Wie wirkt sich die DSGVO auf die Aufbewahrung von E-Mails aus?

Um das Auffinden und Verwalten von archivierten E-Mails zu erleichtern, sollte eine verbindliche Datenspeicheroption im Unternehmen festgelegt werden. Die Mischung von verschiedenen Speicherlösungen ist unbedingt zu vermeiden, da dadurch der Aufwand für den Exchange-Administrator immens ansteigt.

Auch sollte von der Verwendung von Bandmedien zur Datenarchivierung abgesehen werden. Zwar sind diese Medien ideal für die Langzeitspeicherung von Archivdaten geeignet, dennoch stellen sie die Unternehmen gleichzeitig vor die Herausforderung, die Zugänglichkeit über lange Zeiträume aufrechtzuerhalten

Bei der Überprüfung einer E-Mail-Aufbewahrungsrichtlinie sollten Unternehmen beachten, auf welcher Banddatenart Datensätze gespeichert sind und welche Sicherungssoftware dafür verwendet wird.

Nicht selten befinden sich Unternehmen in Situationen, in denen Softwarelösungen oder Bandlaufwerke aus verschiedenen Gründen ausfallen und deshalb auf diese Daten nicht mehr zugegriffen werden kann. Aus diesem Grund sollten Unternehmen beim Speichern von E-Mails auf zukunftssichere Lösungen setzen.

Des Weiteren sollte Unternehmen auch klar sein, welche Daten sich auf jeweiligen Speichermedium befinden. Vermeiden Sie es, den Bandstatus auf mehrere Bandtypen sowie Sicherungssoftwarepakete ohne Katalogisierung zu verteilen.

nicht sicher sind, welche Daten Sie gesichert haben oder wo sich diese befinden, lohnt es sich, Zeit zu investieren und sich einen Überblick zu verschaffen. Dies erleichtert Ihnen die Informationssuche, -wiederherstellung oder -löschung. Ein weiterer Vorteil einer logischen Katalogisierung ist, dass Sie sich den unnötig verschwendeten Speicherplatz und die damit verbundenen Kosten sparen.

Revisionssichere Archivierung bezeichnet die Speicherung von elektronischen, geschäftsrelevanten Unterlagen gemäß den Anforderungen des Handelsgesetzbuches (§§239, 257 HGB), der Abgabenordnung (§§146, 147 AO) sowie der "Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff" (GoBD).

Dies umfasst ebenfalls weitere steuerrechtliche und handelsrechtliche Vorschriften für eine sichere und korrekte Aufbewahrung kaufmännischer Dokumente. Die gesetzlichen Aufbewahrungsfristen von sechs bis zehn Jahren müssen eingehalten werden.

Um eine revisionssichere E-Mail-Archivierung sicherzustellen, muss das verwendete Archivsystem die folgenden grundlegenden Kriterien erfüllen:

• E-Mails dürfen nicht verändert im Archiv abgelegt werden.
• Es darf keine E-Mail auf dem Weg oder im Archiv verloren gehen.
• Eine schnelle Wiederauffindbarkeit der E-Mails muss gewährleistet sein.
• Gelöschte E-Mails dürfen während ihrer vorgesehenen Lebenszeit nicht entfernt werden.
• Die angezeigten und gedruckten Versionen einer E-Mail müssen identisch mit den erfassten Originalversionen sein können.
• Durch Dokumentation bei Veränderungen in Organisation und Struktur des Archivs sollte es möglich sein, den ursprünglichen Zustand wiederherzustellen.
• Eine Migration auf neue Plattformen darf keinen Informationsverlust nach sich ziehen.

Was die Archivierungsdauer von E-Mails betrifft, orientieren sich viele Unternehmen an den Aufbewahrungsfristen für steuerliche Dokumente. Diese betragen zum Beispiel zehn Jahre für Buchungsbelege und Rechnungen. Diese Fristen werden dann auch auf entsprechende E-Mails übertragen. Geschäfts- und Handelsbriefe müssen hingegen sechs Jahre lang archiviert werden. Es ist wichtig zu beachten, dass diese Fristen erst beginnen, wenn der Inhalt der E-Mails keine steuerliche Bedeutung mehr hat und die Steuerfestsetzung abgeschlossen ist.

Bei der rechtssicheren Archivierung digitaler Dokumente muss besonders darauf geachtet werden, welche Hard- und Software verwendet wird. Die gespeicherten Belege und E-Mails müssen jederzeit wiederhergestellt oder lesbar gemacht werden können. Außerdem muss gewährleistet sein, dass nur befugte Personen Zugriff auf die archivierten Mails haben, um den Datenschutz im Unternehmen sicherzustellen. Dadurch soll verhindert werden, dass bereits archivierte Dokumente manipuliert werden können.

Die Datenschutzgrundverordnung (DSGVO) beinhaltet eine Regelung, dass alle nicht mehr verwendeten personenbezogenen Daten gelöscht werden müssen. Dies betrifft auch die E-Mail-Kommunikation.

Gemäß der DSGVO dürfen solche Daten nur für einen bestimmten Zweck gespeichert und verarbeitet werden. Ein Beispiel dafür ist die Erbringung einer speziellen Leistung, ohne die die Verarbeitung von Kundendaten nicht möglich wäre. Sobald dieser Zweck erfüllt ist, müssen die Daten gelöscht werden.

Es gibt jedoch zwei weitere Fälle, in denen Archivierung eingeschränkt oder untersagt ist: Zum einen betrifft dies die E-Mail-Kommunikation zwischen Mitarbeitern und dem Betriebsrat oder -arzt, welche vertraulich behandelt wird und daher nicht archiviert werden darf. Zum anderen dürfen auch persönliche E-Mails der Mitarbeiter vom Unternehmen nicht aufbewahrt werden. Es muss also klar unterschieden werden zwischen privater und dienstlicher E-Mail-Kommunikation.

Um sowohl den Aufbewahrungs- als auch den Löschpflichten nachkommen zu können, müssen Unternehmer drei wichtige Aspekte bei der Archivierung von E-Mails beachten:

1. Zunächst müssen persönliche Informationen wie zum Beispiel private Mitarbeiter-E-Mails erkannt und gekennzeichnet werden können.
2. Die Daten müssen klassifiziert sein, um feststellen zu können was sie enthalten und somit angemessene Aufbewahrungsfristen gewährleistet sind.
3. Zum Schluss sollten Zeiträume für diese Fristen definiert sein.Die Speicherung sollte strukturiert erfolgen inklusive Anhängen damit schnelles Auffinden gewährleistet ist.

Besonders im Zusammenhang mit den DSGVO-betroffenen Daten ist es wichtig, E-Mails rechtzeitig, sicher und dauerhaft zu löschen. Einer der Hauptgründe für das Löschen von Daten dieser Art ist die Verhinderung von möglichem Datenmissbrauch. Sollte dies Mitarbeitern auffallen, so können sie die über ein Hinweisgebersystem melden. Aber auch gerade Unternehmen mit vielen Mitarbeitern können in sehr kurzer Zeit große Mengen an E-Mail-Korrespondenzen ansammeln, was ein Hauptangriffspunkt für Hacker sein kann. Schließlich bedeuten mehr Daten auch immer mehr Risiko für Datendiebstahl

Die Verwendung einer sicheren Löschmethode trägt ferner dazu bei, das Risiko von durchgesickerten, vertraulichen, archivierten Informationen zu verringern. Darüber hinaus müssen Unternehmen laut der DSGVO dem Antrag auf Löschung personenbezogener Daten gemäß Artikel 17 – dem „Recht auf Vergessenwerden“ – nachkommen

Dies erfordert, dass Unternehmen alle Daten sicher und dauerhaft löschen, sobald diese das Ende ihrer Nutzungsdauer erreicht haben. Das Gleiche gilt auch für den Fall, dass eine betroffene Person die Löschung beantragt. Falls Ihre Organisation nicht über eine zertifizierte sowie überprüfbare Methode verfügt, sollten Sie zuerst Ihre Optionen überprüfen und eine angemessene Vorgehensweise als Teil Ihrer neuen Aufbewahrungsrichtlinie implementieren.

Wenn Sie eine neue E-Mail-Aufbewahrungsrichtlinie für Ihr Unternehmen erstellen, sollten Sie alle in diesem Artikel behandelten Aspekte berücksichtigen. Stellen Sie jedoch sicher, dass Sie die Punkte entsprechend Ihrer Organisationsstruktur priorisieren. Denn der wahre Wert für Ihr Unternehmen besteht darin, dass Sie eine Regelung schaffen, die genau Ihren Anforderungen entspricht und Ihre Herausforderungen meistern kann

Abschließend folgt noch eine kurze Zusammenfassung der angesprochenen Themen:

• Begrenzen Sie die Speicherung von E-Mails in aktiven Posteingängen auf einen bestimmten Zeitraum und halten Sie ein definiertes Limit für die Postfachgröße ein.
• Archivieren Sie E-Mails, die das vorgegebene Zeitlimit überschreiten. Stellen Sie jedoch sicher, dass die gespeicherten E-Mails weiterhin leicht zu durchsuchen sowie aufrufbar sind.
• Definieren Sie ein endgültiges Zeitlimit für Daten, die ab einem bestimmten Zeitpunkt gelöscht werden müssen.
• Entfernen Sie alle E-Mails, die diesen Zeitraum überschreiten, mit einem zertifizierten sowie professionellen Tool, welches eine Dokumentation über die gelöschten Daten führt.
• Informieren Sie die Benutzer über die Richtlinien und stellen Sie sicher, dass sie diese einhalten. Überprüfen Sie die Vorgaben fortlaufend und testen Sie regelmäßig den Zugriff auf archivierte Daten.
• Beachten Sie jedoch, dass nicht nur eine gesetzliche Vorgabe wie die DSGVO eine Voraussetzung für eine neue Richtlinie zur Aufbewahrung von E-Mails sein sollte.

In der DSGVO selbst gibt es keine genaue Definition, wie lange Unternehmen ihre E-Mails aufbewahren sollten. Es ist daher die Pflicht der Organisationen, ihre eigenen individuellen Strategien zu entwickeln und zu zeigen, dass eine entsprechende Methodik implementiert wurde.

Das Ansprechen der wichtigsten Aspekte der E-Mail-Aufbewahrung ist ein guter Anfang, um den Aufsichtsbehörden und Kunden zu zeigen, dass Sie das Richtige tun, wenn es um das Thema Datenschutz- sowie -sicherheit geht.

Haben Sie noch Fragen? Als externer Datenschutzbeauftragter helfen wir Ihnen weiter.