Logo Kanzlei Joerg Heidrich
 
Start
News
Kontakt
Impressum

aaaaaaaaaaaaaaaa

Home
E-Mail-Archivierung
Abmahnungen
Forenausschluss
Online-Werbung
Domain-Haftung
Disclaimer
Urheberrechtsreform
WLAN-Recht

 

 

 

 

 

 

 

 

 

 

Themenschwerpunkt:

Rechtliche Anforderungen an E-Mail-Archivierung

 

Der nachfolgende Beitrag wurde in Heft 13/2009, Seite 147 der Zeitschrift "c't Magazin für Computertechnik" veröffentlicht.

Wesentliche Änderungen der Rechtsprechung oder Gesetzgebung hat es seither nicht gegeben, so dass der Text immer noch aktuell ist.

Stand: Mitte 2009


Rechtssicher aufgehoben
Juristische Grundlagen der E-Mail-Archivierung

Joerg Heidrich

Die rechtlichen Schwierigkeiten bei der E-Mail-Archivierung beginnen bereits damit, dass es an einer klaren und eindeutigen gesetzlichen Vorgabe mangelt. Entsprechende Pflichten finden sich vielmehr in zahlreichen und höchst unterschiedlichen Vorschriften, die zum Teil nur schwer miteinander vereinbar sind. Grundlage sind dabei die Bestimmungen im Handelsgesetzbuch (HGB) und in der Abgabenordnung (AO). Relevant sind aber unter anderem auch das Telekommunikationsgesetz (TKG) und das Bundesdatenschutzgesetz (BDSG). Bei international tätigen Betrieben kommen gar noch Vorgaben aus dem amerikanischen Recht dazu, wie der "Sarbanes-Oxley Act" (Sox).

Die Grundfrage danach, welche Mails archiviert werden müssen, beantwortet mit § 147 AO eine Vorschrift aus dem Steuerrecht. Danach müssen alle ein- und ausgehenden Handels- und Geschäftsbriefe dauerhaft gespeichert werden. Darunter versteht das Gesetz jegliche Korrespondenz, die "ein Geschäft vorbereitet, abwickelt, rückgängig macht oder abschließt", also etwa Aufträge, Reklamationsschreiben, Rechnungen, Zahlungsbelege oder Verträge. Nicht als Handelsbriefe behandelt werden etwa reine Werbesendungen oder Angebote, die nicht zu einem Abschluss geführt haben.

Doch als wäre diese Abgrenzung noch nicht unklar genug, fordert der Gesetzgeber in der Abgabenordnung auch noch die Aufbewahrung aller "sonstigen Unterlagen, soweit sie für die Besteuerung von Bedeutung sind". Damit wird es nahezu unmöglich, aus der Vielzahl von elektronischen Nachrichten gezielt die auszuwählen, die vorgehalten werden müssen. Daher wäre es naheliegend, für eine zentrale Speicherung aller unternehmensinternen E-Mails zu sorgen, also alle ein- und ausgehenden Nachrichten aufzuheben.

Datenschutz
Spätestens an diesem Punkt kommt es aber aus juristischer Sicht zu einem Konflikt zwischen der Pflicht zur Archivierung und dem Datenschutz. Dabei steht dem Gebot zur Aufbewahrung das datenschutzrechtliche Verbot gegenüber, fremde Daten ohne Zustimmung des Betroffenen oder gesetzliche Erlaubnis zu speichern und zu verarbeiten. Dies gilt für die Nachrichten der eigenen Beschäftigten ebenso wie für eingehende Mails von Dritten.

Für die Abgrenzung, ob und unter welchen Umständen E-Mails archiviert werden dürfen, ist die Frage von zentraler Bedeutung, ob in dem Unternehmen die private Nutzung elektronischer Nachrichten erlaubt oder verboten ist. Grundsätzlich steht es dem Arbeitgeber frei, wie er diese Frage regelt. Ein Anrecht darauf, die Infrastruktur der Firma auch privat zu nutzen, gibt es nicht. Allerdings sollte im Interesse aller Beteiligten eine klare Regelung gefunden werden, die Rechtssicherheit für alle Seiten garantiert.

Problem Privatnutzung
Entscheidet sich der Arbeitgeber dafür, seinen Mitarbeitern – sei es auch nur gelegentlich – die private Nutzung des E-Mail-Systems zu ermöglichen, so trägt dies zweifellos zu einem positiveren Betriebsklima bei. Rechtlich allerdings ist diese Konstellation problematisch. Denn so erbringt der Arbeitgeber geschäftsmäßig Telekommunikationsleistungen für Dritte – nämlich für seine Beschäftigten. Auf eine Entgeltlichkeit für die erbrachten Leistungen kommt es für diese Einordnung nicht an.

Damit unterliegt das Unternehmen aber den Vorgaben des Telekommunikationsgesetzes (TKG) und somit den gleichen Vorgaben wie ein professioneller Anbieter von E-Mail-Dienstleistungen. Und nicht anders als etwa bei GMX oder Google Mail darf der Arbeitgeber keinen Einblick in die E-Mails seiner Beschäftigten nehmen; er hat den strengen Anforderungen des Telekommunikationsgeheimnisses und des Datenschutzes zu entsprechen.

Hieraus ergibt sich, dass eine automatisierte Archivierung aller ein- und ausgehenden Mails unmöglich ist. Private Mails und aufzuhebende Geschäftsbriefe kann also nur der einzelne Mitarbeiter trennen. Diese Lösung aber ist enorm zeitaufwendig und damit teuer. Gleichzeitig dürfte ein manuelles Aussortieren auch zu ungenau und fehleranfällig sein, um den Anforderungen der Gesetze und dem Finanzamt dauerhaft zu genügen.

Um diesem Problem zu entgehen, bieten einige Unternehmen den Mitarbeitern zwei Mail-Adressen an – eine zum privaten und die andere zum geschäftlichen Gebrauch. Doch auch dieses Verfahren ist recht umständlich und zudem teuer. Sinnvoller wäre daher eher ein Mittelweg. Dieser könnte zum Beispiel so aussehen, die private Nutzung der Büro-Adresse zwar zu verbieten, die gelegentliche private Nutzung von Web-Mailern aber zu erlauben.

Verbot der Privatnutzung
Wer seinen Mitarbeitern die private Nutzung des Mail-Systems dagegen grundsätzlich verbietet, ist rechtlich in Fragen der Archivierung von elektronischen Nachrichten zunächst einmal besser gestellt. Denn in diesem Fall fehlt es an einem Service "für Dritte" – die Mitarbeiter handeln nur für das Unternehmen. Da die strengen Vorschriften des TKG und des Telemediengesetzes (TMG) für Provider in diesem Fall nicht greifen, beurteilt sich die Frage nach dem Zugriff auf Nachrichten in diesem Fall vor allem nach den allgemeinen Vorschriften des Bundesdatenschutzgesetzes (BSDG). Dabei überwiegt das Interesse des Unternehmens an der ordnungsgemäßen Organisation des Betriebsablaufs des betroffenen Mitarbeiters. Daraus ergibt sich, dass eine Speicherung zumindest sämtlicher von den Arbeitnehmern verfasster Mails erlaubt ist.

Wer ein Verbot privater Mail-Nutzung ausspricht, der muss allerdings nach der wohl herrschenden Ansicht in der juristischen Literatur auch dafür sorgen, dass es überwacht wird und Verstöße gegen die Anordnung sanktioniert werden. Das bedeutet konkret, dass der Arbeitgeber die E-Mail-Nutzung im Betrieb stichprobenartig überprüfen muss. Stellt er dabei einen Verstoß gegen die Vorgaben zum Verbot der privaten Nutzung fest, so muss er entsprechende Sanktionen gegen den jeweiligen Mitarbeiter verhängen, etwa eine arbeitsrechtliche Abmahnung. Allerdings gibt es hierzu bislang kaum entsprechende Rechtsprechung.

In der Diskussion um das Verbot der E-Mail-Nutzung im Betrieb wird häufig noch ein weiterer Punkt übersehen: Zwar kann der Arbeitgeber den Mitarbeitern verbieten, private E-Mails zu verschicken. Die Frage, wie er in diesem Fall mit eingehenden Mails zu verfahren hat, ist dagegen noch weitgehend ungeklärt. Denn faktisch kann er den Mitarbeitern nicht untersagen, private Nachrichten zu empfangen. Wer sich etwa darüber freut, nach Jahren einen alten Freund auf einer Firmenwebsite wiedergefunden zu haben und diesen daraufhin anschreibt, wird sich vorher kaum über die Mail-Regelungen innerhalb des Unternehmens informieren.

Auch wird man in diesem Fall nur schwerlich davon ausgehen können, dass der Versender automatisch eine stillschweigende Zustimmung zur Archivierung seiner E-Mails und der darin potenziell enthaltenen personenbezogenen Daten erteilt. Wer also juristisch auf Nummer sicher gehen will, sollte auch im Fall des Verbots der Privatnutzung die Mitarbeiter anweisen, eingehende persönliche Mails vor der Archivierung zu löschen oder in einen von der Aufbewahrung ausgenommenen Ordner zu verschieben.

Wie und wie lange?
Hat man das Problem gelöst, archivierungspflichtige Nachrichten von solchen zu trennen, die nicht aufgehoben werden dürfen oder sollen, so stellt sich weiter die Frage, wie lange und in welcher Form die Mails gespeichert werden müssen.

Die Frage nach der Speicherdauer beantworten HGB und AO: Danach müssen Dokumente mit Belegfunktion, also etwa Handelsbriefe oder Geschäftspapiere, für sechs Jahre aufbewahrt werden. Für Unterlagen der Buchhaltung, Bilanzen oder Buchungen, also Daten mit Grundbuch- und Kontenfunktion, gilt sogar eine Frist von zehn Jahren. Die Fristen beginnen jeweils mit dem Ende des Kalenderjahres, in dem das Dokument erstellt wurde. Um eine zusätzliche Differenzierung bei der Sortierung von Mails zu vermeiden, empfiehlt es sich in der Praxis, sämtliche Sendungen über die längere Frist von zehn Jahren aufzuheben. Außer für das reine Dokument gilt das auch für Attachments der Mail, soweit diese für das Verständnis des Inhalts der Nachricht erforderlich sind.

Wie die Speicherung der Mails technisch durchzuführen ist, hat der Gesetzgeber nicht detailliert geregelt. Welche Lösung man auch wählt, sichergestellt werden muss, dass die elektronischen Daten samt Anhang während der Dauer der Aufbewahrungsfrist jederzeit verfügbar sind, unverzüglich lesbar gemacht und maschinell ausgewertet werden können. Weiterhin ist zu beachten, dass eine revisionssichere Speicherung unter anderem fälschungssicher sein muss und dauerhaft zu erfolgen hat sowie der Zugriff durch die Steuerverwaltung ermöglicht wird.

Wie dieser Zugriff zu erfolgen hat, regeln wiederum die GDPdU (Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen) und in technischer und organisatorischer Hinsicht die GoBS (Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme). Bei beiden handelt es sich um Verwaltungsvorschriften, die unter anderem für einen reibungslosen Zugriff auf elektronische Daten im Rahmen von Steuerprüfungen sorgen sollen.

Die juristische Verantwortung für die Einführung einer revisionssicheren E-Mail-Archivierung liegt im Rahmen der Organisationsverpflichtung zunächst bei der Geschäftsführung des Unternehmens. Diese entscheidet grundsätzlich, welche technischen und organisatorischen Maßnahmen zu treffen sind. Sie kann die Verantwortung an den Leiter der IT-Abteilung delegieren, der dann für die praktische Umsetzung der Speicherung verantwortlich ist. Kommt die Geschäftsführung ihrer Aufgabe nicht oder nur unzureichend nach, droht in Einzelfällen sogar eine Haftung mit dem persönlichen Vermögen.

Joerg Heidrich ist Justiziar des Heise Zeitschriften Verlags und Fachanwalt für IT-Recht in Hannover.

 

© 2009 Heise Zeitschriften Verlag GmbH & Co. KG, Hannover

Stand: Mitte 2009

 

  aaaaaaaaaaaaaaaa

 

© 2001-2009 und Anbieter: Rechtsanwalt Joerg Heidrich, Brahmsstr. 3, 30177 Hannover
Tel.: +49 (511) 23 52 702 · Fax: +49 (511) 23 52 703 · E-Mail: kontakt@recht-im-internet.de