Wie wirkt sich die DSGVO auf die Aufbewahrung von E-Mails aus?

Aufbewahrungsfristen und E-Mails
Grundsätzlich sollten Informationen nur so lange gespeichert werden, wie dies unbedingt erforderlich ist. Sobald die Speicherfristen ausgelaufen sind oder ein Datenträger das Ende seiner Lebensdauer erreicht hat, müssen Maßnahmen ergriffen werden, um diese Datensätze sicher zu zerstören. Auch in dem aktuellen Gesetzestext in Deutschland steht geschrieben, dass „personenbezogene Daten, die für einen bestimmten Zweck verarbeitet werden, nicht länger aufbewahrt werden dürfen, als dies für diesen Zweck erforderlich ist“.
Des Weiteren werden darin einige bewährte Methoden beschrieben, die Unternehmen bei der Erstellung einer Datenaufbewahrungsrichtlinie berücksichtigen sollten. Diese Richtlinien werden bestenfalls auch direkt auf E-Mails angewandt. Wichtige Themen dieses Regelwerks sind beispielsweise die Beurteilung, wie lange personenbezogene Daten aufbewahrt werden, warum sie verwendet werden und wie sie entsorgt werden sollten.
Verwalten von Datenarchivierungen
Um das Auffinden und Verwalten von archivierten E-Mails zu erleichtern, sollte eine verbindliche Datenspeicheroption im Unternehmen festgelegt werden. Die Mischung von verschiedenen Speicherlösungen ist unbedingt zu vermeiden, da dadurch der Aufwand für den Exchange-Administrator immens ansteigt.
Auch sollte von der Verwendung von Bandmedien zur Datenarchivierung abgesehen werden. Zwar sind diese Medien ideal für die Langzeitspeicherung von Archivdaten geeignet, dennoch stellen sie die Unternehmen gleichzeitig vor die Herausforderung, die Zugänglichkeit über lange Zeiträume aufrechtzuerhalten.
Bei der Überprüfung einer E-Mail-Aufbewahrungsrichtlinie sollten Unternehmen beachten, auf welcher Banddatenart Datensätze gespeichert sind und welche Sicherungssoftware dafür verwendet wird.
Nicht selten befinden sich Unternehmen in Situationen, in denen Softwarelösungen oder Bandlaufwerke aus verschiedenen Gründen ausfallen und deshalb auf diese Daten nicht mehr zugegriffen werden kann. Aus diesem Grund sollten Unternehmen beim Speichern von E-Mails auf zukunftssichere Lösungen setzen.
Des Weiteren sollte Unternehmen auch klar sein, welche Daten sich auf jeweiligen Speichermedium befinden. Vermeiden Sie es, den Bandstatus auf mehrere Bandtypen sowie Sicherungssoftwarepakete ohne Katalogisierung zu verteilen.
Wenn Sie nicht sicher sind, welche Daten Sie gesichert haben oder wo sich diese befinden, lohnt es sich, Zeit zu investieren und sich einen Überblick zu verschaffen. Dies erleichtert Ihnen die Informationssuche, -wiederherstellung oder -löschung. Ein weiterer Vorteil einer logischen Katalogisierung ist, dass Sie sich den unnötig verschwendeten Speicherplatz und die damit verbundenen Kosten sparen.
Dauerhafte Löschung von E-Mails
Besonders im Zusammenhang mit den DSGVO-betroffenen Daten ist es wichtig, E-Mails rechtzeitig, sicher und dauerhaft zu löschen. Einer der Hauptgründe für das Löschen von Daten dieser Art ist die Verhinderung von möglichem Datenmissbrauch. Sollte dies Mitarbeitern auffallen, so können sie die über ein Hinweisgebersystem melden. Aber auch gerade Unternehmen mit vielen Mitarbeitern können in sehr kurzer Zeit große Mengen an E-Mail-Korrespondenzen ansammeln, was ein Hauptangriffspunkt für Hacker sein kann. Schließlich bedeuten mehr Daten auch immer mehr Risiko für Datendiebstahl.
Die Verwendung einer sicheren Löschmethode trägt ferner dazu bei, das Risiko von durchgesickerten, vertraulichen, archivierten Informationen zu verringern. Darüber hinaus müssen Unternehmen laut der DSGVO dem Antrag auf Löschung personenbezogener Daten gemäß Artikel 17 – dem „Recht auf Vergessenwerden“ – nachkommen.
Dies erfordert, dass Unternehmen alle Daten sicher und dauerhaft löschen, sobald diese das Ende ihrer Nutzungsdauer erreicht haben. Das Gleiche gilt auch für den Fall, dass eine betroffene Person die Löschung beantragt. Falls Ihre Organisation nicht über eine zertifizierte sowie überprüfbare Methode verfügt, sollten Sie zuerst Ihre Optionen überprüfen und eine angemessene Vorgehensweise als Teil Ihrer neuen Aufbewahrungsrichtlinie implementieren.
Planen einer E-Mail-Aufbewahrungsrichtlinie
Wenn Sie eine neue E-Mail-Aufbewahrungsrichtlinie für Ihr Unternehmen erstellen, sollten Sie alle in diesem Artikel behandelten Aspekte berücksichtigen. Stellen Sie jedoch sicher, dass Sie die Punkte entsprechend Ihrer Organisationsstruktur priorisieren. Denn der wahre Wert für Ihr Unternehmen besteht darin, dass Sie eine Regelung schaffen, die genau Ihren Anforderungen entspricht und Ihre Herausforderungen meistern kann.
Abschließend folgt noch eine kurze Zusammenfassung der angesprochenen Themen:
- Begrenzen Sie die Speicherung von E-Mails in aktiven Posteingängen auf einen bestimmten Zeitraum und halten Sie ein definiertes Limit für die Postfachgröße ein.
- Archivieren Sie E-Mails, die das vorgegebene Zeitlimit überschreiten. Stellen Sie jedoch sicher, dass die gespeicherten E-Mails weiterhin leicht zu durchsuchen sowie aufrufbar sind.
- Definieren Sie ein endgültiges Zeitlimit für Daten, die ab einem bestimmten Zeitpunkt gelöscht werden müssen.
- Entfernen Sie alle E-Mails, die diesen Zeitraum überschreiten, mit einem zertifizierten sowie professionellen Tool, welches eine Dokumentation über die gelöschten Daten führt.
- Informieren Sie die Benutzer über die Richtlinien und stellen Sie sicher, dass sie diese einhalten. Überprüfen Sie die Vorgaben fortlaufend und testen Sie regelmäßig den Zugriff auf archivierte Daten.
- Beachten Sie jedoch, dass nicht nur eine gesetzliche Vorgabe wie die DSGVO eine Voraussetzung für eine neue Richtlinie zur Aufbewahrung von E-Mails sein sollte.
In der DSGVO selbst gibt es keine genaue Definition, wie lange Unternehmen ihre E-Mails aufbewahren sollten. Es ist daher die Pflicht der Organisationen, ihre eigenen individuellen Strategien zu entwickeln und zu zeigen, dass eine entsprechende Methodik implementiert wurde.
Das Ansprechen der wichtigsten Aspekte der E-Mail-Aufbewahrung ist ein guter Anfang, um den Aufsichtsbehörden und Kunden zu zeigen, dass Sie das Richtige tun, wenn es um das Thema Datenschutz- sowie -sicherheit geht.
Haben Sie noch Fragen? Als externe Datenschutzbeauftragte helfen wir Ihnen weiter.