Rechtskonforme E-Mail-Archivierung Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


09.03.2011 Edmund E. Lindau

Rechtskonforme E-Mail-Archivierung

Welche E-Mails müssen archiviert werden und welche auf keinen Fall? Die Unsicherheit in den Unternehmen ist groß, vor allem was private Mails an Mitarbeiter-Accounts betrifft. Barracuda Networks weist auf sieben große Fehleinschätzungen hin.

»Die meisten österreichischen Unternehmen sind bei der E-Mail-Archivierung noch weit von einer rechtskonformen Lösung entfernt«, stellt Günther Leissler, Datenschutzexperte und Rechtsanwalt bei der Kanzlei Schönherr Rechtsanwälte in Wien fest. Unternehmen würden unter der Intransparenz der Regeln leiden: »Es gibt eine Vielzahl von Vorschriften, die auf E-Mail-Archivierung Anwendung finden, aber kein eigenes Gesetz.« Gemeinsam mit Wieland Alge, EMEA-Chef von Barracuda Networks, räumt er mit den sieben gängigsten Fehleinschätzungen zum Thema E-Mail-Archivierung auf.

Jedes Mail archivieren Rechtsanwalt Günther Leissler: »Grundsätzlich muss jedes Unternehmen seine Geschäftskorrespondenz aufbewahren, sei es aufgrund gesetzlicher Pflichten, sei es zur Beweissicherung. E-Mail macht hierbei längst den Löwenanteil aus. Leider sieht das Gesetz keine einheitliche Aufbewahrungsfrist vor. Wie lange E-Mails zu archivieren sind, richtet sich vielmehr nach deren Inhalt. So ist beispielsweise steuerrechtlich relevante Geschäftskorrespondenz bis zu sieben Jahre aufzubewahren, wohingegen bei sonstiger Korrespondenz etwa mit einer dreijährigen Aufbewahrung das Auslangen gefunden werden kann. Die Grundregel lautet: E-Mails dürfen, ebenso wie sonstige personenbezogenen Daten, bloß solange aufbewahrt ­werden, als es für ihren Zweck absolut notwendig ist.«

Private Mails

Leissler: »Nach österreichischer Rechtslage dürfen Arbeitnehmer im vertretbaren Ausmaß auch private E-Mails an ihrem ­Arbeitsplatz versenden und empfangen, sofern dies vom Arbeitgeber nicht ausdrücklich verboten ist. Daraus ergibt sich, dass auf den Accounts der Mitarbeiter oft nicht nur berufliche, sondern auch private E-Mails gespeichert sind. Dies kann in der Praxis zu großen Problemen führen. So stehen dem Arbeitgeber umfangreichere Einsichtsrechte in die berufliche Korrespondenz seiner Mitarbeiter zu als in deren private E-Mails. Zudem ist unklar, in­wieweit er überhaupt berechtigt oder verpflichtet ist, private E-Mails seiner Mitarbeiter zu speichern. Im Anlassfall wird in diesen Fällen oft nachträglich versucht mit konkludenten Zustimmungen der Mitarbeiter zu argumentieren, was naturgemäß keine zufriedenstellende Lösung ist. Wir empfehlen unseren Klienten für einen strukturierten Aufbau der E-Mailverwaltung Sorge zu tragen, welcher eine klare Trennung zwischen beruflicher und privater Korrespondenz der Mitarbeiter bietet. Derartige Modelle bewährten sich bislang in der Praxis.«

VERBOT OHNE ALTERNATIVE Das Verbot privater Mails in Unternehmen ist juristisch ohne Alternativen. »Es wird immer schwieriger, private und geschäftliche Nutzung von IT-Ressourcen zu trennen. Bei Social Media ignorieren viele Angestellte diese Grenze. Auch private oder halbprivate E-Mail-Korrespondenz während der Arbeitszeit zu führen sind in Positionen, die eines starken persönlichen Netzwerks bedürfen, gängig. Ein Verbot erscheint juristisch bequem. Aber es ist nur dann die beste Lösung, wenn man bereit ist, auch seine besten Mitarbeiter für einen Verstoß abzumahnen. Stattdessen geht es darum sicherzustellen, dass private E-Mails nicht Teil der Archivierungsroutine werden. Es gibt viele Möglichkeiten: Einige Unternehmen verlangen etwa einen Vermerk im Betreff, andere richten jedem Mitarbeiter eine zweite E-Mail-Adresse ein. Am häufigsten anzutreffen ist die ­Regelung, den Gebrauch von so genannten Freemail-Accounts zu erlauben. Oder private E-Mails in einen Ordner verschieben, der dafür sorgt, dass die Mail dauerhaft gelöscht beziehungsweise nicht von der Sicherungs- oder Archivierungsroutine erfasst wird«, so Wieland Alge, EMEA-Chef des Storage-, Security- und Networking-Anbieters.

VERSCHLÜSSELTES ARCHIV Ein E-Mail-Archiv muss verschlüsselt sein. Leissler: »Abgesehen von Einzelfällen, wie der Verwendung von Gesundheitsdaten, verlangt der Gesetzgeber grundsätzlich keine Verschlüsselung von E-Mails. Allerdings sind die Sicherheitsanforderungen des österreichischen Datenschutzrechts zu beachten, welche auch auf die Verwahrung von E-Mails Anwendung finden. Die vielen Fälle von unbeabsichtigten Daten­verlusten zeigen, dass es im Eigeninteresse der Unternehmen liegen kann, die Unternehmensdaten zumindest verschlüsselt zu übertragen – auch um bei Verlusten Entschädigungsklagen Dritter abzuwenden.«

Bordmittel Die Bordmittel des E-Mail-Servers bieten alle nötigen Optionen. Alge: »Administratoren behelfen sich meist mit proprietären Archivdateien. Sie enthalten E-Mails, Kalendereinträge, Kontakte und Aufgaben. Unternehmen speichern sie häufig auf dem Endgerät des Anwenders, um die Datenmenge auf dem Mail-Server zu reduzieren. Compliance bieten sie nicht: Diese Dateien können in falsche Hände geraten und sind leicht zu manipulieren. Für den Administrator sind sie schwer zu verwalten, für den durchschnittlichen Anwender bieten sie keinen bequemen Zugang zu seinen älteren Nachrichten. Um geschäftliche E-Mails inklusive Anhänge – wie gesetzlich gefordert – fälschungssicher und untersuchbar zu speichern, ist nur eine serverseitige Lösung denkbar. Die eingehende Mail muss ab­gespeichert sein, bevor sie den Nutzer ­erreicht. Ein dedizierter Server, eine Appliance oder ein Cloud Service verhindert dies.«

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema


Hosted by:    Security Monitoring by: