Private E-Mail: Herausforderung für IT-Compliance
Gestattet ein Unternehmen seinen Mitarbeitern grundsätzlich die private Nutzung der dienstlichen E-Mail-Systeme, dann wird es vor dem Gesetz zum TK-Anbieter. In diesem Fall kommen das Bundesdatenschutzgesetz (BDSG) sowie das Telekommunikationsgesetz (TKG) zum Tragen und das Unternehmen muss das Fernmeldegeheimnis wahren.
Erkennbar private E-Mails dürfen, auch wenn der Arbeitgeber das Versenden und Empfangen privater E-Mails verboten hat, im Normalfall nicht gelesen werden. Gleiches gilt natürlich, wenn die Privatnutzung erlaubt ist. In diesem Fall darf der Arbeitgeber normalerweise nicht einmal die Verbindungsdaten aufzeichnen. Daher sollten die Arbeitnehmer bei ihren Kommunikationspartnern darum bitten, dass an sie gerichtete private E-Mails im Betreff deutlich mit ‘privat’ gekennzeichnet werden. Ausgehende private E-Mails sollten natürlich in gleicher Weise gekennzeichnet werden. Damit sind sie ausdrücklich vor unerwünschter Einsichtnahme durch den Arbeitgeber geschützt.
Für die meisten Unternehmen gilt auf jeden Fall: Durch eine klare Regelung für die Nutzung der betrieblichen E-Mail-Konten erspart man sich eine Reihe von Problemen. Aus Compliance-Gesichtspunkten sind solche Regeln unvermeidlich. Damit schafft ein Unternehmen die Basis, um relevante E-Mails aufbewahren und später im Fall der Fälle einsehen zu können. Im nächsten Schritt kann man bedenkenlos technische Lösungen einsetzen, um automatisch alle relevanten E-Mails zu speichern – ob per Archivierungssystem oder in einer Art Blackbox.
Der ausführliche Beitrag von Sven Sauer ist auf der Webseite der Industrie-Initiative Comidd nachzulesen (IT-Compliance in der Informations- und Datenverarbeitung in Deutschland) – einem von HP und Optimal Systems gegründeten Projekt, das den Wissensstand zu IT-Compliance in Deutschland verbessern will.