News

Compliance erzwingt eine Aufbewahrung der E-Mails. Selbst ohne diese Pflicht spricht laut Barracuda einiges für Archivsysteme: die einfache Bedienung sowie die Entlastung der Mail-Server.

Mittwoch 25. Mai 2011

"Die meisten deutschen Unternehmen sind bei der E-Mail-Archivierung noch weit von einer rechtskonformen Lösung entfernt“, erläutert Alexander Bayer, Datenschutzexperte und Rechtsanwalt bei der Münchner Kanzlei Wragge & Co. Unternehmen leiden unter der Intransparenz der Regeln: „Es gibt eine Vielzahl von Vorschriften, die auf E-Mail-Archivierung Anwendung finden, aber kein eigenes Gesetz.“ Gemeinsam mit Wieland Alge, Europa-Chef des Storage-, Security- und Networking-Anbieters Barracuda Networks, räumt er mit den sieben gängigsten Fehleinschätzungen zum Thema E-Mail-Archivierung auf.

1. Jede Mail muss archiviert werden: „Alle Unternehmen - außer Kleingewerbetreibende - sind dazu verpflichtet, ihre Geschäftskorrespondenz aufzubewahren“, berichtet Rechtsanwalt Alexander Bayer. „E-Mail macht hierbei längst den Löwenanteil aus. Nicht als Geschäftsbriefe gelten zum Beispiel empfangene Werbeschreiben, Spam oder Newsletter. Die Aufbewahrungsfristen variieren zwischen sechs und zehn Jahren ab Ende des Kalenderjahres. Um die Archivierung möglichst einfach zu halten, sollten Unternehmen jegliche Geschäftskorrespondenz per Mail zehn Jahre zuverlässig aufbewahren und anschließend löschen.“

2. Jede Mail darf archiviert werden. „Manche Mails müssen gespeichert werden, einige dürfen gespeichert werden“, beschreibt Bayer den wunden Punkt. Das Hauptproblem dabei: „Private Mails von Mitarbeitern dürfen nicht gespeichert werden. Laut Gesetzt verwandeln sich Unternehmen, welche die private E-Mail-Nutzung der Mitarbeiter auch nur dulden, in einen Anbieter von Telekommunikationsdiensten. Die Überwachung und Speicherung dieser Mails ist grundsätzlich unzulässig, soweit hierzu keine explizite Einwilligung der Mitarbeiter vorliegt.“

3. Das Verbot privater Mails in Unternehmen ist juristisch ohne Alternativen. „Es wird immer schwieriger, private und geschäftliche Nutzung von IT-Ressourcen zu trennen, berichtet Wieland Alge, Europa-Chef von Barracuda Networks. Bei Social Media ignorieren viele Angestellte diese Grenze. Auch private oder halbprivate Mail-Korrespondenz während der Arbeitszeit ist gängig in Positionen, die eines starken persönlichen Netzwerks bedürfen. Ein Verbot erscheint juristisch bequem. Aber es ist nur dann die beste Lösung, wenn man bereit ist, auch seine besten Mitarbeiter für einen Verstoß abzumahnen. Alternativ können Unternehmen sicherzustellen, dass private E-Mails nicht Teil der Archivierungsroutine werden. Alge beschreibt hierzu mehrere Möglichkeiten: „Einige Unternehmen verlangen einen Vermerk im Betreff, andere richten jedem Mitarbeiter eine zweite E-Mail-Adresse ein. Am Häufigsten erlauben Unternehmen den Gebrauch von sogenannten Freemail-Accounts. Eingehende private E-Mails müssen Mitarbeiter in einen Ordner verschieben, der dafür sorgt, dass die Mail dauerhaft gelöscht beziehungsweise nicht von der Sicherungs- oder Archivierungsroutine erfasst wird.“

4. Das E-Mail-Archiv muss verschlüsselt sein. „Eine Verschlüsselung verlangt der Gesetzgeber nicht“, erläutert Bayer: „Behörden legen offensichtlich weit mehr Wert darauf, dass sie im Fall des Falles selbst alle Daten im Originalzustand durchsuchbar und unverschlüsselt arhalten. Die vielen Fälle von Datenverlusten zeigen aber eindrucksvoll, dass es im Eigeninteresse der Unternehmen ist, ihre Daten zumindest verschlüsselt zu übertragen – auch um bei etwaigen Verlusten Entschädigungsklagen Dritter abzuwenden.“ Eine rechtskonforme technische Lösung sollte ermöglichen, die Daten in ihrer Gesamtheit sicher zu verwahren und im Bedarfsfall an den Berechtigten entschlüsselt zu übergeben.

5. Bordmittel des E-Mail-Servers bieten alle nötigen Optionen. „Administratoren behelfen sich derzeit meist mit proprietären Archiven, beispielsweise PST-Dateien in MS-Exchange-Umgebungen“, berichtet Alge. Diese Dateien enthalten E-Mails, Kalendereinträge, Kontakte und Aufgaben. Unternehmen speichern sie häufig auf dem Endgerät des Anwenders, um die Datenmenge auf dem Mail-Server zu reduzieren. Compliance bieten diese Dateien nicht, außerdem lassen sie sich relativ leicht manipulieren. Für den Administrator sind sie schwer zu verwalten, für den durchschnittlichen Anwender bieten sie keinen bequemen Zugang zu seinen älteren Nachrichten. Um geschäftliche E-Mails inklusive Anhänge wie gesetzlich gefordert fälschungssicher und untersuchbar zu speichern, passt laut Alge nur eine serverseitige Lösung. „Die eingehende Mail muss abgespeichert sein, bevor sie den Nutzer erreicht. Wenn man dazu jedoch den E-Mail-Server selbst nutzt, verliert er Leistung und geht irgendwann in die Knie. Ein dedizierter Server, eine Appliance oder ein Cloud Service verhindern dies.“

6. Die Nutzung eines E-Mail-Archivsystems garantiert Rechtskonformität. „Automatisierte Appliances oder Cloud-Lösungen steigern die Motivation in Unternehmen, ihre E-Mail-Archivierung rechtskonform aufzusetzen“, erläutert Bayer. „Allerdings automatisiert ein Message Archiver lediglich den Archivierungsvorgang. Unternehmen müssen einige Weichenstellungen treffen, damit sie einerseits alle aufbewahrungspflichtigen Nachrichten sicher archivieren und vor Zugriffen durch Unberechtigte schützen und andererseits andere Nachrichten gemäß des deutschen Datenschutzes genauso sicher löschen.“

7. E-Mail-Archivierung geschieht nur aus juristischen Gründen. „Selbst wenn die Pflicht zur Archivierung morgen aufgehoben würde, spräche alles für eine Sicherung der E-Mails nach modernsten Standards“, erläutert Alge. Die Produkte versprechen eine umgehende Wiederherstellung verloren gegangener E-Mail-Infrastrukturen - entweder von einer lokalen Appliance oder von einem externen Rechenzentrum, wo die Daten gespiegelt sind. Die Lösungen geben Mitarbeitern einen schnellen Zugriff auf die in ihrem Account abgelegten Mails, Kalendereinträgen, Kontakte und Aufgaben sowie umfangreiche Suchmöglichkeiten. „Im Gegensatz zu einer Archivierung auf dem E-Mail-Server selbst oder einer Übertragung der Daten auf einem anderen Server komprimieren und deduplizieren Message Archiver die Daten und benötigen so weit weniger Speicherplatz. Durch sogenanntes ‚Stubbing‘ lassen sich von vornherein alle Anhänge auf dem Archivsystem ablegen, ohne dass der Anwender davon etwas merkt. Anhänge machen weit mehr als die Hälfte der E-Mail-Datenlast aus. Die  Administratoren entlasten also ihren Mailserver erheblich.“ jf


Anzeige

is report BARC Guide Dokumentenmanagement und Enterprise Content Management 2011

 

 

is report BARC Guide Dokumentenmanagement und Enterprise Content Management 2011.

Bestellen können Sie ihn unter: www.isreport.de im Menüpunkt Bestellung. Telefonisch bei Frau Elke Antritter unter: 089/ 90 48 62 10. Per E-Mail: eantritter@isreport.de