Rechtstipp Sieben Fehleinschätzungen bei der E-Mail-Archivierung

Es gibt eine Vielzahl von Vorschriften, die auf E-Mail-Archivierung Anwendung finden, aber kein eigenes Gesetz. Im Folgenden die sieben gängigsten Fehleinschätzungen zum Thema E-Mail-Archivierung:

1. Jede Mail muss archiviert werden.

Grundsätzlich muss jedes Unternehmen seine Geschäftskorrespondenz aufbewahren, sei es aufgrund gesetzlicher Pflichten, sei es zur Beweissicherung. E-Mail macht hierbei längst den Löwenanteil aus. Leider sieht das Gesetz keine einheitliche Aufbewahrungsfrist vor. Wie lange E-Mails zu archivieren sind, richtet sich vielmehr nach deren Inhalt. So ist z.B. steuerrechtlich relevante Geschäftskorrespondenz bis zu sieben Jahre aufzubewahren, wohingegen bei sonstiger Korrespondenz etwa mit einer dreijährigen Aufbewahrung das Auslangen gefunden werden kann. Die Grundregel lautet: E-Mails dürfen, ebenso wie sonstige personenbezogenen Daten, bloß solange aufbewahrt werden, als es für ihren Zweck absolut notwendig ist. Im Zweifel sollten berufliche E-Mails als Geschäftskorrespondenz gewertet und sieben Jahre aufbewahrt werden. Wichtig ist auch dafür zu sorgen, dass die E-Mails nach Ablauf der Aufbewahrungsfrist tatsächlich gelöscht werden.

2. Jede Mail kann archiviert werden.

Nach österreichischer Rechtslage dürfen Arbeitnehmer im vertretbaren Ausmaß auch private E-Mails an ihrem Arbeitsplatz versenden und empfangen, sofern dies vom Arbeitgeber nicht ausdrücklich verboten ist. Ein solches Verbot kommt in der Praxis selten vor. Daraus ergibt sich, dass auf den Accounts der Mitarbeiter oftmals nicht nur berufliche, sondern auch private E-Mails gespeichert sind. Dies kann in der Praxis zu großen Problemen führen. So stehen dem Arbeitgeber natürlich umfangreichere Einsichtsrechte in die berufliche Korrespondenz seiner Mitarbeiter zu als in deren private E-Mails. Zudem ist unklar, inwieweit er überhaupt berechtigt oder verpflichtet ist, private E-Mails seiner Mitarbeiter zu speichern. Im Anlassfall wird in diesen Fällen oftmals nachträglich versucht mit konkludenten Zustimmungen der Mitarbeiter zu argumentieren, was naturgemäß keine zufrieden stellende Lösung ist.
Wir empfehlen unseren Klienten für einen strukturierten Aufbau der E-Mailverwaltung Sorge zu tragen, welcher eine klare Trennung zwischen beruflicher und privater Korrespondenz der Mitarbeiter bietet. Derartige Modelle, die wir schon des Öfteren für unsere Mandaten entworfen haben, bewährten sich bislang in der Praxis und halfen, vielen rechtlichen Probleme bei der Speicherung von E-Mails schon im Voraus zu begegnen.

3. Das Verbot privater Mails in Unternehmen ist juristisch ohne Alternativen.

Es wird immer schwieriger, private und geschäftliche Nutzung von IT-Ressourcen zu trennen. Bei Social Media ignorieren viele Angestellte diese Grenze völlig. Auch private oder halbprivate E-Mail-Korrespondenz während der Arbeitszeit zu führen sind in Positionen, die eines starken persönlichen Netzwerks bedürfen, gängig. Ein Verbot erscheint juristisch bequem. Aber es ist nur dann die beste Lösung, wenn man bereit ist, auch seine besten Mitarbeiter für einen Verstoß abzumahnen. Stattdessen geht es darum sicherzustellen, dass private E-Mails nicht Teil der Archivierungsroutine werden.
Es gibt viele Möglichkeiten: Einige Unternehmen verlangen einen Vermerk im Betreff, andere richten jedem Mitarbeiter eine zweite E-Mail-Adresse ein. Am Häufigsten anzutreffen ist die Regelung, den Gebrauch von sogenannten Freemail-Accounts zu erlauben, vielleicht je nach Rolle nur zu bestimmten Uhrzeiten. Eingehende private E-Mails müssen Mitarbeiter in einen Ordner verschieben, der dafür sorgt, dass die Mail dauerhaft gelöscht beziehungsweise nicht von der Sicherungs- oder Archivierungsroutine erfasst wird.

4. Das E-Mail-Archiv muss verschlüsselt sein.

Abgesehen von Einzelfällen, wie etwa der Verwendung von Gesundheitsdaten, verlangt der Gesetzgeber grundsätzlich keine Verschlüsselung von E-Mails. Allerdings sind die allgemeinen Sicherheitsanforderungen des österreichischen Datenschutzrechts zu beachten, welche auch auf die Verwahrung von E-Mails Anwendung finden.
Die vielen Fälle von unbeabsichtigten Datenverlusten zeigen eindrucksvoll, dass es durchaus im Eigeninteresse der Unternehmen liegen kann, die Unternehmensdaten zumindest verschlüsselt zu übertragen – auch um bei etwaigen Verlusten Entschädigungsklagen Dritter abzuwenden. Eine rechtskonforme technische Lösung sollte ermöglichen, die Daten in ihrer Gesamtheit sicher zu verwahren und im Bedarfsfall an den Berechtigten entschlüsselt zu übergeben.

5. Bordmittel des E-Mail-Servers bieten alle nötigen Optionen.

Administratoren behelfen sich derzeit meist mit proprietären Archivdateien, beispielsweise PST-Dateien in Exchange-Umgebungen. Sie enthalten E-Mails, Kalendereinträge, Kontakte und Aufgaben. Unternehmen speichern sie häufig auf dem Endgerät des Anwenders, um die Datenmenge auf dem Mail-Server zu reduzieren. Compliance bieten sie nicht: Diese Dateien können in falsche Hände geraten und sind obendrein leicht zu manipulieren. Für den Administrator sind sie schwer zu verwalten, für den durchschnittlichen Anwender bieten sie keinen bequemen Zugang zu seinen älteren Nachrichten.
Um geschäftliche E-Mails inklusive Anhänge - wie gesetzlich gefordert - fälschungssicher und untersuchbar zu speichern, ist nur eine serverseitige Lösung denkbar. Die eingehende Mail muss abgespeichert sein, bevor sie den Nutzer erreicht. Wenn man dazu jedoch den E-Mail-Server selbst nutzt, verliert er Leistung und geht irgendwann in die Knie. Ein dedizierter Server, eine Appliance oder ein Cloud Service verhindert dies.

6. Die Nutzung eines E-Mail-Archivsystems garantiert Rechtskonformität.

Neue, automatisierte Appliances oder Cloud-Lösungen mit hohem Zusatznutzen steigern die Motivation in Unternehmen, ihre E-Mail-Archivierung rechtskonform aufzusetzen. Doch ein Message Archiver automatisiert nur den Archivierungsvorgang.
Unternehmen müssen daher einige Weichenstellungen treffen, damit sie einerseits alle aufbewahrungspflichtigen Nachrichten sicher archivieren und vor Zugriffen durch Unberechtigte schützen und andererseits andere Nachrichten gemäß den strengen österreichischen Datenschutzanforderungen genauso sicher löschen.
Im Zusammenhang mit der E-Mail Archivierung ist von besonderer Relevanz, dass seit Anfang 2010 auch in Österreich eine „Data Breach Notification Duty“ gilt, das heisst, dass ein Unternehmen in bestimmten Situationen die Betroffenen über den Verlust oder die missbräuchliche Verwendung ihrer Daten umgehend informieren muss. Dieser Pflicht kann ein Unternehmen jedoch nur dann nachkommen, wenn es über einen gesetzeskonformen Archivierungsprozess verfügt.

7. E-Mail-Archivierung geschieht nur aus juristischen Gründen.

Selbst wenn die Pflicht zur Archivierung morgen aufgehoben würde, spräche alles für eine Sicherung der E-Mails nach heutigen Standards: Die Produkte bieten eine umgehende Wiederherstellung verloren gegangener E-Mail-Infrastrukturen - entweder von einer lokalen Appliance oder von einem externen Rechenzentrum, wo die Daten gespiegelt sind. Die Lösungen geben Mitarbeitern den gewünscht schnellen Zugriff und hervorragende Suchmöglichkeiten für die in ihrem Account gespeicherten Mails, Anhänge, Kalendereinträgen, Kontakte und Aufgaben. Im Gegensatz zu einer Archivierung auf dem E-Mail-Server selbst oder einer Übertragung der Daten auf einem anderen Server komprimieren und deduplizieren Message Archiver die Daten und benötigen so weit weniger Speicherplatz. Durch sogenanntes „Stubbing“ können von vornherein alle Anhänge auf dem Archivsystem gelagert werden, ohne dass der Anwender davon etwas merkt. Anhänge machen weit mehr als die Hälfte der E-Mail-Datenlast aus. Kurz: Administratoren entlasten so ihren Mailserver erheblich.