Wem das ganze Thema E-Mail-Archivierung über den Kopf wächst, der ruft nach Hilfe - oft in Form externer Berater. Das Linux-Magazin fragt IT-Strategen nach ihren Tipps, einer empfiehlt gar Subversives.

© bilderbox, Fotolia.com

Mailadmins haben selten Langeweile. Die Flut an E-Mails steigt, Anwender beklagen sich über Spam und Viren, eine Diskussion mit Arbeitnehmervertretern, Datenschutzbeauftragten und Geschäftsleitung schwelt seit Jahren und die lieben Justiziare haben auch meist noch eine eigene Interpretation, wie zu verfahren ist. Da kommt das Thema E-Mail-Archivierung gerade recht.

Seit Anfang 2006 hat der Gesetzgeber eine Reihe von Rechtsnormen für Unternehmen um Regelungen zum elektronischen Datenaustausch ergänzt, da er festgestellt hat, dass E-Mail neben dem klassischen Papier eine immer wichtigere Rolle in der Unternehmenkommunikation spielt. So verplichtet Paragraf 257 des Handelsgesetzbuches (HGB) jeden Kaufmann, wichtige Unterlagen geordnet aufzubewahren [1]. Er muss so genannte Handelsbriefe sechs, Jahresabschlüsse und Buchungsbelege gar zehn Jahre archivieren. Wie das zu geschehen hat, regelt die Abgabenordnung (AO) im Paragraf 146 der Ordnungsvorschrift für Buchführung und Aufzeichnungen [2]. Je nach Unternehmensform erläutern weitere Vorschriften wie die GoB, GoBS und GDPdU diese Regelungen (siehe Artikel "Verworrene Rechtspraxis ums gesetzeskonforme Archivieren: Allein im Dschungel" in diesem Heft). Allen Regelungen ist gemein, dass sie zwar eine revisionssichere Archivierung der Unterlagen fordern und dabei auch explizit eine Ablage auf elektronischen Datenträgern erwähnen. Wie das jedoch technisch zu erfolgen hat, darüber schweigen sich die offiziellen Vorgaben durchgängig aus.

Ratlose Admins

Aus diesem Grund sind IT-Verantwortliche oft ratlos, ob und inwiefern sie von den Regelungen betroffen sind, mit welchen Mitteln der Gesetzgeber sie umzusetzen fordert und welche Sanktionen drohen, wenn das nicht oder nur unzureichend geschieht. Was passiert Unternehmen, die noch abwarten? Das Linux-Magazin fragte daher Experten von Beratungshäusern und Lösungsanbietern nach ihren Empfehlungen für die Praxis.

In der Pflicht

Der IT-Kaufmann Walter Steigauf aus München (siehe Abbildung 1), Geschäftsführer der Unitek GmbH arbeitet schon mehr als ein Dutzend Jahre als Lösungsanbieter für digitales Informations- und Dokumenten Management. Er erfreut sich guter Kontakte zum Bayrischen Landesamt für Steuern und weiß, dass die Pflicht zur Archivierung von Geschäftsvorfällen schon immer besteht und jedes Unternehmen gleich welcher Größe betrifft. "Mehr als 80 Prozent kommen ihr jedoch noch in traditioneller Weise nach: Sie legen Papier in Ordnern ab", berichtet er. Gerade Anbieter von Softwarelösungen erwecken hingegen gerne den Anschein, dass mehr oder minder aufwändige IT-Systeme notwendig sind, um die von Juristen formulierten Anforderungen zu erfüllen.

Abbildung 1: Walter Steigauf ist Geschäftsführer der Unitek GmbH und kennt die wirklichen Probleme:. „Revisionssichere Archivierung bedeutet vor allem die Prüfer davon zu überzeugen, dass niemand etwas verändert hat.“

So schreiben die Ordnungsvorschriften von Paragraf 146, Absatz 4 der AO vor, dass eine "Aufzeichnung nicht in einer Weise verändert werden darf, sodass der ursprüngliche Inhalt nicht mehr feststellbar ist. Auch solche Veränderungen dürfen nicht vorgenommen werden, deren Beschaffenheit es ungewiss sein lässt, ob sie ursprünglich oder erst später gemacht worden sind."

Was das für eine E-Mail-Archivierung konkret bedeutet, darüber scheiden sich die Geister. Einige Software- und Lösungsanbieter sind der Auffassung, dass die Vorschrift bedeutet, jede einzelne E-Mail von einem externen und unabhängigen Notariatsdienst beglaubigen und zusammen mit einem Zeitstempel signieren zu lassen. Die Appliance von Heinlein Support (siehe Abbildung 4) ist ein Spross dieser speziellen Klasse [3].

Das ganze entwickelt sich zu einem prima Betätigungsfeld für Softwareentwickler, Fans von digitalen Signaturen und Kryptografie. Denn es wirft eine Fülle von Folgefragen auf: Welche Kryptoverfahren sollten Anwender auswählen, welche Zeitstempeldienste sind vertrauenswürdig und was passiert, wenn sich binnen der Aufbewahrungsfrist die Computerleistung so steigert, dass neue Signaturverfahren notwendig werden?

Wem das ganze Thema E-Mail-Archivierung über den Kopf wächst, der ruft nach Hilfe - oft in Form externer Berater. Das Linux-Magazin fragt IT-Strategen nach ihren Tipps, einer empfiehlt gar Subversives.