Suchen

Archivierungspflicht, private Mails, Verschlüsselung und mehr Zehn Mythen zur E-Mail-Archivierung

Autor / Redakteur: Thomas Joos / Stephan Augsten

E-Mails dürfen und müssen auch archiviert werden. Viele Unternehmen handeln im Bereich der E-Mail-Archivierung aber nicht gesetzeskonform oder haben einige Bereiche der Aufbewahrung nicht korrekt umgesetzt. Hierzu gibt es verschiedene Bestimmungen – aber auch einige Mythen, auf die wir nachfolgend genauer eingehen.

Verewigt: Die E-Mail-Archivierung wird oft stoisch durchgezogen, ohne die genauen Hintergründe zu kennen.
Verewigt: Die E-Mail-Archivierung wird oft stoisch durchgezogen, ohne die genauen Hintergründe zu kennen.
(Bild: Archiv)

Richtlinien zur E-Mail-Archivierung und der Archivierung von elektronischen Dokumenten sind unter anderem an folgenden Stellen festgeschrieben:

Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS)

§ 146 AO (Abgabenordnung): Ordnungsvorschriften für die Buchführung und für Aufzeichnungen, Abs. 4

§ 239 HGB (Handelsgesetzbuch): Führung der Handelsbücher

Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU)

Mythos 1 – Archivierung ist freiwillig

E-Mails werden von vielen Unternehmen mittlerweile als ganz normale Geschäftskorrespondenz verwendet. Es werden Angebote und Rechnungen verschickt, Support-Anfragen beantwortet, geschäftliche Besprechungen geplant und mehr.

Was aber viele Unternehmen nicht wissen: die komplette Geschäftskorrespondenz muss sechs bis zehn Jahre lang archiviert werden. Die Archivierung ist kein nettes Zusatzfeature von Exchange und Co, sondern gesetzliche Pflicht. Das gilt vor allem für Geschäftsbriefe, die direkt dem Unternehmen zugeordnet sind, also auch Anhängen von E-Mails.

Die notwendigen Funktionen zur Archivierung sind Bestandteil vieler E-Mail-Server, zum Beispiel von Exchange Server 2013. Hier sind generell keinerlei Zusatzprodukte notwendig, nur etwas Plan- und Konfigurationsarbeit. Natürlich sind optimierte Archivierungslösungen sinnvoll, wenn die Bordmittel nicht mehr ausreichen, eine Pflicht sind sie aber nicht.

Mythos 2 – Wirklich jede E-Mail muss archiviert werden

Viele Unternehmen archivieren 1:1 alle E-Mails, die in den Datenbanken gespeichert wurden oder im Unternehmen ankommen. Das ist allerdings weder notwendig noch sinnvoll. Auch wenn der Spam-Schutz mittlerweile zu den Standardwerkzeugen gehören sollte und in Lösungen wie Exchange zu den Bordmitteln gehört, setzen viele Administratoren die Technik nur unzureichend um.

Spam und Newsletter müssen natürlich nicht archiviert werden und sollten es auch nicht. Solche E-Mails müllen nicht nur die Postfächer der Anwender zu, sondern auch das Archiv. Dieses wird dadurch aufgebläht, kostet noch mehr teuren Speicherplatz und ist unübersichtlich. Zu einer guten Archivierung gehört daher auch ein optimales Management für Spam, Newsletter und anderen Abfall.

Mythos 3 – Mail-Archive müssen besonders gesichert sein

Viele Unternehmen gehen davon aus, dass die E-Mail-Archive besser abgesichert werden müssen, als der E-Mail-Server selbst. Folge sind teure Investitionen in Zusatzprodukte, die E-Mails und Archive verschlüsseln. Dabei ist das gesetzlich nicht notwendig. Natürlich ist es durchaus sinnvoll das Archiv so aufzubewahren, dass keine Daten gestohlen werden oder verloren gehen. Allerdings ist das freiwillig und Unternehmen können selbst bestimmen, wie sie dabei vorgehen.

Mythos 4 - Private E-Mails spielen keine Rolle

Auch hier müssen Unternehmen einiges beachten, denn private E-Mails der Angestellten dürfen nicht gespeichert und archiviert werden. Wenn Unternehmen also den Anwendern die private Verwendung der Geschäftsadresse erlauben oder sie zumindest dulden, kann es große Probleme geben, wenn versehentlich private Kommunikation gespeichert wird.

Lösen können Unternehmen das, indem sie den Anwendern Zugriff auf private E-Mail-Adressen/-Konten gestatten. In Zeiten von privaten Smartphones und Tablets in Unternehmen (BYOD) lässt sich das ohnehin kaum vermeiden und sollte kontrolliert gestattet werden. Auch das gehört zu einer optimalen Archivierung dazu.

Mythos 5 – Datensicherung ist Archivierung (und umgekehrt)

Generell haben die Datensicherung und Archivierung nichts miteinander zu tun, auch wenn bei beiden Bereichen die E-Mails gesichert werden. Bei der Archivierung werden E-Mails rechtskonform und dauerhaft gespeichert, die Datensicherung soll dagegen eine schnelle und einfache Wiederherstellung garantieren.

Unternehmen sollten daher parallel zur Datensicherung/Archivierung auch immer eine Archivierung/Datensicherung planen, konfigurieren und überwachen. Natürlich kann ein Archiv im Katastrophenfall auch zur Wiederherstellung verwendet werden, allerdings ist das nicht für die tägliche Sicherung oder der Wiederherstellung von E-Mail-Datenbanken sinnvoll. Sinnvoll ist immer ein paralleler Einsatz von Sicherung und Archivierung.

Mythos 6 - Archivierung ist vorgeschrieben, aber nicht sinnvoll

Viele Unternehmen und Administratoren sehen die Archivierung nur als Schikane des Gesetzgebers, ohne zu erkennen, dass der Einsatz durchaus praktischen Nutzen hat. Nicht nur, dass wichtige E-Mails zuverlässig aufbewahrt werden und sich im Notfall ganze Mail-Strukturen wiederherstellen lassen: archivierte E-Mails dienen unter Umständen auch als Nachweis einer getätigten Konversation.

Hinzu kommt, dass die Archivierung die E-Mail-Server entlasten, zum Beispiel die häufig überfüllten Datenbanken von Exchange. Gerade solche Datenbanken sind schneller defekt als man denkt, und dann ist guter Rat teuer. Die Wiederherstellung großer Datenbanken kann Tage dauern, was sich viele Unternehmen schlicht nicht leisten können.

Mythos 7 - Archivierung muss nicht verwaltet werden

Viele Administratoren denken, dass die Einrichtung der Archivierung, zum Beispiel durch ein Dritthersteller-Produkt, einmal erfolgen muss und dann für alle Zeiten läuft. Da das Archiv im produktiven Betrieb des Unternehmens selten benötigt wird, vernachlässigen es viele Unternehmen.

Dabei ist es durchaus von Interesse, regelmäßig das Archiv zu überprüfen, die Abläufe neu zu überdenken, gesetzliche Vorschriften zu verfolgen und auch neue Bereiche des Internets wie den Einzug von Sozialen Medien zu berücksichtigen. Ein Archiv sollte zum aktiven Bestandteil der Firmen-Infrastruktur werden. Administratoren sollten das Archiv im Rechenzentrum nicht vergessen und „vor sich hin werkeln“ lassen.

Mythos 8 - E-Mail-Archivierung wird isoliert durchgeführt

Unternehmen gehen davon aus, dass die E-Mail-Archivierung ein eigener Serverdienst oder Server ist, der an das Netzwerk angebunden wird. Parallel werden dann noch Server für die Archivierung anderer elektronischer Daten angeschafft. Bei elektronischen Dokumenten handelt es sich aber nicht immer um E-Mails. Auch Dokumente, die nie als E-Mail versendet werden, oder eingescannte Dokumente müssen und können archiviert werden.

Viele dieser Archivierungssysteme können parallel E-Mail-Server anbinden und auch E-Mails archivieren. Das heißt, ein Unternehmen braucht nur ein Archivierungssystem, nicht für eingescannte Dokumente, elektronische Dokumente und E-Mails jeweils ein eigenes. Daher ist es sinnvoll bereits frühzeitig bei der Planung darauf Rücksicht zu nehmen und ein Archivsystem zu erwerben das alles kann. Solche Systeme sind günstiger im Kauf, der Verwaltung und vor allem leichter zu verwalten, da alles zentral archiviert wird.

Mythos 9 - Datenträger von Archiven dürfen nicht gewechselt werden

In vielen Stellen, vor allem im Internet, ist zu lesen, dass bestimmte Medien von den Finanzbehörden bei der Archivierung nicht akzeptiert werden, und das Archiv bei der Verwendung dieser Medien Pflicht ist. Oft ist auch zu lesen, dass optischer Speicher Pflicht bei der Archivierung sind und WORM-Laufwerke durch die GDPDU zertifiziert sein müssen, damit ein Archiv gesetzeskonform ist.

Wer sich mit den eingangs genannten Gesetzen § 146 AO, Abs. 4 und § 239 HGB auseinandersetzt, kann daraus entnehmen, dass der Gesetzgeber bewusst keine bestimmten Medien vorschreiben wollte und will. Sinn der Gesetze soll sein, dass die Daten des Archivs nicht verändert werden dürfen.

Das gilt aber nicht für deren reine Speicherung. Denn diese dürfen verändert werden. Mehr dazu ist in der juristischen Abhandlung „Die größten Mythen zu Rechtsgrundlagen und elektronischer Archivierung“ zu lesen. Klar ist aber, dass Unternehmen genau planen müssen, wo und wie archiviert wird. Diese Entscheidung kann weder von den Herstellern noch vom Gesetzgeber übernommen werden.

Mythos 10 - Archiv-Lösungen müssen von GoBS oder GDBdU zertifiziert sein

Nein, müssen sie nicht. Da es eine Vielzahl von Herstellern gibt, hält sich auch hier der Gesetzgeber zurück. Die Lösung muss den Ansprüchen der Archivierung entsprechen, aber sicher nicht zertifiziert werden. Auch hier gilt es, genau zu planen und auf die Funktionen zu schauen, die Zertifizierung spielt keinerlei Rolle.

(ID:43043682)

Über den Autor

 Thomas Joos

Thomas Joos

Freiberuflicher Autor und Journalist