Die Anforderungen in Unternehmen sich breit gefächert. Vertrauliche Dokumente, Verträge, Angebote und Personendaten müssen einfach, sicher und schnell per E-Mail versendet werden. Die Kommunikation über das Medium E-Mail soll rechtskonform sein und ebenso verbindlich und nachhaltig wie in Papierform. E-Mails sollen beweiskräftig und gerichtsfest archiviert werden, damit die Forderungen des Gesetzgebers erfüllt werden und das Unternehmen zusätzliche Vorteile daraus ziehen kann. Das alles sollte nach Möglichkeit ohne Anwenderschulungen, voll automatisiert, transparent und berührungslos über die Bühne gehen.

Der Hype um das Thema sichere E-Mail-Kommunikation ließ nicht lange auf sich warten. Selten konnte man in einem Bereich so authentisch mit äußeren Zwängen argumentieren. Leider spiegelt sich diese Authentizität nicht in den am Markt befindlichen Produkten oder in der Argumentation der Anbieter wider. Auch einen Hersteller, der eine Gesamtlösung für sichere E-Mail-Kommunikation und -Archivierung anbietet, sucht man vergeblich.

Komplexe Gesetzeslage

Insbesondere die deutsche Gesetzeslage wirft einige Probleme auf. Sie definiert zum einen sehr genau, was zulässig und was gefordert ist, andererseits lässt sie erheblichen Spielraum für Interpretationen. Daraus resultieren Entscheidungen mit immer neuen Auslegungen. Sogar die verschiedenen rechtlichen Fachdisziplinen sind sich selten darüber einig, was nun erlaubt oder verboten ist.

Beispiele sind hier die Abgabenordnung (AO) und die GDPdU (Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen). Diese fordern eine Trennung der steuerrechtlich relevanten von den übrigen Daten. Deren Differenzierung bleibt jedoch dem Steuerprüfer vorbehalten. Andererseits ist ein System als "vorgefiltert" abzulehnen, wenn maßgeblich steuerrechtlich relevante Daten aus dem Datenstamm ausgenommen sein könnten. Dabei ist der Begriff "steuerrechtlich relevant" nur ungenau definiert und liegt im Einzelfall im Ermessen des Finanzprüfers. E-Mails werden nach den Grundsätzen ordnungsgemäßer DV-gestützter Buchführungssysteme (GoBS) zudem als "originär digitale Daten" eingestuft und Formatumwandlungen werden ausgeschlossen. Es kommt also nur eine Lösung in Frage, die alle E-Mails nachweisbar im Original archiviert.

An diesem Punkt kriegen sich die verschiedenen rechtlichen Fachdisziplinen in die Haare. Schnell wird klar, dass verschiedene Klagegründe zu unterschiedlichen Ergebnissen führen. Ein Datenschutzbeauftragter beispielsweise wird nur ungern einer ungefilterten Lösung zustimmen, und auch das Verbot privater Kommunikation über das Mail-System des Unternehmens ist erfahrungsgemäß nur eine Teillösung.

Ein Verbot der privaten Nutzung schützt nicht vor unsachgemäßer Verwendung, weil das Datenschutzrecht nur eine Archivierung durch den einzelnen Mitarbeiter erlaubt. Ein System, das ungefiltert archiviert und den Originäritätsnachweis durch eine Worm-Speicherung (Write once, read many) führt, kann in einem Streitfall die Löschung oder Zerstörung des Archivsystems nach sich ziehen.

Der Verlust von Kommunikationsdaten wiegt schwer. Ein weit größeres Risiko ist jedoch der Verlust maßgeblich steuerrelevanter Daten und die damit einhergehende Gefahr einer steuerlichen Schätzung.

Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation Computerwoche.