Die Zahl der täglich versendeten geschäftsrelevanten E-Mails wächst stetig und löst mehr und mehr den Brief- oder Fax-Verkehr ab. Diese Entwicklung hat alle Branchen erfasst: Direktversicherer kommunizieren bei Schadensfällen mit ihren Kunden per elektronischer Post, Energieversorger erhalten auf diesem Weg von ihren Kunden Änderungswünsche zu Verträgen oder Ableseergebnisse zugeschickt, und auch Bestellungen in Internetshops werden per E-Mail angestoßen.
Stolpersteine bei der Mail-Archivierung
• Regeln zur individuellen Speicherung (was?, wie?);
• Speicherformate von Mails bzw. Anhängen (Original vs. Konvertierung);
• Behandlung von "Compound Mails" (Mail in Mail);
• Auflösung/Speicherung von Links in Mails (Dateien, URLs etc.);
• Auflösung von Zip-Anhängen;
• Übernahme/Migration persönliche Mailarchive;
• Umgang mit Spam/Viren;
• Klärung Umgang mit persönlichen Mails (Betriebsvereinbarung).
Hier lesen Sie …
Checkliste für die Produktauswahl
Anforderungen Ausprägung Mögliche Lösungsansätze
Reduzierung Speicherbedarf l Vollumfänglich (eingehende Mails) l Einführung einer verbindlichen Mail-Policy für User Mail-DB l Regelbasiert (Postfachgröße, Anhänge, l Mailsystem-basierte Verkleinerung von Postfächern Zeit etc.) l Serverbasierte Mail-Archivierung mit Löschen und Ersetzen mit Links l Komprimierung von Mails (inkl. Anhängen) etc.
Langfristige Aufbewahrung l Vollständig (alle ein-/ausgehenden Mails) l Serverbasierte Mail-Journal-Archivierung (Link oder Kopie) l Regelbasiert (Postfach, Inhalt, Alter etc.) l Serverbasierte selektive Mail-Archivierung mit Regelwerk l Individuell aus Kontext l Mail-Client-Integration in ECM l "Neutrales" Format l Server-/Client-seitige Konvertierung in PDF/TIFF l Automatische Klassifizierung l Erkennungs-/Klassifizierungs-Tool mit Weiterleitung
Compliance l Vollumfänglich l Serverbasiertes Kopieren aller ein- und ausgehenden Mails l Regelbasiert (Postfächer, User, etc.) (Journal) oder regelbasiert in ECM/RM-System l Integration in ECM-/RM-Lösung
Individuelle Speicherung l Direkt aus Mail-Client (Mail-Container) l Client-basierte Mail-Archivierung mit Optionen entsprechend l Getrennte Speicherung Text und Anhänge Anforderungen l Formatkonvertierung (PDF, TIFF) l Löschen Mail (ggf. Ersetzen durch Link)
Zugriff l Nur über Mailsystem l Standard Suchfunktion im Mail-Client (Mail-Indexwerte) l Neutral z.B. über Browser l Mail-Archiv-Client, ggf. Konvertierung in ein neutrales Format l Individuell (Kunden-, Projekt-, Vorgangsakte etc.) l ECM-Client, RM-Client mit Anzeige Mail-Formate l Offline (mobile Benutzer) l Replikation/Kopieren von archivierten Mails
Der elektronische Geschäftsverkehr hat nicht nur Vorteile für Anbieter und Kunden: Er belegt vor allem durch die Mail-Anhänge immer mehr Speicherplatz. Auch müssen Unternehmen Wege finden, wie sie ihren Mail-Verkehr fachlich organisieren und archivierungspflichtige beziehungsweise archivierungswürdige E-Mail-Vorgänge ordnungsgemäß speichern. Dies ruft die Hersteller auf den Plan: Sie bieten eine Vielzahl von Softwarelösungen an. Deren Funktionsumfang ist allerdings meist schwer zu durchschauen, da auf dem Markt kursierende Begriffe wie Mail-Archivierung, Mail-Management oder Mail-Monitoring nicht klar definiert sind. Zudem sieht die Praxis bisher meist so aus, dass Anwender einfach ihre vorhandenen Mail-Server als Ablagesystem nutzen.
Dadurch lässt sich häufig nicht einschätzen, welche Informationen in einer Mail in solchen Systemen schlummern und ob sie langfristig aufbewahrt werden müssen. Zudem sind der Zugriff auf die oft sensiblen Informationen und der Löschvorgang meist nicht ausreichend gesichert. Dabei gibt es in der Praxis eine Reihe rechtlicher Aspekte, die Unternehmen zu beachten haben. Abgesehen von Verträgen wie beispielsweise Kündigungen, Bürgschaften oder Mietverträge, die einer bestimmten Form bedürfen, gilt der Grundsatz: Tauschen Geschäftspartner Verträge, Bestellungen, Auftragsbestätigungen etc. per E-Mail aus, so sind sie als rechtlich relevante Erklärungen einzustufen. Dies kann auch dann gelten, wenn der Empfänger diese Erklärungen nie zu Gesicht bekommen hat.
Tragweite erkennen
Wer im Geschäftverkehr seine E-Mail-Adresse angibt, muss davon ausgehen, dass dieser Kommunikationsweg auch genutzt wird. Aus Sicht des Steuer- und Handelsrecht (Abgabenordnung, AO, und Handelsgesetzbuch, HGB) bedeutet dies, dass per Mail eingehende Handelsbriefe wie Rechnungen oder Bestellungen aufbewahrt werden müssen. Zusätzlich helfen Mail-Inhalte bei der Protokollierung von Prozessen und dienen als Nachweis geschäftlicher Vorgänge. Letzterer wird in Audit-Prozessen wie dem Sarbanes Oxley Act (SOX), den auch an der amerikanischen Börse gelistete deutsche Großunternehmen erfüllen müssen, immer mehr von Behörden und Prüfern verlangt. Ein schneller und vollständiger Zugriff auf die Korrespondenz zwischen dem Unternehmen und seinen öffentlichen Revisoren - auch E-Mails - muss immer möglich sein.
Bis auf Dokumente mit qualifizierter digitaler Signatur, wie beispielsweise vorsteuerabzugsfähige elektronische Eingangsrechnungen(§ 14 UStG), besteht für Unternehmen derzeit keine rechtliche Verpflichtung, diese E-Mails beziehungsweise deren Anhänge elektronisch zu archivieren. Setzen Anwender Mail-Archiv-Lösungen ein, so übernehmen diese die Umsetzung der gesetzlichen Vorschriften und stellen die Unveränderbarkeit beispielsweise mit "WORM"-Speichertechnik sicher (WORM= Write once, read many times). Zwar verwenden diese Produkte oft so etwas wie "Best Practices", wichtig ist aber, dass der Gesetzgeber oder regulatorische Institute hier bewusst Spielraum gelassen haben, um Weiterentwicklungen bei der Speichertechnik einzubeziehen.
Im Unternehmensalltag entstehen viele E-Mails oder Anhänge, die zwar nicht aufbewahrungspflichtig sind, aus Eigeninteresse und zum besseren zivilrechtlichen Schutz des Unternehmens aber aufbewahrt werden sollten. Oft sind im Streitfall ausgedruckte Mails die einzige Beweisquellen oder wichtige Indizien. Mit ihnen lassen sich beispielsweise in einem Prozess innerhalb einer vom Gericht gesetzten Frist vertragliche Absprachen beweisen. Dies können Protokolle von Projektmeetings, Verantwortlichkeitsverteilungen, Entwürfe, Terminverschiebungen, Änderungen des Lieferumfangs oder Ähnliches sein.
Beweiskraft von E-Mails
Allerdings besteht vor Gericht immer das Risiko, dass die Richtigkeit und Echtheit von E-Mails angezweifelt werden kann, wenn sich nicht klar nachweisen lässt, wer Zugriff auf sie hatte. Ein dokumentiertes Verfahren zum Nachweis einer sorgfältigen und unveränderbaren Speicherung hilft hier sicherlich, die Beweiskraft zu erhöhen. Trägt eine E-Mail allerdings eine elektronische Signatur entsprechend dem Signaturgesetz, dann ist sie als rechtsverbindliches Original einzustufen und besitzt die gleiche Beweiskraft wie ein unterschriebenes Papierdokument.
Um dies zu ermöglichen, muss das Dokument im Originalformat elektronisch gespeichert werden. Es reicht allerdings nicht aus, wenn Anwender einfach alle ihre E-Mails mit Hilfe eine rein zentral gesteuerte Mail-Archivierung auf andere Speicherbereiche verschieben. Vielmehr müssen die Mitarbeiter je nach Situation steuern können, welche E-Mails in ein kaufmännisch oder technisch strukturiertes Archiv abzulegen sind. Andernfalls geht das Unternehmen ein nicht zu unterschätzendes Risiko ein: Werden nämlich Dokumente nur in persönlichen E-Mail-Archiven oder in einem Dateisystem abgelegt, dann ist die Firma von der Sorgfalt der jeweiligen Mitarbeiter abhängig. Wichtige Informationen können beispielsweise durch versehentliches Löschen verloren gehen.
Rechtslage Datenschutz
Betreibt ein Arbeitgeber ein E-Mail-System, ist er rechtlich einem Provider gleichgestellt. Er muss dann die strengen Anforderungen des Datenschutzes (TKG, TDDSG) in Deutschland erfüllen und beachten, dass die Kommunikation grundsätzlich dem Fernmeldegeheimnis gemäß § 85 TKG unterliegt. Dadurch ist sowohl beim Verbot als auch bei der Erlaubnis der privaten Nutzung eine flächendeckende inhaltliche Kontrolle von privaten E-Mails unzulässig. Befinden sich in einem zentral gesteuerten E-Mail-Archiv private E-Mails, verstößt das vollständige Protokollieren und Indexieren gegen den persönlichen Datenschutz der Mitarbeiter.
In den meisten Unternehmen sind aber private E-Mails erlaubt oder werden trotz eines formellen Verbots geduldet. Dadurch geraten die geschäftlichen Interessen eines Unternehmens und der Datenschutz in Konflikt. Dies läuft in der Konsequenz darauf hinaus, dass private und geschäftliche E-Mails zu trennen sind. Damit sich Arbeitnehmer und Arbeitgeber über die Rechtslage im Klaren sind, müssten individualvertragliche Vereinbarungen mit dem Arbeitnehmer und Betriebsvereinbarungen abgeschlossen werden. In diesen sind Aspekte wie ein generelles Privatnutzungsverbot - gegebenenfalls mit Ausnahmen - , betriebliche Mail-Standards, Vertretungs- und Ausscheidungsregelungen, Ablagedefinitionen sowie Kontrollbefugnisse für die IT-Abteilung verbindlich zu regeln.
Produktvielfalt
Für die E-Mail-Verwaltung und -Archivierung können Unternehmen Systeme für ein Enterprise-Content-Management (ECM) nutzen. Diese warten mit unterschiedlichen Produktarchitekturen auf. So gibt es E-Mail-Software, die nur als Komponente des ECM-System erhältlich ist und sich nur mit diesem nutzen lässt. Andere Produkte sind Teil von Middleware-Angeboten und decken typischerweise nur eine zentrale gesteuerte E-Mail-Extraktion bis zum Punkt der physikalischen Speicherung ab - für die Langzeitarchivierung ist zusätzlich ein ECM-System nötig. Anbieter sind auch hier ECM-Hersteller, die keine eigene E-Mail-Archivierungskomponente entwickeln, sondern diese Funktionslücken über OEM-Abkommen schließen. Darüber hinaus finden sich auf dem Markt eigenständige, speziell für die E-Mail-Archivierung entwickelte Produkte. Sie ermöglichen eine zentralisierte server-basierende und regelgesteuerte Archivierung von E-Mail-Objekten, sind aber funktional typischerweise auf die reine Ablage der Inhalte beschränkt.
E-Mails stehen mit Kunden-, Projekt-, Vorgangs- und anderen elektronischen Aktensichten in einem sachlichen Zusammenhang. Besitzen sie keine steuerlich relevanten Inhalte, müssen sie weder archiviert noch für den Datenzugriff vorgehalten werden. Unternehmen, die spezielle Lösungen zur E-Mail-Archivierung oder zum E-Mail-Management einsetzen wollen, sollten dies nur im Rahmen eines Archivierungskonzepts tun und gegebenenfalls den Projektfokus erweitern.
Nicht zu kurz springen
Ein Lösungsansatz im E-Mail-Management, der nur E-Mail-Datenbanken entlasten soll, erleichtert zwar deren Administration, verschafft dem Benutzer eine quasi "unlimitierte Mailbox" und befreit ihn von Verwaltungsaufgaben. Dies löst aber nicht oder nur vordergründig das Problem der Strukturierung und echten Bereinigung der E-Mail-Daten. Zudem verfügen auch die aktuellen Versionen von Mail-Systemen über einige Mechanismen zur Optimierung des notwendigen Speicherbedarfs und der Lastverteilung bei höherer Nutzerzahl. Dazu zählen beispielsweise Single-Instance-Mechanismen bei der Speicherung von Mail-Anhängen - nicht jedes Unternehmen hat überquellende Mail-Datenbanken.
Das andere Extrem wäre ein ganzheitlicher Ansatz zur Verwaltung von Informationen. Hierzu müssten sich unterschiedliche Quellen und Formate (zum Beispiel die Projektakte zum Bau eines Kraftwerkes) verwenden lassen; außerdem wären Vorschriften und Kontrollmechanismen für die Geschäftsprozesse zu etablieren. Zudem müssten Schnittstellen zu anderen Anwendungssystemen, wie beispielsweise ECM- ERP- oder Records-Management-Lösungen, vorhanden sein. Zuvor müssen Unternehmen aber aus den funktional sehr unterschiedlichen Produkten am Markt eine passende Auswahl treffen, die sich an den individuellen Anforderungen an eine E-Mail-Archivierung auszurichten hat (siehe die "Checkliste für die Produktauswahl").
Klare Strategien gefordert
Ein E-Mail-Management hilft noch nicht, alle gesetzlichen Vorschriften (Compliance) im Unternehmen zu erfüllen. In der Regel ist deshalb eine weitergehende ECM-Strategie erforderlich. Die Unternehmensleitung muss sich um die E-Mail-Archivierung beziehungsweise E-Mail-Management kümmern und beides organisieren. Die IT alleine wäre damit überfordert; häufig kann sie nur eine technische Lösung liefern. Eine differenzierte Betrachtung von Anwendergruppen (Entwicklung, Rechnungswesen, IT, Einkauf etc.) ist notwendig. Genauso müssen Verantwortlichkeiten für die Definition der Archivierungsregeln und ihrer Kontrolle festgelegt werden.
Grundsätzlich lässt sich sagen, dass ein Mail-Archivierungs-Projekt vom Aufwand her der Einführung von Standardsoftware entspricht und zusätzlich noch einige Besonderheiten aufweist. So sind aus rechtlicher und regulatorischer Sicht elektronisch archivierte E-Mails oft lange im System vorzuhalten. Ein Produktwechsel ist deshalb meist aufwändig und sollte vermieden werden. Vor allem aber muss eine E-Mail-Lösung Ablage- und Recherchefunktionen bieten können, die der Endanwender akzeptiert. Denn was nützt ein technisch sauberes Produkt, wenn es die tägliche Arbeit mehr behindert als nützt? (as)