Montag, 15. Juni 2009

Rechtssichere E-Mail Archivierung

Für Unternehmen gilt:
  • E-Mails sind mit Firmenimpressum zu versehen und somit dem herkömmlichen Geschäftsbrief gleichgestellt.
  • E-Mails in revisionssicherer Form, also grundsätzlich vertraulich, unveränderbar und jederzeit verfügbar, aufbewahrt werden.
Die E-Mails eines Unternehmens müssen eine bestimmte Zeit sicher aufbewahrt werden:
  • Als "Handelsbrief" müssen die E-Mails sechs Jahre aufbewahrt bleiben (Aufbewahrungspflicht des Handelsgesetzbuchs).
  • Aus Steuerrelevanz-Gründen müssen E-Mails zehn Jahre aufbewahrt bleiben. Hierfür gelten die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GdPDU), die seit 2002 dem Finanzamt Prüfungsrechte einräumen. Verstöße gegen Handelsgesetzbuch (HGB), Abgabenordnung (AO) und GoBS/GDPdU können mit Zwangsgeld, Schätzung und dem Verlust von Steuervorteilstatbeständen sanktioniert werden.
Eine Archivierung der E-Mails auf CD/DVD reicht nicht aus, denn mit dieser Methode erfüllen Sie nicht die gesetzlichen Vorgaben hinsichtlich der Voraussetzungen für die Archivierung.

Der VOI (Verband Organisations- und Informationssysteme) hat „Zehn goldene Regeln“ zur revisionssicheren elektronischen E-Mail Archivierung erstellt:
  1. Jedes Dokument muss nach Maßgabe der rechtlichen und organisationsinternen Anforderungen ordnungsgemäß aufbewahrt werden
    Dieser Merksatz beschreibt das übergreifende Ziel jeder Archivierung: die verlässliche und rechts-konforme Aufbewahrung von Dokumenten in geregelter Weise. Er betont, dass die konkrete Ausgestaltung einer Archivierungslösung immer auch von den speziellen Anforderungen der jeweiligen Einsatzumgebung abhängt. Diese Anforderungen ergeben sich aus gesetzlichen und sonsti-gen rechtlichen Vorschriften wie auch aus den Regeln, die sich der Betreiber selbst gegeben hat.
  2. Die Archivierung hat vollständig zu erfolgen – kein Dokument darf auf dem Weg ins Archiv oder im Archiv selbst verloren gehen
    Dieser Merksatz zielt darauf ab, dass alle benötigten Dokumente vollständig erfasst und im Archiv abgelegt werden müssen. Nur so können gesetzliche Dokumentationsanforderungen erfüllt und Vorgänge später lückenlos nachvollzogen werden.
  3. Jedes Dokument ist zum organisatorisch frühestmöglichen Zeitpunkt zu archivieren
    Dieser Merksatz entspricht zum einen dem Prinzip der zeitnahen Verarbeitung und Ablage von Dokumenten. Zum andern gewährleistet ein elektronisches Archivsystem die Vollständigkeit, Integrität und Verfügbarkeit der Dokumente in der Regel auf einem deutlich höheren Sicherheitsniveau im Vergleich zu den anderen Prozessschritten der Dokumentenerfassung und -bearbeitung. Daher empfiehlt sich eine möglichst frühe Archivierung.
  4. Jedes Dokument muss mit seinem Original übereinstimmen und unverän-derbar archiviert werden
    Dieser Merksatz spiegelt die Forderung wider, dass ein archiviertes Dokument dem Original zu jedem Zeitpunkt in beweissicherer Art entsprechen muss. Je nach Dokumentenart und Einsatzzweck kann es sich dabei um eine inhaltliche Identität oder aber um eine bildliche Übereinstimmung mit einem Papieroriginal oder einem elektronischen Originaldokument handeln.
  5. Jedes Dokument darf nur von entsprechend berechtigten Benutzern eingesehen werden
    Dieser Merksatz dient dem Schutz vertraulicher Informationen (Geschäftsgeheimnisse) sowie der Einhaltung der Vorschriften zum Schutz personenbezogener Daten (Datenschutz). Zu diesem Zweck ist ein entsprechendes Berechtigungskonzept umzusetzen.
  6. Jedes Dokument muss in angemessener Zeit wiedergefunden und reprodu-ziert werden können
    Dieser Merksatz bezieht sich auf das Verfügbarmachen archivierter Dokumente in angemessener Zeit. Die maximal tolerierbare Zeit für Suche und Reproduktion leitet sich sowohl aus dem jeweiligen Stand der Informationstechnologie ab, als auch aus dem Kontext, in dem das Dokument bereitgestellt werden soll.
  7. Jedes Dokument darf frühestens nach Ablauf seiner Aufbewahrungsfrist vernichtet, d.h. aus dem Archiv gelöscht werden
    Dieser Merksatz fordert die Verfügbarkeit der Dokumente während des gesamten Aufbewahrungszeitraums. Der tatsächliche Zeitpunkt der Löschung abgelaufener Dokumente ergibt sich dann aus rechtlichen Vorschriften (wie z.B. Datenschutz) und aus technisch-organisatorischen Erwägungen (Minimierung des Aufwands).
  8. Jede ändernde Aktion im elektronischen Archivsystem muss für Berechtigte nachvollziehbar protokolliert werden
    Dieser Merksatz entspricht dem „Radierverbot“ in der Buchführung. Er fordert, dass nachträgliche Änderungen erkennbar sind und dass der ursprüngliche Zustand während der gesamten Aufbewahrungszeit ermittelt werden kann.
  9. Das gesamte organisatorische und technische Verfahren der Archivierung kann von einem sachverständigen Dritten jederzeit geprüft werden
    Dieser Merksatz zielt auf den Nachweis, dass die Archivierungslösung beim jeweiligen Betreiber tatsächlich im Sinne all dieser Merksätze im Einsatz ist. Für diesen Nachweis ist einerseits eine Verfahrensdokumentation unverzichtbar, andererseits muss stets der ordnungsmäßig laufende Betrieb überprüfbar sein (z.B. anhand von Systemprotokollen).
  10. Bei allen Migrationen und Änderungen am Archivsystem muss die Einhaltung aller zuvor aufgeführten Grundsätze sichergestellt sein
    Dieser Merksatz resultiert daraus, dass die Innovationszyklen, der im Archivsystem eingesetzten Hard- und Software, meist sehr viel kürzer sind als die Aufbewahrungszeiten der Dokumente. Während der Aufbewahrungszeit kommt es also praktisch immer zu Änderungen am Archivsystem (vom Austausch einzelner Geräte bis hin zur Migration des kompletten Archivbestands in ein voll-kommen anderes technisches System). Bei derartigen Migrationsmaßnahmen müssen sämtliche aufgeführten Grundsätze beachtet werden. Insbesondere sind die Änderungen und Maßnahmen der Migration sorgfältig zu dokumentieren, so dass deren Ordnungsmäßigkeit während der Aufbewahrungsfrist der migrierten Dokumente überprüfbar ist.

Interessante Links zum Thema E-Mail Archivierung:

Rechtssichere E-Mail Archivierung
Der sichere Umgang mit E-Mails

FAQ E-Mail Archivierung

www.emailarchiv.biz/
www.softrust.com/


Software für die E-Mail Archivierung:

Marktübersicht www.softrust.com/emailarchivierung.htm
MailStore www.mailstore.com/de/
MozBackup mozbackup.jasnapaka.com/de/