E-Mails: Was muss, was darf und was will man archivieren?

PST-Dateien, die Archivdateien unter Exchange, sind ein Reizwort gleichermaßen für User wie für Administratoren: Den einen nutzen sie nichts, den anderen machen sie das Leben schwer, wenn Mails wirklich einmal wiederhergestellt werden müssen. Auch unter Compliance-Gesichtspunkten bieten die Bordmittel der E-Mail-Programme keine befriedigende Lösung. Daher sind die meisten deutschen Unternehmen bei der E-Mail-Archivierung noch weit von einer rechtskonformen Lösung entfernt.

Das liegt weniger an den vorhandenen Technologien, als vielmehr an der Intransparenz der Regeln: Es gibt eine Vielzahl von Vorschriften, die auf E-Mail-Archivierung Anwendung finden, aber kein eigenes Gesetz. Das führt zu Missverständnissen und Fehleinschätzungen. Es ist Zeit, mit den sieben gängigsten davon aufzuräumen.

Erste Fehleinschätzung: Jede Mail muss archiviert werden

Alle Unternehmen – außer Kleingewerbetreibende – sind dazu verpflichtet, ihre Geschäftskorrespondenz aufzubewahren. E-Mail macht hierbei längst den Löwenanteil aus. Nicht als Geschäftsbriefe gelten zum Beispiel empfangene Werbeschreiben, Spam oder Newsletter. Die Aufbewahrungsfristen variieren zwischen sechs und zehn Jahren ab Ende des Kalenderjahres. Um die Archivierung möglichst einfach zu halten, sollten Unternehmen jegliche Geschäftskorrespondenz per Mail zehn Jahre zuverlässig aufbewahren und anschließend genauso zuverlässig löschen.

Zweite Fehleinschätzung: Jede Mail darf archiviert werden

Manche Mails müssen gespeichert werden, einige dürfen gespeichert werden. Das Hauptproblem dabei: Bestimmte Mails dürfen nicht gespeichert werden, nämlich private E-Mails von Mitarbeitern. Das ist der wunde Punkt. Er lässt sich nicht technisch, sondern nur organisatorisch lösen. Nach Gesetzeslage verwandeln sich Unternehmen, in denen die private E-Mail-Nutzung der Mitarbeiter auch nur geduldet ist, quasi in einen Anbieter von Telekommunikationsdiensten. In dieser Funktion ist die Überwachung und Speicherung der E-Mail-Kommunikation grundsätzlich unzulässig – soweit hierzu keine explizite Einwilligung der Mitarbeiter vorliegt.

<img alt="Dr. Wieland Alge (Bild: Barracuda Networks).

“ width=“280″ height=“278″ src=“/i/itm/2011/februar/alge-wieland-v6.jpg“>
Dr. Wieland Alge ist beim IT-Security-Anbieter Barracuda Networks und einer der Autoren dieses Gastbeitrags für ZDNet (Bild: Barracuda Networks).

Dritte Fehleinschätzung: Das Verbot privater Mails in Unternehmen ist juristisch ohne Alternativen

Es wird immer schwieriger, private und geschäftliche Nutzung von IT-Ressourcen zu trennen. Bei Social Media ignorieren viele Angestellte diese Grenze völlig. Auch private oder halbprivate E-Mail-Korrespondenz während der Arbeitszeit zu führen ist in Positionen gängig, die eines starken persönlichen Netzwerks bedürfen. Ein Verbot erscheint juristisch bequem. Aber es ist nur dann die beste Lösung, wenn man bereit ist, auch seine besten Mitarbeiter für einen Verstoß abzumahnen.

Stattdessen geht es darum sicherzustellen, dass private E-Mails nicht Teil der Archivierungsroutine werden. Dafür gibt es viele Möglichkeiten: Einige Unternehmen verlangen einen Vermerk im Betreff, andere richten jedem Mitarbeiter eine zweite E-Mail-Adresse ein. Am Häufigsten anzutreffen ist die Regelung, den Gebrauch von sogenannten Freemail-Accounts zu erlauben, vielleicht je nach Rolle nur zu bestimmten Uhrzeiten. Möglich ist auch, dass Mitarbeiter eingehende private E-Mails in einen Ordner verschieben müssen, der dafür sorgt, dass die Mail dauerhaft gelöscht beziehungsweise nicht von der Sicherungs- oder Archivierungsroutine erfasst wird.

AUTOR

Die Autoren

Dr. Wieland Alge ist General Manager EMEA beim IT-Security-Anbieter Barracuda Networks. Dr. Alexander Bayer ist Rechtsanwalt in der Kanzlei Wragge&Co.

Page: 1 2

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

4 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

5 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

6 Tagen ago