Das Löschen einer E-Mail – ein banaler Mausklick im Geschäftsalltag, mit teils gravierenden Folgen. Viele Verantwortliche sind sich nicht darüber im Klaren,dass auch die elektronische Post rechtsverbindliche Verträge umfassen kann, Stichwort »Compliance«. Anders ausgedrückt: Auch digital versendete »Handelsbriefe« – so der gesetzestreue Jargon – müssen, ebenso wie Geschäftskorrespondenz in Papier-form, revisionssicher gemäß den »Grundsätzen ordnungsgemäßer Buchführung« (GoB) und den »Grundsätzen ordnungsgemäßer DV-gestützter Buchführungssysteme« (GoBS) aufbewahrt werden. Das Bundesfinanzministerium konkretisiert die Anforderungen an die Archivierung digitaler Unterlagen durch die »Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen« (GDPdU). Demnach darf die Finanzverwaltung auf alle digitalen, steuerrelevanten Unternehmensdaten zugreifen. Unternehmen müssen auf Anfrage des Steuerprüfers ihre steuerrelevanten Daten maschinell auswertbar zur Verfügung stellen.

Ein Gesetzestext, der es in sich hat: Handelsbücher, Inventare, Eröffnungsbilanzen, Jahresabschlüsse, Lageberichte, Buchungsbelege sowie die Arbeitsanweisungen, die solche Dokumente erläutern, gehören zu den aufbewahrungspflichtigen Belegen – auch im digitalen Format. Ähnliches gilt für den Bereich der Personalverwaltung sowie für Informationen über Überstunden, die heute ebenfalls häufig per E-Mail im Unternehmen kursieren.Je nach Inhalt legen dabei unterschiedliche Bestimmungen fest, wie lange Dokumente in welcher Form archiviert werden müssen. Die Crux: Mitarbeiter,die E-Mails auf eigene Faust als archivierungswürdig oder -unwürdig einordnen, handeln zwar grob fahrlässig,müssen allerdings nicht den Kopf hinhalten. Das Unternehmen haftet, schlimmstenfalls sogar der Chef persönlich.Eine nicht ordnungsgemäße Buchführung kann zu steuerlichen Nachteilen oder sogar zu strafrechtlichen Konsequenzen führen – wie etwa einer Verfolgung wegen Steuerhinterziehung (§ 370 AO) oder leichtfertiger Steuerverkürzung (§ 378 AO). Diese verschärften gesetzlichen Bestimmungen stellen in erster Linie kleinere und mittelständische Betriebe vor größere Herausforderungen. Dort fehlt es häufig an einer eigenen Steuer-oder Controlling-Abteilung,die sich mit dieser Thematik befassen könnte. Oft ist bereits unklar,was tatsächlich steuerrelevant ist und für eine Betriebsprüfung griffbereit liegen muss.

E-Mail-Archivierungssysteme sorgen für Revisionssicherheit

Für Abhilfe sorgen professionelle E-Mail-Archivierungssysteme. Sie gewährleisten,dass die großen Mengen unstrukturierter Informationen strukturiert in einem Archiv vorliegen,jederzeit zur Verfügung stehen und gesetzliche Aufbewahrungsfristen eingehalten werden. Zu den meist verbreiteten Lösungen in diesem IT-Segment zählt »Enterprise Vault« von Symantec. Das Marktforschungsinstitut Gartner bescheinigt Symantec in der Marktübersicht »Magic Quadrant« regelmäßig eine führende Position im Bereich E-Mail-Archivierungslösungen.Zudem ist Symantec der einzige Archivierungshersteller,mit einem »Strong Positive-Rating« im »Gartner Marketscope for E-Discovery« (aktuell erschienen im Dezember 2008). E-Discovery (Electronic Discovery) bezieht sich auf den Umgang mit Informationen in elektronischer Form (wie E-Mails) und beschreibt die Prozesse, wie elektronische Informationen gesammelt, bewertet und für die Präsentation verarbeitet werden können.Die Grundlage dafür ist das so genannte »Electronic Discovery Reference Model« (www.edrm.net).

Bei Enterprise-Vault handelt es sich um eine Lösung,die Funktionen für die intelligente Archivierung der elektronischen Post zur Verfügung stellt. Damit lassen sich Daten strukturieren, schnell und einfach wiederherstellen, aber auch de-duplizieren. Ein einfaches Beispiel belegt: Eine Powerpoint-Präsentation mit einer Größe von 5 MByte beansprucht 5 GByte Festplattenspeicher auf dem Mailserver, wenn sie an 1000 Mitarbeiter im Unternehmen verschickt wird.Archiviert und trotzdem für alle Angestellten verfügbar,muss sie lediglich einmal abgelegt und für die Benutzer »verlinkt« werden.

Idealerweise sollten E-Mail-Archivierungen in eine unternehmensweite Information-Lifecycle-Strategie eingebunden werden. Der Grund: Bei der E-Mail-Kommunikation fallen zahlreiche Informationen an,die oft von sehr unterschiedlicher langfristiger Relevanz sind. Es genügt also nicht,E-Mails in einem Archiv abzulegen und dort pauschal nach einer festgelegten Zeitspanne zu löschen.Vielmehr ist eine inhaltliche Klassifizierung nötig, die eine jeweils angemessene Speicherung, Verschlüsselung, Archivierung oder Benutzerfreigabe jeder einzelnen E-Mail ermöglicht. Das Problem: Die Verwaltung und Speicherung der elektronischen Post hängt stark von den Inhalten ab.Während eine Terminabsprache für ein Arbeitsessen kaum relevant für eine Archivierung erscheint, sollte die Geschäftspolitik für das kommende Quartal aus Sicherheitsgründen zwingend in ein Verschlüsselungskonzept eingebunden, und eine Rechnung über eine Ware bei den Buchungsunterlagen abgelegt werden. Dementsprechend muss ein E-Mail-Archivierungssystem bereits während der Entstehung der elektronischen Post eingebunden sein. Intelligente Archivierungssysteme bemerken automatisch, wann eine E-Mail klassifiziert werden muss und bieten dem Anwender vordefinierte Kategorien an. Die vollautomatische Klassifizierung verwendet Methoden, um das Verhalten des Benutzers und den Inhalt der E-Mail zu klassifizieren,bevor die Einordnung stattfindet. So findet sich zum Beispiel anhand des Empfängers und dessen Benutzergruppe ein erster Hinweis, welche Wichtigkeit und Sicherheitsstufe das Schreiben voraussichtlich haben wird. Hinzu kommen Einordnungen auf Grund der Untersuchung des Inhalts auf bestimmte Redewendungen und Schlüsselwörter. Symantec-Enterprise-Vault übernimmt diese Tasks vollautomatisch und stellt so sicher,dass keine relevanten Informationen verloren gehen. So lassen sich gesetzliche Aufbewahrungsfristen komfortabel einhalten.

Uwe Nelkel, Spezialist für Archivierungslösungen bei Symantec