13. Oktober 2014

E-Mail Aufbewahrung in Unternehmen: Wie sind die datenschutzrechtlichen Anforderungen?

Die E-Mail gehört heute zu den meist genutzten Kommunikationsmittel und hat in den Unternehmen den Großteil der Briefpost ersetzt. Den Erfolg dieses Kommunikationsmediums sehen viele in den zahlreichen praktischen Möglichkeiten begründet, die dem Nutzer zur Verfügung stehen. Zum Beispiel können Nutzer über die E-Mail in kostengünstiger Art und Weise Informationen an einen großen Empfängerkreis versenden. E-Mails können ebenfalls von jedem Ort weltweit über verschiedene Endgeräte abgerufen, bearbeitet, gelesen und versendet werden.

Darum wird es immer wichtiger, dass sich Unternehmen –große wie kleine- um die richtige Aufbewahrung der E-Mails kümmern und eine Strategie im Unternehmen dazu verfolgen.  Auch nach Compliance-Gesichtspunkten ist eine datenschutzkonforme Aufbewahrungs-lösung der E-Mails durch das jeweilige Unternehmen zu gewährleisten.

Bis heute mangelt es jedoch an eindeutigen gesetzlichen Vorgaben zur E-Mail Aufbewahrung. Entsprechende Pflichten ergeben sich aus vielen und höchst unterschiedlichen Vorschriften, die zum Teil nur schwer miteinander vereinbar sind. Grundlage sind dabei die Bestimmungen im Handelsgesetzbuch (z.B. 257 HGB), der Abgabenordnung (AO) sowie den Grundsätzen zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU). Neben den Vorschriften zur Aufbewahrung sind auch datenschutzrechtliche Regeln wie das Telekommunikationsgesetz (TKG) zu beachten.

Gesetzliche Anforderungen an die Aufbewahrungsplicht

Es sind bei den Anforderungen an die Aufbewahrungspflicht vor allem die handels- und steuerrechtlichen Vorschriften nach § 147 AO und § 257 HGB aufgrund ihres weit gefassten dokumentenbezogenen Anwendungsbereichs nahezu für jede Korrespondenz zu beachten. Nach  § 147 AO  müssen alle ein- und ausgehenden Handels- und Geschäftsbriefe dauerhaft gespeichert werden. Darunter versteht das Gesetz jegliche Korrespondenz, die „ein Geschäft vorbereitet, abwickelt, rückgängig macht oder abschließt“ (etwa Aufträge, Rechnungen, Verträge oder Zahlungsbelege).

Es ergeben sich grundsätzlich zwei unterschiedliche Konstellationen bezüglich der E-Mail Aufbewahrung im Unternehmen:

  1. Die private E-Mail Nutzung ist im Unternehmen erlaubt
  2. Die private E-Mail Nutzung ist nicht im Unternehmen erlaubt

 PRIVATE NUTZUNG VON E-MAILS IM UNTERNEHMEN

Grenzen durch Datenschutz

Wenn der Arbeitgeber die private Nutzung von E-Mails erlaubt, wird der Arbeitgeber nach (noch) herrschender Auffassung als ein Diensteanbieter im Sinne von § 3 Nr. 6 TKG angesehen, und er muss den § 88 TKG, das Telekommunikationsgeheimnis, beachten.

Was ergibt sich daraus?

Aufgrund des Telekommunikationsgeheimnisses gem. § 88 TKG ist es dem Arbeitgeber verboten, Daten zur Aufbewahrungszwecken zu verwenden, also demnach auch E-Mails.

Es gibt jedoch eine Ausnahme: Die E-Mails fallen nicht mehr unter den § 88 TKG, wenn sie vom Eingangsserver im Unternehmen abgerufen, heruntergeladen und auf dem Endgerät des Beschäftigten gespeichert werden. In diesem Fall besteht nach allgemeiner Auffassung keine Gefährdungslage, da Dritte keinen Zugriff mehr auf den laufenden Kommunikationsvorgang haben.

Anlegen sogenannter Arbeitsserver

In dem Zusammenhang mit der privaten E-Mail Nutzung wird auch diskutiert, ob sogenannte Arbeitsserver die Lösung sind. Viele Unternehmen, die der Aufbewahrungspflicht nachkommen möchten und die private E-Mail Nutzung im Unternehmen erlauben, schalten zwischen den Eingangsserver und dem Endgerät des Beschäftigten oft noch einen Arbeitsserver. Auf diesem Arbeitsserver können Vervielfältigungen des Originals gespeichert werden.

Die Frage, ob die Daten auf dem Arbeitsspeicher auch den Schutz des § 88 TKG genießen ist nicht abschließend geklärt. Es gibt keine eindeutigen Aussagen darüber. Es ist davon auszugehen, dass der 88 TKG in diesem Fall eher nicht anwendbar ist, da der Arbeitsspeicher gerade kein Telekommunikationsserver ist. Er soll vielmehr als ausgelagerter Speicher des Endgerätes des Beschäftigten fungieren.

Geht man jedoch davon aus, dass das Anlegen eines Arbeitsservers durch den Arbeitgeber nicht möglich ist (wegen Umgehung des Telekommunikationsgeheimnisses), ergibt sich, dass eine automatisierte Archivierung aller ein- und ausgehenden Mails unmöglich ist. Das manuelle Aussortieren dürfte auch zu ungenau und fehleranfällig sein, um den Anforderungen der Gesetze dauerhaft zu genügen.

Es kann daher Unternehmen geraten werden, die private Nutzung der Büro-Adresse zwar zu verbieten, die gelegentliche private Nutzung von Web-Mailern jedoch zu erlauben.

 VERBOT VON PRIVATER E-MAIL NUTZUNG IM UNTERNEHMEN

Unternehmen, die Ihren Mitarbeitern die private Nutzung von E-Mails grundsätzlich verbietet, sind rechtlich in Fragen der Archivierung von E-Mails viel besser gestellt. Im Unterschied zur erlaubten Privatnutzung von E-Mails, ergibt sich bei verbotener Privatnutzung damit eine völlig andere rechtliche Konstellation: In diesem Fall ist das Unternehmen nicht Adressat des Telekommunikationsgesetzes, die Datenverwendung durch Aufbewahrungszwecken ist zulässig.

Die rechtliche Grundlage für die Erfüllung der Aufbewahrungspflicht im Beschäftigungsverhältnis ergibt sich dann aus § 32 Abs. 1 Satz 1 BDSG. Danach dürfen personenbezogene Daten des Beschäftigten verwendet werden, wenn dies für die Durchführung des Beschäftigungsverhältnisses erforderlich ist.

Damit können Unternehmen bei einem Verbot der privaten E-Mail Nutzung der Aufbewahrungspflicht ohne Probleme nachkommen. Ein generelles Verbot der Nutzung von privaten E-Mails erscheint zunächst einfacher. Wenn die Unternehmen jedoch die private Nutzung von E-Mails über Web-Mailer zulassen, sollten diese der Aufbewahrungspflicht auch unkompliziert nachkommen können.

 

 

Newsletter

Bleiben Sie immer up to date in Sachen Datenschutz!