28.02.2008 | Autor / Redakteur: Michael Pirker / Nico Litzel
E-Mail-Archivierung wird heute nicht ohne Grund als eine der dringlichsten Herausforderungen im IT-Bereich wahrgenommen, da damit nicht nur technische, sondern auch rechtliche Anforderungen verbunden sind.
Im Gegensatz zur technischen Betrachtung sehen die rechtlichen Auflagen für die E-Mail-Archivierung im ersten Moment nur wie eine Bürde aus, auf die man auch gerne verzichten könnte. Man muss sich allerdings vor Augen halten, dass schon seit Großvaters Zeiten alle Nachweise geschäftlicher Aktivitäten archiviert werden mussten. Ganz nach dem Grundsatz: Alles ist archivierungspflichtig, was für eine betriebliche Überprüfung und Transparenz der Unternehmensverhältnisse bedeutsam ist!
Niedergeschrieben steht dieses im HGB §§ 139 (Führung der Handelsbücher) und 257 (Aufbewahrung von Unterlagen, Aufbewahrungsfristen). Im § 139 des HGB wird darauf hingewiesen, dass jede Art der Ablage zulässig ist, solange sie den Grundsätzen der ordnungsgemäßen Buchführung (GoB) entspricht. Eben diese GoB wurden bereits 1995 zu GoBS (Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme) erweitert, um dem digitalen Fortschritt Rechnung zu tragen.
In den GoBS wird festgelegt, dass originär digital erzeugte Dokumente auch digital zu archivieren sind: „Originär digitale Dokumente werden durch Übertragung der Inhalts- und Formatierungsdaten auf einen digitalen Datenträger archiviert.“ Die technische Umsetzung der Archivierung wird in den GoBS bewusst nicht vorgeschrieben, aber es wird eine vollständige Verfahrensdokumentation verlangt, die die Qualität im Umgang mit den Dokumenten sichert.
Zur Abrundung wurden 2001/2002 die GDPdU (Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen) niedergeschrieben, die dem Prüfer weitgehende Zugriffsrechte auf die Datenverarbeitungssysteme in den Unternehmen geben. Natürlich wurden nicht nur die Rechte des Prüfers definiert, sondern auch seine Grenzen. Wenn jedoch zum Zeitpunkt der Prüfung dem Prüfer keine geeignete Schnittstelle zur Verfügung gestellt werden kann, hat er das Recht, sich diese selbst zu schaffen. Das kann zur Folge haben, dass er auf wesentlich mehr Daten als notwendig Zugriff erhält und damit neue Prüfungsgegenstände erzeugt werden. Dadurch kann einem zu prüfenden Unternehmen die Kontrolle komplett entgleiten.
Wie kann man aus so vielen Regularien einen unternehmerischen Gewinn erzielen? Man kann ihn natürlich nicht garantieren, aber durch die konsequente E-Mail-Archivierung kann sich eine neue Transparenz im Unternehmen ergeben, die in dieser Form bisher noch nicht gegeben war.
E-Mails werden immer an einzelne Mitarbeiter oder Gruppen adressiert und oft nur dann weitergereicht, wenn offensichtliche Gründe dafür vorliegen. Viel schlimmer: Die Weitergabe der Informationen ist eine Aktion, die nicht automatisch erfolgt, sondern vom Mitarbeiter bewusst durchgeführt werden muss. Eventuell sind dem Mitarbeiter dabei die größeren Zusammenhänge nicht bewusst oder er versäumt es einfach. Es fällt nicht schwer abzuschätzen, wie viele wertvolle Informationen auf diesem Weg in den Mailboxen hängen bleiben und vielleicht sogar aus Unwissenheit gelöscht werden.
Mit dem E-Mail-Archiv kann man diese Situation vermeiden, da die gesamte betriebliche Kommunikation an einem zentralen Platz vorliegt und alle Daten jederzeit im schnellen Zugriff sind. Durch die Kopplung mit vorhandenen DMS (Dokumenten-Management-Systemen) mit ihren ausgereiften Indexierungsmöglichkeiten und Suchmaschinen werden aus unstrukturierten Daten strukturierte Informationen gewonnen – so ergibt sich hier ein wertvolles Unternehmensinstrument. Ein wichtiger Grundsatz sei an dieser Stelle erwähnt, nämlich dass unstrukturierte Daten teuren Speicherplatz verbrauchen – strukturierte Informationen hingegen zum Unternehmensgewinn beitragen können.
Auf dem Markt findet man heute viele revisionssichere Systeme. Aber: Nur der Betrieb revisionssicherer Archivierungssysteme allein garantiert keinesfalls die sogenannte revisionssichere Archivierung. Es muss die gesamte Prozesskette von der Erstellung oder dem Erhalt der Information bis hin zur Archivierung auf geeigneten Systemen betrachtet werden.
Eine Verfahrensdokumentation muss erstellt werden, und der Betrieb muss nachweisen, dass er in der Lage ist, diese auch entsprechend umzusetzen. Dazu gehört unter anderem auch der Nachweis entsprechend geschulten Personals.
Es ist sicherlich ein Gewinn, einen Wirtschaftsprüfer frühzeitig in das Projekt „Revisionssicherheit“ zu integrieren – eventuell sogar den Wirtschaftsprüfer, der am Ende des Projekts das Zertifikat ausstellen soll.
Die vollständige Archivierung von E-Mails kann als mehrstufiger Prozess gesehen werden, der beim Spam und Virenfilter startet und über rechtliche Aspekte hin zur technischen Archivierung führt.
Am Anfang der Kette sollten Spam und Viren ausgesondert werden, die man auf keinen Fall als relevante Informationen archivieren möchte. Da das Filtern eingehender E-Mails die Persönlichkeitsrechte der Mitarbeiter beeinträchtigen kann, muss dieses Recht über eine Betriebsvereinbarung festgeschrieben werden, in der die private Nutzung der geschäftlichen E-Mail-Systeme geregelt wird.
Rechtlich motivierte Archivierungsstufe: Die erste Stufe der eigentlichen Archivierung kann die rechtliche Absicherung der eingehenden und ausgehenden E-Mails sein. Alle geschäftlichen Informationen, die zu einem späteren Zeitpunkt für die Durchsetzung oder Abwehr von Ansprüchen notwendig sein könnten, werden hier protokolliert, indiziert und revisionssicher archiviert. Diese Archivierung findet jetzt in einem Bereich statt, der betriebsintern von berechtigten Personen eingesehen werden kann. Wieder ist sicherzustellen, dass Persönlichkeits- und Datenschutzrechte der Mitarbeiter gewahrt bleiben. Auch das ist dann Bestandteil der vorab erwähnten Betriebsvereinbarung.
Verschiedene Faktoren fließen in die Wirtschaftlichkeitsbetrachtung dieser Stufe ein. Zum einen werden über diesen Ansatz alle Daten archiviert, die das Unternehmen geschäftlich erreichen oder verlassen. Das führt zu einem großen Datenvolumen, das über die Zeit aufgebaut wird. Zum anderen muss man einsehen, dass nur so sichergestellt werden kann, dass alle relevanten Informationen für eine spätere Auswertung sicher archiviert werden. Einen manuellen, selektiveren Ansatz über die Mitarbeiter zu wählen, würde hier einen großen Zeitaufwand bedeuten und das Risiko erhöhen, dass wichtige Informationen und Belege zum gegebenen Zeitpunkt nicht mehr zur Verfügung stehen.
Werden diese Daten im betrieblichen Kontext als Informationspool verwendet, kann aus der Archivierung ein wirtschaftlich interessantes Instrument zur Planung und Durchführung entstehen.
Technisch motivierte Archivierungsstufe: Erst jetzt kommen wir in einen Bereich, in dem technisch motivierte Archivierung zur Verschlankung der E-Mail-Systeme und Erleichterung der Administration stattfindet. Die wichtigsten Gründe, die für einen regelmäßigen Einsatz der technischen Archivierung sprechen, sind beispielsweise eine Verkürzung der Backup- und Recovery-Zeiten sowie die Verbesserung des Antwortverhaltens der E-Mail-Systeme.
Anders als bei der rechtlichen Archivierung kann man hier sehr selektiv vorgehen. Ein teilautomatischer Prozess kann aufgebaut werden, in dem aus den E-Mail-Daten der Anwender über eine Kombination von Regeln, die aus Alter, Größe und letzten Zugriffsdatum bestehen, Kandidaten gebildet werden. Diese E-Mails werden dann aus dem E-Mail-System extrahiert und auf einen anderen Speicher verschoben. Sie sind dann entweder über sogenannte Stubs oder über den Zugriff auf das Archiv erreichbar.
Auch eine reine Anhangarchivierung kann in diesem Bereich automatisch durchgeführt werden. Die archivierten Anhänge werden dann aus den E-Mails entfernt und können über Platzhalter direkt vom Anwender abgefragt werden.
Den Mitarbeitern kann hier auch eine manuelle Archivierung angeboten werden, mit denen sie selbstständig Kandidaten ermitteln und den Archivierungsprozess aus der E-Mail-Oberfläche heraus starten.
Einen wichtigen Aspekt muss man sich auch hier vor Augen halten: Außendienstmitarbeiter sind darauf angewiesen, dass Informationen in ihren lokalen Repliken der E-Mail-Systeme erhalten bleiben. Für diese Mitarbeiter müssen eventuell andere Regeln aufgestellt werden wie für den Innendienst, der fortlaufend in der Nähe der Archivsysteme arbeitet.
Für Unternehmen, die elektronische Nachrichten effizient und gesetzeskonform verwalten wollen, bieten Software-Hersteller und Storage-Spezialisten mittlerweile vielfältige Lösungen an. Umfassende Tools, wie der IBM Commonstore, ermöglichen ein übersichtliches E-Mail-Management, durch das Unternehmen mit beliebig vielen E-Mail-Nutzern die über Jahre angesammelten E-Mails konsolidieren und effizient verwalten können. Alle eingehenden E-Mails werden automatisch und regelbasiert erfasst, indiziert, gespeichert und archiviert. Indem Unternehmen einen zentralen Datenpool für elektronische Nachrichten einrichten, senken sie zudem die Kosten ihrer E-Mail-Systeme und erhöhen zugleich die Produktivität der Anwender.
Um Compliance-Anforderungen zu genügen, stellt beispielsweise IBM ECM-Lösungen (Enterprise Content Management) zusammen mit entsprechenden Archivierungspeichersystemen wie der DR550 bereit, die gewährleisten, dass einmal archivierte Nachrichten nicht mehr verändert oder versehentlich gelöscht werden können.
Angesichts der gesetzlichen Vorgaben und deren strenger Umsetzung sollte eine umfassende Backup- und Archivierungsstrategie aus dem Unternehmensalltag nicht mehr wegzudenken sein. Die einschlägigen Bestimmungen rechts- und revisionssicher umzusetzen und praktikabel in den Arbeitsalltag einzubinden, gehört zu den dringlichsten Herausforderungen für Unternehmen.
Wichtig ist dabei nicht nur die Erfüllung gesetzlicher Vorgaben bei der Archivierung handels- und steuerrechtlich relevanter Daten. Ebenso wichtig ist die vollständige Dokumentation von Geschäftsvorgängen unter den Gesichtspunkten der Beweisrelevanz und des unternehmensinternen Informationsmanagements.
Leistungsfähige und revisionssichere Archivsysteme zeigen ihre besondere Effizienz daher vor allem dann, wenn sie nicht allein kaufmännisch, sondern zur Speicherung und Dokumentation sämtlicher elektronischen Informationen eines Unternehmens eingesetzt werden.
Steuerlich relevante Informationen sind heute zehn Jahre zu archivieren. Das ist für IT-Systeme eine unglaubliche Zeitspanne. Wir denken heute in drei oder maximal fünf Jahren, um unsere komplette Infrastruktur auf den Prüfstand zu stellen und im Bedarfsfall auszutauschen.
In drei Jahren verdoppeln heute die Hersteller die Kapazität und die Leistungsfähigkeit ihrer Produkte. Können Sie sich vorstellen, Ihre Geschäftsdaten auf einem System aus dem Jahre 1997 zu speichern, auf einem langsamen Oldtimer mit geringer Kapazität? Das bedeutet für Sie als Kunde, dass Sie prüfen müssen, ob die eingesetzten Soft- und Hardwarekomponenten die technischen Voraussetzungen haben, um den Wechsel auf neue Technologien zu ermöglichen – und zwar ohne Medienbruch mit Hilfe der vorhandenen Bordmittel, damit die Revisionssicherheit von Daten auch nach einem Umzug gewährleistet bleibt.
Der Datenberg wächst in den ersten zehn Jahren kontinuierlich an. Das Wachstum beschleunigt sich dann, da das Datenvolumen statistisch um 30 bis 60 Prozent zulegt. Wenn man heute mit 100 Gigabyte startet, kann sich daraus nach zehn Jahren ein Volumen von etwa zehn Terabyte ergeben. In zehn Jahren sind die ersten Daten veraltet und werden gelöscht – das sind dann aber nur die ersten 100 Gigabyte, die entfallen.
Auch ist zu bedenken, dass in zehn Jahren die Daten der ersten acht Jahre zwar archiviert werden müssen, aber wahrscheinlich nie mehr gelesen werden. In diesem Beispiel sind das dann etwa sechs bis acht Terabyte. Diese Daten warten eigentlich nur noch darauf, nach Ablauf ihrer Zeit von der Disk gelöscht zu werden. In den letzten acht Jahren bedeutet das, dass die Daten auf den Festplatten noch etwa 30 Milliarden Mal im Kreis gedreht werden müssen, ehe sie endgültig gelöscht werden können.
Nicht ohne Grund unterhält sich die IT-Branche heute sehr intensiv über den Stromverbrauch im Rechenzentrum. Genau unter diesem Aspekt ist die Festplatte nur für die ersten Jahre eines Archivierungszeitraums das Medium der Wahl.
Aktuelle Daten werden auf flinken Disk-Speichern archiviert, ältere Daten auf günstige Bandmedien ausgelagert. Das Ganze passiert vollständig transparent, so bleibt der unmittelbare Zugriff auf alle Daten bestehen. Wenn man schon Tapes im Einsatz hat, kann man diese auch für die Kopie und Sicherung der archivierten Daten verwenden und die beschriebenen Sicherungsbänder auslagern. Wird diese Auslagerung in der Verfahrensdokumentation beschrieben und vom Prozess als revisionssicher akzeptiert, hat man damit eine revisionssichere Kopie der Daten ausgelagert und kann diese Bänder als Katastrophenvorsorge verwenden.
Katastrophenvorsorge ist in der Tat ein Punkt, der in keiner Verfahrensdokumentation fehlen darf. Entweder lagert man Daten revisionssicher aus oder spiegelt die Daten auf ein weiteres, entferntes System. Der Anwender muss nachweisen, dass dieser Punkt in der vorhandenen IT-Installation beachtet wurde.
Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2007721)
