Datenschutz
Grenzen der revisionssicheren E-Mail-Archivierung
Wir wissen, dass dies nicht in allen Bereichen erreichbar sein kann. Auch aus diesem Grund ist beispielsweise das Internet gegenüber Hacker-Angriffen offensichtlich nicht schützbar. Die revisionssichere E-Mail bedient sich des Mediums Internet. Dabei soll hier nicht interessieren, dass per E-Mail transportierte Daten und Informationen im Internet grundsätzlich abgreifbar und damit unsicher sind. Dies übrigens unbeschadet von der Tatsache, ob sie vorab verschlüsselt wurden oder nicht.
Untersucht werden soll vielmehr, ob ein im Internet erkennbarer, vorhandener Sabotage-Wille sich auch auf die Speicherung von E-Mails auswirken, also die Revisionssicherheit von E-Mails beeinflussen kann.
Vorfall aus eigener Kenntnis
Ein Unternehmen will ein angrenzendes Geschäftsgebiet sondieren und vereinbart dazu für einen begrenzten Zeitraum einen Beratervertrag mit einem Spezialisten. Nach Abschluss des Vertrages bricht die Kommunikation ab. Eine E-Mail, welche die fachlichen und zeitlichen Erwartungen des Unternehmens nochmals zusammenfasst, bleibt unerwidert. Für ein akut anstehendes Sondierungsgespräch wird fachliche Unterstützung angefordert. Es erfolgt keinerlei Reaktion. Daraufhin wird der Beratervertrag gekündigt. Der Erhalt der Kündigung wird bedauernd bestätigt. Wochen später erreicht den Auftraggeber eine Rechnung über Beratungsdienstleistungen. Diese wird folgerichtig zurückgewiesen. Daraufhin schaltet der gekündigte Berater einen Anwalt ein und lässt vortragen, dass Beratungsdienstleistungen per E-Mail geleistet wurden. Zwar nicht die konkret abgeforderten, aber immerhin zum allgemeinen Umfeld des Vorhabens zu zählende Erörterungen werden dazu in Kopie von E-Mails vorgelegt.
Das Unternehmen bestreitet jedoch, diese E-Mails jemals erhalten zu haben. Das revisionssichere E-Mail-Archiv des Unternehmens wird zur Beweissicherung geöffnet. Es stellt sich heraus:
- Die behaupteten E-Mails liegen im Archiv tatsächlich vor.
- Die E-Mails sind definitiv nicht an den Adressaten weitergeleitet worden.
- Die E-Mails lassen sich auch nachträglich nicht aus dem Archiv herunterladen.
Eine Beweissicherung dieses Sachverhaltes wird vorgenommen, wonach die E-Mails sich nicht aus dem Archiv herunterladen lassen. Der Archivierungsdienstleister wird eingeschaltet, er bestätigt den Sachverhalt.
Es entsteht ein Austausch unter den Rechtsanwälten des beauftragenden Unternehmens und dem gekündigten Berater, in welchem diesem angeboten wird, sich von der Richtigkeit des Vorgetragenen überzeugen zu können. Es wird darauf hingewiesen, dass der Berater seine E-Mails in einer Weise konfiguriert hat, welche die Unzustellbarkeit seiner E-Mails an den eigentlichen Empfänger nach sich zog, da diese im zwischengeschalteten Archiv hängenbleibt.
Es ist damit offensichtlich, dass sich das System der revisionssicheren E-Mail in der Weise manipulieren lässt, dass E-Mails zwar im revisionssicheren Archiv gespeichert werden, den Adressaten jedoch nicht erreichen.
Grenzen technischer Lösungen
Jede auf eine technisch absolut zuverlässige Lösung setzende, gesetzliche Forderung ist grundsätzlich problematisch. Der Umfang der beobachteten Manipulationen im Bereich der elektronischen Datenverarbeitung ist bekanntermaßen beträchtlich. Es ist erstaunlich, hiervon die revisionssichere E-Mail ausnehmen zu wollen, weil ein Gesetz dies fordert.
Der zur sicheren Archivierung Verpflichtete steckt damit in der Falle, weil von ihm die Unterhaltung eines Systems abverlangt wird, welches ggfs. auch jene Geschäftskorrespondenz dokumentiert, die ihn nie erreicht hat – womöglich nie erreichen sollte.
Auch die Frage einer Haftung durch den Archivierungsdienstleister ist problematisch. Ganz abgesehen von den möglichen Dimensionen eines Schadens, gegen den dieser sich versichern müsste: dieser kann ebenfalls zum Opfer eines fehlerhaften wenn nicht gar betrügerischen Vorgehens werden.
Insoweit darf man in solch einem Fall nicht auf die Aufklärung durch den Archivierungsdienstleister hoffen, der schadenersatzpflichtig ist oder aber das Überschreiten der technisch möglichen Grenzen von Archivierungssystemen einräumen müsste. Er kann das relevante Merkmal seiner Dienstleistung nicht garantieren.
Abgesehen davon, dass man zunächst bemerken/erahnen und dann noch nachweisen können muss, dass eine im Archiv dokumentierte E-Mail tatsächlich dem Adressaten gar nicht angezeigt wurde.
Fazit
Durch die Trennung von Archivierungs-System und System zur Anzeige der E-Mails (bspw. in einer Exchange-Umgebung) sind Fallgestaltungen möglich, bei denen aufgrund einer absichtlichen oder unabsichtlichen Manipulation der eingehenden E-Mail diese zwar im Archivierungs-System aufläuft, dem Empfänger aber nicht zur Anzeige gelangt.
QUERVERWEIS
Service-Tipp
Datenschutz-Codex/-Signet für Webseitenbetreiber
Gerade bei der elektronischen Datenverarbeitung im Internet gewinnt der Datenschutz für Kunden zunehmend an Bedeutung. Mit einem neuen Datenschutz-Signet können Website-Betreiber nun nach außen einen transparenten und gesetzeskonformen Umgang mit Kundendaten dokumentieren.
weitere Informationen zum Datenschutz-Signet
http://www.iitr.de/datenschutz-codex-fuer-webseitenbetreiber.html
ZUM AUTOR
Über Dr. Sebastian Kraska
Institut für IT-Recht - Kraska GmbH
Herr Dr. Sebastian Kraska gründete im Jahr 2007 die Kraska GmbH, die sich mit IT-Dienstleistungen befasst. Im Jahr 2009 kam das Institut für IT-Recht IITR hinzu, das schwerpunktmäßig im Bereich Datenschutz tätig ist und in Kooperation mit der IT-Recht Kanzlei München und weiteren Partnern Unternehmen bei der Bewältigung datenschutzrechtlicher Anforderungen unterstützt. Herr Dr. Kraska selbst ist als freiberuflicher Rechtsanwalt im Kapitalmarkt- und IT-Recht tätig und betreut mittelständische Unternehmen. Daneben ist Herr Dr. Kraska seit 2007 Aufsichtsrat der amiando AG.
Institut für IT-Recht - Kraska GmbH
Eschenrieder Straße 62c
82194 Gröbenzell
+49-89-51303920
WEITERE ARTIKEL VON INSTITUT FÜR IT-RECHT - KRASKA GMBH
Finanzmanagement: Datenschutz-Vereinbarung mit dem Steuerberater?
http://perspektive-mittelstand.de/Datenschutz-Vereinbarung-mit-dem-Steuerberater/management-wissen/5509.html
Wirtschafts- und Arbeitsrecht: Die Europäische Ermittlungsanordnung (EEA)
http://perspektive-mittelstand.de/EU-Datenschutz-Reform-Die-Europaeische-Ermittlungsanordnung-EEA/management-wissen/5357.html
Wirtschafts- und Arbeitsrecht: Datenschutz-Informationspflichten bei Datenpannen
http://perspektive-mittelstand.de/Datenschutz-Informationspflichten-bei-Datenpannen-/management-wissen/5028.html
Marketing, Werbung & PR: Verschärfte Datenschutzbestimmungen bei Werbung
http://perspektive-mittelstand.de/Listenprivileg-Verschaerfte-Datenschutzbestimmungen-bei-Werbung/management-wissen/4948.html
Link zum Artikelfach des Autoren
http://perspektive-mittelstand.de/Institut-fuer-IT-Recht-Kraska-GmbH/CorporateShowroom/Artikel/6428.html
Link zur Online-Version dieses Beitrags
http://perspektive-mittelstand.de/Datenschutz-Grenzen-der-revisionssicheren-E-Mail-Archivierung/management-wissen/5362.html
Über Perspektive Mittelstand
Die Perspektive Mittelstand ist eine unabhängige, branchenübergreifende Business-Plattform zur Förderung der Leistungs- und Wettbewerbsfähigkeit kleiner und mittelständischer Unternehmen und ihrer Mitarbeiter. Ziel der Initiative ist es, über hochwertige Informations-, Kommunikations- und Dienstangebote rund um den unternehmerischen und beruflichen Alltag die Wissensbildung, Kommunikation und Interaktion von und zwischen Existenzgründern, Unternehmern, Fach- und Führungskräften und sonstigen Erwerbstätigen zu unterstützen. Weitere Informationen zur Perspektive Mittelstand unter: www.perspektive-mittelstand.de
Die Perspektive Mittelstand ist eine unabhängige, branchenübergreifende Business-Plattform zur Förderung der Leistungs- und Wettbewerbsfähigkeit kleiner und mittelständischer Unternehmen und ihrer Mitarbeiter. Ziel der Initiative ist es, über hochwertige Informations-, Kommunikations- und Dienstangebote rund um den unternehmerischen und beruflichen Alltag die Wissensbildung, Kommunikation und Interaktion von und zwischen Existenzgründern, Unternehmern, Fach- und Führungskräften und sonstigen Erwerbstätigen zu unterstützen. Weitere Informationen zur Perspektive Mittelstand unter: www.perspektive-mittelstand.de