Diese Seite wird nicht mehr gepflegt. Bitte besuchen Sie www.PROJECT-CONSULT.de
This website is no longer updated. Please visit www.PROJECT-CONSULT.de
E-Mail & Compliance
Artikel von Ulrich Kampffmeyer
Geschäftsführer der PROJECT CONSULT Unternehmensberatung, Hamburg; E-Mail: Ulrich.Kampffmeyer@PROJECT-CONSULT.com
E-Mail als Geschäftsbrief
E-Mail hat unser Leben verändert. Die schnelle Kom-munikation mittels E-Mail hat Schreibstil und Qualität unserer Nachrichten umgekrempelt, den Zeittakt der Beantwortung drastisch erhöht, den sauber formulierten Brief auf Papier nahezu verdrängt, und mit der Möglichkeit, gleichzeitig an beliebige und beliebig viele Adressaten die Nachricht zu versenden, zur digitalen Flut geführt. Die Verwendung von E-Mails hat den Kommunikationsfluss innerhalb der Unternehmen und zwischen Geschäftspartnern aber auch wesentlich erleichtert. Informationen erreichen die Empfänger sehr schnell, auch wenn diese gerade nicht erreichbar sind. Große Empfängergruppen können einfach mit Informationen in Form von Dateianlagen auch weltweit versorgt werden, die Weiterleitung passiert in Sekundenschnelle. Diese Vorteile führten zu einer ständig wachsenden Zunahme des E-Mailverkehrs und zur gleichzeitigen Notwendigkeit den E-Mail-Verkehr fachlich zu organisieren und technisch zu managen. Die Speicherung von E-Mails in eigenständigen Systemen begann ein Eigenleben neben Datenbanken, Dateisystemen und den Speichern von Anwendungssystemen zu führen. Der Medienbruch zwischen Papier und Elektronik fand sich so auf einem Mal auch in den verschiedenen elektronischen Systemen wieder.
E-Mail ist das vorherrschende Medium für die schnelle Kommunikation im Geschäftsleben geworden. E-Mails sind immer dann Geschäftsbriefe wenn es um geschäftliche, handelsrechtliche oder steuerlich relevante Inhalte geht. Alle E-Mails mit geschäftsrelevanten Informationen, sei es im E-Mail, sei es im Attachement oder sei es die Information hinter einem eingebetteten Link, sind Handelsbriefe und damit aufbewahrungspflichtig.
Das Stichwort Aufbewahrungspflicht hat die Archivierungsbranche zum Anlass genommen, spezielle Lösungen für E-Mail-Archivierung zu entwickeln. Gefordert sind aber das E-Mail-Management und die Erschließung der Information im Zusammenhang des Geschäftsgangs. Besonders durch das Thema Information Management Compliance getrieben schnellen die Verkaufszahlen einschlägiger Anbieter von E-Mail-Archivierungssoftware hoch und zwingen damit, die Hersteller von komplexeren ECM Enterprise-Content-Management-Produkten für ganzheitliche Informations-Management-Lösungen nachzuziehen.
Compliance & revisionssichere Archivierung
„Compliance“
Der Begriff Compliance hat sich als Schlagwort auch im IT-Umfeld eingebürgert. Besonders seitdem es in den USA eine Reihe von Prozessen und neuen Gesetzen wie dem SOA Sarbanes-Oxley-Act gegeben hat, sind die Schlagworte „E-Mail-Archivierung“ und „E-Discovery“ als Markttreiber für die Enterprise-Content-Management-Branche vielfach in Gebrauch gekommen. Inzwischen werden ganze IT-Architekturen und Softwaresysteme als „GRC Governance, Risk Management & Compliance“ Infrastrukturen ausgelegt. Allerdings gibt es für den englischsprachigen Begriff „Compliance“ keine sinnvolle deutsche „Ein-Wort-Übersetzung“, man benötigt schon einen ganzen Satz:
„Compliance ist die Übereinstimmung mit und Erfüllung von rechtlichen und regulativen Vorgaben“
Betrachtet man die einzelnen Komponenten dieser deutschsprachigen Definition, dann werden unterschiedliche Aspekte von Compliance deutlich.
• „Übereinstimmung“
Zum ersten wird vorausgesetzt, dass es nachlesbare, definierte, offizielle Vorgaben gibt, die die Regeln enthalten, was zu tun ist. Hier ist „Übereinstimmung“ gefordert, ohne dass die Regeln meistens eine technische Vorgabe enthalten, wie die Anforderung umzusetzen ist. Dies ist auch sinnvoll, da sich solche Vorgaben nicht an einer Technologie festmachen sollten, die in ein paar Jahren schon wieder obsolet ist.
• „Erfüllung“
Der Begriff „Erfüllung“ impliziert zweierlei: Einmal, dass die Anforderungen in einer Lösung umgesetzt werden müssen, und zum Zweiten, dass dies ein Prozess ist, keine einmalige Aktion. Das Unternehmen oder die Organisation muss kontinuierlich für die Einhaltung der Vorgaben Sorge tragen. „Erfüllung“ geht dabei meistens über eine rein technische Lösung hinaus und beinhaltet auch organisatorische und Management-Aspekte.
• „Rechtliche Vorgaben“
Hierbei handelt es sich um Gesetze oder behördliche Verordnungen, die bestimmte Unternehmen, Organisationen oder Personen verpflichten, die jeweils aufgeführten Regelungen einzuhalten. Hier kann man sich auch nicht um die Erfüllung „drücken“, lediglich in Hinblick auf Auslegung, Umfang und Umsetzungsweise besteht Handlungsspielraum.
• „Regulative Vorgaben“
Es gibt eine Reihe von Vorgaben, die sich nicht auf Gesetze berufen wie z.B. Normen, Standards, Codes of Best Practice von Branchen oder andere Vorgaben von Unternehmen und Verwaltungen selbst. Diese kann man als „regulative Vorgaben“ zusammenfassen. Vielfach ergeben sich aus gesetzlichen Vorgaben für einen bestimmten Anwendungsfall auch indirekte Auswirkungen und implizite Anforderungen für andere Fälle.
Besonders erschwerend für die Bewertung der Compliance-Relevanz von Unterlagen kommt hinzu, dass man zwischen „direkten“ und „indirekten“ Compliance-Anforderungen unterscheiden muss.
• „Direkt“
Direkte Anforderungen lassen sich in der Regel einfach identifizieren, indem man die Geschäftsfelder und –tätigkeiten gegen die relevanten Gesetze und Regularien abgleicht.
• „Indirekt“
Indirekte Anforderungen können sich aus Geschäftsbeziehungen, verwendeten Material oder der Tätigkeit in bestimmten geografischen Räumen ergeben. So z.B. die Anforderung eines Autoherstellers an seine Komponenten-Zulieferer bestimmte Auflagen zu erfüllen, obwohl der Zulieferer diesen nicht direkt unterliegt.
E-Mails unterliegen den gleichen Compliance-Anforderungen wie papiergebundene Geschäftskorrespondenz und andere elektronische Dokumente. Besonders bei E-Mail ergibt sich das Problem, dass der geschäftliche Charakter einer Nachricht oder des Attachments einer Nachricht nicht sofort für den Empfänger erkennbar ist. Die Bedeutung von empfangenen und versendeten E-Mails kann sich auch über die Zeit ändern. Etwas, was heute völlig unwichtig erscheint, kann bei einer Reklamation oder in einem Gerichtsprozess unter Umständen entscheidend sein.
Der Aufbewahrung und Erschließung von E-Mail kommt daher eine wichtige Bedeutung zu.
Revisionssicherheit bei der Archivierung
Im Zusammenhang mit der Aufbewahrung von E-Mails fallen häufig zwei Begriffe: Archivierung und Revisionssicherheit oder in Kombination: revisionssichere Archivierung.
• „Archivierung“
Unter Archivierung ist eigentlich die dauerhafte Aufbewahrung von Unterlagen zu verstehen. In Bundes- und Länderarchivgesetzen betrifft dies Unterlagen der Verwaltung und Kulturgut. Kulturgüter unterliegen vollständig der langfristigen Aufbewahrung. Schriftgut aus Verwaltungen wird nach Ablauf der Aufbewahrungsfrist, Bewertung und Aussonderung aufbewahrt. Hierbei sind Zeiträume von über 100 Jahren bis ewig zu verstehen. Im allgemeinen Sprachgebrauch wird aber der Begriff Archivierung bereits für Unterlagen benutzt, die nach Handelsrecht und Steuerrecht 6, 10 oder mehr Jahre aufbewahrt werden müssen. Hierunter fallen wie festgestellt auch E-Mails mit geschäftlichem Inhalt. Genaugenommen müsste man hier nicht von Archivierung sondern von Aufbewahrung sprechen. Im Umfeld der Archive und akademischen Institutionen wird daher seit einiger Zeit von Langzeitarchivierung gesprochen, um diese Form der unbeschränkten langzeitigen Aufbewahrung vom allgemeinen Begriff Archivierung abzugrenzen . Die elektronische Archivierung wird dabei verstanden als datenbankgestützte, langzeitige, sichere und unveränderbare Aufbewahrung von jederzeit wieder reproduzierbaren elektronischen Informationsobjekten. Im Folgenden wird der Begriff Archivierung im Sinne der gebrauchssprachlichen Bedeutung benutzt.
• „Revisionssicherheit“
Der Begriff Revisionssicherheit wurde 1992 vom Autor eingeführt, da es prinzipiell bei der Aufbewahrung und Speicherung von Informationen keine Rechtssicherheit geben kann. Revision versteht sich dabei als „rückblickend beurteilend“. D.h. eine Archivsystemlösung wird durch einen unabhängigen Dritten begutachtet, ob sie entsprechend Verfahrensdokumentation auch richtig betrieben, korrekt benutzt sowie alle Informationen wieder auffindbar und unverändert wieder bereitstellt. Daher gibt es auch keine Zertifikate für revisionssichere Produkte sondern eine Archivsystemlösung wird immer an ihrem Einsatzort entsprechend ihrer Nutzung geprüft. Revisionssicherheit ist keine technische Eigenschaft sondern schließt Prozesse, Benutzung, Sicherheitsauslegung, Betrieb, Organisation und Dokumentation ein.
In Ableitung von handelsrechtlichen und steuerrechtlichen Vorschriften gelten folgende grundsätzlichen Kriterien für die Revisionssicherheit:
E-Mails unterliegen den gleichen Compliance-Anforderungen wie papiergebundene Geschäftskorrespondenz und andere elektronische Dokumente. Besonders bei E-Mail ergibt sich das Problem, dass der geschäftliche Charakter einer Nachricht oder des Attachments einer Nachricht nicht sofort für den Empfänger erkennbar ist. Die Bedeutung von empfangenen und versendeten E-Mails kann sich auch über die Zeit ändern. Etwas, was heute völlig unwichtig erscheint, kann bei einer Reklamation oder in einem Gerichtsprozess unter Umständen entscheidend sein.
• Ordnungsmäßigkeit
• Vollständigkeit
• Sicherheit des Gesamtverfahrens
• Schutz vor Veränderung und Verfälschung
• Sicherung vor Verlust
• Nutzung nur durch Berechtigte
• Einhaltung der Aufbewahrungsfristen
• Dokumentation des Verfahrens
• Nachvollziehbarkeit
• Prüfbarkeit
Diese Kriterien gelten für alle Informationsobjekte unabhängig vom Medium und damit auch für E-Mail.
• „Rechtliche Vorgaben für die Archivierung von E-Mail“
Die Aufbewahrung von E-Mail kann in Deutschland aus verschiedenen gesetzlichen Vorgaben direkt oder indirekt abgeleitet werden.
Entsprechend Bürgerliches Gesetzbuch können die meisten geschäftlichen und vertragsrelevanten Vorgänge formfrei und damit auch per E-Mail durchgeführt werden.
Das Handelsgesetzbuch regelt die grundsätzlichen Voraussetzungen für die Aufbewahrung von Geschäftskorrespondenz und Handelsbriefen. Diese Pflichten werden in der Abgabenordung näher ausgeführt. Die umfangreichsten Vorgaben für die ordnungsmäßige Aufbewahrung sind in den GoBS für das Scannen, Speichern elektronischer Informationen, internes Sicherheitssystem und Verfahrensdokumentation niedergelegt. Die GDPdU enthalten die Vorgaben für die Außenprüfung, die den direkten Zugriff auf die gespeicherten steuerrelevanten Daten und Dokumente eines Unternehmens. Alle diese Vorgaben sind Medientypunabhängig und schließen E-Mail ein. Bei einer Außenprüfung nach den GDPdU hat der Steuerprüfer das Recht, auch in gespeicherten E-Mails recherchieren, wenn diese steuerlich relevante Informationen und Daten enthalten. Somit sind die betroffenen geschäftlichen E-Mails grundsätzlich elektronisch vorzuhalten.
Durch das EHUG wird verlangt, dass jede E-Mail einen Fußtext erhält, in dem Angaben zu Firmierung. Handelsregisternummer und Geschäftsführung/Vorstand enthalten sind. Damit wird im geschäftlichen Umfeld praktisch aus jeder E-Mail ein Geschäftsbrief.
Zu den allgemeingültigen Vorgaben des Geschäftsverkehrs kommen zahlreiche weitere Vorgaben, die branchenspezifisch sind oder mit bestimmten Aufgabengebieten wie Qualität, Verbraucherschutz, Umweltschutz, und anderen zusammenhängen.
Neben Handelsbriefen und steuerrelevanten Daten fallen auch solche Geschäftsbriefe, die in direktem Zusammenhang mit der geschäftlichen Tätigkeit anfallen – Angebote, Projektprotokolle, Produktunterlagen etc.- unter die Aufbewahrungsfrist. Hier ist außerdem ein Eigeninteresse der Unternehmen anzunehmen, alle geschäftliche Korrespondenz vollständig im Zugriff zu haben, um Forderungen und Reklamationen abwehren zu können. Es wird hier auch von den „Kardinalspflichten des ordentlichen Kaufmanns“ gesprochen.
Besondere Bedeutung erlangen E-Mails wenn sie elektronisch signiert sind, da dies einerseits den Beweiswert erhöht zum anderen aber ein elektronisches Original darstellt, dessen Signatur und Zertifikat nur elektronisch geprüft werden kann. Diese E-Mails müssen elektronisch aufbewahrt werden. Ein Ausdruck ist nicht ausreichend.
Jede E-Mail mit entsprechend relevantem Inhalt oder einem entsprechendem Attachment ist aufbewahrungspflichtig. Im Geschäftsverkehr betrifft dies die Mehrheit aller elektronischen Korrespondenz.
Technische und organisatorische Probleme der Aufbewahrung von E-Mail
• E-Mail-Programme
E-Mail-Software wurde für die Kommunikation und nicht für die Verwaltung von E-Mails ausgelegt. Die Postkorbfunktionalität der E-Mail-Softwaresysteme ist daher in ihrer Standardauslegung nicht auf die Ordnung und Archivierung konzipiert.
Solche Postkörbe sind auf einzelne Benutzer ausgerichtet, können aber über Vertreterregelung oder als Gruppenpostkörbe größeren Benutzerkreisen zugänglich gemacht werden. Gruppenpostkörbe sind besonders beim elektronischen Posteingang gebräuchlich wohin gegen der Versand von E-Mail in der Regel aus einem persönlichen Postkorb erfolgt und damit auch die persönliche Absenderkennung erhält. Die persönlichen Postkörbe haben zudem den Nachteil, dass die dort enthaltenen Informationen in der Regel anderen Nutzern nicht zur Verfügung stehen. Deshalb wird häufig bei der externen und internen Kommunikation die Funktion „cc“ Kopie oder „bcc“ Blindkopie benutzt, um die E-Mail mehreren Benutzern gleichzeitig zur Verfügung zu stellen. Dies führt zu unkontrollierter Redundanz und erschwert die Ermittlung eindeutiger Zuständigkeiten. Wenn nicht geklärt ist, wer eine E-Mail bearbeitet und ablegt führt dies zu einem Compliance-Problem. Dieses Problem verschärft sich, wenn die Anwender nicht über die geschäftliche Relevanz von E-Mail aufgeklärt sind und E-Mail ohne definiertes Regelwerk löschen oder unstrukturiert lokal ablegen.
Zwar können auch mit E-Mail-Systemen Ordnungsstrukturen aufgebaut werden, jedoch befinden sich in diesen nur E-Mails und diese häufig weiterhin getrennt nach Empfang und Versendung. Die Abbildung von geschäftlichen Zusammenhängen ist daher grundsätzlich nicht gegeben, da Dokumente und Daten aus anderen Systemen nicht einbezogen sind. Um E-Mail in einen größeren Zusammenhang zu stellen und den Geschäftsprozessen zuzuordnen, ist daher in der Regel die Überführung in ein Dokumentenmanagement-, Workflow- oder ähnliches System notwendig.
Gängige E-Mail-Systeme sind daher per se nicht geeignet ein ordnungsmäßiges Archivieren sicherzustellen. Hierfür ist heute spezielle Zusatzsoftware erforderlich.
• E-Mail aus technischer Sicht
Die Komplexität und Variabilität von E-Mail selbst verstärkt das Problem der Verwaltung. E-Mails können aus verschiedenen Systemen stammen und repräsentieren sich daher häufig nicht in der gleichen Form bei Absender und Empfänger.
Ein besonderes Problem stellen eingebettete Inhalte, Schachtelungen und Attachments dar. Bei eingebetteten Inhalten ist zwischen direkten eingebundenen Objekten, die als Anlage erscheinen, und verlinkten Objekten, die nachgeladen werden, zu unterscheiden. Im letzteren Fall ist nicht sicherstellbar, dass ein verlinktes Objekt genau den Zustand hat, der bei der Absendung gegeben war. Bei Schachtelungen werden andere E-Mails eingebettet, die wiederum eigene Anlagen haben können. Eine solche Schachtelung ist schwer nachzuvollziehen besonders wenn beim Einbetten Datumsfelder automatisch geändert wurden. Attachments bzw. Anlagen können in verschiedenen Formaten vorliegen, wo bei besonderen Formaten nicht sichergestellt ist, dass der Empfänger dieses anzeigen oder verlustfrei reproduzieren kann. Dieses Problem verschärft sich über die Zeit, wenn ältere E-Mails wieder zur Anzeige gebracht werden sollen. Zudem entsteht durch große Attachments eine Belastung des Systems, besonders wenn diese an große Verteiler versendet wurden.
Bereits aus technischer Sicht werden so besondere Anforderungen für die Überführung von E-Mails in ein E-Mail-Archivsystem gestellt.
• E-Mail aus organisatorischer Sicht
Die E-Mail-Korrespondenz wird zumeist von Individuen und nur in spezifischen Systemen von Anwendungssoftware erstellt und versendet. Für die Archivierungsfähigkeit von E-Mail kommt der Disziplin der Schreiber eine besondere Bedeutung zu. Vielfach werden keine sinnvollen Betreffzeilen ausgefüllt, E-Mails zu einem Sachverhalt einfach für einen anderen Zweck wiederverwendet oder mehrere nicht zusammenhängende Sujets in einer E-Mail behandelt. Dies erschwert beim Absender wie beim Empfänger die eindeutige Zuordnung zu einem Geschäftsprozess.
E-Mails können die Historie der Korrespondenz beinhalten, in dem über die Antwortfunktionalität der ur-sprüngliche Text in die neue E-Mail übernommen wird. Hier führt schon zu Problemen, wenn ein Benutzer seinen jüngsten Eintrag ob in der E-Mail einfügt und ein anderer dem Zeitablauf folgende immer unten den jüngsten Beitrag anfügt.
E-Mails werden im Vergleich mit dem herkömmlichen Brief auf Papier immer noch als „nicht so wichtige Korrespondenz“, „unverbindlich“ und nur zum „schnellen Informationsaustausch dienende“ betrachtet. Dies führt zwangsläufig zu Compliance.-Problemen, da vielfach in den Unternehmen und Behörden klare Richtlinien für den Umgang mit E-Mail fehlen.
Dies zeigt sich bereits beim Thema Schutz persönlicher Daten. Vielfach wird untersagt, E-Mail mit geschäftlichem Absender am Arbeitsplatz für private Zwecke zu nutzen, obwohl nicht verhindert werden kann, dass ein Mitarbeiter auch private E-Mails erhält wenn seine Unternehmens-E-Mail-Adresse bekannt ist. Die Rechtssprechung ist hier zudem nicht eindeutig, wann eine E-Mail Privatcharakter hat und dem Postgeheimnis unterliegt. Es wird hier unterschieden, dass eine noch nicht zugestellte E-Mail auf dem Server dem Postgeheimnis unterliege, wenn sie aber in den elektronischen Postkorb des Empfängers eingestellt wurde, sie in der Verantwortung des Empfängers unterstehe und nicht mehr unter das Postgeheimnis falle. Auch die geänderten Regelungen des BDSG helfen hier nicht eindeutig weiter, so dass unternehmensinterne Richtlinien für die Nutzung von E-Mail erforderlich sind.
Hierbei ist eine möglichst frühzeitige Bearbeitung und Ablage der E-Mails da erfahrungsgemäß nach einem längeren Zeitraum und bei größeren E-Mail-Mengen kein Mitarbeiter sich die Zeit nimmt (oder nehmen kann) nachträglich die E-Mails in eine geordnete Systematik zu überführen. Dies führt zur Frage, ob E-Mail-Archivierung überhaupt das adäquate Mittel ist, die E-Mail-Verwaltungsproblematik zu lösen.
Grundprinzipien
Für die Aufbereitung von E-Mails für die Speicherung außerhalb des E-Mail-Systems in einer E-Mail-Management-, E-Mail-Archiv-, Dokumentenmanagement- oder Enterprise-Content-Management-Lösung existieren zwei grundsätzliche Verfahren, die auch miteinander kombiniert werden können.
• Automatische Archivierung
Bei der automatischen, vollständigen Archivierung, auch „Journal-Archivierung“ genannt, werden von der E-Mail-Archivierungs-Software alle eingehenden und ausgehenden E-Mails vollständig oder selektiv archiviert. Dies erfordert keine manuellen Eingriffe und es besteht die Möglichkeit unabhängig vom Postkorb-System der E-Mail-Software Protokolle zu erstellen, was eingegangen und was versendet wurde. Speicherplatz wird hierbei nicht gespart, da die gesamte E-Mail-Kommunikation zunächst doppelt gespeichert wird – einmal im E-Mail-System und einmal im E-Mail-Archiv. Allerdings kann das E-Mail-System kontrolliert und sukzessive um ältere E-Mails entlastet werden, was jedoch einen Recherchezugriff über einen eigenen Clienten auf das E-Mail-Archiv notwendig macht.
„Journal“-Archivsysteme verfügen in der Regel auch über intergierte Filterfunktionen oder nutzen externe Dienste um eine Selektion anstelle der vollständigen Archivierung durchzuführen. So lassen sich Virenbehaftete E-Mails, Spam und andere unerwünschte Inhalte ausfiltern. Unter Compliance-Gesichtspunkten ist zu klären, ob die Filterung zulässig und genau genug ist. Z.B. lassen zu „scharf“ eingestellte Firewalls elektronisch signierte Dokumente unter Umständen nicht durch, da sie die kryptografisch encodierte Signatur als möglicherweise gefährlichen Inhalt identifizieren. Bei ungenauer Festlegung der Selektionskriterien werden rechtliche Anforderungen nicht erfüllt.
• Individuelle Archivierung
Die individuelle Archivierung setzt darauf, dass die Anwender selbst entscheiden, welche E-Mails archivierungspflichtig sind und diese dem Archiv zuordnen. Das Zuordnen kann durch Automatismen unterstützt werden, die z.B. darauf hinweisen, dass die Begriffe in der E-Mail vermuten lassen, dass sie archiviert werden muss. Der Prozess des manuellen Archivierens kann dadurch optimiert werden, dass man einfach Postfächer mit Drag&Drop für verschiedene Arten von E-Mails anbietet, die dann eine automatische Zuordnung zum richtigen Speicherort vornehmen. Im Regelfall wird aber eine mehr oder weniger ausführlich Index-Maske aufgeblendet, die vom Anwender eine Reihe von Angaben für die Klassifikation und Zuordnung der E-Mail verlangt. Auch solche Eingabe-Masken können durch Voreinstellungen, Vorschläge und Vererbung von Eigenschaften so eingerichtet werden, dass eine schnelle und sichere Erfassung möglich ist. In Bezug auf die Compliance-Anforderungen ist hier die Argumentation, dass der Sachbearbeiter im aktuellen Zusammenhang des Geschäftsprozesses die beste und sicherste Zuordnung vornehmen kann. Außerdem habe der Mitarbeiter dies auch bereits während der herkömmlichen Arbeit mit Papier getan und so könne ihm auch zugemutet werden, den geringen Aufwand für die Klassifizierung und Einordnung der E-Mails vorzunehmen.
Bei der individuellen Archivierung durch Mitarbeiter kommt es in hohem Maße darauf an, Disziplin, Akzeptanz und Kenntnis über die Inhalte der E-Mails durch geeignete Qualifizierungsmaßnahmen und regelmäßige Nachprüfung zu erreichen.
Verschiedene Lösungsaspekte
• E-Mail-Management statt E-Mail-Archivierung
Grundsätzlich ergibt sich aus den Compliance- und Organisationsanforderungen, dass E-Mails in ihren Sachzusammenhang gestellt werden müssen. Dies muss zu einem möglichst frühen Zeitpunkt der Bearbeitung der E-Mails geschehen. Die Archivierung ist ein Prozess, der eigentlich am Ende der Bearbeitung zum Abschluss eines Prozesses steht. Eine grundsätzliche Forderung ist daher das E-Mail-Management, das die Informationen frühzeitig in eine geordnete Verwaltung überführt und die revisionssichere Archivierung als Ablagekomponente enthält. Bei der Archivierung handelt es aber sich nicht um eine isolierte, nur auf E-Mail beschränkte Komponente, sondern ein für alle Informationstypen nutzbaren, Datenbankerschlossenen sicheren Speicherort, der die E-Mail in ihren Sachzusammenhang mit anderen Daten und Dokumenten sowie Protokollen einbettet.
Solche Zusammenhänge abzubilden ist eine Spezialität von Enterprise-Content-Management-Systemen: Eine einheitliche ECM-Infrastruktur, ein Dienste-Konzept, in dem es nur einen Archiv-Service gibt, ein übergreifend nutzbares Gesamtarchiv mit allen Informationen aus allen Anwendungen, dessen Inhalt unabhängig vom Informationstyp und der Informationsquelle nutzbar ist. Jedes professionelle ECM-System ist daher auch in der Lage mit der Archivierung von E-Mails umzugehen.
Von einer reinen E-Mail-Archivierung als geschlossene, spezialisierte Lösung ist daher abzuraten. Dies gilt auch für Systeme zum automatisierten Verschieben von E-Mails in andere Speicherbereiche wie auch für sogenannte Appliances.
• Speicherplatzauslagerung ist keine Lösung
Vielfach werden für die Entlastung von E-Mail-Servern Auslagerungssysteme angeboten, bei den ältere E-Mails regelbasiert auf einen externen Speicher verschoben werden. Eine solche rein technische Lösung in Form von ausgelagertem Speicherplatz löst dabei die Probleme nicht, sondern schafft zusätzlich Risiken wenn ältere Datenbestände nicht mehr zur Verfügung stehen oder die gespeicherten Nachrichten mit ihren Anlagen nach einiger Zeit nicht mehr angezeigt und reproduziert werden können. Da das Zurückspielen solcher Sicherungen in die ursprüngliche Anwendung nicht immer möglich ist und besonders nach mehreren Upgrades und Systemwechseln gefährdet erscheint, muss unter Compliance-Gesichtspunkten geprüft werden, ob ein solches Verfahren zulässig ist.
• E-Mail-Archivierung-Appliances
Eine Appliance ist eine kombinierte Lösung bestehend aus Hardware und vorkonfigurierter Software. Besonders im Bereich der E-Mail-Archivierung werden solche Appliances angeboten, die bereits beim Eingang auf dem E-Mail-Server alle E-Mails archivieren. Hierbei werden auch möglicherweise private Nachrichten, Spam-Mail und virenbehaftete E-Mails erfasst. Diese vollautomatisch ablaufenden sind eher als Sicherungssysteme zu betrachten, um alle Korrespondenz vollständig und ohne manuellen Eingriff zu speichern. Sie erfüllen nicht die Anforderungen an einen datenbankgestützten Zugriff auf E-Mails im Sachzusammenhang. Unter Compliance-Gesichtspunkten ist zu prüfen, ob trotz geringer Kosten bei Beschaffung und Betrieb das Verfahren die rechtlichen wie auch die internen Anforderungen erfüllt.
• Automatische Klassifikation
Die automatische Klassifikation spielt eine wichtige Rolle bei der Überwindung des Flaschenhalses der manuellen Zuordnung. Mit Mitteln der automatischen Klassifikation können die Inhalte von E-Mails ausgelesen und die E-Mails dann zur Speicherung im Sachzusammenhang bereitgestellt werden. Bei der automatischen Klassifikation gibt es mehrere Ansätze, die Inhalte einer E-Mail zu verarbeiten: selbstlernende und regelbasierte Systeme sowie Lösungen, die für die Klassifikation auch auf bestehende gesicherte Datenbestände zum Abgleich und zur Zuordnung zugreifen. Die Qualität der Klassifikation ist dabei in starken starkem Maße davon abhängig, das sich aus Absender, Empfänger und enthaltenden Begriffen oder Kennzahlen eine Zuordnung ermitteln lässt, die eine strukturierte Ablage erlaubt. Bei der weniger verbreiteten selbstlernenden Software gibt es hier die größten Abhängigkeiten. Bei regelbasierter Software ist eine ständige Pflege notwendig, um eine hohe Qualität der Zuordnung erreichen. Durch den Abgleich mit vorhandenen Daten lässt sich nicht nur die Qualität erhöhen sondern zugleich auch eine Zuordnung der E-Mail zu Geschäftsvorfällen und Bewegungsdaten in kaufmännischen Systemen erreichen. Innerhalb einer geschlossenen E-Mail-Management-Lösung beschränkt sich die Zuordnung nur auf die E-Mails und ihre Attachments. Bei einer übergreifenden Lösung können durch automatische Klassifikation auch andere Daten und Dokumente mit den E-Mails in einen Sachzusammenhang gebracht und zum Beispiel als elektronische Akte dargestellt werden. Unter Compliance-Gesichtspunkten ist zu prüfen, ob die Verfahren der automatischen Klassifikation ausreichend in der Qualität sind und welche Verfahren zur Überprüfung, z.B. Stichproben, notwendig sind, die Ordnung der Ablage zu gewährleisten.
• Single-Instance-Archivierung
Unter Single-Instance-Archivierung versteht man die Herauslösung der Attachments aus den E-Mails, ihren Vergleich und die anschließende nur einmalige Speicherung des Attachments. Hierdurch werden gleich mehrere Probleme adressiert: gleiche E-Mail mit Attachment an mehrere Adressaten kostet viel Speicher, Vermeidung Unkontrollierte Redundanz und Schaffung eines nur einmal geschaffenen „Original-Attachment“. Im E-Mail-System oder in der E-Mail-Management-Software wird nur der Körper der E-Mail mit einem Link auf das nur einmal archivierte Attachment gespeichert.
Zum Einen wird durch dieses Verfahren viel Speicherplatz gespart, da Attachments erfahrungsgemäß wesentlich größer sind als die E-Mail-Körper. Zum Zweiten wird sichergestellt, dass das Attachment mindestens einmal und nur einmal gespeichert wird. Bei Weiterleitung sogenannter „Stubs“, d.h. E-Mail-Körper ohne Attachment, wird nur noch der Link versendet und reduziert damit zumindest bei der internen Anwendung von E-Mail die Menge der versendeten Information. Wichtiger noch ist, dass das Attachment unveränderbar und nur einmal abgelegt wird. Bei bearbeitungsfähigen Formaten wie Textdateien wird so verhindert, dass durch Bearbeitungen und Weiterleitungen zahlreiche unterschiedliche Versionen unkontrolliert kursieren. Dabei kann auch gegen bereits im Dateisystem vorliegende Informationsobjekte abgeglichen werden, so dass auch hier die Eindeutigkeit verbessert und Identität der Objekte gewährleistet wird. Letzteres setzt voraus, dass nicht nur eine Softwarefunktionalität nur für E-Mail eingesetzt sondern das Single-Instancing Bestandteil einer ganzheitlichen Lösung ist. Unter Compliance-Gesichtspunkten wird so sichergestellt, dass das Attachment auch bei zahlreichen Empfängern immer identisch ist und Löschungen von Attachments in E-Mails nicht mehr notwendig sind.
• Renditioning bei der Archivierung
Da viele E-Mail- und Attachment-Formate proprietär und nicht stabil, weil nachträglich veränderbar, sind, hat sich in größeren Lösungen der Einsatz eines Renditioning-Dienstes bewährt. Der Renditioning-Dienst erzeugt automatisch beim Speichervorgang eine Anzeige-Kopie in einem stabilen Langzeitformat. Hier hat sich das PDF/A-Format bewährt. Das Original-Dokument und die erzeugte Langzeitformat-Rendition werden im System zusammenhängend unter dem gleichen Index verwaltet und dem Anwender je nach Einstellung seines Clienten die geeignetere Version oder beide angeboten. Unter Compliance-Gesichtspunkten ist so gewährleistet, das sowohl die originale Datei wie auch eine immer anzeigefähige Version des Dokumentes vorhanden ist. Unter Compliance-Gesichtspunkten ist dies eine optimale Lösung, die allerdings wiederum den Speicherbedarf mehr als verdoppelt.
• E-Mail-Archivierung-Outsourcing
Eine Lösung, die immer mehr an Bedeutung gewinnt, ist das Outsourcing der E-Mail-Archivierung an einen Dienstleister. Hier gibt es zahlreiche Angebote von Google bis zum lokalen Rechenzentrum. Man erledigt sich der E-Mails in dem man sie direkt über einen solchen Provider verschickt und auf dessen Systemen belässt oder aber an einen Dienstleister die E-Mails versendet. Solche Dienstleistungen bieten inzwischen auch Unternehmen an, die bisher nur Papierakten geordnet in Kartons abgeholt, verwaltet und bei Bedarf wieder zugestellt haben. Jedoch stellen sich hier unter Compliance-Gesichtspunkten besondere Probleme. E-Mails müssten für das Outsourcing auch vorselektiert sein, damit nicht benötigte Informationen den Geschäftsprozessen entzogen werden. Bestimmte Inhalte dürfen z.B. nicht im Ausland gespeichert, so z.B. im steuerrechtlichen Bereich. Viele Informationen dürfen aus vertraglichen oder Sicherheiterwägungen das Unternehmen nicht verlassen. Und über allem stehen immer noch die Vertrauensfragen der Internet-Wirtschaft: wie sicher sind die Verbindungen, sicher ist der Anbieter, wem gehören die überlassenen E-Mails, werden diese ausgelesen, was passiert bei einer Akquisition oder einem Merger mit meinen Daten, stellt der Anbieter nicht nur die Speicherung sondern auch die Anzeigefähigkeit sicher, usw., usw. unter Compliance-Gesichtspunkten sind gerade bei E-Mail-Management für die meisten Anwenderunternehmen in Deutschland SaaS Software as a Service, Outsourcing und Cloud noch „rote Tücher“. Dies wird sich in den nächsten Jahren ändern.
Ausblick
Unter Compliance-Gesichtspunkten ist zu berücksichtigen, dass Unternehmen und Verwaltungen interne Kontrollstrukturen einrichten und betreiben müssen. Sie müssen nachweisen können, wie Informationen entstanden sind und auf welchen Quellen sie beruhen. Dies hat für die Unternehmen Konsequenzen auf der Kostenseite, da die Umsetzung der Anforderungen eine Zunahme der verwaltenden Tätigkeiten und damit indirekt eine Vergrößerung der Mitarbeiterzahl zur Folge hat. Dies hängt mit den planerischen und dokumentierenden Tätigkeiten aber auch mit der Umstellung der Prozesse zusammen.
Wird E-Mail-Archivierung isoliert betrachtet, so entsteht eine aufwändige Insellösung die die Compliance bei anderen Medien nicht erhöht. Daher wird heute von GRC Governance-, Risk-Management- und Compliance-Infrastrukturen gesprochen, die die notwendige Funktionalität allen Anwendungen im Unternehmen bereitstellen. E-Mail ist so nur ein Datentyp von vielen und wird mit allen anderen zusammen und im Zusammenhang nach den gleichen Kriterien verarbeitet. Die Erstinvestition ist bei einer solchen Infrastruktur deutlich höher als zum Beispiel bei einer reinen E-Mail-Archiv-Appliance, beginnt sich aber bereits bei der zweiten oder dritten Quelle anderer Daten und Informationsobjekte zu rentieren. Außerdem lässt sich nur so eine durchgängige Einhaltung der Compliance-Anforderungen erreichen. Systeme ausschließlich zur Verwaltung von E-Mails zu schaffen, ist daher deutlich zu kurz gesprungen und führt in eine Sackgasse. Die Lösung ist in Enterprise-Content-Management-Systemen zu sehen, die E-Mail als wichtige, aber eben nur als eine von vielen Facetten integrieren.
Aber auch jenseits von E-Mail, E-Mail-Archivierung, E-Mail-Management und Enterprise Content Management gibt es alternative Technologien, die an Bedeutung gewinnen. Portale und Soziale Netzwerke demonstrieren bereits heute, wie statt Versand von E-Mail in einer Datenbank -Einträge als Nachrichten präsentiert werden. Die zentralen Systeme erlauben so die Kontrolle und das Management der Nachrichten. E-Mail wird in den nächsten Jahren – trotz Spam- und Werbungsflut - nicht verschwinden, jedoch gibt es Alternativen, die viele spezifische Probleme von E-Mail heute schon vermeiden können. (Kff)

Rechtshinweis


Rechtshinweis, Urheberechte, Copyrights und Zitieren.




© PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH


Top
Seitentitel: Artikel_E-Mail&Compliance, Zitierung: http://www.PROJECT-CONSULT.com/home.asp?SR=992
Zuletzt aktualisiert am: 8.11.2010
CopyRight © 1992-2012 PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH
20251 Hamburg, Breitenfelder Str. 17, Tel.: +49-40-46076220, E-Mail, Rechtshinweis
Optimiert für MS Explorer 5.x, 6.x, 1024x768 Pixel, Cookies(on), JavaScript(on)
Diese Seite wird nicht mehr gepflegt. Bitte besuchen Sie www.PROJECT-CONSULT.de
This website is no longer updated. Please visit www.PROJECT-CONSULT.de