Die Ransomeware-Wette
Die Ransomware-Wette Sie denken, Ihre IT ist sicher? Wir wetten dagegen! Ransomware gehört aktuell zu den stärksten Bedrohungen der Cybersicherheit
E-Mails sind DAS Kommunikationsmittel im geschäftlichen Kontext und haben längst die klassischen Kommunikationsarten wie Briefe oder Faxe überholt, zum Teil sogar gänzlich ersetzt. Entsprechend läuft mittlerweile ein Großteil der Geschäftskorrespondenz über das Medium E-Mail. Das bringt neben vielen Vorteilen auch Pflichten mit sich, derer sich viele Unternehmen nicht bewusst sind: Geschäftsrelevante Korrespondenz muss archiviert werden, und darunter fällt auch der digitale Schriftwechsel per E-Mail. Deshalb beschäftigen wir uns in diesem Beitrag ausführlich mit der E-Mail-Archivierung, um Ihnen einen umfassenden Überblick zu diesem Thema zu geben.
Zum Abschluss bieten wir Ihnen außerdem noch unsere exklusive kostenlose Checkliste zur E-Mail-Archivierung an.
Der Begriff „E-Mail-Archivierung“ bezeichnet die langfristige, systematische und unveränderliche Speicherung und Aufbewahrung von E-Mails. Hierbei geht es nicht um die Erstellung von Backups, darauf gehen wir später noch genauer ein (oder Sie springen direkt zum Unterschied zwischen Mail-Archivierung und Backups >>). Diese Langzeitarchivierung muss sich nach gesetzlichen Vorgaben richten. Die zugrundeliegende Anforderung ist die lückenlose Dokumentation von steuerlich relevanten Dokumenten. Unternehmen sind also zur E-Mail-Archivierung verpflichtet.
Die Pflicht zur Mail-Archivierung gilt für jedes Unternehmen. Ausgenommen sind lediglich Nichtkaufleute wie z.B. Freiberufler. Diese Pflicht ergibt sich aus diversen gesetzlichen, steuerrechtlichen und buchhalterischen Vorgaben und Anforderungen.
Es gibt nicht das eine E-Mail-Archivierungsgesetz. Stattdessen ergeben sich die Anforderungen aus diversen gesetzlichen Regelungen. Maßgeblich für die Mail-Archivierung sind das Handelsgesetzbuch (HGB), die Abgabenordnung (AO) und die Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form (GoBD). Es gibt jedoch noch weitere Vorgaben, die je nach Branche oder in Sonderfällen berücksichtigt werden müssen:
Diese gesetzlichen Regelungen schreiben vor, dass jeder Geschäftstreibende E-Mails, die der Geschäftskorrespondenz dienen oder steuerrechtlich relevant sind, für einen Zeitraum von 6-10 Jahren archivieren muss.
Verantwortlich für die Mail-Archivierung ist die Geschäftsführung des Unternehmens. Kommen Sie dieser Pflicht nicht nach, drohen schwerwiegende steuerliche und rechtliche Konsequenzen, von hohen Geldstrafen bis hin zu Freiheitsstrafen.
Archivieren müssen Sie alle E-Mails (übrigens inkl. Dateianhängen), die einem Geschäfts-/Handelsbrief entsprechen oder für die Besteuerung relevant sind. Dazu gehören zum Beispiel E-Mails mit folgenden Inhalten:
Nicht von der Mail-Archivierungspflicht betroffen sind E-Mails, die sozusagen die Funktion eines Briefumschlags haben und als reines Transportmittel für Anhänge dienen. In solchen Fällen müssen nur die Anhänge selbst archiviert werden. Auch Werbemails wie Newsletter oder Spam-Mails müssen Sie nicht aufbewahren.
Tatsächlich gibt es auch E-Mails, die ein Unternehmen gar nicht aufbewahren darf. Das betrifft vor allem private Mails von Mitarbeitenden. Relevant ist das natürlich nur, wenn Sie Ihren Mitarbeitenden die private Nutzung ihrer geschäftlichen E-Mail-Adresse überhaupt erlauben. Speichern dürfen Sie die privaten Mails dann nur nach jeweiliger Einwilligung der Mitarbeitenden. Aus diesem Grund verbieten viele Unternehmen ihrer Belegschaft einfach, die geschäftliche Adresse privat zu nutzen.
Auch die Archivierung von Bewerberdaten ist nicht zulässig. Um diesem Umstand gerecht zu werden, können in der genutzten Archivierungssoftware Filter konfiguriert werden, die die Mails entsprechend ausschließen oder löschen.
Die Aufbewahrungsfristen geschäftlicher Mails ergeben sich vor allem aus der Abgabeordnung (AO) sowie dem Handelsgesetzbuch (HGB). § 257 HGB Abs. 4 und § 147 AO regeln, dass alle als Handels- oder Geschäftsbrief geltenden E-Mails 6 Jahre aufbewahrt werden müssen. 10 Jahre Aufbewahrungspflicht hingegen gelten für Nachrichteninhalte wie Rechnungen, Buchungsbelege, Jahresabschlüsse, Bilanzen, Lageberichte und sonstige Organisationsunterlagen.
Die Frist beginnt nicht etwa mit dem Versand der Nachricht oder der Erstellung des Dokuments, sondern mit dem Ende des Kalenderjahrs, in dem der Versand oder Empfang erfolgt oder das Dokument entstanden ist.
Doch auch hier gibt es Sonderfälle: Bei bestimmten Verträgen startet die Aufbewahrungsfrist erst, nachdem das Ende der Vertragsdauer erreicht ist.
Eines der größten und weit verbreitetsten Irrtümer zum Thema Mail-Archivierung ist, dass Backups die Archivierung von E-Mails mit abdecken. Das ist jedoch nicht der Fall, denn Backup und Archivierung haben nicht nur verschiedene Ziele, sondern decken auch abweichende Umfänge ab.
Ziel eines Backups ist die kurz- bis mittelfristige Speicherung von Daten, um diese im Falle eines Datenverlusts wiederherstellen zu können. In regelmäßigen Abständen, die je nach Anforderungen des Unternehmens variieren, werden dafür Daten auf einem Speichermedium gesichert. Diese werden nach einem festgelegten Zeitraum auch wieder überschrieben mit neuen Backups. Ein Backup erfüllt somit nicht die Anforderungen an eine revisionssichere Speicherung und Aufbewahrung von E-Mails, da diese z.B. zwischen den Backup-Zyklen bereits verändert werden könnten. Was genau „revisionssicher“ bedeutet, erklären wir Ihnen im Abschnitt zur revisionssicheren E-Mail-Archivierung genauer >>
Die E-Mail-Archivierung hingegen dient der langfristigen Speicherung von Daten zum Zwecke der Dokumentation. Dabei müssen Verfügbarkeit und Wiederauffindbarkeit der Inhalte während der gesamten Aufbewahrungsfrist gewährleistet und die Anforderungen an die Revisionssicherheit erfüllt sein.
Ein Backup ersetzt also nicht die Mail-Archivierung und andersrum genauso. Heißt: Im Unternehmen brauchen Sie sowohl eine Backup- als auch eine Mail-Archivierungslösung, die sich gegenseitig ergänzen.
Sie wissen jetzt, warum, welche und wie lange Sie E-Mails im Unternehmen archivieren müssen. Die Antwort auf das „Wie?“ möchten wir Ihnen jetzt geben, und die lautet – kurz gesagt – „revisionssicher“. Aber was genau bedeutet Revisionssicherheit in diesem Zusammenhang und welche Anforderungen an die Archivierung bringt das mit sich?
Die Gesetzgebung definiert keine konkreten Vorgaben zur Art und Weise der Mail-Archivierung, es lassen sich nur sehr allgemein gehaltene Anforderungen ableiten. Demnach müssen die Mails vollständig, richtig, zeitgerecht, unveränderlich, ordentlich und nachvollziehbaraufbewahrt werden. Etwas detailliertere Anhaltspunkte liefert der Verband Organisations- und Informationssysteme (VOI) in seinen Grundsätzen zur Revisionssicherheit von elektronischen Mitteilungen:
Die Revisionssicherheit bezieht sich hierbei nicht nur auf die technischen Komponenten, die zur elektronischen Archivierung beitragen, sondern sollte genauso auf den gesamten Prozess zur Archivierung angewendet werden.
Gerade im beruflichen Umfeld arbeiten viele mit E-Mail-Anwendungen wie Outlook, die zumeist eine eigene Archivierungsfunktion anbieten. So manch einer geht davon aus, dass das Thema Mail-Archivierung mit der Outlook-Archivierungsfunktion abgehakt ist. Doch diese Archivierung erfüllt nicht annähernd die Anforderungen an die hier beschriebene E-Mail-Archivierung nach GoBD & Co.
Vor allem die Unveränderlichkeit der Mails ist hierbei nicht gewährleistet, aber auch die Wiederauffindbarkeit der Dokumente oder die Protokollierung von Änderungen gestaltet sich mit einer solchen Archivierung schwierig. Und spätestens, wenn die wachsenden Datenmengen das System an die Grenzen seiner Speicherkapazität und Performance bringen, wird schnell klar: Die Outlook-Archivierung eignet sich keineswegs für die revisionssichere E-Mail-Archivierung.
Bei der Archivierung geschäftlicher E-Mails werden personenbezogene Daten gespeichert – das scheint mit der DGSVO und ihren Regularien zur Erhebung, Verarbeitung und Speicherung ebendieser Daten zu kollidieren. Dem ist bei Geschäftskorrespondenz, die in den Bereich der Archivierungspflicht fällt, nicht so: Die Archivierungspflicht gilt als berechtigtes Interesse für die Speicherung der Daten.
Anders verhält es sich natürlich bei solchen Nachrichten, die dieser Pflicht nicht unterliegen. Wir haben bereits erklärt, dass beispielsweise private Nachrichten der Belegschaft oder Bewerbungsdaten nicht archiviert werden dürfen. Und das liegt genau im Datenschutz begründet. Können Sie private Mails noch über ein Verbot der privaten Nutzung des geschäftlichen Mailaccounts unterbinden und somit Konflikte mit der DSGVO verhindern, lässt sich das mit E-Mails von Bewerber*innen nicht ganz so einfach regeln. Hierfür sollten Sie ein regelbasiertes Löschkonzept im Archivierungssystem aufsetzen (lassen), nach dem E-Mails anhand bestimmter Kriterien nach entsprechend definierten Zeiträumen automatisch gelöscht werden, um eine DSGVO-konforme E-Mail-Archivierung zu gewährleisten (und im Zweifelsfall auch bei der Aufsichtsbehörde nachweisen zu können).
Mit unserer exklusiven Checkliste können Sie zum einen Ihre aktuelle Archivierungssoftware auf den Prüfstand stellen als auch Ihre Anforderungen an eine Archivierungslösung festhalten. Die Checkliste führt Sie Schritt für Schritt durch die wichtigsten Aspekte der Mail-Archivierung.
Mithilfe eines professionellen Archivierungssystems lassen sich die gesetzlichen Anforderungen leicht erfüllen, ohne dass Sie sich selbst mit Gesetzen, Bedingungen & Co. auseinandersetzen müssen. Das tun die Hersteller der Systeme für Sie – die richtige Archivierungslösung spart also Zeit und Ressourcen im Unternehmen. Zudem sind Sie mit einer solchen manipulationssicheren Archivierung rechtlich auf der sicheren Seite und können diese im Zweifelsfall sogar in Gerichtsprozessen als Beweismittel verwenden.
Als Partner des deutschen Herstellers MailStore bieten wir Ihnen individuelle Lösungen für die E-Mail-Archivierung an. Wir wissen, dass die internen Ressourcen häufig knapp sind. Die Lösung ist daher mit wenig Aufwand auf Ihrer Seite verbunden und schnell implementiert: Nach Aufnahme der Anforderungen liefern, installieren und betreiben wir bei Ihnen vor Ort oder im Cloud-Rechenzentrum Ihre Archivierungslösung.
Die MailStore-Archivierungslösung bietet Ihnen alle Vorteile moderner E-Mail-Archivierung und erfüllt dank ihres umfassenden Technologiekonzepts jederzeit die gesetzlichen Anforderungen:
Profitieren Sie jetzt von den zahlreichen Vorteilen dieser einfachen, zuverlässigen und wartungsarmen Archivierungslösung und kontaktieren Sie uns für ein unverbindliches und kostenfreies erstes Beratungsgespräch – wir freuen uns auf Sie!
Die Ransomware-Wette Sie denken, Ihre IT ist sicher? Wir wetten dagegen! Ransomware gehört aktuell zu den stärksten Bedrohungen der Cybersicherheit
NIS2-Checkliste Kennen Sie eigentlich Ihren NIS2-Reifegrad? Obwohl das Inkrafttreten der EU-Richtlinie spätestens für den Anfang 2025 geplant ist, haben sich
NIS2 – Warum sich Outsourcing lohnt Um Cybersicherheit in einem Betrieb herzustellen, reicht es heute nicht mehr aus, eine gute
Die NIS2-Richtlinie soll die Widerstandsfähigkeit von Netz- und Informationssystemen gegen Cyberangriffe verbessern und wichtige Grundlagen dafür schaffen, dass Organisationen angemessene
Vielen Dank für Ihre Anfrage.