P R O J E C T C O N S U L T Vogel Business Media E-Mail-Archivierung richtig gestalten – Rechtliche Grundlagen, Management und Lösungen für die IT-Praxis Dr. Ulrich Kampffmeyer P R O J E C T C O N S U L T Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH
Organisatorisches Bitte alle Mobil-Telefone auf stumm stellen Mittagessen bitte aus der Liste auswählen Teilnehmerliste bitte unterschreiben Download der vollständigen PDF- Tagungsunterlage (ab 17.03.2011): www.PROJECT-CONSULT.de „Handouts“ oder direkt www.PROJECT-CONSULT.net/files/EMA2011.pdf „Wer früher weg muss“ … Zertifikat nicht vergessen Bitte die elektronische Teilnehmerbefragung morgen online ausfüllen
Agenda Einführung Definitionen Rechtsfragen Funktionalität Archivierungsverfahren Besondere Problembereiche Ausblick
1 Einführung
Übersicht Einführung 1.1 Die elektronische Post 1.2 Nutzen von E-Mail 1.3 E-Mail – Problematik 1.4 Gründe für E-Mail - Archivierung
Die elektronische Post 1.1 Die elektronische Post
E-Mail als Medium der Geschäftskommunikation Geschäfte können elektronisch per E-Mail getätigt werden E-Mails sind dementsprechend originär elektronische Dokumente, Belege, Handelsbriefe, Aufträge, Verträge usw.
Der Wert elektronischer Information Auf den Inhalt kommt es an … nicht auf die Form der Übermittlung Nur Information, die auch in Prozessen oder als Wissen genutzt wird, hat einen inhärenten Wert E-Mail-Systeme bieten keine geeignete, nachvollziehbare Prozessunterstützung
Elektronisch signierte Dokumente Durch die Verwendung der elektronischen Signatur entsteht aus einer Datei ein Dokument das einem manuell unterzeichneten Papierdokument im Prinzip gleichwertig ist Die elektronische Signatur sichert vorrangig die Unverändertheit der Nachricht und die Authentizität des Unterzeichners Elektronisch signierte Dokumente werden in der Regel im Dokumentenaustausch, also per E-Mail, benutzt
Wert von Informationen Der Wert von Information bemisst sich an einer Reihe von individuellen Kriterien, die von Unternehmen zu Unternehmen unterschiedlich ausfallen. Es existieren jedoch Grundparameter: Z.B. ist ein Großunternehmen, das lediglich mit Informationen arbeitet, wie eine Bank oder eine Versicherung, anders zu bewerten als ein physische Produkte produzierendes mittelständisches Unternehmen.
Kriterien zum Wert von Informationen Es sind eine Reihe von verschiedenen grundsätzlichen Kriterien zu berücksichtigen wie z.B.: Anteil von Information an der Wertschöpfung des Unternehmens Nutzung von Information in Prozessen Nutzung von Information als Wissen Abhängigkeit von der Verfügbarkeit und Richtigkeit von Information Bedeutung von Information bei der Erfüllung rechtlicher und regulativer Vorgaben Rolle von Information als Steuerungselement der Unternehmensstrategie Gewichtung elektronischer Information versus papier- und menschengebundener Information Bedeutung von Information in der Entscheidungsfindung und Planung usw.
1.2 Nutzen von E-Mail
Vorteile der E-Mail Nachvollziehbarkeit und Nachweisbarkeit: Man hat alles schriftlich / elektronisch Einfache Archivierung: Mitschreiben am Telefon entfällt Asynchronität: Man kann sich die Antwort in Ruhe vorbereiten, weniger Störungen Effektivität: Man kann mehrere Adressaten zugleich informieren Anlagen: Einfaches Mit-Versenden von Anlagen (Dokumente, Zeichnungen, etc.) aller Art Quelle: http://www.leitenbauer.at/mailvorteile.htm
Vorteile der E-Mail Bezug: Der Bezug zum ursprünglichen Mail ist bei einer Antwort klar erkennbar, wenn man das ursprüngliche Mail nicht entfernt Erinnerungsfunktion Möglichkeit der Verschlüsselung durch einfache Dienstprogramme Datenbankabfragen möglich Einfaches Weiterleiten Elektronisch ohne Medienbruch weiterverarbeitbar Quelle: http://www.leitenbauer.at/mailvorteile.htm
Nachteile der E-Mail Information „nachlässig verpackt“ Rechtschreibfehler, Fehler in der Grammatik und stilistische Mängel Falsche Empfänger in der Adresszeile Nicht (immer) Rückmeldung möglich, ob E-Mail angekommen ist Bei Beanstandungen oder Konflikten Gefahr von Missverständnissen (Fehlen der gestischen und mimischen Zusatzinformation) Keine sinnvoll ausgefüllten Betreffzeilen führen zu Identifikationsproblemen Beantwortung von E-Mails mit anderem sachlichen Inhalt führt zu „Unordnung“
Nachteile der E-Mail E-Mail fördert unüberschaubare Informationsflut Überfüllte Emailbriefkästen: Prioritätensetzung Erwartungsdruck: E-Mail rasch beantworten - auch bei komplexen Fragestellungen Persönliche Gespräche nehmen ab Gefahr Stimmungen und voreilige Meinungen zu schnell weiterzugegeben Tendenz steigt, Informationen weiterzuleiten und Verantwortung abzuschieben Quelle: http://www.rhetorik.ch/EKommunikation/EKommunikation.html
Produktivität von Email nach John Mancini AIIM, 2011 Quelle: http://aiim.typepad.com/aiim_blog/2011/02/email-mail-sucks-lets-move-on-for-most-things.html
1.3 E-Mail Problematik
E-Mail-Problematik (1) Original ? Ein Empfänger Mehrere Empfänger Ein Empfänger, mehrere CC: Empfänger Verteiler, viel bcc: Empfänger
E-Mail-Problematik (2) Zitierstil Keine Übernahme Vollständige Übernahme (mit Schachtelung) Teilweise Übernahme Editierbarkeit
E-Mail-Problematik (3) Lesbarkeit E-Mail nicht anzeigbar E-Mail Attachment nicht anzeigbar Verlinkte Seite nicht aufrufbar Zeichensatzprobleme
E-Mail-Problematik (4) Inhaltliche Bewertung Durch Empfänger Relevanz häufig nicht sofort erkennbar
E-Mail-Problematik (5) Status Vorabinformation Kopie Original Rechtskräftiges Original
E-Mail-Problematik (6) Fehlende Metadaten Betreff Individueller Absender Bezug im Text
E-Mail-Problematik (7) Umschlag E-Mail mit Text Jjhkjqwfqnckqlef b pok poküf kefleqöükbökwreöplbkpowrigbewporgkgop4ggkpo45kgpo45gkpogkpo45kg gio54go5gpoipoi4tgpo4ipo45igpogi opiopi poi43po ip o4it p4p ip ipo4i p o4ipoi4poti5pot4potiiipo itpo4tpo5tpo45opi op4i5 poipo44uitzr iop3u4i6upoupo io Jjhkjqwfqnckqlef b pok poküf kefleqöükbökwreöplbkpowrigbewporgkgop4ggkpo45kgpo45gkpog
E-Mail-Problematik (8) Jjhkjqwfqnckqlef b pok poküf kefleqöükbökwreöplbkpowrigbewporgkgop4ggkpo45kgpo45gkpogkpo45kg gio54go5gpoipoi4tgpo4ipo45igpogi opiopi poi43po ip o4it p4p ip ipo4i p o4ipoi4poti5pot4potiiipo itpo4tpo5tpo45opi op4i5 poipo44uitzr iop3u4i6upoupo io Jjhkjqwfqnckqlef b pok poküf kefleqöükbökwreöplbkpowrigbewporgkgop4ggkpo45kgpo45gkpog PDF E-Mail mit Text und Attachment Jjhkjqwfqnckqlef b pok poküf kefleqöükbökwreöplbkpowrigbewporgkgop4ggkpo45kgpo45gkpogkpo45kg gio54go5gpoipoi4tgpo4ipo45igpogi opiopi poi43po ip o4it p4p ip ipo4i p o4ipoi4poti5pot4potiiipo itpo4tpo5tpo45opi op4i5 poipo44uitzr iop3u4i6upoupo io Jjhkjqwfqnckqlef b pok poküf kefleqöükbökwreöplbkpowrigbewporgkgop4ggkpo45kgpo45gkpog Word PDF Email mit Text und mehreren unterschiedlichen Attachments
E-Mail-Problematik (9) Jjhkjqwfqnckqlef b pok poküf kefleqöükbökwreöplbkpowrigbewporgkgop4ggkpo45kgpo45gkpogkpo45kg gio54go5gpoipoi4tgpo4ipo45igpogi opiopi poi43po ip o4it p4p ip ipo4i p o4ipoi4poti5pot4potiiipo itpo4tpo5tpo45opi op4i5 poipo44uitzr iop3u4i6upoupo io Jjhkjqwfqnckqlef b pok poküf kefleqöükbökwreöplbkpowrigbewporgkgop4ggkpo45kgpo45gkpog PDF E-Mail mit Text und eingebetteter E-Mail Jjhkjqwfqnckqlef b pok poküf kefleqöükbökwreöplbkpowrigbewporgkgop4ggkpo45kgpo45gkpogkpo45kg gio54go5gpoipoi4tgpo4ipo45igpogi opiopi poi43po ip o4it p4p ip ipo4i p o4ipoi4poti5pot4potiiipo itpo4tpo5tpo45opi op4i5 poipo44uitzr iop3u4i6upoupo io Jjhkjqwfqnckqlef b pok poküf kefleqöükbökwreöplbkpowrigbewporgkgop4ggkpo45kgpo45gkpog Word PDF Mehrfach geschachtelte Email mit enthaltener Email und Attachments PDF
E-Mail-Problematik (10) Jjhkjqwfqnckqlef b pok poküf kefleqöükbökwreöplbkpowrigbewporgkgop4ggkpo45kgpo45gkpogkpo45kg gio54go5gpoipoi4tgpo4ipo45igpogi opiopi poi43po ip o4it p4p ip ipo4i p o4ipoi4poti5pot4potiiipo itpo4tpo5tpo45opi op4i5 poipo44uitzr iop3u4i6upoupo io Jjhkjqwfqnckqlef b pok poküf kefleqöükbökwreöplbkpowrigbewporgkgop4ggkpo45kgpo45gkpog E-Mail mit HTML E-Mail mit HTML, Links und Nachladen aus dem Internet Jjhkjqwfqnckqlef b pok poküf kefleqöükbökwreöplbkpowrigbewporgkgop4ggkpo45kgpo45gkpogkpo45kg gio54go5gpoipoi4tgpo4ipo45igpogi opiopi poi43po ip o4it p4p ip ipo4i p o4ipoi4poti5pot4potiiipo itpo4tpo5tpo45opi op4i5 poipo44uitzr iop3u4i6upoupo io
E-Mail-Problematik (11) Ohne Signatur Mit fortgeschrittener Signatur Mit qualifizierter Signatur Nur Umschlag signiert Umschlag mit Attachment signiert Nur Attachments signiert Gemischt signierte und unsignierte Attachments
E-Mail-Problematik (12) Jjhkjqwfqnckqlef b pok poküf kefleqöükbökwreöplbkpowrigbewporgkgop4ggkpo45kgpo45gkpogkpo45kg gio54go5gpoipoi4tgpo4ipo45igpogi opiopi poi43po ip o4it p4p ip ipo4i p o4ipoi4poti5pot4potiiipo itpo4tpo5tpo45opi op4i5 poipo44uitzr iop3u4i6upoupo io Jjhkjqwfqnckqlef b pok poküf kefleqöükbökwreöplbkpowrigbewporgkgop4ggkpo45kgpo45gkpog E-Mail mit Text und elektronischer Signatur Jjhkjqwfqnckqlef b pok poküf kefleqöükbökwreöplbkpowrigbewporgkgop4ggkpo45kgpo45gkpogkpo45kg gio54go5gpoipoi4tgpo4ipo45igpogi opiopi poi43po ip o4it p4p ip ipo4i p o4ipoi4poti5pot4potiiipo itpo4tpo5tpo45opi op4i5 poipo44uitzr iop3u4i6upoupo io Jjhkjqwfqnckqlef b pok poküf kefleqöükbökwreöplbkpowrigbewporgkgop4ggkpo45kgpo45gkpog E-Mail mit elektronischer Signatur und Attachment PDF E-Mail mit Text und Attachment mit elektronischer Signatur Jjhkjqwfqnckqlef b pok poküf kefleqöükbökwreöplbkpowrigbewporgkgop4ggkpo45kgpo45gkpogkpo45kg gio54go5gpoipoi4tgpo4ipo45igpogi opiopi poi43po ip o4it p4p ip ipo4i p o4ipoi4poti5pot4potiiipo itpo4tpo5tpo45opi op4i5 poipo44uitzr iop3u4i6upoupo io Jjhkjqwfqnckqlef b pok poküf kefleqöükbökwreöplbkpowrigbewporgkgop4ggkpo45kgpo45gkpog PDF
E-Mail-Problematik (13) Eingangsnachweis Bestätigung des Empfängers Bestätigung des Lesers Keine Bestätigung der Bearbeitung Keine elektronischen Posteingangs- und Ausgangsbücher, da Einträge löschbar Beziehung des Eingangs zur einzelnen E-Mail ?! Referenzierung Vollständigkeit Multiple Adressaten
E-Mail-Problematik (14) Firewall Firewall verhindert Empfang von E-Mails mit Viren Elektronische Signatur Speziellen Attachments + Bestimmter Absender Bestimmte Größe
E-Mail-Problematik (15) Outlook <-> Notes <-> Google <-> Opensource Formatierung Auszeichnungsmerkmale Zeichensätze Aufbau Metadaten Interne Struktur
E-Mail-Problematik (16) Ordnung Persönliche Postkörbe Gruppenpostkörbe Funktionspostkörbe „Transportable Kopien“ (Notebook) Ausgelagerte Postkörbe Grundsätzliches Problem: Zusammenhang zwischen Nachricht und Antwort(en)
E-Mail-Problematik (17) Absender-Erkennung Interne, bekannte Adresse Externe, bekannte Adresse Externe, unbekannte Adresse Externe, „verdeckte“ Adresse Authentifizierte Absender Internes Management in einem Directory Service Elektronische Signatur DE-Mail E-Postbrief Reg-Mail
E-Mail-Problematik (18) Empfangsnachweis Richtige Adresse Richtige(r) Empfänger Gruppen-/Funktions-Postkorb mit intransparenten Empfängern Richtiger Zeitstempel Vollständigkeit / Lesbarkeit Versandnachweis Richtiger Zeitpunkt Vollständigkeit
Gründe für E-Mail-Archivierung 1.4 Gründe für E-Mail-Archivierung
Unsicherheit beim Anwender Zugriff auf archivierte E-Mails (und Office-Dokumente) Wie sicher sind sie sich mit der Genauigkeit und der Rückholbarkeit ihrer elektronischen Dokumente und E-Mails? AIIM Marktstudie ECM-Nutzer, 2010
Gründe zur Archivierung von E-Mails Wirtschaftliche Gründe: Direkter Zugriff auf alle Informationen unabhängig vom Empfänger Entlastung der Kommunikationssysteme Reduzierung von Suchzeiten aufgrund der integrierten Suchfunktionalitäten im Archivsystem Sicherung und Bereitstellung von in E-Mails vorhandenen geschäftskritischen Informationen in nachgelagerten Systemen usw.
Gründe zur Archivierung von E-Mails Rechtliche Gründe: Anforderungen, basierend auf den Aufbewahrungspflichten für geschäftsrelevante Informationen Spezielle Gesetze zur Aufbewahrungspflicht von E-Mails Allgemeine länderspezifische rechtliche Vorschriften
FAZIT (1) E-Mail als Kommunikationsmittel hat Anfang des 3. Jahrtausends den Brief auf Papier abgelöst. Die Rahmenbedingungen für die Kommunikation orientieren sich jedoch immer noch an den Restriktionen und Organisationsformen des Papiers.
2 Definitionen
Übersicht Definitionen 2.1 E-Mail 2.2 E-Mail-Management / E-Mail-Response-Management 2.3 E-Postbrief 2.4 DE-Mail 2.5 Revisionssichere Archivierung 2.6 Langzeitarchivierung 2.7 Digital Preservation 2.8 Aufbewahrung 2.9 Vertrauenswürdige Archivierung
2.1 E-Mail
E-Mail Eine auf elektronischem Weg in Computernetzwerken übertragene Nachricht Format einer E-Mail durch RFC 5322 festgelegt Danach bestehen E-Mails nur aus Textzeichen Andere Internet-Standards fügen Möglichkeiten hinzu, auch Zeichen außerhalb von ASCII sowie Datei-Anhänge zu verschicken E-Mails intern in zwei Teile geteilt: Header mit Kopfzeilen und Body mit eigentlichem Inhalt der Nachricht
E-Mail E-Mail-Adresse bezeichnet eindeutig den Empfänger einer E-Mail Ermöglicht damit Zustellung an diesen Empfänger Transport per SMTP im Internet: E-Mail-Adresse besteht aus zwei Teilen: domain-part, local-part Andere Transportmechanismen wie zum Beispiel UUCP oder X.400 verwenden eine andere Adress-Syntax Dateianhang (engl.: attachment) = Datei, die im Body einer E-Mail verschickt wird Durch MIME-Protokoll ermöglicht, welches Unterteilung des Body und Kodierung der Datei regelt
Versand einer E-Mail: Ablauf
E-Mail-Management / E-Mail-Response-Management 2.2 E-Mail-Management / E-Mail-Response-Management
E-Mail-Management Eingangskontrolle und Nachweis Filterung und Prüfung Verteilung Teilautomatisierte Auswertung Unterstützung bei der Beantwortung Zuordnung zu Geschäftsvorfällen etc. … erst am Ende steht die Archivierung
E-Mail-Management Intelligenter Umgang mit den Inhalten von E-Mails wichtiger Wettbewerbsfaktor, da E-Mails als Kommunikationsmedium einerseits und als Transportmedium für angehängte Dateien andererseits einen immer höheren Stellenwert einnehmen Software für E-Mail-Management erleichtert die Verwaltung der elektronischen Post deutlich Zwei Arten von E-Mail-Management-Systemen: E-Mail-Archivsysteme steuern die Aufbewahrung von Nachrichten inklusive Dateianhängen E-Mail-Response-Management-Systeme unterstützen den Anwender bei der Beantwortung von E-Mails Quelle: http://www.documanager.de/magazin/artikel_1872_email_management.html
E-Mail-Response-Management Datenbankbasierte Anwendung, die der strukturierten, automatisierten und nachvollziehbaren Bearbeitung von großen Mengen eingehender E-Mails dient Ziele: Beschleunigung der Bearbeitung, Steigerung der Effizienz und der Agentenleistung, Erhöhung der Antwortkonsistenz sowie die Dokumentation des E-Mail-Aufkommens und einzelner Vorgänge, Kundenzufriedenheit verbessern
E-Mail-Response-Management Durch Kategorisierung werden Anfragen thematisch eingeordnet, sodass sie dem richtigen Mitarbeiter oder Geschäftsprozess zugeordnet werden können Zuverlässigkeit von modernen ERMS: Business-Rules: Welche Prozesse manuell oder automatisch für welche Arten von Anfragen vorzusehen sind, deren Einhaltung prüfen Für bestimmte Kunden oder Bearbeiter können spezielle Workflows hinterlegt werden
E-Mail-Response-Management Durch redaktionell bearbeitete Textbausteine wird sichergestellt, dass Expertenwissen für jeden Bearbeiter bereitsteht und qualitativ hochwertige Antworten gegeben werden können Arbeitserleichterung vor allem dann, wenn repetitive Aufgaben automatisiert werden. Entscheidend: Sehr gute inhaltliche Analyse der Kommunikation Automatische Bereitstellung von relevanten Informationen oder Textbausteinen spart Zeit Quelle: http://wiki.computerwoche.de/doku.php/it-management/mail-response-management
2.3 E-Postbrief
Der E-Postbrief Angebot der Deutschen Post AG: www.epost.de Soll zuverlässige und vertrauliche elektronische Kommunikation gewährleisten SSL-verschlüsseltes Webportal: elektronische Nachrichten als Online-Brief zwischen Kunden des E- Postbrief-Dienstes versenden Besitzt der Empfänger eines E-Postbriefs keinen elektronischen Briefkasten des Dienstes, so wird die Nachricht als hybrider E-Postbrief gedruckt, kuvertiert und per Postbote zugestellt Quelle: Deutsche Post http://www.epost.de/privatkunden.html
Der E-Postbrief Für die Authentifizierung während der Anmeldung ist ein PostIdent-Nachweis, also das persönliche Vorlegen eines Lichtbildausweises bei der Post Voraussetzung Adresse (vorname.nachname@epost.de) kann keine E-Mails gemäß IETF-Norm RFC 5322 empfangen
Der E-Postbrief
2.4 DE-Mail
DE-Mail Bundesregierung hat die DE-Mail als rechtssicheres Kommunikationsmittel ins Leben gerufen Schaffung vertrauenswürdiger Lösungen für elektronische Kommunikation im Rechts- und Geschäftsverkehr, bei denen sich Teilnehmer der Sicherheit der Dienste, der Vertraulichkeit der Nachrichten und der Identität ihrer Kommunikationspartner sicher sein können Stärkung Rechtssicherheit im elektronischen Rechts- und Geschäftsverkehr durch verbesserte Beweismöglichkeiten Schaffung rechtlichen Rahmens für eine rechtssichere Zustellung elektronischer Dokumente
DE-Mail Beteiligt an der DE-Mail sind die zur United Internet AG gehörenden Provider und Freemail-Anbieter GMX und Web.de sowie die Deutsche Telekom E-Brief ist Konkurrenzprodukt zur DE-Mail E-Brief ist kein DE-Mail-Angebot (die Deutsche Post wird sich DE-Mail anschließen) Streitpunkt: Frage der einheitlichen Adressendung - Endungen sind aufgrund der fehlenden endgültigen Fassung des DE-Mail-Gesetzes für ePostbrief unklar Im Fall einer DE-Mail-Akkreditierung will die Post nicht auf ihr Markenzeichen „ePostbrief“ verzichten Es ist in naher Zukunft mit weiteren Veränderungen in diesem Bereich zu rechnen Quelle: http://gesetzgebung.beck.de/news/de-mail-gesetz-buergerportale-gesetz
DE-Mail Einhaltung technischer Umsetzung fraglich: Hohe Anforderungen an Sicherheit, Funktionalität, Interoperabilität und Datenschutz erfüllen Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlicht Zulassungskriterien auf seinen Webseiten Rechtliche Voraussetzung für die Zulassung als DE-Mail-Provider: „Gesetz zur Regelung von DE-Mail-Diensten und zur Änderung weiterer Vorschriften“
Entwurf Gesetz DE-Mail Entwurf: 13. Oktober 2010 vom Bundeskabinett verabschiedet Gesetzentwurf der Bundesregierung: 08. November 2010 veröffentlicht Ziel: Schaffung Rechtsrahmen zur Einführung vertrauenswürdiger Bürgerportale im Internet, der für Dienstanbieter Rechtssicherheit schafft Sichere, rechtskräftige Nachrichtenübermittlung Bürger-Safe für elektronische Dokumente
Änderungen Entwurf Gesetz DE-Mail 07.02.2011: Bei einer Anhörung im Innenausschuss des Bundestags hat die Mehrzahl der Experten den umstrittenen Regierungsentwurf für ein "Gesetz zur Regelung von DE-Mail-Diensten" in weiten Zügen abgelehnt 22.02.2011: geänderter Gesetzentwurf: Nicht mehr erforderlich, eine abgesicherten E-Mail über eine feste Domain beziehungsweise den Wortbestandteil "DE-Mail" zu kennzeichnen Grenze bestehe darin, dass eine für DE-Mail verwendete Domain dann auch nur für diesen Zweck genutzt werden dürfe Quelle:http://www.heise.de/newsticker/meldung/Nur-noch-geringfuegige-Aenderungen-am-De-Mail-Gesetz-1195017.html
Änderungen Entwurf Gesetz DE-Mail 24. Februar 2011 ist DE-Mail-Gesetz vom Deutschen Bundestag mit den Stimmen der Regierungsfraktionen beschlossen worden Verpflichtung für zertifizierte Anbieter, eine DE-Mail bei Zahlungsverzug abrufbar zu machen Provider kann ein Konto demnach nicht komplett sperren, sondern höchstens kündigen oder die Versandoption blockieren Keine Ende-zu-Ende-Verschlüsselung durch die Provider Quelle:http://www.heise.de/newsticker/meldung/Nur-noch-geringfuegige-Aenderungen-am-De-Mail-Gesetz-1195017.html
DE-Mail: Bürger-Safe DE-Safe: Ablage persönlicher Daten in einem elektronischen „Safe“ Dokumente standardmäßig verschlüsselt abgelegt und nur bei Abruf durch den (authentifizierten) Nutzer durch den DE-Mail-Provider entschlüsselt Bei Bedarf: einzelne, alle oder bestimmte Kategorien seiner Dokumente zusätzlich clientseitig verschlüsseln und im DE-Safe ablegen Aufgabe: Unterlagen verschlüsselt ablegen und ständig vor Veränderungen geschützt bereit halten Quelle: http://www.datenschutz-praxis.de/fachwissen/fachartikel/wie-der-datenschutz-bei-de-mail-sichergestellt-werden-soll/
Revisionssichere Archivierung 2.5 Revisionssichere Archivierung
Elektronische Archivierung „Elektronische Archivierung ist die datenbankgestützte, langzeitige, sichere und unveränderbare Aufbewahrung von jederzeit wieder reproduzierbaren elektronischen Informationsobjekten.“ Unveränderbare, langzeitige Aufbewahrung elektronischer Information Im Deutschen spezielle Archivsysteme Im Englischen unterschiedliche Komponenten, die separat als „Records Management“, „Storage“ und „Preservation“ bezeichnet werden
Revisionssichere Archivierung Unter „revisionssicherer Archivierung“ versteht man Archivsysteme, die nach den Vorgaben der Abgabenordnung (HGB AO) und der GoBS Daten und Dokumente sicher, unverändert, vollständig, ordnungsgemäß, verlustfrei reproduzierbar und datenbankgestützt recherchierbar verwalten.
Revisionssicherheit Revisionssicherheit immer beim Kunden vor Ort Betrachtet die Einhaltung der Vorgaben rückblickend (re-vision) und Zertifikate bescheinigen, dass alles ordentlich war Für jede individuelle Anwendung eine Verfahrensdokumentation und Abnahme benötigt, die den gesamten Prozess (Organisation, Abläufe und technische Lösung eingeschlossen) beinhaltet Kein allgemeingültiger Stempel "Revisionssicher", den man auf eine Produktverpackung kleben könnte
Revisionssicherheit: Kriterien Folgende grundsätzlichen Kriterien gelten für die Revisionssicherheit von Archivsystemen: Ordnungsmäßigkeit Vollständigkeit Sicherheit des Gesamtverfahrens Schutz vor Veränderung und Verfälschung Sicherung vor Verlust Nutzung nur durch Berechtigte Einhaltung der Aufbewahrungsfristen Dokumentation des Verfahrens Nachvollziehbarkeit Prüfbarkeit
„Rechtssicherheit“ Rechtssicherheit gibt es nicht bei der Archivierung: Rechtssicherheit ist ein Begriff aus dem Staatsrecht und dem Grundgesetz, der nicht auf Archivsysteme angewendet werden kann Der Bürger muss darauf vertrauen können, dass die Legislative ihm Rechtssicherheit gewährt. Gesetze können sich ändern – auch rückwirkend Systeme und Verfahren können nicht über (bis zu) 100 Jahre die Kontinuität gewährleisten 71
Langzeitarchivierung 2.6 Langzeitarchivierung
Langzeitarchivierung Unter „elektronischer Langzeitarchivierung“ versteht man die Bereitstellung von Daten und Dokumenten über einen Zeitraum von mindestens 10 Jahren. Archivare in historischen Archiven verstehen unter Langzeitarchivierung die ewige, dauerhafte Archivierung.
2.7 Digital Preservation
Digital Preservation NARA NARA: National Archives and Records Administration der Vereinigten Staaten Finanziert und beteiligt sich bereits seit 1998 an verschiedenen Initiativen zur Erforschung von der modernen EDV-Infrastruktur bis hin zu Authentizitätsanforderungen bei der Archivierung Partnerschaften mit anderen Stellen der US-Regierung (z.B. National Science Foundation und Universitäten) Kernziele: Erweiterung der erforderlichen Kenntnisse über die Anforderungen der Langzeitarchivierung elektronischer Unterlagen und ihrer ständigen Zugänglichkeit Bewertung entsprechender Optionen Förderung der Entwicklung oder des Transfers der für die Archivierung und den Zugang notwendigen Technologien Quelle: http://nestor.sub.uni-goettingen.de/allg/detail.php?show=811
2.8 Aufbewahrung
Aufbewahrung Vom Gesetzgeber verwendeter Begriff für Archivierung Ausnahme: Bundes- und Landesarchivgesetze „..Unterlagen werden gemäß ihrer rechtlichen Gültigkeit nach Schließung der Akte aufbewahrt..“ Im kaufmännischen Bereich sprechen die GOBS (Grundsätze ordnungsgemäßer DV-gestützter Buchführungssysteme, HGB (Handelsgesetzbuch) oder auch AO (Abgabenordnung) lediglich von „Aufbewahrung“
Anforderungen an die langfristige Aufbewahrung aus Sicht „elektronische Signatur“ Grundsätzliche Anforderungen • Keine „Verringerung des Beweiswerts“ des Dokuments Funktionale Anforderungen der Beweissicherung • Erhalt der Lesbarkeit • Erhalt der Integrität • Erhalt der Authentizität • Erhalt der Vollständigkeit • Erhalt der „Verkehrsfähigkeit“ (Quelle: Rechtliche Rahmenbedingungen für eine beweissichere Archivierung, Fachkonferenz „Rechtssicherheit bei der elektronische Archivierung“, Bundesministerium für Wirtschaft, Berlin, 13. Dezember 2005)
Problem der Beweissicherheit Elektronische Signaturen Der Beweiswert elektronischer Dokumente hängt ab von den Möglichkeiten, ihre Integrität und Authentizität nachzuweisen. Unterschiedlicher Beweiswert für • Dokumente ohne Signatur • Dokumente mit fortgeschrittener Signatur • Dokumente mit qualifizierter Signatur • Dokumente mit akkreditierter Signatur Eine beweissichere Archivierung, die den jeweiligen Beweiswert erhält, ist möglich. Voraussetzungen: • Sicherung der Authentizität durch Beschaffung der Verifikationsdaten • Sicherung der Integrität, Vollständigkeit und Verkehrsfähigkeit durch Neusignierung • Sicherung der Lesbarkeit durch Transformation Erprobung der Beweiswerterhaltung durch Simulationsstudie (Quelle: Rechtliche Rahmenbedingungen für eine beweissichere Archivierung, Fachkonferenz „Rechtssicherheit bei der elektronische Archivierung“, Bundesministerium für Wirtschaft, Berlin, 13. Dezember 2005)
Vertrauenswürdige Archivierung 2.9 Vertrauenswürdige Archivierung
Definition Vertrauenswürdigkeit nach nestor Laut Kriterienkatalog wird Vertrauenswürdigkeit (Trustworthiness) „als Eigenschaft eines Systems angesehen, gemäß seinen Zielen und Spezifikationen zu operieren (d.h. es tut genau das, was es zu tun vorgibt). Aus Sicht der IT-Sicherheit stellen Integrität, Authentizität, Vertraulichkeit und Verfügbarkeit Grundwerte dar. IT-Sicherheit ist somit ein wichtiger Baustein für vertrauenswürdige digitale Langzeitarchive.“ (http://files.d-nb.de/nestor/materialien/nestor_mat_14.pdf) 81
Vertrauenswürdige Langzeitspeicherung nach BSI Bundesamt für Sicherheit in der Informationstechnik Seit 01.03.2011: Neue Technische Richtlinie BSI TR-03125 „Beweiswerterhaltung kryptographisch signierter Dokumente“ (TR-ESOR) Vormals: „Vertrauenswürdige elektronische Langzeitspeicherung“ (TR-VELS) Quelle: https://www.bsi.bund.de/ContentBSI/Publikationen/TechnischeRichtlinien/tr03125/index_htm.html 82
Vertrauenswürdige Langzeitspeicherung nach BSI TR-03125 TR-ESOR Änderungen im Inhalt: Anspruch der Gültigkeit ist ähnlich geblieben Begriff „Vertrauenswürdigkeit“ ist raus „Revisionssichere Archivierung“ taucht nicht mehr auf Zertifizierung wird beibehalten Es taucht der neue Ansatz „Middleware“ auf Aus Archivsystem/Archivspeicher wird ECM/Archiv Unlogisch, da ECM mehr als Archiv ist und selbst eine Middleware darstellt Erneut ist eine Normung im DIN geplant (damit auch Relevanz ausserrhalb der Bundesbehörden?!)
FAZIT (2) Die Erfinder der E-Mail haben sich vor über 25 Jahren Gedanken über den Nachrichtenaustausch gemacht, jedoch nicht einen Gedanken an die Themen Verwaltung, Aufbewahrung und Archivierung verwendet.
Rechtliche Anforderungen 3 Rechtliche Anforderungen
Übersicht Rechtliche Anforderungen 3.1 Compliance 3.2 GRC Governance, Risk Management und Compliance 3.3 Rechtliche Anforderungen International 3.4 Rechtliche Anforderungen USA 3.5 Rechtliche Anforderungen Europa 3.6 Archivierungsrelevante Gesetze in Deutschland 3.7 Verordnungen in Deutschland
3.1 Compliance
Compliance Übereinstimmung mit und Erfüllung von rechtlichen und regulativen Vorgaben.
Direkte und indirekte Auswirkungen Vielfach ergeben sich aus gesetzlichen Vorgaben für einen Anwendungsfall auch Auswirkungen und implizite Anforderungen für andere Fälle: Direkte Auswirkungen - Beispiele HGB AO / GDPdU / GOBS Verrechnungspreisdokumentation Indirekte Auswirkungen – Beispiele: Basel II (für „Nicht-Banken“) BDSG
Grundsätzlich Alle rechtlichen und gesetzlichen Vorgaben gelten auch in der elektronischen Welt! Die Anforderungen an die DV-Welt sind jedoch häufig noch nicht oder nicht direkt enthalten und müssen daher adäquat abgeleitet werden
GRC Governance, Risk Management und Compliance 3.2 GRC Governance, Risk Management und Compliance
GRC: Ganzheitlicher Ansatz Bisheriger Ansatz: Governance, Risk Management und Compliance als einzelne Säulen Aufteilung auf verschiedene Rollen und Bereiche Umsetzung in spezifischen Lösungen GRC-Ansatz: Ganzheitliche Betrachtung und Umsetzung der Anforderungen Technische Infrastruktur zur Implementierung und Überwachung von Prozessen Definition und Kontrolle von Risiken Dokumentation und Archivierung von Geschäftsvorfällen
GRC GRC vereinigt die Disziplinen Corporate Governance, Risikomanagement und Compliance als durchgängiges Vorgehensmodell Governance Compliance Risk Management
Definition Governance Der Begriff Governance bezeichnet Standards beziehungsweise spezielle Rahmenbedingungen für Strukturen und Prozesse der Führung, Verwaltung und Überwachung börsennotierter Unternehmen. Gilt auch für große GmbHs und andere Gesellschaftsformen
Definition Risk Management Risk Management ist die systematische Erfassung, Bewertung und Steuerung der unterschiedlichsten Risiken. Es ist ein systematisches Verfahren, das in verschiedensten Bereichen Anwendung findet, zum Beispiel bei Unternehmensrisiken Kreditrisiken Finanzanlagerisiken Umweltrisiken Versicherungstechnischen Risiken Technische Risiken.
Risikomanagement Standards und Frameworks Weltweit über 80 Frameworks und Normen Gegenstandsbereich reicht von Terminologien über Sicherheits-, Gesundheitsschutz- und Umweltschutznormen bis hin zu allgemeinen Risikomanagement-Leitlinien mit Anwendungsbereichen in der Raumfahrttechnik, Medizin, Biotechnik, Petrochemie und Softwaretechnik Beispiele: COSO ERM Enterprise Risk Management - Integrated Framework (USA 2004) ONR 49000 ff. Risikomanagement für Organisationen und Systeme: Begriffe und Grundlagen (Österreich 2004) ISO/IEC Guide 73:2002 Risk Management–Vocabulary - Guidelines for use in standards ISO 31000 Risk Management – Guidelines for principles and implementation of risk management geplant für 2008 geplant
Rechtliche Anforderungen international 3.3 Rechtliche Anforderungen international
Basel II Basel II = Neugestaltung der Eigenkapitalvorschriften der Kreditinstitute Basler Ausschuss für Bankenaufsicht eröffnete mit der Vorlage eines Konsultationspapieres im Juni 1999 die Diskussion, die am 26.06.2004 abgeschlossen wurde Ziel von "Basel II„: Stabilität des internationalen Finanzsystems erhöhen Dazu sollen die Risiken im Kreditgeschäft besser erfasst und die Eigenkapitalvorsorge der Kreditinstitute risikogerechter ausgestaltet werden In EU durch Bankenrichlinie 2006/48/EG und Kapitaladäquanzrichtlinie 2006/49/EG umgesetzt und in zwei Stufen zum 01.01.07 und zum 01.01.08 zur Anwendung gebracht
Basel II Auswirkungen für die Archivierung Der Begriff Archivierung wird nicht benutzt Dokumentation der Geschäftstätigkeit und Transaktionen Prüfbarkeit durch Aufsichtsbehörden und Wirtschaftsprüfer
Basel III September 2010 Ergänzende Empfehlungen des Basler Ausschusses für Bankenaufsicht bei der Bank für Internationalen Zahlungsausgleich (BIZ) in Basel zu Basel II Basel III basiert einerseits auf Erfahrungen mit Basel II und andererseits auf Erkenntnissen und Erfahrungen aus der weltweiten Finanz- bzw. Wirtschaftskrise Erhöhung der Mindesteigenkapitalanforderungen und Einführung von Kapitalpuffern von Banken Spätestens bis zum Jahr 2012 in europäische Richtlinien umgesetzt
Solvency II Solvency II ist ein EU-Kommissionsprojekt zur Festlegung neuer Solvabilitätsvorschriften bei der finanziellen Ausstattung von Versicherungsunternehmen. Solvency II wird ab 2008 bis voraussichtlich 2010 national umgesetzt. Wie bei Basel II wird ein 3-Säulen-Ansatz verfolgt, anders als bei der Bankenbranche stehen aber weniger die Einzelrisiken, als vielmehr ein ganzheitliches System zur Gesamtsolvabilität im Zentrum. Neben quantitativen werden hier auch qualitative Aspekte betrachtet
Auswirkungen der Solvency II für die E-Mail Dokumentation der Geschäftstätigkeit und Transaktionen die per E-Mail stattgefunden haben Prüfbarkeit durch Aufsichtsbehörden Nachweispflichten z.B. gegenüber Rückversicherern
Rechtliche Anforderungen USA: SOA & SEC 3.4 Rechtliche Anforderungen USA: SOA & SEC
Sarbanes-Oxley-Act (SOX oder SOA) Nach den beiden Leitern der Kommission benannt, die das Gesetz entworfen haben SOA wurde als Folge von Bilanzskandalen und Unternehmenszusammenbrüchen durch die US- amerikanische Legislative 2002 erlassen und stellt die bedeutendste Änderung der US-Wertpapiergesetze seit 1933/34 dar Das Gesetz findet Anwendung für alle Unternehmen, die an der New York Stock Exchange gelistet sind SOA hat die Aufgabe, die Transparenz und Nachvollziehbarkeit in den Unternehmen bei Prüfungen durch die SEC, Securities und Exchange Commission, zu verbessern Unternehmen werden verpflichtet, u.a. ein internes Kontrollsystem für die Rechnungslegung zu unterhalten, die Wirksamkeit der Systeme zu beurteilen und die Richtigkeit der Jahres- und Quartalsberichte beglaubigen zu lassen
Sarbanes-Oxley-Act ,,. . . whoever knowingly alters, destroys, mutilates, conceals, covers up, falsifies or makes a false entry in any record, document or tangible object with intent to impede, obstruct or influence the investigation or proper administration of any matter within the jurisdiction of any department or agency of the United States or any case filed under title 11 or in relation to, or contemplation of any such matter of case, shall be fined under this title, imprisoned not more than 20 years, or both." (Quelle: ‘‘Sarbanes-Oxley Act of 2002“, Sec. 802, §1519)
Securities und Exchange Commission (SEC) ,, Electronic documents and the storage on which they reside contain relevant, discoverable information beyond that which may be found in printed documents.Therefore, even where a paper copy exists, we will seek all documents in their electronic form along with information about those documents contained on the media." (Auszug aus Electronic Evidence Discovery der SEC)
E-Discovery Besonders relevant in den USA Anfrage, Suche und Ortung elektronischer Daten In digitaler Datenbank alle wichtigen Geschäftsdokumente enthalten, Abruf über Suchfunktion schnell und ohne großen Aufwand „Elektronische Beweissicherung“ Beweise sollen einfach zugänglich und vertraulich sein (Indizierung der abgelegten Daten, Volltextsuche) Key Escrow: Wenn Public-Key-Infrastruktur (PKI) eingerichtet: jene Schlüssel hinterlegen, die notwendig sind, um die vom (End-)Benutzer verschlüsselten Informationen zu dechiffrieren
Relevanz von E-Discovery für Unternehmen Trial Lawyers, Inc. Deutsches Unternehmen Klägeranwälte sind organisiert und handeln wie eine Industrie Aggressives Marketing, z. B. über Internet No Cost / no risk als Verkaufstaktik Große Werbe-Budgets Finanzierung von Prozessen durch externe Investoren Starke Lobby (Allianzen mit State Attorney Generals, Verbraucherschützern, Unterstützung des Wahlkampfs von Politikern und Richtern) Geschätzte Kosten der Schadensersatzklagen in den USA pro Jahr: $ 250 Mrd. Attraktivität ausländischer Unternehmen als Ziel einer Klage Auswahl der „targets“ anhand der wirtschaftlichen Leistungsfähigkeit (deep pocket) Ausnutzen strategischer Vorteile aufgrund der Unerfahrenheit ausländischer Unternehmen E-Discovery als Druckmittel
Rechtliche Anforderungen Europa 3.5 Rechtliche Anforderungen Europa
„E-Signatur“ - Richtlinie 1999/93/EG Mit dieser Richtlinie werden die Kriterien festgelegt, die als Grundlage für die rechtliche Anerkennung elektronischer Signaturen dienen. Der Schwerpunkt liegt dabei auf Zertifizierungsdiensten. Im Einzelnen geht es um: Gemeinsame Verpflichtungen für Zertifizierungsdiensteanbieter, um die grenzüberschreitende Anerkennung der Signaturen und der Zertifikate in der Europäischen Gemeinschaft sicherzustellen Gemeinsame Haftungsregeln, um eine Vertrauensgrundlage sowohl bei den Verbrauchern, die sich auf die Zertifikate stützen, als auch bei den Diensteanbietern zu schaffen Verfahren der Zusammenarbeit, um die grenzüberschreitende Anerkennung der Signaturen und Zertifikate in Drittländern zu erleichtern
Auswirkung der „E-Signatur“- Richtlinie auf die E-Mail E-Signatur wesentlich im Bereich E-Mail Erst durch die elektronische Signatur können Geschäfte, etc. rechtskräftig per E-Mail abgeschlossen werden Elektronische Dokumente der Papierform gleichzusetzen Geschäfte zwischen unbestimmten Dritten Rechtscharakter von E-Mails, Attachements, Verschlüsselung
„E-Commerce“ - Richtlinie 2000/31/EG Mit der 2000 verabschiedeten Richtlinie über den elektronischen Geschäftsverkehr wurde ein Rechts- rahmen für den E-Commerce auf dem Binnenmarkt geschaffen, der sowohl Unternehmen als auch Verbrauchern Rechtssicherheit bietet Einheitliche Regeln u. a. für die Transparenz und Informationspflichten von Online-Service-Providern Für die kommerzielle Kommunikation Für elektronische Verträge und für die Haftungsbegrenzung für Vermittler
Auswirkung der „E-Commerce“-Richtlinie auf die E-Mail Elektronisch Handel treiben EU-weite Regelung führt zu schnellerem Geschäftsverkehrt innerhalb der EU Rechtssicherheit im E-Mail-Geschäftsverkehr Handeln über Portale Sicherheit Kommunikationswege Rechtlich das Herkunftslandprinzip
8. EU-Richtlinie Abschlussprüferrichtlinie 84/253/EWG Setzt Standards für Bilanzierungsrichtlinien von börsennotierten Unternehmen 07. Juli 2006 ist 8. EU-Richtlinie („Euro SOX“) in Kraft getreten Hat für alle europäischen Kapitalgesellschaften ähnliche – aber eingeschränkt und nicht einheitlich sanktionierte - Auswirkungen wie Sarbanes-Oxley Act (SOX) in USA
8. EU-Richtlinie Neufassung der Abschlussprüferrichtlinie: Inhalte Umsetzung in nationale Gesetzgebung bis Juni 2008 Ziele Erhöhung der Glaubwürdigkeit der Finanzdaten Besserer Schutz der EU gegen Finanzskandale Stärkung und Harmonisierung der Funktion der Abschlussprüfungen in den Mitgliedsstaaten Inhalte Zulassung, Unabhängigkeit und Pflichten der Abschlussprüfer Zu beachtende Prüfungsgrundsätze Verpflichtung zu einer externen Qualitätskontrolle Unabhängige Berufsaufsicht Sondervorschriften für Unternehmen im öffentlichen Interesse
Auswirkung der 8. EU-Richtlinie auf die E-Mail Dokumentationsanforderung E-Mails sind Dokumente Nachweis der Empfangs- und Versendungszeitpunkte Lese-Bestätigungen können entscheidend sein Nachweis des Empfängers und Problem der „Nichtabstreitbarkeit“
Änderung der MwSt – Richtlinie 2006/112/EG Januar 2009: Europäische Kommission verfasste Vorschlag zur Änderung EU-Mehrwertsteuerrichtlinie Kernpunkte war ein Verzicht auf die elektronische Signatur als einheitliches, international standardisiertes Mittel zur Absicherung elektronischer Rechnungen Stattdessen schlug die Kommission nicht standardisierte interne Kontrollen vor EU-Parlament reagierte: 5. Mai 2010 Beschluss des EU-Parlaments zur Änderung der Mehrwertsteuersystem-Richtlinie Quelle:http://www.authentidate.de/fileadmin/pdf/Grundlagen/GER_AuthentiDate_Stellungnahme_Vorschlag_EU_Parlament_Mai2010.pdf
Änderung der MwSt – Richtlinie 2006/112/EG EU-weite Regelung Papier- und elektronische Rechnungen sollen zukünftig gleich behandelt werden Auf die qualifizierte elektronische Signatur kann bei entsprechender Verfahrenssicherheit verzichtet werden Voraussichtlich in deutsches Recht umgesetzt ab 01.07.2011 Betrifft elektronische Rechnungen, die per E-Mail versendet werden
Archivierungsrelevante Gesetze in Deutschland 3.6 Archivierungsrelevante Gesetze in Deutschland
Gesetzesgrundlagen in Deutschland Abk. Name Jahr AktG Aktiengesetz 2007 AO Abgabenordnung 2006 BetrVerfG Betriebsverfassungsgesetz BDSG Bundesdatenschutzgesetz BGB Bürgerliches Gesetzbuch BBankG Bundesbankgesetz EHUG Gesetz über elektronische Handelsregister und Genossenschaftsregister EStG Einkommensteuergesetz EGG Elektronisches Geschäftsverkehrsgesetz 2000 GwG Geldwäschegesetz 1997 GmbHG Gesetz betreffend die GmbH HGB Handelsgesetzbuch IuKDG Informations- und Kommunikationsgesetz
Gesetzesgrundlagen in Deutschland Abk. Name Jahr InvZulG Investitionszulagengesetz 2004 KonTraG Gesetz zur Kontrolle und Transparenz im Unternehmensbereich 1998 ProdHaftG Produkthaftungsgesetz 2002 SigÄndG Signaturänderungsgesetz SigG Signaturgesetz 2005 TDG Teledienstegesetz 2006 TDDGS Teledienstedatenschutzgesetz 2001 TKG Telekommunikationsgesetz 2007 UMAG Gesetz zur Unternehmensintegrität und Modernisierung des Anfechtungsrechts UStG Umsatzsteuergesetz UmwG Umwandlungsgesetz VwVfG Verwaltungsverfahrensgesetz VwVfRÄndG 3. Gesetz zur Änderung verwaltungsverfahrensrechtlicher Vorschriften ZPO Zivilprozessordnung
Auswirkungen der Archivgesetze auf die E-Mail Bund und Länder können archivierungspflichtige Kommunikation per E-Mail führen E-Mail in historischem Kontext oder von historischer Bedeutung ist zu archivieren
Auswirkungen des Handelsrecht & Steuerrecht auf die E-Mail Kaufmännische Dokumente oft in Form von Attachments E-Mails angehängt Handelsrechtlich relevante Informationen können direkt im E-Mail-Körper stehen Ein Problem ist, dass zum Zeitpunkt der Versendung oder des Empfangs manchmal nicht abgesehen werden kann, dass Informationen handelsrechtlich oder steuerrechtlich relevant werden können Auch interne E-Mails können handels- und steuerrechtlich relevant sein (z.B. nach GAUFZ)
E-Mail Komponenten: Handels- und Steuerrecht Anhang mit buchhaltungs-relevanten Informationen Inhalt mit buchhaltungs-relevanten Informationen
E-Mail Komponenten: Handels- und Steuerrecht Anhang mit buchhaltungs-relevanten Informationen Handels- und Steuerrechtliche Informationen Handelsbrief nach §257 HGB
Auswirkungen der AO auf die E-mail E-Mails können steuerrelevante Daten, die archivierungspflichtig sind, enthalten Aufbewahrungspflicht der Daten und Dokumente, die per E-Mail eingegangen sind (z.B. Geschäftsbriefe, etc.) auch durch AO geregelt
Auswirkungen des EGG auf die E-Mail Geschäfte können per E-Mail abgewickelt werden Vor allem international (EU-weit) vorteilhaft, jedoch unterschiedliche nationale Umsetzung der europäischen Richtlinie
Auswirkungen des UStG auf die E-Mail Elektronische Rechnungen werden per E-Mail versendet Diese müssen ebenfalls nach dem UStG archiviert werden, da sie den Papierrechnungen gleichzusetzen sind Ungeklärt ist zur Zeit die bindende Nutzung der qualifizierten elektronische Signatur Ab 01.07.2011 sollen in Deutschland auch Rechnungen ohne qualifizierte elektronische Signatur gültig und vorsteuerabzugsberechtigt sein Der Empfänger muss allerdings die Rechnung prüfen (was er schon immer tat)
Handelsgesetz und Abgabenordnung Auswirkungen für die Archivierung HGB und AO benutzen den Begriff Archivierung nicht Verlangen mit definierten Kriterien die Aufbewahrung aller Geschäfts- und Handelsbriefe nebst den dazugehörigen Belegen Schließen steuerliche und Zoll-Unterlagen ein Prüfbarkeit durch amtliche Prüfer und Wirtschaftsprüfer muss möglich sein Haupanwendungsgebiet der revisionssicheren Archivierung
Auswirkungen des EHUG für die E-Mail Durch die Angabe der kompletten Firmierung in eingehenden und ausgehenden E-Mails werden diese zu Geschäfts- und Handelsbriefen Hier gelten die Aufbewahrungsregelungen von HGB, AO, GoBS und anderen Gesetzen und Verordnungen
Auswirkungen des BDSG für die E-Mail Persönliche Inhalte / Private Inhalte Vertrauliche Inhalte Vertrauliche und/oder persönliche Unterlagen in Attachments Keine (automatisierte) Verbreitung der E-Mail-Adresse zu Werbezwecken erlaubt Postgeheimnis ist zu wahren Gilt für Funktions- und Gruppen-Postkörbe nur eingeschränkt Besondere Problembereiche: Versand von Werbung, kryptografische kodierte Objekte, kryptografisch kodierte Speicherung
Strafgesetzbuch StGB Strafgesetzbuch, besonderer Teil (§§ 80 - 358), 15. Abschnitt - Verletzung des persönlichen Lebens- und Geheimbereichs (§§ 201 - 210) § 201 Verletzung der Vertraulichkeit des Wortes § 206 Verletzung des Post- oder Fernmeldegeheimnisses
Auswirkungen StGB auf E-Mail Postgeheimnis ist zu wahren Auf dem Server unterliegt eine E-Mail dem Postgeheimnis, nach der Zustellung (und Öffnung) in den persönlichen Postkorb des Mitarbeiters aber unter Umständen nicht mehr Besondere Regelungen für Funktions- und Gruppenpostkörbe erforderlich Aufbewahrungspflicht der Daten und Dokumente, die per E-Mail eingegangen sind (z.B. Geschäftsbriefe, etc.) sind auch – kontrovers - durch HGB AO geregelt
Archivierungsrelevante Verordnungen in Deutschland 3.7 Archivierungsrelevante Verordnungen in Deutschland
Verordnungen in Deutschland (Auswahl archivrelevanter) Abk. Name Jahr GAUFZV Gewinnabgrenzungsaufzeichnungsverordnung 2003 GDPdU Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen 2002 GoB Grundsätze ordnungsgemäßer Buchführung GoBS Grundsätze ordnungsgemäßer DV-gestützter Buchführungssysteme 1995 SigV Signaturverordnung 2001 SRVwV Allg. Verwaltungsvorschrift über das Rechnungswesen in der Sozialversicherung 1999
GoBS GoBIT
Grundsätze ordnungsgemäßer DV-gestützter Buchführungssysteme GoBS In den GoBS ist im Detail geregelt: Wie mit gescannten Dokumenten und originär elektronischen Daten umgegangen werden muss Wie das IKS Interne Kontrollsystem beschaffen sein muss Welche Anforderungen an die Sicherung und Bereitstellung von elektronisch gespeicherten kaufmännischen Informationen bestehen Dass eine Verfahrensdokumentation zu erstellen und zu pflegen ist
GoBS: Verfahrensdokumentation Eine Verfahrensdokumentation ist für alle elektronischen Archivsysteme, in denen Daten und Dokumente, die unter das HGB (und die GDPdU) fallen, Pflicht Die Erstellung und Fortschreibung der Verfahrensdokumentation liegt in der Verantwortung des Betreibers, im Sinne der GDPdU ist dies jedoch das steuerpflichtige Unternehmen Die Verfahrensdokumentation muss vollständig, nachvollziehbar und prüfbar sein Die Verfahrensdokumentation „lebt“ © PROJECT CONSULT 2002
GoBS: Verfahrensdokumentaion Umfang und Struktur: Umfang und Aufbau einer Verfahrensdokumentation sind nicht vorgeschrieben Die GoBS legen nur den Mindestinhalt fest, der auf die speziellen Eigenschaften eines Dokumenten-Management- und elektronischen Archivsystems anzupassen ist Eine Reihe von Anbietern und Systemintegratoren verfügen über Musterverfahrensdokumentationen, die die individuelle Anpassung und Ergänzung erleichtern Der VOI hat die „Grundsätze der Verfahrensdokumentation“ als Richtlinie herausgegeben Diese Richtlinie ist Grundlage für das PK-DML- Zertifizierungsverfahren von VOI/TüVIT © PROJECT CONSULT 2002
GoBS: Verfahrensdokumentation Bestandteile einer Verfahrensbeschreibung: 1. Allgemeines Verfahren 2. Organisation 3. Rechtsgrundlagen 4. Datenschutz 5. Vorgangsdefinition 6. Scannen 7. Transport im System 8. Datenbank 9. Archivsystemkomponenten 10. Drucken Ausfallsicherheit des Systems 12. Formate 13. Qualität 14. Betrieb 15. Wartung 16. Migration © PROJECT CONSULT 2002
GoBS: Verfahrensdokumentation Relevant für E-Mail Bestandteile einer Verfahrensbeschreibung: 1. Allgemeines Verfahren 2. Organisation 3. Rechtsgrundlagen 4. Datenschutz 5. Vorgangsdefinition 6. Scannen 7. Transport im System 8. Datenbank 9. Archivsystemkomponenten 10. Drucken Ausfallsicherheit des Systems 12. Formate 13. Qualität 14. Betrieb 15. Wartung 16. Migration © PROJECT CONSULT 2002
GoBS: Verfahrensdokumentation Struktur Verfahrensdokumentation Organisatorische Teile des Betreibers Technik einschließlich Subsysteme Dritter Software - Grundmodule des Herstellers individuelle Anpassungen das Systemintegrators Betriebsvoraussetzungen für den Anwender Sicherheit, Wiederherstellung und Migration Qualitätssicherung Abnahme und Testdokumentation Testmaterial und Szenarien © PROJECT CONSUL002 Urheberrechte Dr. Ulrich Kampffmeyer Abnahmendokument Zertifikat der Ordnungsmäßigkeit © PROJECT CONSULT 2002
GoBS: Verfahrensdokumentation Struktur © PROJECT CONSULT 2002 Autorenrecht Dr. Ulrich Kampffmeyer © PROJECT CONSULT 2002
Auswirkungen der GOBS auf die E-Mail Originäre Geschäftsbriefe in elektronischer Form sind aufbewahrungspflichtig Berücksichtigung in der Verfahrensdokumentation Formatwandlung: Lesbarkeit (Standardformat bzw. Konvertierung in Standardformat) vs. Originalformat Empfehlung: Original- und konvertierte Formatversion (Rendition) unter gleichem Index zusammen verwalten
GoB, GoBS und GoBIT Auswirkungen für die Archivierung Die GoBS regelt am Konkretesten als Ausführungsbestimmung zum Handelsrecht die Anforderungen an Indizierung, Scannen, Archivieren, Internes Kontrollsystem und andere Eigenschaften der Aufbewahrung entsprechend Aufbewahrungsfristen Die GoBS hat als Grundlage für den Nachweis der sicheren Archivierung die Verfahrensbeschreibung (Verfahrensdokumentation) vorgeschrieben Die Vernichtung von Papieroriginalen ist nach der ordnungsmäßigen Erfassung und Archivierung zulässig Die GoBIT wird die Zulässigkeit der elektronischen Archivierung stärken
GoBIT
GoBIT (voraussichtlich 201X) „Grundsätze ordnungsmäßiger Buchführung beim IT-Einsatz“ Nachfolger der GoBS von 1995 Erarbeitet in der AWV, Arbeitskreis 3.4 Durch die GoBIT wird neueren Entwicklungen, Begrifflichkeiten, Schwerpunktverschiebungen und auch neu hinzutretenden Risiken bei der IT-gestützten Buchführung Rechnung getragen … doch wann kommt sie?
GDPdU
GDPdU: Elektronische Signatur Elektronische Rechnung bisher nur mit qualifizierter elektronischer Signatur (qeS ) Elektronische Rechnung ohne Signatur berechtigt nicht zum Vorsteuerabzug – Änderung voraussichtlich ab 1.7.2011 Die elektronische Rechnung ist das Original. Ausdrucke sind nur Kopien und berechtigen derzeit nicht zum Vorsteuerabzug Umstritten ist die Handhabung von 2-D-Barcodes, die eine elektronische Signatur auch ausdruckbar codieren können
GDPdU: Problemfelder E-Mail Neue Rechtsbegriffe Wahrung der Verhältnismäßigkeit Komprimierte Informationen E-Mail Zumutbare Mitwirkung Haftung bei Systemabstürzen
Auswirkung der GDPdU auf die E-Mail Organisatorisches Problem: theoretisch kann nahezu jeder mit einer E-Mail-Adresse in einem Unternehmen steuerrelevanten E-Mails empfangen; er muss diese als solche erkennen und einer geordneten, revisionssicheren Ablage zuführen Im Rahmen einer Außerprüfung kann der Steuerprüfer auch E-Mail-Systeme und E-Mail-Archive recherchieren, wenn diese Dokumente mit steuerrelevanten Daten enthalten Ein Ausdruck qualifiziert elektronisch signierter E-Mails ist – derzeit - nicht ausreichend Dies gilt insbesondere für die elektronische Abrechnung auf der Grundlage des § 14 Abs. 3 UStG, für welche die GDPdU erweiterte Aufbewahrungsvorschriften vorsehen
E-Mail Policies - Richtlinien für den Umgang mit E-Mail
E-Mail Policies Unter Policy sind alle Richtlinien und Vorgaben zusammengefasst, die letztlich durch die Corporate Governance und generelle Regelungen bestimmt sind… Das folgende Beispiel bezieht sich auf die gemischte automatische Zwischenspeicherung mit individuell vom Sachbearbeiter zu initierender Archivierung
E-Mail Policies: Allgemeine Geschäftsbedingungen Prüfen: Gehen die allgemeinen Geschäftsbedingungen auf Form und Rechtswirksamkeit von elektronischen Geschäftsabschlüssen ein Zulassung von E-Mail und elektronische Dokumente für den Abschluss von Geschäften Vertragskonditionen im Geschäftsverkehr mit Lieferanten und Partnern: Lassen sie den elektronischen Geschäftsverkehr zu? Gestatten sie E-Mail und elektronische Dokumente für den Abschluss von Geschäften? Rechtsgrundlage: VkTG, VschG
E-Mail Policies: Pflichtangaben und Relevanz Pflichtangaben E-Mail Footer anpassen mit genauer Firmierung E-Mails gewinnen durch die Angabe den Charakter von Geschäftsbriefen Kontrolle der Umsetzung durch alle Mitarbeiter Rechtsgrundlage: EHUG, AKtG, BGB, KonTRAG Relevanz-Identifizierung Festlegung: Was ist ein Geschäftsbrief? Rechtsgrundlage: HGB, AO, GoBS, GDPdU, GAufzV, KonTRAG
E-Mail Policies: CC/Bcc und Postkorb Cc- und bcc-Verwendung Die Verwendung des bcc-Feldes ist zu unterbinden Der erstgenannte richtige Empfänger archiviert die E-Mail Die cc-Empfänger sollen die empfangen E-Mails nicht archivieren Postkorb-Größe Ausreichende Bemessung der Postkorb-Größe, sodass der Mitarbeiter nicht gezwungen ist, wichtige E-Mails zu löschen Frühzeitiger Warnhinweis vor Erreichen der Grenze, damit die Möglichkeit gegeben ist, E-Mails auszulagern Anweisung zur rechtzeitigen Auslagerung Rechtsgrundlage: GoBS
E-Mail Policies: Veränderung und Löschen E-Mails dürfen lediglich unverändert abgespeichert werden Nachträgliche Veränderung zur Manipulation von Inhalten ist strengstens zu untersagen Rechtsgrundlage: HGB, AO, GoBS, ZPO Löschen Lediglich nicht-geschäftsrelevante E-Mails dürfen gelöscht werden Geschäftsrelevante E-Mails sind zu archivieren Zweit- und cc-Empfänger dürfen Nachrichten löschen, wenn der Zugriff auf das Original sichergestellt ist Sofern von einem Archivsystem nur 1 Stubb vorhanden ist, muss dieser nicht gelöscht werden
E-Mail Policies: Löschen E-Mails, die Abmahnungen oder andere dem Betriebsverfassungsgesetz unterliegende Sachverhalte angehen, sind zu löschen (nach Aufbewahrungsfrist) Unternehmensrichtlinie: Wenn verlangt, dass vertrauliche Unternehmensinformation zu löschen ist, müssen E-Mails mit diesen Informationen gelöscht werden Muss sichergestellt werden, dass keine Kopien existieren Sofern lokale Kopien von diesen E-Mails existieren, muss sichergestellt sein, dass diese ebenfalls gelöscht werden und nicht durch Replikation in den Ursprungszustand zurückgestellt werden können Rechtsgrundlage: GoBS, HBG, KonTRAG
E-Mail Policies: Zeichnungsregelung Interne E-Mails keine Zeichnungsregelung Sollten Informationen zum Absender, die dem Empfänger deutlich machen, in welcher Rolle die Inhalte zu interpretieren sind Außenverhältnis: Alle geschäftsrelevanten E-Mails (Termine, Konditionen, Vertragsdaten, steuerrelevante Daten etc.) dürfen nur von Berechtigten versendet werden Footer muss deutlich machen, mit welcher Berechtigung die Nachricht versendet wurde ppa-Regelung, i.V.-Regelung, i.A.-Regelung Rechtsgrundlage: EHUG, AkTG, BGB, HGB
E-Mail Policies: Inhaltsübernahme in Antwort Inhalte einer Antwort Einstellung zur Übernahme des Inhalts einer empfangenen E-Mail in den Inhalt einer E-Mail-Antwort muss einheitlich geregelt sein Übersichtlichkeit und Eindeutigkeit bei langen „Übernahme-Ketten“ Vermeidung unterschiedlicher Inhaltsformen und damit Rechtscharaktere
E-Mail Policies: Ausdruck Drucken von E-Mails Zusätzliche dokumentierende Wirkung, wenn die E-Mail unverändert ist und die Nachricht keine elektronische Signatur trägt. Umstrittene Beweiskraft Bei elektronisch signierten Dokumenten, die nicht die Signatur zusätzlich in einem Barcode tragen, sind Ausdrucke nur Kopien, die nicht beweisfähig sind Bei auswertbaren Daten aus E-Mails oder Attachements können Druckversionen das elektronische Original nicht ersetzen (Originaldaten sind auswertbar zu speichern) Rechtsgrundlage: SiGB, HGB, GoBS, ZPO, GDPdU, GAufzV
E-Mail Policies: Private E-Mail Private Mails / persönliche Mails Bei Herausgabe von persönlichen E-Mail-Adressen in Unternehmen kann nicht verhindert werden, dass private, persönliche oder Spam E-Mails an den Empfänger gesendet werden Zur Abwehr von Gefahren ein sollte Zugriff auf diese E-Mails für Berechtigte möglich sein Rechtsgrundlage: TDSSG, BtrVG, TKG, BGB, HGB,
E-Mail Policies: Verfahrensdokumentation Bereits notwendig für die Papierablage GoBS-relevanter Belege sowie für die Buchhaltungssoftware Unbedingt erforderlich bei nur elektronischer Archivierung Rechtsgrundlage: GoBS, GoB, GOS
E-Mail Policies: Speicherung Revisionssichere Archivierung Regelung, welche Meta-Daten gegebenenfalls zusätzlich eingegeben oder durch Zuordnung generiert werden müssen Archivierte E-Mails dürfen nicht nachträglich verändert werden und müssen eindeutig auffindbar sein Verarbeitung der E-Mails mit Herauslösung der Attachements erfolgt: Seitens der Archivierung sicherstellen, dass der Zusammenhang zwischen E-Mail und Attachement gewahrt bleibt Rechtsgrundlage: GoBS, ZPO, AO, GoB
E-Mail Policies: Speicherung Eingang und Ausgang Für ein- und ausgehende E-Mails muss die dokumentierte Bereitstellung von Speicherorten gegeben sein, aus denen auch eine Wiederherstellung aktueller E-Mails möglichist Rechtsgrundlage: GoBS
E-Mail Policies: Speicherung Redundanzvermeidung Mitarbeiter sind anzuweisen, eine E-Mail nach Möglichkeit nur 1 Mal und im richtigen Sachzusammenhang zu speichern Versendung von E-Mails: Benötigen alle direkten oder cc-Empfänger die E-Mail Ggf. Hinweis im Text aufnehmen, wer für Bearbeitung und Speicherung zuständig ist Aufbewahrungsfrist E-Mails müssen klassifiziert werden (Ein- und Ausgang) Rechtsgrundlage: AO, AGB
E-Mail Policies: „ElektronischeS original“ Definition und Identifizierung von elektronischen Originalen Geeignete organisatorische Regelungen legen fest, welche Dokumente in Abhängigkeit vom Empfänger oder Ersteller als Original zu betrachten sind Z.B. der erste direkt genannte Empfänger einer Eingangs-E-Mail oder der verantwortliche Autor eines Dokumentes Rechtsgrundlage: ZPO, HGA, AO, KonTRAG
E-Mail Policies: Datenschutz Datenschutz betrieblich Eindeutige Regelung: Keine Firmengeheimnisse intentional oder versehentlich nach draußen geben Bei Beantwortung einer E-Mail überprüfen, ob nicht versehentlich nicht-berechtigte Empfänger aufgelistet sind Bei Auswahl von Empfängern aus dem Adressverzeichnis überprüfen, ob es sich um die berechtigten Personen handelt Datenschutz privat Wie soll mit versehentlich erhaltenen oder in Ausnahmefällen erstellten privaten E-Mails bei Zugriff und Speicherung umgegangen werden? Rechtsgrundlage: TKG, BtrVG
E-Mail Policies: Interne Vorgaben im Arbeitsverhältnis Erlaubnis der privaten E-Mail-Nutzung Unternehmen wird zu TK-Diensteanbieter und muss Fernmeldegeheimnis gemäß § 88 TKG (Telekommunikations-Gesetz) beachten Verbot der privaten E-Mail-Nutzung Verfassungsrechtlich geschützte Privatsphäre der Mitarbeiter (Art. 1 und 2 GG) zu beachten
E-Mail Policies: Interne Vorgaben im Arbeitsverhältnis Nachhaltung von Verboten Wird die private Nutzung von E-Mail-Diensten im Unternehmen untersagt, dann muss die Einhaltung dieses Gebotes auch überprüft werden. Wird die Nutzung stillschweigend geduldet entwickelt sich ein Gewohnheitsrecht, dass das Verbot aushebelt. Es sind zusätzlich Regelungen für den Empfang von E-Mail zu vereinbaren, da es außerhalb der Kontrollmöglichkeiten des Empfängers liegt, was für E-Mails ihm mit welchem Inhalt zugesendet werden. Auch bei automatisierten Verfahren, wie z.B. Ausfiltern des Spams etc., sind Vereinbarungen mit dem Mitarbeiter zu treffen, die auch das Löschen von privaten E-Mails beinhalten die trotz Vorkehrungen und Vorgaben den Mitarbeiter erreichen. In Schulungen und Unterweisungen ist regelmäßig auf die Einhaltung der Vorgaben hinzuweisen (wie auch bei anderen sicherheitsrelevanten Vorgaben)
E-Mail Policies: Interne Vorgaben im Arbeitsverhältnis E-Mail-Klausel in Arbeitsverträgen und Betriebsvereinbarung Diskussion um Strafbarkeit E-Mail-Filterung, Kontrolle des E-Mail-Accounts und des Zugriffs auf den E-Mail-Account entgehen E-Mail-Account bei Abwesenheit des Mitarbeiters § 32 Abs. 1 Satz 1 BDSG: Datenschutzrechtlich nur zulässig, wenn Zugriff für die Durchführung des Beschäftigungsverhältnisses erforderlich ist Quelle: E-Mail-Policies aus rechtlicher Sicht, Rechtsanwalt Dr. Ivo Geis, GBS-Whitepaper
E-Mail Policies: E-Mail-Werbung Werbung mit E-Mail § 7 Abs. 2 Nr. 3 und Absatz 3 UWG: Mit E-Mail kann nur geworben werden, wenn mit dem Adressaten eine Geschäftsbeziehung besteht § 28 Abs. 3 Satz 2 Nr. 1 BDSG: Listenmäßig erfasste Daten dürfen für Werbung genutzt werden, wenn Daten aufgrund einer Rechtsbeziehung mit dem Adressaten erhoben worden sind E-Mail-Werbung ist auf bestehende Kundenbeziehungen bei entsprechender vorheriger Zustimmung beschränkt Unverlangte Zusendung von Werbung kann mit bis zu 50.000 € bestraft werden Quelle: E-Mail-Policies aus rechtlicher Sicht, Rechtsanwalt Dr. Ivo Geis, GBS-Whitepaper
FAZIT (3) Wollte man alle möglicherweise zutreffenden rechtlichen Anforderungen vollständig erfüllen, dann würde das Geschäft in der Dokumentation ersticken. Gerade bei der E-Mail sind die Abwägung der Risiken und klare Richtlinien entscheidend um die notwendige Nachweisfähigkeit und Vollständigkeit zu erreichen. Die organisatorische Herausforderung ist hierbei größer als die technische Herausforderung.
4 Funktionalität
Übersicht Funktionalität 4.1 Grundprinzipien 4.2 Funktionen 4.3 Microsoft Exchange 2010
4.1 Grundprinzipien
E-Mail-Management und E-Mail-Archivierung
Abgrenzung E-Mail-Management und E-Mail-Archivierung Integration in Office und Anwendungen Renditioning und Formate Administrations-Funktionen Search und E-Discovery Spam und Viren Pointer, Stubs und Referenzen Signaturen und ihre Auswirkungen Migration und Aussonderung Postkörbe (Postkörbe) Suche im E-Mail-System Suche über unabhängigen Archivsystem-Client
Abgrenzung Client-getrieben und Server-getrieben Administrations-Funktionen Renditioning und Formate Pointer, Stubs und Referenzen Spam und Viren Aussonderung Migration und Aussonderung Signaturen und ihre Auswirkungen Zusammenhängende Speicherung mit Zertifikaten Integration in Office und Anwendungen Integration in Anwendungen Search und E-Discovery Postkörbe Verteilungsregelwerke
Unterschiedliche Ansätze Zentral, lokal und dezentral Lokale Archivierung durch den Mitarbeiter am Arbeitsplatz Zentral mit verteilter Funktionalität Client/Server Zentrale Archivierung am Server Appliances Dezentrale Archivierung an verschiedenen Servern
Unterschiedliche Ansätze Manuell Halb-automatisch Unterstützungsfunktionen für Anwender Automatisch (vollständig, selektiv, hybrid …) Vordefinierte Regeln Bekannte Rollen „Selbstlernend“
Unterschiedliche Ansätze Spezielle Software-E-Mail-Archivierungssysteme Spezielle Appliances (Hard- und Software) Generalistische ECM Enterprise-Content-Management-Systeme ECM-Systeme schneiden in Tests bei der Funktionalität häufig besser ab als spezialisierte Systeme ECM-Systeme haben den Ansatz, E-Mail wie alle anderen Formen von Informationsobjekten zusammenhängend im Kontext zu speichern und zu verwalten
Interne & Externe Anforderungen System-interne Anforderungen Policy & Preservation Planning Prozesse Funktionalität Client Server Technik System-externe Anforderungen Umgebungsbedingungen Schnittstellen Betrieb
technische Prinzipien Traditionelle Archivierung: Referenz-Datenbank mit separatem Repository BLOB-Datenbank (oder integriertes Content Management System) Datensicherung-orientierte „Archivierung“: Listen-orientierte Speicherung mit Suche ohne Datenbankindex © PROJECT CONSULT 2002 Urheberrechte Dr. Ulrich Kampffmeyer © PROJECT CONSULT 2002 Autorenrecht Dr. Ulrich Kampffmeyer
Architektur von Speichersystemen Traditionelle Referenz-Datenbank © PROJECT CONSULT 2002 Autorenrecht Dr. Ulrich Kampffmeyer Pointer Referenz- Datenbank Speicher
Architektur von Speichersystemen BLOB-Datenbank BLOB (Binary Large Object) Speicherung der Dokumente selbst als Feldinhalt in einer Datenbank © PROJECT CONSULT 2002 Autorenrecht Dr. Ulrich Kampffmeyer Dokument BLOB-Datenbank
Architekturen Vor- und Nachteile Traditionelle Referenz-Datenbank BLOB-Datenbank / Integriertes Content Management Vorteile Skalier- und Kaskadierbarkeit on-line,near-line und off-line Verwaltung geeignet für große Mengen Geschwindigkeit Bearbeitung keine separaten speziellen Subsysteme Nachteile Performante spezielle Subsysteme mit proprietärer Steuersoftware Schlechte Skalierbarkeit Replikation bei großen Mengen Unveränderbarkeit
Metadaten
Metadaten Für eine Datenbankgestützte Verwaltung und Recherche von Informationsobjekten werden Metadaten (Index-Daten) benötigt. Beim Archivieren entstehen zusätzliche Meta-Informationen (manche Lösungen unterschlagen Metadaten, andere Lösungen erlauben es zwar, die Metadaten anzuzeigen, nicht aber, sie zu extrahieren) zum Inhalt und Header der E-Mail Gravierendes Unterscheidungsmerkmal bei der Verwaltung – wie archiviert das System E-Mails technisch: Schreibt es E-Mails als Dateien auf das Dateisystem Speichert es E-Mails in einer Datenbank Speichert und verwaltet es E-Mails in einer proprietären Ablage
Sichtbare Metadaten in der E-Mail E-Mail von M.Muster@Firma.de: Text
• Titel • Thema • Markierungen • Kategorien • Kommentare • Autoren • Firma • Manager • Inhalt erstellt • Letzte Speicherung Metadaten: Beispiele • Zuletzt gedruckt • Gesamtbearbeitungszeit • Status • Inhaltstyp • Zuletzt gespeichert von • Revisionsnummer • Versionsnummer • Programmname • Seiten • Wortanzahl • Zeichenanzahl • Zeilenanzahl • Abstandsanzahl • Vorlage • Skalierung • Größe • Erstelldatum • Änderungsdatum • usw. http://www.windows-faq.de/2009/02/03/metadaten-dateieigenschaften-loeschen/
Metadaten Viele Metadaten sind häufig nicht besetzt; besonders bei vom Anwender zu vergebenden Attributen wie z.B. „Betreff“ Viele Management-Systeme werten nicht alle Attribute aus, da diese auch in verschiedenen E-Mail-Lösungen anders besetzt oder z.T. nichtvorhanden sind Metadaten können sich nach dem Empfang durch Verschieben, Weiterleiten und andere Operationen verändern Nicht alle Metadaten sind für eine Archivierung relevant
Ein- und Ausgänge aus Dokumentensicht Akte
4.2 Funktionen
Allgemeine Anforderungen an ein Archiv
Funktionale Anforderungen nach OAIS ISO 14721 Referenzmodell beschreibt ein Archiv als Organisation, in dem Menschen und Systeme mit der Aufgabenstellung zusammenwirken, Informationen zu erhalten und einer definierten Nutzerschaft verfügbar zu machen Sechs Hauptfunktionen: Preservation Planning (Archivierungsplanung) Ingest (Datenübernahme) Data Management (Datenverwaltung) Archival Storage (Archivspeicher) Access (Nutzung) Administration
OAIS-Referenzmodell (http://www.univie.ac.at/lehrentwicklung/fileadmin/le/files/Phaidra/Kolar.vnd.ppt#263,5,OAIS-Referenzmodell)
OAIS-Referenzmodell Eingang Indizierung
Logik Verwaltung Datenbank OAIS-Referenzmodell Eingang Indizierung Logik Verwaltung Datenbank
Logik Verwaltung Datenbank OAIS-Referenzmodell Eingang Indizierung Logik Verwaltung Datenbank Archiv- Speicher
Logik Verwaltung Datenbank OAIS-Referenzmodell Eingang Indizierung Logik Verwaltung Datenbank Archiv- Speicher Zugriff Bereitstellung
Anforderungen an die Funktionalität der elektronische Archivierung Programmgestützter, direkter Zugriff auf einzelne Informationsobjekte, landläufig auch Dokumente genannt, oder Informationskollektionen, z. B. Listen, Container mit mehreren Objekten etc. Datenbankgestützte Verwaltung der Informationsobjekte auf Basis von Metadaten und gegebenenfalls Volltexterschließung der Inhalte der archivierten Informationsobjekte Sicherstellung, dass nur Berechtigte auf die für sie freigeschaltete Information zugreifen können Unterstützung verschiedener Indizierungs- und Recherchestrategien, um auf die gesuchte Information direkt zugreifen zu können Einheitliche und gemeinsame Speicherung beliebiger Informationsobjekte, vom gescannten Faksimile über Dokumentenformat-Dateien und E-Mails bis hin zu komplexen XML-Strukturen, Listen, COLD-Dokumenten oder ganzen Datenbankinhalten
Anforderungen an die Funktionalität der elektronische Archivierung Verwaltung von Speichersystemen mit nur einmal beschreibbaren Medien einschließlich des Zugriffs auf Medien die sich nicht mehr im Speichersystem direkt befinden Sicherstellung der Verfügbarkeit der gespeicherten Informationen über einen längeren Zeitraum, der Jahrzehnte betragen kann Bereitstellung von Informationsobjekten unabhängig von der sie ursprünglich erzeugenden Anwendung auf verschiedenen Klienten und mit Übergabe an andere Programme Unterstützung von „Klassen-Konzepten“ zur Vereinfachung der Erfassung durch Vererbung von Merkmalen und Strukturierung der Informationsbasis Konverter zur Erzeugung von langfristig stabilen Archivformaten und Betrachter (engl. Viewer) zur Anzeige von Informationsobjekten, für die die ursprünglich erzeugende Anwendung nicht mehr zur Verfügung steht
Anforderungen an die Funktionalität der elektronische Archivierung Unterstützung von Standards für die spezielle Aufzeichnung von Informationen auf Speichern mit WORM-Verfahren, für gespeicherte Dokumente und für die Informationsobjekte beschreibende Metadaten um eine langfristige Verfügbarkeit und die Migrationssicherheit zu gewährleisten Unterstützung von automatisierten, nachvollziehbaren und verlustfreien Migrationsverfahren Absicherung der gespeicherten Informationsobjekte gegen unberechtigten Zugriff und gegen Veränderbarkeit der gespeicherten Information Übergreifende Verwaltung unterschiedlicher Speichersysteme, um z. B. durch Zwischenspeicher (Caches) schnellen Zugriff und zügige Bereitstellung der Informationen zu gewährleisten
Anforderungen an die Funktionalität der elektronische Archivierung Standardisierte Schnittstellen, um elektronische Archive als Dienste in beliebige Anwendungen integrieren zu können Eigenständige Wiederherstellungsfunktionalität (Recovery), um inkonsistent gewordene oder gestörte Systeme aus sich heraus verlustfrei wieder aufbauen zu können Sichere Protokollierung von allen Veränderungen an Strukturen und Informationsobjekten, die die Konsistenz und Wiederauffindbarkeit gefährden können und dokumentieren, wie die Informationen im Archivsystem verarbeitet wurden Alle Transaktionen bei Import, Einstellen von Attributen in die Datenbank, Schreiben auf das Archivmedium, Löschen von Caches, Bereitstellung an Anwendungen und Export müssen transaktionssicher sein Archivobjekte müssen eine weltweit eindeutige UID Unique Identifier besitzen
Archivsystem Architektur
Architektur von elektronischen Archivsystemen
Archivverwaltung Datenbank Architektur Vergangenheit Monolith Fach-Client Archiv-Client Fachanwendung Archivanwendung Archivverwaltung Datenbank Speicher Archivspeicher
Architektur Heute Recherche Anzeige Nachindizierung Indizierung QS Fach-Client Scan-Client Administration Fachanwendung Scan- anwendung Archivlogik & Dienste Temporärer Speicher Cache Archivverwaltung Datenbank Archivspeicher
Universal-Archiv für alle Architektur Heute Dienstkonzept einer IT-Infrastruktur Workflow-Client Fach-Client Scan-Client Administration Workflow Fachanwendung Scan- anwendung Archivlogik & Dienste Speicher Temporärer Speicher Cache Archivverwaltung Datenbank Archivspeicher Universal-Archiv für alle Informationsobjekte
Universal-Archiv für alle Architektur Heute Dienstkonzept einer IT-Infrastruktur Portal E-Mail Office andere Fach- verfahren Administration Archivlogik & Dienste Archivverwaltung Datenbank Archivspeicher Universal-Archiv für alle Informationsobjekte
Universal-Archiv Ein Universal-Archiv ist durch eine übergreifende Verwaltung aller Informationstypen (unabhängig von Quellen, Formaten und Anwendungstypen) mit einheitlicher Verwaltung und Unterstützung verschiedener Archivspeichersysteme gekennzeichnet. Keine Silos für E-Mails!
Pointer & Stubs
Pointer Die meisten Datenbank-basierten Systeme ersetzen Attachments durch einen Pointer: Enthalten mehrere Mails den gleichen Anhang, wird das eigentliche Attachement nur einmal gespeichert (keine Vervielfältigung) Ebenso: E-Mails mit mehreren Empfängern Kombination aus Pointern und Komprimierung spart Plattenplatz ein Es gibt einen externen Speicherort, von dem aus auf normale Dokumenten-Management-Systeme verweist wird
Stubs Definition: Programmcode, der anstelle eines anderen Programmcodes steht Programmcode, den der Stub ersetzt, auf einem anderen Rechner oder in einem anderen Speicherbereich Funktion: Stub verbleibt im E-Mail-System Persistent Kurzer Text (ohne Attachments), der dann auf richtige E-Mail am neuen Speicherort verweist Der Stub kann auch (und sollte) die Referenz auf herausgelöste Attachments haben
E-mail – Stubbing im E-Mail-System am Beispiel von Microsoft Exchange
E-mail - Stubbing
Search
Search über E-Mail-System Suchfunktion integriert in das E-Mail-System Vollständiger E-Mail-Bestand (Standard in den E-Mail-Systemen) Stubs Metadaten Gegebenenfalls Volltextsuche
Search im Archivsystem Eigener Client / Suchmaske Metadaten E-Mail Metadaten im Archiv (Indexdatenbank; Standardanwendung) Volltextsuche (in der Regel nur optional)
Enterprise Search „Google on my Desktop“ Inhaltsorientierte Suche mit unternehmensinterner Suchmaschine Content mittels Crawler indexiert Nicht auf den ursprünglichen Datenquellen, sondern auf dem Suchindex (Index beinhaltet primär interne Datenquellen Gefundene Dokumente im Kontext der Suchanfrage als Textauszug („Snippet“) angezeigt Fortlaufende Indexierung: Aktualität der Resultate (Result Set) gewährleistet
E-Discovery & Search E-Discovery-Such- und Aggregationsverfahren Suche nach Metadaten und Volltextinhalt in beliebigen booleschen Kombinationen Suchebene definierbar (Record, Volume, Sub-File, File, Class) Jeder Anwalt muss Electronic Discovery in Betracht ziehen, um dem Risiko einer Malpractice Klage zu entgehen Die Prozessbeteiligten müssen innerhalb von 30 Tagen die interne IT-Organisation und potentiell relevante Dokumente offenlegen (Stichwort: Informationslandkarte) Innerhalb von 120 Tagen muss im „Meet & Confer“ eine Abstimmung der beteiligten Parteien stattfinden, die die Bereitstellung relevanter Informationen im Detail klärt
Spam & Viren
Spam Prüfung von Spam Regeln müssen definiert sein Prinzipien: Whitelist Blacklist Appliances „hart verdrahtet“ Im Internet hinterlegte Verzeichnisse Prüfung auf Server-Zertifikate
Spam und E-Mail-Archivierung Umstrittene Frage: Archivieren VOR der Aussonderung von Spam oder NACH der der Aussonderung von Spam Im Prinzip damit verbunden: Archivieren VOR oder NACH Entfernen von Viren Im Prinzip damit verbunden: Entfernen und NICHT-Archiveren von normalen E-Mails von Absendern auf Blacklists Bestimmte Schlagworte zur Aussonderung können branchenabhängig auch gewünschte E-Mails betreffen
Prinzipien des Viren-Scannens in E-Mail Server http://www.zedat.fu-berlin.de/ ZEDAT-Mailsystem
Migration
Migration Definition Informationstechnologie „Unter Migration (lat. migratio für „Wanderung“ oder „Übersiedlung“) werden im Rahmen der Informationstechnik verschiedenartige Umstellungsprozesse in Datenverarbeitungssystemen verstanden.“
Migration Archivierungsumfeld Methode zur Sicherstellung der Verfügbarkeit Risiko, wenn Informationen nicht nachweislich unverändert, vollständig und weiterhin uneingeschränkt wieder findbar migriert werden der technologische Wandel zwingt die Anwender rechtzeitig auf neue Speicher- und Verwaltungskomponenten zu wechseln Kontrollierte, verlustfreie, „kontinuierliche Migration“ ist zur Zeit die wichtigste Lösung, Information über Jahrzehnte und Jahrhunderte verfügbar zu halten!
Migration Wechsel eines wesentlichen Teils der eingesetzten Software Transfer von Daten aus einer Umgebung in eine andere Umstellung von Hardware einer bestehenden Technik auf eine neue Plattform unter weitgehender Nutzung vorhandener Infrastrukturen Begriffe Softwaremigration, Datenmigration, Anwendungsmigration und Hardwaremigration hängen in der Praxis häufig eng miteinander zusammen
Migration Typen im Archivierungsumfeld Erst-Migration Befüllung eines noch leeren Archivsystems mit Stammdaten und Informationen aus anderen Anwendungen Typisch: Übernahme vorhandener E-Mails (mit z.T. großen Problemen) Migration auf Medien Umkopieren von Festplatten-Caches auf Archivsystem-Speichermedien im laufenden Betrieb Wenn nur „technisch gedacht“ häufig unerwartete Auswirkungen auf E-Mail-Archivierung (Single Instancing, Referenzierung, feste Allozierung von Speicherbereichen) © PROJECT CONSULT 2002
Migration Typen im Archivierungsumfeld Kampffmeyer Harte Migration Umkopieren von Index-Datenbanken, Anwendungsinformation und Dokumenten in neue Systeme und auf neue Medien (bei einer Systemumstellung) Weiche Migration Nur umkopieren und neu organisieren der Index-Datenbank bei einer Systemumstellung Bestehende Medien werden genutzt Integrative Migration Parallel Betrieb unterschiedlicher alter Strukturen oder Hersteller-Archive unter einer Middleware mit gegebenenfalls Ausalterung alter Komponenten (bei einer Systemumstellung) © PROJECT CONSULT 2002
Migration Strategie Strategie eines Migrationskonzeptes muss sein, über die erste Realisierungsphase hinaus Betrieb, Informationsverfügbarkeit, Ausbaufähigkeit und Systemwechsel sicherzustellen Das Migrationskonzept sollte bei jeder Ausschreibung Bestandteil der Anforderungen sein und in den Vertrag übernommen werden © PROJECT CONSULT 2002
Migration Erprobung & vertragliche Absicherung Empfehlung: Bereits bei der Beschaffung und Installation einer E-Mail-Management-Lösung dediziert testen, ob eine verlustfreie, dokumentierte Migration aller Informationen aus dem System in einer andere Umgebung möglich ist Vertraglich vereinbaren, dass eine Migration während der Aufbewahrungsfristen der gespeicherten Dokumente in jedem Fall und auf Risiko des Anbieters verlustfrei möglich ist
Besonderheiten bei der Migration von E-Mail-Repositories Migrieren von E-Mails Einzelne E-Mails Sammel-Container (OST, PST) Datenbanken (z.B. Lotus Notes) Kontext wahren bei: Renditionierung (mehrere Formate unter gleichem Index) Single Instancing
Single Instancing
Single Instancing Mails und Anhänge nur einmal abgelegt, auch wenn sie an viele Adressen gehen, durch Erkennung eines Mehrfachvorkommens Speicherplatz sparen Server-Überlastung vorbeugen
Single Instancing Funktionsweise Client Agenten kommunizieren mit dem Single Instancing-Dienst und stellen sicher, dass nur neue oder veränderte Dateien übertragen werden (Deduplikation) Andere Instanzen müssen durch Verpointerung nur noch referenziert werden Senkung des Bandbreitenbedarf
Single Instancing & Deduplizierung Zwei unterschiedliche Prinzipien, die in Kombination eingesetzt werden: Single Instancing: generell Reduzierung auf eine Entität, die in mehreren Objekten identisch vorhanden ist und durch Referenzierung auf die singuläre Instanz ersetzt wird. Bei E-Mail z.B. Herauslösung des Attachments aus den E-Mails, die an mehrere Adressaten eines Verteilers gegangen ist. Deduplizierung: identische Objekte werden bis auf eines gelöscht und dieses wird nur noch in den Verweissystemen referenziert. Bei E-Mail z.B. Vergleich der herausgelösten Attachments beim Single Instancing und/oder Vergleich der ganzen E-Mail mit Reduzierung und Referenzierung auf eine Instanz
Single Instancing Verweis Abruf Dokument
Single Instancing Funktionsweise Deduplikation Vorher Nachher Single Instancing Dienst
Kontrolle von E-Mails
Kontrolle von E-Mails Ausschließlich dienstliche Nutzung der E-Mail-Kommunikation erlaubt: Persönlichkeitsschutz des Arbeitnehmers Begleitumstände kontrollierbar Zugriff auf Inhalte ausnahmsweise, wie bei Verdacht von Straftaten und Verrat von Betriebsgeheimnissen.
Kontrolle von E-Mails Wenn Private Nutzung der E-Mail-Kommunikation erlaubt: Arbeitgeber als Anbieter von TK-Diensten Es gilt Fernmeldegeheimnis nach TKG Kenntnis vom Inhalt und angewählter Adresse nur für die Organisation der TK-Dienste erlaubt
Filterung von E-Mails
Filterung von E-Mails SPAM-Mail adressiert direkt an Mitarbeiter: Strafrechtliche Aspekte Verletzung des Fernmeldegeheimnisses, § 206 Abs. 2 NR. 2 StGB Datenunterdrückung, § 303a StGB SPAM-Mail adressiert an „allgemeine“ oder Gruppen-Adressen Gegebenenfalls Verletzung des Fernmeldegeheimnisses, § 206 Abs. 2 NR. 2 StGB Bei Gruppen- und Funktionsadressen gelten die Vorgaben des BDSG nur eingeschränkt
Filterung von E-Mails Private Nutzung erlaubt: Verletzung des Fernmeldegeheimnisses … Private Nutzung nicht erlaubt: Datenunterdrückung … Notstand: drohende Funktionsunfähigkeit Lösung: Betriebsvereinbarung Aufnahme der Regelungen in (neue) Arbeitsverträge Aufnahme der Regelungen in Arbeitsanweisungen und Schulungsunterlagen Diese ist sowohl beim Einsatz automatisierte wie auch halb-automatisierter/manueller Archivierungsverfahren notwendig
4.3 Microsoft Exchange 2010
Microsoft Exchange 2010 Persönliches Archiv Beibehaltungsrichtlinien Vorratsdatenspeicherung Wiederherstellung einzelner Nachrichten Multimailboxsuche Rollenbasierte Zugriffskontrolle
Microsoft Exchange 2010 http://blogs.msdn.com/blogfiles/nickmac/WindowsLiveWriter/MicrosoftAnnouncesExchangeServer2010Avai_9900/clip_image002_thumb.gif
Wird unabhängige E-Mail- Archivierung noch gebraucht? Microsoft will zukünftig selber anbieten • Office Web Apps einschließlich E-Mail • CRM Suite 2011 einschließlich E-Mail-Management • Office 365 einschließlich Exchange und Sharepoint E-Mail-Management (einschließlich E-Mail-Archivierung für E-Discovery)
FAZIT (4) E-Mail-Systeme selbst sind nicht zur langfristigen Aufbewahrung und Erschließung großer Informationsmengen geeignet. Trotz aller verfügbaren technischen Funktionalität ist die wichtigste Eigenschaft für das E-Mail-Management immer noch die Disziplin der Mitarbeiter.
Archivierungsverfahren 5 Archivierungsverfahren
Übersicht Archivierungsverfahren 5.1 Strategien der E-Mail-Archivierung 5.2 Inhouse vs. Outsourcing 5.3 Speichermedien 5.4 10 Grundsätze zur E-Mail-Archivierung
Strategien der E-Mail-Archivierung 5.1 Strategien der E-Mail-Archivierung
Strategien der (automatisierten) E-Mail-Archivierung (1) Vollständige Archivierung (2) Vollständige Archivierung mit Separierung der Attachments (3) Selektive Archivierung Kombination der Verfahren einschließlich automatischer und manueller Steuerung
Vollständige Archivierung Vorteile: Konformität mit den rechtlichen Erfordernissen Möglichkeit der Prozessintegration Kaum Einfluss auf die Arbeitsweise der Nutzer Volle Integration in das bestehende IT Management des Unternehmers Nachteile: Umfangreichster und aufwendigster Lösungsansatz Meist kostenintensivste Lösung Oft komplizierte Verhandlungen mit Betriebsrat und Datenschutzbeauftragten der Unternehmen
Vollständige Archivierung mit Separierung der Attachments Vorteile: Wesentliche Reduzierung der Mailboxgrößen Daraus resultierender Performancegewinn Reduzierung der Hardwareanforderungen Nachteile: Rechtliche Anforderungen werden nicht erfüllt Nach Crash des Mailsystems ist eine Zuordnung der archivierten Anhänge zu Mails schwierig Offline Retrieval der Anhänge nicht möglich
Selektive Archivierung Vorteile: Filterung unerwünschter Mails. Reduzierung des Speicherplatzbedarf. Daraus resultierender Performancegewinn Reduzierung der Hardwareanforderungen Nachteile: Sehr aufwändig Filterkriterien extrem schwierig zu definieren Bei ungenauer Festlegung der Selektionskriterien werden rechtliche Anforderungen nicht erfüllt
Beispiel hybride Archivierung Temporäre Speicherung aller Ein- und Ausgänge intern und extern in einem nur für wenige berichtigte zugänglichen Zwischenspeicherung (Journal-Speicherung) Berechtigte können sein Administratoren, Fachadministratoren, Rechtsabteilung, Revision Zwischenspeicher muss ausreichend sein um Systemausfälle, Abwesenheit von Mitarbeitern, interne Prüffristen etc. abzudecken Zeitgesteuerte Löschung, die aber auch für „Hold“-Verfahren ausgesetzt werden kann (2) Archivierung der relevanten E-Mails durch den zuständigen Bearbeiter mit Zuordnung der E-Mail in den richtigen Geschäftszusammenhang Gegebenenfalls zusätzliche Indizierung oder Zuordnung zur Anreicherung der Verwaltungsmetadaten Löschen nicht relevanter E-Mails Richtige Zuordnung bei Zuständigkeitsproblemen Archivierung vor Ablauf der Aufbewahrung im Zwischenspeicher
Inhouse vs. Outsourcing 5.2 Inhouse vs. Outsourcing
Cloud Computing IaaS, PaaS, SaaS
Argumentation Inhouse versus Outsourced Dokumente verbleiben im Haus Einsparen von Mitarbeitern? Jederzeit Zugriff auf Dokumente Einsparen von Ressourcen? Rechtsicherheit und Datenschutz Flexibilität Kosten (Einmalinvestition, Wartung und Personal) (Kontinuierlich für Verarbeitung und ggf. Zugriff) Kostenreduzierung bis zu 50% Mehr Effizienz Keine aufwendige IT
Infra-structure as a Service Cloud Computing The Cloud Infra-structure as a Service IaaS Platform as a Service PaaS Software as a Service SaaS Amazon Elastic Compute Cloud (EC2) Microsoft Azure Amazon SimpleDB Amazon Simple Queue Service (SQS) Amazon Simple Storage Service (S3) PayPal Google Apps Apple Apps Salesforce
Public Cloud versus Private Cloud Cloud Technologien können auch „Inhouse“ benutzt werden SaaS gibt es nicht nur in der Public Cloud sondern auch, bei geeigneter technischer Abgrenzung, als „Private Cloud“ oder „Community Cloud“
Inhouse vs. Outsourced Inhouse Outsourced Archiv operativ Archiv Sicherung Inhouse Outsourced Eigen- Anwender Eigen- Anwender mit outge- sourctem Sicherheits- archiv SaaS & Outsourcing Archiv operativ
Cloud Computing - Chancen Schnellere Verfügbarkeit von Innovationen Theoretisch unbegrenzte Skalierbarkeit Kosteneinsparung bei Hardware, Personal und Lizenzen Aufwandersparnis bei Programmupdates Schnelle Anpassung an sich ändernde Anforderungen Kostenkontrolle durch Pay-for-use
Cloud Computing - Risiken Provider Vertrauen Kontrolle Abhängigkeit Zuverlässigkeit der Cloud Engpässe in der Datenübertragung Software-Lizenzen Eigentumsrechte
SaaS für E-Mail SaaS erlaubt die Nutzung von ECM-Diensten in geschlossenen Gemeinschaften als ASP und in offenen Gemeinschaften über Web-Methoden. Beispiele für E-Mail-Anwendungen sind: „Internetsafe“ (z.B. zukünftig auch De-Mail), Projektmanagement-Plattformen mit Verwaltung der Korrespondenz, Kollaboratives Arbeiten in verteilten Gemeinschaften mit Korrespondenz (kein Mail), E-Mail-Management E-Mail-Archivierung Social Community mit Korrespondenz (kein Mail)
5.3 Speichermedien
Standards von Speichermedien Digitale optische Speichermedien: WORM: Write Once Read Many WORM Disk CD (Compact Disk) DVD (Digital Versatile Disk) WORM Tape Werden physikalische WORM-Medien überhaupt noch gebraucht? Digital-optische Speicherträger sind als online-Komponenten „outdated“ Alternative: Festplattensysteme <Veranstaltung> <Titel> <Autor(en)> PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg www.project-consult.com © PROJECT CONSULT 2007
WORM Tapes Von Sony (AIT) oder StorageTek (VolSafe) Auch für die allgemeine Bandsicherung nutzbar Hohe Sicherheit bei ordnungsgemäßem Rechenzentrumsbetrieb und der regelmäßigen Migration Aufnahmekapazität bis zu 1 TeraByte je Medium (komprimiert) Zugriffsgeschwindigkeiten mit denen von herkömmlichen WORMs vergleichbar oder schneller Medien durch große Kapazität relativ günstig <Veranstaltung> <Titel> <Autor(en)> PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg www.project-consult.com © PROJECT CONSULT 2007
Festplattenspeicher CAS Content Adressed Storage (z.B. Centera von EMC2) Unabhängig von der Anwendung Signatur aus dem Inhalt des Objekts Bei Veränderungen des Inhalts eines Objekts wird automatisch eine neue Version erzeugt Die Unveränderbarkeit der gespeicherten Information wird durch die Software sichergestellt <Veranstaltung> <Titel> <Autor(en)> PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg www.project-consult.com © PROJECT CONSULT 2007
Hybride Archivierung Kombination aus digitalem Informationsmanagement und Mikrofilm Ein einziger Scan-Vorgang Die Filme sind beständig und bleiben nach Jahrzehnten lesbar und fälschungssicher (rechtssicher) Die digitalen Daten dienen als Basis für ein E-Discovery-System In einem Arbeitsgang: Digitalisierung und Anlegen eines Mikrofilm-Archivs Anforderungen: Garantie der vollständigen Erhaltung/Sicherung der Dokumente nach Verarbeitung, insbesondere wenn danach die Originaldokumente vernichtet werden Beherrschung von Indexierungs-/ Klassifizierungsverfahren Kenntnis des Datenmanagements (Zertifizierte) Workflows mit Detail-Protokollierung E-Mail-Archivierung richtig gestalten – Rechtliche Grundlagen, Management und Lösungen für die IT-Praxis Dr. Ulrich Kampffmeyer Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg www.project-consult.com © PROJECT CONSULT 2011
iCas »iTernity Compliant Archive Solution« Soll flexible und leistungsstarke Vorteile der Plattenprodukte mit denen von reinen und revisionssicheren Archivsystemen vereinen Hardwareunabhängig wegen vorinstallierter und speicherunabhängiger Appliance Offenes System, das auf Industriestandards basiert, damit Daten dauerhaft gespeichert und trotzdem revisionssicher im steten Zugriff gehalten werden können Zugriff auf Standard-Dateisysteme - Unabhängigkeit von Speicherherstellern und –technologien HSM-Lösungen: Archive und deren Container auf Tapes oder andere Medien auslagerbar E-Mail-Archivierung richtig gestalten – Rechtliche Grundlagen, Management und Lösungen für die IT-Praxis Dr. Ulrich Kampffmeyer Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg www.project-consult.com © PROJECT CONSULT 2011
iCas Architektur (Bild: Iternity) E-Mail-Archivierung richtig gestalten – Rechtliche Grundlagen, Management und Lösungen für die IT-Praxis Dr. Ulrich Kampffmeyer Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg www.project-consult.com © PROJECT CONSULT 2011 (Bild: Iternity)
Konfiguration mit iCAS in einer Vmware-Umgebung E-Mail-Archivierung richtig gestalten – Rechtliche Grundlagen, Management und Lösungen für die IT-Praxis Dr. Ulrich Kampffmeyer Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg www.project-consult.com © PROJECT CONSULT 2011 (Bild: Iternity)
iCAS im Microsoft-Cluster E-Mail-Archivierung richtig gestalten – Rechtliche Grundlagen, Management und Lösungen für die IT-Praxis Dr. Ulrich Kampffmeyer Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg www.project-consult.com © PROJECT CONSULT 2011 (Bild: Iternity)
Konsequenzen der E-Mail Archivierung: Technik Technische Konsequenzen Langfristige Festlegung auf bestimmtes Backendsystem? Archivsystem und Sicherheitskopie? Archivierung nur von E-Mails? Amortisierung der Investitionen? Durchgängigkeit und Vollständigkeit für interne und externe E-Mails? Weitere Anwendungsfälle? Rolle des Prozessgedankens? Investitionen in die Netzinfrastruktur?
Die 10 Grundsätze zur E-Mail-Archivierung 5.4 Die 10 Grundsätze zur E-Mail-Archivierung
Die 10 Grundsätze der E-Mail-Archivierung Email-Archivierung muss die revisionssichere Langzeitarchivierung aller in einer E-Mail enthaltenen Informationen, einschließlich Formatierungen, Rechteinformationen und Anhänge, auch verschachtelter Anhänge, sicherstellen. Archivierte Mails müssen ohne Informationsverluste wiederherstellbar sein. Es sollte eine hohe Skalierbarkeit in Bezug auf Anzahl zu archivierender E-Mails und Datenvolumina gegeben sein. Es muss möglich sein eine bereits archivierte E-Mail ganz oder teilweise (Mailtext / Anhänge) aus dem führenden Mailsystem zu löschen. Auch verschlüsselte Maildokumente müssen archiviert werden können.
Die 10 Grundsätze der E-Mail-Archivierung Signierte E-Mails oder Anhänge müssen archiviert werden können und die Langzeitarchivierung dieser Dokumente muss durch die Möglichkeit eines „Übersignierens“ abgelaufener Signaturen möglich sein. Anhänge und der Mailtexte sollten in ein für die Langzeitarchivierung geeignetes Format konvertiert werden. Single Instance Archivierung: Attachments von identischen Mails an mehrere Nutzer werden nur einmal archiviert. Die rechtlichen und betrieblichen Anforderungen, insbesondere die des HGB/AO und des BDSG müssen erfüllt sein. E-Mail-Archivierung darf nicht als Insellösung sondern muss als integrierter Teil eines gesamten Archivierungskonzeptes betrachtet werden.
FAZIT (5) Die Archivierung steht am Ende des Lebenszyklus von Information. Die Nutzung und das Management sind während des aktiven Lebenszyklus wichtiger. Archivierung ist immer dann unwirtschaftlich, wenn es nur um die Aufbewahrung und nicht um die Nutzung des Wissens in den Informationen geht.
Besondere Problembereiche 6 Besondere Problembereiche
Übersicht Besondere Problemfelder 6.1 Elektronische Signatur 6.2 Elektronische Rechnung 6.3 Zustellungsnachweis 6.4 Kryptographische Verschlüsselung 6.5 Formate 6.6 Spam Ausfilterung
Elektronische Signatur 6.1 Elektronische Signatur
Digitale Signatur & Elektronische Signatur Gesetz über die Rahmenbedingungen für elektronische Signaturen vom 22.05.2001 ist die Grundlage dafür, dass elektronische Signaturen im Rechtsverkehr die gleiche Wirkung wie eine eigenhändige Unterschrift haben Signaturgesetz unterscheidet die einfache, fortgeschrittene und die qualifizierte elektronische Signatur Als Beweismittel vor Gericht ersetzt nur die qualifizierte Signatur die eigenhändige Unterschrift Quelle: info.ulrich-schrader.de/files/documents/diplomarbeit_schoene.pdf
Elektronische Signatur Das Signaturgesetz unterscheidet in Übereinstimmung mit der EG-Signaturrichtlinie folgende Signaturen: Elektronische Signatur (§ 2 Nr. 1 SigG) Fortgeschrittene elektronische Signatur (§ 2 Nr. 2 SigG) Qualifizierte elektronische Signatur (§ 2 Nr. 3 SigG) Qualifizierte elektronische Signatur mit Anbieter-Akkreditierung (§ 15 Abs. 1 Satz 4 SigG)
Unterscheidung der Signaturarten Einfache elektronische Signatur Fügt elektronischen Daten andere elektronische Daten bei oder verknüpft diese logisch miteinander Erfüllt keine besonderen Sicherheitsanforderungen, ihr Beweiswert ist daher gering Diese Form eine Signatur kann nicht eindeutig einer Person zugeordnet werden, daher eignet sie sich lediglich für formfreie Verträge Fortgeschrittene elektronische Signatur Digitalen Signaturen ausschließlich dem Signatur-schlüssel-Inhaber zugeordnet, deutlich sicherer Die Authentifizierung des Zertifikatsinhabers wird gewährleistet Die Integrität der Daten kann überprüft werden
Unterscheidung der Signaturarten 3. Qualifizierte elektronische Signatur (QES) Verhält sich wie die fortgeschrittene, allerdings werden diese mit einer sicheren Signaturerstellungseinheit (SSEE) erzeugt (z.B. Chipkarte) Gleichzeitig wird dem Dokument zum Zeitpunkt seiner Erzeugung ein qualifiziertes Zertifikat von einem Zertifizierungsdiensteanbieter (Trust Center) ausgestellt Kein Dritter kann auf den persönlichen Schlüssel zugreifen QES mit Anbieter-Akkreditierung Das Trust Center garantiert darüber hinaus eine nachgewiesene organisatorische und technische Sicherheit durch ein Gütesiegel
Unterscheidung der Signaturarten Zeitsignatur Beweismöglichkeit, zu welcher gesetzlichen Zeit das Dokument vorgelegen wurde Das Zertifikat enthält einen Hashwert mit der Zeit und dem Zertifikat des ausstellenden Servers Damit wird gewährleistet und bestätigt, dass das Dokument zu dem angegebenen Zeitpunkt nicht verändert wurde Zeitstempel Können beispielsweise durch den Absender einer Nachricht selbst erstellt werden Zeitstempel bestehen in der Regel aus einer Zeitangabe, den vorgelegten Daten und der Signatur des Zeitstempeldienstes. Werden Zeitstempel als qualifizierte Zeitstempel bezeichnet, wenn sie von Dienstanbietern erzeugt werden, die außerdem die Anforderung des Signaturgesetzes ( SigG ) und der Signaturverordnung erfüllen
Integrität und Authentizität Integrität und Authentizität müssen gewahrt sein: Bei einer auf elektronischem Weg übermittelten Rechnung müssen die: Echtheit der Herkunft Unversehrtheit des Inhalts Dies wird gewährleistet durch: Qualifizierte elektronische Signatur (Mit Anbieter-Akkreditierung) Elektronischen Datenaustausch (EDI) Ab voraussichtlich Juli 2011: Auch durch die „einfache Datei“
Qualifizierte elektronische Signatur Für die Nutzung qualifizierter elektronischer Signatur sind speziell gesicherte PCs mit zugehörigem Eingabegerät (Kartenleser) einzusetzen Für die Nutzung und den Betrieb sind gesetzliche Regularien erforderlich, um auf dem Klienten keine Sicherheitslücken zu generieren
Elektronische Rechnung 6.2 Elektronische Rechnung
Europäische Rechnungsrichtlinie Richtlinie 2001/115/EG, Inkrafttreten: 1.1.2004 Gestattet jedem Unternehmen die elektronisch übermittelte Rechnungsstellung, sofern die Echtheit des Originals und die Vollständigkeit des Inhalts der Rechnung gewährleistet sind und sofern der Empfänger zustimmt Richtlinie sieht die Möglichkeiten einer elektronischen Signatur oder des Datenaustauschs mittels EDI vor Ort und Art der Aufbewahrung von Rechnungen in der EU können frei gewählt werden, auch die elektronische Aufbewahrung ist zulässig Quelle: http://www.compliancemagazin.de/compliancefachbeitraege/recht/rechnungsrichtlinie300307.html
Aufbewahrung elektronischer Rechnungen Absender und Empfänger der Rechnung sind zur Aufbewahrung verpflichtet Aufbewahrungsfrist Beträgt zehn Jahre und beginnt mit dem Ablauf des Kalenderjahres, in dem die Rechnung ausgestellt wird Aufbewahrungsfrist läuft jedoch nicht ab, soweit und solange die Unterlagen für Steuern von Bedeutung sind Grundsätze der ordnungsgemäßen Aufbewahrung Aufbewahrungsort Quelle: www.nospamproxy.com/download/Elektronische-Rechnung.pdf
Änderungen Elektronische Rechnung Bei alter Regelung des Umsatzsteuergesetzes hohe technische Anforderungen nötig Elektronische Rechnungsstellung soll möglichst unbürokratisch sein: Erfordernis der Echtheit der Herkunft und der Unversehrtheit des Inhalts bleiben als abstrakte Voraussetzungen für die umsatzsteuerliche Anerkennung von elektronischen Rechnungen bestehen Jedoch: sonstige Vorgaben für elektronische Rechnungen aufgegeben, wodurch keine technischen Verfahren mehr vorgegeben sind
Änderungen Elektronische Rechnung Änderungen entsprechen den aktuellen Bestrebungen auf unionsrechtlicher Ebene: Am 13.07.10 wurde die Richtlinie 2010/45/EU des Rates zu den Rechnungsstellungsvorschriften verabschiedet Ab 01.01.2013 sind zwingend Papier- und elektronische Rechnungen gleich zu behandeln Änderungen werden zum 01.07.2011 Inkrafttreten Quelle: http://www.signature-check.de/fileadmin/pdf/BMF_Aenderung_UStG_26Okt2010_Formulierungsentwurf.pdf
EDI Elektronischer Datenaustausch „Electronic data interchange“ EDI-System arbeitet mit Sender / Datenart / Empfänger / Daten Asynchrones Verfahren (Store-And-Forward) typisch für E-Mail: Übertragung erfolgt in voneinander getrennten Schritten Daten werden mehrere Male zwischengespeichert Keine direkte inhaltliche Antwort erwartet und übertragen
EDI § 14 Abs. 3 Nr. 2 UStG gestattet den elektronischen Datenaustausch (EDI) Voraussetzungen: Das vereinbarte Verfahren gewährleistet die Echtheit und Herkunft der Daten Bisher: Es liegt eine zusammenfassende Rechnung in Papierform bzw. in elektronischer Form vor
EDI nach SteuBAG Gesetz zur Modernisierung und Entbürokratisierung Inkrafttreten des Steuerbürokratieabbaugesetzes ab dem 1.Januar 2009 Eine zusammenfassende Rechnung ist nicht mehr erforderlich
Einfache Datei Aufgrund der Umsetzung der MwSt-Richtlinie in deutsches Recht voraussichtlich Juli 2011: Bei entsprechender Verfahrenssicherheit keine elektronische Signatur mehr beim Versand von Rechnungen per E-Mail nötig
6.3 Zustellungsnachweis
Zustellungsnachweis E-Mails haben wenig Beweiskraft: Sender kann bei herkömmlichen Protokollen und Log-Mechanismen nicht längerfristig beweisen, ob und wann er was an wen versendet hat Abfrageeinstellungen nutzen wie „Empfang bestätigen“, „Lesen bestätigen“ können systemseitig vom Empfänger „ausgeschaltet“ sein Auch die digitale Signatur ist keine Abhilfe: Empfang der Nachricht nicht beweisbar - hierzu wäre eine idealerweise ebenfalls signierte Antwort notwendig Die meisten elektronischen, personen- und kartengebundenen Signaturen enthalten keinen qualifizierten Zeitstempel
Zustellungsnachweis Einige Dienstleister bieten Lösungen an, die Signatur, Verschlüsselung und Antwort automatisieren („E-Mail-Einschreiben“) DE-Mail E-Postbrief Reg-Mail u.a.
Der E-Postbrief Quelle: http://www.epost.de/geschaeftskunden/uebersicht/produktbeschreibung.html
Der E-Postbrief Quelle: http://www.epost.de/geschaeftskunden/uebersicht/produktbeschreibung.html
Der E-Postbrief Quelle: http://www.epost.de/geschaeftskunden/uebersicht/datensicherheit.html
Kritik E-Postbrief Der E-Postbrief fällt nicht wie ein normaler Brief unter das Briefgeheimnis. Nach der ständigen Rechtsprechung des BVerfG fällt eine elektronische Mitteilung nur unter das Fernmeldegeheimnis, welches bei weitem keinen so umfassenden Schutz wie das Briefgeheimnis bietet Privat- und Geschäftskunden werden gemäß den AGB (I.6.3) dazu aufgefordert, ihr Postfach werktäglich abzurufen. Unterlässt der Kunde dies, gilt der E-Postbrief dennoch als zugestellt und eventuelle Fristen beginnen zu laufen
Kritik E-Postbrief Die Post speichert gemäß den AGB (IV.4.2) die Adressdaten aller Kunden, die dem zugestimmt haben, in einem für andere Kunden des E- Postbriefs zugänglichen Adressverzeichnis Es ist keine Möglichkeit vorgesehen, den E- Postbrief in bestehende Geschäftsprozesse und Software zu integrieren (z.B. ist eine Weiterleitung selbst an verifizierte E-Mail-Konten nicht möglich). Daher müssen Kunden des E-Postbriefes diesen Dienst zusätzlich zur normalen E-Mail behandeln
Kritik E-Postbrief Sicherheit: das E-Postbrief Portal sichert durch eine TLS-Verschlüsselung die Kommunikation zwischen Benutzer und Betreiber. Es ist deshalb fraglich, ob die Nachrichten auf dem Server des Betreibers entschlüsselt werden und so ein Angriffsziel für unbefugte Leser darstellen Es werden nicht die geltenden Normen des Weltpostvereines, sowie der EU und der DIN eingehalten Keine gesetzliche Grundlage!
De-Mail Quelle: http://www.zdnet.de/news/digitale_wirtschaft_internet_ebusiness_kabinett_beschliesst_de_mail_gesetz_story-39002364-41539179-1.htm
Zustellungsnachweis DE-Mail: Gilt im Einklang mit der "Zustellfiktion" bei der Briefpost nach drei Tagen als "erhalten", unabhängig vom tatsächlichen Abruf durch den Kontoinhaber "Abholbestätigung", mit der Fristablauf nach Erhalt eines elektronischen "Einschreibens" verzögert wird, soll Verbraucherschutz erhöhen, hebelt Dreitagesregelung aber nicht aus Quelle:http://www.heise.de/newsticker/meldung/Nur-noch-geringfuegige-Aenderungen-am-De-Mail-Gesetz-1195017.html
De-Mail Strittige Punkte Die fehlende Ende-zu-Ende-Verschlüsselung, Das Fehlen einer einheitliche Kennzeichnung, also einer gemeinsamen Domain oder einer neuen Domain-Endung, um sichere E-Mail-Adressen erkennen zu können, Dass eine Auskunftserteilung auch ohne richterlicher Prüfung möglich sei, Dass eine DE-Mail drei Tage nach dem Abschicken als zugestellt gilt, auch wenn der Nutzer sein Postfach in der Zeit gar nicht abgerufen hat Quelle: http://www.spiegel.de/netzwelt/netzpolitik/0,1518,747449,00.html
Kritik an der De-Mail Kritik der Europäischen Union am Vorgehen der Bundesregierung: Europäische Kommission äußert Kritik am Vorgehen der Koalition Fordert Deutschland auf, Stellung zur Frage zu beziehen, wie DE-Mail mit den Vorgaben der EU zur Wettbewerbskonformität und Technikneutralität in Einklang gebracht werden soll Bisher keine Stellungnahme von CDU/CSU und FDP
Kryptographische Verschlüsselung 6.4 Kryptographische Verschlüsselung
Kryptographische Verschlüsselung Für die Ver- und Entschlüsselung von E-Mails werden unterschiedliche kryptographische Verfahren eingesetzt (z.B. symmetrische und asymmetrische Verschlüsselung) Symmetrisches (private key) Verschlüsselungsverfahren: ein Schlüssel je Kommunikationskanal, der sowohl zur Ver- als auch zur Entschlüsselung dient Asymmetrisches (publik key) Verschlüsselungsverfahren: ein öffentlicher und ein privater Schlüssel (Schlüsselpaar), öffentlicher Schlüssels = Verschlüsselung, korrespondierender privater Schlüssel = Entschlüsselung Hybridverfahren: für jede Sitzung ein Schlüssel (Session Key) zufällig generiert und asymmetrisch verschlüsselt ausgetauscht, Daten selbst werden dann durch einen schnellen symmetrischen Algorithmus mit dem Session Key verschlüsselt
Kryptographische Verschlüsselung In jedem Fall sinnvoll bei der Kommunikation über ungeschützte Leistungen Kann auch intern im Unternehmen bei der Versendung sinnvoll sein, wenn die Berechtigungsstrukturen keinen ausreichenden Schutz der Vertraulichkeit bieten In der Langzeitarchivierung soll die Speicherung kryptografisch kodierte Objekte (z.B. PDF mit Passwort) und die proprietäre kryptografische Kodierung des Speichers unbedingt vermieden werden) da sonst die Nutzbarkeit der Informationen drastisch gefährdet ist Kodierte Dokumente sind vor der Archivierung zu dekodieren und offen zu archivieren Schutz sollte über neutrale Berechtigungsklassen im Berechtigungssystem erfolgen, die langfristig stabil und personenunabhängig sind.
Kryptographische Verschlüsselung: Nicht im Archiv – nur in der Kommunikation! Quelle: http://www.group-technologies.com/de/produkte/faq/encryption.php
6.5 Formate
Formate Asynchrone Systeme / E-Mail zwischen Systemen: Keine Kommunikation/Harmonisierung untereinander möglich Attachments nicht kontrollierbar Neben Ablage im Originalformat können einige E-Mail-Management-Lösungen eine Formatkonvertierung durchführen Ermöglicht Speicherung und Anzeige der E-Mails und ihrer Anhänge in neutralen Formaten wie TIFF oder PDF: Archivierte E-Mails können auch nach Wechsel der E-Mail-Lösung unabhängig von dieser gelesen werden
Format Aufbereitung Bestimmte E-Mail-Clients (Lotus Notes, Novell Groupwise) keine Möglichkeit, E-Mails inklusive Anhänge in einem Containerformat zu speichern Eine Archivierungslösung muss in der Lage sein, Mail zu splitten und getrennt zu speichern (Single Instancing, Verpointern) aber dabei den logischen Zusammenhang zu erhalten Der logische Zusammenhang muss auch bei Verlagerung von Dateien und Migrationen gewahrt bleiben
PDF/A
PDF/A-2 Neuer Teil des PDF-Standards: ISO 19005-2, Part-2 (PDF/A-2) Veröffentlichung 02. Dezember 2010 PDF/A-2 ist ein zweiter Normteil, der auf einer neueren Version des PDF-Formats aufsetzt und die dadurch eingeflossenen technischen Neuerungen wie beispielsweise JPEG2000 berücksichtigen soll Sichere Textextraktion und bessere Suche Schriften mit Bedeutung einbetten, nicht nur “Aussehen” Auch sinnvoll für Scans mit OCR Einbettung (im Gegensatz zu Conformance Level a!) Große Seiten
PDF/A-2 Transparenz • Weitere Annotationen und Kommentare Nicht in PDF/A-1, erlaubt in PDF/A-2 • Weitere Annotationen und Kommentare 3D verboten, Freiform u.a. Kommentare zusätzlich • OpenType Fonts Normierte Fonts ohne Konvertierung einbettbar • Klarere Anleitungen zur Digitalen Signatur Basierend auf ISO 32.000-1 und ETSI Norm • Object Level XMP Metadaten PDF/A-1 regelt nur Dokumenten Level Metadaten Vortrag LuraTech, ECM-Forum, CeBIT 2011
PDF Kompatibilität PDF/A-1 war teilweise so „schwammig“ formuliert, dass unterschiedliche Implementierungen vorlagen die zu sehr unterschiedlichen Validierungsergebnissen bei der Prüfung des Formates führten Durch PDF/A-2 sollen diese „Unsauberkeiten“ behoben sein, jedoch hat dies Auswirkungen auf die Abwärtskompatibilität PDF selbst ist auch normiert – wozu also noch PDF/A wird vielfach gefragt PDF ist keine Lösung für die neuen Formate wie EPub, Mashups und andere Entwicklungen
6.6 Spam Ausfilterung
Unterscheidung Spam Was genau ist Spam? Spam-Ordner Automatisches Ausfiltern von Spam (kann auch kryptografisch kodierte E-Mails und elektronisch signierte E-Mails „erwischen“)
FAZIT (6) Heutige Probleme dürfen zwar nicht überbewertet werden, sie haben jedoch angesichts der langen Zeiträume der Archivierung langfristige Folgen und Konsequenzen. Viele Probleme lassen sich nicht technisch lösen sondern nur organisatorisch. Zu technisierte Lösungsansätze führen häufig zum „Overkill“.
7 Ausblick
Übersicht 7.1 Das digitale Universum 7.2 Cloud Computing 7.3 Aktuelle Entwicklungen 7.4 Collaboration und Workflow 7.5 Social vs. E-Mail 7.6 Die Überforderung des Menschen durch zu viel Kommunikation
Das digitale Universum 7.1 Das digitale Universum
Das digitale Universum IDC; http://switzerland.emc.com/collateral/analyst-reports/diverse-exploding-digital-universe.pdf
7.2 Cloud Computing
Persönliche Daten in der Cloud http://www.fujitsu.com/downloads/SOL/fai/reports/fujitsu_personal-data-in-the-cloud.pdf
Cloud Computing in Deutschland Nur 25% der Deutschen zeigen sich begeistert von der wachsenden Technologisierung ihres Alltags und der damit verbundenen zunehmenden Abhängigkeit von der IT 18% der Deutschen zählen zu den Befürwortern (weltweit: 39%), 32% zu den Gegnern (weltweit: 19%) Generell ist das Vertrauen in den sicheren Umgang mit Daten durch Behörden und Unternehmen niedrig 72% der Deutschen erwarten sogar, dass sich Staat und Politik aus ihren persönlichen Daten heraushalten. Nur 31% vertrauen dem Staat, was das Thema Datensicherheit anbelangt
Cloud Computing in Deutschland 68% stört der Umstand, dass sie keine Kontrolle darüber haben, welche Informationen von ihnen auf Online-Plattformen und Servern von Unternehmen und Behörden lagern Deutsche betrachten jegliche Einmischung von Staatsseite in das Thema Datenschutz mit Misstrauen, gleichzeitig räumen sie dem Staat eine wichtige Rolle bei der Erstellung von Datenschutzrichtlinien ein 20% der Deutschen sehen ein hohes Maß an Eigenverantwortung für den Schutz ihrer Daten Zentrale Vorteile für die Gesellschaft: Effizientere Nutzung der natürlichen Ressourcen (43%) Verbesserte medizinische Versorgung (40%) Höhere Sicherheit, zum Beispiel dank biometrischer Systeme (32%) http://www.cio.de/dynamicit/management_strategie/2264374/index3.html
Aktuelle Entwicklungen 7.3 Aktuelle Entwicklungen
Aktuelle Entwicklungen „Deutsche Sonderlocken“ E-Postbrief DE-Mail Bürger-Safe Wie archiviere ich wichtige Geschäftskorrespondenz elektronisch? Vertraue ich auf die Provider der Systeme?
Aktuelle Entwicklungen „Die großen Herausforderungen“ Google Mail Google Mail-Archivierung Facebook „Mail“ Kein „Versenden mehr von E-Mail“, Nachrichten Datenbank / Portal-basiert Vertraue ich auf die Provider der Systeme?
Collaboration und Workflow 7.4 Collaboration und Workflow
Was hat die E‐Mail mit Collaboration zu tun? Vom Archivieren zum Management von E‐Mails: Herkömmliche E‐Mail‐Archivierung: Schnelle Einführung Basisarchivierung für Archivierung und Lebenszyklus Aufbau eines Datenrepositories Oft userbezogen: Bildung von Datensilos Die Alternative: ECM-basiertes E-Mail-Management bietet geschäftskontext- geschäftsprozess- und speicherbezogene Archivierungsmöglichkeiten Aufbau eines zentralen Repositories für alle Dokumente – Ausbaubarkeit zum ECM
Collaboration Collaboration durch mobile Verfügbarkeit von Kundenwissen: Kundenakte in der Hosentasche inkl. E‐Mails Zugriff auf das Firmenwissen im ECM Integrierte Zusammenarbeit zwischen ID und AD
Nutzen der Integration von E‐Mail in Workflows Kostenreduktion (Transportwege, Archive, Effizienzsteigerung von Sachbearbeitung) Mitarbeiterzufriedenheit (Wegfall von Routinetätigkeiten, Besseres Verständnis betrieblicher Abläufe) Mehr Qualität (Protokolle von Arbeitsschritten, Fehlervermeidung durch Standardabläufe) Workflow OS | ECM Verbesserte Wettbewerbsfähigkeit, z. B. flexible Prozessanpassungen bei veränderten Rahmenbedingungen Höhere Kundenzufriedenheit (Bessere Durchlaufplanung, kürzere Durchlaufzeiten)
7.5 Social vs. E-Mail
Nutzen von Kommunikationskanälen 2011 Quelle: http://www.ecircle.com/fileadmin/files/pdfs/04_Resource_Centre/4.4._Studien/DE/eCircle_Europaeischer_Social_Media_und_E-Mail_Monitor_-_Laendervergleich.pdf
Der Europäische Social Media und E-Mail Monitor
Portale, Apps und Mobile Ablösung der E-Mail durch Portale? Immer mehr Bestellportale und Unternehmensportale werden genutzt E-Mail in Communities: XING-Mail / Facebook-Mail - keine Trennung mehr zwischen Social Network Messages und E-Mail E-Mails auf Smartphones die wichtigsten Anwendungen – Optimierung der Mail- und Newsletter-Gestaltung (HTML) sowie Kommunikations-Usability für den mobilen Bereich Business Apps für geschäftliche Tätigkeiten können auch E-Mail ersetzen
Microblogging Twitter als Mittel für die geschäftliche Kommunikation? Bestellformulare twittern? Unternehmensinterne Kurznachrichten per Microblogging Microblogs in sozialen Netzwerken wie XING oder Facebook – als Statusmeldung Nachrichten und auf Dokumente nur noch verlinken? Ist dies der schnellere Weg als die E-Mail?
Bedeutung und Umsetzung von Social Anwendungen in Unternehmen
Die Überforderung des Menschen durch zu viel Kommunikation 7.6 Die Überforderung des Menschen durch zu viel Kommunikation
Aktuelle Stimmen – Dirk Baecker „Die Menschheit hat mindestens drei Überforderungen ähnlichen Ausmaßes mit erstaunlichem Erfolg überstanden: die Einführungen der Sprache, der Schrift und des Buchdrucks.“ „Wir haben es mit neuen kommunikativen Möglichkeiten zu tun, auf die sich die menschliche Psyche und der menschliche Körper erst einmal einstellen müssen.“ „Heterogene Netzwerke treten an die Stelle der eher homogenen Funktionssysteme, wie wir sie von der modernen Gesellschaft kennen.“
Aktuelle Stimmen – Dirk Baecker „Wir bekommen es mit unwahrscheinlichen Clusterbildungen, mit seltsamen Verknotungen von Geschichten, Milieus, Leuten und Organisationen zu tun, mit Possen, die die Gesellschaft durchkreuzen.“ „Unsere Kultur wird sich von der Vernunft der Moderne noch weiter verabschieden und sich stattdessen mit einer Komplexität anfreunden, mit der man die Berührung suchen muss, ohne auf ein Verstehen rechnen zu können.“ „Kommunikation nimmt den Menschen nicht nur geistig, sondern auch psychisch und physisch in Anspruch.“ Soziologe Dirk Baecker: http://www.faz.net/s/RubCEB3712D41B64C3094E31BDC1446D18E/Doc~E875917D63CDA4DAAB16BA4F6B779A79C~ATpl~Ecommon~Scontent.html
Aktuelle Stimmen – Miriam Meckel „Wir können viel flexibler als früher entscheiden, wann wir welche Arbeiten erledigen wollen. Damit ist aber auch die gesamte Last der Entscheidung und Organisation auf den Einzelnen übergegangen. Für Manchen wird diese Total-Flexibilisierung zur Überlast.“ „Wir sind soziale Wesen, die anschlussfähig und sozial verbunden sein wollen. Wer nicht kommuniziert, fällt aus dem sozialen Netzwerk heraus.“
Aktuelle Stimmen – Miriam Meckel „Durch den zunehmenden Einsatz von Technik, auch durch das so genannte Multitasking, werden wir nicht schneller und produktiver, sondern langsamer und unproduktiver. Wir brauchen mehr Zeit, wenn wir versuchen, mehrere Aufgaben gleichzeitig zu bewältigen, als wenn wir sie einfach der Reihe nach abarbeiten.“ „Permanente Erreichbarkeit wirkt sich als Überforderung aus.“
Aktuelle Stimmen – Miriam Meckel „Die kommunikative Überforderung zieht sich von den Chefetagen durch alle Abteilungen hindurch. Der Mitarbeiter, der glaubt, nachts um zwei Uhr noch eine E-Mail schicken zu müssen, oder die Sekretärin, die rund um die Uhr für ihren Chef zu erreichen ist.“ „Menschen, die in ihrem Leben bereits isoliert sind, geraten durch ihre Onlineaktivitäten eher weiter in die Isolation. Anderen, die mit ihrer sozialen Vernetzung auch im Alltag leicht und spielend umgehen, gelingt das auch online.“ Quelle: Miriam Meckel, Professorin für Corporate Communication: http://www.suite101.de/content/miriam-meckel-fluch-und-segen-von-kommunikation-a100569
Aktuelle Stimmen – Frank Schirrmacher Wer frisst wen in der digitalen Gesellschaft? Der darwinistische Wettlauf zwischen Mensch und Computer. „Die Informationsexplosion wird unser Gedächtnis, unsere Aufmerksamkeit und unsere geistigen Fähigkeiten verändern, unser Gehirn physisch verändern, vergleichbar nur den Muskel- und Körperveränderungen der Menschen im Zeitalter der industriellen Revolution. Kein Mensch kann sich diesem Wandel entziehen. Aber das sind nur Vorbereitungen auf einen ungleich größeren Wandel.“ Frank Schirrmacher, Payback, 2009
FAZIT (7) Die heutige Form der E-Mail ist nur eine Übergangsform der elektronischen Kommunikation. Sie wird mittelfristig durch andere Technologien erweitert und abgelöst. Mobile Kommunikation und neue Formen der Softwarenutzung treiben diese Entwicklung. Beim E-Mail-Management geht es im Wesentlichen auch darum, die Information so zu selektieren, dass man sich auf das Wichtige und Wesentliche konzentrieren kann: Reduktion und Bewertung sind die Schlüssel zur Bewältigung der Informationsflut.
Vielen Dank für Ihre Aufmerksamkeit ! Ulrich Kampffmeyer E-Mail: info@PROJECT-CONSULT.com Präsentation, weiterführende Informationen ... www.PROJECT-CONSULT.com