Mobile-Menu

Compliance-konforme Aufbewahrung E-Mail-Archivierung – ein Leitfaden für IT-Entscheider

Von Roland Latzel* |

Anbieter zum Thema

Die E-Mail gilt in Unternehmen als wichtigstes Kommunikationsmittel, um geschäftliche Informationen und Dokumente auszutauschen. Sämtliche Informationen, die sich im E-Mail-Bestand ansammeln, verbleiben in der Regel jedoch in den Postfächern der Mitarbeiter und werden nicht zentral gesichert. Aufbewahrungspflichten, Management und Verfügbarkeit dieses Wissens stellen daher eine große Herausforderung für die IT-Abteilung dar. E-Mail-Archivierungslösungen können hier Abhilfe schaffen.

Die richtige Archivierung elektronischer Post stellt IT-Abteilungen vor Herausforderungen. Entsprechende Software-Lösungen schaffen Abhilfe.
Die richtige Archivierung elektronischer Post stellt IT-Abteilungen vor Herausforderungen. Entsprechende Software-Lösungen schaffen Abhilfe.
(Bild: gemeinfrei / Pixabay)

E-Mail-Systeme sind in der Regel nicht für die langfristige Aufbewahrung und Verwaltung großer Datenmengen ausgelegt. Doch ist der überwiegende Teil deutscher Unternehmen laut den GoBD („Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“) dazu verpflichtet, E-Mails einschließlich ihrer Dateianhänge über bestimmte Zeiträume hinweg aufzubewahren. Diese Aufbewahrungspflicht gilt für sämtliche Unterlagen, die in steuer- und handelsrechtlicher Hinsicht von Bedeutung sind – also jegliche Korrespondenzen, die zum Beispiel ein Geschäft vorbereiten, abschließen oder rückgängig machen. Zudem muss die Aufbewahrung vollständig sowie manipulationssicher erfolgen und jederzeit Zugriff auf E-Mails und Dateianhänge zulassen (Revisionssicherheit). Werden E-Mails zum Beispiel im Rahmen einer Steuerprüfung von einem Auditor angefordert, muss das Unternehmen in der Lage sein, auf den gesamten E-Mail-Bestand zugreifen zu können. Auch in Österreich und der Schweiz gelten vergleichbare Anforderungen.

Mitarbeiter belassen nicht selten E-Mails in ihren Postfächern. Je nach Server- und Systemkonfigurierung sind sie unter Umständen in der Lage, E-Mails eigenständig zu löschen oder lokal auf ihren Rechnern zu speichern. Dies schafft nicht nur Daten- und Wissenssilos, auf die nicht zentral zugegriffen werden kann, sondern birgt ebenfalls das Risiko, dass Informationen verloren gehen. Daher ist es unerlässlich, dass die E-Mail-Verwaltung und -Archivierung zentral gesteuert wird. Darüber hinaus belasten stetig anwachsende Datenmengen den E-Mail-Server, verlangsamen das System, lassen sich nicht effizient durchsuchen und können zudem Backup-Zeiten verlängern.

Backup-Systeme allein reichen nicht aus

Oftmals sichern Unternehmen ihre E-Mail-Daten im Zuge regelmäßig erstellter Backups. Jedoch gehen IT-Manager dadurch ein erhebliches Risiko ein. Denn Backups sind nicht dafür geeignet, die Vollständigkeit und Revisionssicherheit von hohen E-Mail-Volumina über längere Zeiträume hinweg zu gewährleisten. Backup-Systeme dienen vornehmlich der Disaster Recovery, um im Notfall, wie zum Beispiel nach einem Systemausfall oder einer Ransomware-Attacke, geschäftskritische IT-Systeme und Daten wiederherzustellen.

Das Backup-System erstellt in regelmäßigen, kurz- oder mittelfristigen Zyklen Kopien des E-Mail-Bestandes beziehungsweise des E-Mail-Servers. Mitarbeiter können in diesem Fall E-Mails und Anhänge nach dem Eingang – noch bevor das nächste Backup stattfindet – manuell löschen oder verändern. Außerdem kann es vorkommen, dass das Backup-System je nach Konfiguration ältere Backups durch eine neue Kopie überschreibt, um Speicherplatz zu sparen. Der alleinige Einsatz von Backup-Systemen geht immer mit einem potenziellen Verlust von relevanten E-Mails einher und entspricht demnach nicht den Anforderungen einer professionellen, revisionssicheren E-Mail-Aufbewahrung. Ein Backup stellt keinen Ersatz für E-Mail-Archivierung dar, sondern sollte komplementär zu dieser eingesetzt werden.

Vorteile, die sich durch E-Mail-Archivierung ergeben

Das Ziel einer guten E-Mail-Archivierungslösung ist die langfristige, vollständige, jederzeit verfügbare sowie manipulationssichere Aufbewahrung von E-Mail-Korrespondenzen. Zudem sollte sie datenschutzkonform erfolgen. Die E-Mail-Archivierungslösung fungiert dabei als Erweiterung zum bestehenden E-Mail-System. Dabei stehen verschiedene Archivierungsarten zur Verfügung: Im Rahmen der Journalarchivierung legt die Lösung Kopien aller ein- und ausgehenden E-Mails in einem zentralen Speicher ab. Bei der Postfacharchivierung wird die von den Mitarbeitern in ihrem Client angelegte Ordnerstruktur inklusive aller vorhandenen E-Mails samt Dateianhänge archiviert.

IT-Admins konfigurieren, welche E-Mails (samt Anhängen) zu welchem Zeitpunkt und in welchen Intervallen automatisch aus den Postfächern in das eingerichtete Archiv kopiert werden. Die Konfiguration der Archivierung hängt dabei von den Zielen ab, die ein Unternehmen mit der E-Mail-Archivierung verfolgt. Man unterscheidet im Wesentlichen zwischen zwei verschiedenen strategischen Ansätzen.

Bei der sogenannten Journalarchivierung werden E-Mails noch vor der Zustellung an den Empfänger archiviert. Dieses Vorgehen soll die Vollständigkeit und Revisionssicherheit der E-Mail-Kommunikation gewährleisten – selbst wenn Mitarbeiter willentlich oder versehentlich ihr gesamtes Postfach manuell leeren und die Nachrichten unwiederbringlich löschen. Dadurch ist die Journalarchivierung besonders relevant hinsichtlich steuer- und handelsrechtlicher Anforderungen.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Data-Storage und -Management

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Die Postfacharchivierung hingegen ist vor allem für Unternehmen interessant, die ihren E‑Mail-Server entlasten und die Ordnerstrukturen der E-Mail-Postfächer im Archiv beibehalten wollen. Über definierte Löschregeln lässt sich festlegen, ob und wann die E-Mails nach der Archivierung vom E-Mail-Server gelöscht werden. Auch eine Kombination von Journalarchivierung und Postfacharchivierung ist möglich, um von den Vorteilen beider Methoden zu profitieren.

Grundsätzlich sollte eine leistungsfähige E-Mail-Archivierungslösung auf die Speicherung und Verwaltung sehr großer Datenmengen ausgelegt sein. Darüber hinaus kann durch den Einsatz von Löschregeln das Datenvolumen auf dem E-Mail-Server konstant niedrig gehalten werden. Der E-Mail-Server wird dadurch entlastet.

Die Archivierungslösung sollte zudem über eine Self-Service-Funktion in Form einer effektiven Volltextsuche verfügen, mit deren Hilfe vor allem Anwender und Auditoren das Archiv eigenständig durchsuchen und E-Mails wiederherstellen können. Daraus folgt auch, dass das IT-Helpdesk seltener kontaktiert und somit entlastet wird.

E-Mail-Archivierung zur Einhaltung datenschutzrechtlicher Vorgaben

Im Rahmen der E-Mail-Archivierung muss auch die datenschutzkonforme Verarbeitung personenbezogener Daten gemäß der DSGVO berücksichtigt werden – von der Erhebung der Daten über die Speicherung bis hin zum Zugriff und der Löschung. Im Falle eines datenschutzrechtlichen Verstoßes drohen Unternehmen hohe Bußgelder. Die im Rahmen der E-Mail-Archivierung besonders relevanten Artikel der DSGVO sind die Artikel 5 („Grundsätze für die Verarbeitung personenbezogener Daten“), 15 („Recht auf Auskunft“), 17 („Recht auf Löschung“), 20 („Recht auf Datenübertragbarkeit“) sowie 21 („Recht auf Widerspruch“). Mithilfe verschiedener Funktionen ermöglicht eine Archivierungslösung die DSGVO-konforme Verarbeitung personenbezogener Daten.

Leistungsstarke Suchfunktionen helfen dabei, das E-Mail-Archiv effizient zu durchsuchen und Kunden sowie Mitarbeitern die geforderten Auskünfte erteilen zu können. Weitere Funktionen erlauben einerseits den Export in strukturierte und maschinenlesbare Standardformate, andererseits sind sie Grundlage für ein effizientes Lösch- und Aufbewahrungsmanagement. Letzteres ist vor allem wichtig, da die datenschutzrechtlichen Grundsätze der Zweckbindung und Datenminimierung nach Artikel 5 zu einem Spannungsverhältnis führen: Personenbezogene Daten müssen gemäß DSGVO auf das erforderliche Maß beschränkt sein und dürfen nur so lange verarbeitet werden, bis der ursprüngliche Zweck erreicht ist. Eine frühzeitige, umfangreiche Löschung von (personenbezogenen) Daten entspricht aber eventuell nicht den steuer- und handelsrechtlichen Aufbewahrungspflichten.

Fazit

Roland Latzel, Senior Director of Marketing bei MailStore.
Roland Latzel, Senior Director of Marketing bei MailStore.
(Bild: Stefan Voelker/MailStore)

Um der rechtlich vorgegebenen Aufbewahrungspflicht von E-Mail-Daten nachkommen zu können, braucht es mehr als ein regelmäßiges Backup des genutzten E-Mail-Systems. Ohne eine professionelle E-Mail-Archivierungslösung steigt das Risiko, dass E-Mails und Dateianhänge unwiderruflich verloren gehen. Eine gute E-Mail-Archivierungslösung sollte daher grundlegender Bestandteil einer jeden IT-Strategie sein, wenn es um effizientes Informationsmanagement geht. Sie stellt sicher, dass der E-Mail-Bestand eines Unternehmens langfristig, stets verfügbar sowie revisionssicher und datenschutzkonform gesichert wird.

*Der Autor: Roland Latzel, Senior Director of Marketing bei MailStore.

Das Storage-Kompendium zum Thema – kostenfreier Download

Die Zeiten, in denen Backups ausschließlich auf Tape angefertigt wurden, sind vorbei. Heute stellt sich die Situation bezüglich Backup-Medien und -Strategien deutlich vielfältiger dar, was auch zu Unsicherheiten führt.

Backup & Archivierung – gestern, heute und morgen

Storage-Kompendium Backup & Archivierung
Storage-Kompendium „Backup & Archivierung“
(Bild: Storage-Insider)

Die Hauptthemen des Kompendiums sind:

  • Auf dem Weg zur passenden Backup-Strategie
  • Cloud-Backup und Hybrid-Backup
  • Tape – der wehrhafte Dinosaurier
  • Datensicherheit und Storage: Welche gesetzlichen Vorgaben gelten?
  • Langzeitarchivierung mit Objektspeicherung
  • Unstrukturierte Daten ohne Backup schützen
  • Erstklassige Backup- und Archivierungsstrategie

(ID:48225957)