Die E-Mail-Kommunikation ist aus der Geschäftswelt kaum noch wegzudenken. Der Austausch mit Kunden, Kommunikation mit Kollegen, Aufträge an Lieferanten,… - all das geschieht häufig per Mail. E-Mail-Sicherheit ist dabei eines der wichtigsten Themen für jedes Unternehmen und das aus gutem Grund. Denn Betriebsausfälle führen schnell zum Verlust sensibler Daten und Umsatzeinbußen.
Im Rahmen einer Umfrage zur E-Mail-Sicherheit unter mehr als 420 Unternehmen mit Microsoft 365-Nutzung, hat Hornetsecurity herausgefunden, dass jedes vierte Unternehmen bereits einen Sicherheitsverstoß im Zusammenhang mit E-Mails gemeldet hat. Von diesen Sicherheitsverstößen wurden mehr als ein Drittel durch Phishing-Angriffe verursacht. Das Angriffsziel: der Endbenutzer, die wohl schwächste Stelle eines Sicherheitssystems.
Die Aufbewahrung geschäftlicher E-Mail-Kommunikation ist deshalb umso wichtiger. Ihre rechtlichen Anforderungen werden dabei aber oftmals vollkommen unterschätzt. Jegliche geschäftliche E-Mail-Kommunikation unterliegt der Archivierungspflicht. Was sich hinter der Archivierungspflicht verbirgt und wie Sie E-Mails revisionssicher und dsgvo-konform archivieren können, erfahren Sie in diesem Artikel.
Unter der E-Mail-Archivierung versteht man nichts anderes als das langfristige und systematische Schützen und Speichern von Daten in E-Mails. Die Pflicht zur Archivierung betrifft neben Kaufleuten und Handelsgesellschaften auch juristische Personen. Archivsysteme für E-Mail-Kommunikation können teuer werden. Grund dafür sind die vielen Anforderungen, die es erfüllen muss, wie zum Beispiel die Archivierungsdauer. Wie lange die Mails archiviert werden müssen, hängt von der Art der Korrespondenz ab. Jegliche herkömmliche geschäftliche E-Mail-Kommunikation hat eine Archivierungsdauer von sechs Jahren. Geht es um Buchungsbelege, Rechnungen oder Bilanzen, beträgt sie zehn Jahre.
Die E-Mail-Archivierungssysteme unterliegen hierbei den Grundsätzen zur ordnungsmäßigen Führung und Aufbewahrung. Das Ziel ist es, diese revisionssicher zu machen. Dabei müssen folgende Kriterien erfüllt sein:
- E-Mails müssen unverändert archiviert werden
- E-Mails müssen (kurzfristig) wiederauffindbar sein
- Es darf keine Mail verloren gehen und während der vorgesehenen Zeit gelöscht werden
- E-Mails müssen genau so angezeigt und gedruckt werden können, wie sie erfasst wurden
- Eine Migration auf neue Plattformen muss ohne Informationsverluste möglich sein
- Die Herstellung des ursprünglichen Zustands muss bei einer Veränderung in der Organisation und Struktur des Archivs möglich sein
Das ist aber leider nicht alles: denn revisionssicher bedeutet nicht direkt datenschutzkonform. In der Datenschutzgrundverordnung ist eine Löschpflicht für alle nicht mehr verwendeten personenbezogenen Daten niedergeschrieben. Doch wie ist das vereinbar mit der Pflicht, dass E-Mails vollständig und revisionssicher archiviert werden sollen?
Laut der DSGVO ist die Speicherung und Verarbeitung der Daten erlaubt, wenn es auf einen bestimmten Zweck hin erfolgt. Die Archivierung kann beispielsweise damit gerechtfertigt werden, dass die Erbringung einer bestimmten Leistung ohne die Verarbeitung dieser Kundendaten nicht möglich wäre.
Damit sowohl der Aufbewahrungs- als auch der Löschpflicht nachgegangen werden kann, ist es also wichtig, drei Aspekte zu beachten:
- Persönliche Informationen wie private Kommunikationen der Mitarbeiter erkennen und markieren.
- Daten klassifizieren, um entsprechende Aufbewahrungsfristen zu gewährleisten.
- Aufbewahrungsfristen definieren.
Managed E-Mail Security gilt als wichtiger Baustein in der IT-Sicherheit. Es ist bei der Auswahl eines Archivsystems für Ihre Unternehmen also essenziell, sowohl revisionssicher als auch datenschutzkonform vorzugehen. Daher sollten Sie umgehend über eine entsprechende Lösung nachdenken.
Wir informieren Sie dabei gerne und helfen Ihnen bei der Planung und Implementierung. Kontaktieren Sie uns gerne unverbindlich über unser Kontaktformular oder telefonisch unter der 07732 - 8232960.
Weitere Informationen für mehr E-Mail Sicherheit finden Sie unter Services > Managed E-Mail Security