Unternehmen, die E-Mails rechtssicher und datenschutzkonform archivieren wollen, stehen vor einer mindestens mittleren Herausforderung. Denn die Aufbewahrungspflichten für E-Mails sind nicht in einem eigenen Gesetz geregelt, sondern ergeben sich aus unterschiedlichsten Rechtsquellen, die teils gegenläufige Ziele verfolgen. Während der Gesetzgeber beispielsweise aus steuerrechtlichen Gesichtspunkten ein Interesse an einer längerfristigen Aufbewahrung hat, stellt die EU-Datenschutz-Grundverordnung (DSGVO) das Gebot der Speicherbegrenzung auf. Je nach Sachverhalt ergeben sich daher verschiedene Fristen, die (auch technisch) in Einklang zu bringen sind.
Aufbewahrungsfristen für E-Mails
Für die geschäftliche Kommunikation bestehen vielfältige handelsrechtliche und steuerrechtliche Aufbewahrungspflichten. Erfolgt der Schriftverkehr in elektronischer Form, wirken sich diese auch auf den Einsatz der Informationstechnik aus.
Handels- und Geschäftsbriefe, zu denen auch E-Mails mit geschäftlichem Inhalt zählen, sind z. B. mindestens sechs Jahre bzw. bis zum Abschluss einer laufenden Steuerprüfung aufzubewahren (§ 257 Absatz 4 HGB; § 147 Absatz 3 AO). Unabhängig hiervon empfiehlt es sich, Unterlagen mindestens so lange aufzubewahren, wie sich noch Folgen aus dem zugrundeliegenden Rechtsverhältnis ergeben können, etwa solange noch Haftungsansprüche möglich sind. Dies sind grundsätzlich drei Jahre gemäß § 195 BGB.
Für (elektronische) Unterlagen, die für die Bilanzierung relevant sind, gilt eine Aufbewahrungsfrist von zehn Jahren (§ 14b Absatz 1 UStG). Dazu zählen insbesondere Rechnungen, Buchungsbelege und Inventare.
Technische Anforderungen an das E-Mail-Archiv
Gemäß den Grundsätzen zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD) muss der Originalzustand der archivierten Daten jederzeit überprüfbar sein. Das stellt komplexe Anforderungen an das Archivierungssystem:
- Alle Dokumente müssen zeitnah auffindbar sein.
- Systeme sind zudem gegen Vernichtung, Untergang und Diebstahl zu schützen.
- Ein Verändern, Überschreiben oder Ersetzen von Daten darf nicht ohne eine entsprechende Kennzeichnung möglich sein. Zudem müssen die Dokumente jederzeit im ursprünglichen Dateiformat wiederherstellbar sein.
- Wenn neue IT-Systeme eingeführt werden, muss gewährleistet sein, dass die archivierten Datenformate damit kompatibel sind.
- Die Dokumente müssen sich maschinell auswerten lassen. Die Archivierung von Ausdrucken oder PDF-Versionen der E-Mails genügt daher nicht.
Die archivierten E-Mails sollten nur für einen ausgewählten Kreis von Mitarbeitern und nur bei dringendem Bedarf zugänglich sein. Das sollte aus Gründen der Nachweisbarkeit in einem Berechtigungskonzept festgehalten werden. Zudem sollten sich Unternehmen mit der Frage beschäftigen, wie die Unwiederherstellbarkeit archivierter E-Mails nach Ablauf der Aufbewahrungsfrist erreicht wird.
Datenschutzrechtliche Einschränkungen
Eine selektive Archivierung einzelner E-Mails würde bei den meisten Unternehmen einen unverhältnismäßig großen Aufwand verursachen. Auch liegt hierin eine Fehlerquelle, wenn wichtige Nachrichten übersehen werden.
Wird jedoch prinzipiell der gesamte E-Mailverkehr archiviert, stellt das eine datenschutzrechtliche Herausforderung dar: Wenn im Unternehmen die private Nutzung der E-Mailkonten geduldet wird, ist davon auszugehen, dass bei der Archivierung auch private personenbezogene Daten der Mitarbeiter gespeichert werden. Dies erfordert aber eine ausdrückliche Einwilligung der Mitarbeiter.
Entweder müsste eine entsprechende rechtskonforme Einwilligung von jedem einzelnen Mitarbeiter eingeholt werden oder eine Vereinbarung mit der Arbeitnehmervertretung geschlossen werden (vgl. § 26 Abs. 1 BDSG, § 87 BetrVG).
Generell ist davon abzuraten, dass Mitarbeiter die geschäftliche E-Maildresse zu privaten Zwecken nutzen dürfen; so können Sie die Notwendigkeit einer Einwilligung vermeiden. Der gesamte elektronische Schriftverkehr gilt in dem Fall als Geschäftsverkehr und bedarf für die Archivierung keiner Einwilligung durch die Mitarbeiter. Dies ist aber immer noch kein Freischein zur endlosen Archivierung, da die E-Mails reichlich personenbezogene Daten von Ansprechpartnern enthalten und auch geschäftliche E-Mails von Mitarbeitern nicht unbegrenzt gespeichert werden dürfen.
In vielen Fällen liegt ein Aufbewahrungsinteresse des Verantwortlichen vor, das von keiner der genannten gesetzlichen Aufbewahrungspflichten gedeckt ist. In solchen Fällen kann ein berechtigtes Aufbewahrungsinteresse bestehen, das die weitere Speicherung erlaubt. Konkrete Beispiele hierfür sind die Aufbewahrung von Werbeeinwilligungen oder Schulungsnachweisen von Mitarbeitern. Eine individuelle Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO ist dafür regelmäßig notwendig.
Fazit: E-Mail-Archivierung nur mit Löschkonzept
Die rechtskonforme bzw. rechtssichere Archivierung von E-Mails bildet für Unternehmen eine große Herausforderung. Dies liegt vor allem an der schieren Menge von Informationen, die einer Entscheidung über Aufbewahrung oder Löschung bedürfen. Zudem gewähren die gesetzlichen Aufbewahrungspflichten nur bedingt rechtliche Sicherheit darüber, ob eine E-Mail gespeichert werden darf oder nicht.
Um E-Mails datenschutzkonform zu archivieren, ist deshalb dringend ein Löschkonzept anzuraten. Dieses bringt allen Beteiligten den Prozess näher und fördert eine gezielte Archivierungsbegrenzung im Unternehmen. Nicht zuletzt dient ein Löschkonzept der Dokumentation und dem Nachweis gegenüber der Aufsichtsbehörde.
Dieser aktualisierte Artikel wurde zuerst am 16. August 2011 veröffentlicht.
Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!