Leitfaden - Rechtskonforme E-Mail-Archivierung mit Microsoft Exchange Server 2010 erfüllen, Folge 1 E-Mail-Archivierung im Spannungsfeld von Manipulation, Rechtsprechung, Revisionssicherheit und privater Nutzung

Autor / Redakteur: Wilfried Reiners / Nico Litzel

Diese Artikelreihe beruht auf einem Whitepaper der auf rechtliche Themen im IT-Umfeld spezialisierten Rechtsanwaltskanzlei PRW Rechtsanwälte. Im ersten Teil werden grundlegende Fragestellungen der IT-Compliance zwischen Recht und Revisionssicherheit anhand der Archivierungsfunktion von Microsoft Exchange Server 2010 erläutert.

Firmen zum Thema

Wilfried Reiners, PRW Rechtsanwälte
Wilfried Reiners, PRW Rechtsanwälte
( Archiv: Vogel Business Media )

Die wichtigste rechtliche Frage zuerst: „Kann mit den Archivierungsmöglichkeiten von Microsoft Exchange Server 2010 eine rechtskonforme Archivierung sichergestellt werden“. Die eindeutige Antwort ist: „Ja“.

In den weiteren Folgen lesen Sie:

  • Folge 2: Die maschinelle Auswertung im Exchange-Archiv
  • Folge 3: FAQ I zu Datensicherheit im Exchange-Archiv
  • Folge 4: FAQ II zu MS Exchange-Archivfunktionen

Historie und „Point of No Excuse“

Microsoft Exchange Server 2010 kann nicht alle Funktionen bieten, wie sie von im Markt erhältlichen digitalen Archivsystemen teilweise bereitgestellt werden. Und das ist gut so, weil dort gelegentlich Funktionalitäten angeboten werden, die rechtlich nicht gefordert sind oder sogar aus rechtlicher Sicht bedenklich sind. Dazu später im Detail mehr.

Im Jahre 1996 wurde Microsoft Exchange breit in den Markt eingeführt. Dem Thema E-Mail-Sicherheit im Sinne von Virenabwehr widmeten sich zunächst andere Hersteller. Erst zehn Jahre später (2006) brachte Microsoft mit der Forefront Suite ihr eigenes, hochwertiges, maßgeschneidertes Security Produkt in den Markt. Forefront hat in vielen Tests seine Qualität bewiesen. Niemand wird ernsthaft bezweifeln, dass auch zwischen 1996 und 2006 Antivirusprogramme notwendig waren. Das ist die berechtigte Sicht der IT-Spezialisten.

Aus juristischer Sicht wird anders argumentiert, wenn der Originärhersteller (Microsoft mit Forefront) selbst ein Security Produkt anbietet, dann setzt er damit wohl den Mindeststandard. Aus einem Urteil des Landgerichts Hamburg (Urteil vom 18. Juli 2001, 401 O 63/00 NJW 2001, 3486, 3487) wurde verschiedentlich abgeleitet, dass jeweils mindestens drei aktuelle unterschiedliche Virenprogramme einzusetzen sind. Das hier benannte Urteil ist nicht unumstritten. Mit Microsoft Forefront sind die Anwender – nach der derzeitigen Rechtsprechung – auf jeden Fall auf der juristisch sicheren Seite, da Forefront mit drei oder mehr Engines scannt.

Im Jahre 2002 wurden die Vorschriften zur digitalen Steuerprüfung (GDPdU) eingeführt. Diese Vorschriften befassen sich auch mit der Aufbewahrung von E-Mails. Digitale Archivhersteller haben das erkannt und sehr zeitnah Lösungen angeboten. Microsoft bietet mit Exchange Server 2010 nun auch Archivierungsmöglichkeiten für E-Mails an. Die Sicht der IT-Spezialisten auf das Thema Archivierung ist eher technisch getrieben und war bisher stark auf den Begriff der Revisionssicherheit ausgerichtet.

Aber auch hier gilt, wenn der Originärhersteller (Microsoft mit Exchange Server 2010) selbst ein Archivierungstool anbietet, mit dem eine rechtlich einwandfreie Archivierung möglich ist, dann ist für eine unterlassene Archivierung kein argumentativer Platz mehr. Aus der Sicht der Steuerbehörden gelten die Vorschriften bereits rückwirkend seit 2002. Spätestens seit Microsoft Exchange Server 2010 ist E-Mail-Archivierung Standard.

Weiter mit: Die drei Grundprinzipien der Archivierung

Die drei Grundprinzipien der Archivierung

Ein digitales Archivsystem sollte drei Grundprinzipien bedienen können. Es sollte im Stande sein, das zu archivieren, was der Archivierende archivieren möchte. Es sollte das archivieren können, was der Archivierende archivieren muss. Und es sollte auf keinen Fall das dauerhaft archivieren, was der Archivierende nicht archivieren darf (Stichwort Datenschutz). Das klingt einfach, ist es aber nicht.

Zwischen Herausforderung und Wissensdefizit

Nachfolgend ein kleiner Ausschnitt aus dem Bereich der Herausforderungen, die Unternehmen und Institutionen annehmen müssen. Im Bereich der zwingenden gesetzlichen Archivierungsvorschriften gibt es keine Einheitlichkeit zwischen den staatlichen Regelungen (nicht mal innerhalb der EU). Multinationale Unternehmen müssen sich somit nach den jeweils geltenden nationalen Vorschriften richten. Das ist keine leichte Aufgabe.

Ein anderes Beispiel: Darf ein Unternehmen / eine Institution private E-Mails archivieren, wenn die private E-Mail erlaubt ist? Die Antworten der IT-Verantwortlichen darauf lauten von: „Auf keinen Fall“ über „selbstverständlich“ bis „weiß nicht“.

Der Jurist antwortet: „Es kommt darauf an“. Alle Antworten sind unbefriedigend und können doch alle richtig sein. Sicher ist, es herrscht Unsicherheit über viele Rechtsfragen. Dazu trägt auch die Werbung bei. Mögliche Werbung eines Archivherstellers: „E-Mails enthalten zum Teil Unterlagen wie Angebote, Verträge oder Rechnungen. Daraus ergibt sich die Notwendigkeit, geschäftsrelevante E-Mails rechtssicher zu archivieren. Wir haben die Lösung, in dem wir die E-Mails bereits vor Zustellung archivieren. Eine mögliche Manipulation wird damit von Beginn an ausgeschlossen. Durch diesen Automatismus sorgt unsere Lösung für die notwendige Rechtssicherheit“.

Es wird eine rechtssichere und manipulationssichere Archivierung versprochen und weil keine Aktion durch die Endanwender notwendig ist, wird die Lösung rechtssicher. Beides ist falsch, wie später beschrieben wird.

Die private Nutzung des betrieblichen/geschäftlichen E-Mail-Accounts

Kaum ein Thema hat die juristische Diskussion in Deutschland im Zusammenhang mit der E-Mail-Nutzung so sehr entfacht wie die Frage nach der privaten Nutzung. Das Betreiben einer sicheren E-Mail-Infrastruktur wird ohne Filtertechniken nicht praxisgerecht zu realisieren sein. Unabhängig davon, wo die eingesetzte Filtertechnologie jeweils ansetzt – am Client, Server oder vorgelagert auf Internetebene – können sich jedoch rechtliche Probleme ergeben, sobald private Internet- und E-Mail-Nutzung erlaubt oder geduldet wird.

Weiter mit: Die besondere rechtliche Situation in Deutschland

Die besondere rechtliche Situation in Deutschland

Das Ergebnis kann in Kurzform zusammengefasst werden: Deutschland hat gegenüber anderen Staaten eine besondere rechtliche Konstellation mit der Folge, dass dort, wo die private Nutzung des betrieblichen E-Mail-Accounts gestattet oder geduldet ist, die Einhaltung der gesetzlichen Vorgaben nur mit wesentlich mehr regulatorischem Aufwand zu erreichen ist. Der überwiegende Rat der mit dem Thema enger befassten Juristen geht heute daher zunehmend in die Richtung, die private Nutzung zu untersagen, denn damit können viele – wenn auch nicht alle – der rechtlichen Schwierigkeiten auf einfachere Weise geregelt werden.

Zum Teil wird auch argumentiert, eine geordnete IT-Sicherheitsstruktur als Bestandteil der IT-Compliance sei nur erreichbar, wenn die Interessen des Einzelnen an einer privaten Nutzung hinter dem Interesse der Gemeinschaft aller Nutzerinnen und Nutzer an einer sicheren IT-Infrastruktur zurückstehen würden. Nur so könnten die zuständigen Abteilungen in der IT die angezeigten Scan- und Sicherungsmaßnahmen durchführen, ohne in Sorge sein zu müssen, dass sie die Rechte ihrer Kolleginnen und Kollegen verletzen würden. Jedem Unternehmen / jeder Institution kann nur geraten werden, seinen Weg zu finden. Nichts tun und das Thema ignorieren ist in jedem Fall ein Fehler.

Kein Patentrezept

Die Autoren dieses Textes haben sehr viele betriebliche Policys für die Nutzung der E-Mail-Strukturen gemeinsam mit den Unternehmen erarbeitet. Keine war gleich. Einen Standard, der für alle passt, haben wir nicht gefunden.

Vielfach wird die betriebliche Diskussion noch dadurch angeheizt, dass unsere Sichtweise von ausländischen Kommunikationspartnern oder Unternehmen nicht geteilt wird, da dort die rechtliche Ausgangssituation wieder eine andere ist. Auch das ist richtig. Tipp: Bei einer zulässigen privaten Nutzung des betrieblichen Accounts sollten die privaten E-Mails nicht archiviert werden. Dazu besteht keine gesetzliche Pflicht. Denn, wenn es sich um private E-Mails handelt, hätte der/die E-Mail-Nutzer(in) auch einen jederzeitigen Anspruch auf Herausgabe seiner /ihrer privaten E-Mails aus dem E-Mail-Archiv.

Das ist bei Microsoft Exchange Server 2010 zum Beispiel möglich. Bei sogenannten unveränderbaren und revisionssicheren Archiven ist dies nicht nur nicht möglich, sondern sogar ein rechtliches Problem, denn dort kann der Herausgabeanspruch nicht erfüllt werden. Hinzu kommt, wenn Unternehmen nicht rechtzeitig, z. B. vor Prüfungsbeginn des Finanzamtes, eine Abgrenzung ihrer steuerlich relevanten Datenbestände vornehmen, müssen sie den Datenzugriff auf die gesamten vorgehaltenen Informationen hinnehmen (FG Rheinland-Pfalz vom 20. Januar 2005, 4 K 2167/04, Zugriffsschutz bei mangelhafter Abgrenzung). Das gilt selbst dann, wenn aus den angeforderten Daten Rückschlüsse auf sensible oder schutzwürdige Informationen möglich sind. Die Mitarbeiter(innen) könnten daraus einen Schadensersatz ableiten.

Weiter mit: Steuer- und handelsrechtliche Belange

Steuer- und handelsrechtliche Belange

E-Mails stellen keine eigene Kategorie von aufzubewahrenden Unterlagen dar. Demzufolge gibt es auch keine rechtlichen Vorgaben, welche Metainformationen zu speichern sind. Dies dürfte sich nach Praktikabilitätsgesichtspunkten richten. In Betracht kommt somit die Speicherung solcher Informationen, die die Verschlagwortung beziehungsweise das Wiederauffinden der E-Mails ermöglichen beziehungsweise erleichtern.

Sofern in den Metainformationen datenschutzrechtlich relevante Informationen enthalten sind, sollte ihre Speicherung dagegen nach den Grundsätzen der Datensparsamkeit möglichst vermieden beziehungsweise auf das zulässige Maß beschränkt werden.

Rechtssichere oder revisionssichere Archivierung?

In der Fachöffentlichkeit ist, neben dem Thema Revisionssicherheit, das Thema der rechtlichen Absicherung oder gar der Rechtssicherheit im Bereich der Langzeitspeicherung mehr und mehr in die Diskussion mit einbezogen worden. Tatsache ist jedenfalls, dass eine rechtssichere Archivierung ein Ziel ist, dessen Realisierung sehr schwierig ist. Das ist aber nicht weiter schlimm. Die historische Archivierung von Papier in Ordnern war auch nicht rechtssicher, weil auch die beste Buchhaltungskraft irgendwann mal einen Beleg falsch abgelegt hat. Wir gehen also von dem Ziel aus, rechtskonform archivieren zu wollen.

Das ist durch die Parametrisierung eines Automatismus in der Regel nicht zu erreichen. Vielmehr bedarf es zunächst einer Archivierungsplanung und dann deren Umsetzung. Der Begriff der Revisionssicherheit hat sich in der Diskussion weit verbreitet. Er gilt in Bezug auf die Archivierung gleichsam als Qualitätskriterium. Der Ausdruck „revisionssicher“ steht synonym für „nachprüfbar“, „unveränderbar“, „nachvollziehbar“ und hat angeblich vor allem für die steuerliche Betriebsprüfung große Bedeutung.

Nach der Definition des Verbands Information und Organisation e. V. gilt ein digitales Archivierungssystem dann als revisionssicher, wenn mit ihm elektronische Daten gemäß den gesetzlichen Vorgaben und den GoBS sicher, unverändert, vollständig, ordnungsgemäß, verlustfrei reproduzierbar und datenbankgestützt recherchierbar verwaltet werden können.

Auf welche Weise insbesondere die Unveränderbarkeit der Daten sichergestellt werden kann beziehungsweise muss, ist wiederum nicht gesetzlich vorgeschrieben, sondern richtet sich nach dem Stand der Technik. Die ganze Diskussion hat das Handicap, dass sie Marketing getrieben ist. Wäre sie juristisch getrieben, wäre zunächst aufgezeigt worden, dass der Begriff der Revisionssicherheit im Gesetz nicht vorkommt. Wer beim Bundesamt für Steuern nachfragt, ob es auf eine revisionssichere Archivierung Wert legt, wird ein „Nein“ als Antwort erhalten. Die Steuerbehörden legen Wert auf die Einhaltung der steuerrechtlichen Vorschriften. Eine Aussage zur Revisionssicherheit findet sich darin nicht.

Weiter mit: Der Datenschutz rückt in den Fokus

Der Datenschutz rückt in den Fokus

Wenn in der Diskussion die Begriffe Revisionssicherheit oder Rechtssicherheit dennoch diskutiert werden, sollte dies lediglich dazu dienen, aufzuzeigen, dass es neben der Revisionssicherheit noch andere rechtliche Themenbereiche gibt, die zu beachten sind. So ist etwa das Thema Datenschutz erst in der jüngeren Zeit aufgrund aktueller Entwicklungen stärker in die rechtlichen Betrachtungen mit einbezogen worden. Das Thema Rechtssicherheit soll nach einer Vorgabe des Bundesamtes für Sicherheit in der Informationstechnik nun auch ein MUSS für Langzeitspeichersysteme sein. Hier wird etwas gefordert, was nicht sein kann. Der Begriff der „Rechtssicherheit“ hat rechtsdogmatisch eine andere Bedeutung als das, was tatsächlich angeboten werden kann.

Rechtssicherheit ist, nach der deutschen Auffassung, die Klarheit, Bestimmtheit und die Beständigkeit staatlicher Entscheidungen sowie die Klärung von umstrittenen Rechtsfragen oder -verhältnissen in angemessener Zeit. Rechtssicherheit ist Element des Rechtsstaatsprinzips. Verfassungsrang kommt der Rechtssicherheit in Deutschland mit Artikel 20 des Grundgesetzes zu.

Rechtssicherheit ist der Schutz des Vertrauens des einzelnen Staatsbürgers in eine durch Rechtsordnung und Rechtspflege garantierte Rechtmäßigkeit der äußeren Erscheinung der ihn umgebenden und ihm begegnenden rechtlich bedeutsamen Verhältnisse und Dinge. Der Grundsatz der Rechtssicherheit, formal besonders ausgeprägt in den verschiedenen Prozessordnungen, garantiert dem Einzelnen die gleiche rechtliche Wertung gleichartiger Einzelfälle, die Voraussehbarkeit von Rechtsfolgen sowie das Vertrauen darauf, dass eine von den Gerichten getroffene Entscheidung durchgesetzt wird.

„Rechtssichere” Archivierung oder rechtskonforme?

Die Rechtssicherheit ist ein wesentliches Kennzeichen eines Rechtsstaates. Daran wird deutlich, dass Rechtssicherheit hier begrifflich nicht passt. Sicherlich wird man rechtlich rasch zu einem Konsens kommen, wenn die Empfehlung ausgegeben wird, dass eine rechtskonforme Langzeitspeicherung mit den relevanten Systemen möglich sein muss. Mit anderen Worten, ein Speichersystem muss sich so parametrisieren lassen, dass die notwendigen gesetzlichen und rechtlichen Bestimmungen erfüllt werden. Nur das kann das Ziel sein. Es darf nicht Ziel sein, Unmögliches zu verlangen. Denn es gilt immer noch der Grundsatz: Impossibilium nulla est obligatio (Es darf nichts Unmögliches verlangt werden).

Für die rechtskonforme Archivierung ist eine vorgeschaltete Analyse der im jeweiligen Einzelfall rechtlich relevanten Vorschriften unumgänglich. Die finanzrechtlich maßgeblichen Rechtsvorschriften ergeben sich aus dem Handelsgesetzbuch (§§ 239, 257 HGB) und der Abgabenordnung (§§ 146, 147 AO) und werden präzisiert durch die Grundsätze der ordnungsgemäßen Buchführung (GoB), die Grundsätze ordnungsgemäßer datenverarbeitungsgestützter Buchführungssysteme (GoBS) sowie die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) des Bundesfinanzministeriums.

Weiter mit: Keine Vorschriften zur eingesetzten Technik

Keine Vorschriften zur eingesetzten Technik

Bestimmte Techniken oder Verfahren für die Aufzeichnung und Speicherung von Daten schreibt das Gesetz ausdrücklich nicht vor. Auch digitale Signierung und Verschlüsselung können zur Absicherung gegen nachträgliche Manipulationen geeignet sein. In steuerrechtlicher Hinsicht ist dann allerdings zu beachten, dass E-Mails, die in maschinell auswertbarer Form aufzubewahren sind, zusätzlich auch im Originalzustand, einschließlich der verwendeten Schlüssel, aufbewahrt werden müssen. Weiterhin fordern die GDPdU, dass der Eingang, die Archivierung und gegebenenfalls Konvertierung sowie die weitere Verarbeitung von aufbewahrungspflichtigen Unterlagen zu protokollieren ist. Der bloße Zugriff auf eine archivierte E-Mail ist damit nicht protokollierungspflichtig.

Besteht allerdings das Risiko, dass eine archivierte E-Mail nachträglich verändert, gelöscht, verschoben etc. wird, dürfte bereits aus unternehmensinternen Gründen ein Interesse daran bestehen, eventuelle Zugriffe nachzuvollziehen und auch die betreffende Person ausfindig machen zu können.

Die zuvor beschriebenen gesetzlichen Anforderungen können mit Microsoft Exchange Server 2010 im vollem Umfang umgesetzt werden. Zu den Details siehe FAQ-Fragenkatalog im vierten Teil.

Unter anderem im zweiten Teil: Aufbewahrungspflichten für Kaufleute sowie rechtliche Anforderungen an den Aufbewahrungsort

Artikelfiles und Artikellinks

(ID:2045146)