Foto: J.Wendler/Fotolia
Es gibt kein Gesetz, das ausschließlich und umfassend den rechtlichen Umgang mit E-Mails regelt. Zu den vielen nationalen gesellen sich internationale Vorschriften. Die Verunsicherung der Verantwortlichen ist daher nachvollziehbar. Die folgenden Fragen und Antworten sollen Klarheit schaffen.
Ist Archivierung Pflicht oder Kür?
Da elektronische Kommunikation inzwischen fast 95 Prozent der Unternehmenskommunikation ausmacht, ist es nicht verwunderlich, dass die IT-Abteilungen vieler Firmen sich mit der Einführung rechtskonformer und revisionssicherer Archivierungslösungen beschäftigen. Dokumenten-Management-Systeme (DMS) gibt es zuhauf. Dennoch hat nach einer Umfrage der Pentadoc AG aus dem Jahr 2009 unter 300 Firmen nur etwa jede dritte ein E-Mail-Management- oder Archivierungssystem im Einsatz. Die übrigen Unternehmen betreiben zumeist eine rein technisch oder kostenmotivierte Datensicherung ihrer E-Mail-Systeme. Aufbewahrungspflichtige E-Mails und Dateien werden dort häufig nur ausgedruckt und verschwinden ohne Archivierungskonzept und Möglichkeiten zur Online-Suche in Papierarchiven. Dies entspricht weder den gesetzlichen Anforderungen (Compliance) noch den Wünschen der Nutzer nach effektiver Informationsbereitstellung.
Welche Gesetze sind relevant?
Die digitale Informationsflut stellt die Unternehmen vor rechtliche Herausforderungen. Sie müssen nicht nur die ganz allgemeinen Vorgaben des Handelsgesetzbuchs (Paragraf 257, HGB) und der Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS) beachten. Relevant sind auch die Abgabenordnung (Paragrafen 146, 147 AO) und die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU). Denn obwohl elektronische Briefe in der Regel unstrukturiert eingehen, unterliegen E-Mail-Archive grundsätzlich dem Zugriffsrecht der Finanzverwaltung, wenngleich die Prüfer davon bislang nur selten Gebrauch machen.
Was verlangt der Datenschutz?
Nicht minder wichtig sind die Vorgaben des Datenschutzrechts. Wesentlich ist die zum 1. September 2009 in Kraft getretene Novellierung des Bundesdatenschutzgesetzes (BDSG). Die neue Regelung (Paragraf 32 BDSG) verbietet beispielsweise ein IT-gestütztes Massen-Screening sämtlicher E-Mails aller Arbeitnehmer, um etwa Straftaten einzelner Mitarbeiter aufzudecken.
IT-Abteilungen sollten auch das gesetzliche Gebot der Datenvermeidung und Datensparsamkeit (Paragraf 3a BDSG) kennen. Es fordert Unternehmen dazu auf, so wenig Informationen wie möglich zu erheben, wenn es gilt, personenbezogene Daten zu verarbeiten und die IT-Systeme entsprechend einzurichten. Ältere Daten, die nicht mehr benötigt werden, müssen gelöscht werden. Daraus lässt sich aber keineswegs die Notwendigkeit ableiten, eine E-Mail-Quote einzuführen, die etwa die Postfachgröße beschränkt. Eine solche Regelung kann keinen rechtlichen Hintergrund haben.
Was muss der Arbeitgeber tun?
Trotz dieser Datenschutzrechts-Novelle und der darin enthaltenen Ge- und Verbote gibt es für die Archivierung von geschäftlichen E-Mails weiterhin keine konkreten gesetzlichen Vorgaben. Der wegen des Handelsrechts und des Steuergesetzbuchs oftmals notwendige Blick in die E-Mail-Fächer unterliegt also noch immer den strengen Vorgaben des Telekommunikationsgesetzes und des BDSG. Daran ändert auch das mittlerweile bestätigte Urteil des Verwaltungsgerichts Frankfurt am Main vom 6. November 2008 nichts. Demnach endet das Fernmeldegeheimnis spätestens dann, wenn der Übertragungsvorgang abgeschlossen ist und der Mitarbeiter die E-Mail im Postfach erhalten hat, so dass er sie bearbeiten kann. Das gilt auch dann, wenn die E-Mail nach wie vor auf dem Server gespeichert ist. Allerdings wird bei einer gestatteten oder geduldeten Privatnutzung der Arbeitgeber weiterhin als Telefonanbieter eingestuft.
Was muss der IT-Leiter tun?
Aus den gesetzlichen Rahmenbedingungen ergeben sich Anforderungen an den IT-Leiter. Zunächst muss er seine IT-Mitarbeiter anweisen, niemals ohne Legitimation - dazu zählen etwa IT-Richtlinien, Betriebsvereinbarungen und schriftliche Einwilligungserklärungen der Mitarbeiter - in die Postfächer der Kollegen zu schauen. Bei einem Verstoß gegen das Fernmeldegeheimnis können sich sowohl der IT-Leiter als auch die Mitarbeiter im IT-Support strafbar machen.
Je nach Ausgestaltung des E-Mail-Systems sollten die IT-Verantwortlichen den Betriebsrat einbeziehen. Das gilt vor allem für automatische Systeme mit regelbasierender Ablage und Klassifikation. Auch der Datenschutzbeauftragte muss informiert werden, denn er benötigt für seine Aufgabe stets den aktuellen Stand der eingesetzten IT-Verfahren.
Der IT-Abteilung obliegt in der Regel die technische Umsetzung der E-Mail-Archivierung, über Aufbewahrungs- und Verjährungsfristen kann sie nicht beschließen. Das ist Aufgabe der Geschäftsleitung, sie muss daher entscheiden, welche Archivierungskonzepte verfolgt werden. Das Management sollte also schon zu Beginn am Archivierungsvorhaben beteiligt sein.
Tipps für die E-Mail-Archivierung
• Legen Sie klare Regeln zur Nutzung und Ablage von E-Mails und anderen elektronischen Dokumenten fest.
• Untersagen Sie den Mitarbeitern die private Nutzung von E-Mails oder stellen Sie eine zweite private E-Mail-Adresse, um Konflikte zu vermeiden.
• Analysieren Sie die Sicherheitsrisiken, die aus der E-Mail-Nutzung entstehen können. Entwickeln Sie ein Sicherheitskonzept und führen Sie entsprechende Schutzmaßnahmen gegen die Bedrohungen ein (Malware, Spam, Informationsverlust etc.).
• Ist die E-Mail-Nutzung nur für den dienstlichen Gebrauch vorgesehen, kontrollieren sie, dass diese Vorschrift auch eingehalten wird. Unternehmen, die den privaten E-Mail-Verkehr zwar untersagt haben, ihn aber stillschweigend dulden, werden vom Gesetzgeber als TK-Anbieter eingestuft.
• Lassen Sie von Spezialisten prüfen, welche rechtlichen Anforderungen zur E-Mail-Archivierung für Ihr Unternehmen bestehen, und führen Sie bei Bedarf ein Archivierungssystem ein.
• Verringern Sie das Aufkommen archivierungspflichtiger E-Mails.
Was darf gelöscht werden?
Nicht nur das Gebot der Datensparsamkeit spricht dagegen, den gesamten E-Mail-Verkehr eines Unternehmens über Jahrzehnte zu archivieren. Auch die Kosten der Langzeitarchivierung sollten Unternehmen dazu bewegen, alte Informationen zu löschen. IT-Leiter sind daher auch unter dem Blickwinkel von IT-Compliance gut beraten, die geltenden Verfahren zur fristgebundenen Vernichtung von Geschäftsunterlagen eng mit der Rechtsabteilung abzustimmen. Anschließend müssen diese Prozesse in einer Richtlinie ("Document Retention Policy") verbindlich festgelegt und im gesamten Unternehmen einheitlich eingeführt werden - unter Mitarbeit des Datenschutzbeauftragten und des Betriebsrats. Diese möglicherweise zunächst als lästig empfundene Pflicht können Unternehmen zum Anlass nehmen, ein effizientes Informations-Management zu etablieren.
Was ist internationales Recht?
Für Verunsicherung in vielen Unternehmen haben auch die nebulösen E-Discovery-Anforderungen gesorgt. Diese Vorkehrungen sind nur für solche Unternehmen relevant, die Geschäftstätigkeiten in den USA und in Großbritannien nachgehen. Nur sie zählen zum Anwendungsbereich der E-Discovery und des Foreign Corruption Practices Act (FCPA) und können spätestens bei gerichtlichen Auseinandersetzungen gezwungen werden, ihr elektronisches Archiv zu öffnen.
Aufgrund der Electronic-Discovery-Regelungen können Behörden Unternehmen dazu verpflichten, digital gespeicherte Informationen zu reproduzieren, wenn sie als Beweismittel in einem Gerichtsverfahren in Betracht kommen. Der IT-Leiter sollte von sich aus auf das Management zugehen, wenn die im Unternehmen vorhandene IT nicht ad hoc und auf Anordnung der Geschäftsleitung (etwa bei einem Rechtsstreit) in der Lage ist, den Status quo der IT-Systeme und der E-Mails einzufrieren und Löschroutinen auszusetzen. (jha)