Im Rahmen der Überprüfung von Internetseiten stellen wir regelmäßig fest, dass E-Mail-Archivierung für Unternehmen eine Fülle rechtlicher Probleme aufwerfen kann. Insbesondere stellt die E-Mail-Archivierung dann ein Problem dar, wenn eingehende E-Mails einer Archivierungs-Pflicht unterliegen.

Auch die Frage, ob die E-Mail-Archivierung in der Datenschutzerklärung genannt werden muss, erreicht uns als Website-Check-GmbH immer häufiger.

Was ist E-Mail-Archivierung genau?

Der Begriff umfasst die langfristige, in ihrer Form unveränderliche (=revisionssichere) und zugleich sichere Aufbewahrung von E-Mails. Dieser Begriff steht im Gegensatz zum Vorhalten einfacher Backups. Backups stellen lediglich eine mittelfristige Aufbewahrung dar, welche lediglich bei Verlust von Daten zur Wiederherstellung gedacht sind. Es ist jederzeit möglich die Daten von Backups zu manipulieren. Die beiden Begriffe dürfen somit nicht verwechselt oder gar synonym verwendet werden.

Besteht eine Verpflichtung zur E-Mail-Archivierung?

Diese Frage beantwortet die Verwaltungsvorschrift mit dem Namen „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“, kurz GoBD.Gemäß der GoBD ist eine E-Mail dann aufzubewahren, wenn sie die Funktion eines Handels- bzw. Geschäftsbriefs oder eines Buchungsbelegs besitzt.

Die Abgabenordnung (AO) regelt zudem, dass folgende E-Mails zu archivieren sind, wenn Sie für die Besteuerung bedeutend sind:

• Unterlagen
• Bücher und Aufzeichnungen
• Inventare
• Jahresabschlüsse
• Lagebericht
• die Eröffnungsbilanz sowie die zu ihrem Verständnis erforderlichen Arbeitsanweisungen und sonstigen Organisationsunterlagen.

Entscheidend ist, dass hier keine ausgedruckte Kopie ausreicht. Da die GoBD das Vorhalten des Originals fordert, ist die E-Mail selbst zu speichern. Betroffen sind alle juristische Personen (Körperschaften, Vereine und Gesellschaften). Dies gilt unabhängig von ihrer Größe oder ihrem Umsatz.

Ist meine Datenschutzerklärung entsprechend anzupassen?

Im Hinblick auf die Informationspflichten der DSGVO und dem allgemeinen Transparenzgebot ist die E-MailArchivierung in Ihrer Datenschutzerklärung zu nennen. Dies gilt insbesondere dahingehend, dass die GoBD eine eigene Rechtsgrundlage für die Erhebung und Speicherung der personenbezogenen Daten darstellt. Gemäß Art. 6 Abs. 1 lit. c) DSGVO ist die Verarbeitung dann rechtmäßig, wenn Sie der Erfüllung einer rechtlichen Verpflichtung dient.

Zudem ist der Seitenbesucher darüber zu informieren, wenn einzelne E-Mails (wie z.B. Bewerbungsmails, Mails an den Datenschutzbeauftragten, etc.) von der Archivierung ausgenommen sind. Bitte beachten Sie, dass die Erfüllung Ihrer Informationspflichten nicht gleichbedeutend mit der ordnungsgemäßen Archivierung ist. Die technische Ausgestaltung sollte stets durch den Betriebsinternen oder einen externen Datenschutzbeauftragten begleitet werden. Alternativ können auch fertige Softwarelösungen im Unternehmen verwendet werden.

Welche Vorteile hat die automatische E-Mail-Archivierung für das Unternehmen?

Für die Verwendung eines automatisierten E-Mail Archivierungsverfahrens sprechen aus unserer Sicht mehrere Gründe:

• Erfüllung rechtlicher Anforderungen
• Schutz vor E-Mail-Datenverlust
• Manipulationssicherheit

Nachteilig sind die hohen Implementierungskosten.

Was ist zu tun?

Ob Sie ein automatisiertes E-Mail-Archivierungssystem verwenden müssen oder wollen, lässt sich ohne nähere Prüfung der Sach- und Rechtslage im konkreten Einzelfall nicht beantworten. Wenn Sie jedoch ein automatisiertes E-Mail Archivierungssystem verwenden, müssen Sie dieses in der Datenschutzerklärung aufführen, da es automatisiert personenbezogene Daten erhebt, speichert und verarbeitet. Zudem stellt ein automatisiertes E-Mail-Archivierungssystem ein rechtliches Hindernis für die Löschung, Berichtigung, Einschränkung der personenbezogenen Daten dar. Auch über diesen Umstand müssen Sie in Ihrer Datenschutzerklärung aufgeklären.

Diese Vorgaben werden durch die korrekte Beantwortung unseres Fragebogens und den Einbau der Datenschutzerklärung grundsätzlich für die Außendarstellung der Internetseite erfüllt.

Falls Sie eine Webseite oder einen Online-Shop betreiben und Ihren Internetauftritt effektiv, nachhaltig gegen teure Bußgelder und Abmahnungen absichern möchten, stehen wir Ihnen mit unserem Website-Check bzw. unserem Paket für einen rechtssicheren Online-Shop gerne zur Seite. Sie erhalten von uns die auf Ihre Webseite angepassten Rechtstexte (Impressum, DSGVO-konforme Datenschutzerklärung, Widerrufsbelehrung, Muster-Widerrufsformular). Diese müssen Sie dann nur noch auf Ihrer Seite einpflegen. Darüber hinaus wird Ihre Seite durch einen spezialisierten Rechtsanwalt  geprüft, selbstverständlich inklusive Haftungsübernahme.