In Unternehmen gibt es seit Längerem wohl vor allem ein Thema, bei dem der Geschäftsleitung der Atem stockt: Die Rede ist vom Datenschutz und seiner im Mai 2018 in Kraft getretenen Grundverordnung. Von vielen Seiten erntet das europaweite Datenschutzgesetz grundsätzlich Zuspruch und Lob, denn es stellt sicher, dass der Verbraucher die Oberhand über seine Daten behält. Doch Unternehmen bereitet das Thema oft noch Kopfschmerzen. Sie sind überfordert mit undurchsichtigen Vorschriften und dem erheblichen Mehraufwand, der für sie entsteht:

Erst ein Viertel der befragten deutschen Unternehmen erfüllt die EU-Datenschutzvorgaben vollständig. Zu diesem Ergebnis gelangte eine Bitkom-Studie im September 2019, die 500 Unternehmen zur Umsetzung der DSGVO befragt hatte.

Die befürchtete Abmahnwelle blieb zunächst aus. Stattdessen wurden kleinere Geldstrafen erhoben. Dies änderte sich jedoch im November 2019. Gegen die Wohnungsgesellschaft Deutsche Wohnen wurde das bislang höchste Bußgeld wegen eines Datenschutzverstoßes in Deutschland verhängt: 14,5 Millionen Euro. Der Grund für diese enorme Summe war das unternehmensweit eingesetzte Archivsystem, welches keine Möglichkeit zur Löschung nicht mehr benötigter Daten vorsah.

Genau diesem Thema wollen wir uns im Folgenden widmen und aufzeigen, welche Funktionen ein E-Mail-Archiv haben muss, damit es revisionssicher UND datenschutzkonform ist.

E-Mails DSGVO konform archivieren – aber richtig!

Im regen Geschäftsleben gilt die E-Mail als Kommunikationsmittel schon längst als Standard. Hier werden Rechnungen zu bezogenen Produkten und Leistungen an Kunden geschickt, Angebote und Anfragen an Lieferanten gesendet und vieles mehr. Im Zuge dieser Entwicklungen ist es kaum verwunderlich, dass der gesetzliche und behördliche Regelungsrahmen in Bezug auf den Umgang mit geschäftlichen E-Mails erweitert wurde. So ergibt sich für die Archivierung von E-Mails die rechtliche Grundlage aus den Grundsätzen zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff, kurz GoBD.

Die Archivierungspflicht betrifft damit jeden Kaufmann, Handelsgesellschaften und auch juristische Personen. Die Archivierungsdauer unterscheidet sich je nach Art der Korrespondenz. Während für herkömmliche Handels- und Geschäftsbriefe eine 6-jährige Archivierungsdauer vorgesehen ist, müssen Buchungsbelege, Rechnungen sowie Bilanzen und Jahresabschlüsse bis zu 10 Jahre lang aufbewahrt werden.

Verwendete Archivierungssysteme müssen entsprechend der GoBD folgende grundlegende Kriterien erfüllen, um eine revisionssichere E-Mail-Archivierung zu gewährleisten:

  • E-Mails müssen unverändert archiviert werden
  • Keine E-Mail darf auf dem Weg oder im Archiv verloren gehen
  • E-Mails müssen wiederauffindbar sein und das kurzfristig
  • E-Mails dürfen nicht während der vorgesehenen Lebenszeit gelöscht werden
  • E-Mails müssen genauso wie sie erfasst wurden, wieder angezeigt und gedruckt werden können
  • Durch eine Dokumentation bei Veränderungen in der Organisation und Struktur des Archivs muss die Herstellung des ursprünglichen Zustands möglich sein
  • Eine Migration auf neue Plattformen muss ohne Informationsverluste möglich sein

Zudem muss die Einhaltung gesetzlicher sowie betrieblicher Bestimmungen des Anwenders hinsichtlich Datensicherheit und Datenschutz über die Lebensdauer des Archivs sichergestellt werden.

Revisionssicher ist nicht gleich datenschutzkonform

Der aufmerksame Leser wird sich spätestens an dieser Stelle des Beitrages folgende Frage stellen: Wie kann ein Archivsystem wegen nichtbeachteter Löschpflichten abgemahnt werden, wenn E-Mails vollständig und revisionssicher archiviert werden sollen? Berechtigte Frage. Hier kommt die Auflösung:

Die Datenschutzgrundverordnung sieht eine Löschpflicht für alle personenbezogenen Daten vor, die nicht mehr verwendet werden. Dazu zählt auch jegliche E-Mail-Kommunikation. Eine Speicherung und auch die Verarbeitung von diesen Daten erfolgt nach der DSGVO also immer auf einen bestimmten Zweck hin. Der Zweck kann sich beispielsweise auf die Erbringung einer bestimmten Leistung beziehen, die ohne die Verarbeitung der Kundendaten nicht möglich wäre. Entfällt dieser Zweck nach einiger Zeit, müssen diese Daten gelöscht werden.

U

Ein Beispiel aus der Personalabteilung

Monika M. bewirbt sich bei einem mittelständischen Unternehmen der Tourismusbranche als Sachbearbeiterin. Typischerweise enthält die Bewerbung relevante persönliche Daten, wie Anschrift, Geburtstag und vieles mehr. Die Unterlagen werden von der Personalabteilung und der jeweiligen Fachabteilung geprüft

Überzeugt Monika M., wird sie zum Vorstellungsgespräch eingeladen und kann die Stelle im Idealfall besetzen. Um dann als Mitarbeiter des Unternehmens zu agieren und auch dafür entlohnt werden zu können, muss das Unternehmen Monikas Daten weiterhin speichern und verarbeiten.

Wenn Monika im Vorstellungsgespräch jedoch nicht überzeugen kann, entfällt die Grundlage einer Datenspeicherung. Das Unternehmen muss die Daten also spätestens sechs Monate nach der Absage vollständig vernichten. Und hier meint es auch wirklich „Löschen“. Dies schließt alle in Papier oder digitalisierter Form vorhandenen Unterlagen wie Anschreiben, Lebenslauf, Zeugniskopien, Notizen aus dem Bewerbergespräch, Probearbeiten und alle dazugehörigen empfangenen und erhaltenen E-Mails mit ein.

Neben der eben hier dargestellten Situation gibt es zwei weitere Fälle, in denen eine Archivierung eingeschränkt oder gar nicht gestattet ist. Darunter fällt zum einen die E-Mail-Kommunikation zwischen Mitarbeiter und Betriebsrat oder -arzt. Sofern es darüber hinaus den Mitarbeitern grundsätzlich gestattet ist persönliche E-Mails zu senden und zu empfangen, dürfen auch diese nicht vom Unternehmen archiviert werden.

Das revisionssichere und datenschutzkonforme Archivsystem

Wie bereits beschrieben ist die Speicherung personenbezogener Daten an einen bestimmten Zweck gebunden. Wie wir gesehen haben, kann sich dieser Zweck auch verändern. Eine gesetzlich auferlegte Aufbewahrungspflicht kann also auch als Zweck für die Speicherung von personenbezogenen Daten gelten.

Um sowohl der Aufbewahrungs- als auch der Löschpflicht nachkommen zu können, sollte ein Unternehmen bei der E-Mail-Archivierung vor allem drei wichtige Aspekte im Auge behalten. Zunächst müssen persönliche Informationen wie etwa die private E-Mail-Kommunikation der Mitarbeiter erkannt und markiert werden können. Die Daten müssen klassifiziert werden, um die Frage beantworten zu können, worum es sich hierbei handelt. Zu guter Letzt müssen Vorhaltezeiten etwa für Aufbewahrungsfristen definiert werden.

Besonders wichtig ist es also, bei der Auswahl des unternehmensweiten Archivsystems sowohl auf die Revisionssicherheit als auch auf die Datenschutzkonformität zu achten – denn nicht jedes Archivsystem kann Daten löschen und das kann, wie wir gesehen haben, teuer enden!

Hornetsecurity’s Archiving

Ein Archivsystem, welches alle Anforderungen erfüllt, noch dazu einen geringen Administrations- und Wartungsaufwand hat, ist das Hornetsecurity Archiving. Alle ein- und ausgehenden E-Mails werden vollautomatisch und sicher in der Cloud archiviert. Dadurch können die erforderliche Unveränderbarkeit und Vollständigkeit der E-Mails ohne Aufwand sichergestellt werden.

Weitere Features des Archivs sind die Markierung von privaten E-Mails sowie der gänzliche Ausschluss bestimmter Nutzer von der Archivierung wie beispielsweise Mitglieder des Betriebsrates. So können persönliche Daten im Sinne der DSGVO geschützt werden. Die Archivierungsdauer für die E-Mails kann im Voraus zwischen sechs Monaten etwa für Bewerbungen und 10 Jahren konfiguriert werden. Durch die vorhandene Volltextsuche können E-Mails schnell und gezielt gefunden werden. Abschließend sei erwähnt, dass Hornetsecurity’s Archiving auch eine sichere Import- sowie Exportfunktion in einem standardisierten Format besitzt.