DSGVO & E-Mail-Archivierung
Die Datenschutz-Grundverordnung stellt klare Anforderungen an den Umgang mit personenbezogenen Daten in E-Mails. Erfahren Sie, wie eine professionelle E-Mail-Archivierung Ihnen hilft, DSGVO-konform zu arbeiten - ohne auf revisionssichere Aufbewahrung verzichten zu müssen.
DSGVO und E-Mail - das Spannungsfeld
Warum E-Mail-Archivierung und Datenschutz kein Widerspruch sein müssen
Seit Mai 2018 harmonisiert die Datenschutz-Grundverordnung (DSGVO) den Schutz personenbezogener Daten in der gesamten Europäischen Union. Bei Verstößen drohen Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes - je nachdem, welcher Betrag höher ist.
E-Mails enthalten nahezu immer personenbezogene Daten: Namen, Adressen, Telefonnummern, Vertragsinformationen oder sogar Gesundheitsdaten. Jedes Unternehmen, das E-Mails archiviert, muss daher sicherstellen, dass die Archivierung DSGVO-konform erfolgt. Gleichzeitig verpflichten das Handelsgesetzbuch (HGB) und die Abgabenordnung (AO) zur Aufbewahrung geschäftsrelevanter Korrespondenz über sechs bis zehn Jahre.
Dieses Spannungsfeld - einerseits Aufbewahrungspflicht, andererseits Datenschutz und Löschrecht - lässt sich mit einer modernen Archivlösung auflösen. Voraussetzung ist, dass die eingesetzte Software beide Anforderungen technisch unterstützt.
Relevante DSGVO-Artikel für die E-Mail-Archivierung
Vier Betroffenenrechte, die Ihr Archivsystem abdecken muss
Art. 15 - Auskunftsrecht
Betroffene Personen können jederzeit Auskunft darüber verlangen, welche personenbezogenen Daten über sie gespeichert sind. Für E-Mails bedeutet das: Ihr Archiv muss eine leistungsfähige Volltextsuche bieten, mit der Sie sämtliche Nachrichten zu einer bestimmten Person innerhalb kurzer Zeit identifizieren können. Nur so lassen sich Auskunftsanfragen fristgerecht - innerhalb eines Monats - beantworten.
Art. 17 - Recht auf Löschung
Das sogenannte „Recht auf Vergessenwerden“ verpflichtet Unternehmen, personenbezogene Daten auf Wunsch zu löschen - sofern keine gesetzliche Aufbewahrungspflicht besteht. Während der handelsrechtlichen Aufbewahrungsfrist dürfen archivierte E-Mails nicht gelöscht werden. Ein gutes Archivsystem bietet daher konfigurierbare Retention- und Lösch-Policies, die nach Ablauf der Aufbewahrungsfrist automatisch greifen.
Art. 20 - Datenübertragbarkeit
Personen haben das Recht, ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Für E-Mail-Archive heißt das: Der Export in Standardformaten wie EML, MSG oder PST muss technisch möglich sein. Eine Archivlösung, die Daten nur in proprietären Formaten speichert, erfüllt diese Anforderung nicht.
Art. 21 - Widerspruchsrecht
Wird eine Einwilligung zur Datenverarbeitung widerrufen, dürfen die betroffenen Daten grundsätzlich nicht weiter verarbeitet werden. In der Praxis existieren jedoch häufig Transaktions-E-Mails (Opt-in-Bestätigungen, Vertragsabschlüsse), die aus handelsrechtlichen Gründen aufbewahrt werden müssen. Auch hier sorgen granulare Zugriffskontrollen und Aufbewahrungsregeln für die notwendige Balance.
Archivierung vs. Löschung - kein Widerspruch
Wie Aufbewahrungspflichten und Löschrechte in einem System zusammenwirken
Auf den ersten Blick scheinen die GoBD-Aufbewahrungspflicht und das DSGVO-Löschrecht unvereinbar: Die eine verlangt, E-Mails mindestens sechs Jahre aufzubewahren, die andere fordert die Löschung personenbezogener Daten auf Verlangen. Tatsächlich schließen sich beide Anforderungen nicht aus - sie erfordern lediglich eine differenzierte Steuerung.
Entscheidend ist das Konzept der Retention Policies: Für jede E-Mail oder Kategorie von E-Mails wird festgelegt, wie lange sie mindestens aufbewahrt werden muss (gesetzliche Frist) und wann sie spätestens gelöscht wird (Datenschutzfrist). Nach Ablauf der gesetzlichen Aufbewahrungsfrist greift die automatische Löschung - ohne manuellen Eingriff und ohne Risiko, Fristen zu versäumen.
Geht ein Löschersuchen während der laufenden Aufbewahrungsfrist ein, dokumentiert das System den Wunsch und setzt die Löschung zum frühestmöglichen Zeitpunkt automatisch um. So bleiben Sie gleichzeitig GoBD-konform und DSGVO-konform.
Technische Maßnahmen für DSGVO-konforme Archivierung
So setzt KOPFFREI.IT die Anforderungen in der Praxis um
AES-256-Verschlüsselung
Alle archivierten E-Mails werden sowohl bei der Übertragung (in transit) als auch im Ruhezustand (at rest) mit AES-256 verschlüsselt. Selbst bei einem physischen Zugriff auf die Speichermedien bleiben die Inhalte geschützt - ein zentraler Baustein für den Schutz personenbezogener Daten gemäß Art. 32 DSGVO.
Lückenlose Zugriffsprotokolle
Jeder Zugriff auf archivierte E-Mails wird protokolliert: Wer hat wann welche Nachricht eingesehen, exportiert oder gelöscht? Diese Audit-Logs sind unveränderbar und erfüllen die Nachweispflichten gegenüber Aufsichtsbehörden und Wirtschaftsprüfern.
Deutsche ISO-27001-Rechenzentren
Sämtliche Daten werden ausschließlich in deutschen Rechenzentren gespeichert, die nach ISO 27001 zertifiziert sind. Damit unterliegen Ihre E-Mail-Archive vollständig dem deutschen und europäischen Datenschutzrecht - ohne Drittlandtransfer-Risiko.
Retention & Deletion Policies
Über ein zentrales Policy-Management legen Sie fest, welche E-Mails wie lange aufbewahrt und wann automatisch gelöscht werden. Die Regeln lassen sich nach Absender, Empfänger, Betreff oder Kategorie differenzieren - für maximale Flexibilität bei voller Compliance.
Leistungsfähige Volltextsuche
Bei einer Auskunftsanfrage nach Art. 15 DSGVO müssen Sie schnell alle relevanten E-Mails identifizieren können. Die integrierte Volltextsuche durchsucht Millionen archivierter Nachrichten in Sekunden - inklusive Anhänge. So beantworten Sie Betroffenenanfragen fristgerecht und vollständig.
DSGVO-konform archivieren - jetzt Demo anfragen
Erfahren Sie in einer kostenlosen Demo, wie unsere Archivlösung DSGVO und GoBD unter einen Hut bringt.
Demo anfragen