"Die rechtlich zwingende Archivierung von e-Mails - was sollte durch eine IT-Betriebsvereinbarung geregelt werden?"

von RA Max-Lion Keller, LL.M. (IT-Recht), 04.10.2007, 13:08 Uhr

Nachfolgend veröffentlicht die IT-Recht Kanzlei einen Vortrag, den RA Max-Lion Keller, LL.M. (IT-Recht) kürzlich auf dem Starnberger IT-Forum gehalten hat. In ähnlicher „Mission“ ist Herr Keller übrigens auch wieder am 08.10.07 unterwegs – diesmal auf der „IBM – Softsphere Konferenz“ in Frankfurt.


Sehr geehrte Damen und Herren,

ich freue mich, Ihnen heute ein wenig über das Thema „Rechtliche Rahmenbedingungen der Archivierung von E-Mails“ erzählen zu dürfen. So sperrig die Überschrift des Themas auch klingen mag, ich verspreche Ihnen, dass ich versuchen werde, meinen Vortrag möglichst kurzweilig und interessant zu halten.

Kurz zu Beginn ein paar Informationen zu meiner Person: Mein Name ist Max-Lion Keller, ich bin Rechtsanwalt und Partner der IT-Recht Kanzlei, die ihren Sitz in München hat. Die IT-Recht Kanzlei konzentriert sich ausschließlich auf das IT- Marken- sowie Vergaberecht, wobei ich mich unter anderem mit dem Wettbewerbsrecht und auch dem Urheberrecht beschäftige. Ein weiterer Schwerpunkt meiner anwaltlichen Tätigkeit betrifft dabei die rechtliche Beratung von Unternehmen hinsichtlich der folgenden drei Bereiche, nämlich

• dem IT-Lizenzmanagement,
  
• der IT-Security sowie
  
• dem rechtlichen Risikomanagement.
  

Gerade die letzten drei Themen, die sehr viel mit Vorsorge zu tun haben, werden immer noch von vielen Unternehmen eher stiefmütterlich behandelt, ja mitunter gar ignoriert und ich darf Ihnen verraten, dass gerade diese Nachlässigkeit bereits sehr viele Leuten sehr viel Geld gekostet hat. Dieser unheilvolle Zustand konnte nun auch dem Gesetzgeber nicht entgehen, der sich dann letztendlich aufraffte und ein ganzes Bündel von Gesetzen und Maßnahmen verabschiedete, um damit „dem inneren Schweinehund eines jeden Unternehmens“ endlich beizukommen.

Das selbst gesteckte Ziel des Gesetzgebers ist dabei nicht weniger als den Unternehmer mittels einer ganzen Reihe von gesetzlichen Bestimmungen, Verordnungen wie auch Richtlinien zu einem gewissenhaften Risikomanagement, also dem planvollen Umgang mit unternehmerischen Risiken zu „erziehen“ – ob der Unternehmer will oder nicht.

Von dieser „Erziehung“ ist nun auch das Thema „E-Mail Archivierung“ umfasst, welches als ein Teilaspekt des IT-Risikomanagements verstanden wird und gerade aufgrund der vielen neuen rechtlichen Vorgaben in den letzten Jahren für viel Verwirrung und Rechtsunsicherheit gesorgt hat und zwar auf beiden Seiten – sowohl der Arbeitnehmerschaft, als auch auf Seiten der Arbeitgeber.

Verunsicherung auf Seiten der Arbeitgeber:

Um nur drei Beispiele zu nennen:

--> Welche gesetzlichen Vorgaben gibt es im Zusammenhang mit der E-Mail Archivierung? Muss man diese tatsächlich ernst nehmen? Falls ja, welche Mails müssen wie lange gespeichert werden? Ist es möglich, der Einfachheit halber einfach alle Mails speichern, die sich auf den betrieblichen Servern befinden – also unter Umständen auch private Mails der Mitarbeiter?

--> Stichwort: Ausnahmslose zentrale Speicherung aller privaten Mails der Mitarbeiter.

Dies verträgt sich nicht wirklich mit dem Datenschutzrecht. Ist es von daher nicht sinnvoll, einfach von vornherein die private Nutzung der betrieblichen Kommunikationseinrichtungen der Mitarbeiter komplett zu unterbinden? Das private Surfen, Mailen und Chatten etc. der Mitarbeiter ist ja sowieso vielen ein Dorn im Auge, da es den Unternehmen auf den ersten Blick nur Nachteile mit sich bringt, wie etwa,

• dass in betriebswirtschaftlicher Hinsicht unerwünschte Kosten produziert werden.
  
• dass die Nettoarbeitzeit ohne Einverständnis des Arbeitgebers reduziert wird.
  
• dass das Unternehmen auf einmal zum Telekommunikationsanbieter wird und sich entsprechend mit den einschlägigen Bestimmungen (insbesondere das TKG) rumzuschlagen hat.
  
• dass das private Surfen der Mitarbeiter auch negative Auswirkungen auf die IT-Sicherheit haben kann, z.B. durch das Downloaden schadensstiftender Software oder gar strafbarer Inhalte auf die unternehmenseigenen Server.
  
• etc. etc.
  

--> Selbst wenn man sich dazu entschließt, den Umgang mit den betriebseigenen Kommunikationseinrichtungen regeln zu wollen. Wie macht man das? Was gilt etwa in Betrieben, in denen seit Jahren das private Surfen im Internet durch die Mitarbeiter zur täglichen Übung gehört? Kann man dies nun so einfach unterbinden? Ist hier ein Komplettverbot überhaupt noch möglich? Welche Regelungsmöglichkeiten bzw. -alternativen gibt es hier? Hat man etwa auch den Betriebsrat einzubeziehen und wie kann das Surfverhalten der Mitarbeiter kontrolliert werden?

• Weitere Artikel
  zum Thema
• Anmeldung zum
  IT-Recht Newsletter
• Online-Nutzung unserer
  Beiträge und Linksetzung