Rechtliche Verordnungen bei der E-Mail-Archivierung
Angesichts exponentiell steigender Datenmengen speziell im
Bereich Messaging und E-Mail fällt IT-Verantwortlichen in Unternehmen eine
wachsende Verantwortung bei der Archivierung der geschäftlichen Kommunikation
zu. Gesetzliche Bestimmungen rechts- und revisionssicher umzusetzen und
praktikabel in den Arbeitsalltag einzubinden gehört dabei zu den größten
Herausforderungen des Unternehmens. Unter dem Stichwort „Compliance“ wird die
Einhaltung der rechtlichen Mindestanforderungen in Bezug auf Sicherheit,
Integrität und Verfügbarkeit zusammengefasst. Gemeint ist dabei weit mehr als
technische Sicherheit zum Schutz vor Verlust oder Veränderung elektronisch
gespeicherter Informationen. Von Bedeutung ist der gesamte
technisch-organisatorische Prozess, von der Entstehung der Information über
ihre Erfassung, Strukturierung, Sicherung und Vorhaltung bis zu ihrer Löschung,
der zudem im Einklang mit den internen Organisationsrichtlinien stehen muss.
Neben betrieblichen Vereinbarungen ist seitens der IT-Infrastruktur eine Lösung
notwendig, die die Einhaltung der hohen rechtlichen Anforderungen wie
Archivierungsfrist, kurzfristiger Zugriff und Datenschutz gewährleisten kann.
Elektronische Nachrichten aller Art sind geschäftskritische
Unterlagen, die entsprechend behandelt und verwaltet werden müssen. Die
IT-Administratoren haben dafür zu sorgen, dass die Nutzer jederzeit Zugang zu
ihrer elektronischen Geschäftspost haben – auch von außerhalb per
Handheld oder Notebook. Gleichzeitig unterliegen E-Mails einer Reihe interner
Regularien sowie gesetzlicher Archivierungspflichten. Werden diese nicht
eingehalten, kann das Unternehmen bei einer Betriebsprüfung oder in einem unter
Vorlage elektronischer Kommunikation zu führenden Rechtsstreit schnell in
Schwierigkeiten geraten.
Bedeutung von E-Mails im Vertragsrecht
Trotz der Tatsache, dass E-Mails heute zu den
Standard-Kommunikationsmitteln gehören, ist bei weitem nicht jedem Nutzer
bewusst, dass auch per E-Mail rechtsverbindlich Verträge abgeschlossen,
verändert oder aufgehoben werden können. Eine solche Rechtsfolge kann schon
durch den Austausch zweier formloser elektronischer Erklärungen –
insbesondere E-Mail und Reply-E-Mail – eintreten.
Das Gesetz verlangt die Aufbewahrung von „Handelsbriefen“ und
damit der gesamten Geschäftskorrespondenz des Unternehmens –
einschließlich der E-Mails mit geschäftlichem Bezug. Hierzu zählen nicht nur
Auftragsunterlagen, Lieferpapiere und Rechnungen, sondern beispielsweise auch
Reklamationsschreiben samt dazugehöriger Stellungnahmen. Sogar Produkt- und
Preislisten werden unter dem Oberbegriff „Geschäftskorrespondenz“
zusammengefasst, selbst wenn die entsprechenden Artikel nicht mehr geführt
werden. Letztlich ist alles archivierungspflichtig, was für eine betriebliche
Überprüfung und die Transparenz der Unternehmensverhältnisse bedeutsam ist. Die
Aufbewahrungsfristen richten sich nach Art der Unterlagen. So gelten
beispielsweise zehn Jahre für steuerrelevante Unterlagen der Buchhaltung,
Rechnungen, Buchungen, Bilanzen und Organisationsunterlagen. Versandte und
empfangene Handelsbriefe inklusive der geschäftsrelevanten E-Mails müssen sechs
Jahre aufbewahrt werden. Eine Fristverlängerung durch offene Steuerbescheide
oder richterliche und behördliche Auflagen bleibt jedoch möglich.
Finanzielle Folgeschäden bei falschem Umgang mit E-Mails
Mitarbeiter, die ihre E-Mails auf eigene Faust in
„archivierungswürdig“ oder „nicht geschäftskritisch“ kategorisieren (und diese
gegebenenfalls sodann verändern oder gar löschen), handeln im Hinblick auf die
Aufbewahrungspflichten und die möglichen Folgen eines Verstoßes grob
fahrlässig. Verstöße werden dem Unternehmen zugerechnet, das im Ergebnis
zumeist für die Versäumnisse seiner Mitarbeiter haftet. In Unkenntnis der
gesetzlichen Anforderungen werden des Öfteren E-Mails gelöscht, um teuren
Speicherplatz frei zu machen. Was nicht mehr für dienstlich relevant erachtet
wird, wird häufig eigenmächtig gelöscht, verändert oder kopiert und nach
eigenen Ordnungsrichtlinien archiviert. Im rechtlichen Sinne sind dies Verstöße
gegen die handelsrechtliche Aufbewahrungspflicht, die erhebliche Konsequenzen
nach sich ziehen können: Wird durch die Löschung oder Veränderung
geschäftsrelevanter Mails wissentlich die Übersicht über den Vermögensstand des
Unternehmens erschwert, kann dies mit einer Freiheitsstrafe bis zu zwei Jahren
oder einer Geldstrafe geahndet werden. Bei Unvollständigkeit steuerrelevanter
Unterlagen drohen ferner Bußgelder, Zwangsschätzung und der Verlust etwaiger Steuervergünstigungen.
In einem Zivilprozess kann eine Partei, die Tatsachen, für die sie
beweispflichtig ist und die elektronisch dokumentiert sind (bzw. sein müssten),
nicht oder nicht rechtzeitig belegen kann, allein schon aus diesem Grund
unterliegen. Dass dies keine leeren Drohungen sind, zeigt eine Reihe von
Gerichtsurteilen in den letzten Monaten. So verurteilte ein US-Gericht im Mai
2005 eine bekannte Investmentbank zu einer Millionenstrafe, unter anderem weil
die Verantwortlichen für einen Rechtsstreit relevante E-Mails nicht auffinden
und dem Gericht vorlegen konnten. Wer also nicht rechtzeitig gezielten Zugriff
auf archivierte, sicher aufbewahrte elektronische Geschäftspost nehmen kann,
läuft Gefahr, allein durch Versäumung der richterlich gesetzten Fristen einen
Prozess zu verlieren. Ein Unternehmen muss also nicht nur Zugriff auf alte
E-Mails gewährleisten, sondern diesen Zugriff auch schnell realisieren können.
Revisionssichere Archivierung
Eine automatisierte elektronische Archivierung kann von
E-Mail Clients und Mailservern nicht geleistet werden. Für Unternehmen, die
elektronische Nachrichten effizient und gesetzeskonform verwalten wollen,
bieten Software-Hersteller und Storage-Spezialisten mittlerweile vielfältige
Lösungen. Umfassende Tools wie der EMC EmailXtender ermöglichen ein
übersichtliches E-Mail-Management, durch das Unternehmen mit beliebig vielen
E-Mail-Nutzern die über Jahre angesammelten Mails konsolidieren und effizient
verwalten können. Alle eingehenden Mails werden automatisch und regelbasiert
erfasst, indiziert, gespeichert und archiviert. Durch die Einrichtung eines
zentralen Datenpools für elektronische Nachrichten senken Unternehmen zudem die
Kosten ihrer Mail-Systeme und erhöhen die Produktivität der Anwender.
Um Compliance-Anforderungen zu genügen, stellen Lösungen wie
der EmailXtender zusammen mit entsprechenden Online-Archivierungssystemen wie
der EMC Centera sicher, dass einmal archivierte Nachrichten nicht mehr
verändert oder versehentlich gelöscht werden können. In der Regel werden dabei
alle gängigen Messaging-Lösungen wie Microsoft Exchange, IBM Lotus Notes, UNIX
SendMail sowie zahlreiche Instant Messaging-Applikationen unterstützt.
Angesichts der gesetzlichen Vorgaben und deren strenger
Umsetzung sollte eine umfassende Backup- und Archivierungsstrategie aus dem
Unternehmensalltag nicht mehr wegzudenken sein. Die einschlägigen Bestimmungen
rechts- und revisionssicher umzusetzen und praktikabel in den Arbeitsalltag
einzubinden, gehört zu den dringlichsten Herausforderungen für Unternehmen.
Wichtig ist dabei nicht nur die Erfüllung gesetzlicher Vorgaben bei der
Archivierung handels- und steuerrechtlich relevanter Daten. Ebenso wichtig ist
die vollständige Dokumentation von Geschäftsvorgängen unter den Gesichtspunkten
der Beweisrelevanz und des unternehmensinternen Informationsmanagements.
Leistungsfähige und revisionssichere Archivsysteme zeigen ihre besondere
Effizienz daher vor allem dann, wenn sie nicht allein kaufmännisch sondern zur
Speicherung und Dokumentation sämtlicher elektronischen Informationen eines
Unternehmens eingesetzt werden.
Kasten:
Grenzen der Archivierung: Persönlichkeits- und Datenschutz
der Mitarbeiter
Befinden sich private E-Mails unter den zu archivierenden
Nachrichten, verstößt eine vollständige Protokollierung und Indexierung gegen
den persönlichen Datenschutz der Mitarbeiter. In den meisten Unternehmen sind
private E-Mails erlaubt oder werden trotz eines formellen Verbots geduldet.
Situationen wie diese veranschaulichen deutlich das Spannungsfeld zwischen den
geschäftlichen Interessen eines Unternehmens und den Datenschutzinteressen
seiner Mitarbeiter. Im Grundsatz gilt, dass ohne die Zustimmung der Mitarbeiter
oder ihrer Vertretung wie Betriebsrat/Personalrat eine Überwachung der Inhalte
der Kommunikation unzulässig ist und private E-Mails nicht gelesen werden
dürfen.
Private Nachrichten müssen deshalb von geschäftlichen E-Mails
getrennt werden. Dafür sind rechtlich-organisatorische Maßnahmen wie
individualvertragliche Vereinbarungen mit dem Arbeitnehmer,
Betriebsvereinbarungen, Security- und User Policies unabdingbar. Zudem müssen
Schulungs- und Qualifizierungsmaßnahmen der Belegschaft gewährleistet sein.
Themen wie ein generelles Privatnutzungsverbot (gegebenenfalls mit
Ausnahmevorbehalten), betriebliche Mailstandards, Vertretungs- und
Ausscheidungsregelungen, Ablagedefinitionen und Kontrollbefugnisse für die
IT-Abteilung müssen diskutiert und verbindlich geregelt werden.
Rechtliche Vorgaben zur elektronischen Archivierung:
Steuerrelevante Unterlagen sind nach den seit 2002 geltenden
Steuerrichtlinien elektronisch zu archivieren. Für Handels- und Geschäftsbriefe
ohne Steuerrelevanz gilt dies nicht. Lückenlos dokumentierte Ausdrucke wären
damit im Prinzip möglich. Wenn jedoch – wie heutzutage üblich –
elektronische Post auch elektronisch aufbewahrt wird, gelten ähnlich strenge
Anforderungen für die Sicherheit, Integrität und jederzeitige Verfügbarkeit wie
nach Steuerrecht. Für die elektronische Archivierung solcher Geschäfts-E-Mails
muss dann insbesondere sicher gestellt sein, dass die Daten mit den empfangenen
Handelsbriefen, Buchungsbelegen und anderen Unterlagen inhaltlich
übereinstimmen. Sie müssen jederzeit innerhalb einer angemessenen Frist lesbar
gemacht und maschinell ausgewertet werden können. Natürlich müssen die Daten
während der Aufbewahrungsfrist jederzeit verfügbar sein.
