Viele Unternehmen und zuvorderst ihre Betriebsräte und Datenschutzbeauftragten haben oft Bedenken, wenn es um die Archivierung von E-Mails geht. Schließlich sind darin personenbezogene Daten enthalten. Jedoch gibt es Aufbewahrungs- und Archivierungspflichten, an die sich Unternehmen auch im Sinn der Revisionssicherheit halten müssen. Dieser scheinbare Widerspruch lässt sich durch eine datenschutzkonforme E-Mail-Archivierungsstrategie lösen.
Mittlerweile ist die europäische Datenschutz-Grundverordnung (DSGVO) seit etwas über drei Jahren in Kraft. Dennoch herrscht vielerorts noch Unsicherheit, was die Umsetzung im eigenen Unternehmen angeht – besonders dann, wenn die Vorgaben der DSGVO scheinbar mit anderen Regularien kollidieren.
Revisionssicherheit und Datenminimierung
Grundsätzlich sind die meisten deutschen Unternehmen nach steuer- und handelsrechtlichen Vorgaben dazu verpflichtet, jedwede externe Korrespondenz, in der es um Vorbereitung, Abwicklung, Abschluss und Annullierung einer geschäftlichen Aktivität geht, für einen bestimmten Zeitraum aufzubewahren. Darunter fallen beispielsweise Rechnungen, Verträge, Zahlungsbelege sowie Auftrags- und Reklamationsschreiben. Die Aufbewahrungspflicht gilt auch dann, wenn die Inhalte in elektronischer Form, wie also zum Beispiel als E-Mail, vorliegen.
Diese Archivierungsvorgaben sind für Unternehmen in Deutschland in den sogenannten Grundsätzen zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD) geregelt. In Österreich und der Schweiz gibt es vergleichbare Anforderungen. Diese Vorgaben gelten prinzipiell für alle Daten, die für die Besteuerung relevant sind. Dies umfasst unter anderem folgende Bereiche:
Dadurch entsteht ein hohes Aufkommen an Daten, die Unternehmen revisionssicher archivieren sollten. Demgegenüber steht der Datenschutzgrundsatz der Datenminimierung, der besagt, dass man personenbezogene Daten nur in dem Umfang und für die Dauer erheben darf, wie sie auch zur Erreichung des jeweiligen Zweckes gebraucht sind. Einfach auf Verdacht alle E-Mails dauerhaft zu speichern, ist dementsprechend keine Lösung und auch nicht rechtskonform. Die Löschung von E-Mails sollte gemäß der Datenschutz-Grundverordnung nach Ablauf spezifischer Fristen oder auf Wunsch betroffener Personen erfolgen. Hier zeigt sich schon, dass Systeme für Backup und Datensicherung den komplexen Anforderungen nicht gerecht werden können, da diese nicht für die revisionssichere und datenschutzkonforme Speicherung von – in diesem Fall – E-Mails konzipiert sind.