Die E-Mail ist als Kommunikationsmittel omnipräsent und wird diese Rolle sicher auch weiterhin noch einige Zeit innehaben. Den Anwendern im privaten Umfeld wird es häufig erst bewusst, wie wichtig diese elektronischen Nachrichten bereits geworden sind, wenn sie beispielsweise zwecks Reklamation verzweifelt die Rechnung suchen, die doch "irgendwann per E-Mail gekommen ist".
Das ein derartige Situation im Geschäftsalltag unhaltbar ist, versteht sich eigentlich von selbst. Wer sich aber mit kleineren und mittelgroßen Betrieben in Deutschland unterhält, bekommt oft noch erstaunliche Aussagen zu hören, wenn es um die Archivierung der E-Mail geht. Nicht selten sind Geschäftsführer und Inhaber der Meinung, es sei einfach zu aufwändig (oder auch kostenintensiv) die E-Mail-Nachrichten regelmäßig und komplett zu sichern. Zudem herrscht in einigen Fällen nach wie vor die Meinung, dass es doch nicht so wichtig sei, die elektronischen Nachrichten zu sichern, man habe ja seine Unterlagen auf Papier.
Viele Unternehmen aber auch kleine Bürogemeinschaften und "Einzelkämpfer" machen sich dabei nicht klar, dass es Archivierungspflichten gibt, die sich auch auf E-Mails beziehen. Das gilt unter anderem dann, wenn diese Nachrichten aufbewahrungspflichtige Dokumente wie etwa Vertragsangebote oder Aufträge beinhalten. Wir geben in diesem Beitrag einen Überblick über die Möglichkeiten der E-Mail-Archivierung in Hinblick auf Compliance und Sicherheit. Dabei können wir hier ausdrücklich keine rechtliche Beratung bieten und empfehlen deshalb darüber hinaus Rat einzuholen, wenn es darum geht, die eigene E-Mail-Archivierung rechtssicher und konform zu den aktuellen Gesetzen zu gestalten.
Anforderungen und Bestimmungen
Wer sich auf die Suche nach den entsprechenden Anforderungen für eine revisionssichere E-Mail-Archivierung macht, stößt dabei immer wieder auf die grundlegenden Ordnungsvorschriften für die Buchführung und für Aufzeichnungen. Grundsätzlich müssen die Verantwortlichen dabei die folgenden Vorgaben immer im Blick behalten und auf deren Einhaltung achten:
Vollständigkeit,
Richtigkeit,
Zeitgerechtheit,
Unveränderbarkeit,
Ordnung und
Nachvollziehbarkeit
(Quelle: Rechtsichere E-Mail-Archivierung, MailStore Software)
Sollen diese sehr allgemeinen Anforderungen auf die elektronischen Daten einer E-Mail übertragen werden, so stellen die Verantwortlichen oftmals fest, dass dies nicht so einfach ist. Zumal es leider keine standardisierte Vorgehensweise oder gar eine Art Patentrezept gibt, das gleichermaßen für alle Branchen und Anwendungsfälle gelten würde. So müssen Geschäftsführer, CIOs oder IT-Verantwortliche herausfinden, welche der vielen verschiedenen Compliance-Anforderungen für ihr Unternehmen, ihre IT und ihre E-Mail-Lösung und -Archivierung zutrifft. Die Gesellschaft für Informatik bietet auf ihrer Web-Seite im sogenannten IT-Lexikon einen guten allgemeinen Überblick zum Thema IT-Compliance, der schon einmal sehr hilfreich sein kann.
Was das insbesondere für die E-Mail-Archivierung bedeutet, hat die Firma Haufe, deren Experten sich detailliert mit dem Themenkomplex Compliance befassen, zusammengefasst: Archivierungspflichten erfassen auch sämtliche E-Mails, die aufbewahrungspflichtige Dokumente enthalten, etwa Vertragsangebote, Aufträge und alle sonstigen abgesendeten und erhaltenen Handelsbriefe (§§238 Abs.2, 257 HGB) sowie alle steuerrechtlich relevanten Dokumente (§147 AO) wie etwa Jahresabschlüsse oder Bilanzen. Auch alle Anlagen ("Attachments") zu den E-Mails sind aufbewahrungspflichtig, wenn die E-Mails nicht ohne die Anlagen verständlich sind (§ 238 Abs.2 HGB).
E-Mail: Wie und wo archivieren?
Für die Archivierung der E-Mail bedeutet das zunächst auch eine Entscheidung darüber, ob sie durch einen zentralen Server oder direkt von der Client-Seite her gesteuert werden soll. Obliegt die Steuerung direkt dem Mail-Server, wie beispielsweise einer Exchange-Lösung oder einem anderen Mail-Server wie MailStore, so werden alle ein- und ausgehenden Nachrichten zentral erfasst. Sie können dann direkt von der Server-Software verwaltet und archiviert werden.
Die Fachleute von Haufe weisen allerdings darauf hin, dass diese Art der Archivierung aber auch zu Problemen führen kann, wenn in der Firma die private Nutzung der betrieblichen E-Mail erlaubt ist. Dann werden nämlich unter Umständen auch die privaten Nachrichten der Mitarbeiter archiviert, was unter Unterständen eine Verletzung des Fernmeldegeheimnisses darstellen kann (mehr dazu auch in den Ratschlägen unseres Experten im nächsten Absatz).
Also doch lieber Archivierung und Sicherung direkt von den Client-Systemen aus steuern? Von einem solchen Ansatz, wie er wohl leider in vielen kleinen Unternehmen praktiziert wird, raten alle Experten einstimmig ab: Zu groß sei die Gefahr, dass nicht alle Nachrichten archiviert werden. Dabei ist es unerheblich, ob das Nichteinschließen von einzelnen oder mehreren Nachrichten in das Archiv versehentlich oder mit Vorsatz geschieht. Solche Installation könnten grundsätzlich nicht als zuverlässig eingestuft werden.
Merkmale, die der Server bieten sollte
Einige Merkmale, die Archivierungs-Server und -Lösungen dabei erfüllen sollten: Sie müssen unter anderem die vollständige Archivierung aller E-Mail-Nachrichten des Unternehmens garantieren können. So können die E-Mails noch vor der Zustellung an den Mitarbeiter archiviert werden, um so die Vollständigkeit zu garantieren. Dabei muss dann auch sichergestellt sein, dass diese archivierten Nachrichten, zu 100 Prozent und in jeder Hinsicht mit dem Original übereinstimmen. Bei einer solchen originalgetreuen Archivierung ist dann zudem garantiert, dass Nachrichten ohne Verlust direkt aus dem Archiv heraus wiederhergestellt werden können. Auch die Manipulationssicherheit der E-Mails im Archiv muss unbedingt sichergestellt sein.
Die Nachrichten müssen sicher verschlüsselt abgespeichert werden und ein direkter Zugriff der Clients auf diese Nachrichten sollte grundsätzlich nicht möglich sein. Einige Lösung bieten die Möglichkeit, dass auch berechtigte Personen nur über ein speziell gesichertes Portal auf die Nachrichten zugreifen können, was dann auch noch durch eine Forcierung des 4-Augen-Prinzips (Zugang nur dann, wenn sich zwei berechtigte Personen zugleich gegenüber dem System authentifizieren) verschärft werden kann.
Ebenso wichtig sind in diesem Zusammenhang die Aufbewahrungsfristen, die gewahrt werden müssen. So muss beispielsweise gewährleistet sein, dass kein Nutzer einfach Nachrichten aus dem Archiv löschen kann, solange er nicht die ausdrückliche Erlaubnis des Administrators dazu besitzt. Dabei müssen alle diese Vorgänge, alle Änderungen lückenlos und manipulationssicher vom Archivsystem protokolliert werden.
Das sagt der Experte:
Wir haben für diesen Beitrag auch mit Firmen gesprochen, die sich mit ihren Produkten und Dienstleistungen auf den Bereich E-Mail-Archivierung und rechtssichere Archivierung konzentrieren. Tim Berger, General Manager Business & Co-Founder bei der MailStore Software GmbH, gab uns einen Überblick darüber, was seine Firma unter dem Begriff E-Mail-Compliance versteht und wie dieser mit der Archivierung von E-Mail zusammenhängt: "Unter den Begriff Compliance fällt auch die E-Mail-Archivierung. Betriebliche und rechtliche Vorschriften zur Mindestaufbewahrungspflicht für archivierungspflichtige E-Mails machen eine Aufbewahrungsrichtlinie nötig."
Weiterhin betonte er, dass datenschutzrechtliche Aspekte unbedingt zu beachten sind. So empfiehlt er unter anderem, die private E-Mail-Nutzung zu untersagen oder aber die ausschließliche Nutzung externer E-Mail-Dienste vorzuschreiben: "Um juristisch auf der sicheren Seite zu sein, muss dies schriftlich fixiert, kontrolliert und konsequent durchgesetzt werden. Die schriftliche Fixierung kann beispielsweise in Richtlinien zur Nutzung der firmeneigenen IT-Infrastruktur, in einer Betriebsvereinbarung, einer Einverständniserklärung der Belegschaft oder im individuellen Anstellungsvertrag erfolgen."
On-Premise, managed oder Cloud?
Auch wenn es um die Archivierung und die damit verbundenen Probleme der Rechtssicherheit geht, fragen sich viele IT-Verantwortliche und Administratoren, ob es denn wirklich ein eigner E-Mail-Server "on-premise" sein muss. Schließlich bringt er einen gewissen Verwaltungsaufwand mit sich und erfordert zumeist auch Fachpersonal. Oder ist es mit Blick auf eine revisionssichere Mail-Archivierung nicht sinnvoller, auf einen Provider zurückzugreifen? Dort stehen in der Regel sowohl die nötigen technischen Ressourcen als auch das Fachpersonal bereit, um die entsprechenden Vorgaben zu erfüllen und einzuhalten.
Geht es um reine Cloud-Lösungen im Bereich der E-Mail-Archivierung, so kann sich die geforderte jederzeitige Verfügbarkeit der Mails als ein Problem erweisen. Falls es etwa auf Grund mangelnder Bandbreite oder schlechter Kommunikations-Infrastruktur - wie sie leider in einigen Teilen Deutschland nach wie vor Realität ist - Probleme mit der Erreichbarkeit der "Cloud" gibt, ist die "Rechtssicherheit" nicht mehr gegeben.
Das ist sicherlich ein Grund, warum eine "on-premise-Lösung" gerade im Bereich Archivierung nach wie vor so beliebt ist. Tim Berger dazu: "Wir stellen fest, dass viele KMUs für die E-Mail-Archivierung auf on-premise-Lösungen in der eigenen IT-Infrastruktur setzen. Darin sehen sie ein hohes Maß an Flexibilität, Unabhängigkeit und Transparenz in Sicherheitsfragen. Gleichzeitig verzeichnen wir aus dem Mittelstand eine gestiegene Nachfrage nach E-Mail-Archivierung als Managed Service."
Während das Anmieten von Mail-Fächern bei einem Provider sicher eine Lösung zur einfachen Bereitstellung einer E-Mail-Lösung ist, kommt unter Compliance-Gesichtspunkten natürlich nur ein Anbieter in Frage, der nicht nur "E-Mail as a Service", sondern auch die Archivierung nach den entsprechenden Compliance-Richtlinien mit entsprechenden SLAs (Service Level Agreements) als Lösung aus der Cloud zur Verfügung stellen kann. Große Provider wie die Telekom mit dem Managed E-Mail Archiving oder Lösungsanbieter wie Retarus mit dem Enterprise E-Mail-Archive bieten hier Komplettlösungen, die nach den entsprechenden Datenschutzrichtlinien in Deutschland und Europa betrieben werden.
Für Firmen, die eine sichere, stabile und möglichst redundante Verbindung zum Internet besitzen, und damit eher weniger mit dem Problem der Nichterreichbarkeit der Cloud zu kämpfen haben, ist das sicher eine gute Alternative. Können sie bei einer derartigen Lösung doch daraufsetzen, dass die Profis im Rechenzentrum des Anbieters für die Einhaltung der Compliance-Richtlinien ebenso wie für die Verfügbarkeit und Sicherheit der Archivierung sorgen.