E-Mail-Management: Compliance und E-Mails – Was ist zu beachten?

Im geschäftlichen Kontext ist die altgediente E-Mail trotz vieler neuer Kommunikationsmittel, wie zum Beispiel Instant Messaging-Diensten oder Social-Intranets, immer noch das Kommunikationsmittel Nummer 1. Gerade in geschäftlichen E-Mails befinden sich oft sensible und auch schützenswerte Inhalte. In diesem Kontext stößt man schnell auf den Begriff „Compliance“. Aber was genau bedeutet dies im Zusammenhang mit der beruflichen E-Mail-Kommunikation?

Bildquelle: www.pixabay.com, TeroVesalainen

Der Begriff Compliance bezeichnet grundsätzlich die Einhaltung sämtlicher Vorschriften wie etwa der Gesetze, Verwaltungsvorschriften, Erlasse oder auch unternehmensinternen Richtlinien durch ein Unternehmen (auch Regelkonformität genannt).

Die Folgen einer Nichteinhaltung können von unternehmensinternen Konsequenzen wie Ermahnung, Abmahnung oder Kündigung über zivilrechtliche Ansprüchen Dritter (z.B. Schadenersatzklagen) bis hin zu staatlichen Strafverfolgungen (z.B. Freiheits- oder Geldstrafen) reichen. Darüber hinaus kann ein möglicher Reputationsverlust schwer absehbare Folgen haben.

Im Hinblick auf den Zusammenhang mit E-Mails umfasst der Begriff Compliance zwei Themenbereiche:

  1. Legal Compliance (Einhaltung gesetzlicher Bestimmungen) bedeutet, dass die Geschäftsleitung eines Unternehmens dafür sorgen muss, dass alle Gesetze, Regeln und Vorschriften eingehalten werden, die für das Unternehmen und dessen Aktivitäten gelten. Zusätzlich zu den lokalen Vorschriften, gibt es auch Regeln die die grenzüberschreitenden Aktivitäten (z. B.: Zollvorschriften, Sanktions- oder Embargolisten) des Unternehmens regeln.
  2. Unter ein Compliance Management System fallen alle Maßnahmen, die zur Erreichung der Beachtung der Compliance-Vorschriften dienen. Hierzu zählen auch regelmäßige Schulungen der verantwortlichen Mitarbeiter und die konsequente Überwachung und Dokumentation.

Compliance, Regulatory Compliance und E-Mail Compliance

Die drei Begriffe Compliance, Regulatory Compliance oder auch E-Mail Compliance werden oft synonym verwendet, weswegen im Folgenden vereinfachend von Compliance gesprochen wird. Welche Rolle spielt nun der Bereich Compliance im Zusammenhang mit geschäftlichen E-Mails?
Im Folgenden werden vier Kategorien von Vorschriften und Richtlinien, die für geschäftliche E-Mails wichtig sein können, näher erläutert und jeweils mit einem Praxisbeispiel etwas mehr in der Tiefe erläutert.

1. Einhaltung nationaler und ggf. branchenspezifischer Vorschriften

Erklärung: Nationale und branchenspezifische Vorschriften sind sehr vielfältig. Hierunter fallen Vorschriften zum Beispiel aus dem Gesundheitswesen, der Umweltbranche, der Lebensmittelindustrie, der Versicherungs- und Finanzbranche, dem Rechtswesen und dem Steuerrecht. Folgend ein paar für das E-Mail-Management relevante Beispiele:

  • AO (Abgabenordnung) und HGB (Handelsgesetzbuch) in Deutschland
  • HIPAA (Health Insurance Portability and Accountability Act) für das Gesundheitswesen in den USA und FINRA (Financial Industry Regulatory Authority) für das Finanzwesen in den USA
  • SOX (Sarbanes-Oxley Act) in für börsennotierte Unternehmen in den USA

Fallbeispiel HIPAA

Ein Arzt in den USA möchte die in seiner Praxis aufgenommenen Röntgenbilder zusammen mit den entsprechenden Patientenstammdaten per E-Mail an den Patienten versenden. Doch welche rechtlichen Auflagen kommen nun auf den Arzt zu und was muss dieser beachten? HIPAA verlangt unter anderem technische Maßnahmen, die den hinreichenden Schutz von Gesundheitsinformationen sicherstellen. Hierbei kann beispielsweise eine E-Mail-Archivierung beziehungsweise ein Backup von E-Mails mit Gesundheitsinformationen sinnvoll sein. Diese beiden Maßnahmen sollen sowohl den nicht autorisierten Zugriff auf die elektronische Patientenakte als auch deren versehentliche oder mutwillige Löschung verhindern. Dabei kann auch eine Verschlüsselung während der Speicherung und Übertragung helfen.


1.1 Einhaltung allgemeiner Verwaltungsvorschriften (z. B. GoBD)

Erklärung: Eine so genannte Verwaltungsvorschrift ist eine Anordnung einer übergeordneten Verwaltungsbehörde an eine niedrigere Behörde. Ein Unternehmen ist nicht dazu verpflichtet nach den Verwaltungsvorschriften zu handeln. Für ein Unternehmen ist es aber empfehlenswert, da Behörden bei der Prüfung diese Anforderungen zu Grunde legen – zum Beispiel das Finanzamt im Kontext der GoBD.

Die Verwaltungsvorschrift „Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“ (GoBD) beschreibt beispielsweise, wie digitale Unterlagen aufbewahrt werden sollen. Dies ist wichtig, damit unter anderem das jeweils zuständige Finanzamt bei einer Betriebsprüfung auf diese Informationen zugreifen kann. Im Zusammenhang der GoBD mit geschäftlichen E-Mails müssen folgende Vorgaben beachtet werden:

  • Grundsatz der Nachvollziehbarkeit und Nachprüfbarkeit
  • Vollständigkeit und Richtigkeit
  • Zeitgerechte Buchungen und Aufzeichnungen
  • Ordnung
  • Unveränderbarkeit, Protokollierung von Änderungen
  • Belegwesen (Belegfunktion)
  • Umfang und Ausübung des Rechts auf Datenzugriff

Fallbeispiel GoBD

Ein Handwerksbetrieb in Deutschland schickt einem Kunden eine Rechnung zu einem durchgeführten Auftrag per E-Mail zu. Der Handwerksbetrieb sollte nun beachten, dass diese E-Mail mit der anliegenden Rechnung nun für einen bestimmten Zeitraum in einem entsprechenden E-Mail-Archiv manipulationssicher und vollständig aufbewahrt werden muss. Nur dann kann dieser die Aufbewahrungspflichten der §§ 257 HGB und 147 AO einhalten. Die zu beachtenden Aufbewahrungsfristen können jedoch im Einzelfall variieren.


2. Einhaltung internationaler Vorschriften (z.B. EU-Richtlinien und EU-Verordnungen, wie die DSGVO)

Erklärung: Richtlinien der Europäischen Union werden zunächst an den nationalen Gesetzgeber adressiert. Dieser nationale Gesetzgeber ist dann dazu verpflichtet die Vorschriften der europäischen Richtlinie in nationales Recht umzusetzen.
Im Gegensatz dazu ist eine Verordnung der Europäischen Union in den Mitgliedsstaaten unmittelbar wirksam und bedarf keines Umsetzungsakts. Die Datenschutzgrundverordnung (DSGVO) ist eine solche EU-Verordnung. Im Zusammenhang mit geschäftlichen E-Mails sollte ein Unternehmen sicherstellen, dass unter anderem die folgenden vier Betroffenenrechte erfüllt werden können, da solche E-Mails personenbezogene Daten beinhalten können:

  • Das Recht auf Auskunft (Artikel 15 DSGVO)
  • Das Recht auf Widerspruch (Artikel 21 DSGVO)
  • Das Recht auf Löschung (Artikel 17 DSGVO)
  • Das Recht auf Datenübertragbarkeit (Artikel 20 DSGVO)

Doch Vorsicht: Diese vier Rechte von Betroffenen können Unternehmen in den Konflikt mit anderen rechtlichen Vorschriften bringen. Beispielsweise muss eine E-Mail-Archivierung aufgrund der Vorgaben des deutschen Steuer- und Handelsrechts (AO, HGB) vollständig sein, jedoch könnte es aufgrund des Datenschutzrechtes (DSGVO) erforderlich sein, personenbezogene Daten aus einem Archiv zu löschen. Auch die Nutzung von privaten E-Mails am Arbeitsplatz, E-Mails des Betriebsrats, -arztes oder von Bewerberdaten können ein Problem darstellen.

Fallbeispiel DSGVO

Ein EU-Bürger und Kunde eines großen Online-Händlers fordert diesen auf, alle über ihn vorliegenden personenbezogenen Daten zu löschen (siehe Artikel 17 DSGVO). Die Suchfunktion einer E-Mail-Archivierungslösung kann das Versandhaus dabei unterstützen, etwaige E-Mails mit personenbezogenen Daten des Betroffenen schnell ausfindig zu machen und anschließend zu löschen. Achtung! Aufgrund von potenziellen Verstößen gegen sonstige Vorschriften ist es immer eine Frage des Einzelfalls, ob die jeweiligen Daten tatsächlich zu löschen sind.


3. Einhaltung unternehmensinterner Richtlinien (Company Policies)

Erklärung: Hierbei handelt es sich um durch Unternehmen freiwillig aufgestellte und für die Mitarbeiter verbindliche Regelungen, die keine Außenwirkung über das Unternehmen hinaus erzeugen. Da es hier um selbst aufgestellte Regeln geht, wollen wir hier nur ein paar Beispiele nennen:

  • Aufbewahrungsrichtlinien / Retention Policies
  • Postfachbegrenzungen / Mailbox Quotas
  • Zugriffsberechtigungen / Mailbox Permissions
  • Nutzungsrichtlinien / Usage Policies (z. B. private Nutzung nicht erlaubt)

Fallbeispiel Nutzungsrichtlinien

Ein Unternehmen beschließt, dass die private Nutzung des geschäftlichen E-Mail-Kontos nicht gestattet ist. Die Mitarbeiter des Unternehmens sollten sich streng an diese Vorgabe halten und private E-Mails nur über das private E-Mail-Postfach versenden.


4. Einhaltung des Datenschutzes z.B.: EU-DSGVO oder CCPA (California Consumer Privacy Act)

Erklärung: Der Datenschutz lässt sich in jeder der drei oben genannten Kategorien finden: Es gibt internationale, nationale und branchenspezifische Datenschutzvorschriften, sowie eventuell auch unternehmensinterne Richtlinien. Der Datenschutz beschäftigt sich mit dem Schutz der informationellen Selbstbestimmung des Bürgers, also z. B. dem Schutz vor Beeinträchtigungen seiner Privatsphäre durch unbefugte Verarbeitung, wie beispielsweise durch Erhebung, Speicherung und Weitergabe seiner personenbezogenen Daten durch Unternehmen, Institutionen und ähnlichen.

CCPA ist ähnlich zu der EU-DSGVO (Datenschutzgrundverordnung), welche Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten enthält. Beim CCPA werden aber im Gegenzug zur DSGVO auch Haushalts- und Gerätedaten erfasst. Bestandteil der CCPA sind somit unter anderem sämtliche kommerzielle Informationen im Hinblick auf die Kaufhistorie und die Konsumtendenzen, Internet- oder andere elektronische Netzwerkaktivitäten wie der Browserverlauf und auch Interaktionen mit Apps und Webseiten. Der CCPA zielt somit auf die personenbezogenen Daten ab, die ein Verbraucherprofil erstellen. Dieses Profil erfasst die Präferenzen, Verhaltensweisen und Merkmale des Verbrauchers. Zu den Kernkomponenten des CCPA gehört unter anderem folgende:

  • Recht auf Löschung der personenbezogenen Daten
  • Recht auf Auskunftserteilung bzw. Informationspflicht des Unternehmens
  • Recht auf Datenübertragbarkeit
  • Recht auf Opt-Out (Widerspruchsrecht)
  • Recht auf Gleichbehandlung

Fallbeispiel Recht auf Auskunftserteilung bzw. Informationspflicht des Unternehmens nach CCPA

Ein kalifornischer Kunde eines großen Unternehmens hat durch private Bestellungen, Newsletter-Anmeldungen und Website-Besuche einige personenbezogene Daten hinterlassen. Nun fordert dieser Kunde das Unternehmen auf, ihn über die gesammelten Daten zu informieren. Das Unternehmen ist nun dazu verpflichtet dem Kunden in leicht verständlicher Form unverzüglich und kostenlos per Post oder E-Mail, mitzuteilen, welche Kategorien und welche Daten im Einzelnen es über diesen sammelt. Hierunter wird der gesamte passive oder auch aktive Empfang von persönlichen Informationen verstanden. Wichtig: Das Unternehmen muss schon vor oder während der Sammlung der Daten über die Zwecke der Datenverarbeitung informieren.


Welche Rolle spielt die E-Mail-Archivierung?

Bildquelle: www.istockphoto.com, ugde

Wie kann ein Unternehmen den genannten Vorschriften, Gesetzen und Richtlinien gerecht werden?

Grundsätzlich gilt, dass nur die reine Sicherung von E-Mails nicht ausreicht, um diese Anforderungen zu erfüllen. Die E-Mail-Archivierungslösung MailStore Server kann ein Unternehmen bei der Einhaltung und Umsetzung von Compliance-Vorgaben hinsichtlich E-Mails unterstützen. MailStore Server bietet u.a. eine Reihe von speziellen Compliance-Features. Diese Features sollten Teil eines umfassenden Compliance-Konzepts sein, in das sich die Archivierung von geschäftlichen E-Mails als ein integraler Bestandteil einfügt. Darüber hinaus kann MailStore Server in gewissen E-Discovery-Szenarien helfen, etwa indem einem Auditor Lesezugriff auf das Archiv erteilt wird, so dass er sämtliche archivierte Mailboxen durchsuchen kann.

Jedes Unternehmen sollte jedoch beachten, dass der alleinige Einsatz einer Softwarelösung nicht ausreicht, um sämtliche Anforderungen zu erfüllen. Gerade auch die unternehmensinternen Prozesse, wie zum Beispiel der Umgang mit E-Mails, müssen entsprechend angepasst werden. Eine solide Strategie zur E-Mail-Governance ist somit definitiv zu empfehlen. Bei dieser kann eine E-Mail-Archivierung einen wichtigen Grundstein bilden.

Weitere Informationen

Zur E-Mail-Archivierung im Compliance-Kontext speziell für Unternehmen aus Deutschland, Österreich und der Schweiz bieten wir in unserem kostenfreien Leitfaden zur rechtssicheren E-Mail-Archivierung.
Eine Einführung in unsere Lösung MailStore Server inklusive einer Live-Demo erhalten Sie in unseren regelmäßig stattfindenden Webinaren. Wenn Sie selbst einen Testlauf fahren möchten, bieten wir Ihnen unsere kostenfreie 30-Tage-Testversion an. Bei Fragen während des Testzeitraums können Sie sich gerne an unseren technischen Support und unseren Kundenservice wenden.

Teilen

Ihr Kommentar