Rechtliche Rahmenbedingungen der Archivierung von E-Mails – Teil III

http://www.documanager.de/magazin/artikel_1832_email_archivierung_rahmenbedingungen.html

In diesem letzten Teil des insgesamt 3-teiligen Artikel werden die wichtigesten und häufigsten Fragen zum Thema durchgegangen und ... behandelt.

D. Die häufigsten gestellten Fragen zum Thema "Rechtssichere E-Mail Archivierung"

Angesichts der doch recht schwierigen Materie, soll der Übersicht und der Verständlichkeit halber die nachfolgenden Rechtsprobleme im Rahmen einer "FAQ" dargestellt werden:

Frage Nr. 1: Sind auch die Anlagen der Handels- oder Geschäftsmails aufbewahrungspflichtig?

Unklar ist oft, ob auch die Anlagen zu den Handels- oder auch Geschäftsmails zu den aufbewahrungspflichtigen Unterlagen i.S.d. § 238 II HGB gehören. Dies ist immer dann der Fall, wenn die jeweiligen Mails ohne die zugehörigen Anlagen nicht verständlich sind.

Frage Nr. 2: Sind auch Geschäftsmails zu archivieren, die sich auf ein nicht zustandegekommenes Geschäft beziehen?

Für den Fall, dass das Handelsgeschäft nicht zu einem Abschluss gekommen ist, wäre die diesbezüglich geführte Korrespondenz nicht aufbewahrungspflichtig.

Frage Nr. 3: Schreibt das Gesetz bezüglich der E-Mail Archivierung eine bestimmte Art und Weise vor?

Nein, das Gesetz hält sich hier bewusst zurück bzw. privilegiert keine bestimmte Speichertechnologie. Es kommt nur darauf an, dass eine fälschungssichere sowie dauerhafte Speicherung der Daten in elektronischer Form gewährleistet wird. In diesem Zusammenhang sind auch die Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS) interessant.

Danach dürfen zu archivierende E-Mails nur auf solchen DV-Systemen aufbewahrt werden, die es technisch ermöglichen, dass bei ihrer Wiedergabe eine bildliche Übereinstimmung mit dem Original gegeben ist. Originär digitale Unterlagen sind während der gesamten gesetzlichen Aufbewahrungsfrist in maschinell auswertbarer Form vorzuhalten. Eine alleinige Aufzeichnung auf Mikrofilm oder Papier reicht nicht mehr aus.

Frage Nr.4: Ist es zulässig, die E-Mails in verschlüsselter Form zu speichern?

Ja, dies ist prinzipiell zulässig, soweit die E-Mails bei der anschließenden Lesbarmachung wieder ohne Probleme entschlüsselt werden können. Dagegen ist es unzulässig, verschlüsselte E-Mails an die Finanzbehörden zu übergeben – selbst wenn das jeweilige Entschlüsselungsprogramm gleich mitgeliefert werden sollte.

Frage Nr.5: Was bedeutet eigentlich die revissionssichere Archivierung von E-Mails:

Hierzu hat etwa der Verband Organisations- und Informationssysteme (www.voi.de) die folgenden zehn Grundsätze zur Revisionssicherheit von elektronischen Mitteilungen (und Archiven) definiert:

Jede E-Mail wird unveränderbar archiviert,

Es darf keine E-Mail auf dem Weg ins Archiv oder im Archiv selbst verloren gehen,

Jede E-Mail muss mit geeigneten Retrievaltechniken (zum Beispiel durch das indexieren mit Metadaten) wieder auffindbar sein,

Es muss genau die E-Mail wiedergefunden werden, das gesucht worden ist,

Keine E-Mail darf während seiner vorgesehenen Lebenszeit zerstört werden können,

Jede E-Mail muss in genau der gleichen Form, wie es erfasst wurde, wieder angezeigt und gedruckt werden können,

Alle E-Mails müssen zeitnah wiedergefunden werden können,

Alle Aktionen im Archiv, die Veränderungen in der Organisation und Struktur bewirken, sind derart zu protokollieren, dass die Wiederherstellung des ursprünglichen Zustandes möglich ist,

Elektronische Archive sind so auszulegen, dass eine Migration auf neue Plattformen, Medien, Softwareversionen und Komponenten ohne Informationsverlust möglich ist,

Das System muss dem Anwender die Möglichkeit bieten, die gesetzlichen Bestimmungen (BDSG, HGB, AO etc.) sowie die betrieblichen Bestimmungen des Anwenders hinsichtlich Datensicherheit und Datenschutz über die Lebensdauer des Archivs sicherzustellen.

Frage Nr.6: Welche Bedenken gibt es gegen eine zentrale Archivierungslösung?

1. Problemdarstellung

Eine zentrale Archivierungslösung aller "unternehmenseigenen" E-Mails stößt dann auf Vorbehalte, wenn das jeweilige Unternehmen den Mitarbeitern auch die Nutzung des E-Mail-Postfachs zu privaten Zwecken gestattet. Stellt man nämlich den betriebseigenen Internetzugang für betriebsfremde (also private) Zwecke zur Verfügung, wird das Unternehmen in diesem Fall geschäftsmäßiger Anbieter von Telekommunikationsdiensten.

Unternehmen, die die private Nutzung des Internet/E-Mailzugangs erlauben unterliegen als Telekommunikations- und Telediensteanbieter den folgenden, sich aus dem BDSG sowie dem TKG ergebenden rechtlichen Pflichten:

Die Erhebung von personenbezogenen Daten ist auf ein Mindestmaß zu reduzieren.

Jegliche Überwachung und Speicherung der Inhalte und Verbindungsdaten ist unzulässig und stellt ein Verstoß gegen das Fernmeldegeheimnis dar, welches als Grundrecht nach §10 des Grundgesetzes nicht nur in der Sprachkommunikation sondern auch bei der Datenübertragung und der Internet-Nutzung Gültigkeit besitzt.

Die E-Mails, die nach dem Ende der Nachrichtenübermittlung auf dem unternehmenseigenen Server gespeichert sind, werden zwar nicht mehr vom Fernmeldegeheimnis geschützt (so ein aktuelles Urteil des Bundesverfassungsgericht), dagegen jedoch von Artikel 2 Abs. 1 GG i.V.m. Art 1. Abs. 1 GG - dem Recht auf informationelle Selbstbestimmung.

Alle Inhalts- und Verbindungsdaten, die Auskunft über die an der Internetnutzung oder am Emailverkehr Beteiligten geben könnten, sind durch angemessene technische Vorkehrungen und sonstige Maßnahmen vor Kenntnisnahme zu schützen.

2. Ergo

Diejenigen Unternehmen, die die private Internetnutzung erlauben, können eben nicht so ohne weiteres auf private E-Mails der Mitarbeiter zugreifen. Dasselbe gilt für die Archivierung privater E-Mails. So sind die betreffenden E-Mails während des Übertragungsvorganges durch das Fernmeldegeheimnis und anschließend durch das Recht auf informationelle Selbstbestimmung geschützt (Art. 10 Abs. 1 Grundgesetz; Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 Grundgesetz). Für den Fall, dass das Recht auf informationelle Selbstbestimmung verletzt wird, drohen ernst zu nehmende Sanktionen für das Unternehmen, im schlimmsten Fall kommen Freiheitsstrafen in Betracht.

Frage Nr.7: Sind Rückstellung für die Archivierung zu bilden?

Ja, so entschied bereits am 19.08.2002 der Bundesfinanzhof (BStBl 2003 II S. 131), dass für die zukünftigen Kosten der Aufbewahrung von Geschäftsunterlagen, zu der das Unternehmen gemäß § 257 HGB und § 147 AO verpflichtet ist, im Jahresabschluss eine Rückstellung zu bilden ist.

E. Handlungsanleitung

Wie bereits an obiger Stelle ausgeführt, bringt die Gestattung der privaten Nutzung der betriebseigenen IT-Infrastruktur durch die Mitarbeiter nicht zu unterschätzende rechtliche Komplikationen mit sich – gerade was auch die Archivierung von E-Mails anbelangt (vgl. oben). Aus dem Grund sollte man sich gut überlegen ob überhaupt und - wenn ja, - in welcher Art und Weise man die private E-Mail Kommunikation am Arbeitsplatz gestatten sollte. Im Folgenden sollen praxisnahe Lösungen aufgezeigt und im Hinblick auf die E-Mail-Archivierungsanforderungen rechtlich beleuchtet werden:

1. Möglichkeit = Totalverbot des Einsatzes von E-Mails zu privaten Zwecken im Unternehmen

Zumindest aus rechtlicher Sicht scheint diese Lösung die ideale: Das Unternehmen wird nicht zum Provider, Datenschutz spielt dann keine Rolle. So können Rechtsunsicherheiten für den Arbeitgeber und den Arbeitnehmer vermieden und SPAM-Filter, Vertretungszugriffe, Archivierung und Kontrollen einer missbräuchlichen Nutzung ermöglicht werden. Das Unternehmen hat dann natürlich auch das Recht, beliebig und unbegrenzt auf die E-Mails der jeweiligen Mitarbeiter zuzugreifen bzw. auch zu archivieren.

Zu beachten wäre, dass das E-Mail Verbot in jedem Fall schriftlich fixiert werden sollte, etwa durch

entsprechende Richtlinien betreffend der Nutzung der firmeneigenen IT-Infrastruktur,

Betriebsvereinbarungen,

Einverständniserklärungen der Belegschaft oder gar

den individuellen Anstellungsvertrag.

Das Verbot ist auch in der Praxis durchzusetzen. Untersagt nämlich ein Arbeitgeber die private Nutzung von E-Mails, ohne dies dann regelmäßig zu kontrollieren, kann sich das Verbot in eine Duldung "umwandeln". Der Arbeitnehmer hat nach einer Weile der Duldung einen Anspruch auf die Leistung, hier die Privatnutzung. Aus diesem Grund sind regelmäßig Kontrollen vorzunehmen und auch für den Fall von Verstößen Sanktionen vorzusehen, die in besonderen Fällen bis zu einer (verhaltensbedingten) Kündigung reichen können.

(Wegen des allgemeinen Betriebsklimas sei in diesem Zusammenhang empfohlen, bei den Mitarbeitern um ein Verständnis für ein Totalverbot der E-Mail Kommunikation zu privaten Zwecken zu werben - etwa mithilfe von Schulungen, welche die datenschutzrechtliche Problematik bei der privaten Nutzung von E-Mails näher bringen).

2. Möglichkeit = Vorbehaltslose Erlaubnis des Einsatzes von E-Mails zu privaten Zwecken

Diese Alternative ist aus rechtlicher Sicht alles andere als ideal. Dem Arbeitgeber ist es verwehrt, den privaten E-Mailverkehr seiner Mitarbeiter zu lesen, ja geschweige denn zu archivieren. Konsequenz: Dem Arbeitergeber bleibt nichts anderes übrig, als sich, in der Regel sehr aufwendigen und damit kostenintensiven technischen Lösungen zu bedienen, die in der Lage sind, private Mails von dienstlichen zu trennen. Von manchen Juristen wird vertreten, dass es in diesem Fall dem Arbeitgeber nicht verwehrt werden dürfe, immerhin den Betreff der jeweiligen E-Mail zu öffnen bzw. sichtbar zu machen. Es darf jedoch bezweifelt werden, ob eine solche Vorgehensweise mit den bereits skizzierten datenschutzrechtlichen Bestimmungen in Einklang zu bringen ist. Rechtsprechung zu diesem Fall ist jedenfalls bislang nicht bekannt.

3. Möglichkeit = Die Zwischenlösung

Natürlich ist auch eine Zwischenlösung denkbar, etwa dergestalt, dass den Mitarbeitern im Einzelnen vorgeschrieben wird, auf welche Art und Weise mittels E-Mails privat über die firmeninterne IT-Infrastruktur kommuniziert werden kann. Folgende Lösungen bieten sich hierzu an:

Zeitliche Ausnahmeregelung ("Nutzung in Pausen und außerhalb der Arbeitszeit" oder "nur zwischen xx Uhr und yy Uhr") definieren, in der auf einen Freemail-Account (wie web.de) zugegriffen werden darf.

Den Mitarbeitern kann neben einer geschäftlichen E-Mailadresse auch eine privat (und als solche gekennzeichnete) E-Mailadresse zur Verfügung gestellt werden - verbunden mit der Auflage, dass nur letztere zu privaten Zwecken genutzt werden darf. Damit würde eine zentrale, sowie effiziente Archivierung ermöglicht werden, da auf diese Weise eine Vermischung privater wie auch dienstlicher E-Mail ausgeschlossen würde. Nicht zuletzt würde man damit auch etwaigen Konflikten mit Betriebsräten aus dem Weg gehen können, die ansonsten bei betrieblichen Vereinbarungen zur E-Mailnutzung hinzugezogen werden müssten. So wird etwa das Mitbestimmungsrecht von Betriebsräten seitens der Rechtsprechung recht weit gefasst. Es sei demnach aus-reichend, wenn technische Maßnahmen dazu geeignet sein könnten, den Arbeitnehmer zu überwachen - was naturgemäß gerade für Telekommunikationssysteme gilt.

Auch könnte man an Regelungen denken, die dem Mitarbeiter vorschreiben würden, private E-Mails auch im Header deutlich als "privat" zu kennzeichnen. (So wird es zum Teil auch von Behörden praktiziert.)

F. Fazit

Der Gesetzgeber hat sich zum Ziel gesetzt, mittels einer ganzen Reihe von gesetzlichen Bestimmungen einen rechtlich verbindlichen Verhaltenskodex (s. dazu oben unter Abschnitt III) zu schaffen, um den Unternehmer zu einem gewissenhaften Risikomanagement, also dem planvollen Umgang mit unternehmerischen Risiken zu "erziehen".

Das Thema "E-Mail Archivierung" stellt im Zusammenhang mit dem IT-Risikomanagement zwar nur ein Teilaspekt dar, gerade dieser aber in den letzten Jahren hohe Wellen geschlagen. So verlangt das Gesetz bereits seit ein paar Jahren vom Unternehmer, dass E-Mails, die in Bezug zu Rechtsgeschäften stehen oder sonst wie steuerrechtlich relevant sind, nach handelsrechtlichen sowie steuerrechtlichen Anforderungen mehrere Jahre ordnungsgemäß zu archivieren sind. Aus diesem Grund tut jedes Unternehmen gut daran, elektronisch gespeicherte Mitteilungen revisionssicher und in einer Art und Weise zu speichern und zu indexieren, die den permanenten und schnellen Zugriff erlaubt ("Allzeit-Verfügbarkeit") und die Integrität der Daten gewährleistet.

Angesichts der Probleme, die eine private Nutzung der betriebseigenen IT-Infrastruktur mit sich bringen kann ist es erstaunlich, dass nur die wenigsten Unternehmen (manchen Umfragen zufolge nur ca. 30 %) die private Nutzung von E-Mail und Internet durch ihre Angestellten regeln. So wird in den meisten Unternehmen die private Nutzung der unternehmenseigenen Kommunikationseinrichtungen auch für private Zwecke gestattet bzw. zumindest stillschweigend geduldet. Viele Unternehmen scheinen sich dabei jedoch über die daraus resultierenden rechtlichen Konsequenz nicht im mindesten im Klaren zu sein – insbesondere auch in Hinsicht der E-Mail Archivierungspflicht.

Aus dem Grund hat in jedem Unternehmen unmissverständlich (!) klar definiert zu sein, in welchem Umfang die Nutzung der betriebsinternen Kommunikationseinrichtungen zu privaten Zwecken zulässig ist oder auch nicht. Denkbar wäre in diesem Zusammenhang etwa, ausschließlich das private Telefonieren zuzulassen, jedoch nicht das private Surfen. Es empfiehlt sich insoweit, entsprechende Unternehmensrichtlinien auszuarbeiten, die sodann jeder (!) Mitarbeiter zu unterschreiben hat. Insbesondere haben diese Richtlinien auch für den Fall von Verstößen Sanktionen vorzusehen.

Erschienen: 06/2008
Autor: Max-Lion Keller

RA Max Lion Keller, LL.M. ist Angestellter der IT-Recht Kanzlei in München und hat sich auf den gewerblichen Rechtsschutz, Softwarelizenzrecht, IT-Security sowie den E-Commerce spezialisiert.

IT-Recht Kanzlei




© 1999-2010 \| Home \| Fenster schliessen