Wenn das Finanzamt kommt …

17.11.2006
Von Michael Flegel 
GDPdU und SOX verlangen die korrekte Archivierung von betriebsrelevanten E-Mails.

Vviele Betriebe behandeln E-Mail-Archivierung noch recht stiefmütterlich - obwohl sie seit 2002 dazu verpflichtet sind, den Finanzbehörden die steuerrelevante elektronische Post bereitzustellen. Darüber hinaus produziert die Suche nach einer wichtigen Mail kaum kalkulierbare Kosten. Überlastete E-Mail-Systeme behindern die tägliche Arbeit und führen zu hohen Ausgaben für Speicherplatz und Administration. Backup und Recovery benötigen zudem untragbar viele Stunden.

Best Practice

Fünf Regeln helfen im Umgang mit E-Mail-Archivierung:

E-Mail-Archivierung muss sein! Daran führt kein Weg vorbei.

Das E-Mail-System ist kein Ersatz für die Dateiablage.

Für den Umgang mit E-Mails sind klare Regeln notwendig.

Die E-Mail-Archivierung ist in das ECM-Gesamtkonzept zu integrieren.

Keine stillschweigende Duldung von privaten E-Mails!

Ein "E-Mail-Gesetz" als solches gibt es in Deutschland nicht. Doch wurden durch die Schuldrechts- und Zivilrechtsreform Anfang 2002, aufgrund von Änderungen des Signatur- und des Umsatzsteuergesetzes sowie der Abgabenordnung (AO), vor allem aber dank der GDPdU (Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen) rechtlich verbindliche Rahmenbedingungen für die Archivierung von E-Mails geschaffen. Steuerlich relevanter elektronischer Schriftverkehr muss wie ein Papierdokument in der Regel zwischen sechs und zehn Jahren aufbewahrt sowie prüfbar bereitgestellt werden, die Daten sind lückenlos nachzuweisen.

Mails durch Links ersetzen

Gemäß Handelsgesetzbuch (HGB) und Abgabenordnung muss die Speicherung von Dokumenten in herkömmlichen Papierarchiven und in elektronischen Systemen einer Reihe von Anforderungen genügen: Ordnungsmäßigkeit, Vollständigkeit, Sicherheit des Gesamtverfahrens, Schutz vor Veränderung und Verfälschung, Sicherung vor Verlust, Nutzung nur durch Berechtigte, Einhaltung der Aufbewahrungsfristen, Dokumentation des Verfahrens, Nachvollziehbarkeit und Prüfbarkeit.

Die Abgabenordnung schreibt nach Paragraf 146 Abs. 5 Satz 2 und 3 AO (Ordnungsvorschriften für die Buchführung und für Aufzeichnungen) vor, dass die Dokumente auf den Datenträgern während der Dauer der Aufbewahrungsfrist jederzeit verfügbar sind und unverzüglich lesbar gemacht werden können. Im E-Mail-Archiv lässt sich das umsetzen, indem die archivierten E-Mails in der Mailbox des Benutzers durch einen Link ersetzt werden, dessen Anklicken die E-Mail in der ursprünglichen Mailbox rekonstruiert. Die Original-Mail bleibt dabei unveränderbar im Archiv. Für Finanzprüfer sollte zusätzlich eine "Prüfer-Mailbox" eingerichtet werden, die den direkten Zugriff auf alle relevanten E-Mails des gefragten Zeitraums ermöglicht.

Ist ein deutsches Unternehmen an der amerikanischen Börse gelistet oder hat es in den USA eine Niederlassung, gelten zusätzlich die dortigen Richtlinien. Der Sarbanes-Oxley Act (SOX) von 2002 schreibt unter anderem vor, alle finanzrelevanten E-Mails revisionssicher zu archivieren. Praktisch bedeutet der SOX, dass alle E-Mails vor der Zustellung an den Empfänger archiviert werden müssten. Technisch ist das relativ problemlos: Zum Beispiel wird die Journaling-Mailbox im Exchange- beziehungsweise Domino-Server aktiviert und archiviert. Doch aus Gründen des Datenschutzes beziehungsweise des Telekommunikationsgesetzes ist diese Vorgehensweise in Deutschland bedenklich, da private Mails mitarchiviert werden.

Geld- und Freiheitsstrafen drohen

Schafft ein Unternehmer Handelsbücher oder sonstige Unterlagen vor Ablauf der gesetzlichen Aufbewahrungsfristen beiseite oder zerstört er diese, muss er mit einer Geldstrafe oder mit einer Freiheitsstrafe bis zu zwei Jahren rechnen. Das gilt ebenso, wenn er die geforderten E-Mails nicht vorlegen kann. Gemäß Steuerrecht macht sich dieser Unternehmer auch der Steuerhinterziehung schuldig, was mit einer Freiheitsstrafe bis zu fünf Jahren geahndet werden kann. Bei fahrlässiger Handlungsweise müssen sogar IT-Leiter mit rechtlichen Konsequenzen, mindestens einer Abmahnung oder gar einer Kündigung rechnen.

Welche E-Mail-Mengen Tag für Tag bewältigt werden müssen, zeigt das Beispiel eines mittelständischen Unternehmens in Deutschland: Für 800 Mitarbeiter sind insgesamt 650 Mailboxen eingerichtet. Täglich treffen zirka 10 000 Mails ein. Selbst wenn sie nach Relevanz gefiltert werden, verbleiben 6000 Mails, die archiviert werden müssen.

Die Datenflut verführt zu einem unvorsichtigen Umgang der Anwender mit den eingehenden Mails. Daher müssen sie mit Hilfe von E-Mail-Policies sensibilisiert werden. Dazu gehört etwa das Aktivieren des Abwesenheitsagenten während des Urlaubs. Empfehlenswert ist die Verabschiedung einer Betriebsvereinbarung zur Nutzung privater E-Mails. Außerdem sollten die Mitarbeiter eine Belehrung über die Archivierung, Filterung und automatisierte Virenprüfung aller E-Mails erhalten sowie unterzeichnen.

Unabhängig davon, ob ein Unternehmen private Mails gestattet oder nicht - eine flächendeckende Kontrolle der Mails ist unzulässig. Eine Kompromisslösung ist die Einrichtung eines Ordners für persönliche Mails. Der Anwender ist dann verpflichtet, persönliche Mails sofort aus dem Posteingang in den Privat-Ordner zu verschieben. Ein Restrisiko bleibt, weil mutwilliges oder fahrlässiges Verschieben einer geschäftsrelevanten Mail in den Privatordner beziehungsweise das Löschen der Mail vor der Archivierung des Posteingangs nicht ausgeschlossen werden kann.

Die Archivierungsmethoden

Zur automatischen Archivierung stehen drei Standardmöglichkeiten zur Verfügung:

1. Die zeitgesteuerte Archivierung:

Hier werden alle Mails nach einer bestimmten Zeitspanne in definierten Ordnern archiviert. Diese Variante ist schnell implementiert und sorgt für eine kontinuierliche Entlastung des Mail-Servers. Eine Variante ist die regelbasierte Archivierung, mit der E-Mails nur dann archiviert werden, wenn sie auch in einem zusätzlichen Ordner gespeichert sind. Sie setzt voraus, dass der Empfänger die E-Mails in den zusätzlichen Ordner verschiebt.

2. Die direkte Postfacharchivierung:

Dabei werden alle E-Mails sofort nach dem Eintreffen archiviert - wahlweise auch die privaten. Aus Datenschutzgründen ist diese Methode hauptsächlich für Funktionspostfächer wie info@ unternehmen.de geeignet. Der Archiv-Server muss hochverfügbar sein, denn die Benutzer greifen direkt auf ihn zu.

3. Archivierung nach Erreichen von Speichergrenzwerten:

Diese Methode eignet sich speziell für Exchange-Server. Hier bietet sich beispielsweise bei einer Mailbox-Größe von 100 MB ein oberes Limit von 90 und ein unteres von 60 Prozent an. Ist der Maximalwert erreicht, archiviert das System automatisch - so lange, bis der untere Grenzwert unterschritten ist.

Eine Sondervariante betrifft die Aktivierung der Journal-Archivierung im Exchange- beziehungsweise Domino-Server. Dabei wird von jeder ein- und ausgehenden E-Mail eine Kopie erzeugt und in einem definierten Postfach gespeichert.

Verfügbarkeit ist wichtig

Die Verfügbarkeitsanforderungen des aktiven Archivierungssystems ergeben sich aus dem Zeitpunkt der Archivierung. Je kürzer der Zeitraum zwischen Eintreffen und Archivierung, desto wahrscheinlicher ist ein Zugriff durch die Benutzer. Dazu muss das System allerdings entsprechend verfügbar sein.

Um die Server-Verfügbarkeit zu erhöhen, empfiehlt sich ein Aktiv-Passiv-Cluster. Dabei ist immer ein Server aktiv und erledigt Archivierung beziehungsweise Wiederherstellung der E-Mails. Fällt er aus, wird der passive Knoten aktiv. Eine Alternative ist die Konfiguration mit je einem Archiv- und Wiederherstellungs-Server, der die Anfragen der Clients beantwortet und dem Benutzer die E-Mails liefert. Ist der Wiederherstellungs-Server nicht erreichbar, springt der Archivierungs-Server ein.

Für das Betriebssystem und die Anwendung des Archivsystems eignen sich Raid-5-Festplatten sowie redundante Netzteile und Lüfter. Für einen ungehinderten Arbeitsablauf muss das Speichersystem sicher gegen Datenverlust ausgelegt sein. Idealerweise befindet sich je ein SAN (Storage Area Network) in zwei räumlich voneinander getrennten Rechenzentren. Optische Speichersysteme und Festplattensysteme eignen sich gut für die Langzeitarchivierung. Im Laufe der Zeit sind die Speichermedien und Lesegeräte regelmäßig auf Überalterung zu überprüfen. Gedoppelte Kommunikationsstrecken und SAN-Komponenten fangen Störungsfälle ab.

Keine Insellösungen

E-Mail-Archivierung betrifft jedes Unternehmen. Aber E-Mails sind unter allen steuerrelevanten Daten nur eine Teilmenge. Deshalb sollte die E-Mail-Archivierung nicht als Insellösung, sondern als erster Teil beim Aufbau eines unternehmensweiten Dokumenten-Managements betrachtet werden. (qua)