Wichtige Kriterien, die in der Auswahl einer Lösung zur Archivierung von E-Mails, zur Sicherung der verbindlichen E-Mail-Kommunikation und zur Vermeidung von möglichen rechtlichen Ansprüche Dritter und die des Finanzamtes nicht vergessen werden sollten.

 

Nutzen Sie diese Hilfestellung aus, um kostenbewusst und zukunftsorientiert bei der Auswahl einer geeigneten Lösung vorzugehen zu können.

 

                                                                                                                                                          

Vermeidet die Lösung Kosten und Fehler in der Datenmigration?

Nur die Archivierung des E-Mail-Strings (RFC2822/MIME) enthält alle Daten und alle Informationen. Das ist die Original-E-Mail des Absenders - unabhängig davon, ob Sie die E-Mail geschrieben oder erhalten haben. Vermeiden Sie auf diesem Weg unnötige Migrationen. Diese können Inhalte des Archivs gefährden oder verfälschen.

 

 

 

Archiviert die Lösung die Daten revisionssicher?

Wussten Sie, dass die Sicherung der Unveränderbarkeit der digitalen Dokumente nur eine von 10 Anforderungen für Revisionssicherheit ist?
Die Archivierung mittels revisionssicherer Prozesse (ohne Medienbruch) ist unbedingt erforderlich. Das Ergebnis revisionssicherer Prozesse ist das dokumentenechte Archiv.Ein Medienbruch, wie z.B. die Ablage auf ein fremdes File-Archiv oder mit Hilfe eines Groupware-Connectors, kann missbraucht werden und führt zur Rechtsunsicherheit.

 

 

 

Sind die E-Mails zum frühestmöglichen Zeitpunkt archiviert?

Diese Frage könnte auch lauten: „Sind die E-Mails dokummentenecht archiviert?“ Sichern Sie sich damit die Möglichkeit des Nachweises vor Gerichten und Finanzämtern und die mögliche Anerkennung über die Echtheit.
Jede E-Mail, ihre anschließende Korrespondenz und deren Anlagen sind wichtige Belege, die ebenfalls dokumentenecht archiviert werden müssen.

 

 

 

Sind die E-Mails im Archiv lückenlos archiviert?

Sie sollten jederzeit nachweisen können, dass Sie alle E-Mails haben bzw. hatten. D.h. dass auch eventuelle Löschprozesse nachweisbar sein müssen. Es ist der einzig sichere Weg, um Manipulationen vorzubeugen.
Nur wenn alle E-Mails im Archiv sind, können Sie sich bedenkenlos eine Entlastung des Groupware-Servers wagen. An dieser Stelle steckt auch sehr großes Einsparpotential.

 

 

 

Ist die Archivierungslösung unabhängig vom Produktionssystem?

Produktionssysteme wie ERP und Groupware werden betriebsbedingt ausgetauscht. Die Archivlösungen müssen jedoch 6, 10, 30 Jahre oder länger die Verfügbarkeit der digitalen Dokumente gewährleisten. Archivlösungen sollten/müssen deswegen unabhängig von den Produktions-Systemen arbeiten und demensprechend verfügbar sein. Die fehlerfreie Übernahme und die Nutzung der Originale in andere Systeme sollten ebenfalls unterstützt werden. Vermeiden Sie hier auch Migrationen, die einen Verlust der Daten bedeuten könnte.

 

 

 

Werden unterschiedliche Compliance-Anforderungen unterstützt?

Verfügt die Lösung nur über einen GDPdU-Client? Deutsche, englische oder europäische und amerikanische Finanzbeamte haben unterschiedliche Anforderungen beim Durchsuchen eines digitalen Archivs. Sind auch diese unterschiedlichen Anforderungen verfügbar? Hier ist die deutsche Gesetzgebung besonderes durch die GDPdU, GoBS oder Euro-SOX geprägt, deutsche Finanzbeamte üben bereits den Umgang mit E-Mail-Archiven. Auch andere deutsche Gesetzte stellen hohe Anforderungen an Teilmengen der E-Mails: KonTraG, SRVwV, Signatur-Gesetz, GAaufzV, HGB ...

 

 

 

Sind alle HGB Anforderungen erfüllt?

HGB § 238 Abs.2: ist die Urschrit des Originals vorhanden?

HGB §239: „Radierverbot“ die Aufbewahrungsfristen sind vollständig, richtig, zeitgerecht und geordnet. 

HGB § 257 Abs. 2 und Abs. 4 Aufbewahrung von Unterlagen und die Aufbewahrungsfristen betreffen auch die elektronische Post.

 

 

 

Sind alle „relevanten“ E-Mails im Archiv?

Aktuelle Urteile zeigen, dass auch Zusagen per E-Mail rechtsverbindlich sind. Jede E-Mail und nicht nur die Anlage ist wichtig und relevant.
Für jede externe Compliance Anforderung müssen die entsprechenden relevanten E-Mails (eine Teilmenge des Archivs) zur Verfügung gestellt werden. Ist diese Aufgabe realisiert?

Kann die lückenlose Ablage der relevanten E-Mails nachgewiesen werden? Und sind auch alle Löschprozesse, auch die nach Ablauf der Archivierungsfrist nachvollziehbar. 

 

 

 

Ist die elektronische Archivierungspflicht erfüllt?

Originale digitale Unterlagen sind auf maschinenlesbaren Datenträgern zu archivieren und müssen mit dem Original übereinstimmen. Alle eingehenden digitalen Unterlagen sind in elektronischer Form aufzubewahren. Eine Aufbewahrung von digitalen Dokumenten in ausgedruckter Form ist nicht ausreichend. Ebenso ist die ausschließliche Archivierung in maschinell nicht auswertbarem Format (pdf) nicht ausreichend.

 

 

 

Sind die Folgen der Nichtbeachtung bekannt?

z.B.: die Verletzung der Archivierungspflicht, die Schätzung auf Grund nichtvorhandener Besteuerungsgrundlagen kommt auf eine durchschnittliche Nachzahlung von ca. 10%-15% des vorher errechneten Ergebnisses.

 

 

 

Ist das Risikomanagement überprüft worden?

Haben Sie bei der Auswahl der Lösung an alle Aspekte des Risikomanagements gedacht: Identifikation, Analyse, Bewertung, Kommunikation, Überwachung und ganz wichtig: die Bewältigung? Überprüft die Lösung alle Anpassungen des Administrators?

 

 

 

Ist die Umsetzung des KonTraG §91 Abs.2 ausreichend?

Der Vorstand bzw. die Geschäftsführung haftet privat, denn sie „ hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den

Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.“

 

 

 

Sind alle externen Compliance Regeln umsetzbar?

Bzw. haben Sie daran gedacht, dass Sie bereits morgen mit neuen Anforderungen konfrontiert werden könnten? Und kann die Lösung die Überprüfung der Einhaltung der Richtlinien nachweisen?

 

 

 

Sind die internen Compliance Regeln umsetzbar?

Die Einhaltung der Privatsphäre trotz unternehmensweiter Archivierung und der Umgang mit den Löschprozessen sind genauso wichtig wie die Folgen der Berechtigungsvergabe inkl. der Überprüfung auf die Einhaltung der vorgegebenen Richtlinien.

 

 

 

Wird die Einhaltung der Compliance-Regeln geprüft?

Jedes Dokument darf nur von entsprechenden Benutzern eingesehen werden. Alle Definitionen des Administrators auf dem Archiv, müssen nachweisbar sein. Können die Zugriffe auf ein Dokument nachgewiesen werden. Das ist wichtig für die sichere Kontrolle und den echten Nachweis zur Einhaltung aller Compliance-Regeln im Unternehmen. Liefert die Lösung eine revisionssichere Verfahrensdokumentation im Umgang mit E-Mails ab?

 

 

 

Ist die Unveränderbarkeit der Daten gewährleistet?

Die Ablage der Originale in einem WORM-Bereich deckt diese Anforderung, ist jedoch nicht zwingend. Eine digitale Signatur mittels Verschlüsselung und das sichere Verhindern der Lösch- und Änderungsprozesse sind die Bestandteile der revisionssicheren Archivierung. Wichtige E-Mails (oder Gruppen von E-Mails) sollten auch mit einer qualifizierten digitalen Signatur versehen werden können. Die Zertifikate sollten auf dem Server mitverwaltet werden.

 

 

 

Werden die Daten komprimiert und nicht verändert?

Die Komprimierung der Daten über eine Systemkomponente wird, unter Einhaltung aller Sicherheitsrichtlinien, die Datenmenge oft um ein Vielfaches verkleinern.
Werden diese Prozesse eingesetzt und sind sie auch abgesichert?

 

 

 

Ist die Archivierung auch beim Ausfall der E-Mail-Archivlösung gesichert?

Kein Beleg und keine E-Mail dürfen verloren gehen. Das System sollte über unterschiedliche Aggregate verfügen, die den Verlust einer E-Mail unterbinden.

 

 

 

Ist die E-Mail-Archivierung abhängig von anderen Systemen?

Abhängigkeiten zu benachbarten Systemen (Groupware-Lösungen) und verschiedenen Schnittstellen (Archivsysteme) können die Archivierung, den Zugriff und die Administration unnötig erschweren und beeinträchtigen. Dies ist ein unkalkulierbarer Risiko- und Kostenfaktor.

 

 

 

Ist die Doubletten-Prüfung sicher und ressourcenoptimierend?

Über das „single-instance“ Verfahren kann das Archiv entscheidend entlastet werden.

Eine aufwendige Dubletten-Prüfung verbraucht unnötige Systemressourcen. Das System sollte Verfahren beherrschen, die das Archivieren nur einer E-Mail- und ihrer Anlagen-Version gewährleisten.

 

 

 

Ist die Akzeptanz des Endbenutzers berücksichtigt?

Die Akzeptanz des Endbenutzers spielt immer eine entscheidende Rolle. Sollten Sie ihm durch die Einführung einer Lösung mehrere Vorteile bringen können, so profitiert auch das Unternehmen von der steigenden Produktivität seiner Mitarbeiter.
Bedenken Sie bitte, dass 5 Minuten pro Tag Zeitoptimierung bedeutet für ein Unternehmen mit 200 Mitarbeiter eine Ersparnis von über Euro 60.000,- jährlich.

 

 

 

Verfügt das Archivsystem über intelligente Strategien?

Unbeantwortete E-Mails sind geschäftsschädigend. Zudem steht die E-Mail-Kommunikation unter neuen Herausforderungen: Der Empfänger rechnet mit einer schnellen Antwort. Ein Versprechen muss rechtzeitig eingehalten werden.

Die zentrale Erledigung dieser Anforderungen sichert die Umsetzung viel besser. Ist das E-Mail-Antwort-Management ausreichend?

 

 

 

Schützt die Lösung vor Industrie Spionage

Alle wichtigen Informationen stehen heute in digitaler Form in Ihrem Unternehmen fast jedem Mitarbeiter zur Verfügung. Gerade aus diesem Grund ist es wichtig, deren unbefugten Zugriff und Versand zu unterbinden.

 

 

 

Verfügen Sie auch über einen Nachweis in der Kommunikation?

Können Sie auch nach Jahren nachweisen, dass eine E-Mail mit genau dieser Anlage (digital signiert) zum richtigen Zeitpunkt vom Empfänger empfangen und gelesen wurde?

 

 

 

 

 

 

 

 

Copyright 2017 rent a brain GmbH - Checkliste Rechtsanforderungen.
Impressum
Joomla Templates by Wordpress themes free