Name/Branche
PLZ/Ort
DasÖrtliche
DasTelefonbuch
GelbeSeiten

E-Mails in Unternehmen archivieren: Was ist zu beachten?

E-Mail-Archivierung

Nach Schätzungen der Radicati Group werden schon im Jahr 2016 weltweit über 200 Milliarden E-Mails täglich verschickt. Neben beruflichen und privaten Mails sorgt auch Spam dafür, dass unser digitaler Briefkasten regelmäßig überquillt. Während man Letzteres bedenkenlos löschen kann, gilt es gerade in Unternehmen bei allen anderen Nachrichten vorsichtig und mit Bedacht zu agieren. Wichtige Mails gehören schon allein aus Rechtsgründen in ein gut strukturiertes Archiv.

Steuerlich relevante Unterlagen müssen archiviert werden

Dass und wie einige Nachrichten überhaupt aufbewahrt werden müssen, regelt nämlich in Deutschland seit 2002 die Verwaltungsvorschrift GDPdU (Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen). Das Bundesfinanzministerium normiert damit die Art und Weise, wie digitale Inhalte für Betriebsprüfungen bereitgehalten werden müssen. Letztlich handelt es sich dabei um die Umsetzung bestehender Vorschriften aus der Abgabenordnung und dem Umsatzsteuergesetz für den IT-Bereich. Damit ist auch klar, dass nicht jede Mail gespeichert werden muss, sondern lediglich jene, die steuerlich relevant sind. Was das in der Praxis bedeutet, ist aber nicht immer eindeutig. Neben Jahresabschlüssen, Bilanzen, Rechnungen, Inventurdokumenten, Verträgen und allen anderen Nachrichten samt Anhängen, die für das Finanzamt in erster Linie entscheidend sind, gehören auch Mails dazu, in denen das Zustandekommen eines Vertrags oder einer Geschäftsbeziehung im Allgemeinen deutlich wird. Die meisten Betriebe gehen auf Nummer sicher und archivieren daher einfach sämtliche Geschäftsmails.

Verschlüsselung und Löschschutz für die Manipulationssicherheit

Um die Archivierung anerkennen zu lassen, ist deren Manipulationssicherheit zu gewährleisten. Dazu gehört das Speichern auf einem löschgeschützten Datenträger (WORM: write once read many) und die Verschlüsselung der sich auf diesem befindlichen Nachrichten. Ein plattformunabhängiges Produkt zur Langzeitsicherung elektronisch signierter Dokumente ist das vom Fraunhofer-Institut für Sichere Informationstechnologie entwickelte „ArchiSoft“, das auch in Behörden zum Einsatz kommt.

Abgesehen von den Bestimmungen für steuerlich relevante Unterlagen gibt es zwar keine zusammenfassende Regelung für die Archivierung von E-Mails. Allerdings spielen aufgrund der undeutlichen rechtlichen Lage verschiedene Gesetze in unterschiedlichem Ausmaß eine Rolle. Erlaubt ein Unternehmen beispielsweise die private Nutzung des Mail-Systems, greift das Telekommunikationsgesetz (TKG) und das Telemediengesetz (TMG). Das Bundesdatenschutzgesetz (BSDG) prüft allgemein, ob eine Speicherung erlaubt ist. Im Aktiengesetz ist festgehalten, dass der Vorstand eines Betriebes haftbar ist, wenn dieser nicht ausreichend gegen unternehmerische Risiken vorgegangen ist – hierzu kann die Archivierung wichtiger Mails gezählt werden.

Für Firmen ist eine Aufbewahrung so oder so in vielen Fällen sinnvoll. Beispielsweise wirkt die Speicherung im Archiv der Überlastung der Mail-Server entgegen, da speicherintensive Nachrichten dort gelöscht werden können. Ebenso sind sensible Daten in einem E-Mail-Archiv sicherer und leichter wieder aufzufinden. Unter Umständen kann eine Nachricht als gerichtliches Beweismittel herhalten, vorausgesetzt, sie ist vollständig und nachweislich nicht manipuliert archiviert worden.

Aufbewahrungsfristen zwischen sechs und zehn Jahren

Unterschiede gibt es bei der festgesetzten Dauer der Archivierung. Während unter anderem Handels- und Geschäftsbriefe sechs Jahre gespeichert werden müssen, gilt bei Geschäftsbüchern und Bilanzen eine Frist von mindestens zehn Jahren. Die jeweiligen Zeitspannen sind zwar im Handelsgesetzbuch (§ 256 HGB) und der Abgabenordnung (§147 AO) genau aufgeführt. Im Geschäftsalltag haben Betriebe jedoch selten die Kapazitäten, jede Mail sorgfältig zu prüfen und entsprechend einzuordnen. So empfiehlt es sich, auch hier sicherheitshalber die gesamte Korrespondenz zehn Jahre lang aufzubewahren. Dass die Aufbewahrung korrekt durchgeführt wird, ist juristisch gesehen Sache der Geschäftsleitung. Bei Manipulationsversuchen oder Unvollständigkeit droht im schlimmsten Fall eine Freiheitsstrafe von bis zu zwei Jahren.

Die servergesteuerte Speicherung spart Zeit und ist vollständig

Die Archivierung kann automatisch über den Server oder eigenverantwortlich von der Anwenderseite aus erfolgen. Beide Varianten haben Vor- und Nachteile. Die servergesteuerte Archivierung entlastet den Anwender, da grundsätzlich erst einmal sämtliche ein- und ausgehende Nachrichten im Archiv gespeichert werden. Des Weiteren kann der archivierte Nachrichtenverkehr schwerer manipuliert werden. Voraussetzung dafür ist ein funktionierendes Sicherheitspaket aus Verschlüsselungsmethoden, Kennwortschutz und wahlweise unterschiedlichen Zugriffsrechten. Größtes Problem dieser Sicherungsform, die auch Journaling genannt wird, ist ihr Speicherbedarf. Da jede Mail im System verankert wird, verbraucht dies deutlich mehr Ressourcen als die manuelle Archivierung. Mit sinnvoll definierten Filtern kann das Problem zumindest eingegrenzt werden. In erster Linie hält man damit Spam vom System fern. Mitunter bieten sich aber auch Filterspezialisierungen auf bestimmte Formulierungen im Betreff oder die Prüfung auf das Vorhandensein eines Anhangs an.

Die manuelle Archivierung spart Speicherplatz

Legt man die Verantwortung der Archivierung in die Hände des Anwenders, werden sehr wahrscheinlich deutlich weniger unwichtige Nachrichten aufbewahrt und damit der Speicher geschont. Das Anlegen einer praktischen Ordnerstruktur (beispielsweise in „Rechnungen“, „Verträge“, „Steuern“) erlaubt zudem eine übersichtlichere Zuordnung der Mails nach Sachverhalt. Jedoch sorgt der menschliche Faktor dafür, dass mitunter Nachrichten falsch oder sogar überhaupt nicht archiviert werden.

Daher lieber etwas mehr Zeit in die richtige Email-Archivierung investieren, anstatt am Ende ohne irgendeinen Nachweis da zustehen, wenn dieser notwendig werden sollte.