Den Markt und sich selbst objektiv bewerten. Mit den Spezialisten für ECM-Research im deutschsprachigen Raum.

„Effektives E-Mail-Management – Markt und Möglichkeiten!“


Gastbeitrag der docs&rules GmbH zum Thema E-Mail-Compliance


Herausforderung „E-Mails“

„Wind of Change“ – Es hat sich etwas geändert!

Die gesamte Kommunikations- und Dokumentationskultur hat sich in den letzten Jahren allmählich in Richtung elektronischer Dokumente verändert und in Folge dessen auch gravierend die Rechtssituation und Risiken.

Mit der Ausbreitung von E-Mails und Instant Massaging entzieht sich ein Teil der dokumentierten Kommunikation ehemals bewährten Kontrollinstanzen. Der Austausch von Informationen erfolgt schnell, eine E-Mail ist in Sekunden geschrieben, gelesen, weitergeleitet und beantwortet. Doch die Geschwindigkeit hat ihre Schattenseiten: Aussagen sind unklar, werden überlesen, missverstanden oder fehlinterpretiert. Durch ein versehentliches Verwenden von „Allen Antworten“ können vertrauliche Informationen an die Öffentlichkeit gelangen, die das Haus besser nicht verlassen sollten.

Kaum eine Woche vergeht, in der nicht spektakuläre Fälle an die Öffentlichkeit dringen, bei denen E-Mails belastendes Material darstellen oder umgekehrt als Beweismaterial nicht vorhanden sind. Dennoch ist der Umgang mit E-Mails in Unternehmen bislang kaum geregelt.

Viele Unternehmen beginnen erst jetzt, sich um E-Mail-Management zu kümmern. Dies untermauert eine BearingPoint-Studie aus dem Jahre 2008 (2):

  • In mehr als zwei Drittel aller Unternehmen ist nicht geregelt, wie E-Mails überhaupt aufzubewahren sind.
  • Nur etwa ein Viertel der Unternehmen setzt bereits ein kommerzielles Tool zur Archivierung von E-Mails ein. Der Rest verlässt sich auf persönliche (meist lokale) Postfächer, unstrukturierte Backups oder archiviert gar nicht.
  • Mehr als drei Viertel der Befragten sind sich nicht sicher, ob sie beispielsweise bei Gerichtsverfahren die vorhandene Korrespondenz, inkl. aller E-Mails, zu einem Geschäftsvorfall innerhalb von 2 Wochen wieder gewinnen könnten.
  • Mehr als zwei Drittel aller Befragten sind mit den vorhandenen Regelungen zur Aufbewahrung sowie zu den Ablage- und Suchkriterien für E-Mails unzufrieden.

„Unwissenheit schützt nicht vor Schaden“ – Gesetze rund um E-Mails

Es gibt vielfältige Gesetze, die im Hinblick auf E-Mails von Bedeutung sind. Das Signaturgesetz (SigG) hat mit seiner Novellierung eine Schlüsselstellung hinsichtlich des Rechtscharakters der E-Mail. Nach § 2 SigG „sind 'elektronische Signaturen' Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verknüpft sind und die zur Authentifizierung dienen“. Hiernach ist davon auszugehen, dass jede E-Mail als signiertes Dokument zu interpretieren ist, die den Versender ohne ernsthaften Widerspruch kenntlich macht. Die einfache Absenderangabe von Vorname, Name und Firma reicht also für eine Signatur im Sinne des Signaturgesetzes aus. E-Mails erfüllen somit häufig die Voraussetzungen eines Handelsbriefes und unterliegen damit den zentralen Finanzregeln von HGB, AO, GOB, GoBS und GDPdU, aber auch der „Gewinnabgrenzungsverordnung“ (GAufzV).: Fristen beginnen, Schweigen kann als Zustimmung gewertet werden usw.

Eine einfache elektronische Signatur ist nicht mit der sogenannten „qualifizierten elektronischen Signatur“ gleichzusetzen. Um für sensible Transaktionen die Sicherheit der E-Mails in Hinblick auf Integrität (unverändertes Original) und Authentizität (Identifizierung bzw. Verifizierbarkeit des Autors/Absenders) sicher zu stellen, regelt das Signaturgesetz auch die qualifizierte elektronische Signatur, die der Schriftform des BGBs, also einer unterschriebenen Urkunde, entspricht (§126a, BGB). Bei dieser werden über eine staatlich anerkannte Zertifizierungsstelle (Trust-Center) spezielle „Schlüsselpaare“, nämlich ein geheimer Schlüssel und ein öffentlicher Schlüssel verwaltet, die jeweils einem Benutzer zugeordnet sind. Der Absender „versiegelt“ quasi die E-Mail mit seiner geheimen Schlüssel-Seite. Der Empfänger kann mit der dem Benutzer zugeordneten öffentlichen Schlüsselseite eindeutig prüfen, ob die beiden Schlüssel –Seiten zueinander passen. Die Notwendigkeit der Aufbewahrung als Handelsbrief ist aber unabhängig von der Form der elektronischen Signatur gegeben - ebenso wie auch eine Rechnung auf Papier ohne explizite Unterschrift Gültigkeit besitzt.

Beim Versenden von E-Mails gegenüber Dritten ist zu beachten, dass aufgrund des Gesetzes über elektronische Handelsregister und Genossenschaftsregister sowie das Unternehmensregister (EHUG) zudem in allen Geschäftsbriefen – also auch in E-Mails – Informationen der Kaufleute angegeben werden müssen. Hierzu gehören die Firmierungs- und Verantwortungsangaben in der Signatur von E-Mails, wie z. B. Firma, Ort der Handelsniederlassung und Handelsgericht-Nummer.

Viele Unternehmen haben die elektronische Aufbewahrung von gescannten oder selbst erzeugten Rechnungen gut im Griff. Schwieriger ist der Umgang mit erläuternden Dokumenten, wie zum Beispiel Kalkulationen oder Beanstandungen, die häufig in Form von E-Mails vorliegen. Im Rahmen der Fragen und Antworten zum Datenzugriffsrecht der Finanzverwaltung (GDPdU) werden E-Mails explizit als originär digitales Dokument eingestuft.(3) Demnach müssen E-Mails laut GDPdU maschinell auswertbar vorgehalten werden. Auf Grundlage des Jahressteuergesetz 2009 kann sogar eine mangelhafte Bereitstellung entsprechender Dokumente mit einem Zwangsgeld von bis zu 250.000 € belegt werden. Vorgabe der GDPdU ist die Forderung, dass E-Mails mit einem unveränderbaren Index zu versehen sind, über den das archivierte digitale Dokument verwaltet und jegliche Änderung nachverfolgt werden kann. Vergleichbare Vorgaben gelten beim Sarbanes Oxley Act (US SOX) oder der 8. EU-Richtlinie (EURO-SOX).

Nicht zuletzt fordern unterschiedliche Gesetze und Normen (z.B. HGB, Aktien- und GmbH-Gesetz oder der Deutsche Corporate Governance Codex) eine allgemeinen Sorgfaltspflicht vom Kaufmann. Diese umfasst, dass der Kaufmann in angemessener Form Vorsorge treffen muss, Schaden vom Unternehmen abzuwenden. Hierzu zählt die Fähigkeit, neben den gesetzlichen Dokumentationspflichten auch andere wesentliche geschäftliche Aktivitäten so zu dokumentieren, dass ein Nachweis vor Gericht oder gegenüber Behörden hinreichend möglich ist.

Hinsichtlich der Aufbewahrung elektronischer Dokumente ist dabei generell zu beachten, dass diese und damit auch E-Mails prinzipiell manipuliert oder gelöscht werden können, solange sie nicht durch spezielle Systeme oder Ablagetechniken besonders geschützt werden. Im Sinne der eigenen Beweissicherung und -führung empfiehlt es sich daher, elektronische Dokumente frühzeitig in revisionssichere Archivsysteme zu überführen, in denen das Löschen oder die Manipulation einzelner Dokumente nicht möglich ist.

Für den Umgang mit privaten E-Mails sind schließlich auch noch das Recht nach „Informationeller Selbstbestimmung“, die Datenschutzgesetze (BDSG) sowie das Telekommunikationsgesetz (TKG) von besonderer Bedeutung. Private E-Mails dürfen durch den Arbeitgeber weder kontrolliert noch anderen Mitarbeitern zugänglich gemacht werden. Dies stellt ein großes Problem für jede Art der unstrukturierten Suche auf E-Mail-Beständen eines Unternehmens dar. Solange private E-Mails nicht vermieden werden oder eindeutig unterschieden werden können, stehen Unternehmen vor dem Problem, dass sie einerseits E-Mails nicht durchsuchen und herausgeben dürfen, andererseits aber im Rahmen von Prüfungen herausgeben müssten. Hier besteht ein Interessenskonflikt mit Schadenspotenzial.

Organisatorische Aspekte

Ein mangelndes Risikomanagement im Unternehmen kann nicht nur zu finanziellen Sanktionen gegenüber dem Unternehmen führen, sondern dem Management auch Haftstrafen abfordern, und zwar nicht nur international, wie etwa im Rahmen von SOX, sondern auch auf Basis deutschen Rechts wie dem Aktiengesetz oder dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG). Aufgrund des doch erheblichen Schadenspotentials, das von E-Mails ausgehen kann, sind E-Mails eine besondere Beachtung im Rahmen der internen Risikovorsorge zu schenken.

Das Management eines Unternehmens muss dafür Sorge tragen, dass Mitarbeiter um die Risiken wissen und relevante E-Mails angemessen, d.h. Compliance-konform, aufbewahren. Insofern sollten Unternehmen über eine effektive E-Mail-Richtlinie verfügen, die den Umgang mit privaten E-Mails ebenso festlegt wie etwa Vertreterregelungen, erlaubte und verbotene Inhalte sowie Form, Kennzeichnung und Ort der Archivierung. Aufgrund der Nähe zur generellen Nutzung elektronischer Dokumente ist es ratsam, diese Richtlinie ganzheitlich für den Umgang mit dem gesamten elektronischen Beleggut zu erstellen.

Darüber hinaus sind entsprechende technische Systeme bereitzustellen, die eine geordnete und verlässliche Ablage sowie eine effiziente Suche und Reproduktion der E-Mails und der elektronischen Dokumentation ermöglichen. Im Idealfall sind diese Systeme eng im jeweiligen Prozesskontext verankert.

Technische Angebote

Obwohl die Kosten für Speichersysteme kontinuierlich fallen, steigen die Datenvolumen und deren Verwaltungskosten. Deshalb existieren mittlerweile diverse Anbieter, die unter dem Begriff „E-Mail-Archivierung“ Systeme anbieten. Ein Großteil dieser Systeme lagert allerdings die E-Mails lediglich aus, um die operativen E-Mailsysteme von permanent wachsenden Datenmengen zu entlasten. Die E-Mails werden dazu über einfache Regeln in ein anderes System mit günstigeren Speichermedien transferiert. Als Suchkriterien stehen üblicherweise die Standard-E-Mail-Kennzeichen wie Sender, Empfänger und Datum zur Verfügung. Ergänzend können teilweise auch Volltext-Suchmaschinen eingesetzt werden.

Diese derzeit übliche Suche mittels Volltext-Suchmaschinen über sämtliche E-Mails wirkt auf den ersten Blick sehr intuitiv. Sie ist für eine einfache und schnelle Informationsermittlung oder in besonderen (Ausnahme-) Situationen auch adäquat wie z.B. bei forensischen Aufgabenstellungen (Betrugs-Untersuchungen etc.). Die generellen Schwächen von Volltextsuchen sind jedoch aus Internet-Recherchen hinlänglich bekannt: Mengen an Informationen, die den Blick auf das Wesentliche verstellen, sowie ein hohes Maß an Unsicherheit, ob wirklich alle relevanten Dokumente gefunden werden, insbesondere in mehrsprachigen Umgebungen.

Eine zielgerichtete Herausgabe von E-Mails und eine Aufbewahrung entsprechend unterschiedlicher Vorgabefristen und Sicherheitsanforderungen sind durch solche Systeme nicht darstellbar.

Aufbewahrungspflichtige und aufbewahrungswürdige E-Mails müssen hinsichtlich der unterschiedlichen Schutzinteressen klassifiziert und der Zugriff entsprechend getrennt sein. Darüber hinaus sind aus Compliance-Gesichtspunkten E-Mails versehen mit entsprechenden Klassifikationsmerkmalen dem Geschäftskontext bzw. der jeweiligen Prozessakte zuzuordnen.

Bei der Auswahl eines E-Mail-Management-Systems sollte deshalb darauf geachtet werden, dass die Einordnung in eine Strukturablage und die ergänzende Kennzeichnung mit weiteren Metadaten unterstützt wird, so dass E-Mails zielgerichtet entsprechend den Aufbewahrungsanforderungen getrennt und für eine effiziente Suche gekennzeichnet werden können. In der Praxis ist es ratsam, dass alle zusammengehörigen elektronischen Dokumente möglichst gemeinsam verwaltet und im Sinne der Sicherstellung der Unveränderbarkeit von Dokumenten revisionssicher in einem elektronischen Archiv aufbewahrt werden. Zudem müssen die Anwender diese Ablagemöglichkeit wirklich nutzen, da sonst die Verlässlichkeit und Akzeptanz gefährdet wird.

Um den Aufwand für die manuelle und häufig als lästig empfundene Einordnung zu reduzieren, bieten automatische Klassifikationssysteme Unterstützung. Klassischerweise beschränken sich diese in der Vergangenheit auf wenige Dokumenttypen wie zum Beispiel Rechnungen, da der Einrichtungsaufwand bisher sehr hoch war und die Unternehmen meist individuelle und häufig auch inkonsistente Kennzeichnungsschemata verwenden. Hier ist der Einsatz von konsistenten und möglichst standardisierten Kennzeichnungssystemen ratsam, die es seit jüngster Zeit auf dem Markt gibt. Obwohl die zugrundeliegenden Verfahren sehr rechenintensiv sind, hat der enorme Preisverfall in der Rechen- und Speichertechnik zu einer Situation geführt, die den Einsatz solcher Systeme auch für breite wirtschaftliche Einsatzgebiete erschwinglich machen.

Fazit

E-Mails und elektronische Dokumente sind essentieller Bestandteil des Geschäftsverkehrs. Die gesetzlichen Anforderungen existieren und die Risiken sind real und erheblich.

Nur die Zusammenarbeit von Organisations-, Compliance- und Technik-Abteilungen wird der Komplexität des Themas gerecht. Die Compliance-Abteilungen haben die Risiken zu bewerten und die entsprechenden Regeln zu formulieren. Die Organisationseinheiten sind gefordert, Prozesse zu definieren, die sowohl den Risiken adäquat begegnen und den Nutzer effizient unterstützen als auch technisch und organisatorisch umsetzbar sind. Nicht zuletzt muss die IT die dafür notwendigen Systeme zur geordneten E-Mail-/Dokumenten-Archivierung unternehmensweit bereitstellen.

Um etwaigen Befindlichkeiten in einem solchen Konstrukt aus dem Wege zu gehen, ist eine starke und permanente Unterstützung durch die Geschäftsführung geboten, ggf. auch eine externe Moderation durch einen erfahrenen Berater wie Pentadoc ratsam.

Dr. Thomas Hütter

docs&rules GmbH

Keithstraße 6

10787 Berlin

Thomas.Huetter(at)docs-rules.com

www.docs-rules.com

Dipl.-Kfm. (FH) Folker Scholz

freier Unternehmensberater

Insterburgallee 33f

14055 Berlin

Folker.Scholz(at)t-online.de

www.Folkerscholz.de

(2) BearingPoint, Studie „E-Mail Management 2008 – Herausforderungen und Trends im E-Mail Management“, Frankfurt 2008, S. 22

(3) BMF Referat IV A 7, Fragen und Antworten zum Datenzugriffsrecht der Finanzverwaltung (GDPdU) (vom 23.1.2008) unter III. Nr. 9 (http://www.bundesfinanzministerium.de)