So versenden und speichern Sie Mails sicher und rechtskonform

An die Mail werden enorme rechtliche und sicherheitstechnische Ansprüche gestellt: Vertrauliche Dokumente und Verträge sollen sich damit ebenso sicher und schnell versenden lassen wie Angebote an Kunden und Personendaten. Der Versand muss zudem rechtskonform erfolgen und genauso verbindlich und nachhaltig sein wie die Papierform. Zudem muss man die Mail-Kommunikation beweiskräftig und gerichtsfest archivieren, um so die Anforderungen des Gesetzgebers zu erfüllen. Viele Unternehmen suchen nach einer Lösung, die das alles garantiert - ohne Anwenderschulungen, voll automatisiert und transparent. Bisher gibt es allerdings keinen Hersteller, der eine Gesamtlösung für sichere E-Mail-Kommunikation und -Archivierung anbietet. Dieser Artikel unserer Schwesterpublikation computerwoche.de zeigt, worauf Sie bei der sicheren E-Mail-Kommunikation achten müssen.

Besonders problematisch ist die deutsche Gesetzeslage: Sie definiert zwar sehr genau, was zulässig und was gefordert ist für sichere Mails, lässt aber durchaus erheblichen Spielraum für Interpretationen, was zu Entscheidungen mit immer neuen Auslegungen führt. Die verschiedenen rechtlichen Fachdisziplinen sind sich nur selten darin einig, was erlaubt oder verboten ist.

Beispiele sind hier die Abgabenordnung (AO) und die GDPdU (Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen), die zwar eine Trennung der steuerrechtlich relevanten von den übrigen Daten fordern, deren exakte Differenzierung jedoch dem Steuerprüfer überlassen wird. Ein System ist als "vorgefiltert" abzulehnen, wenn maßgeblich steuerrechtlich relevante Daten aus dem Datenstamm ausgenommen sein könnten. Zudem ist der Begriff "steuerrechtlich relevant" nur ungenau definiert und liegt im konkreten Einzelfall im Ermessen des Finanzprüfers. Da Mails nach den Grundsätzen ordnungsgemäßer DV-gestützter Buchführungssysteme (GoBS) zudem als "originär digitale Daten" eingestuft und Formatumwandlungen ausgeschlossen werden, bleibt dem Unternehmen nur die Lösung, alle Mails nachweisbar im Original zu archivieren.

Das führt aber zum Streit zwischen den verschiedenen rechtlichen Fachdisziplinen. Ein Datenschutzbeauftragter wird für sichere Mails nur ungern eine ungefilterte Lösung akzeptieren, Wenn man die private Kommunikation über das Mail-System des Unternehmens verbietet, ist das erfahrungsgemäß nur eine Teillösung.

Sichere Mails sind gar nicht so einfach: Das Datenschutzrecht erlaubt nämlich nur eine Archivierung durch den einzelnen Mitarbeiter, somit schützt auch ein Verbot der privaten Nutzung nicht vor unsachgemäßer Verwendung. Ein System, das ungefiltert archiviert und den Originäritätsnachweis durch eine Worm-Speicherung (Write once, read many) führt, kann in einem Streitfall die Löschung oder Zerstörung des Archivsystems nach sich ziehen.

Der Verlust von Kommunikationsdaten wiegt schwer - ein weit größeres Risiko ist jedoch der Verlust maßgeblich steuerrelevanter Daten und die damit einhergehende Gefahr einer steuerlichen Schätzung.