DSGVO und Mailarchivierung: Von Pulverdampf und Nebelkerzen [Update]
Unwissenheit und Angst sind schlechte Berater. Meist vernebeln sie den Blick auf das Wesentliche. In den letzten Wochen wirbelt die DSGVO (also die neue Datenschutzgrundverordnung der Europäischen Union, die am 25. Mai 2018 in Kraft tritt) eine ganze Menge Staub auf.
Sicher, durch die DSGVO wird sich im Datenschutzrecht einiges ändern. Leider herrscht aber auch viel Konfusion, was die DSGVO denn konkret für die Archivierung von E-Mails bedeutet. Und leider nutzen (wie damals, als es Ende 2016 um die Einführung der GoBD ging) Marktteilnehmer die Unwissenheit vieler dazu, mit Halbwahrheiten Marketing für Produkte und Leistungen zu machen.
Pulverdampf und Nebelkerzen
Wird von DSGVO oder gar DSGVO-konformen Produkten gesprochen, rückt dies auch zusehends Lösungen für die E-MailArchivierung wie Benno MailArchiv in den Fokus des Betrachters. Glaubt man den überall auftauchenden Aussagen, müsse es ab dem 25. Mai 2018 möglich sein, E-Mails aus dem Mailarchiv zu löschen. Schließlich definiert die DSGVO das sogenannte “Recht auf Vergessenwerden”. Und danach sei es dann eben unbedingt erforderlich, dass Mails gelöscht werden können. Schließlich sei das ja gesetzlich dann so vorgesehen.
In der Tat definiert der Artikel 17 der DSGVO das “Recht auf Löschung”, umgangssprachlich auch das “Recht auf Vergessenwerden” genannt. So heißt es ebenda
“Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft: […]”
Es folgen mehrere Gründe, unter welchen Umständen eine Löschung vorzunehmen ist.
Damit scheint ja alles klar zu sein! Die DSGVO definiert das Recht auf Vergessenwerden. Und damit müssen Daten (im Falle der Mailarchivierung also die E-Mails von Betroffenen) gelöscht werden. Punkt.
So jedenfalls sehen es wohl die meisten Zeitgenossen. Aber ist es wirklich so einfach?
Klarheit statt nebulöser Informationen
Uns erreichen immer wieder Anfragen besorgter Kunden und Interessenten, ob Benno MailArchiv denn DSGVO-konform sei. Wie man denn Mails in Benno MailArchiv löschen kann usw.
Die gesamte Situation hat eine nicht unerhebliche Tragweite. Um hier wirkliche Klarheit zu bekommen, haben wir uns des Themas zusammen mit den Datenschutzexperten und TÜV-geprüften Datenschutzbeauftragten der DSO Datenschutz Osnabrück GmbH angenommen. Dabei ist Interessantes heraus gekommen:
DSGVO kontra GoBD
Würde man E-Mails aus dem Mailarchiv löschen, könnte das in Bezug auf die DSGVO richtig und erforderlich sein. Allerdings stellt dies dann zwangsläufig einen Verstoß gegen die GoBD dar. Das Archiv wäre durch die Löschung in seiner Gesamtkonsistenz beschädigt.
Mailarchivierung nach dem alten Datenschutzrecht (BDSG, gültig bis 24.05.2018)
Im Falle von Löschanforderungen ist es Stand des alten (und z.Z. noch gültigen) Datenschutzrechts ausreichend, wenn man in Benno MailArchiv einen Filter setzt, mit dem E-Mails mit betroffenen Inhalten von der Suche ausgeschlossen werden. Kein Anwender kann mittels eines in Benno MailArchiv eingerichteten und systemweit gültigen Filters entsprechend blockierte E-Mails mehr finden. Der Zugriff ist dauerhaft blockiert, obwohl die betroffenen Mails weiterhin archiviert vorliegen. Die Gesamtkonsistenz des Archivs bleibt dabei unbeeinträchtigt.
Mailarchivierung nach dem neuen Datenschutzrecht (DSGVO, gültig ab 25.05.2018)
Ob die vorgenannte Möglichkeit der Sperrung von Mails künftig (also nach DSGVO) ausreichend sein wird, ist Stand heute unklar. So teilten uns die Experten der DSO Datenschutz Osnabrück GmbH bspw. mit, dass selbst die bundesdeutschen Landesdatenschutzbehörden mangels Klarheit der Sachlage hierzu z.Z. keine verbindliche Auskunft erteilen. Alle Äußerungen, die von diesen Stellen zu erhalten sind, sind bis heute private Meinungen der Mitarbeiter der Behörden, jedoch keine offiziellen Statements.
Insofern ist es gegenwärtig zumindest denkbar, dass eine Löschfunktion in Benno MailArchiv erforderlich werden könnte. Bis dato ist die Erfordernis jedoch unklar.
Es könnte auch sein, dass das X-sen (also Ersetzen relevanter Daten durch XXX oder ***) ausreicht, um den Anforderungen der DSGVO gerecht zu werden. Es kann aber auch sein, dass nur das tatsächliche Löschen hinreichend ist. Genaues hierzu wissen selbst die Landesdatenschutzbehörden offenbar bisher noch nicht und erteilen daher bis heute keine diesbzgl. verbindlichen Auskünfte.
Auswirkungen der GoBD auf die Mailarchivierung
Wenn man (wie oben beschrieben) löschend oder manipulierend in das E-Mail-Archiv eingreift, könnte das nach DSGVO erforderlich sein. Jedoch könnte die Finanzverwaltung ihrerseits darin einen GoBD-Verstoß sehen. Damit wäre die Mailarchivierung (aus Sicht der GoBD) dann kompromittiert.
Ob und wie die DSGVO und die GoBD hier in Einklang zu bringen sind bzw. wie die diesbzgl. Rechtslage aussieht, ist Stand heute offensichtlich unklar. Verbindliche Auskünfte sind nach unseren Informationen momentan nicht zu erhalten.
Löschen oder nicht löschen? Das ist hier die Frage.
Sofern Sie von der Frage einer konkreten Maillöschung betroffen sein sollten, entscheiden Sie selbst, wie Sie in dieser Angelegenheit verfahren wollen. LWsystems gibt als Hersteller von Benno MailArchiv hierzu bis auf weiteres ausdrücklich keine Empfehlung ab.
Bezogen auf Benno MailArchiv bedeutet das, dass wir selbstverständlich eine DSGVO-konforme Löschfunktion anbieten werden, sollte die DSGVO tatsächlich das Löschen von E-Mails erzwingen und dies dabei mit den GoBD kompatibel sein. Davon unbenommen wird die Möglichkeit zum Blockieren bestimmter Mails durch Blacklisting selbstverständlich bestehen bleiben, ebenso wie bisherige Löschmöglichkeiten, die in besonderen Einzelfällen angewendet werden können.
Das Problem sich widersprechender bzw. nicht in Einklang zu bringender Rechtsgrundlagen stellt sich nach unserer Einschätzung nicht nur bei der DSGVO dar. Insofern wird mit der DSGVO und möglichen Konsequenzen wieder einmal eine “aktuelle” Sau durchs Dorf getrieben, die unsagbar viel Staub aufwirbelt, wohingegen die Praxis der Umsetzung noch gar nicht hinreichend geklärt ist.
[Update 22.11.2018]
Die Frage, wie GoBD und DSGVO bzw. das Thema “Aufbewahrungspflicht” (GoBD) und “Löschen von Mails” (DSGVO) in Einklang gebracht werden können, führt immer wieder zu Diskussionen mit Kunden und Interessenten.
Selbst die Datenschützer großer Unternehmen und Konzerne vertreten dazu teilweise unterschiedliche Standpunkte, wie wir in Gesprächen mit Kunden und Interessenten feststellen konnten: Während die einen die Auffassung vertreten, dass das dauerhafte Archivieren (bzw. “Nicht-Löschen”) von E-Mails mit personenbezogenen Inhalten durch die GoBD abgedeckt bzw. die GoBD vorrangig vor der DSGVO sei, gehen andere von der Position aus, dass keine Rechtsgrundlage für die dauerhafte Archivierung von E-Mails mit personenbezogenen Inhalten gegeben sei, das Löschen folglich möglich sein und durchgeführt werden müsse.
Nach den uns vorliegenden Informationen ist es jedoch offenbar noch nicht rechtlich geklärt, ob die GoBD im Sinne eines “berechtigten Interesses an der Aufbewahrung” so ausgelegt werden können oder müssen, dass nicht gelöscht wird oder ob das Gegenteil der Fall ist, und E-Mails mit personenbezogenen Inhalten gelöscht werden dürfen bzw. müssen.
Wir werden dieses Thema weiterverfolgen und hier darüber informieren. Selbstverständlich werden wir Benno MailArchiv den rechtlichen Rahmenbedingungen entsprechend anpassen, soweit dies erforderlich sein oder werden sollte. Z.Z. so scheint es, ist die Frage des Löschens von E-Mails offenbar noch nicht abschließend geklärt.
Auswirkungen der DSGVO auf Benno MailArchiv
Soweit die Rechtslage Änderungen oder Neuerungen in Benno MailArchiv erforderlich machen sollte, um weiterhin die Konformität bzgl. GoBD und/oder DSGVO sicherzustellen, werden wir diese Anpassungen selbstverständlich in angemessener Form umsetzen. Kunden mit gültiger Software Maintenance Subskription sind dabei auf der sicheren Seite, da sie jederzeit die Möglichkeit haben, ihre Installation auf die aktuellste Benno MailArchiv Version zu aktualisieren. Ihnen werden damit alle etwaigen Anpassungen und Erweiterungen unmittelbar zur Verfügung stehen.
Alle hier gemachten Aussagen stellen keine Rechtsberatung dar, da wir zur Rechtsberatung standesrechtlich weder befugt noch fachlich in der Lage sind.