Erstellt: Dienstag, 13. März 2012

Sie müssen E-Mails archivieren!

 

Wenn Sie eine andere Empfehlung erhalten haben, so lassen Sie sich diese bitte schriftlich geben. Außerdem sollte der Empfehlende die volle Verantwortung für diese Empfehlung übernehmen und Sie als IT-Verantwortlichen in Ihrem Unternehmen von Ansprüchen Dritter und die des Finanzamtes freistellen.

Wir möchten Ihnen jedoch nicht mit Vorschriften und Gesetzen drohen, sondern Ihnen bei Ihrer Entscheidung helfen, diese fundiert begründen und es Ihnen einfacher machen. Vergewissern Sie sich bitte selbst, ob Sie E-Mails archivieren sollen / müssen oder nicht.

 

 

Läuft der Betrieb des E-Mail- bzw. Groupware-Servers reibungslos?

Die Kommunikation über E-Mail nimmt ständig zu und ist nicht mehr weg zu denken. Einige Unternehmen berichten über ein Wachstum von 30%-40% pro Quartal. Der erste Engpass ist meist Ihre eigene Infrastruktur. Sicher haben Sie bei der Auswahl Ihrer Groupware- oder E-Mail-Systeme sorgfältig eine richtige und ausreichende Soft- und Hardware gewählt. Aber was wird morgen sein? Der Ersatz eines E-Mail-Servers schafft nur für eine sehr kurze Zeit etwas „Luft“. Werden Sie bei Ihrem E-Mail System bleiben? Sind Sie sicher, dass bei einem Ersatz Ihres Systems durch andere Hard- oder auch Software keine Informationen verloren gehen?

 

Hat Ihr Unternehmen ausreichend Archiv- und Speicherplatz?

Die Menge an E-Mails und digitalen Dokumenten nimmt rapide zu. Eine digitale Datei ist erfahrungsgemäß 15-20-mal pro 10 Mitarbeiter auf einem physikalischen Datenträger vorhanden. Backup-Systeme und dazugehörige Datenträger müssen deswegen ständig erweitert und erneuert werden.

Haben Sie Maßnahmen zur Vermeidung unnötiger Datenablagen getroffen?

Haben Sie ausreichende IT-Ressourcen?

IT-Abteilungen müssen immer mehr Personal abbauen und die Ressourcen optimieren. Routinearbeiten, wie die Datensicherung oder unnötige Arbeiten wie der Auftrag zur Wiederherstellung einer E-Mail aus der Sicherung, z.B. nach versehentlichem Löschen durch den Mitarbeiter, könnten Sie leicht abbauen. Das bringt ein geeignetes E-Mail-Archiv-System in den Grundfunktionen mit sich. Eine einfache und bedienungsfreundliche Oberfläche ist oft bereits dabei. Verfügen Sie über diese Hilfe?

Haben Sie ausreichend viele Mitarbeiter für Nebentätigkeiten?

Wir möchten uns hier nur auf zwei Beispiele beschränken, die direkt E-Mails betreffen: das Postfach eines Mitarbeiters ist defekt (z.B. übergelaufen) oder es werden die E-Mails eines ausgeschiedenen Mitarbeiters benötigt. Diese Arbeiten sind zeitraubend. Oft liefert das Ergebnis nicht den erhofften Erfolg. Das Wiederfinden einer gelöschten, aber wichtigen E-Mail eines Mitarbeiters kann mit einer adäquaten E-Mail-Archivierung einfach umgesetzt werden. Sind Sie sicher, dass kein Mitarbeiter Ihnen irgendeine E-Mail „vorenthalten“ kann, z.B. bei seinem Ausscheiden?

Sind die Ausgaben für Papier- und Druckerkosten gesunken?

Trotz der E-Mail-Kommunikation, trotz der unendlich großen digitalen Archive und der nicht enden wollenden Ausgaben für Speicher-und Archivsysteme, steigen die Papier- und Druckerkosten in fast jedem Unternehmen. Hat das Projekt „papierloser Büroalltag“ versagt? Ja, denn auch E-Mails werden sehr oft unnötigerweise ausgedruckt und zwecks Archivierung in die Kundenakte abgelegt. Das verursacht nicht nur zusätzliche Kosten, sondern ist auch rechtlich nicht abgesichert. Die E-Mail auf dem Papier ist nicht das Original, sie wird als solches nicht anerkannt. Sie ist nicht dokumentenecht. Eine elektronische Information hat nichts in einem Papierarchiv zu suchen.

Kennen Sie die Höhe des Schadens aus rechtlichen Ansprüchen Dritter?

Kann es in Ihrem Unternehmen passieren, dass E-Mails einen Vorgang nur lückenhaft dokumentieren? Hat es daraus bereits einmal Ansprüche Dritter gegeben? Sind diese dokumentiert worden? Ist dem Unternehmen bereits messbarer Schaden entstanden oder sind Ihnen Vergleiche bekannt, da eine eindeutige Dokumentation fehlte? Können Sie sicher stellen, dass Sie und Ihr Unternehmen in jeder Hinsicht lückenlos dokumentiert haben, auch wenn ein Großteil der Kommunikation zu dem Vorgang über E-Mail erfolgte?

Denken Sie dabei auch an die vielen kleinen Regelungen „aus Kulanz“, da die zu Grunde liegenden Informationen nicht mehr eingesehen werden können. Werden Telefonabsprachen noch einmal schriftlich per E-Mail bestätigt?

Kennen Sie die Gesetze, die die „relevanten“ E-Mails aus Ihrem Archiv als Nachweis anfordern? (es sind immer andere Teilmengen des Archivs)

Hier ist die deutsche Gesetzgebung besonders durch die GDPdU, GoBS (bzw. AO) oder Euro-SOX geprägt, deutsche Finanzbeamte üben bereits den Umgang mit E-Mail-Archiven. Auch andere deutsche Gesetzte stellen hohe Anforderungen an Teilmengen der E-Mails: KonTraG, SRVwV, Signatur-Gesetz, GAaufzV, HGB, Basel II für Banken und noch viele mehr. Auch das neue, deutsche Datenschutzgesetz hat die Anforderungen an Datenarchivierung, Datenhaltung und Protokollierung von Zugriffen extrem verschärft. Deutsche, englische oder europäische und amerikanische Finanzbeamte haben unterschiedliche Anforderungen beim Durchsuchen eines digitalen Archivs. Es ist nicht nur wichtig, dass Sie archivieren, sondern auch, dass Sie dafür sorgen, dass der Auditor / Investigator nur die für ihn relevanten Dokumente (E-Mails) angezeigt bekommt. Sind auch Ihnen diese unterschiedlichen Anforderungen bekannt und in der aktuellen digitalen Ablage verfügbar?

Sind alle „relevanten“ E-Mails im Archiv?

Aktuelle Urteile zeigen, dass auch Zusagen per E-Mail rechtsverbindlich sind. Jede E-Mail und nicht nur die Anlage ist wichtig und relevant.
Für jede externe Compliance Anforderung müssen die entsprechenden relevanten E-Mails (eine Teilmenge des Archivs) zur Verfügung gestellt werden. Ist diese Aufgabe realisiert?

Kann die lückenlose Ablage der relevanten E-Mails nachgewiesen werden? Und sind auch alle Löschprozesse, auch die nach Ablauf der Archivierungsfrist nachvollziehbar. 

Kennen Sie die HGB Anforderungen im Umgang mit Dokumenten?

Das am häufigsten zutreffende Gesetz für deutsche Unternehmen, welches Archivierung von E-Mails fordert, ist das Handelsgesetzbuch:

HGB § 238 Abs.2: ist die Urschrift des Originals vorhanden? --> Dokumentenechtheit

HGB §239: „Radierverbot“ hätte das Original verändert werden können? Und sind die Aufbewahrungsfristen vollständig, richtig, zeitgerecht und geordnet?

HGB § 257 Abs. 2 und Abs. 4 Aufbewahrung von Unterlagen und die Aufbewahrungsfristen betreffen in gleicher Weise Papier- und elektronische Post. Ein Ausdruck einer E-Mail stellt in diesem Sinne (§238, s.o.) KEIN Original dar!

Wussten Sie, dass das GoBS auch für E-Mails gelten?

Die Anforderungen der ordnungsmäßigen Buchführung sind für die Meisten von uns so selbstverständlich und für die Papierdokumente so automatisiert, dass wir sie gar nicht mehr wahrnehmen. Sie gelten jedoch für E-Mails auf die gleiche Weise: Vollständigkeit, Richtigkeit (der Ablauf muss wiedergegeben werden), zeitgerecht (Datum, Stempel), Ordnungsnummer und Nachvollziehbarkeit (jeder Benutzer sollte den Ablauf verfolgen können).

Reicht das Backup auch für die Sicherung aller Anforderungen an den „relevanten“ E-Mails aus?

Aktuelle Urteile zeigen, dass auch Zusagen per E-Mail rechtsverbindlich sind. Jede E-Mail und nicht nur die Anlage kann wichtig und relevant sein. Für jede externe Compliance Anforderung (Gesetz) müssen die entsprechenden relevanten E-Mails (eine Teilmenge des Archivs) zur Verfügung gestellt werden. Sieht jemand eine „falsche“ E-Mail, so darf er sie zum Nachteil für Sie und Ihr Unternehmen nutzen. Wussten Sie das schon? Kann die lückenlose Ablage der relevanten E-Mails nachgewiesen werden? Und sind auch alle Löschprozesse, auch die nach Ablauf der Archivierungsfrist, nachvollziehbar?

Ist die elektronische Archivierungspflicht erfüllt?

Originär digitale Unterlagen sind auf maschinenlesbaren Datenträgern zu archivieren und müssen mit dem Original übereinstimmen. Alle eingehenden digitalen Unterlagen sind in elektronischer Form aufzubewahren. Eine Aufbewahrung von digitalen Dokumenten in ausgedruckter Form ist nicht ausreichend. Ebenso ist die ausschließliche Archivierung in maschinell nicht auswertbarem Format (pdf) nicht ausreichend. Dies sind einige der 10 Grundsätze zur Archivierung von E-Mails die der VOI (Verband Organisations- und Informationssysteme e.V.) publiziert hat.

Sind Ihnen die Folgen der Nichtbeachtung bekannt?

Bzw. haben Sie daran gedacht, dass Sie bereits morgen mit neuen Anforderungen konfrontiert werden könnten? Und kann z.B.: die Verletzung der Archivierungspflicht, kann zur Schätzung auf Grund nicht vorhandener Besteuerungsgrundlagen (AO und GoBS) führen.

Kennen Sie das Zusammenspiel zwischen Risikomanagement und der Archivierung digitaler Dokumente und E-Mails?

Haben Sie bei der Auswahl der Lösung an alle Aspekte des Risikomanagements wie: Identifikation, Analyse, Bewertung, Kommunikation, Überwachung und ganz wichtig die Bewältigung gedacht? Überprüft die Lösung alle Anpassungen des Administrators?

Ist das KonTraG §91 Abs.2 in Ihrem Unternehmen ausreichend umgesetzt?

Wichtig: Sie schließen damit die private Haftung der Geschäftsführer und Vorstände aus!

Der Vorstand bzw. die Geschäftsführung haftet privat, denn sie „hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.“ (KonTraG §91 Abs. 2). Die Nichteinhaltung kann für die Basel II Einstufung negativ ausgelegt werden, und der Kredit wird nicht bewilligt oder fällt teurer aus als üblich. Die Haftung kann auch durch die Verletzung des Datenschutzes oder der Compliance-Regularien entstehen.

Können Sie die zukünftigen, neuen Rechtsanforderungen auch abdecken?

Bzw. haben Sie daran gedacht, dass Sie bereits morgen mit neuen Anforderungen konfrontiert werden könnten? Und kann die Lösung die Überprüfung der Einhaltung der Richtlinien ab Stichtag nachweisen?

Sind die internen Compliance Regeln nachweisbar umgesetzt?

Die Einhaltung der Privatsphäre ist trotz unternehmensweiter Archivierung und Umgang mit den Löschprozessen genauso wichtig, wie die Folgen der Berechtigungsvergabe. Gibt es Instrumente zur Überprüfung der Einhaltung der vorgegebenen Richtlinien in Umgang mit den digitalen Dokumente und E-Mails?

Wird die Einhaltung der Compliance-Regeln geprüft?

Jedes Dokument darf nur von entsprechenden Benutzern eingesehen werden. Alle Definitionen des Administrators auf dem Archiv, müssen später jederzeit nachweisbar sein. Können die Zugriffe auf ein Dokument / E-Mail nachgewiesen werden? Dieser Nachweis ist für die sichere Kontrolle und einen echten Nachweis der Einhaltung aller Compliance-Regeln im Unternehmen sehr wichtig. Liefert die Lösung eine revisionssichere Verfahrensdokumentation für den Umgang mit digitalen Dokumenten und E-Mails ab?

Ist die Unveränderbarkeit der Daten gewährleistet?

Die Ablage der Originale in einem WORM-Bereich alleine deckt diese Anforderung nicht ab. Auch auf dem „Weg“ des digitalen Dokuments in das Archiv darf keine Änderung möglich sein. So muss nicht nur die Ablage „revisionssicher“ sein. Sie müssen den gesamten Prozess als revisionssicher (medienbruchfrei) bewerten können. Eine digitale Signatur mittels Verschlüsselung und das sichere Verhindern der Lösch- und Änderungsprozesse sind noch wichtigere Bestandteile der revisionssicheren Archivierung.

Wichtige E-Mails (oder Gruppen von E-Mails) sollten auch mit einer qualifizierten digitalen Signatur versehen werden können.

Werden die digitalen Dokumente günstig abgelegt?

Die Komprimierung der Daten über eine Systemkomponente wird unter Einhaltung aller Sicherheitsrichtlinien die Datenmenge oft um ein Vielfaches verkleinern. Noch günstiger ist es, wenn ein digitales Dokument / E-Mail nur einmal physikalisch in Unternehmen existiert (Deduplizierung). Wäre das nicht auch für Sie wünschenswert? Haben Sie es umgesetzt?

Ist die Sicherung der E-Mails auch beim Ausfall des E-Mail- /Groupware-Servers gewährleistet?

Kein Beleg und keine E-Mail dürfen verloren gehen. Das System sollte über unterschiedliche Aggregate (maschinelle Absicherung) verfügen, die den Verlust einer E-Mail verhindern.

Kennen Sie den tatsächlichen Aufwand und die Kosten, die unökonomische E-Mail-Organisation ausmacht?

Ihre Mitarbeiter beschäftigen sich zu lange mit der Organisation der E-Mails und vor allen Dingen mit der Suche nach einer wichtigen E-Mail. Wussten Sie, dass die Reduzierung des Suchaufwandes um 5 Minuten / Tag / Mitarbeiter (und das ist sehr konservativ betrachtet) einem Betrieb mit 200 Mitarbeitern eine Erhöhung der Produktivität von Euro 60.000,- / Jahr realisiert. Wussten Sie, dass Sie an dieser Stelle noch effizienter arbeiten können? Kunden-, Projekt-, oder / und Lieferantenakte liefern ihren Optimierungsanteil dazu.

Verfügt Ihr Haus über eine kundenorientierte E-Mail-Kommunikationslösung?

Unbeantwortete E-Mails sind geschäftsschädigend. Darüber hinaus steht die E-Mail-Kommunikation unter einer neuen Herausforderung: der Empfänger rechnet mit einer schnellen Antwort. Aktuelle Umfragen haben ergeben, dass ein Absender einer E-Mail mit einer Antwort in den nächsten zwei oder höchstens drei Tage rechnet. Ein Versprechen muss auch wirklich rechtzeitig eingehalten werden, als z.B., eine von Einzelnen abhängige E-Mail-Umleitung. Die zentrale Erledigung dieser Anforderungen sichert die Umsetzung viel besser. Vergessen Sie nicht, dass das s.g. E-Mail-Responsemanagement nur eine Teilaufgabe umsetzt. Kann ersatzweise ein Kollege die Kundenanfrage befriedigen?

Schützten Sie sich vor Industriespionage?

Alle wichtigen Informationen stehen heute fast jedem Mitarbeiter in digitaler Form in Ihrem Unternehmen zur Verfügung. Gerade aus diesem Grund ist es wichtig, deren unbefugten Versand und Ausnutzung zu unterbinden. Der Know-How-Verlust kann Ihr Unternehmen vor unlösbare Probleme stellen. Haben Sie an den ökonomischen Wert der vertraulichen Informationen gedacht? Oder an die Kosten eines temporären Datenverlustes? Haben Sie in allen diesen Fällen an die Folgekosten gedacht?

Verfügen Sie über einen Nachweis der Kommunikation?

Können Sie auch nach Jahren nachweisen, dass Sie eine E-Mail mit genau dieser Anlage und Inhalt (von einem unabhängigen Trust-Center digital signiert) versendet haben und diese zum einem bestimmten Zeitpunkt vom Empfänger empfangen und gelesen wurde? E-Mail-Kommunikation wird mit Hilfe geeigneter Lösungen verbindlich.

Nutzen Sie heute bereits verbindliche „Einschreibe“ E-Mail-Kommunikation?

Copyright 2017 rent a brain GmbH - Checkliste: Ist E-Mail-Archivierung sinnvoll?.
Impressum
Joomla Templates by Wordpress themes free