Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

11.11.2005

E-Mails löschen ist riskant

Die Archivierung der digitalen Geschäftskommunikation unterliegt einer ganzen Reihe gesetzlicher Pflichten. Wer es damit nicht so genau nimmt, muss mit schwerwiegenden Konsequenzen rechnen.

Mitverantwortung für das Wohl und Wehe des Unternehmens tragen IT-Chefs auch dort, wo es sich auf den ersten Blick nicht so deutlich offenbart: Angesichts der E-Mail-Flut wird die Archivierung der geschäftlichen Kommunikation immer komplexer - und gleichzeitig immer wichtiger. Das Stichwort "Compliance" fasst die Einhaltung der rechtlichen Mindestanforderungen in Bezug auf Sicherheit, Integrität und Verfügbarkeit zusammen. Das umschließt allerdings weit mehr als den technischen Schutz vor Datenverlusten oder vor Veränderungen elektronisch gespeicherter Informa- tionen: Von Bedeutung ist vielmehr der gesamte technisch-organisatorische Prozess - vom Entstehen der Information über das Erfassen, das Strukturieren, das Sichern und Vorhalten bis hin zum Löschen. Letzteres muss zudem im Einklang mit den internen Organisationsrichtlinien stehen.

Die Grenzen der Archivierung: Persönlichkeits- und Datenschutz

• Befinden sich private E-Mails unter den zu archivierenden Nachrichten, verstößt das vollständige Protokollieren und Indexieren gegen den persönlichen Datenschutz der Mitarbeiter.

• In den meisten Unternehmen sind private E-Mails erlaubt oder werden trotz eines for- mellen Verbots geduldet. Dies veranschaulicht das Spannungsfeld zwischen den geschäft- lichen Interessen eines Unternehmens und den Datenschutzinteressen seiner Mitarbeiter.

• Im Grundsatz gilt: Ohne die Zustimmung der Mitarbeiter oder ihrer Vertretung (Betriebsrat/Personalrat) ist eine Überwachung der Inhalte der Kommunikation unzulässig, und private E-Mails dürfen nicht gelesen werden.

• Private E-Mails sind von geschäftlichen zu trennen. Dafür sind rechtlich-organisatorische Maßnahmen wie individualvertragliche Vereinbarungen mit dem Arbeitnehmer, Betriebsvereinbarungen, Security- und User Policies unabdingbar.

• Die Belegschaft muss im richtigen Umgnag mit Mails geschult werden.

• Ein generelles Privatnutzungsverbot, betriebliche Mail-Standards, Vertretungs- und Ausscheidungsregelungen, Ablagedefinitionen und Kontrollbefugnisse für die IT-Abteilung sind verbindlich zu regeln.

E-Mail-Archivierung: Rechtliche Vorgaben

Steuerrelevante Unterlagen sind nach den seit 2002 geltenden Steuerrichtlinien elektronisch zu archivieren. Für Handels- und Geschäftsbriefe ohne Steuerrelevanz gilt dies nicht. Lückenlos dokumentierte Ausdrucke wären damit im Prinzip möglich. Wenn jedoch - wie heute üblich - elektronische Post auch elektronisch aufbewahrt wird, gelten ähnlich strenge Anforderungen für die Sicherheit, Integrität und Allzeit-Verfügbarkeit wie nach Steuerrecht. Für die elektronische Archivierung solcher geschäftlicher E-Mails muss dann insbesondere sichergestellt sein, dass die Daten mit den empfangenen Handelsbriefen, Buchungsbelegen und anderen Unterlagen inhaltlich übereinstimmen. Sie müssen sich jederzeit und in einer angemessenen Frist lesbar machen und maschinell auswerten lassen.

Hier lesen Sie …

• warum Unternehmen, die ihren E-Mail-Verkehr nachlässig archivieren, mit ernsten Konsequenzen rechnen müssen;

• welche Datenschutzkonflikte entstehen, wenn Firmen auch private Mails von Mitarbeitern lesen und archivieren;

• dass auch mobile Mit- arbeiter jederzeit in der Lage sein müssen, ihren E-Mail-Verkehr zu kon- trollieren.

Unternehmen müssen demnach die gesetzlichen Bestimmungen rechts- und revisions- sicher umsetzen und praktikabel in den Arbeitsalltag einbinden. Das erfordert neben betrieb- lichen Vereinbarungen auch eine IT-Infrastruktur, die das Einhalten der hohen rechtlichen Anforderungen - etwa Archi- vierungsfrist, kurzfristiger Zugriff und Datenschutz - gewährleistet.

Elektronische Nachrichten aller Art sind geschäftskritische Unterlagen, die entsprechend zu behandeln und zu verwalten sind. Die IT-Administratoren haben dafür zu sorgen, dass die Nutzer jederzeit Zugang zu ihrer elektronischen Geschäftspost haben - auch von außerhalb etwa per Handheld oder Notebook. Gleichzeitig unterliegen E-Mails einer Reihe interner Regularien, aber auch gesetzlichen Archivierungspflichten: Hält ein Unternehmen diese nicht ein, kann es bei einer Betriebsprüfung oder in einem Rechtsstreit, in dem die elektronische Kommunikation vorzulegen ist, schnell in Schwierigkeiten geraten.

Rechtslage häufig nicht bekannt

Obwohl E-Mails mittlerweile zu den Standardkommunikationsmitteln gehören, ist sich bei weitem nicht jeder Nutzer bewusst, dass sich auf elektronischem Weg auch Verträge rechtsverbindlich abschließen, ver- ändern oder aufheben lassen. Allein durch den Austausch zweier formloser elektronischer Erklärungen - insbesondere per E-Mail und Reply-E-Mail - kann eine solche Rechtsfolge eintreten.

Das Gesetz verlangt die Aufbewahrung von "Handelsbriefen" und damit der gesamten Geschäftskorrespondenz des Unternehmens - dazu gehören auch E-Mails mit geschäftlichem Bezug. Hierunter fallen nicht nur Auftragsunterlagen, Lieferpapiere und Rechnungen, sondern beispielsweise auch Reklamationsschreiben samt den zugehörigen Stellungnahmen. Sogar Produkt- und Preislisten werden unter dem Oberbegriff "Geschäftskorrespondenz" zusammengefasst - selbst dann, wenn die entsprechenden Artikel schon nicht mehr geführt werden.

Die Aufbewahrungsfristen

Letztlich ist alles archivierungspflichtig, was für eine betriebliche Überprüfung und die Transparenz der Unternehmensverhältnisse von Bedeutung ist. Dabei richten sich die Aufbewahrungsfristen nach der Art der Unterlagen. So gelten beispielsweise zehn Jahre für steuerrelevante Unterlagen der Buchhaltung, Rechnungen, Buchungen, Bilanzen und Organisationsunterlagen. Versandte und empfangene Handelsbriefe einschließlich der geschäftsrelevanten E-Mails müssen sechs Jahre aufbewahrt werden. Eine Fristverlängerung durch offene Steuerbescheide oder richterliche und behördliche Auflagen ist allerdings möglich.

Der falsche Umgang mit E-Mails

Mitarbeiter, die ihre E-Mails auf eigene Faust als "archivierungswürdig" oder "nicht geschäfts- kritisch" einstufen und Letztere daraufhin verändern oder gar löschen, handeln im Hinblick auf die Aufbewahrungspflich- ten und die möglichen Folgen eines Verstoßes grob fahrlässig. Im Ergebnis haftet meist das Unternehmen für seine Mitarbeiter, so dass Verstöße dem Betrieb angelastet werden. Da die gesetzlichen Anforderungen häufig nicht bekannt sind, werden E-Mails nicht selten gelöscht, um teuren Speicherplatz frei zu machen. Was als dienstlich nicht mehr relevant gilt, wird häufig eigenmächtig entfernt, verändert oder kopiert und nach eigenen Ordnungsprinzipien archiviert.

Im rechtlichen Sinne handelt es sich dabei um Verstöße gegen die handelsrechtliche Aufbewahrungspflicht, die erhebliche Konsequenzen nach sich ziehen können. Wird durch die Löschung oder Veränderung geschäftsrelevanter Mails wissentlich die Übersicht über den Vermögensstand des Unternehmens erschwert, kann dies mit einer Freiheitsstrafe von bis zu zwei Jahren oder einer Geldstrafe geahndet werden. Liegen steuerrelevante Unterlagen nicht vollständig vor, drohen ferner Bußgelder, Zwangsschätzung und der Verlust etwaiger Steuervergünstigungen. Ist eine Partei nicht in der Lage, die für sie beweispflichtigen Tatsachen vorzulegen, obwohl diese elektronisch dokumentiert sein müssten, kann sie in einem Zivilprozess schon allein aus diesem Grund unterliegen.

Keine leeren Drohungen

Gerichtsurteile der letzten Monate zeigen, dass es der Gesetzgeber ernst meint: So verurteilte beispielsweise ein US-amerikanisches Gericht im Mai 2005 eine namhafte Investmentbank unter anderem deshalb zu einer Millionenstrafe, weil die Verantwortlichen für einen Rechtsstreit relevante E-Mails nicht auffinden und dem Gericht vorlegen konnten. Der gezielte Zugriff auf sicher archivierte elektronische Geschäftspost muss zu- dem in möglichst kurzer Zeit möglich sein. Wer das nicht schafft, geht das Risiko ein, allein durch das Versäumen der richterlich gesetzten Fristen einen Prozess zu verlieren.

Angesichts der Rechtssituation brauchen Unternehmen eine umfassende Backup- und Archivierungsstrategie. Wichtig ist dabei nicht nur, dass gesetz- liche Vorgaben beim Archivie- ren handels- und steuerrecht- lich relevanter Daten erfüllt werden. Die vollständige Dokumentation von Geschäftsvor- gängen ist - vor dem Hintergrund der Beweisrelevanz und des firmeninternen Informa- tions-Managements - ebenso gefordert.

E-Mail-Clients und Mail-Server können eine automatisierte elektronische Archivierung allerdings nicht leisten. Softwarehersteller und Storage-Spezialisten bieten hierzu mittlerweile eine Vielfalt von Lösungen an. Leistungsfähige und revisionssichere Archivsysteme zeigen ihre besondere Effizienz vor allem dann, wenn sie nicht allein kaufmännisch, sondern zur Speicherung und Dokumentation sämtlicher elektronischer Unternehmensinformationen eingesetzt werden. (kf)