[Postfixbuch-users] OT: Aufbewahrungszeit Mailserver Protokolle

Peer Heinlein p.heinlein at heinlein-support.de
So Mär 28 23:50:29 CEST 2010 

Am Sonntag 28 März 2010 23:15:37 schrieb Josef Tröndle:

> 21 Tage scheinen mir extrem kurz, wie begründest Du die 5 Monate?

Ich halte 21 Tage für das höchste der Gefühle, sofern nicht wirklich 
Besonderheiten vorliegen.

(5 Monate hatte ich gar nicht begründet. Ich halte es für ausgeschlossen 
die Daten 5 Monate zu halten -- das stammte aus einer anderen Mail des 
Threads.)

Ich habe Schwierigkeiten mehr als 14 Tage zu begründen und zu 
rechtfertigen. Darum gebe ich stets "14 Tage" raus. Bis 21 Tage wird da 
auch niemand dann ein HeckMeck draus machen -- das wird man kaum 
ernsthaft diskutieren können.

Aber über 21 Tage wird es kritisch.

Ich habe mich in dem Bereich übrigens auch letztes Jahr mal mit einem 
professionell tätigen externen Datenschutzbeauftragten drüber 
unterhalten. Der sieht das ganz genauso, wie ich. Er ist auch der 
Meinung: Maximal 21 Tage. Darüber geht einem argumentativ die Luft aus.

Für mich ist es immer beruhigend zu wissen, daß ich solche Aussagen 
nicht nur aus meiner eigenen Rechtsauffassung heraus vertrete, wo ich 
mich natürlich auch jederzeit mal irren kann. Mein Rechtskapitel im Buch 
ist darum mit zwei Rechtsanwälten und (nun auch) einem langjährigen 
Datenschutzbeauftragten abgestimmt und von denen fachlich 
korrekturgelesen. So ganz unbegründet und offensichtlich falsch können 
meine Auffassungen also erstmal nicht sein, da sichere ich mich 
natürlich ab.

>  könnte mir für den Fall eines kapitalmarktorientierten Unternehmens
>  auch 12 Monate als angemessen vorstellen, wenn ich an Problemfelder

Nein. Das ist nicht ansatzweise vorstellbar. Wirklich. Definitiv gar 
nicht.

>  wie Managerhaftung oder Insinderhandel denke, die selten kurzfristig
>  bekannt werden. 

Na und? Erstens ist ein reines Logfile hier das falsche Mittel (weil 
aussagelos), zweitens kannst Du sonst mit der Begründung auch alles 50 
Jahre lang aufheben. Wo liegt die Grenze? Und nur die reine extrem 
seltene hypothetische Möglichkeit irgendwas sachfremdes damit zu wollen 
rechtfertigt keinesfalls, wirklich: keinesfalls, den massiven täglichen 
und hier quasi unbeschränkten massiven Eingriff in die Datenschutz-
Belange von einem jeden Einzelnen.

>  Insbesondere wenn Privatnutzung der Mitarbeiter
>  untersagt ist bin ich zu einer stärkeren Gewichtung der
>  Unternehmensinteressen geneigt.

a) Das ist völlig sachfremd. Die Gesetze unterscheiden hier nicht 
zwischen Beruf und privat. Auch  meine berufliche Tätigkeit (wer wann 
mit wem) unterliegt dem gleichen Schutz. Wirklich: Was Du hier anführst 
findet sich nirgendwo wieder.

b) Es geht eben auch um das Gegenüber. Also um externe, die nicht im 
Unternehmen arbeiten. Es ist dabei völlig egal, ob das Private sind, die 
als Kunde bei dir einkaufen, oder ob das Geschäftskunden/Partner sind.

Hinter allem stehen Menschen und diese werden durch Eingriffe in 
personenbezogene Daten massiv beeinträchtigt.

Eingriffe in den persönlichen Datenschutz finden permanent und ständig 
statt. Sobald ich was im Katalog bestelle werdne personenbezogene Daten 
von mir erfaßt, verarbeitet und gespeichert. -Logisch. Wichtig ist aber, 
daß jeweils eine Rechtfertigung für diesen Eingriff vorliegen muß. Ohne 
die Speicherung kann ich nunmal nicht bestellen, ohne das Logfile kann 
ich keine Mail zusenden. Aber sobald die Rechtfertigung entfällt (Mail 
ist zugestellt, mit Reklamationen ist nach 10 Tagen nicht mehr relevant 
zu rechnen) ist dann folgerichtig auch der Eingriff nicht mehr 
gerechtfertigt und die Speicherung hat zu unterbleiben (bzw. die Daten 
sind zu löschen).

> Hat sich von der 2. zur 3. Auflg. etwas im Rechtskapitel geändert?

Ja, viel, da sich diverse Spezialgesetze wie TDDSG & Co erledigt haben. 
Zum Glück.

Inhaltlich hat sich jedoch nichts geändert. Aber sowas wie die Abwägung 
zwischen beiden Interessen im Bereich Datenschutz ist (meiner Meinung 
nach) deutlich netter erklärt. Insb. die Graphik zur Abwägung gab's 
glaube ich in der 2. Auflage noch gar nicht.

>  Habe nur die 2., was ich natürlich schnell ändern könnte ;)

Naja, auch wenn Du dem Text der 2. Auflage glauben schenken willst 
dürftest Du schnell sehen, daß ich für Deine 6 oder gar 12 Monate nicht 
ansatzweise irgendeine Rechtmäßigkeit erkennen kann.

Peer

-- 

Heinlein Professional Linux Support GmbH
Linux: Akademie - Support - Hosting

http://www.heinlein-support.de
Tel: 030 / 40 50 51 - 0
Fax: 030 / 40 50 51 - 19

Zwangsangaben lt. §35a GmbHG:
HRB 93818 B / Amtsgericht Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein  -- Sitz: Berlin

Mehr Informationen über die Mailingliste Postfixbuch-users