E-Mail-Archivierung und DSGVO – wie passt das zusammen?

E-Mail-Archivierung und DSGVO – wie passt das zusammen?

Die seit Mai 2018 aktive Datenschutzgrundverordnung stellt nach wie vor ein brisantes Thema dar. Besonders dann, wenn es um die konkrete Umsetzung geht. Nach knapp drei Jahren bescheinigen diverse Umfragen noch großen Handlungsbedarf bei Unternehmen. In einer Statista-Umfrage im September 2020 gaben lediglich 37 Prozent der 504 befragten Unternehmen an, die DSGVO größtenteils umgesetzt zu haben. Grund für den niedrigen Prozentsatz seien die zum Teil unklaren Vorschriften und zusätzlichen Anforderungen, die die DSGVO quasi zum „Fass ohne Boden“ machen.

Die Regelungen der DSGVO erstrecken sich auf nahezu alle Geschäftsaktivitäten, die ganz besonders seit vergangenem Jahr zunehmend digital abgewickelt werden. Einen besonderen Stellenwert nimmt hier die E-Mail-Kommunikation ein, da sie aus der Geschäftswelt kaum noch wegzudenken ist. Damit einher gehen auch zunehmende rechtliche Anforderungen hinsichtlich der geschäftlichen Korrespondenz – und ihrer Aufbewahrung. Und diese werden oftmals noch vollkommen unterschätzt:

Dass auch ein, den datenschutzrechtlichen Anforderungen nicht entsprechendes, Archivsystem teuer werden kann, zeigt der Fall der Deutsche Wohnen aus dem Jahr 2019. Das bis dato eingesetzte Archivsystem sah keine Löschmöglichkeit persönlicher Mieterdaten vor, die aber nach geltender DSGVO nicht länger hätten gespeichert werden dürfen. Das kam dem deutschen Unternehmen teuer zu stehen: 14,5 Millionen Euro Bußgeld.

Doch welche Anforderungen muss ein einwandfreies E-Mail-Archivierungssystem erfüllen? Damit soll sich nachfolgender Beitrag beschäftigen.

Revisionssichere E-Mail-Archivierung – was muss beachtet werden?

Die E-Mail-Kommunikation ist zum festen Bestandteil des Firmenalltags geworden: Rechnungen zu Produkten und Leistungen werden ausgetauscht, Angebote abgestimmt und Aufträge werden an Lieferanten erteilt. Was vor Jahren binnen mehrerer Tage über den Postweg geschickt wurde, lässt sich nun in Sekundenschnelle abwickeln.

Im Zuge dieser Entwicklungen ist es daher kaum verwunderlich, dass der gesetzliche und behördliche Regelungsrahmen entsprechend auf die geschäftliche E-Mail-Kommunikation erweitert wurde. So ergibt sich für die Archivierung von E-Mails die rechtliche Grundlage aus den Grundsätzen zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff, kurz GoBD. Generell meint die E-Mail-Archivierung das langfristige und systematische Schützen und Speichern von Daten in E-Mail-Nachrichten.

Dabei ranken sich zahlreiche Irrtümer um die Archivierungspflicht. Beispielhaft zu nennen sind hier Gedanken, dass nur Rechnungen archivierungspflichtig seien, dass Ausdrucken der E-Mails völlig ausreiche, durch Backup-Systeme die Archivierung doch mit abgedeckt würde und dass die Archivierungspflicht ja ohnehin nur für die Big Player gelte. Falsch!

Die Archivierungspflicht betrifft jeden Kaufmann, Handelsgesellschaften und auch juristische Personen. Die Archivierungsdauer unterscheidet sich je nach Art der Korrespondenz. Während für herkömmliche Handels- und Geschäftsbriefe (also jegliche geschäftliche E-Mail-Kommunikation) eine 6-jährige Archivierungsdauer vorgesehen ist, müssen Buchungsbelege, Rechnungen sowie Bilanzen und Jahresabschlüsse bis zu 10 Jahre lang aufbewahrt werden.

E-Mail-Archivierungsfristen

Die Archivierungssysteme müssen entsprechend der GoBD folgende grundlegende Kriterien erfüllen, um eine revisionssichere E-Mail-Archivierung zu gewährleisten:

  • E-Mails müssen unverändert archiviert werden
  • Keine E-Mail darf auf dem Weg oder im Archiv verloren gehen
  • E-Mails müssen wiederauffindbar sein und das kurzfristig
  • E-Mails dürfen nicht während der vorgesehenen Lebenszeit gelöscht werden
  • E-Mails müssen genauso wie sie erfasst wurden, wieder angezeigt und gedruckt werden können
  • Durch eine Dokumentation bei Veränderungen in der Organisation und Struktur des Archivs muss die Herstellung des ursprünglichen Zustands möglich sein
  • Eine Migration auf neue Plattformen muss ohne Informationsverluste möglich sein

Zudem muss die Einhaltung gesetzlicher sowie betrieblicher Bestimmungen des Anwenders hinsichtlich Datensicherheit und Datenschutz über die Lebensdauer des Archivs sichergestellt werden.

Doch: Revisionssicher ist nicht gleich datenschutzkonform

Der aufmerksame Leser wird sich spätestens an dieser Stelle des Beitrages folgende Frage stellen: Wie kann ein Archivsystem wegen nichtbeachteter Löschpflichten abgemahnt werden, wenn E-Mails vollständig und revisionssicher archiviert werden sollen? Berechtigte Frage. Hier kommt die Auflösung:

Die Datenschutzgrundverordnung sieht eine Löschpflicht für alle personenbezogenen Daten vor, die nicht mehr verwendet werden. Dazu zählt auch jegliche E-Mail-Kommunikation. Eine Speicherung und auch die Verarbeitung von diesen Daten erfolgt nach der DSGVO also immer auf einen bestimmten Zweck hin. Der Zweck kann sich beispielsweise auf die Erbringung einer bestimmten Leistung beziehen, die ohne die Verarbeitung der Kundendaten nicht möglich wäre. Entfällt dieser Zweck nach einiger Zeit, müssen diese Daten gelöscht werden.

U

Ein Beispiel aus der Personalabteilung

Monika M. bewirbt sich bei einem mittelständischen Unternehmen der Tourismusbranche als Sachbearbeiterin. Typischerweise enthält die Bewerbung relevante persönliche Daten, wie Anschrift, Geburtstag und vieles mehr. Die Unterlagen werden von der Personalabteilung und der jeweiligen Fachabteilung geprüft.

Überzeugt Monika M., wird sie zum Vorstellungsgespräch eingeladen und kann die Stelle im Idealfall besetzen. Um dann als Mitarbeiter des Unternehmens zu agieren und auch dafür entlohnt werden zu können, muss das Unternehmen Monikas Daten weiterhin speichern und verarbeiten.

Wenn Monika im Vorstellungsgespräch jedoch nicht überzeugen kann, entfällt die Grundlage einer Datenspeicherung. Das Unternehmen muss die Daten also spätestens sechs Monate nach der Absage vollständig vernichten. Und hier meint es auch wirklich „Löschen“. Dies schließt alle in Papier oder digitalisierter Form vorhandenen Unterlagen wie Anschreiben, Lebenslauf, Zeugniskopien, Notizen aus dem Bewerbergespräch, Probearbeiten und alle dazugehörigen empfangenen und erhaltenen E-Mails mit ein.

Neben der eben hier dargestellten Situation gibt es zwei weitere Fälle, in denen eine Archivierung eingeschränkt oder gar nicht gestattet ist. Darunter fällt zum einen die E-Mail-Kommunikation zwischen Mitarbeiter und Betriebsrat oder -arzt. Hierbei handelt es sich um vertrauliche Kommunikation, die von der Archivierung auszunehmen ist. Sofern es darüber hinaus den Mitarbeitern grundsätzlich gestattet ist, persönliche E-Mails zu senden und zu empfangen, dürfen auch diese nicht vom Unternehmen archiviert werden. Die private E-Mail-Kommunikation ist von der dienstlichen klar abzugrenzen.

Das revisionssichere und datenschutzkonforme Archivsystem

Wie bereits beschrieben ist die Speicherung personenbezogener Daten an einen bestimmten Zweck gebunden. Dieser kann sich im Verlauf auch verändern, wie das oben angeführte Beispiel aus dem Bewerbungsprozess visualisiert.

Um sowohl der Aufbewahrungs- als auch der Löschpflicht nachkommen zu können, sollte ein Unternehmen bei der E-Mail-Archivierung vor allem drei wichtige Aspekte im Auge behalten. Zunächst müssen persönliche Informationen wie etwa die private E-Mail-Kommunikation der Mitarbeiter erkannt und markiert werden können. Die Daten müssen klassifiziert werden, um die Frage beantworten zu können, worum es sich hierbei handelt, damit entsprechende Aufbewahrungsfristen gewährleistet werden können. Zu guter Letzt müssen die Zeiten für die Aufbewahrungsfristen definiert werden. Wichtig ist, dass die Speicherung strukturiert und indexiert erfolgt und auch Anhänge inkludiert. So ist ein schnelles Auffinden gewährleistet.

Besonders wichtig ist es also, bei der Auswahl des unternehmensweiten Archivsystems sowohl auf die Revisionssicherheit als auch auf die Datenschutzkonformität zu achten – denn nicht jedes Archivsystem kann Daten löschen und das kann teuer enden!

Hornetsecurity’s Archiving

Ein Archivsystem, welches alle Anforderungen erfüllt, noch dazu einen geringen Administrations- und Wartungsaufwand hat, ist das Hornetsecurity Archiving. Alle ein- und ausgehenden E-Mails werden vollautomatisch und sicher in der Cloud archiviert. Dadurch können die erforderliche Unveränderbarkeit und Vollständigkeit der E-Mails ohne Aufwand sichergestellt werden.

Weitere Features des Archivs sind die Markierung von privaten E-Mails sowie der gänzliche Ausschluss bestimmter Nutzer von der Archivierung wie beispielsweise Mitglieder des Betriebsrates. So können persönliche Daten im Sinne der DSGVO geschützt werden. Die Archivierungsdauer für die E-Mails kann im Voraus zwischen sechs Monaten etwa für Bewerbungen und 10 Jahren konfiguriert werden. Durch die vorhandene Volltextsuche können E-Mails schnell und gezielt gefunden werden. Abschließend sei erwähnt, dass Hornetsecurity’s Archiving auch eine sichere Import- sowie Exportfunktion in einem standardisierten Format besitzt.

Vielleicht ebenfalls für Sie von Interesse: