Sie sind hier: Home » Markt » Hinweise & Tipps

Speicherung geschäftsrelevanter E-Mails


Fünf Best Practices für eine revisionssichere Ablage von E-Mails
Die gesamte Kommunikation mit Lieferanten, Kunden, Bank- und Personalunterlagen, medizinische Dokumente, die Korrespondenz mit Behörden oder Gerichtsakten unterliegen der Archivierungspflicht

(31.07.15) - Der deutsche Gesetzgeber verlangt, dass Unternehmen geschäftsrelevante elektronische Dokumente und E-Mails revisionssicher speichern. In fünf Best Practices erklärt QSC, worauf dabei im Einzelnen zu achten ist. An der Archivierung geschäftsrelevanter E-Mails führt heute kein Weg mehr vorbei. Sie bietet nicht nur technische und organisatorische Vorteile, da Dokumente schnell und einfach aufzufinden sind, sie ist auch aus rechtlicher Sicht notwendig. Wer hier nachlässig handelt, riskiert bei der nächsten Betriebsprüfung beträchtlichen Ärger. Hier die wichtigsten Aspekte bei der Planung und Einführung einer Lösung zur revisionssicheren Ablage von E-Mails in fünf Best Practices:

1. Als elektronische Handelsbriefe müssen E-Mails archiviert werden.
Ein Handelsbrief ist ein Dokument, das ein Geschäft vorbereitet, durchführt, abschließt oder rückgängig macht; das trifft zu auf ein Angebot, einen Lieferschein, eine Rechnung, einen Zahlungsbeleg oder ein Reklamationsschreiben. In der Abgabenordnung ist festgelegt, dass alle per E-Mail ein- und ausgehenden Handels- und Geschäftsbriefe dauerhaft zu speichern sind. Davon ausgenommen sind Werbesendungen oder Angebote, bei denen kein Geschäftsabschluss zustande kam.

2. Die Anwendungsgebiete und aufzubewahrenden Dokumente ermitteln.
Nahezu der gesamte klassische Postversand in den Unternehmen ist heute durch den E-Mail-Versand ersetzt. Das bedeutet aber auch: Die gesamte Kommunikation mit Lieferanten, Kunden, Bank- und Personalunterlagen, medizinische Dokumente, die Korrespondenz mit Behörden oder Gerichtsakten unterliegen der Archivierungspflicht. Näheres dazu ist außer in der Abgabenordnung auch im Handelsgesetzbuch, im Telekommunikationsgesetz sowie im Bundesdatenschutzgesetz geregelt. International tätige Unternehmen müssen beispielsweise auch den Sarbanes-Oxley Act (SOX) berücksichtigen.

3. Die unterschiedlichen Aufbewahrungsfristen der Dokumente feststellen.
In der Abgabenordnung und im Handelsgesetzbuch sind die Anforderungen bezüglich der Aufbewahrungspflichten und -zeiten genau beschrieben. Die geschäftsrelevante Kommunikation mit Kunden und Lieferanten verlangt eine sechsjährige Archivierung. Für Unterlagen der Buchhaltung, Personalakten oder Daten mit Grundbuch- und Kontenfunktion gilt eine Frist von zehn Jahren. Um sich den Aufwand einer Differenzierung bei den E-Mails zu ersparen, sind einige Unternehmen dazu übergegangen, alle diese Dokumente zehn Jahre aufzubewahren.

4. Eine fälschungssichere Speicherung sicherstellen.
Es gibt keine gesetzliche Regelung dazu, wie die Speicherung geschäftsrelevanter E-Mails zu erfolgen hat. Unternehmen müssen jedoch sicherstellen, dass diese revisionssicher aufbewahrt werden. Das bedeutet, dass sie innerhalb der Aufbewahrungsfrist auffindbar, nachvollziehbar und vor allem unveränderbar und fälschungssicher archiviert sind. Auch wenn der Gesetzgeber keine Verschlüsselung vorschreibt, sollten Unternehmen die Daten verschlüsselt speichern, damit sie revisionssicher verwahrt sind.

5. Rechtliche Konflikte mit der privaten E-Mail-Nutzung vermeiden.
Unternehmen oder andere Organisationen, die die gesetzlichen Vorgaben zur E-Mail-Archivierung umsetzen, kommen hin und wieder in Konflikt mit anderen Richtlinien und Vorgaben. So ist zum Beispiel zu hören, dass es keine Probleme mit der E-Mail-Archivierung gibt, wenn Mitarbeiter ihr E-Mail-Konto für private Zwecke nutzen und der Ablage im Rahmen einer Betriebsvereinbarung zugestimmt haben. Auch wenn sie damit auf ihre eigenen Rechte verzichten, gilt das nicht für die Rechte ihrer Kommunikationspartner. Um Konflikten aus dem Wege zu gehen, empfiehlt es sich, die private Nutzung des E-Mail-Kontos zu untersagen.

"Die revisionssichere Archivierung geschäftsrelevanter Dokumente und E-Mails ist von erheblicher Bedeutung für die IT-Compliance in Unternehmen. Die Einführung einer IT-Compliance wiederum ist Chefsache", sagt Olaf Etzrodt, Leiter Produktentwicklung QSC-tengo, bei QSC. "Entscheiden sich Unternehmen dafür, die Archivierungslösung nicht im eigenen Rechenzentrum zu betreiben, sondern dazu, einen Cloud-Service zu nutzen, müssen sie darauf achten, dass der Anbieter eine transparente und überprüfbare Compliance-Politik betreibt. Dazu gehört beispielsweise auch der Nachweis einer Prüfung durch externe Auditoren, dass die Cloud-Lösung alle Anforderungen des Handels- und Steuerrechts erfüllt." (QSC: ra)

QSC: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hinweise & Tipps

  • Stresstest der Europäischen Zentralbank

    Am 2. Januar 2024 hat der Stresstest der Europäischen Zentralbank für große Institute im Euroraum begonnen. Insgesamt sind mehr als 100 Banken betroffen, ein tiefer gehender Test steht im Nachgang für über 20 dieser Banken an. Mit der "Trockenübung" eines Cyberangriffs möchte die EZB Melde- und Wiederherstellungsprozesse der Banken prüfen. Welche größeren Schwachstellen wird die EZB dabei identifizieren?

  • Compliance, Regulierung und betriebliche Risiken

    Betriebsleiter jonglieren täglich mit unterschiedlichen Risiken. Es ist ihre Aufgabe, bestehende Risiken zu bewerten und abzuschwächen sowie Strategien zur Vermeidung künftiger Risiken zu entwickeln. Dabei steht viel auf dem Spiel: Risikofolgen reichen von Produktivitätsverlusten - während die Mitarbeiter mit der Behebung von Fehlern beschäftigt sind - bis hin zu Geldverschwendung, wenn Fristen und Fortschritte nicht eingehalten werden.

  • An der Quelle der Informationen beginnen

    Im Kontext steigender Cyberbedrohungen gewinnt die strikte Einhaltung bzw. Umsetzung entsprechender Compliance-Vorschriften stetig an Bedeutung. Als Bereitsteller kritischer Infrastruktur gilt insbesondere für Finanzunternehmen, IT-Ausfälle und sicherheitsrelevante Vorfälle zu verhindern, um für die Aufrechterhaltung des Betriebs zu sorgen.

  • DORA-Compliance komplex

    Bereits im Januar 2023 ist der Digital Operational Resilience Act (DORA), eine Verordnung der europäischen Union, in Kraft getreten. Umzusetzen ist das EU-Gesetz bis zum 17.01.2025. Obwohl es sich vorrangig an den Finanzsektor richtet, können auch andere Unternehmen, wie beispielsweise IT-Dienstleister davon betroffen sein.

  • Umsetzung der ESG-Verordnung

    Im Sommer 2021 wurde von der EU das "Europäische Klimagesetz" verabschiedet. Es soll helfen, den Klimaschutz spürbar voranzutreiben. Eine der beschlossenen Maßnahmen ist das sogenannte ESG-Reporting, das viele Unternehmen erst einmal vor Herausforderungen stellt.

Scoring-Daten häufig falsch und unvollständig Zoll stellt IT-Systeme um

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen