E-Mails sind heute unverzichtbar für die Kommunikation. In diesem Kontext ist Microsoft 365 eine weit verbreitete Produktivitäts-Suite. Kristina Waldhecker, Senior Manager Marketing bei MailStore by OpenText, weiß jedoch: Die Plattform weist Schwächen hinsichtlich der E-Mail-Archivierung auf.

In Deutschland sind die meisten Unternehmen dazu verpflichtet, handels- und steuerrechtlich relevante Daten zu schützen, sowie über einen langen Zeitraum hinweg vollständig, revisionssicher und dauerhaft zugänglich aufzubewahren. Darüber hinaus müssen diese Daten datenschutzkonform gespeichert und verarbeitet werden.

Dies regeln zum einen die GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff) und unter Umständen weitere branchenspezifische Regulierungen. Zum anderen sind in der EU-DSGVO weitere datenschutzrechtliche Pflichten und Betroffenenrechte festgehalten.

Neben rechtlichen Vorgaben erfüllt die Archivierung von E-Mails noch weitere Zwecke. Sie schützt ein Unternehmen vor Datenverlust, bei Ausfällen von E-Mail-Servern oder Cyber-Angriffen. In einem solchen Fall reichen herkömmliche Backups allein nicht aus. Ein Backup-System sichert Kopien kurz- bis mittelfristig und eignet sich daher für die Notfallwiederherstellung (Disaster Recovery). Allerdings ist das Risiko hoch, dass zwischen den Backup-Zyklen nicht alle E-Mails gesichert wurden und somit verloren gehen.

Microsoft 365 und E-Mail-Archivierung

Mit Microsoft 365 nutzen KMU eine vielseitige Plattform für Kommunikation, Produktivität und Zusammenarbeit in ihrem Arbeitsalltag. Allerdings weist sie einige Einschränkungen in Sachen Archivierung von E-Mails auf. So werden E-Mail-Daten nicht automatisch archiviert und die verfügbaren nativen Archivierungsoptionen bieten nicht ausreichenden Schutz vor Änderungen und Löschung – vor allem mit Blick auf die Revisionssicherheit, die eine GoBD-konforme Archivierung erfordert. Weitere Probleme finden sich in der

• Archivierung in PST-Dateien: E-Mails werden in PST-Dateien lokal gespeichert, aber nicht indiziert. Das erschwert Wiederauffindbarkeit und Revisionssicherheit ist quasi unmöglich zu erreichen.
• »Archivieren«-Button in Outlook: E-Mails werden nur in einen zusätzlichen Ordner verschoben, können immer noch gelöscht/verändert werden. Zudem gibt es keine zentrale IT-Steuerung.

• Archivpostfach mit/ohne Exchange Online Archivierung (EOA): Ohne EOA handelt es sich um ein zusätzliches Postfach mit Volumenbegrenzung, das weder Aufbewahrungsrichtlinien noch Anwendungsszenarien wie zum Beispiel eDiscovery unterstützt. Mit EOA handelt es sich um die leistungsstärkste native Archivierungsoption in Microsoft 365 – die Archivierungs- und Aufbewahrungsrichtlinien müssen aber manuell konfiguriert werden und sind nur mit Microsoft-Produkten nutzbar. Exchange Online Archivierung ist allerdings nicht in allen Microsoft 365-Plänen.

Eine unabhängige E-Mail-Archivierungslösung kann diese Schwächen umgehen

Unabhängige E-Mail-Archivierungslösungen bieten zu den aufgeführten nativen Archivierungsoptionen eine effiziente Alternative. Sie ermöglichen Unabhängigkeit und dauerhaften Zugriff auf E-Mails, auch bei Ausfällen von Microsoft 365-Diensten. Zudem erfüllt die richtige Lösung rechtliche Anforderungen nach DSGVO und GoBD. Sie schützen zuverlässig vor Datenverlusten, durch versehentliches oder absichtliches Löschen. Leistungsstarke Suchfunktionen helfen, E-Mails schnell zu finden und Anwender können E-Mails aus dem Archiv einfach wiederherstellen.

Die folgenden vier Schritte helfen IT-Entscheidern in Unternehmen, die auf Microsoft 365 setzen, ihre Anforderungen für E-Mail-Archivierung zu konkretisieren und die für sie geeignete Lösung zu finden:

1. Unabhängigkeit von Microsoft – Prinzip der geteilten Verantwortung
   Microsoft 365 nutzt das Modell der Shared Responsibility. Dies bedeutet, dass Microsoft die ständige Verfügbarkeit seiner Services garantiert, Schutz und Aufbewahrung von Daten – einschließlich der E-Mails – aber in der Verantwortung der Kunden liegt. Bei einem Ausfall dieser Dienste haben Anwender daher nicht nur keinen Zugriff auf die eigenen E-Mails, sondern es besteht zudem ein erhöhtes Risiko, dass E-Mail-Daten verloren gehen. Eine E-Mail-Archivierungslösung eines Drittanbieters umgeht diesen Vendor Lock-in und erfüllt Datenschutzanforderungen.
2. Schutz vor Datenverlust und Manipulation
   Anwender sollten nicht in der Lage sein, E-Mail-Daten dauerhaft zu löschen oder zu verändern. Daher muss eine E-Mail-Archivierungslösung die Integrität, Unveränderbarkeit und Vollständigkeit des E-Mail-Bestandes gewährleisten, um rechtliche Anforderungen zu erfüllen (Revisionssicherheit).
3. Berücksichtigung der Datenschutzanforderungen
   Dank verschiedener Funktionen ist eine entsprechend zertifizierte E-Mail-Archivierungslösung bei sachgerechter Anwendung in der Lage, E-Mails DSGVO-konform zu verarbeiten.
   Darüber hinaus ist die Verarbeitung personenbezogener Daten von EU-Bürgern auf Servern innerhalb der EU empfehlenswert. Auch der Datentransfer über die EU-Grenzen hinaus ist nur erlaubt, wenn die Zielländer den EU-Datenschutzansprüchen genügen. Unternehmen sind dazu angehalten, die Kontrolle über den Speicherort dieser Daten beeinflussen zu können (Datenhoheit).
4. Gesamtbetriebskosten (TCO)
   Schlussendlich spielt die Höhe der Investition ebenfalls eine entscheidende Rolle. Ein KMU muss bei mehreren Nutzern evtl. auf Microsoft 365 Enterprise-Pläne setzen, diese sind allerdings eher auf große Unternehmen ausgelegt. Im Vergleich dazu können die Kosten für eine Drittanbieterlösung geringer ausfallen. Eine genaue Prüfung der Gesamtbetriebskosten über die reinen Anschaffungskosten hinaus ist daher zu empfehlen.

Fazit

Wenn es um die zuverlässige E-Mail-Kommunikation und die effiziente interne Zusammenarbeit geht, ist Microsoft 365 für viele Unternehmen die erste Anlaufstelle. Jedoch müssen sich IT-Entscheider in KMU im Klaren sein, dass die Plattform nur eingeschränkt für die vollständige, revisionssichere und langfristige E-Mail-Archivierung sorgen kann. Ignorieren sie diese Tatsache, setzen sie sich vermeidbaren Risiken aus. Eine unabhängige E-Mail-Archivierungslösung kann diese Risiken minimieren und sollte daher Teil einer jeden IT-Strategie sein.