Den Datenschutz nicht außer Acht lassen

Backup allein reicht nicht aus

Die E-Mail gilt als Business-Kommunikationsmittel erster Wahl. Für alle über sie ­versendeten geschäftsrelevanten Daten verlangen nationale Gesetze eine ­rechts­sichere Archivierung, die IT-Sicherheitsstrategie ein Backup des E-Mail-Servers. Dabei darf der Datenschutz von IT-Entscheidern nicht außer Acht gelassen werden.

E-Mail am Laptop

Weder ersetzt ein Backup eine Archivierung noch ist eine E-Mail-Archivierung im Stande, klassische Backup-Aufgaben zu erfüllen.

Trotz des steigenden Einsatzes von Instant Messaging oder Social-Collaboration-Tools in Unternehmen bleibt die E-Mail das wichtigste Kommunikationsmittel in Organisationen. Im Jahr 2016 sollen täglich allein 116,4 Milliarden Business-E-Mails weltweit versendet werden, fand The Radicati Group heraus. Das internationale Technologiemarktforschungsinstitut prognostiziert einen Anstieg auf 128,8 Milliarden im Jahr 2019. Angesichts dieser Zahlen und der rechtlichen Anforderungen an die Archivierung geschäftlicher E-Mails sind IT-Entscheider aufgefordert, die E-Mail-Archivierung in ihre strategische IT-Planung einzubeziehen. Denn durch die Zunahme des elektronischen Briefverkehrs ergeben sich hohe Datenmengen, die es aufgrund ihrer Geschäftsrelevanz zu sichern und rechtssicher zu archivieren gilt. Bei global agierenden Unternehmen darf nicht außer Acht gelassen werden, dass sich Compliance-Anforderungen international unterscheiden. Besonders in der DACH-Region sind die gesetzlichen Vorgaben streng.

Verfahren IT-Verantwortliche nach dem Grundsatz „Wir haben E-Mail-Server-Backups. Deshalb müssen wir nicht gesondert archivieren“, bewegen sie sich auf „dünnem Eis“. Denn ein Backup ersetzt keine gesetzeskonforme Archivierung. Grundlegender Sinn jeder Archivierung ist die Wiederauffindbarkeit und Verfügbarkeit von Daten auch über einen langen Zeitraum hinweg. Tag für Tag werden in Unternehmen Rechnungen, Angebote, Support- oder Terminabfragen mithilfe von E-Mails bearbeitet. Diese müssen über viele Jahre hinweg vollständig, originalgetreu, manipulationssicher und jederzeit verfügbar aufbewahrt werden, so verlangen es die GoBD (siehe Kasten). Das leistet die Archivierung von E-Mails und stellt den grundlegenden Unterschied zu einem Backup dar, welches einzig und allein dazu dient, über einen limitierten Zeitraum wichtige Daten zu sichern und vorzuhalten, um sie im Bedarfsfall wiederherstellen zu können.

Dieser Anforderung werden Backups auf externen Datenträgern nicht gerecht, weil sie nicht die vollständige, manipulationssichere Aufbewahrung aller E-Mails sicherstellen, da diese unmittelbar nach dem Eingang und vor dem Backup gelöscht werden können. Eine professionelle E-Mail-Archivierungslösung legt dagegen Kopien aller E-Mails in einem zentralen Archiv ab und stellt so die Verfügbarkeit beliebiger Datenmengen auch über viele Jahre hinweg sicher. Durch Mechanismen wie Hash-Werte und Verschlüsselung wird die gesetzlich geforderte Manipulationssicherheit erreicht. Anwender können weiterhin, beispielsweise über eine nahtlose Integration in Microsoft Outlook, auf ihre E-Mails zugreifen und diese mithilfe einer Volltextindexierung schnell durchsuchen, finden und wiederherstellen.

Datenschutz muss sichergestellt sein


Um datenschutzrechtlichen Konflikten im Zuge der Archivierung aller ein- und ausgehenden E-Mails aus dem Weg zu gehen, empfiehlt es sich, die private E-Mail-Nutzung zu untersagen oder die ausschließliche Nutzung externer E-Mail-Dienste vorzuschreiben. Um juristisch auf der sicheren Seite zu sein, muss dies schriftlich fixiert, kontrolliert und konsequent durchgesetzt werden. Die schriftliche Fixierung kann beispielsweise in Richtlinien zur Nutzung der firmeneigenen IT-Infrastruktur, in einer Betriebsvereinbarung, einer Einverständniserklärung der Belegschaft oder im individuellen Anstellungsvertrag erfolgen.

Dies ist ein Artikel aus unserer Print-Ausgabe 07-08/2016. Bestellen Sie ein kostenfreies Probe-Abo.

Weder ersetzt ein Backup eine Archivierung noch ist eine E-Mail-Archivierung im Stande, klassische Backup-Aufgaben zu erfüllen. Ein Backup bleibt wichtig, denn auch gesetzeskonforme Archive sollten gesichert werden. Es gilt demnach festzuhalten, dass sowohl Backups als auch die rechtskonforme Archivierung von E-Mails in der IT-Strategie von sicherheitsbewussten CIOs und IT-Verantwortlichen nicht fehlen dürfen, zum einen, um eine zügige und vollständige Disaster Re­covery ­sicherzustellen, und zum anderen, um juristische ­Risiken durch Nichteinhalten der GoBD zu vermeiden.


GoBD


Die Aufbewahrung von E-Mails ist in Deutschland gesetzlich geregelt: Seit dem 1. Januar 2015 legen die „Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“ (GoBD) die rechtlichen Anforderungen an die E-Mail-Archivierung in Unternehmen fest und ersetzen die GDPdU und GoBS. Wesentlich ist, dass elektronischer Schriftverkehr, durch den ein Geschäft vorbereitet, abgewickelt, abgeschlossen oder rückgängig gemacht wird, archiviert werden muss. Dazu zählen auch Rechnungen, Aufträge, Reklamationsschreiben, Zahlungsbelege und Verträge, die per E-Mail verschickt werden. Grundsätzlich müssen alle relevanten E-Mails und deren Dateianhänge vollständig, manipulationssicher und jederzeit verfügbar aufbewahrt werden. Weiterhin müssen die Daten maschinell auswertbar sein. Eine alleinige Aufzeichnung auf Mikrofilm oder Papier ist nicht ausreichend, da dies den Anforderungen an die jederzeitige maschinelle Auswertbarkeit nicht genügt.

Quelle: Mailstore Software GmbH


Bildquelle: Thinkstock/iStock

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok