– was Sie jetzt wissen müssen
Selten war das Thema Datenschutz so präsent wie nun im Vorfeld der Europäischen Datenschutz-Grundverordnung (DSGVO), die am 25. Mai 2018 vollumfänglich in Kraft tritt. Technische und organisatorische Prozesse müssen in einem neuen Licht betrachtet werden – die E-Mail-Archivierung bildet hier keine Ausnahme.
Fragen und Antworten
Die “Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung von Büchern,
Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff”
(kurz GoBD) schreiben die manipulationssichere Archivierung aller geschäftskritischen
E-Mails vor. In Sachen Datenschutz bedeutet das zum einen, dass eine
E-Mail-Archivierung zu einem sauberen, nachvollziehbaren Datenmanagement
beiträgt – wie es beispielsweise auch in der Datenschutz-Grundverordnung gefordert
wird. Zum anderen heißt es aber auch, dass beispielsweise E-Mails privaten
Inhalts oder Bewerbungen gesondert zu behandeln sind, um dem Datenschutz
hier gerecht werden zu können.
Die Datenschutz-Grundverordnung definiert übergreifend die Grundlagen für eine
rechtskonforme Datenverarbeitung – und erlegt damit auch der E-Mail-Archivierung
Rahmenbedingungen auf. Als Beispiele seien hier angemessene Schutzmaßnahmen
zur Datensicherheit – wie Zugriffs-Management oder Verschlüsselung
– oder das Recht auf Vergessenwerden – also das Löschen entsprechender Datensätze
– genannt.
Gleichzeitig ermöglicht eine durchdachte E-Mail-Archivierung es, geschäftliche
Absprachen, Angebote und Abschlüsse transparent und nachvollziehbar aufzubewahren
– zum einen erfüllen Unternehmen so eine rechtliche Pflicht, zum anderen
ist ein sauberes Datenmanagement ein unverzichtbarer Baustein zur DSGVO-Konformität.
Denn ein intuitiv durchsuchbares und strukturiertes Archiv unterstützt Unternehmen
in Sachen Auskunftsfähigkeit, während automatisiert gepflegte und verfolgte
Aufbewahrungsfristen dazu beitragen, organisatorische Prozesse wie die Handhabung
von Bewerbungen datenschutzrechtlich korrekt zu gestalten und das Recht
auf Vergessenwerden zu wahren.
Um die Nachvollziehbarkeit geschäftlicher Prozesse lückenlos zu gewährleisten, sollten
E-Mails automatisch beim Eintreffen archiviert und im Idealfall aus dem Produktivsystem
entfernt werden, sobald sie ihren Zweck – wie beispielsweise eine Terminabsprache
oder einen Vertragsabschluss – erfüllt haben.
Die DSGVO gibt hierbei jedoch übergeordnete Rahmenbedingungen vor, die teilweise
ein Spannungsverhältnis zur Archivierungspflicht entstehen lassen. So gilt es beispielsweise,
die unterschiedlichen Aufbewahrungsfristen bei verschiedenen Inhalten
zu bedenken und einzuhalten. Enden diese, müssen Unternehmen sie entsprechend
der Rechenschaftspflicht mittels eines prüf- und nachvollziehbaren Löschprozesses
aus dem Archiv entfernen.
Auch Artikel 25 der DSGVO zum “Datenschutz durch Technikgestaltung” stellt Anforderungen
an das E-Mail-Archiv. So sollten archivierte Nachrichten sowie beigefügte
Dokumente durch Zugriffskontrollen – beispielsweise via Passwort oder
singuläre Administratorenrechte – oder Verschlüsselung vor fremder, unbefugter
Einsichtnahme geschützt werden.
Letztlich bewegt sich das E-Mail-Archiv auch im Verhältnis zum Backup und sollte entsprechend
des Artikels 32, der die “Sicherheit der Verarbeitung” fordert, entsprechend
in der Backup-Strategie berücksichtigt werden. Denn die DSGVO fordert von Unternehmen
umfassende Maßnahmen, um die Verfügbarkeit der Daten auch bei einem physischen
oder technischen Zwischenfall schnell wiederherzustellen – das schließt auch
E-Mails mit ein
Private Nachrichten und E-Mail-Archivierung stehen sich in einem spannungsgeladenen
Verhältnis gegenüber: Wenn private Nachrichten über die automatische
Archivierung in das E-Mail-Archiv gelangen, unterliegt dieses automatisch dem Paragraf
88 des Telekommunikationsgesetzes – dem Post- und Fernmeldegeheimnis.
Damit darf das Archiv nicht mehr eingesehen werden, ohne dass eine Einverständniserklärung
des Betroffenen vorliegt. Auch eine Betriebsvereinbarung reicht
hier nicht aus, um sich über das Fernmeldegesetz hinwegzusetzen.
Am verlässlichsten werden solche Fälle von vornherein ausgeschlossen, wenn
Unternehmen private Kommunikation über die Firmenadresse vollständig untersagen.
Alternativ ist auch eine freiwillige Einwilligung zur Einsichtnahme möglich,
die vorab beim Einstellungsgespräch unterzeichnet wird – die aber nicht als Bedingung
zur Einstellung gelten darf, da sonst nicht von Freiwilligkeit gesprochen
werden kann.
Bewerbungen stehen ebenfalls in einem Spannungsverhältnis zwischen gesetzeskonformer
E-Mail-Archivierung und Datenschutz: Während sie als solche nicht zur
geschäftlichen Kommunikation zählen und damit nicht der GoBD unterliegen, werden
sie doch bei einem rechtskonform aufgesetzten Archivierungsmechanismus
automatisch bei Eingang archiviert.
Bei der Frage nach dem weiteren Vorgehen in diesen Fällen wird der Ansatz der
Verhältnismäßigkeit herangezogen: In der Regel wird der Aufwand, um Bewerbungen
von der automatischen Archivierung auszuschließen, als zu groß erachtet, um
praktikabel zu sein – besonders gemessen an dem Risiko, dem der betroffene
Bewerber im Falle einer Datenschutzverletzung ausgesetzt ist. Dieses Risiko wird
auch deshalb als niedrig eingestuft, da das Archiv lediglich mit Begründung auf die
GoBD eingesehen werden darf.
Hinzu kommt, dass eine Archivierung von Bewerbungen für Unternehmen durchaus
sinnvoll ist, denn über einen Zeitraum von bis zu sechs Monaten können Bewerbungsunterlagen als Beweismittel herangezogen werden, sollte ein Bewerber gerichtlich gegen eine Ablehnung vorgehen. Hierzu kann ein zweites Archiv aus Gründen der Arbeitsorganisation aufgebaut werden, dass nicht automatisch am Gateway sondern nach Bedarf archiviert und aus dem Nachrichten entfernt werden können – Bewerbungen beispielsweise sollten nach Ablauf dieser Frist gelöscht
werden.
Die Themen E-Mail-Archivierung und Datenschutz sind ineinander verzahnt zu betrachten:
Die Archivierung geschäftskritischer E-Mails ist rechtlich in der GoBD gefordert
und trägt dabei zu einem transparenten und nachvollziehbaren Daten-Management
bei. Gleichzeitig stellt jedoch die DSGVO Regeln zur Ausgestaltung
und Verwaltung des Archivs auf, die es erforderlich machen, Nachrichtenverläufe
in Unternehmen zu strukturieren und – im Falle privater Nachrichten – zu reglementieren.
Erreicht werden kann dies nur durch einen Maßnahmen-Mix in Sachen
E-Mail-Kommunikation, Security und organisatorischen Policies.
Um hier bereits den grundlegenden Baustein sicher zu platzieren, ist eine professionelle
E-Mail-Archivierungslösung unerlässlich, die auf der einen Seite die rechtlichen
Ansprüche erfüllt und auf der anderen Seite ausreichend Möglichkeiten zum
datenschutzkonformen Archiv-Management bereithält. Genau das bietet Ihnen
MailStore – ob dank automatisierter Retention-Policies, verschlüsselten Archiven
oder den detaillierten Logfiles zur Nachvollziehbarkeit.
Übersicht für Entscheidungsträger
Wie funktioniert E-Mail-Archivierung?
Ein E-Mail-Archiv ist als eine Ergänzung zum bereits vorhandenen E-Mail-System zu betrachten, was selbstverständlich unverändert weitergenutzt wird. Der Administrator kann bestimmen, welche E-Mails zu welchen Zeitpunkten in das Archiv übertragen werden und ob die E-Mails nach der Archivierung aus den Postfächern des regulären E-Mail-Systems gelöscht werden sollen. Das Archiv kann auch sehr große Datenmengen effizient verwalten und allen Anwendern im Unternehmen einen schnellen und bequemen Zugriff auf die archivierten E-Mails ermöglichen.
Rechtliche Sicherheit
Die in Deutschland, Österreich und der Schweiz geltenden gesetzlichen Anforderungen (z.B. aus §147 AO oder §257 HGB) zwingen Unternehmen, E-Mails über viele Jahre hinweg vollständig, originalgetreu,manipulationssicher und jederzeit verfügbar aufzubewahren. Dies kann in der Praxis nur durch den Einsatz einer Archivierungslösung realisiert werden.
Die Verantwortung für die Umsetzung der gesetzlichen Anforderungen liegt bei der Geschäftsführung eines Unternehmens. Eine Verletzung der Archivierungspflicht kann mit steuerrechtlichen, inbestimmten Fällen auch mit zivilrechtlichen Sanktionen geahndet werden.
Darüber hinaus erleichtert die vollständige und gesetzeskonforme Archivierung die Nutzung von EMails im Rahmen von Gerichtsprozessen als Beweis und sichert ein Unternehmen zusätzlich ab.
Unabhängigkeit
Unabhängigkeit vom E-Mail-Server. Der kritische Aspekt beim Backup von E-Mail-Servern ist die Zeit, die für die Wiederherstellung der Daten im Schadensfall benötigt wird. In dieser Ausfallzeit, oft Stunden oder Tage, stehen dem Unternehmen und den Mitarbeitern geschäftskritische Informationen nicht zur Verfügung. Bei einem Ausfall des E-Mail-Servers oder bei Datenverlusten bleiben alle E-Mails für alle Anwender im Unternehmen über das E-Mail-Archiv zugreifbar. Geschäftsaktivitäten können ohne Unterbrechung fortgeführt werden.
Unabhängigkeit von externen Anbietern In vielen Unternehmen werden E-Mails nicht lokal unter eigener Kontrolle, sondern auf externeren Servern im Internet gespeichert. Dies setzt Vertrauen in die technischen Sicherungsmechanismen und in die Beständigkeit der Betreiber voraus. Die lokale Archivierung dieser Daten bildet eine einfache zusätzliche Sicherungsmaßnahme.
Unabhängigkeit von MailStore
Alle E-Mails können zu jeder Zeit und in Standardformaten aus dem Archiv heraus wiederhergestellt werden. Dies garantiert langfristige Unabhängigkeit - auch von MailStore selbst.
Schutz vor Datenverlusten
Anwender können wichtige E-Mails nach belieben und unbemerkt löschen. Oft löschen Anwender ihr gesamtes Postfach, wenn diese aus dem Unternehmen ausscheiden. Unternehmen verlieren so täglich wichtige Daten. Über eine E-Mail- Archivierungslösung können alle bestehenden, sowie alle zukünftig ein- und ausgehenden E-Mails im Unternehmen vollständig archiviert werden. E-Mails können dabei noch vor der Zustellung an den Anwender archiviert werden, wodurch Datenverluste vollständig ausgeschlossen werden.
Reduzierung von IT-Kosten und Aufwänden
Das stark steigende Datenvolumen setzt IT-Verantwortliche zunehmend unter Druck. Die Sicherheit und Verfügbarkeit der Daten sicherzustellen erfordert Jahr für Jahr mehr Zeit und Ressourcen. Durch E-MailArchivierung kann diese Kostenspirale wirkungsvoll durchbrochen werden:
- Storage-Anforderungen und Kosten werden durch die Auslagerung der E-Mails in ein Archiv
dauerhaft reduziert
-Die zeitaufwändige Wiederherstellung von E-Mails aus alten Datensicherungen (sofern diese diebetroffenen E-Mails noch enthalten) durch die IT-Abteilung entfällt vollständig; Anwender
können E-Mails bei Bedarf selbstständig wiederherstellen
-Die Komplexität von Backup- und Wiederherstellungsprozessen für den E-Mail-Server wird
deutlich reduziert
-Dezentral gespeicherte E-Mail können zusammengeführt und einfach gesichert werden
Die durch E-Mail-Archivierung eingesparten IT-Kosten erzeugen in der Regel schon nach kurzer Zeit einen Return on Investment (ROI).