IT-Admin vs. Betriebsrat: E-Mail-Archivierung und Datenschutz

Persönliche Daten von MitarbeiternIn Gesprächen mit unseren Kunden erfahren wir manchmal, dass sich Projekte zur Implementierung unserer Software verzögern, weil unternehmensinterne Gremien und Personen, wie beispielsweise Betriebsrat oder die/der Datenschutzbeauftrage/r, Bedenken hinsichtlich des Datenschutzes haben. Dann werden diese Projekte erst einmal „on hold“ gesetzt, obwohl die Software bereits gekauft wurde. Vor dem Hintergrund der DSGVO, zu deren Erfüllung E-Mail-Archivierung eine wichtige Rolle spielt, gewinnt der Sachverhalt „E-Mail-Archivierung und Datenschutz“ erneut hohe Aktualität. Aus diesem Grund möchten wir noch einmal das Thema „Konflikte zwischen Datenschutz und E-Mail-Archivierung“ aufgreifen.

Eines ist Fakt: E-Mail-Archivierung ist Pflicht! Vorgeschrieben wird das durch die „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“ (GoBD) Der Archivierungspflicht unterliegt jegliche Korrespondenz, durch die ein Geschäft vorbereitet, abgewickelt, abgeschlossen oder rückgängig gemacht wird. Beispiele dafür sind Rechnungen, Aufträge, Reklamationsschreiben, Zahlungsbelege und Verträge. Weil all diese Dokumente heute auch per E-Mail versendet werden, gilt die Archivierungspflicht ebenfalls für E-Mails mit oben aufgeführtem Inhalt. E-Mail-Anhänge müssen genauso archiviert werden, wenn die E-Mail ohne diese Anlagen unverständlich oder unvollständig ist.

Datenschutzrechtliche Bedenken bei Archivierung aller E-Mails

In Anbetracht der Masse der täglich empfangenen und versendeten E-Mails ist eine Kategorisierung in archivierungspflichtige und nicht-archivierungspflichtige E-Mails fast unmöglich. Um aber nicht Gefahr zu laufen, gegen geltendes Recht zu verstoßen und die Vollständigkeit der Archivierung zu gewährleisten, werden häufig alle E-Mails sofort bei Ein- und Ausgang archiviert. Diese Archivierungsstrategie kann jedoch in Konflikt mit den Datenschutzrichtlinien stehen und deshalb Betriebsrat und Datenschutzbeauftragten zum Handeln zwingen. Besonders problematisch wird die Situation, wenn auch E-Mails von Betriebsärzten und Betriebsräten archiviert werden sollen. Das bedeutet für den Admin: Die Anschaffung oder Implementierung einer E-Mail-Archivierungssoftware verzögert sich, weil zuvor die Rahmenbedingungen abteilungsübergreifend nicht geklärt wurden.

Gemeinsam eine Lösung finden

Um das zu vermeiden, empfiehlt es sich, schon vorab Policies festzulegen, die die Pflicht zur Archivierung mit nötigem Datenschutz in Einklang bringen. Zur gemeinsamen Lösung dieses Problems kann die private E-Mail-Nutzung untersagt oder die ausschließliche Nutzung externer E-Mail-Dienste vorgeschrieben werden. Außerdem können E-Mail-Adressen von der Archivierung ausgeschlossen werden, wie zum Beispiel jene von Personalabteilung und Betriebsrat. Um juristisch auf der sicheren Seite zu sein, muss dies schriftlich fixiert, kontrolliert und konsequent durchgesetzt werden. Die schriftliche Fixierung kann zum Beispiel in Richtlinien zur Nutzung der firmeneigenen IT-Infrastruktur, in einer Betriebsvereinbarung, einer Einverständniserklärung der Belegschaft oder im individuellen Anstellungsvertrag erfolgen. In jedem Fall empfiehlt MailStore, sich dabei juristischen Expertenrat einzuholen.

Einen umfassenden Grundlagenbeitrag zum Thema „Was ist E-Mail-Archivierung?“ finden Sie hier.

Weitere Beiträge zum Konfliktfeld Datenschutz und E-Mail-Archivierung in unserem Blog:

Einen guten Überblick bietet unser kostenloser „Leitfaden zur rechtssicheren E-Mail-Archivierung“. Zum Download

Teilen

Ihr Kommentar