08.04.2010, 06:00 Uhr
Archivieren ja, Löschen nein?
E-Mail-Archivierung ist nicht nur aus rechtlichen Gründen ein brisantes Thema. Wie gehen Schweizer Unternehmen mit der Problematik um?
Dr. Gerhard Knolmayer ist Professor am Institut für Wirtschaftsinformatik der Universität Bern
Dr. Georg Disterer ist Professor an der Fakultät für Wirtschaft und Informatik der FH Hannover
Dr. Georg Disterer ist Professor an der Fakultät für Wirtschaft und Informatik der FH Hannover
Obwohl das E-Mail-Management zu den hochaktuellen Themen des IT-Managements zählt, existieren kaum Untersuchungen, die einen Einblick in tatsächlich praktizierte Vorgehensweisen vermitteln. Das Institut für Wirtschaftsinformatik der Universität Bern und die Fakultät für Wirtschaft und Informatik der FH Hannover haben in einer empirischen Studie untersucht, wie Schweizer und deutsche Grossunternehmen mit ihren E-Mails umgehen. Mehr als 800 Fragebögen wurden an Verwaltungsrats-Präsidenten bzw. Aufsichtsrats-vorsitzende versandt, 95 Fragebögen wurden beantwortet.
Zwar gaben fast 95 Prozent an, eine «E-Mail-Richtlinie» in schriftlicher Form zu kommunizieren; aber in weniger als der Hälfte der befragten Unternehmen müssen die Mitarbeitenden die Kenntnisnahme dieser Richtlinie schriftlich bestätigen und nur rund 60 Prozent gehen davon aus, dass diese Richtlinien weitgehend beachtet werden. In rund 45 Prozent der Unternehmen bestehen generelle Grundsätze zur Archivierung von E-Mails; in weiteren 24 Prozent gibt es derartige Regelungen für ausgewählte Bereiche oder Hierarchieebenen. Je nach Vorgehensweise sind damit verschiedene Probleme verbunden.
Problem 1: Private E-Mails
Die Archivierung privater E-Mails ist aus Datenschutzgründen problematisch. Wenn sich ein Unternehmen zur Archivierung entscheidet, könnte es zwar die private E-Mail-Nutzung verbieten oder beschränken. Gehen aber private E-Mails ein, können auch die Policy befolgenden Mitarbeitende dieser nicht gerecht werden. Derzeit verbieten nur rund ein Drittel der befragten Unternehmen die E-Mail-Nutzung für private Zwecke, aber rund 45 Prozent verlangen, dass Privatmails als solche gekennzeichnet sind oder betriebliche E-Mail-Adressen nicht in sozialen Netzwerken verwendet werden.
Rechtlich bedenklich ist die von rund 10 Prozent der Unternehmen praktizierte Vorgehensweise, Mitarbeitende auf die Archivierung auch privater E-Mails nur hinzuweisen. Nur knapp ein Drittel gibt an, als privat deklarierte oder erkannte E-Mails von der Archivierung auszuschliessen.
Problem 2: Verschlüsselte E-Mails
Bis heute scheinen sich keine «Good Practices» zur Archivierung verschlüsselter E-Mails herausgebildet zu haben. Einerseits soll der Vertraulichkeitscharakter erhalten bleiben, andererseits muss es möglich sein, auf verschlüsselt archivierte Inhalte auch nach langer Zeit und nach Ausscheiden der verschlüsselnden Mitarbeitenden zuzugreifen. Rund ein Drittel der archivierenden Unternehmen entschlüsseln die E-Mails vor dem Speichern. Etwa 45 Prozent archivieren die E-Mails in verschlüsselter Form, aber inklusive des zugehörigen Schlüssels. Nur rund 13 Prozent der Unternehmen gaben an, E-Mails in entschlüsselter Form für eine Volltextsuche zu indexieren. Die Verschlüsselung kann mit vom Unternehmen bereitgestellten oder «privaten», nur dem Mitarbeitenden bekannten Schlüsseln erfolgen; weniger als 10 Prozent der Unternehmen verhindern automatisch eine «End-to-End»-Verschlüsselung.
Problem 3: Spam
Spammails machen heute rund 90 Prozent des E-Mail-Verkehrs aus. Hochentwickelte Filter können verdächtige E-Mails ausfiltern. Diese Filter bieten aber keine hundertprozentige Trennschärfe. Es besteht die Gefahr, dass an das Unternehmen gerichtete E-Mails dieses gar nicht erreichen oder nicht wahrgenommen werden. Eine Archivierung aller spamverdächtigen E-Mails verbraucht aber viel Ressourcen bei Speicherung und Retrieval. Gleichwohl sind Situationen vorstellbar, in denen ein Zugriff auf (falsch) verdächtigte Mails erforderlich und nützlich sein kann. Unsere Umfrage zeigt, dass rund 10 Prozent der automatisch archivierenden Unternehmen auch die als verdächtig ausgefilterten E-Mails archivieren.
Problem 4: Löschzeitpunkt
Während allgemeine E-Mail-Policies weit verbreitet sind und auch Archivierungsrichtlinien in knapp der Hälfte der Unternehmen existieren, besitzen weniger als ein Drittel klare Vorgaben zur Löschung. Nur rund 10 Prozent dieser (wenigen) Unternehmen gaben an, dass archivierte E-Mails bereits gelöscht wurden.
Für verschiedene Inhalte existieren unterschiedliche Aufbewahrungsfristen, die sich (z.B. durch gerichtliche Nachforschungen; «litigation hold») auch verschieben können. 70 Prozent der Unternehmen mit Löschrichtlinien legen den Löschzeitpunkt bereits bei der Archivierung fest. Eine Inhaltsanalyse zur Bestimmung der Löschzeitpunkte nehmen davon nur 16 Prozent vor. Man könnte den Löschzeitpunkt unter Kosten-Nutzen-Gesichtspunkten betrachten und - um ungesetzliche Löschungen und zu hohen Aufwand beim Trennen löschbarer und anderer E-Mails zu vermeiden - eine eher zu späte Löschung ins Auge fassen. Allerdings verlangen Vorschriften zum Arbeitnehmer- und Datenschutz, dass personenbezogene Dokumente nach bestimmten Fristen oder Ereignissen gelöscht werden müssen. Aus dieser Perspektive erscheint eine «Jetzt archivieren wir erst mal, über Löschung denken wir später nach»-Politik nicht legitim.
Werden im Zuge gerichtlicher Auseinandersetzungen Dokumente in dezentralen Beständen aufgespürt, die im zentralen Archiv bereits gelöscht sind, kann der Verdacht entstehen, dass die Archivierung manipuliert wurde. Im Idealfall sollte also sichergestellt sein, dass auch dezentral vorgehaltene Versionen gelöscht werden. 50 Prozent der Unternehmen mit Löschrichtlinien gaben an, solche Koordinationsmassnahmen anzustreben; die systemtechnische Umsetzung dürfte allerdings nicht einfach sein.
Ausblick
Die intensive Diskussion um E-Mail-Archivierung hat zur Entwicklung zahlreicher Tools geführt, die IT-Abteilungen beim Records Management unterstützen sollen. Weniger Unterstützung gibt es hingegen bei der Formulierung geeigneter Policies und zur Implementierung entsprechender organisatorischer Massnahmen.
Dr. Gerhard Knolmayer, Dr. Georg Disterer