Digitale Post im Tresor

Ob Rechnungen, Aufträge oder Angebote: Die wichtigsten Dokumente der Geschäftspost werden heute vor allem per E-Mail übermittelt und ausgetauscht - darunter auch viele, die dem Steuer- und dem Handelsrecht unterliegen. Für Unternehmen bedeutet dies weniger Aufwand und eine erheblich schnellere Kommunikation - aber auch Verpflichtungen, die sich aus einer Vielzahl gesetzlicher Regelungen ergeben. Hier spielt die gesetzeskonforme und langfristige Aufbewahrung digitaler Unterlagen eine wesentliche Rolle. Die Umsetzung der entsprechenden Vorschriften stellt Unternehmen im Arbeitsalltag jedoch oft vor große Herausforderungen.

Der gesetzliche Rahmen ist ebenso komplex wie unübersichtlich. Neben den Grundsätzen zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU), die seit 2006 gelten und die langfristige und revisionssichere Archivierung handels- und steuerrechtlich relevanter E-Mails verbindlich vorschreiben, spielen unter anderem auch die Abgabenordnung (AO) und die Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS) eine Rolle.

Nicht immer sind die gesetzlichen Regelungen klar umrissen, zumal viele der relevanten Vorschriften aus einer Zeit stammen, in der die digitale Kommunikation noch unbekannt war. Unternehmen und Einrichtungen, die eine gesetzeskonforme E-Mail-Archivierung einrichten wollen, sollten daher unbedingt Beratung und Unterstützung eines auf dieses Thema spezialisierten Anwalts oder Archivierungsdienstleisters einholen.

Klar sind jedoch einige zentrale Punkte: Zum einen ist die Archivierung geschäftlicher E-Mail seit 2006 für deutsche Unternehmen verbindlich vorgeschrieben. Zweitens darf man digitale Daten ausschließlich in digitaler Form aufbewahren, ausgedruckte Exemplare reichen nicht aus. Drittens müssen bei der Archivierung vor allem Revisionssicherheit und Unveränderbarkeit gewährleistet sein. Das heißt, die E-Mails müssen im Original und in einer Form aufbewahrt sein, dass eine nachträgliche Veränderung ausgeschlossen ist. Auch die unterbrechungsfreie Speicherung ist vorgeschrieben.

Einen weiteren wichtigen Punkt stellen die vorgeschriebenen Aufbewahrungsfristen dar. Diese unterscheiden sich je nach Art der Nachricht: Während Geschäftsbriefe oder Verträge sechs Jahre lang zu archivieren sind, gilt für steuerlich relevante Daten wie Jahresabschlüsse, Bücher oder Buchungsbelege eine Frist von zehn Jahren. In einigen Bereichen wie beispielsweise dem Gesundheitswesen sind sogar Fristen bis zu dreißig Jahren möglich.

Praktische Umsetzung

Sind die rechtlichen Anforderungen geklärt, stellt sich die Frage, wie die Archivierung praktisch umzusetzen ist. Hier spielt der Ort der Aufbewahrung eine zentrale Rolle. Die wichtigste Frage dabei: Soll die E-Mail-Archivierung innerhalb der eigenen Infrastruktur oder bei einem externen Dienstleister erfolgen? Um diese Frage zu entscheiden, lohnt ein Blick auf die Anforderungen an die benötigte Infrastruktur.

Da ist zunächst die lange Aufbewahrungszeit. Zum einen fällt durch diese ein riesiges und in den ersten Jahren immer weiter anwachsendes Volumen zu speichernder Daten an, das zu Beginn nur sehr schwer abschätzbar ist. Der Bedarf an Ressourcen wächst immer weiter, eine Planungssicherheit ist kaum zu gewährleisten.

Zum anderen muss die eingesetzte Infrastruktur so gestaltet sein, dass sie auch in zehn Jahren noch ihre Aufgaben erfüllen kann. Angesichts üblicher Hardware-Lebenszyklen kann sich dies für Unternehmen als erhebliches Problem erweisen: Schließlich gilt es, defekte oder veraltete Hardware auszutauschen, ohne den Archivierungsprozess zu unterbrechen. Die Gefahr besteht, dass die E-Mail-Archivierung zu einem „Fass ohne Boden“ wird.

Um die unterbrechungsfreie Archivierung zu gewährleisten und sie auch dann sicherzustellen, wenn turnusgemäß die Hardware oder Teile davon ausgetauscht werden, muss eine vollständige Redundanz gegeben sein: Die Speicherung muss auf mindestens zwei unterschiedlichen Systemen erfolgen, jeder Datensatz zumindest doppelt archiviert werden. Hinzu kommt die Ausfallsicherheit: Um eine unterbrechungsfreie Archivierung auch bei großen Systemausfällen bis hin zum Ausfall eines kompletten Rechenzentrums zu gewährleisten, sollte die Speicherung an mindestens zwei voneinander geografisch und organisatorisch getrennten Orten erfolgen.

Hinzu kommt, dass es mit der Speicherung allein nicht getan ist. Ein Unternehmen muss die E-Mails müssen nicht nur aufbewahren, sondern sie auch jederzeit suchen, finden und zur Verfügung stellen können. Dies erfordert ausgeklügelte Lösungen, die nur wenige Unternehmen selbst erstellen können.

Am Markt erhältliche Produkte sind oft wenig flexibel und nur mühsam in die bestehende Infrastruktur zu integrieren, maßgeschneiderte Lösungen meist sehr teuer. Dabei ist zudem sicherzustellen, dass auch ein Systemausfall nicht zum Verlust von Daten führen kann. Hinzu kommt, dass es hier um sensible und oft vertrauliche Daten geht, sodass eine entsprechende Verschlüsselung ebenfalls gegeben sein muss. Die dazu notwendige Architektur erfordert ein Maß an Expertise und Kostenaufwand, das selbst größeren Einrichtungen nicht zuzumuten ist.

Alternative externes Archiv

Aus diesen Gründen ist für die große Mehrzahl der Unternehmen eine gesetzeskonforme E-Mail-Archivierung nur als ausgelagerter Managed Service zu rechtfertigen. Dabei erfolgt die Archivierung in der speziell dafür ausgelegten Infrastruktur des Dienstleisters, das Unternehmen muss keine eigenen Ressourcen bereitstellen.

Dadurch entsteht minimaler Aufwand und gleichzeitig bleiben die Kosten auch langfristig planbar – nicht vorhersehbarer Hardware- und Infrastrukturausbau entfällt. Der Kunde zahlt feste Lizenzgebühren, die in der Regel vor allem von der Anzahl der Nutzer abhängig sind. Auch der Aufwand für Wartung und Pflege obliegt dem Dienstleister.

Ein wesentlicher Vorteil: Die gesamte Infrastruktur des Dienstleisters ist speziell darauf ausgelegt, große E-Mail-Mengen lange Zeit unterbrechungsfrei und gesetzeskonform aufzubewahren. Redundante Strukturen sorgen für maximale Ausfallsicherheit und stellen sicher, dass auch großflächige Störungen und Ausfälle die Archivierung ebenso wenig unterbrechen wie regelmäßige Erneuerungen der Hardware.

Auch der einfache und schnelle Zugriff auf die archivierten E-Mails ist mit einer Managed-Service-Lösung geregelt. So bietet ein solcher Dienstleister in der Regel ein Interface an, das per Internet erreichbar ist und über das man archivierte E-Mails suchen und anfordern kann, meist mittels Volltextsuche und einer Reihe unterschiedlicher Suchkriterien.

Bei der Auswahl eines E-Mail-Archiv-Dienstleisters gilt es einige Aspekte zu beachten. In erster Linie muss natürlich sichergestellt sein, dass er die rechtlichen Anforderungen, insbesondere die Revisionssicherheit, strikt einhält. So sollte auch gewährleistet sein, dass die E-Mails verschlüsselt aufbewahrt werden. BSI- oder ISO-zertifizierte (ISO 27001) Rechenzentren und redundante Infrastrukturen gehören ebenfalls zu den Auswahlkriterien. Nur so sind Ausfallsicherheit und Datenschutz auf dem höchstmöglichen Niveau garantiert.

Datenschutz

Ein wesentlicher Aspekt vor allem für deutsche Unternehmen ist der Datenschutz. Es sollte sichergestellt sein, dass der Dienstleister seinen Sitz in einem Land hat, das über eine besonders strenge Datenschutzgesetzgebung verfügt. Daher sind europäische und vor allem deutsche Anbieter zu bevorzugen. Ganz auf der sicheren Seite ist der Kunde, wenn der Anbieter auch seine gesamte zur Archivierung eingesetzte Infrastruktur in Deutschland betreibt. Zudem sollte die Möglichkeit bestehen, sämtliche E-Mail-Transportwege zu verschlüsseln und vor dem Zugriff Dritter zu schützen, zum Beispiel mittels Transport Layer Security (TLS).

Schließlich sollte auch sichergestellt sein, dass die Archivierung nicht mit unerwünschten oder gar gefährlichen E-Mails verstopft wird – angesichts der Tatsache, dass derzeit im Durchschnitt zwischen 70 und 80 Prozent aller E-Mails Spam sind, ein wichtiger Aspekt. Daher ist es ratsam, die E-Mail-Archivierung in die E-Mail-Sicherheitslösung, insbesondere die Spam-Filterung und den Virenschutz, zu integrieren. Auf diese Weise  werden als Spam oder Virus identifizierte E-Mails nicht in das Archiv überstellt.

E-Mail-Archivierung als Managed Service ist eine professionelle wie kosteneffiziente Möglichkeit, die gesetzlichen Anforderungen zu erfüllen, ohne erheblichen eigenen Aufwand zu betreiben. Wer die richtige Lösung auswählt, kann dabei sicherstellen, dass die aufbewahrten Daten deutlich sicherer sind als in der eigenen IT-Infrastruktur.

Weitere Informationen finden sich unter www.eleven.de.

Die verteilte Archivierung mehrerer Kopien einer E-Mail sorgt für Ausfallsicherheit. Bild: Eleven

Kundenportale mit Suchfunktionen stellen sicher, dass der Anwender archivierte E-Mails bei Bedarf im Archiv wiederfindet. Bild: Eleven

Lesen Sie mehr zum Thema

Weitere Artikel zu STARFACE GmbH

„Einheitlicher, strategischer Ansatz“

Neues Führungsteam für Deutschland bei der Gamma Group

Übernahme im Cloud-PBX-Markt

Gamma schließt Akquisition der Starface Group ab

Michael Chodzinski startet

Peoplefone besetzt Vertrieb-Süd neu

Gamma will Cloud-PBX-Anbieter schlucken

Starface vor der Übernahme

Produkttest Cloud-PBX 2024

Wie telefoniert es sich in der Cloud?

Weitere Artikel zu DAWICONTROL Computer Systeme GmbH

Retarus: Email-Archive-Lösung erhält Update

Gesetzeskonformes E-Mail-Archiv

Bessere Richtlinienanpassung

MailStore: Update für Archivierungslösungen

MailStore präsentiert Archivierungslösung in V22.4

Multi-Faktor-Authentifizierung und verbessertes Ressourcen-Management

MailStore-Tipps zur E-Mail-Archivierung

Cyberresilienz-Strategie stärken

MailStore: Archivierungslösung in Version 22.2

Flexibilität und Zukunftssicherheit bei der E-Mail-Archivierung