Leitfaden zur rechtssicheren E-Mail-Archivierung in Deutschland

Stand: 08. Mrz 2012

E-Mail-Archivierung bietet nicht nur zahlreiche technische und wirtschaftliche Vorteile, sie stellt fr Unternehmen zudem eine zwingende Notwendigkeit dar. Geltende rechtliche Anforderungen knnen nicht ohne eine solche Lsung erfllt werden. Leider ist gerade der rechtliche Aspekt der Archivierung sehr vielschichtig und von zahlreichen Grauzonen geprgt. Dieser Leitfaden soll durch die wichtigsten Fragestellungen fhren.

Leitfaden zur rechtssicheren E-Mail-Archivierung

bersicht

Was muss archiviert werden?

Bcher und Aufzeichnungen, Inventare, Jahresabschlsse, Lageberichte, die Er nungsbilanz sowie die zu ihrem Verstndnis erforderlichen Arbeitsanweisungen und sonstigen Organisations-Unterlagen, die empfangenen Handels- oder Geschftsbriefe, Wiedergaben der abgesandten Handels- oder Geschftsbriefe, Buchungsbelege und sonstige Unterlagen, soweit sie fr die Besteuerung von Bedeutung sind. Dazu gehrt jegliche Korrespondenz, durch die ein Geschft vorbereitet, abgewickelt, abgeschlossen oder rckgngig gemacht wird. Beispiele sind Rechnungen, Auftrge, Reklamationsschreiben, Zahlungsbelege und Vertrge. Dies gilt auch dann, wenn diese per E-Mail versendet werden.

In der Praxis In Anbetracht der Masse der tglich empfangenen und versendeten E-Mails ist eine Kategorisierung in archivierungspichtige und nichtarchivierungspichtige E-Mails fast nicht mglich. Es wird daher oft bevorzugt, einfach alle E-Mails zu archivieren. Dies kann ein Unternehmen jedoch in Konikt mit anderen Gesetzen bringen.

Wie lange mssen E-Mails aufbewahrt werden?

Die Aufbewahrungsfristen ergeben sich aus dem Handelsgesetzbuch ( 257 HGB) und der Abgabenordnung ( 147 AO): Bcher, Aufzeichnungen, Inventare, Jahresabschlsse, Lageberichte, Er nungsbilanzen, die zu ihrem Verstndnis erforderlichen Arbeitsanweisungen und sonstigen Organisationsunterlagen sowie Buchungsbelege mssen zehn Jahre lang aufbewahrt werden. Empfangene Handels- oder Geschftsbriefe, Wiedergaben der abgesandten Handels- oder Geschftsbriefe sowie sonstige Unterlagen, soweit sie fr die Besteuerung von Bedeutung sind, mssen sechs Jahre lang aufbewahrt werden.

In der Praxis Auch hier ist in Anbetracht der Masse der E-Mails eine zuverlssige Kategorisierung mit vertretbarem Aufwand kaum mglich. Oft werden aus diesem Grund alle E-Mails mindestens zehn Jahre lang aufbewahrt.

Wer trgt die Verantwortung?

Die Verantwortung fr die ordnungsgeme Umsetzung der rechtlichen Anforderungen zur Aufbewahrung von E-Mails liegt bei der Geschftsfhrung eines Unternehmens. Kommt diese ihrer Picht nicht nach, drohen in schweren Fllen sogar Freiheitsstrafen.

Leitfaden zur rechtssicheren E-Mail-Archivierung

Anforderungen an eine revisionssichere E-Mail-Archivierung

Einen allgemeinen Leitfaden stellen die Merkstze des Verbandes Organisations- und Informationssysteme e.V. zur revisionssicheren elektronischen Archivierung dar: Jedes Dokument muss nach Magabe der rechtlichen und organisationsinternen Anforderungen ordnungsgem aufbewahrt werden. Die Archivierung hat vollstndig zu erfolgen kein Dokument darf auf dem Weg ins Archiv oder im Archiv selbst verloren gehen. Jedes Dokument ist zum organisatorisch frhestmglichen Zeitpunkt zu archivieren. Jedes Dokument muss mit seinem Original bereinstimmen und unvernderbar archiviert werden. Jedes Dokument darf nur von entsprechend berechtigten Benutzern eingesehen werden. Jedes Dokument muss in angemessener Zeit wiedergefunden und reproduziert werden knnen. Jedes Dokument darf frhestens nach Ablauf seiner Aufbewahrungsfrist vernichtet, d.h. aus dem Archiv gelscht werden. Jede ndernde Aktion im elektronischen Archivsystem muss fr Berechtigte nachvollziehbar protokolliert werden. Das gesamte organisatorische und technische Verfahren der Archivierung kann von einem Sachverstndigen Dritten jederzeit geprft werden. Bei allen Migrationen und nderungen am Archivsystem muss die Einhaltung aller zuvor aufgefhrten Grundstze sichergestellt sein.
Quelle: Verband Organisations- und Informationssysteme e.V. (VOI)

Grundstzlich mssen alle relevanten E-Mails und deren Dateianhnge vollstndig, manipulationssicher und jederzeit verfgbar aufbewahrt werden. Weiterhin mssen die Daten maschinell auswertbar sein. Eine alleinige Aufzeichnung auf Mikrolm oder Papier ist nicht ausreichend.

Leitfaden zur rechtssicheren E-Mail-Archivierung

Konikte zwischen Datenschutz und E-Mail-Archivierung vermeiden

Vergleichbare Situationen in Deutschland, sterreich und der Schweiz Die hier fr Deutschland geschilderte Problematik und die aufgezeigten Lsungsanstze sind auch fr sterreich und die Schweiz relevant. Allerdings besitzen die jeweils zu Grunde liegenden Gesetze und Vorschriften abweichende Bezeichnungen in den jeweiligen Lndern.

Durch die Umsetzung einer Compliance-Strategie, mit deren Hilfe die gesetzlichen Anforderungen zur Aufbewahrung von E-Mails umgesetzt werden sollen, kann ein Unternehmen unter gewissen Umstnden in Konikt mit anderen rechtlichen Vorschriften geraten.

Automatische Archivierung aller E-Mails sofort bei Ein- und Ausgang

In Anbetracht der Masse der tglich empfangenen und versendeten E-Mails ist eine Kategorisierung in archivierungspichtige und nicht -archivierungspichtige E-Mails in der Praxis beinahe unmglich. Um die Vollstndigkeit der Archivierung zu gewhrleisten werden hug alle E-Mails sofort bei Ein- und Ausgang archiviert. So wird gleichzeitig mglichen Manipulationen vorgebaut, da Mitarbeiter die digitale Post vor der Archivierung weder verndern noch lschen knnen. Diese Archivierungsstrategie kann jedoch in Konikt mit den Datenschutzrichtlinien stehen. Ist den Arbeitnehmern beispielsweise die private E-Mail-Nutzung gestattet, unterliegt der Arbeitgeber als Telekommunikationsanbieter dem Bundesdatenschutzgesetz (BDSG) und dem Telekommunikationsgesetz (TKG).

Untersagung der privaten E-Mail-Nutzung

Zur Lsung dieses Problems kann die private E-Mail-Nutzung untersagt oder die ausschlieliche Nutzung externer E-Mail-Dienste vorgeschrieben werden. Um juristisch auf der sicheren Seite zu sein, muss dies schriftlich xiert, kontrolliert und konsequent durchgesetzt werden.

Leitfaden zur rechtssicheren E-Mail-Archivierung

Alternative Betriebsvereinbarung?
Bisweilen wird die Au assung vertreten, dass die private Nutzung des geschftlichen E-Mail-Accounts und E-Mail-Archivierung dann nicht in einem Konikt stehen, wenn die Mitarbeiter gegebenenfalls mittels einer Betriebsvereinbarung durch den Betriebsrat der Archivierung explizit zugestimmt haben. Allgemein betrachtet ist dies auch zutre end, im Detail jedoch kompliziert. Denn problematisch hierbei ist, dass der Mitarbeiter auf diese Weise nur seine eigenen durch das Fernmeldegeheimnis geschtzten Rechte abtreten kann. Dies gilt jedoch selbstverstndlich nicht fr einen eventuellen externen Kommunikationspartner, dessen Nachrichten ja unwissentlich und unwillentlich mitgesichert wrden. Da also die E-Mails von Auenstehenden archiviert wrden und deren Recht auf Datenschutz verletzt, erscheint dieses Vorgehen nicht als zielfhrende Alternative.

Best Practice Tipp Das Verbot der privaten Nutzung betrieblicher E-MailAccounts ist nach Abwgung aller Mglichkeiten der beste Weg, um Konikte zwischen Datenschutz und E-MailArchivierung vermeiden.

Personenbezogene Inhalte dienstlicher E-Mails

Es existieren darber hinaus noch gewisse Unsicherheiten, selbst wenn die private Nutzung der geschftlichen E-Mail-Accounts explizit untersagt ist: Beispielsweise knnen auch dienstliche EMails durchaus datenschutzrechtlich relevante, personenbezogene Inhalte haben. In diesem Zusammenhang wird gegen eine generelle Archivierung aller Mails beispielhaft die mgliche elektronische Post des Betriebsarztes an einen Mitarbeiter angefhrt. Selbstverstndlich handelt es sich dabei um vertrauliche und somit schtzenswerte Inhalte. Fhrende deutsche IT-Rechtler vertreten allerdings die Au assung, dass bei einer Interessenabwgung zwischen dem Datenschutz des Arbeitnehmers (Art. 2 I GG i.V.m. Art.1 I GG) und dem Schutz des eingerichteten und ausgebten Gewerbebetriebes des Arbeitgebers (Art. 14 I GG) letzterer obsiegt. Der Begri der Erforderlichkeit ( 32 BDSG) spielt hierbei eine wichtige Rolle. Denn aufgrund der zahlreichen Gesetze und Vorschriften besteht eben nicht nur ein Interesse, sondern geradezu die Picht zur Archivierung. Allerdings muss der Arbeitgeber unbedingt seiner Informationspicht ber die E-Mail-Archivierung gem 4 III BDSG nachkommen und alle Mitarbeiter vor der Implementation einer entsprechenden Lsung informieren.

Leitfaden zur rechtssicheren E-Mail-Archivierung

Grauzone: Spam-Filterung vor der Archivierung

Die Spam-Filterung vor der Archivierung birgt grundstzlich das Risiko, dass archivierungspichtige E-Mails nicht durch den Spam-Filter und somit auch nicht in das Archiv gelangen. Die Archivierung wre somit nicht vollstndig und streng genommen auch nicht rechtssicher. In der Praxis bestehen dazu drei Handlungsmglichkeiten:

Es wird auf die Spam-Filterung vor der Archivierung verzichtet

Empfangene E-Mails werden von einer Anti-Spam-Lsung geltert und danach archiviert

Als Spam identizierte E-Mails werden noch vor Annahme durch den eigenen E-Mail-Server abgewiesen

Auf diese Weise ist zwar die Vollstndigkeit der Archivierung sichergestellt, jedoch geht dies mit technischen Nachteilen einher. So wird durch das extrem hohe (da ungelterte) E -Mail-Volumen der Speicherbedarf des Archivs stark erhht. Die Folge sind hherer Aufwand und Kosten beim Speichermanagement und bei der Datensicherung. Zudem nimmt die Qualitt der Suchergebnisse bei der Archivsuche durch den hohen Spam-Anteil deutlich ab.

Auf diese Weise wird zwar der Speicherbedarf des Archivs deutlich verringert und die Qualitt von Suchabfragen erhht, jedoch kann eine vollstndige Archivierung aller relevanten E-Mails nicht zu 100% sichergestellt werden. Diese E-Mails knnen flschlicherweise vom Spam-Filter abgewiesen werden. Das Verfahren geht demnach mit einem gewissen rechtlichen Risiko einher.

Solange als Spam identizierte E-Mails nicht angenommen werden, besteht auch keine Picht zur Verarbeitung oder zur Archivierung dieser EMails. Technisch gesehen darf die Annahme der E-Mail nicht mittels Statuscode 250 vom SMTP-Server quittiert werden. In diesem Fall ist nicht der eigene, sondern der zustellende E-Mail-Server fr die Versendung des NDR (NonDelivery Reports) an den Absender verantwortlich.

Leitfaden zur rechtssicheren E-Mail-Archivierung

Rechtssichere E-Mail-Archivierung mit MailStore Server

MailStore Server wird regelmig durch eine unabhngige Wirtschaftsprfungsgesellschaft zertiziert. Die Prfung ndet auf der Grundlage der Prfungsstandards des Instituts der Wirtschaftsprfer in Deutschland e.V. (IDW) "Erteilung und Verwendung von Softwarebescheinigungen" (IDW PS 880) statt und bercksichtigt alle Teilaspekte der Grundstze ordnungsgemer Buchfhrung, welche die Archivierung betre en.
Aufbewahrungspichten und fristen von Dokumenten im Gesundheitswesen Die Aufbewahrungspichten im Gesundheitswesen, die sich beispielsweise aus dem Sozialgesetzbuch ergeben, denieren gegenber den handels- und steuerrechtlichen Regelungen keine zustzlichen materiellen Anforderungen an die revisionssichere Aufbewahrung von Belegen oder Dokumenten. Dies bedeutet, dass keine weiteren technischen Anforderungen an die Informationstechnologie gestellt werden. Es erweitert sich jedoch der Kreis der aufzubewahrenden Unterlagen und Informationen. Diese sind, wie auch nach Handels- und Steuerrecht, im Einzelfall zu prfen. Letztendlich knnen mit MailStore Server somit auch die Aufbewahrungspichten (hinsichtlich EMails) im Gesundheitswesen technisch erfllt werden.

Regelmige Zertizierungen
Deutschland
Vorschriften des Handels- und Steuerrechts ber die Ordnungsmigkeit der Buch-fhrung ( 238 . und 257 HGB sowie 140 . AO) IDW Stellungnahme zur Rechnungslegung "Grundstze ordnungsmiger Buchfhrung bei Einsatz von Informationstechnologie (IDW RS FAIT 1)" IDW Prfungsstandard "Erteilung und Verwendung von Softwarebescheinigungen (IDW PS 880)" "Grundstze ordnungsmiger DV-gesttzter Buchfhrungssysteme (GoBS)" der Arbeitsgemeinschaft fr wirtschaftliche Verwaltung e.V. (AWV) sowie das dazu ergangene Begleitschreiben des Bundesministers der Finanzen vom 07.11.1995 Schreiben des Bundesministers der Finanzen "Grundstze zum Datenzugri und zur Prfbarkeit digitaler Unterlagen (GDPdU)" vom 16.07.2001 Deutsches Umsatzsteuergesetz

sterreich
sterreichische handels- und steuerrechtliche Vorschriften ( 189 UGB, 131, 132 BAO) Fachgutachten des Fachsenats Datenverarbeitung der sterreichischen Kammer der Wirtschaftstreuhnder (KFS DV1, Stand 11/1998) sterreichisches Umsatzsteuergesetz

Schweiz
Vorschriften zur Buchfhrung, Aufbewahrung und Edition des schweizerischen Obligationenrechts (OR) Richtlinien der Treuhand Kammer bezglich der Grundstze ordnungsmiger Buchfhrung (Revisionshandbuch der Schweiz) "Richtlinien fr die Ordnungsmigkeit des Rechnungswesens unter steuerlichen Gesichtspunkten sowie ber die Aufzeichnung von Geschftsunterlagen auf Bild- oder Datentrger und deren Aufbewahrung" der eidgenssischen Steuerverwaltung (EStV) Verordnung ber die schweizerische Mehrwertsteuer (MWSTV) und die Wegleitung fr Mehrwertsteuerpichtige

Leitfaden zur rechtssicheren E-Mail-Archivierung

Das MailStore Server-Technologiekonzept

Neben regelmigen Zertizierungen sorgt ein umfassendes Technologiekonzept dafr, dass Unternehmen mit Hilfe von MailStore Server die geltenden gesetzlichen Anforderungen zuverlssig erfllen knnen. MailStore Server ermglicht die 100% vollstndige Archivierung aller E-Mails im Unternehmen Archivierte E-Mails stimmen in jeder Hinsicht mit dem Original berein Protokollierung von nderungen und Ereignissen ber eine integrierte Auditing-Funktion im Windows-Ereignisprotokoll Zugri durch Prfer ber Benutzertyp Auditor mglich Alle E-Mails knnen jederzeit im Standardformat nach RFC822 aus dem Archiv heraus exportiert werden Bildung von SHA1-Hashwerten ber die Inhalte der E-Mails Interne AES256-Verschlsselung Kein direkter Zugri der MailStore Client-Komponenten auf die Archivdateien nderung der E-Mail-Inhalte ist weder in der graschen Oberche noch programmintern vorgesehen Automatische Archivierung aller E-Mails sofort bei Ein- und Ausgang verhindert Manipulationen zum Zeitpunkt vor der Archivierung durch MailStore Server MailStore Software GmbH Cloerather Str. 1-3 41748 Viersen Deutschland E-Mail sales@mailstore.com Telefon +49-(0)2162-502990 Fax +49 (0)2162 - 50299-29 www.mailstore.com

ber MailStore Server

Mit MailStore Server knnen Unternehmen die rechtlichen, technischen und wirtschaftlichen Vorteile moderner E-Mail-Archivierung einfach und sicher fr sich nutzbar machen. Dazu legt MailStore Server perfekte Kopien aller E-Mails in einem zentralen E-Mail-Archiv ab und stellt so die Sicherheit und Verfgbarkeit beliebiger Datenmengen ber viele Jahre hinweg sicher. Anwender knnen weiterhin ber Microsoft Outlook, Web Access oder mobil ber Tablets und Smartphones auf ihre E-Mails zugreifen und diese in atemberaubender Geschwindigkeit durchsuchen. MailStore Server kombiniert eine leistungsstarke Technologie mit niedrigen Kosten und intuitiver Bedienbarkeit. Bereits heute vertrauen ber 10.000 Unternehmen aller Gren und Branchen bei der E-Mail-Archivierung auf MailStore Server.
Rechtlicher Hinweis Dieses Dokument dient lediglich der Information und stellt keine Rechtsberatung dar. Im konkreten Einzelfall wenden Sie sich bitte an einen spezialisierten Rechtsanwalt. Eine Gewhr und Haftung fr die Richtigkeit aller Angaben wird nicht bernommen.