E-Mail Aufbewahrungsrichtlinien
Guten Morgen,
mein Chef hatte einen DSGVO Lehrgang was ja nichts schlimmes ist.
Nun kam seine Frage, sichern wir unsere E-Mail nach dem 10 Jahre Aufbewahrungsrichtlinien...
Natürlich nicht, da sich damit noch keiner beschäftigt hat.
Wir nutzen einen Exchange Server online und habe für alle Kollegen Microsoft 365.
Natürlich erstellen wir eine Tagessicherung eine Monat Sicherung und eine Jahressicherung.
Aber das ist ja nicht das geforderte, lückenlose Geschäftsmail-Aufbewarungsverfahren...
Gibt es überhaupt die Möglichkeit, innerhalb von Exchange, die Mailsicherung aller Konten für dieses Verfahren zu aktivieren und das ohne dritt Software ?
Hat jemand schon eine Anleitung oder Infomaterial wie man das Einrichtet ?
Ich bin für eure Hilfe sehr dankbar.
Viele Grüße
Michael
mein Chef hatte einen DSGVO Lehrgang was ja nichts schlimmes ist.
Nun kam seine Frage, sichern wir unsere E-Mail nach dem 10 Jahre Aufbewahrungsrichtlinien...
Natürlich nicht, da sich damit noch keiner beschäftigt hat.
Wir nutzen einen Exchange Server online und habe für alle Kollegen Microsoft 365.
Natürlich erstellen wir eine Tagessicherung eine Monat Sicherung und eine Jahressicherung.
Aber das ist ja nicht das geforderte, lückenlose Geschäftsmail-Aufbewarungsverfahren...
Gibt es überhaupt die Möglichkeit, innerhalb von Exchange, die Mailsicherung aller Konten für dieses Verfahren zu aktivieren und das ohne dritt Software ?
Hat jemand schon eine Anleitung oder Infomaterial wie man das Einrichtet ?
Ich bin für eure Hilfe sehr dankbar.
Viele Grüße
Michael
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 667003
Url: https://administrator.de/contentid/667003
Ausgedruckt am: 22.11.2024 um 10:11 Uhr
10 Kommentare
Neuester Kommentar
also Exchange wird das sicherlich können, aber normalerweise macht man die Retention im Backupsystem - mit Vollbackups.Wwas in einem solchen Szenario nicht bedacht wird, bzw. oft Lücken hat sind zwei,drei Stellen:
- bei uns hat (bzw hatte) z.B. der Mitarbeiter selber die Pflicht, seine Emails 10 Jahre lang auf dem Endgerät aufzubewahren. Unser (on prem) Exchange sichert nur die 1 GB großen Postfächer. Scheidet der aber aus, dann wird das Endgerät komplett gelöscht
- Mitarbeiter müssen schriftlich auf diese Speicherfrist hingewiesen werden. Das ist bis heute eine Grauzone, ich hab diese Diskussionen regelmäßig, aber jeder Kunde muß am Ende eine branchenspezifischen Lösung dafür finden. Tlw gelten da Aufbewahrungsfristen bis zu 50 Jahre
- Speicherort. Bei akteuller Gesetzeslage ist es illegal, persönliche oder geschäftliche Emails von Mitarbeitern außerhalb der EU zu speichern, da es kein wirksames Datenschutzabkommen mit den USA oder China gibt, somit ist eine Nutzung von O365 online nur dann statthaft, wenn sichergestellt ist, daß die dazu nötigen Serverresosurcen innerhalb der EU stehen. Auch Cross Cloud Backups bzw. Cross Tenant Backups müssen als Ziel in der EU liegen... große Unternehmen sichern ihre Daten in anderen Clouds, falls die eigene Umgebung gekapert wrid, hat man noch ein Backup außerhalb des Betreibers der Produktivsysteme. Und es laufen viele Attatcken gegen O365 Exchange Instanzen.
- bei uns hat (bzw hatte) z.B. der Mitarbeiter selber die Pflicht, seine Emails 10 Jahre lang auf dem Endgerät aufzubewahren. Unser (on prem) Exchange sichert nur die 1 GB großen Postfächer. Scheidet der aber aus, dann wird das Endgerät komplett gelöscht
- Mitarbeiter müssen schriftlich auf diese Speicherfrist hingewiesen werden. Das ist bis heute eine Grauzone, ich hab diese Diskussionen regelmäßig, aber jeder Kunde muß am Ende eine branchenspezifischen Lösung dafür finden. Tlw gelten da Aufbewahrungsfristen bis zu 50 Jahre
- Speicherort. Bei akteuller Gesetzeslage ist es illegal, persönliche oder geschäftliche Emails von Mitarbeitern außerhalb der EU zu speichern, da es kein wirksames Datenschutzabkommen mit den USA oder China gibt, somit ist eine Nutzung von O365 online nur dann statthaft, wenn sichergestellt ist, daß die dazu nötigen Serverresosurcen innerhalb der EU stehen. Auch Cross Cloud Backups bzw. Cross Tenant Backups müssen als Ziel in der EU liegen... große Unternehmen sichern ihre Daten in anderen Clouds, falls die eigene Umgebung gekapert wrid, hat man noch ein Backup außerhalb des Betreibers der Produktivsysteme. Und es laufen viele Attatcken gegen O365 Exchange Instanzen.
Moin,
ihr verwechselt da was, die Archivierungspflicht ist die GOBD und kommt nicht von der DSGVO.
Von der DSGVO darf das gar nicht kommen, weil je nach Compliance in der Firmen auch die Privatnutzung des Mailpostfachs erlaubt ist und man genau dann NICHT archivieren darf.
Dazu muss granular untersucht werden, was überhaupt archivierungspflichtig ist.
Backup-Jobs sind da übrigens außen vor, weil nicht revisionssicher, da die Mails in den Backups manipuliert werden können.
Looser hat mit Mailstore schon eine mögliche Variante aufgezeigt, ich mach das mit der UMA von Securepoint.
Exchange Online selber hat nur eine Archivierung, die nicht funktioniert.
VG
ihr verwechselt da was, die Archivierungspflicht ist die GOBD und kommt nicht von der DSGVO.
Von der DSGVO darf das gar nicht kommen, weil je nach Compliance in der Firmen auch die Privatnutzung des Mailpostfachs erlaubt ist und man genau dann NICHT archivieren darf.
Dazu muss granular untersucht werden, was überhaupt archivierungspflichtig ist.
Backup-Jobs sind da übrigens außen vor, weil nicht revisionssicher, da die Mails in den Backups manipuliert werden können.
Looser hat mit Mailstore schon eine mögliche Variante aufgezeigt, ich mach das mit der UMA von Securepoint.
Exchange Online selber hat nur eine Archivierung, die nicht funktioniert.
VG
Zitat von @Michael71:
Guten Morgen,
mein Chef hatte einen DSGVO Lehrgang was ja nichts schlimmes ist.
Nun kam seine Frage, sichern wir unsere E-Mail nach dem 10 Jahre Aufbewahrungsrichtlinien...
Guten Morgen,
mein Chef hatte einen DSGVO Lehrgang was ja nichts schlimmes ist.
Nun kam seine Frage, sichern wir unsere E-Mail nach dem 10 Jahre Aufbewahrungsrichtlinien...
Chefproblem das ist z.B. in der Abgabenordnung definiert (sollten gute Buchhalter wissen) und es geht dabei um "Geschäftsbriefe" .
Die DSVGO sagt NIX zu Speicherfristen, regelt "nur" Zugriffe
Aber das ist ja nicht das geforderte, lückenlose Geschäftsmail-Aufbewarungsverfahren...
Gibt es überhaupt die Möglichkeit, innerhalb von Exchange, die Mailsicherung aller Konten für dieses Verfahren zu aktivieren und das ohne dritt Software ?
Gibt es überhaupt die Möglichkeit, innerhalb von Exchange, die Mailsicherung aller Konten für dieses Verfahren zu aktivieren und das ohne dritt Software ?
Die Abgabenordnungsregelung gibts aber gefühlt schon ewig ( > 10 Jahre?) dazu gibts paar Anbieter.
Problematik: nicht Aufbewahren im Sinne von Backup sondern im Sinne von Dokumentenstatus - so daß nicht nachträglich veröändert werden kann bzw. Veränderungen nachverfolgbar sind (Löschen von privatem Mailtraffic im "Archiv" )
"Uraltes" Problem: Geschäftsmails/Privatnutzung usw.
Du mußt auch nicht alle Mailkonten aufbewahren (lassen) - siehe Abgabenordnung - erklät dir dein Boss/Buchhalter/Steuerberater....
l.g. Fred
Hallo,
im Endeffekt ist ein Journalpostfach das was du brauchst.
https://docs.microsoft.com/de-de/exchange/policy-and-compliance/journali ...
im Endeffekt ist ein Journalpostfach das was du brauchst.
https://docs.microsoft.com/de-de/exchange/policy-and-compliance/journali ...
Mit Journaling alleine bist du nur bei 50% und noch weit von Revisionssicherheit entfernt.
Naja, etwas vereinfacht ausgedrückt hat die DSGVO schon was damit zu tun.
Sie besagt nämlich, dass Daten nur verarbeitet werden dürfen wenn entweder eine explizite Berechtigung oder Einwilligung besteht oder vom Gesetz gefordert wird (vereinfacht).
Das HGB und die AO sind die gesetzlichen Regelungen die eine Verarbeitung auch ohne explizite Einwilligung erlauben.
Je nach Art des Dokuments bzw. Schriftverkehrs reden wir da von irgendwas zwischen fünf und zehn Jahren. Allerdings nur für geschäftliche Inhalte. Sofern die Mitarbeiter auch private eMails schreiben oder erhalten müssen diese ausgenommen werden oder es braucht ein Einverständnis.
Nach diesen Fristen entfallen sowohl die Pflicht zur Aufbewahrung als auch die Berechtigung zur Verarbeitung nach DSGVO. Die kommt dann wieder ins Spiel und sagt, dass alles wozu eben keine explizite Berechtigung oder gesetzliche Verpflichtung besteht nicht verarbeitet werden darf. Somit sind die entsprechenden Daten dann auch zu löschen.
Manuel
Sie besagt nämlich, dass Daten nur verarbeitet werden dürfen wenn entweder eine explizite Berechtigung oder Einwilligung besteht oder vom Gesetz gefordert wird (vereinfacht).
Das HGB und die AO sind die gesetzlichen Regelungen die eine Verarbeitung auch ohne explizite Einwilligung erlauben.
Je nach Art des Dokuments bzw. Schriftverkehrs reden wir da von irgendwas zwischen fünf und zehn Jahren. Allerdings nur für geschäftliche Inhalte. Sofern die Mitarbeiter auch private eMails schreiben oder erhalten müssen diese ausgenommen werden oder es braucht ein Einverständnis.
Nach diesen Fristen entfallen sowohl die Pflicht zur Aufbewahrung als auch die Berechtigung zur Verarbeitung nach DSGVO. Die kommt dann wieder ins Spiel und sagt, dass alles wozu eben keine explizite Berechtigung oder gesetzliche Verpflichtung besteht nicht verarbeitet werden darf. Somit sind die entsprechenden Daten dann auch zu löschen.
Manuel
Moin,
sehe das wie manuel-r:
die AO/ GOBD geben die Aufbewahrungsfristen vor, die DSGVO Aufforderung, sich mit den Löschfristen und -techniken zu befassen.
Beide spielen also zusammen.
Nutzt Mailstore und arbeitet dort mit den Aufbewahrungsfristen:
Dann habt ihr ein revisionssicheres System und die Aufbewahrungs- /Löschfristen mit geregelt.
UND euer Exchange (egal ob Online oder OnPrem) bleibt schlank
Gruß
em-pie
sehe das wie manuel-r:
die AO/ GOBD geben die Aufbewahrungsfristen vor, die DSGVO Aufforderung, sich mit den Löschfristen und -techniken zu befassen.
Beide spielen also zusammen.
Nutzt Mailstore und arbeitet dort mit den Aufbewahrungsfristen:
Dann habt ihr ein revisionssicheres System und die Aufbewahrungs- /Löschfristen mit geregelt.
UND euer Exchange (egal ob Online oder OnPrem) bleibt schlank
Gruß
em-pie
Moin,
@fredmy
Das macht die durchaus, auch wenn die eigentlich DSGVO heisst
LG, Thomas
@fredmy
Die DSVGO sagt NIX zu Speicherfristen
Das macht die durchaus, auch wenn die eigentlich DSGVO heisst
LG, Thomas