E-Mail-Security

Sicher und rechtskonform kommunizieren

14.09.2009 von Christian Nowitzki
Die deutsche Gesetzeslage rund um E-Mail-Kommunikation und -Archivierung ist komplex. In Sachen IT-Unterstützung die richtige Wahl zu treffen ist dabei kein leichtes Unterfangen.

Vertrauliche Dokumente, Verträge, Angebote und Personendaten einfach, sicher und schnell per E-Mail versenden; rechtskonform über das Medium E-Mail kommunizieren - und das ebenso verbindlich und nachhaltig wie in Papierform; die E-Mail-Kommunikation beweiskräftig und gerichtsfest archivieren, um die Forderungen des Gesetzgebers zu erfüllen und weitere Vorteile daraus zu ziehen - das alles ohne Anwenderschulungen, voll automatisiert, transparent und berührungslos: Viele Unternehmen suchen nach einer Lösung, die all das garantiert.

Der daraus entstandene Hype rund um sichere E-Mail-Kommunikation entbehrt nicht seiner Grundlage, und selten ließ sich in einem Bereich so authentisch mit äußeren Zwängen argumentieren. Das heißt jedoch nicht, dass sich diese Authentizität zwangsläufig in den am Markt befindlichen Produkten oder in der Argumentation der Anbieter widerspiegelt. Auch gibt es bisher keinen Hersteller, der eine Gesamtlösung für sichere E-Mail-Kommunikation und -Archivierung anbietet.

Komplexe Gesetzeslage

Als problematisch erweist sich dabei insbesondere die deutsche Gesetzeslage: Sie definiert zum einen sehr genau, was zulässig und was gefordert ist. Andererseits lässt sie erheblichen Spielraum für Interpretationen, woraus Entscheidungen mit immer neuen Auslegungen resultieren. Auch die verschiedenen rechtlichen Fachdisziplinen sind sich nur selten darüber einig, was nun erlaubt oder verboten ist.

Beispiele sind hier die Abgabenordnung (AO) und die GDPdU (Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen), die eine Trennung der steuerrechtlich relevanten von den übrigen Daten fordern, deren Differenzierung jedoch dem Steuerprüfer vorbehalten bleibt. Gleichzeitig ist ein System als "vorgefiltert" abzulehnen, wenn maßgeblich steuerrechtlich relevante Daten aus dem Datenstamm ausgenommen sein könnten. Dabei ist der Begriff "steuerrechtlich relevant" nur ungenau definiert und liegt im Einzelfall im Ermessen des Finanzprüfers. Da E-Mails nach den Grundsätzen ordnungsgemäßer DV-gestützter Buchführungssysteme (GoBS) zudem als "originär digitale Daten" eingestuft und Formatumwandlungen ausgeschlossen werden, bleibt allein eine Lösung, die alle E-Mails nachweisbar im Original archiviert.

Hier beginnt der Streit zwischen den verschiedenen rechtlichen Fachdisziplinen. Schnell wird deutlich, dass verschiedene Klagegründe zu unterschiedlichen Ergebnissen führen. Ein Datenschutzbeauftragter beispielsweise wird nur ungern einer ungefilterten Lösung zustimmen, und auch das Verbot privater Kommunikation über das Mail-System des Unternehmens ist erfahrungsgemäß nur eine Teillösung.

Da das Datenschutzrecht nur eine Archivierung durch den einzelnen Mitarbeiter duldet, schützt auch ein Verbot der privaten Nutzung nicht vor unsachgemäßer Verwendung. Ein System, das ungefiltert archiviert und den Originäritätsnachweis durch eine Worm-Speicherung (Write once, read many) führt, kann in einem Streitfall die Löschung oder Zerstörung des Archivsystems nach sich ziehen.

Der Verlust von Kommunikationsdaten wiegt schwer - ein weit größeres Risiko ist jedoch der Verlust maßgeblich steuerrelevanter Daten und die damit einhergehende Gefahr einer steuerlichen Schätzung.

Rechtskonforme Kommunikation via Signatur

Rechtsverbindliche Kommunikation verlangt eine Signaturlösung. Die Qualität der Signatur spielt dabei eine entscheidende Rolle. Für den Rechnungsversand via E-Mail ist gemäß Paragraf 126 BGB zwingend eine qualifizierte Signatur erforderlich, die einer natürlichen Person zugeordnet ist und damit der eigenhändigen Unterschrift entspricht. Nur dann besteht eine Vorsteuerabzugsberechtigung (siehe USt-Gesetz, Paragraf 14 ff.).

Das Gleiche gilt für die rechtsverbindliche Kommunikation zwischen Geschäftspartnern. Hier geht es allerdings nur um die Signatur des betreffenden elektronischen Dokuments - die Art der Kommunikation spielt keine Rolle. Geschäftspartner können nun grundsätzlich bilateral Verträge schließen, die eine Übermittlung per Mail (verschlüsselt oder unchiffriert) oder über ein anderes Medium rechtsverbindlich macht. Dies kommt heutzutage häufig vor, da gegebenenfalls Gateway-Verschlüsselung oder fortgeschrittene Zertifikate zum Signieren verwendet werden. Der Einsatz einer qualifizierten Signatur macht es zumindest im europäischen Raum möglich, verbindliche Verträge elektronisch zu schließen, ohne dass ein entsprechendes Vertragswerk dazu existiert.

Für eine Archivierung hingegen ist prinzipiell keine Signatur erforderlich, da auch eine Speicherung auf Worm-Medien als Originäritätsnachweis zugelassen ist. In Sonderfällen, beispielsweise bei den kassenärztlichen Vereinigungen, sind jedoch bestimmte Signaturen vorgeschrieben. Dies ist in verschiedenen Gesetzen und Richtlinien individuell nach Datenart, Zweck und Berufsgruppe festgelegt.

Mit einer Signatur ist (fast) immer die Möglichkeit der Kryptografie und damit zur verschlüsselten Verständigung zwischen den Kommunikationspartnern gegeben. Häufig wird bei der qualifizierten Signatur zusätzlich ein fortgeschrittenes Zertifikat mitgeliefert, das sich für Verschlüsselungszwecke einsetzen lässt.

Elektronischer Rechnungsversand

Um den einzelnen Mitarbeiter nicht mit dieser Aufgabe zu belasten, gibt es sowohl Lösungen für den automatischen elektronischen Rechnungsversand (hier insbesondere Massensignaturlösungen) als auch für die sichere und rechtsverbindliche Kommunikation der einzelnen Mitarbeiter. Diese meist in Form eines Gateways umgesetzten Lösungen signieren und ver- oder entschlüsseln E-Mails direkt bei Aus- oder Eingang aus dem beziehungsweise in das Unternehmen. Grundsätzlich und gerade bei Rechnungen ist es auch möglich, die Signatur über ein Rechenzentrum einzukaufen. Denn entgegen landläufigen Darstellungen ist es nicht zwingend erforderlich, dass die Rechnung von demjenigen unterzeichnet wird, der sie ausgestellt hat.

Sichere E-Mail-Kommunikation. Quelle: CoDaCon

Wichtig: Für eine ungefilterte E-Mail-Archivierungslösung ist ein solches Gateways unbedingt erforderlich, da ansonsten verschlüsselte und damit weder indizierbare noch lesbare Kommunikationsdaten im Archivsystem abgelegt werden. Schwierig wird die Wahl eines geeigneten Systems allerdings dann, wenn zusätzlich zum Nachweis der Identität der Kommunikationspartner Daten das Unternehmen nur verschlüsselt verlassen dürfen - oder der Gesetzgeber dies sogar verlangt. So ist nicht unbedingt davon auszugehen, dass auch der Kommunikationspartner über eine Lösung verfügt, die ihm das Lesen oder Versenden verschlüsselter Informationen ermöglicht.

Hier haben sich Systeme bewährt, die den E-Mail-Anhang entweder automatisch und auf Passwort-Basis verschlüsseln oder - beim Gateway-Einsatz - zwar die gesamte Nachricht verschlüsseln, dem Kommunikationspartner aber die Möglichkeit geben, sie abzurufen. Zu diesem Zweck wird dem Empfänger entweder ein zwischengeschalteter Server angeboten, oder die Übertragung des Passworts erfolgt auf anderem Weg, etwa via SMS-Versand.

Schwierige Wahl

Für all diese Fälle hat der Gesetzgeber einen Rahmen geschaffen. Das Ineinandergreifen aller zu berücksichtigenden Gesetze und Forderungen sowie das eigene Unternehmensinteresse setzen bei der Wahl der einzusetzenden Systeme und deren Handhabung jedoch einen Überblick voraus, der so manchen Compliance-Manager überfordert. Auch (vermeintliche) Zertifikate sind kein verlässlicher Anhaltspunkt für die Zuverlässigkeit eines Systems. So verweist mancher Hersteller gar auf Zertifizierungen, die lediglich ihn selbst aus der Haftung holen, da er nach Treu und Glauben von einer Gesetzeskonformität seiner Lösung ausgehen muss.

Daher bleibt letztlich nur die Abnahme einer Lösung in ihrer jeweiligen Produktivumgebung, da das Unternehmen dann selbst wiederum davon ausgehen muss, allen Sorgfaltspflichten Genüge getan zu haben.

Quelle: Computerwoche