Kein Dienst des Internet erfreut sich so großer Beliebtheit wie die E-Mail, auch das World Wide Web nicht. Waren es im Jahr 1999 noch lediglich 2,2 Milliarden Nachrichten pro Tag weltweit, wurden 2006 täglich bereits über 22 Milliarden geschäftliche E-Mails verschickt. Bis 2011 erwartet die International Data Corporation (IDC) einen Anstieg auf täglich 27 Milliarden Nachrichten.
Der durchschnittliche Benutzer, glaubt man einer Erhebung der Radicati Group, empfängt und sendet pro Tag mittlerweile rund 130 geschäftliche E-Mails. Und der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien (Bitkom) hat herausgefunden, dass allein in Deutschland zwischen einem Drittel und drei Viertel aller geschäftskritischen Informationen per E-Mail versandt werden.
Dies bestätigt auch eine aktuelle Umfrage der Management- und Technologieberatung Bearingpoint unter 200 deutschen Firmenvertretern. Rund 87 Prozent der Befragten erhalten heute Kundenanfragen und 82 Prozent geschäftliche Angebote per E-Mail. Auch Bestellungen (60 Prozent), Rechnungen (43 Prozent) und Verträge (43 Prozent) nehmen zum größten oder wenigstens nennenswerten Teil den Weg über das Internet.
Längst haben sich E-Mails also im Geschäftsverkehr einen festen Platz erobert. So fest, dass es längst gesetzliche Rahmenbedingungen gibt, die den Umgang mit E-Mails, ihre Rechtsverbindlichkeit für geschäftliche Vorgänge sowie ihre Aufbewahrungspflichten regeln. Weltweit, so der E-Mail und Websicherheitsspezialist Barracuda Networks, existieren mehr als 10.000 verschiedene Vorschriften für die Art der Speicherung und den Aufbewahrungszeitraum für geschäftliche E-Mails.
In Deutschland kommen Geschäftsleute glücklicherweise mit weniger aus: Sie müssen sich an die Grundsätze zum Datenzugriff und zur Pru¨fbarkeit digitaler Unterlagen (GDPdU), sowie an die Abgabenordnung (AO) und das Handelsgesetzbuch (HGB)halten. International und zum Teil damit auch für Deutschland gültig sind der US-amerikanische Sarbanes-Oxley Act (SOX), die Basel-II-Richtlinien und der Gramm-Leach-Bliley Act (GLBA).
E-Mail-Archivierung ist gesetzlich geregelt
Die wesentlichen gesetzlichen Bestimmungen dienen der Aufbewahrung aller geschäftlichen Dokumente unabhängig von ihrer Darreichungsform, also auch für E-Mails. So regelt das Handelsgesetzbuch, welche Art von Dokumenten aufbewahrt werden müssen. Dazu zählen neben Buchführungsunterlagen, Jahresabschlüssen und Buchungsbelegen auch so genannte Handelsbriefe, zu denen unter anderem die E-Mails zählen.
Den gesetzlichen Vorschriften für diese Handelsbriefe entsprechend, müssen Firmen ihre steuerlich und buchhalterisch relevanten E-Mails zehn Jahre lang aufbewahren. Mails mit anderen geschäftlich bedeutsamen Inhalten müssen sechs Jahre "geordnet und revisionssicher" lagern, bevor sie gelöscht werden dürfen. Was Revisionssicherheit konkret bedeutet, hat der Verband Organisations- und Informationssysteme in seinen Grundsätzen zur revisionssicheren elektronischen Archivierung zusammengefasst.
Die GDPdU-Bestimmungen greifen vor allem bei Steuerfragen, besonders dann, wenn das Finanzamt bei Betriebsprüfungen auf die IT-Systeme des Unternehmens zugreifen wollen. Die GDPdU schreiben unter anderem vor, dass steuerlich relevante Daten in einem "maschinell auswertbaren Format" bereitgestellt werden müssen und durch gängige Prüfsoftware der Behörden lesbar sein sollen.
Die bloße Aufbewahrung genügt den gesetzlichen Vorschriften aber noch nicht. Vielmehr gilt es, eine Reihe von Maßgaben dafür zu berücksichtigen, die sich in deutschen und internationalen Bestimmungen durchgesetzt haben.
-
Geschäftliche E-Mails und Anhänge sind in ihrer ursprünglichen Form aufzubewahren und dürfen weder verändert noch vorzeitig gelöscht werden.
-
Absender und Empfänger müssen klar erkennbar und nachverfolgbar sein. Der archivierte E-Mail-Verkehr muss sowohl vor unbefugtem Zugriff als auch vor Schäden (etwa Löschung oder Umformatierung der Daten) geschützt abgelegt werden.
-
Archivierte E-Mails müssen den Behörden möglichst umgehend und in lesbarem Format zugänglich gemacht werden können.
Vorschriften über die Art der Datenspeicherung machen die Behörden nicht. Wichtig ist lediglich die unveränderte, den gesetzlichen Aufbewahrungsfristen entsprechende Speicherung der Daten in digitaler Form. Ein Ausdruck der Daten reicht dabei nicht. Vielmehr, verlangen Handelsgesetzbuch und Abgabenordnung, müssen die Daten in digital lesbarer Form zehn Jahre erhalten bleiben.
Nur wenige Firmen nutzen die Vorteile von E-Mail-Archivierung
Die aktuelle Lage in den Unternehmen trägt den gesetzlichen Vorschriften kaum Rechnung, wie aus einem Whitepaper von Barracuda Networks hervorgeht. Das Papier zitiert eine Untersuchung des Eduard-Pestel-Instituts für Systemforschung, nach der in einem Viertel von Betrieben mit weniger als 50 Mitarbeitern überhaupt keine Archivierung stattfindet. Nur wenig besser ist die Lage bei Betrieben mit 500 bis 1000 Angestellten. Hier beträgt die Quote der Verweigerer immer noch 18 Prozent. Bei versendeten Mails, heißt es hier, ist die Anteilnahme noch schlechter: Lediglich sechs Prozent der Betriebe mit weniger als 500 Mitarbeitern erfüllen die gesetzlichen Bestimmungen, heißt es in der Untersuchung.
Überhaupt beschäftigen sich nur wenige Firmen systematisch mit dem Thema E-Mail-Archivierung. Nur etwa 35 Prozent der Unternehmen arbeiten einer Umfrage von Pentadoc und Barc zufolge überhaupt mit einer E-Mail-Management-Lösung, beschränken die Arbeit aber vor allem auf die bloße Ablage des elektronischen Geschäftsverkehrs. Unternehmen, die immerhin die Einführung eines E-Mail-Managements planen, wollen in erster Linie ihre Mails wiederfinden (45 Prozent) oder - immerhin - gesetzliche Anforderungen erfüllen (37 Prozent). Nur eine Minderheit erwägt laut der Umfrage unter mehr als 300 Unternehmen aus Deutschland, Österreich und der Schweiz die Einführung, um Kosten zu sparen und Prozesse zu verbessern.
Dabei ist genau das aber - über die gesetzlichen Vorschriften hinaus - der eigentliche Vorteil einer systematischen Archivierung der elektronischen Korrespondenz: In ein- und ausgehenden E-Mails steckt ein großer Teil des Firmenwissens, das für die tägliche Arbeit der Fachabteilungen und für die Planung des strategischen Geschäfts oft unverzichtbar ist. Die Einbeziehung solcher prinzipiell unstrukturierter Daten wird künftig in BI-Systemen ("Business Intelligence") eine zunehmend wichtige Rolle spielen. Daher sollte die E-Mail-Archivierung mehr sein, als die bloße Ablage in revisionssicherer Umgebung.
Besser ist es, die Informationen entweder schon auf dem E-Mail-Server mit Hilfe vordefinierter Regeln zu archivieren, oder die Ablage relevanter Informationen durch den Versender/Empfänger eine Mail vornehmen zu lassen. Die meisten auf dem Markt befindlichen E-Mail-Archivierungssysteme erlauben die kontext-bezogene Ablage.
Fazit: E-Mail-Archivierung ist für jedes Unternehmen eine Pflichtaufgabe, weil die gesetzlichen Vorschriften eine revisionssichere Ablage auf einen Zeitraum von bis zu zehn Jahren verlangen. Allerdings, so Jobst Eckardt, Senior Berater bei Zöller & Partner in der Computerwoche, solle sich durch die vermeintlichen Rechtsanforderungen niemand verunsichern lassen: "Die Compliance-Hinweise der Anbieter entspringen oft dem wirtschaftlichen Eigeninteresse", so Eckardt. Er empfiehlt: Anwender sollten zunächst ihre individuelle Rechtslage und Verpflichtungen klären, bevor sie unnötig in Compliance-Lösungen investieren. Eine systematische Ablage der elektronischen Geschäftskorrespondenz ist aber auch aus strategischer Sicht sinnvoll, weil sie zur Prozessverbesserung und zur besseren Geschäftsplanung beitragen kann.