© flatdesign / 123RF.com

Datenschutz ist kein Hindernis: Drei Schritte zur DSGVO-konformen E-Mail-Archivierung

Oftmals zeigen sich Unternehmen, Betriebsräte und Datenschutzbeauftragte skeptisch gegenüber digitalen E-Mail-Archivierungslösungen: Zwar gilt in Deutschland eine Archivierungs- und Aufbewahrungspflicht, doch kann eine entsprechende Software überhaupt den geltenden Datenschutzvorgaben genügen? Roland Latzel von MailStore sagt „Ja!“ und gibt drei Tipps, wie Unternehmen Datenschutz und E-Mail-Archivierung in Einklang bringen können.

Deutsche Unternehmen sind überwiegend dazu verpflichtet, jede Korrespondenz für einen bestimmten Zeitraum zu archivieren bzw. aufzubewahren, in der es um Vorbereitung, Abwicklung, Abschluss und Annullierung einer geschäftlichen Aktivität geht (sog. Handels- oder Geschäftsbriefe). Dazu zählen unter anderem Rechnungen, Verträge, Zahlungsbelege sowie Auftrags- und Reklamationsschreiben. Unter diese Pflicht kann auch die Kommunikation via E-Mail mit entsprechenden Inhalten einschließlich der Anhänge fallen. Diese Archivierungsvorgaben werden über die „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“ (GoBD) geregelt. IT-Verantwortliche streben daher die Implementierung von Archivierungssoftware an, die die Archivierung der geschäftlichen E-Mails revisionssicher und möglichst automatisiert übernimmt. Hier zeigen sich Betriebsräte und Datenschutzbeauftragte oft skeptisch, da die Verarbeitung und Speicherung personenbezogener Daten über die Software DSGVO-konform gewährleistet sein muss. Die folgenden Schritte sollen Unternehmen dabei helfen, diesen Status quo zu erreichen:

1. Die internen Rahmenbedingungen abstecken

Bevor es an die technische Umsetzung von revisionssicheren bzw. GoBD-konformen E-Mail-Aufbewahrungsrichtlinien geht, sollten vorab die internen Rahmenbedingungen abteilungsübergreifend formuliert und festgehalten werden, damit diese auch die datenschutzrechtlichen Anforderungen erfüllen. Diese können zum Beispiel ein allgemein geltendes Verbot zur privaten Nutzung geschäftlicher E-Mail-Konten oder Absprachen zum ausschließlichen Einsatz von externen Mailing-Diensten für den privaten E-Mail-Verkehr umfassen. Außerdem kann ein Ausschluss bzw. eine gesonderte Behandlung bestimmter E-Mail-Konten erfolgen, zum Beispiel, wenn diese personenbezogene und sensible Daten beinhalten. Beispiele wären unter anderem die Kommunikation der Personalabteilung mit Bewerbern, des Betriebsrats oder des Betriebsarztes. Diese internen Rahmenbedingungen sollten unter Einbezug juristischer Expertise in jedem Fall schriftlich festgehalten und deren konsequente Einhaltung regelmäßig überprüft werden. Für die Definition entsprechender E-Mail-Governance-Richtlinien ist die Geschäftsführung verantwortlich, während die Umsetzung mittels Systemen und Prozessen häufig vor allem die IT verantwortet.

2. Aufbewahrungsrichtlinien festlegen

Sobald die IT die Implementierung einer Archivierungslösung in Betracht zieht, stellt sich schnell die Frage: „Was muss die Software können, um die E-Mail-Archivierung neben der Revisionssicherheit auch DSGVO-konform zu gestalten?“ Bei der Wahl der Lösung sollten IT-Entscheider daher darauf achten, dass das Tool ihnen ermöglicht, sowohl Aufbewahrungsrichtlinien GoBD-konform zu definieren, als auch bei der Einhaltung von DSGVO-Anforderungen unter die Arme zu greifen. Mithilfe von Aufbewahrungsrichtlinien können IT-Admins festlegen, für welche Dauer E-Mails mindestens aufzubewahren sind. Außerdem lässt sich über eine solche Funktion einstellen, ob Korrespondenzen nach Ablauf der konfigurierten Frist automatisch gelöscht oder ob sie manuell durch berechtigte Nutzer entfernt werden. Darüber hinaus unterstützen entsprechende Tools bei der DSGVO-konformen Erfüllung von Betroffenenrechten. E-Mail-Archive können so effizient und vollständig durchsucht, Daten extrahiert und systematisiert werden. Nimmt eine Person also zum Beispiel das Recht auf Löschung in Anspruch (Artikel 17 DSGVO), ist eine Löschung von E-Mails aus dem Archiv möglich – Voraussetzung bleibt dennoch die Sicherstellung der gesetzlichen Aufbewahrungsfristen. Dadurch wird die IT-gestützte Einhaltung unterschiedlicher Gesetze und Regularien möglich.

3. Qualitätssicherung durch externe Zertifizierung und unabhängige Prüfung

Derartige Funktionen, über die sich Richtlinien einstellen und automatisieren lassen, sind die eine Seite der Medaille. Die andere Seite betrifft die Vertrauenswürdigkeit und Legitimität der Lösungen selbst. Unabhängige Zertifizierungen geben Aufschluss darüber, ob und inwieweit die technischen Hilfsmittel den Vorgaben der GoBD entsprechen. Die Softwareprüfung sollte zum Beispiel nach dem Prüfungsstandard PS 880 vom Institut der Wirtschaftsprüfer (IDW) erfolgen. Dieser berücksichtigt relevante Aspekte der Grundsätze zur ordnungsgemäßen Buchführung, die die Archivierung betreffen. Obwohl es bislang noch keine explizite DSGVO-Zertifizierung der EU oder einer anderen offiziellen Stelle gibt, können unabhängige Prüfungen externer Datenschutzexperten Aufschluss darüber geben, dass die Lösung oder der untersuchte Service bei sachgerechter Anwendung eine den datenschutzrechtlichen Anforderungen entsprechende Verarbeitung der personenbezogenen Daten gewährleisten kann.
Eine professionelle Lösung für die Archivierung von geschäftlichen E-Mails ist ein mächtiges Werkzeug – die Einhaltung vor allem datenschutzrechtlicher Vorgaben ist im Kern jedoch ein Prozessthema, dass im Idealfall von der Geschäftsführung zusammen mit Datenschutzbeauftragtem und der IT gestemmt wird.  

Roland Latzel von MailStore

Quelle: www.mailstore.com

Pressemitteilung veröffentlicht am 25.05.2021 in E-Mail, News (In- und Ausland).
Schlagwörter: