Sie sind hier: Home » Markt » Hinweise & Tipps

Speicherung geschäftsrelevanter E-Mails


Fünf Best Practices für eine revisionssichere Ablage von E-Mails
Die gesamte Kommunikation mit Lieferanten, Kunden, Bank- und Personalunterlagen, medizinische Dokumente, die Korrespondenz mit Behörden oder Gerichtsakten unterliegen der Archivierungspflicht

(31.07.15) - Der deutsche Gesetzgeber verlangt, dass Unternehmen geschäftsrelevante elektronische Dokumente und E-Mails revisionssicher speichern. In fünf Best Practices erklärt QSC, worauf dabei im Einzelnen zu achten ist. An der Archivierung geschäftsrelevanter E-Mails führt heute kein Weg mehr vorbei. Sie bietet nicht nur technische und organisatorische Vorteile, da Dokumente schnell und einfach aufzufinden sind, sie ist auch aus rechtlicher Sicht notwendig. Wer hier nachlässig handelt, riskiert bei der nächsten Betriebsprüfung beträchtlichen Ärger. Hier die wichtigsten Aspekte bei der Planung und Einführung einer Lösung zur revisionssicheren Ablage von E-Mails in fünf Best Practices:

1. Als elektronische Handelsbriefe müssen E-Mails archiviert werden.
Ein Handelsbrief ist ein Dokument, das ein Geschäft vorbereitet, durchführt, abschließt oder rückgängig macht; das trifft zu auf ein Angebot, einen Lieferschein, eine Rechnung, einen Zahlungsbeleg oder ein Reklamationsschreiben. In der Abgabenordnung ist festgelegt, dass alle per E-Mail ein- und ausgehenden Handels- und Geschäftsbriefe dauerhaft zu speichern sind. Davon ausgenommen sind Werbesendungen oder Angebote, bei denen kein Geschäftsabschluss zustande kam.

2. Die Anwendungsgebiete und aufzubewahrenden Dokumente ermitteln.
Nahezu der gesamte klassische Postversand in den Unternehmen ist heute durch den E-Mail-Versand ersetzt. Das bedeutet aber auch: Die gesamte Kommunikation mit Lieferanten, Kunden, Bank- und Personalunterlagen, medizinische Dokumente, die Korrespondenz mit Behörden oder Gerichtsakten unterliegen der Archivierungspflicht. Näheres dazu ist außer in der Abgabenordnung auch im Handelsgesetzbuch, im Telekommunikationsgesetz sowie im Bundesdatenschutzgesetz geregelt. International tätige Unternehmen müssen beispielsweise auch den Sarbanes-Oxley Act (SOX) berücksichtigen.

3. Die unterschiedlichen Aufbewahrungsfristen der Dokumente feststellen.
In der Abgabenordnung und im Handelsgesetzbuch sind die Anforderungen bezüglich der Aufbewahrungspflichten und -zeiten genau beschrieben. Die geschäftsrelevante Kommunikation mit Kunden und Lieferanten verlangt eine sechsjährige Archivierung. Für Unterlagen der Buchhaltung, Personalakten oder Daten mit Grundbuch- und Kontenfunktion gilt eine Frist von zehn Jahren. Um sich den Aufwand einer Differenzierung bei den E-Mails zu ersparen, sind einige Unternehmen dazu übergegangen, alle diese Dokumente zehn Jahre aufzubewahren.

4. Eine fälschungssichere Speicherung sicherstellen.
Es gibt keine gesetzliche Regelung dazu, wie die Speicherung geschäftsrelevanter E-Mails zu erfolgen hat. Unternehmen müssen jedoch sicherstellen, dass diese revisionssicher aufbewahrt werden. Das bedeutet, dass sie innerhalb der Aufbewahrungsfrist auffindbar, nachvollziehbar und vor allem unveränderbar und fälschungssicher archiviert sind. Auch wenn der Gesetzgeber keine Verschlüsselung vorschreibt, sollten Unternehmen die Daten verschlüsselt speichern, damit sie revisionssicher verwahrt sind.

5. Rechtliche Konflikte mit der privaten E-Mail-Nutzung vermeiden.
Unternehmen oder andere Organisationen, die die gesetzlichen Vorgaben zur E-Mail-Archivierung umsetzen, kommen hin und wieder in Konflikt mit anderen Richtlinien und Vorgaben. So ist zum Beispiel zu hören, dass es keine Probleme mit der E-Mail-Archivierung gibt, wenn Mitarbeiter ihr E-Mail-Konto für private Zwecke nutzen und der Ablage im Rahmen einer Betriebsvereinbarung zugestimmt haben. Auch wenn sie damit auf ihre eigenen Rechte verzichten, gilt das nicht für die Rechte ihrer Kommunikationspartner. Um Konflikten aus dem Wege zu gehen, empfiehlt es sich, die private Nutzung des E-Mail-Kontos zu untersagen.

"Die revisionssichere Archivierung geschäftsrelevanter Dokumente und E-Mails ist von erheblicher Bedeutung für die IT-Compliance in Unternehmen. Die Einführung einer IT-Compliance wiederum ist Chefsache", sagt Olaf Etzrodt, Leiter Produktentwicklung QSC-tengo, bei QSC. "Entscheiden sich Unternehmen dafür, die Archivierungslösung nicht im eigenen Rechenzentrum zu betreiben, sondern dazu, einen Cloud-Service zu nutzen, müssen sie darauf achten, dass der Anbieter eine transparente und überprüfbare Compliance-Politik betreibt. Dazu gehört beispielsweise auch der Nachweis einer Prüfung durch externe Auditoren, dass die Cloud-Lösung alle Anforderungen des Handels- und Steuerrechts erfüllt." (QSC: ra)

QSC: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Markt / Hinweise & Tipps

  • Compliance, die gelebt wird

    Trotz strikterer Cybersecurity- und Compliance-Vorgaben behandeln viele KMU die Dokumentation ihrer IT-Infrastruktur noch stiefmütterlich. Dabei birgt fehlende oder unvollständige Dokumentation das Risiko von ineffizientem Troubleshooting und teuren Fehlentscheidungen. Ohne verlässliche Informationen zu Netzstrukturen, Systemabhängigkeiten oder Rechten wird jeder Incident zur Blackbox.

  • Echtzeitüberweisungen gemäß IPR

    Zahlungsdienstleister stehen unter Druck: Bis Oktober dieses Jahres müssen sie die Verification of Payee (VOP) umgesetzt haben und die Versendung von Echtzeitüberweisungen (Instant Payments) möglich machen. NTT Data erklärt die größten Hürden - und wie sie bis zur Deadline überwunden werden können.

  • PCI-DSS und Sichtbarkeit

    Als anerkanntes Security Framework ist der Payment-Card-Industry-Data-Security-Standard (kurz: PCI-DSS) für Anbieter von Kreditkartentransaktionen ein absolutes Compliance-Muss. Tiho Saric, Senior Sales Director bei Gigamon, verrät, wie die Einhaltung des Sicherheitsstandards dank Netzwerksichtbarkeit zum Kinderspiel wird.

  • Resilienz kritischer Infrastrukturen stärken

    Mit dem neuen KRITIS-Dachgesetz steht die deutsche Wirtschaft vor einer sicherheitspolitischen Zäsur. Ziel des juristischen Rahmenwerks ist es, die Resilienz kritischer Infrastrukturen zu stärken - und das über alle Sektoren hinweg: von Energie, Wasser und Telekommunikation über Gesundheit und Ernährung bis hin zum Transportwesen. Neben Konzernen geraten nun zunehmend auch mittelständische Betreiber in den Fokus.

  • E-Mails mit geschäftskritischen Inhalten

    Unternehmen, die ein falsches Bild von der grundsätzlichen Aufbewahrung von E-Mails mit geschäftskritischen Inhalten haben, laufen Gefahr, gesetzliche Vorgaben der GoBD oder DSGVO zu missachten. Folglich müssen sie dann mit juristischen und finanziellen Konsequenzen rechnen. Umso erstaunlicher ist es, dass zahlreiche Unternehmen ihrem Schutz noch immer nur wenig Bedeutung beimessen.

Scoring-Daten häufig falsch und unvollständig Zoll stellt IT-Systeme um

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen