E-Mail-Server von 1und1 (Ionos) und HostEurope nicht gesetzeskonform einsetzbar (GoBD)

Vorwort: Nachdem ein Kundenauftrag zum Umsetzen der gesetzlich für deutsche Unternehmen ausnahmslos vorgeschriebenen unternehmensweiten E-Mail-Archivierung an technischen Einschränkungen bei deren Hostingprovider scheiterte, greife ich das Thema hier in unserem IT Blog auf. Im vorliegenden Fall diese Woche ging es um HostEurope, einen ansonsten sehr zuverlässigen Massenhoster, durch den auch wir selbst beispielsweise viele Domains konnektiert haben. Unsere Mailserver betreiben wir dagegen selber, daher ist mir diese technisch doch sehr gravierende Einschränkung bisher nicht aufgefallen.

Im Verlauf eines anderen Telefonats mit dem 1und1 Support wegen einer anderen Sache griff ich dieses Thema auf und mir wurde auch seitens dieses Massenhosters bestätigt, dass es dort nicht anders ist. Es ist wohl davon auszugehen, dass dieses Thema die meisten großen Anbieter von günstigen E-Mail-Servern betrifft, also nicht nur die genannten HostEurope und 1und1.

Zur unmissverständlichen Rechtspflicht

Das formuliere ich so eingangs deutlich, weil ich E-Mail-Archivierung im Vertrieb bestimmt seit mindestens zehn Jahren ganz aktiv anspreche. Häufig werde ich konfroniert mit der Aussage, die Pflicht zur Archivierung treffe das Unternehmen meines Kunden nicht, weil… und da kann ich selbst als Vertriebler guten Gewissens unterbrechen und sagen: „Nehmen Sie es mir nicht übel wenn ich Sie unterbreche. Diese sinnlose Diskussion können Sie mit Ihrem Anwalt führen, aber nicht mit mir. Ich nehme gerne 185,- € netto die Stunde und berate Sie. Aber nicht in Fragen, die schon hundert Mal offiziell bestätigt und rechtsverbindlich sowie ausnahmslos festgestellt wurden.“

Von einschlägigen Vorschriften wie

• den Vorgaben zur Führung der Handelsbücher (§ 239 HGB),
• den Ordnungsvorschriften für die Buchführung und für Aufzeichnungen (§ 146 AO),
• Normen aus der Abgabenordnung (AO) und
• dem Umsatzsteuergesetz (UStG)

einmal ganz abgesehen, hat das Bundesfinanzministerium schon vor fast fünf Jahren für alle rechtlich und IT-technisch nicht so bewanderten Kollegen unter uns eindeutig festgestellt:

Alle relevanten E-Mails und deren Dateianhänge müssen vollständig, manipulationssicher und jederzeit verfügbar aufbewahrt werden müssen. Weiterhin müssen die Daten maschinell auswertbar sein.

https://www.bundesfinanzministerium.de/Content/DE/Downloads/BMF_Schreiben/Weitere_Steuerthemen/Abgabenordnung/Datenzugriff_GDPdU/2014-11-14-GoBD.pdf?__blob=publicationFile&v=1 Schreiben vom 14.11.2014

Die rechtlichen Anforderungen

Darauf, wie eine E-Mail-Archivierung nun genau funktioniert, möchte ich an dieser Stelle nicht eingehen. Wichtig zu wissen ist aber, was das Technologiekonzept dahinter alles gewährleisten muss, um allen rechtlichen Anforderungen gerecht zu werden.

Im Wesentlichen sind das:

1. Vollständigkeit: Es muss sichergestellt sein, dass ausnahmslos alle ein- und ausgehenden E-Mails im Archiv landen. Auch wenn ein Benutzer eine Nachricht löscht, muss diese im Archiv verbleiben. Selbst eine vom Handy verschickte Nachricht muss im Archiv landen.
2. Originalgetreue Archivierung: Eine Wiederherstellung ohne Informationsverlust muss jederzeit möglich sein.
3. Manipulationssicherheit: Mittels Hashwerten, Verschlüsselung und digitalen Signaturen wird die Echtheit der Archivdateien gewährleistet (das vergessen viele immer wenn sie der Meinung sind, Outlook würde doch archivieren. Nein, tut Outlook nicht, auch wenn das da so steht. Outlook verschiebt einfach nur die Mail in einen Ordner namens „Archiv“. Das Outlook Archiv ist den Speicherplatz nicht wert, den es auf der Festplatte belegt).
4. Aufbewahrungsrichtlinien: Spätestens mit Einführung der DSGVO sollte jedem Geschäftstreibenden klar sein, dass man nicht blind alles zehn (bzw. eigentlich elf) Jahre aufbewahren kann. Denken Sie an Bewerbungen, die per E-Mail eingesendet wurden und abgelehnt wurden, Nachrichten an den BR oder Datenschutzanfragen.
5. Unlöschbarkeit des Archivs: auch der Administrator darf keine Archiv-Inhalte löschen („legal hold“) oder falls doch, muss dies in einem auditierungsfähigen Protokoll vermerkt sein.
6. Datenzugriff: Ein Autitor oder externer Prüfer muss im Bedarfsfall Zugriff auf alle Archive erhalten können. Im Falle einer Betriebsprüfung muss es möglich sein, alle E-Mails im Standardformat nach RFC822/RFC2822 aus dem Archiv heraus zu exportieren und zu übermitteln.

Diese Anfoderungen an die E-Mail-Archivierungslösung zu kennen ist essentiell wichtig um verstehen zu können, wie die einzige rechtlich verbindlich mögliche Umsetzung aussehen kann.

Technische Umsetzung der rechtlichen Anforderungen

In diesem Artikel unter der Überschrift, dass große E-Mail-Provider keine rechtssicher einsetzbaren E-Mail-Server anbieten, kommt es auf den erstgenannten Punkt an:

Es muss sichergestellt sein, dass ausnahmslos alle ein- und ausgehenden E-Mails im Archiv landen. Auch wenn ein Benutzer eine Nachricht löscht, muss diese im Archiv verbleiben.

Das impliziert, dass die E-Mail-Archivierung schon irgendwie direkt auf dem Mailserver passieren muss, oder in jedem Fall zumindest bevor der Benutzer irgend etwas an der E-Mail machen kann.

• Völlig unsinnig wäre also jede Software, die sich z. B. in Outlook reinhängt (sogenanntes „Plug-In“) und von dort E-Mails archiviert. Würde der Benutzer das Plug-In deaktivieren, wäre die Archivierung einzelner Nachrichten außer Kraft gesetzt und damit unweigerlich das gesamte System manipuliert (und somit unwirksam).
• Verschiedene Ansätze in der Vergangenheit gingen davon aus, einen sogenannten E-Mail-Proxyserver zwischen Mailserver und Outlook einzuhängen, der alles filtert. Die Idee ist nicht schlecht, aber in der heutigen Zeit wo fast jeder auch am Mobiltelefon E-Mails verschickt, ist das genau so sinnlos. Das Handy schickt über das Mobilfunknetz an den bekannten Mailserver und nutzt den Proxyserver nicht. Also bekommt der auch keine Nachrichten mit und demzufolge werden diese auch in diesem Fall nicht archiviert.
• Die Archivierung direkt auf dem Mailserver, aber aus der Benutzermailbox heraus, wurde mir von verschiedenen Hostern empfohlen, bei denen ich angefragt habe. Das ist völlig idiotisch, denn wenn der Benutzer sein Passwort ändert funktioniert die Archivierung nicht mehr. Möchte ich also eine E-Mail verschicken, die nicht im Archiv landen soll, ändere ich mein persönliches E-Mail-Passwort, schicke die Nachricht, und ändere mein Passwort wieder zurück. Die Nachricht fehlt 100% sicher im Archiv.
• Einen Versuch haben wir noch, weil’s so schön ist: Archivierung über Master-Benutzer, die Zugriff auf alle Benutzerpostfächer haben. Bei Passwortwechsel funktioniert die E-Mail-Archivierung in diesem Fall weiterhin. Es erscheint dennoch als noch sinnfreier, denn dies würde turnusmäßig alle Mailboxen aller Benutzer hintereinander abrufen. Realistisch kann man etwa alle drei bis fünf Minuten einen Abruf starten, der dann je nach Menge der Benutzer sowie Größe der Mailboxen ein paar Minuten dauert. Es wird also eine Momentaufnahme von einer Sekunde archiviert (eigenes Postfach) und anschließend erfolgt mehrere Miniten keine Archivierung (während der Server die anderen Postfächer archiviert). Alles, was in dieser Zeit gelöscht wird, fehlt im Archiv. Geht also auch nicht.

Zurück zum einleitenden Satz: Die E-Mail-Archivierung muss schon davor passieren. Bevor die Nachricht in das Postfach gelegt wird, bevor eine Nachricht das Unternehmen verlässt.

Und ja, dazu gibt es schon lange technische Möglichkeiten. Das ist alles nicht neu. Auch hier haue ich jetzt echt etwas drauf, denn mich langweilen diese unqualifizierten Aussagen großer Anbieter. Egal, wo ich anfrage, irgendwie bin ich angeblich immer der erste, der jemals nach so etwas gefragt hat. Ey, sorry, Leute.

Microsoft Exchange Server 5.5. konnte schon E-Mail-Archivierung aktivieren und mit Exchange 2000 Server war das dann sogar schon eine vorab aktivierte Standardfunktion. Um das mal klar zum Ausdruck zu bringen, das war im August 1998. Wir reden hier also nicht von hochmoderner oder gar neumodischer Technik, sondern von Grundlagen der allerersten E-Mail-Server, die es vor über zwanzig Jahren flächendeckend in Unternehmen gab.

https://docs.microsoft.com/de-de/exchange/new-features/build-numbers-and-release-dates?view=exchserver-2019 https://www.msxfaq.de/exchange/admin/journal.htm#journalfunktionen

Die beiden gängigen Methoden, die wir heute verwenden, sind

(1) Journal-Funktion: alle ein- und ausgehenden Nachrichten werden vom Mailserver, bevor sie in die Mailbox gelegt werden, an einen festgelegten Archivserver dupliziert (dies ist nach wie vor typisch für Microsoft Exchange Server)

(2) Sammelpostfach-Funktion: eine Art serverseitige, domainweite BCC Funktion sorgt dafür, dass jede ein- und ausgehende Nachricht an den festgelegten Archivserver geschickt wird (das ist bei Nicht-Exchange Servern heute die gängige Praxis)

https://help.mailstore.com/de/server/Auswahl_der_richtigen_Archivierungsstrategie Hinweis: Wir bieten rechtssichere E-Mail-Archivierung mittels MailStore SPE als Full Service Produkt aus unserem Rechenzentrum in München an.

Wie das nun gemacht wird, ob mit Journalfunktion, BCC oder auf andere Weise, das ist für uns als technischem Lösungsanbieter völlig Wurscht. Fakt ist nur, der Mailserver des Kunden muss zwingend irgend eine Möglichkeit anbieten, alle ein- und ausgehenden Nachrichten an den Archivserver zuzustellen bevor die Nachricht beim Benutzer ankommt (und er sie dann manipulieren könnte).

Kann ein Server das nicht, dann geht halt keine E-Mail-Archivierung und demnach kann ich meinen Pflichten als Kaufmann nicht mehr nachkommen. Es ist technisch unmöglich, die gesetzlichen Anforderungen zu erfüllen.

Klar soweit?

Unser eigener Partner HostEurope stößt uns als erster Massenhoster vor den Kopf: rechtssicherer Betrieb von HostEurope Mailserver ist nicht

Ausgerechnet HostEurope, der Provider, mit dem wir selbst seit 2011 stark zusammenarbeiten und nie Probleme hatten, erklärt mir in einem mehrere Runden langen, wirklich sehr ausführlichen Schriftwechseln über zwei lange Tage, nun final:

„(Rechtssichere Archivierung) ist derzeit tatsächlich nicht umsetzbar, und daher leider keine Option. (…) Entsprechende Überlegungen für ein solches Produkt gibt es intern durchaus, aber eine entsprechende Planung gibt es derzeit in der Tat nicht, dies ist leider richtig.“

Schriftliche Stellungnahme HostEurope vom 6.8.2019

Es wurde immerhin nicht lange um den heißen Brei herumgeredet. Auch in den Telefonaten mit Ansprechpartnern bei HostEurope wurde deutlich, dass man sich des Problems dort durchaus bewusst ist. Alle Gespräche liefen höchst professionell und freundlich ab. Es ändere nur leider alles nichts daran, dass man eben keine technische Lösung dafür anbieten könne und so bleibe es dabei: wer E-Mail-Archivierung benötigt, der darf keinen Mailserver bei HostEurope mieten.

Der Fairness halber möchte ich erwähnen, dass HostEurope auch Office 365 Mailkonten anbietet und mir vorgeschlagen wurde, der Kunde könne darauf wechseln. Denn dort geht die Archivierungsfunktion. Aufgrund von jährliche Mehrkosten in Höhe von 6.626,52 € für gerade einmal 79 Mailkonten kommt das aber nicht infrage (Kosten für E-Mail-Archivierung nicht enthalten, das ist nur der Aufpreis für Wechsel von HostEurope Mail auf Office 365 Mail).

Ionos 1und1 auch nicht besser

Dasselbe Spiel exerzierte ich diese Woche dann aus reinem Interesse mit 1und1 (Drillisch / Ionos) durch. Mit demselben erschreckenden Ergebnis: hier bot man mir nicht einmal eine absurd teure Alternative als Notlösung an, sondern ich wurde gleich abgewiesen mit den Worten – ich zitiere:

„Das haben wir nicht und es ist auch nicht für die Zukunft geplant. Sie sind der erste, der jemals danach gefragt hat.“

Mitschrift eines am 9.8.2918 von mir persönlich geführten Telefonats

Auch hier war man freundlich und sehr zuvorkommend am Telefon, das möchte ich durchaus erwähnen, aber es wurde mit Bestimmtheit klargestellt, dass meine Anforderung E-Mails archivieren zu wollen nicht gängig sei.

Fazit

Ich werde offenbar zu alt und bin zu lange schon in der Wirtschaft und der IT tätig. Ich habe seinerzeit an der FAU Erlangen Informatik studiert. Nach dem Grundstudium aus purer Langeweile abgebrochen und dafür in Hamburg mein Wirtschaftsstudium mit Schwerpunkt Wirtschaftsrecht abgeschlossen. Neben über 20 Jahren IT-Erfahrung im professionellen Bereich habe ich dann noch hier in München meinen TÜV-geprüften Datenschutzbeauftragten hinterhergeschoben und so habe ich, das glaube ich schon mit Recht sagen zu dürfen, einen umfassenden Blick auf die Dinge.

Ob es an der Kompetenz der Entscheider in großen Unternehmen liegt, dass so wesentliche Dinge vergessen werden, vermag ich nicht zu beurteilen. Vielleicht ist die Nachfrage wirklich so gering? Bin ich tatsächlich der erste, der bei 1und1 nachgefragt hat, ob die 1und1-eigenen Mailserver in Unternehmen eingesetzt werden dürfen?

Ich weiß es nicht.

Was ich aber weiß ist die Tatsache, dass man sich als Kunde von HostEurope, 1und1 und wie sie alle heißen mögen entscheiden muss:

• entweder Verzicht auf die Einhaltung zwingender rechtlicher Anforderungen oder
• Wechsel zu einem professionellen E-Mail-Hoster.