Es muss schnell gehen? Rufen Sie an: 0800 88 44 66 88
用中文显示信息Pokaż informacje w języku polskimПоказать информацию на русском языкеTürkçe olarak bilgi gösterMostra informazioni in italianoAfficher les informations en françaisMostrar informacion en españolShow information in English

Pflicht zur Archivierung von E-Mails

Die sich aus den GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff) ergebende Pflicht zur Archivierung von E-Mails hat auch Auswirkungen auf den Datenschutz – insbesondere bei erlaubter Privatnutzung betrieblicher E-Mail-Accounts.


Die Pflicht zur Archivierung von E-Mails ergibt sich aus § 147 AO sowie § 257 HGB. Im Schreiben des Bundesministeriums der Finanzen vom 14.11.2014 (www.s-con.de/GoBD) wird auf das Thema “Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“ eingegangen. Danach sind Bücher und Aufzeichnungen, Inventare, Jahresabschlüsse, Lageberichte, Eröffnungsbilanzen sowie die zu ihrem Verständnis erforderlichen Arbeitsanweisungen und sonstigen Organisationsunterlagen, empfangene Handels- oder Geschäftsbriefe, Wiedergaben der abgesandten Handels- und Geschäftsbriefe, Buchungsbelege, Unterlagen für die Zollanmeldung sowie sonstige Unterlagen, soweit sie für die Besteuerung von Bedeutung sind, geordnet aufzubewahren.

Gesetzliche Aufbewahrungsfrist

Da es verschiedene gesetzliche Aufbewahrungsfristen gibt, und die Einordnung von E-Mails nicht ganz eindeutig ist, wird empfohlen, E-Mails grundsätzlich 10 Jahre aufzubewahren (Details: www.s-con.de/AUF2017).

Zulässigkeitsvoraussetzungen

Die nach § 147 Abs. 1 AO zu archivierenden Unterlagen (z. B. E-Mails) können auch als Wiedergabe auf einem Bild- oder Datenträger gespeichert werden, wenn dies den Grundsätzen ordnungsmäßiger Buchführung entspricht und sichergestellt ist, dass die Wiedergabe oder die Daten mit den empfangenen Handels- oder Geschäftsbriefen und den Buchungsbelegen bildlich und mit den anderen Unterlagen inhaltlich übereinstimmen, wenn sie unverzüglich lesbar gemacht werden, maschinell ausgewertet werden können und während der Dauer der Aufbewahrungsfrist jederzeit verfügbar sind.

Nach § 126a BGB ist die Schriftform auch gewahrt, wenn die E-Mail über eine qualifizierte elektronische Signatur verfügt. Dann ist die E-Mail eindeutig ein rechtsverbindliches Original und muss zwingend ordnungsgemäß archiviert werden.

Ausnahmen

Ausnahmen bestehen zum Beispiel für Jahresabschlüsse, Eröffnungsbilanzen sowie Unterlagen zur Zollanmeldung. Diese sind immer in Papierform zu archivieren.

Was ist, wenn das betriebliche E-Mail-Postfach privat genutzt werden darf?

Umstritten ist, ob der Arbeitgeber bei erlaubter Privatnutzung des E-Mail Accounts als Diensteanbieter i.S.d. § 3 Nr. 6 TKG anzusehen ist. Wird der Arbeitgeber als Diensteanbieter gesehen, so hat dies wiederum zur Folge, dass er in Bezug auf alle E-Mails seiner Mitarbeiter das Telekommunikationsgeheimnis (§ 88 TKG) beachten muss, und er die E-Mails nicht mehr einsehen darf, da er sich sonst des Bruchs des Fernmeldegeheimnisses strafbar macht (§ 206 StGB).

Allerdings wird in der Rechtsprechung überwiegend davon ausgegangen, dass der Arbeitgeber nicht automatisch Diensteanbieter ist, da er durch die erlaubte Privatnutzung keine geschäftsmäßigen Telekommunikationsleistungen erbringt. Generell wird jedoch stets empfohlen, die Privatnutzung des betrieblichen E-Mail Accounts zu verbieten, und dies in einer Betriebsvereinbarung (wenn Betriebsrat vorhanden) oder Arbeitsanweisung zu verankern. So wird gewährleistet, dass bei der Archivierung keine privaten E-Mails ohne Einwilligung der Betroffenen gespeichert werden. Verbietet man die Privatnutzung des E-Mail Accounts, und der Arbeitnehmer hält sich dennoch nicht dran, sind die privaten E-Mails auch nicht schutzwürdig, da er mit der Archivierung rechnen musste.

Betriebliche E-Mails mit vertraulichen Inhalt sollten – wenn möglich – verschlüsselt werden. Bei der Verarbeitung, Aufbewahrung, Weitergabe oder Speicherung von vertraulichen Daten muss der Mitarbeiter stets überlegen, ob bei Verlust der Daten bzw. bei der unabsichtlichen Weiterleitung an Unberechtigte ein Schaden (wirtschaftlicher Schaden oder Imageverlust) für das Unternehmen bzw. für den Betroffenen entstehen kann. Wenn ja, so müssen die Daten immer vor unberechtigtem Zugriff durch Dritte geschützt werden (z. B. bei E-Mail -> Verschlüsselung des Inhaltes). Bei der Verschlüsselung ist auf jeden Fall die Verhältnismäßigkeit zu beachten. Mehr Datenschutz durch Verschlüsselung bedeutet weniger Nutzungskomfort für die Mitarbeiter. Zu bedenken ist auch, dass zu einem späteren Zeitpunkt für eine benötigte verschlüsselte Information das Kennwort noch benötigt wird (kein Kennwort = kein Zugriff auf die Information).

Sind Kontrollen des betrieblichen E-Mail-Postfachs erlaubt?

Ein Verbot ist nach heutiger Meinung nur dann wirksam, wenn der Arbeitgeber dieses auch überwacht und Verstöße entsprechend sanktioniert. Die Kontrolle erfolgt stichprobenartig, und Verstöße sind durch geeignete Maßnahmen, wie z.B. eine Abmahnung zu sanktionieren. Nur durch regelmäßige Kontrollen kann verhindert werden, dass das Verbot durch betriebliche Übung (de.wikipedia.org/wiki/Betriebliche_Übung) unwirksam wird. Gesetzes-grundlage für die Durchführung der Kontrollen ist § 32 Abs. 1 S. 1 BDSG. Danach ist die Verarbeitung und Nutzung von personenbezogenen Daten für Zwecke des Beschäftigungsverhältnisses zulässig, wenn dies für die Durchführung des Beschäftigungsverhältnisses erforderlich ist. Im Rahmen der Zulässigkeitsprüfung sind die Interessen der Betroffenen gegeneinander abzuwägen. Regelmäßig wird die Stichprobenkontrolle durch § 32 Abs. 1 S. 1 BDSG gedeckt sein, da anderenfalls eine Duldung entstehen würde. Im Rahmen der Kontrolle ist zwischen Verbindungsdaten (Datum, Uhrzeit, Datenvolumen und E-Mail-Adresse) und Inhalt der E-Mail zu unterscheiden. Eine E-Mail wird dem Geschäftsbrief gleichgesetzt, da diese dem Geschäftsbrief näherkommt als einem Telefongespräch. Somit darf der Arbeitgeber den Inhalt lesen und der Mitarbeiter muss beim Verfassen regelmäßig damit rechnen, dass die E-Mail gespeichert und anderweitig verwendet werden kann, so auch für die Archivierung. Bevor der Inhalt einer E-Mail kontrolliert werden darf, müssen erst die Verbindungsdaten gesichtet werden. Geht aus diesen schon eine Privatnutzung hervor, ist die Inhaltskontrolle der E-Mail nicht notwendig und hat zu unterbleiben.

Wenn es einen Betriebsrat gibt

Regelungen über Privatnutzung sind nicht mitbestimmungspflichtig durch den Betriebsrat. Kontrollen bei Verbot der Privatnutzung hingegen schon.


Management-Summary

Eine Archivierung der geschäftlichen E-Mails ist grundsätzlich erforderlich.

Es wird empfohlen, die private Nutzung des betrieblichen E-Mail-Accounts zu verbieten. Es sollten regelmäßig Kontrollen durchgeführt werden, um zu verhindern, dass das Verbot durch betriebliche Übung oder Duldung unwirksam wird.

 


Stand: 2017
S-CON Datenschutz
S•CON Datenschutz betreut Unternehmen, Organisationen und Behörden jeder Größenordnung in allen Fragen des Datenschutzes.