„Rechtliche Anforderungen wie die AO und GdPDU oder Sarbanes-Oxley (SOX) verlangen von allen Unternehmen die Archivierung aller E-Mails.“ So oder so ähnlich klingen Äußerungen von vielen Anbietern elektronischer Mail-Archivierungs-Lösungen. Sobald eine neue gesetzliche Auflage erscheint, die relevant ist für IT-Anwender, werden Sachverhalte reflexartig in die jeweils gewünschte Richtung interpretiert. Dies mag den Herstellern dienlich sein, doch die Anwender werden dadurch verunsichert.
Gleichzeitig wird das Lösungsangebot von Mail-Archiv-/Mail-Management-Lösungen immer vielfältiger und noch undurchsichtiger als im klassischen DMS-Markt. Tatsache aber ist, dass eine wachsende Anzahl von E-Mails geschäftskritische Informationen beinhaltet, deren Relevanz von vielen Unternehmen noch nicht erkannt wurde beziehungsweise der eigentlich notwendige sorgfältige Umgang mit diesen E-Mails und deren möglicherweise langfristige Aufbewahrung nicht oder nur teilweise definiert ist. Die bestehenden E-Mail-Systeme sind nicht dazu geeignet, Mails revisionssicher und dauerhaft aufzubewahren.
Motivation zur E-Mail-Archivierung
Die älteste Triebfeder zur Mail-Archivierung kommt aus der IT. Im Fokus stehen dort typischerweise der Systembetrieb und die wachsenden Datenbanken von Mailsystemen, die im Extremfall – bei großen Benutzerzahlen – nicht mehr im zugesagten Zeitfenster konsistent gesichert oder umgekehrt nicht zeitnah wiederhergestellt werden können.
Häufig kommen dazu lokale Mail-Archiv-Dateien der Anwender. Diese entlasten zwar die teuren zentralen Mail-Speicher (PC-Speicher ist um Faktoren günstiger als Server-Speicher), sind dafür aber schwieriger zu sichern, weil im Besitz und auf der PC-Platte von Individuen mit jeweils eigenen Vorstellung von Ordnung und Sicherheit.
Eine Archivierung zur Entlastung von E-Mail-Datenbanken erleichtert zwar deren Administration und verschafft Benutzern eine quasi „unlimitierte Mail-Box“, löst aber nicht das Problem der Strukturierung und echten Bereinigung der E-Mail-Daten. Das immer größer werdende – kostenbehaftete – Mail-Archiv muss irgendwann ebenfalls durch Auslagerung oder Löschen wieder bereinigt werden. Spätestens dann stellt sich wieder die Frage, nach welchen Kriterien diese Vernichtung erfolgen soll.
Compliance-Anforderungen
Oft wird unter dem Themenkomplex „Compliance-Anforderungen“ von Marktteilnehmern eine vermeintliche Pflicht propagiert, alle E-Mails zu 100 Prozent und ungeachtet des Inhalts automatisch archivieren zu müssen.
Weder die deutsche Gesetzgebung wie das Handelsrecht (HGB) oder das Steuerrecht (AO, GdPDU), noch die amerikanischen Regularien wie beispielsweise Sarbanes Oxley Act (SOX) schreiben eine solche Maßnahme vor. Im Vordergrund stehen immer Selbstqualifizierungsrecht und -pflicht des Anwenders beziehungsweise des Unternehmens zu entscheiden, welche Unterlagen für welchen Zeitraum aufbewahrt werden müssen. Dies betrifft zudem nicht nur E-Mails, sondern alle Dokumente inklusive Papier und andere Formen relevanter Informationen.
Ein per Mail ausgetauschtes Angebot, welches nicht zu einem Auftrag führt, ist nicht aufbewahrungspflichtig und kann wieder gelöscht werden. Führt diese Mail zu einem Auftrag, gilt sie als eingehender oder ausgehender Handelsbrief und unterliegt der Aufbewahrungspflicht nach Handels- oder Steuerrecht. Nur ein Anwender kann dies entscheiden, nicht aber eine systemgetriebene Software.
Insbesondere Töchter von US-Firmen oder US-börsennotierte Unternehmen fühlen sich aufgrund dort vorhandener Prozessrisiken häufig gezwungen, alle extern und intern kommunizierten E-Mails per Default zu archivieren.
Der bei fast bei allen Unternehmen vorhandene Grund zur Mail-Archivierung basiert auf der Problematik, dass geschäftliche Vorgänge aufgrund fehlender Unterlagen – gerade in Form von Mail-Kommunikation – nicht immer nachvollziehbar sind oder erheblichen Mehraufwand verursachen. So weiß beispielsweise der Mitarbeiter einer Versicherung nicht, dass ein Interessent bereits mehrfach bei verschiedenen Stellen im Unternehmen per Mail Anfragen zu der gleichen Versicherungsleistung gestellt hat, weil diese Mails nicht zentral und strukturiert gespeichert wurden. Eine wichtige per Mail versandte Absprache eines in Urlaub befindlichen Vertriebskollegen ist in der Kundenakte nicht vorhanden. Manche Kollegen/Innen drucken mit Geschäftspartnern, Kunden und anderen Partnern ausgetauschte E-Mails als Papier aus und legen diese in den klassischen Aktenordner. Andere nutzen für die Aufbewahrung eine persönliche Ablagestruktur auf dem Dateisystem. Wiederum andere schieben die Mails in einen persönlichen Ordner im Mail- oder Groupware-System.
Eine funktional rein auf E-Mail-Archivierung ausgerichtete Lösung kann solche Anforderungen an eine strukturierte Verwaltung von Mails nicht erfüllen. Falls nicht bereits vorhanden, sollte das Unternehmen hier über eine umfassendere Lösung zur Verwaltung von elektronischen Dokumenten inklusive E-Mails nachdenken.
Unterschiedliche Lösungsansätze
Die Entscheidung zur Archivierung von E-Mails kann auf unterschiedliche Art und Weise getroffen werden. Der systemgetriebene Ansatz dient einer zentral und regelbasierten Archivierung von ein- und ausgehenden oder auch intern ausgetauschten E-Mails. Aus Unternehmenssicht besteht einerseits die höchstmögliche Sicherheit, dass alle über das Regelwerk klassifizierten E-Mails auch wirklich abgelegt werden, andererseits ergeben sich keine oder nur stark eingeschränkte Möglichkeiten, diese Mails in individuelle Ablagestrukturen einzubinden. Das System entscheidet, welche Mails wie archiviert werden – eine Interaktion des Anwenders ist nicht notwendig oder gewünscht.
Diese Funktionalität wird von vielen E-Mail-Archivprodukten unterstützt – allerdings in unterschiedlicher Ausprägung bezüglich Umfang und Möglichkeiten des Regelwerks, Schnittstellen zum Abgriff von E-Mails, mögliche Speichertechnologien usw. Sollte dieses Verfahren zum Einsatz kommen, ist der Abschluss einer Betriebsvereinbarung mit Regelung der privaten E-Mail-Nutzung ein Muss. Empfohlen wird hier das explizite Verbot privater Mails.
Der anwendergesteuerte Ansatz basiert auf einer fachlich gesteuerten und durch den Mitarbeiter initiierten E-Mail-Archivierung. Der menschliche Verstand erlaubt die direkte Klassifizierung in relevante und irrelevante E-Mails oder einzelner Anhänge. Wichtig aus Anwendersicht ist die Komfortstufe der dafür vorgesehenen Lösung – eine komfortable „Speichern unter“-Möglichkeit zur direkten Anlage von Mails oder deren Anhänge in den Kontext einer elektronischen Projekt-, Kunden-, Vertragsakte oder eine direkte Integration in eine Fachanwendung zur weiteren Sachbearbeitung sollte möglich sein. So kann etwa ein eingehender Vertragsentwurf im Fachbereich bereits im Kundenkontext dokumentiert und gleichzeitig an die Kollegen in der Rechtsabteilung zur Prüfung weitergeleitet werden.
Diese Form der Mail-Speicherung ist typischerweise nur im Zusammenhang einer DMS-Lösung sinnvoll möglich – rein auf Mail-Archivierung fokussierte Produkte unterstützen solche Anwendungsszenarien nicht.
Die richtigen Speicherformate
Jeder Mail-Client stellt den Inhalt einer E-Mail unterschiedlich formatiert dar. Eine in Lotus Notes erzeugte und in MS Outlook angezeigte Mail (oder umgekehrt) verliert teilweise Zeilenumbrüche und andere Formatierungen. Es gibt keinen generellen Formatstandard zur Speicherung oder einen rechtlich begründeten Zwang zur Konvertierung von E-Mails vor der Archivierung. Die Optionen von Mail-Archiv-Lösungen reichen von der Speicherung systemspezifischer Formate (beispielsweise msg bei MS Exchange) über den Internet-Standard RFC 2822 bis hin zur Konvertierung in TIFF oder PDF/A.
Zu beachten ist gegebenenfalls die in der GdPDU (Grundsätze der Prüfbarkeit digitaler Unterlagen) dokumentierte Anforderung des BMF (Bundesministerium für Finanzen) zur Speicherung aller steuerrelevanten Mails (Text und Anhänge) im Originalformat. Hintergrund ist dort die Möglichkeit einer maschinellen Auswertbarkeit im Prüfungsfall.
Stolpersteine sind auch E-Mails oder Anhänge mit einer qualifizierten elektronischen Signatur wie beispielsweise bei einem elektronischen Rechnungsaustausch. Hier muss zwingend das Originalformat bei der Archivierung gewahrt bleiben, da die Gültigkeit der Signatur sonst später nicht mehr nachvollziehbar ist. Das Mail-Archiv muss sowohl zusätzlich die Speicherung von Signaturen als auch deren Prüfung unterstützen.
Konvertierungsprozesse sind manchmal sinnvoll (Ziel: einheitliches Format aller Dokumente) aber auch technisch komplex (vor allem aufgrund unterschiedlichster Quellformate). Was häufig falsch verstanden wird: Dokumente, die sich bisher nicht für die TIFF- oder PDF-Konvertierung geeignet haben – Excel-Tabellen beliebiger Breite mit Worksheets, Links, Makros und Formeln, MS-Project-Dateien mit unterschiedlichen Sichten auf die Ressourcen eines Projektes, Audio- und Videodateien lassen sich nicht ohne erheblichen Funktions- und vor allem Informationsverlust in TIFF oder PDF konvertieren. Daran ändert auch der ISO-Standard nichts.
Grundregel: TIFF, PDF und PDF/A sind geeignet für Dokumente, die alle relevanten Informationen in dieser Druckansicht offenbaren. Für andere Dokumente und Unterlagen muss und darf man abwägen, ob nicht andere Formate besser geeignet sind. Die Empfehlung lautet für die Speicherung von E-Mails, eine Konvertierung möglichst zu vermeiden.
Unterschiedliche Systemkonzepte und -funktionen
Der Markt bietet aktuell drei unterschiedliche Systemkonzepte zur Mail-Archivierung an. Mail-Appliance-Produkte bestehen aus einer vorkonfigurierten Kombination von Hard- und Software-Komponenten (inklusive Betriebssystem und Datenbank), um eine schnelle Inbetriebnahme (Plug & Play) zu ermöglichen. Alle Anwendungskomponenten laufen auf einem Server-System, weitere Komponenten sind nicht erforderlich. Die Ablage der archivierten E-Mails erfolgt typischerweise im File-System.
Das Anwendungsprinzip lautet hier: Archivierung aller ein- und ausgehenden E-Mails außerhalb des eigentlichen Mail-Systems – typischerweise über die SMTP-Schnittstelle (Simple Message Transfer Protocol) – als (Sicherheits-)Kopie. Innerhalb des Mail-Systems ausgetauschte Nachrichten bleiben davon erst einmal unberührt, es sei denn, die Lösung kann auch zum Beispiel über die POP3-Schnittstelle das Journal eines Mail-Systems auslesen.
Die Original-E-Mail wandert erst einmal weiter in das Mail-System und verbleibt dort bis zur Löschung durch den Anwender oder Administratoren. Ein späterer Zugriff auf archivierte Mails erfolgt ausschließlich über eine eigenständige Mail-Archiv-Client-Anwendung.
Alternativ dazu gibt es funktional rein auf Mail-Archivierung ausgerichtete Software-basierte Lösungen. Die Anwendungsarchitektur ist in der Regel „einfach“ aufgebaut, das heißt, alle Komponenten können auf einem Server (typischer Standard ist die MS-Windows-Plattform) installiert werden. Oft bestehen Optionen für den Einsatz unterschiedlicher Speichertechnologien inklusive WORM-Speicher.
Neben der systemgetriebenen Journalarchivierung von Mails als Kopie können diese alternativ auch vollständig (beziehungsweise nur Anhänge) ausgelagert und durch einen Link im Mail-System ersetzt werden. Der Zugriff auf die Mail ist dann im Mail-Client per Doppelklick möglich. Alternativ gibt es Such- und Anzeigefunktionen über einen eigenständigen Mail-Archiv-Client, falls die Mail im Mail-System gelöscht wurde.
Nur wenige Lösungen unterstützen mobile Clients, das heißt, ein Außendienstmitarbeiter kann seine persönlichen archivierten E-Mails auf dem Notebook mitnehmen und offline sichten.
Übersicht der Lösungsansätze
Die dritte Lösungsvariante besteht aus einem Anwendungsmodul zur E-Mail-Archivierung, welches eine DMS-Plattform zur Verwaltung und Speicherung der Mail-Objekte benutzt. Je nach Komplexität der zugrunde liegenden Systemarchitektur können auch mehrere Server (beispielsweise Application-Server, Datenbank-Server, Volltext-Server, Rendition-Server) erforderlich sein. Es bestehen große Unterschiede in Bezug auf unterstützte Mail-Systeme (MS Exchange ist Standard), verfügbare Schnittstellen (MAPI-Integration ist nicht immer Standard), Umfang des Regelwerks und weitere Faktoren.
Im Gegensatz zu den beiden anderen Varianten wird alternativ oder in Kombination auch die anwendergesteuerte Ablage von E-Mails in individuelle Dokumentstrukturen über eine direkte Integration in die Mail-Clients unterstützt. Die folgende Übersichtstabelle zeigt die typischen Merkmale der dargestellten Lösungsansätze zur E-Mail-Archivierung im Vergleich:
|
Mail-Appliance |
Mail-Archiv |
Mail-Archiv mit DMS-Option | |
|
Hardware inkl. aller benötigten Infrastruktur-Komponenten |
ja |
nein |
nein |
|
Speicherprinzip für Mails |
typisch: Kopie |
oft: Kopie oder Link |
oft: Kopie oder Link |
|
Formatkonvertierung Mails |
nein |
nein |
manchmal |
|
Verwaltung von „Nicht-Mail- Dokumenten“ |
nein |
typisch: nein, manchmal als Dateispeicher nutzbar |
ja |
|
Offline-Nutzung (mobiler Client) |
nein |
manchmal |
manchmal |
|
Anpassbarkeit der Benutzeroberfläche |
typisch: nein |
typisch: nein |
hoch |
|
Zusätzlich benötigte Komponenten |
keine |
Server, Storage, ggf. Datenbank |
Server, Storage, DMS, Datenbank |
|
Optionen Speichertechnologie |
nein |
manchmal |
ja |
Wichtige Anwendungsfunktionen im Mail-Client
Jeder Anbieter hat eigene Vorstellungen und Philosophien über den Komfort und die Möglichkeiten, wie ein Anwender eine E-Mail in ein Mail-Archiv ablegen oder in eine elektronische Akte speichern kann – einen Standard gibt es nicht. Die Lösungen unterscheiden sich wesentlich in Anwendungsfunktionen. Dazu gehören beispielsweise. Möglichkeiten wie das Löschen archivierter Mails im Mail-System oder die Kennzeichnung von bereits archivierten E-Mails im Mail-Client, um gegebenenfalls eine Doppelarchivierung zu vermeiden.
Bei der Wiederherstellung archivierter E-Mails im Mail-System gibt es ebenfalls große Unterschiede: Bei manchen Lösungen ist eine Wiederherstellung ausgeschlossen, andere unterstützen nur einen erneuten Versand der Mail in das Eingangspostfach des ursprünglichen Empfängers oder Absenders ungeachtet des Ordners, aus dem die Mail ursprünglich archiviert wurde. Wieder andere stellen die E-Mail wieder am ursprünglichen Speicherort im Mail-System zur Verfügung.
Aus Anwendersicht wichtiger als das Speicherformat ist die Möglichkeit, dass bei der Ablage von Mails der logische Zusammenhang zwischen Mail-Body und Anhängen gewahrt bleiben kann (Beispiel: Rechnung und Aufwandübersicht als getrennte Anhänge in einer Mail). Nicht alle Mail-Archiv-Lösungen beherrschen „von Geburt an“ eine solche Funktionalität.
Neben der Speicherung der nativen Mail- oder Dokument-Formate ist manchmal auch die Option einer Konvertierung (Drucken) in TIFF oder PDF(/A) als Langzeitformat oder als parallele Formatversion wichtig. Dies kann bei einem fehlenden Multiformat-Viewer eine schnelle Anzeige von Mails beim Blättern in einer elektronischen Akte oder für bestimmte Anwendergruppen ohne Zugriffsberechtigung auf das Original unterstützen.
Regeln zum Umgang mit E-Mails
E-Mail-Kommunikation ist potenziell schnell und einfach zu handhaben, birgt aber gerade deswegen auch Gefahren von Manipulation und Sicherheitsrisiken. Sensible Unternehmensdaten können - absichtlich oder versehentlich - verschickt werden, geschäftskritische Mails können – absichtlich oder versehentlich – gelöscht oder nicht wieder auffindbar abgelegt werden. Die Dokumente liegen ja nur einen Klick weit weg.
Eine wesentliche Ursache dafür ist, dass bei vielen Firmen der Umgang und die Nutzung von E-Mails nicht oder nur unzureichend geregelt ist. Solange keine klaren schriftlichen Vereinbarungen darüber existieren, was in der E-Mail-Kommunikation erwünscht, erlaubt und verboten ist, wird jeder Anwender subjektive Auslegungen und Vermutungen dazu anstellen.
Mitarbeitern sollte auch die Wichtigkeit der Archivierung von E-Mails als Dokumente in einer strukturierten Ablage deutlich gemacht werden. Vor dem Hintergrund, dass Kommunikation mehr und mehr per E-Mail geführt wird, kann dies beispielsweise zur einzigen Dokumentation für Vertragsabschlüsse oder anderer Absprachen wie im Projektgeschäft werden. Für das Löschen von Mails muss es genauso Vorschriften geben wie für die Speicherung.
Fordert das Unternehmen eine solche Sorgfalt von den Mitarbeitern ein, muss es im Gegenzug auch die entsprechende technische Infrastruktur zum Beispiel in Form eines DMS bereitstellen, das neben E-Mails auch andere Dokumente wie Briefe, Faxe, Memos, etc. verwalten kann.
Es empfiehlt sich, in einer E-Mail-Policy den gesamten Kommunikationsprozess zu definieren und den Angestellten klar zu machen, dass ein Verstoß gegen die Regeln geahndet wird.
Nachfolgend sind einige typischen Themenbereiche einer Mail-Policy dargestellt:
|
Kapitel |
Inhalte |
|
Zweckbestimmung |
|
|
Grundsätze der Nutzung |
|
|
Leistungs- und Verhaltenskontrolle |
|
|
Protokollierung von Daten |
|
|
Einsatz Sicherheitssoftware |
|
|
Zugriffsberechtigungen |
|
|
Qualifizierung von Mitarbeitern |
|
|
Rechte Betriebsrat |
|
|
Sanktionen/Verstöße |
|
Fazit
Eine reine Mail-Archivierung löst nicht die Compliance-Probleme oder Anforderungen zu Strukturierung elektronischer Dokumente eines Unternehmens. Die am Markt zahlreich angebotenen E-Mail-Archivierungslösungen weisen gravierende Unterschiede bezüglich Funktionalität, Architektur, Zukunftsfähigkeit und Integrationsfähigkeit in führende Anwendungssysteme auf. Dies gilt insbesondere für die Anwender-getriebenen Funktionen und Komfort für die Benutzer.
Bei der Auswahl des geeigneten Produktes sollten zunächst alle Anforderungen des Unternehmens aus unterschiedlichen Bereichen bzgl. Ablage und Verwaltung von E-Mails analysiert und berücksichtigt werden. Der System-getriebene Ansatz verlangt immer nach einer klaren Regelung über den Umgang mit privaten E-Mails. (mje)