DSGVO und E-Mail-Archivierung: So bleiben Sie konform
Die Datenschutz-Grundverordnung (DSGVO) und die Anforderungen an die E-Mail-Archivierung scheinen auf den ersten Blick widersprüchlich. Einerseits sind Sie gesetzlich verpflichtet, geschäftliche E-Mails jahrelang aufzubewahren. Andererseits fordert die DSGVO Datenminimierung und gewährt Betroffenen das Recht auf Löschung. Wie lassen sich diese Pflichten miteinander vereinbaren?
Das Spannungsfeld zwischen Aufbewahrung und Löschung
Artikel 17 der DSGVO begründet das "Recht auf Vergessenwerden". Betroffene können die Löschung ihrer personenbezogenen Daten verlangen. Artikel 17 Absatz 3 Buchstabe b sieht jedoch eine Ausnahme vor: Das Recht auf Löschung gilt nicht, wenn die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist.
Das bedeutet: Wenn das deutsche Recht (GoBD, HGB, AO) die Aufbewahrung einer E-Mail vorschreibt, sind Sie nicht verpflichtet, diese zu löschen, selbst wenn die betroffene Person dies verlangt.
Zentrale DSGVO-Grundsätze für die E-Mail-Archivierung
Rechtsgrundlage
Die Rechtsgrundlage für die Archivierung geschäftlicher E-Mails ist typischerweise Artikel 6 Absatz 1 Buchstabe c (Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung). Dokumentieren Sie dies in Ihrem Verzeichnis von Verarbeitungstätigkeiten (VVT).
Zweckbindung
Auf archivierte E-Mails sollte nur zu berechtigten Zwecken zugegriffen werden: Steuerprüfungen, Gerichtsverfahren oder behördliche Kontrollen. Das anlasslose Durchsuchen des Archivs für sachfremde Zwecke kann gegen den Grundsatz der Zweckbindung verstoßen.
Datenminimierung
Zwar müssen Sie geschäftliche E-Mails vollständig archivieren (gemäß den GoBD-Anforderungen zur Unveränderbarkeit), doch sollten Sie prüfen, ob Sie auch E-Mails archivieren, für die keine gesetzliche Aufbewahrungspflicht besteht. Eine gut konfigurierte Archivierungsrichtlinie hilft, unnötige Datenspeicherung zu minimieren.
Speicherbegrenzung
Nach Ablauf der gesetzlichen Aufbewahrungsfrist sollten archivierte E-Mails gelöscht werden. Eine konforme Archivierungslösung sollte die automatische Löschung nach Ende der Aufbewahrungsfrist unterstützen.
Sicherheit
Archivierte E-Mails enthalten personenbezogene Daten und müssen mit angemessenen technischen und organisatorischen Maßnahmen geschützt werden. Dazu gehören Verschlüsselung, Zugriffskontrollen und Audit-Protokollierung.
Praktische Schritte
- Dokumentieren Sie Ihre Archivierungsrichtlinie: Definieren Sie klar, welche E-Mails archiviert werden, warum und wie lange.
- Konfigurieren Sie Aufbewahrungsfristen: Richten Sie die automatische Löschung nach Ablauf der gesetzlich vorgeschriebenen Aufbewahrungsfrist ein.
- Beschränken Sie den Zugriff: Nur autorisiertes Personal sollte archivierte E-Mails durchsuchen oder einsehen können.
- Protokollieren Sie jeden Zugriff: Führen Sie ein Audit-Trail darüber, wer wann auf das Archiv zugegriffen hat.
- Bearbeiten Sie Löschanfragen korrekt: Wenn eine betroffene Person die Löschung verlangt, prüfen Sie zunächst, ob eine gesetzliche Aufbewahrungspflicht besteht, bevor Sie löschen.
So unterstützt Easy Mail Archive die DSGVO-Konformität
Easy Mail Archive wurde mit DSGVO-Konformität als zentralem Designprinzip entwickelt:
- Konfigurierbare Aufbewahrungsrichtlinien sorgen dafür, dass E-Mails automatisch gelöscht werden, wenn sie nicht mehr gesetzlich aufbewahrt werden müssen.
- Rollenbasierte Zugriffskontrolle beschränkt den Archivzugriff auf autorisierte Benutzer.
- Audit-Protokollierung dokumentiert jeden Zugriff für die Nachweispflicht.
- Ausschließliches EU-Hosting hält die Daten innerhalb der europäischen Rechtsordnung.
- Verschlüsselung mit AES-256 und TLS 1.3 schützt personenbezogene Daten im Ruhezustand und bei der Übertragung.