Wie wirkt sich die DSGVO auf die Aufbewahrung von E-Mails aus?

Der 25. Mai rückt immer näher – und mit diesem Datum wird vielen Unternehmen wieder bewusst dara zu denken, ob und wie gut Sie auf die kommenden DSGVO- Richtlinien und Vorschriften vorbereitet sein werden.

Da es sehr viele Elemente zu berücksichtigen wird ein sehr wichtiger Part aber häufig übersehen: Bereich, die E-Mail. Wie sollten und müssen Unternehmen in Zukunft mit den gespeicherten persönlichen Daten umgehen bzw. wie können Sie die weitere Speicherung und Nutzung dieser Daten zukünftig legitimieren, wenn die DSGVO in Kraft tritt. Und Müssen Unternehmen Änderungen an bestehenden E-Mail-Aufbewahrungsrichtlinien vornehmen?

Abgesehen von den in der DSGVO festgelegten rechtlichen Verpflichtungen gibt es tatsächlich viele andere Gründe für Unternehmen, ihre E-Mail-Aufbewahrungsrichtlinien zu aktualisieren, wie z. B. die Kosten für die Speicherung und die System-Leistung.

In diesem Artikel zeigen wir Ihnen, warum Sie Ihre Richtlinien zur E-Mail-Aufbewahrung aktualisieren sollten. Außerdem weisen wir Sie auf einige Bereiche hin, die Sie bei der Überarbeitung Ihrer aktuellen Prozesse unbedingt berücksichtigen sollten.

Wie wirkt sich die DSGVO auf die Aufbewahrung von E-Mails aus?

Wenn die Datenschutz-Grundverordnung eingeführt wird, wird es prinzipiell keine überraschenden Änderungen geben, wenn es um die Verarbeitung und Speicherung aller Arten von Daten geht, nicht nur um E-Mails. Es ist wahrscheinlich, dass die meisten nationalen Gesetze denen im Rahmen der DSGVO bereits sehr ähnlich sind. Vor allen Dingen sollten auch bisher schon Informationen nur so lange gespeichert werden, wie es notwendig ist, und es sollten Schritte unternommen, um Daten sicher zu zerstören, sobald Aufbewahrungsfristen zu Ende gingen bzw. das Lebensende der Datenträger erreicht war.

Auch im heute gültigen Datenschütz in Deutschland steht, dass "personenbezogene Daten, die für einen bestimmten Zweck oder Zwecke verarbeitet werden, nicht länger aufbewahrt werden dürfen, als dies für diesen Zweck oder für diese Zwecke erforderlich ist."

Da wir – außer bei wenigen Ausnahmen im rechtlichen oder medizinischen Bereich, meist nicht genau angegeben, wie lange Daten aufbewahrt werden sollen. Es werden jedoch einige bewährte Vorgehensweisen hervorgehoben, die Unternehmen bei der Erstellung einer Richtlinie zur Datenaufbewahrung beachten sollten, die direkt auf E-Mails angewendet werden sollte. Dazu gehört die Beurteilung, wie lange personenbezogene Daten aufbewahrt werden, warum sie verwendet werden und wie sie entsorgt werden sollten.

Mit der DSGVO können wir erwarten, dass die Richtlinien ähnlich bleiben, allerdings werden die Geldstrafen für Nichteinhaltung viel höher sein, als sie derzeit auf nationaler Ebene sind. Viele Länder hatten in der Vergangenheit so gut wie nie die höchsten verfügbaren Geldstrafen verhängt, aber die neuen Geldbußen sollen Unternehmen mit veralteten Datenschutz-Praktiken nun noch stärker abschrecken.

Archivierung von E-Mails und Aufrechterhaltung des Zugriffs

Aufgrund der verschiedenen Optionen zur Datenspeicherung und der Tatsache, dass viele Unternehmen häufig eine Mischung aus Speicherlösungen verwenden, kann das Suchen und Zugreifen auf archivierte E-Mails für einen Exchange-Administrator eine immense Aufgabe sein. Dies wird besonders schwierig, wenn die E-Mails auf älteren Bandmedien gesichert wurden. Eines der Probleme, die mit Bandmedien verbunden sind, hängt direkt mit seinen Hauptstärken zusammen: seiner Langlebigkeit.

Es eignet sich zwar hervorragend für die langfristige Archivierung von Archivdaten, stellt aber auch eine Herausforderung dar, wenn es darum geht, die Zugänglichkeit über große Zeiträume hinweg aufrechtzuerhalten. Bei der Überprüfung einer E-Mail-Aufbewahrungsrichtlinie sollten Unternehmen berücksichtigen, auf welchen Bandtypen Daten gespeichert werden und welche Sicherungssoftware verwendet wird. Es kommt häufig vor, dass Organisationen in Situation kommen, in denen Software-Lösungen, Bandlaufwerke ausfallen oder die Bänder selbst beschädigt werden und die Daten unzugänglich werden. Bei der Überprüfung der Datenspeicher, die für die Aufbewahrung von E-Mails verwendet werden, sollten Unternehmen daher sicherstellen, dass ihre Lösungen entsprechend zukunftssicher gehalten werden.

Unternehmen sollten sich auch genau darüber im Klaren sein, welche Daten auf jedem einzelnen Band vorhanden sind. Dies kann zur Herausforderung werden, wenn der Bandstatus auf mehrere Bandtypen, Backup-Softwarepakete verteilt ist und keine Kataloge vorhanden sind. Wenn Sie nicht sicher sind, welche Daten Sie haben oder wo genau sie sich befinden, lohnt es sich, Zeit zu investieren und sich einen Überblick zu verschaffen. Damit Sie für den Fall gut vorbereitet sind, wenn archivierte Informationen gesucht, wiederhergestellt oder auch gelöscht werden sollen.  Wenn Sie wissen, welche Daten auf Ihren Bändern gespeichert sind, können Sie veraltete Daten sicher löschen und dadurch hohe Kosten und Speicherplatz sparen. Schließlich sind Enterprise-Datenspeicherlösungen nicht billig!

E-Mails dauerhaft löschen

Wir haben kürzlich einen Blogpost darüber veröffentlicht, warum das Löschen von Daten für die DSGVO von Bedeutung ist, und wir empfehlen dringend, diesen zu lesen, wenn Sie sich dessen nicht bewusst sind. Es gibt viele Gründe, warum es wichtig ist – besonders auch im Rahmen der DSVGO –Daten rechtzeitig, sicher und endgültig zu löschen. Einer der Hauptgründe für das sichere Löschen von E-Mail-Daten besteht darin, Datenveruntreuung zu verhindern. Gerade in größeren Unternehmen können sich in kürzester Zeit riesige Mengen an E-Mail-Daten ansammeln, was manchmal ein Hauptangriffspunkt für Hacker sein kann. Mehr Daten bedeutet immer auch ein Mehr an Risiko, daher hilft die Verwendung einer sicheren Löschmethode, das Risiko des Durchsickerns sensibler archivierter Informationen zu mindern. Auch Ihre Datenspeichergeräte werden es Ihnen danken, da Dadurch wieder wertvoller Speicherplatz frei wird, den Sie anderswo zuweisen können.

Darüber hinaus müssen die Unternehmen im Rahmen der DSGVO der Aufforderung zur Löschung von personenbezogenen Daten gemäß Artikel 17 – dem „Recht vergessen zu werden“ nachkommen. Dies erfordert, dass Unternehmen sämtliche Daten sicher und endgültig löschen, sobald sie das Ende ihrer nutzbaren Lebensdauer erreicht haben oder wenn eine betroffene Person die Löschung verlangt. Wenn in Ihrer Organisation keine zertifizierte und überprüfbare Methode vorhanden ist, sollten Sie zunächst Ihre Möglichkeiten prüfen und diese als Teil Ihrer neuen Aufbewahrungsrichtlinie implementieren.

Erstellen einer neuen E-Mail-Aufbewahrungsrichtlinie

Wenn Sie für Ihr Unternehmen eine neue E-Mail-Aufbewahrungsrichtlinie erstellen, sollten Sie sich alle Punkte miteinbeziehen, die in diesem Artikel bereits behandelt wurden. Aber achten Sie darauf auch wirklich die Punkte einzubeziehen, die für Ihr Unternehmen am wichtigsten sind. Denn der eigentliche Wert für Ihr Unternehmen liegt darin, dass Sie etwas erstellen, das genau Ihren Anforderungen entspricht und Ihre Herausforderungen meistern kann. Hier finden eine kurze Zusammenfassung der genannten Punkte:

• Beschränken Sie die Speicherung von E-Mails in aktiven Posteingängen auf einen bestimmten Zeitraum und halten Sie ein gewisses Limit für die Postfachgröße ein

•  Archivieren Sie E-Mails, die das vorher festgelegte Zeitlimit überschreiten. Stellen Sie jedoch sicher, dass die gespeicherten Emails immer noch leicht zu durchsuchen und zugänglich sind. Definieren Sie ein finales Zeitlimit für Daten, die ab einem bestimmten teitpunkt ausgemustert warden sollen

• Löschen Sie alle E-Mails, die dieses Zeitblimit überschreiten, mit einem zertifizierten, professionellen Tool, das auch eine Löschdokumentation zur späteren Überprüfung ermöglicht

• Informieren Sie die Benutzer über die Richtlinien und stellen Sie sicher, dass sie diese auch einhalten- Überprüfen Sie die Richtlinien fortlaufend und testen Sie regelmäßig den Zugriff auf archivierte Daten

Aber bedenken Sie, dass nicht nur eine neue Richtlinie wie die DSGVO eine Voraussetzung für eine neue E-Mail-Aufbewahrungsrichtlinie sein sollte. Dies sollte von Ihrem Unternehmen ohnehin regelmäßig überprüft werden, um sicherzustellen, dass sie nicht nur hinsichtlich der Regulierung aktuell ist, sondern auch in Bezug auf die Technologie, Benutzerfreundlichkeit oder Änderungen der Geschäftsanforderungen bei der Verarbeitung dieser Daten.

Was die DSGVO selbst betrifft, gibt es keinen genauen Wortlaut dafür, wie lange die Unternehmen ihre E-Mails behalten sollten. Daher ist es Aufgabe der Organisationen, ihre eigenen individuellen Strategien zu entwickeln und zu zeigen, dass eine Methodik entsprechend umgesetzt wurde.

Die Adressierung wichtiger Bereiche der E-Mail-Aufbewahrung, einschließlich derjenigen in diesem Beitrag, ist ein guter Anfang für Unternehmen, um den Aufsichtsbehörden (und möglicherweise Kunden) zu zeigen, dass sie weiterhin das Richtige tun, wenn es um E-Mails und und den Schutz persönlicher Daten geht.