IT-Admin vs. Betriebsrat: E-Mail-Archivierung und Datenschutz
In Gesprächen mit unseren Kunden erfahren wir manchmal, dass sich Projekte zur Implementierung unserer Software verzögern, weil unternehmensinterne Gremien und Personen, wie beispielsweise Betriebsrat oder die/der Datenschutzbeauftrage/r, Bedenken hinsichtlich des Datenschutzes haben. Dann werden diese Projekte erst einmal „on hold“ gesetzt, obwohl die Software bereits gekauft wurde. Vor dem Hintergrund der DSGVO, zu deren Erfüllung E-Mail-Archivierung eine wichtige Rolle spielt, gewinnt der Sachverhalt „E-Mail-Archivierung und Datenschutz“ eine hohe Aktualität.
Aus diesem Grund möchten wir noch einmal das Thema „Konflikte zwischen Datenschutz und E-Mail-Archivierung“ aufgreifen.
Eines ist Fakt: E-Mail-Archivierung ist in Deutschland Pflicht und nicht mit einem Backup vergleichbar! Vorgeschrieben wird das durch die „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“ (GoBD)“. Der Archivierungspflicht unterliegt jegliche Korrespondenz, durch die ein Geschäft vorbereitet, abgewickelt, abgeschlossen oder rückgängig gemacht wird. Beispiele dafür sind Rechnungen, Aufträge, Reklamationsschreiben, Zahlungsbelege und Verträge. Weil all diese Dokumente auch per E-Mail versendet werden, gilt die Archivierungspflicht ebenfalls für E-Mails mit oben aufgeführtem Inhalt. E-Mail-Anhänge müssen genauso archiviert werden, wenn die E-Mail ohne diese Anlagen unverständlich oder unvollständig ist.
Exkurs – Rechtssichere E-Mail-Archivierung
Weitere Infos zu einer rechtssicheren E-Mail-Archivierung finden Sie in unseren Leitfäden für die Länder Deutschland, Österreich und der Schweiz. Die Leitfäden bieten Hilfestellung im Hinblick auf das Konzept der Revisionssicherheit und beziehen sich auf nationale gesetzliche Anforderungen an den Umgang mit geschäftlichen E-Mails, wie z.B. die Abgabenordnung (AO) in Deutschland, die Bundesabgabenordnung (BAO) in Österreich und das Obligationenrecht (OR) in der Schweiz. Diese können Sie hier herunterladen.
Datenschutzrechtliche Bedenken bei Archivierung aller E-Mails
In Anbetracht der Masse der täglich empfangenen und versendeten E-Mails ist eine Kategorisierung in archivierungspflichtige und nicht-archivierungspflichtige E-Mails fast unmöglich. Um aber nicht Gefahr zu laufen, gegen geltendes Recht zu verstoßen und die Vollständigkeit der Archivierung zu gewährleisten, werden häufig alle E-Mails sofort bei Ein- und Ausgang archiviert (Journalarchivierung). Diese Archivierungsstrategie kann jedoch in Konflikt mit den Datenschutzrichtlinien stehen. Deshalb sind Betriebsrat und Datenschutzbeauftragte häufig wichtige Co-Entscheider, wenn es um die Archivierungsstrategie und die Auswahl eines passenden Produktes geht. Speziell in Deutschland ist es häufig der Fall, dass die Anschaffung einer Software, die personenbezogene Daten der Mitarbeiter verarbeitet, durch den Betriebsrat bestätigt werden muss. Besonders problematisch wird die Situation, wenn auch E-Mails von Betriebsärzten und Betriebsräten archiviert werden sollen. Das bedeutet häufig für die IT: Die Anschaffung oder Implementierung einer E-Mail-Archivierungssoftware verzögert sich, weil zuvor die Rahmenbedingungen abteilungsübergreifend nicht geklärt wurden.
Gemeinsam eine Lösung finden
Um das zu vermeiden, empfiehlt es sich, schon vorab interne Regelungen festzulegen, die die Pflicht zur Archivierung mit nötigem Datenschutz in Einklang bringen. Zur gemeinsamen Lösung dieses Problems kann die private Nutzung der geschäftlichen E-Mail-Konten untersagt oder die ausschließliche Nutzung externer E-Mail-Dienste vorgeschrieben werden. Außerdem können E-Mail-Adressen von der Archivierung ausgeschlossen werden, wie zum Beispiel jene von Personalabteilung oder Betriebsrat.
Um juristisch auf der sicheren Seite zu sein, sollte dies schriftlich fixiert, kontrolliert und konsequent durchgesetzt werden. Die schriftliche Fixierung kann zum Beispiel in Richtlinien zur Nutzung der firmeneigenen IT-Infrastruktur, in einer Betriebsvereinbarung, einer Einverständniserklärung der Belegschaft oder insbesondere im individuellen Anstellungsvertrag erfolgen. In jedem Fall empfehlen wir, sich dabei juristischen Expertenrat einzuholen.
Praxistipp: Aufbewahrungsrichtlinien festlegen
Unsere kommerziellen Produkte bieten dem IT-Admin mit den individuellen Aufbewahrungsrichtlinien, auch Retention Policies genannt, ein nützliches Feature. Richtig konfigurierte Aufbewahrungsrichtlinien helfen Nutzern von MailStore Server und der MailStore SPE u.a. die Anforderungen der DSGVO zu erfüllen, insbesondere das Recht auf Löschung persönlicher Daten (Artikel 17 DSGVO). Aber auch Anforderungen zu Aufbewahrungsfristen aus steuer- und handelsrechtlichen Hintergründen lassen sich hiermit als Regeln hinterlegen – diese werden von der Software automatisiert ausgeführt.
IT-Admins können mit Hilfe dieser Richtlinien genau bestimmen, wie lange unterschiedliche Arten von E-Mails archiviert werden sollen. Es kann also ganz einfach die minimale und maximale Aufbewahrungsdauer aller, oder aber mittels Suchkriterien bestimmter Nachrichten, festgelegt werden. Am Ende des Aufbewahrungszeitraums können Nachrichten entweder automatisch durch eine entsprechende Richtlinie oder manuell durch einen Benutzer mit entsprechender Berechtigung aus dem Archiv gelöscht werden. Eine ausführliche Beschreibung können Sie unserer Hilfe entnehmen. Einen ersten Einblick in die Einstellungen innerhalb von MailStore Server erlangen Sie durch unser Tech Tipp-Video.
Qualitätssicherung durch externe Zertifizierungen
Neben einer umfangreichen Qualitätssicherung, auf die wir großen Wert legen, wurden die beiden Lösungen MailStore Server und MailStore SPE zudem durch einen unabhängigen IT-Revisor nach IDW PS 880 zertifiziert. Bei dieser Zertifizierung werden alle Teilaspekte der Grundsätze ordnungsgemäßer Buchführung, welche die Archivierung betreffen, berücksichtigt. Ebenfalls darin inbegriffen sind die in Österreich und der Schweiz geltenden Anforderungen.
Darüber hinaus sind beide Lösungen DSGVO-zertifiziert. Diese Zertifizierung belegt, dass bei einer sachgerechten Anwendung eine den datenschutzrechtlichen Anforderungen genügende Verarbeitung der personenbezogenen Daten gemäß der DSGVO ermöglicht wird.
Die IDW PS 880 Zertifizierung von MailStore Server können Sie hier und die DSGVO-Zertifizierung von MailStore Server können Sie gerne über unsere Kollegen unter: [email protected] anfragen. Die beiden Zertifizierungen der MailStore SPE finden Sie im MailStore Partner Portal oder bekommen Sie über [email protected].
Weitere nützliche Informationen finden Sie hier:
- Grundlagenbeitrag: Was ist E-Mail-Archivierung?
- E-Mail-Archivierung vs. Backup – Die kritischen Unterschiede
- Kostenloser Leitfaden: Rechtssichere E-Mail-Archivierung mit MailStore Server
- Herausforderung E-Mail-Archivierung: Rechtssicherheit und Datenschutz
- Erfahrungsbericht: MailStore Server in einer Steuerberatungskanzlei
- Darf ich private E-Mails vom dienstlichen Account versenden?
Rechtlicher Hinweis
Dieser Blogbeitrag dient lediglich der Information und stellt keine Rechtsberatung dar. Es handelt sich lediglich um eine allgemeine Einführung ohne Anspruch auf Vollständigkeit. Im konkreten Einzelfall wenden Sie sich bitte an einen spezialisierten Rechtsanwalt. Eine Gewähr und Haftung für die Richtigkeit aller Angaben wird nicht übernommen.
Related posts
