Web

Compliance

Rechtsfalle E-Mail

Jürgen Hill ist Teamleiter Technologie. Thematisch ist der studierte Diplom-Journalist und Informatiker im Bereich Communications mit all seinen Facetten zuhause. 
Wollen IT-Leiter ihre Mail-Systeme sicher betreiben, müssen sie sich mit Spam, Viren und vor allem einer Menge Gesetze herumärgern.

Als Anfang der 80er Jahre der Siegeszug der E-Mail begann, waren technische Schwierigkeiten noch das Hauptproblem bei der Verarbeitung. Heute ist weniger die Technik als die Gesetzeslage die größte Herausforderung. Angesichts des Wusts an Vorschriften scheint schon fast ein Jurastudium erforderlich, um E-Mail sicher und gesetzeskonform zu betreiben.

Grob vereinfacht ergeben sich drei große Spannungsfelder: die regulatorischen Compliance-Anforderungen, Themen rund um den Datenschutz und Vorschriften aus dem Bereich der TK-Gesetzgebung. Seit der Änderung des BGB (Paragrafen 126, 127) gilt eine E-Mail mit elektronischer Signatur gemäß Signaturgesetz als rechtsverbindliches Original. Hieraus ergeben sich zahlreiche Compliance-Themen, die weit über die bekannten US-amerikanischen Beispiele wie Sarbanes-Oxley hinausreichen. Hierzu zählen aus deutscher Sicht etwa Punkte aus der Steuer- und Handelsgesetzgebung wie beispielsweise HGB, AO oder GDPdU.

Sicherheit versus Gesetz

Damit steckt der IT-Verantwortliche in der Zwickmühle: Will er eine sichere E-Mail-Kommunikation gewährleisten, die den Compliance-Anforderungen entspricht, läuft er schnell Gefahr, gegen Gesetze zum Datenschutz oder zur Telekommunikation zu verstoßen und sich so strafbar zu machen. Im Extremfall verbieten ihm diese Gesetze etwa eine automatische Speicherung von E-Mails in einem kaufmännisch strukturierten Archiv. Selbst ein Scannen von Mails auf Viren oder Spam ist aus juristischer Sicht nicht immer uneingeschränkt erlaubt.

Konfliktfall private Mail

Vor dem Hintergrund der komplexen Gesetzeslage ist es riskant, Mitarbeitern die private E-Mail-Nutzung am Arbeitsplatz zu erlauben. Das Unternehmen wird in diesem Fall zum Anbieter von Telekommunikationsdiensten, und es gelten die Verpflichtungen aus TKG sowie TMG, da der Arbeitnehmer nicht mehr als Teil des Unternehmens betrachtet wird, sondern als Dritter gemäß Paragraf 3 Nr.5 TKG einzuordnen ist. Und für diesen gilt nach Paragraf 88 TKG das Fernmeldegeheimnis, das nach gängiger Rechtsauffassung jegliche Überwachung der Inhalte sowie Verbindungsdaten der Internet- und E-Mail-Nutzung untersagt - womit wir bei dem Punkt sind, dass ein automatisches Virenscannen rechtlich unzulässig sein kann.

Gleichzeitig verpflichtet das TKG im Paragrafen 109 den Arbeitgeber, Maßnahmen zum Schutz des Fernmeldegeheimnisses zu ergreifen. Das könnte etwa eine Verschlüsselung sein oder ein erhöhter Schutz der Firewall-Protokolle. Hier greifen bei privater Nutzung die Bestimmungen des TMG, die etwa vorschreiben, dass die Erhebung von personenbezogenen Daten auf ein Mindestmaß zu reduzieren ist. Ferner ist nach Ansicht etlicher Datenschutzbehörden bei erlaubter privater E-Mail-Nutzung die gesamte Kommunikation als privat zu betrachten, so dass der Arbeitgeber auch auf geschäftliche E-Mails kaum mehr Zugriffsmöglichkeiten hat.

Aus diesem Dilemma führen für IT-Verantwortliche zwei Wege: Entweder sie verbieten die private E-Mail-Nutzung komplett, oder sie trennen eindeutig zwischen privater und geschäftlicher Mail-Nutzung. Dies könnte durch separate Mail-Adressen erfolgen oder durch die Verpflichtung, eigene Mails mit der Kennung "Privat" in der Betreffzeile zu versehen. Damit sind zwar Schwierigkeiten wie Archivierung unter Compliance-Aspekten gelöst, aber das Problem des E-Mail-Scannens unter Security-Aspekten bleibt.

COMPUTERWOCHE-Marktstudie

Mehr zum Thema Compliance erfahren Sie in der aktuellen Marktstudie der COMPUTERWOCHE, die Sie hier herunterladen können.

Inhalt dieses Artikels