News | Favoriten der Redaktion | IT-Security | Kommunikation | Tipps

Irrtümer der E-Mail-Archivierung: Die Archivfunktion des E-Mail-Programms ist keine rechtssichere Archivierung

Illustration: Absmeier, Djbagaha

Vor allem aus steuerrechtlichen Gründen sind Unternehmen dazu verpflichtet, geschäftliche Korrespondenzen aufzubewahren: Das Finanzamt erhebt den Anspruch, auch nach Jahren nachvollziehen zu können, wie welche Geschäfte zustande kamen. Bereits seit 2017 schreiben die GoBD, das HGB, die Abgabenordnung und das Umsatzsteuergesetz die Archivierung elektronischer Post vor. »Auch die Datenschutzgrundverordnung trägt ihren Teil zur Pflicht der E-Mail-Archivierung bei. Denn sie fordert einen transparenten Umgang mit Daten. Eine strukturierte E-Mail-Archivierung trägt deshalb zur Gesamtstrategie im Unternehmen bei«, macht Patrycja Tulinska, Geschäftsführerin der PSW GROUP (www.psw-group.de), aufmerksam.

 

Dabei müssen grundsätzlich jene E-Mails samt ihrer Anhänge archiviert werden, die für die Abwicklung eines Geschäfts relevant sind. Als geschäftlich relevant gelten sowohl E-Mails, die zu einem Geschäft geführt haben, etwa Anfragen, Auftragsbestätigungen, Lieferpapiere, Verträge, Zahlungsbelege und Rechnungen, als auch E-Mails, die Geschäfte aufgehoben oder vorbereitet haben. Dies können Reklamationsschreiben sein, Kontaktaufnahmen des Vertriebs mit potenziellen Kunden aber auch Auftragsänderungen. Die Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD) geben dabei vor, dass die Archivierung im Originalformat stattfinden muss. Ein Ausdruck wird als Kopie gewertet und ist nicht zulässig.

 

Rechtssicher archiviert sind E-Mails dann, wenn sie vollständig, jederzeit verfügbar, manipulationssicher sowie maschinell auswertbar aufbewahrt werden. Zudem muss eine zuverlässige Protokollierung sichergestellt sein, denn Nachvollziehbarkeit ist das Ziel jeder rechtssicheren E-Mail-Archivierung. »Handelsübliche E-Mail-Clients werden diesen Ansprüchen aber in keinster Weise gerecht. Insbesondere nicht in dem Punkt der Unveränderbarkeit von Nachrichten. Deshalb ist eine dauerhafte Lösung anzustreben, mit der E-Mails sicher verwahrt werden können«, mahnt Tulinska. Somit ist ein E-Mail-Archiv nicht dasselbe wie ein E-Mail-Backup: Mit Hilfe eines Backups werden Daten über einen bestimmten Zeitraum hinweg gesichert, um sie im Bedarfsfall wieder herstellen zu können. Es gewährleistet jedoch nicht die jederzeitige Verfüg- und Auffindbarkeit. E-Mail-Archivierung hingegen stellt die Verfügbarkeit und Wiederauffindbarkeit über einen langen Zeitraum hinweg sicher. Hinzu kommt, dass E-Mails bei einem Backup gelöscht und sogar manipuliert werden können.

 

»Auch die Archivfunktion des E-Mail-Programms ist keine rechtssichere Archivierung, wie häufig angenommen wird. Der E-Mail-Client dient lediglich dazu, Kopien der E-Mail in lokale Postfächer zu verteilen. Dabei ist weder Vertraulichkeit noch Integrität gewährleistet«, räumt Tulinska mit einem häufigen Irrtum über die E-Mail-Archivierung auf. Auch die Weiterleitung von E-Mails per CC an ein Archiv-Postfach ist keine Archivierung: Dieses Vorgehen ist nicht manipulationssicher: Das Finanzamt könnte nicht überprüfen, ob wirklich jede E-Mail an das zweite Postfach ging. Zudem könnten die E-Mails im zweiten Postfach manuell gelöscht werden. »Auch ein serverseitiges Backup der E-Mail-Postfächer ist keine Archivierung. Es fehlt hier an Manipulationssicherheit und es besteht die Gefahr, dass Daten nicht immer verfügbar sind. Denn ein Serverumzug kann zum Verlust des Backups führen oder die technischen Anforderungen ändern sich, sodass Daten im Laufe der Zeit nicht mehr lesbar sein könnten«, ergänzt Tulinska.

 

Archivierung verschlüsselter E-Mails

Auch verschlüsselte E-Mails müssen in der Form archiviert werden, wie sie empfangen oder versendet wurden: verschlüsselt. Das hat zur Folge, dass sie nicht für Jedermann lesbar sind, etwa wenn im Archiv nach einer bestimmten E-Mail gesucht wird. Deshalb müssen auch die Schlüssel aufbewahrt werden. Genau das kann zur echten Herausforderung werden – vor allem wenn auch der private Schlüssel des Empfängers aufbewahrt werden muss. Dieser ist vielleicht bis zum Ende der Aufbewahrungsfrist nicht mehr im Unternehmen oder hat sich zwischenzeitlich einen neuen Private Key generiert. »Eine Lösung wäre es, ein Private-Key-Management in das Archiv zu integrieren. Das erfordert jedoch aufwendige und kontinuierliche Pflege. Alternativ können E-Mails vor dem Verschlüsseln sowie nach dem Entschlüsseln ins Archiv aufgenommen werden. Bei serverseitiger Verschlüsselung ist das einfach, denn dann werden sie auf dem E-Mail-Server ver- sowie entschlüsselt«, rät Tulinska.

 

Datenschutz beachten

Bei der E-Mail-Archivierung ist immer auch der Datenschutz zu beachten. Einige E-Mails dürfen deshalb gar nicht oder nur eingeschränkt archiviert werden. Dazu gehört etwa die private E-Mail-Kommunikation von Mitarbeitern, wenn sie erlaubt ist. Auch personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für die Erfüllung eines bestimmten Zwecks erforderlich ist. Einschlägig sind hier die Betroffenenrechte der DSGVO, die Unternehmen dazu verpflichten, auf Nachfrage Auskunft über sämtliche gespeicherte persönliche Daten zu geben und diese zu löschen. »Eine gute Software zur E-Mail-Archivierung hilft in diesem Zusammenhang, E-Mails und Anhänge komfortabel zu durchsuchen und Daten zu exportieren«, gibt sie einen Tipp.

 

Archivierungs- und Aufbewahrungsfristen

Laut HGB und AO müssen per E-Mail gesendete Handelsbriefe sechs Jahre aufbewahrt werden. Die Frist beginnt mit dem Ende des Kalenderjahres, in dem die E-Mail empfangen oder gesendet wurde. »Wer 2019, egal ob im Februar oder November, einen Handelsbrief per E-Mail versendet, muss diese und alle mit ihr zusammenhängenden E-Mails und Anhänge sechs Jahre, zum 31. Dezember 2025, aufbewahren. Enthalten die E-Mails Organisationsunterlagen wie Rechnungen, Jahresabschlüsse, Buchungsbelege, Lageberichte oder Bilanzen gilt sogar eine Aufbewahrungsfrist von 10 Jahren«, verdeutlicht Patrycja Tulinska.

Mehr Informationen unter: www.psw-group.de

 

127 Artikel zu „E-Mail Archivierung“

NEWS | BUSINESS | GESCHÄFTSPROZESSE | TIPPS

Zehn Merksätze zur Archivierung von E-Mails in Unternehmen

■      Leitfaden zur Aufbewahrung steuerrelevanter Dokumente. ■      Verschlüsselte E-Mails müssen auch unverschlüsselt aufbewahrt werden. Junge Unternehmen müssen zahlreiche rechtliche Vorgaben bei der Buchführung beachten, gleichgültig ob Nagelstudio oder Internet-Start-up. Eine zentrale Frage ist in diesem Zusammenhang, wie die Unternehmen mit steuerrelevanten E-Mails umgehen sollen. »Zahlreiche betriebliche Prozesse wie Bestellungen oder der Versand von Rechnungen werden…

Weiterlesen →

NEWS | BUSINESS PROCESS MANAGEMENT | IT-SECURITY | KOMMUNIKATION | TIPPS

E-Mail-Archivierung und -Verschlüsselung: So gelingt beides parallel

Gesetzliche Vorgaben verpflichten Unternehmen dazu, ihre digitale Korrespondenz über mehrere Jahre ordnungsgemäß zu archivieren. In Zeiten, in denen geschäftliche E-Mails immer häufiger verschlüsselt übertragen werden, ist dies jedoch oft leichter gesagt als getan: Denn auf den ersten Blick scheinen sich ein revisionssicheres Archiv und verschlüsselte E-Mails auszuschließen. Doch IT-Verantwortliche, die ihre IT-Lösungen für E-Mail-Encryption und -Archivierung…

Weiterlesen →

NEWS | BUSINESS | BUSINESS PROCESS MANAGEMENT | TIPPS

Leitfaden zur rechtssicheren E-Mail-Archivierung

Update der kostenlosen Leitfäden differenziert zwischen den geltenden gesetzlichen Anforderungen in DACH. Führende E-Mail-Archivierungslösung für KMUs erneut durch unabhängige Prüfungsgesellschaft zertifiziert Hilfestellung für Geschäftsführung und IT-Verantwortliche Ein Spezialist für rechtssichere E-Mail-Archivierung, hat aktualisierte Versionen seines Leitfadens »Rechtssichere E-Mail-Archivierung« veröffentlicht. Die Leitfäden, die die besonderen rechtlichen Anforderungen an die E-Mail-Archivierung in Deutschland, Österreich und der Schweiz…

Weiterlesen →

NEWS | IT-SECURITY | KOMMUNIKATION

E-Mail-basierte Bedrohungen treffen Organisationen dort, wo es sehr schmerzt – beim Geld

Trotz einer Vielzahl an neuen Kommunikationstechnologien steht die altbewährte E-Mail sowohl bei Unternehmen als auch Privatpersonen immer noch hoch im Kurs. Sei es für einfache Nachrichten, Newsletter oder internen Unternehmensdaten. Schätzungen zufolge wurden im Jahr 2019 täglich rund 293,6 Milliarden E-Mails versendet. Ein Großteil davon ist allerdings Spam. Die Varianten sind zahlreich – vom nigerianischen…

Weiterlesen →

NEWS | IT-SECURITY | KOMMENTAR | KOMMUNIKATION

Es war einmal vor 35 Jahren: die Geburt der ersten E-Mail

Am 3. August 1984 um 10:14 Uhr wurde in Deutschland die erste E-Mail empfangen. Die damaligen wissenschaftlichen Mitarbeiter des Telematik-Instituts der Universität Karlsruhe, Werner Zorn und Michael Rotert, richteten den ersten deutschen Mailserver ein. In ihren Postfächern landete eine E-Mail von Laura Breeden aus Massachusetts. Den beiden gelang damit ein erfolgreicher Anschluss an das US-amerikanische…

Weiterlesen →

NEWS | IT-SECURITY | KOMMUNIKATION | TIPPS

E-Mail-Verschlüsselung mit PGP ist nicht sicher

Die Verwendung von Keyservern zeigt deutliche Schwächen – E-Mail-Verschlüsselung mittels S/MIME als bessere Alternative. In letzter Zeit traten gehäuft Probleme bei der Verwendung von PGP und Keyservern auf: Bereits Angriffe mit einfachsten Methoden auf SKS Keyserver führten zu Überlastungen und dazu, dass Schlüssel unbrauchbar wurden. Darauf machen die IT-Sicherheitsexperten der PSW GROUP (www.psw-group.de) aufmerksam. Die…

Weiterlesen →

NEWS | TRENDS SECURITY | TRENDS KOMMUNIKATION | TRENDS 2019 | IT-SECURITY | KOMMUNIKATION

Markt für E-Mail-Sicherheit boomt, da sich Cyberangriffe häufen und Unternehmen zunehmend Cloud-Mailboxen nutzen

Für integrierte Lösungen, die mit mehrstufigen, komplexen Angriffen umgehen können, werden erhebliche Wachstumschancen bestehen, so Frost & Sullivan. E-Mail ist zum bevorzugten Medium für die Verbreitung von Malware und Malware-freien Angriffen geworden, und Hacker haben begonnen, Social-Engineering-Techniken für das Vorgeben, jemand anders zu sein, und andere Formen von Täuschung und Betrug einzusetzen. Die ständig wachsende…

Weiterlesen →

NEWS | BUSINESS PROCESS MANAGEMENT | IT-SECURITY | KOMMUNIKATION | ONLINE-ARTIKEL | STRATEGIEN | TIPPS

Angriffe auf Krankenhäuser über E-Mails: Das Problem ist Teil der Lösung

Knapp eineinhalb Wochen musste das Klinikum Fürstenfeldbruck ohne seine 450 Computer auskommen und war auch nicht per E-Mail, sondern nur noch telefonisch erreichbar. Ursache ist wohl ein E-Mail-Trojaner, der über einen Anhang ins System eingedrungen ist. Inzwischen ermittelt die Zentralstelle Cybercrime Bayern, und das Klinikum hat alle Bankkonten sperren lassen. Wie in anderen bekannt gewordenen…

Weiterlesen →

 

Zur Startseite →

← Zurück