Zum Inhalt springen Zur Navigation springen
E-Mail-Journaling: Archivierungspflichten vs. Datenschutz

E-Mail-Journaling: Archivierungspflichten vs. Datenschutz

Unternehmen unterliegen vielseitigen Archivierungspflichten. Nicht nur physische Dokumente, sondern auch E-Mails enthalten typischerweise aufbewahrungspflichtige Inhalte. Was beim E-Mail-Journaling datenschutzrechtlich zu beachten ist, erfahren Sie hier.

E-Mail-Journaling – Was ist das eigentlich?

Unternehmen müssen sicherstellen, dass auch aufbewahrungspflichtige Inhalte, die per E-Mail kommuniziert wurden (bspw. Angebote zum Abschluss eines Vertrages) inklusive deren Anhänge rechtssicher aufbewahrt werden. Zu diesem Zweck werden E-Mails üblicherweise archiviert.

Die Archivierung von E-Mails kann sowohl server- als auch clientseitig erfolgen. Beim E-Mail-Journaling handelt es sich um eine serverseitige Archivierung aller ein- und ausgehenden E-Mails. Dabei werden die E-Mails direkt nach ihrem Eingang auf dem E-Mail-Server in das Archivsystem übertragen. Ausgehende E-Mails werden entsprechend erfasst.

Der Vorteil hierbei ist, dass alle E-Mails manipulationssicher zentral verwaltet und administriert werden können. Diese pauschale Speicherung birgt allerdings datenschutzrechtliche Bedenken. Ein maßgeblicher Aspekt wird hier sein, wie die Nutzung des betrieblichen E-Mail-Postfachs geregelt ist.

Datenschutz und Journaling

  1. Privatnutzung verboten
    Ist die Nutzung des betrieblichen E-Mail Accounts innerhalb eines Unternehmens verboten, gehören alle E-Mails grundsätzlich dem Unternehmen. Das Fernmeldegeheimnis kommt nicht zum tragen. Die Archivierung von E-Mails richtet sich entsprechend nach dem Bundesdatenschutzgesetz. Bei der Speicherung betrieblicher E-Mails überwiegt daher im Rahmen einer Interessensabwägung üblicherweise das Interesse des Unternehmens an der ordnungsgemäßen Organisation der betrieblichen Abläufe dem Interesse des Mitarbeiters an dem Umgang mit der E-Mail.
  1. Privatnutzung erlaubt
    Sofern ein Unternehmen auch die Privatnutzung des betrieblichen E-Mail Accounts gestattet, wird das Unternehmen nach herrschender Ansicht als TK-Diensteanbieter qualifiziert und unterliegt dementsprechend dem Fernmeldegeheimnis nach § 88 TKG. Eine pauschale Speicherung aller E-Mails stellt einen Eingriff in das Fernmeldegeheimnis dar. Das Unternehmen ist vor einige Herausforderungen gestellt.

Was ist bei der Archivierung zu beachten?

  • Sofern privater E-Mailverkehr gestattet werden soll, ist es empfehlenswert dies nur in Form von Webmailing zu gestatten und den dienstlichen Account von privater Kommunikation freizuhalten.
  • Möchte das Unternehmen die Privatnutzung des dienstlichen E-Mail-Accounts erlauben, sollte es die Zulässigkeit davon Abhängig machen, dass der Mitarbeiter in den daraus folgenden Eingriff in das Fernmeldegeheimnis einwilligt (dies gilt übrigens bei jeder Form der gestatteten Privatnutzung, also sowohl E-Mail als auch Internet). Dabei ist der Mitarbeiter genau über die Handhabung seiner Daten (also auch die Archivierung) zu informieren.
  • Unternehmen sollten sich frühzeitig mit bestehenden Archivierungspflichten aber auch  mit datenschutzrechtlichen Löschpflichten auseinandersetzen und diese Pflichten in einem entsprechenden Konzept einbetten.

In jedem Fall sollten klare eindeutige Regelungen bezüglich der Nutzung betrieblicher Kommunikationsmittel getroffen werden. Am besten Sie wenden sich diesbezüglich an Ihren Datenschutzbeauftragten.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 31.12.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • Guter Artikel! Klar – wir wissen alle, dass es besser ist die Privatnutzung des Email-Accounts zu verbieten. Viele Unternehmen vernachlässigen aber eine klare Regelung oder etwaige Kontrollen bestimmt, oder? Aber wie soll die Archivierung praktisch gesehen von einem Unternehmen durchgeführt werden, wenn man den Account auch privat nutzen darf. Gibt es da technische Möglichkeiten. Als ITler sind mir da bis dato keine praktischen Systeme untergekommen. Selbst organisatorische ist es sicherlich doch schwer, dies Emails dann zu archivieren. Wie soll ein Admin vorgehen und die Emails aussortieren? Wie sieht es denn dann mit Aufbewahrungspflichten aus? Über mehr praktische Tipps – wie sonst oftmals bei Ihnen üblich – würde ich mich freuen. Danke!

  • @ Dr. Datenschutz

    „gehören alle E-Mails grundsätzlich dem Unternehmen“

    Trotzdem dürfen Chefs, Geschäftsführer und Admins nicht wahllos, grundlos und mit böser Absicht in den E-Mails der Mitarbeiter rumschnüffeln. Die Mitarbeiter geben ihre Rechte nicht am Firmentor ab, auch wenn die E-Mails dem Unternehmen „gehören“.

    • Selbstverständlich darf der Arbeitgeber auch bei dem Verbot der Privatnutzung nicht ohne ein berechtigtes Interesse, dass an strenge Anforderungen und einen bestimmte Prozess geknüpft ist, die E-Mails der Mitarbeiter lesen. Dies ändert jedoch nichts daran, dass der Arbeitgeber die generelle Verfügungsbefugnis hat.

  • Es wäre hilfreich hier mit anzuführen, wie lange geschäftliche E-Mails archiviert werden müssen (oder eine Refenz auf einen Artikel einzufügen auf einen Artikel, der das behandelt).
    Gelten hier die sechs Jahre des § 147 der AO?

  • Wie ist es mit E-Mails, die eigentlich gar nicht archiviert werden dürfen, zum Beispiel Bewerbungen? Muss ich beim Journaling irgendwie vorfiltern? Das geht doch gar nicht, oder?

    • Wichtig ist hier zunächst die Beachtung des Trennungsgebots. Entsprechend sollte es ein gesondertes Bewerbungspostfach geben, welches getrennt vom normalen Posteingang angelegt wird. Im weiteren wird es auf die Funktionalitäten des jeweiligen Archivierungssystems ankommen. Hier sollte man Funktionen im Vorfeld genau analysieren und prüfen, welches System am besten mit den Anforderungen im eigenen Unternehmen korrespondiert.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.