Navigation überspringen

E-Mail-Archivierung – Weit mehr als nur Rechtssicherheit

Im ersten und zweiten Teil unserer Serie rund um die sichere E-Mail-Nutzung haben wir uns u.a. damit beschäftigt, wie E-Mails grundsätzlich aufgebaut sind. Die Artikel behandelten darüber hinaus, welchen Sicherheitsgewinn Faktoren wie Absenderreputation, Spamschutz, Verschlüsselung und Signaturen beim Empfangen und Senden von Nachrichten bieten können. Im dritten Beitrag schließt sich nun der Kreis zur langfristigen Aufbewahrung, denn hier beleuchten wir wichtige Aspekte der Archivierung von E-Mails und die damit verbundenen Mehrwerte.

Rechtliche Grundlagen und Anforderungen

Wer sich mit der Aufbewahrung von E-Mails beschäftigt und nach einer eindeutigen, rechtssicheren Vorgehensweise sucht, wird im ersten Moment vielleicht enttäuscht sein. Denn das Problem ist: Leider findet sich nicht das eine Regelwerk, die eine Verordnung oder gar der einzelne Paragraph, der sich explizit und ausschließlich damit befasst, wie E-Mails rechtssicher zu archivieren sind.

Stattdessen ergeben sich die Anforderungen an eine rechtlich einwandfreie E-Mail-Archivierung in der Praxis aus einer ganzen Reihe verschiedener Vorschriften. Hier sei eines vorweggeschickt: Zu allem Überfluss scheinen sich manche davon, zumindest auf den ersten Blick, auch noch teilweise zu widersprechen. Dies gilt etwa dann, wenn einerseits lange Aufbewahrungsfristen für bestimmte Arten von E-Mails verlangt werden, andererseits andere Typen von E-Mails bewusst nicht dauerhaft archiviert werden dürfen. Hier kommt z.B. auch die Datenschutzgrundverordnung (EU-DSGVO) ins Spiel, zu deren Prämissen ein möglichst sparsamer Umgang mit personenbezogenen Daten gehört: Was nicht länger erforderlich ist, kann nicht nur, sondern muss sogar gelöscht werden.

Um dies mit Bezug auf den Unternehmensalltag zu illustrieren, wird häufig das Beispiel der Bewerbungsunterlagen herangezogen. Im Zuge einer Bewerbung erhält ein Unternehmen typischerweise eine Reihe von Unterlagen seitens des Bewerbenden, beispielsweise einen Lebenslauf, Scans von Zeugnissen usw. Unstrittig also personenbezogen Daten. Wird die sich bewerbende Person eingestellt, ist eine längerfristige Speicherung bestimmter personenbezogener Daten (schließlich handelt es sich nun um eine Mitarbeiterin beziehungsweise einen Mitarbeiter des Unternehmens) natürlich zulässig und auch aus praktischen Gründen notwendig. Gänzlich anders verhält es sich allerdings bei einer Absage. In diesem Fall gilt: Alle betreffenden Unterlagen müssen sechs Monate nach der Absage komplett gelöscht werden.

Umgang mit privaten E-Mails

Diese Herausforderung zeigt bereits eine Detailanforderung, die an eine professionelle E-Mail-Archivierung gestellt werden muss: Vieles muss, aber nicht alles darf dauerhaft archiviert werden. In diesem Zusammenhang wird auch das Thema private E-Mails häufig angesprochen. Unternehmen, die sich nicht für ein generelles Verbot der privaten Nutzung geschäftlicher E-Mail-Adressen entscheiden, können mit einer professionellen Archivierung z.B. über Filterregeln dafür sorgen, dass private Nachrichten von der dauerhaften Archivierung ausgenommen werden.

Was lange währt: Aufbewahrungsfristen

Doch zurück zu den grundsätzlichen Anforderungen. Wichtig ist hier zunächst, zu verstehen, dass geschäftliche E-Mails letztlich ähnlich behandelt werden müssen wie andere Dokumente oder Geschäftsbriefe. Dies bedeutet beispielsweise auch, dass es hinsichtlich der Aufbewahrungsfristen keinen Unterschied macht, ob etwa eine Rechnung oder ein geschäftlicher Vertrag als E-Mail oder per klassischer Briefpost empfangen wurden. Die erforderlichen Aufbewahrungsfristen ergeben sich in diesem Fall unter anderem aus dem Handelsgesetzbuch (HGB) und der Abgabenordnung (AO). Vorgesehen ist für so genannte Handelsbriefe eine Aufbewahrungszeit von sechs Jahren, die jeweils mit dem Ablauf des Kalenderjahres startet. Aufgepasst aber: Geht es um Unterlagen mit steuerlicher/buchhalterischer Relevanz, entsteht eine Aufbewahrungsfrist von zehn Jahren.

Da zu solchen Unterlagen laut Abgabenordnung auch „… die zu ihrem Verständnis erforderlichen Arbeitsanweisungen und sonstigen Organisationsunterlagen“ zählen, dürfte in der Praxis in vielen Unternehmen längst nicht immer klar zu unterscheiden sein, welche E-Mails nun eindeutig nur als reine Handelsbriefe gelten und welche hingegen auch entsprechende Bedeutung für die Finanzbehörden haben können. Es erscheint daher ratsam, bei geschäftlich relevanten E-Mails generell für die Einhaltung einer zehnjährigen Aufbewahrungsfrist zu sorgen.

Vollständig und manipulationssicher

Doch die Frage, wie lange E-Mails zu archivieren sind, ist natürlich nicht die einzige, die sich rund um den rechtskonformen Umgang mit der E-Mail-Archivierung stellt. Mindestens ebenso entscheidend ist das „wie“. Denn wer z.B. E-Mail-Ordner einfach so auf Backup-Medien sichert, kann diese gerne nicht nur zehn, sondern auch 20 oder gar 30 Jahre aufbewahren – die Voraussetzungen an eine rechtssichere Archivierung werden dadurch trotzdem nicht erfüllt.

Stattdessen ist es hilfreich, sich mit den Anforderungen wie Vollständigkeit, Verfügbarkeit, maschinelle Auswertbarkeit und Manipulationssicherheit zu beschäftigen, die sich aus den „Grundsätzen zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“ (kurz GoBD) ergeben. Denn aus diesen Kriterien lassen sich gleichzeitig Vorgaben für die technische Umsetzung der E-Mail-Archivierung ableiten.

1. Vollständigkeit:
Dieser Punkt ist weitgehend selbsterklärend: Die Archivierung muss vollständig erfolgen, es müssen also alle relevanten E-Mails davon erfasst werden. Ein wichtiger Aspekt, der sich daraus für die technische Umsetzung ergibt: Eine E-Mail-Archivierung wird in aller Regel vollautomatisch – also ohne aktive Handlung des Anwenders – funktionieren müssen. Sich darauf zu verlassen, dass Mitarbeitende den Archivierungsprozess manuell anstoßen (und dies nie vergessen), ist unrealistisch.

Des Weiteren ist darauf zu achten, dass tatsächlich alle Postfächer erfasst werden, also auch solche von Beschäftigten, die nicht am Hauptsitz des Unternehmens arbeiten oder auch allgemeine, nicht einzelnen Personen zugeordnete E-Mail-Adressen (info@, kontakt@, office@ usw.). Ebenfalls wichtig: Vollständigkeit bedeutet selbstverständlich auch, dass E-Mails inklusive etwaiger Dateianhänge (Attachments) archiviert werden.

2. Verfügbarkeit:
Auch hier sind die Vorgaben relativ eindeutig: Unterlagen, die aufbewahrungspflichtig sind, müssen während dieser Aufbewahrung jederzeit verfügbar sein. Dies bedeutet auch übertragen auf die technische Lösung zur Archivierung, dass archivierte E-Mails bei Bedarf jederzeit les- und auswertbar gemacht werden können, etwa im Falle einer Betriebsprüfung. Dies spricht gleichzeitig sehr dafür, ein- und ausgehende E-Mails jeweils sofort zu archivieren, wenn sie empfangen oder versendet werden.

3. Maschinelle Auswertbarkeit:
Ein weiterer wichtiger Aspekt bei der E-Mail-Archivierung ist die maschinelle Auswertbarkeit. Hierunter verstehen u.a. die Finanzbehörden, dass sich Daten/Datensätze/Dokumente (in diesem Fall E-Mails) nach bestimmten Kriterien auswerten und durchsuchen lassen, etwa über mathematisch-technische Auswertungen, Bildschirmabfragen, eine Volltextsuche mit Texteingabe und ähnliche Formen.

4. Manipulationssicherheit:
Auch die Manipulationssicherheit, also der Schutz vor absichtlichen oder auch unabsichtlichen Veränderungen der archivierten E-Mails, gehört zu den entscheidenden Eckpfeilern einer rechtssicheren E-Mail-Archivierung. Zum Schutz des E-Mail-Archivs bietet sich bei professionellen Lösungen in der Regel die Kombination aus einer Verschlüsselung der Daten sowie der Vergabe von eindeutigen elektronischen Signaturen an. Denn auf diese Weise wird nicht nur der unbefugte Zugriff auf die E-Mails verhindert, sondern auch jegliche Manipulation würde sofort erkannt.

Weit mehr als nur Rechtssicherheit: Zusätzliche Mehrwerte der E-Mail-Archivierung

Viele Unternehmen beschäftigen sich im ersten Schritt vor allem aufgrund der bereits geschilderten rechtlichen Anforderungen mit dem Thema E-Mail-Archivierung. Dabei wird immer noch sehr häufig übersehen, dass eine professionelle, effiziente Archivierung ganz erhebliche Mehrwerte erzeugen kann.

Schneller suchen & finden

Wer schon einmal in einem riesigen Posteingang oder auf dem Mailserver verzweifelt nach einer mehrere Monate oder gar Jahre alten E-Mail gesucht hat, kennt das Problem meist nur zu gut: Die Auswahl bestimmter Stichwörter oder Filter für die Suche ist relativ mühsam und gerade bei großen Datenbeständen gestaltet sich auch der eigentliche Suchvorgang langwierig.

Wartezeiten sind vorprogrammiert. So hat eine Studie von REDDOXX zum „Status der E-Mail“ gezeigt, dass 77 % der Arbeitnehmerinnen und Arbeitnehmer in Deutschland jede Woche mit der Suche nach älteren E-Mails beschäftigt sind. Und diese Suchvorgängen können dauern: Rund 59 % geben an, bis zu zehn Minuten pro Suchvorgang zu benötigen. Eine moderne E-Mail-Archivierung hingegen stellt in der Regel eine hochperformante Volltext-Suchmaske zur Verfügung. Die Suche nach einer bestimmten E-Mail wird dadurch ebenso einfach wie eine Internet-Recherche – und auch die Ergebnisse liegen dank professioneller Indizierungsverfahren viel schneller vor.

Statistik über die Suche nach alten E-Mails

Effizienter und übersichtlicher arbeiten

Viele Mitarbeiter scheuen sich davor, E-Mails aus ihrem lokalen Posteingang zu löschen und kämpfen dadurch mit großen, unübersichtlichen E-Mail-Bergen. Darunter oft zahlreiche Newsletter und eher unwichtige E-Mails, die zwar aufbewahrt werden sollen, auf die jedoch nur selten tatsächlich zugegriffen werden muss. Ist eine professionelle E-Mail-Archivierung im Einsatz, lässt sich im Posteingang ein radikaler „Frühjahrsputz“ durchführen. Denn ältere und weniger relevante E-Mails können problemlos direkt gelöscht werden – im Archiv stehen sie für alle Fälle ja auch weiterhin zur Verfügung.

Ortsunabhängiger Zugriff auf sämtliche E-Mails

Ob im Büro, vom Homeoffice aus oder unterwegs per Smartphone: Wer seine E-Mails zentral archiviert, kann problemlos von überall darauf zugreifen. Ort und genutztes Endgerät spielen keine Rolle mehr. Und neben einer Outlook-Integration können auch der Browser oder eine App den Zugang zum Archiv öffnen. Das schafft eine entscheidende Grundlage für wirklich flexibles, nahtloses Arbeiten. Denn Mitarbeiterinnen und Mitarbeiter haben eben zum Beispiel auch vom Homeoffice aus Zugriff auf die wichtigen Unterlagen, die letztes Jahr als E-Mail-Anhang verschickt wurden.

Entlastung für den Mailserver

Dieser Aspekt erfreut vor allem Administratoren und IT-Verantwortliche: Eine automatische Archivierung aller ein- und ausgehenden E-Mails schafft die Voraussetzung für eine massive Entlastung des Mailservers. Denn dieser muss nicht mehr als Pseudo-Archiv für ältere E-Mails missbraucht werden – die Mails können problemlos bereits nach kurzer Zeit automatisch vom Mailserver gelöscht werden und bleiben über das Archiv im Zugriff. Auch der Einsatz von PST-Files kann in diesem Zuge entfallen. Da trotz höherer Performance weniger Ressourcen benötigt werden, ergibt sich hier oft auch Einsparpotenzial bei Investitionen in die Mailserver-Infrastruktur.

Sicherer Zugriff auf E-Mails ausgeschiedener Mitarbeiter

Sowohl die E-Mails ehemaliger Mitarbeiter als auch Mails von allgemeinen, personenübergreifenden Adressen sind in Szenarien ohne moderne Archivierung oft problematisch. Denn einerseits darf kein Datenverlust eintreten, andererseits muss ein rechtlich sauberer Zugriff auf die Informationen möglich sein. Beides lässt sich über ein zentrales E-Mail-Archiv problemlos abdecken – die E-Mails ehemaliger Mitarbeiter etwa bleiben erhalten und können von berechtigten Benutzern im Archiv eingesehen werden.

Fazit

E-Mail-Archivierung ist einerseits aus rechtlichen Gründen erforderlich, kann andererseits aber noch wesentlich mehr leisten. Unternehmen, die sich für eine professionelle Archivierungslösung entscheiden, können ihre Prozesse optimieren, für mehr Produktivität sorgen und gleichzeitig oft auch bestehende IT-Systeme entlasten. Gute Chancen auf gleich mehrere Vorteile auf einmal also. Selbstverständlich stehen REDDOXX und Vertical Ihnen rund um das sichere E-Mail-Management und die rechtskonforme Archivierung jederzeit gerne mit Rat und Tat zur Seite.

Zum Seitenanfang