Anforderungen an das E-Mail-Management[Gesponsert]

Ein Backup ohne Archiv ist wie schnelles Fahren ohne Gurt

E-Mails müssen langfristig auffindbar, manipulationssicher und verfügbar sein. Ein Backup alleine reicht nicht aus.
E-Mails müssen langfristig auffindbar, manipulationssicher und verfügbar sein. Ein Backup alleine reicht nicht aus. (Bild: © envfx – stock.adobe.com)

Die Archivierung betrieblicher E-Mails ist Pflicht, wie GoBD und Datenschutz-Grundverordnung (DSGVO) zeigen. Die E-Mail-Archivierung verfolgt dabei andere Ziele als die Datensicherung. Deshalb reicht auch eine Backup-Lösung für den Mail-Server nicht aus, um Compliance für das Unternehmen zu erreichen. Spezielle Archivierungslösungen wie MailStore Server können helfen.

E-Mails gehören zur geschäftlichen Korrespondenz

Die Bedeutung von E-Mail für die betriebliche Kommunikation ist ungebrochen. Der Verlust geschäftlicher E-Mails bedeutet für ein Unternehmen mehr als einen Informationsverlust. Betriebliche E-Mails müssen aufbewahrt werden, um insbesondere steuer- und handelsrechtlichen Anforderungen zu entsprechen. Bestimmungen dazu, wie dies zu geschehen hat, sind in den GoBD (Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff) niedergelegt. Unternehmen sind dazu verpflichtet, E-Mails rechtskonform zu archivieren. Eine E-Mail auszudrucken und abzuheften, reicht alleine nicht mehr aus.

Auch die reine Datensicherung für Mail-Server reicht nicht: E-Mails müssen langfristig auffindbar, manipulationssicher und verfügbar sein. Ein Backup kann lediglich über einen limitierten Zeitraum Daten sichern und diese im Bedarfsfall wiederherstellen. Eine revisionssichere Aufbewahrung, wie sie rechtlich gefordert ist, findet nicht in einem Backup, sondern in E-Mail-Archiven statt, wie sie die E-Mail-Archivierungslösung MailStore Server erstellt.

Nicht nur die GoBD, auch die Datenschutz-Grundverordnung (DSGVO) macht eine E-Mail-Archivierung erforderlich, wie aktuelle Prüfungen durch Aufsichtsbehörden für den Datenschutz deutlich machen.

Die wichtigsten Fragen zur E-Mail-Archivierung

Rechenschaftspflicht nach DSGVO betrifft auch E-Mails

Seit 25. Mai 2018 ist die Datenschutz-Grundverordnung (DSGVO) der EU einzuhalten. Ob dies bei deutschen Unternehmen auch stattfindet, prüfen gegenwärtig mehrere Aufsichtsbehörden für den Datenschutz. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) zum Beispiel kündigte im November 2018 an, Prüfaktivitäten wieder verstärkt aufzunehmen und neue flächendeckende Datenschutzkontrollen in Bayern durchzuführen. Entsprechende Prüfungen sind auch in anderen Bundesländern und von anderen Datenschutzbehörden wahrscheinlich.

Zu den angekündigten Prüfungen gehört eine Kontrolle der sogenannten Rechenschaftspflicht. Die DSGVO verlangt, dass die Einhaltung der Datenschutzvorgaben nachgewiesen werden kann. Diese „Rechenschaftspflicht“ stellt vom Grundsatz her eine „Nachweislast-Umkehr“ dar, wie die Aufsichtsbehörde erklärt. Das bedeutet, dass die Einhaltung der gesetzlichen Anforderungen der Aufsichtsbehörde bei einer Kontrolle dargelegt werden muss.

Wie der Muster-Fragebogen der Aufsichtsbehörde zeigt, werden zahlreiche Punkte hinterfragt, die auch die betriebliche E-Mail-Kommunikation betreffen:

  • Es muss nachgewiesen werden können, dass es für die Verarbeitung personenbezogener Daten eine Rechtsgrundlage gibt, zum Beispiel eine Einwilligung, die per E-Mail erteilt wurde.
  • Geprüft wird auch, wie Maßnahmen der Datensicherheit gewährleistet werden, darunter die Verschlüsselung zu schützender, personenbezogener Daten, wie sie in den meisten geschäftlichen E-Mails zu finden sind.
  • Die Aufsichtsbehörde möchte zudem wissen, wie die Betroffenenrechte, darunter das Recht auf Löschung, umgesetzt werden. Löschpflichten betreffen auch betriebliche E-Mails, für die die gesetzlichen Aufbewahrungsfristen abgelaufen sind.
  • Die DSGVO sieht auch Auskunftsrechte der Betroffenen vor, auch der Umgang mit solchen Anfragen muss nachweisbar sein. Auskunftsrechte können sich auch auf eine geschäftliche E-Mail-Kommunikation beziehen.
  • Nachweispflichten bestehen auch, wenn Bewerbungen per E-Mail eintreffen. Der richtige Umgang mit Bewerberdaten kann ebenfalls durch die Aufsichtsbehörden geprüft werden.

Die wichtigsten Fragen zur E-Mail-Archivierung

Unfallfreies Archivieren von E-Mails mit MailStore Server
Unfallfreies Archivieren von E-Mails mit MailStore Server (Bild: MailStore)

E-Mail-Archivierung als Basis der Nachweise

Die E-Mail-Archivierung mit MailStore Server liefert die notwendigen Nachweise zur Einhaltung der DSGVO bei der betrieblichen E-Mail-Kommunikation und hilft beim Umgang mit Betroffenenrechten:

  • Nachweis der Einwilligung: MailStore Server ermöglicht es durch die integrierten Funktionen zum Suchen und Extrahieren von Daten, die erteilten Einwilligungen und den Zusammenhang der Erteilung (Zweckbindung) aufzuzeigen.
  • Nachweis der Datensicherheit: Daten und somit auch die E-Mails, sowie an diese angehängten Dokumente, sind vorZugriffen durch Unbefugte zu schützen. Die Verschlüsselungsmechanismen in MailStore Server schützen die archivierten Daten. Die Möglichkeiten des Berechtigungskonzeptes können den Kreis der zur Einsichtnahme Berechtigten auf ein Minimum begrenzen. Eine kryptografische Signatur, die man exportierten E-Mails hinzufügen kann, stellt sicher, dass exportierte E-Mails selbst außerhalb des Archivs vor Manipulationen geschützt bleiben. Der Audit-Log innerhalb von MailStore Server ermöglicht zudem eine lückenlose und ausführliche Nachvollziehbarkeit und Belegbarkeit der Tätigkeiten (e-Discovery) innerhalb des Archivsystems.
  • Nachweis des Löschverfahrens: Personenbezogene Daten sind revisionssicher mit
  • Schutz vor Löschung und Manipulation (nach gesetzlichen Fristen) aufzubewahren. Demgegenüber steht das „Recht auf Löschung“ der DSGVO. Die Funktionen für das Lösch- und Aufbewahrungsmanagement von MailStore Server ermöglichen, beide Anforderungen zu erfüllen. Unternehmen sind in der Lage, revisionssicher archivierte Informationen fristgerecht, nachweisbar und entsprechend der DSGVO zu löschen.
  • Umsetzung der Auskunftspflicht: Mit MailStore Server ist es möglich, alle E-Mails und Dateianhänge z.B. zu einem Kunden oder Mitarbeiter umgehend zur Einsicht bereitzustellen. Damit sind Unternehmen gegenüber Dritten jederzeit auskunftsfähig und können Nachweise erbringen, wer wann welche E-Mails eingesehen hat.

Fazit: Vergessen Sie nicht den Gurt!

Backups dienen alleine der Verfügbarkeit, Datensicherung und Wiederherstellung von Daten im Fall von Datenverlust. Nur in Kombination mit E-Mail-Archivierung erhalten Sie Rechtssicherheit und Schutz der Daten! Die E-Mail-Archivierung mit MailStore Server ist die Grundlage für ein E-Mail-Management und damit Teil der Compliance-Maßnahmen zur Umsetzung von GoBD und der Datenschutz-Grundverordnung. Sie hilft dabei, mögliche Prüfungen durch Finanzbehörden und Datenschutzaufsicht erfolgreich zu absolvieren.

Rechtssichere E-Mail-Archivierung in Deutschland

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45679542 / E-Mail)