E-Mail Governance: So werden Archivierung und Datenschutz nicht zum Widerspruch

Viele Unternehmen und zuvorderst ihre Betriebsräte und Datenschutzbeauftragten haben oft Bedenken, wenn es um die Archivierung von E-Mails geht. Schließlich sind darin personenbezogene Daten enthalten. Jedoch gibt es Aufbewahrungs- und Archivierungspflichten, an die sich Unternehmen auch im Sinn der Revisionssicherheit halten müssen. Dieser scheinbare Widerspruch lässt sich durch eine datenschutzkonforme E-Mail-Archivierungsstrategie lösen.

Mittlerweile ist die europäische Datenschutz-Grundverordnung (DSGVO) seit etwas über drei Jahren in Kraft. Dennoch herrscht vielerorts noch Unsicherheit, was die Umsetzung im eigenen Unternehmen angeht – besonders dann, wenn die Vorgaben der DSGVO scheinbar mit anderen Regularien kollidieren.

Revisionssicherheit und Datenminimierung

Grundsätzlich sind die meisten deutschen Unternehmen nach steuer- und handelsrechtlichen Vorgaben dazu verpflichtet, jedwede externe Korrespondenz, in der es um Vorbereitung, Abwicklung, Abschluss und Annullierung einer geschäftlichen Aktivität geht, für einen bestimmten Zeitraum aufzubewahren. Darunter fallen beispielsweise Rechnungen, Verträge, Zahlungsbelege sowie Auftrags- und Reklamationsschreiben. Die Aufbewahrungspflicht gilt auch dann, wenn die Inhalte in elektronischer Form, wie also zum Beispiel als E-Mail, vorliegen. Diese Archivierungsvorgaben sind für Unternehmen in Deutschland in den sogenannten Grundsätzen zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD) geregelt. In Österreich und der Schweiz gibt es vergleichbare Anforderungen. Diese Vorgaben gelten prinzipiell für alle Daten, die für die Besteuerung relevant sind. Dies umfasst unter anderem folgende Bereiche:

• Bücher und Aufzeichnungen, Inventare, Jahresabschlüsse, Lageberichte, die Eröffnungsbilanz sowie die zu ihrem Verständnis erforderlichen Arbeitsanweisungen und sonstigen Organisationsunterlagen,
• die empfangenen Handels- oder Geschäftsbriefe,
• Wiedergaben der abgesandten Handels- oder Geschäftsbriefe,
• Buchungsbelege und
• sonstige Unterlagen, soweit sie für die Besteuerung von Bedeutung sind.

Dadurch entsteht ein hohes Aufkommen an Daten, die Unternehmen revisionssicher archivieren sollten. Demgegenüber steht der Datenschutzgrundsatz der Datenminimierung, der besagt, dass man personenbezogene Daten nur in dem Umfang und für die Dauer erheben darf, wie sie auch zur Erreichung des jeweiligen Zweckes gebraucht sind. Einfach auf Verdacht alle E-Mails dauerhaft zu speichern, ist dementsprechend keine Lösung und auch nicht rechtskonform. Die Löschung von E-Mails sollte gemäß der Datenschutz-Grundverordnung nach Ablauf spezifischer Fristen oder auf Wunsch betroffener Personen erfolgen. Hier zeigt sich schon, dass Systeme für Backup und Datensicherung den komplexen Anforderungen nicht gerecht werden können, da diese nicht für die revisionssichere und datenschutzkonforme Speicherung von – in diesem Fall – E-Mails konzipiert sind.

Was eine E-Mail-Archivierungslösung leisten muss

Es gibt eine Reihe von Vorgaben, die eine rechtssichere Archivierungslösung unter anderem erfüllen sollte:

• Vollständigkeit der relevanten Dokumente (E-Mails und Dateianhänge)
• Unveränderbarkeit und Schutz vor Manipulation
• Nachvollziehbare Aufbewahrungsrichtlinien
• Protokollierung von Änderungen (Audit Log)
• Exportmöglichkeiten in Standardformate (etwa EML, MSG und PST)
• Zugriffsmöglichkeiten für externe Auditoren (zum Beispiel Betriebsprüfer).

Die meisten dieser Anforderungen sind durch die Revisionssicherheit getrieben. Das heißt, die Lösung und der von ihr verwaltete Datenbestand sollten einerseits einer Prüfung durch das Finanzamt standhalten. Auf der anderen Seite unterstützen bestimmte Funktionen einer professionellen E-Mail-Archivierung die Compliance hinsichtlich der DSGVO-Vorgaben. Nach Artikel 15 haben betroffene Personen beispielsweise ein Auskunftsrecht über ihre durch das entsprechende Unternehmen gespeicherten personenbezogenen Daten. Um dem nachzukommen, sollten Unternehmen, so trivial das auch klingen mag, zunächst selbst wissen, welche Daten über die betreffende Person gespeichert sind. Außerdem müssen diese Daten bei Bedarf zeitnah auffindbar und exportierbar sein. Eine gute E-Mail-Archivierung bietet daher eine volle Durchsuchbarkeit des E-Mail-Archivs auf Unternehmensebene und Exportmöglichkeiten in Standardformate.

Die gleichen Mechanismen unterstützen die Einhaltung weiterer DSGVO-Vorgaben wie das Recht auf Löschung (Artikel 17 DSGVO) oder das Recht auf Datenübertragbarkeit (Artikel 20 DSGVO). Weiterhin empfiehlt es sich, dass das Unternehmen die jeweilige Rechtsgrundlage berücksichtigt, bevor es personenbezogene Daten speichert und diese im nächsten Schritt verarbeitet.

Worauf Unternehmen bei der Implementierung achten sollten

Unternehmen, die nach einer E-Mail-Archivierungslösung suchen und Bedenken hinsichtlich der Datenschutzkonformität haben, können sich zunächst an Zertifizierungen unabhängiger Stellen orientieren. Obwohl es bislang noch keine explizite DSGVO-Zertifizierung der EU oder einer anderen offiziellen Stelle gibt, sind unabhängige Prüfungen durch Datenschutzexperten eine Hilfe, um IT-Entscheidern und Datenschutzbeauftragten bei der Auswahl einer entsprechenden Lösung zusätzliche Sicherheit zu verleihen. Entsprechende Nachweise und Prüfberichte sollten auf Anfrage von Herstellern beziehungsweise IT-Systemhäusern zu erhalten sein. Praxistipp: Häufig gibt es Bedenken von Seiten des Datenschutzbeauftragten oder des Betriebsrats. Daher sollten IT-Verantwortliche die Datenschutzbeauftragten und den Betriebsrat entsprechend frühzeitig als relevante Stakeholder bei der Auswahl einer E-Mail-Archivierungslösung involvieren.

Bevor es an die Umsetzung einer E-Mail-Archivierungslösung auf technischer Ebene geht, gilt es, vorab interne Rahmenbedingungen abteilungsübergreifend zu definieren und zu dokumentieren. Darin kann beispielsweise das Verbot privater E-Mail-Korrespondenz über die vom Unternehmen bereitgestellten E-Mail-Konten enthalten sein. Bestimmte E-Mail-Konten können Unternehmen zudem gesondert behandeln, beispielsweise wenn darüber die Kommunikation der HR-Abteilung mit Bewerbern oder zwischen dem Betriebsarzt und den Beschäftigten läuft. Bei der Ausgestaltung solcher internen Richtlinien ist es ratsam, unbedingt die Rechtsabteilung miteinzubeziehen und diese Richtlinien schriftlich festzuhalten. Ihre Einhaltung sollte darüber hinaus einer regelmäßigen Überprüfung unterlaufen.

Schaut man nun auf die technische Ebene der Lösung, die vor allem die IT-Abteilung betrifft, geht es auch darum, welche Möglichkeiten ein Tool für die Definition von Aufbewahrungsrichtlinien bietet. Insbesondere sollten Aufbewahrungsrichtlinien GoBD-konform definiert sein und gleichzeitig die Anforderungen aus der Datenschutzgrundverordnung unterstützen. Beispielsweise lässt sich über solche Richtlinien eine Mindestaufbewahrungsdauer definieren. Nach Ablauf dieser Frist kann entweder auf direktem Wege eine automatisierte Löschung erfolgen, oder der berechtige Administrator löscht E-Mails manuell auf Basis unternehmensinterner Vorgaben.

Fazit

Der Datenschutz und die revisionssichere Archivierung von E-Mails müssen keinen Widerspruch bedeuten. Richtig aufgesetzt können leistungsfähige Archivierungslösungen die Einhaltung der DSGVO-Anforderungen an das E-Mail-Management unterstützen. Leistungsstarke Such- und Exportfunktionen sorgen dafür, dass Unternehmen geforderte Daten schnell und unkompliziert finden und zum Beispiel betroffenen Personen, Auditoren etc. unverzüglich zur Verfügung stellen können. Backup-Lösungen sind für diesen Einsatzzweck nicht gedacht. Für Unternehmen sind die E-Mail-Archivierung und das Backup sich ergänzende Aspekte und sollten stets zusammen im Einsatz sein, da auch Archive von Systemausfällen betroffen sein können.

Dieser Beitrag wurde zuerst veröffentlicht in der LANline.