Gesetzliche Anforderungen an die E-Mail-Aufbewahrung

Die E-Mail gehört zu den meist genutzten Kommunikationsmitteln, daher ist es wichtig, dass sich Unternehmen – große wie kleine – um die richtige Aufbewahrung kümmern und eine Strategie dazu festlegen. Auch nach Compliance-Gesichtspunkten ist eine datenschutzkonforme Aufbewahrungslösung der E-Mails durch das jeweilige Unternehmen zu gewährleisten. Wie Unternehmen vorgehen sollten, erläutert Juristin Mira Martz von der Isico Datenschutz GmbH.

Bis heute mangelt es an eindeutigen gesetzlichen Vorgaben zur E-Mail Aufbewahrung. Entsprechende Pflichten ergeben sich aus vielen und höchst unterschiedlichen Vorschriften, die zum Teil nur schwer miteinander vereinbar sind. Grundlage sind dabei die Bestimmungen im Handelsgesetzbuch (etwa § 257 HGB), der Abgabenordnung (AO) sowie den Grundsätzen zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU). Neben den Vorschriften zur Aufbewahrung sind auch datenschutzrechtliche Regeln wie das Telekommunikationsgesetz (TKG) zu beachten.

Geschäftsbriefe müssen dauerhaft gespeichert werden

Es sind bei den Anforderungen an die Aufbewahrungspflicht vor allem die handels- und steuerrechtlichen Vorschriften nach § 147 AO und § 257 HGB aufgrund ihres weit gefassten dokumentenbezogenen Anwendungsbereichs nahezu für jede Korrespondenz zu beachten. Nach § 147 AO müssen alle ein- und ausgehenden Handels- und Geschäftsbriefe dauerhaft gespeichert werden. Darunter versteht das Gesetz jegliche Korrespondenz, die „ein Geschäft vorbereitet, abwickelt, rückgängig macht oder abschließt“, dies umfasst etwa Aufträge, Rechnungen, Verträge oder Zahlungsbelege.

Es ergeben sich grundsätzlich zwei unterschiedliche Konstellationen bezüglich der E-Mail Aufbewahrung im Unternehmen:

  1. Die private E-Mail Nutzung ist im Unternehmen erlaubt.
  2. Die private E-Mail Nutzung ist im Unternehmen nicht erlaubt.

Erlaubnis der privaten E-Mail-Nutzung: Datenschutz setzt Grenzen

Gestattet der Arbeitgeber die private Nutzung von E-Mails, wird er nach (noch) herrschender Auffassung als ein Diensteanbieter im Sinne von § 3 Nr. 6 TKG angesehen. Er muss daher das Telekommunikationsgeheimnis beachten, dies ist geregelt in § 88 TKG. Verboten ist es dem Arbeitgeber, Daten zur Aufbewahrungszwecken zu verwenden, also demnach auch E-Mails.
Es gibt jedoch eine Ausnahme: Die E-Mails fallen nicht mehr unter den § 88 TKG, wenn sie vom Eingangsserver im Unternehmen abgerufen, heruntergeladen und auf dem Endgerät des Beschäftigten gespeichert werden. In diesem Fall besteht nach allgemeiner Auffassung keine Gefährdungslage, da Dritte keinen Zugriff mehr auf den laufenden Kommunikationsvorgang haben.

Anlegen sogenannter Arbeitsserver

Im Zusammenhang mit der privaten E-Mail Nutzung wird auch diskutiert, ob sogenannte Arbeitsserver die Lösung sind. Viele Unternehmen, die der Aufbewahrungspflicht nachkommen möchten und die private E-Mail Nutzung im Unternehmen erlauben, schalten zwischen den Eingangsserver und das Endgerät des Beschäftigten oft noch einen Arbeitsserver. Auf diesem Arbeitsserver können Vervielfältigungen des Originals gespeichert werden.

Die Frage, ob die Daten auf dem Arbeitsspeicher auch den Schutz des § 88 TKG genießen, ist nicht abschließend geklärt, eindeutige Aussagen fehlen. Es ist davon auszugehen, dass § 88 TKG in diesem Fall eher nicht anwendbar ist, da der Arbeitsspeicher gerade kein Telekommunikationsserver ist. Er soll vielmehr als ausgelagerter Speicher des Endgerätes des Beschäftigten fungieren. Geht man jedoch davon aus, dass das Anlegen eines Arbeitsservers durch den Arbeitgeber nicht möglich ist (wegen Umgehung des Telekommunikationsgeheimnisses), ergibt sich, dass eine automatisierte Archivierung aller ein- und ausgehenden Mails unmöglich ist. Das manuelle Aussortieren dürfte auch zu ungenau und fehleranfällig sein, um den Anforderungen der Gesetze dauerhaft zu genügen.

Tipp: Unternehmen sollten die private Nutzung der Büro-Adresse zwar verbieten, die gelegentliche private Nutzung von Web-Mailern kann jedoch erlaubt werden.

Verbot der privaten E-Mail-Nutzung: Problemlose Aufbewahrungspflicht

Unternehmen, die Ihren Mitarbeitern die private Nutzung von E-Mails grundsätzlich verbieten, sind rechtlich in Fragen der Archivierung von E-Mails viel besser gestellt. Im Unterschied zur erlaubten Privatnutzung von E-Mails ergibt sich eine völlig andere rechtliche Konstellation: Das Unternehmen ist nicht Adressat des Telekommunikationsgesetzes, die Datenverwendung durch Aufbewahrungszwecke ist zulässig.

Die rechtliche Grundlage für die Erfüllung der Aufbewahrungspflicht im Beschäftigungsverhältnis ergibt sich dann aus § 32 Abs. 1 Satz 1 BDSG. Danach dürfen personenbezogene Daten des Beschäftigten verwendet werden, wenn dies für die Durchführung des Beschäftigungsverhältnisses erforderlich ist. Damit können Unternehmen bei einem Verbot der privaten E-Mail Nutzung der Aufbewahrungspflicht ohne Probleme nachkommen.

Fazit: Ein generelles Verbot der Nutzung von privaten E-Mails erscheint zunächst einfacher. Wenn die Unternehmen jedoch die private Nutzung von E-Mails über Web-Mailer zulassen, sollten diese der Aufbewahrungspflicht auch unkompliziert nachkommen können.

Über die Autorin:
Mira Martz ist Volljuristin und war in der Unternehmenskommunikation von Agenturen und Verbänden tätig. Derzeit arbeitet sie als Referentin für Datenschutz und Kommunikation für die ISiCO Datenschutz GmbH, einem Beratungsunternehmen für IT-Sicherheit, Datenschutz und Datenschutz-Compliance.