Aufbau einer revisionssicheren E-Mail-Archivierung

Ein gutes Archivierungssystem ist nicht nur eine rechtliche Pflicht, sondern auch ein praktisches Werkzeug für den Arbeitsalltag. Doch was ist beim Aufbau einer revisionssicheren E-Mail-Archivierung zu beachten? Im letzten Datenschutzinfobrief haben wir dieses Thema in den Blick genommen und in 10 Schritten aufgezeigt, wie Sie eine auf Ihren Verein / Verband ausgerichtete revisionssichere E-Mail-Archivierung erfolgreich aufbauen können.

1. Anforderungen analysieren

Prüfen Sie, welche rechtlichen Anforderungen (z. B. § 257 HGB, 149 AO, DSGVO) für Ihr Unternehmen gelten. (siehe meine vorherigen Hinweise)

Berücksichtigen Sie branchenspezifische Regelungen und interne Richtlinien.

2. Ziele definieren

Klären Sie, welche E-Mails archiviert werden sollen: Sollen nur geschäftsrelevante oder alle E-Mails archiviert werden? Ggf. kann es sinnvoll sein, bestimmte Postfächer, wie z.B. "bewerbungen@" oder "datenschutz@" mit anderen Regeln auszustatten und gesondert zu behandeln.Legen Sie fest, wie lange die Daten aufbewahrt werden müssen.

Die Aufbewahrungsfrist leitet sich aus der Verwendung des jeweiligen Dokuments ab und kann 6 oder 10 Jahre bzw. ab 2025 8 Jahre betragen. Die Aufbewahrungsfristen beginnen am Ende des Kalenderjahres, in dem Sie die jeweiligen E-Mails erhalten oder versendet haben.

(Eine ausführliche Übersicht zu den Aufbewahrungsfristen finden Sie im Datenschutzportal (DSP) im Bereich Dokumente)

3. Geeignete Software auswählen

Entscheiden Sie sich für ein Archivierungssystem, das zertifiziert ist und folgende Anforderungen erfüllt:

• Unveränderbarkeit;
• Zugriffskontrolle;
• Langfristige Lesbarkeit;
• Formatunabhängigkeit.

Tipp: IT-Anbieter mit ISO 27001-Zertifizierung und Erfahrung bieten bewährte Lösungen und realisieren solche Lösungen, ohne dass der lokale IT-Dienstleister gewechselt werden muss.

4. Technische Infrastruktur bereitstellen

Sorgen Sie für ausreichenden Speicherplatz und Redundanz (z. B. Cloud-Backups). Prüfen Sie, ob Ihr Mailserver (Exchange, IMAP, etc.) kompatibel ist? Spätestens bei diesem Schritt ist nicht selten externe Unterstützung sinnvoll.

5. Archivierungsrichtlinien erstellen

Definieren Sie Regeln: Entscheiden Sie nicht nur, welche E-Mails archiviert werden, sondern auch welche weitere Regeln gelten sollen, wie z.B., wer Zugriff haben soll und wie oft Backups erfolgen sollen. Kommunizieren Sie diese Richtlinien intern und schulen Sie Ihre Mitarbeiter*innen.

6. Archivierung automatisieren

Implementieren Sie automatisierte Prozesse, um menschliche Fehler zu minimieren.

Beispiel: Automatische Erfassung aller ein- und ausgehenden E-Mails direkt am Server – hier auch möglichst sicherstellen, dass Spam-Mails nicht archiviert werden. In jedem Fall empfiehlt es sich, konzeptionell vorzugehen, um die Masse der archivierten Daten möglichst gering zu halten.

7. Zugriffskontrolle einrichten

Legen Sie Benutzerrechte fest, um sicherzustellen, dass nur autorisierte Personen Zugriff auf archivierte E-Mails haben. Implementieren Sie eine Zwei-Faktor-Authentifizierung für zusätzliche Sicherheit.

8. Manipulationsschutz gewährleisten

Aktivieren Sie technische Maßnahmen, die die nachträgliche Bearbeitung oder Löschung von E-Mails verhindern. Nutzen Sie Prüfsummen oder digitale Signaturen zur Verifizierung der Unveränderbarkeit.

9. Regelmäßige Prüfungen durchführen

Führen Sie interne Audits durch, um sicherzustellen, dass die Archivierungssysteme revisionssicher arbeiten. Testen Sie die Wiederherstellung archivierter E-Mails, um die Datenintegrität zu gewährleisten.

10. Dokumentation pflegen

Halten Sie alle Prozesse, Änderungen und Prüfungen schriftlich fest. Erstellen Sie ein Handbuch, das den Ablauf der E-Mail-Archivierung beschreibt und bei einer Prüfung vorgelegt werden kann. Mit diesen 10 Schritten schaffen Sie eine rechtssichere und effiziente Basis für die revisionssichere E-Mail-Archivierung.

Denken Sie daran: Ein gutes Archivierungssystem ist nicht nur eine rechtliche Pflicht, sondern auch ein praktisches Werkzeug für den Arbeitsalltag!

Und: Es sorgt auch für einen entspannten Betriebsprüfer / eine entspannte Betriebsprüferin.

Dieser Artikel ist ein Auszug aus dem Datenschutzinfobrief, der monatlich an alle Mitglider unseres Datenschutzportals geschickt wird. Erfahren Sie hier mehr.