- Anzeigen -
Besuchen Sie auch unser Zeitschriftenportfolio im Bereich Governance, Risk, Compliance & Interne Revision

Sie sind hier: Home » Markt » Hinweise & Tipps

Compliance bei der E-Mail-Archivierung


Welche E-Mails muss man archivieren und welche nicht?
Fehleinschätzungen bestimmen das Bild der rechtskonformen E-Mail-Archivierung


(15.02.11) - "Die meisten deutschen Unternehmen sind bei der E-Mail-Archivierung noch weit von einer rechtskonformen Lösung entfernt", stellt Alexander Bayer, Datenschutzexperte und Rechtsanwalt bei der Kanzlei Wragge & Co in München, fest. Unternehmen leiden unter der Intransparenz der Regeln: "Es gibt eine Vielzahl von Vorschriften, die auf E-Mail-Archivierung Anwendung finden, aber kein eigenes Gesetz."

Gemeinsam mit Wieland Alge, EMEA-Chef des Storage-, Security- und Networking-Anbieters Barracuda Networks, räumt er mit den sieben gängigsten Fehleinschätzungen zum Thema E-Mail-Archivierung auf.

1. Jede Mail muss archiviert werden.
Rechtsanwalt Alexander Bayer:
"Alle Unternehmen - außer Kleingewerbetreibende - sind dazu verpflichtet, ihre Geschäftskorrespondenz aufzubewahren. E-Mail macht hierbei längst den Löwenanteil aus. Nicht als Geschäftsbriefe gelten zum Beispiel empfangene Werbeschreiben, Spam oder Newsletter. Die Aufbewahrungsfristen variieren zwischen sechs und zehn Jahren ab Ende des Kalenderjahres. Um die Archivierung möglichst einfach zu halten, sollten Unternehmen jegliche Geschäftskorrespondenz per Mail zehn Jahre zuverlässig aufbewahren und anschließend genauso zuverlässig löschen."

2. Jede Mail darf archiviert werden
Bayer:
"Das ist der wunde Punkt. Zunächst: Manche Mails müssen gespeichert werden, einige dürfen gespeichert werden. Das Hauptproblem aber: Bestimmte Mails dürfen nicht gespeichert werden, nämlich private E-Mails von Mitarbeitern. Nach Gesetzeslage verwandeln sich Unternehmen, in denen die private E-Mail-Nutzung der Mitarbeiter auch nur geduldet ist, quasi in einen Anbieter von Telekommunikationsdiensten. Als solcher ist die Überwachung und Speicherung der E-Mail-Kommunikation grundsätzlich unzulässig, soweit hierzu keine explizite Einwilligung der Mitarbeiter vorliegt."

3. Das Verbot privater Mails in Unternehmen ist juristisch ohne Alternativen
Wieland Alge, Barracuda Networks:
"Es wird immer schwieriger, private und geschäftliche Nutzung von IT-Ressourcen zu trennen. Bei Social Media ignorieren viele Angestellte diese Grenze völlig. Auch private oder halbprivate E-Mail-Korrespondenz während der Arbeitszeit zu führen sind in Positionen, die eines starken persönlichen Netzwerks bedürfen, gängig. Ein Verbot erscheint juristisch bequem. Aber es ist nur dann die beste Lösung, wenn man bereit ist, auch seine besten Mitarbeiter für einen Verstoß abzumahnen. Stattdessen geht es darum sicherzustellen, dass private E-Mails nicht Teil der Archivierungsroutine werden. Es gibt viele Möglichkeiten: Einige Unternehmen verlangen einen Vermerk im Betreff, andere richten jedem Mitarbeiter eine zweite E-Mail-Adresse ein. Am Häufigsten anzutreffen ist die Regelung, den Gebrauch von sogenannten Freemail-Accounts zu erlauben, vielleicht je nach Rolle nur zu bestimmten Uhrzeiten. Eingehende private E-Mails müssen Mitarbeiter in einen Ordner verschieben, der dafür sorgt, dass die Mail dauerhaft gelöscht beziehungsweise nicht von der Sicherungs- oder Archivierungsroutine erfasst wird."

4. Das E-Mail-Archiv muss verschlüsselt sein
Bayer:
"Erstaunlicherweise verlangt der Gesetzgeber keine Verschlüsselung. Er legt offensichtlich weit mehr Wert darauf, dass er im Fall des Falles selbst alle Daten im Originalzustand durchsuchbar und unverschlüsselt erhält. Die vielen Fälle von unbeabsichtigten Datenverlusten zeigen aber eindrucksvoll, dass es im Eigeninteresse der Unternehmen ist, ihre Daten zumindest verschlüsselt zu übertragen - auch um bei etwaigen Verlusten Entschädigungsklagen Dritter abzuwenden. Eine rechtskonforme technische Lösung sollte ermöglichen, die Daten in ihrer Gesamtheit sicher zu verwahren und im Bedarfsfall an den Berechtigten entschlüsselt zu übergeben."

5. Bordmittel des E-Mail-Servers bieten alle nötigen Optionen
Alge:
"Administratoren behelfen sich derzeit meist mit proprietären Archivdateien, beispielsweise PST-Dateien in Exchange-Umgebungen. Sie enthalten E-Mails, Kalendereinträge, Kontakte und Aufgaben. Unternehmen speichern sie häufig auf dem Endgerät des Anwenders, um die Datenmenge auf dem Mail-Server zu reduzieren. Compliance bieten sie nicht: Diese Dateien können in falsche Hände geraten und sind obendrein leicht zu manipulieren. Für den Administrator sind sie schwer zu verwalten, für den durchschnittlichen Anwender bieten sie keinen bequemen Zugang zu seinen älteren Nachrichten. Um geschäftliche E-Mails inklusive Anhänge - wie gesetzlich gefordert - fälschungssicher und untersuchbar zu speichern, ist nur eine serverseitige Lösung denkbar. Die eingehende Mail muss abgespeichert sein, bevor sie den Nutzer erreicht. Wenn man dazu jedoch den E-Mail-Server selbst nutzt, verliert er Leistung und geht irgendwann in die Knie. Ein dedizierter Server, eine Appliance oder ein Cloud Service verhindert dies."

6. Die Nutzung eines E-Mail-Archivsystems garantiert Rechtskonformität
Bayer:
"Neue, automatisierte Appliances oder Cloud-Lösungen mit hohem Zusatznutzen steigern die Motivation in Unternehmen, ihre E-Mail-Archivierung rechtskonform aufzusetzen. Doch ein Message Archiver automatisiert nur den Archivierungsvorgang. Unternehmen müssen einige Weichenstellungen treffen, damit sie einerseits alle aufbewahrungspflichtigen Nachrichten sicher archivieren und vor Zugriffen durch Unberechtigte schützen und andererseits andere Nachrichten gemäß des strengen deutschen Datenschutzes genauso sicher löschen."

7. E-Mail-Archivierung geschieht nur aus juristischen Gründen
Alge:
"Selbst wenn die Pflicht zur Archivierung morgen aufgehoben würde, spräche alles für eine Sicherung der E-Mails nach heutigen Standards: Die Produkte bieten eine umgehende Wiederherstellung verloren gegangener E-Mail-Infrastrukturen - entweder von einer lokalen Appliance oder von einem externen Rechenzentrum, wo die Daten gespiegelt sind. Die Lösungen geben Mitarbeitern den gewünscht schnellen Zugriff und hervorragende Suchmöglichkeiten für die in ihrem Account gespeicherten Mails, Anhänge, Kalendereinträgen, Kontakte und Aufgaben.

Im Gegensatz zu einer Archivierung auf dem E-Mail-Server selbst oder einer Übertragung der Daten auf einem anderen Server komprimieren und deduplizieren Message Archiver die Daten und benötigen so weit weniger Speicherplatz. Durch sogenanntes 'Stubbing' können von vornherein alle Anhänge auf dem Archivsystem gelagert werden, ohne dass der Anwender davon etwas merkt. Anhänge machen weit mehr als die Hälfte der E-Mail-Datenlast aus. Kurz: Administratoren entlasten so ihren Mailserver erheblich." (Barracuda Networks:ra)

Barracuda Networks: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hinweise & Tipps

  • Datenschutz-Zertifizierung nach ISO/IEC 27552

    Die DSGVO sieht vor, dass geeignete Zertifizierungen herangezogen werden können mit denen Auftragsverarbeiter die Sicherheit der Verarbeitung nachweisen können. Eine Zertifizierung macht es einem Auftraggeber damit einfacher den Auftrag zu erteilen. Auch hat ggf. eine Zertifizierung nach Art. 83 DSGVO Einfluss auf die Höhe eines möglichen Bußgeldes nach Zwischenfällen. Leider gibt bis heute aber noch keine Zertifizierung, die den Vorgaben des Gesetzes entspricht. Die ISO/IEC 27552 ist dafür aber ein aussichtsreicher Kandidat.

  • Datenschutz mit Zertifikat

    Zertifizierungen erleichtern das Geschäftsleben. Man weist gegenüber Geschäftspartnern nach, dass man einen hohen Standard einhält. Sollte trotzdem mal etwas schief gehen kann der Geschäftsführer belegen, dass er alles Erforderliche getan hat. Die EU-Datenschutzgrundverordnung sieht die Möglichkeit einer Zertifizierung ausdrücklich vor, aber wie und wo kann man ein solches Zertifikat erhalten?

  • "Stand der Technik": Nicht definiert im Gesetz

    Was ist das eigentlich: der "Stand der Technik"? Wer in Deutschland so genannte "Kritische Infrastrukturen" betreibt, ist nach dem IT-Sicherheitsgesetz und dem BSI-Gesetz dazu verpflichtet, IT-Systeme, -Prozesse und -Komponenten angemessen zu schützen. [1] Unter "Kritischen Infrastrukturen" versteht man Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, deren Ausfall dramatische Folgen hätte. Wer als KRITIS-Betreiber gilt, ist wiederum in der KRITIS-Verordnung geregelt. [2] Betroffene Unternehmen müssen sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren und erhalten dafür alle sie betreffenden Informationen zu Gefahren in der IT-Sicherheit, um entsprechende "technische und organisatorische Maßnahmen" treffen zu können (BSI-Gesetz §8 a). Hierbei soll, so fordert es der Gesetzgeber, "der Stand der Technik" eingehalten werden. [3]

  • Beschwerden wegen unerlaubter Telefonwerbung

    Zu einem möglichen Gesetzgebungsvorschlag gegen Telefonwerbung und rein telefonischen Vertragsabschluss von Bundesjustizministerin Katarina Barley äußert sich Matthias Stauch, Vorstand der Intervista AG und Experte für digitalen Vertrieb: "Verbraucherinnen und Verbraucher sollen durch eine Bestätigungslösung im Zusammenhang mit telefonischen Angeboten und Verträgen besser abgesichert werden - in erster Linie geht es dabei um den rein telefonischen Abschluss. So müssen die Unternehmen vom Kunden für die Wirksamkeit zusätzlich eine schriftliche Bestätigung, zum Beispiel per E-Mail, einholen. Insbesondere der Energiemarkt gilt als große Baustelle: Hier gab es 2018 bis zum November knapp 20.000 bei der Bundesnetzagentur eingereichte Beschwerden wegen unerlaubter Telefonwerbung.

  • DSGVO/GDPR: Gold-Standard für Compliance?

    Wir schreiben das Jahr 2019. Daten sind omnipräsent und allein mit unseren Fingerspitzen agieren wir hochgradig transformativ. Das ändert, wie wir unsere Geschäftstätigkeit betrachten, macht uns produktiver und vereinfacht an vielen Stellen unser Leben. Sei es, dass wir sicher nach Hause finden, Lebensmittel online bestellen können oder entscheiden, was wir wann auf welchem Gerät ansehen. Die Möglichkeiten sind schier unendlich sowohl für den privaten als auch für den geschäftlichen Bereich. Und jede Minute kommen neue Optionen dazu. Unglücklicherweise hat jede neue Möglichkeit auch neue Sicherheitsrisiken im Gepäck. Risiken, denen sich Sicherheitsverantwortliche wie CISOs nur allzu bewusst sind. Welche Verhaltensweisen, Methoden und Haltungen sind also besser als andere geeignet das bestmögliche aus unseren Daten herauszuholen und gleichzeitig deren Sicherheit zu gewährleisten?