Grundlegende inhaltliche Neuerungen durch die DSGVO lassen sich im ehemals deutschen Datenschutzrecht kaum finden. Das viel diskutierte „Recht auf Vergessenwerden“ wird in Art. 17 DSGVO zugunsten der Archivierungspflichten hintangestellt. Somit können nationale Bestimmungen durch gesetzliche Aufbewahrungspflichten die Speicherung von personenbezogenen Daten auch entgegen einem Löschgesuch eines Betroffenen erlauben. Im Zweifel hieße dies also, dass begründete gesetzliche Archivierungspflichten Vorrang vor den Rechten der Betroffenen gemäß Art. 17 DSGVO haben. Soweit so gut.
Gerade im B2C-Bereich ist die gängige Archivierungspraxis „Besser alles archivieren, als archivierungspflichtiges zu vergessen“ jedoch zum Risiko geworden. Die Anbieter von E-Mail-Archivierungssoftware stellen sich gerade darauf ein. Neue Features – teils auch zur Unterstützung von organisatorischen und prozessualen Changes – werden sein: selektive Archivierung, intelligente Archivierungsregeln, das automatische Löschen von Datensätzen nach vorher festgelegten Fristen, die On-Demand-Löschung auf Aufforderung durch betroffene Personen (nach Art. 17 DSGVO), etc.
Als besondere Herausforderung gilt die DSGVO-konforme Datensicherung in Backups. Auch aus Sicherheitskopien sind einzelne Datensätze nach der DSGVO unter den jeweiligen Voraussetzungen löschpflichtig. Für einen effizienten Prozess dazu muss nicht nur klar sein, wo sich in Backups personenbezogene Daten befinden, diese müssen ebenso leicht durchsuch- und auffindbar sein und das möglichst über alle Backups hinweg. Abschließend müssen dann einzelne gefundene Datensätze mit personenbezogenen Daten aus Backups nachweislich löschbar sein.
Private Nutzung des geschäftlichen E-Mail-Accounts
Nach dem Telekommunikationsgesetz gilt als sog. „Dienstanbieter“ jeder, der „ganz oder teilweise geschäftsmäßig a) Telekommunikationsdienste erbringt oder b) an der Erbringung solcher Dienste mitwirkt“. Entsprechend gilt ein Unternehmen, das seinen Mitarbeitern die private Nutzung des E-Mail-Postfaches gestattet, als Dienstanbieter nach dem TKG. Insofern unterliegt die über dieses Postfach abgewickelte – auch geschäftliche! – Kommunikation nach §88 TKG dem sog. Fernmeldegeheimnis. Entsprechend §88 Abs. 3 TKG darf der Dienstanbieter sich demnach keine Kenntnis des Inhalts verschaffen, die über erforderliche Maßnahmen zum Schutz der technischen Systeme hinausgeht.
Inwieweit dies eine automatisierte Archivierung von E-Mail-Postfächern betrifft, ist durchaus strittig. Aus meiner Sicht verschafft sich ein Unternehmen über ein E-Mail-Archiv, das auf Archivseite mit identischen Zugriffsbeschränkungen ausgestattet ist wie das originale E-Mail-System, zunächst keine Kenntnis vom Inhalt der Kommunikation an sich.
Klar gilt jedoch sowohl für das originäre E-Mail-System wie auch das E-Mail-Archiv im Falle gestatteter privater Nutzung, dass das Unternehmen die Postfächer in beiden Systemen nicht mehr inhaltlich einsehen darf, so lange die private Nutzung gestattet ist. Auch ein Umschwenken bzgl. der Policy auf ein Verbot privater Nutzung erlaubt den Zugriff dann erst nach Ablauf der Archivierungsfristen bzw. nach Entfernen aller privaten Kommunikation – ohne diese inhaltlich begutachten zu dürfen!
Unberührt hierdurch bleibt nach §88 Abs. 3 Satz 3 TKG z.B. die Durchführbarkeit eines Audit zu dem das Unternehmen gesetzlich verpflichtet ist.
Fazit
Da es in der Praxis äußerst komplex ist, zielgenau diejenigen E-Mails zu filtern, die nach Gesetzen und Normen archivierungspflichtig sind, werden in den meisten Fällen alle ein- und ausgehenden E-Mails archiviert. Allenfalls ein Spam-Filter kommt in den meisten Konstellationen unterstützend zum Einsatz, so dass zumindest als Spam erkannte E-Mails nicht den Weg in das Archiv finden. Alles zu archivieren ist – zumindest im B2B-Geschäft – unbedenklich, wenn die private Nutzung des Firmen-E-Mail-Postfachs untersagt ist. Im B2C-Geschäft sollte man darauf achten, dass E-Mail-Archive Features anbieten, die z.B. ein „als gelöscht markieren“ von E-Mails automatisch, regelbasiert sowie on-demand erlauben und die Markierung mit Begründung protokollieren. So kann man die Hürde für den Zugriff erhöhen und diesen z.B. nur im Audit-Fall erlauben.
In Bezug auf die Aufbewahrungsvorgaben (Ort, vollständig, richtig, manipulationssicher, zeitgerecht und geordnet) ist man mit einem digitalen E-Mail-Archiv sehr gut aufgestellt.
Die PASS E-Mail-Archivierungssoftware unterstützt Sie optimal bei der Einhaltung der aus den Vorschriften folgenden Aufbewahrungsvorgaben. Zusätzlich unterstützt das PASS Mail-Archiv mit dem „Privacy-Flag“-Feature die Einhaltung des Schutzes von privaten Inhalten. Nutzer können hierbei Ihre private Kommunikation kenntlich machen. Selbst die Auditor-Rolle bekommt dann – ohne explizite Genehmigung – keinen Zugang zu den entsprechend gekennzeichneten Inhalten.
PASS kann zusätzlich als einer der wenigen Full-Service-Provider im Segment auch bei der Einhaltung des Aufbewahrungsortes Punkten. Lassen Sie Ihre Instanz des PASS Mail-Archivs doch einfach in einem unserer Rechenzentren in Deutschland hosten!
Bild: Shutterstock