mails und deren Dateianhänge zu. Weitere Anforderungen ergeben sich auch aus der Abgabenordnung (AO) und dem Handelsgesetzbuch (HGB).

Archivierung als Schutz vor E-Mail-Datenverlust[Bearbeiten]

E-Mails, als unternehmenskritische Informationsträger, müssen vor Datenverlust und illegalem Ausspähen geschützt werden. E-Mails gehen durch defekte PST-Dateien (MS-Outlook), unvorsichtiges Löschen oder Systemwechsel verloren. Oft werden ganze Postfächer beim Ausscheiden eines Mitarbeiters aus dem Unternehmen entfernt, ohne dass dafür eine notwendige Erlaubnis des Benutzers vorliegt.

Archivierung als Schutz vor Überlastung von E-Mail-Servern[Bearbeiten]

Im Laufe weniger Tage und Monate sammeln sich E-Mail-Daten auf Servern an und belegen Speicherplatz. Je größer der zulässige Anhang (Attachment), desto größer der benötigte Speicherplatz. Da viele Firmen Größenbeschränkungen für Postfächer definieren, müssen diese Daten in ein Archiv überführt und nicht mehr aktuelle Informationen in den Postfächern gelöscht werden.

Manipulationssicherheit[Bearbeiten]

Zur Erfüllung rechtlicher Anforderungen wird eine manipulationssichere Archivierung gefordert. Diese wird neben der Möglichkeit eines Schreibens auf eine WORM (löschgeschützter Datenträger) (wobei auch hier eine jahrelange Manipulationssicherheit in Frage gestellt werden kann) durch kryptografische Prozesse auf die zu archivierenden E-Mails erzielt. Als unabhängige Instanz hat hier das Fraunhofer-Institut für Sichere Informationstechnologie (SIT) dazu ein Modul „ArchiSoft“[1] entwickelt, welches diesen Prozess übernimmt und auch sicherstellt, dass nach einer Kompromittierung dieses kryptografischen Prozesses alle bereits im E-Mail-Archiv befindlichen E-Mails mit dem neueren, sicheren kryptografischen Prozess nachsiginiert werden. In Verbindung mit der Nutzung von akkreditierten Zeitstempeldiensten soll so eine dauerhafte Manipulationssicherheit gewährleistet werden.

Unterscheidung zwischen server- oder clientgesteuerter Archivierung[Bearbeiten]

In Bezug auf die Strategie der Archivierung sind zwei grundlegende Ansätze zu unterscheiden. Eine Variante ist die serverseitige Archivierung. Verfolgt man diesen Ansatz, werden im Allgemeinen alle E-Mails, direkt nach ihrem Eingang auf dem E-Mailserver, in das Archivsystem übertragen. Gleiches gilt für ausgehende E-Mails. Diese Methode wird häufig auch als Journaling bezeichnet. Es kann damit sichergestellt werden, dass alle Nachrichten manipulationsfrei in das Archivsystem übertragen werden. Das Archivsystem selbst muss über Sicherheitseinrichtungen verfügen, um auch späteren Manipulationen entgegenzuwirken. Diese Methode benötigt jedoch einen hohen Speicherplatzbedarf. Deswegen sollten Spamfilter eingesetzt werden, die unerwünschte Nachrichten aussortieren und von der Archivierung ausschließen. Hierbei ist darauf zu achten, dass nicht versehentlich wichtige E-Mails als Spam-Nachrichten eingestuft werden. Das würde bedeuten, dass der als Spam deklarierte E-Mail-Bestand, regelmäßig und vor dem endgültigen Löschen, auf möglicherweise relevante E-Mails durchsucht werden muss.

Weiterhin können bei der serverseitigen Archivierung regelbasierte Konzepte zum Einsatz kommen, die E-Mails entsprechend der definierten Regeln analysieren und archivieren. Über derartige Regeln sind vielfältige und individuelle Szenarien realisierbar. Üblicherweise werden bei der serverseitigen Archivierung die E-Mails aus dem produktiven E-Mail-System entfernt. Der Zugriff des Anwenders erfolgt nicht mehr über das E-Mail-System, sondern, meistens über eine Referenz, direkt auf das Archiv. Ebenfalls wird die Recherche direkt über das Archiv abgewickelt. Dies führt zu einer Entlastung der E-Mail-Server.

Die zweite Variante ist die clientseitige Archivierung. Hier steuert der Anwender selbst, welche E-Mails archiviert werden und welche nicht. Er benutzt dabei meistens Eigenschaften, die er den E-Mails zuordnet, oder er verschiebt sie in bestimmte, zur Archivierung vorgesehene, Ordner. Die clientseitige Archivierung bietet dem Anwender zwar ein hohes Maß an Flexibilität, jedoch ist die Gefahr gegeben, wichtige E-Mails versehentlich nicht zu archivieren. Für welche Archivierungsstrategie sich Unternehmen entscheiden, hängt von ihrer individuellen Präferenz ab. Wird der Einhaltung von Compliance-Anforderungen und einer damit einhergehenden rechtssicheren Archivierung ein hoher Wert zugerechnet, dann ist eine Journaling-Archivierung, also die serverseitige Variante, zu empfehlen.[2]

Kritik an isolierter E-Mail-Archivierung[Bearbeiten]

Die isolierte Archivierung von E-Mails stellt für Unternehmen aber auch ein Risiko dar, da E-Mails in einen Sachzusammenhang mit anderen elektronischen Dokumenten gebracht werden müssen. Information muss entsprechend Inhalt, Nutzung und Rechtscharakter archiviert werden und nicht in Abhängigkeit von der Form. Es setzt sich daher der Ansatz des E-Mail-Managements durch, der E-Mails an elektronische Archivsysteme übergibt, die auch andere elektronische Dokumente, gescannte Faksimiles und Datensätze unter einem gemeinsamen Index verwalten. So können E-Mails als Bestandteil von elektronischen Akten visualisiert werden, die die Vollständigkeit und den Kontext aller zusammengehörigen Informationen berücksichtigen.

Möglichkeiten der E-Mail-Archivierung[Bearbeiten]

ASP-Lösungen[3] (Application Service Provider) zur E-Mail-Archivierung

ASP-Anbieter erbringen ihre Leistungen, indem sie E-Mail-Datenmanagement-Funktionen mit oder ohne Spam-Filterungen über das Internet anbieten. Dazu sind in der Regel keine Client-seitigen Anwendungsprogramme notwendig.

Stand-alone-Lösungen Client- oder Server-seitig

Hierbei handelt es sich um Anwendungen, die Client- oder Server-seitig implementiert werden. E-Mails können vom Benutzer selbst oder organisiert über den System-Administrator gespeichert und verwaltet werden.
Appliances
Eine separate Speicherlösung archiviert alle E-Mails (eingehend/ausgehend) ohne Zutun und Einflussmöglichkeit des Benutzers. Durch eine Suchfunktion können die Benutzer die Mails wiederfinden und ggf. wiederherstellen. In einer Appliance können auch Regeln zur Archivierung hinterlegt werden.

Dokumentenmanagement-Lösungen und CRM-Systeme

Diese Lösungen stammen meist von Anbietern bestehender Dokumentenmanagementsysteme beispielsweise aus den Bereichen CAD und auch Kundenbeziehungsmanagement (Customer-Relationship-Management (CRM)); CRM-Anwendungen speichern traditionell die Kommunikationsgeschichte zwischen Unternehmen und Kunden.

Widerspruch zwischen Anforderungen der GDPdU und dem Postgeheimnis[Bearbeiten]

In der Verwaltungsanweisung des Bundesfinanzministeriums (GDPdU) wird definiert, dass ein „steuerlich relevantes Dokument“ – z. B. eine Rechnung, die in elektronischer Form bei einem Steuerpflichtigen eingegangen ist – ebenso zu dokumentieren und abzusichern ist wie eine normale, postalische Rechnung. Wird eine Rechnung als Anhang an eine E-Mail verschickt oder empfangen, so bedeutet dies:

  • Der Empfänger/Versender muss jedes dieser elektronischen Dokumente – und als solches ist auch eine E-Mail zu verstehen – rückholbar abspeichern.
  • Der Empfänger/Versender muss die Integrität der Daten prüfen und das Ergebnis dokumentieren.
  • Der Empfänger/Versender muss die Rechnung auf einem Trägermedium speichern, das Änderungen nicht mehr zulässt.
  • Der Empfänger/Versender muss den Eingang der steuerlich relevanten Daten und ihre weitere Verarbeitung und Archivierung protokollieren.
  • Der Empfänger/Versender muss sicherstellen, dass die Übertragungs-, Archivierungs- und Konvertierungssysteme den GoBS (Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme) entsprechen.

Bei einer etwaigen Betriebsprüfung muss ein unmittelbarer Lesezugriff, ein Zugriff über Auswertungen und die Datenträgerüberlassung in verschiedenen Formaten ermöglicht werden.

Die Frage, welches ein steuerlich relevantes Dokument ist oder nicht, entscheidet im Zweifel das Finanzamt, und es ist möglich, dass alle E-Mails als steuerlich relevante Dokumente klassifiziert werden können. In der Konsequenz bedeutet dies für das Unternehmen die Verpflichtung, alle eingehenden und ausgehenden E-Mails automatisch zu speichern. Auch private, von Mitarbeitern versendete oder empfangene E-Mails würden dann in einem Archivierungssystem abgelegt und einem Betriebsprüfer zugänglich sein. Eingriffe seitens der Mitarbeiter, z. B. Löschungen oder Veränderungen, in dieses System müssten konsequenterweise unterbunden werden.

Das Problem: Eine automatische Abspeicherung und der Zugang zu privaten E-Mails von Mitarbeitern könnte das Postgeheimnis, welches als Grundrecht im Artikel 10 des Grundgesetzes verankert wurde, verletzen. E-Mails gehören per Definition zu der Kategorie „Brief“ und unterliegen diesem Grundrecht. Daher kann eine automatisierte E-Mail-Sicherungsmaßnahme in einem Unternehmen nur durch eine vertragliche Vereinbarung mit den Mitarbeitern oder mit der Zustimmung eines vertretungsberechtigten Betriebsrates erlaubt werden. Eine andere Möglichkeit ist die Durchsetzung eines allgemeinen Verbots privater E-Mail-Kommunikation von Seiten der Geschäftsleitung.

Literatur[Bearbeiten]

  • IT-Management. „Deutsche Unternehmen verwalten ihre E-Mails nur halbherzig“. In: Computerwoche, 19. Februar 2008
  • Arno Burger: Pocket Business: Die E-Mail-Flut eindämmen: Betriebliche Information effizient organisieren. Cornelsen Verlag
  • M. Gantner et al.: E-Mail-Management. Systeme für Verwaltung, Archivierung und Response Management. Oxygon, München 2008, ISBN 978-3-937818-29-0, 495 Seiten.
  • Marktübersicht E-Mail-Archivsysteme: Hersteller und Produkte. VOI Verband Organisations- u. Informationssysteme e. V., 2009, ISBN 978-3-932898-19-8

Weblinks[Bearbeiten]

Einzelnachweise[Bearbeiten]

  1. Archisoft vom SIT
  2. M. Gantner et al.: E-Mail-Management. Systeme für Verwaltung, Archivierung und Response Management. Oxygon, München 2008, ISBN 978-3-937818-29-0, 495 Seiten.
  3. Markterhebung E-Mail-Archivierungslösungen für den deutschsprachigen Raum SofTrust Studie Juni 2006, Seite 11 ff