Herausforderungen gesetzeskonformer E-Mail-Archivierung
Orientierung im Compliance-Dschungel
Unternehmen sind mittlerweile gesetzlich zur E?Mail-Archivierung verpflichtet - zu ihrem eigenen Schutz. Doch gerade beim Thema Compliance sind viele IT-Verantwortliche unsicher. Welche E?Mails müssen archiviert werden? Welche darf ein Prüfer einsehen, welche unterliegen dem Datenschutz? Neu hinzugekommen ist die Debatte um das Steuervereinfachungsgesetz 2011. Die deutsche Gesetzeslandschaft ist in diesem Bereich so undurchsichtig wie ein Dschungel. Deutsche Büroangestellte senden oder empfangen pro Tag im Durschnitt zirka 180 E?Mails, so aktuelle Schätzungen. Die elektronischen Nachrichten haben den Geschäftsalltag revolutioniert - einerseits vereinfacht, anderseits Unternehmen aber auch vor große Probleme gestellt. Gezielte Spam-Wellen bedrohen ganze Unternehmensnetzwerke, Phishing-Attacken sind an der Tagesordnung. Bei Verlust von E?Mails drohen betriebswirtschaftliche Schäden in Millionenhöhe, verbunden mit einem erheblichen Imageverlust.
Hinzu kommt, dass E?Mail mittlerweile mehr bedeutet als ein reines Kommunikationsmittel. Sensible, offizielle Geschäftskorrespondenzen laufen vermehrt über dieses Medium, was zur Folge hatte, dass sich die E?Mail-Kommunikation in den vergangenen Jahren zu einem ernsten Thema beim Gesetzgeber entwickelte. Diese wird mittlerweile gesetzlich genauso behandelt wie Briefe, und es gelten die gleichen Vorschriften, wie zum Beispiel das Postgeheimnis oder die Buchführungspflicht. Das Resultat sind Regularien und Vorschriften zur rechtskonformen Verwaltung sowie zur Sicherheit der Nachrichten in sämtlichen Betrieben.
Regeln über Regeln
Um Unternehmen vor den zahlreichen Risiken der E?Mail-Kommunikation zu schützen, hat der Gesetzgeber Compliance-Vorgaben bezüglich Aufbewahrung, Wiederherstellung, Übertragung und Löschung vertraulicher Daten eingeführt. Beispielsweise verpflichten die "Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen" (GDPdU) alle Unternehmen, steuerrelevante Daten über einen Zeitraum von mindestens zehn Jahren unveränderbar sowie maschinell les- und auswertbar aufzubewahren. Sobald es sich bei einer E?Mail beispielsweise um eine rechtsverbindliche Erklärung handelt, muss diese für einen vorgeschriebenen Zeitraum revisionssicher aufbewahrt werden. Die Begründung ist, dass derartig sensible Informationen einen handels- und steuerrechtlich relevanten Nachweis sämtlicher Geschäftsvorgänge ermöglichen.
Darüber hinaus sind nach Abgabenordnung Paragraph 147 Absatz 6 die Finanzbehörden dazu berechtigt, Einsicht in die archivierten Inhalte zu nehmen und diese zu prüfen. Mit der neuen Kennzeichnungspflicht für E?Mails sind alle nach extern (außerhalb der unternehmensinternen IT-Infrastruktur) gerichteten und alle hausinternen Mails, die geeignet sind, geschäftsrelevant zu sein, mit den gesetzlichen Pflichtangaben zu versehen. Aus diesem Grund müssen die steuerlich relevanten E?Mails elektronisch archiviert und sicher gespeichert sein, sodass sich die Dokumente während der Aufbewahrungsfrist maschinell auswerten lassen. Dabei sollten Unternehmen unbedingt auf eine strikte Trennung steuerlich relevanter E?Mails (Angebote, Preisvereinbarungen, Vertragsgestaltungen etc.) von anderem betrieblichem (Personalangelegenheiten, Betriebsgeheimnisse etc.) oder gar privatem Postverkehr achten - und zwar fortwährend schon im laufenden Geschäftsbetrieb.
Das in diesem Jahr zur Diskussion stehende Steuervereinfachungsgesetz 2011 könnte der E?Mail-Archivierung eine neue Hürde auferlegen. Es würde zwar die Übermittlung von digital erstellten Rechnungen vereinfachen, um diese auch dann für den Vorsteuerabzug zu nutzen, wenn sie keine elektronische Signatur tragen. Die Menge an per E?Mail zugestellten Daten würde aus diesem Grund aber stark ansteigen, da der Versand viel günstiger ist als per Post. Unternehmen befreit das Gesetz jedoch nicht von der rechtskonformen Archivierung dieser Dokumente. Die Aufbewahrung in Papierform ist nicht erlaubt, was die rechtskonforme E?Mail-Ablage notwendig macht.
Compliance-Management vernachlässigt
Laut einer aktuellen Untersuchung des TÜV Rheinland stellt Compliance-Management für zwei Drittel der deutschen Unternehmen ein wichtiges Thema dar. Lediglich an der Umsetzung hapert es. Eine Studie der KPMG Wirtschaftsprüfungsgesellschaft zur Wirtschaftskriminalität in Deutschland fand im vergangenen Jahr heraus, dass nur 41 Prozent der 300 befragten Führungskräfte in mittelständischen Unternehmen regelmäßig die Einhaltung der unternehmensinternen Compliance-Regelungen zur IT-Sicherheit prüfen. Und dies, obwohl zwischen 2007 und 2010 rund 37 Prozent der deutschen Unternehmen Opfer von Wirtschaftskriminalität waren. Im Visier der Cyber-Kriminellen stehen vor allem die mittelständischen Unternehmen: Laut KPMG-Studie verzeichnete hier jedes dritte Unternehmen bereits Vorfälle im IT-Sicherheitsbereich. Viele Unternehmer wähnen sich in Sicherheit, da sie glauben, dass vor allem große Betriebe Ziel der Angreifer seien - ein Trugschluss, da die Schutzmaßnahmen kleinerer Unternehmen häufig leichter zu umgehen sind.
Neben dem Vermeiden von Spam?, Phishing- oder sonstigen Malware-Angriffen bietet ein wirksames Compliance-Management auch gegenüber den eigenen Mitarbeitern, Auftraggebern und Kunden grundlegende Vorteile. Insbesondere wenn Mitarbeiterdaten in eine Prüfung einbezogen werden, ist der Weg zum Gesetzesverstoß nicht mehr weit. Wer dabei den Datenschutz vernachlässigt, erhält schnell Probleme. Dennoch schätzten 90 Prozent der KPMG-Befragten die von ihnen vorgenommen Prüfungen zur Einhaltung der gesetzlichen Anforderungen als gut ein - oft zu voreilig.
Gleichgewicht halten
Bei der gesetzeskonformen E?Mail-Archivierung haben Unternehmen somit einen schmalen Grat zu meistern. Einerseits sind elektronische Nachrichten zwingend nach GDPdU zu archivieren. Andererseits muss die E?Mail-Ablage so erfolgen, dass diese für Mitarbeiter schnell, unkompliziert und intuitiv wieder zugänglich sowie wiederherstellbar sind. Gleichzeitig gilt es, um dem Datenschutz Rechnung zu tragen, den unbefugten oder ungewollten Zugriff auf das E?Mail-Archiv zu verhindern.
Um auf diesem Grat das Gleichgewicht zu halten, greifen auch international tätige Unternehmen vermehrt auf zuverlässige und an aktuellen gesetzlichen Standards ausgerichtete Softwaresysteme zurück, die sie speziell bei der rechtskonformen E?Mail-Archivierung und -Absicherung unterstützen. Neben den gesetzlichen Vorgaben stellt jedes Unternehmen jedoch auch individuelle Ansprüche an ein E?Mail-Archivierungs- beziehungsweise -Management-System.
Für IT-Verantwortliche gilt es, ein System zu finden, mit dem ihr jeweiliges Unternehmen diesen unterschiedlichen Anforderungen rechtskonform begegnen kann. Unter der Vielzahl der auf dem Markt befindlichen Lösungen sollte ein Unternehmen diejenige Software wählen, die die individuellen Bedürfnisse am besten berücksichtigt. Dabei ist es ratsam, darauf zu achten, dass die Software E?Mails automatisiert auf separaten Speichermedien für den öffentlichen Zugriff archiviert und vor dem Zugriff Dritter schützt.
Grundsätzlich sollte die Lösung alle rechtlichen Anforderungen zur Aufbewahrung beziehungsweise Archivierung der E?Mail-Kommunikation erfüllen. Unbedingt empfehlenswert sind auch Komplettlösungen mit integrierten Anti-Spam?, Anti-Virus?, Anti-Phishing- und Spyware-Filtern, um die genannten Gefahren durch Cyber-Attacken zu bannen. Eine gute Lösung bietet die Möglichkeit, sie mit einem auf die Unternehmensgröße abgestimmten, hochverfügbaren Server zu kombinieren. Auf diese Weise lassen sich größtmögliche Flexibilität und Ausbaufähigkeit gewährleisten sowie hohe Datensicherheit und Investitionsschutz.
Professionelle, individuell konfigurierbare Archivierungslösungen wie zum Beispiel Bytstormail von Byteaction filtern sowohl ein- als auch ausgehende E?Mails nach Schlüsselwörtern der OFD-Liste (Oberfinanzdirektions-Liste). Dabei archiviert das System nur steuerrelevante E?Mails gesondert. Die OFD-Liste wird vorkonfiguriert geliefert, lässt sich aber per Web-Oberfläche vom Unternehmen individuell administrieren und erweitern. Bei einer Steuerprüfung kann das Unternehmen die gespeicherten Daten so in maschinell auswertbarer Form (IDEA-Schnittstelle - Interactive Data Extraction and Analysis) zur Verfügung stellen.
Vier Augen sehen sicherer
Arbeitet eine E?Mail-Archivierungssoftware nach dem Vier?, vielleicht sogar nach dem Sechs-Augen-Prinzip, so verteilt sie die Archivrechte für sensible Vorgänge auf mehrere Personen. Trotz dieser Vorgehensweise lässt sich ein Compliance-konformes E?Mail-Management sicherstellen und der Administrationsaufwand deutlich senken. Dabei sollten IT-Verantwortliche darauf achten, dass alle E?Mails zentral erfasst werden, bevor sie das Postfach des jeweiligen Anwenders erreichen. Professionelle Systeme versehen alle elektronischen Nachrichten inklusive Anhang mit einem Zeit- und Datumsstempel, bevor sie diese ablegen. Anschließend erfolgt die automatische und revisionssichere Archivierung auf lokalen Datenträgern, externen Speichermedien oder einem SAN (mit externer Datenfreigabe).
Will der Benutzer auf seine automatisch abgelegten E?Mails beziehungsweise Dokumente zugreifen, kann er dies im günstigsten Fall via Volltextsuche über seinen Web-Browser erledigen. Der Vorteil gegenüber anderen Zugriffsverfahren ist, dass nicht der jeweilige Administrator damit beauftragt werden muss, die E?Mail freizugeben. Stattdessen sendet der Nutzer selbst per Knopfdruck die relevante Nachricht an das eigene Postfach.
Viele E?Mail-Archivierungslösungen sind plattformabhängig, was für den Anwender entscheidende Nachteile mit sich bringt. Flexibler gestaltet sich das rechtskonforme Handling elektronischer Nachrichten, wenn Unternehmen nicht an eine bestimmte Hardware gebunden sind beziehungsweise aufwändige Client-Installationen entfallen. Lässt sich das Management-System dagegen als vorkonfigurierte Plug-and-Play-fähige Appliance, als Software as a Service (SaaS) oder auch als virtuelle Lösung installieren, ist der Einsatzspielraum deutlich höher.
Lesen Sie mehr zum Thema
