Nur wenige deutsche Unternehmen archivieren E-Mails den rechtlichen Anforderungen entsprechend - wähnen sich aber auf der sicheren Seite, so fasst Daniel Hofmann, Geschäftsführer von Antispameurope, das zentrale Ergebnis einer repräsentativen Untersuchung zur E-Mail-Archivierung in deutschen Unternehmen zusammen.

Unternehmen sind gesetzlich verpflichtet, ihren elektronischen Geschäftsverkehr ordnungsgemäß zu archivieren. Die Anforderungen scheinen eindeutig: Steuerlich relevante E-Mails sind digital zu archivieren, typisch über sechs oder zehn Jahre. Ob eine bestimmte E-Mail zu archivieren ist, lässt sich im Vorhinein aber oft nur schwer feststellen.

Um bei der Archivierung von E-Mails rechtlich „auf der sicheren Seite“ zu sein, das heißt den Anforderungen der GDPdU (Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen), der Abgabenordnung und des Handelsgesetzbuches sicher zu genügen, sollten Unternehmen daher alle eingehenden und ausgehenden E-Mails vollständig und nachweislich unverändert und unveränderbar über einen Zeitraum von mindestens zehn Jahren elektronisch archivieren.

Wie die jetzt durchgeführte Studie belegt, werden diese Regelungen von den wenigsten deutschen Unternehmen umgesetzt:

• Viele Unternehmen archivieren zwar bereits E-Mails. Zwischen 75,5 Prozent (20-50 Mitarbeiter) und 93 Prozent (2.000-5.000 Mitarbeiter) der Firmen speichern z.B. eingehende E-Mails; zwischen 61,2 Prozent (20-50 Mitarbeiter) und 88,4 Prozent (2.000-5.000 Mitarbeiter) archivieren ausgehende elektronische Post.

• Nur ein sehr kleiner Teil der Unternehmen archiviert E-Mails rechtskonform. Der Anteil der rechtlich einwandfrei archivierenden Unternehmen liegt je nach Unternehmensgröße bei unter sechs Prozent (bis 500 Mitarbeiter), bei ca. zwölf Prozent (500-1.000 Mitarbeiter) bzw. bei gerade einmal etwa 22,4 Prozent in großen Unternehmen mit 1.000-2.000 Mitarbeitern sowie bei 20,9 Prozent in sehr großen Firmen mit 2.000-5.000 Mitarbeitern.

• Vor allem der Mittelstand ist fahrlässig bei der E-Mail-Archivierung. So wird in 24,5 Prozent (20-50 Mitarbeiter) bis 17,6 Prozent (500-1.000 Mitarbeiter) der mittelständischen Firmen eingehende E-Mail überhaupt nicht archiviert; ähnliche, noch deutlich schlechtere Werte, gibt es für ausgehende E-Mails.

• In nahezu der Hälfte der Unternehmen bis 200 Mitarbeiter sind die bereits seit 2002 geltenden GDPdU unbekannt, auch bei großen Unternehmen gibt es erhebliche Wissenslücken.

• Zentrale rechtliche Vorschriften zur Archivierungsdauer, Unveränderbarkeit und geeigneten Speicherform werden in der Groß- oder sogar Mehrzahl der Unternehmen nicht hinreichend umgesetzt.

„In deutschen Unternehmen gibt es massiven Aufklärungsbedarf über die richtige Art und Weise sowie die Möglichkeiten, E-Mails systematisch aufzubewahren“, meint Daniel Hofmann. Dabei ist E-Mail in vielen Unternehmen das meistgenutzte Kommunikationsmittel. Den Unternehmen drohen bei nicht regelkonformer Speicherung Strafen durch die Behörden und die Schätzung von Besteuerungsgrundlagen. Zudem sind Vorstände und Geschäftsführer persönlich haftbar für das Einhalten der gesetzlichen Regelungen.

Die Gründe für das teils mangelhafte Archivierungsverhalten, gerade bei kleineren Unternehmen, sieht der Anbieter von Managed E-Mail-Security Services neben Unkenntnis über die Regelungen hauptsächlich in den hohen Kosten: „Die technisch eigentlich nötigen Systeme sind vielfach auf Großunternehmen ausgerichtet, teuer in der Anschaffung und für den Mittelstand unerschwinglich.“ Scheinbar günstige In-House Lösungen hingegen bieten nicht die notwendige Sicherheit für dauerhaften Betrieb und Bestand der Daten.

Daniel Hofmann: „Abhilfe können externe Lösungen wie automatische Archivierungsdienste schaffen, die zu vergleichsweise niedrigen Preisen Daten- und Rechtssicherheit garantieren.“

Über die Studie

Die Untersuchung sollte einen Überblick zur realen Handhabung der E-Mail-Archivierung in Unternehmen unterschiedlicher Größe liefern. Das Ziel lag in der Ermittlung von Differenzen im Umgang mit den GDPdU nach der Unternehmensgröße.

Die Unternehmensgröße wurde über die Mitarbeiterzahl definiert und es wurden folgende Größenklassen gebildet: „20 bis unter 50 Beschäftigte“, „50 bis unter 200 Beschäftigte“, „200 bis unter 500 Beschäftigte“, „500 bis unter 1.000 Beschäftigte“, „1.000 bis unter 2.000 Beschäftigte“ , 2.000 bis unter 5.000 Beschäftigte“. Für noch größere Unternehmen wurde davon ausgegangen, dass die GDPdU letztlich auch über die Anforderungen der Wirtschaftsprüfungsgesellschaften in-zwischen umgesetzt sind. Für kleinere Unternehmen kann unterstellt werden, dass maximal die Werte der kleinsten aufgeführten Beschäftigtengrößenklasse (20 bis unter 50 Beschäftigte) erreicht werden.

Zur Erzielung hinreichend aussagekräftiger Ergebnisse wurden 50 verwertbare Interviews je Unternehmensgrößenklasse angestrebt und auch erreicht. Insgesamt wurden rund 2.300 Unternehmen angerufen, um die entsprechende Anzahl verwertbarer Interviews zu erhalten.

Netmarks

• Download der Studie (Antispameurope/Pestel-Institut, PDF-Datei)

Quelle

• Pressemitteilung von Antispameurope vom 29. September 2008.