Anzeige
Smartes Hosting für anspruchsvolle Projekte.
↬ Loslegen und vServer testen ↬ Jetzt testen!
Redaktion Dr. Web 20. Oktober 2014

E-Mail und ihre Aufbewahrung im Unternehmen: Wie sind die datenschutzrechtlichen Anforderungen?

Die E-Mail gehört immer noch zu den meist genutzten Kommunikationsmitteln und hat in den Unternehmen den Großteil der Briefpost ersetzt. Den Erfolg dieses Kommunikationsmediums sehen viele in den zahlreichen praktischen Möglichkeiten begründet, die dem Nutzer zur Verfügung stehen. Zum Beispiel können Nutzer über die E-Mail in kostengünstiger Art und Weise Informationen an einen großen Empfängerkreis versenden. E-Mails können ebenfalls von jedem Ort weltweit über verschiedene Endgeräte abgerufen, bearbeitet, gelesen und versendet werden.

security-390792_640

Darum wird es immer wichtiger, dass sich Unternehmen jeder Größe um die richtige Aufbewahrung der E-Mails kümmern und eine Strategie im Unternehmen dazu verfolgen. Auch unter Compliance-Gesichtspunkten ist eine datenschutzkonforme Aufbewahrungslösung für E-Mails durch das jeweilige Unternehmen zu gewährleisten.

Bis heute mangelt es jedoch an eindeutigen gesetzlichen Vorgaben zur E-Mail-Aufbewahrung. Entsprechende Pflichten ergeben sich aus vielen und höchst unterschiedlichen Vorschriften, die zum Teil nur schwer miteinander vereinbar sind. Grundlage sind dabei die Bestimmungen im Handelsgesetzbuch (z.B. 257 HGB), der Abgabenordnung (AO) sowie den Grundsätzen zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU). Neben den Vorschriften zur Aufbewahrung sind auch datenschutzrechtliche Regeln wie das Telekommunikationsgesetz (TKG) zu beachten.

Gesetzliche Anforderungen an die Aufbewahrungspflicht

Es sind bei den Anforderungen an die Aufbewahrungspflicht vor allem die handels- und steuerrechtlichen Vorschriften nach § 147 AO und § 257 HGB aufgrund ihres weit gefassten dokumentenbezogenen Anwendungsbereichs nahezu für jede Korrespondenz zu beachten. Nach § 147 AO müssen alle ein- und ausgehenden Handels- und Geschäftsbriefe dauerhaft gespeichert werden. Darunter versteht das Gesetz jegliche Korrespondenz, die "ein Geschäft vorbereitet, abwickelt, rückgängig macht oder abschließt" (etwa Aufträge, Rechnungen, Verträge oder Zahlungsbelege, aber auch Angebote).

mail-429296_640

Es ergeben sich grundsätzlich zwei unterschiedliche Konstellationen bezüglich der E-Mail Aufbewahrung im Unternehmen:

1. Die private E-Mail-Nutzung ist im Unternehmen erlaubt.
2. Die private E-Mail-Nutzung ist nicht im Unternehmen erlaubt.

Fall 1: Die private E-Mail-Nutzung ist im Unternehmen erlaubt

Grenzen durch Datenschutz

Wenn der Arbeitgeber die private Nutzung von E-Mails erlaubt, wird der Arbeitgeber nach (noch) herrschender Auffassung als ein Diensteanbieter im Sinne von § 3 Nr. 6 TKG angesehen, und er muss den § 88 TKG, das Telekommunikationsgeheimnis, beachten.

Was ergibt sich daraus?

Aufgrund des Telekommunikationsgeheimnisses gem. § 88 TKG ist es dem Arbeitgeber verboten, Daten zu Aufbewahrungszwecken zu verwenden, also demnach auch E-Mails.

Es gibt jedoch eine Ausnahme: Die E-Mails fallen nicht mehr unter den § 88 TKG, wenn sie vom Eingangsserver im Unternehmen abgerufen, heruntergeladen und auf dem Endgerät des Beschäftigten gespeichert werden. In diesem Fall besteht nach allgemeiner Auffassung keine Gefährdungslage, da Dritte keinen Zugriff mehr auf den laufenden Kommunikationsvorgang haben.

Anlegen sogenannter Arbeitsserver

In dem Zusammenhang mit der privaten E-Mail Nutzung wird auch diskutiert, ob sogenannte Arbeitsserver die Lösung sind. Viele Unternehmen, die der Aufbewahrungspflicht nachkommen möchten und die private E-Mail Nutzung im Unternehmen erlauben, schalten zwischen den Eingangsserver und dem Endgerät des Beschäftigten oft noch einen Arbeitsserver. Auf diesem Arbeitsserver können Vervielfältigungen des Originals gespeichert werden.

datacenter-286386_640

Die Frage, ob die Daten auf dem Arbeitsserver auch den Schutz des § 88 TKG genießen, ist nicht abschließend geklärt. Es gibt keine eindeutigen Aussagen darüber. Es ist davon auszugehen, dass der 88 TKG in diesem Fall eher nicht anwendbar ist, da der Arbeitsserver gerade kein Telekommunikationsserver ist. Er soll vielmehr als ausgelagerter Speicher des Endgerätes des Beschäftigten fungieren.

Geht man jedoch davon aus, dass das Anlegen eines Arbeitsservers durch den Arbeitgeber nicht möglich ist (wegen Umgehung des Telekommunikationsgeheimnisses), ergibt sich, dass eine automatisierte Archivierung aller ein- und ausgehenden Mails unmöglich ist. Das manuelle Aussortieren dürfte auch zu ungenau und fehleranfällig sein, um den Anforderungen der Gesetze dauerhaft zu genügen.

TIPP:

Unternehmen rate ich daher dazu, die private Nutzung der Büro-Adresse zwar zu verbieten, die gelegentliche private Nutzung von Web-Mailern jedoch zu erlauben.

Fall 2: Die private E-Mail-Nutzung ist im Unternehmen NICHT erlaubt

Unternehmen, die Ihren Mitarbeitern die private Nutzung von E-Mails grundsätzlich verbieten, sind rechtlich in Fragen der Archivierung von E-Mails viel besser gestellt. Im Unterschied zur erlaubten Privatnutzung von E-Mails, ergibt sich bei verbotener Privatnutzung damit eine völlig andere rechtliche Konstellation:

In diesem Fall ist das Unternehmen nicht Adressat des Telekommunikationsgesetzes, die Datenverwendung zu Aufbewahrungszwecken ist zulässig.

Die rechtliche Grundlage für die Erfüllung der Aufbewahrungspflicht im Beschäftigungsverhältnis ergibt sich dann aus § 32 Abs. 1 Satz 1 BDSG. Danach dürfen personenbezogene Daten des Beschäftigten verwendet werden, wenn dies für die Durchführung des Beschäftigungsverhältnisses erforderlich ist.

Damit können Unternehmen bei einem Verbot der privaten E-Mail Nutzung der Aufbewahrungspflicht ohne Probleme nachkommen. Ein generelles Verbot der Nutzung von privaten E-Mails erscheint zunächst einfacher. Wenn die Unternehmen jedoch die private Nutzung von E-Mails über Web-Mailer zulassen, sollten diese der Aufbewahrungspflicht auch unkompliziert nachkommen können.

Die Autorin:

Mira Martz ist Volljuristin und war nach Ihrem zweiten Staatsexamen mehrere Jahre in der Unternehmenskommunikation tätig. Stationen dabei waren unter anderem zwei Bundesverbände, sowie eine Berliner Kommunikationsagentur.

Bei der ISiCO Datenschutz GmbH verantwortet Frau Martz die Presse- und Öffentlichkeitsarbeit sowie das Marketing des Beratungsunternehmens.

Auf der Website des Unternehmens erscheinen regelmäßig Beiträge zu Themen rund um Datenschutz, Sicherheit und Compliance.

Redaktion Dr. Web

Redaktion Dr. Web

Unter der Bezeichnung "Redaktion Dr. Web" findest du Beiträge, die von mehreren Autorinnen und Autoren kollaborativ erstellt wurden. Auch Beiträge von Gastautoren sind hier zu finden. Beachte dann bitte die zusätzlichen Informationen zum Autor oder zur Autorin im Beitrag selbst.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.