E-Mail-Archivierung
Was ist E-Mail-Archivierung?
Das Thema E-Mail-Archivierung ist zwar immer wieder Gegenstand medialer Berichterstattung, in der Praxis ist allerdings hĂ€ufig nicht klar, was es bedeutet, E-Mails zu archivieren. Die Kunst der revisionssicheren und korrekten Ablage beherrschen nach Aussagen von Fachleuten vor allem im Mittelstand nur rund 50 Prozent der Unternehmen. Im Grunde ist ein Archiv digitaler Nachrichten vergleichbar mit einem Archiv gedruckter Unterlagen. Was fĂŒr die Ablage von gedruckten Unterlagen gilt, gilt auch fĂŒr die elektronische Post: es muss die UnverĂ€nderbarkeit, FĂ€lschungssicherheit, Transparenz und RĂŒckverfolgbarkeit der Daten gewĂ€hrleistet sein. Mit entsprechender Software ist das gesetzeskonform lösbar.
Warum muss man E-Mails archivieren?
Unternehmen sind verpflichtet, betriebliche Kommunikation zu archivieren. Leider ist diese Pflicht zur Archivierung von E-Mails nicht in einem einzigen Gesetz geregelt. Vielmehr sind es eine ganz Reihe von Vorschriften, die diesen Themenkomplex bestimmen. Relevant sind das Handelsgesetzbuch (HBG), die Abgabenordnung (AO), die GrundsĂ€tze ordnungsgemĂ€Ăer SpeicherbuchfĂŒhrung (GoS), die GrundsĂ€tze ordnungsgemĂ€Ăer DV-gestĂŒtzter BuchfĂŒhrungssysteme (GobS) sowie die GrundsĂ€tze zum Datenzugriff und zur PrĂŒfbarkeit digitaler Unterlagen (GDPdU). ZusĂ€tzlich mĂŒssen aufgrund einer Reform des Handelsgesetzbuches seit 1.1.2007 E-Mails mit Bezug zum GeschĂ€ftsverkehr des Unternehmens mit den gleichen Angaben versehen werden wie der typische GeschĂ€ftsbrief (Kennzeichungspflicht).
An dieser Stelle erhebt sich die Frage, ob Unternehmen die private Nutzung des Firmenkontos gestatten oder dulden. Eine E-Mail, die von einem Firmen-Account geschickt wird, erzeugt den Eindruck, dass das Unternehmen handelt, vor allem seit der Kennzeichnungspflicht fĂŒr E-Mails. Damit sind alle diese Nachrichten als betriebliche Kommunikation einzustufen und mĂŒssen folgerichtig lĂŒckenlos archiviert werden. Hier verbirgt sich fĂŒr die Verantwortlichen das Dilemma: werden auch Mails privaten Inhaltes archiviert, können Konflikte mit dem Fernmeldegeheimnis folgen, wird nicht lĂŒckenlos archiviert, kommt man der Archivierungpsflicht nicht nach. Manche Fachleute fordern daher die rein betriebliche E-Mail-Nutzung in Unternehmen.
Wer ist fĂŒr die E-Mail-Archivierung verantwortlich?
In Unternehmen sind die GeschĂ€ftsleitung, IT-Leiter und Administratoren fĂŒr die E-Mail-Archivierung verantwortlich. FĂŒr alle Verantwortlichen gilt: Wer grob fahrlĂ€ssig handelt, haftet grundsĂ€tzlich auch mit seinem Privatvermögen! Dabei steht die GeschĂ€ftsfĂŒhrung als Unternehmensorgan primĂ€r in der Haftung. Denn sie bestimmt die strategische Ausrichtung der Firma, ist fĂŒr die Umsetzung verantwortlich und entscheidet darĂŒber, welche technischen und organisatorischen MaĂnahmen zu ergreifen sind. Hier stellt sich wiederum die Frage, wie die Nutzung des E-Mail-Accounts im Unternehmen geregelt ist.
Der auf IT spezialisierte Rechtsanwalt Robert Niedermeier empfiehlt, keinesfalls private E-Mail-Nutzung zuzulassen und bisher unklare Situationen diesbezĂŒglich unmittelbar zu regeln. Seiner Meinung nach ist die rein betriebliche E-Mail-Nutzung aufgrund möglicher Konflikte mit verschiedenen gesetzlichen Vorschriften eine unabdingbare Voraussetzung fĂŒr eine rechtskonforme E-Mail-Archivierung. Eine weitere Aufgabe der GeschĂ€ftsleitung ist die Initiierung einer Richtlinie fĂŒr die Archivierung von E-Mails, die dann von der IT-Abteilung (IT-Leitung und Administratoren) umgesetzt wird. Folgt die IT-Abteilung den Vorgaben der GeschĂ€ftsfĂŒhrung nicht, drohen arbeitsrechtliche Folgen wie zum Beispiel Abmahnungen oder KĂŒndigung.
â Autor: Sibylle Greiser 23.04.2008, 14:23
Welche Verfahren gibt es zum Erfassen und Ablegen von E-Mails ?
Man unterscheidet zwischen einer anwender- und einer systemgetriebenen Mail-Archivierung, die sich in der Praxis aber oft ergĂ€nzen. Bei Ersterer bestimmt der Benutzer die Archivbereiche (Aktenstrukturen, Bereichsarchive etc.) und die Indexwerte fĂŒr die Ablage. Das System unterstĂŒtzt ihn durch Automatismen bei der Indexierung zum Beispiel durch Vorbelegung der Indexfelder mit Mail-Properties. Der nötige Detaillierungsgrad und Administrationsaufwand setzen einer individuellen Indizierung aber Grenzen. System-getrieben bedeutet hingegen eine automatisierte und regelbasierende (zeit- oder ereignisgesteuerte) Archivierung. Es kann aber auch eine Journalarchivierung sein, die etwa alle Nicht-SPAM-Mails archiviert.
Was leisten fortgeschrittene Archivierungsfunktionen?
Die Indizierung der archivierten Mails beschrĂ€nkt sich meist auf Attribute wie Sendedatum, EmpfĂ€nger, Absender etc. Manche Produkte bieten daher zusĂ€tzlich eine Volltextindexierung des Nachrichtentextes und möglicher AnhĂ€nge. Doch auch diese Server-basierende Mail-Archivierung greift zu kurz, wenn beispielsweise alle zu einem Ordnungskriterium (Kundennummer, Kreditakte, Mitarbeiter etc.) gehörenden Informationen einschlieĂlich der dazu gehörenden E-Mail im fachlichen Zusammenhang (zum Beispiel in einer âAkteâ) abgelegt werden sollen. HierfĂŒr sind weitere, typischerweise anwendergesteuerte Funktionen nötig, die die regelbasierenden Archivfunktionen ergĂ€nzen.
Was muss ein Berechtigungssystem einer Archivlösung leisten?
Sind Mails oder AnhĂ€nge ausschlieĂlich ĂŒber das Mail-System verfĂŒgbar, regelt dessen Rechtestruktur den Zugriff. Dies gilt auch fĂŒr wiederhergestellte Mails, solange sie im ursprĂŒnglichen Ordner des Mail-Systems erzeugt werden. Dieses Berechtigungskonzept ist auch im Archivsystem zu berĂŒcksichtigen. So ist ein Zugriff auf archivierte Mails auĂerhalb des Mail-Systems per Voreinstellung nur denjenigen Mitarbeitern zu ermöglichen, die als EmpfĂ€nger oder in Kopie aufgefĂŒhrt sind. Eine Möglichkeit hierfĂŒr bietet der Online-Abgleich der gespeicherten Mail-Adressen mit einem Unternehmens-Directory oder der Import der Benutzerkennung und Gruppenkennungen ĂŒber eine LDAP-Schnittstelle. Ferner bedarf es einer Berechtigungssteuerung fĂŒr das Löschen archivierter Mails, die den Endanwender, oder auch den Administrator unterstĂŒtzt. Verlassen Mitarbeiter das Unternehmen, sollten sich bisherige Berechtigungen einfach anpassen lassen.
In welchem Format sollten E-Mails archiviert werden?
Eine Option ist das standardisierte Speicherformat RFC 2822. Mit ihm lassen sich alle Informationen inklusive AnhĂ€nge ĂŒbertragen wie in einem Container. Will man archivierte Mails in einen Mail-Client wie Microsoft Outlook oder Lotus Notes betrachten, sind sie zunĂ€chst in deren proprietĂ€re Formate zu konvertieren. Eine Trennung von Mail-Body und AnhĂ€ngen ist nicht möglich. Die Wiederherstellung kann allerdings durch erneutes Senden in jedem Mail-System erfolgen. Alternativ sind âViewerâ fĂŒr eine systemunabhĂ€ngige Betrachtung erhĂ€ltlich.
Viele Systeme bieten zudem die Archivierung im Original-Mail-Format an. Allerdings ist eine Wiederherstellung ohne Format-Migration typischerweise nur im ursprĂŒnglichen Mail-System möglich. Eine weitere Möglichkeit ist die getrennte Speicherung von Nachricht und AnhĂ€ngen. Hier muss der Mail-Zusammenhang im Mail-Archiv hergestellt werden.
GrundsĂ€tzlich sollte eine Konvertierung des Mail-Textes und der AnhĂ€nge nur dort erfolgen, wo eine Speicherung im Tiff-Format beziehungsweise eine PDF-Konvertierung sinnvoll und möglich ist. Bei einem Microsoft-Excel- oder Project-Dokument ist zudem zu fragen, welcher Bereich oder welche Ansicht ĂŒberhaupt âgedrucktâ werden soll. Typische Probleme sind auch die Konvertierung und der Verlust von Makros in Office-Dokumenten.
Was ist bei einer Single-Instance-Archivierung zu beachten?
âSingle Instance Storageâ bezeichnet ein Verfahren, bei dem mehrfach indizierte Speicherobjekte (Dateien oder Datenblöcke) nur noch einmal gespeichert werden und die anderen Instanzen durch Zeiger darauf referenzieren. Dieser Ansatz ist beispielsweise bei der Speicherung mehrfach vorkommender identischer AnhĂ€nge sinnvoll und findet sich in File-basierenden Mail-Systemen und E-Mail-Archivlösungen.
Allerdings fĂŒhren bereits minimale inhaltliche Ănderungen zu einem neuen Hash-Wert und damit zur Speicherung einer weiteren Instanz des Dokuments. Erfolgt stattdessen eine Block-basierende Single-Instance-Speicherung, werden nur die geĂ€nderten Speicherblöcke, nicht aber die komplette Datei neu geschrieben. Der Anwender sollte daher prĂŒfen, welche Storage-Funktion er tatsĂ€chlich braucht. Insbesondere wenn ein Mail-System wie Microsoft Exchange oder Lotus Domino bereits eine einfache Single-Instance Storage (File-basierend) bietet, kann der Nutzen einer zusĂ€tzlichen âexternenâ Single-Instance-Archivierung gering sein.
Was ist bei der Archivierung signierter E-Mails zu beachten?
Fast alle gĂ€ngigen Mail-Clients können heute E-Mails samt AnhĂ€ngen mit Hilfe von S/MIME digital signieren. Der Mail-Header wie beispielsweise Absender, EmpfĂ€nger, Betreff etc. ist davon ausgenommen. Dort vorgenommene Ănderungen sind daher nicht einfach per PrĂŒfung zu erkennen.
Nicht zu empfehlen ist es bei der Archivierung, die Mail-Komponenten zu trennen oder in PDF zu konvertieren. Dies wĂŒrde die Signatur brechen. Stattdessen ist die Speicherung im Container-Format (RFC 2822, eml, MSG, NSF etc.) vorzuziehen, wenn man die Mail oder die AnhĂ€nge nicht bereits als signiertes PDF erhalten hat. Vor der Ablage muss das Mail-Archiv aber auf jeden Fall eine PrĂŒfung der Signatur vornehmen und das Ergebnis protokollieren. Diese Unterlagen sind zusammen mit der signierten Mail zu speichern, um den Vorgang spĂ€ter nachvollziehen zu können. Der Mail-Archiv-Client muss diese Informationen bei einer Recherche im Mail-Archiv neben der Ursprungs-Mail darstellen können.
Bei einer langfristigen Aufbewahrung signierter Mails sollte zudem vorsichtshalber eine Lösung zum Nachsignieren von bereits signierten Mails oder AnhĂ€ngen existieren, falls heutige VerschlĂŒsselungsverfahren in der Folgezeit fĂŒr unsicher erklĂ€rt werden und der Gesetzgeber eine Nachsignatur fordert.
Reine Archivierung versus ECM
| Reine E-Mail Archivierungslösung | Umfassende ECM-Lösung | Records Management FunktionalitÀt | |
| Motiv(e) fĂŒr E-Mail Archivierung | |||
|---|---|---|---|
| Speicherplatz sparen | â | â | - |
| Auf E-Mails im GeschĂ€ftskontext zugreifen | X | â | - |
| E-Mails nach Compliance-Regularien ablegen und im Zugriff haben | (â) | â | â |
| Speichermechanismen | |||
| Manuelles Archivieren von E-Mails durch den Anwender | â | â | - |
| Automatisiertes Archivieren basierend auf Alter und GröĂe der E-Mails | â | â | - |
| Dedublikation: E-Mails und AnhĂ€nge werden nur einmal gespeichert | â | â | - |
| Regelbasierte Archivierung nach GröĂe und Alter | â | â | â |
| Regelbasierte Archivierung nach E-Mail-Inhalten | (â) | â | â |
| Automatische Klassifizierung von E-Mails und AnhĂ€ngen | meist separates Produkt | â | meist separates Produkt |
| Anwendung zeit- und ereignisbasierter Aufbewahrungs- und Vernichtungsregeln | - | â | â |
| Compliance-Anforderungen | |||
| Kontrolle von E-Mails und AnhĂ€ngen bis zur Vernichtung und Protokollierung aller MaĂnahmen | (â) | (â) | â |
| Deklaration und Klassifizierung von E-Mails und AnhĂ€ngen als GeschĂ€ftsaufzeichnungen | X | (â) | â |
| Suchmöglichkeit in allen oder mehreren Mailboxen fĂŒr Mitarbeiter der Rechtsabteilung | X | (â) | â |
| LeistungsfĂ€hige Rechteverwaltung inklusive âEinfrierensâ von Inhalten aus juristischen GrĂŒnden (âLegal Holdâ) | X | X | â |
| Reklassifizierung von Inhalten aus juristischen GrĂŒnden | X | X | â |
| UnterstĂŒtzung revisionssicherer Speichermedien | (â) | â | â |
| Suchmechanismen | |||
| Individuelles Wiederherstellen von E-Mails und AnhĂ€ngen | â | â | - |
| Schlagwort- und Volltextsuche aus dem E-Mail-Client | â | â | - |
| Schlagwort- und Volltextsuche aus einem ECM-Client | (â) | â | â |
| Suche analog zu Legal Discovery Mechanismen | X | (â) | â |
X = meist nicht unterstĂŒtzte Funktion
- = nicht relevante Funktion
â = Notwendige/typische Funktion
(â) = mögliche Funktion, nicht typisch
