Datenschutzrechtliche Verantwortung nach DSGVO

E-Mails enthalten häufig personenbezogene oder geschäftskritische Informationen: Kontaktdaten, Rechnungen, Bewerbungen, Gesundheitsinformationen oder interne Absprachen. Sobald solche Daten verarbeitet werden, greifen die Anforderungen der Datenschutz-Grundverordnung (DSGVO).

Artikel 5 und Artikel 32 der DSGVO fordern ausdrücklich:

• Vertraulichkeit und Integrität der Datenübertragung
• Schutz vor unbefugtem Zugriff, Verlust oder Veränderung
• „angemessene technische und organisatorische Maßnahmen“ zur Risikominimierung
• Nachweisbarkeit dieser Maßnahmen gegenüber Behörden

Für Unternehmen bedeutet das: Jede E-Mail mit personenbezogenen Daten muss ausreichend geschützt sein – insbesondere bei Übertragung über das Internet. Das betrifft sowohl Inhalt als auch Metadaten wie Absender, Empfänger und Zeitstempel.

Archivierungspflichten nach Handels- und Steuerrecht

Auch unabhängig vom Datenschutzrecht gelten für viele E-Mails gesetzliche Aufbewahrungspflichten. Nach den Vorschriften des Handelsgesetzbuchs (§ 257 HGB) und der Abgabenordnung (§ 147 AO) müssen bestimmte Inhalte zwischen 6 und 10 Jahren revisionssicher gespeichert werden – z. B.:

• Angebote, Auftragsbestätigungen, Lieferscheine
• Rechnungen, Zahlungsnachweise
• Vertragskommunikation
• Geschäftliche Korrespondenz

Diese Pflicht gilt unabhängig vom Medium – auch für elektronische Post. Um diese rechtssicher zu erfüllen, sind spezielle Archivierungssysteme notwendig, die Veränderungen ausschließen (WORM-Technologie), Volltextsuche erlauben und die Originalstruktur bewahren.

Beweislast und Dokumentationspflichten

Ein zentraler Punkt im Rahmen der DSGVO ist die Beweislastumkehr: Im Fall einer Prüfung oder eines Sicherheitsvorfalls muss nicht die Behörde den Verstoß nachweisen, sondern das Unternehmen seine Unschuld belegen. Dazu gehört:

• die Dokumentation aller getroffenen Maßnahmen
• die Protokollierung von Zugriffen und Änderungen
• der Nachweis über Schulungen und technische Konfigurationen
• das Vorhalten von Richtlinien und Anweisungen

Wer keine belastbaren Nachweise liefern kann, riskiert empfindliche Bußgelder – bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes gemäß DSGVO.

Rechtssicherheit als Wettbewerbsfaktor

Rechtliche Sicherheit ist nicht nur eine Pflicht, sondern zunehmend auch ein Wettbewerbsvorteil. Kunden, Partner und öffentliche Auftraggeber achten zunehmend darauf, dass Datenschutz- und Sicherheitsvorgaben eingehalten werden – etwa durch:

• ISO-Zertifizierungen (z. B. ISO 27001)
• interne oder externe Datenschutz-Audits
• vertragliche Verpflichtungen zur sicheren Kommunikation

Ein transparenter und professioneller Umgang mit E-Mail-Sicherheit zeigt Verantwortungsbewusstsein – und kann entscheidend sein für die Vergabe von Aufträgen, die Zufriedenheit von Kunden oder die Risikobewertung durch Versicherer.