E-Mails: Was muss, was darf und was will man archivieren?

PST-Dateien, die Archivdateien unter Exchange, sind ein Reizwort gleichermaßen für User wie für Administratoren: Den einen nutzen sie nichts, den anderen machen sie das Leben schwer, wenn Mails wirklich einmal wiederhergestellt werden müssen. Auch unter Compliance-Gesichtspunkten bieten die Bordmittel der E-Mail-Programme keine befriedigende Lösung. Daher sind die meisten deutschen Unternehmen bei der E-Mail-Archivierung noch weit von einer rechtskonformen Lösung entfernt.

Das liegt weniger an den vorhandenen Technologien, als vielmehr an der Intransparenz der Regeln: Es gibt eine Vielzahl von Vorschriften, die auf E-Mail-Archivierung Anwendung finden, aber kein eigenes Gesetz. Das führt zu Missverständnissen und Fehleinschätzungen. Es ist Zeit, mit den sieben gängigsten davon aufzuräumen.

Erste Fehleinschätzung: Jede Mail muss archiviert werden

Alle Unternehmen – außer Kleingewerbetreibende – sind dazu verpflichtet, ihre Geschäftskorrespondenz aufzubewahren. E-Mail macht hierbei längst den Löwenanteil aus. Nicht als Geschäftsbriefe gelten zum Beispiel empfangene Werbeschreiben, Spam oder Newsletter. Die Aufbewahrungsfristen variieren zwischen sechs und zehn Jahren ab Ende des Kalenderjahres. Um die Archivierung möglichst einfach zu halten, sollten Unternehmen jegliche Geschäftskorrespondenz per Mail zehn Jahre zuverlässig aufbewahren und anschließend genauso zuverlässig löschen.

Zweite Fehleinschätzung: Jede Mail darf archiviert werden

Manche Mails müssen gespeichert werden, einige dürfen gespeichert werden. Das Hauptproblem dabei: Bestimmte Mails dürfen nicht gespeichert werden, nämlich private E-Mails von Mitarbeitern. Das ist der wunde Punkt. Er lässt sich nicht technisch, sondern nur organisatorisch lösen. Nach Gesetzeslage verwandeln sich Unternehmen, in denen die private E-Mail-Nutzung der Mitarbeiter auch nur geduldet ist, quasi in einen Anbieter von Telekommunikationsdiensten. In dieser Funktion ist die Überwachung und Speicherung der E-Mail-Kommunikation grundsätzlich unzulässig – soweit hierzu keine explizite Einwilligung der Mitarbeiter vorliegt.

<img alt="Dr. Wieland Alge (Bild: Barracuda Networks).

“ width=“280″ height=“278″ src=“/i/itm/2011/februar/alge-wieland-v6.jpg“>
Dr. Wieland Alge ist beim IT-Security-Anbieter Barracuda Networks und einer der Autoren dieses Gastbeitrags für ZDNet (Bild: Barracuda Networks).

Dritte Fehleinschätzung: Das Verbot privater Mails in Unternehmen ist juristisch ohne Alternativen

Es wird immer schwieriger, private und geschäftliche Nutzung von IT-Ressourcen zu trennen. Bei Social Media ignorieren viele Angestellte diese Grenze völlig. Auch private oder halbprivate E-Mail-Korrespondenz während der Arbeitszeit zu führen ist in Positionen gängig, die eines starken persönlichen Netzwerks bedürfen. Ein Verbot erscheint juristisch bequem. Aber es ist nur dann die beste Lösung, wenn man bereit ist, auch seine besten Mitarbeiter für einen Verstoß abzumahnen.

Stattdessen geht es darum sicherzustellen, dass private E-Mails nicht Teil der Archivierungsroutine werden. Dafür gibt es viele Möglichkeiten: Einige Unternehmen verlangen einen Vermerk im Betreff, andere richten jedem Mitarbeiter eine zweite E-Mail-Adresse ein. Am Häufigsten anzutreffen ist die Regelung, den Gebrauch von sogenannten Freemail-Accounts zu erlauben, vielleicht je nach Rolle nur zu bestimmten Uhrzeiten. Möglich ist auch, dass Mitarbeiter eingehende private E-Mails in einen Ordner verschieben müssen, der dafür sorgt, dass die Mail dauerhaft gelöscht beziehungsweise nicht von der Sicherungs- oder Archivierungsroutine erfasst wird.

AUTOR

Die Autoren

Dr. Wieland Alge ist General Manager EMEA beim IT-Security-Anbieter Barracuda Networks. Dr. Alexander Bayer ist Rechtsanwalt in der Kanzlei Wragge&Co.

Page: 1 2

ZDNet.de Redaktion

Recent Posts

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

17 Stunden ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

19 Stunden ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

20 Stunden ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

23 Stunden ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

23 Stunden ago

Latrodectus: Gefährlicher Nachfolger von IcedID

Latrodectus, auch bekannt als BlackWidow, ist auch unter dem Namen LUNAR SPIDER bekannt.

24 Stunden ago