E-Mail-Archivierung in der Cloud
Die IT-Evolution beschert uns ständig neue digitale Kommunikationsformen – doch auch im Social-Media-Zeitalter verliert insbesondere die geschäftsrelevante E-Mail keinesfalls an Bedeutung. Wie das Marktforschungsunternehmen Radicati herausfand, steigt die Zahl der versendeten Mails pro Nutzer trotz Facebook, Twitter und Co. weiterhin an. Verschickt und empfängt ein Mitarbeiter derzeit im Schnitt pro Tag noch 167 Mails, so erwarten die Analysten bis 2013 einen Anstieg auf 219 ein- und ausgehende Nachrichten. Zwangsläufig wächst damit auch der Speicherbedarf pro Postfach, von aktuell 20 MB auf geschätzte 30-40 MB in drei Jahren. Doch nicht nur mengenmäßig nimmt der E-Mail-Verkehr zu, auch sein Stellenwert innerhalb der geschäftlichen Korrespondenz steigt. Einer Umfrage des Beratungsunternehmens Bearingpoint zufolge erreichen in deutschen Unternehmen heute 87 Prozent der Kundenanfragen, 82 Prozent der Angebote, 60 Prozent der Bestellungen und 43 Prozent der Rechnungen ihre Adressaten auf dem digitalen Postweg.
Wachsende Bedeutung der E-Mail in Geschäftskommunikation:
Zahlen wie diese machen deutlich, dass E-Mail den Wandel vom einstigen „Nice-to-have“ Konversationsmedium zum geschäftskritischen Kommunikationskanal endgültig vollzogen hat. Allerdings wird dabei die Tragweite der steigenden E-Mail-Dominanz unterschätzt. Das mag an der Leichtigkeit liegen, mit der Mails getippt und verschickt werden oder am immateriellen Charakter. Tatsache ist, dass Unternehmen im Zusammenhang mit dem – oft überstrapazierten Begriff – „Compliance“ inzwischen eine Reihe von Vorschriften beim digitalen Nachrichtenaustausch beachten müssen, wie sie ganz selbstverständlich für den traditionellen Papierverkehr gelten. Zum einen wäre hier das HGB (Handelsgesetzbuch) zu nennen, das eine ordnungsgemäße, unveränderbare Aufbewahrung von jenen Mail-Inhalten verlangt, die als Handelsbrief gelten. Der Begriff Handelsbrief umfasst die gesamte Bandbreite geschäftlicher Kommunikation, also jedes Schreiben, welches „der Vorbereitung, dem Abschluss, der Durchführung oder auch der Rückgängigmachung eines Geschäfts“ dient. Somit könnte neben der E-Mail sogar eine SMS als Handelsbrief gelten, sofern die genannten Kriterien zuträfen.
Grundsätzlich ist hierzu keine Formvorschrift definiert, so dass eine papiergebundene Aufbewahrung des Ausdrucks rein handelsrechtlich ausreichend wäre. Allerdings ergeben sich aus dem Steuerrecht zentrale Archivierungsanforderungen, die es unbedingt zu beachten gilt: Laut Paragraf 147 der Abgabenordnung und den Grundsätzen der Prüfung digitaler Unterlagen (GDPdU) wird für alle steuerrechtlich relevanten E-Mails ausdrücklich eine elektronische Aufbewahrung gefordert. Für Unternehmen, die an US-amerikanischen Börsen notiert sind, kann sich zudem aus dem Sarbanes Oxley Act (SOX) die Notwendigkeit ergeben, alle E-Mails bestimmter Personenkreise - insbesondere des Managements - elektronisch aufzubewahren. Die SOX-Bestimmungen erstrecken sich in einem solchen Fall übrigens auch auf deutsche Tochtergesellschaften.
Rechtliche Risiken und Pflichten des Unternehmens:
Eine Verletzung der genannten Buchführungspflichten kann gravierende juristische Folgen haben. So stellt eine vorsätzliche oder fahrlässige Verletzung der Buchführungspflicht eine Ordnungswidrigkeit im Sinne einer Steuergefährdung dar. Sogar der Fall der persönlichen Haftung des Vorstands kann eintreten, wenn er Entwicklungen, die ein zukünftiges Risiko des Unternehmens darstellen – wie eben die unterlassene Speicherung geschäfts- oder steuerrechtlich relevanter Mails – nicht überwacht und durch geeignete Maßnahmen vorbeugt. Bei der Auswahl des geeigneten Archivierungssystems sind zunächst die Aufbewahrungsfristen zu berücksichtigen. Laut Abgabenordnung sind Handels- oder Geschäftsbriefe sechs Jahre aufzubewahren. Enthalten Mails dagegen Buchungsbelege, Rechnungen oder Jahresabschlüsse, beträgt die Aufbewahrungsfrist zehn Jahre. Das verwendete Archivsystem muss also in der Lage sein, die E-Mails während der Dauer der Aufbewahrung jederzeit verfügbar zu halten, unverzüglich lesbar und maschinell auswertbar zu machen.
Archivierung in der Cloud als Alternative:
Bei der Frage nach der richtigen Archivlösung bieten sich den Unternehmen heute zwei grundlegende Alternativen. Ein Weg ist ein von der internen IT betriebenes Archivsystem. Als zweite Variante bietet sich Outsourcing an – die komplette Abwicklung übernimmt dann ein externer Cloud-Dienstleister. Für die Auslagerung der E-Mail-Archivierung spricht eine Reihe von Gründen. Viele klassische Lösungen sind für die Ablage von Dokumenten konzipiert und meistern diese Aufgabe sehr zufriedenstellend, kommen aber mit der Flut an Transaktionen, die bei E-Mail entstehen, nur bedingt zurecht. Für E-Mail scheinbar geeignete Geräte wie zum Beispiel Appliances genügen auf den zweiten Blick oft nicht den rechtlichen und steuerbehördlichen Anforderungen. Zudem fallen beim Eigenbetrieb hohe Kosten für Investitionen und Administration an, demgegenüber punkten Services mit vergleichsweise niedrigen monatlichen Fixkosten.
Außerdem profitieren die Kunden bei der Auslagerung an einen etablierten Managed Service Provider von dessen innovativer und beliebig skalierbarer Plattform. Er kann beliebig große Datenmengen automatisiert wegschreiben und langfristig sicher aufbewahren. Idealerweise kommen dabei zusätzlich effiziente Filtermechanismen zum Einsatz, um Spam und Viren zu beseitigen und nur geschäftsrelevante Nachrichten ins Archiv zu befördern. Um ein maximales Maß an Sicherheit zu gewährleisten, kommt schließlich ein ausgeklügeltes Verschlüsselungskonzept für die zu archivierenden Daten zum Einsatz.
Archivierung mit Fristen:
Unbedingt ins Kalkül gezogen werden sollte bei der Wahl der richtigen E-Mail-Archivierung die Fristenthematik. Archivierung ist per Definition eine langfristige Angelegenheit mit Prozessen, die meist auf zwingend einzuhaltenden Fristen beruhen. Die verwendete Technologie muss solche Anforderungen erfüllen und gegebenenfalls an neue Vorschriften angepasst werden können. Ähnliches gilt für den Dienstleister, der eine sichere Aufbewahrung über den gesamten Zeitraum gewährleisten muss.
Bei der Anbieterauswahl sind in dieser Frage einige Punkte zu beachten. Weiche Faktoren, die für oder gegen einen Dienstleister sprechen, wären etwa seine bisherige zeitliche Marktpräsenz und seine Reputation, die gewisse Rückschlüsse auf die Stabilität über die nächste Dekade zulassen. Die Pleite eines Dienstleisters oder auch die Übernahme durch ein ausländisches Unternehmen kann dem Aufraggeber ernsthafte Probleme bescheren. Daher sollte es für solche Szenarien stets eine Exit-Strategie geben, die auch in den Verträgen fixiert ist. Auf Nummer Sicher geht man, wenn der uneingeschränkte Import und Export von Daten jederzeit möglich ist, um so beispielsweise im Worst Case einen Archiv-Wechsel durchführen zu können.
Als letztes wichtiges Thema im Kontext E-Mail-Archivierung ist schließlich noch der Datenschutz aufzuführen – insbesondere im Hinblick auf die Handhabung bezüglich privater E-Mails von Mitarbeitern. Denn erlaubt ein Unternehmen private E-Mails, ist es laut Gesetzeslage ein „Telediensteanbieter“. Als solcher darf es grundsätzlich nicht auf Inhalte von Mails zugreifen oder Mitarbeitern Mails – etwa durch Löschung von Spam – vorenthalten. Verstöße können mit Freiheitsstrafen bis zu fünf Jahren geahndet werden. Auch aus Archivierungssicht ist eine solche Regelung problematisch. Denn einerseits müssen die Mails eines Mitarbeiters bei seinem Ausscheiden gelöscht werden, doch ist andererseits ein solcher Vorgang in einem steuerrechtlich einwandfreien Archivierungssystem nicht möglich.
Als bessere Lösung gilt daher ein generelles Verbot der privaten E-Mail-Nutzung am Arbeitsplatz, was allerdings zu einigem Unmut führen kann, denn es wird den Benutzern ja ein jahrelanges „Gewohnheitsrecht“ genommen. Um Mitarbeiter ob solcher Beschränkungen nicht zu verprellen, erlauben viele Firmen daher die Nutzung eines sicheren separaten (Web-)Maildienstes für Privatnachrichten. Auf diese Weise stellt der Arbeitgeber seine Mitarbeiter zufrieden und muss sich um die Datenschutzproblematik bei der Archivierung keine Sorgen machen.
Wachsende Bedeutung der E-Mail in Geschäftskommunikation:
Zahlen wie diese machen deutlich, dass E-Mail den Wandel vom einstigen „Nice-to-have“ Konversationsmedium zum geschäftskritischen Kommunikationskanal endgültig vollzogen hat. Allerdings wird dabei die Tragweite der steigenden E-Mail-Dominanz unterschätzt. Das mag an der Leichtigkeit liegen, mit der Mails getippt und verschickt werden oder am immateriellen Charakter. Tatsache ist, dass Unternehmen im Zusammenhang mit dem – oft überstrapazierten Begriff – „Compliance“ inzwischen eine Reihe von Vorschriften beim digitalen Nachrichtenaustausch beachten müssen, wie sie ganz selbstverständlich für den traditionellen Papierverkehr gelten. Zum einen wäre hier das HGB (Handelsgesetzbuch) zu nennen, das eine ordnungsgemäße, unveränderbare Aufbewahrung von jenen Mail-Inhalten verlangt, die als Handelsbrief gelten. Der Begriff Handelsbrief umfasst die gesamte Bandbreite geschäftlicher Kommunikation, also jedes Schreiben, welches „der Vorbereitung, dem Abschluss, der Durchführung oder auch der Rückgängigmachung eines Geschäfts“ dient. Somit könnte neben der E-Mail sogar eine SMS als Handelsbrief gelten, sofern die genannten Kriterien zuträfen.
Grundsätzlich ist hierzu keine Formvorschrift definiert, so dass eine papiergebundene Aufbewahrung des Ausdrucks rein handelsrechtlich ausreichend wäre. Allerdings ergeben sich aus dem Steuerrecht zentrale Archivierungsanforderungen, die es unbedingt zu beachten gilt: Laut Paragraf 147 der Abgabenordnung und den Grundsätzen der Prüfung digitaler Unterlagen (GDPdU) wird für alle steuerrechtlich relevanten E-Mails ausdrücklich eine elektronische Aufbewahrung gefordert. Für Unternehmen, die an US-amerikanischen Börsen notiert sind, kann sich zudem aus dem Sarbanes Oxley Act (SOX) die Notwendigkeit ergeben, alle E-Mails bestimmter Personenkreise - insbesondere des Managements - elektronisch aufzubewahren. Die SOX-Bestimmungen erstrecken sich in einem solchen Fall übrigens auch auf deutsche Tochtergesellschaften.
Rechtliche Risiken und Pflichten des Unternehmens:
Eine Verletzung der genannten Buchführungspflichten kann gravierende juristische Folgen haben. So stellt eine vorsätzliche oder fahrlässige Verletzung der Buchführungspflicht eine Ordnungswidrigkeit im Sinne einer Steuergefährdung dar. Sogar der Fall der persönlichen Haftung des Vorstands kann eintreten, wenn er Entwicklungen, die ein zukünftiges Risiko des Unternehmens darstellen – wie eben die unterlassene Speicherung geschäfts- oder steuerrechtlich relevanter Mails – nicht überwacht und durch geeignete Maßnahmen vorbeugt. Bei der Auswahl des geeigneten Archivierungssystems sind zunächst die Aufbewahrungsfristen zu berücksichtigen. Laut Abgabenordnung sind Handels- oder Geschäftsbriefe sechs Jahre aufzubewahren. Enthalten Mails dagegen Buchungsbelege, Rechnungen oder Jahresabschlüsse, beträgt die Aufbewahrungsfrist zehn Jahre. Das verwendete Archivsystem muss also in der Lage sein, die E-Mails während der Dauer der Aufbewahrung jederzeit verfügbar zu halten, unverzüglich lesbar und maschinell auswertbar zu machen.
Archivierung in der Cloud als Alternative:
Bei der Frage nach der richtigen Archivlösung bieten sich den Unternehmen heute zwei grundlegende Alternativen. Ein Weg ist ein von der internen IT betriebenes Archivsystem. Als zweite Variante bietet sich Outsourcing an – die komplette Abwicklung übernimmt dann ein externer Cloud-Dienstleister. Für die Auslagerung der E-Mail-Archivierung spricht eine Reihe von Gründen. Viele klassische Lösungen sind für die Ablage von Dokumenten konzipiert und meistern diese Aufgabe sehr zufriedenstellend, kommen aber mit der Flut an Transaktionen, die bei E-Mail entstehen, nur bedingt zurecht. Für E-Mail scheinbar geeignete Geräte wie zum Beispiel Appliances genügen auf den zweiten Blick oft nicht den rechtlichen und steuerbehördlichen Anforderungen. Zudem fallen beim Eigenbetrieb hohe Kosten für Investitionen und Administration an, demgegenüber punkten Services mit vergleichsweise niedrigen monatlichen Fixkosten.
Außerdem profitieren die Kunden bei der Auslagerung an einen etablierten Managed Service Provider von dessen innovativer und beliebig skalierbarer Plattform. Er kann beliebig große Datenmengen automatisiert wegschreiben und langfristig sicher aufbewahren. Idealerweise kommen dabei zusätzlich effiziente Filtermechanismen zum Einsatz, um Spam und Viren zu beseitigen und nur geschäftsrelevante Nachrichten ins Archiv zu befördern. Um ein maximales Maß an Sicherheit zu gewährleisten, kommt schließlich ein ausgeklügeltes Verschlüsselungskonzept für die zu archivierenden Daten zum Einsatz.
Archivierung mit Fristen:
Unbedingt ins Kalkül gezogen werden sollte bei der Wahl der richtigen E-Mail-Archivierung die Fristenthematik. Archivierung ist per Definition eine langfristige Angelegenheit mit Prozessen, die meist auf zwingend einzuhaltenden Fristen beruhen. Die verwendete Technologie muss solche Anforderungen erfüllen und gegebenenfalls an neue Vorschriften angepasst werden können. Ähnliches gilt für den Dienstleister, der eine sichere Aufbewahrung über den gesamten Zeitraum gewährleisten muss.
Bei der Anbieterauswahl sind in dieser Frage einige Punkte zu beachten. Weiche Faktoren, die für oder gegen einen Dienstleister sprechen, wären etwa seine bisherige zeitliche Marktpräsenz und seine Reputation, die gewisse Rückschlüsse auf die Stabilität über die nächste Dekade zulassen. Die Pleite eines Dienstleisters oder auch die Übernahme durch ein ausländisches Unternehmen kann dem Aufraggeber ernsthafte Probleme bescheren. Daher sollte es für solche Szenarien stets eine Exit-Strategie geben, die auch in den Verträgen fixiert ist. Auf Nummer Sicher geht man, wenn der uneingeschränkte Import und Export von Daten jederzeit möglich ist, um so beispielsweise im Worst Case einen Archiv-Wechsel durchführen zu können.
Als letztes wichtiges Thema im Kontext E-Mail-Archivierung ist schließlich noch der Datenschutz aufzuführen – insbesondere im Hinblick auf die Handhabung bezüglich privater E-Mails von Mitarbeitern. Denn erlaubt ein Unternehmen private E-Mails, ist es laut Gesetzeslage ein „Telediensteanbieter“. Als solcher darf es grundsätzlich nicht auf Inhalte von Mails zugreifen oder Mitarbeitern Mails – etwa durch Löschung von Spam – vorenthalten. Verstöße können mit Freiheitsstrafen bis zu fünf Jahren geahndet werden. Auch aus Archivierungssicht ist eine solche Regelung problematisch. Denn einerseits müssen die Mails eines Mitarbeiters bei seinem Ausscheiden gelöscht werden, doch ist andererseits ein solcher Vorgang in einem steuerrechtlich einwandfreien Archivierungssystem nicht möglich.
Als bessere Lösung gilt daher ein generelles Verbot der privaten E-Mail-Nutzung am Arbeitsplatz, was allerdings zu einigem Unmut führen kann, denn es wird den Benutzern ja ein jahrelanges „Gewohnheitsrecht“ genommen. Um Mitarbeiter ob solcher Beschränkungen nicht zu verprellen, erlauben viele Firmen daher die Nutzung eines sicheren separaten (Web-)Maildienstes für Privatnachrichten. Auf diese Weise stellt der Arbeitgeber seine Mitarbeiter zufrieden und muss sich um die Datenschutzproblematik bei der Archivierung keine Sorgen machen.