Wie wirkt sich die DSGVO auf die Aufbewahrung von E-Mails aus?
Email Aufbewahrungspflicht DSGVO
Die Datenschutzgrundverordnung (DSGVO) ist seit Mai 2018 in Kraft und bereitet immer noch vielen Unternehmern Probleme bei der Umsetzung. Die Kommunikation per E-Mail ist dabei aus der Geschäftswelt nicht mehr wegzudenken.
Allerdings werden oft die rechtlichen Anforderungen bezüglich der gesetzlich vorgeschriebenen Aufbewahrungspflichten für digitale Korrespondenz unterschätzt. In diesem Text erfahren Sie, wie Sie Ihre E-Mails so archivieren, dass sie revisionssicher sind und gleichzeitig den Datenschutzbestimmungen entsprechen.
Müssen E-Mails archiviert werden?
Es ist in Deutschland für jedes Unternehmen verpflichtend, seine (digitalen) Geschäftsbelege für einen gesetzlich festgelegten Zeitraum aufzubewahren, um sicherzustellen, dass sie bei Revisionen verwendet werden können.
Dies betrifft auch geschäftliche E-Mails. Es reicht nicht aus, die E-Mails einfach auszudrucken und irgendwo abzulegen. Denn digitale Originaldokumente wie beispielsweise E-Mails müssen zwingend elektronisch archiviert werden! Die einzige Ausnahme von dieser Verpflichtung sind sogenannte Nicht-Kaufleute wie Freiberufler und Kleingewerbetreibende.
Rechtliche Rahmenbedingungen zum Archivieren von E-Mails
Es existiert kein zentrales Gesetz, das die Aufbewahrung von E-Mails vorschreibt. Stattdessen ergeben sich die Anforderungen aus verschiedenen Vorschriften und Gesetzen wie dem Handelsgesetzbuch (HGB), der Abgabenordnung (AO) und den "Grundsätzen zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff" (GoBD).
Die genaue Bestimmung, welche E-Mails der gesetzlichen Aufbewahrungspflicht unterliegen, ist im § 147 AO festgehalten. In diesem steht geschrieben, dass sämtliche E-Mails archiviert werden müssen,
- die als Handels- und/oder Geschäftsbrief dienen. Es spielt dabei keine Rolle, ob es sich um eingehende oder ausgehende Mails handelt,
- die einen verschickten oder empfangenen Beleg für eine Buchung enthalten,
- die steuerlich relevante Dokumente beinhalten,
- die Inventarlisten, Bücher, Jahresabschlüsse, Eröffnungsbilanzen sowie Arbeitsanweisungen und ähnliches enthalten.
Gemäß § 257 des Handelsgesetzbuches (HGB) ist es erforderlich, sämtliche Geschäftsbriefe aufzubewahren. Diese beinhalten den gesamten schriftlichen Austausch in Bezug auf geschäftliche Angelegenheiten. Es kommt jedoch darauf an, ob eine E-Mail tatsächlich als Geschäftsbrief definiert werden kann und somit archiviert werden muss.
Dies wäre zum Beispiel der Fall bei E-Mails mit Angeboten, Rechnungen oder Zahlungserinnerungen. Denn gemäß Definition handelt es sich bei einem Geschäftsbrief um ein Dokument, das dazu dient, ein Handelsgeschäft vorzubereiten, abzuschließen oder rückgängig zu machen.
Darüber hinaus ergibt sich die Verpflichtung zur Archivierung von E-Mails auch durch vertragliche Vereinbarungen. In diesen wird festgelegt, wie lange Mails zwischen Vertragspartnern aufbewahrt werden müssen.
Aufbewahrungsfristen und E-Mails
Grundsätzlich sollten Informationen nur so lange gespeichert werden wie dies unbedingt erforderlich ist. Sobald die Speicherfristen ausgelaufen sind oder ein Datenträger das Ende seiner Lebensdauer erreicht hat, müssen Maßnahmen ergriffen werden, um diese Datensätze sicher zu zerstören.
Auch in dem aktuellen Gesetzestext in Deutschland steht geschrieben, dass „personenbezogene Daten, die für einen bestimmten Zweck verarbeitet werden, nicht länger aufbewahrt werden dürfen, als dies für diesen Zweck erforderlich ist“.
Des Weiteren werden darin einige bewährte Methoden beschrieben, die Unternehmen bei der Erstellung einer Datenaufbewahrungsrichtlinie berücksichtigen sollten. Diese Richtlinien werden bestenfalls auch direkt auf E-Mails angewandt. Wichtige Themen dieses Regelwerks sind beispielsweise die Beurteilung, wie lange personenbezogene Daten aufbewahrt werden, warum sie verwendet werden und wie sie entsorgt werden sollten.
Verwalten von Datenarchivierungen
Um das Auffinden und Verwalten von archivierten E-Mails zu erleichtern, sollte eine verbindliche Datenspeicheroption im Unternehmen festgelegt werden. Die Mischung von verschiedenen Speicherlösungen ist unbedingt zu vermeiden, da dadurch der Aufwand für den Exchange-Administrator immens ansteigt.
Auch sollte von der Verwendung von Bandmedien zur Datenarchivierung abgesehen werden. Zwar sind diese Medien ideal für die Langzeitspeicherung von Archivdaten geeignet, dennoch stellen sie die Unternehmen gleichzeitig vor die Herausforderung, die Zugänglichkeit über lange Zeiträume aufrechtzuerhalten
Bei der Überprüfung einer E-Mail-Aufbewahrungsrichtlinie sollten Unternehmen beachten, auf welcher Banddatenart Datensätze gespeichert sind und welche Sicherungssoftware dafür verwendet wird.
Nicht selten befinden sich Unternehmen in Situationen, in denen Softwarelösungen oder Bandlaufwerke aus verschiedenen Gründen ausfallen und deshalb auf diese Daten nicht mehr zugegriffen werden kann. Aus diesem Grund sollten Unternehmen beim Speichern von E-Mails auf zukunftssichere Lösungen setzen.
Des Weiteren sollte Unternehmen auch klar sein, welche Daten sich auf jeweiligen Speichermedium befinden. Vermeiden Sie es, den Bandstatus auf mehrere Bandtypen sowie Sicherungssoftwarepakete ohne Katalogisierung zu verteilen.
nicht sicher sind, welche Daten Sie gesichert haben oder wo sich diese befinden, lohnt es sich, Zeit zu investieren und sich einen Überblick zu verschaffen. Dies erleichtert Ihnen die Informationssuche, -wiederherstellung oder -löschung. Ein weiterer Vorteil einer logischen Katalogisierung ist, dass Sie sich den unnötig verschwendeten Speicherplatz und die damit verbundenen Kosten sparen.
Was versteht man unter revisionsfähiger Archivierung von E-Mails?
Revisionssichere Archivierung bezeichnet die Speicherung von elektronischen, geschäftsrelevanten Unterlagen gemäß den Anforderungen des Handelsgesetzbuches (§§239, 257 HGB), der Abgabenordnung (§§146, 147 AO) sowie der "Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff" (GoBD).
Dies umfasst ebenfalls weitere steuerrechtliche und handelsrechtliche Vorschriften für eine sichere und korrekte Aufbewahrung kaufmännischer Dokumente. Die gesetzlichen Aufbewahrungsfristen von sechs bis zehn Jahren müssen eingehalten werden.
Um eine revisionssichere E-Mail-Archivierung sicherzustellen, muss das verwendete Archivsystem die folgenden grundlegenden Kriterien erfüllen:
- E-Mails dürfen nicht verändert im Archiv abgelegt werden.
- Es darf keine E-Mail auf dem Weg oder im Archiv verloren gehen.
- Eine schnelle Wiederauffindbarkeit der E-Mails muss gewährleistet sein.
- Gelöschte E-Mails dürfen während ihrer vorgesehenen Lebenszeit nicht entfernt werden.
- Die angezeigten und gedruckten Versionen einer E-Mail müssen identisch mit den erfassten Originalversionen sein können.
- Durch Dokumentation bei Veränderungen in Organisation und Struktur des Archivs sollte es möglich sein, den ursprünglichen Zustand wiederherzustellen.
- Eine Migration auf neue Plattformen darf keinen Informationsverlust nach sich ziehen.
Was die Archivierungsdauer von E-Mails betrifft, orientieren sich viele Unternehmen an den Aufbewahrungsfristen für steuerliche Dokumente. Diese betragen zum Beispiel zehn Jahre für Buchungsbelege und Rechnungen. Diese Fristen werden dann auch auf entsprechende E-Mails übertragen. Geschäfts- und Handelsbriefe müssen hingegen sechs Jahre lang archiviert werden. Es ist wichtig zu beachten, dass diese Fristen erst beginnen, wenn der Inhalt der E-Mails keine steuerliche Bedeutung mehr hat und die Steuerfestsetzung abgeschlossen ist.
Bei der rechtssicheren Archivierung digitaler Dokumente muss besonders darauf geachtet werden, welche Hard- und Software verwendet wird. Die gespeicherten Belege und E-Mails müssen jederzeit wiederhergestellt oder lesbar gemacht werden können. Außerdem muss gewährleistet sein, dass nur befugte Personen Zugriff auf die archivierten Mails haben, um den Datenschutz im Unternehmen sicherzustellen. Dadurch soll verhindert werden, dass bereits archivierte Dokumente manipuliert werden können.
E-Mail-Archivierung und DSGVO: Rechtssicherheit gewährleisten
Die Datenschutzgrundverordnung (DSGVO) beinhaltet eine Regelung, dass alle nicht mehr verwendeten personenbezogenen Daten gelöscht werden müssen. Dies betrifft auch die E-Mail-Kommunikation.
Gemäß der DSGVO dürfen solche Daten nur für einen bestimmten Zweck gespeichert und verarbeitet werden. Ein Beispiel dafür ist die Erbringung einer speziellen Leistung, ohne die die Verarbeitung von Kundendaten nicht möglich wäre. Sobald dieser Zweck erfüllt ist, müssen die Daten gelöscht werden.
Es gibt jedoch zwei weitere Fälle, in denen Archivierung eingeschränkt oder untersagt ist: Zum einen betrifft dies die E-Mail-Kommunikation zwischen Mitarbeitern und dem Betriebsrat oder -arzt, welche vertraulich behandelt wird und daher nicht archiviert werden darf. Zum anderen dürfen auch persönliche E-Mails der Mitarbeiter vom Unternehmen nicht aufbewahrt werden. Es muss also klar unterschieden werden zwischen privater und dienstlicher E-Mail-Kommunikation.
Um sowohl den Aufbewahrungs- als auch den Löschpflichten nachkommen zu können, müssen Unternehmer drei wichtige Aspekte bei der Archivierung von E-Mails beachten:
- Zunächst müssen persönliche Informationen wie zum Beispiel private Mitarbeiter-E-Mails erkannt und gekennzeichnet werden können.
- Die Daten müssen klassifiziert sein, um feststellen zu können was sie enthalten und somit angemessene Aufbewahrungsfristen gewährleistet sind.
- Zum Schluss sollten Zeiträume für diese Fristen definiert sein.Die Speicherung sollte strukturiert erfolgen inklusive Anhängen damit schnelles Auffinden gewährleistet ist.
Dauerhafte Löschung von E-Mails
Besonders im Zusammenhang mit den DSGVO-betroffenen Daten ist es wichtig, E-Mails rechtzeitig, sicher und dauerhaft zu löschen. Einer der Hauptgründe für das Löschen von Daten dieser Art ist die Verhinderung von möglichem Datenmissbrauch. Sollte dies Mitarbeitern auffallen, so können sie die über ein Hinweisgebersystem melden. Aber auch gerade Unternehmen mit vielen Mitarbeitern können in sehr kurzer Zeit große Mengen an E-Mail-Korrespondenzen ansammeln, was ein Hauptangriffspunkt für Hacker sein kann. Schließlich bedeuten mehr Daten auch immer mehr Risiko für Datendiebstahl
Die Verwendung einer sicheren Löschmethode trägt ferner dazu bei, das Risiko von durchgesickerten, vertraulichen, archivierten Informationen zu verringern. Darüber hinaus müssen Unternehmen laut der DSGVO dem Antrag auf Löschung personenbezogener Daten gemäß Artikel 17 – dem „Recht auf Vergessenwerden“ – nachkommen
Dies erfordert, dass Unternehmen alle Daten sicher und dauerhaft löschen, sobald diese das Ende ihrer Nutzungsdauer erreicht haben. Das Gleiche gilt auch für den Fall, dass eine betroffene Person die Löschung beantragt. Falls Ihre Organisation nicht über eine zertifizierte sowie überprüfbare Methode verfügt, sollten Sie zuerst Ihre Optionen überprüfen und eine angemessene Vorgehensweise als Teil Ihrer neuen Aufbewahrungsrichtlinie implementieren.
Richtlinie zur E-Mail Aufbewahrung
Wenn Sie eine neue E-Mail-Aufbewahrungsrichtlinie für Ihr Unternehmen erstellen, sollten Sie alle in diesem Artikel behandelten Aspekte berücksichtigen. Stellen Sie jedoch sicher, dass Sie die Punkte entsprechend Ihrer Organisationsstruktur priorisieren. Denn der wahre Wert für Ihr Unternehmen besteht darin, dass Sie eine Regelung schaffen, die genau Ihren Anforderungen entspricht und Ihre Herausforderungen meistern kann
Abschließend folgt noch eine kurze Zusammenfassung der angesprochenen Themen:
- Begrenzen Sie die Speicherung von E-Mails in aktiven Posteingängen auf einen bestimmten Zeitraum und halten Sie ein definiertes Limit für die Postfachgröße ein.
- Archivieren Sie E-Mails, die das vorgegebene Zeitlimit überschreiten. Stellen Sie jedoch sicher, dass die gespeicherten E-Mails weiterhin leicht zu durchsuchen sowie aufrufbar sind.
- Definieren Sie ein endgültiges Zeitlimit für Daten, die ab einem bestimmten Zeitpunkt gelöscht werden müssen.
- Entfernen Sie alle E-Mails, die diesen Zeitraum überschreiten, mit einem zertifizierten sowie professionellen Tool, welches eine Dokumentation über die gelöschten Daten führt.
- Informieren Sie die Benutzer über die Richtlinien und stellen Sie sicher, dass sie diese einhalten. Überprüfen Sie die Vorgaben fortlaufend und testen Sie regelmäßig den Zugriff auf archivierte Daten.
- Beachten Sie jedoch, dass nicht nur eine gesetzliche Vorgabe wie die DSGVO eine Voraussetzung für eine neue Richtlinie zur Aufbewahrung von E-Mails sein sollte.
In der DSGVO selbst gibt es keine genaue Definition, wie lange Unternehmen ihre E-Mails aufbewahren sollten. Es ist daher die Pflicht der Organisationen, ihre eigenen individuellen Strategien zu entwickeln und zu zeigen, dass eine entsprechende Methodik implementiert wurde.
Das Ansprechen der wichtigsten Aspekte der E-Mail-Aufbewahrung ist ein guter Anfang, um den Aufsichtsbehörden und Kunden zu zeigen, dass Sie das Richtige tun, wenn es um das Thema Datenschutz- sowie -sicherheit geht.
Haben Sie noch Fragen? Als externer Datenschutzbeauftragter helfen wir Ihnen weiter.