10.06.2009, 09:07 Uhr

Löschen verboten

E-Mails gelten heute genau wie jeder Geschäftsbrief als Dokument. Wer sie vorschnell löscht, kann sich strafbar machen. Professionelles E-Mail-Management erspart dabei viel Ärger.
Matthias Flegel ist Country Manager Schweiz bei der H&S Software AG
Das Management von E-Mails ist für Unternehmen nicht nur ein Sicherheitsthema, sondern auch eine wirtschaftliche und organisatorische Heraus-
forderung. Nur wenn es Unternehmen gelingt, alle Aspekte rund um die E-Mail-Archivierung zu berücksichtigen, können sie die Effizienz und Produktivität ihrer Mitarbeiter steigern und gleichzeitig für Rechtssicherheit sorgen. Ein nachlässiger Umgang mit der elektronischen Post kann hinsichtlich Datenschutz, kaufmännischer Sorgfaltspflicht und Vorgaben der ordnungsgemässen DV-gestützten Buchhaltung schwerwiegende Folgen haben.
Die Rechtssituation
Schon seit 2002 existieren rechtliche Rahmenbedingungen für die revisionssichere Archivierung von E-Mails. Besonders restriktiv sind diese Vorgaben in den Vereinigten Staaten, wo Sarbanes-Oxly-Act (SOX) oder die Börsenaufsicht SEC die Verfahrensweise genau regeln.
Nach geltendem Zivilprozessrecht in der Schweiz zählen E-Mails und andere digitale Dokumente noch zu Augenscheinobjekten, vereinzelt aber auch zu Urkunden. Die Beweiskraft von E-Mails ist im Obligationenrecht (OR, Art. 957, Abs. 4) beschrieben. Voraussichtlich ab 2010 werden nach der vereinheitlichten schweizerischen Zivilprozessordnung digitale Dokumente nur noch den Urkunden zugerechnet.
Enthalten ein- oder ausgehende E-Mails relevante Informationen wie Auftragsbestätigungen, Verträge etc., die sich auf die Geschäftstätigkeit auswirken, müssen diese archiviert werden. Hier gelten die Anforderungen der Geschäftsbücherverordnung (GeBÜV), in der wesentliche Details zur rechtskonformen Archivierung von E-Mails zusammengefasst sind.
Bei mehrwertsteuerrelevanten, elektronischen Rechnungsbelegen greifen zudem die Anforderungen der EIDI-V (Verordnung des Eidgenössischen Finanzdepartements über elektronische Daten und Informationen), damit Steuerbehörden den Vorzugssteuerabzug und die Berechnung der Mehrwertsteuer akzeptieren.
Strafen drohen
Ein Verstoss gegen die gesetzlichen Aufbewahrungspflichten ist auch in der Schweiz strafbar und führt im Zweifelsfall zu Zwangsgeld, Steuerschätzungen oder Verlust von Steuervorteilen. Geschäftliche E-Mails gelten in der Schweiz als aufbewahrungspflichtige Geschäftskorrespondenz. Nach steuerrechtlichen Aspekten beträgt die Aufbewahrungsfrist mindestens 10 Jahre. Elektronische Rechnungen müssen den strengen Anforderungen standhalten. Die Integrität wie Schutz vor Verlust und vorsätzlicher Veränderung und die unbestrittene Nachvollziehbarkeit des Versands/Empfangs muss sichergestellt sein.
Kann ein Unternehmer die eingeforderten E-Mails nicht vorlegen, haftet er unter Umständen gegenüber dem Finanzamt. Werden Unterlagen vor Ablauf der Aufbewahrungsfrist entfernt, muss er mit weitreichenden Strafen rechnen. Fehlende beweiskräftige Unterlagen können nicht nur im steuerrechtlichen Bereich, sondern auch bei vertrags- und arbeitsrechtlichen Auseinandersetzungen zu Problemen führen. Bei fahrlässiger Handlung wird auch der IT-Leiter mit rechtlichen Konsequenzen, Abmahnung oder gar Kündigung konfrontiert.

Dringender Handlungsbedarf

Analysten der amerikanischen Radicati Group (www.radicati.com) beobachten seit Jahren das Wachstum von E-Mails. Selbst bei kleinen Unternehmen mit ca. 100 Usern wurden 2008 durchschnittlich 5,7 Millionen E-Mails festgestellt. 2012 wird die Anzahl auf ca. 8,5 Millionen E-Mails anwachsen. Unverständlich, dass viele Manager und Administratoren zwar mittlerweile die rechtlichen Risiken erkennen, sich aber der gewaltigen Herausforderung «E-Mail-Management» nur zögerlich stellen. Die gängige Praxis, Mitarbeitern einen begrenzten Speicherplatz zuzuweisen, verbunden mit der Hoffnung, diese wüssten schon, was an E-Mails zu löschen ist, muss endgültig der Vergangenheit angehören.
Werden in Unternehmen auch private E-Mails geduldet, kommen auch noch Datenschutzfragen ins Spiel. In diesem Fall besteht ein hohes Risiko, Persönlichkeitsrechte sowie das Post- und Fernmeldegeheimnis zu verletzen. Nur bei explizit geschäftlicher Nutzung darf davon ausgegangen werden, dass alle Mails zur Firmenkorrespondenz gehören; eine flächendeckende Kontrolle der Mails ist unzulässig.
SMS & Neue Dienste
Bevor Unternehmen neue Kurznachrichtendienste wie Short Message Service, kurz SMS, oder andere zulassen, müssen sie deren Einsatz und Archivierungspflicht klären. Im Archivierungsbereich ist der Umgang mit diesem Dienst noch relativ neu. Eine SMS kann analog zu einer Fax-Archivierung gesehen werden. Wenn ein User aus Outlook eine SMS sendet oder empfängt, kann diese als eine spezielle Message-Klasse in MS-Exchange abgelegt und über eine geeignete Software archiviert werden. SMS über mobile Endgeräte können derzeit nicht archiviert werden. Dies muss über den jeweiligen Provider beauftragt und sichergestellt werden.

Was Speichern?

Die Kernfrage einer rechtskonformen Archivierung lautet: «Was muss wie und wie lange archiviert werden?» Wesentliche Informationen wurden bislang in eigenständigen Unterlagen aufbereitet und bei Bedarf als Anhang versendet. Mittlerweile werden auch wichtige, unternehmensrelevante Elemente direkt in E-Mails transportiert.
Dieses Wissen ist in diesem Fall nur noch als E-Mail, nicht aber in anderen Ablagesystemen verfügbar. Das führt nicht selten zu kritischen Datenverlusten. Um vorzubeugen, empfiehlt es sich, neben Sicherheits- und Datenschutzaufgaben, Datenverwaltung, Aufbewahrungsvorgaben sowie Zugriffsberechtigungen, auch Prüfverfahren und den Umgang mit der Nichteinhaltung der Regeln festzulegen.

Das richtige System

Bei der Vielzahl von E-Mail-Archivierungssystemen auf dem Markt lohnt ein Vergleich der Leistungsfähigkeit bezogen auf Funktionalität, Architektur, Kompatibilität und Integrationsfähigkeit in vorhandene Infrastrukturen wie EMC Centera, NetApp, iTernity HP iCAS. Lösungen müssen hohe Anforderungen an Transparenz und vielfältige Archivierungsoptionen bieten. Zu den Schlüsselfaktoren zählen zum Beispiel Auditorenwerkzeuge, mehrstufiges Retentiontime-Management, Integrität (Daten- und Fälschungssicherheit), ausgereifte Suchfunktionen, Lifecycle-Management, Single Instance auf Attachment-Ebene und der Umgang mit PST-Files.
Idealerweise erfordert ein rechtssicheres E-Mail-Archivierungssystem, nach der einmaligen Definition der Arbeitsweise, kaum Service und Support. Die Software läuft unauffällig im Hintergrund, Mitarbeiter können ungehindert in ihrer gewohnten Umgebung arbeiten. Der Ablauf der Archivierung muss so ausgelegt sein, dass eine echte Entlastung des E-Mail-Systems entsteht, jederzeit Zugriff auf gespeicherte E-Mails möglich ist und Schulungen für Mitarbeiter entfallen.
Langfristige E-Mail-Archivierung setzt eine professionelle Vorgehensweise mit Konzept und Risikoanalyse voraus. E-Mail-Management ist eine komplexe Herausforderung an Organisation, Technologie und Prozesse des Unternehmens und deshalb erklärte Chefsache.
Matthias Flegel


Das könnte Sie auch interessieren