6. Februar 2017
Google hat vor einem Gericht im US-amerikanischen Philadelphia verloren und muss laut Urteil nun E-Mail-Daten, die auf ausländischen Servern gespeichert sind an die US-amerikanische Bundespolizei FBI herausgeben. Damit weicht das Gericht von der bisherigen Rechtsprechung ab. Erst kürzlich wurde in einem anderen Verfahren, Microsoft die Herausgabe von Daten, die auf Servern in der Europäischen Union gespeichert sind, erfolgreich verweigerte und auf den Rechtsweg in der EU verwiesen.
Als Begründung für die Herausgabepflicht von Google führte der Richter aus, dass Google ohnehin ständig Daten zwischen seinen Rechenzentren hin- und herkopiere, sodass es nur nötig sei, die vom FBI angefragten Daten in die USA zu transferieren, damit das FBI darauf zugreifen kann. Zwar kann dies eine Verletzung der Rechte des Nutzers darstellen, aber diese Verletzung würde in den USA stattfinden und damit wieder von dem Gesetz gedeckt sein. Der Datentransfer stelle damit ohnehin keinen Zugriff auf ausländische Daten dar.
Nach der Verkündigung des Urteils hat sich Google bereits zum Verfahren geäußert und angekündigt, gegen das Urteil nun Berufung einzulegen und auch weiterhin gegen zu weitgehende Herausgabebeschlüsse vorzugehen. Google erklärte zudem, dass man Daten aus technischen Gründen weltweit auf den Servern verteilt und es in einigen Fällen gar nicht ganz klar sei, wo die Daten gerade gespeichert sind. Aus dem Urteil geht hervor, dass allein Google jährlich rund 25.000 Auskunftsersuchen von US-amerikanischen Ermittlungsbehörden erhält.
20. Januar 2016
Für geschäftliche Korrespondenz konstituieren handels- und steuerrechtliche Vorschriften eine Pflicht zur Aufbewahrung. Da Emails regelmäßig der Vorbereitung, Durchführung bzw. dem Abschluss oder der Rückgängigmachung von Handelsgeschäften dienen, sind sie als Handelsbriefe zu qualifizieren. § 257 Abs. 1 Nr. 2 HGB sowie § 147 Abs. 1 Nr. 2 AO normieren insoweit eine Pflicht zum geordneten Aufbewahren. Die Frist, welche am jeweils am Jahresende des Jahres des Versandes/Empfangs der Email zu laufen beginnt, beträgt sechs Jahre. Für Buchungsbelege, Bilanzen und weitere Dokumente besteht sogar eine Aufbewahrungspflicht von zehn Jahren.
Diese Vorgaben in der Praxis für Emails umzusetzen ist – auf den ersten Blick – für Unternehmen dank automatischer Email-Archivierung technisch einfach umzusetzen, Speicherplatz ist dabei regelmäßig kein relevanter Kostenfaktor mehr. Betrachtet man die typische Korrespondenz, die in der Geschäftswelt per Email abgewickelt wird, jedoch genauer, so fällt auf, dass längst nicht alle Kommunikation in die o.g. Kategorien fällt. Dem Grundsatz der Datensparsamkeit folgend, besteht für solche Emails, für deren Aufbewahrung es keine gesetzliche Verpflichtung oder sonstige Rechtfertigung gibt, eine Pflicht zum Löschen.
Insbesondere im Bewerbungsprozess kommen die handels- und steuerrechtlichen Archivierungsfristen nicht zum Tragen. Wer sich heute auf eine Stelle bewirbt, tut dies regelmäßig per Email. Typischerweise wird hierzu ein gesondertes Postfach, z.B. jobs@…, verwendet. Gerne verteilt sich eine Bewerbung dann, ausgehend von der Personalabteilung, sternförmig im Unternehmen in die relevanten Abteilungen. Spätestens an dieser Stelle wird es faktisch unmöglich, eine Löschung umzusetzen. Sofern es nicht zur Eingehung eines Arbeitsverhältnisses kommt, besteht grundsätzlich noch die Möglichkeit des Klageverfahrens nach dem Allgemeinen Gleichstellungsgesetz (AGG). Anerkannt ist deshalb, dass zumindest für den Zeitraum von sechs Monaten eine Aufbewahrung noch zulässig ist, um ein arbeitsgerichtliches Verfahren bestreiten zu können. Danach folgt aus dem Recht auf informationelle Selbstbestimmung des Bewerbers die Verpflichtung, seine personenbezogenen Daten zu löschen.
Für das jobs@…-Postfach lässt sich dies noch durch eine automatische Löschung und eine Ausnahme von der Backup-Routine umsetzen. In den Postfächern der Abteilungen, in die die Bewerbung weitergeleitet wurde, ist das jedoch nicht mehr der Fall. Hier werden der Lebenslauf und die Bewerbung und alle weiteren Unterlagen dann wie sämtliche sonstige Korrespondenz archiviert.
Lösungsansätze
Viele Unternehmen entscheiden sich auch vor diesem Hintergrund zur Lösung über eigene oder fremd gehostete Bewerbungsplattformen. Bei diesen kann eine gesetzeskonforme Löschung regelmäßig umgesetzt werden, da nicht auf das Emailsystem zurückgegriffen wird.
Gerade für kleinere Unternehmen sind solche Lösungen auch aus Kostengründen regelmäßig jedoch uninteressant.
Aber auch mit „Bordmitteln“ lassen sich Prozesse entwickeln, die dem Datenschutz genügen. Neben einem Funktionspostfach (jobs@…), welches von der normalen Backup-Routine ausgenommen wird, und aus welchem Bewerbungen nach sechs Monaten gelöscht werden, sollten Bewerberdaten nicht intern per Email weitergeleitet werden. Vielmehr sollten die Bewerberdaten auf einem Laufwerk abgelegt werden, für welches wiederum eine fristgemäße Löschung implementiert ist. Die einzelnen Abteilungen bzw. Entscheider erhalten dann nur noch einen Zugriff auf die entsprechende Dateien.
Auch ohne kostspielige Tools lässt sich der Bewerberdatenschutz also gewährleisten. Allerdings müssen sich Unternehmen mit dieser Thematik befassen und aktiv Prozesse anstoßen. Die Belegschaft ist für die meisten Unternehmen heute das wichtigste Kapital, die Gewährleistung des Datenschutzes sollte, auch wegen der hohen Außenwirkung der Thematik, hohe Priorität haben.
2. November 2012
Die Webausgabe des amerikanischen Technologie-Magazins Wired berichtet über eine ebenso bemerkenswerte wie denkwürdige Sicherheitslücke in der E-Mail-Nutzung des US-Unternehmens Google, die unter kurios anmutenden Umständen entdeckt wurde.
Auslösendes Momentum war nach dem Bericht eine E-Mail, welche sich unerwartet im Post-Eingang des US-amerikanischen Mathematikers Zachary Harris befand und diesem völlig unerwartet eine Stelle beim Online-Big-Player Google offerierte. Dieser, ob des überraschenden Angebots skeptisch, soll die Authentizität des Absenders anhand der Informationen im Header der E-Mail geprüft, jedoch keine Fehler festgestellt haben. Dabei sei ihm jedoch aufgefallen, dass Google offenbar einen schwachen Signatur-Schlüssel für die tatsächlich aus ihrem Haus ausgehenden E-Mails verwendet. Das dazu von Google verwendete Verfahren DomainKeys Identified Mail (DKIM) sei dabei gängiger Standard und diene der Sicherstellung der Authentizität von E-Mail-Absendern. Entgegen der allgemein als Mindestmaß für eine sichere Verschlüsselung geltenden 1024-Bit-Schlüssel nutzt Google jedoch laut Harris nur einen 512-Bit-Schlüssel, der nicht hinreichend sicher gilt und die Möglichkeit ermöglicht, E-Mails zu fälschen und sich als der vermeintliche Absender auszugeben. Der Wissenschaftler habe jedoch nicht an ein Versehen geglaubt und die offenbarte Sicherheitslücke als ersten Bewerbungstest verstanden. Harris habe daher den Code geknackt und anschließend eine Mail an Google-Chef Larry Page gesendet. Als Absender habe er jedoch nicht sich selber eingesetzt, sondern den Google-Mitbegründer Sergey Brin. Schlussendlich habe er Vorkehrungen getroffen, dass eine mögliche Antwort ebenfalls in seinem Postfach landen würde. Diese sei jedoch ausgeblieben.
Eine Sprecherin von Google soll die Sicherheitslücke inzwischen gegenüber dem Online-Portal Wired eingestanden haben. Diese sei jedoch sehr ernst genommen worden und inzwischen durch die Einsetzung verlängerter Schlüssel behoben.