In Anbetracht der Masse der täglich empfangenen und versendeten E-Mails ist eine Kategorisierung in archivierungspflichtige und nicht-archivierungspflichtige E-Mails in der Praxis beinahe unmöglich. Um die Einhaltung von Compliance-Anforderungen und einer damit einhergehenden rechtssicheren Archivierung gerecht zu werden, entscheiden sich viele Unternehmen für eine bestimmte Archivierungsstrategie: Die Kombination aus E-Mail-Journaling und E-Mail-Archivierung – kurz: Journalarchivierung.
Was ist Journalarchivierung?
Aufgrund der gesetzlich geregelten Archivierungspflicht bevorzugen es viele Unternehmen einfach alle E-Mails sofort bei Ein- und Ausgang zu archivieren. Dazu wird die Journal-Funktion des E-Mail-Servers aktiviert. Alle E-Mails aus dem Journal werden ungefiltert im Archiv rechtskonform gespeichert. Mit diesem Vorgehen wird häufig nicht nur sichergestellt, dass der Archivierungspflicht nachgekommen wird, sondern auch der Manipulationen vorgebeugt. Denn Mitarbeiter können so die digitale Post vor der Archivierung weder verändern noch löschen, wie es die GoBD für steuerrelevante Unterlagen vorschreiben.
Konfliktpotential: Datenschutz und E-Mail-Archivierung
Die Themen Datenschutz und E-Mail-Archivierung bergen enormes Konfliktpotential, denn Journalarchivierung kann Unternehmen in Konflikt mit anderen gültigen Gesetzen bringen.
In diesem Artikel möchten wir diese Konflikte anhand konkreter Beispiele präsentieren und Lösungswege aufzeigen.
Welche Konflikte gibt es und wie können diese gelöst werden?
Konfliktszenario 1) Die private E-Mail-Nutzung
Herausforderung:
Ist den Arbeitnehmern die private E-Mail-Nutzung gestattet, unterliegt der Arbeitgeber als Telekommunikationsanbieter dem Bundesdatenschutzgesetz (BDSG), der Datenschutzgrundverordnung (DSGVO) und dem Telekommunikationsgesetz (TKG).
Lösung:
Zur Lösung dieses Problems kann Arbeitnehmer/Innen die private E-Mail-Nutzung in einer Betriebsvereinbarung untersagt werden. Viele Unternehmen setzen nicht nur zu diesem Zwecke direkt eine Betriebsvereinbarung zur E-Mail- und Web-Nutzung, zum Umgang mit der Telefonanlage und privaten Handys am Arbeitsplatz auf.
Konfliktszenario 2) E-Mails von und an den Betriebsarzt
Herausforderung:
Es existieren noch gewisse Unsicherheiten, selbst wenn die private Nutzung der geschäftlichen E-Mail-Accounts explizit untersagt ist: Beispielsweise können auch dienstliche E-Mails durchaus datenschutzrechtlich relevante, personenbezogene Inhalte haben. In diesem Zusammenhang wird gegen eine generelle Archivierung aller E-Mails beispielhaft die mögliche elektronische Post des Betriebsarztes an einen Mitarbeiter angeführt. Selbstverständlich handelt es sich dabei um vertrauliche und somit schützenswerte Inhalte.
Lösung:
Diverse Softwarelösungen bieten an, dass Anwender eine gewisse Zeit haben Ihre privaten E-Mails manuell in bestimmte Ordner zu verschieben, die von der Archivierung ausgeschlossen sind. Das geht aber nur, wenn das Unternehmen eine Postfacharchivierung einrichtet und auf die Journalarchivierung verzichtet.
Hier gibt es demzufolge keinen einfachen Lösungsweg. Optimal wäre, wenn die Kommunikation mit und von dem Betriebsarzt nicht über die geschäftliche E-Mailadresse stattfindet.
Konfliktszenario 3) Bewerbungsverfahren
Herausforderung:
Gemäß § 35 Abs. 2 BDSG sind personenbezogene Daten zu löschen, wenn sie für eigene Zwecke verarbeitet werden, „sobald ihre Kenntnis für die Erfüllung des Zwecks der Speicherung nicht mehr erforderlich ist.“ Dementsprechend ist eine langfristige Aufbewahrung von Bewerbungsunterlagen nach Abschluss des Bewerbungsverfahrens nicht gestattet. Um sich vor einem etwaigen Verstoß gegen das Benachteiligungsverbot nach dem Antidiskriminierungsgesetz (AGG) zu verteidigen, ist lediglich eine Aufbewahrungsfrist von zwei Monaten nach Abschluss des Bewerbungsverfahrens gestattet (§ 15 Abs. 4 AGG).
Lösung:
Einrichten einer für Bewerbungs-Eingänge vorgesehene E-Mail-Adresse, die in einer eigenen Exchange-Datenbank angelegt ist, welche nicht archiviert wird.
Konfliktszenario 4) Betriebsrat
Herausforderung:
E-Mails an den Betriebsrat stellen ebenfalls sensible Informationen dar und unterliegen einem gesteigerten Persönlichkeitsrecht.
Lösung:
Eine extra dafür vorgesehene E-Mail-Adresse, die in einer eigenen Exchange-Datenbank angelegt und somit nicht archiviert wird.
Wie lassen sich die Konflikte lösen?
Die Lösung der Konfliktszenarien zeigt, dass vor allem ein separate Exchange-Datenbank sinnvolle Ergänzung bei der Archivierungsstrategie des E-Mail-Journaling sein kann.
E-Mails mit sensiblen personenbezogenen Inhalten gehören in separate Exchange-Datenbanken
Um Datenschutz-Konflikte zu vermeiden, wurden E-Mails mit sensiblen personenbezogenen Inhalten wie Bewerbungs-unterlagen oder E-Mails an den Betriebsrat oft in einer separaten Exchange-Datenbank angelegt, welche nicht archiviert werden. Führende deutsche IT-Rechtler vertreten zudem die Auffassung, dass bei einer Interessens-abwägung zwischen dem Datenschutz des Arbeitnehmers (Art. 2 Abs. 1 GG15 i.V.m. Art. 1 Abs. 1 GG) und dem Schutz des eingerichteten und ausgeübten Gewerbebetriebes des Arbeitgebers (Art. 14 Abs. 1GG) letzterer obsiegt. Der Begriff der „Erforderlichkeit“ (§ 32 BDSG) spielt hierbei eine wichtige Rolle. Denn aufgrund der zahlreichen Gesetze und Vorschriften besteht eben nicht nur ein Interesse, sondern geradezu die Pflicht zur Archivierung.
Allerdings müssen Unternehmen Ihre Informationspflicht über die E-Mail-Archivierung gemäß § 4 Abs. 3 BDSG nach-kommen und alle Mitarbeiter vor der Implementation einer entsprechenden Lösung informieren, welches durch die Veröffentlichung einer Betriebsvereinbarung geschehen kann.
Grauzone: Spam-Filterung vor der Archivierung
Die Spam-Filterung vor der Archivierung birgt grundsätzlich das Risiko, dass archivierungspflichtige E-Mails nicht durch den Spam-Filter und somit auch nicht in das Archiv gelangen.
Die Archivierung wäre ergo trotz Journaling nicht vollständig und streng genommen auch nicht rechtssicher.
In der Praxis bestehen in Bezug auf die Spam-Filterung bei der E-Mail-Archivierung folgenden Lösungsansätze:
Die Lösung für E-Mailarchivierung: Ein zertifiziertes und rechtssicheres DMS
Beim richtigen Umgang mit einem Dokumentenmanagementsystem lassen sich alle relevanten rechtlichen Anforderungen bei der Archivierung von E-Mails erfüllen. Dies lässt sich einerseits durch regelmäßige Zertifizierungen des Softwarelieferanten, andererseits durch ein umfassendes Technologiekonzept gewährleisten.
Das Dokumentenmanagement-System der d.velop AG wird beispielsweise regelmäßig durch eine unabhängige Wirtschaftsprüfungsgesellschaft zertifiziert.
Regelmäßige Zertifizierung
Die Prüfung basiert auf der Grundlage der Prüfungsstandards des Instituts der Wirtschaftsprüfer in Deutschland e.V. (IDW) „Die Prüfung von Softwareprodukten“ (IDW PS 880) und berücksichtigt alle Teilaspekte der Grundsätze ordnungsgemäßer Buchführung, welche die Archivierung betreffen.
Im Einzelnen werden folgende gesetzliche Vorgaben beachtet:
- Vorschriften des Handels- und Steuerrechts über die Ordnungsmäßigkeit der Buchführung (§§ 238 ff. und § 257 HGB sowie §§ 140 ff. AO)
- IDW Stellungnahme zur Rechnungslegung „Grundsätze ordnungsgemäßer Buchführung bei Einsatz von Informationstechnologie (IDW RS FAIT 1)“
- Die „Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD)“ von 11/2014IDW
- Prüfungsstandard „Die Prüfung von Softwareprodukten (IDW PS 880)“
- Deutsches Umsatzsteuergesetz (UStG)
Umfassendes Technologiekonzept (am Beispiel des d.velop documents)
Mit dem d.velop Dokumentenmanagement können Unternehmen Journalarchivierung und regelbasierte E-Mail-Archivierung kombiniert nutzen und somit alle Vorteile moderner E-Mail-Archivierung einfach und sicher für sich nutzbar machen. Das DMS legt Kopien aller E-Mails in der zentralen E-Mail Dokumentenverwaltung ab und stellt so die Unveränderbarkeit, Sicherheit und Verfügbarkeit beliebiger Datenmengen über viele Jahre hinweg sicher. Anwender können beispielsweise über eine nahtlose Integration in Microsoft Outlook oder über eine Weboberfläche effektiv nach den archivierten E-Mails suchen und zugreifen.
Dokumentenmanagement: Mehr als nur die sichere Möglichkeit der E-Mail-Archivierung
Eine E-Mail-Archivierungslösung ist nur sicher, wenn sie auch genutzt wird. Damit eine Archivierungslösung Sinn ergibt, sollte sie sich in Unternehmensprozesse integrieren und Mehrwerte in Geschäftsvorfällen schaffen. E-Mails sind zum größten Teil eine wichtige Informationsquelle oder eine Aufforderung zum Handeln. Am besten ist es, wenn die Lösung sich dann in ein Dokumentmanagementsystem (DMS) integriert und alle E-Mails rechtskonform abspeichert, aber diese direkt zu Vorgängen, Digitalen Akten oder Geschäftsprozessen zuordnet.
So beherrscht und archiviert Ihr Unternehmen E-Mails sicher und erfolgreich!