Rechtssichere E-Mail Archivierung

Transcript

1. Rechtsichere E-Mail Archivierung

2. Rechtsichere E-Mail Archivierung Agenda • Aktuelle Rechtslage Kurze Übersicht der

   angewandten Gesetzestexte • Bedeutung für Unternehmen Welche Bedeutung und Auswirkung hat das bei Anwendung einer Archivierung • Technische Lösungen Mögliche technische Lösung für die praktische Umsetzung • Case Study Rechtsichere E-Mail Archivierung in der Cloud - ein Beispiel • Abspann Fragen, Diskussion

3. Aktuelle Rechtslage Die Rechtslage birgt eine Überraschung: Es gibt kein

   Gesetz, welches die Archivierung von E-Mails eindeutig regelt Man muss sich die Regelungen mühsam aus verschiedenen gesetzlichen Bestimmungen zusammenzusuchen. Folgende rechtliche Vorgaben wären im Zusammenhang mit der E-Mail Archivierungspflicht beispielsweise zu nennen:

4. Aktuelle Rechtslage Gesetze • Handelsgesetzbuch (HGB) • Abgabenordnung (AO) •

   Umsatzsteuergesetz (UStG) • Bundesdatenschutzgesetz (BDSG) • Telekommunikationsgesetz (TKG) • Aktiengesetz (AktG) • Gesetz betreffend die Gesellschaften mit beschränkter Haftung (GmbHG) • GDPdU (Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen) • und weitere...

5. Aktuelle Rechtslage Wichtig in Deutschland : Aus dem HGB, der

   AO und dem UStG lassen sich in Deutschland zu Fragen der E-Mail Archivierung unmittelbare Handlungsverpflichtungen ableiten.

6. Aktuelle Rechtslage Was muss archiviert werden und was nicht ?

7. Aktuelle Rechtslage Was muss archiviert werden ? E-Mails, die als

   Handelsbriefe einzustufen sind (§§ 238 Abs. 2, 257 Handelsgesetzbuch): • Aufträge (auch Änderungen und Ergänzungen) • Auftragsbestätigungen • Versandanzeigen, Frachtbriefe, Lieferpapiere, • Reklamationsschreiben • Rechnungen, Zahlungsbelege • schriftlich gefasste Verträge

8. Aktuelle Rechtslage Was muss archiviert werden ? E-Mails mit steuerrechtlichem

   Bezug (§ 147 Abgabenordnung (AO)): • Geschäftsbriefe • Bücher und Aufzeichnungen • Inventare, Jahresabschlüsse • Eröffnungsbilanz sowie die zu ihrem Verständnis erforderlichen Arbeitsanweisungen und Organisationsunterlagen • Buchungsbelege • sonstige Inhalte (z.B. Preislisten), die für Besteuerung von Bedeutung sind

9. Aktuelle Rechtslage Das brauchen Sie nicht archivieren ! • unverbindliche

   Werbeschreiben und allgemeine Rundschreiben • simple Kontakt-E-Mails des Vertriebes • alle internen E-Mails (Ausnahmen kann es bei bestimmten Konzernstrukturen geben oder bei vertragsrelevanten Absprachen mit Mitarbeitern) Warum keine internen E-Mails ? Interne E-Mails sind keine Handelsbriefe. Handelsbriefe haben Außenwirkung und müssen von Dritten gesendet oder empfangen werden. Dritter ist aber nur, wer nicht zum Unternehmen gehört

10. Aktuelle Rechtslage Für wenn gilt die Archivierungspflicht? • für jeden

    Kaufmann (vgl. §§ 1,2,3 HGB) • alle Handelsgesellschaften (OHG, KG) • alle eingetragenen Genossenschaften • für die Kapitalgesellschaften (UG, GmbH, AG) • sowie alle umsatzsteuerpflichtigen Unternehmer

11. Aktuelle Rechtslage Und die öffentlich-rechtliche Hand ? Prinzipiell nicht von

    HGB, GmbHG, AktienG, AO etc. erfasst, aber: wie Wirtschaftlicher Zweckbetrieb => deshalb: Wer sich wie ein Unternehmer generiert, wird wie ein Unternehmer behandelt. Durch Auskunftsansprüche von Bürgern und Dritten, durch das VerwaltungsverfahrensG (VwVfG), SGB X, BDSG, InformationsfreiheitsG (IFG) lässt sich die Verpflichtung zur E-Mail Archivierung ableiten. Kontrolliert wird durch Aufsichtsbehörden, Kommunal- oder Fachaufsicht, Rechnungsprüfungsbehörden... Deshalb: Auch die öffentliche Hand muss eine Archivierung vornehmen

12. Aktuelle Rechtslage Wie lange muss archiviert werden ? • E-Mails,

    die als Handels- oder Geschäftsbriefe einzustufen sind: 6 Jahre • E-Mails, die Buchungsbelege, Rechnungen, Bilanzen, Jahresabschlüsse enthalten: 10 Jahre • Im Zweifelsfall: 10 Jahre

13. Aktuelle Rechtslage Kein Medienbruch ! • Originäre elektronische Daten müssen

    weiterhin elektronisch archiviert werden. • Keine Speicherung in Papierform (Ausdruck) • Anhänge müssen im originärem Format erhalten bleiben • Konvertierungen, Speicherung als PDF o.ä. sind nicht erlaubt !

14. Aktuelle Rechtslage Ist die technische Art der Archivierung vorgeschrieben? Nein,

    es wird keine bestimmte Speichertechnologie privilegiert oder vorgeschrieben. Aber, die Vorgaben der Gesetze (vor allem die GDPdU) schränken die Nutzung auf bestimmte Medien ein.

15. Aktuelle Rechtslage Rückstellungen für die Archivierung Am 19.08.2002 hat der

    Bundesfinanzhof (BStBl 2003 II S. 131) entschieden, dass für die zukünftigen Kosten der Aufbewahrung von Geschäftsunterlagen, zu der das Unternehmen gemäß § 257 HGB und § 147 AO verpflichtet ist, im Jahresabschluss eine Rückstellung zu bilden ist.

16. Bedeutung für Unternehmen Sanktionen Die E-Mail wird vielfach in ihrer

    rechtlichen Bedeutung vollkommen unterschätzt oder oft als relativ unverbindlich eingeschätzt. In einer E-Mail enthaltene Erklärungen oder Informationen sind im Geschäftsverkehr absolut rechtsrelevant und haben im Prinzip dieselbe rechtliche Bedeutung wie das Pendant in Papierform.

17. Bedeutung für Unternehmen Paragraphen und Gesetzte, aus denen mögliche Sanktionen

    bei keiner oder nur mangelhafter E-Mail Archivierung abgeleitet werden können: • § 162 II AO (Abgabenordnung), • § 328 I AO (Abgabenordnung), • § 33 I Nr.1 WpHG (Wertpapierhandelsgesetz), • § 283 ff. StGB (Strafgesetzbuch), • § 283b StGB (Strafgesetzbuch), • § 378 AO (Abgabenordnung), • § 379 AO (Abgabenordnung), • §§ 91 II, 93 II AktG (Aktiengesetz), • § 43 I, II GmbHG (GmbH-Gesetz), • § 280ff BGB (Bürgerliches Gesetzbuch)

18. Bedeutung für Unternehmen Wenn E-Mails nicht archiviert werden: • kann

    es zu steuerrechtlichen Sanktionen kommen • können strafrechtliche Folgen entstehen (durch unzureichende oder gar manipulative Archivierung von E-Mails) • kann auch eine persönlichen Haftung resultieren, z.B. nach § 93 II AktG bzw. § 43 II GmbHG für Vorstand oder Geschäftsführer der jeweiligen Gesellschaft

19. Bedeutung für Unternehmen Was passiert, wenn ein Unternehmen seinen Mitarbeitern

    die Nutzung des betrieblichen E-Mail Postfaches zu privaten Zwecken gestattet ? Das Unternehmen wird damit automatisch zum "Diensteanbieter" im Sinne des Telekommunikationsgesetzes (TKG).

20. Bedeutung für Unternehmen „Diensteanbieter im Sinne des TKG ist jeder,

    der ganz oder teilweise geschäftsmäßig Tele- kommunikationsdienste erbringt oder an der Erbringung solcher Dienste mitwirkt (§ 88 Abs. 1 S.1 i.V.m. § 3 Nr.6 ).“ Lt. TKG muss dabei keine Gewinnerzielungsabsicht vorliegen.

21. Bedeutung für Unternehmen Warum wird der Arbeitgeber zum Diensteanbieter ?

    Der Arbeitgeber schafft durch seine Erlaubnis zur privaten Nutzung der betrieblichen Infrastruktur ein nachhaltiges Angebot für den Arbeitnehmer. Da es sich hierbei nicht um betriebliche, sondern um private E-Mails handelt, spricht man in diesem Fall auch beim Arbeitnehmer von „Dritten“.

22. Bedeutung für Unternehmen Kann eine Behörde Diensteanbieter sein? JA, das

    TKG macht kein Unterschied zwischen privaten und öffentlichen Arbeitgebern. Die Schutzbedürftigkeit der Mitarbeiter einer juristischen Person des öffentlichen Rechts ist genauso hoch, wie die der Mitarbeiter eines privaten Unternehmens.

23. Bedeutung für Unternehmen Und damit fangen die Probleme an: Das

    Fernmeldegeheimnis und der Datenschutz verbieten dem Arbeitgeber den Einblick in die private Kommunikation der Mitarbeiter. Gleichzeitig wird aber die Archivierung der betrieblichen Kommunikation gesetzlich gefordert. Durch die Archivierung des gesamten E-Mail Verkehrs verletzt der Arbeitsgeber hiermit die gesetzlich geschützte Privatsphäre der Mitarbeiter!

24. Bedeutung für Unternehmen E-Mail-Archivierung des Unternehmens bei privater Nutzung des

    E-Mail-Systems durch Arbeitnehmer Die Beachtung des Fernmeldegeheimnisses und die Einhaltung des Datenschutzes machen eine E-Mail Archivierung sehr schwer, eigentlich aber gar nicht durchführbar.

25. Bedeutung für Unternehmen Lösungsansätze für den Konflikt zwischen E-Mail- Archivierung

    und Fernmeldegeheimnis/Datenschutz • Anlegen einer privaten neben der geschäftlichen E-Mailadresse • Kennzeichnung der privaten E-Mails • Anlegen eines Ordners mit privaten E-Mails • Mitarbeitereigene Mobilgeräte • Surfstationen für Arbeitnehmer • Zugriff auf Web-Accounts • Einwilligung in die Archivierung der privaten E-Mails • Totalverbot des Einsatzes von E-Mails zu privaten Zwecken im Unternehmen

26. Bedeutung für Unternehmen Das Totalverbot als einzig wirksame Lösung? •

    Der Arbeitgeber wird somit nicht zum Telekommunikationsanbieter, damit gilt das Fernmeldegeheimnis nicht • Rechtsunsicherheiten für Arbeitgeber und Arbeitnehmer werden vermieden • Keine Probleme bei SPAM-Filter, Vertretungszugriffen, Archivierung und Kontrollen • Der Arbeitgeber kann beliebig und unbegrenzt die E-Mails der jeweiligen Mitarbeiter archivieren, da alle Mails und Daten als betriebliche Kommunikation gelten

27. Bedeutung für Unternehmen ABER VORSICHT! Das Verbot sollte im Unternehmen

    kommuniziert und schriftlich fixiert werden. Das Verbot muss kontrolliert und in der Praxis durchzusetzen werden (Vorsicht Duldung).

28. Technische Lösungen Revisionssichere Archivierung von E-Mails Die folgenden 10 Grundsätze

    hat der Verband Organisations- und Informationssysteme (www.voi.de) definiert: • Jede E-Mail wird unveränderbar archiviert • Es darf keine E-Mail auf dem Weg ins Archiv oder im Archiv selbst verloren gehen • Jede E-Mail muss mit geeigneten Retrieval-Techniken (zum Beispiel durch das indexieren mit Metadaten) wiederauffindbar sein • Es muss genau die E-Mail wiedergefunden werden, die gesucht worden ist • Keine E-Mail darf während der vorgesehenen Lebenszeit zerstört werden können • Jede E-Mail muss in genau der gleichen Form, wie sie erfasst wurde, wieder angezeigt und gedruckt werden können. • Alle E-Mails müssen zeitnah wiedergefunden werden können

29. Technische Lösungen • Alle Aktionen im Archiv, die Veränderungen in

    der Organisation und Struktur bewirken, sind derart zu protokollieren, dass die Wiederherstellung des ursprünglichen Zustandes möglich ist. • Elektronische Archive sind so auszulegen, dass eine Migration auf neue Plattformen, Medien, Softwareversionen und Komponenten ohne Informationsverlust möglich ist. • Das System muss dem Anwender die Möglichkeit bieten, die gesetzlichen Bestimmungen (BDSG, HGB, AO etc.) sowie die betrieblichen Bestimmungen des Anwenders hinsichtlich Datensicherheit und Datenschutz über die Lebensdauer des Archivs sicherzustellen. Keine Manipulation durch Admin/root, Geschäftsführung oder Hacker darf möglich sein. Ein Root-Passwortschutz für die Datenbank o.ä. ist nicht ausreichend.

30. Technische Lösungen Wie können die E-Mails revisionssicher gespeichert werden?

31. Technische Lösungen WORM (write once read many) übersetzt „schreibe einmal,

    lese vielfach“ WORM bezeichnet Vorkehrungen, die das Löschen, Überschreiben und Ändern von Daten ausschließen. Die unter WORM fallenden Datenspeicher können nur gelesen und fortsetzend bis zur Kapazitätsgrenze beschrieben werden. Zum Einsatz können dabei sowohl Hardware-Lösungen als auch Software-Lösungen kommen.

32. Technische Lösungen Kryptographische Signierung Einsatz von signierten Zeitstempel akkreditierter Dienste

    (SigG), die nachträglich nicht mehr manipulieren werden können. Zu beachten ist aber das z.B. eine MD5 Signatur heute schon als unsicher gilt und somit ein Nachsignieren des Datenbestandes möglich sein sollte bevor die aktuellen Algorithmen unsicher werden.

33. Technische Lösungen Konzepte für eine rechtssichere E-Mail Archivierung • Archivierung

    auf dem User Desktop oder Server Unzuverlässig, Lücken in der Archivierung, nicht revisionssicher • Automatische Archivierung auf dem Server Mittels einer entsprechenden Software wie z.B. Mailstore oder der Funktionalität des Groupware Servers • Automatische Archivierung vor dem Server Kopien der ein- und ausgehenden E-Mails auf ein Archivsystem umleiten

34. Technische Lösungen Automatische Archivierung auf dem Server Einsatz von spezieller

    Software wie Mailstore o.a., einem Plugin für den Groupware Server oder Funktion eines Groupware Servers Vorteile: • Zentrale Administration über ein Admin-Interface • Speicherung der Daten in der Datenbank der Archivierungssoftware oder des Groupware Servers • Userfriendly - Benutzer können einfach auf das Archiv zugreifen und evtl. E-Mails rücksichern

35. Technische Lösungen Automatische Archivierung auf dem Server Nachteile: • Migration

    des Groupware Servers nur schwierig möglich, evtl. die nächsten 10 Jahre nebenher weiterbetreiben • Abhängigkeit zum Softwarehersteller (Wissen Sie noch welche Software in 2002 bei Ihnen eingesetzt wurde?) • Meist werden interne E-Mails mit erfasst und gesichert (unnötige Erhöhung der Storage-Größe) • Nutzung der Software garantiert nicht automatisch die revisionssichere E-Mail-Archivierung.

36. Technische Lösungen Automatische Archivierung vor dem Server Nutzung eines SMARTHOSTs

    oder SMTP Proxys. Dadurch werden die E-Mails aus dem eingehenden und ausgehenden SMTP Verkehr erfasst. Vorteile: • Interner E-Mail Verkehr wird nicht erfasst = deutlich kleinere Datenmenge • Unabhängige Speicherung der E-Mails in Dateisystem oder Datenbank je nach Hersteller des Archivsystems • Unabhängigkeit von jeglichen E-Mail-Server oder Groupware-Server • Größere Unabhängigkeit vom Softwarehersteller des Archivsystem

37. Technische Lösungen Automatische Archivierung vor dem Server Nachteile: • User

    unfriendly - Zugriff entweder nur über IMAP ReadOnly oder über Webinterface Archiv ist vorrangig für Betriebsrevision da, nicht für den Endnutzer!

38. Technische Lösungen Automatische Archivierung vor dem Server Nutzung einer Appliance

    Abbildung des kompletten Prozesses in einer Server Hardware oder als Virtuelle Instance (VM-Ware, Xen, Hyper-V bedingt) Die Appliance nimmt E-Mails aus dem Internet oder Ihrem Provider an, setzt die Filterregelung zur Archivierung ein, leitet die E-Mails ins Archiv und an den E-Mail Server.

39. Technische Lösungen Optimierung der Einführung der E-Mail-Archivierung Nutzen Sie die

    Gelegenheit für eine saubere Neu-Strukturierung des E-Mail Verkehrs: • Viren- und Spamschutz Konzept • Klärung der rechtlichen Aspekte (private Nutzung/ Datenschutz) • Wahl des passenden Archivierungsverfahrens Bedenken Sie dabei aber: Die Archivierung ist seit 1.1.2006 Pflicht für alle zuvor genannten Unternehmen!

40. Case Study Rechtsichere E-Mail Archivierung in der Cloud - ein

    Beispiel

41. Case Study Zwischenruf - einfache Begriffserklärung On Premise: Vollständig eigene

    Verantwortung und nach eigenen Vorgaben Eigenverantwortliche Hard- und Software Beschaffung und Betreibung Private Cloud: Nutzung einer Infrastruktur oder Applikation, die vom Dienstanbieter nach Kunden-Vorgaben zur Verfügung gestellt werden Public Cloud: Nutzung vorhandener Infrastruktur gemeinsam mit anderen Nutzern

42. Case Study Zwischenruf – Das (E)SMTP Protokoll Sendender Server (Client)

    Empfangender Server Erläuterung mail.emailserver.net 25 Client ruft Server 220 service ready Server meldet „bereit“ (E)HELO foobar.vonirgendwo.net Client nennt Namen 250 OK Server bestätigt ok MAIL FROM:<[email protected]> Client nennt Absenderadresse 250 OK Server bestätigt ok RCPT TO:<[email protected]> Client nennt Empfängeradresse 250 OK Server bestätigt ok DATA Client kündigt Inhalt der E-Mail an 354 start mail input Server bereit für diesen längeren Vorgang

43. Case Study Zwischenruf – Das (E)SMTP Protokoll Überprüfung durch Smarthost

    auf SPAM oder Viren vor Annahme der E-Mail Überprüfung durch Smarthost, ob Empfänger existiert vor Annahme der E-Mail Sendender Server (Client) Empfangender Server Erläuterung From: <[email protected]> To: <[email protected]> Subject: Testmail Date: Wed, 25 Apr 2012 19:30:00 +0100 “Nachrichtentext” . Virenscanning und Spamfiltering Client sendet Inhalt der E-Mail und markiert das Ende durch eine Zeile, die nur einen Punkt enthält. 250 OK Server bestätigt und übernimmt die Verantwortung für die Nachricht QUIT Client fordert Verbindungstrennung an 221 closing channel Server kündigt Trennung an

44. Case Study Aufbau und Vorteile der Cloud-Lösung: • Unterbringung in

    einem TIER III Rechenzentrum in Frankfurt am Main (IDW PS951) • Schutz durch hochverfügbaren Firewall-Cluster • Hochverfügbare Smarthost-Instanz mit Spamfilterung und Virenschutz • Archivierungsinstanz archiviert E-Mails in einer SQL Datenbank • Automatische Archivierung der eingehenden und ausgehenden E-Mails • Minimum 1x tägliche Bildung eines Hashwertes SHA(512) und Signierung mittels Zeitstempel eines durch die Bundesnetzagentur akkreditierter Zeitstempeldienstes • Speichermedium (hochverfügbare Storage-Lösung)

45. Case Study Aufbau und Vorteile der Cloud-Lösung: • E-Mails getrennt

    pro E-Mailadresse • Ein Container fasst eine Firma zusammen • Einfaches und schnelles durchsuchen des Archives über Webinterfaces • Zusenden einzelner E-Mails aus dem Archiv bei Verlust • Protokollierung aller Aktivitäten im Archiv • Keine Investition in Hardware • Keine Updatekosten und Administrationskosten • Komplett unabhängig von Ihrem eingesetzten E-Mailservice

46. Case Study Anbindung an das Archiv Der Smarthost ist Dreh

    und Mittelpunkt in der E-Mail Kommunikation, er empfängt und versendet Ihre E-Mails und leitet Kopien nach vereinbarten Regeln an das Archiv • Klassisch Anbindung: Nutzung des gehosteten E-Mailservices Sie holen Ihre E-Mails per POP(S), IMAP(S) und versenden diese per (E)SMTP Der Smarthost kopiert Ihre ein- und ausgehenden E-Mails in Ihr Archiv

47. Case Study Anbindung an das Archiv • E-Mailserver oder Services

    gehostet, E-Mailclients direkt angebunden E-Mailclients (Outlook) direkt an Microsoft Exchange Online oder Standard E- Mailserver Online angebunden Clients synchronisieren sich mit dem Online E-Mailserver im eigenen Protokoll Der Online E-Mailserver empfängt versendet über den Smarthost Der Smarthost kopiert Ihre ein- und ausgehenden E-Mails in Ihr Archiv

48. Case Study Anbindung an das Archiv • Direkte Anbindung an

    den Smarthost Ihr lokaler E-Mailserver ist direkt an den Smarthost angebunden Nutzt Smarthost zum Empfangen und Versenden Ihrer E-Mails Hat deutliche Vorteile in Sicherheit und Handling zu herkömmlicher Anbindung Der Smarthost kopiert Ihre ein- und ausgehenden E-Mails in Ihr Archiv

49. Case Study

50. Case Study Variante 2 Lokale Exchange- oder E-Mail Lösung

51. Case Study Speicherbedarf in GB – Beispielrechnung 1. – 10.

    Jahr: Grundlage: E-Mails mit 25kB durchschnittliche Größe / jährliche Steigerung um 10% 0 20 40 60 80 100 120 1 2 3 4 5 6 7 8 9 10 50 E-Mails/ Tag 100 E-Mails/Tag 200 E-Mails/Tag 400 E-Mails/Tag 800 E-Mails/Tag

52. Case Study Kosten für die Online-Archivierungslösung: Diese Berechnung umfasst alle

    Kosten der Cloud-Archivierungslösung inklusive Backup in einem 2. Rechenzentrum. Stellen Sie diese Berechnung Ihren Kosten für Energie, Administration, Hard- und Software, Ersatzbeschaffungen und Backup bei einer Inhouse-Lösung gegenüber. E-Mail/Tag 1. Jahr 4. Jahr 8. Jahr 10. Jahr Gesamt 50 306 338 396 435 3.600 100 314 377 493 572 4.266 200 332 457 691 846 5.563 400 366 617 1085 1396 8.159

53. Vielen Dank für Ihre Aufmerksamkeit! Sie finden diese Präsentation bei

    www.jochum-mediaservices.de/ speakerdeck.com/u/mjochum/ Für Fragen und persönliche Beratungen stehen wir gerne zur Verfügung. jochum-mediaservices Rechtliche Beratung (Teil 1 und 2) Michael Jochum RA Willi Marnet Eichenstraße 17 Rheinvorlandstraße 10 63533 Mainhausen 68159 Mannheim Stand: 24.07.2012