Warum E-Mail-Archivierung im Rechtswesen wichtig ist
E-Mails sind nach wie vor die wohl wertvollsten Informationsträger für Unternehmen aller Größen und Branchen. Im Zuge der rasanten Digitalisierung und des durch die Pandemie erzwungenen Übergangs zur Remote-Arbeit ist das E-Mail-Volumen rapide angestiegen. Statista prognostiziert, dass bis 2025 täglich über 376,4 Milliarden E-Mails verschickt werden – gegenüber 306,4 Milliarden im Jahr 2020.
Diese zunehmende Informationsflut und die Überlastung des Posteingangs haben dazu geführt, dass die E-Mail-Archivierung – also die Aufbewahrung und Auffindbarkeit aller ein- und ausgehenden E-Mails – zu einem wichtigen Thema für Unternehmen geworden ist. Laut IMARC hat der globale Markt für die Archivierung von Unternehmensinformationen – in dem E-Mails eine große Rolle spielen – im Jahr 2021 einen Wert von 6,51 Milliarden US-Dollar und wird bis 2027 voraussichtlich auf 14,91 Milliarden US-Dollar anwachsen, was einem Anstieg von über 14 % in sechs Jahren entspricht.
E-Mail-Management im Rechtswesen
Obwohl E-Mails für die meisten Unternehmen das wichtigste Kommunikationsmedium sind und in der Regel Nachweise für geschäftliche Aktivitäten beinhalten, greifen viele Organisationen – darunter auch Juristen – häufig auf herkömmliche Mailserver als Standardablage zurück. Da geschäftsrelevante E-Mails jedoch praktisch immer personenbezogene Daten und oft sogar sensible Informationen enthalten, stellt sich schnell die Frage nach der Einhaltung des Datenschutzes, die oft als potenzieller Konflikt mit den Aufbewahrungspflichten empfunden wird. Die einfache Speicherung von E-Mails in Outlook oder anderen E-Mail-Clients wie zum Beispiel Google Mail reicht oft nicht aus, um sowohl die Datenschutzbestimmungen als auch Aufbewahrungspflichten einzuhalten, die insbesondere für stark regulierte Branchen gelten. Darüber hinaus sind Unternehmen in vielen Ländern verpflichtet, elektronische Daten für Steuerprüfungen und andere Ermittlungszwecke aufzubewahren, was den Bedarf an einer unabhängigen E-Mail-Archivierungs- und E-Mail-Data-Governance-Strategie noch erhöht. E-Mail-Archivierung kann dabei helfen, Rechtsansprüche eines Unternehmens zu verteidigen und Beweise für wichtige Vereinbarungen, Erklärungen und Verträge aufzubewahren.
Da die auf der ganzen Welt existierenden gesetzlichen Standards für die Aufbewahrung geschäftsrelevanter Information und die Verarbeitung personenbezogener Daten variieren, ist das Thema E-Mail-Archivierung heute für viele Unternehmen von zentraler Bedeutung, um die rechtmäßige Verarbeitung personenbezogener Daten im Einklang mit den Aufbewahrungspflichten geschäftskritischer Daten sicherzustellen.
Für Juristen, ob sie nun im Namen ihrer Klienten tätig sind oder bei der Ausarbeitung von Richtlinien für Organisationen helfen, ist es wichtig, einige grundlegende Prinzipien zu verstehen, die eine rechtmäßige E-Mail-Archivierung definieren. Diese können komplex sein und von Kunde zu Kunde variieren, wobei die Richtlinien zur Datenaufbewahrung oft von spezifischen Branchenanforderungen bestimmt werden – insbesondere im Gesundheitswesen oder im Finanzsektor. Unternehmen müssen auch die Datenschutzgesetze berücksichtigen, wenn sie eine Strategie zur Einhaltung der Aufbewahrungspflichten entwickeln.
Allgemeine Richtlinien und Vorschriften
Juristen sollten sich bei der Ausarbeitung von E-Mail-Aufbewahrungsrichtlinien für Unternehmen der Grundsätze bewusst sein, die von den EU-Datenschutzrichtlinien und -verordnungen vorgeschrieben werden, insbesondere der allgemeinen Grundsätze für die Verarbeitung personenbezogener Daten gemäß Artikel 5 der Datenschutz-Grundverordnung (DSGVO) und der Rechte der betroffenen Personen, wie z. B. das Recht auf Löschung gemäß Artikel 17 der DSGVO. Obwohl die EU-DSGVO aufgrund des Brexit im Vereinigten Königreich nicht mehr gilt, ist die britische Datenschutz-Grundverordnung sehr ähnlich.
Gemäß Artikel 17 haben Personen, deren personenbezogene Daten von Unternehmen gespeichert werden, das Recht, unter bestimmten Umständen die Löschung ihrer Daten zu verlangen. Die Unternehmen sind verpflichtet, dem nachzukommen. Regeln für die automatische Löschung bestimmter E-Mails können Unternehmen dabei helfen, einige dieser Grundsätze einzuhalten. Bei automatisierten Löschvorgängen sollten aber auch die verschiedenen gesetzlich vorgeschriebenen Datenaufbewahrungsfristen berücksichtigt werden. Professionelle E-Mail-Archivierungslösungen können relevante E-Mails mithilfe einer Suchfunktion identifizieren und bei Bedarf ein Protokoll zur Dokumentation der rechtmäßigen Löschung erstellen.
Eine E-Mail-Archivierungslösung kann auch zur Einhaltung von Artikel 5 der DSGVO beitragen, in dem die allgemeinen Grundsätze für die Verarbeitung personenbezogener Daten mit Hilfe von Funktionen wie automatisierten Löschregeln, Verschlüsselung, Zugriffsbeschränkung und Prüfprotokollen umgesetzt werden. Zu diesen Grundsätzen gehören die Gewährleistung der Integrität und Vertraulichkeit, der Rechenschaftspflicht, der Zweckbindung und der Datenminimierung – zum Beispiel durch automatische Löschung, nachdem der ursprüngliche Zweck der E-Mail erreicht wurde.
Es ist jedoch zu bedenken, dass es für große Organisationen möglicherweise nicht ausreicht, Datenschutzvorschriften pauschal und abteilungsübergreifend anzuwenden. Denn es gibt auch länder- und fallspezifische Regelungen, die genau beachtet werden müssen. In Deutschland gibt es zum Beispiel spezifische Anforderungen an E-Mails und andere Dokumente im Zusammenhang mit Bewerbungen, die nach einer maximalen Aufbewahrungsfrist von drei bis sechs Monaten endgültig zu löschen sind.
Letztlich besteht die Aufgabe der Datenschutz-Grundverordnung darin, den in der EU ansässigen Personen das Recht einzuräumen, selbst zu entscheiden, wie ihre personenbezogenen Daten erhoben und gespeichert oder anderweitig verarbeitet werden, und sicherzustellen, dass sie rechtmäßig und sicher für den Zweck verwendet werden, für den sie erhoben wurden.
Während einige Unternehmen die EU-Richtlinie einhalten und Prozesse zur Gewährleistung des Datenschutzes vorhanden sind, fehlt es vielen Unternehmen an Mechanismen, um E-Mails fälschungssicher und gemäß der DSGVO aufzubewahren. Diese Unternehmen setzen sich einem nicht zu unterschätzenden Risiko aus. Denn in der EU und im Vereinigten Königreich haben Unternehmenskunden die Möglichkeit, zu jeder Zeit ihre Rechte als Betroffene wahrzunehmen, einschließlich des Rechts, ohne Verzögerung innerhalb eines Monats nach der ersten Anfrage Zugang zu den relevanten E-Mails zu erhalten.
Unternehmen können bei Nichteinhaltung der Datenschutz-Grundverordnung mit hohen Geldstrafen belegt werden. Das bedeutet, dass alle E-Mails sicher und angemessen aufbewahrt werden müssen und bei Bedarf in den Originalformaten leicht zugänglich sein müssen. Die Geldbußen können bis zu 20 Mio. Euro oder bis zu 4 % des weltweiten Jahresumsatzes betragen (je nachdem, welcher Betrag höher ist). Tatsächlich beläuft sich die Gesamtsumme der Bußgelder seit Februar dieses Jahres auf fast 1,6 Milliarden Euro, wobei das höchste jemals verhängte Bußgeld bei 746 Millionen Euro liegt – es wurde gegen Amazon wegen Nichteinhaltung der allgemeinen Datenschutzgrundsätze verhängt.
Es liegt daher auf der Hand, dass alle Anwaltskanzleien genau darauf achten müssen, wie sie das elektronische Kommunikationsmedium sowohl für sich selbst als auch für ihre Mandanten verwalten und archivieren, um sicherzustellen, dass sie alle aktuellen Datenschutzbestimmungen einhalten.
Definition der Aufbewahrung und Einhaltung der Vorschriften
Da die Anforderungen an die Aufbewahrung von E-Mails von Branche zu Branche, von Land zu Land und wahrscheinlich sogar von Unternehmen zu Unternehmen variieren können, ist es für Anwälte und Compliance-Beauftragte generell wichtig, sicherzustellen, dass E-Mails in Archiven aufbewahrt werden, die den geltenden rechtlichen und geschäftlichen Anforderungen entsprechen, und gleichzeitig zu gewährleisten, dass sie vor Löschung oder unbefugtem Zugriff geschützt sind – sei es durch böswillige Akteure, Unachtsamkeit der Mitarbeiter oder andere Ursachen.
Anwaltskanzleien müssen berücksichtigen, dass sich Richtlinien zur Datenaufbewahrung in bestimmten Branchen, beispielsweise im Gesundheitswesen, im Finanzwesen, in der Versicherungs- oder Pharmaziebranche, überschneiden oder unterscheiden können. Darüber hinaus können Anwaltskanzleien selbst verpflichtet sein, Aufzeichnungen über ihre Klienten und Fälle über einen bestimmten Zeitraum aufzubewahren, wie es in den Regeln der Anwaltskammern oder anderen Vorschriften vorgesehen ist.
Dies stellt eine große Herausforderung bei der Verwaltung und Speicherung von Daten dar. In Anbetracht der Tatsache, dass die Daten vollständig und originalgetreu gesichert und die Geschäftskontinuität im Falle von Cyberangriffen, Datenverlust und Datenschutz gewährleistet werden muss, sind E-Mail-Archivierungslösungen für Juristen von entscheidender Bedeutung.
Juristische Unternehmen benötigen diese Lösungen, um die je nach Land und Branche angemessenen Aufbewahrungsfristen einzuhalten, und gleichzeitig den geltenden Datenschutz zu berücksichtigen. Nur so sind sie in der Lage, den Informationsfluss zu überwachen, die Verfügbarkeit geschäftskritischer Daten zu gewährleisten und eine zuverlässige, mit der Zeit skalierbare Strategie für das Informationsmanagement einzuführen.
Dieser Artikel wurde zuerst in englischer Sprache unter https://www.legal-brief.co.uk/features-analysis/email-archiving-and-the-legal-sector/ veröffentlicht.