EU-Datenschutzgrundverordnung verstärkt Schutz personenbezogener Daten

E-Mail-Archivierung hilft bei Erfüllung der Compliance-Anforderungen

| Autor / Redakteur: Daniel Weuthen* / Rainer Graefen

Ordnung und Transparenz beim Umgang mit Daten, hier besonders personenbezogene Daten, sind wesentliche Voraussetzungen, um die Anforderungen der DSGVO zu erfüllen.
Ordnung und Transparenz beim Umgang mit Daten, hier besonders personenbezogene Daten, sind wesentliche Voraussetzungen, um die Anforderungen der DSGVO zu erfüllen. (Bild: Pixabay)

Die DSGVO harmonisiert das Datenschutzrecht in Europa und stellt den Schutz personenbezogener Daten in den Vordergrund. Als eines der meist genutzten Business- Kommunikationsmittel enthält die E-Mail personenbezogene Daten. Somit trägt E-Mail-Archivierung dazu bei, der DSGVO zu entsprechen.

Am 25. Mai 2018 tritt nach einer zweijährigen Übergangszeit die EU-Datenschutzgrundverordnung in Kraft und sorgt aufgrund ihrer Komplexität immer noch für Unsicherheit unter verantwortlichen IT-Entscheidern. Ziel der gesamteuropäischen Regelung ist der verstärkte Schutz personenbezogener Daten.

Die DSGVO, international GDPR genannt, betrifft nicht nur Unternehmen in Deutschland und der EU sondern auch Organisationen, die Daten von EU-Bürgern außerhalb der EU verarbeiten. Unternehmen müssen deshalb in unterschiedlichen Bereichen dafür Sorge tragen, dass sie personenbezogene Daten DSGVO-konform behandeln.

Zu beachten sind dabei:

  • Technische und organisatorische Sicherheitsmaßnahmen (TOM), wie beispielsweise die Verschlüsselung von Daten.
  • Dokumentationsanforderungen beim Einsatz von IT-Systemen (Verzeichnis von Verarbeitungstätigkeiten, Datenschutz-Folgeabschätzung etc.)
  • Rechenschaftspflichten hinsichtlich der Einhaltung und Dokumentation der getroffenen Maßnahmen
  • Strenge Anforderungen an die Gestaltung von Einwilligung und die Zweckbindung bei der Verarbeitung personenbezogener Daten
  • Informationspflichten und Betroffenenrechte (z.B. Auskunft, Recht auf Vergessenwerden)

Darüber hinaus gelten neue Regelungen zum internationalen Datenaustausch und der internationalen Anwendbarkeit der DSGVO. Zudem wird eine federführende Aufsichtsbehörde als alleiniger Ansprechpartner ins Leben gerufen.

Ohne Ausnahme sind davon alle Organisationseinheiten und Prozesse eines Unternehmens betroffen.

Bei Nichteinhalten drohen Bußgelder in Höhe von bis zu 4% des globalen Jahresumsatzes und persönliche Haftung von Geschäftsführern und Vorständen. Vor dem Hintergrund werden Datenschutzprozesse in Unternehmen eine wichtigere Rolle spielen müssen.

Wesentliche Voraussetzungen zur Erfüllung der Compliance-Anforderungen

Ordnung und Transparenz beim Umgang mit Daten, hier besonders personenbezogene Daten, sind wesentliche Voraussetzungen, um die Anforderungen der DSGVO zu erfüllen. Dieses beginnt mit der Erhebung, geht über die Speicherung, den Zugriff und die Verarbeitung bis hin zur Löschung der Daten. Aufgrund der Komplexität der DSGVO können Einzelmaßnahmen keine DSGVO-Konformität garantieren – eine Gesamtstrategie mit einem Maßnahmenmix ist hier erforderlich.

Allerdings bildet beispielsweise die E-Mail-Archivierung einen wichtigen Mosaikstein in dem großen Gesamtbild des Umgangs mit Daten und Informationen in einer Organisation. So erleichtert eine professionelle Archivierung des elektronischen Schriftverkehrs die Data Governance in einem Unternehmen oder macht sie gar erst möglich. Ohne den Einsatz einer geeigneten Software zur E-Mail-Archivierung verfügen viele Unternehmen über wenig Kontrolle in Bezug auf E-Mails.

Häufig ist unklar, wo die E-Mails abgelegt sind oder ob überhaupt alle E-Mails verfügbar sind. Wird allerdings eine geeignete Software genutzt, decken Unternehmen unterschiedliche Bereiche ab, die in einer Datenschutzstrategie berücksichtig werden sollten.

E-Mail-Archivierung als wichtiger Schritt zur Umsetzung der DSGVO

Die Einhaltung der datenschutzrechtlichen Regelungen der DSGVO ist eine unternehmensweite Aufgabenstellung und erfordert neben einem technischen Maßnahmenpaket auch organisatorische und prozessuale Regelungen. Insofern ist der Einsatz einer Software für die E-Mail-Archivierung im Hinblick auf die Data Compliance im Bereich E-Mail-Management sinnvoll.

Einige Anforderungen der DSGVO ergeben sich bereits durch die regulatorischen Anforderungen, wie beispielsweise den „Grundsätzen zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“ (GoBD). Zwischen der DSGVO und den GoBD gibt es einen hohen Deckungsgrad in Bezug auf die Schutzziele der IT-Sicherheit.

Deshalb sollten IT-Manager auf der Suche nach einer geeigneten E-Mail-Archivierungslösung darauf achten, dass die Software GoBD konform ist und nach IDW PS 880 zertifiziert. Denn dann ist sichergestellt, dass die Vollständigkeit der E-Mails gewährleistet ist und eben jene Funktionen vorhanden sind, die bei der Data Compliance und somit der Erfüllung der DSGVO unterstützen:

Auskunftsfähigkeit

Eine Software für die E-Mail-Archivierung ermöglicht durch integrierte Funktionen zum Suchen und Extrahieren von Daten, alle E-Mails und Dateianhänge, zum Beispiel zu einem Kunden oder Mitarbeiter, umgehend zur Einsicht bereit zu stellen.

Durch diese Funktion ist ein Unternehmen gegenüber Dritten jederzeit auskunftsfähig und kann durch Zugriffsrechte und Protokolle wichtige Nachweise erbringen, wer wann welche E-Mails eingesehen hat.

Recht auf Vergessenwerden

Bestimmte personenbezogene Informationen und Dokumente sind unter Einhaltung gesetzlicher Fristen revisionssicher geschützt vor Löschung und Manipulation aufzubewahren. Demgegenüber gilt das „Recht auf Vergessenwerden“. Ob und wie sich diese Anforderung der DSGVO auf E-Mails in Postfächern und Archiven anwenden lässt, wird die Zeit zeigen.

Ungeachtet dessen, sollte eine E-Mail-Archivierungs-Software Funktionen für das Lösch- und Aufbewahrungsmanagement beinhalten und damit ermöglichen, beide Anforderungen erfüllen zu können. Auf diese Weise sind Unternehmen bestens vorbereitet, revisionssicher archivierte Informationen nachweisbar und entsprechend der DSGVO zu löschen.

Schutz der Daten vor Mit- und Einsichtnahme sowie Nachvollziehbarkeit

Die DSGVO verlangt, dass Daten und somit auch E-Mails, sowie deren angehängte Dokumente vor der Mit- und Einsichtnahme durch Unbefugte zu schützen sind. Archivierte Daten sollten dementsprechend verschlüsselt sein. Außerdem sollte der Kreis der zur Einsichtnahme Berechtigten auf ein Minimum begrenzt werden.

Um eine lückenlose und ausführliche Nachvollziehbarkeit und Belegbarkeit der Tätigkeiten, auch e-Discovery genannt, innerhalb des Archivsystems sicherzustellen, sollte eine Archivierungslösung alle Änderungen und Zugriffe protokollieren.

Am Datenschutz führt kein Weg mehr vorbei

Es wird deutlich, dass der Einsatz einer leistungsfähigen und GoBD-konformen Software zur E-Mail-Archivierung einen ersten Schritt darstellt, im Bereich der E-Mail-Archivierung die Vorgaben der DSGVO zu erfüllen. Weitere Features marktführender Lösungen, sind das Reduzieren von Storage-Anforderungen oder das vereinfachte Erstellen von Back-Ups der E-Mail-Archive.

Abschließend gilt es zu betonen, dass weitere technische und organisatorische Sicherheitsmaßnahmen in einer konkreten Ablauforganisation durch qualifiziertes Fachpersonal erforderlich ist. Es ist empfohlen, einen Datenschutzexperten hinzuziehen, der bei der Entwicklung einer IT-basierten Datenschutzstrategie beratend zur Seite steht.

* *Daniel Weuthen, Director of Engineering bei MailStore Software in Viersen

Kommentare werden geladen....

Was meinen Sie zu diesem Thema?

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45148103 / E-Mail)