Archivierung: Dokumente und E-Mails rechtssicher archivieren

In Deutschland regeln Vorschriften die Archivierung von geschäftsrelevanten Dokumenten. Auch E-Mails in der Firma sind von der Archivierung betroffen.

Unternehmen müssen bestimmte Daten revisionssicher archivieren. Das soll eine nachträgliche Änderung der Daten verhindern. Geschäftsunterlagen müssen also sicher, vollständig, unverändert, fälschungssicher und recherchierbar archiviert werden. Das gilt nicht nur für den normalen Briefverkehr mit Rechnungen und Verträgen, sondern auch für E-Mails. Es werden aber immer mehr Dokumente elektronisch erstellt und per E-Mail versendet. Damit stehen IT-Leiter vor der Herausforderung, die gesetzlichen Vorschriften auch für diese Daten einzuhalten. Seit dem Steuervereinfachungsgesetz 2011 dürfen Rechnungen wesentlich unkomplizierter auch als E-Mail-Anhang versendet werden. Unternehmen, die eine solche Rechnung erhalten, müssen diese auch archivieren.

Der Gesetzgeber gibt Unternehmen nicht vor, ob geschäftskritische Daten elektronisch oder in Papierform aufbewahrt werden sollen. Im Sozialgesetzbuch und Handelsgesetzbuch ist zum Beispiel nur die allgemeine Aufbewahrung der Daten vorgeschrieben. Im Bereich der Archivierung spielen auch die „Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) eine Rolle. Hierbei handelt es sich um ein Regelwerk des Bundesfinanzministeriums zum Thema digitale Rechnungen auf Basis von PDF und wie Unternehmen, Steuerprüfer und das Finanzamt unterstützen müssen, um auf digitale Medien zugreifen zu können. Einige GDPdU-Vorschriften sind mittlerweile wieder aufgehoben, der Rest hat aber weiterhin Gültigkeit. Unternehmen, die steuerrelevante Dokumente archivieren, sollten die Regeln beim Einführen einer Archivierungslösung beachten.

Die digitale Archivierung beschreibt einen Vorgang, bei dem Daten in Datenbanken unveränderbar und fälschungssicher gespeichert sind. Die Datenbanken müssen natürlich entsprechend vor Ausfall geschützt werden. Hier bietet beispielsweise Microsoft mit SQL Server 2012/2014 verschiedene integrierte Technologien an.

Langzeitarchivierung beschreibt dabei die Archivierung von Dokumenten über mindestens 10 Jahre. Revisionssichere Archivierung legt dagegen fest, dass die Dateien unveränderbar gespeichert sein müssen. Das gilt zum Beispiel beim Versenden von Rechnungen in elektronischer Form. Die Aktionen im Archiv müssen protokolliert werden und die Dokumente müssen auffindbar sein. Digital signierte Dokumente lassen sich in Deutschland auch als Beweismittel einsetzen. Kann das Unternehmen nachweisen, dass die Dokumente seit der Speicherung im Unternehmen nicht verändert wurden, bleibt deren Beweiskraft erhalten (Beweiswerterhaltung).

E-Mails revisionssicher auslagern

Unternehmen, die auf Microsoft-Produkte wie Exchange oder SharePoint setzen, können diese Daten mit integrierten Funktionen rechtssicher archivieren. Während viele Anwender ihre E-Mails in PST-Dateien exportieren, stellen interne Mechanismen in Exchange sicher, dass die Archivierung auch rechtssicher ist. Das sind PST-Dateien nicht! In Exchange Server 2010/2013 können Unternehmen E-Mails „einfrieren“ und mit Richtlinien festlegen, welche E-Mails automatisiert archiviert werden sollen. Exchange bietet dazu die Möglichkeit, Anwendern zu überlassen, welche E-Mails archiviert werden sollen. Exchange kann aber auch durch Richtlinien automatisiert archivieren. Doch dazu später mehr.

Verträge und Dokumente sicher archivieren

Dokumente die in elektronischer Form vorliegen, lassen sich in Systemen wie SharePoint archivieren. Auch diese Vorgänge lassen sich automatisieren. Durch die Möglichkeit Versionen anzulegen und automatisiert Aufbewahrungszeiträume festzulegen, lassen sich Dokumente rechtssicher ablegen und weiter verwenden.

Unternehmen müssen bei automatisierten Archivierungen, zum Beispiel mit Exchange, darauf achten, dass private Kommunikation nicht ohne weiteres archiviert werden darf - auch über die geschäftliche E-Mail-Adresse. Das heißt, beim Einsatz automatisierter Archivierung von E-Mails, müssen die Mitarbeiter mit einbezogen werden. Sonst kann man nicht ausschließen, dass versehentlich private E-Mails archiviert werden.

Unternehmen können das verhindern, indem sie private E-Mails verbieten und das regelmäßig überprüfen. Alternativ erlauben Firmen den Anwendern das Senden privater E-Mails über nicht archivierte private Adressen. Das ist auch der empfohlene Weg. Eine weitere Möglichkeit ist das Anlegen von speziellen privaten Ordnern im Postfach des Anwenders. Diese Ordner dürfen dann nicht archiviert werden. Unternehmen, die private E-Mails archivieren wollen, müssen das mit dem Betriebsrat abklären. Exchange bietet für alle Lösungsansätze entsprechende Möglichkeiten.

OCR, ICR, OMR, NCI und CI

Wer sich mit der Archivierung auseinandersetzt, muss verschiedene Abkürzungen kennen, um zu verstehen wie die Dokumente gespeichert werden müssen. Non-Coded-Information (NCI)-Dokumente sind eingescannte Unterlagen, die als Bild vorliegen, also keine Bearbeitung ermöglichen. Die Dokumente sind in Papierform im Unternehmen eingegangen und wurden eingescannt. Das kann automatisiert oder manuell erfolgen. Code-Information (CI)-Dokumente sind in elektronischer Form im Unternehmen eingegangen und können durch Programme bearbeitet werden. Das muss in der Archivierung berücksichtigt werden. Dabei handelt es sich zum Beispiel um PDF-Dokumente.

NCI-Dokumente lassen sich mit verschiedenen Technologien in CI-Dokumente umwandeln. Dabei helfen Anwendungen mit OCR (Optical Character Recognition), ICR (Intelligent Character Recognition) oder OMR (Optical Mark Recognition). Diese wandeln NCI-Dokumente so um, dass die Daten mit Anwendungen bearbeitbar sind. OCR erkennt Buchstaben, allerdings sehr rudimentär. ICR geht einen Schritt weiter und kann den gelesenen Text auch analysieren, um die Erkennung zu verbessern. Dazu werden spezielle Wörterbücher und Referenzlisten verwendet. OMR erkennt Felder in Formularen und kann diese erfassen und elektronisch umwandeln. Das ist zum Beispiel bei Umfragen interessant.

Speichermedien beachten

Die Technologie der Archivierung, sowie die eingesetzte Software ist das eine, was Unternehmen beachten müssen. Das andere ist die Speichertechnologie, auf der die Daten gespeichert sind. Festplatten sind in normaler Form eher nicht geeignet, da sie schnell defekt sein können. Ausfallsichere Plattensysteme oder Write Once Read Many (WORM) finden häufig Einsatz. WORM-Medien gibt es in ähnlicher Form wie CD-Laufwerke oder als Bandlaufwerke. Sehr wichtig ist auch das Format mit der die Speicherung erfolgen soll. Hier müssen Unternehmen darauf achten, dass die Datenträger auch nach mehreren Jahren noch lesbar sind.

Wer sich tiefgehender mit dem Thema auseinandersetzen will, kann das entsprechende PDF-Dokument Vertrauenswürdige elektronische Langzeitspeicherung vom Bundesamt für Sicherheit in der Informationstechnik (BSI) herunterladen.

Erfahren Sie mehr über Datenschutz und Compliance