E-Mail-Archivierung:
nicht mehr optional.

Ein Postfach-Backup reicht nicht mehr

In den meisten italienischen KMU wird Geschäfts-E-Mail auf eine von drei Arten «aufbewahrt»: Sie bleibt im Postfach jedes Benutzers, sie wird als Teil eines Microsoft-365- oder Google-Workspace-Tenant-Backups gesichert, oder sie wird gelegentlich in PST-Dateien auf einem NAS exportiert. Keine dieser drei Methoden erfüllt die rechtlichen Aufbewahrungsanforderungen der italienischen und europäischen Regulierung.

Die Unterscheidung zwischen Backup und Archivierungist keine semantische Spielerei. Backup dient der Wiederherstellung von Daten nach einem Vorfall; Archivierung dient dem Nachweis, dass ein Dokument in einer bestimmten Form zu einem bestimmten Datum existierte. Es sind zwei Werkzeuge mit unterschiedlichen Zielen, die unterschiedliche Fragen beantworten: Backup beantwortet «Kann ich wiederherstellen?», Archivierung beantwortet «Kann ich es nachweisen?». Viele Vorschriften verlangen beides.

Was das Gesetz verlangt

Artikel 2220 des italienischen Codice Civile schreibt die Aufbewahrung von Buchführungsunterlagen für zehn Jahre vor. E-Mails, die Bestellungen, Bestätigungen, Zahlungen oder per PEC angehängte bzw. übermittelte Rechnungen dokumentieren, zählen zu den Buchführungsunterlagen. Die Zehn-Jahres-Frist ist keine Best Practice: sie ist eine zivilrechtliche Pflicht.

Zum Codice Civile kommen hinzu:

• Italienischer Codice dell'Amministrazione Digitale (CAD), Artikel 43— legt die Anforderungen an die rechtskonforme Aufbewahrung elektronischer Dokumente fest und gilt für jede Kommunikation mit Beweiswert.
• Elektronische Rechnungsstellung über das SdI-System— fügt eine weitere Pflicht zur rechtskonformen Aufbewahrung mit technischen Anforderungen hinzu, die von der italienischen Steuerbehörde definiert werden und sich auch auf Begleit-E-Mails zu Rechnungen erstrecken.
• Verordnung (EU) 2016/679 (DSGVO)— verlangt eine dokumentierte Rechtsgrundlage für die verlängerte Aufbewahrung personenbezogener Daten in geschäftlichen Kommunikationen und eine Zugriffskontrolle, die nachweisen kann, wer was gesehen hat.
• Richtlinie (EU) 2022/2555 (NIS2)— für Organisationen im Anwendungsbereich verlangt sie die Aufbewahrung von Logs und Beweisen zur Unterstützung des Incident Managements und der Meldungen an die zuständige Behörde.
• Italienische PEC (Certified Email)— hat den gleichen rechtlichen Stellenwert wie ein Einschreiben mit Rückschein. Annahmebestätigung und Zustellbestätigung sind rechtlich relevante Beweismittel: Sie müssen in einem geeigneten Container aufbewahrt werden, sonst geht ihre Beweiskraft verloren.

Was ein rechtskonformes E-Mail-Archiv leisten muss

Ein E-Mail-Archiv, das in einem Rechtsstreit, einem NIS2-Audit oder einer Inspektion der italienischen Datenschutzbehörde Bestand hat, hat sehr konkrete Eigenschaften, die sich deutlich von denen eines einfachen Backups unterscheiden:

• 1Unveränderlichkeit— einmal geschrieben, kann eine E-Mail vor Ablauf der Aufbewahrungsrichtlinie weder verändert noch gelöscht werden. Selbst ein Systemadministrator mit vollen Rechten darf das Archiv nicht verändern können.
• 2Digitale Signatur mit qualifiziertem Zeitstempel nach RFC 3161— jede E-Mail erhält einen Zeitstempel, der von einer externen Zertifizierungsstelle ausgestellt wird. Die Integrität kann unabhängig vom Archiv selbst überprüft werden, eine zentrale Voraussetzung, um eine Nachricht als Beweismittel vor Gericht vorlegen zu können.
• 3Legal Hold— die Möglichkeit, ein Set von E-Mails selektiv für Rechtsstreitigkeiten oder Inspektionen zu sperren und die Löschung auch dann zu verhindern, wenn die reguläre Aufbewahrung abgelaufen ist.
• 4Volltext-eDiscovery— Durchsuchen des gesamten Inhalts von Nachrichten und Anhängen über Millionen von E-Mails, mit Antwortzeiten, die den Anforderungen eines gerichtlich bestellten Sachverständigen oder eines Prüfers genügen.
• 5Dedizierter Datenschutzbeauftragter— eine Rolle getrennt vom Systemadministrator, autorisiert, den Zugriff auf sensible Daten zu kontrollieren und zeitlich begrenzte Genehmigungen zu erteilen. Auch Admins müssen um Erlaubnis bitten, um das Archiv einzusehen, und jede Einsichtnahme wird protokolliert.
• 6PEC-Kompatibilität— das Archiv muss die Rechtsgültigkeit der Annahmebestätigung, der Zustellbestätigung und des Transportumschlags über einen dedizierten IMAP-Konnektor bewahren, der die Metadaten unverändert lässt.

Der ATWS Email-Archiving-Dienst

Um diese Anforderungen zu erfüllen, bietet AtWorkStudio E-Mail-Archivierung, einen rechtskonformen E-Mail-Archivierungsdienst, kompatibel mit Microsoft 365, On-Premise-Exchange, Google Workspace, Zimbra und jedem anderen Mail-Server via SMTP oder IMAP. Mit nativer Unterstützung für italienische PEC, digitaler Signatur mit RFC-3161-Zeitstempel und AES-256-Verschlüsselung. Verfügbar als verwalteter Cloud-Dienst mit Daten in der EU oder On-Premise im Rechenzentrum des Kunden.

AtWorkStudio ist seit 2000 von Piacenza aus tätig. Wir sind zertifiziert nach ISO/IEC 27001, 27017, 27018 und ISO 9001 und verfügen über eine ACN-Qualifizierung für Cloud-Dienste. Wir sind Mitglied bei Clusit (italienischer Verband für Informationssicherheit) und Confindustria Piacenza (RICT-Cluster). Wir konzipieren und betreiben Archivierungsdienste als Komponenten einer umfassenderen Compliance-Architektur, abgestimmt auf die Anforderungen von DSGVO, NIS2 und ISO 27001.