Marabu / Magazin

Wissen, Aktuelles und Hintergründe
rund um ECM im Gesundheitsmarkt.

Gastbeitrag

Datenschutzkonforme E-Mailarchivierung am Klinikum Region Hannover

E-Mailarchivierung in der Praxis – in diesem Gastbeitrag beschreibt Dr. Andreas Knüttel, Leiter des Rechenzentrumsbetriebs am Klinikum Region Hannover, den Weg hin zu einer datenschutzkonformen, mit dem Betriebsrat abgestimmten E-Mailarchivierung.

Die Archivierung von geschäftsrelevanten E-Mails ist aus vielerlei Gründen eine Notwendigkeit. Sie ergibt sich etwa aus den Bestimmungen der Abgabenordnung, aus dem Handelsgesetzbuch und – seit dem 1.1.2017 vollumfänglich – aus den „Grundsätzen zur ordnungsgemäßen Führung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“ (GoBD).

Am Klinikum Region Hannover (KRH) waren wir uns der Anforderungen frühzeitig bewusst, denn bereits aus den Vorgängerregelungen der GoBD ergab sich eine Pflicht zur revisionssicheren Ablage digitaler Dokumente mit Geschäftsbezug. Das KRH gehört mit rund 3.200 Betten und 8.000 Mitarbeitern in zehn Häusern zu den größten kommunalen Klinikverbünden in Deutschland. Bereits seit 2009 erfolgt die Rechnungseingangsbearbeitung in Hannover digital – mit dem Dokumentenmanagementsystem PEGASOS der Firma Marabu. Auch im medizinischen Bereich ist das System im Einsatz, daher lag es nahe, PEGASOS auch für Archivierung von E-Mails in Betracht zu ziehen.

Projekt mit Startschwierigkeiten

Ende 2013 fiel der Startschuss für das Projekt. Ab dem 1.1.2014 sollten alle ein- und ausgehenden E-Mails über Journalpostfächer serverbasiert und anwenderunabhängig archiviert werden. Um die Exchange-Server zu entlasten, wurde eine Ersetzung der archivierten E-Mails durch eine reine Textversion nach einem Jahr festgelegt. Soweit, so unkompliziert. Ein erster Testbetrieb scheiterte allerdings an den hohen Anforderungen des Konzernbetriebsrats und des Datenschutzbeauftragten – es zeigte sich, dass neben den buchhalterischen Anforderungen weitere gesetzliche Verpflichtungen zu beachten sind, die einer servergesteuerten Archivierung von E-Mails unter Umständen entgegenstehen.

Weitere gesetzliche Bestimmungen müssen bedacht werden

Zunächst wäre an dieser Stelle das Telekommunikationsgesetz (TKG) zu nennen: Gemäß § 3 Nr. 6 TKG werden Arbeitgeber, die eine private Nutzung dienstlicher E-Mailkonten zulassen, als Telekommunikationsdienstleister klassifiziert und müssen die Wahrung des Fernmeldegeheimnisses (§ 88 Abs. 3 TKG) sicherstellen. Grundsätzlich kann ein Arbeitgeber das Problem lösen, indem er jeden Mitarbeiter eine Einverständniserklärung unterschreiben lässt. Am Klinikum Region Hannover haben wir uns für den Weg einer Betriebsvereinbarung entschieden, die seit August 2012 wirksam ist und die private Nutzung betrieblicher IT-Dienste untersagt. Um unsere Mitarbeiter nicht gänzlich von ihrer – teils auch untertags notwendigen – privaten Kommunikation abzuschneiden, ist die private Internetnutzung in Pausenzeiten grundsätzlich erlaubt. In diesem Rahmen kann zum Beispiel auf Webmailer-Dienste zugegriffen werden.

Zu beachten sind darüber hinaus Regelungen zum Datenschutz. Das Bundesdatenschutzgesetz (BDSG) sieht vor, dass die Erhebung oder Nutzung personenbezogener Daten nur erlaubt ist, wenn diese durch den Betroffenen oder durch Gesetz/Rechtsvorschrift gestattet ist beziehungsweise keine objektiv zumutbaren Alternativen existieren. Abgewogen wird zwischen dem Datenschutz des Arbeitnehmers, der sich den Artikeln 1 und 2 Grundgesetz ergibt, und dem Schutz des eingerichteten und ausgeübten Gewerbebetriebs aus Artikel 14 Grundgesetz. Unter besonderem Schutz stehen sogenannte Geheimnisträger – das sind Mitarbeiter, denen in ihrer Tätigkeit persönliche Geheimnisse anvertraut werden, etwa Mitglieder des Betriebsrats, Datenschutzbeauftragte, Betriebsärzte oder Gleichstellungsbeauftragte. Nutzen diese in ihrer Funktion betriebliche E-Mail-Accounts, darf der Arbeitgeber weder über Verkehrs- noch über Inhaltsdaten Kenntnis erlangen. E-Mails anderer Beschäftigter an Geheimnisträger sind ebenfalls zu schützen. Auch Bewerbungsunterlagen, die via E-Mail eintreffen und weitergeleitet werden, sind besonders zu behandeln.

Die Lösung

Um derartige Stolpersteine im Vorfeld aus dem Weg zu räumen, empfiehlt es sich, den Betriebsrat frühzeitig zu beteiligen, da beim Thema E-Mailarchivierung grundsätzlich ein über das bloße Informationsrecht hinausgehendes Mitbestimmungsrecht anzunehmen ist. Am KRH wurde in enger Abstimmung mit dem Betriebsrat eine Konzernbetriebsvereinbarung erarbeitet, die vorsieht, dass E-Mails besonderer Stellen bzw. Funktionsträger nicht der Regelarchivierung unterliegen. In enger Zusammenarbeit mit den Programmierern von Marabu ist es gelungen, einen einmaligen Kompromiss zwischen Archivierung und Datenschutz umzusetzen und die Archivierung rechtzeitig zum 1. Januar 2017 einzuführen.

Über den Autor

Dr. Andreas Knüttel ist Leiter des Rechenzentrumsbetriebs am Klinikum Region Hannover, einem der größten kommunalen Klinikverbünde in Deutschland. Zu seinem Verantwortungsbereich gehören verbundweit die Bereiche SAP-Basis, Netzwerk sowie Server & Systemtechnik.

E-Mailarchivierung

Zurück