Archivfunktion des E-Mail-Programms ist keine rechtssichere Archivierung

PSW Group: Aufmerksamkeit bei der E-Mail-Archivierung gefragt

21. Januar 2020, 12:36 Uhr   |  Von Dr. Jörg Schröper.

PSW Group: Aufmerksamkeit bei der E-Mail-Archivierung gefragt

Vor allem aus steuerrechtlichen Gründen sind Unternehmen dazu verpflichtet, geschäftliche Korrespondenzen aufzubewahren. Das Finanzamt erhebt den Anspruch, auch nach Jahren nachvollziehen zu können, wie welche Geschäfte zustande kamen. Bereits seit 2017 schreiben die GoBD, das HGB, die Abgabenordnung und das Umsatzsteuergesetz die Archivierung elektronischer Post vor. "Auch die Datenschutzgrundverordnung trägt ihren Teil zur Pflicht der E-Mail Archivierung bei. Denn sie fordert einen transparenten Umgang mit Daten. Eine strukturierte E-Mail-Archivierung trägt deshalb zur Gesamtstrategie im Unternehmen bei", macht Patrycja Tulinska, Geschäftsführerin der PSW Group (www.psw-group.de), aufmerksam.

Dabei seien grundsätzlich jene E-Mails samt ihrer Anhänge zu archivieren, die für die Abwicklung eines Geschäfts relevant sind. Als geschäftlich relevant gelten sowohl E-Mails, die zu einem Geschäft geführt haben, etwa Anfragen, Auftragsbestätigungen, Lieferpapiere, Verträge, Zahlungsbelege und Rechnungen, als auch E-Mails, die Geschäfte aufgehoben oder vorbereitet haben. Dies können Reklamationsschreiben sein, Kontaktaufnahmen des Vertriebs mit potenziellen Kunden aber auch Auftragsänderungen. Die Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD) geben dabei vor, dass die Archivierung im Originalformat stattfinden muss. Ein Ausdruck werde als Kopie gewertet und sei nicht zulässig, so die PSW Group.

Rechtssicher archiviert sind E-Mails dann, wenn sie vollständig, jederzeit verfügbar, manipulationssicher sowie maschinell auswertbar aufbewahrt werden. Zudem muss eine zuverlässige Protokollierung sichergestellt sein, denn Nachvollziehbarkeit ist das Ziel jeder rechtssicheren E-Mail-Archivierung. "Handelsübliche E-Mail Clients werden diesen Ansprüchen aber in keiner Weise gerecht. Insbesondere nicht in dem Punkt der Unveränderbarkeit von Nachrichten. Deshalb ist eine dauerhafte Lösung anzustreben, mit der E-Mails sicher verwahrt werden können", erklärt Tulinska.

Somit sei ein E-Mail-Archiv nicht dasselbe wie ein E-Mail-Backup: Mit Hilfe eines Backups werden Daten über einen bestimmten Zeitraum hinweg gesichert, um sie im Bedarfsfall wieder herstellen zu können. Es gewährleistet jedoch nicht die jederzeitige Verfüg- und Auffindbarkeit. E-Mail Archivierung hingegen stellt die Verfügbarkeit und Wiederauffindbarkeit über einen langen Zeitraum hinweg sicher. Hinzu kommt, dass sich E-Mails bei einem Backup löschen und sogar manipulieren lassen.

"Auch die Archivfunktion des E-Mail-Programms ist keine rechtssichere Archivierung, wie häufig angenommen wird. Der E-Mail Client dient lediglich dazu, Kopien der E-Mail in lokale Postfächer zu verteilen. Dabei ist weder Vertraulichkeit noch Integrität gewährleistet", erklärt Tulinska. Auch die Weiterleitung von E-Mails per CC an ein Archiv-Postfach sei keine Archivierung: Dieses Vorgehen ist nicht manipulationssicher: Das Finanzamt könnte nicht überprüfen, ob wirklich jede E-Mail an das zweite Postfach ging. Zudem könnten die Mails im zweiten Postfach manuell gelöscht werden. "Auch ein Server-seitiges Backup der E-Mail Postfächer ist keine Archivierung. Es fehlt hier an Manipulationssicherheit, und es besteht die Gefahr, dass Daten nicht immer verfügbar sind. Denn ein Server-Umzug kann zum Verlust des Backups führen oder die technischen Anforderungen ändern sich, sodass Daten im Laufe der Zeit nicht mehr lesbar sein könnten", ergänzt Tulinska.

Auch verschlüsselte E-Mails müssen in der Form archiviert werden, wie sie empfangen oder versendet wurden: verschlüsselt. Dies habe zur Folge, dass sie nicht für Jedermann lesbar sind, etwa wenn im Archiv nach einer bestimmten E-Mail gesucht wird. Deshalb müssen auch die Schlüssel aufbewahrt werden. Genau dies kann laut der PSW Group zur echten Herausforderung werden - vor allem wenn auch der private Schlüssel des Empfängers aufbewahrt werden muss. Dieser ist vielleicht bis zum Ende der Aufbewahrungsfrist nicht mehr im Unternehmen oder hat sich zwischenzeitlich einen neuen Private Key generiert. "Eine Lösung wäre es, ein Private-Key-Management in das Archiv zu integrieren. Das erfordert jedoch aufwendige und kontinuierliche Pflege. Alternativ können E-Mails vor dem Verschlüsseln sowie nach dem Entschlüsseln ins Archiv aufgenommen werden. Bei Server-seitiger Verschlüsselung ist das einfach, denn dann werden sie auf dem E-Mail-Server ver- sowie entschlüsselt", rät Tulinska.

Bei der E-Mail Archivierung ist immer auch der Datenschutz zu beachten. Einige E-Mails dürfen deshalb gar nicht oder nur eingeschränkt archiviert werden. Dazu gehört etwa die private E-Mail-Kommunikation von Mitarbeitern, wenn sie erlaubt ist. Auch personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für die Erfüllung eines bestimmten Zwecks erforderlich ist. Einschlägig sind hier die Betroffenenrechte der DSGVO, die Unternehmen dazu verpflichten, auf Nachfrage Auskunft über sämtliche gespeicherte persönliche Daten zu geben und diese zu löschen. "Eine gute Software zur E-Mail Archivierung hilft in diesem Zusammenhang, E-Mails und Anhänge komfortabel zu durchsuchen und Daten zu exportieren", so Tulinska.

Laut HGB und AO sind per E-Mail gesendete Handelsbriefe sechs Jahre aufzubewahren. Die Frist beginnt mit dem Ende des Kalenderjahres, in dem die Mail empfangen oder gesendet wurde. "Wer 2019, egal ob im Februar oder November, einen Handelsbrief per E-Mail versendet, muss diese und alle mit ihr zusammenhängenden E-Mails und Anhänge sechs Jahre, zum 31. Dezember 2025, aufbewahren. Enthalten die E-Mails Organisationsunterlagen wie Rechnungen, Jahresabschlüsse, Buchungsbelege, Lageberichte oder Bilanzen gilt sogar eine Aufbewahrungsfrist von zehn Jahren", so Tulinska.

Mehr Informationen stehen unter www.psw-group.de zur Verfügung.

Dr. Jörg Schröper ist Chefredakteur der LANline.

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen

Das könnte Sie auch interessieren

PSW Group: E-Mail-Verschlüsselung mit PGP ist nicht sicher
Reddox bietet E-Mail-Verschlüsselung auch für große Unternehmen
PSW Group: Unverschlüsselte Mails bleiben riskant

Verwandte Artikel

DSGVO

E-Mail

E-Mail-Archivierung