Bei der Einführung von E-Mail-Archivierung vermeidet eine vernünftig vorbereitete und an der betrieblichen Situation ausgerichtete Vorgehensweise böse Überraschungen. Gerade die Missachtung datenschutzrechtlicher Auflagen kann bis zu behördlich oder gerichtlich angeordneter System-Abschaltung führen. Ordnungs- und Zwangsgelder inklusive.

Die immer stärker werdende Abhängigkeit der Geschäftsprozesse von einer funktionierenden IT macht vor den E-Mail-Systemen nicht halt. Das fängt bei der Postfachgröße an (Speicherbedarf und -kosten) und geht bis zur Archivierung der E-Mails auf PCs oder Laptops, die durch die verschiedenen Benutzer mehr oder weniger sorgfältig erfolgt.

Der Gesetzgeber unterscheidet in dieser Hinsicht bei den Aufbewahrungspflichten (z.B. in Handels- und Steuerrecht, Finanz-, Pharma- und Medizinwesen) nicht mehr zwischen Papier- und elektronischen Dokumenten. Somit müssen Unternehmen auch ihre E-Mails entsprechend den Vorgaben von HGB, AO, GoBS & Co. aufbewahren. Ist jedoch kein zentrales Archiv vorhanden, können in Haftungs- und Prüfungsfällen Fristen versäumt und sogar teure Verstöße gegen Buchführungs- und andere Pflichten entstehen. Das Risiko einer unkontrollierten Archivierung wird durch die nicht zentral vorhandene Verfügbarkeit zusätzlich verschärft.

Dabei bildet die Technologie gesetzliche Auflagen sowie interne Anforderungen an Schutz und Sicherheit mittlerweile problemlos ab. Synergieeffekte entstehen alleine schon durch eine Entlastung des E-Mail-Servers, das schnelle Wiederfinden von unternehmenskritischen E-Mails und die Vermeidung von unbeabsichtigtem Löschen. Bei richtiger Planung beschleunigt dies sogar Geschäftsprozesse.

Doch nicht alles ist juristisch erlaubt, was technologisch funktioniert. Ein klassisches und gesetzlich noch immer ungelöstes Problem ist die ungeregelte private Nutzung von E-Mail und Internet im Unternehmen. Dies resultiert unter anderem aus dem TMG (Telemediengesetz), dem TKG (Telekommunikationsgesetz, respektive § 88 Fernmeldegeheimnis) sowie dem BDSG (Bundesdatenschutzgesetz).

Kurz: Wird die Privatnutzung nicht geregelt, ist sie erlaubt oder wird ein Verbot nicht ausreichend kontrolliert (= Duldung, betriebliche Übung), ist der Arbeitgeber zum Telemedienanbieter mutiert und das TMG/TKG muss eingehalten werden

Durch die geltende Rechtsprechung ist das (ungeregelte) Scannen und Lesen privater Post (auch E-Post) strafbar. Das Unternehmen hat damit eine offene Flanke der Belegschaft und Dritten gegenüber, wie zahlreiche Urteile belegen.

Es geht aber auch ohne »brutale« Verbote und persönliche Kontrollen. Werden die Herangehensweisen sorgfältig vorbereitet, die genannten Themen rechtzeitig vor einer Anschaffung geregelt (z.B. durch Betriebs- oder Dienstvereinbarung, einzelvertragliche Regelungen), steht einer sinnvollen, produktiven und wirtschaftlich angemessenen E-Mail-Archivierung nichts mehr im Wege.

Frank Giebel ist als Inhaber des Beratungsunternehmens 3rd Mind Business Consulting externer Datenschutzbeauftragter und IT-Compliance-Berater.