IITR Datenschutz Blog

Datenschutz: Grenzen der revisionssicheren E-Mail-Archivierung

18.07.2013

IITR Information[IITR – 18.07.13] Unternehmen sind aufgrund von Vorgaben insbesondere des Handelsrechts und der Abgabenordnung verpflichtet, Geschäftsbriefe und ihnen gleichgestellte Kommunikation revisionssicher – also insb. verfälschungssicher – zu archivieren. In der Unternehmenspraxis bedeutet dies nach dem gängigen Verständnis, auch ein- und ausgehende E-Mailkommunikation in einem separaten revisionssicheren Archiv für den Zugriff durch insb. die Finanzbehörden bereitzuhalten. Das folgende Beispiel zeigt allerdings, dass technisch Fallgestaltungen denkbar sind, bei denen E-Mails in das Archiv gelangen ohne dass diese dem Empfänger zur Anzeige gelangen. [Anm.: bitte beachten Sie auch unser Update zu dem Artikel am 25.09.2013.]

Auch technische Systeme sind nicht vollkommen

Grundsätzlich ist jede rechtliche Forderung nach Zuverlässigkeit und Sicherheit eines technischen Systems getragen von den Vorstellungen einer dabei erreichbaren Vollkommenheit (vgl. z.B. die entsprechenden gesetzlichen Regelungen zum elektronischen Personalausweis). Der dazu notwendige technische Aufwand wird gelegentlich beträchtlich, denn er steigt mit dem Maße, in dem menschliche Intervention auf den zu sichernden Vorgang nicht ausgeschlossen werden kann. Also fließen Forderungen ein, menschliches Versagen aufzufangen sowie Sabotage verhindern zu müssen.

Wir wissen, dass dies nicht in allen Bereichen erreichbar sein kann. Auch aus diesem Grund ist beispielsweise das Internet gegenüber Hacker-Angriffen offensichtlich nicht schützbar.

Die revisionssichere E-Mail bedient sich des Mediums Internet. Dabei soll hier nicht interessieren, dass per E-Mail transportierte Daten und Informationen im Internet grundsätzlich abgreifbar und damit unsicher sind. Dies übrigens unbeschadet von der Tatsache, ob sie vorab verschlüsselt wurden oder nicht.

Untersucht werden soll vielmehr, ob ein im Internet erkennbarer, vorhandener Sabotage-Wille sich auch auf die Speicherung von E-Mails auswirken, also die Revisionssicherheit von E-Mails beeinflussen kann.

Vorfall aus eigener Kenntnis

Ein Unternehmen will ein angrenzendes Geschäftsgebiet sondieren und vereinbart dazu für einen begrenzten Zeitraum einen Beratervertrag mit einem Spezialisten.

Nach Abschluss des Vertrages bricht die Kommunikation ab. Eine E-Mail, welche die fachlichen und zeitlichen Erwartungen des Unternehmens nochmals zusammenfasst, bleibt unerwidert. Für ein akut anstehendes Sondierungsgespräch wird fachliche Unterstützung angefordert. Es erfolgt keinerlei Reaktion. Daraufhin wird der Beratervertrag gekündigt. Der Erhalt der Kündigung wird bedauernd bestätigt. Wochen später erreicht den Auftraggeber eine Rechnung über Beratungsdienstleistungen. Diese wird folgerichtig zurückgewiesen. Daraufhin schaltet der gekündigte Berater einen Anwalt ein und lässt vortragen, dass Beratungsdienstleistungen per E-Mail geleistet wurden. Zwar nicht die konkret abgeforderten, aber immerhin zum allgemeinen Umfeld des Vorhabens zu zählende Erörterungen werden dazu in Kopie von E-Mails vorgelegt.

Das Unternehmen bestreitet jedoch, diese E-Mails jemals erhalten zu haben. Das revisionssichere E-Mail-Archiv des Unternehmens wird zur Beweissicherung geöffnet. Es stellt sich heraus:

  • Die behaupteten E-Mails liegen im Archiv tatsächlich vor.
  • Die E-Mails sind definitiv nicht an den Adressaten weitergeleitet worden.
  • Die E-Mails lassen sich auch nachträglich nicht aus dem Archiv herunterladen.

Keine E-Mail im Postfach trotz Archivierung

Eine Beweissicherung dieses Sachverhaltes wird vorgenommen, wonach die E-Mails sich nicht aus dem Archiv herunterladen lassen. Der Archivierungsdienstleister wird eingeschaltet, er bestätigt den Sachverhalt.

Es entsteht ein Austausch unter den Rechtsanwälten des beauftragenden Unternehmens und dem gekündigten Berater, in welchem diesem angeboten wird, sich von der Richtigkeit des Vorgetragenen überzeugen zu können. Es wird darauf hingewiesen, dass der Berater seine E-Mails in einer Weise konfiguriert hat, welche die Unzustellbarkeit seiner E-Mails an den eigentlichen Empfänger nach sich zog, da diese im zwischengeschalteten Archiv hängenbleibt.

Es ist damit offensichtlich, dass sich das System der revisionssicheren E-Mail in der Weise manipulieren lässt, dass E-Mails zwar im revisionssicheren Archiv gespeichert werden, den Adressaten jedoch nicht erreichen.

Grenzen technischer Lösungen

Jede auf eine technisch absolut zuverlässige Lösung setzende, gesetzliche Forderung ist grundsätzlich problematisch. Der Umfang der beobachteten Manipulationen im Bereich der elektronischen Datenverarbeitung ist bekanntermaßen beträchtlich. Es ist erstaunlich, hiervon die revisionssichere E-Mail ausnehmen zu wollen, weil ein Gesetz dies fordert.

Der zur sicheren Archivierung Verpflichtete steckt damit in der Falle, weil von ihm die Unterhaltung eines Systems abverlangt wird, welches ggfs. auch jene Geschäftskorrespondenz dokumentiert, die ihn nie erreicht hat – womöglich nie erreichen sollte.

Auch die Frage einer Haftung durch den Archivierungsdienstleister ist problematisch. Ganz abgesehen von den möglichen Dimensionen eines Schadens, gegen den dieser sich versichern müsste: dieser kann ebenfalls zum Opfer eines fehlerhaften wenn nicht gar betrügerischen Vorgehens werden.

Insoweit darf man in solch einem Fall nicht auf die Aufklärung durch den Archivierungsdienstleister hoffen, der schadenersatzpflichtig ist oder aber das Überschreiten der technisch möglichen Grenzen von Archivierungssystemen einräumen müsste. Er kann das relevante Merkmal seiner Dienstleistung nicht garantieren.

Abgesehen davon, dass man zunächst bemerken/erahnen und dann noch nachweisen können muss, dass eine im Archiv dokumentierte E-Mail tatsächlich dem Adressaten gar nicht angezeigt wurde.

Fazit

Durch die Trennung von Archivierungs-System und System zur Anzeige der E-Mails (bspw. in einer Exchange-Umgebung) sind Fallgestaltungen möglich, bei denen aufgrund einer absichtlichen oder unabsichtlichen Manipulation der eingehenden E-Mail diese zwar im Archivierungs-System aufläuft, dem Empfänger aber nicht zur Anzeige gelangt.

Autoren:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter
Eckehard Kraska

Telefon: 089-1891 7360
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

Rechtsanwalt Dr. Sebastian Kraska

Über den Autor - Rechtsanwalt Dr. Sebastian Kraska

Herr Dr. Sebastian Kraska gründete die IITR Datenschutz GmbH, die auf den Bereich des betrieblichen Datenschutzes spezialisiert ist und als Anbieter von Datenschutz-Management-Systemen mehr als 2.500 Unternehmen bei der Bewältigung datenschutzrechtlicher Anforderungen unterstützt.

Herr Dr. Kraska selbst ist als Rechtsanwalt ausschließlich im Datenschutzrecht sowie gemeinsam mit Regionalpartnern als externer Datenschutzbeauftragter tätig und betreut dabei Unternehmen und Behörden. Er ist zudem Beirat der Zeitschrift ZD des Beck-Verlages.

Beitrag teilen:

4 Kommentare zu diesem Beitrag:

eDSB

Hallo,

es ergibt sich für mich noch eine Schwierigkeit:
Bei einer Schulung, die von einem Richter gehalten wurde, kam die Frage nach der E-Mail Archivierung auf. Er sagte, das diese überhaupt nicht umsetzbar sei, da die Kommunikation heutzutage meistens über personalisierte E-Mailadressen (z. B. vorname.nachname@domain.de) läuft und somitwie ein persönliches Telefonat anzusehen ist. Somit darf diese Kommunikation nicht gespeichert werden, da dies, auf das Beispiel mit dem Telefonat bezogen, einer gespeicherten Abhörung (Lauschangriff) gleichkommt.
Sie können sich sicherlich vorstellen, das wir alle in dieser Schulung ziemlich überrascht waren (und auch diejenigen, die erfahren haben, das hierbei selbst keine noch so gute IT-Policy hilft). Bei der Nachfrage, wann es denn gehen würde, kam die Antwort, das dies nur bei allgemeinen Adressen wie z. B. sekretariat@domain.de gehen würde.

Dr. Axel Belz

Ich halte die Auffassung des Richters für nicht zutreffend. Es ist richtig, dass häufig eine personalisierte E-Mailadresse verwendet wird. Das aber meines Erachtens nicht, weil jemand mit einem Kunden, Bürger, beruflichen Gesprächspartner ein privates Gespräch respektive einen privaten Kontakt pflegen möchte, sondern weil E-Mail ein schnelles und einfach zu handhabendes Kommunikationsmittel darstellt. Daher würde ich hier eher einen Vergleich mit einem Brief oder einer Postkarte ziehen, bei der - neben der Bezeichnung des Unternehmens etc.- durchaus üblich der Name des Gesprächspartners in der Empfängeranschrift erscheint. In diesen Fällen kommt doch auch niemand auf den Gedanken, dass derartige Schreiben nicht in Aktenordnern archiviert werden dürfen, weil in der Anschrift (auch) ein Personenname enthalten war.

Dr. H. Voe.

Genau wie Dr. A. B. (unter 2.) schreibt, habe ich es auch mal vor einiger Zeit in einem Rechtskommentar zu einem Urteil gelesen, in dem es um vom Benutzer gelöschte E-Mails ging, die hätten archiviert werden müssen. Mails an "Personenadressen@firma.de" wurden mit Geschäftsbriefen gleichgesetzt, auf die auch die Firma volles Zugriffsrecht hat.

Zum beschriebenen Fall: Es hätte mich mal aus technischer Sicht interessiert, in welcher Art und Weise der Berater seine E-Mails konfiguriert haben soll, dass dies die Ursache für das Problem gewesen sein soll.

Herr Dr. Kraska: Könnte dazu bitte noch eine Information ergänzt werden?

Kommentar schreiben:

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

https://www.iitr.de/blog/wp-content/uploads/2020/10/chatbot-load.png https://www.iitr.de/blog/wp-content/uploads/2020/10/loading.gif