Nov
30
2011

Best Practice – Vom Umgang mit der Einsicht in E-Mails der Mitarbeiter

Im Zuge des Compliance Managements als auch der Auskunftsfähigkeit gegenüber Kunden und Lieferanten, aber auch im Rechtsstreit kommt immer wieder die Frage auf, wann seitens der Firmenleitung, von Vorgesetzten oder auch von Kollegen in die E-Mails eines Mitarbeiters geschaut werden darf. Einerseits müssen sich Firmen vor Korruption schützen oder im Falle von Beweisermittlungen notwendige Dokumente finden können. Andererseits müssen Kollegen im Falle von Abwesenheit auf wichtige Korrespondenzen der Kollegen zugreifen können, wenn ein Fall gerade dringend zu bearbeiten ist. Ich möchte die Themen in diesem Artikel ein wenig vertiefen und aus meinem Erfahrungsschatz der diversen Projekten der Archivierung von E-Mails berichten.

Grundsätzlich empfehlen wir, den Firmen-Account nicht für den privaten E-Mail-Verkehrt zu erlauben. Denn wird dieser erlaubt, ist es aufgrund tangierender Persönlichkeitsrechte so gut wie unmöglich, die Einsicht in das E-Mail-Fach eines Mitarbeiters durch andere Personen zu erlauben. Ist die private Nutzung per Vereinbarung (hier ein Beispielschreiben) ausgeschlossen, so erhält das Unternehmen einsprechende Kontrollrechte, da davon auszugehen, dass sämtliche E-Mails geschäftsbezogene Inhalten haben. Generell unzulässig ist dennoch eine „Totalüberwachung“. Auch E-Mails, die ausdrücklich als „persönlich“ bzw. „vertraulich“ gekennzeichnet sind, sind von Kontrollen auszuschließen.

Auch wenn die Kontrollmöglichkeiten bei nicht privater Nutzung gegeben sind, so empfiehlt sich Einsicht via Vier-Augen-Prinzip. Das kann technisch u.a. durch das Halbieren von Passworten erfolgen, die von zwei unterschiedlichen Personen besessen werden und einzugeben sind.  In der Regel ist einer der beiden Personen der Datenschutzbeauftragte.

 

Beispieltext Betríebesvereinbarung

Beispieltext Betríebesvereinbarung

Muster einer Betriesbvereinbarung auf Internetrecht-Rostock.de

Wenn also nur geschäftliche Kommunikation via internem E-Mail-System stattfindet, so ist es die Regel, zumindest allen Kollegen den Zugriff auf den Account lesend zu gewähren, so dass im Falle der Abwesenheit schnell eine gesuchte Nachrich gefunden wird. Besonders interessant wird das Thema Einsicht dann, wenn die geschäftlichen E-Mails wie gesetzlich gefordert archiviert werden, sprich nicht nur das E-Mail-System sondern auch das Archivierungssystem zu beachten ist. Dazu noch Folgendes im Zusammenspiel von Microsoft Exchange 2010 und unserem SAPERION ECM ELM for Exchange.

Grundsätzlich ist nur ein kleinerer Teil der ausgetauschten Nachrichten wirklich aufbewahrungspflichtig. Also sollte die Spreu vom Weizen getrennt werden. Hier haben sich zwei Vorgehensweisen als praktikabel gezeigt, wenn ein reines Archivieren ohne Zuordnung in eine Akte erfolgen soll:

  1. Einrichtung eines Ordners z.B. “Archiv”, in das die E-Mails eingestellt werden, die aufbewahrt werden sollen
  2. Einrichtung eines Ordners privat, der als einziger nicht aufbewahrt wird

So kann dann via Journal-Archivierung dafür gesorgt werden, dass die betreffenden E-Mails “abgeräumt” werden. Hier können nochmals drei Fälle unterschieden werden:

  1. Die E-Mail soll direkt nach der Archivierung aus dem E-Mail-System gelöscht werden. Eine Wiederfinden erfolgt dann durch ein eigenes Benutzerinterface in Outlook, über das die E-Mail aus SAPERION wiederbeschaft wird
  2. Nach der Archivierung bleibt die E-Mail für eine Dauer von einstellbaren x Tagen im System und wird dann gelöscht. Ein guter Wert ist hier 14 Tage, ist aber individuell zu bestimmen.
  3. Nach der Archivierung bleibt ein Shortcut im E-Mail-System und der Anwender kann nach Bedarf löschen.

Grundsätzlich werden die vom Anwender eingestellten Zugriffsrechte auf die Ordner an SAPERION weiter gereicht. So sind dann auch hier nur jene E-Mails und mit ihren Anhängen von den betreffenden Personen einsehbar.

Eine hierbei wieder häufig zu klärende Frage ist: “Was passiert, wenn ich in Urlaub gehe und nicht die Zeit hatte, meine noch ungelesenen E-Mails zu bearbeiten in die betreffenden Ordner zu schieben?” Hier kann die Funktion “deaktiviere das Archivieren von ungelesenen E-Mails” helfen.

Für den Fall der reinen Compliance-Archivierung aller ein- und rausgehenen E-Mails über ein zentrales Journalpostfach sorgt noch die Funktion Envelop-Archivierung dafür, dass später auch der Originalabsender festgestellt werden kann.

Im Falle dieser Journal-basierten Archivierung ist es in der Regel nicht möglich, die unterschiedlichen Aufbewahrungsdauern der einzelnen E-Mails zu erkennen, so dass meist mit der längsten Dauer für alle E-Mails gearbeitet wird.

Das sieht erst anders aus, wenn die Archivierung manuell durch den Anwender über unsere Office Integration erfolgt. Hierbei werden durch weitere, die E-Mail klassifizierende Attribute wie der Dokumententyp (-> Aufbewahrungsklasse) angegeben, u.a. auch in welche Akte(n) für eine weitere Sachbearbeitung abgelegt werden soll. Damit rückt die Aufbewahrung von geschäftsrelevanten Dokumenten in den Kontext einer firmenweiten Informationsstrategie (siehe auch Records Management), so dass der größten Mehrwert erreicht werden kann.

Co-Autor: Martin Bartonitz

Disclaimer: da die SAPERION keine Rechtsbelehrung geben darf, sind die hier enthaltenen Aussagen unverbindlich und es wird empfohlen, zur Beratungs einen Rechtsanwalt hinzuzuziehen.

Post to Twitter Post to Delicious Post to Digg Post to Facebook Post to MySpace

Download PDF

No Comments »

RSS feed for comments on this post. TrackBack URL

Leave a comment


6 + = ten

Theme: TheBuckmaker.com Web Templates | Bankwechsel Umschuldung, Iplexx IT Solutions