Erfahrungen revisionssichere Archivierung GoBD

  • Hallo,

    da möchte ich mich noch einmal einklinken. Ich habe mich für Mailstore entschieden, da es zertifiziert ist.

    Als Administrator habe ich trotzdem die Möglichkeit Mails zu löschen. Legal hold abschalten, Mail löschen und wieder einschalten.

    Nennt man das revisionssicher?

    Michael

  • bin kein rechtsexperte aber soweit ich weiß muss die möglichkeit gegeben sein daten zu löschen bzw. den zugriff darauf im archiv vollständig zu unterbinden.
    damit das rechtskonform ist muss allerdings ein protokoll über solche vorgänge geführt werden. so zumindest mein kentnissstand. in wie weit das mailstore so umsetzt.... keine ahnung.

  • Mir ist heute was auf der david Produkt Seite aufgefallen:

    Mit David® sind Ihre Daten nicht nur ordentlich, sondern auch revisionssicher abgelegt. Dank der StrongBox wird das "leidige" Thema Datensicherung zum Kinderspiel. Der integrierte Systemdienst legt die gewünschten Verzeichnisse Ihres David® Ordnersystems als Backups auf einem beliebigen Ziellaufwerk ab – vollautomatisch, in von Ihnen vorgegebenen Intervallen und gemäß der gesetzlichen Anforderungen nach GoBD.


    Steht das da schon länger so drin?

    https://ihr-it.support
    Bietet seit zwanzig Jahren Systemhaus Lösungen für kleine bis mittlere Kunden an.
    Auf meiner Homepage finden Sie Infos zu allen Zertifizierungen und Partnerschaften ;)
    Support Hotline: 07345 23 63 80

  • Ein wenig erheiternd finde ich die Diskussion über gobd gerechte Archivierung schon.
    Man sollte vielleicht erst einmal grundsätzlich feststellen, dass es kein unlöschbaren Daten gibt. Je nachdem wo man mit löschen ansetzt - kann man grundsätzlich jedes Mail löschen. Und wenn es beim Provider ist.
    Da man ja auch vom Mai archiv eine Datensicherung benötigt - genügt das Einspielen einer Datensicherung um ein Archiv an der Nase herum zu führen. Möglichkeiten gibt es wohl genug....

    Wenden wir uns also einem anderen Aspekt zu.

    Spam archivieren (alle Mails) oder nicht? Dann hat der Prüfer auch jeden Virus im Archiv. Oder doch Spam und Viren nicht archivieren? Das sind aber dann nicht alle Mails!
    Private Mitarbeiter Mails --> dürfen gar nicht archiviert werden. Gut das kann man verbieten (ist zulässig) - aber was macht man mit "passiven" privaten Mails? Kein Mitarbeiter kann sich dagegen wehren, dass er ein privates Mail auf sein geschäftliches Mail Konto erhällt - dieses Mail darf aber (eigentlich) nicht gespeichert werden?

    Also doch auswählen was man sichert?

    Interne Mails -> da ist fraglich ob das geschäftsnotwendige Prozesse sind?

    Wer alles Mails haben will - warum nicht einfach beim Provider duplizieren, (an Sicherungspostfach weiterleiten) und dann wegsichern? Ähnliches Vorgehen beim Postausgang....


    Was mich wirklich berührt ist folgendes Zenario:
    Man sichert alle Mail incl Viren und Spam, der Prüfer macht einen Krypto Trojaner auf, dieser verschlüsselt das Firmensystem -- > wer bezahlt die Rechnung? Finanzamt? Prüfer? Der Unternehmer?


    Da sehe ich mehr Ansatzpunkte nachzudenken wie an einem Niet und Nagelfesten Archiv -- Das gibt es sowieso nicht.


  • Ich habe mich für Mailstore entschieden, da es zertifiziert ist.

    Diese Zertifizierung kommt von einer "unabhängigen Wirtschaftsprüfungsgesellschaft", wie der Hersteller auf seiner Seite selbst schreibt. Nett, ehrlich, und ein reines Werbeargument. Sagt nichts über die Rechtssicherheit aus. Ist auch weder nötig noch sinnvoll. Der Hersteller behauptet nicht, dass sein Produkt sinngemäß "auf Rechtssicherheit zertifiziert" ist. Das kann er eigentlich auch nicht. Denn die Sicherungen, also den jeweiligen Prozess an sich, muss der Endkunde entsprechend gesetzlicher Vorgaben tatsachlich durchführen, dafür trägt er als Kunde - und kein anderer - die Verantwortung.

    "Programming today is a race between software engineers striving to
    build bigger and better idiot-proof programs, and the Universe trying
    to produce bigger and better idiots. So far, the Universe is winning."

  • Die Rechtslage hat sich in Sachen "Zertifiziert" entsprechend geändert. Hinter Testaten jeglicher Coloeur kann man sich nicht mehr verstecken. Der Unternehmer /Admin trägt die alleinige Verantwortung.

    Von wegen ich habe doch zertifizierte Software eingesetzt....

  • Ein wenig erheiternd finde ich die Diskussion über gobd gerechte Archivierung schon.
    Man sollte vielleicht erst einmal grundsätzlich feststellen, dass es kein unlöschbaren Daten gibt. Je nachdem wo man mit löschen ansetzt - kann man grundsätzlich jedes Mail löschen. Und wenn es beim Provider ist.
    Da man ja auch vom Mai archiv eine Datensicherung benötigt - genügt das Einspielen einer Datensicherung um ein Archiv an der Nase herum zu führen. Möglichkeiten gibt es wohl genug....

    wer per SMTP die mails annimmt und am MX archiviert - vor zustellung an den mailserver geht hier auf nummer sicher. meiner ansicht nach ist das auch die einzige vernünftige methode. jede form des nachgeschalteten abrufes per POP3/IMAP stellt nicht sicher dass die original email vorliegt.

    die anderen punkte sind auch teilweise etwas aus der luft gegriffen. wenn ich den mitarbeitern schriftlich untersage die firmen IT privat zu nutzen und private mails landen im archiv -> pech. bin ich als unternehmer safe.
    wer spam und viren in das archiv packt ist selbst schuld. man kann sich hier drüber streiten ob das rechtlich vorgegeben ist oder nicht, in der praxis wird niemand seinen kompletten spam archivieren. sofern der spamfilter halbwegs was taugt wird da auch kein prüfer meckern.

    und warum sollte man die internen mails nicht archivieren? das ganze thema nur als abarbeitung der rechtlichen vorgaben zu betrachten ist zu kurz gedacht und schafft keine akzeptanz beim kunden bzw. im unternehmen. eine gute email archivierung kann viel mehr leisten als nur irgendwelche gesetze erfüllen. mail server wird entlastet, spamfilter / AV kann verbessert werden und der user hat mitunter eine wesentlich bessere bzw. effizientere suchfunktion.

    dazu käme dann noch email verschlüsselung auf appliance / gateway basis. das thema verschlüsselung wird uns vermutlich in den nächsten jahren so oder so einholen.

  • Moin,

    ich denke, dass die Zertifizierung durch irgendeine vertrauenswürdige Institution doch von rechtlicher Relevanz ist. Solche Zertifizierungen können relevant werden, wenn es um die Beurteilung geht, ob etwas vorsätzlich, grob fahrlässig oder leicht fahrlässig ist.

    Wen der verantwortliche Mitarbeiter eine "zertifizierte" Software einsetzt sind zumindest Vorsatz und grobe Fahrlässigkeit vom Tisch, da der Mitarbeiter die nach seinem Kenntnisstand geeignetste Lösung gewählt hat. Bei einer selbstgestrickten Lösung kann man hier sicherlich schneller in Beweisnot kommen.

    Jörg.

  • Hallo,

    ich denke das "zertifizierte Software" ein reines Marketingmittel ist. Siehe Auszug GoDB....

    – GoBD Auszug: "12, 181, "Zertifikate“ oder „Testate“ Dritter können bei der Auswahl eines Softwareproduktes dem Unternehmen als Entscheidungskriterium dienen, entfalten jedoch aus den in Rz. 179 genannten Gründen gegenüber der Finanzbehörde keine Bindungswirkung. „

    Hier steht nicht, Wenn ihre eingesetzte Lösung von irgend jemandem Zertifiziert wurde sind sie aus dem Schneider"

    Selbst die Finanzbehörden geben keine verbindliche Auskunf darüber ab ob die eingesetzte Lösung gesetzeskonform ist.

    – GoBD Auszug: "12, 180 Positivtestate zur Ordnungsmäßigkeit der Buchführung - und damit zur Ordnungsmäßigkeit DV-gestützter Buchführungssysteme - werden weder im Rahmen einer steuerlichen Außenprüfung noch im Rahmen einer verbindlichen Auskunft erteilt. „

    Gruss Frank

  • tobit wird sich hüten die software dafür "zertifizieren" zu lassen.
    bei dem konzept mit dem die strongbox arbeitet wird sicherlich niemand eine konformität bescheinigen. 1x falsch geklickt, neues vollbackup angelegt - archiv weg. wer das als rechtsicher bezeichnet begibt sich wohl auf ziemlich dünnes eis.

  • Hallo,

    Es ging ja nur darum ob ich mit einer Zertifizierten Lösung auf der sicheren Seite bin und hier ist die Antwort eindeutig nein und das steht eben
    in der GoBD drinn. Wir setzen bei unseren Kunden auch zusätzliche Software ein.

    Ausserdem muss ja nicht nur die Archivierung mit einer Software GoBD Konform erfolgen hierzu gehören z.B. auch Verfahrensabläufe zu Dokumentieren.
    Und genau das wird in der Mailstore Softwarebescheinigung ausgeschlossen. Dieses sagt nur aus das man mit Mailstore Rechtskonform Archivieren kann wenn alles nach GoBD
    Vorgaben umgesetzt wird. Und das geht auch z.B. mit MailArchiv von Inoxsision nur eben ohne Zertifikat/Testat.

    Das Archiv von Tobit ist aber ganz sicher in keinster weise GoBD konform. Tobit könnte das sicher ohne großen Aufwand Realisieren und als Backlinefeature vermarkten aber
    dort ist die Farbanpassung des TIC oder die Hilfe durch ein Forum zu ersetzen leider wichtiger. So müssen wohl oder übel alle David Kunden Zusatzsoftware kaufen. Für mich als Händler ein
    riesiges Dienstleistungspotezial. :)

    Gruss Frank

  • @ NOHopeNoFear ein wenig sollte man sich schon mit der Materie beschäftigen - bevor man anderen unterstellt - Beiträge seien aus der Luft gegriffen.

    Da würde ich z.B. diesen Artikel zur Bildung empfehlen:



    Ob man sich als ITler vorstellen kann, dass man manche Dinge tatsächlich nur macht - weil es der Gesetzgeber fordert? In einer Archivierung von Mails kann man keinen Mehrwert sehen.

    Archivsysteme - die einen Workflow eingehender Mails erlauben - bringen Mehrwert. Leider muss man an dieser Stelle unterscheiden:

    Archivierung eiingehnder Rechnungen/Gutschriften usw - nach GOBD -kein wirkliches Problem. Anders die Archivierung des Mail Verkehrs. Hier wird gefordert alles zu archivieren - und nun kann man sich excellent streiten was "alles" ist.Email Verkehr incl Mail und Würmern - oder doch lieber ohne? Wer legt die Filterkriterien fest? Egal was festgelegt wird - niemand kan bei einer gefilterten Archivierung sicherstellen, dass nicht doch relevanter Schriftverkehr unarchiviert bleibt - zumindest im Sinne des Gesetzes.

    Für mich sind Mail Archivierung und Archivierung von Belegen im Sinne von Rechnungen/Gutschriften/Lieferscheinen zwei paar Schuhe. Wo ist der Mehrwert wenn man Mails jahrelang vorhällt? Nichts ist schneller alt - als die Neuigkeiten von Gestern.

    In den überwiegenden Mehrzal deutscher Unternehmen sind Mails belanglos wenn der damit verbundene Geschäftsprozess abgewickelt ist. Das sollte sich mit Bordmitteln, ohne Einsatz einer Strongbox erledigen lassen.

    Also doch alles was reinkommt und rausgeht - ab in einen elektronischen Karton - in die Ecke stellen und vergessen. Dazu noch ein einfaches vom USB Stick lauffähiges MAil Programm wie z.B. epim portable oder komma Mail - und fertig ist das Archiv?

    Man könnte einzelne MAils daraus löschen? Das kann man auch schon vor der "Archivierung" und via Datensicherung auch noch danach.... Oder wirft man die Mails in ein simples Archivprogramm möglichst vom USB Stick lauffähig. Soetwas gab es mal von Mailstore - ob man das noch im Programm hat - ist mir gerade nicht geläufig. An anderer Stelle gibt es Software die sotwas kann - wenn sie auch nicht dafür geschrieben wurde.

    Eine sachliche Diskussion über dieses "einfache" Problem scheint überfällig zu sein?

    Im übrigen gilt:
    Es scheint sich in deutschen Amtsstuben noch nicht herumgesprochen zu haben - für den Herren über die Daten (Admin) gibt es keine sichere Archivierung. Wer etwas verschwinden lassen will, dem sind nur durch seine Fantasie Grenzen gesetzt.


    So ich würde mich freuen wenn wir dieses Thema vertiefen könnten (vielleicht muss man den Beitrag verschieben?). Denn ein wie macht Ihr das - könnte uns allen ein wenig helfen, dieses Problem mit EINFACHEN Mitteln vom Hals zu bekommen.


    Ps.: Wem ist mit einem Mail Archiv gedient, das mann die nächsten 10 Jahre von einer Hardware auf die andere - von einem BS auf das andere migrieren muss? Den IT schaffenden? Der Software Industrie? Keinem der genannten weil das Buget der Kunden begrenzt ist? Oder die Akzeptanz für scheinbar sinnloss fehlt?


  • ich sehe jetzt nicht wirklich in wie weit der verlinkte artikel gegensätzlich zu meiner aussage ist. verbiete ich als unternehmer das private nutzen der IT und kontrolliere das halbwegs geht das in ordnung.
    in der praxis ist jedem prüfer klar dass die vorgaben nicht zu 100% erfüllt werden können. das gleiche gilt für die archivierung von "allem". kein richter wird das im zweifel bemängels sofern hier nicht fahrlässig gehandelt wurde und ein brauchbares system zur erkennung von spam und viren eingesetzt wird. soviel vertrauen habe ich dann doch in unseren rechtsstaat. hätte man dies nicht sollte man vorsichtshalber alle email adressen deaktivieren und wieder auf papier umsteigen.

    auch wenn du keine vorteile in einer email archivierung sehen kannst - es gibt sie. entgegen deiner aussage zeigt die praxis das kunden ihre emails bis in die ewigkeit horten. liegen diese daten in einem dafür vorgesehenen system ist das handling (für den admin) deutlich angenehmer als mit einem 1-x TB großen email server. das gilt wohl in einem david forum ganz besonders. für den user ergeben sich die vorteile (je nach system) in einer besseren suche und einem performanteren mail client. außerdem werden so fehler verhindert falls doch relevante mails gelöscht werden. nicht jeder setzt ein erp/dms system ein in dem prozesse/abläufe mit emails verknüpft werden und zusätzlich noch in einem andren system als dem mailserver selbst vorliegen.

  • Ja Horten ist wohl der richtige Begriff. Leider braucht den gehorteten Mist kein Mensch. Was für ein Projekt relevant hat, ist tagesaktuell und hat in einem Archiv (nicht gemeint sind Documentenmanagment Syteme) nichts zu suchen.

    Ein paar Mails mehr oder weniger bringen moderne Hardware nicht an ihre Grenzen :).

    @ NOHopeNoFear ich möchte ja nicht persönlich werden - aber was kann man an der Problematik dess verlinkten Artikels von Heisse nicht verstehen? Oder anders gefragt - weshalb glaubst Du immer noch in Deiner Auffassung gebe es keine Rechtsunsicherheit? Zu Deinem "Gottvertrauen" in deutsche Gerichte und Richter - solltest Du dich mit den vollkomenen abstrußen Urteien der vergangenen Jahre erinnern.

    Also geben wir nochmals die Parole aus wie erledigt man den Job am einfachsten - und welche Strategien haben den besten Nutzen im Sinne von: Archivierung erledigt, Gesetz erfüllt, ab in die Kiste - vergessen.

    Gruß

    Baer

  • Ja Horten ist wohl der richtige Begriff. Leider braucht den gehorteten Mist kein Mensch. Was für ein Projekt relevant hat, ist tagesaktuell und hat in einem Archiv (nicht gemeint sind Documentenmanagment Syteme) nichts zu suchen.

    das ist eine verallgemeinerung die schlichtweg nicht korrekt ist. wir haben immer wieder mit kunden zu tun die alte emails brauchen, aus welchem grund auch immer. daraus ergeben sich dann fiese konstrukte auf dem mailserver die für den user zwar bequem sein mögen - aus sicht der verwaltung und IT aber suboptimal.

    Ein paar Mails mehr oder weniger bringen moderne Hardware nicht an ihre Grenzen :).

    ein paar mails nicht. aber schonmal eine david migration mit 500 GB+ an daten gemacht? vorzugsweise zum größten teil ungepackt? es geht hier letztendlich auch um die kosten. für einen mailserver brauche ich performantere datastores als für ein archiv.

    @ NOHopeNoFear ich möchte ja nicht persönlich werden - aber was kann man an der Problematik dess verlinkten Artikels von Heisse nicht verstehen? Oder anders gefragt - weshalb glaubst Du immer noch in Deiner Auffassung gebe es keine Rechtsunsicherheit? Zu Deinem "Gottvertrauen" in deutsche Gerichte und Richter - solltest Du dich mit den vollkomenen abstrußen Urteien der vergangenen Jahre erinnern.

    das thema scheint dich emotional ja ziemlich zu belasten wenn es dir bei gegenteiligen auffassungen schwer fällt sachlich zu bleiben.
    unterm strich steht in dem artikel von heise dass die rechtslage etwas schwammig ist und man derzeit am besten fährt wenn man die private nutzung verbietet und sichprobenartig kontrolliert. das ist auch die vorgehensweise die wir in der praxis empfehlen und so auch von größeren unternehmen kennen.

    das thema betrifft auch nicht nur die archivierung sondern generell den zugriff dritter auf email postfächer. also auch kollegen (urlaub, krankheit) und admins (administrative aufgaben).

    sicherlich ist es momentan nicht möglich alle vorgaben zu 100% zu erfüllen. ich kann erstmal nichts dagegen tun wenn ein mitarbeiter unaufgefordert eine private mail zugeschickt bekommt. letztendlich wird sich dann aber auf die sicherstellung der betrieblichen abläufe berufen. zitat aus dem artikel von heise: "Dabei überwiegt das Interesse des Unternehmens an der ordnungsgemäßen Organisation des Betriebsablaufs des betroffenen Mitarbeiters."

    es ist nunmal so dass bem thema mail archivierung die rechtliche theorie und die praxis sich nicht zu 100% unter einen hut bringen lassen. als ITler zu sagen wir ignorieren das thema und setzen auf irgendeine frickel lösung oder lassen es ganz ist auf lange sicht vermutlich eher ein schuss ins eigene knie als die möglichen unstimmigkeiten in kauf zu nehmen. letztendlich muss sowieso der kunde entscheiden was er will nachdem er über die rechtlichen probleme und technischen möglichkeiten aufgeklärt wurde. wir haben hier die erfahrung gemacht dass die entscheidung idr. zugunsten der archivierung fällt - besonders im hinblick auf die weiteren technischen und organisatorischen verbesserungen die sich daraus ergeben.


    Also geben wir nochmals die Parole aus wie erledigt man den Job am einfachsten - und welche Strategien haben den besten Nutzen im Sinne von: Archivierung erledigt, Gesetz erfüllt, ab in die Kiste - vergessen.

    Reddoxx. hat sich für uns bewährt. gute marge, einfach einzurichten und deutlicher mehrwert über die archivierung hinaus. archivierung am mx - es geht also nichts verloren. zusätzlich hat man hier den vorteil das thema spam und viren direkt mit zu erledigen. ende zu ende verschlüsselung auf appliance basis geht auch. aus meiner sicht ist das ein sehr großer vorteil gegenüber klassischer verschlüsselung auf dem client (was an sich schon mit der archivierungs pflicht kollidiert).

  • Ich habe auch gerade Mailstore getestet.
    Das Programm ist flexibel, logisch und bezahlbar.
    Es dedupliziert, kann Nutzer über AD einlesen und die Nachrichten entsprechend zuordnen.

    Für die Tobit-Kopplung habe ich mich für die Proxy-Variante entschieden, d.h. der SMTP-Datenstrom wird vor dem David abgegriffen und komplett archiviert.
    Problematisch ist dabei für mich, dass das Programm bei Catch-All eingehend nur den "POP3-Recipient" auswertet, also alle Mails an eine zentrale Abrufadresse zuordnet!
    Ausgehend funktioniert es mit dem SMTP-Proxy fehlerfrei: hier wird das Feld "SMTP-Mail-From" korrekt ausgewertet, obwohl der Postausgang auch über eine Sammel-Mailadresse läuft.

    Die Entwickler lehnen den Vorschlag ab, "X-Envelope-To" oder ähnliche Mail-To -Felder abzufragen.
    O-Ton Support: "Das Verhalten ist bekannt und wurde auch schon an unsere Entwicklung weitergegeben, diese haben den Verbesserungsvorschlag aber abgelehnt."

    Ich löse das nun über separate Postfächer beim Provider, was sehr lästig ist und nur bis zu einer gewissen Installationsgröße handhabbar.
    Aus diesem Grund finde ich Mailstore für David nur begrenzt geeignet.

    Altdaten hole ich bei Bedarf über die IMAP-Schnittstelle ins Archiv. Das funktioniert bestens.

  • Mailstore ist bei mir damals raus geflogen weil der support mir erzählt hat das die proxy Variante nicht mehr weiter entwickelt werden soll und mir davon abgeraten wurde sie zu benutzen.

    Ich sollte stattdessen mit dem duplog von David arbeiten.

    Das war dann das ko für mailstore. Wurde euch das nicht erzählt?


    Gesendet von iPhone mit Tapatalk Pro

  • Ich habe auch gerade Mailstore getestet.
    Das Programm ist flexibel, logisch und bezahlbar.

    Ich kann all deine Ausführungen 1:1 bestätigen. Mailstore läuft bei einem meiner größeren Kunden seit knapp 1,5 Jahren als "David-Proxy" störungsfrei. Der Import über IMAP war einmalig etwas Fleißarbeit, funktionierte aber deutlich besser, als ich befürchtet hatte.

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!