Was eintrifft, muss prüfbar bleiben
Von Sabine Philipp
Auch wenn man das Finanzamt einmal außen vor lässt, kann eine korrekte Archivierung von Geschäftspost nicht schaden. Denn schließlich weiß man nie, ob die elektronischen Briefe nicht einmal z.B. vor Gericht als Beweis dienen müssen, etwa wenn es nachträglich um die Auftragserteilung geht.
Allerdings haben bei der Aufbewahrung viele ein Wörtchen mitzureden, damit die archivierten E-Mails gerichts- und steuersicher sind: Abgabenordnung (AO), Handelsgesetzbuch (HGB), die Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD), das Telekommunikationsgesetz (TKG), das Bundesdatenschutzgesetz (BDSG) und das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG).
Darum sagt Rainer Stecken von der Globolog GmbH: „E-Mails müssen wie Geschäftsbriefe behandelt werden. Das heißt, sie müssen mit vertretbarem Aufwand in vertretbarer Zeit wieder auffindbar sein und unbedingt der ursprünglich abgelegten Form entsprechen – soweit das in unserer technisch schnelllebigen Zeit überhaupt möglich ist.“
Darüber hinaus sollte man dringend berücksichtigen, dass die Signaturen auch nach zehn Jahren überprüfbar sein müssen und dass Verschlüsselungen noch entschlüsselt werden können. Denn so lange müssen E-Mails unter Umständen aufbewahrt werden. Da sich die Technik immer weiter entwickelt, empfiehlt Stecken, gegebenenfalls die entsprechenden Zertifikate und die Programme zu deren Verarbeitung ebenfalls bereitzuhalten.
Rainer Stecken ist Geschäftsführer der Globolog GmbH, die sich mit einem ausgebauten Partnernetzwerk im Bereich kommerzieller Internet-Nutzung stark macht. Der studierte Biologe kennt die hohen Anforderungen von Sicherheit, Datenschutz und Wiederherstellbarkeit sehr genau, nicht zuletzt aus seiner Zeit als Spezialist für E-Payment-Lösungen. Zentrales Anliegen des Unternehmens ist eine komplette E-Mail-Management-Lösung.
Das größte Augenmerk sollte man aber darauf richten, dass die Mails unverändert gespeichert werden. „Technisch ist das kein Problem“, sagt Stecken. Dabei müsse nicht einmal eine aufwändige Lösung etabliert werden: „Selbst mit Outlook, Exchange oder anderen Programmen kann gesetzeskonform archiviert werden. Das Format der E-Mail-Dateien ist dabei egal. Es muss nur ein Archivierungsprogramm aufgespielt werden, das die E-Mails beim Eingang ins Unternehmen manipulationssicher und unter Bereitstellung aller Bearbeitungsschritte im Archiv mit vollständigem Journal archiviert.“ Solche Software ist schon ab 3000 Euro zu haben.
Ungelesen ins Archiv
Bewährt hat sich folgendes Verfahren: „E-Mails können direkt nach Eingang ins Unternehmen und noch vor Übergabe an den Mailserver bzw. vom Mailserver aus archiviert werden“, so Stecken. Dabei arbeitet die Archivierungslösung als Mail Transfer Agent (MTA), der E-Mails archiviert, bevor er sie ins Unternehmen weiterleitet. Der Vorteil: An diesem Punkt der Zustellung ist die E-Mail nicht durch Anwender manipulierbar, weil dieser die Nachricht noch gar nicht bekommen hat. Auch die Entschlüsselung von E-Mails sowie die Prüfung darin befindlicher Signaturen kann bereits hier automatisiert vorgenommen werden.
Ausgehende E-Mails werden vom Mailserver verschickt und treffen dann auf den MTA, der nach vorkonfigurierten Regeln bearbeitet. Die Post wird also direkt vor Verlassen des Unternehmens archiviert. Zuvor können noch Veränderungen an der E-Mail vorgenommen werden (z.B. Signaturen).
Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserer Magazinreihe. Einen Überblick mit freien Download-Links zu sämtlichen Einzelheften bekommen Sie online im Pressezentrum des MittelstandsWiki.
Wichtig ist außerdem das so genannte Journaling, also die Auflistung bearbeiteter E-Mails und der Verarbeitungsschritte. Auf diese Weise ist jederzeit transparent nachvollziehbar, was mit den einzelnen E-Mails geschehen ist. „Das Journaling ist, wie bei einer kaufmännischen Lösung, das erforderliche Nachhalten aller durchgeführten Aktionen mit fortlaufenden Nummern. In unserem Fall heißen diese ,Revisions-ID‘. Solches Journaling leisten auch die Groupware-Lösungen, die archivieren können“, erläutert Stecken.
Eine Alternative besteht darin, die Mails direkt aus dem Speicher des Mailservers zu archivieren. Auch diese Lösung umfasst in der Regel Journaling.
Teil 1 sagt, was solide Lösungen können müssen, und warnt vor den häufigsten Fehlern. Teil 2 geht in die Praxis und gibt Tipps für Archivzugriff, Speicherplatz und den Umgang mit der In-Box.
Schließlich gibt es noch die Archivierung auf Veranlassung durch den Nutzer. Dabei kann man das Archiv im E-Mail-Client des Anwenders wie ein dort übliches Verzeichnis aussehen lassen – obwohl es aus einer ganz anderen Quelle gespeist wird. Der Mitarbeiter archiviert dann, indem er Daten einfach aus einem Postkorb in einen anderen zieht (der aber in Wahrheit das Archiv ist). Allerdings gilt es bei dieser Lösung zu vermeiden, dass der Anwender die Post noch vor der Archivierung verändern kann.
Auf Schriftverkehr zugreifen
Damit sie handhabbar bleibt, muss eine gute Lösung für die Korrespondenz eine Menge leisten: „Das Archiv bietet die adäquate Verrechtung, stellt die Unveränderbarkeit sicher, instanziert Daten, organisiert die Verweildauer von archivierten Objekten wie die zehnjährige Aufbewahrungspflicht und sorgt für das Backup der Daten auf technischer Ebene, so dass die Daten während der gesamten Aufbewahrungsfrist auch tatsächlich verfügbar sind“, erklärt Stecken. Außerdem werden die Daten hier so verfügbar gemacht, dass der Wirtschaftsprüfer gemäß den gesetzlichen Vorgaben auf sie zugreifen kann.
In der Praxis sieht das oft anders aus. „Leider machen viele Unternehmer den Fehler, dass sie ein Archiv mit einer normalen Backup-Lösung verwechseln“, beklagt Stecken. Mit allen Konsequenzen für die Revisionssicherheit. „Dabei sind das doch zwei ganz verschiedene Paar Stiefel!“ Ein Backup dient der Sicherung von Daten auf physikalischer Ebene. Das Ziel ist die Wiederherstellung von Daten, so dass sie schnell wieder verarbeitet werden können (Musterbeispiel: die Kundenliste).
Ein weiterer Fehler: Viele Unternehmer übersehen, dass die Programme, mit denen die Daten erstellt oder bearbeitet wurden, zum Ende der Aufbewahrungspflicht gar nicht mehr unbedingt lauffähig sind – oder überhaupt noch im Einsatz. Das Gleiche gilt auch für Schlüssel oder Zertifikate. Daher empfiehlt Stecken unbedingt, ein Format zu wählen, das viele Programme verschiedener Anbieter unterstützen. Nur so ist gegebenenfalls auch später noch eine Migration möglich. Der Tipp vom Profi: „Eine Möglichkeit wäre es, wenn die Nachricht, zusätzlich zur E-Mail selbst, als PDF/A abgelegt wird.“
Aber auch an den Notfall muss gedacht werden. „Chefs sollten einmal im Jahr an ihrer zentralen DV den roten Not-Aus-Knopf drücken und sehen, wie lange es dauert, bis alle Mitarbeiter wieder produktiv arbeiten können. So testen sie, wie lang der Zeitraum ist, für den Daten fehlen“, empfiehlt Stecken. Aufgrund dieser Erfahrungen können Unternehmen dann einen effektiven Notfallplan ausarbeiten, damit es im Fall des Falles schnell wieder weitergeht.
- Wie E-Mail-Ablagen am besten eingerichtet sind, erläutert Teil 2 dieser Serie.