E-Mail-Archivierung und DSGVO – die größten Mythen im Überblick

E-Mail-Archivierung und DSGVO – die größten Mythen im Überblick

Bürger der Europäischen Union haben Grund zur Freude: Die Einführung der seit Mai 2018 geltenden Datenschutzgrundverordnung (DSGVO) stärkt den Schutz der persönlichen Daten erheblich und läutet zugleich ein neues Zeitalter des europäischen Datenschutzes ein. Doch was des einen Freud ist, ist des anderen Leid. Denn nicht überall stößt das „strengste Datenschutzgesetz der Welt“ auf Zustimmung. Unternehmen und Organisationen, die die Vielzahl an neuen Regelungen und Richtlinien umsetzen müssen, sind genervt durch den erheblichen Mehraufwand und die teils undurchsichtigen Vorschriften.

Da sich die DSGVO auch unmittelbar auf den Umgang mit E-Mails auswirkt, gibt es auch hier einige Dinge zu beachten – insbesondere mit Blick auf das Thema E-Mail-Archivierung. Wir zeigen, wie die DSGVO und die rechtssichere E-Mail-Archivierung unter einen Hut gebracht werden können und klären über die wichtigsten Mythen auf.

Der Teufel steckt im Detail

Muss ich als Unternehmen wirklich alle E-Mails archivieren und wenn ja, wie lange überhaupt? Das sind typische Fragen, die sich Verantwortliche bei der Umsetzung der DSGVO stellen. An dieser Stelle kommen die GoBD (Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung) ins Spiel. Sie geben vor, wie lange E-Mails mit bestimmten Inhalten archiviert werden müssen. Nicht selten wird die Archivierung auch mit dem Backup verwechselt, doch hierbei müssen deutliche Unterschiede gemacht werden.

Während ein Backup für die temporäre Verfügbarkeit von Daten sowie deren Wiederherstellung sorgt, kommt der Archivierung eine andere Funktion zu: Sie garantiert die langfristige Speicherung von Daten auf einem separaten Speichermedium zu Dokumentationszwecken. Nach den GoBD muss eine E-Mail immer dann archiviert werden, wenn sie anstelle eines Handels- bzw. Geschäftsbriefs oder eines Buchungsbelegs fungiert. Ist die E-Mail nur Transportmittel und enthält beispielsweise einen Buchungsbeleg im Anhang, dann muss lediglich die angehängte Datei als solche, nicht aber die E-Mail aufbewahrt werden. Ein Ausdruck der Rechnung reicht hingegen nicht aus.

Hornetsecurity News


Bleiben Sie informiert

Melden Sie sich für die Hornetsecurity News an, um aktuelle Informationen aus dem Bereich Cloud Security zu erhalten.

Die vorgeschriebene Aufbewahrungszeit für geschäftliche E-Mails beträgt sechs bis zehn Jahre. Kleingewerbetreibende sind jedoch von dieser Regelung ausgeschlossen. Die genauen Aufbewahrungspflichten für die unterschiedlichen Arten von Dokumenten, können in der Abgabenordnung und im Handelsgesetzbuch nachgelesen werden. Anders sieht es mit privaten E-Mails aus: Firmen, in denen die private E-Mail-Nutzung zumindest geduldet wird, dürfen unter keinen Umständen die private E-Mail-Kommunikation von Mitarbeitern überwachen oder speichern.

Die GoBD gibt des Weiteren vor, dass E-Mails unverändert zu archivieren sind. Das bedeutet, dass eine reine Ablage von digitalisierten Dokumenten an dieser Stelle nicht genügt. Ein weiterer Irrglaube ist die Ablage über den E-Mail-Client. Einfach einen Ordner anzulegen und sämtliche E-Mails, die der Archivierungspflicht unterliegen, manuell dorthin zu verschieben, genügt ebenso wenig.

Hier fehlt schlicht und ergreifend der richtige Schutz vor Verlust oder Diebstahl. Doch wie kann ein Unternehmen diese ganzen Vorschriften möglichst kostengünstig sowie Zeit- und Ressourcensparend umsetzen?

Die Lösung liegt in der Cloud

Wer auf der wirklich sicheren Seite sein möchte, der setzt auf die zeitgemäße E-Mail-Archivierung über die Cloud. Cloud-basierte E-Mail-Archivierungslösungen bieten gleich mehrere Vorteile für Unternehmen: sie sind voll-automatisiert, rechtssicher und funktionieren ohne Zutun der internen IT.

Der E-Mail-Archivierungsservice von Hornetsecurity sorgt beispielsweise dafür, dass E-Mails vollautomatisiert ins Archiv übertragen werden. Dabei wird sehr genau zwischen Clean-Mails und Spam- sowie Info-Mails unterschieden. Letztere landen selbstverständlich nicht im E-Mail-Archiv. Auch die umständliche und zeitintensive Suche nach archivierten E-Mails bleibt durch den E-Mail-Archivierungsservice erspart.

Über das Hornetsecurity Control Panel können E-Mails dank perfekt abgestimmter Suchalgorithmen spielend leicht wiedergefunden- und gefiltert werden. Auch die IT-Verantwortlichen haben Grund zur Freude: Nur wenige Klicks genügen, um den E-Mail-Archivierungsservice zu verwalten – egal, ob es sich dabei um den Import oder Export von E-Mails oder grundsätzliche Einstellungen zur Archivierungsdauer handelt.

Vielleicht ebenfalls für Sie von Interesse:

Elektronische Archivierung – aber richtig

Elektronische Archivierung – aber richtig

“Ist das noch wichtig, oder kann das weg?” Diese Frage lässt sich im geschäftlichen Umfeld meist nicht mit einem klaren Ja oder Nein beantworten. Damit sich Geschäftsleute nicht im Dschungel von Gesetzen sowie von An- und Verordnungen verirren, hat der Gesetzgeber einige Regeln aufgestellt. Darin enthalten sind auch ganz klare Verfügungen über die Archivierung von geschäftsrelevantem E-Mail-Verkehr.

 

Das Handelsgesetzbuch ist die gesetzliche Grundlage für den Geschäftsverkehr in Deutschland. Darin ist beispielsweise auch festgeschrieben, dass Unternehmen bestimmte Schriftstücke für bestimmte Zeiträume archivieren müssen, damit bei Bedarf Prozesse jederzeit nachverfolgt und belegt werden können. Archiviert werden müssen Geschäftsbücher und Aufzeichnungen, Inventare, Jahresabschlüsse, Lageberichte, die Eröffnungsbilanz sowie die zu ihrem Verständnis erforderlichen Arbeitsanweisungen. Ins Archiv gehören aber auch die empfangenen Handels-oder Geschäftsbriefe sowie nicht zuletzt Buchungsbelege und sonstige Unterlagen, die für die Steuerbehörden relevant sein können. Dazu zählt auch die gesamte Korrespondenz, mit der ein Geschäft vorbereitet, abgewickelt, abgeschlossen oder rückgängig gemacht wird. Beispiele dafür sind Rechnungen, Aufträge, Reklamationsschreiben, Zahlungsbelege und Verträge.

 

Diese Spielregeln gelten auch dann, wenn diese Dokumente per E-Mail oder als Anhänge elektronischer Nachrichten versendet werden. Mit entsprechend angepassten Gesetzen wurde der Digitalisierung von Geschäftsprozessen sowie der rasant ansteigenden IT-basierten Kommunikation bereits Rechnung getragen. Im vergangenen Jahr standen nun die bisherigen Regularien auf dem Prüfstand. Seit dem 1. Januar 2015 schreiben die sogenannten GoBD (“Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff”) die Verhaltensregeln fest. Im Zuge dessen haben sich einige Änderungen in Bezug auf die gesetzmäßige Speicherung von elektronischen Geschäftsdaten ergeben. Auch die E-Mail-Archivierung ist davon betroffen.

 

Nicht jede Mail ist reif für’s Archiv

 

Allerdings muss nicht jede geschäftlich erstellte oder erhaltene E-Mail auch aufbewahrt werden. Steuerlich relevante E-Mails, die einem Handels- oder Geschäftsbrief bzw. einem Buchungsbeleg entsprechen, sind auch in elektronischer Form auf jeden Fall aufbewahrungspflichtig. Eine E-Mail, die lediglich als Transportmittel für ein geschäftlich relevantes Dokument, wie eine Rechnung, dient und keine geschäftsrelevanten und aufbewahrungspflichtigen Informationen enthält, muss dagegen nicht archiviert werden. Schließlich hebt man ja auch keine normalen Briefumschläge auf, in denen Papierbelege versandt werden.

Mails, die keine Inhalte haben, die für das Finanzamt relevant sind, müssen ebenfalls nicht archiviert oder für den Datenzugriff verfügbar gehalten werden. Eine Ausnahme bilden Nachrichten, die im Interesse des Unternehmens aufbewahrt werden sollten, wenn es beispielsweise um Vereinbarungen zu Gewährleistungen oder Produkthaftungen geht.

 

Unternehmen, die sich mit der elektronischen Archivierung auseinandersetzen müssen, sollten bedenken, dass es sich dabei um eine Anwendung handelt, die für die Geschäftsprozesse von hoher Brisanz ist. Darum sollte im Vorfeld einige Punkte abgefragt werden, bevor der Zuschlag für eine Lösung ergeht. Dazu gehören Fragen wie:

 

  • Erfüllt die Software die Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von papierbasierten und elektronischen Geschäftsdokumenten nach GoBD?
  • Werden die Anforderungen aus dem Handelsgesetzbuch (HGB) sowie dem Bundesdatenschutzgesetz (BDSG) erfüllt?
  • Welche Speicherverfahren werden verwendet?
  • Wie werden Dokumente abgelegt und indiziert, um das Wiederauffinden zu erleichtern?
  • Ist die Lösung kompatibel mit der vorhandenen Infrastruktur?

Die Liste lässt sie um eine Reihe weiterer Faktoren erweitern und individuell an die Anforderungen eines Unternehmens anpassen. Um sich solche Fragen jedoch nicht ständig stellen zu müssen, entscheiden sich viele Unternehmen dafür, einfach den gesamten E-Mail-Verkehr zu archivieren. Hierzu eignen sich unter anderem Cloud-Lösungen.

 

Das Archiv in der Wolke schafft Kompatibilität

 

Die Cloud-basierte E-Mail -Archivierungslösung Aeternum von Hornetsecurity kennt keine Kompatibilitätsprobleme und kann ohne großen Aufwand direkt in Betrieb genommen werden. Aeternum speichert geschäftliche E-Mails sowohl aus dem Posteingang, als auch aus dem Postausgang. Von jeder E-Mail wird eine Kopie erstellt, die anschließend auf den Servern von Hornetsecurity gespeichert wird – unverändert und unveränderbar. Dies geschieht völlig automatisch und ohne Eingreifen von Administratoren. Die Archivierung der elektronischen Kommunikation mit externen Partnern erfolgt bereits während des ein-und ausgehenden SMTP-Versands.

 

Datenbanken sind der zentrale Aufbewahrungsort für alle E-Mails. Für ein einfaches Auffinden werden Informationen wie Absender, Empfänger, Betreff und Datum gespeichert, darüber hinaus wird die komplette E-Mail kundenbasiert in einer SQL-Datenbank abgelegt. Für die Speicherung kommen Raid-Festplatten mit RAID Level 5 oder 6 zum Einsatz. Einmal gespeicherte Daten können grundsätzlich nicht mehr verändert werden, wodurch die Revisions-Sicherheit gewährleistet ist. Sind Daten im Archiv gespeichert, lassen sie sich erst nach Ablauf der vorab angegebenen Frist löschen bzw. werden durch die Anwendung automatisch gelöscht.

 

Die Sicherheit ist ein wichtiger Aspekt für die sachgemäße Archivierung von Geschäftsdokumenten. Zugriff auf die archivierten Informationen in der Cloud von Hornetsecurity erhalten nur autorisierte Anwender. Die Rechenzentren arbeiten nach den hohen deutschen Sicherheitsstandards. Zugangskontrollen, Videoüberwachung sowie Schließsysteme und klassische Sicherheitselemente wie Firewalls, Virenschutz und Verschlüsselung sind Standard. Durch das mehrstufige Sicherheitsverfahren, das kontinuierlich an die aktuellen technischen Entwicklungen angepasst wird, sind Manipulationen ausgeschlossen. Damit wird die elektronische Archivierungslösung zum Datensafe in der Cloud.

 

Dies ist ein Gastbeitrag von Petra Adamik, freie Fachjournalistin für verschiedene IT-Fachmedien.