Die häufigsten Stolpersteine bei der Archivierung von E-Mails

10. Was sollte eine Betriebsvereinbarung für die Mail-Archivierung enthalten?

Entscheidender Punkt ist hier die Erlaubnis zur Nutzung der Firmen-Mail-Adresse für private Kommunikation. Schon die SPAM-Filterung kann private Mail herausfiltern und so das im TMG (Telemediengesetz) geregelte Fernmeldegeheimnis durch Vorenthaltung der Informationen für den Arbeitnehmer verletzen. Eine Journal-Archivierung ist nicht möglich, da nicht ausgeschlossen werden kann, dass private E-Mails archiviert werden, auf die später aus Datenschutzgründen nicht zugegriffen werden kann. Eine automatische Qualifizierung in dienstlich und privat durch das Mail-Archiv ist nicht möglich und der Anwender hat ja keine Chance, private Mails vorher zu löschen (siehe auch die neuen Regeln bei der E-Mail-Archivierung).

Das Unternehmen möchte aber das Mail-System von SPAM und Viren bestmöglich befreien und Risiken durch Archivierung aller ausgetauschten E-Mail minimieren. Somit besteht ein Widerspruch zwischen dem aus Unternehmenssicht berechtigten Anliegen der Gefahrenabwehr und den Anforderungen der Endanwender aus Sicht des Datenschutzes.

Um beide Interessen zu berücksichtigen gestatten viele Firmen ihren Mitarbeitern die Mail-Nutzung per Browser über den privaten Mail-Account des Mitarbeiters, aber NICHT über den Mail-Account der Firma. Damit wird von vorneherein ausgeschlossen, dass private Mail in die Prozesse des Unternehmens (Spam-Filter, Verschieben in Quarantäne-Bereiche nach Finden bestimmter Begriffe, automatisches Archivieren etc.) einfließen. Das Unternehmen kann Mail-Accounts bei web.de oder gmx.de und vielen anderen sind kostenlos und daher für die privaten Belange der Mitarbeiter zumutbar. Die Empfehlung lautet hier: Weg von der privaten Nutzung mit Firmen-Account, hin zu privater Nutzung mit privatem Account und Browser-Zugang.

11. Was ist bei der Archivierung qualifiziert signierter E-Mails zu beachten?

Fast alle gängigen Mail-Clients erlauben eine digitale Signatur mit Hilfe von S/MIME, bei der der Text einer E-Mail einschließlich aller Anhänge signiert werden kann. Der Mail-Header wie beispielsweise Absender, Empfänger, Betreff, etc. ist davon ausgenommen, daher sind dort vorgenommene Änderungen nicht einfach per Prüfung feststellbar.

Eine Auftrennung der Mail-Komponenten oder Konvertierung z.B. In PDF bei einer Archivierung würde die Signatur brechen, daher empfiehlt sich die Speicherung als Containerformat (RFC 2822, eml, MSG, NSF, etc.), wenn man das Mail oder die Anhänge nicht bereits als signiertes PDF erhält. Vorher muss das Mail-Archiv eine Prüfung der Signatur vornehmen und das Ergebnis als Protokoll dokumentieren. Das Protokoll muss zum Zwecke der späteren Nachvollziehbar in Verbindung mit der signierten Mail gespeichert werden. Der Mail-Archiv-Client muss diese Information bei einer Recherche im Mail-Archiv neben der Ursprungs-Mail darstellen können.

Bei einer langfristigen Aufbewahrung signierter Mails sollte eine Lösung zum Nachsignieren von bereits signierten Mails oder Anhängen zur Verfügung stehen, falls Verschlüsselungsverfahren für unsicher erklärt werden und der Gesetzgeber eine Nachsignatur fordert.