Irrtümer über E-Mail-Archivierung vermeidenWunschvorstellung: vollständig und revisionssicher aufbewahren
24. Mai 2022Wer ist nicht schon über Informationen zur E-Mail-Archivierung und ihren Vorteilen gestolpert: Sie ist der beste Weg, E-Mails für lange Zeit vollständig und revisionssicher aufzubewahren. Außerdem gewährleistet sie, dass Daten jederzeit verfügbar und schnell wieder aufzufinden sind.
Die E-Mail-Archivierung fügt Informationen und Daten in einem Archiv zusammen, auf das Mitarbeiter im besten Fall ohne Hilfe der IT selbst zugreifen können. Trotzdem stellen sich viele IT-Entscheider die Frage: „Lohnt sich die Investition in E-Mail-Archivierung überhaupt? Oder ist sie nicht eher nice-to-have?“
Die Relevanz von E-Mail-Archivierung für die IT-Strategie von Unternehmen wird häufig irrtümlich unterschätzt. Daher siollten IT-Verantwortliche die größten Irrtümer in Bezug auf die E-Mail-Archivierung kennen.
Irrtum 1: „Ich führe ein kleines Unternehmen und bin von der Aufbewahrungspflicht befreit“
Das ist nicht unbedingt richtig. Besteht für ein Unternehmen die Buchführungspflicht, so greift auch eine Aufbewahrungspflicht. Die meisten Unternehmen in Deutschland unterliegen Aufbewahrungspflichten steuer- und handelsrechtlich relevanter Dokumente nach HGB (Handelsgesetzbuch) und AO (Abgabenordnung). Die Anforderungen der Steuerbehörden an eine digitale Buchhaltung werden in Deutschland in den „Grundsätzen zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“ (GoBD) festgelegt.
Vom Einzelunternehmer zum Großkonzern – die Unternehmensgröße spielt bei den Aufbewahrungspflichten nicht direkt eine Rolle, sondern ein „in kaufmännischer Weise eingerichteter Geschäftsbetrieb“ nach HGB (Handelsgesetzbuch). Ähnliches gilt für Unternehmen in Österreich und der Schweiz. Unternehmen, die sich nicht an die Aufbewahrungspflichten halten und zum Beispiel die Vollständigkeit und Integrität des relevanten E-Mail-Verkehrs nicht vorweisen können, riskieren eine Verletzung Ihrer Buchführungspflicht, was juristische Folgen nach sich ziehen kann. Zumindest wird ein nicht vorhandenes oder nicht professionell geführtes E-Mail-Archiv wahrscheinlich einen aufmerksamen Steuerprüfer auf den Plan rufen.
Irrtum 2: „Ich archiviere lediglich Rechnungen, alles andere ist unwichtig“
Die zentralen Vorschriften der §§ 147 Abs. 1 AO und 257 Abs. 1 HGB enthalten jeweils ganze Listen von Unterlagen, die aufzubewahren sind. Diese gehen weit über Rechnungen hinaus: Sie betreffen Aufzeichnungen, Belege und Korrespondenzen, aus denen die (Rück-) Abwicklung und der Abschluss eines Geschäfts hervorgehen.
So sind auch alle abgesandten und empfangenen Handels- oder Geschäftsbriefe umfasst. Außerdem umfassen sie nicht nur Dokumente, die manuell über den Postweg, sondern auch auf elektronischem Weg via E-Mail versendet werden. Zum Beispiel werden Rechnungen vermehrt automatisch per E-Mail an den Empfänger übermittelt.
Irrtum 3: „Es reicht, wenn ich die wichtigsten E-Mails ausdrucke und gesondert aufbewahre“
An dieser Stelle greifen die GoBD: Im Rahmen der Aufbewahrungspflicht reicht es nicht aus, E-Mails auszudrucken und abzuheften – besonders nicht nur „die wichtigsten“. Zum einen müssen Unternehmen dafür sorgen, dass wirklich der gesamte relevante E-Mail-Bestand aufbewahrt wird.
Zum anderen ist ein Ausdruck gleichzustellen mit einer Kopie der Originalfassung. Laut den GoBD dürfen jedoch nur Originalformate verwendet werden, die nicht in irgendeiner Form konvertiert wurden.
Irrtum 4: „Ich führe regelmäßige Backups durch, was E-Mail-Archivierung überflüssig macht“
Nicht wenige IT-Entscheider gehen davon aus, dass regelmäßige Backups des E-Mail-Servers oder der E-Mails auf dem Rechner der Anwender vollkommen ausreichen, um alle wichtigen Dokumente einschließlich E-Mails und ihrer Anhänge aufzubewahren. Der alleinige Einsatz von Backup-Systemen ist jedoch nicht zumeist nicht rechtssicher, denn diese Methode birgt zwei große Nachteile gegenüber der E-Mail-Archivierung. Einerseits erstellt das klassische Backup nur einmal täglich Kopien aller Daten – im schlimmsten Fall sind die Intervalle sogar größer.
Sprich: Inhalte, die in der Zwischenzeit hinzugefügt, verändert oder gelöscht wurden, sind im Backup nicht enthalten. Andererseits besteht die Gefahr, dass ältere Backups durch neue überschrieben werden, um Speicherplatz zu sparen. Da Unternehmen verpflichtet sind, Dokumente über mehrere Jahre hinweg und vollständig aufzubewahren, riskieren sie auch hier juristische Konsequenzen. Unternehmen sollten Backups von E-Mail-Servern daher nur als Ergänzung zur E-Mail-Archivierung einsetzen, z.B. um im Notfall den E-Mail-Server schnell wiederherstellen zu können.
Irrtum 5: „Datenschutz und E-Mail-Archivierung widersprechen sich grundlegend“
Revisionssichere E-Mail-Archivierung kann dabei helfen, datenschutzrechtlichen Anforderungen zu entsprechen. Unternehmen müssen dafür vorab einige Rahmenbedingungen festlegen, um etwa die Grundsätze der Datenminimierung und Zweckbindung zu beachten. So kann es ratsam sein, nicht pauschal alle E-Mails gleich zu behandeln und zeitlich unbeschränkt zu archivieren. Gesonderte Aufbewahrungs- oder Löschregeln könnte man zum Beispiel bei der E-Mail-Kommunikation zwischen der Personalabteilung und Bewerbern oder zwischen Beschäftigten und dem Betriebsarzt nutzen.
Hierbei ist es hilfreich, wenn die Lösung das Konfigurieren individueller Regeln zulässt. Auf diese Weise lassen sich beispielsweise E-Mails gezielt auswählen, die nach einem bestimmten Zeitraum automatisch gelöscht werden sollen. Darüber hinaus sollten Unternehmen unbedingt festlegen, dass die Beschäftigten keinerlei privaten E-Mail-Verkehr über ihre geschäftlichen Accounts pflegen dürfen, damit E-Mails weiterhin DSGVO-konform aufbewahrt werden können. E-Mail-Archivierung und Datenschutz können also durchaus in Einklang gebracht werden.
Roland Latzel ist Senior Director of Marketing bei der MailStore Software GmbH.