Foto: ErickN - Fotolia.com
Archivieren von E-Mails gestaltet sich schwierig. Manche Nachrichten muss ein Unternehmen archivieren, bei anderen darf es das gar nicht. Der VOI (Verband Organisations- und Informationssysteme) aus Bonn spricht denn auch von einem nur schwer zu lösenden rechtlichen Dilemma.
Um Entscheidern auf die Sprünge zu helfen, haben Experten des VOI - Anwälte und Berater - einen Leitfaden verfasst. Dessen Titel lautet: "FAQ zu typischen rechtlichen und kaufmännischen Fragen und Stolpersteinen bei der Mail-Archivierung". Das Dokument kann unter voi.de kostenlos heruntergeladen werden. Die Autoren sind Thorsten Brand, Jens Buecking, Stefan Groß, Nils Hallermann und Dietmar Weiß.
Private Mails vom Firmen-Account verbieten
Sie geben Unternehmen zum Beispiel Folgendes mit auf den Weg:
1. Es gibt keine allgemeingültige Lösung: Am sichersten wäre es zwar, sämtliche E-Mails zu archivieren. Das erfasst meist jedoch auch Mails, deren Archivierung vertraglich oder gesetzlich untersagt ist. "Hier muss eine einzelfallbezogene, individuelle Lösung gefunden werden, sinnvolle allgemeingültige Lösungen gibt es hier nicht", schreiben die Autoren.
2. Umgang mit privaten Mails: Der VOI empfiehlt, den Mitarbeitern die private Nutzung der beruflichen E-Mail-Postfächer vertraglich oder durch Betriebsvereinbarung komplett zu verbieten. Wenn privat gemailt wird, dann über einen privaten Account.
3. Die Ablage muss unveränderbar (also manipulationssicher) sein: Die Anforderungen für die Mail-Archivierung gelten für alle Unternehmen gleichermaßen, ob kleine Firma oder Konzern. Der VOI schreibt: "Die Ablage von E-Mails auf DVD als Archiversatz ist keine vollständige und umfassende Lösung, wenn es um die ordnungsmäßige Ablage geht. Es gilt, dass die aufzubewahrenden Informationen vollständig und richtig auf das Speichermedium übernommen werden, dass der Inhalt während der Aufbewahrung nicht verändert wird und dass die Wiedergabe während der Aufbewahrungsfrist möglich ist."
4. E-Mails müssen wiedergefunden werden - aber nicht unbedingt verschlagwortet oder in einer Hierarchie abgelegt. Die Verschlagwortung archivierter E-Mails ist rechtlich nicht vorgeschrieben, ebenso wenig die Ablage in einer Hierarchie. Es geht "nur" darum, dass E-Mails wiedergefunden werden müssen. In der Praxis sind daher Suchfunktionen wichtig.
5. Knackpunkt ausgeschiedene Mitarbeiter: Wenn Mitarbeiter ausscheiden oder wegen Krankheit oder Elternzeit länger abwesend sind, muss ein Unternehmen trotzdem auf die jeweiligen archivierten Mails zugreifen können. Entscheider müssen für solche Fälle Regelungen erlassen, damit die in den E-Mails dieses Mitarbeiters enthaltenen Informationen nicht verloren gehen. Beispielsweise können in einem solchen Fall die Vertretung, die Geschäftsführung oder der Systemadministrator Zugriffsrechte erhalten.
Spam-Mails gehören nicht ins Archiv
Dies sollte mit den Beschäftigten jedoch im Rahmen des Arbeitsvertrags oder einer Betriebsvereinbarung vorab vereinbart werden. Insbesondere dann, wenn die Belegschaft am Arbeitsplatz privat mailen darf.
6. Umgang mit Spam-Mails: "Vollständige" Archivierung von E-Mails heißt nicht, dass unerwünschte Spam-Nachrichten mitarchiviert werden müssen. Der VOI empfiehlt einen Abgriff hinter dem Spam-Filter. Allerdings sollte dieser Filter regelmäßig kontrolliert werden, um ein falsches Herausfiltern von geschäftsrelevanten E-Mails zu verhindern.
7. Einschätzung von zertifizierter Software: Die Frage, ob man mit dem Einsatz zertifizierter Software auf der sicheren Seite ist, beantwortet der VOI mit einem klaren: "Leider nein." Das Implementieren solcher Lösungen allein stellt noch keine automatische Gesetzeskonformität her. Die Autoren des Leitfadens schreiben: "Es gibt kein einziges System, das in diesem Sinne zertifiziert wäre."
Löschverbot für Endanwender
8. Löschen nicht vergessen: Zum Lebenszyklus eines Dokuments gehört auch, dass es gelöscht wird, sobald bestimmte Fristen verstrichen sind. Unternehmen sollten beim Löschen mit klaren Berechtigungsregeln arbeiten. Keinesfalls sollten Endanwender löschen dürfen, sondern nur festgelegte Administratoren.
Generell gilt: E-Mails sind ernst zu nehmen. Manche Entscheider glauben, sie seien mit mündlicher Kommunikation wie etwa einem Telefonat vergleichbar. Das stimmt nicht, so der VOI. E-Mails fallen mittlerweile unter strenge Regeln.
Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation CIO. (ph)