E-Mail-Security

Sicher und rechtskonform kommunizieren

Die deutsche Gesetzeslage rund um E-Mail-Kommunikation und -Archivierung ist komplex. In Sachen IT-Unterstützung die richtige Wahl zu treffen ist dabei kein leichtes Unterfangen.

Vertrauliche Dokumente, Verträge, Angebote und Personendaten einfach, sicher und schnell per E-Mail versenden; rechtskonform über das Medium E-Mail kommunizieren - und das ebenso verbindlich und nachhaltig wie in Papierform; die E-Mail-Kommunikation beweiskräftig und gerichtsfest archivieren, um die Forderungen des Gesetzgebers zu erfüllen und weitere Vorteile daraus zu ziehen - das alles ohne Anwenderschulungen, voll automatisiert, transparent und berührungslos: Viele Unternehmen suchen nach einer Lösung, die all das garantiert.

Der daraus entstandene Hype rund um sichere E-Mail-Kommunikation entbehrt nicht seiner Grundlage, und selten ließ sich in einem Bereich so authentisch mit äußeren Zwängen argumentieren. Das heißt jedoch nicht, dass sich diese Authentizität zwangsläufig in den am Markt befindlichen Produkten oder in der Argumentation der Anbieter widerspiegelt. Auch gibt es bisher keinen Hersteller, der eine Gesamtlösung für sichere E-Mail-Kommunikation und -Archivierung anbietet.

Komplexe Gesetzeslage

Als problematisch erweist sich dabei insbesondere die deutsche Gesetzeslage: Sie definiert zum einen sehr genau, was zulässig und was gefordert ist. Andererseits lässt sie erheblichen Spielraum für Interpretationen, woraus Entscheidungen mit immer neuen Auslegungen resultieren. Auch die verschiedenen rechtlichen Fachdisziplinen sind sich nur selten darüber einig, was nun erlaubt oder verboten ist.

Beispiele sind hier die Abgabenordnung (AO) und die GDPdU (Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen), die eine Trennung der steuerrechtlich relevanten von den übrigen Daten fordern, deren Differenzierung jedoch dem Steuerprüfer vorbehalten bleibt. Gleichzeitig ist ein System als "vorgefiltert" abzulehnen, wenn maßgeblich steuerrechtlich relevante Daten aus dem Datenstamm ausgenommen sein könnten. Dabei ist der Begriff "steuerrechtlich relevant" nur ungenau definiert und liegt im Einzelfall im Ermessen des Finanzprüfers. Da E-Mails nach den Grundsätzen ordnungsgemäßer DV-gestützter Buchführungssysteme (GoBS) zudem als "originär digitale Daten" eingestuft und Formatumwandlungen ausgeschlossen werden, bleibt allein eine Lösung, die alle E-Mails nachweisbar im Original archiviert.

Hier beginnt der Streit zwischen den verschiedenen rechtlichen Fachdisziplinen. Schnell wird deutlich, dass verschiedene Klagegründe zu unterschiedlichen Ergebnissen führen. Ein Datenschutzbeauftragter beispielsweise wird nur ungern einer ungefilterten Lösung zustimmen, und auch das Verbot privater Kommunikation über das Mail-System des Unternehmens ist erfahrungsgemäß nur eine Teillösung.

Da das Datenschutzrecht nur eine Archivierung durch den einzelnen Mitarbeiter duldet, schützt auch ein Verbot der privaten Nutzung nicht vor unsachgemäßer Verwendung. Ein System, das ungefiltert archiviert und den Originäritätsnachweis durch eine Worm-Speicherung (Write once, read many) führt, kann in einem Streitfall die Löschung oder Zerstörung des Archivsystems nach sich ziehen.

Der Verlust von Kommunikationsdaten wiegt schwer - ein weit größeres Risiko ist jedoch der Verlust maßgeblich steuerrelevanter Daten und die damit einhergehende Gefahr einer steuerlichen Schätzung.