Archivierung360 Logo
Hilfe bei der Suche
Partner werden
Archivierung360 Logo

Exchange Online Archiving - Boardmittel oder externe Softwarelösungen?

Exchange Online Archivierung - Microsoft 365 Archiv

Kleine und mittelständische Unternehmen verwenden vielfach Microsoft 365, da es eine große Bandbreite an Funktionen für die Kommunikation und Zusammenarbeit bietet und nur eine minimale Einbindung in die IT benötigt. Microsoft gilt zudem als vertrauenswürdiger und zuverlässiger Anbieter. 

Allerdings ist trotz dieser vielen Vorteile nicht Microsoft für den Schutz und die Aufbewahrung von E-Mails und deren Inhalten verantwortlich, sondern die Unternehmen selbst. Sie sind in der Pflicht, proaktive Schutzmaßnahmen zu ergreifen, um sicherzustellen, dass die sensiblen Daten und relevanten Informationen aus dem E-Mail-Verkehr angemessen gesichert und archiviert werden. 

Hintergründe und Tipps

E-Mail-Archivierung in Office 365

Das in Microsoft Office 365 enthaltene Exchange Online bietet eine automatische Archivierungsfunktion. Die Cloud-Suite von Microsoft beinhaltet unter anderem den Mailserver in der Cloud und basiert auf dem Modell der geteilten Verantwortung. Entscheidungsträger sind weiterhin verpflichtet, selbst für die digitale Aufbewahrung der E-Mails im Unternehmen zu sorgen und angemessen mit kritischen Informationen und Daten umzugehen. 

Die korrekte Bezeichnung des Microsoft Mailservers ist eigentlich Exchange Online, umgangssprachlich hat sich aber die Bezeichnung Office 365 für den Mailserver etabliert. Wichtig ist, dass jede Organisation eine zuverlässige E-Mail-Archivierungslösung benötigt, mit der E-Mails revisionssicher aufbewahrt, durchsucht und abgerufen werden können. Ob das immer mit Microsoft Office 365 und seinem Mailserver Exchange Online ist, wollen wir hier näher untersuchen.

Wie funktioniert die Office 365 Mail Archivierung?

Wichtige Daten können versehentlich oder absichtlich gelöscht oder korrumpiert werden, um entweder Wissen über den Inhalt zu erlangen, die Daten weiterzuverwenden oder Zugriff auf weitere Inhalte im Netzwerk zu erhalten. Gesetzliche und regulatorische Anforderungen sehen daher nicht nur die revisionssichere Aufbewahrung von E-Mails vor, sondern auch den richtigen Umgang mit ihnen. 

Noch immer denken viele Anwender, dass ein Backup ausreicht, um die Anforderungen aus der GoBD umzusetzen. Doch ein Backup und eine Archivierung sind zwei unterschiedliche Vorgänge, die jedoch beide erforderlich sind, um Informationen und kritische Datenbestände zu schützen. Die Exchange Online Mail Archivierung umfasst zwar zahlreiche nützliche Funktionen, beispielsweise zur Wiederherstellung von unbeabsichtigt gelöschten Dateien, aber Anwender unterliegen auch einigen Einschränkungen.

Zunächst stellt Office 365 sicher, dass automatisch wichtige Mails nach bestimmten Zeiten gemäß Richtlinien und Einstellungen archiviert werden. Jeder einzelne Benutzer kann dies speziell aktivieren oder konfigurieren. Dadurch entsteht ein Archivpostfach, das wie ein zweites Postfach funktioniert, in das E-Mails ausgelagert oder durch spezielle Richtlinien verschoben werden. 

Ob die Archivierung eingeschaltet ist, wird dem Benutzer über der Registerkarte Postfachfunktionen angezeigt. Zusätzlich zur automatischen Archivierung in Exchange Online können Anwender Daten manuell per Drag-and-Drop in das Archivpostfach verschieben. Ist keine individuelle Archivierungsrichtlinie festgelegt, greift automatisch die Standardrichtlinie von Microsoft. Die Veränderungen lassen sich im Admin-Center vornehmen. 

Wo liegen die Probleme bei der Office 365 Archivierung?

Die häufigsten Kritikpunkte sehen Datenschützer und Aufsichtsbehörden bei Microsoft 365 vorrangig wegen der Datenübermittlung in die USA, den Zugriffsmöglichkeiten von US-Behörden auch auf deutsche Server sowie die Hintergrundübermittlung sogenannter Telemetriedaten und der unzureichenden Auftragsverarbeitungsverträge. Experten geben überdies zu bedenken, dass für die revisionssichere Aufbewahrung nach GoBD bei Microsoft Office 365 die Auditfähigkeit fehlt. 

Als Software-as-a-Service ist die Exchange Online Archivierung in der Cloud und Microsoft fällt nach deutschem Recht unter die Definition eines Auftragsverarbeiters. Die DSGVO kollidiert hier aber mit der US-Rechtsprechung, was die rechtskonforme Nutzung von Cloudservices US-amerikanischer Anbieter mehr als fraglich macht. 

Denn nach dem deutschen Recht hat Microsoft, übrigens genauso wie Amazon und Google, bis heute kein überzeugendes Konzept für das Aufbewahren steuerrelevanter Unterlagen. Nach US-Recht ist es jederzeit möglich, dass Ermittlungsbehörden aus den USA Zugriff auf die Kundendaten nationaler Cloud-Anbieter erhalten können. Und das gilt selbst dann, wenn diese Daten außerhalb des US-Hoheitsgebiets verwaltet werden. 

Der Europäische Gerichtshof EuGH hatte auch aus diesem Grund im Sommer 2020 die Nachfolgeregelung von Safe Harbor – dem Privacy Shield – für nichtig erklärt.

Das müssen Sie bei der Microsoft 365 Archivierung beachten

Trotz zahlreicher Einstellungsmöglichkeiten bei der Office 365 Mail-Archivierung gibt es eine nicht zu vernachlässigende Problematik beim Datenschutz sensibler Inhalte.

  1. Die von Microsoft betriebenen Rechenzentren werden von den USA aus weltweit betrieben. Für Unternehmen aus Europa gibt es zwar die Möglichkeit, die zentralen Services auch von europäischen Rechenzentren aus zu bestellen, doch dies ist nicht ausreichend, wenn es nach den strengen Datenschutzbestimmungen geht. Das neueste Rechenzentrum steht in Schweden und der Konzern hat angekündigt, bis Ende 2022 alles Notwendige getan zu haben, um die Daten der Kunden in den Grenzen der EU zu halten. Dies ist allerdings noch nicht geschehen und so ist Microsoft derzeit nicht in der Lage, den Anforderungen zum Schutz der Daten nachzukommen.
  2. Die Mandantenarchitektur von Microsoft 365 sieht vor, dass jedes Unternehmen einen einzigen Mandanten verwendet und dieser wird nach geografischen Regionen verwendet. Für multinationale und regionenübergreifende Unternehmen kann es bei der Datenhoheit zu großen Herausforderungen kommen, denn der Standort des einzigen Mandanten wird bei der Erstregistrierung festgelegt. Die offenen Fragen bei der Datensouveränität treten hier ebenso auf wie unter Punkt 1. So kommt es, dass Unternehmen aus Europa personenbezogene Daten von EU-Bürgern in den USA aufbewahren. Dabei handelt es sich nicht um einen rechtskonformen Weg zur Übertragung dieser Daten. Leider bietet Microsoft derzeit nur eine Standardvertragsklausel bezüglich der Datenübertragung, die von der EU als nicht ausreichend erachtet wird.
  3. Das bisherige Privacy Shield Abkommen mit der EU und den USA hatte dafür gesorgt, dass die Übertragung der Daten in die USA den gesetzlichen Anforderungen der DSGVO gleichzusetzen war. Dieses Abkommen wurde allerdings aufgekündigt und besteht nicht mehr. Kleine und mittelständische Betriebe haben keine Chancen auf individuell ausgehandelte Änderungen in den Vertragsbedingungen. Bei großen Konzernen sieht das zwar anders aus, Microsoft muss diesen Anpassungen jedoch individuell zustimmen. Die neue Online-Services Data Protection Addendum DPA von Microsoft soll Ersatz für das gekündigte Privacy Shield Abkommen sein, ist allerdings nur als Verbesserung und nicht gleichwertige Alternative zu bewerten. Außerdem besagt dieses: „Microsoft ist jedoch nicht für die Einhaltung von Gesetzen oder Regelungen verantwortlich, die für den Kunden oder seine Branche gelten, jedoch nicht allgemein für Serviceprovider im Bereich Informationstechnologie. Microsoft ermittelt nicht, ob Kundendaten Informationen enthalten, die spezifischen Gesetzen oder Vorschriften unterliegen.“ (Quelle)
  4. Ermittlungsbehörden wie das FBI dürfen auf personenbezogene Daten zugreifen, wenn US-Unternehmen wie Microsoft ihre Dienste nicht nur in den USA anbieten, sondern auch in europäischen Rechenzentren Daten speichern. Die Abfrage kann sogar heimlich stattfinden, was erst recht mit den EU-Datenschutzbestimmungen kollidiert. Demnach dürfen in der EU gesicherte Daten nicht ohne Rechtshilfeabkommen übergeben werden. Derzeit herrscht in diesem Punkt noch immer Rechtsunsicherheit.
  5. Die von Microsoft bereitgestellte Exchange Online E-Mail-Archivierung über Office 365 greift nicht auf andere Betriebsumgebungen oder Plattformen von Drittanbietern zu. Die Verarbeitung von Daten findet also ausschließlich in den Microsoft-Umgebungen statt und die E-Mail-Archivierung berücksichtigt auch nur Postfächer innerhalb der Produkte von Microsoft.
  6. Nicht zuletzt muss über den Speicher gesprochen werden, denn die Aufbewahrungsrichtlinien von Microsoft Office 365 sind zwar nützlich, benötigen jedoch die Speicherbelegung für jedes Benutzerkonto. Das könnte für Unternehmen bedeuten, kostenintensiven Speicherplatz anzuschaffen. 

Welche alternativen Lösungen gibt es?

Die Microsoft 365 E Mail Archivierung bemüht sich sichtlich um Lösungen im Hinblick auf die Datenübermittlung und die Einhaltung der europäischen DSGVO. Aber Unternehmen sollten nicht warten, bis diese Probleme gelöst sind, denn niemand weiß, wie lange das dauern wird.

In der Zwischenzeit gilt es, sich um eine revisionssichere E-Mail-Archivierung nach GoBD zu kümmern, und das gelingt, mit kostengünstigen Angeboten auf dem Markt, leichter als gedacht. 

Um der Gefahr zu entgehen, mit der Office 365 Archivierung gegen bestehende Datenschutzanforderungen zu verstoßen, bietet sich eine Archivierungssoftware von Drittanbietern an. Diese helfen, E-Mails und Anhänge revisionssicher zu archivieren und sind auch für kleine und mittlere Unternehmen hierzulande empfehlenswert. 

So halten Sie gesetzliche, regulatorische und andere Pflichten in Bezug auf das Auffinden, Aufbewahren und Bereitstellen von Daten ein. 

Archivierung360.de - Das große Informationsportal rund um die Archivierung in Unternehmen

Diese Webseite stellt keine Rechtsberatung dar, sondern fasst ausschließlich zugängliche Informationen zusammen. Für eine verbindliche Beratung kontaktieren Sie bitte Ihren Rechtsanwalt.  

Zum Newsletter anmelden

Informationen

© 2025 | Archivierung360.de