Basiswissen zur E-Mail-Archivierung

dsgvoDie gesetzlichen Vorschriften, die eine revisionssichere E-Mail-Archivierung einfordern, können mitunter den datenschutzrechtlichen Vorschriften aus der Datenschutzgrundverordnung (kurz: DSGVO) und dem Bundesdatenschutzgesetz (kurz: BDSG) entgegenstehen. Dies ist zum Beispiel dann der Fall, wenn eine automatische E-Mail-Archivierung für alle ein- und ausgehenden E-Mails vorgenommen wird. In dieser Konstellation ist zwar eine vollständige Archivierung des elektronischen Postverkehrs gewährleistet – problematisch wird dies aber spätestens dann, wenn Mitarbeiter im Unternehmen auch private E-Mails versenden und empfangen dürfen: Dann gilt der Arbeitgeber nämlich als Telekommunikationsanbieter i. S. v. BDSG und Telekommunikationsgesetz (kurz: TKG).

Warum ist die E-Mail-Archivierung überhaupt relevant für den Datenschutz?

E-Mails enthalten als Teil der elektronischen Kommunikation immer personenbezogene Daten i. S. d. DSGVO. Werden sie archiviert bzw. aufbewahrt, dann findet damit auch eine Verarbeitungstätigkeit statt: Gerade bei privaten E-Mails darf hier gezweifelt werden, ob diese Vorgehensweise den datenschutzrechtlichen Anforderungen aus der Datenschutzgrundverordnung genügt.
Auch für den Fall, dass der Mitarbeiter selbst der Verarbeitung seiner personenbezogenen Daten zustimmt: Der externe Kommunikationspartner weiß in der Regel nicht, dass seine personenbezogenen Daten verarbeitet werden – eine entsprechende Einwilligung liegt dann regelmäßig gerade nicht vor.

Lösungsmöglichkeit: Verbot der privaten E-Mail-Nutzung

Um hier rechtliche Konflikte zu vermeiden, sind viele Unternehmen dazu übergegangen, den Versand und den Empfang von privaten E-Mails zu untersagen. Dies kann zum Beispiel in den unternehmenseigenen Handlungsanweisungen festgehalten werden, aber auch Teil des Arbeitsvertrags sein. Ein derartiges Verbot wird in den Unternehmen dann auch entsprechend der firmeneigenen DSGVO-Compliance umgesetzt und kontrolliert – nur so ist gewährleistet, dass die betriebliche E-Mail-Kommunikation tatsächlich nicht auch zu privaten Zwecken genutzt wird.

Was ist mit dienstlichen E-Mails, die personenbezogene Daten enthalten?

Natürlich können auch dienstliche E-Mails, die gesendet oder empfangen werden, personenbezogene Daten enthalten, die gemäß Datenschutzverordnung zur Verarbeitung einer Einwilligung des Betroffenen bedürfen. Ein klassisches Beispiel für solche Fälle sind Bewerbungsunterlagen: Hier gilt der Grundsatz, dass personenbezogene Daten nur solange gespeichert werden dürfen, wie dies für den Zweck der Erhebung (also das Bewerbungsverfahren) notwendig ist. Nach Abschluss des Bewerbungsverfahrens ist eine Speicherung der personenbezogenen Daten aus diesem Verfahren demnach nicht zulässig: Das spricht übrigens auch gegen die unwissentliche Einrichtung sogenannter Bewerberpools, auf die das Unternehmen erst bei Bedarf zurückgreift.

Rechtssichere Archivierung

Die rechtssichere und damit gesetzeskonforme E-Mail-Archivierung hat nicht erst seit der Datenschutzgrundverordnung in den Unternehmen jeder Größenordnung für ein Umdenken gesorgt. Im Vordergrund steht dabei insbesondere die Überlegung, wie ein Unternehmen zum einen die rechtlichen Aufbewahrungspflichten (insbesondere die aus dem Steuerrecht resultierenden Pflichten) und zum anderen den Schutz der personenbezogenen Daten bzw. die datenschutzrechtlichen Anforderungen insgesamt im wirtschaftlichen Alltag umsetzen kann.

Wichtig zu wissen:

Neben den Aufbewahrungspflichten, die sich aus der Abgabenordnung bzw. aus dem Handelsgesetzbuch ergeben (siehe oben), können sich auch aus anderen Rechtsvorschriften Aufbewahrungspflichten ergeben. Diese enthalten zum Teil abweichende Fristen zur Aufbewahrung. Welche Aufbewahrungspflichten für Ihr Unternehmen einschlägig sind und wie sich diese rechtssicher umsetzen lassen, ist eine Aufgabe für einen zertifizierten Datenschutzbeauftragten. Er hilft Ihnen nicht nur bei der Implementierung eines funktionierenden Archivsystems, sondern auch bei der Umsetzung und Prüfung von handels- und steuerrechtlichen Vorschriften zur Aufbewahrung.
Neben einem individuell angepassten Archivsystem benötigen Sie zudem zur rechtssicheren E-Mail-Archivierung auch ein passendes Löschkonzept – dieses ist notwendig, um den gesamten Vorgang rund um die Aufbewahrung von E-Mails auch gegenüber den Aufsichtsbehörden transparent zu dokumentieren.

Lokale vs. Online E-Mail-Archivierung

In der Regel wird das E-Mail-Archiv dort angelegt, wo auch das Unternehmen sitzt: Die lokale Speicherung bzw. die lokale E-Mail-Archivierung hat damit den Vorteil, dass die Kontrolle über die gespeicherten Mails und die Kontrolle über die unternehmenseigene Compliance in der Hand des Unternehmens selbst liegen.

Das gilt insbesondere in Punkto Umsetzung der datenschutzrechtlichen Anforderungen: Durch die lokale E-Mail-Archivierung wird sichergestellt, dass dabei die einschlägigen Vorschriften vollumfassend umgesetzt werden können. Allerdings beinhaltet die lokale E-Mail-Archivierung auch Nachteile, denn je nach Umfang und Größe Ihres Unternehmens kann die Aufbewahrung große Dimensionen annehmen und durch die enormen Datenmengen ein großes Maß an Zeit und Ressourcen beanspruchen.

Daher hat sich in der Vergangenheit die E-Mail-Archivierung per Cloud-Lösung bewährt: Als Online-Archiv werden die Datenmengen so nicht mehr vor Ort gespeichert, sondern über eine Online-Anwendung aufbewahrt. Der Vorteil: Neben der schlanken Archivstruktur überzeugen cloudbasierte Archivsysteme auch durch die Tatsache, dass sie es Benutzern und Administratoren erlauben, orts- und zeitunabhängig auf archivierte E-Mails zugreifen zu können.
Wichtig zu wissen: Die Speicherung über die Cloud-Lösung ist nur dann eine Alternative zur lokalen E-Mail-Archivierung, wenn die gesetzlichen Vorschriften eine Speicherung von personenbezogenen Daten auch außerhalb der eigenen Landesgrenzen erlauben. Sprechen Sie mich auch hierzu an, um eine verbindliche Auskunft zu erhalten, die es Ihrem Unternehmen erlaubt, sich für die passende Lösung zu entscheiden. 

 

© 2020 My Holidaydreams UG