Checkliste Datenschutz beim Dokumenten-Management System
Prüfschwerpunkte zum Thema „Dokumentenmanagementsystem“
Ist sichergestellt, dass Papierdokument und digitales Dokument übereinstimmen?
Hinweis: Sorgen Sie durch entsprechende organisatorische Maßnahmen (Dienstanweisung) dafür, dass nach dem Scanvorgang eine Sichtkontrolle durchgeführt wird.
Sind Verfügbarkeit, Vollständigkeit, Integrität, Vertraulichkeit und Authentizität der elektronischen Dokumente gewährleistet?
Hinweis: Die Dokumente im DMS müssen zuordbar und während ihres gesamten Verbleibs im DMS gegen Manipulationen und zufällige Zerstörung geschützt sein. Achten Sie auf eine besonders hohe Verfügbarkeit des DMS, realisiert z.B. durch redundante Festplatten, Server, Datenbanksysteme.
Kann nachgeprüft werden, wer wann welche Änderungen an personenbezogenen Daten durchgeführt hat, wer neue Daten eingegeben oder bestehende gelöscht hat?
Hinweis: Achten Sie darauf, dass die hierbei gewonnenen Daten nicht zum Zweck der Leistungs- und Verhaltenskontrolle eingesetzt werden können.
Können die Rechte von Betroffenen erfüllt werden?
Hinweis: Nach §§ 34 und 35 BDSG haben Betroffene ein Recht auf Berichtigung unrichtiger Daten, auf Sperrung und auf Auskunft der über sie gespeicherten Daten. Prüfen Sie, ob das eingesetzte DMS diese Anforderungen erfüllen kann.
Ist ein angemessenes, revisionsfähiges Berechtigungskonzept erstellt und umgesetzt?
Hinweis: DMS enthalten oft sensible Daten. Aus diesem Grund ist, je mehr Benutzer das Systemnutzen und je sensibler die Daten sind, ein angemessenes Berechtigungskonzept umso notwendiger. Jeder Nutzer darf nur die Daten lesen, kopieren, bearbeiten, die er zur Erfüllung seiner Aufgaben benötigt.
Werden Archivierungs- und Löschfristen beachtet?
Hinweis: Für Dokumente in Dokumentenmanagementsystemen gelten die gleichen Lösch- und Aufbewahrungsvorschriften wie für Papierdokumente. Prüfen Sie, ob Ihr DMS eine Kontrolle dieser Fristen unterstützt.
Mittwoch, 14. Januar 2009
Mittwoch, 7. Januar 2009
Private E-Mails gesetzeskonform archivieren!
Dürfen Unternehmen private Mails ihrer Mitarbeiter lesen?
Entgegen einer weit verbreiteten Auffassung sind die Inhalte längst nicht aller privaten E-Mails, die am Arbeitsplatz geschrieben oder empfangen werden, für den Arbeitgeber tabu. Ein aktuell vorliegendes Urteil des Verwaltungsgerichts Frankfurt/Main zeigt, dass das Telekommunikationsgeheimnis auf E-Mails nur in engem Maße anwendbar ist.
Was besagt das Telekommunikationsgeheimnis?
Das Telekommunikationsgeheimnis gilt für Telefonate, aber auch für Telefax und E-Mail. Das heimliche Abhören eines Telefonats und das heimliche Mitlesen eines Faxes oder einer E-Mail wird nach § 206 Strafgesetzbuch mit Freiheitsstrafe bis zu fünf Jahren bestraft. So lautet das Urteil des Verwaltungsgerichts Frankfurt/Main, Aktenzeichen 1 K 628/08.F (3).
Wann untersteht der Arbeitgeber dem Telekommunikationsgeheimnis?
Rechtsanwalt Niko Härting (Härting Rechtsanwälte) erläutert: „Der Arbeitgeber, der seinen Mitarbeitern den privaten E-Mail-Verkehr ermöglicht, wird dadurch zum Anbieter von Telekommunikationsdienstleistungen und untersteht damit dem Fernmeldegeheimnis. Dies ist zwar gesetzlich nirgendwo klar geregelt, entspricht jedoch der Auffassung fast aller Telekommunikationsrechtsexperten.“
Folgen des Telekommunikationsgeheimnisses
Um Schwierigkeiten mit dem Telekommunikationsgeheimnis zu vermeiden, verbieten zahlreiche Unternehmen ihren Mitarbeitern die Versendung privater E-Mails.
Das Bundesverfassungsgericht erlaubt das Lesen privater E-Mails!
Die meisten Experten übersehen bislang, dass das Bundesverfassungsgericht bereits im März 2006 (Urteil vom 2.3.2006, Az. 2 BvR 2099/04) entschieden hat, dass der Geheimnisschutz nur für die „laufende Telekommunikation“ gilt. In seiner Entscheidung zur Online-Durchsuchung hat Karlsruhe diese Einschränkung ein Jahr später nochmals bestätigt (Urteil vom 27.2.2007, Az. 1 BvR 370/07; 1 BvR 595/07).
Das Lesen privater archivierter E-Mails ist erlaubt!
Das VG Frankfurt/Main hat aus dieser Einschränkung zutreffend gefolgert, dass E-Mails jedenfalls dann nicht gegen den Einblick des Arbeitgebers geschützt sind, wenn sie archiviert sind. Denn zu diesem Zeitpunkt ist der Telekommunikationsvorgang bereits abgeschlossen.
Keine Angst mehr vor privaten E-Mails!
Urteile der Gerichte zeigen, dass ein Unternehmen sich keinen erdrückenden Risiken aussetzt, wenn es seinen Mitarbeitern den privaten E-Mail-Verkehr ermöglicht. Ob zur Erfüllung einer behördlichen Auflage oder aber auch aus anderen sachlichen Gründen – etwa im Krankheitsfall oder nach Ausscheiden eines Mitarbeiters: Wenn es notwendig wird, Einblick in gespeicherte Mails eines Mitarbeiters zu nehmen, steht das Telekommunikationsgeheimnis einem solchen Einblick nicht im Wege. Denn das Telekommunikationsgeheimnis schützt nur die laufende Kommunikation und verbietet daher nur das ‚Abfangen’ und ‚Mitlesen’ von E-Mails. Ist die Mail am Zielrechner angekommen, so ist die Mail nicht mehr und nicht weniger geschützt als alle anderen Daten, die sich auf dem Rechner befinden. Das Bundesverfassungsgericht hat dies klipp und klar entschieden, und das VG Frankfurt setzt die Karlsruher Vorgaben konsequent um.
Fazit eines Rechtsanwalts
Ein Rechtsanwalt zieht folgendes Fazit: „Die weit verbreitete Empfehlung an Unternehmen, ihren Mitarbeitern die private E-Mail-Nutzung zu verbieten, ging schon immer an der betrieblichen Wirklichkeit vorbei. Die Entscheidung des VG Frankfurt zeigt, dass das Telekommunikationsgeheimnis viel enger zu verstehen ist als allgemein angenommen. Der Arbeitgeber kann durchaus Privat-Mails zulassen, ohne sich dadurch unüberwindbare Hürden zu schaffen für die Speicherung und Archivierung von Mails.“
Fazit für die Archivierung von E-Mails
Alle privaten E-Mails, die nicht der laufenden Telekommunikation zugeordnet werden können, können gesetzeskonform archiviert werden, da sie nicht dem Schutz des Telekommunikationsgeheimnisses unterliegen.
Entgegen einer weit verbreiteten Auffassung sind die Inhalte längst nicht aller privaten E-Mails, die am Arbeitsplatz geschrieben oder empfangen werden, für den Arbeitgeber tabu. Ein aktuell vorliegendes Urteil des Verwaltungsgerichts Frankfurt/Main zeigt, dass das Telekommunikationsgeheimnis auf E-Mails nur in engem Maße anwendbar ist.
Was besagt das Telekommunikationsgeheimnis?
Das Telekommunikationsgeheimnis gilt für Telefonate, aber auch für Telefax und E-Mail. Das heimliche Abhören eines Telefonats und das heimliche Mitlesen eines Faxes oder einer E-Mail wird nach § 206 Strafgesetzbuch mit Freiheitsstrafe bis zu fünf Jahren bestraft. So lautet das Urteil des Verwaltungsgerichts Frankfurt/Main, Aktenzeichen 1 K 628/08.F (3).
Wann untersteht der Arbeitgeber dem Telekommunikationsgeheimnis?
Rechtsanwalt Niko Härting (Härting Rechtsanwälte) erläutert: „Der Arbeitgeber, der seinen Mitarbeitern den privaten E-Mail-Verkehr ermöglicht, wird dadurch zum Anbieter von Telekommunikationsdienstleistungen und untersteht damit dem Fernmeldegeheimnis. Dies ist zwar gesetzlich nirgendwo klar geregelt, entspricht jedoch der Auffassung fast aller Telekommunikationsrechtsexperten.“
Folgen des Telekommunikationsgeheimnisses
Um Schwierigkeiten mit dem Telekommunikationsgeheimnis zu vermeiden, verbieten zahlreiche Unternehmen ihren Mitarbeitern die Versendung privater E-Mails.
Das Bundesverfassungsgericht erlaubt das Lesen privater E-Mails!
Die meisten Experten übersehen bislang, dass das Bundesverfassungsgericht bereits im März 2006 (Urteil vom 2.3.2006, Az. 2 BvR 2099/04) entschieden hat, dass der Geheimnisschutz nur für die „laufende Telekommunikation“ gilt. In seiner Entscheidung zur Online-Durchsuchung hat Karlsruhe diese Einschränkung ein Jahr später nochmals bestätigt (Urteil vom 27.2.2007, Az. 1 BvR 370/07; 1 BvR 595/07).
Das Lesen privater archivierter E-Mails ist erlaubt!
Das VG Frankfurt/Main hat aus dieser Einschränkung zutreffend gefolgert, dass E-Mails jedenfalls dann nicht gegen den Einblick des Arbeitgebers geschützt sind, wenn sie archiviert sind. Denn zu diesem Zeitpunkt ist der Telekommunikationsvorgang bereits abgeschlossen.
Keine Angst mehr vor privaten E-Mails!
Urteile der Gerichte zeigen, dass ein Unternehmen sich keinen erdrückenden Risiken aussetzt, wenn es seinen Mitarbeitern den privaten E-Mail-Verkehr ermöglicht. Ob zur Erfüllung einer behördlichen Auflage oder aber auch aus anderen sachlichen Gründen – etwa im Krankheitsfall oder nach Ausscheiden eines Mitarbeiters: Wenn es notwendig wird, Einblick in gespeicherte Mails eines Mitarbeiters zu nehmen, steht das Telekommunikationsgeheimnis einem solchen Einblick nicht im Wege. Denn das Telekommunikationsgeheimnis schützt nur die laufende Kommunikation und verbietet daher nur das ‚Abfangen’ und ‚Mitlesen’ von E-Mails. Ist die Mail am Zielrechner angekommen, so ist die Mail nicht mehr und nicht weniger geschützt als alle anderen Daten, die sich auf dem Rechner befinden. Das Bundesverfassungsgericht hat dies klipp und klar entschieden, und das VG Frankfurt setzt die Karlsruher Vorgaben konsequent um.
Fazit eines Rechtsanwalts
Ein Rechtsanwalt zieht folgendes Fazit: „Die weit verbreitete Empfehlung an Unternehmen, ihren Mitarbeitern die private E-Mail-Nutzung zu verbieten, ging schon immer an der betrieblichen Wirklichkeit vorbei. Die Entscheidung des VG Frankfurt zeigt, dass das Telekommunikationsgeheimnis viel enger zu verstehen ist als allgemein angenommen. Der Arbeitgeber kann durchaus Privat-Mails zulassen, ohne sich dadurch unüberwindbare Hürden zu schaffen für die Speicherung und Archivierung von Mails.“
Fazit für die Archivierung von E-Mails
Alle privaten E-Mails, die nicht der laufenden Telekommunikation zugeordnet werden können, können gesetzeskonform archiviert werden, da sie nicht dem Schutz des Telekommunikationsgeheimnisses unterliegen.
Montag, 24. November 2008
Weitere rechtliche Aspekte bei der Archivierung
Weitere rechtliche Aspekte bei der E-Mail-Archivierung
Die Archivierung unternehmenskritischer Daten ist immer eine Herausforderung für IT-Verantwortliche – egal ob E-Mails oder Files. Durch eine regelrechte Explosion von Messaging-Daten und die immer schärfer werdenden gesetzliche Vorgaben stellt der elektronische Briefverkehr jedoch zusätzliche Anforderungen an E-Mail-Archivierungslösungen. Doch auf welche Kriterien müssen IT-Verantwortliche und Entscheider eines Unternehmens beim Kauf einer Archivierungssoftware achten, damit eine gesetzeskonforme Ablage der E-Mails gewährleistet ist?
Ohne E-Mails geht heute nichts mehr – sie ist eine der wichtigsten und am besten überwachten Anwendungen im Unternehmen. Doch die digitale Post hat die Unternehmenskommunikation nicht nur vereinfacht, sie ist aus juristischer Sicht nicht ganz unproblematisch und lässt die Speicherstrukturen volllaufen. Der Speicherbedarf im Messaging-Bereich wächst jedes Jahr um durchschnittlich 24 Prozent – Tendenz steigend. IT-Administratoren stehen vor der Herausforderung, trotz stetig wachsenden E-Mail-Volumens die Betriebskosten für Server zu minimieren und den Mailbox-Speicherplatz der Mitarbeiter trotzdem möglichst gering zu halten. Die größte Herausforderung besteht jedoch darin, die E-Mails den gesetzlichen Anforderungen entsprechend zu archivieren.
Elektronische Dokumente haben innerhalb der letzten Jahre eine enorme Bedeutung bei der Beweisführung für zivil- und strafrechtliche Gerichtsverfahren erlangt. Im Rahmen von eDiscovery müssen sämtliche elektronische Daten wie E-Mails, Instant Messages oder elektronische Kalendereinträge innerhalb einer festgelegten, unveränderbaren Frist lückenlos aufgefunden werden. Ist dies nicht möglich, drohen empfindliche Geld- und Haftstrafen. Das Bewusstsein dafür ist bei den meisten Unternehmen bereits vorhanden, doch vielerorts bestehen noch erhebliche Lücken im Archivierungssystem.
Professionelle E-Mail-Archive sorgen für eine gesetzeskonforme und gleichzeitig kostengünstige Sicherung der Daten, die den Geschäftsprozessen individuell angepasst und als Basis für unternehmensinternes Wissensmanagement genutzt werden kann.
Dass die E-Mail-Archivierungssoftware mit der vorhandenen Infrastruktur – sei es Mailserver, Betriebssystem, Datenbanken oder Speicherlösungen – kompatibel sein sollte, dass sie schnell zu implementieren, in gängige Mailprogramme integrierbar und einfach zu handhaben ist - versteht sich von selbst. Doch was sind darüber hinaus die wichtigsten Kriterien, die eine E-Mail-Archivierungssoftware mitbringen muss, damit Daten revisionssicher abgelegt werden?
Datenmigration und -reduktion
Die meisten E-Mails werden vom Anwender bereits nach wenigen Tagen nicht mehr gebraucht und besetzen auf dem E-Mail-Server, der in der Regel mit leistungsstarken, teuren Plattensystemen konfiguriert ist, nur unnötig Speicherplatz. Die ausgewählte E-Mail-Archivierungslösung sollte deshalb eine einfache und proaktive Migration von E-Mail-Dateien durch entsprechende Automatismen und Regeln auf eine Archivierungsplattform gewährleisten, die kostengünstiger und einfacher zu warten ist. Während die IT-Verantwortlichen dadurch von einer drastischen Senkung der Server-Betriebskosten profitieren, freuen sich die Anwender über quasi unbegrenzten Speicherplatz.
Es sollte jedoch darauf geachtet werden, dass die Migration auf die nächste Speicherstufe jederzeit den individuellen Anforderungen der IT-Infrastruktur eines Unternehmens angepasst werden kann. Keinesfalls sollte der Transfer zu große Datenmengen umfassen, um die Leistung von Netzwerk und Speicher nicht zu überlasten und um keine Datenausfälle zu riskieren. Zur Ressourcenschonung tragen auch Features wie Datendeduplizierung, Single-Instance-Speicher und Komprimierung bei, die Speicherplatz im Archiv sparen. Single-Instance-Speicherung bedeutet, dass jede Datei nur einmal im Archiv abgelegt wird, während bei der Deduplizierung ein Algorithmus nach sich wiederholenden Elementen im Datenstrom sucht. Eine Komprimierung der E-Mails stellt eine Veränderung der Daten dar und darf deshalb gemäß gesetzlichen Vorgaben erst nach der Deduplizierung bei der Sicherung der Daten erfolgen.
Indexierung
Es reicht allerdings bei Weitem nicht aus, ältere E-Mails einfach nur möglichst Speicherplatz sparend ins Archiv zu verschieben, um den gesetzlichen Anforderungen zu genügen. Eine sinnvolle E-Mail-Archivierungslösung muss auch die Möglichkeit bieten, bereits abgelegte E-Mails möglichst problemlos und schnell wiederzufinden, wenn dies notwendig wird. Eine einfache Suchmaske mit Suchkriterien wie Datum, Sender/Empfänger und Text genügt dabei oft nicht. Eine E-Mail besteht aus zahlreichen Bestandteilen wie Betreff, Adressat, Textkörper, Namen von Dateianhängen oder Daten und Metadaten der Anhänge, weshalb es wenig Sinn macht, die E-Mail als Komplettpaket zu behandeln. Unter Umständen erinnert sich ein Mitarbeiter bei der Suche nur noch an eine dieser Komponenten. Erfolgt eine Indexierung des Inhalts anhand der gesamten Mail, läuft der Suchvorgang ins Leere.
Ein Archivierungs-Tool sollte deshalb zusätzlich zur Indexierung des Volltextes jede Komponente einer E-Mail einzeln indizieren. Diese separate Indexierung erlaubt Anwendern, Administratoren und Wirtschaftsprüfern die Recherche nach spezifischen Kriterien über den gesamten Archivierungszyklus hinweg – beispielsweise nach internen und externen Mails, verschiedenen E-Mail-Adressen pro User, Mailgröße, Abteilung oder Verteilern. So ist das Auffinden von E-Mails und deren Anhängen zu konkreten Themen und Projekten oder auf einer bestimmten Abteilungsebene kein Problem. Bei umfassenden Archivierungslösungen werden diese Kriterien nicht nur für die Suche, sondern unter anderem auch bei der Klassifizierung, der Zuordnung von Aufbewahrungsrichtlinien, der Vorfilterung von E-Mails zur Kategorisierung, bei automatischen Löschvorgängen oder hierarchischem Speichermanagement verwendet.
Skalierbarkeit und Flexibilität
Archivierungssoftware sollte mit hohen Datendurchsätzen von mehreren hundert Gigabyte zurechtkommen
Compliance, eDiscovery und interne Richtlinien
Seit der Gleichstellung der E-Mail mit dem traditionellen Geschäftsbrief im Jahr 2002 sind alle Unternehmen verpflichtet, den Finanzbehörden die steuerrechtlichen und geschäftsrelevanten Dokumente auf Verlangen über einen Zeitraum von mindestens zehn Jahren, in manchen Fällen sogar bis zu dreißig Jahren bereitzustellen. Können geforderte E-Mails nicht innerhalb von 100 Tagen nach Einreichung einer Zivilklage vorgelegt werden, muss ein Unternehmer mit einer Geldstrafe oder einer Freiheitsstrafe von bis zu zwei Jahren rechnen. Auch IT-Leiter müssen bei fahrlässiger Handlungsweise mit rechtlichen Konsequenzen rechnen. Ein schnelles Wiederauffinden von E-Mails erhöht also nicht nur die Produktivität der Mitarbeiter, sondern spart auch Prozesskosten und wendet erhebliche wirtschaftliche Schäden vom Unternehmen ab.
Damit E-Mails in Rechtsstreitigkeiten als Beweisstück dienen können, müssen sie jedoch eindeutig einem Absender zugeordnet werden können (Authentizität) – durch eine qualifizierte elektronische Signatur gemäß Signaturengesetz – und es muss gewährleistet sein, dass sie seit ihrer Erstellung nicht verändert wurden (Integrität). Deshalb benötigt ein Archiv Sicherheitsfunktionen, die eine Manipulation oder ein versehentliches Löschen von Nachrichten verhindern. Dafür sorgen Authentifizierungs-Tools, die regeln, welche Personen auf die Archivdaten zugreifen können. Zugriffe und Aktionen zu einer bestimmten Mail müssen sich zuordnen und verfolgen lassen. Dazu gehört auch eine Auflistung von automatischen Prozessen wie Migration oder gesetzlich vorgeschriebene Löschvorgänge.
Zusätzlich sollte die Archivierungssoftware unterschiedliche Richtlinien für die Datenaufbewahrung je nach den gesetzlichen Anforderungen für jede Kommunikationsart ermöglichen. Das garantiert Unternehmen, dass die Archive immer auf dem aktuellen Stand sind und nur Dokumente enthalten, die wirklich noch benötigt werden. Die Richtlinien und Aufbewahrungsvorschriften sollten proaktiv gleich bei der Archivierung oder auch nachträglich zu einem späteren Zeitpunkt angewendet beziehungsweise verändert werden können. Für eine umfassende Überwachung interner und gesetzlicher Vorschriften durch Richtlinienbeauftragte sorgen im Idealfall zusätzlich Module zur Auditkontrolle und Nachverfolgung elektronischer Kommunikation. Für Administratoren hingegen stehen Reportingfunktionen im Vordergrund, mit denen sie den Überblick über die Anzahl der archivierten Mails und deren Anhänge sowie deren Größe behalten. Ebenso muss er damit Zugriffsanforderungen und Service-Level bestimmen und verwalten können.
Skalierbarkeit und Flexibilität
Die Anschaffung einer E-Mail-Archivierungslösung ist im besten Fall eine langfristige Investition – egal ob kleines, mittelständisches oder Großunternehmen. Im Laufe der Zeit wird es durch den rapiden Anstieg unstrukturierter Daten unweigerlich zu zusätzlichem Bedarf an Speicherplatz kommen, die Zahl der Mitarbeiter und mit Ihnen die Zahl der Mailboxen können steigen oder neue Server hinzugekauft werden. Die Archivierungssoftware sollte diesen Herausforderungen gewachsen sein und mit hohen Datendurchsätzen von mehreren hundert Gigabyte zurechtkommen, um bestehende Service-Level-Agreements einzuhalten oder sogar zu verbessern.
Das kann gewährleistet werden, indem nur die Metadaten der E-Mails in relationalen Datenbanken gespeichert und die E-Mail-Daten direkt auf Speichermedien verschoben werden. Das Resultat ist nicht nur eine schlanke und effiziente Datenbank, sondern auch ein geringer Ressourcenbedarf sowie kurze Archivierungs- und Wiederherstellungszeiträume. Ebenso wichtig ist, dass die Lösung verschiedene E-Mail-Systeme unterstützt. So lohnt sich die Investition auch, wenn im Rahmen von Unternehmensakquisitionen das E-Mail-System der übernommenen Firma in die vorhandene Datensicherungsstrategie integriert werden soll.
Trend: Integrierte Archivierungslösung
Generell gilt: Die E-Mail-Archivierung sollte als Teil des unternehmensweiten Datenschutzes gesehen werden und in das produktive Umfeld des Unternehmens einbezogen sein. Denn die Migration der Daten ins Archiv ist neben der Backup-Strategie, den Recovery-Vorgaben und den Datenwiederherstellunsverfahren einer der wichtigsten Bestandteile des Information Lifecycle Managements im Unternehmen. Das Ziel ist es, Informationen über alle Datentypen, über jedes System und über jedes Stadium im Informationslebenszyklus hinweg in ihrem Zusammenhang einfach und schnell recherchieren zu können. Der Trend geht deshalb weg von einer separaten E-Mail- hin zu einer kombinierten File- und E-Mail-Archivierung, die unter anderem auch die langfristige Aufbewahrung sämtlicher anderer elektronischer Kommunikation wie Instant Messages oder Faxe beinhaltet. Neben einer gesetzeskonformen Archivierung sämtlicher Unternehmenskommunikation hat das einen weiteren Vorteil: Unternehmensarchive enthalten eine Fülle an Informationen, die als Basis für strategische und operative Entscheidungen genutzt werden können.
Manche Archivierungslösungen bieten als i-Tüpfelchen deshalb integrierte Data-Mining- und Business-Intelligence-Tools, um im Archiv schlummernde Wissensressourcen in Form von unstrukturierten Daten für das Unternehmen ausfindig zu machen. Beispielsweise kann die Vertriebsabteilung mit Hilfe von E-Mail-Nutzerstatistiken Möglichkeiten zu Cross- oder Upselling ausfindig machen. Mit der richtigen Archivierungssoftware können also nicht nur die Unternehmensrisiken durch Nichteinhaltung gesetzlicher Anforderungen sowie Kosten gesenkt und die Produktivität der Mitarbeiter gesteigert werden – richtig eingesetzt sorgt eine umfassende E-Mail-Archivierungslösung auch für die Optimierung von Geschäftsprozessen.
Die Archivierung unternehmenskritischer Daten ist immer eine Herausforderung für IT-Verantwortliche – egal ob E-Mails oder Files. Durch eine regelrechte Explosion von Messaging-Daten und die immer schärfer werdenden gesetzliche Vorgaben stellt der elektronische Briefverkehr jedoch zusätzliche Anforderungen an E-Mail-Archivierungslösungen. Doch auf welche Kriterien müssen IT-Verantwortliche und Entscheider eines Unternehmens beim Kauf einer Archivierungssoftware achten, damit eine gesetzeskonforme Ablage der E-Mails gewährleistet ist?
Ohne E-Mails geht heute nichts mehr – sie ist eine der wichtigsten und am besten überwachten Anwendungen im Unternehmen. Doch die digitale Post hat die Unternehmenskommunikation nicht nur vereinfacht, sie ist aus juristischer Sicht nicht ganz unproblematisch und lässt die Speicherstrukturen volllaufen. Der Speicherbedarf im Messaging-Bereich wächst jedes Jahr um durchschnittlich 24 Prozent – Tendenz steigend. IT-Administratoren stehen vor der Herausforderung, trotz stetig wachsenden E-Mail-Volumens die Betriebskosten für Server zu minimieren und den Mailbox-Speicherplatz der Mitarbeiter trotzdem möglichst gering zu halten. Die größte Herausforderung besteht jedoch darin, die E-Mails den gesetzlichen Anforderungen entsprechend zu archivieren.
Elektronische Dokumente haben innerhalb der letzten Jahre eine enorme Bedeutung bei der Beweisführung für zivil- und strafrechtliche Gerichtsverfahren erlangt. Im Rahmen von eDiscovery müssen sämtliche elektronische Daten wie E-Mails, Instant Messages oder elektronische Kalendereinträge innerhalb einer festgelegten, unveränderbaren Frist lückenlos aufgefunden werden. Ist dies nicht möglich, drohen empfindliche Geld- und Haftstrafen. Das Bewusstsein dafür ist bei den meisten Unternehmen bereits vorhanden, doch vielerorts bestehen noch erhebliche Lücken im Archivierungssystem.
Professionelle E-Mail-Archive sorgen für eine gesetzeskonforme und gleichzeitig kostengünstige Sicherung der Daten, die den Geschäftsprozessen individuell angepasst und als Basis für unternehmensinternes Wissensmanagement genutzt werden kann.
Dass die E-Mail-Archivierungssoftware mit der vorhandenen Infrastruktur – sei es Mailserver, Betriebssystem, Datenbanken oder Speicherlösungen – kompatibel sein sollte, dass sie schnell zu implementieren, in gängige Mailprogramme integrierbar und einfach zu handhaben ist - versteht sich von selbst. Doch was sind darüber hinaus die wichtigsten Kriterien, die eine E-Mail-Archivierungssoftware mitbringen muss, damit Daten revisionssicher abgelegt werden?
Datenmigration und -reduktion
Die meisten E-Mails werden vom Anwender bereits nach wenigen Tagen nicht mehr gebraucht und besetzen auf dem E-Mail-Server, der in der Regel mit leistungsstarken, teuren Plattensystemen konfiguriert ist, nur unnötig Speicherplatz. Die ausgewählte E-Mail-Archivierungslösung sollte deshalb eine einfache und proaktive Migration von E-Mail-Dateien durch entsprechende Automatismen und Regeln auf eine Archivierungsplattform gewährleisten, die kostengünstiger und einfacher zu warten ist. Während die IT-Verantwortlichen dadurch von einer drastischen Senkung der Server-Betriebskosten profitieren, freuen sich die Anwender über quasi unbegrenzten Speicherplatz.
Es sollte jedoch darauf geachtet werden, dass die Migration auf die nächste Speicherstufe jederzeit den individuellen Anforderungen der IT-Infrastruktur eines Unternehmens angepasst werden kann. Keinesfalls sollte der Transfer zu große Datenmengen umfassen, um die Leistung von Netzwerk und Speicher nicht zu überlasten und um keine Datenausfälle zu riskieren. Zur Ressourcenschonung tragen auch Features wie Datendeduplizierung, Single-Instance-Speicher und Komprimierung bei, die Speicherplatz im Archiv sparen. Single-Instance-Speicherung bedeutet, dass jede Datei nur einmal im Archiv abgelegt wird, während bei der Deduplizierung ein Algorithmus nach sich wiederholenden Elementen im Datenstrom sucht. Eine Komprimierung der E-Mails stellt eine Veränderung der Daten dar und darf deshalb gemäß gesetzlichen Vorgaben erst nach der Deduplizierung bei der Sicherung der Daten erfolgen.
Indexierung
Es reicht allerdings bei Weitem nicht aus, ältere E-Mails einfach nur möglichst Speicherplatz sparend ins Archiv zu verschieben, um den gesetzlichen Anforderungen zu genügen. Eine sinnvolle E-Mail-Archivierungslösung muss auch die Möglichkeit bieten, bereits abgelegte E-Mails möglichst problemlos und schnell wiederzufinden, wenn dies notwendig wird. Eine einfache Suchmaske mit Suchkriterien wie Datum, Sender/Empfänger und Text genügt dabei oft nicht. Eine E-Mail besteht aus zahlreichen Bestandteilen wie Betreff, Adressat, Textkörper, Namen von Dateianhängen oder Daten und Metadaten der Anhänge, weshalb es wenig Sinn macht, die E-Mail als Komplettpaket zu behandeln. Unter Umständen erinnert sich ein Mitarbeiter bei der Suche nur noch an eine dieser Komponenten. Erfolgt eine Indexierung des Inhalts anhand der gesamten Mail, läuft der Suchvorgang ins Leere.
Ein Archivierungs-Tool sollte deshalb zusätzlich zur Indexierung des Volltextes jede Komponente einer E-Mail einzeln indizieren. Diese separate Indexierung erlaubt Anwendern, Administratoren und Wirtschaftsprüfern die Recherche nach spezifischen Kriterien über den gesamten Archivierungszyklus hinweg – beispielsweise nach internen und externen Mails, verschiedenen E-Mail-Adressen pro User, Mailgröße, Abteilung oder Verteilern. So ist das Auffinden von E-Mails und deren Anhängen zu konkreten Themen und Projekten oder auf einer bestimmten Abteilungsebene kein Problem. Bei umfassenden Archivierungslösungen werden diese Kriterien nicht nur für die Suche, sondern unter anderem auch bei der Klassifizierung, der Zuordnung von Aufbewahrungsrichtlinien, der Vorfilterung von E-Mails zur Kategorisierung, bei automatischen Löschvorgängen oder hierarchischem Speichermanagement verwendet.
Skalierbarkeit und Flexibilität
Archivierungssoftware sollte mit hohen Datendurchsätzen von mehreren hundert Gigabyte zurechtkommen
Compliance, eDiscovery und interne Richtlinien
Seit der Gleichstellung der E-Mail mit dem traditionellen Geschäftsbrief im Jahr 2002 sind alle Unternehmen verpflichtet, den Finanzbehörden die steuerrechtlichen und geschäftsrelevanten Dokumente auf Verlangen über einen Zeitraum von mindestens zehn Jahren, in manchen Fällen sogar bis zu dreißig Jahren bereitzustellen. Können geforderte E-Mails nicht innerhalb von 100 Tagen nach Einreichung einer Zivilklage vorgelegt werden, muss ein Unternehmer mit einer Geldstrafe oder einer Freiheitsstrafe von bis zu zwei Jahren rechnen. Auch IT-Leiter müssen bei fahrlässiger Handlungsweise mit rechtlichen Konsequenzen rechnen. Ein schnelles Wiederauffinden von E-Mails erhöht also nicht nur die Produktivität der Mitarbeiter, sondern spart auch Prozesskosten und wendet erhebliche wirtschaftliche Schäden vom Unternehmen ab.
Damit E-Mails in Rechtsstreitigkeiten als Beweisstück dienen können, müssen sie jedoch eindeutig einem Absender zugeordnet werden können (Authentizität) – durch eine qualifizierte elektronische Signatur gemäß Signaturengesetz – und es muss gewährleistet sein, dass sie seit ihrer Erstellung nicht verändert wurden (Integrität). Deshalb benötigt ein Archiv Sicherheitsfunktionen, die eine Manipulation oder ein versehentliches Löschen von Nachrichten verhindern. Dafür sorgen Authentifizierungs-Tools, die regeln, welche Personen auf die Archivdaten zugreifen können. Zugriffe und Aktionen zu einer bestimmten Mail müssen sich zuordnen und verfolgen lassen. Dazu gehört auch eine Auflistung von automatischen Prozessen wie Migration oder gesetzlich vorgeschriebene Löschvorgänge.
Zusätzlich sollte die Archivierungssoftware unterschiedliche Richtlinien für die Datenaufbewahrung je nach den gesetzlichen Anforderungen für jede Kommunikationsart ermöglichen. Das garantiert Unternehmen, dass die Archive immer auf dem aktuellen Stand sind und nur Dokumente enthalten, die wirklich noch benötigt werden. Die Richtlinien und Aufbewahrungsvorschriften sollten proaktiv gleich bei der Archivierung oder auch nachträglich zu einem späteren Zeitpunkt angewendet beziehungsweise verändert werden können. Für eine umfassende Überwachung interner und gesetzlicher Vorschriften durch Richtlinienbeauftragte sorgen im Idealfall zusätzlich Module zur Auditkontrolle und Nachverfolgung elektronischer Kommunikation. Für Administratoren hingegen stehen Reportingfunktionen im Vordergrund, mit denen sie den Überblick über die Anzahl der archivierten Mails und deren Anhänge sowie deren Größe behalten. Ebenso muss er damit Zugriffsanforderungen und Service-Level bestimmen und verwalten können.
Skalierbarkeit und Flexibilität
Die Anschaffung einer E-Mail-Archivierungslösung ist im besten Fall eine langfristige Investition – egal ob kleines, mittelständisches oder Großunternehmen. Im Laufe der Zeit wird es durch den rapiden Anstieg unstrukturierter Daten unweigerlich zu zusätzlichem Bedarf an Speicherplatz kommen, die Zahl der Mitarbeiter und mit Ihnen die Zahl der Mailboxen können steigen oder neue Server hinzugekauft werden. Die Archivierungssoftware sollte diesen Herausforderungen gewachsen sein und mit hohen Datendurchsätzen von mehreren hundert Gigabyte zurechtkommen, um bestehende Service-Level-Agreements einzuhalten oder sogar zu verbessern.
Das kann gewährleistet werden, indem nur die Metadaten der E-Mails in relationalen Datenbanken gespeichert und die E-Mail-Daten direkt auf Speichermedien verschoben werden. Das Resultat ist nicht nur eine schlanke und effiziente Datenbank, sondern auch ein geringer Ressourcenbedarf sowie kurze Archivierungs- und Wiederherstellungszeiträume. Ebenso wichtig ist, dass die Lösung verschiedene E-Mail-Systeme unterstützt. So lohnt sich die Investition auch, wenn im Rahmen von Unternehmensakquisitionen das E-Mail-System der übernommenen Firma in die vorhandene Datensicherungsstrategie integriert werden soll.
Trend: Integrierte Archivierungslösung
Generell gilt: Die E-Mail-Archivierung sollte als Teil des unternehmensweiten Datenschutzes gesehen werden und in das produktive Umfeld des Unternehmens einbezogen sein. Denn die Migration der Daten ins Archiv ist neben der Backup-Strategie, den Recovery-Vorgaben und den Datenwiederherstellunsverfahren einer der wichtigsten Bestandteile des Information Lifecycle Managements im Unternehmen. Das Ziel ist es, Informationen über alle Datentypen, über jedes System und über jedes Stadium im Informationslebenszyklus hinweg in ihrem Zusammenhang einfach und schnell recherchieren zu können. Der Trend geht deshalb weg von einer separaten E-Mail- hin zu einer kombinierten File- und E-Mail-Archivierung, die unter anderem auch die langfristige Aufbewahrung sämtlicher anderer elektronischer Kommunikation wie Instant Messages oder Faxe beinhaltet. Neben einer gesetzeskonformen Archivierung sämtlicher Unternehmenskommunikation hat das einen weiteren Vorteil: Unternehmensarchive enthalten eine Fülle an Informationen, die als Basis für strategische und operative Entscheidungen genutzt werden können.
Manche Archivierungslösungen bieten als i-Tüpfelchen deshalb integrierte Data-Mining- und Business-Intelligence-Tools, um im Archiv schlummernde Wissensressourcen in Form von unstrukturierten Daten für das Unternehmen ausfindig zu machen. Beispielsweise kann die Vertriebsabteilung mit Hilfe von E-Mail-Nutzerstatistiken Möglichkeiten zu Cross- oder Upselling ausfindig machen. Mit der richtigen Archivierungssoftware können also nicht nur die Unternehmensrisiken durch Nichteinhaltung gesetzlicher Anforderungen sowie Kosten gesenkt und die Produktivität der Mitarbeiter gesteigert werden – richtig eingesetzt sorgt eine umfassende E-Mail-Archivierungslösung auch für die Optimierung von Geschäftsprozessen.
Donnerstag, 20. November 2008
Rechtliche Aspekte der digitalen Archivierung
Warum müssen E-Mails archiviert werden?
E-Mails sind mittlerweile aus der Unternehmenskommunikation und dem Geschäftsverkehr nicht mehr wegzudenken. Ob Rechnungsstellung, Auftragserteilung oder firmeninterner Informationsaustausch, alles kann per Mail erledigt werden. Dass E-Mails mittlerweile ein in hohem Maße rechtlich relevante und verbindliche Dokumente darstellen und deshalb sorgfältig archiviert werden müssen, wissen nur wenige.
Die E-Mail als rechtlich relevantes Dokument
Die E-Mail wird häufig in ihrer rechtlichen Bedeutung vollkommen unterschätzt bzw. als relativ unverbindlich eingeschätzt. Dies völlig zu Unrecht, da die in einer Mail enthaltene Erklärung bzw. Information absolut rechtsrelevant ist. Ihr kommt im Geschäftsverkehr im Prinzip dieselbe rechtliche Bedeutung zu, wie ihrem Pendant in Papierform. Daher gelten für die Archivierung elektronischer Post mittlerweile zahlreiche der gesetzlichen Vorgaben, die ursprünglich für herkömmliche Post konzipiert waren.
Rechtliche Vorschriften
Es gibt eine Reihe von Vorschriften, die sich über diverse Gesetze verteilen. Insbesondere das Handelsgesetzbuch (HGB), die Abgabenordnung (AO) sowie das Bundesdatenschutzgesetz (BDSG) beinhalten unmittelbare Handlungsverpflichtungen in Bezug auf die E-Mail-Archivierung.
In § 238 Abs. 2 HGB schreibt der Gesetzgeber für einen Kaufmann die Verpflichtung vor, eine Kopie der abgesendeten „Handelsbriefe“ zurückzubehalten bzw. sicher aufzubewahren (sei es in Papierform, als Grafik- oder auch Textdatei). Da man unter einem Handelsbrief jedes Schreiben versteht, welches „der Vorbereitung, dem Abschluß, der Durchführung oder auch der Rückgängigmachung eines Geschäfts“ (vgl. Bonner Handbuch der Rechnungslegung, § 257, Rn 34) dient, ist damit auch die gesamte in E-Mails gehaltene Geschäftskorrespondenz eines Unternehmens betroffen.
Dasselbe gilt für die eingehende elektronische Post. Gemäß § 257 l Nr. 2 HGB ist jeder Kaufmann verpflichtet, empfangene Handelsbriefe geordnet aufzubewahren. Die Pflicht zur Archivierung von E-Mails gilt dabei für jeden Kaufmann (vgl. §§ 1,2,3 HGB), für Handelsgesellschaften, eingetragene Genossenschaften sowie juristische Personen i.S.d. § 33 HGB. Dagegen gilt die E-Mail Archivierungspflicht nicht für Nichtkaufleute, wie z.B. Kleingewerbetreibende und Freiberufler.
Gemäß § 147 AO sind neben den Handels- und Geschäftsbriefen auch all diejenigen abgesendeten E-Mails aufzubewahren, die in steuerrechtlicher Hinsicht von Bedeutung sind. Eine Verletzung der oben genannten Buchführungspflichten kann empfindliche Konsequenzen haben. So kann eine vorsätzliche oder leicht fahrlässige Verletzung der Buchführungspflicht eine Ordnungswidrigkeit im Sinne einer Steuergefährdung gemäß § 379 AO darstellen.
Fazit
Die sorgfältige Archivierung von E-Mails ist also für jeden Unternehmer nicht bloß eine freiwillige Zusatzmaßnahme sondern vielmehr ein gesetzliches Muss. Verstöße haben ernsthafte Konsequenzen zur Folge und können ein Unternehmen im schlimmsten Fall in die Insolvenz zwingen. Daher ist es mehr als empfehlenswert, klare Regelungen für die Nutzung und Archivierung von E-Mails im Unternehmen zu schaffen.
Aufbewahrungsfristen
Gemäß § 147 AO sind die als Handels- oder Geschäftsbriefe einzustufenden E-Mails sechs Jahre aufzubewahren. Sollten die E-Mails dagegen Buchungsbelege, Rechnungen, Bilanzen, Jahresabschlüsse oder auch Lageberichte enthalten, betragen die Aufbewahrungsfristen 10 Jahre.
Hinsichtlich der Art muss eine fälschungssichere dauerhafte Speicherung der Daten in elektronischer Form und ihre Auffindbarkeit und Abrufbarkeit gewährleistet werden. Dabei bevorzugt das Gesetz keine bestimmte Methode der Speicherung. Es muss nur sichergestellt sein, dass die E-Mails während der Dauer der Aufbewahrungsfrist jederzeit verfügbar sind, unverzüglich lesbar gemacht und maschinell ausgewertet werden können.
Umsetzungsmöglichkeiten
Zentrale Speicherung aller Mails?
Um diesen Vorgaben gerecht zu werden, böte sich die zentrale Speicherung aller „unternehmenseigenen“ E-Mails an. Eine solche zentrale Archivierung stößt jedoch dann auf Vorbehalte, wenn das jeweilige Unternehmen seinen Mitarbeitern die Nutzung des E-Mail-Postfachs auch zu privaten Zwecken gestattet. Stellt man nämlich den betriebseigenen Internetzugang für betriebsfremde (also private) Zwecke zur Verfügung, wird das Unternehmen in diesem Fall geschäftsmäßiger Anbieter von Telekommunikationsdiensten.
Das Unternehmen unterliegt dann rechtlichen Pflichten aus dem Bundesdatenschutzgesetz (BDSG) und dem Telekommunikationsgesetz (TKG). Danach ist eine Überwachung und Speicherung privater E-Mails nicht zulässig. In diesem Fall wäre eine zentrale Speicherung aller E-Mails, also auch privater, nicht mit geltendem Recht vereinbar und könnte empfindliche Sanktionen nach sich ziehen.
Lösung 1: Totalverbot privater Mails
Eine mögliche Lösung dieses Problems wäre, privaten E-Mailverkehr vollständig zu verbieten. Zumindest aus rechtlicher Sicht scheint diese Lösung die ideale: Das Unternehmen wird nicht zum Provider, Datenschutz spielt dann keine Rolle. So können Rechtsunsicherheiten für den Arbeitgeber und Arbeitnehmer vermieden und SPAM-Filter, Vertretungszugriffe, Archivierung und Kontrollen einer missbräuchlichen Nutzung ermöglicht werden. Das Unternehmen hat dann natürlich auch das Recht, beliebig und unbegrenzt auf die E-Mails der Mitarbeiter zuzugreifen bzw. diese zu archivieren.
Problem: Abgesehen davon, dass ein solches Totalverbot sich nicht gerade fördernd auf das Betriebsklima auswirkt, müsste es auch in der Praxis durchgesetzt und bei Zuwiderhandlung sanktioniert werden. Sollte es nämlich zu einer Duldung kommen, stünde diese rechtlich der Erlaubnis gleich.
Lösung 2: vorbehaltlose Erlaubnis privater E-Mails
Auch denkbar wäre eine vorbehaltlose Erlaubnis privaten E-Mailverkehrs unter der Voraussetzung, dass private E-Mails, ohne deren Inhalt auszuwerten, von geschäftlichen vor der Archivierung getrennt und nicht archiviert werden. Diese Variante dürfte jedoch technisch sehr aufwändig und kostenintensiv sein.
Lösung 3: Die Zwischenlösung – bedingte Erlaubnis privater E-Mails
Schließlich bietet sich eine Zwischenlösung an. Den Mitarbeitern könnte im Einzelnen vorgeschrieben werden, auf welche Art und Weise via E-Mail privat über die firmeninterne IT-Infrastruktur kommuniziert werden kann. Denkbar wäre beispielsweise eine Nutzung nur in Pausen und über einen Freemail-Account (wie web.de oder gmx.de) oder das Vergeben separater Mailadressen für den privaten Gebrauch. Auch könnte den Mitarbeitern die Pflicht auferlegt werden, private E-Mails deutlich als solche zu kennzeichnen (etwas schon im Header).
Fazit:
Unternehmensbezogene E-Mails sollten bestenfalls zehn Jahre lang den gesetzlichen Regelungen entsprechend archiviert werden. Unabhängig, welcher Weg zur Archivierung von E-Mails beschritten wird, gilt: in jedem Unternehmen sollte unmissverständlich und klar definiert sein, in welchem Umfang die private Nutzung des E-Mail-Accounts zulässig ist oder auch nicht.
Die E-Mail als rechtlich relevantes Dokument
Die E-Mail wird häufig in ihrer rechtlichen Bedeutung vollkommen unterschätzt bzw. als relativ unverbindlich eingeschätzt. Dies völlig zu Unrecht, da die in einer Mail enthaltene Erklärung bzw. Information absolut rechtsrelevant ist. Ihr kommt im Geschäftsverkehr im Prinzip dieselbe rechtliche Bedeutung zu, wie ihrem Pendant in Papierform. Daher gelten für die Archivierung elektronischer Post mittlerweile zahlreiche der gesetzlichen Vorgaben, die ursprünglich für herkömmliche Post konzipiert waren.
Rechtliche Vorschriften
Es gibt eine Reihe von Vorschriften, die sich über diverse Gesetze verteilen. Insbesondere das Handelsgesetzbuch (HGB), die Abgabenordnung (AO) sowie das Bundesdatenschutzgesetz (BDSG) beinhalten unmittelbare Handlungsverpflichtungen in Bezug auf die E-Mail-Archivierung.
In § 238 Abs. 2 HGB schreibt der Gesetzgeber für einen Kaufmann die Verpflichtung vor, eine Kopie der abgesendeten „Handelsbriefe“ zurückzubehalten bzw. sicher aufzubewahren (sei es in Papierform, als Grafik- oder auch Textdatei). Da man unter einem Handelsbrief jedes Schreiben versteht, welches „der Vorbereitung, dem Abschluß, der Durchführung oder auch der Rückgängigmachung eines Geschäfts“ (vgl. Bonner Handbuch der Rechnungslegung, § 257, Rn 34) dient, ist damit auch die gesamte in E-Mails gehaltene Geschäftskorrespondenz eines Unternehmens betroffen.
Dasselbe gilt für die eingehende elektronische Post. Gemäß § 257 l Nr. 2 HGB ist jeder Kaufmann verpflichtet, empfangene Handelsbriefe geordnet aufzubewahren. Die Pflicht zur Archivierung von E-Mails gilt dabei für jeden Kaufmann (vgl. §§ 1,2,3 HGB), für Handelsgesellschaften, eingetragene Genossenschaften sowie juristische Personen i.S.d. § 33 HGB. Dagegen gilt die E-Mail Archivierungspflicht nicht für Nichtkaufleute, wie z.B. Kleingewerbetreibende und Freiberufler.
Gemäß § 147 AO sind neben den Handels- und Geschäftsbriefen auch all diejenigen abgesendeten E-Mails aufzubewahren, die in steuerrechtlicher Hinsicht von Bedeutung sind. Eine Verletzung der oben genannten Buchführungspflichten kann empfindliche Konsequenzen haben. So kann eine vorsätzliche oder leicht fahrlässige Verletzung der Buchführungspflicht eine Ordnungswidrigkeit im Sinne einer Steuergefährdung gemäß § 379 AO darstellen.
Fazit
Die sorgfältige Archivierung von E-Mails ist also für jeden Unternehmer nicht bloß eine freiwillige Zusatzmaßnahme sondern vielmehr ein gesetzliches Muss. Verstöße haben ernsthafte Konsequenzen zur Folge und können ein Unternehmen im schlimmsten Fall in die Insolvenz zwingen. Daher ist es mehr als empfehlenswert, klare Regelungen für die Nutzung und Archivierung von E-Mails im Unternehmen zu schaffen.
Aufbewahrungsfristen
Gemäß § 147 AO sind die als Handels- oder Geschäftsbriefe einzustufenden E-Mails sechs Jahre aufzubewahren. Sollten die E-Mails dagegen Buchungsbelege, Rechnungen, Bilanzen, Jahresabschlüsse oder auch Lageberichte enthalten, betragen die Aufbewahrungsfristen 10 Jahre.
Hinsichtlich der Art muss eine fälschungssichere dauerhafte Speicherung der Daten in elektronischer Form und ihre Auffindbarkeit und Abrufbarkeit gewährleistet werden. Dabei bevorzugt das Gesetz keine bestimmte Methode der Speicherung. Es muss nur sichergestellt sein, dass die E-Mails während der Dauer der Aufbewahrungsfrist jederzeit verfügbar sind, unverzüglich lesbar gemacht und maschinell ausgewertet werden können.
Umsetzungsmöglichkeiten
Zentrale Speicherung aller Mails?
Um diesen Vorgaben gerecht zu werden, böte sich die zentrale Speicherung aller „unternehmenseigenen“ E-Mails an. Eine solche zentrale Archivierung stößt jedoch dann auf Vorbehalte, wenn das jeweilige Unternehmen seinen Mitarbeitern die Nutzung des E-Mail-Postfachs auch zu privaten Zwecken gestattet. Stellt man nämlich den betriebseigenen Internetzugang für betriebsfremde (also private) Zwecke zur Verfügung, wird das Unternehmen in diesem Fall geschäftsmäßiger Anbieter von Telekommunikationsdiensten.
Das Unternehmen unterliegt dann rechtlichen Pflichten aus dem Bundesdatenschutzgesetz (BDSG) und dem Telekommunikationsgesetz (TKG). Danach ist eine Überwachung und Speicherung privater E-Mails nicht zulässig. In diesem Fall wäre eine zentrale Speicherung aller E-Mails, also auch privater, nicht mit geltendem Recht vereinbar und könnte empfindliche Sanktionen nach sich ziehen.
Lösung 1: Totalverbot privater Mails
Eine mögliche Lösung dieses Problems wäre, privaten E-Mailverkehr vollständig zu verbieten. Zumindest aus rechtlicher Sicht scheint diese Lösung die ideale: Das Unternehmen wird nicht zum Provider, Datenschutz spielt dann keine Rolle. So können Rechtsunsicherheiten für den Arbeitgeber und Arbeitnehmer vermieden und SPAM-Filter, Vertretungszugriffe, Archivierung und Kontrollen einer missbräuchlichen Nutzung ermöglicht werden. Das Unternehmen hat dann natürlich auch das Recht, beliebig und unbegrenzt auf die E-Mails der Mitarbeiter zuzugreifen bzw. diese zu archivieren.
Problem: Abgesehen davon, dass ein solches Totalverbot sich nicht gerade fördernd auf das Betriebsklima auswirkt, müsste es auch in der Praxis durchgesetzt und bei Zuwiderhandlung sanktioniert werden. Sollte es nämlich zu einer Duldung kommen, stünde diese rechtlich der Erlaubnis gleich.
Lösung 2: vorbehaltlose Erlaubnis privater E-Mails
Auch denkbar wäre eine vorbehaltlose Erlaubnis privaten E-Mailverkehrs unter der Voraussetzung, dass private E-Mails, ohne deren Inhalt auszuwerten, von geschäftlichen vor der Archivierung getrennt und nicht archiviert werden. Diese Variante dürfte jedoch technisch sehr aufwändig und kostenintensiv sein.
Lösung 3: Die Zwischenlösung – bedingte Erlaubnis privater E-Mails
Schließlich bietet sich eine Zwischenlösung an. Den Mitarbeitern könnte im Einzelnen vorgeschrieben werden, auf welche Art und Weise via E-Mail privat über die firmeninterne IT-Infrastruktur kommuniziert werden kann. Denkbar wäre beispielsweise eine Nutzung nur in Pausen und über einen Freemail-Account (wie web.de oder gmx.de) oder das Vergeben separater Mailadressen für den privaten Gebrauch. Auch könnte den Mitarbeitern die Pflicht auferlegt werden, private E-Mails deutlich als solche zu kennzeichnen (etwas schon im Header).
Fazit:
Unternehmensbezogene E-Mails sollten bestenfalls zehn Jahre lang den gesetzlichen Regelungen entsprechend archiviert werden. Unabhängig, welcher Weg zur Archivierung von E-Mails beschritten wird, gilt: in jedem Unternehmen sollte unmissverständlich und klar definiert sein, in welchem Umfang die private Nutzung des E-Mail-Accounts zulässig ist oder auch nicht.
Für eine kostenlose Betriebsvereinbarung zur privaten E-Mail-/Internet-Nutzung im Unternehmen klicken Sie auf einen der beiden Links!
Abonnieren
Posts (Atom)
