[Postfixbuch-users] Postfix Frontend und Backend Server

Ansgar H. Licher al at lw-systems.de
Do Sep 23 20:31:20 CEST 2010 

Hallo Liste,

dies ist ein Antwort auf einige Fragen und Punkte zum Thema (Open) Benno
MailArchiv, die ich hier wahrgenommen habe, und zu denen ich gerne ein
paar Punkte (aus Sicht des Herstellers) ausführen möchte.

Ich nehme hier konkret bezug auf die Mail von Peer Heinlein vom 22.9.2010.

Da mir die Originalmail nur über das Listenarchiv (Webseite) zur
Verfügung steht, bitte ich zu entschuldigen, falls mein Zitat der Mail
hier vielleicht etwas aus dem üblichen Format ausreissen sollte.


Peer Heinlein schrieb am Mi Sep 22 10:15:08 CEST 2010

> > [Zitat]
> > Benno MailArchiv bietet im Gegensatz zur freien Community-
> > Version Open Benno MailArchiv die Möglichkeit der
> > gesetzeskonformen E-Mail-Archivierung gemäß HGB, AO, GDPdU
> > usw.
> > [/Zitat]

Das ist richtig.


> Wobei ich nach wie vor bei meiner Aussage bleibe:
>
> Ich kann anhand der Online gestellten Doku und Verfahrensweise
> für mich nicht erkennen, wieso das revisionssicher sein soll.
> Ich kann nicht erkennen, wie Benno MailArchiv eine Manipulation
> durch den Administrator selbst (!) verhindern will.
>
> Wir greifen bei uns dafür auf extern signierte Zeitstempel
> authentifizierter Trustcenter zurück. [...]

In der übernächsten Version wird genau das auch eine Funktion in Benno
MailArchiv sein. Wir sehen keinen zwingenden Grund für diese
Eigenschaft, erkennen ihre Nützlichkeit jedoch an.


> Und wenn dem tatsächlich so ist, dann weiß ich nicht, wie man das als
> gersetzeskonforme revisionssichere E-Mail-Archivierung bezeichnen
> kann, bzw. betreiben soll.

Ich arbeite gelegentlich als IT-Revisor für Wirtschaftsprüfer (WP) bzw.
WP-Gesellschaften und unterstützte hier die Testaterstellung im Bereich
der EDV-Systemprüfung durch entsprechende Prüfungshandlungen und
Gutachten, die wir verantwortlich erstellen. Insofern haben wir in
mehrererlei Hinsicht mit Fragestellungen in diesem Themenkomplex zu tun.


> Wenn dem so ist, dann zerreiße ich das vor
> Gericht als Gutachter und verurteile das Archiv als Null und Nichtig.

Wir haben uns _sehr_ lange und intensiv mit der Frage befasst, wann eine
Lösung hinreichend ausgestattet bzw. qualifiziert ist, um sie als
gesetzeskonform zu klassifizieren. Nach vielen Gesprächen mit Anwälten,
Wirtschaftsprüfern sowie Steuerberatern sowie nach intensiver Sichtung
verschiedener Stellungnahmen einschlägiger und unabhängiger Stellen,
haben wir für uns dazu ein Urteil gebildet.

Richtig ist an dieser Stelle zweifelsohne, dass eine genauere Festlegung
dessen, wann eine Lösung als "gesetzeskonform" bezeichnet werden kann
oder darf, dringend erforderlich ist! Leider hat es der Gesetzgeber
versäumt, hier für ausreichende Klarheit zu sorgen. Statt der Definition
genauer Anforderungen oder der exakten Beschreibung von geforderten
Eigenschaften, heißt es vom Gesetzgeber sinngemäß, dass der Markt
mehrere Lösungsansätze bzw. Lösungen für dieses Thema bereit halte und
man eine (möglicherweise markt-manipulative) Eingriffnahme nicht für
erforderlich halte. (Nein, tut mir leid, ich weiß nicht mehr, wo ich das
gefunden und gelesen habe). Am Ende verbleibt damit (leider) ein
interpretationsfähiger Spielraum.
Mehr noch: nach Ansicht von Rechtsanwälten widersprechen sich
verschiedene Anforderungen an die E-Mail-Archivierung gemäß AO, HGB,
GoB, GoBS und GDPdU: so existieren demnach Anforderungen, die in einen
Fall handelsrechtlich gefordert sind, aber dabei mit steuerrechtlichen
Bestimmungen kollidieren (und umgekehrt). Ergo: wenn man das eine Recht
befolgt, bricht man das andere. Dieser Spagat zwischen handels- und
steuerrechtlichen Anforderungen sei, so wurde mir aus einschlägigen
Quellen versichert, nicht nur in diesem Fall ein Problem anwaltlicher
Tätigkeit.

Ich würde es _händeringend_ begrüßen, wenn von Gesetzes- bzw.
gesetzgeberischer Seite eine klare Position existieren bzw. geschaffen
würde, um das Dilemma, in dem sich die Hersteller befinden, aufzulösen.
Allerdings bezweifle ich, dass wirklich sinnvolle und pragmatische
Anforderungen bzw. Maßstäbe dabei herauskommen, wenn ich sehe, welche
Aussage die GDPdU-Zertifizierung einer FiBu-Software aus Sicht eines
Wirtschaftsprüfers bedeutet.

Eine technische Lösung alleine macht nach meinen Erfahrungen keine
gesetzeskonforme Lösung aus. Es bedarf zusätzlicher flankierender
Maßnahmen unter risiko-orientierten Gesichtspunkten.

Ich komme nochmals auf das Zerreissen und die Gerichte zurück und möchte
abschließend dazu zu noch zwei Dinge aufzeigen:

1) Angesichts der Leitlinien zur Implementation einer (so der
Hersteller) "gesetzeskonformen E-Mail-Archivierung" bzgl. einer
Softwarelösung aus dem Windows-Umfeld, fühle ich mich in allen meinen
angesprochenen Punkten bestätigt. Was in dem genannten Fall auf die
Straße gebracht wird, erscheint mir (bei aller Befangenheit in dieser
Frage) fragwürdig. Es bedarf IMHO nur begrenzten Sachverstandes, um hier
ernste Zweifel an Gesetzeskonformität aufkeimen zu lassen.

2) Womöglich (und damit werde ich wohl nicht weit von der Realität
entfernt liegen) wird erst eine oder mehrere einschlägige
Gerichtsentscheidung(en) auf Ebene von LGs oder OLGs mehr Klarheit
bringen, wann E-Mail-Archivierung gesetzeskonform ist und wann nicht.
Indes wird die Praxis dabei hoffentlich nicht da enden, dass ein (O)LG
in Norddeutschland eine andere Rechtsauffassung vertritt als eines in
Süddeutschland. In anderen Bereichen gab es derartiges bereits.

Wir sehen der weiteren Entwicklung in diesem Bereich gelassen und mit
großem Interesse entgegen.

Ich hoffe, hiermit einigermaßen erhellend zur Diskussion beigetragen zu
haben.

Freundliche Grüße,

Dipl.-Ing. Ansgar H. Licher
(Geschäftsführer)

-- 
LWsystems GmbH & Co. KG  ++  http://www.lw-systems.de/impressum
Tel: +49 (0)5403 / 5556  ++  Fax: +49 (0)5403 / 7 95 89 97

LWsystems: Open Source IT Solutions - Linux Systemhaus - IT-Sicherheit

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

LWsystems GmbH & Co. KG
Sitz der Gesellschaft: Tegelerweg 11, 49186 Bad Iburg
Telefon +49 (0)5403 5556
Telefax +49 (0)5403 7958997
Handelsregister: Amtsgericht Osnabrück, HRA 110668
USt.-ID-Nr. DE244573220

Persönlich haftende Gesellschafterin: LWsystems Verwaltungs GmbH
Sitz der Gesellschaft: Tegelerweg 11, 49186 Bad Iburg
Handelsregister: Amtsgericht Osnabrück, HRB 111163

Geschäftsführer:
Dipl.-Ing. Ansgar H. Licher, Bad Iburg
Dipl.-Ing. Martin Werthmöller, Ibbenbüren

Für weitere Firmendetails zu LWsystems siehe /
For further company details please look at:
http://www.lw-systems.de/impressum

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

Mehr Informationen über die Mailingliste Postfixbuch-users