Rechtssichere E-Mail-Archivierung

Was muss archiviert werden?

Diese Frage beantwortet §147 der Abgabenordnung:

• Bücher und Aufzeichnungen, Inventare, Jahresabschlüsse, Lageberichte, die Eröffnungsbilanz sowie die zu ihrem Verständnis erforderlichen Arbeitsanweisungen und sonstigen Organisationsunterlagen,
• die empfangenen Handels- oder Geschäftsbriefe,
• Wiedergaben der abgesandten Handels- oder Geschäftsbriefe,
• Buchungsbelege und
• sonstige Unterlagen, soweit sie für die Besteuerung von Bedeutung sind.

Dazu gehört jegliche Korrespondenz, durch die ein Geschäft vorbereitet, abgewickelt, abgeschlossen oder rückgängig gemacht wird. Beispiele sind Rechnungen, Aufträge, Reklamationsschreiben, Zahlungsbelege und Verträge. Dies gilt auch dann, wenn diese per E-Mail versendet werden.

In der Praxis
In Anbetracht der Masse der täglich empfangenen und versendeten E-Mails ist eine Kategorisierung in archivierungspflichtige und nicht-archivierungspflichtige E-Mails fast nicht möglich. Es wird daher oft bevorzugt, einfach alle E-Mails zu archivieren. Dies kann ein Unternehmen jedoch in Konflikt mit anderen Gesetzen bringen. Mehr hierzu erfahren Sie im kostenlosen PDF-Leitfaden zur rechtssicheren E-Mail-Archivierung.

Wie lange müssen E-Mails aufbewahrt werden?

Die Aufbewahrungsfristen ergeben sich aus dem Handelsgesetzbuch (§ 257 HGB) und der Abgabenordnung (§ 147 AO):

• Bücher, Aufzeichnungen, Inventare, Jahresabschlüsse, Lageberichte, Eröffnungsbilanzen, die zu ihrem Verständnis erforderlichen Arbeitsanweisungen und sonstigen Organisationsunterlagen sowie Buchungsbelege müssen zehn Jahre lang aufbewahrt werden.
• Empfangene Handels- oder Geschäftsbriefe, Wiedergaben der abgesandten Handels- oder Geschäftsbriefe sowie sonstige Unterlagen, soweit sie für die Besteuerung von Bedeutung sind, müssen sechs Jahre lang aufbewahrt werden.

In der Praxis
Auch hier ist in Anbetracht der Masse der E-Mails eine zuverlässige Kategorisierung mit vertretbarem Aufwand kaum möglich. Oft werden aus diesem Grund alle E-Mails mindestens zehn Jahre lang aufbewahrt.

Wer trägt die Verantwortung?

Die Verantwortung für die ordnungsgemäße Umsetzung der rechtlichen Anforderungen zur Aufbewahrung von E-Mails liegt bei der Geschäftsführung eines Unternehmens. Kommt diese ihrer Pflicht nicht nach, drohen in schweren Fällen sogar Freiheitsstrafen.

Der MailStore Server 4 wurde durch die unabhängige IT AUDIT GmbH Wirtschaftsprüfungsgesellschaft erfolgreich geprüft und zertifiziert.

Die Prüfung fand auf der Grundlage der Prüfungsstandards des Instituts der Wirtschaftsprüfer in Deutschland e.V. (IDW) "Erteilung und Verwendung von Softwarebescheinigungen" (IDW PS 880) statt und berücksichtigte alle Teilaspekte der Grundsätze ordnungsgemäßer Buchführung (GoB), welche die Archivierung betreffen.

Vollständige Liste der bei der Prüfung einbezogenen Anforderungen

Deutschland

• Vorschriften des Handels- und Steuerrechts über die Ordnungsmäßigkeit der Buchführung (§§ 238 ff. und § 257 HGB sowie §§ 140 ff. AO)
• IDW Stellungnahme zur Rechnungslegung "Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Informationstechnologie (IDW RS FAIT 1)"
• IDW Prüfungsstandard "Erteilung und Verwendung von Softwarebescheinigungen (IDW PS 880)"
• "Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS)" der Arbeitsgemeinschaft für wirtschaftliche Verwaltung e.V. (AWV) sowie das dazu ergangene Begleitschreiben des Bundesministers der Finanzen vom 07.11.1995
• Schreiben des Bundesministers der Finanzen "Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU)" vom 16.07.2001
• Deutsches Umsatzsteuergesetz

Österreich

• Österreichische handels- und steuerrechtliche Vorschriften (§ 189 UGB, §§ 131, 132 BAO)
• Fachgutachten des Fachsenate Datenverarbeitung der österreichischen Kammer der Wirtschaftstreuhänder (KFS DV1, Stand 11/1998)
• Österreichisches Umsatzsteuergesetz

Schweiz

• Vorschriften zur Buchführung, Aufbewahrung und Edition des schweizerischen Obligationenrechts (OR)
• Richtlinien der Treuhand Kammer bezüglich der Grundsätze ordnungsmäßiger Buchführung (Revisionshandbuch der Schweiz)
• "Richtlinien für die Ordnungsmäßigkeit des Rechnungswesens unter steuerlichen Gesichtspunkten sowie über die Aufzeichnung von Geschäftsunterlagen auf Bild- oder Datenträger und deren Aufbewahrung" der eidgenössischen Steuerverwaltung (EStV)
• Verordnung über die schweizerische Mehrwertsteuer (MWSTV) und die Wegleitung für Mehr-wertsteuerpflichtige

Vollständigkeit
Die Archivierung kann mit Hilfe von MailStore Server so erfolgen, dass alle E-Mails sofort bei Ein- und Ausgang archiviert werden. Für Unternehmen mit Microsoft Exchange Server kann dies über die Archivierung des Journal-Postfaches erfolgen. Unternehmen ohne Microsoft Exchange Server können den MailStore Proxy Server verwenden. Dieser steht für alle MailStore Server Kunden kostenlos bereit. Weitere Informationen zur automatischen Archivierung aller ein- und ausgehenden E-Mails finden Sie im MailStore Server Handbuch.

Übereinstimmung mit dem Original
Alle E-Mails und deren Dateianhänge werden ohne Informationsverlust und MIME-kompatibel archiviert und können ebenso jederzeit wiederhergestellt werden.

Sicherstellung eines langfristigen Archivzugriffs
MailStore Server bindet nicht an ein proprietäres Dateiformat. Alle archivierten E-Mails können jederzeit im Standardformat nach RFC822, das seit über 25 Jahren Bestand hat, in einem Arbeitsschritt exportiert werden. Die exportierten Dateien können von den meisten E-Mail-Programmen geöffnet und verarbeitet werden. Darüber hinaus bietet MailStore Server eine Vielzahl weiterer Export- und Wiederherstellungsfunktionen.

Durchsetzung von Aufbewahrungsfristen
E-Mails können z.B. in nach Jahren oder Monaten sortierten Blöcken im Archiv abgelegt werden. Dabei können neuere Blöcke (z.B. jünger als zehn Jahre) mit einer Schreibsperre versehen werden. Ältere Blöcke können hingegen vollständig aus dem Archiv ausgehangen werden.

Vertraulichkeit der Daten
Durch ein integriertes Rechtesystem wird sichergestellt, dass auf eine archivierte E-Mail jeweils nur von entsprechend berechtigten Anwendern zugegriffen werden kann.

Verhindert absichtliches oder unabsichtliches Löschen von E-Mails durch Mitarbeiter
Das Löschen von E-Mails durch Anwender kann durch die MailStore-Benutzerverwaltung vollständig unterbunden werden.

Verhindert die Manipulation von E-Mail-Inhalten
MailStore bedient sich unterschiedlicher Verfahren und Technologien, um die Manipulation von E-Mail-Inhalten zu verhindern:

• Bildung von SHA1-Hashwerten über die Inhalte der E-Mails
• Interne AES256-Verschlüsselung von E-Mail-Texten und Anhängen
• Kein direkter Zugriff der MailStore Client-Software auf die Archivdateien
• Änderung der E-Mail-Inhalte ist weder in der grafischen Oberfläche noch programmintern vorgesehen
• Automatische Archivierung aller E-Mails sofort bei Ein- und Ausgang verhindert Manipulationen zum Zeitpunkt vor der Archivierung durch MailStore Server
• Eine zusätzliche Sicherung der Daten auf WORM-Medien wird direkt durch MailStore Server unterstützt und kann bei Bedarf auch durch beliebige Lösungen anderer Hersteller erfolgen

Darüber hinaus muss von der IT-Administration sichergestellt werden, dass nur berechtigte Personen direkten Zugriff auf das MailStore Server-System und die zugrundeliegenden Archivdaten erhalten.

Zugriff auf das Archiv durch Prüfer
MailStore Server ermöglicht das Anlegen von Benutzerkonten mit Nur-Lesezugriff auf das gesamte Archiv oder auf einzelne Archivteile. Über ein solches Konto kann ein Prüfer die archivierten E-Mails über eine Volltextsuche durchsuchen, betrachten und bei Bedarf einzelne oder alle E-Mails in unterschiedlichen Formaten zur Weiternutzung exportieren.

Die Spam-Filterung vor der Archivierung birgt grundsätzlich das Risiko, dass archivierungspflichtige E-Mails nicht durch den Spam-Filter und somit auch nicht in das Archiv gelangen. Die Archivierung wäre somit nicht vollständig und streng genommen auch nicht rechtssicher.

In der Praxis bestehen dazu drei Handlungsmöglichkeiten:

• Es wird auf die Spam-Filterung vor der Archivierung verzichtet
  Auf diese Weise ist zwar die Vollständigkeit der Archivierung sichergestellt, jedoch geht dies mit technischen Nachteilen einher. So wird durch das extrem hohe (da ungefilterte) E-Mail-Volumen der Speicherbedarf des Archivs stark erhöht. Die Folge sind höherer Aufwand und Kosten beim Speichermanagement und bei der Datensicherung. Zudem nimmt die Qualität der Suchergebnisse bei der Archivsuche durch den hohen Spam-Anteil deutlich ab.
• Empfangene E-Mails werden von einer Anti-Spam-Lösung gefiltert und danach archiviert
  Auf diese Weise wird zwar der Speicherbedarf des Archivs deutlich verringert und die Qualität von Suchabfragen erhöht, jedoch kann eine vollständige Archivierung aller relevanten E-Mails nicht zu 100% sichergestellt werden. Diese E-Mails können fälschlicherweise vom Spam-Filter abgewiesen werden. Das Verfahren geht demnach mit einem gewissen rechtlichen Risiko einher.
• Als Spam identifizierte E-Mails werden von einer Anti-Spam-Lösung noch vor Annahme durch den eigenen E-Mail-Server abgewiesen
  Solange als Spam identifizierte E-Mails nicht angenommen werden, besteht auch keine Pflicht zur Verarbeitung oder zur Archivierung dieser E-Mails. Ein sehr gutes Beispiel für eine solche Lösung ist der NoSpamProxy. Die ebenfalls in Deutschland entwickelte Software kann im Bundle mit MailStore Server vergünstigt bezogen werden. Weitere Informationen ...