Um GOBD-konform zu archivieren, müssen eine Reihe an Voraussetzungen geschaffen sein. Vor allem steuerrelevante Dokumente, die per E-Mail eingehen, müssen laut GoBD elektronisch archiviert werden. Unser Beitrag erklärt, wie dies Anforderungen mit Exchange Online und Microsoft 365 Boardmitteln erfüllt werden können.
Hinweis: Die Informationen in diesem Blogartikel dienen lediglich Informationszwecken und stellen keine Rechtsberatung dar.
Um GOBD-konform zu archivieren, müssen eine Reihe an Voraussetzungen geschaffen sein. Einen Überblick dazu gibt https://www.dr-datenschutz.de/vorgaben-fuer-die-e-mail-archivierung/
Hier interessieren uns vor allem Geschäftsbriefe, die per E-Mail eingehen. Diese müssen laut GoBD archiviert werden.
Unveränderbarkeit
Die E-Mails müssen unverändert aufbewahrt werden
Originalzustand
Die E-Mails müssen im Originalformat vorliegen. Ein Ausdruck ist somit nicht zulässig. Wenn der Geschäftsbrief in einem Anhang abgelegt ist und die Mail nur ein Umschlag ist, reicht es die PDF aufzubewahren
Volltextsuche
Alle Geschäftsbriefe müssen im Volltext durchsuchbar sein
Verfahrensbeschreibung
Das Verfahren, welches die o.g. Bedingungen sicherstellt, muss in einer Verfahrensbeschreibung dokumentiert sein. Das Verfahren kann technisch unterstützt sein (je mehr, desto weniger organisatorische Regeln sind nötig), muss es aber nicht. Theoretisch könnte es also auch ganz ohne jegliche Konfiguration gehen, ist aber sehr in keinem sinnvollen Aufwand/Nutzen Verhältnis
Die o.g. Anforderungen sind im Exchange Online recht einfach zu erfüllen. Man kann einfach in allen Postfächern das Löschen unterbinden. Wäre da nicht der Datenschutz! Personenbezogene Daten dürfen nicht länger als nötig aufbewahrt werden und müssen anschließend gelöscht werden. Wenn wir allerdings das Löschen unterbinden, kann dies nicht geschehen. Es muss also immer auch die Möglichkeit geben, E-Mails nicht zu archivieren. Diese technische Lücke ist meist organisatorisch zu schließen.
Unbedingt beachten sollte man im Rahmen des Datenschutzes, die Privatnutzung des dienstlichen E-Mailpostfachs zu verbieten. Sonst geht man ungeahnte Risiken beim Arbeitnehmerdatenschutz ein.
Retention Policies sind eine Möglichkeit, Daten im M365 entweder automatisch nach einem Zeitraum löschen zu lassen oder ein Löschen für einen Zeitraum zu unterbinden. Auch ein Kombination aus beiden ist machbar.
Grundlegend ist zwischen Retention Policies und Retenion Labels (inkl. Label Policies) zu unterscheiden.
Retention Policies werden global auf ganze Postfächer angewendet, während Labels dazu dienen, dass entweder Nutzer selbst E-Mails klassifizieren oder das mithilfe von Label Policies automatisiert klassifiziert wird. Der Unterschied ist hier zu sehen:
Beide Arten werden im M365 Compliance Center angelegt und können nicht nur im Exchange Online sondern auch im SharePoint und im OneDrive wirken.
Wichtig ist zu betonen, dass Retention Policies durch den Nutzer nicht entfernt werden können. Sobald ein Postfach dieser Richtlinie unterliegt, kann der Nutzer mithilfe von Policy Labels die Aufbewahrungszeiten maximal verlängern, nicht jedoch verkürzen. Im Sinne der GoBD sehr sinnvoll. Im Rahmen der DSGVO eventuell ein Problem. Es ist weiterhin möglich, auch den Administratoren das Entfernen der Policy zu verbieten. Das Stichwort heißt hier Preservation Lock: https://docs.microsoft.com/en-us/microsoft-365/compliance/retention-preservation-lock?view=o365-worldwide
Policy Labels dagegen, kann der Nutzer jederzeit beliebig setzen und auch wieder entfernen. Im Sinne der GoBD nicht optimal. Im Rahmen der DSGVO aber sehr hilfreich.
Im Gegensatz zu üblichen Archivierungssystemen wird keine unveränderliche E-Mailkopie in einem Archivbereich angelegt. Es gibt zwar eine Standardretention-Policy, die E-Mails automatisch vom Hauptpostfach in das Archivpostfach verschiebt, aber dies ist keine Archivierung im Sinne der GoBD, da damit keine Unveränderlichkeit gewährleistet wird. Diese wird erst durch eine manuell angelegte Policy gewährleistet.
Diese Policy sorgt dann dafür, dass E-Mails, die im Papierkorb landen und von dort ebenfalls (manuell) gelöscht werden, in s.g. Recoverable Items Folder aufbewahrt werden. Erst nach Ablauf der Aufbewahrungsfrist, wird die Mail dann tatsächlich gelöscht (Pfad 1)
Der Recoverable Items Folder hat eine eigene Speicher-Quota. Mit der Buchung eines Archivierungsplans, wird diese Quota auf 100GB erhöht.
Quellen:
Im Tenant muss eine Lizenz aktiviert sein, welche E-Mailarchivierung erlaubt. Dazu zählen z.B. M365 Business Premium oder Exchange Online Plan2.
“Microsoft 365 E5/A5/E3/A3/Business Premium, Office 365 E5/A5/E3/A3, Exchange Plan 2, and Exchange Online Archiving provide the rights for a user to benefit from a basic organization-wide or location-wide mailbox retention policy and/or to manually apply a non-record retention labeling to mailbox data.”3
Damit wird zum einen die Funktion der Retention Plocies aktiviert, als auch die Storage-Quota für den Recoverable Items Folder auf 100 GB erhöht. Außerdem wird ein Online Archiv nutzbar, das vor dazu dient, den Speicherplatz der Mailbox zu entlasten.
Für den Zugriff auf archivierte Mails wird standardmäßig einfach das Outlook der Nutzer genutzt. Solange die E-Mails nicht gelöscht werden, finden die Nutzer diese per Suche. Sollte der Verdacht bestehen, dass E-Mails auch aus dem Papierkorb gelöscht wurden, wird der Weg über das eDiscovery im Compliance Center gewählt.
Dies kann auch sinnvoll sein, wenn eine Steuerprüfung alle Mails zu diversen Vorgängen benötigt und man über mehrere Postfächer recherchieren muss.
Auf den ersten Blick scheinen Policy Tags eine gute Lösung zu sein. Wir können das Löschen von E-Mails unterbinden. Diese Tags können auch auf Ordnern wirken. Leider gibt es keine Möglichkeit diese Tags „festzuschreiben“. Jeder Nutzer kann also jederzeit Tags entfernen und verändern. Damit gibt es kaum einen Mehrwert gegenüber einer einfache Anweisung, dass E-Mails nicht gelöscht werden dürfen. Das ist mit entsprechenden Verfahrensanweisung denkbar aber die Nutzung der Tags bietet hier praktisch kaum Vorteile.
Daher bleibt die Nutzung von Retention Policies. Hier haben wir die Herausforderung, dass personenbezogene Daten nicht mehr aus den Postfächern gelöscht werden können. Daher ist als erstes die private Nutzung von dienstlichen Postfächern zu untersagen. Damit umgeht man ein Großteil der Probleme. Es gibt jedoch noch zwei weitere Stellen, an denen evtl. personenbezogene (Mitarbeiter)-Daten entstehen.
Für diese Anwendungsfälle richten wir also separaten Postfächer ein, auf denen andere Aufbewahrungsrichtlinien gelten. In den Verfahrensanweisung wird entsprechen geregelt, dass z.B. Krankmeldungen ausschließlich an ein solches Postfach zu senden ist. In den Stellenausschreibungen und auf der Website wird das entsprechende Postfach verwiesen.
Zusammenfassend könnte der Aufbau also folgendermaßen aussehen.
Erhalten Sie max. einmal im Monat Neuigkeiten zu aktuellen IT-Themen aus den Bereichen IT-Betrieb und Zusammenarbeit in der Cloud.
Haben Sie Anregungen zum Blog oder Wünsche für Themen? Dann senden Sie uns Ihr Feedback an
redaktion@intraconnect.de.