1. Einleitung Rechtliche Grundlagen Rechtliche Hintergründe...2. a. Suchfunktionen...3. b. Aufbewahrung und Archivierung...

Transkript

1 Whitepaper 2013 Erfüllung der gesetzlichen Anforderungen des GFI MailArchiver nach den Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen kurz (GDPdU) und nach den Grundsätzen des Bundesdatenschutzgesetzes (BDSG)

2 Inhaltsverzeichnis 1. Einleitung Rechtliche Grundlagen Rechtliche Hintergründe...2 a. Suchfunktionen...3 b. Aufbewahrung und Archivierung...4 c. Aufbewahrungspflicht...4 d. Handelsbriefe...4 e. Geschäftsbriefe...4 f. Elektronische Rechnungen...5 g. Art der Aufbewahrung...5 h. Ort der Aufbewahrung...6 i. Herausgabe aufbewahrungspflichtiger Daten Datenschutz Datenschutz und Betriebsverfassungsrecht Ergebnisse zur GDPdU-Konformität...8 a. Parametrisierung...8 b. Vollständige Erfassung von und Anhang...9 c. Indexierung und Identifizierung...9 d. Lesbarkeit und Datenzugriff e. Prüfer-Accounts f. Manipulation / Löschen von archivierten s g. Maschinelle Auswertbarkeit h. Vollständig- und Unveränderlichkeit i. Sichere und nachvollziehbare Datenverarbeitung und speicherung j. Angemessene Datenzugriffsmöglichkeiten k. Zuordnungsmöglichkeit von s und zugehörigen Geschäftsvorfällen Ergebnisse zu den Datenschutzrechtlichen Anforderungen Weitergehende Auskünfte

3 1. EINLEITUNG Im November 2010 wurden PRW RECHTSANWÄLTE von GFI mit der Prüfung der -Archivierungssoftware GFI MailArchiver 2011 for Exchange (nachfolgend MailArchiver 2013") hinsichtlich der Erfüllung der Anforderungen der Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) beauftragt. Darüber hinaus wurde gefordert, dass die insbesondere in Deutschland strengen Anforderungen nach dem Bundesdatenschutzgesetz (BDSG) mit den Novellierungen I-III in die Prüfung und Begutachtung einbezogen werden. Die notwendigen Prüfungen wurden erfolgreich durchgeführt. Hierzu liegt ein umfassender Prüfungsbericht vor. In diesem Whitepaper werden die wichtigsten Grundlagen zusammengefasst. 2. RECHTLICHE GRUNDLAGEN Die rechtlichen Grundlagen der Prüfung ergaben sich aus nachfolgenden Normen: 238 ff 257 HGB 147 ff. AO 146 Abs. 2a S. 4 AO 147 Abs. 6 AO 14b Umsatzsteuergesetz UStG 15, Absatz 1 SigG GoBS, BMF-Schreiben vom 7. November 1995 GDPdU, BMF-Schreiben vom 16. Juli 2001 IDW RS Fait 3 WPg 22/2006, S ff., FN-IDW 11/2006 IDW PS 330 4b, Absatz 1 BDSG 4c, Absatz 1, Nummer 1 BDSG 4c, Absatz 2 BDSG 3. RECHTLICHE HINTERGRÜNDE Der Begriff der Revisionssicherheit hat sich in der Diskussion weit verbreitet. Er gilt in Bezug auf die Archivierung gleichsam als Qualitätskriterium. Der Ausdruck revisionssicher steht als synonym für nachprüfbar, unveränderbar, nachvollziehbar und hat angeblich vor allem für die steuerliche Betriebsprüfung große Bedeutung. Nach der Definition des Verbands Information und Organisation e. V. gilt ein digitales 2

4 Archivierungssystem dann als revisionssicher, wenn mit ihm elektronische Daten gemäß den gesetzlichen Vorgaben und den GoBS sicher, unverändert, vollständig, ordnungsgemäß, verlustfrei reproduzierbar und datenbankgestützt recherchierbar verwaltet werden können. Auf welche Weise insbesondere die Unveränderbarkeit der Daten sichergestellt werden kann beziehungsweise muss, ist wiederum nicht gesetzlich vorgeschrieben, sondern richtet sich nach dem Stand der Technik. Die ganze Diskussion hat das Handicap, dass sie Marketing getrieben ist. Wäre sie juristisch getrieben, wäre zunächst aufgezeigt worden, dass der Begriff der Revisionssicherheit im Gesetz nicht vorkommt. Wer beim Bundesamt für Steuern 1 nachfragt, ob dieses Amt Wert legt auf eine revisionssichere Archivierung, wird ein Nein als Antwort erhalten. Die Steuerbehörden legen Wert auf die Einhaltung der steuerrechtlichen Vorschriften. Eine Aussage zu Revisionssicherheit findet sich darin nicht. Für die rechtskonforme Archivierung ist eine vorgeschaltete Analyse der im jeweiligen Einzelfall rechtlich relevanten Vorschriften unumgänglich. Die finanzrechtlich maßgeblichen Rechtsvorschriften ergeben sich aus dem Handelsgesetzbuch ( 239, 257 HGB) und der Abgabenordnung ( 146, 147 AO) und werden präzisiert durch die Grundsätze der ordnungsgemäßen Buchführung (GoB), die Grundsätze ordnungsgemäßer datenverarbeitungsgestützter Buchführungssysteme (GoBS) sowie die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) des Bundesfinanzministeriums. Bestimmte Techniken oder Verfahren für die Aufzeichnung und Speicherung von Daten schreibt das Gesetz ausdrücklich nicht vor. Auch digitale Signierungen und Verschlüsselungen können zur Absicherung gegen nachträgliche Manipulationen geeignet sein. In steuerrechtlicher Hinsicht ist dann allerdings zu beachten, dass s, die in maschinell auswertbarer Form aufzubewahren sind, zusätzlich auch im Originalzustand einschließlich der verwendeten Schlüssel aufbewahrt werden müssen. Weiterhin fordert die GDPdU, dass der Eingang, die Archivierung und gegebenenfalls Konvertierung sowie die weitere Verarbeitung von aufbewahrungspflichtigen Unterlagen zu protokollieren sind. Der bloße Zugriff auf eine archivierte ist damit nicht protokollierungspflichtig. Besteht allerdings das Risiko, dass eine archivierte nachträglich verändert, gelöscht, verschoben etc. wird, dürfte bereits aus unternehmensinternen Gründen ein Interesse daran bestehen, eventuelle Zugriffe nachvollziehen und auch die betreffende Person ausfindig machen zu können. a. Suchfunktionen Wenn von der Steuerbehörde zu Recht geforderte Informationen nicht rechtzeitig vorgelegt werden können, droht ein sogenanntes Verzögerungsentgelt. Das Verzögerungsgeld dient dazu, den Steuerpflichtigen zur Erfüllung seiner Mitwirkungspflichten zeitnah anzuhalten, insbesondere Anordnungen der Finanzbehörde Folge zu leisten. Das Verzögerungsgeld kann festgesetzt werden, wenn der Steuerpflichtige seiner Pflicht zur Mitteilung der unter 146 Abs. 2a Satz 4 AO genannten Umstände nicht unverzüglich nachkommt oder den Datenzugriff nach 147 Abs. 6 AO nicht, nicht zeitnah oder nicht in vollem Umfang einräumt oder Auskünfte im Rahmen einer Außenprüfung nicht oder nicht rechtzeitig erteilt

5 b. Aufbewahrung und Archivierung s eine Zeit lang aufzubewahren, empfiehlt sich schon aus unternehmensinternen Gründen, etwa um einen bestimmten Vorgang zu dokumentieren oder um auf den -Verkehr Bezug nehmen zu können. Einige s sind jedoch aufgrund gesetzlicher Vorschriften langfristig aufzubewahren beziehungsweise zu archivieren. Die Aufbewahrungspflicht gilt für Kaufleute und ihnen gleichgestellte Handelsgesellschaften. c. Aufbewahrungspflicht Archiviert werden müssen alle s, die Handelsbriefe ( 257 HGB) oder Geschäftsbriefe ( 147 Abgabenordnung AO) sind sowie elektronische Rechnungen ( 14b Umsatzsteuergesetz UStG). Für Handelsund Geschäftsbriefe gilt eine Mindestaufbewahrungsfrist von sechs Jahren ( 257, Absatz 4, HGB; 147, Absatz 3 AO), gerechnet ab dem Schluss des Kalenderjahres, in dem der Brief empfangen oder abgesandt wurde ( 257, Absatz 5 HGB; 147, Absatz 4 AO), bzw. bis zum Ende einer laufenden Steuerprüfung. Rechnungen sind zehn Jahre lang aufzubewahren, gerechnet ab dem Schluss des Kalenderjahres, in dem die Rechnung ausgestellt wurde ( 14b, Absatz 1 UStG). d. Handelsbriefe Aufzubewahren sind empfangene Handelsbriefe und Wiedergaben versendeter Handelsbriefe ( 257, Absatz 1 HGB). Handelsbriefe definiert das Gesetz zwar als Schriftstücke, die ein Handelsgeschäft betreffen ( 257, Absatz 2 HGB), erfasst werden damit aber auch die modernen schriftlichen Kommunikationsformen wie Faxe und s ( 238, Absatz 2 HGB). Zu den Handelsgeschäften gehören wiederum alle Geschäfte, die dem Interesse des Unternehmens, der Erhaltung seiner Substanz und der Erzielung von Gewinn dienen sollen, wobei ein entfernter, lockerer Zusammenhang genügt. Ein weit verbreiteter Irrtum ist zu glauben, es genüge, das finale Ergebnis (also nur die Rechnung) in der betriebswirtschaftlichen Software aufzuheben. Aufzubewahren sind Unterlagen wie Angebote, Auftragsbestätigungen, Lieferscheine, Mängelrügen, Reklamationsschreiben etc. Nicht dazu gehören Werbeschreiben, die erst der allgemeinen Bewerbung und Kontaktaufnahme mit potenziellen Kunden, nicht aber bereits der Anbahnung eines konkreten Geschäfts dienen. e. Geschäftsbriefe Das Steuerrecht verwendet den Begriff der Geschäftsbriefe ( 147, Absatz 1 AO). Dieser umfasst zwar auch Handelsbriefe, gilt aber darüber hinaus für alle in irgendeiner Weise schriftlich fixierten Mitteilungen eines Unternehmers über geschäftliche Angelegenheiten an Dritte außerhalb des Unternehmens. Als Adressaten kommen etwa andere Konzernunternehmen, Geschäftspartner oder Behörden in Betracht. Eine bestehende Geschäftsbeziehung zu diesen ist nicht erforderlich. Als Geschäftsbriefe aufzubewahren sind somit auch Preislisten, Auftragszettel, Bestellscheine, Lieferscheine, Frachtbriefe, Kostenvoranschläge, Bestätigungsschreiben, Verträge, Rücktrittserklärungen, Rechnungen, Quittungen und Mahnungen. Nicht dazu gehören, nicht an einen bestimmten Empfänger gerichtete Mitteilungen, wie allgemeine Rundschreiben an 4

6 Kunden und Werbeschreiben. Auch an Mitarbeiter gerichtete Schriftstücke sind aufbewahrungspflichtig, soweit ein Mitarbeiter als Vertragspartner betroffen ist, wie dies etwa bei arbeitsvertraglichen Angelegenheiten der Fall ist. f. Elektronische Rechnungen Weiterhin hat ein Unternehmer erhaltene Rechnungen sowie Kopien von Rechnungen, die er selbst ausgestellt hat, aufzubewahren ( 14b, Absatz 1 UStG). Zusätzliche Anforderungen gelten für elektronische Rechnungen. Diese berechtigen den Unternehmer nur dann zum Vorsteuerabzug, wenn sie mit einer qualifizierten elektronischen Signatur mit Anbieterakkreditierung nach dem Signaturgesetz ( 15, Absatz 1 SigG) versehen sind, da nur dann die Echtheit der Herkunft und die Unversehrtheit des Inhalts gewährleistet sind ( 14, Absatz 3 UStG). Dies hat auch Auswirkungen auf die Anforderungen an die Aufbewahrung, da der Originalzustand des übermittelten und gegebenenfalls noch verschlüsselten Dokuments jederzeit überprüfbar sein muss. Dementsprechend sind auch die Dokumentation der Signaturprüfung, der Signaturprüfschlüssel und das qualifizierte Zertifikat des Empfängers aufzubewahren. Bei Einsatz von Kryptografietechniken sind zudem die verschlüsselte und entschlüsselte Rechnung sowie der Schlüssel zur Entschlüsselung der elektronischen Rechnung aufzubewahren. g. Art der Aufbewahrung Die Anforderungen an die Aufbewahrung stimmen im Handelsrecht und Steuerrecht weitgehend überein. Sofern eine im Zweifel auch steuerrechtlich relevant sein kann, sollten jedoch die strengeren steuerrechtlichen Vorgaben eingehalten werden. Steuerrechtlich relevant sind nach Maßgabe der Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) des Bundesfinanzministeriums 2 in erster Linie die Daten der Finanzbuchhaltung, der Anlagenbuchhaltung und der Lohnbuchhaltung. Für die Dauer der Aufbewahrung muss sichergestellt sein, dass die Daten mit den Originalen bildlich oder inhaltlich übereinstimmen, wenn sie lesbar gemacht werden, dass sie während der gesamten Dauer der Aufbewahrungsfrist verfügbar sind und dass sie jederzeit lesbar gemacht werden können ( 257, Absatz 3 HGB; 147, Absatz 2 AO). Das Steuerrecht fordert zusätzlich, dass steuerrechtlich relevante Daten maschinell ausgewertet werden können ( 147, Absatz 2, Nummer 2 AO). Ausweislich der GDPdU gilt dies allerdings nicht für Unterlagen, die zwar datenverarbeitungsgestützt erstellt wurden, aber nicht zur Weiterverarbeitung in einem datenverarbeitungsgestützten Buchführungssystem geeignet sind. Als Beispiel werden Textdokumente angeführt. Die strengen Anforderungen an die maschinelle Auswertbarkeit dürften damit nur einen Bruchteil der - Korrespondenz eines Unternehmens erfassen. Für die s, die diesen Vorschriften unterliegen, bedeutet dies, dass sie nicht ausschließlich in ausgedruckter Form oder beispielsweise als PDF-Dateien aufbewahrt werden dürfen. Eine Konvertierung in PDF- oder TIFF-Formate ist damit nicht unzulässig, eine Konvertierung in ein 2 Zu finden beispielsweise unter zu Steuerarten/Abgabenordnung/003.html 5

7 unternehmenseigenes Format (Inhouse-Format) ist nach den GDPdU sogar ausdrücklich erlaubt. Allerdings sind parallel dazu auch die Originale aufzubewahren. Für verschlüsselte s gilt dementsprechend, dass sie auch in entschlüsselter Form aufbewahrt werden müssen, da ihr Originalzustand erkennbar sein muss ( 146 Absatz 4 AO). Zusätzlich sind die Schlüssel aufzubewahren. Zu der Frage, ob und Anhang voneinander getrennt aufbewahrt werden dürfen, ergibt sich nichts aus den gesetzlichen Regelungen des Handelsrechts oder Steuerrechts. Es wird lediglich darauf abgestellt, dass die aufzubewahrenden Unterlagen inhaltlich beziehungsweise von ihrer bildlichen Darstellung her nicht verändert werden dürfen und jederzeit lesbar gemacht werden können. Das Trennen von und Anhang ist daher eher unter praktischen Gesichtspunkten zu beurteilen. Sofern Inhalte einer auf den Anhang Bezug nehmen beziehungsweise umgekehrt, sollte die Zuordenbarkeit gewährleistet sein. h. Ort der Aufbewahrung Wo elektronische Daten genau aufzubewahren sind, ist im Gesetz nicht geregelt. Lediglich für steuerrechtlich relevante Daten war vorgeschrieben, dass sie im Geltungsbereich der Abgabenordnung, also auf dem Hoheitsgebiet der Bundesrepublik Deutschland aufzubewahren sind ( 146, Absatz 2 AO alte Fassung). Daraus kann geschlussfolgert werden, dass die Aufbewahrung nicht unmittelbar beim Aufbewahrungspflichtigen sondern auch bei einem Dritten erfolgen kann, etwa einem Hostprovider. Dies setzt allerdings voraus, dass dieser jedenfalls in technischer Hinsicht die Anforderungen an die ordnungsgemäße Aufbewahrung in gleicher Weise erfüllt wie der Aufbewahrungspflichtige, dass der Aufbewahrungspflichtige zu keiner Zeit den Zugriff und damit die Herrschaft über die Daten verliert. Die Konsequenz in beiden Fällen war, dass alle (aufbewahrungspflichtigen) Unterlagen jederzeit im Inland aufzubewahren waren. Ausnahmen gab es lediglich für Betriebsstätten und Organgesellschaften im Ausland Die Rechtslage hat sich durch das Steuerbürokratieabbaugesetz mit Wirkung zum geändert. Nun gilt 146 Abs. 2a AO: Abweichend von Absatz 2 Satz 1 kann die zuständige Finanzbehörde auf schriftlichen Antrag des Steuerpflichtigen bewilligen, dass elektronische Bücher und sonstige erforderliche elektronische Aufzeichnungen in einem Mitgliedstaat der Europäischen Union geführt und aufbewahrt werden. Dasselbe gilt für einen anderen Staat, auf den das Abkommen über den Europäischen Wirtschaftsraum vom 3. Januar 1994 (ABl. EG Nr. L 1 S. 3) in der jeweils geltenden Fassung Anwendung findet, Die Zustimmung zur Durchführung eines Zugriffs auf elektronische Bücher und sonstige erforderliche elektronische Aufzeichnungen wird der zuständigen Stelle des Staates vorgelegt, in den die elektronischen Bücher und Aufzeichnungen verlagert werden sollen.in der Vergangenheit wurde den Buchführungspflichten vollumfänglich nachgekommen laut Gesetzesbegründung muss sich der Steuerpflichtige kooperativ gezeigt haben - und der Datenzugriff nach 147 Abs. 6 AO in vollem Umfang möglich sein. Aber Achtung, neu ist das Verzögerungsgeld nach 146 Abs. 2b AO: Kommt der Steuerpflichtige der Aufforderung zur Rückverlagerung seiner elektronischen Buchführung oder seinen Pflichten nach Absatz 2a Satz 6

8 4, zur Einräumung des Datenzugriffs nach 147 Abs. 6, zur Erteilung von Auskünften oder zur Vorlage angeforderter Unterlagen im Sinne des 200 Abs. 1 im Rahmen einer Außenprüfung innerhalb einer ihm bestimmten angemessenen Frist nach Bekanntgabe durch die zuständige Finanzbehörde nicht nach oder hat er seine elektronische Buchführung ohne Bewilligung der zuständigen Finanzbehörde ins Ausland verlagert, kann ein Verzögerungsgeld von 2.500,00 Euro bis ,00 Euro festgesetzt werden. Die Multimailboxsuche von Exchange 2010 kann hier ein gute Hilfestellung bei der schnellen Auffindung von Informationen sein. Tipp: Vor der Parametrisierung sollte über die zuvor genannten Hintergründe Klarheit geschaffen werden. Also kurzum. Serverstandort Deutschland ist kein Problem. Serverstandort Europa ist nach Genehmigung möglich. Außerhalb von Europa erfordert besondere Voraussetzungen, die im Einzelfall zu prüfen sind. i. Herausgabe aufbewahrungspflichtiger Daten Im Rahmen der steuerlichen Außenprüfung hat die Finanzbehörde das Recht, Zugriff auf gespeicherte steuerrechtlich relevante Daten zu nehmen. Hierzu kann sie zum einen verlangen, dass der Steuerpflichtige die Daten nach ihren Vorgaben maschinell auswertet und ihr zur Verfügung stellt oder dass ihr gespeicherte Unterlagen und Aufzeichnungen auf einem maschinell verwertbaren Datenträger zur Auswertung überlassen werden ( 147, Absatz 6 AO). 4. DATENSCHUTZ Im Datenschutzrecht gilt der Grundsatz der Datenvermeidung und Datensparsamkeit 3. Dies bedeutet, dass personenbezogene Daten nur unter strengen Voraussetzungen erhoben, verarbeitet und eben auch gespeichert werden dürfen. Daten, die für den Zweck, zu dem sie erhoben wurden, nicht mehr benötigt werden, sind zu löschen oder zu sperren 4. Werden personenbezogene Daten übertragen, ergeben sich zusätzliche datenschutzrechtliche Einschränkungen. So erlaubt das Bundesdatenschutzgesetz die Übermittlung personenbezogener Daten innerhalb des europäischen Wirtschaftsraums ( 4b, Absatz 1 BDSG). Eine Übermittlung an andere ausländische Stellen ist beispielsweise dann zulässig, wenn dort ein angemessenes Datenschutzniveau gewährleistet ist ( 4b, Absatz 2 BDSG), der Betroffene eingewilligt hat ( 4c, Absatz 1, Nummer 1 BDSG) oder die Aufsichtsbehörde die Übermittlung genehmigt ( 4c, Absatz 2 BDSG). Insbesondere eine Übermittlung in die USA ist nur zulässig, wenn sich der Empfänger den Safe-Harbor-Regeln unterworfen hat oder die Standardvertragsklauseln der EG- Kommission für die Übermittlung personenbezogener Daten in Drittländer verwendet werden. Treffen datenschutzrechtliche Löschungs- beziehungsweise Sperrpflichten und handels- und steuerrechtliche Aufbewahrungspflichten aufeinander, ist grundsätzlich anzunehmen, dass nur die personenbezogenen Daten aufbewahrt werden dürfen, die noch benötigt werden. Können diese nicht oder nur mit unverhältnismäßigem Aufwand vorab gelöscht werden, kann wohl vom Vorrang der handels- und steuerrechtlichen 3 3a BDSG 4 35 BDSG 7

9 Aufbewahrungspflichten ausgegangen werden. Hierbei dürfte unter anderem zu berücksichtigen sein, dass die Nichteinhaltung der handels- und steuerrechtlichen Aufbewahrungspflichten im Gegensatz zu den datenschutzrechtlichen Löschungs- und Sperrpflichten insofern straf- und bußgeldbewehrt ist, als die nicht ordnungsgemäße Aufbewahrung steuerlich relevanter s dazu führen kann, dass diese nicht oder nicht rechtzeitig vorgelegt werden können. Dies kann wiederum als Steuerhinterziehung ( 370 AO), Steuerverkürzung ( 378 AO) oder Steuergefährdung ( 379 AO) verfolgt werden. Aber Achtung, dort wo eine Datentrennung möglich ist, sollte diese unbedingt beachtet und umgesetzt werden DATENSCHUTZ UND BETRIEBSVERFASSUNGSRECHT Die Einführung technischer Einrichtungen, wie eines Datenverarbeitungssystems, die das Verhalten oder die Leistung der Arbeitnehmer überwachen können, unterliegt zwingend der Mitbestimmung des Betriebsrats ( 87, Absatz 1, Nummer 6 BetrVG) 6. Die weitere Einschaltung des Betriebsrats bezüglich der Archivierung von s ist jedenfalls vom Bundesdatenschutzgesetz nicht vorgesehen. Betriebsvereinbarungen können aber nach Auffassung des Bundesarbeitsgerichts, die in der Literatur kritisch gesehen wird, die Zulässigkeit der Verarbeitung personenbezogener Daten abweichend von den gesetzlichen Vorschriften regeln. Die Grenze wird dann aber dort zu ziehen sein, wo die Personaldatenverarbeitung nach dem Bundesdatenschutzgesetz unzulässig ist. 7 Es ist davon auszugehen, dass im zukünftigen Arbeitnehmerdatenschutzrecht hierzu weitergehende Regelungen in Kraft treten werden. 6. ERGEBNISSE ZUR GDPDU-KONFORMITÄT a. Parametrisierung Vor der Inbetriebnahme MailArchiver 2013 sollten nachfolgend beschriebene Parametrisierungen vor allem am MS Exchange Server vorgenommen werden. Die Übergabe der s durch MS Exchange wird mittels der Aktivierung der Journalfunktion in MS Exchange erreicht. Die Übergabe von MS Exchange an MailArchiver erfolgt aus dem Journal-Postfach ( journalingmailbox"), das die s zur Übertragung bereitstellt. MailArchiver stellt folgende Anbindungsmöglichkeiten an das Journal-Postfach zur Verfügung: IMAP, IMAP mit SSL-Verschlüsselung und ExOLEDB. Diese Verbindungsarten sind geeignet, die Übertragung der s erfolgreich zu gewährleisten. Bei unsicheren Übertragungswegen besteht die Möglichkeit zum Einsatz des verschlüsselten Übertragungsprotokolls IMAP mit Secure Sockets Layer (SSL). 5 S.o. FG Rheinland-Pfalz vom 20. Januar K 2167/04 -:Zugriffsschutz bei mangelhafter Abgrenzung 6 Analoge Vorschriften existieren auch für den öffentlichen oder kirchlichen Rechtsraum 7 Vergleiche Gola/Schomerus BDSG 4, Rd. 6. 8

10 Um alle möglichen Empfänger abzubilden, ist es erforderlich, den so genannten envelope joumaling" in MS Exchange zu aktivieren. Die Einstellung des Gesamtumfangs der zu archivierenden s erfolgt in den Konfigurationseinstellungen von MailArchiver. Hierbei können verschiedene Einschränkungen erfolgen. Die message tracking function sollte auf jedem dem MS Exchange Server aktiviert sein, damit ein späterer Vergleich übertragener und archivierter s möglich ist. Zur Nachvollziehbarkeit der Änderungen der Systemkonfiguration des MailArchiver 2013 werden diese in MS SQL Server umfassend protokolliert. Im MailArchiver 2013 besteht die Möglichkeit, diese Protokollierung in einer Audit-Datenbank abzuspeichern. Der GFI MailArchiver 2013 unterstützt somit die Vorgaben für eine Betriebsprüfung nach den GDPdU. Der Verantwortung, das System so einzurichten (Parametrisierung), dass alle Vorschriften eingehalten werden, liegt beim Administrator des Systems. Bei korrekter Einrichtung des Systems können alle Anforderungen, die sich aus der GDPdU ergeben, eingehalten werden. Hierzu gehört auch, dass sichergestellt wird, dass der GFI-Server / Dienst überwacht wird, damit die s per PULL-Verfahren in das Archiv übertragen werden. b. Vollständige Erfassung von und Anhang Die s wurden in inhaltlicher und bildlicher Übereinstimmung mit dem Original erfasst. Der Abgleich zwischen den bereitgestellten und den archivierten s ist über die message tracking Funktion möglich. Der Signaturschlüssel signierter s wird dann miterfasst, wenn dieser Anlage der erfassten ist. Bei den Tests ergaben sich keine Beanstandungen. Eine automatisierte Entschlüsselung ist nicht vorgesehen. Um die Anforderungen der GDPdU aber auch hinsichtlich der Archivierung signierter und verschlüsselter s zu erfüllen, sind bei Einsatz des MailArchiver geeignete Verfahren, z. B. durch eine manuelle Verschlagwortung, zu ergänzen. Dadurch wird die Zuordnung der signierten oder verschlüsselten s zu den jeweiligen Verifikationsprotokollen bzw. entschlüsselten s und Entschlüsselungscodes gewährleistet. c. Indexierung und Identifizierung Der MailArchiver 2013 erfüllt die Anforderungen an die eindeutige Identifizierbarkeit von s durch die Vergabe eines eineindeutigen Index zur Identifizierung einzelner s (Identification Code). Der Index kann in der Detailansicht archivierter s auf Anwendungsebene eingesehen werden und ist als Suchkriterium in MailArchiver 2013 einsetzbar. Durch den Identification Code ist auch eine Identifizierung in Drittsystemen möglich. Zudem können archivierte s von außerhalb des Archivsystems über eine Internetadresse unmittelbar im Archiv angezeigt werden. 9

11 Darüber hinaus kann die im Header einer mitgeführte Message-ID in der Detailansicht der in MailArchiver 2013 auf Anwendungsebene eingesehen werden. Die Message-ID besteht aus einer Zeichenfolge, die geeignet ist, s in MS Exchange und Systemen, aus denen die s stammen, aufzufinden. Die Zuordnung von s zu Ordnungskriterien ist im MailArchiver 2013 möglich. Sie erfolgt entweder durch eine automatische Verschlagwortung in Form Kategorisierungsrichtlinien oder durch manuelle Verschlagwortung durch den Benutzer. Die Nutzer können eine direkte Zuordnung zu einem zugehörigen Geschäftsvorfall vornehmen. Dies kann auch durch die Fremdschlüsseleigenschaft des Identification Code bei der Verwendung in Drittsystemen erreicht werden. Darüber hinaus können die Benutzer archivierte s mit Kennzeichnungen versehen, die für andere Benutzer nicht sichtbar sind. Die Bewertung einer auf ihre steuerliche Relevanz ist nicht einfach. Jedes die Software MailArchiver 2013 einsetzende Unternehmen muss daher entscheiden, ob ihm eine allein auf Basis vorbestimmter Regeln durchgeführte Archivierung ausreichend erscheint. Wer eine verlässliche Kennzeichnung aller steuerlich relevanten s wählen möchte, sollte nachträglich die manuelle Methode wählen. Zu beachten ist aber, dass im Fall einer regelbasierten automatischen Kennzeichnung eine Zugriffsmöglichkeit auf den Gesamtbestand aller archivierten s jederzeit gegeben ist. d. Lesbarkeit und Datenzugriff Die Finanzbehörde hat drei Möglichkeiten des Datenzugriffs, die durch eine Archivierungslösung zur Verfügung gestellt werden müssen: - Unmittelbar lesender (lesen, filtern, sortieren) Zugriff auf die gespeicherten Daten (Z1) - Maschinelle Auswertung der Daten durch den Steuerpflichtigen nach Vorgabe des Betriebsprüfers (Z2) - Bereitstellung der Daten auf einem maschinell verwertbaren Datenträger (Z3) Die Tests haben ergeben, dass MailArchiver 2013 die Funktionen zum Lesen, Filtern und Sortieren archivierter E- Mails zur Verfügung stellt. Für das Verfahren nach Z3 steht das GFI MailArchiver Bulk Export Tool zur Verfügung. Durch das von MailArchiver 2013 verwendete Datenmodell wird sichergestellt, dass bei der Wiederherstellung für eine Ansicht oder den Export archivierter s einschließlich der eingebundenen Dokumentanhänge eine exakte Wiederherstellung des Originalzustands erfolgt. e. Prüfer-Accounts Für Wirtschaftsprüfer/Finanzprüfer gibt es keinen eigenen Account/User. Es besteht jedoch die Möglichkeit, E- Mails mit Tags zu versehen (z.b. Rechnung) und diese Mails dann in eine PST-Datei zu extrahieren. Somit können einem Dritten die Mails zur Verfügung gestellt werden, die für die Ausführung der Tätigkeit notwendig sind. 10

12 f. Manipulation / Löschen von archivierten s Es wurde eingehend die Unveränderlichkeit der archivierten s überprüft. Als Ergebnis wurde festgehalten, dass es Benutzern und Administratoren nicht möglich ist, archivierte s zu manipulieren oder zu löschen. Das Entfernen bzw. Löschen von s ist im Basisprodukt des GFI MailArchivers 2013 nicht vorgesehen. Es können jedoch verschiedene, konfigurierbare Retention Times durch einen Administrator vergeben werden. Nach Ablauf dieser, werden die s automatisch vom System gelöscht, dabei erfolgt eine hinreichende Protokollierung. g. Maschinelle Auswertbarkeit Es ist möglich mit Hilfe des GFI MailArchiv Outlook Connectors in quantitativer und qualitativer Hinsicht die gleichen Auswertungsmöglichkeiten wie beim Quellsystem bereitzustellen. Die Benutzer können s, die durch GFI MailArchiver 2013 archiviert wurden, von der Microsoft Outlook Oberfläche aus einsehen. Zusätzlich gibt es die Möglichkeit die Mails über die Weboberfläche des GFI MailArchivers 20113zu durchsuchen. Hier existieren Zugriffskontrollmöglichkeiten, die den jeweiligen Bedürfnissen angepasst werden können. Weiterhin liegen die sogenannten Strukturinformationen, z.b. der Header einer , die für eine maschinelle Auswertung erforderlich sind, vor. Diese können direkt in der Weboberfläche des GFI MailArchivers 2013 aufgerufen werden. Der GFI MailArchiver 2013 lässt auch die Speicherung der s in das *.MSG und *.EML zu, sodass die s auf dem Computer in ihren originalen Formaten abgespeichert werden können. Auch die gegebenenfalls vorhandenen Anhänge von s sind maschinell auswertbar und werden bei der Archivierung berücksichtigt. Die Anhänge können direkt aus dem Archiv exportiert werden. h. Vollständig- und Unveränderlichkeit Alle Daten werden vollständig archiviert und die Daten des Quellsystems unterliegen keiner Filterung. Die Unveränderlichkeit der Archivierungsobjekte ist in allen Phasen des Archivierungsprozesses sichergestellt und dessen Nachvollziehbarkeit durch eine geeignete Protokollierung gewährleistet. Ein Entfernen bzw. Löschen von s ist nicht vorgesehen. Es können jedoch verschiedene, konfigurierbare Retention Times vergeben werden. Nach Ablauf dieser Zeitspanne, werden die s automatisch vom System gelöscht. Die Protokollierung umfasst unter anderem folgende Berichte: 11

13 Konfigurationsänderungen Zugriffskontrolle Datenintegrität Datenspeicherung Datenschutzverletzungen Benutzerüberwachung Folgende Anforderungen sind demnach erfüllt: Parametrisierung der zu Archivierungslösung gehörenden Systeme, welche die vollständige Erfassung der steuerlich relevanten Daten sicherstellt Verlustfreie Datenübertragung und Speicherung i. Sichere und nachvollziehbare Datenverarbeitung und speicherung Es ist sichergestellt, dass eine nachträgliche Veränderung der Archivierungsobjekte auf Betriebssystem-, Datenbank- und Anwendungsebene nicht möglich ist. Dies umfasst die vollständige Speicherung der erfassten Daten, deren Nachvollziehbarkeit sowie die fehlerfreie Speicherung, die durch geeignete Plausibilitätskontrollen sichergestellt sind. Die s werden mittels PULL-Prinzip direkt bei Eintreffen auf dem Exchange-Server vom GFI MailArchiver 2013 abgezogen. Der MailArchiver 2013 nutzt dabei die MS Journaling Funktion vom Exchange um sicherzustellen, dass auch alle Mails in den MailArchiver 2013 gelangen ohne, dass der User eine Möglichkeit zum Löschen hat. Eine nachträgliche Änderung/Manipulation der ist somit ausgeschlossen Durch die Archivierungslösung MailArchiver 2013 ist bei ordnungsgemäßer Parametrisierung sichergestellt, dass ausschließlich der lesende Zugriff unter Berücksichtigung von Funktionstrennungsaspekten und berechtigtem Interesse möglich ist. j. Angemessene Datenzugriffsmöglichkeiten Der GFI MailArchiver 2013 ermöglicht den technischen, wahlfreien Zugriff auf Daten und Dokumente. Während der gesamten Aufbewahrungsfrist ist eine jederzeitige Lesbarmachung bzw. Reproduzierbarkeit der Archivierungsobjekte möglich. Eine geordnete Ablage mit einer eindeutigen Indexierung und Kennzeichnung für jede adresse ist gewährleistet. Der GFI MailArchiver 2013 verfügt darüber hinaus über geeignete Methoden zur Verschlagwortung um Beziehungen zu Daten außerhalb des Systems abbilden zu können. 12

14 k. Zuordnungsmöglichkeit von s und zugehörigen Geschäftsvorfällen Der GFI MailArchiver verfügt über komfortable Möglichkeiten, die Zuordnung aufgrund der Charakteristik von E- Mails durchzuführen. Es ist möglich, jeder manuell ein Persönliches ~ oder Globales Label zuzuordnen und diese damit zu kennzeichnen. Auch eine automatische Kategorisierung mit Hilfe von Kategorisierungsrichtlinien ist möglich und durchführbar. 7. ERGEBNISSE ZU DEN DATENSCHUTZRECHTLICHEN ANFORDERUNGEN s enthalten bereits im so genannten Header typischerweise personenbezogene Daten (Name, - Adresse), aber gegebenenfalls auch im Text der selbst (Body) sowie in der Regel in der -Signatur (Name, Position, Kontaktdaten des Versenders). Die gesetzlichen Bestimmungen zum Datenschutz greifen somit in jedem Fall, wenn die komplett gespeichert wird. Wird nur der Text der gespeichert, kommt es darauf an, ob dieser im Einzelfall personenbezogene Daten enthält. Fraglich ist aber, inwieweit die Speicherung einer ohne Header und Signatur sinnvoll ist, um sie einem bestimmten Vorgang zuordnen zu können. Die datenschutzrechtlichen Anforderungen können auf organisatorischer Ebene mit Richtlinien z.b. zum Versand von privaten s mit GFI MailArchiver 2013 geregelt werden. Der GFI MailArchiver 2013 selbst hat keine Funktionalität für den Datenschutz. Es besteht aber - wie dargestellt - die Möglichkeit und es liegt in der Hand des jeweiligen Unternehmens, durch geeignete organisatorische Maßnahmen die Einhaltung der Datenschutzgesetze sicherzustellen. 8. WEITERGEHENDE AUSKÜNFTE Im Rahmen dieses Whitepapers können nicht alle Fragen beantwortet werden. Für weitergehenden technische Fragen wenden Sie sich gerne an den technischen Support von GFI oder an Ihren IT-Ansprechpartner. Für rechtliche Fragen wenden Sie sich gerne an: PRW RECHTSANWÄLTE. Steinsdorfstrasse München. Telefon +49 (89) Telefax +49 (89) office@prw.de. 13