Keine Angst vor Compliance

Chaos bei der Ablage wichtiger Informationen, rechtliche Anforderungen und zunehmende Belastung der Infrastruktur sind die wichtigsten Triebfedern des Marktes für E-Mail Management und -Archivierung. Gleichzeitig wird das Angebot an E-Mail-Archiv- und -Management-Systemen immer vielfältiger und damit undurchsichtiger. Ein Überblick über die wichtigsten Anforderungen und Lösungsansätze tut not.

Gesetzliche Anforderungen sind begrenzt

Häufig werden gesetzliche Anforderungen als Grund für die E-Mail-Archivierung angeführt. Doch bei genauerem Hinsehen zeigt sich, dass die rechtlichen Vorschriften begrenzt sind.

• Das HGB (Handelsgesetzbuch) schreibt beispielsweise keine umfassende Archivierungspflicht für E-Mails vor. Es verlangt sehr wohl die ordnungsgemäße, unveränderbare Aufbewahrung von Mail-Inhalten, die als Handelsbrief gelten und Forderungen oder Verbindlichkeiten begründen können. Allerdings ist dafür keine Formvorschrift definiert - eine papiergebundene Aufbewahrung des Ausdrucks wäre rein handelsrechtlich ausreichend.

• Steuerrechtlich betrachtet gibt es jedoch Archivierungsanforderungen, die aus der geänderten Abgabenordnung (Paragraf 147 Abgabenordnung) und den Grundsätzen der Prüfung digitaler Unterlagen (GDPdU) abzuleiten sind. Darin wird explizit eine elektronische Aufbewahrung für E-Mails gefordert, die steuerrechtlich relevant sind und deren Inhalt elektronisch in weiterführende DV-Verarbeitungen einfließen. In der Regel ist davon jedoch nur ein geringer Anteil aller E-Mails im Unternehmen betroffen. Eine Verpflichtung zur vollständigen E-Mail-Archivierung sehen weder GDPdU noch die Grundsätze ordnungsgemäßer DV-gestützter Buchführungssysteme (GoBS) vor.

• Für Unternehmen, die an US-amerikanischen Börsen notiert sind, kann sich aus dem Sarbanes Oxley Act (SOX) die Notwendigkeit ergeben, alle E-Mails bestimmter Personenkreise - insbesondere des Managements - elektronisch aufzubewahren. Die SOX-Bestimmungen erstrecken sich in einem solchen Fall auch auf deutsche Tochtergesellschaften. Eine Verpflichtung zur vollständigen E-Mail-Archivierung ist in Deutschland also eher die Ausnahme.

In vielen Fällen ist es daher pures Eigeninteresse, eine Mail zu archivieren. Die Aufbewahrung der schriftlichen Ablehnung einer Auftragsbestätigung, kann zum Beispiel zu Dokumentationszwecken nützlich sein, falls die andere Partei Gegenteiliges behauptet. Archivieren ohne gesetzliche Verpflichtung kann also immer dann sinnvoll sein, wenn man bestimmte, per E-Mail kommunizierte Sachverhalte dokumentieren oder beweisen möchte. Bei der Mail-Archivierung muss in der Regel das Unternehmen selbst entscheiden, welche Unterlagen über welchen Zeitraum aufbewahrt werden müssen. Dies betrifft nicht nur E-Mails, sondern auch Papierdokumente oder andere Formen aufbewahrungspflichtiger Informationen.

Was Anwender wollen: Speicherbedarfs begrenzen

Ein wesentlicher Antreiber zur E-Mail-Archivierung ist die IT. Die IT-Mitarbeiter haben mit den wachsenden Datenbanken von Mailsystemen zu kämpfen. Die Datenbank-Größe kann im Extremfall dazu führen, dass sie nicht mehr im zugesagten Zeitfenster (etwa über das Wochenende) konsistent gesichert oder wiederhergestellt werden können. Zudem erzeugen Anwender oft lokale persönliche Mail-Archiv-Dateien. Diese entlasten zwar den teuren, zentralen Mailsystem-Speicher, sind dafür aber schwieriger zu sichern, weil jeder Benutzer eigene Vorstellungen von Ordnung und Sicherheit hat.

Eine systemgetriebene Mail-Archivierung zur Entlastung von Mail-Datenbanken kann die Administration erleichtern und Benutzern eine quasi "unlimitierte Mail-Box" verschaffen. Zwangsläufig stellt sich aber auch die Frage nach dem Umgang mit den so entsorgten E-Mail-Daten. Das immer größer und teurer werdende Mail-Archiv muss irgendwann ebenfalls wieder bereinigt werden.

Auskunftsfähigkeit durch Vollständigkeit

Viele Unternehmen stehen vor dem Problem, dass Betriebsvorgänge aufgrund fehlender Unterlagen - gerade in Form von Mail-Kommunikation - nicht nachvollziehbar sind oder teilweise erheblichen Mehraufwand verursachen. Eine wichtige per Mail versandte Absprache abwesenden Vertriebskollegen ist aufgrund individueller Ablagesysteme (Papier-, Dateisystem-, Mailsystemordner) nicht zeitnah auffindbar. Idealerweise sollte hier den Mitarbeitern eine zentrale strukturierte elektronische Ablage als Kundenordner - auch für solche E-Mails - zur Verfügung gestellt werden. Der zuverlässige Informationszugang ist ein weiterer wichtiger Wunsch von Anwenderunternehmen an ihr E-Mail-Archiv.

Lösungansatz: Anwender- oder systemgetrieben?

Grundsätzlich gibt es zwei unterschiedliche Herangehensweisen.

• Der anwendergetrieben Lösungsansatz bedeutet, dass der Benutzer je nach Situation entscheidet, welche E-Mail er in welche Archive (Aktenstrukturen, Bereichsarchive, etc.) mit welchen Indexwerten ablegt. Das Mail-Archivsystem kann ihn hierbei unterstützen, etwa durch Vorbelegung der Indexfelder mit Mail-Eigenschaften.

• Die systemgetriebene Lösung archiviert, ohne dass der Anwender eingreift. Die Ablage verläuft regelbasierend und automatisch. Eine Variante kann eine Journal-Archivierung sein, die ohne Ausnahme alle Nicht-SPAM-Mails archiviert - auch die, die aus steuerrechtlicher Sicht gar nicht aufbewahrungspflichtig oder aufbewahrungswürdig sind.

Anwender- und systemgetriebene Mail-Archivierung decken unterschiedliche Anforderungen ab und ergänzen sich daher häufig in der Praxis.

Welche Speicherformate gibt es?

Es gibt keinen generellen Format-Standard zur Speicherung oder einen rechtlich begründeten Zwang zur Konvertierung von E-Mails vor der Archivierung. Jeder Mail-Client stellt den Inhalt einer E-Mail unterschiedlich formatiert dar. So verliert eine in Lotus Notes erzeugte und in Microsoft Outlook angezeigte Mail (oder umgekehrt) teilweise Formatierungen. Relevant ist lediglich, dass die GdPDU verlangt, alle steuerrelevanten Mails (Text und Anhänge) im Originalformat zu speichern. Außerdem sollten fachliche und funktionale Rahmenbedingungen beispielsweise eine Weiterbearbeitung von Anhängen erlauben.

Eine Konvertierung in ein einheitliches Format kann manchmal sinnvoll sein, ist in technisch Hinsicht aber komplex. Als Grundregel gilt: Die Formate TIFF, PDF beziehungsweise PDF/A sind geeignet für Dokumente, die alle relevanten Informationen in der Druckansicht offenbaren. Für andere Dokumente und Unterlagen ist abzuwägen, ob nicht andere Formate besser geeignet sind.

Stolpersteine sind auch E-Mails oder Anhänge mit einer qualifizierten elektronischen Signatur wie beispielsweise bei einem elektronischen Rechnungsaustausch. Neben der Speicherung im Originalformat inklusive Signatur sollte das Mail-Archiv zusätzlich die Speicherung von Prüfprotokollen als auch deren Prüfung - insbesondere bei Einsatz einer systemgetriebener Archivierung - unterstützen.

Die unterschiedlichen Systemkonzepte und -funktionen

Auf dem Markt werden derzeit Lösungen in unterschiedlichen Produktkategorien angeboten:

• Mail-Appliance sind vorkonfigurierte Lösungen inklusive Hardware-Komponenten mit Standard-Funktionalität. Ihr Schwerpunkt liegt auf einer systemgetriebenen Mail-Archivierung.

• E-Mail-Archive sind Softwarelösung ohne vorkonfigurierte Hardware-Komponenten, die sich auf die Ablage von elektronischen Nachrichten konzentrieren.

• E-Mail-Archiv mit optionalen DMS-Funktionen sind Lösung zur E-Mail-Archivierung. Sie lassen sich um herstellereigene Komponenten und Funktionen erweitern, die üblicherweise Dokumenten Management Systems (DMS) bieten. Dazu zählen die allgemeinen Dokumentenverwaltung, Aktenverwaltung und Postkorbfunktionen.

Entscheidungsgrundlage für ein Systemkonzept sind immer die unternehmensspezifischen fachlichen und funktionalen Anforderungen zur Mail-Archivierung. Für eine vollumfängliche Archivierung aller Mails in Kopie aus Compliance- oder Risikogründen ergeben sich mehrere Optionen. Wird bereits eine DMS-Lösung im Unternehmen eingesetzt, könnte dort eine Erweiterung um eine Mail-Archivierung in Frage kommen. Alternativ könnte ein rein auf die Mail-Archivierung ausgerichtetes Produkt bessere Funktionalität zu niedrigeren Kosten bieten.

Liegt der Anwendungsschwerpunkt jedoch auf einer Anwender-getriebenen individuellen Archivierung von Mails im Kontext von Geschäftprozessen, hat eine rein auf Mail-Archivierung ausgerichtete Lösung Nachteile, da neben E-Mails auch andere Dokumente in einer Kunden-, Vertrags- oder Projektakte gespeichert werden sollen. Der Fokus möglicher Lösungen würde hier eher auf mit DMS-Funktionen erweiterbaren Produkten liegen.

Welcher Komfort ist nötig?

Es gibt keinen Standard dafür, wie eine E-Mail in ein Mail-Archiv abgelegt oder in eine elektronische Akte gespeichert werden soll. Die angebotenen Lösungen unterscheiden sich wesentlich in Anwendungsfunktionen wie zum Beispiel der Kennzeichnung von bereits archivierten E-Mails im Mail-Client oder Möglichkeiten der Widerherstellung archivierter E-Mails. Eine Unterstützung mobiler Benutzer ist ebenfalls nicht selbstverständlich.

Bei der Mail-Ablage sollte der logische Zusammenhang zwischen Mail-Body und Anhängen gewahrt bleiben können (Beispiel: Rechnung und Aufwandübersicht als getrennte Anhänge in einer Mail). Nicht alle Mail-Archivlösungen können das ohne weiteres.

Klare Regeln für den Geschäftsverkehr

Die E-Mail-Kommunikation ist beliebt, weil sie schnell und einfach ist. Das öffnet der Manipulation und Sicherheitsrisiken Tür und Tor. Sensible Unternehmensdaten können - absichtlich oder versehentlich - verschickt sowie geschäftskritische Mails gelöscht oder unauffindbar abgelegt werden. In der Praxis hat sich gezeigt, dass vielen Firmen den Umgang und die Nutzung von E-Mails nicht oder unzureichend regeln. Da Mitarbeiter mehr und mehr via E-Mail kommunizieren liegen manche Dokumente etwa für Vertragsabschlüsse sowie Absprachen im Projektgeschäft nur als elektronische Mail vor. Den Mitarbeitern sollte daher die Wichtigkeit der Aufbewahrung von E-Mails, möglichst in einer strukturierten Ablage, deutlich gemacht werden.

Fordert das Unternehmen eine solche Sorgfalt im Umgang mit Mails von den Mitarbeitern ein, muss es im Gegenzug auch die entsprechende technische Infrastruktur etwa in Form eines Mail-Archivs oder eines Dokumenten-Management-Systems (DMS) - das neben E-Mails auch andere Dokumente wie Briefe, Faxe, Memos verwalten kann - bereitstellen.

Private E-Mail: Im Zweifel verbieten

Ein weiterer entscheidender Punkt ist die Nutzung der Firmen-Mail-Adresse für private Kommunikation. Ein SPAM-Filter kann private Mails zurückhalten und so das im Telemediengesetz geregelte Fernmeldegeheimnis verletzen, weil dem Empfänger Informationen vorenthalten werden. Eine Journal-Archivierung, die sämtlichen Mail-Verkehr automatisch speichert, ist ohne Erlaubnis durch den Mitarbeiter nicht möglich. Ein Mail-Archiv ist nicht in Lage, Mails automatisch in dienstlich und privat zu qualifizieren.

Die Empfehlung lautet daher: Unterbinden sie die privaten Nutzung mit Firmen-Mailadresse und erlauben sie den Mitarbeitern im Gegenzug, ihren privaten Account etwa via Browser-Zugang zu nutzen. Alternativ ist eine Betriebsvereinbarung möglich, die dem Unternehmen alles erlaubt, was im Falle einer Mail-Recherche notwendig ist.

Fazit: Ein Archiv löst nicht alle Compliance-Probleme

Wer den Einsatz einer E-Mail-Archivierungs-Lösung plant, sollte sich durch vermeintliche Rechtsanforderungen verunsichern lassen. Die Compliance-Hinweise der Anbieter entspringen oft dem wirtschaftlichen Eigeninteresse. Anwender sollten zunächst ihre individuelle Rechtslage und Verpflichtungen klären, bevor sie unnötig in Compliance-Lösungen investieren.

Eine reine Mail-Archivierung löst kann indes nicht alle Compliance-Probleme lösen, sondern kann gegebenenfalls unterstützen. Der Einsatz eines Mail-Archivs zur Entlastung der Mail-Datenbank kann sinnvoll sein, bedarf aber immer einer wirtschaftlichen Betrachtung der Gesamtkosten für den dauerhaften Betrieb. Die am Markt zahlreich angebotenen E-Mail-Archivierungslösungen weisen gravierende Unterschiede bezüglich Funktionalität, Architektur, Zukunftsfähigkeit und Integrationsfähigkeit in führende Anwendungssysteme auf. Dies gilt insbesondere für die Funktionen auf Anwenderseite und der Bedienbarkeit. Eine systemgetriebene, also automatische, Archivierung benötigt immer klare Regeln im Umgang mit privaten E-Mails.