08. Mai 2021,
Bei Fragen rund um E-Mail-Archivierung und Datenschutz sind wir als IT-Profis oft die ersten Ansprechpartner. Wo gibt es Berührungspunkte bei der E-Mail-Archivierung und dem Datenschutz? Wir geben hier einen kurzen Überblick, was es alles zu beachten gibt.
Die Datenschutz-Grundverordnung (DSGVO) bildet als Verordnung seit 25. Mai 2018 den gemeinsamen Datenschutzrahmen in der Europäischen Union. Die DSGVO vereinheitlicht EU-weit die Regeln zur Verarbeitung personenbezogener Daten.
Nach den Grundsätzen zur ordnungsgemäßen Führung und Aufbewahrung von Geschäftsbüchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie jene zum Datenzugriff (kurz GoBD), sind Unternehmen verpflichtet, auch E-Mails manipulationssicher zu archivieren.
Einige Berührungspunkte zwischen der DSGVO und der manipulationssicheren E-Mail-Archivierung nach GoDB möchten wir hier kurz darstellen.
Nach den GoBD sind Unternehmen verpflichtet, eine manipulationssichere Archivierung aller geschäftskritischen E-Mails vorzunehmen. Die manipulationssichere E-Mail Archivierung trägt auf der einen Seite in Sachen Datenschutz grundsätzlich zu einem sauberen und nachvollziehbaren Datenmanagement bei, so wie es beispielsweise auch in der Datenschutz-Grundverordnung (DSGVO) gefordert wird. Um dem Datenschutz gerecht zu werden, müssen bei der E-Mail-Archivierung auf der anderen Seite beispielsweise private E-Mails oder Bewerbungen gesondert behandelt werden. Gelingt es, den Anforderungen der DSGVO und der GoBD gerecht zu werden, ist die E-Mail Archivierung rechtssicher.
Über die Datenschutz-Grundverordnung (DSGVO) werden übergreifend (EU Recht) die Grundlagen für eine rechtskonforme Datenverarbeitung definiert, welche bei der E-Mail-Archivierung (nationales Recht) zu berücksichtigen sind. Dazu gehören beispielsweise das Recht auf Vergessenheit und angemessene Schutzmaßnahmen zur Datensicherheit, wie die Verschlüsselung.
Die gesetzlich vorgeschriebene E-Mail-Archivierung nach GoDB bietet die transparente und nachvollziehbare Aufbewahrung geschäftlicher Absprachen, Angebote und Abschlüssen. Automatisiert gepflegte und verfolgte Aufbewahrungsfristen tragen dazu bei, organisatorische Prozesse wie den Umgang mit Bewerbungen datenschutzrechtlich korrekt zu gestalten und das Recht auf Vergessenwerden zu wahren. Die DSGVO-Konformität ist durch das Datenmanagement gewährleistet.
Die Datenschutz-Grundverordnung als europäische Verordnung gibt übergeordnete Rahmenbedingungen vor, welche bei der E-Mail-Archivierung zu beachten sind. Eine automatische E-Mail-Archivierung direkt beim Eintreffen oder beim Versenden ermöglicht die lückenlose Nachvollziehbarkeit geschäftlicher Prozesse. Zu berücksichtigen sind hierbei beispielsweise die unterschiedlichen Aufbewahrungsfristen bei verschiedenen Inhalten. Mittels eines prüf- und nachvollziehbaren Löschprozesses sind die Inhalte nach Ablauf der Frist aus dem Archiv zu entfernen. Es empfiehlt sich, schon im Vorfeld interne Regeln festzulegen, welche die Pflicht zur Archivierung mit dem Datenschutz in Einklang bringen. So können beispielsweise die private Nutzung der betrieblichen E-Mail untersagt und bestimmte Postfächer, wie die der Personalabteilung oder des Betriebsrates, gesondert behandelt bzw. von der Archivierung ausgeschlossen werden.
Obwohl Bewerbungen als solche nicht der geschäftlichen Kommunikation zuzurechnen sind und damit auch nicht der GoBD unterliegen, werden sie bei einer rechtskonform aufgesetzten Archivierung automatisch beim Eingang archiviert. Unternehmen können bei der Frage nach dem weiteren Vorgehen, für Bewerbungen die Einrichtung einer E-Mail Adresse für diesen Zweck in Betracht ziehen. Hier könnte die Frage der Verhältnismäßigkeit zwischen Aufwand, Bewerbungen von der automatischen Archivierung auszuschließen, und dem Risiko, dem der Bewerber im Falle einer Datenschutzverletzung ausgesetzt ist, in Betracht gezogen werden. Es könnte ein zweites Archiv, welches nach Bedarf archiviert, aufgebaut werden. Bewerbungen können dann innerhalb der Frist entfernt werden.
Wird die betriebliche E-Mail-Adresse für private Nachrichten genutzt und archiviert, dann unterliegt das E-Mail-Archiv automatisch §88 Telekommunikationsgesetz (TKG). Ohne Einverständniserklärung des Betroffenen darf das Archiv nicht mehr eingesehen werden. Das ist gerade im Home-Office ein Problem, da sich hier Privates und Berufliches schnell vermischen.
Unternehmen sollten bereits im Vorfeld für Klarheit sorgen und könnten beispielweise die private Kommunikation über die Firmenadresse verbieten. Eine weitere Möglichkeit wäre die Unterzeichnung einer freiwilligen Einwilligung zur Einsichtnahme beim Einstellungsgespräch, welche aber nicht als Bedingung zur Einstellung gelten darf.
Die zum Teil enge Verzahnung von E-Mail-Archivierung nach GoBD und Datenschutz nach DSGVO machen einen Maßnahmenmix aus E-Mail-Kommunikation, organisatorischen Policies und Security erforderlich, um den Anforderungen rechtskonform nachkommen zu können.
Hierfür ist eine professionelle E-Mail-Archivierungslösung erforderlich, welche die rechtlichen Ansprüche erfüllt und ausreichend Möglichkeiten bereitstellt, die E-Mail-Archivierung datenschutzkonform zu gestalten.
Mit dem KWM Mail-Archiv sind Sie auf der sicheren Seite.
Rechtskonforme E-Mail-Archivierung mit dem KWM Mail-Archiv als "Managed Service" auf deutschen Servern.