Speicherung personenbezogener Daten Drei Tipps zur DSGVO-konformen E-Mailarchivierung

Redakteur: Dr. Jürgen Ehneß

Die viel gescholtene DSGVO regelt die Speicherung und Verarbeitung personenbezogener Daten. Doch in vielen Unternehmen herrscht noch große Unsicherheit, wie man sie in der Praxis umsetzt. Roland Latzel von MailStore gibt drei Tipps, wie Datenschutz und Mailarchivierung Hand in Hand gehen.

Firmen zum Thema

Ein Großteil der Kommunikation läuft heute via E-Mail ab – auch und gerade im Unternehmensbereich. Doch wie werden Mails revisionssicher archiviert?
Ein Großteil der Kommunikation läuft heute via E-Mail ab – auch und gerade im Unternehmensbereich. Doch wie werden Mails revisionssicher archiviert?
(Bild: Britta und Ralph Hoppe - www.FooTToo.de)

Vorschriften zu Aufbewahrungsfristen von Schriftstücken hat es auch zuvor schon gegeben, doch durch den Beginn der Anwendung der EU-Datenschutz-Grundverordnung (DSGVO) vor rund drei Jahren ist das Thema Archivierung für fast alle Unternehmen – unabhängig von Größe und Branche – ungleich komplexer geworden. Ein alltägliches Problem ist der richtige Umgang mit E-Mails samt ihrer Anhänge.

Roland Latzel von MailStore gibt die folgenden drei Tipps, wie Unternehmen eine revisionssichere und möglichst automatisierte E-Mail-Archivierung erreichen können.

1. Die internen Rahmenbedingungen abstecken

Bevor es an die technische Umsetzung von revisionssicheren beziehungsweise GoBD-konformen E-Mail-Aufbewahrungsrichtlinien geht, sollten vorab die internen Rahmenbedingungen abteilungsübergreifend formuliert und festgehalten werden, damit diese auch die datenschutzrechtlichen Anforderungen erfüllen. Diese können zum Beispiel ein allgemein geltendes Verbot zur privaten Nutzung geschäftlicher E-Mail-Konten oder Absprachen zum ausschließlichen Einsatz von externen Mailing-Diensten für den privaten E-Mail-Verkehr umfassen. Außerdem kann ein Ausschluss beziehungsweise eine gesonderte Behandlung bestimmter E-Mail-Konten erfolgen, zum Beispiel, wenn diese personenbezogene und sensible Daten beinhalten. Beispiele wären unter anderem die Kommunikation der Personalabteilung mit Bewerbern, des Betriebsrats oder des Betriebsarztes. Diese internen Rahmenbedingungen sollten unter Einbezug juristischer Expertise in jedem Fall schriftlich festgehalten und deren konsequente Einhaltung regelmäßig überprüft werden. Für die Definition entsprechender E-Mail-Governance-Richtlinien ist die Geschäftsführung verantwortlich, während die Umsetzung mittels Systemen und Prozessen häufig vor allem die IT verantwortet.

2. Aufbewahrungsrichtlinien festlegen

Sobald die IT die Implementierung einer Archivierungslösung in Betracht zieht, stellt sich schnell die Frage: „Was muss die Software können, um die E-Mail-Archivierung neben der Revisionssicherheit auch DSGVO-konform zu gestalten?“ Bei der Wahl der Lösung sollten IT-Entscheider daher darauf achten, dass das Tool ihnen ermöglicht, sowohl Aufbewahrungsrichtlinien GoBD-konform zu definieren als auch bei der Einhaltung von DSGVO-Anforderungen unter die Arme zu greifen. Mithilfe von Aufbewahrungsrichtlinien können IT-Admins festlegen, für welche Dauer E-Mails mindestens aufzubewahren sind. Außerdem lässt sich über eine solche Funktion einstellen, ob Korrespondenzen nach Ablauf der konfigurierten Frist automatisch gelöscht oder ob sie manuell durch berechtigte Nutzer entfernt werden. Darüber hinaus unterstützen entsprechende Tools bei der DSGVO-konformen Erfüllung von Betroffenenrechten. E-Mail-Archive können so effizient und vollständig durchsucht, Daten extrahiert und systematisiert werden. Nimmt eine Person also zum Beispiel das Recht auf Löschung in Anspruch (Artikel 17 DSGVO), ist eine Löschung von E-Mails aus dem Archiv möglich – Voraussetzung bleibt dennoch die Sicherstellung der gesetzlichen Aufbewahrungsfristen. Dadurch wird die IT-gestützte Einhaltung unterschiedlicher Gesetze und Regularien möglich.

Roland Latzel, MailStore.
Roland Latzel, MailStore.
(Bild: Stefan Voelker / MailStore)

3. Qualitätssicherung durch externe Zertifizierung und unabhängige Prüfung

Derartige Funktionen, über die sich Richtlinien einstellen und automatisieren lassen, sind die eine Seite der Medaille. Die andere Seite betrifft die Vertrauenswürdigkeit und Legitimität der Lösungen selbst. Unabhängige Zertifizierungen geben Aufschluss darüber, ob und inwieweit die technischen Hilfsmittel den Vorgaben der GoBD entsprechen. Die Softwareprüfung sollte zum Beispiel nach dem Prüfungsstandard PS 880 vom Institut der Wirtschaftsprüfer (IDW) erfolgen. Dieser berücksichtigt relevante Aspekte der Grundsätze zur ordnungsgemäßen Buchführung, die die Archivierung betreffen. Obwohl es bislang noch keine explizite DSGVO-Zertifizierung der EU oder einer anderen offiziellen Stelle gibt, können unabhängige Prüfungen externer Datenschutzexperten Aufschluss darüber geben, dass die Lösung oder der untersuchte Service bei sachgerechter Anwendung eine den datenschutzrechtlichen Anforderungen entsprechende Verarbeitung der personenbezogenen Daten gewährleisten kann.

Eine professionelle Lösung für die Archivierung von geschäftlichen E-Mails ist ein mächtiges Werkzeug – die Einhaltung vor allem datenschutzrechtlicher Vorgaben ist im Kern jedoch ein Prozessthema, das im Idealfall von der Geschäftsführung zusammen mit Datenschutzbeauftragtem und der IT gestemmt wird.

Das neue Storage-Kompendium zum kostenfreien Download

Die Zeiten, in denen Backups ausschließlich auf Tape angefertigt wurden, sind vorbei. Heute stellt sich die Situation bezüglich Backup-Medien und -Strategien deutlich vielfältiger dar, was auch zu Unsicherheiten führt.

Backup & Archivierung – gestern, heute und morgen

Storage-Kompendium Backup & Archivierung
Storage-Kompendium Backup & Archivierung
(Bildquelle: Storage-Insider)

Die Hauptthemen sind:
# Auf dem Weg zur passenden Backup-Strategie
# Cloud-Backup und Hybrid-Backup
# Tape – der wehrhafte Dinosaurier
# Datensicherheit und Storage: Welche gesetzlichen Vorgaben gelten?
# Langzeitarchivierung mit Objektspeicherung
# Unstrukturierte Daten ohne Backup schützen
# Erstklassige Backup- und Archivierungsstrategie


>>> Storage-Kompendium „Backup & Archivierung“ downloaden

(ID:47436429)