linuxadm
Goto Top

Nachweis des Löschens einer Email nach DSGVO in Outlook

Hallo Forum,

wie wahrscheinlich viele von Euch kämpfe ich mit der Umsetzung der DSGVO bei meinen Kunden.

Konkret geht es um das automatische protokollierte Löschen von Emails in Outlook.

Mein Kunde bekommt Anfragen, Aufträge und Reservierungen sowie eine riesige Menge anderes Zeug auf eine info@-Adresse.

Sobald die Mails "finanztechnisch relevant" werden (also zum Beispiel eine Buchung draus entsteht),
müssen sie entsprechend der gesetzlichen Fristen aufbewahrt werden - soweit kein Problem.

Der externe Datenschutz-Beauftragte möchte nun, daß Emails, wo z.B. ein Interessent anfragt, aber letztendlich
nichts daraus wird, mit Protokoll gelöscht werden. Das könnte zum Beispiel so erfolgen, daß ein Mitarbeiter diese
in einen extra Ordner sortiert "in 30 Tagen löschen", und dieser Ordner automatisch durch ein Outlook-Addin oder
ein externes Programm abgearbeitet wird.

Das Protokoll soll enthalten:

Löschdatum   NameAbsender  MailadresseAbsender  MailDatum 

Meinen Einwand, daß da wieder neue Daten entstehen, hat der DS-B nicht gelten lassen face-smile

Kennt Ihr ein Addin o.ä., welches so etwas bewerkstelligt? Die Mailkonten laufen momentan über ein einfaches
IMAP-Konto, d.h. das Löschen muß nicht unbedingt im Outlook erfolgen. Notfalls würde ich ein Powershell-Skript
schreiben, aber ich will ja nicht das Rad neu erfinden.

Viele Grüße

linuxadm

Content-ID: 377407

Url: https://administrator.de/contentid/377407

Ausgedruckt am: 05.11.2024 um 02:11 Uhr

ukulele-7
ukulele-7 18.06.2018 um 14:33:41 Uhr
Goto Top
Mit wie vielen Fällen rechnest du denn da?

Mein erster Gedanke wäre ich würde einen Zettel nehmen und drauf schreiben "Alle E-Mails gelöscht" + Datum + Unterschrift. Wenn man sich Protokolle ausgeben lassen kann von seinen Anwendungen dann kann man das gerne tun, unser E-Mail Archiv kann das z.B. Aber wie viel Aufwand willst du betreiben um eine solche Funktion zu bauen?
linuxadm
linuxadm 18.06.2018 um 14:45:41 Uhr
Goto Top
Das Ganze ist ja nicht für mich für eine einmalige Anwendung gedacht, sondern für kontinuierlich.

Beispiel: pro Tag kommen 250 Emails an, davon stellen sich 50 als "finanztechnisch relevant" heraus (müssen archiviert werden), der Rest ist "Müll" (SPAM, Anfragen wie "was kostet ein Zimmer") usw.

Eine Mitarbeiterin am Tresen sortiert die Mails entsprechend, das zu beschaffende Programm löscht und protokolliert das Ganze. Wenn wir händisch "Alle Emails gelöscht" protokollieren würden, könnte jetzt ein Absender einer Mails kommen und verlangen "beweise mir, wann Du konkret meine Mail gelöscht hast" - und das würde nicht klappen.

Ich persönlich halte das Ganze für überzogen - löschen und gut ist. Aber wenn es der DS-Beauftragte so will...

Außerdem würde ich nur ungern den Mitarbeitern am Tresen eine weitere (sinnlose) Aufgabe aufhalsen - dafür gibt es ja Automatisierung.

Viele Grüße

linuxadm
bloodstix
Lösung bloodstix 18.06.2018 um 15:35:28 Uhr
Goto Top
Ich denke nicht das du hier die Möglichkeit hast über diese Protokolle etwas Rechtssicher einzelnen Kunden zu beweisen. Auch das "elektronische automatische Protokoll" kann manipuliert sein.
Da bräuchtest du schon was in Richtung GDPR.
linuxadm
linuxadm 18.06.2018 um 15:45:14 Uhr
Goto Top
Das sehe ich auch so. Ich bin aber nur der "EDV-Mensch", der vom Kunde bzw. dessen Datenschutz-Beauftragten eine Aufgabe bekommen hat.

Es gibt ja Email-Archivierungs-Systeme, die das evtl. könnten. Hast Du mit sowas Erfahrungen?
Es darf auch gerne viel Geld kosten, das könnte den Kunde von diesem Unfug abbringen face-smile

Viele Grüße

linuxadm
brammer
brammer 18.06.2018 um 15:51:52 Uhr
Goto Top
Hallo,

mit der Dokumentation das du die Mail von Herrn Peter Meier gelöscht hast verstösst du nach meiner Interpretation unter Umständen gegen die DSGVO.
Denn Peter Meier wollte ja das du die Daten löscht .....
Aber wie kannst du nachweisen das du es gelöscht hast wenn du es gelöscht hast?

Und wie geht ihr mit Anfragen um, bei denen heraus kommt das ihr erst nächstes Jahr weiter redet weil erst dann das Budget da ist?

brammer
ukulele-7
ukulele-7 18.06.2018 um 15:53:46 Uhr
Goto Top
Achso ich dachte es ginge um Einzelfälle zu denen eine konkrete Aufforderung vorliegt.

Bei uns sind alle E-Mails erstmal archiviert, also in 2 Systemen vorhanden. Der Mitarbeiter löscht sie vom Exchange nach eigenem Ermessen. Eine Anfrage wird da eigentlich nicht ewig aufgehoben sondern nur sofern sie noch gebraucht wird. Natürlich wäre es hier theoretisch denkbar das ein Mitarbeiter die E-Mail unnötigerweise weiter speichert.

Im Mailarchiv wird dann nach einen festen Verfahren gelöscht und protokoliert, also ist zumindest geplant face-smile.
ukulele-7
Lösung ukulele-7 18.06.2018 um 15:55:50 Uhr
Goto Top
Nein durch das Protokollieren verstößt du nicht gegen die DSGVO. Auch kann das "Löschen" durch eine "Einschränkung der Verarbeitung", sprich sperren, umgesetzt werden. Das ist schon ein bischen abhängig von Logik.
chiefteddy
Lösung chiefteddy 18.06.2018 aktualisiert um 16:33:36 Uhr
Goto Top
Hallo,

mal eine Verständnisfrage:

Wo in der DSGVO steht denn, das ich beweisen bzw. protokollieren muß, was ich an persönlichen Daten nicht habe??

Wenn ein potentieller Kunde mir eine Mail (oder einen Brief) schickt, teilt er mir im vollen Bewußtsein seine persönlichen Daten (zB. Mailadresse) zur weiteren Verarbeitung mit. - Ich gehe mal davon aus, dass eine entsprechende Datenschutzerklärung auf der Homepage vorhanden ist. -

Wenn er mich nun fragt, welche pers. Daten ich von ihm gespeichert habe, kann ich ihm mitteilen, dass ich zB. Name und Mailadresse gespeichert habe. Wenn er mich nun auffordert, diese pers. Daten zu löschen, tue ich das (wenn keine anderen gesetzlichen Vorgaben dies verbieten). Das teile ich ihm mit.

Und wo, bitteschön, kommt nun die DSGVO mit einer Protokollfunktion für das Löschen ins Spiel??

Mal davon abgesehen ist ja nicht die Mail das Problem, sondern die darin enthaltenen pers. Daten, wie Nahme und Mailadresse. Nur durch löschen der Mail lösche ich ja nicht die persönlichen Daten, die sich automatisch in das Adressbuch (Name, Mailadresse) eingetragen haben.
Diese Daten müßte ich gegebenenfalls löschen! Und das müßte auf jedem Client-PC und vor allem auf dem Mailserver erfolgen. Ob das bei IMAP-Abrufen überhaupt rechtskonform machbar ist, wage ich zu bezweifeln.

Ansonsten halte ich es wie @ukulele-7: alles was an eine geschäftliche Mailadresse unseres Unternehmens gerichtet ist, ist geschäftsrelevant (auch der Spam, der durch den Filter rutscht) und wird archiviert und entsprechend den gesetzl. Vorgaben aufbewahrt. Es erfolgt keine manuelle Vorsortiererung, das wäre viel zu aufwändig und nicht rechtskonform.

Jürgen

PS Mein Mail-System hat eine Auditor-Funktion, die, wenn sie aktiviert wird, alle Vorgänge protokolliert. Zugang zu den Protokollen hat nicht der Admin, sondern nur der Auditor. Damit wäre ein rechtssicherer Nachweis von Löschungen möglich.
brammer
brammer 18.06.2018 um 16:33:46 Uhr
Goto Top
Hallo,

@chiefteddy,

Und wo, bitteschön, kommt nun die DSGVO mit einer Protokollfunktion für das Löschen ins Spiel??

das will ja in diesem Fall der Datenschutzbeauftragte.....

brammer
linuxadm
linuxadm 18.06.2018 aktualisiert um 17:31:24 Uhr
Goto Top
Hallo Jürgen,


Wenn er mich nun fragt, welche pers. Daten ich von ihm gespeichert habe, kann ich ihm mitteilen, dass ich zB. Name und Mailadresse gespeichert habe. Wenn er mich nun auffordert, diese pers. Daten zu löschen, tue ich das (wenn keine anderen gesetzlichen Vorgaben dies verbieten). Das teile ich ihm mit.

Das habe ich bei meinen anderen Kunden auch so umgesetzt.


Und wo, bitteschön, kommt nun die DSGVO mit einer Protokollfunktion für das Löschen ins Spiel??

Die Löschung selbst wird ja durch Art. 17 Abschnitt 1a DSGVO ("Löschen wenn Speichergrund nicht mehr gegeben") gefordert. Unser DS-Beauftragter will eben nachweisen können, daß etwas gelöscht wurde.

Mal davon abgesehen ist ja nicht die Mail das Problem, sondern die darin enthaltenen pers. Daten, wie Nahme und Mailadresse. Nur durch löschen der Mail lösche ich ja nicht die persönlichen Daten, die sich automatisch in das Adressbuch (Name, Mailadresse) eingetragen haben.

Daran habe ich auch schon gedacht, aber diese Büchse der Pandora werde ich keinesfalls öffnen. Mal davon abgesehen ist ja Name und Mailadresse nur das kleinste Übel. Dank ausschweifender Signaturen ist in einer normalen Mail ja soviel an Infos drin...

Ansonsten halte ich es wie @ukulele-7: alles was an eine geschäftliche Mailadresse unseres Unternehmens gerichtet ist, ist geschäftsrelevant (auch der Spam, der durch den Filter rutscht) und wird archiviert und entsprechend den gesetzl. Vorgaben aufbewahrt. Es erfolgt keine manuelle Vorsortiererung, das wäre viel zu aufwändig und nicht rechtskonform.

Das sehe ich genau so. Lieber alles archivieren, und nach normaler Rechtsgrundlage löschen. Edit: Und wenn eine konkrete Löschanfrage rein kommt.

Der Datenschutzbeauftragte ist da ein bißchen renitent, aber vielleicht kann ich ihn in dieser Hinsicht überzeugen.

Danke für die Anregungen face-smile

PS Mein Mail-System hat eine Auditor-Funktion, die, wenn sie aktiviert wird, alle Vorgänge protokolliert. Zugang zu den Protokollen hat nicht der Admin, sondern nur der Auditor. Damit wäre ein rechtssicherer Nachweis von Löschungen möglich.

Was nutzt Du?

Viele Grüße

linuxadm
bloodstix
bloodstix 18.06.2018 aktualisiert um 18:14:08 Uhr
Goto Top
Ich bezweifle einfach mal, das man das mit einer "Auditor"-Funktion >>rechtssicher<< beweisen kann.
117471
117471 18.06.2018 um 20:44:32 Uhr
Goto Top
Hallo,

ich würde mir einen frischen DSB suchen.

Ansonsten würde ich den Spieß umdrehen. Alles, was relevant ist, wird wegsortiert.

Der Rest wird alle 2 Wochen rigoros gelöscht.

Gruß,
Jörg
maretz
maretz 18.06.2018 um 21:06:49 Uhr
Goto Top
Und was macht der mann wenn ich euch jetzt ne Anfrage stelle - beweise das du meine Mail gelöscht hast.... ich kann euch also abmahnen? Du protokollierst ja was du löscht, meine Mail is aber nich da drin. In eurem Mailsystem auch nicht - ok, wenn du alles protokollierst was du löscht muss meine ja drin sein.

Am Ende zahlt ihr also weil ihr nicht beweisen könnt meine mail gelöscht zu haben aber beweisen könnt das ihr alle anderen löscht. Ergo muss meine ja noch bei euch sein... merkst du das Problem? Ohne ne mail gesendet zu haben seid ihr jetzt schuld.
117471
117471 18.06.2018 um 22:05:56 Uhr
Goto Top
Hallo,

ich kann ja beweisen, dass sie nicht ins DMS importiert wurde.

Und ansonsten dokumentiere ich halt, dass der E-Mail-Server geleert wurde. Letztendlich kann man ja auch eine Null fotografieren. Abgesehen davon, dass es eher um die Verfahrensdokumentation geht.

Die DSGVO ist hier übrigens eindeutig und redet von *vertretbarem* Aufwand - zum Beispiel in Bezug auf Datensicherungen. Oder möchtest Du die aus jeder gesicherten OST Datei rauskratzen?

Wie gesagt - hier wird es päbstlicher als der Pabst. Übernimmt der DS-B im Gegenzug wenigstens uneingeschränkt die volle Verantwortung? Braucht Ihr überhaupt einen, d.h. werden die Daten überhaupt von mehr als 10 Personen bearbeitet?

Gruß,
Jörg
Matsushita
Lösung Matsushita 18.06.2018 aktualisiert um 22:17:12 Uhr
Goto Top
Das Thema ist wirklich komplex. Nehmen wir als Beispiel Microsoft Exchange, dann wird jede Transaktion in ein Log (Datenbank) geschrieben. Das bedeutet, dass das Löschen einer Mail im Log protokolliert wird. Dazu kommt, dass man ja auch Datensicherungen macht und teilweise auch gezwungen ist, eine Datensicherung z.B. 10 Jahre aufzubewahren. Revisionssicher, also darfst Du aus der Datensicherung auch nichts löschen ...

Mein Fazit: Wenn ich über eine Retention Policy Inhalte eines Postfachs unveränderbar und unlöschbar mache und alle "gelöschten" Elemente dorthin schiebe, dann verschwindet das Element aus dem Benutzerpostfach und ist "gelöscht". Ein eDiscovery Admin kann diese Inhalte zwar wiederherstellen (bzw. sehen), aber das nur unter sehr strengen rechtlichen Voraussetzungen.

Nach meinem Verständnis und meinen Abwägungen wäre das so OK. Ich habe die E-Mail einer Person gelöscht und nicht mehr im regulären Zugriff. Das ich die Datenbank bzw. das Backup nicht manipulieren kann / darf ist ein wichtiger Grund, warum ich die personenbezogen Daten nicht weitergehend (zu vertretbaren Aufwänden) vernichten kann - und damit, nach meinem Laienverständnis vertretbar. Die DSGVO sieht ja Abwägungen schon noch vor ...
chiefteddy
Lösung chiefteddy 19.06.2018 um 10:06:05 Uhr
Goto Top
Hallo @maretz,

jemand, dessen Daten ich nach Aufforderung gelöscht habe, kann mich nicht "abmahnen"! Abmahnen ist ein Begriff aus dem Wettbewerbsrecht, nicht aus dem Datenschutzrecht.

Er kann mich beim zuständigen Datenschutzbeauftragten des Landes anzeigen und die Datenschutzbehörde überprüft dann, ob ich für den Fall einer Löschanfrage ein Verfahren im Unternehmen etabliert habe, das nachvollziebar dieser Löschanfrage gerecht wird.Und natürlich wird überprüft, ob die persönl. Daten tatsächlich nicht mehr vorhanden sind.

Nicht mehr und nicht weniger.

Natürlich kann ein Löschprotokoll Bestandteil dieses Verfahrens sein. In welcher Form ist dabei auch nicht vorgeschrieben. Im Zweifel reicht ein handschriftliches Protokoll, dasss am soundsovielten die Daten von Herrn Mustermann nach Aufforderung entsprechend DSGVO aus dem Adressbuch usw. gelöscht wurden. Wenn die Daten nicht mehr da sind, ist doch alles iO.

Jürgen
chiefteddy
chiefteddy 19.06.2018 aktualisiert um 10:28:11 Uhr
Goto Top
Dazu kommt, dass man ja auch Datensicherungen macht und teilweise auch gezwungen ist, eine Datensicherung
z.B. 10 Jahre aufzubewahren. Revisionssicher, also darfst Du aus der Datensicherung auch nichts löschen ...

Hallo,

nur zur Begrifflichkeit: Eine rechtssichere Speicherung (unveränderbar, wiederauffindbar usw.) von Daten (zB. Mails) ist keine Datensicherung, sondern eine Archivierung.

Eine Datensicherung dient - per Definition - der Wiederherstellung von Daten im Fall des Verlustes.

Jürgen
chiefteddy
chiefteddy 19.06.2018 um 10:27:23 Uhr
Goto Top
Hallo @bloodstix,

natürlich kann man mit der "Auditor"- Funktion alleine nichts beweisen. Der Hersteller der Software stellt diese Funktion bereit und das Unternehmen kann/ muß sie in ein Verfahren einbetten.

ZB. muß sichergestellt werden, dass der für die Löscheung verantwortliche nicht identisch mit dem jenigen ist, der das Löschen überprüft (also dem Auditor). Technisch gesehen darf niemand, außer dem Auditor, Zugriff (lesend) auf die Log-Daten haben. Auch nicht der Admin!

Wenn eine solche "Auditor"-Funktion der Software in eine entsprechende Verfahrensanweisung eingebettet ist und das Unternehmen nach dieser Verfahrensanweisung handelt (Stichwort ISO 9000 und DSGVO), ist das ein rechtssicherer Vorgang.

Jemand der das Bezweifelt, muß - im Ernstfall vor Gericht - das Gegenteil beweisen. Und damit wird er sich schwer tun.

Jürgen
linuxadm
linuxadm 20.06.2018 um 17:08:44 Uhr
Goto Top
Danke nochmal an alle für den konstruktiven Input.

Ich bin jetzt mit dem Datenschutzbeauftragten so verblieben, daß wir

  • wie bisher werden die Mails normal bearbeiten, was erledigt ist, wird in einen "erledigt"-Ordner verschoben. Ziel: möglichst wenige Mails im Posteingang der info@-Adresse. (generell eine gute Sache...)
  • Aus dem Erledigt-Ordner werden z.B. nach xx Tagen die Emails jahresweise archiviert. Der Zugriff auf die Archive wird stark eingeschränkt auf Personenkreis X.
  • Nach Ablauf der gesetzlichen Aufbewahrungsfristen (i.d.R. 10 Jahre) werden die Archive gelöscht.
  • Falls Sie eine Löschanfrage herein bekommen, wird diese durchgeführt (wenn gesetzl. möglich) und protokolliert.

Das Ganze ist einfach umzusetzen, keinem Mitarbeiter wird eine zusätzliche Arbeit aufgebrummt und ist klar nachvollziehbar.

Viele Grüße

linuxadm
chiefteddy
chiefteddy 20.06.2018 um 18:24:05 Uhr
Goto Top
So einfach ist meistens die Lösung. face-smile

Jürgen

PS: Beim Löschen auf Anfrage aber nicht die Adressbücher der Mail-Clients vergessen. Nur die Mail löschen, reicht nicht.
MacLeod
MacLeod 25.06.2018 um 10:40:32 Uhr
Goto Top
Hallo
Das Thema haben wir ebenfalls durch.
Prinzipiell gilt, daß die Pflicht auf ordentliche Buchführung über dem ganzen DSGVO Krempel steht. Das bedeutet, alles was an die Firma gemailt wird, ist per se geschäftsrelevant und kommt sofort in die Archivierung. Die Archive werden Jahresweise angelegt und nach 10+1 Jahren automatisch gelöscht. Ein Recht auf Löschen diverser Daten besteht hier nicht sondern ist vielmehr sogar verboten.
In Exchange werden automatisch alle emails nach 1 Jahr gelöscht.
Wenn Löschanfragen bestehen werden einmal wöchentlich die Adressbücher durchforstet. Hier suche ich auch nach eine scriptbaren Lösung.

Das Hauptaugenmerkt liegt vielmehr im CRM als im Mailserver, da hier ja wirklich mit Kundendaten "gearbeitet" wird. Aber nahezu alle Hersteller bauen ja gerade entsprechende Schnittstellen für die DSGVO ein. Sperrvermerke/Löschvermerke werden gesetzt und kommen auch ins spezielle Audit.
Interessant sind Fälle wo der Kunde einen Artikel/Dienstleistung kauft auf den Gewährleistung/Garantie besteht. Jetzt will er nach 4 Wochen, daß man seine Daten löscht. Gut. Bekommt er.
Und nach 1,5 Jahren meldet er sich plötzlich wegen eines Garantiefalles und man sagt ihm, daß man ihn nicht kenne face-smile
Speziell hier benötigt man solche Sperrfunktionen ohne die Daten aber zu löschen!
Typisches Beispiel hierfür sind Autohäuser. Solange der Kunde eine Garantie hat, müssen die Daten erhalten bleiben. Das ist ja gerne mal auch 5 Jahre.
MfG,
Conner
chiefteddy
chiefteddy 25.06.2018 um 11:26:56 Uhr
Goto Top
Hallo @MacLeod.

Im Prinzip stimme ich Dir zu und handle ähnlich.

Bezüglich des "Garantiefalles" sehe ich aber keine Probleme.

Ein Garantiefall setzt ja voraus, das vorher ein Verkauf, ein Erbringen einer (Dienst-) Leistung oä. stattgefunden hat. Das ist natürlich ein "geschäftsrelevanter" Vorgang, der der 10 jährigen Aufbewahrungspflicht unterliegt. Das würde ich dem betroffenem Kunden auch so mitteilen.

Allenfalls kann man die Daten mit einem Sperrvermerk zB. für Werbung belegen. Löschen oder sonstwie aus dem System entfernen kann/darf man die Daten nicht.

Jürgen.
goserver
goserver 25.06.2018 um 17:12:47 Uhr
Goto Top
… die Lösung finde ich gut.

Es steht auch in der DSGVO das das mit einem "zumutbaren Aufwand" erfolgen soll. Es kann also nicht sein, dass man jede E-Mail einzeln aus Sicherungen rausholen muss usw.

Wir haben oft im Einsatz (Achtung Werbung):
- Mailstore (gesetzes konforme Archivierung) - alle E-Mails und damit unveränderbar
- Exchange
- CRM: cobra (neue Version mit Blacklist und Löschplänen (auch automatisch)
117471
117471 26.06.2018 um 16:27:59 Uhr
Goto Top
Hallo,

Zitat von @goserver:

Es kann also nicht sein, dass man jede E-Mail einzeln aus Sicherungen rausholen muss usw.

Eben. Also habe ich genau das vor 7 Tagen geschrieben. Aber nett, dass Du meine Aussage noch einmal mit eigenen Worten wiederholst - dann muss man nicht so oft nach oben scrollen face-smile

Gruß,
Jörg