Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

E-Mail Archivierung, grundsätzliches

Frage Sicherheit Rechtliche Fragen

Mitglied: lou-cypher25

lou-cypher25 (Level 1) - Jetzt verbinden

20.08.2007, aktualisiert 14.10.2007, 9334 Aufrufe, 9 Kommentare

Gesetzliche Anforderungen und diverse Ansätze verschiedener Anbieter

Hallo, guten Tag,

hier im Forum habe ich einige Diskussionen zum thema E-Mail Archivierung gefunden, die etwas Aufklärung benötigen.

Prinzipiell dient eine E-Mailarchivierung der dauerhaften Informationsvorhaltung und ist technisch betrachtet zwar nicht ganz trivial, aber doch recht gut umsetzbar.

A) Beispielsweise gibt es Lösungsanbieter die E-Mails auseinanderpflücken (header, body, ...) und in Datenbanken schieben. Prima, dann habe ich noch ein System das ich archivieren muß, nämlich die Datenbank! Einmal davon abgesehen dass es so etwas wie eine "Originaldatei" nicht mehr gibt.

B) Ferner gibt es Lösungsanbieter die in prorietären Formaten archivieren. Auch prima! Am besten den Anbieter gleich mitarchivieren.

C) Dann gibt es Anbieter die in Formaten speichern die zwar nicht proprietär sind, aber trotzdem nicht zulässig, z.B. PDF, PDF-A, Tiff, ...

D) Einige Anbieter packen auf Ihre Archivierungslösung gleich noch den Viren- und Spamschutz drauf. Auch gut, dann weiß der Finanzprüfer wenigstens gleich dass in diesem Unternehmen gefiltert wird und man die GDPdU nicht ernst nimmt (das gilt auch für Punkt C.

E) Andere Archivierungslösungen wiederum mißachten das thema Datenschutz völlig. Da ist es natürlich klasse selbst Administrator zu sein und alle archivierten E-Mails seelenruhig lesen zu können.

F) Den meisten Lösungen fehlen Möglichkeiten der Kryptographie oder wenigstens einer technischen Signatur.

Diese Liste könnte durchaus noch ein wenig fortgeführt werden und erschreckend ist, dass es selten die großen Lösungen sind die hier annähernd gesetzeskonfom arbeiten.

Tatsächlich unterliegen gerade die großen Anbieter den Forderungen des globalen Marktes. Da jedoch in Europa und insbesondere in Deutschland, weit härtere gesetzliche Rahmenbedingungen herschen als im Rest der Welt, haben diese Lösungsanbieter kein vitales Interesse an unserem kleinen Markt.


Rechtlich betrachtet müssen ebenfalls diverse Fallstricke beachtet werden.

Da diese Liste jedoch noch weit umfassender würde als die Liste oben, hier ein paar Stichpunkte:

- Umsatzsteuer Gesetz § 14 b
- Umsatzsteuer Richtlinien 190 b, Abs. 2, 5, 6, 7, 8, 9, 10
- Abgabenordnung ( AO ) §§ 146, 147, Abs. 2 und 3, § 200
- Schreiben Bundesfinanzministerium ( BMF ) vom 01.02.1984 BStBl. IS. 155 ( 1 ) einschließlich der Microfilm – Grundsätze sowie den Grundsätzen ordnungsmäßiger, DV – gestützter Buchführungs- Systeme – GoBS . Anlage zum BMF – Schreiben vom 07.11.1995 Bundessteuerblatt ( BStBL. IS. 738 ( 1 )
- BMF – Schreiben vom 16.07. 2001. Grundsätze für die Anwendung der Regelungen zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen ( GDPdU ) BStBl. IS. 415 ( 2 )
- Bürgerliches Gesetzbuch ( BGB ) §§ 126 ff, 127, 128, 311 b,
- Signatur Gesetz
- Bundesdatenschutz Gesetz ( BDSG )
- Gesetz über den Datenschutz bei Telediensten ( TDDSG )
- Gesetz über die Nutzung von Telediensten ( TDG )
- KonTra Gesetz
- § 257 Abs. 1 HGB
- Strafgesetzbuch §§ 149, 202 a, 203, 204, 206, 243, 263 a, 298, 303 a/b,
- Basel II ( Verordnung der Banken zur Kreditbeschaffung )
- Euro-SOX

Wichtige Aufbewahrungspflichten :

- Aufbewahrungsfristen ( 10 oder 6 Jahre, jedoch in Teilbereichen bis zu 30 Jahren)
- Aufbewahrungsorte von Buchungsbelegen werden mit „ Inland „ bestimmt.

Branchen, bei denen qualifizierte elektronische Signaturen verlangt werden :

- Branchen unabhängig : Online Rechnungen
- Gerichte, Notare, Rechtsanwälte: ( siehe Justiz Gesetzgebung )
- Kliniken, Ärzte, Apotheken, Krankenkassen u.s.w.: ( siehe Sozial Gesetzbuch )
- Baufirmen, Handwerker, Handel ( siehe VOB / VOL u.s.w.)

Bestehende Rechtsauffassung:

- "E-Mails sind aufzubewahren, wenn sie dem Begriff des Handelsbriefs entsprechen"
(Beck'scher Bilanzkommentar 1999, 257, Rn 15; Adler/Düring/Schmaltz 1995, 257, Rn 34, 4. Absatz;
u.a.)

- "Ein Schriftstück betrifft ein Handelsgeschäft, wenn es seine Vorbereitung, seinen Abschluss, seine
Durchführung oder seine Rückgängigmachung zum Gegenstand hat."
(Bonner Handbuch der Rechnungslegung, 257, Rn 34)


Für weitere Fragen stehe ich gerne zur Verfügung.

Christian Nowitzki
Mitglied: Liquid
08.09.2007 um 19:31 Uhr
Hallo Christian,

bei uns steht das Thema Mailarchivierung ganz konkret an. Da du dich so intensiv mit diesem Thema beschäftigt hast würde ich gerne von dir erfahren welche Produkte die entsprechenden Gesetzte auch beachten. Ich als Admin bin da doch etwas überfordert was die diversen Gesetzte die du aufgezählt hast angeht. Vielen Dank für deine Hilfe!

Gruß

Daniel
Bitte warten ..
Mitglied: lou-cypher25
10.09.2007 um 10:36 Uhr
Hallo Daniel,

da ich, oder besser ich mit Intellicomp, diverse Hersteller berate(n), fällt es mir schwer entsprechende Lösungen direkt hier im Forum zu nennen.

Aber schreibe mir doch kurz eine Nachricht mit Deinen Kontaktdaten an meine E-Mailadresse cnowitzki@intellicomp.de dann gebe ich Dir gerne einen Überblick einsetzbarer Lösungen.

Grüße
Christian
Bitte warten ..
Mitglied: mnbw66
15.09.2007 um 10:14 Uhr
Hallo Herr Nowitzki,

Ich kann Ihrem Beitrag in wesentlichen Teilen zustimmen. Die Archivierung von E-Mails hat zwei wesentliche Grundzüge:

1) Die Einhaltung von Compliance-Richtlinien, sprich die Erfüllung von regulativen Vorgaben und gesetzlichen Anforderungen.

2) Die Entlastung von IT-Ressourcen und die damit verbundenen Kostenreduzierungen in der Unternehmens-IT.

Das Unternehmen nicht erst seit gestern Handlungsbedarf haben, zeigt die Vielzahl der Anbieter und Lösungen. Betrachtet man die Lösungen im Detail, tun sich erschreckende Abgründe auf.

Das Auslagern von Mails in Datenbanksystemen ist ein reines Problem-Moving. Mein Exchange oder Domino-Server ist zwar schlanker, dafür werden meine Backup-Zeitfenster größer, da ich diese DBs nun sichern muss. Hat also erstmal nichts mit Archivierung zu tun. Halte meine Mails in externen SQL-Datenbanken, kann ich diese mit Bordmitteln lesen. Ich umgehe damit die Benutzerberechtigungen.

Das "Zerpflücken" von Mails oder konvertieren in Image-Formate steht im Gegensatz zur GDPdU. Beim Einsatz solcher Lösungen wird bei einer Aussenprüfung der Geschäftsführer bzw. Leiter IT dann "zerpflückt". Ebenso der Einsatz von Verschlüsselungsmechanismen entspricht nicht der GDPdU, da diese die Aufbewahrung von elektronischen Dokumenten originär verlangt.

Viele Lösungen sind "gewachsene" Lösungen. Anbieter von Anti-Spam-Software entdecken einen neuen Markt und ergänzen ihre Lösung mal eben um eine Archivierungskomponente. Hier habe ich Lösungen gesehen, die e-Mails ins File-System "archivieren". Mittels des Explorers kann man sich diese ansehen und verändern. Das hat mit Archivierung nicht zu tun.

Oder die Archivierungsfunktion entpuppt sich als Schnittstelle zu einem Archivanbieter und erfordert zusätzlich einen Archivserver. Dies ist wieder mit zusätzlichen Kosten verbunden.

Die wenigsten Lösungen beherrschen die Kerndisziplinen der Mail-Archivierung:

- Der Anwender bleibt in seiner vertrauten Oberfläche und muss bei der Archivierung nicht aktiv werden. Heisst: Ich möchte eine archivierte Mail über meinen Outlook- oder Notes-Client aus dem Mailarchiv anfordern und nicht eine Recherche-Applikation öffnen.

- Das Mail-Archiv muss das Journaling beherrschen. Damit stelle ich die Archivierung der kompletten Mail-Unternehmenskommunikation sicher.

- Eine archivierte Mail muss umgehend wieder zur Verfügung stehen. Das Suchen in Backup-Bändern ist eine ABM und nicht wertschöpfend.

- Ein professionelles System muss skalierbar sein. Die Archivierung von 50.000 E-Mails pro Tag sollte kein ko-Kriterium sein.

- Damit sich der Anwender selber organisieren kann und die Übersicht behält, muss solch ein System ihm entsprechende manuelle Archivierungsfunktionen zur Verfügung stellen. Ansonsten werden Mails, z.B. PST-Dateien wieder auf Fileserver ausgelagert.

- Der Admin muss aktiv unterstützt werden. Ein konfigurierbares Regelwerk erlaubt es ihm, archivierte Mails oder Verweisdokumente aus den Postkörben zu löschen.

- Ein gutes Mail-Archiv unterstützt das Single-Instance-Verfahren. Identische Mails oder Anlagen werden nur einmal archiviert und verlinkt.

- Das System muss die Volltextsuche, auch über Attachments, beherrschen.

- Das System muss unterschiedlichste Speichertechnologien beherrschen. Ein Unternehmen mit 60.000 Postfächern kann nicht auf RAID-5 Architekturen archivieren. Da müssen SAN, NAS oder CAS Systeme angesteuert werden.

Unter Berücksichtigung der vorher genannten Punkte, wird die Auswahl der Anbieter dann wieder recht übersichtlich.

Mit besten Grüßen
Martin Brunkow
Bitte warten ..
Mitglied: ratzla
10.10.2007 um 09:55 Uhr
Hallo Herr Brunkow,

die von Ihnen angemerkten Punkte sind sicherlich einige wünschenswerte Ideen, aber zielen auf Größenordnungen die vielleicht ein Betrieb mit über 10.000 Mitarbeiter hat oder eine Firma die sich wirklich auf Online Handel spezialisiert hat.
In der Praxis sieht es eher so aus, dass der Anteil an archivierungsplichtigen EMails verschwindend gering ist. Wir (etwas über 100 Mitarbeiter) empfangen etwa 15.000 Mails am Tag(nach SPAM-Abzug bleiben noch ca. 2000 Stück übrig). Unterm Strich bleiben davon ca. 3-4 aufbewahrungspflichtige Mails pro Woche übrig. Denn was ist den per Mail tatsächlich aufbewahrungspflichtig ?

Eingangsrechnungen - Die kommen nach wie vor im Regelfall per Post. Übrig bleiben Online Rechnungen (Ordentlich qualifizierte E-Rechnungen gibt es in der Praxis ohnehin kaum -das sind dann auch die 3-4 Mails pro Woche).

Ausgangsrechnungen Die werden originär im ERP System (Dort besteht aufbewahrungspflicht) erstellt, andere mögen das mit Excel oder Word machen. Rechnungen sollte man ohne die Einrichtung einer qualifizierten Signaturmöglichkeit grundsätzlich per Post senden und nicht den in diesem Fall unsichern Weg per Mail wählen.

Verträge, Geschäftsberichte, Urkunden Auch hier scheidet der Mailweg aus praktischen Gründen meist aus.

In der Praxis sieht das nun so aus:
Nach Rücksprache mit unserer Wirtschaftsprüfungsgesellschaft (welche mir diese Zahlen bestätigt hat und meinte wir sind da heavy-user, seine anderen mittelständischen Klienten hätten üblicherweise 2-3 Mails pro Monat) haben wir eine spezielle Mailbox in Notes eingerichtet in der aufgrund der Benutzerrechte niemand mehr löschen kann. Eine kleine Funktion kopiert die vollständige Mail (unter erhalt der Mail header) per Knopfdruck in das Archiv.

Zur Entlastung der Mailserver haben wir für jeden User ein weiteres Archiv eingerichtet. Das Archiv entlasten Mailserver und Backup insofern als dass diese Archive nicht in der täglichen Sicherung enthalten sind und auch Prüffunktionen (Virenscanner, spezielle Agenten) dort nicht mehr laufen müssen.
Bitte warten ..
Mitglied: lou-cypher25
10.10.2007 um 10:09 Uhr
Hallo Ratzla,

das ist soweit leider nicht richtig.

Bestehende Rechtsauffassung:

- "E-Mails sind aufzubewahren, wenn sie dem Begriff des Handelsbriefs entsprechen"
(Beck'scher Bilanzkommentar 1999, 257, Rn 15; Adler/Düring/Schmaltz 1995, 257, Rn 34, 4. Absatz;
u.a.)

- "Ein Schriftstück betrifft ein Handelsgeschäft, wenn es seine Vorbereitung, seinen Abschluss, seine
Durchführung oder seine Rückgängigmachung zum Gegenstand hat."
(Bonner Handbuch der Rechnungslegung, 257, Rn 34)


Fakt ist, dass auch interne Kommunikation zwischen den Mitarbeitern archivierungspflichtig ist und das u.U. auch nicht nur nach handels- sondern auch geschäftsvorbereitend finanzrechtlich.

Leider ist es nun so, dass ein Wirtschaftsprüfer und andere Berufsgruppen wie Steuerberater, Rechtsanwälte, ... selten ein Interesse daran haben Ihre Kunden hier neutral zu beraten.
Denn würden sie dieses tun, müssten diese Unternehmer ebenfalls Archivierungssysteme einführen.

Ich als Kauffmann unterliege den GoBS und das endet nicht indem ich meine Unterlagen an einen Externen (Wirtschaftsprüfer, Steuerberater, ...) abgebe, sondern ich bin für die archivsichere Aufbewahrung dieser Unterlagen ebenso verantwortlich wie für alle anderen meiner Unterlagen.
Hier habe ich zu prüfen, ob mein Steuerberater diesen Verpflichtungen nachkommt und sollte er dies nicht tun, MUSS ich diesen Steuerberater SOFORT wechseln oder zur Einführung dieser Systeme auffordern.

Seit 2001 beschäften wir uns nun mit diesem Thema und es ist bemerkenswert, dass erst seit ca. 1-2 Jahren endlich auch Berufsgruppen wie Rechtsanwälte, Steuerberater und Wirtschaftsprüfer an unseren Veranstaltungen teilnehmen und auch hier immer noch die größten Lücken aufweisen.

Wenn Sie sich unabhängig informieren wollen, gehen Sie einmal auf www.bundesfinanzministerium.de und laden Sie sich die GDPdU-FAQ herunter, damit haben Sie bereits einen guten Einstieg in das Thema.

Sollten Sie weitere Fragen haben, sende ich Ihnen gerne (kostenfrei) einen Überblick der Gesetze und Verordnungen, außerhalb des Forums, zu.

Grüße
Christian Nowitzki
Bitte warten ..
Mitglied: mnbw66
14.10.2007 um 08:55 Uhr
Hallo Ratzla,

ich kenne die gegenteilige Aussage einer WPG. Dort wurde meinem Kunden nahe gelegt, alle Mails zu archivieren. Und hierbei handelte es sich um "nur" 25 Postfächer. Ich bin mir sicher, würde man eine dritte WPG befragen, hätte man eine dritte Meinung. Ein Unternehmen hat die GoBS einzuhalten und die hört bei einer Mail nicht auf.

Hinsichtlich der GDPdU verhält es sich ähnlich. Hier ist immer der Steuerpflichtige in der Verwantwortung und diese lässt sich nicht auf eine WPG übertragen. Auf Anfrage werden Sie auch keine Freisprechung seitens der WPG bekommen.

Sie hatten Eingangsrechnungen, Ausgangsrechnungen, Verträge, Geschäftsberichte und Urkunden als aufbewahrungspflichtige Mails definiert. Bitte bedenken Sie auch, daß Angebote, Aufträge, Preisabsprachen, etc. dazu gehören. Eine einfache Mail an einen Kunden, das die bestellte Ware auf den Weg gebracht wurde, ist Teil des gesamten Geschäftsvorfalls und somit aufbewahrungspflichtig.

Ihr Lösungsansatz ist schon recht gut, nur wie vermeiden Sie, daß eine Mail vor dem "Knopfdruck" gelöscht wird ?

Beste Grüße
Martin Brunkow
Bitte warten ..
Mitglied: dusniss
06.10.2009 um 14:36 Uhr
Hallo, was für Lösungen hatten Sie sich denn angesehen, die Ihren Kritik Punkten entsprechend ncht unbedingt empfehlenswert sind? Danke im voraus7 Beste Grüße
Bitte warten ..
Mitglied: lou-cypher25
20.10.2009 um 17:32 Uhr
Hallo dusniss,
die Fülle der Lösungen auf dem Markt gibt einige positive und ebensoviele negative Systeme her.

Letztenendes stellt sich aber immer die Frage nach dem Ziel der Archivierung:
- Reine Erfüllung der Pflichten aus Handels- und Finanzrecht?
- Erfüllung weiterer Compliantanforderungen?
- Besondere Mehrwerte wie z.B. Mailserverentlastung oder verkürzung der Backupzeiten?
- Beachtung des Datenschutzes und eventuell Entmachtung der IT-Abteilung?

Zusätzlich existieren Fallstricke die zu berücksichtigen sind:
- Speicherung auf WORM oder wird die Originärität über eine Signatur sichergestellt?
- Was ist wenn ein Mitarbeiter eine private Nachricht empfängt und auf deren Löschung besteht?

Eine Beratung muß daher darauf abzielen die Spanne zwischen Worstcase und Bestcase aufzuzeigen, um dem einzelnen Unternehmer die Entscheidung zu ermöglichen wieviel Risiko er tragen möchte und dafür braucht es Kenntnisse aus der Praxis sowie der technischen Möglichkeiten.

Beste Grüße
Christian Nowitzki
Bitte warten ..
Mitglied: mnbw66
21.10.2009 um 10:26 Uhr
Hallo dusniss,

ich habe bereits eine Vielzahl unterschiedlicher Lösungen gesehen, welche auf der technischen Ebene und/oder auf der Anwenderebene schlichtweg schlecht sind. Eine Aufzählung von "nicht empfehlenswerten" Lösungen in diesem Forum würde wohl eher eine Unterlassungsklage nach sich ziehen, statt eine Hilfestellung zu bieten.

Die primäre Frage ist doch immer die Gleiche: "Welche Ziele will ich mit der Einführung einer E-Mail-Archivierung erreichen ?"

Ich kenne Unternehmen, denen geht es nur um die Entlastung der Mailsysteme. Das Thema Compliance ist der Geschäftsführung egal und interessiert nicht. Aus Sicht der IT wird es nun schwierig bei der Produktauswahl.
Die Anschaffung eines Produktes zur Systementlastung birgt das Risiko einer Insellösung, wenn die GF plötzlich ihre Meinung ändert und Compliance eine wichtige Rolle spielt. Im schlechtesten Fall muss die IT wieder ein Produkt beschaffen, welches nun alle Kriteren erfüllt und hat zusätzlich noch die Migration des alten Systems vor sich.

Aus IT-Sicht sollte ein Produkt
- rechtliche und regulative Anforderungen (Compliance) erfüllen,
- die Systeme nachhaltig entlasten und zu einer Cost Reduction führen,
- in die IT-Infrastruktur passen,
- einfach und intuitiv für die Anwender sein,
- erweiterbar für weitere Archivierungsthemen sein (File-Archivierung, ERP-Archivierung)

Beste Grüße
Martin Brunkow
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
E-Mail
gelöst Mail Spam fremde IP (10)

Frage von BerndP zum Thema E-Mail ...

Erkennung und -Abwehr
gelöst Mail von Microsoft "Ungewöhnliche Anmeldeaktivität beim Microsoft Konto" (7)

Frage von BassFishFox zum Thema Erkennung und -Abwehr ...

Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...