Durch rechtliche Anforderungen sind Unternehmen verpflichten, ihre geschäftsrelevanten E-Mails manipulationssicher über lange Zeiträume zu archivieren. Ein revisionssicheres E-Mail-Archiv ist daher ein wesentlicher Bestandteil der Compliance von Informationssystemen. IT-Analysten wie Gartner empfehlen, hierbei auf die Dienste eines Cloud oder Managed Service zurückzugreifen. Mit derartigen Archivlösungen lassen sich E-Mails zuverlässig, langfristig und revisionssicher ablegen. Die dort gespeicherten Nachrichten sind unveränderlich, vor unbefugtem Zugriff geschützt und auch bei sehr großen Volumina binnen Sekundenbruchteilen auffindbar.
Was es bei einem revisionssicheren E-Mail-Archiv im Einzelnen zu beachten gilt und welche Anforderungen ein Managed Service dabei erfüllen sollte, finden Sie im Folgenden zusammengefasst. Die aufgeführten Punkte orientieren sich an den zehn Merksätzen zur revisionssicheren Archivierung des „Verbands für Organisations‐ und Informationssysteme e.V.“. Diese wiederrum leiten sich aus den entsprechenden Vorschriften des Handelsgesetzbuchs ab:
1. „Jedes Dokument muss nach Maßgabe der rechtlichen und organisationsinternen Anforderungen ordnungsgemäß aufbewahrt werden.“
Die Archivierung sollte daher von einem Managed Service in Echtzeit durchgeführt werden und sowohl interne als auch externe E-Mails umfassen.
2. „Die Archivierung hat vollständig zu erfolgen – kein Dokument darf auf dem Weg ins Archiv oder im Archiv selbst verloren gehen.“
Zur vollständigen und sicheren Archivierung gehört es deshalb auch, nicht nur die E-Mails selbst sondern auch alle E-Mail-Anhänge ordnungsgemäß aufzubewahren.
3. „Jedes Dokument ist zum organisatorisch frühestmöglichen Zeitpunkt zu archivieren.“
Die Archivierung durch den Managed Service sollte direkt bei Eingang beziehungsweise bei Versand der E‐Mails automatisiert erfolgen.
4. „Jedes Dokument muss mit seinem Original übereinstimmen und unveränderbar archiviert werden.“
Das Archivsystem sollte so aufgebaut und konfiguriert sein, dass eine manipulationssichere Aufbewahrung garantiert ist. Ein manuelles Löschen oder Ändern der archivierten E-Mails muss in jedem Fall unterbunden werden.
5. „Jedes Dokument darf nur von entsprechend berechtigten Benutzern eingesehen werden.“
Ein Managed Service muss mit einer verlässlichen Zugriffskontrolle sicherstellen, dass nur autorisierte Personen (beispielsweise nach dem Vier-Augen-Prinzip) Einblick in das Archiv erhalten.
6. „Jedes Dokument muss in angemessener Zeit wiedergefunden und reproduziert werden können.“
Um den schnellen Zugriff auf ein E-Mail-Archiv zu erleichtern, sollte ein Managed Service die Volltextsuche über den gesamten Archivierungszeitraum ermöglichen.
7. „Jedes Dokument darf frühestens nach Ablauf seiner Aufbewahrungsfrist vernichtet oder aus dem Archiv gelöscht werden.“
Ein Archiv sollte sich daher so konfigurieren lassen, das E‐Mails nach Ablauf der Aufbewahrungsfristen automatisiert gelöscht werden.
8. „Jede Aktion im elektronischen Archivsystem muss für Berechtigte nachvollziehbar protokolliert werden.“
In einem Audit‐Log sollte ein Managed Service alle Zugriffe genauestens dokumentieren. Dazu gehören neben der Nutzer‐ID auch Informationen zum Vorgang (beispielsweise die Suche oder der Download einer archivierten E-Mail) und der exakten Zugriffszeit.
9. „Das gesamte organisatorische und technische Verfahren der Archivierung kann von einem Sachverständigen Dritten jederzeit geprüft werden.“
Bei der Entscheidung für einen Managed Services Provider, sollten sich Unternehmen immer für einen verlässlichen und auditierbaren Anbieter entscheiden. Nur dann ist die Datenverarbeitung nach den jeweiligen lokalen Datenschutzrichtlinien möglich.
10. „Bei allen Migrationen und Änderungen am Archivsystem muss die Einhaltung aller zuvor aufgeführten Grundsätze sichergestellt sein.“
Die problemlose Migration in ein Archivsystem beziehungsweise der Export aus dem System heraus muss technisch sichergestellt sein. Dazu zählt auch die Unterstützung von gängigen Dateiformaten wie PST (Outlook) und NSF (Notes).
Neben diesen allgemeingültigen Vorschriften gilt es, im Einzelfall immer auch individuelle firmeninterne Regeln zu beachten. Ein Archiving-Diensteister sollte daher möglichst flexibel auf spezielle Datenschutz-Richtlinien für den Betriebsrat oder für Bewerbungsunterlagen eingehen können und Kunden entsprechend beraten.
Weitere Informationen zu den zahlreichen Funktionen des Retarus Enterprise E-Mail Archivs. Oder kontaktieren Sie direkt Ihren Retarus Ansprechpartnern vor Ort.