Speicherbegrenzung von E-Mails in der Praxis

Die Datenschutz-Grundverordnung (DSGVO) fordert, dass personenbezogene Daten zeitnah zu löschen oder zu anonymisieren sind, nachdem der zugrunde liegende Verarbeitungszweck – inklusive weiterer verbindlicher Vorschriften – erfüllt bzw. erloschen ist (Art. 5 Abs. 1 Buchst. e DSGVO).

Das betrifft E-Mails, die faktisch immer personenbezogene Daten enthalten, ebenso wie andere unstrukturierte (Scans, PDF, Word, Excel, Hardcopies) und strukturierte Daten in Geschäftsapplikationen.

Herausforderungen

Heutzutage läuft der größte Teil der Geschäftskorrespondenz über E-Mails ab. Es gibt kaum einen komfortableren Weg, mit Kunden, Lieferanten oder Arbeitskollegen Informationen und Unterlagen auszutauschen.

Doch genau diese Leichtigkeit ist die Krux. Und darin stecken auch die zwei wesentlichen Herausforderungen bei der Löschung von E-Mails, die neben dem garantierten Personenbezug oftmals geschäfts- bzw. ergebnisrelevante Dokumente oder Informationen (nachfolgend als Record bzw. Records bezeichnet) enthalten können.

Persönliche Konten als Archive zweckentfremdet

In vielen Unternehmen herrscht die Praxis, das persönliche E-Mail-Konto als Archivsystem zu verwenden.

Mitarbeiter tendieren dazu, die als wichtig empfundenen E-Mails bzw. Records – etwa vertragsrelevante Entscheidungen, wichtige Anhänge mit besonderen Kategorien personenbezogener Daten etc. – in dafür angelegte Ordner innerhalb ihres Mailkontos abzulegen.

Als Folge dieser Praxis sind in Unternehmen E-Mail-Postfächer mit einer fünfstelligen Anzahl von Nachrichten vorzufinden, die teilweise älter als 20 Jahre …