10
E-Mail Aufbewahrungsrichtlinien
Guten Morgen,
mein Chef hatte einen DSGVO Lehrgang was ja nichts schlimmes ist.
Nun kam seine Frage, sichern wir unsere E-Mail nach dem 10 Jahre Aufbewahrungsrichtlinien...
Natürlich nicht, da sich damit noch keiner beschäftigt hat.
Wir nutzen einen Exchange Server online und habe für alle Kollegen Microsoft 365.
Natürlich erstellen wir eine Tagessicherung eine Monat Sicherung und eine Jahressicherung.
Aber das ist ja nicht das geforderte, lückenlose Geschäftsmail-Aufbewarungsverfahren...
Gibt es überhaupt die Möglichkeit, innerhalb von Exchange, die Mailsicherung aller Konten für dieses Verfahren zu aktivieren und das ohne dritt Software ?
Hat jemand schon eine Anleitung oder Infomaterial wie man das Einrichtet ?
Ich bin für eure Hilfe sehr dankbar.
Viele Grüße
Michael
mein Chef hatte einen DSGVO Lehrgang was ja nichts schlimmes ist.
Nun kam seine Frage, sichern wir unsere E-Mail nach dem 10 Jahre Aufbewahrungsrichtlinien...
Natürlich nicht, da sich damit noch keiner beschäftigt hat.
Wir nutzen einen Exchange Server online und habe für alle Kollegen Microsoft 365.
Natürlich erstellen wir eine Tagessicherung eine Monat Sicherung und eine Jahressicherung.
Aber das ist ja nicht das geforderte, lückenlose Geschäftsmail-Aufbewarungsverfahren...
Gibt es überhaupt die Möglichkeit, innerhalb von Exchange, die Mailsicherung aller Konten für dieses Verfahren zu aktivieren und das ohne dritt Software ?
Hat jemand schon eine Anleitung oder Infomaterial wie man das Einrichtet ?
Ich bin für eure Hilfe sehr dankbar.
Viele Grüße
Michael
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 667003
Url: https://administrator.de/contentid/667003
Printed on: April 26, 2024 at 12:04 o'clock
10 Comments
Latest comment
also Exchange wird das sicherlich können, aber normalerweise macht man die Retention im Backupsystem - mit Vollbackups.Wwas in einem solchen Szenario nicht bedacht wird, bzw. oft Lücken hat sind zwei,drei Stellen:
- bei uns hat (bzw hatte) z.B. der Mitarbeiter selber die Pflicht, seine Emails 10 Jahre lang auf dem Endgerät aufzubewahren. Unser (on prem) Exchange sichert nur die 1 GB großen Postfächer. Scheidet der aber aus, dann wird das Endgerät komplett gelöscht
- Mitarbeiter müssen schriftlich auf diese Speicherfrist hingewiesen werden. Das ist bis heute eine Grauzone, ich hab diese Diskussionen regelmäßig, aber jeder Kunde muß am Ende eine branchenspezifischen Lösung dafür finden. Tlw gelten da Aufbewahrungsfristen bis zu 50 Jahre
- Speicherort. Bei akteuller Gesetzeslage ist es illegal, persönliche oder geschäftliche Emails von Mitarbeitern außerhalb der EU zu speichern, da es kein wirksames Datenschutzabkommen mit den USA oder China gibt, somit ist eine Nutzung von O365 online nur dann statthaft, wenn sichergestellt ist, daß die dazu nötigen Serverresosurcen innerhalb der EU stehen. Auch Cross Cloud Backups bzw. Cross Tenant Backups müssen als Ziel in der EU liegen... große Unternehmen sichern ihre Daten in anderen Clouds, falls die eigene Umgebung gekapert wrid, hat man noch ein Backup außerhalb des Betreibers der Produktivsysteme. Und es laufen viele Attatcken gegen O365 Exchange Instanzen.
- bei uns hat (bzw hatte) z.B. der Mitarbeiter selber die Pflicht, seine Emails 10 Jahre lang auf dem Endgerät aufzubewahren. Unser (on prem) Exchange sichert nur die 1 GB großen Postfächer. Scheidet der aber aus, dann wird das Endgerät komplett gelöscht
- Mitarbeiter müssen schriftlich auf diese Speicherfrist hingewiesen werden. Das ist bis heute eine Grauzone, ich hab diese Diskussionen regelmäßig, aber jeder Kunde muß am Ende eine branchenspezifischen Lösung dafür finden. Tlw gelten da Aufbewahrungsfristen bis zu 50 Jahre
- Speicherort. Bei akteuller Gesetzeslage ist es illegal, persönliche oder geschäftliche Emails von Mitarbeitern außerhalb der EU zu speichern, da es kein wirksames Datenschutzabkommen mit den USA oder China gibt, somit ist eine Nutzung von O365 online nur dann statthaft, wenn sichergestellt ist, daß die dazu nötigen Serverresosurcen innerhalb der EU stehen. Auch Cross Cloud Backups bzw. Cross Tenant Backups müssen als Ziel in der EU liegen... große Unternehmen sichern ihre Daten in anderen Clouds, falls die eigene Umgebung gekapert wrid, hat man noch ein Backup außerhalb des Betreibers der Produktivsysteme. Und es laufen viele Attatcken gegen O365 Exchange Instanzen.
Ja da gebe ich dir natürlich recht.
Wir haben eine regionale Speicherung das bedeutet wir haben einen Microsoftvertrag der uns eine Sicherung und Spiegelung der Microsoft Accounts innerhalb von Europa garantiert.
Die Daten bleiben in Deutschland und den Niederlanden.
Auch der Aspekt der Mitarbeiter den du erwähnst ist ein wichtiger Punkt alle Mitarbeiter wurden darüber belehrt, dass die Daten gespeichert werden...
Nur wie und wo stelle ich diese Archivierung in Exchange ein ?
Wir haben eine regionale Speicherung das bedeutet wir haben einen Microsoftvertrag der uns eine Sicherung und Spiegelung der Microsoft Accounts innerhalb von Europa garantiert.
Die Daten bleiben in Deutschland und den Niederlanden.
Auch der Aspekt der Mitarbeiter den du erwähnst ist ein wichtiger Punkt alle Mitarbeiter wurden darüber belehrt, dass die Daten gespeichert werden...
Nur wie und wo stelle ich diese Archivierung in Exchange ein ?
Der wahrscheinlich beste und sicherste Weg ist eine Lösung wie z.B. Mailstore. Damit kannst Du die Anforderungen an die DSGVO erfüllen ohne den Mailserver anfassen zu müssen.
Gruß Looser
Gruß Looser
1
Moin,
ihr verwechselt da was, die Archivierungspflicht ist die GOBD und kommt nicht von der DSGVO.
Von der DSGVO darf das gar nicht kommen, weil je nach Compliance in der Firmen auch die Privatnutzung des Mailpostfachs erlaubt ist und man genau dann NICHT archivieren darf.
Dazu muss granular untersucht werden, was überhaupt archivierungspflichtig ist.
Backup-Jobs sind da übrigens außen vor, weil nicht revisionssicher, da die Mails in den Backups manipuliert werden können.
Looser hat mit Mailstore schon eine mögliche Variante aufgezeigt, ich mach das mit der UMA von Securepoint.
Exchange Online selber hat nur eine Archivierung, die nicht funktioniert.
VG
ihr verwechselt da was, die Archivierungspflicht ist die GOBD und kommt nicht von der DSGVO.
Von der DSGVO darf das gar nicht kommen, weil je nach Compliance in der Firmen auch die Privatnutzung des Mailpostfachs erlaubt ist und man genau dann NICHT archivieren darf.
Dazu muss granular untersucht werden, was überhaupt archivierungspflichtig ist.
Backup-Jobs sind da übrigens außen vor, weil nicht revisionssicher, da die Mails in den Backups manipuliert werden können.
Looser hat mit Mailstore schon eine mögliche Variante aufgezeigt, ich mach das mit der UMA von Securepoint.
Exchange Online selber hat nur eine Archivierung, die nicht funktioniert.
VG
Zitat von @Michael71:
Guten Morgen,
mein Chef hatte einen DSGVO Lehrgang was ja nichts schlimmes ist.
Nun kam seine Frage, sichern wir unsere E-Mail nach dem 10 Jahre Aufbewahrungsrichtlinien...
Guten Morgen,
mein Chef hatte einen DSGVO Lehrgang was ja nichts schlimmes ist.
Nun kam seine Frage, sichern wir unsere E-Mail nach dem 10 Jahre Aufbewahrungsrichtlinien...
Chefproblem
das ist z.B. in der Abgabenordnung definiert (sollten gute Buchhalter wissen) und es geht dabei um "Geschäftsbriefe" .Die DSVGO sagt NIX zu Speicherfristen, regelt "nur" Zugriffe
Aber das ist ja nicht das geforderte, lückenlose Geschäftsmail-Aufbewarungsverfahren...
Gibt es überhaupt die Möglichkeit, innerhalb von Exchange, die Mailsicherung aller Konten für dieses Verfahren zu aktivieren und das ohne dritt Software ?
Gibt es überhaupt die Möglichkeit, innerhalb von Exchange, die Mailsicherung aller Konten für dieses Verfahren zu aktivieren und das ohne dritt Software ?
Die Abgabenordnungsregelung gibts aber gefühlt schon ewig ( > 10 Jahre?) dazu gibts paar Anbieter.
Problematik: nicht Aufbewahren im Sinne von Backup sondern im Sinne von Dokumentenstatus - so daß nicht nachträglich veröändert werden kann bzw. Veränderungen nachverfolgbar sind (Löschen von privatem Mailtraffic im "Archiv" )
"Uraltes" Problem: Geschäftsmails/Privatnutzung usw.
Du mußt auch nicht alle Mailkonten aufbewahren (lassen) - siehe Abgabenordnung - erklät dir dein Boss/Buchhalter/Steuerberater....
l.g. Fred
Hallo,
im Endeffekt ist ein Journalpostfach das was du brauchst.
https://docs.microsoft.com/de-de/exchange/policy-and-compliance/journali ...
im Endeffekt ist ein Journalpostfach das was du brauchst.
https://docs.microsoft.com/de-de/exchange/policy-and-compliance/journali ...
Mit Journaling alleine bist du nur bei 50% und noch weit von Revisionssicherheit entfernt.
Naja, etwas vereinfacht ausgedrückt hat die DSGVO schon was damit zu tun.
Sie besagt nämlich, dass Daten nur verarbeitet werden dürfen wenn entweder eine explizite Berechtigung oder Einwilligung besteht oder vom Gesetz gefordert wird (vereinfacht).
Das HGB und die AO sind die gesetzlichen Regelungen die eine Verarbeitung auch ohne explizite Einwilligung erlauben.
Je nach Art des Dokuments bzw. Schriftverkehrs reden wir da von irgendwas zwischen fünf und zehn Jahren. Allerdings nur für geschäftliche Inhalte. Sofern die Mitarbeiter auch private eMails schreiben oder erhalten müssen diese ausgenommen werden oder es braucht ein Einverständnis.
Nach diesen Fristen entfallen sowohl die Pflicht zur Aufbewahrung als auch die Berechtigung zur Verarbeitung nach DSGVO. Die kommt dann wieder ins Spiel und sagt, dass alles wozu eben keine explizite Berechtigung oder gesetzliche Verpflichtung besteht nicht verarbeitet werden darf. Somit sind die entsprechenden Daten dann auch zu löschen.
Manuel
Sie besagt nämlich, dass Daten nur verarbeitet werden dürfen wenn entweder eine explizite Berechtigung oder Einwilligung besteht oder vom Gesetz gefordert wird (vereinfacht).
Das HGB und die AO sind die gesetzlichen Regelungen die eine Verarbeitung auch ohne explizite Einwilligung erlauben.
Je nach Art des Dokuments bzw. Schriftverkehrs reden wir da von irgendwas zwischen fünf und zehn Jahren. Allerdings nur für geschäftliche Inhalte. Sofern die Mitarbeiter auch private eMails schreiben oder erhalten müssen diese ausgenommen werden oder es braucht ein Einverständnis.
Nach diesen Fristen entfallen sowohl die Pflicht zur Aufbewahrung als auch die Berechtigung zur Verarbeitung nach DSGVO. Die kommt dann wieder ins Spiel und sagt, dass alles wozu eben keine explizite Berechtigung oder gesetzliche Verpflichtung besteht nicht verarbeitet werden darf. Somit sind die entsprechenden Daten dann auch zu löschen.
Manuel
Moin,
sehe das wie manuel-r:
die AO/ GOBD geben die Aufbewahrungsfristen vor, die DSGVO Aufforderung, sich mit den Löschfristen und -techniken zu befassen.
Beide spielen also zusammen.
Nutzt Mailstore und arbeitet dort mit den Aufbewahrungsfristen:
Dann habt ihr ein revisionssicheres System und die Aufbewahrungs- /Löschfristen mit geregelt.
UND euer Exchange (egal ob Online oder OnPrem) bleibt schlank
Gruß
em-pie
sehe das wie manuel-r:
die AO/ GOBD geben die Aufbewahrungsfristen vor, die DSGVO Aufforderung, sich mit den Löschfristen und -techniken zu befassen.
Beide spielen also zusammen.
Nutzt Mailstore und arbeitet dort mit den Aufbewahrungsfristen:
Dann habt ihr ein revisionssicheres System und die Aufbewahrungs- /Löschfristen mit geregelt.
UND euer Exchange (egal ob Online oder OnPrem) bleibt schlank
Gruß
em-pie
Moin,
@fredmy
Das macht die durchaus, auch wenn die eigentlich DSGVO heisst
LG, Thomas
@fredmy
Die DSVGO sagt NIX zu Speicherfristen
Das macht die durchaus, auch wenn die eigentlich DSGVO heisst
LG, Thomas