Juristen und Rechtsberater predigen es seit Jahren: "E-Mail-Archivierung ist Pflicht für deutsche Unternehmen". Dennoch hält sich vor allem im Mittelstand kaum ein Unternehmen an die Vorgaben. Wissenslücken bestehen laut einer Studie des Pestel-Instituts aber auch bei den Verantwortlichen in großen Unternehmen.
Der rechtliche Rahmen im Überblick
Fatal: Die Mehrzahl der Firmen archiviert zwar E-Mails, jedoch nicht in der geforderten rechtskonformen Weise. Dabei muss ein IT-Verantwortlicher nicht unbedingt zum Juristen mutieren, um diesen Anforderungen gerecht zu werden. Es genügt, wenn er sich mit den wichtigsten Vorschriften befasst und diese bei der Archivierung berücksichtigt. Ein aktuelles Whitepaper, das der kalifornische Anbieter für E-Mail- und Web-Sicherheit Barracuda Networks verfasst hat, bietet einen Überblick über die rechtlichen Rahmenbedingungen. Für IT-Verantwortliche fasst das Dokument kurz und knapp zusammen, welche Probleme einerseits der rapide Zuwachs an zu speichernden E-Mails bei der Archivierung bereitet, andererseits benennt es den Rechtsrahmen wie: Die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU), die Abgabenordnung (AO) und das Handelsgesetzbuch (HGB). Ebenso die teilweise auch in Deutschland gültigen Vorschriften des US-amerikanischen Sarbanes-Oxley Act (SOX), die Basel-II-Richtlinien sowie den Gramm-Leach-Bliley Act (GLBA).
Fragen über Fragen
In welcher Form müssen Unterlagen den Steuerbehörden zur Verfügung gestellt werden? Wie lange darf das Auffinden von Informationen dauern? Welche eingehenden, welche ausgehenden Mails sind zu archivieren? Was bedeutet "unveränderte und sichere Aufbewahrung"? Welche Formate sind zu wählen? Diese und weitere Fragen tauchen bei jedem IT-Verantwortlichen auf, sobald er sich mit dem Gesetzesrahmen befasst. Angesichts der rechtlichen Komplexität sind viele Anwender verunsichert. Eine in dem Whitepaper zitierte Studie von BearingPoint kommt zu dem Schluss, dass es die Mehrzahl der Unternehmen nicht oder nur unzureichend schafft, die Informationen vor Finanz- oder Gerichtsbehörden rechtzeitig in der gewünschten Form vorzulegen oder dies nur mit erheblichem Aufwand bewerkstelligen kann. Der Gesetzgeber sieht das inzwischen nicht mehr als Kavaliersdelikt an, sondern verhängt Geldbußen. In Gerichtsverfahren können sich fehlende Informationen für ein Unternehmen außerdem nachteilig auf das Urteil auswirken.
Weiterführende Informationen:
-
Das Whitepaper mit Link zu weiteren Studien erhalten Sie hier auf der Barracuda-Website.
-
Ein Computerwoche-Beitrag befasst sich mit dem neuen Datenschutzrecht und den Aufgaben für einen CIO.
-
Tipps zur richtigen E-Mailnutzung bei Computerwoche-Online.