michael71
Goto Top

E-Mail Aufbewahrungsrichtlinien

Guten Morgen,

mein Chef hatte einen DSGVO Lehrgang was ja nichts schlimmes ist.

Nun kam seine Frage, sichern wir unsere E-Mail nach dem 10 Jahre Aufbewahrungsrichtlinien...

Natürlich nicht, da sich damit noch keiner beschäftigt hat.

Wir nutzen einen Exchange Server online und habe für alle Kollegen Microsoft 365.
Natürlich erstellen wir eine Tagessicherung eine Monat Sicherung und eine Jahressicherung.
Aber das ist ja nicht das geforderte, lückenlose Geschäftsmail-Aufbewarungsverfahren...

Gibt es überhaupt die Möglichkeit, innerhalb von Exchange, die Mailsicherung aller Konten für dieses Verfahren zu aktivieren und das ohne dritt Software ?
Hat jemand schon eine Anleitung oder Infomaterial wie man das Einrichtet ?

Ich bin für eure Hilfe sehr dankbar.

Viele Grüße

Michael

Content-ID: 667003

Url: https://administrator.de/contentid/667003

Ausgedruckt am: 22.11.2024 um 10:11 Uhr

GrueneSosseMitSpeck
GrueneSosseMitSpeck 23.05.2021 aktualisiert um 09:31:44 Uhr
Goto Top
also Exchange wird das sicherlich können, aber normalerweise macht man die Retention im Backupsystem - mit Vollbackups.Wwas in einem solchen Szenario nicht bedacht wird, bzw. oft Lücken hat sind zwei,drei Stellen:

- bei uns hat (bzw hatte) z.B. der Mitarbeiter selber die Pflicht, seine Emails 10 Jahre lang auf dem Endgerät aufzubewahren. Unser (on prem) Exchange sichert nur die 1 GB großen Postfächer. Scheidet der aber aus, dann wird das Endgerät komplett gelöscht

- Mitarbeiter müssen schriftlich auf diese Speicherfrist hingewiesen werden. Das ist bis heute eine Grauzone, ich hab diese Diskussionen regelmäßig, aber jeder Kunde muß am Ende eine branchenspezifischen Lösung dafür finden. Tlw gelten da Aufbewahrungsfristen bis zu 50 Jahre

- Speicherort. Bei akteuller Gesetzeslage ist es illegal, persönliche oder geschäftliche Emails von Mitarbeitern außerhalb der EU zu speichern, da es kein wirksames Datenschutzabkommen mit den USA oder China gibt, somit ist eine Nutzung von O365 online nur dann statthaft, wenn sichergestellt ist, daß die dazu nötigen Serverresosurcen innerhalb der EU stehen. Auch Cross Cloud Backups bzw. Cross Tenant Backups müssen als Ziel in der EU liegen... große Unternehmen sichern ihre Daten in anderen Clouds, falls die eigene Umgebung gekapert wrid, hat man noch ein Backup außerhalb des Betreibers der Produktivsysteme. Und es laufen viele Attatcken gegen O365 Exchange Instanzen.
Michael71
Michael71 23.05.2021 um 10:13:51 Uhr
Goto Top
Ja da gebe ich dir natürlich recht.
Wir haben eine regionale Speicherung das bedeutet wir haben einen Microsoftvertrag der uns eine Sicherung und Spiegelung der Microsoft Accounts innerhalb von Europa garantiert.
Die Daten bleiben in Deutschland und den Niederlanden.

Auch der Aspekt der Mitarbeiter den du erwähnst ist ein wichtiger Punkt alle Mitarbeiter wurden darüber belehrt, dass die Daten gespeichert werden...

Nur wie und wo stelle ich diese Archivierung in Exchange ein ?
Looser27
Lösung Looser27 23.05.2021 um 10:44:30 Uhr
Goto Top
Der wahrscheinlich beste und sicherste Weg ist eine Lösung wie z.B. Mailstore. Damit kannst Du die Anforderungen an die DSGVO erfüllen ohne den Mailserver anfassen zu müssen.

Gruß Looser
chgorges
Lösung chgorges 23.05.2021 aktualisiert um 11:11:45 Uhr
Goto Top
Moin,

ihr verwechselt da was, die Archivierungspflicht ist die GOBD und kommt nicht von der DSGVO.

Von der DSGVO darf das gar nicht kommen, weil je nach Compliance in der Firmen auch die Privatnutzung des Mailpostfachs erlaubt ist und man genau dann NICHT archivieren darf.

Dazu muss granular untersucht werden, was überhaupt archivierungspflichtig ist.

Backup-Jobs sind da übrigens außen vor, weil nicht revisionssicher, da die Mails in den Backups manipuliert werden können.

Looser hat mit Mailstore schon eine mögliche Variante aufgezeigt, ich mach das mit der UMA von Securepoint.

Exchange Online selber hat nur eine Archivierung, die nicht funktioniert.

VG
fredmy
Lösung fredmy 23.05.2021 aktualisiert um 11:21:49 Uhr
Goto Top
Zitat von @Michael71:

Guten Morgen,

mein Chef hatte einen DSGVO Lehrgang was ja nichts schlimmes ist.

Nun kam seine Frage, sichern wir unsere E-Mail nach dem 10 Jahre Aufbewahrungsrichtlinien...


Chefproblem face-smile das ist z.B. in der Abgabenordnung definiert (sollten gute Buchhalter wissen) und es geht dabei um "Geschäftsbriefe" .
Die DSVGO sagt NIX zu Speicherfristen, regelt "nur" Zugriffe


Aber das ist ja nicht das geforderte, lückenlose Geschäftsmail-Aufbewarungsverfahren...

Gibt es überhaupt die Möglichkeit, innerhalb von Exchange, die Mailsicherung aller Konten für dieses Verfahren zu aktivieren und das ohne dritt Software ?

Die Abgabenordnungsregelung gibts aber gefühlt schon ewig ( > 10 Jahre?) dazu gibts paar Anbieter.
Problematik: nicht Aufbewahren im Sinne von Backup sondern im Sinne von Dokumentenstatus - so daß nicht nachträglich veröändert werden kann bzw. Veränderungen nachverfolgbar sind (Löschen von privatem Mailtraffic im "Archiv" )
"Uraltes" Problem: Geschäftsmails/Privatnutzung usw.
Du mußt auch nicht alle Mailkonten aufbewahren (lassen) - siehe Abgabenordnung - erklät dir dein Boss/Buchhalter/Steuerberater....


l.g. Fred
wiesi200
Lösung wiesi200 23.05.2021 um 11:28:23 Uhr
Goto Top
Hallo,

im Endeffekt ist ein Journalpostfach das was du brauchst.
https://docs.microsoft.com/de-de/exchange/policy-and-compliance/journali ...
chgorges
Lösung chgorges 23.05.2021 um 11:37:54 Uhr
Goto Top
Zitat von @wiesi200:

Hallo,

im Endeffekt ist ein Journalpostfach das was du brauchst.

Mit Journaling alleine bist du nur bei 50% und noch weit von Revisionssicherheit entfernt.
manuel-r
Lösung manuel-r 23.05.2021 um 11:53:58 Uhr
Goto Top
Naja, etwas vereinfacht ausgedrückt hat die DSGVO schon was damit zu tun.
Sie besagt nämlich, dass Daten nur verarbeitet werden dürfen wenn entweder eine explizite Berechtigung oder Einwilligung besteht oder vom Gesetz gefordert wird (vereinfacht).
Das HGB und die AO sind die gesetzlichen Regelungen die eine Verarbeitung auch ohne explizite Einwilligung erlauben.
Je nach Art des Dokuments bzw. Schriftverkehrs reden wir da von irgendwas zwischen fünf und zehn Jahren. Allerdings nur für geschäftliche Inhalte. Sofern die Mitarbeiter auch private eMails schreiben oder erhalten müssen diese ausgenommen werden oder es braucht ein Einverständnis.

Nach diesen Fristen entfallen sowohl die Pflicht zur Aufbewahrung als auch die Berechtigung zur Verarbeitung nach DSGVO. Die kommt dann wieder ins Spiel und sagt, dass alles wozu eben keine explizite Berechtigung oder gesetzliche Verpflichtung besteht nicht verarbeitet werden darf. Somit sind die entsprechenden Daten dann auch zu löschen.

Manuel
em-pie
Lösung em-pie 23.05.2021 um 12:46:54 Uhr
Goto Top
Moin,

sehe das wie manuel-r:
die AO/ GOBD geben die Aufbewahrungsfristen vor, die DSGVO Aufforderung, sich mit den Löschfristen und -techniken zu befassen.
Beide spielen also zusammen.

Nutzt Mailstore und arbeitet dort mit den Aufbewahrungsfristen:
Dann habt ihr ein revisionssicheres System und die Aufbewahrungs- /Löschfristen mit geregelt.
UND euer Exchange (egal ob Online oder OnPrem) bleibt schlank face-smile

Gruß
em-pie
keine-ahnung
keine-ahnung 23.05.2021 aktualisiert um 20:08:38 Uhr
Goto Top
Moin,

@fredmy

Die DSVGO sagt NIX zu Speicherfristen

Das macht die durchaus, auch wenn die eigentlich DSGVO heisst face-wink

LG, Thomas