VOLLTEXTSUCHE
Fachartikel, 27.08.2007
Rechtssichere E-Mail-Archivierung – Teil 2
Zentrale Fragen und Handlungsempfehlungen
E-Mail-Kommunikation ist in jedem Unternehmen mittlerweile Standard. Einhergehend mit einer Fülle an rechtlichen Vorgaben zur E-Mail-Archivierung und zum Datenschutz sehen sich Verantwortliche mit einer Vielzahl an Fragestellungen konfrontiert. Finden Sie im zweiten Teil dieses zweiteiligen Beitrages Antwort auf die häufigsten Fragen zum Thema „Rechtssichere E-Mail Archivierung“.
Angesichts der doch recht schwierigen Materie, soll der bersicht und der Verstndlichkeit halber die nachfolgenden Rechtsprobleme im Rahmen einer „FAQ“ dargestellt werden:

:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
Frage Nr. 1: Sind auch die Anlagen der Handels- oder Geschftsmails aufbewahrungspflichtig?
:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::

Unklar ist oft, ob auch die Anlagen zu den Handels- oder auch Geschftsmails zu den aufbewahrungspflichtigen Unterlagen i.S.d. 238 II HGB gehren. Dies ist immer dann der Fall, wenn die jeweiligen Mails ohne die zugehrigen Anlagen nicht verstndlich sind.

:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
Frage Nr. 2: Sind auch Geschftsmails zu archivieren, die sich auf ein nicht zustandegekommenes Geschft beziehen?
:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::

Fr den Fall, dass das Handelsgeschft nicht zu einem Abschluss gekommen ist, wre die diesbezglich gefhrte Korrespondenz nicht aufbewahrungspflichtig.

:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
Frage Nr. 3: Schreibt das Gesetz bezglich der E-Mail Archivierung eine bestimmte Art und Weise vor?
:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::

Nein, das Gesetz hlt sich hier bewusst zurck bzw. privilegiert keine bestimmte Speichertechnologie. Es kommt nur darauf an, dass eine flschungssichere sowie dauerhafte Speicherung der Daten in elektronischer Form gewhrleistet wird. In diesem Zusammenhang sind auch die Grundstze ordnungsmiger DV-gesttzter Buchfhrungssysteme (GoBS) interessant. Danach drfen zu archivierende E-Mails drfen nur auf solchen DV-Systemen aufbewahrt werden, die es technisch ermglichen, dass bei ihrer Wiedergabe eine bildliche bereinstimmung mit dem Original gegeben ist. Originr digitale Unterlagen sind whrend der gesamten gesetzlichen Aufbewahrungsfrist in maschinell auswertbarer Form vorzuhalten. Eine alleinige Aufzeichnung auf Mikrofilm oder Papier reicht nicht mehr aus.

:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
Frage Nr.4: Ist es zulssig, die E-Mails in verschlsselter Form zu speichern?
:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::

Ja, dies ist prinzipiell zulssig, soweit die E-Mails bei der anschlieenden Lesbarmachung wieder ohne Probleme entschlsselt werden knnen. Dagegen ist es unzulssig, verschlsselte E-Mails an die Finanzbehrden zu bergeben – selbst wenn das jeweilige Entschlsselungsprogramm gleich mitgeliefert werden sollte.

:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
Frage Nr.5: Was bedeutet eigentlich die revissionssichere Archivierung von E-Mails?
:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::

Hierzu hat etwa der Verband Organisations- und Informationssysteme (www.voi.de) die folgenden zehn Grundstze zur Revisionssicherheit von elektronischen Mitteilungen (und Archiven) definiert:

  • Jede E-Mail wird unvernderbar archiviert,
  • Es darf keine E-Mail auf dem Weg ins Archiv oder im Archiv selbst verloren gehen,
  • Jede E-Mail muss mit geeigneten Retrievaltechniken (zum Beispiel durch das indexieren mit Metadaten) wieder auffindbar sein,
  • Es muss genau die E-Mail wiedergefunden werden, das gesucht worden ist,
  • Keine E-Mail darf whrend seiner vorgesehenen Lebenszeit zerstrt werden knnen,
  • Jede E-Mail muss in genau der gleichen Form, wie es erfasst wurde, wieder angezeigt und gedruckt werden knnen,
  • Alle E-Mails mssen zeitnah wiedergefunden werden knnen,
  • Alle Aktionen im Archiv, die Vernderungen in der Organisation und Struktur bewirken, sind derart zu protokollieren, dass die Wiederherstellung des ursprnglichen Zustandes mglich ist,
  • Elektronische Archive sind so auszulegen, dass eine Migration auf neue Plattformen, Medien, Softwareversionen und Komponenten ohne Informationsverlust mglich ist,
  • Das System muss dem Anwender die Mglichkeit bieten, die gesetzlichen Bestimmungen (BDSG, HGB, AO etc.) sowie die betrieblichen Bestimmungen des Anwenders hinsichtlich Datensicherheit und Datenschutz ber die Lebensdauer des Archivs sicherzustellen.

:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
Frage Nr.6: Welche Bedenken gibt es gegen eine zentrale Archivierungslsung?
:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::

Eine zentrale Archivierungslsung aller „unternehmenseigenen“ E-Mails stt dann auf Vor-behalte, wenn das jeweilige Unternehmen den Mitarbeitern auch die Nutzung des Email-Postfachs zu privaten Zwecken gestattet. Stellt man nmlich den betriebseigenen Internetzugang fr betriebsfremde (also private) Zwecke zur Verfgung, wird das Unternehmen in diesem Fall geschftsmiger Anbieter von Telekommunikationsdiensten.

Unternehmen, die die private Nutzung des Internet/E-Mailzugangs erlauben unterliegen als Telekommunikations- und Telediensteanbieter den folgenden, sich aus dem BDSG sowie dem TKG ergebenden rechtlichen Pflichten:

  • Die Erhebung von personenbezogenen Daten ist auf ein Mindestma zu reduzieren.
  • Jegliche berwachung und Speicherung der Inhalte und Verbindungsdaten ist unzulssig und stellt ein Versto gegen das Fernmeldegeheimnis dar, welches als Grundrecht nach 10 des Grundgesetzes nicht nur in der Sprachkommunikation sondern auch bei der Datenbertragung und der Internet-Nutzung Gltigkeit besitzt.
  • Die E-Mails, die nach dem Ende der Nachrichtenbermittlung auf dem unternehmenseigenen Server gespeichert sind, werden zwar nicht mehr vom Fernmeldegeheimnis geschtzt (so ein aktuelles Urteil des Bundesverfassungsgericht), dagegen jedoch von Artikel 2 Abs. 1 GG i.V.m. Art 1. Abs. 1 GG - dem Recht auf informationelle Selbstbestimmung.
  • Alle Inhalts- und Verbindungsdaten, die Auskunft ber die an der Internetnutzung oder am Emailverkehr Beteiligten geben knnten, sind durch angemessene technische Vorkehrungen und sonstige Manahmen vor Kenntnisnahme zu schtzen.

Diejenigen Unternehmen, die die private Internetnutzung erlauben, knnen eben nicht so ohne weiteres auf private E-Mails der Mitarbeiter zugreifen. Dasselbe gilt fr die Archivierung privater E-Mails. So sind die betreffenden E-Mails whrend des bertragungsvorganges durch das Fernmeldegeheimnis und anschlieend durch das Recht auf informationelle Selbst-bestimmung geschtzt (Art. 10 Abs. 1 Grundgesetz; Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 Grundgesetz). Fr den Fall, dass das Recht auf informationelle Selbstbestimmung verletzt wird, drohen ernst zu nehmende Sanktionen fr das Unternehmen, im schlimmsten Fall kommen Freiheitsstrafen in Betracht.

:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
Frage Nr.7: Sind Rckstellung fr die Archivierung zu bilden?
:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::

Ja, so entschied bereits am 19.08.2002 der Bundesfinanzhof (BStBl 2003 II S. 131), dass fr die zuknftigen Kosten der Aufbewahrung von Geschftsunterlagen, zu der das Unternehmen gem 257 HGB und 147 AO verpflichtet ist, im Jahresabschluss eine Rckstellung zu bilden ist.

Handlungsanleitung

Wie bereits an obiger Stelle ausgefhrt, bringt die Gestattung der privaten Nutzung der betriebseigenen IT-Infrastruktur durch die Mitarbeiter nicht zu unterschtzende rechtliche Komplikationen mit sich – gerade was auch die Archivierung von E-Mails anbelangt (vgl. oben). Aus dem Grund sollte man sich gut berlegen ob berhaupt und - wenn ja, - in welcher Art und Weise man die private E-Mail Kommunikation am Arbeitsplatz gestatten sollte. Im Folgenden sollen praxisnahe Lsungen aufgezeigt und im Hinblick auf die E-Mail-Archivierungsanforderungen rechtlich beleuchtet werden:

:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
1. Mglichkeit = Totalverbot des Einsatzes von E-Mails zu privaten Zwecken im Unternehmen
:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::

Zumindest aus rechtlicher Sicht scheint diese Lsung die ideale. Wird es den Firmenmitarbeitern untersagt, die betriebliche IT-Infrastruktur zur privaten E-Mailkommunikation zu nutzen, hat das jeweilige Unternehmen natrlich auch das Recht, beliebig und unbegrenzt auf die E-Mails der jeweiligen Mitarbeiter zuzugreifen bzw. auch zu archivieren. Eine automatisierte elektronische Archivierung sieht sich daher keine rechtlichen Bedenken ausgesetzt.

Das E-Mail Verbot sollte in dem Fall durch entsprechende Richtlinien betreffend der Nutzung der firmeneigenen IT-Infrastruktur durchgesetzt werden, welche sinnvollerweise (schon aus Beweisgrnden) jeder einzelne Mitarbeiter zu unterschreiben hat. Alternativ sind entsprechende Regelungen natrlich auch in einem individuellen Anstellungsvertrag mglich, obwohl dies in der Praxis doch eher die Ausnahme darstellt.

Zudem sollten die Richtlinien fr den Fall von Versten Sanktionen vorsehen, die in besonderen Fllen bis zu einer (verhaltensbedingten) Kndigung reichen knnen. Nicht zuletzt sollten stichprobenartige Kontrollen hinsichtlich der Einhaltung dieser Richtlinie durchgefhrt werden.
(Wegen des allgemeinen Betriebsklimas sei in diesem Zusammenhang empfohlen, bei den Mitarbeitern um ein Verstndnis fr ein Totalverbot der E-Mail Kommunikation zu privaten Zwecken zu werben – etwa mithilfe von Schulungen, welche die datenschutzrechtliche Problematik bei der privaten Nutzung von E-Mails nher bringen).

:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
2. Mglichkeit = Vorbehaltslose Erlaubnis des Einsatzes von E-Mails zu privaten Zwecken
:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::

Diese Alternative ist aus rechtlicher Sicht alles andere als ideal. Dem Arbeitgeber ist es verwehrt, den privaten E-Mailverkehr seiner Mitarbeiter zu lesen, ja geschweige denn zu archivieren. Konsequenz: Dem Arbeitergeber bleibt nichts anderes brig, als sich, in der Regel sehr aufwendigen und damit kostenintensiven technischen Lsungen zu bedienen, die in der Lage sind, private Mails von dienstlichen zu trennen. Von manchen Juristen wird vertreten, dass es in diesem Fall dem Arbeitgeber nicht verwehrt werden drfe, immerhin den Betreff der jeweiligen E-Mail zu ffnen bzw. sichtbar zu machen. Es darf jedoch bezweifelt werden, ob eine solche Vorgehensweise mit den bereits skizzierten datenschutzrechtlichen Bestimmungen in Einklang zu bringen ist. Rechtsprechung zu diesem Fall ist jedenfalls bislang nicht bekannt.

:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
3. Mglichkeit = Die Zwischenlsung
:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::

Natrlich ist auch eine Zwischenlsung denkbar, etwa dergestalt, dass den Mitarbeitern im Einzelnen vorgeschrieben wird, auf welche Art und Weise mittels E-Mails privat ber die firmeninterne IT-Infrastruktur kommuniziert werden kann. Folgende Lsungen bieten sich hierzu an:

  • Den Mitarbeitern kann neben einer geschftlichen E-Mailadresse auch eine privat (und als solche gekennzeichnete) E-Mailadresse zur Verfgung gestellt werden - verbunden mit der Auflage, dass nur letztere zu privaten Zwecken genutzt werden darf. Damit wrde eine zentrale, sowie effiziente Archivierung ermglicht werden, da auf diese Weise eine Vermischung privater wie auch dienstlicher E-Mail ausgeschlossenwrde. Nicht zuletzt wrde man damit auch etwaigen Konflikten mit Betriebsrten aus dem Weg gehen knnen, die ansonsten bei betrieblichen Vereinbarungen zur E-Mailnutzung hinzugezogen werden mssten. So wird etwa das Mitbestimmungsrecht von Betriebsrten seitens der Rechtsprechung recht weit gefasst. Es sei demnach aus-reichend, wenn technische Manahmen dazu geeignet sein knnten, den Arbeitnehmer zu berwachen – was naturgem gerade fr Telekommunikationssysteme gilt.
  • Auch knnte man an Regelungen denken, die dem Mitarbeiter vorschreiben wrden, private E-Mails auch im Header deutlich als „privat“ zu kennzeichnen. So wird es zum Teil auch von Behrden praktiziert.

Fazit

Der Gesetzgeber hat sich zum Ziel gesetzt, mittels einer ganzen Reihe von gesetzlichen Bestimmungen einen rechtlich verbindlichen Verhaltenskodex (s. dazu oben unter Abschnitt III) zu schaffen, um den Unternehmer zu einem gewissenhaften Risikomanagement, also dem planvollen Umgang mit unternehmerischen Risiken zu „erziehen“.

Das Thema „E-mail Archivierung“ stellt im Zusammenhang mit dem IT-Risikomanagement zwar nur ein Teilaspekt dar, gerade dieser aber in den letzten Jahren hohe Wellen geschlagen. So verlangt das Gesetz bereits seit ein paar Jahren vom Unternehmer, dass E-Mails, die in Bezug zu Rechtsgeschften stehen oder sonst wie steuerrechtlich relevant sind, nach handelsrechtlichen sowie steuerrechtlichen Anforderungen mehrere Jahre ordnungsgem zu archivieren sind. Aus diesem Grund tut jedes Unternehmen gut daran, elektronisch gespeicherte Mitteilungen revisionssicher und in einer Art und Weise zu speichern und zu indexieren, die den permanenten und schnellen Zugriff erlaubt („Allzeit-Verfgbarkeit“) und die Integritt der Daten gewhrleistet.

Angesichts der Probleme, die eine private Nutzung der betriebseigenen IT-Infrastruktur mit sich bringen kann ist es erstaunlich, dass nur die w enigsten Unternehmen (manchen Umfragen zufolge nur ca. 30 %) die private Nutzung von E-Mail und Internet durch ihre Angestellten regeln. So wird in den meisten Unternehmen die private Nutzung der unternehmenseigenen Kommunikationseinrichtungen auch fr private Zwecke gestattet bzw. zumindest stillschweigend geduldet. Viele Unternehmen scheinen sich dabei jedoch ber die daraus resultierenden rechtlichen Konsequenz nicht im mindesten im Klaren zu sein – insbesondere auch in Hinsicht der E-Mail Archivierungspflicht.

Aus dem Grund hat in jedem Unternehmen unmissverstndlich (!) klar definiert zu sein, in welchem Umfang die Nutzung der betriebsinternen Kommunikationseinrichtungen zu privaten Zwecken zulssig ist oder auch nicht. Denkbar wre in diesem Zusammenhang etwa, ausschlielich das private Telefonieren zuzulassen, jedoch nicht das private Surfen. Es empfiehlt sich insoweit, entsprechende Unternehmensrichtlinien auszuarbeiten, die sodann jeder (!) Mitarbeiter zu unterschreiben hat. Insbesondere haben diese Richtlinien auch fr den Fall von Versten Sanktionen vorzusehen.

Lesen Sie im ersten Teil ber Grundlagen und Rechtsvorschriften im Hinblick auf die E-Mail-Archivierung.

SERVICETIPP
Kostenloses eBook
Rechtliche Rahmenbedingungen der Archivierung von E-Mails
Das E-Book beschäftigt sich intensiv mit den rechtlichen Rahmenbedingungen der Archivierungspflicht von E-Mails (als Teil eines effektiven Risikomanagements) und zeigt insbesondere auf, welche Konflikte im Zusammenhang mit dem Datenschutz bestehen und wie diese wiederum gemeistert werden können.
zum kostenfreien Download
ZUM AUTOR
ber Max Lion Keller
IT-Recht Kanzlei
Max Lion Keller ist Rechtsanwalt bei der IT-Recht-Kanzlei in München. Seine Tätigkeitsschwerpunkte umfassen den gewerblichen Rechtsschutz, das Softwarelizenzrecht sowie die Themen IT-Security und E-Commerce. Die Münchner IT-Recht ...
IT-Recht Kanzlei
Alter Messeplatz 2
80339 München

+49-89-13014330
WEITERE ARTIKEL DIESES AUTORS
E-Mail-Marketing
Newsletter sind der Klassiker im E-Mail-Marketing und das wohl meist genutzte Instrument im ... mehr

ANDERE ARTIKEL AUS DIESEM RESSORT
SUCHE
Volltextsuche





Profisuche
Anzeige
PRESSEFORUM MITTELSTAND
Pressedienst
LETZTE UNTERNEHMENSMELDUNGEN
Anzeige
BRANCHENVERZEICHNIS
Branchenverzeichnis
Kostenlose Corporate Showrooms inklusive Pressefach
Kostenloser Online-Dienst mit hochwertigen Corporate Showrooms (Microsites) - jetzt recherchieren und eintragen! Weitere Infos/kostenlos eintragen
EINTRGE
PR-DIENSTLEISTERVERZEICHNIS
PR-Dienstleisterverzeichnis
Kostenlos als PR-Agentur/-Dienstleister eintragen
Kostenfreies Verzeichnis fr PR-Agenturen und sonstige PR-Dienstleister mit umfangreichen Microsites (inkl. Kunden-Pressefchern). zum PR-Dienstleisterverzeichnis
BUSINESS-SERVICES
© novo per motio KG