Ist der Azure Key Vault datenschutzkonform?

Mehr Infos zum Azure Key Vault finden Sie in unserem Blog.

Gibt es eine rechtliche Pflicht zur E-Mail-Archivierung?

Es muss nicht jede E-Mail archiviert werden.

Archiviert werden müssen E-Mails, die für eine ordnungsgemäße Buchführung und/oder steuerrechtlich relevant sind. Gesetzliche Grundlage ist die AO (Abgabenordnung), die GoB (Grundsätze für ordnungsgemäße Buchführung) und GoBD (Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff).

Reine Kommunikation, die genauso mündlich hätte stattfinden können oder die Vertriebs- oder Marketingthemen betrifft, muss nicht aufbewahrt werden.

Hängen hinter den Mailadressen aber ganze Postfächer mit Inhalten, die unter die Aufbewahrungspflichten fallen, dann gelten dafür die echten Aufbewahrungsfristen nach den gesetzlichen Vorgaben (also nach AO, GoB, GOBD, etc.). Im Regelfall muss zwischen 6 und 10 Jahren gespeichert werden, wenn es sich um Inhalte handelt, die für eine ordnungsgemäße Buchführung, für die Steuer usw. notwendig sein könnten.

Bei Unternehmen, die ein eigenes Programm für Buchhaltung, etc. haben und dieses aus den Mailaccounts heraus komplett vervollständigen, ist keine eigene E-Mail-Archivierungspflicht gegeben. Z.B. haben Rechtsanwälte oft eine Schnittstelle zum Datev-Anwaltsprogramm. Damit wird alles, was für die Mandatsbearbeitung wichtig sein könnte und per Mail eingeht, im Datev-System abgespeichert und in den E-Mail-Postfächern verbleibt die reine „Kommunikation“ und die sollte dann regelmäßig gelöscht werden.

E-Mails müssen dann archiviert werden, wenn ihre Inhalte nach den gesetzlichen Vorgaben aufbewahrungspflichtig sind.

Revisionssichere Archivierung

Aus dem „Code of Practice“, erstmals veröffentlicht durch den Fachverband der Dokumentenmanagementbranche, Verband Organisations- und Informationssysteme (VOI) im Jahr 1996, gehen außerdem folgende Grundsätze hervor:

Die 10 Grundsätze zur Revisionssicherheit von elektronischen Dokumenten:

Jedes Dokument wird unveränderbar archiviert.
Kein E-Dokument darf auf dem Weg ins Archiv oder im Archiv selbst verloren gehen.
Jedes Dokument muss mit geeigneten Techniken (z. B. durch das Indexieren mit Metadaten) wieder auffindbar sein.
Es muss genau das Dokument wiedergefunden werden, das gesucht worden ist.
Kein Dokument darf während der Dauer der Aufbewahrungsfrist vernichtet werden.
Jedes Dokument muss in genau der gleichen Form, wie es erfasst wurde, wieder angezeigt und gedruckt werden können.
Alle Dokumente müssen zeitnah wiedergefunden werden können.
Alle Aktionen im Archiv, die Veränderungen in der Organisation und Struktur bewirken, sind derart zu protokollieren, dass die Wiederherstellung des ursprünglichen Zustandes möglich ist.
Elektronische Archive sind so auszulegen, dass eine Migration auf neue Plattformen, Medien, Softwareversionen und Komponenten ohne Informationsverlust möglich ist.
Das System muss dem Anwender die Möglichkeit bieten, die gesetzlichen Bestimmungen (BDSG, HGB, AO etc.) sowie die betrieblichen Bestimmungen des Anwenders hinsichtlich Datensicherheit und Datenschutz über die Lebensdauer des Archivs sicherzustellen.

Ist E-Mail-Archivierung beim Einsatz von Microsoft Exchange on premise oder M365 verpflichtend?

Nur, wenn inhaltlich gesetzliche Aufbewahrungspflichten betroffen sind.

Wenn es ein reines Kommunikationstool ist und zusätzlich eine Anwendung verwendet wird, in der alle notwendigen Unterlagen abgespeichert werden, besteht keine zusätzliche Pflicht zur Archivierung von E-Mails.

Anderenfalls schon.

Erfüllt die Funktion „Archiv“ aus Exchange online Plan 2 die rechtlichen Anforderungen an E-Mail-Archivierung?

Was ist Exchange online Plan 2?

Enthält E-Mail, Kontakte, Aufgabenverwaltung und Kalender und einen unlimitierten Archivierungsspeicher. Ist also ein weiteres Postfach, mit zeitlich unbegrenzter Speicherung und Wiederherstellungsfunktionen.

Antwort:

M.A. nach werden die wichtigsten Archivierungsvorgaben, nämlich die selektive Zuordnungsmöglichkeit zum jeweiligen Vorgang und die wichtige Vorgabe aus der DSGVO, nämlich regelmäßig löschen zu können, nicht erfüllt.

Stand: 27.04.2022

Office365 bzw. Microsoft365: wie ist die Einsetzbarkeit im öffentlichen Bereich datenschutzrechtlich zu bewerten?

Grundproblem:

Microsoft hat seinen Sitz in den USA.
Datenschutzbestimmungen USA ≠ DSGVO, deshalb braucht man mit Anbietern außerhalb der EU eine gesonderte Rechtsgrundlage. Bis 2020 war das das Privacy Shield, das aber weggefallen ist.
Microsoft setzt seitdem auf Standarddatenschutzklauseln
Die DSK hat 2020 in einer Stellungnahme erklärt, dass Office 365 rechtswidrig ist, weil es nicht datenschutzkonform genutzt werden kann.
Es gibt viele Datenschützer, die das differenziert sehen.

Stellungnahmen verschiedener Länder:

BayLDA: die DSK hat zu allgemein gearbeitet. Office 365 arbeitet mit vielen verschiedenen Apps, es kommt darauf, was man davon für welche Daten einsetzt. Derzeit verhandelt Microsoft mit den europ. Datenschützern über einen rechtskonformen Einsatz von Office 365.
Pressemitteilung vom 02.10.2020
Pressemitteilung LFD Niedersachsen

Fazit:

Es ist noch nichts entschieden, v.a. kann der Einsatz von Office 365 nicht als per se rechtswidrig angesehen werden. Empfehlung: nachfolgende Fragen klären und dokumentieren

Office 365 – Folgende Frage klären und dokumentieren:

Prüfen Sie, ob es evtl. europäische Alternativen für MS 365 gibt
Zerlegen Sie MS 365 in die relevanten Apps und nehmen Sie nur das, was Sie wirklich brauchen
Buchen Sie Azure Europe/Deutschland •Sperren Sie „gefährliche Apps“, wie z.B. Delve, Graph, Yammer
Überprüfen Sie kontinuierlich nach relevanten Änderungen •Deaktivieren Sie Administrator Auswertungsmöglichkeiten der Benutzeraktivitäten
Stellen Sie die Übermittlung von Telemetriedaten ab (GPO)
Implementieren Sie Sicherheitsmaßnahmen (v.a. Verschlüsselung)
Erlassen Sie verbindliche schriftliche Regelungen (DA, BV, Richtlinie …)
Schulen Sie die Mitarbeiter
Sorgen Sie für datenschutzkonforme Verträge (AVV, SCC)
Tragen Sie MS 365 in das VVT ein (Block oder modular)?
Dokumentieren Sie Ihre Entscheidungen und Maßnahmen

Stand: 16.03.2022

Ist Microsoft-Teams datenschutzkonform einsetzbar?

Microsoft-Teams ist – unter Vorbehalt - datenschutzkonform einsetzbar.

Hauptkritikpunkt früher: Microsoft geht intransparent beim Anbieten von datenschutzrechtlich notwendigen Dokumenten (z.B. AV-Verträge) vor. Kritik kam vor allem von der Berliner und der Hessischen Aufsichtsbehörde, die Teams für nicht einsatzfähig erklärte.

Argument nicht valide, da

Änderungen im AV-Vertrag nur für Zukunft gelten
Verarbeitung nur für vorher festgelegte Zwecke erfolgt, nämlich: Abrechnungs- und Kontoverwaltung
Interne Berichterstattung
Bekämpfung von Betrug und Cyberkriminalität;
Keine Verarbeitung zur Benutzerprofilierung, zur Werbung oder zu ähnlichen kommerziellen Zwecken!

Bei Übertragung in die USA gibt es Bedingungen, die eingehalten werden müssen:

Die Nutzung von sogenannten EU-Standardverträgen
Der Aufbau von internen Unternehmensrichtlinien zur Nutzung von Office 365 innerhalb eines Unternehmens
Die Einwilligung der Betroffenen als Zustimmung zum transatlantischen Datentransfer

Stand: 23.02.2022