Löschen leicht gemacht: Wann muss ich geschäftliche E-Mails löschen?
Wann muss ich geschäftliche E-Mails löschen? Und wie lange darf oder muss ich diese in meinem Postfach eigentlich aufbewahren?
Viele von uns haben im vergangenen Frühling den Frühjahrsputz zum Anlass genommen nicht nur das traute Heim gründlich zu wienern, sondern auch auf ihrem (virtuellen) Schreibtisch Platz zu schaffen. Dazu gehört unter anderem das Aufräumen des E-Mail-Postfachs. Und das freut auch den Datenschutzbeauftragten. Denn E-Mails sind aus Sicht des Datenschutzes bei einem betrieblichen Löschkonzept immer zu berücksichtigen, da sie in fast allen Fällen personenbezogene Daten enthalten. Fragen ergeben sich allerdings häufig zur richtigen Löschung von E-Mails mit geschäftlichem Inhalt (im Weiteren „geschäftliche E-Mails“):
- Wann handelt es sich um eine geschäftliche E-Mail?
- Wie und wie lange sind diese aufzubewahren?
- Worauf muss beim Löschen geachtet werden?
1. Was ist eine geschäftliche E-Mail und was nicht?
Als „geschäftlich“ angesehen werden muss im Prinzip jede Art elektronischer Post, die nicht rein privaten Zwecken dient. In vielen Unternehmen ist die private Nutzung des dienstlichen E-Mail-Postfachs ohnehin untersagt, sodass man davon ausgehen kann, dass dessen gesamter Inhalt geschäftlicher Natur ist. Damit finden regelmäßig die Vorschriften der DSGVO und des BDSG Anwendung auf die darin enthaltenen personenbezogenen Daten. Die Folge ist, dass hierfür ein Löschkonzept erstellt werden muss, denn personenbezogene Daten dürfen nicht unbegrenzt aufbewahrt werden, wie Art. 17 DSGVO vorgibt. Entsprechend sollte jeder Beschäftigte seine E-Mails in bestimmte Kategorien einteilen und zumindest ein grobes Löschkonzept in seinem Postfach umsetzen. Die wichtigsten Kategorien und Aufbewahrungsfristen sind dabei die folgenden.
Geschäftsbriefe
Bei Geschäftsbriefen handelt es sich um die Kommunikation mit Kunden, Lieferanten und anderen Geschäftspartnern, die die Vorbereitung, den Abschluss sowie die Durchführung und ggf. auch die Rückgängigmachung eines Geschäftes zum Gegenstand hat. Nur weil ein Geschäftsbrief in Form einer E-Mail versendet wird, so wie es heute die Regel ist, verliert er nicht seine Eigenschaft als solcher. Dazu zählen klassischerweise:
- Angebote,
- Auftrags- und Anfragebestätigungen,
- Bestell- und Lieferscheine sowie
- Rechnungen.
Bei der Überlegung, ob es sich bei einer E-Mail um einen aufbewahrungspflichtigen Geschäftsbrief handelt, ist es außerdem hilfreich, sich den Grund für die Aufbewahrungspflicht von Geschäftsbriefen vor Augen zu führen: Sie dienen als Nachweise für abgeschlossene Geschäftsvorgänge.
Sonstige geschäftliche Korrespondenz
Bei Korrespondenz, die nicht zum Abschluss eines Geschäfts geführt hat, z. B. nicht erfolgreiche Angebote, handelt es sich damit nicht um aufbewahrungspflichtige Geschäftsbriefe. Interner Schriftverkehr bezüglich eines Geschäftsvorfalls, der nicht für die externe Kommunikation gedacht ist, gehört ebenfalls nicht dazu.
Auch eine E-Mail, die nur als Begleitschreiben für einen Geschäftsbrief im Anhang dient, und für sich genommen keine weiteren geschäftlichen Informationen oder Ausführungen enthält, handelt es sich bei der E-Mail selbst nicht um einen Geschäftsbrief. Nur der Anhang muss als Geschäftsbrief aufbewahrt werden.
Bei sonstiger schriftlicher Kommunikation, die im Rahmen eines Geschäftsvorgangs erfolgt, sollte jeweils abgewogen werden, inwieweit diese dem Nachweis für das abgeschlossene Geschäft dienlich ist.
Das betrifft z. B. Korrespondenz bezüglich der Geschäftsanbahnung, Terminabsprachen, allgemeinen Hinweisen im Rahmen der Auftragsbearbeitung, und insbesondere Arbeitsergebnisse, wie Berichte, Begehungs-, Produktions- oder Besprechungsprotokolle, Schulungsunterlagen oder Teilnahmebescheinigungen.
Interne Abstimmungen zu Personalthemen, Bewerbungen, Arbeitsverträge, Richtlinie und ähnliche Dokumente haben ebenfalls geschäftlichen Charakter und sollten daher nicht einfach ohne ein Konzept gelöscht oder ewig aufbewahrt werden.
Nicht relevant in diesem Zusammenhang ist rein private Kommunikation. Soweit diese erlaubt ist, können Sie die Verabredung zum Mittagessen oder Feierabendbierchen einigermaßen sorglos behandeln.
2. Wie und wie lange sind geschäftliche E-Mails aufzubewahren?
Nach der DSGVO sind personenbezogene Daten dann zu löschen, wenn der zugrunde liegende Verarbeitungszweck erfüllt oder erloschen ist und keine gesetzlichen Verpflichtungen zur weiteren Aufbewahrung bestehen. Gerade letztere sind bei der Löschung von geschäftlichen E-Mails von Bedeutung:
Unter steuerlichen Gesichtspunkten sind empfangene und Wiedergaben der gesendeten Geschäftsbriefe für 6 Jahre aufzubewahren, § 147 AO. Die Aufbewahrungsfrist beginnt jeweils mit dem Schluss des Kalenderjahrs, in dem der Geschäftsbrief empfangen oder abgesandt worden ist.
Buchungsbelege, wie z. B. Rechnungen und Gutschriften, sind 10 Jahre aufzubewahren, allerdings bestenfalls außerhalb des E-Mail-Systeme, siehe auch weiter unten.
E-Mail-Entwürfe von Geschäftsbriefen sind dabei übrigens nicht aufbewahrungspflichtig, sofern diese nicht tatsächlich abgesandt wurden.
Um der steuerrechtlichen Aufbewahrungspflicht nachzukommen, muss ein digitales Original auch digital archiviert werden. Ein als E-Mail oder E-Mail-Anhang erhaltener Geschäftsbrief sollte demnach auch in dieser Form aufbewahrt werden und nicht etwa als Ausdruck.
Für sonstige geschäftliche E-Mails gelten gegebenenfalls andere Lösch- oder Aufbewahrungsfristen. So sollten die Unterlagen abgelehnter Bewerber ohne deren Einwilligung nicht länger als sechs Monate nach der Absage gespeichert werden. Ansonsten empfiehlt sich oft die Orientierung an der allgemeinen zivilrechtlichen Verjährung, also meist das Jahr des Geschäftsvorfalls plus weitere drei Jahre.
3. Worauf muss beim Löschen geachtet werden?
Aufgrund der unkomplizierten Möglichkeit E-Mails abzulegen und zu archivieren, gerät es leider häufig in den Hintergrund, diese fristgerecht aus Postfach-Ordnern und -Archiven auch wieder zu entfernen. Leider nutzen viele Beschäftigte ihr E-Mail-Postfach auch als zentrales Wissens-Management-Tool und Ablage, sodass dort oft Unmengen an Daten gespeichert werden. Zu Zeiten, als Geschäftsbriefe noch im Papierformat übersandt wurden und deren Aufbewahrung in Aktenordnern physischen Platz in Schränken und Büroräumen einnahm, waren sie viel präsenter. Allein dadurch bestand ein größeres Bewusstsein für die Notwendigkeit und vor allem ein Interesse an einer fristgerechten Entsorgung.
Sensibilisierung und Struktur
Ein erster wichtiger Schritt ist es also, im Unternehmen die Mitarbeiter für die Erforderlichkeit einer fristgerechten Löschung von geschäftlichen E-Mails zu sensibilisieren. Auch wenn die E-Mails an sich doch niemandem im Weg stehen.
Dann sind die potenziellen Ablageorte zu identifizieren. Die Möglichkeit der unproblematischen Vervielfältigung der E-Mails trägt dazu bei, dass sie an beliebig vielen Orten gespeichert werden können. So ist neben dem E-Mail-Konto z. B auch an Kundenmanagement-Systeme und Back-ups zu denken und vielleicht wurde die ein oder andere E-Mail doch zusätzlich ausgedruckt und abgeheftet. Schaffen Sie zentrale und leicht umsetzbare Vorgaben, damit Mitarbeiter gar nicht auf die Idee kommen, E-Mails zu horten.
Grundsätzlich sollte vor jedem Löschen ein Konzept erarbeitet werden, wonach eingehende geschäftliche E-Mails an zuvor definierten Speicherorten außerhalb des E-Mail-Systems abgelegt werden. Denkbar wären bspw. Vertrags- oder Projektmanagement-Anwendungen oder die Ablage des Rechnungswesens. Nachrichten und Dokumente zu einem geschäftlichen Ablauf sollten auch an einem Ort gesammelt werden. So kann sichergestellt werden, dass am Ende der Aufbewahrungsfrist nur an einem Speicherort gelöscht werden muss und keine E-Mails übersehen werden. Schriftliche Prozessanweisungen können dabei helfen, den Mitarbeitern einen Überblick über Speicherorte und Ordnerstrukturen zu geben.
Elektronische Helfer
Bei der (vorübergehenden) E-Mail-Ablage in Ordnern des E-Mail-Kontos kann die Einrichtung einer automatischen Löschfunktion für individuell angelegte Ordner bei der Bewältigung des Löscherfordernisses zusätzlich eine Hilfe sein. Hierfür sind die einzelnen Ordner unter Berücksichtigung der gesetzlichen Aufbewahrungsfristen mit der jeweils passenden Löschfrist zu versehen. Dabei empfehlen wir dringend die Integration eines derartig automatisierten, aber auch eines manuellen E-Mail-Löschkonzepts in ein umfassenderes Löschkonzept der IT-Abteilung. Dies kann aber auch jeder Beschäftigte selber einrichten. Microsoft Outlook z. B. bietet die Möglichkeit, E-Mails zu klassifizieren, oder einzelne Ordner mit Löschregeln zu versehen. Möglich ist auch, diese Vorgaben per Gruppenrichtlinie umzusetzen.
Wir empfehlen die Etablierung eines sich wiederholenden „Löschtages“ im Betrieb, an welchem die Beschäftigten an das Thema erinnert werden und Unterlagen zur einfachen Umsetzung der gesetzlichen Pflichten erhalten bzw. in kurzen Online-Meetings geschult werden.
Fazit: Löschen ist machbar, erfordert aber ein Konzept
Wann muss ich geschäftliche E-Mails löschen?
Geschäftliche E-Mails enthalten oft sensible Informationen. Das können – zusätzlich zu den personenbezogenen Daten – vertrauliche Geschäftsdaten, Vertragsdetails oder finanzielle Informationen sein. Daher ist es wichtig, geschäftliche E-Mails 1. sicher aufzubewahren und 2. fristgerecht zu löschen. So können Sie sicherstellen, dass die Daten lange genug, aber nicht zu lange gespeichert werden. Das Risiko für die Bildung von umfangreichen, speicherfressenden „Datenzombies“ und auch von Datenschutzverletzungen wird dadurch minimiert.
Falls Sie Unterstützung bei der Erstellung und Umsetzung eines Löschkonzepts und der Etablierung eines Prozesses hierzu benötigen, sind wir Ihnen hierbei gerne mit unserer Expertise sowie bewährten Hilfsmitteln und Vorlagen behilflich. Auch mit gezielten Fragen zu einzelnen Sachverhalten, gesetzlichen Vorgaben und der richtigen Vorgehensweise, können Sie sich gerne an uns wenden.
Abonnieren Sie auch gerne unseren Newsletter, um über aktuelle und wiederkehrende Themen des Datenschutzes informiert zu sein.