Autor Willy Knüsel
Generell stellt das schweizerische Obligationenrecht für die meisten Verträge keine Formvorschriften auf. Verträge können also auch formlos geschlossen werden. Massgebend ist eine gegenseitige übereinstimmende Willenserklärung. Damit kann ein Vertrag auch per E-Mail abgeschlossen werden.
Das Fehlen wichtiger Sicherheitsanforderungen (insbesondere Integrität und Authentizität) hat jedoch direkten Einfluss auf den rechtlichen Umgang mit E-Mail. Die Geschäftsabwicklung per E-Mail ist nämlich dann in Frage gestellt, wenn es um den Beweis geht, ob, wer und mit welchem Inhalt etwas per E-Mail vereinbart wurde. Der Richter ist in seiner Beweiswürdigung frei. Er entscheidet also, ob er ein unverschlüsseltes E-Mail überhaupt als Beweis oder Indiz zulässt. Eine beweiskräftige Geschäftsabwicklung via E-Mail kann durch die digitale Signatur erreicht werden.
Konsequenz: Auch ein E-Mail ist ein Dokument, welches aufbewahrt werden muss, falls darin juristisch relevante Vereinbarungen getroffen werden.
Gerade weil im Geschäftsleben viel per E-Mail vereinbart wird, besteht auch eine Aufbewahrungspflicht analog den Bestimmungen über schriftliche Dokumente. Diese lautet sinngemäss: Das Unternehmen hat die Pflicht, geschäftsrelevante E-Mails während 10 Jahren aufzubewahren. Es hat aber die Wahl, ob es geschäftsrelevante E-Mails ausdrucken und physisch ablegen will oder ob es die E-Mails elektronisch archivieren will.
Wer Geschäftsbücher ordnungswidrig führt oder der gesetzlichen Pflicht, Geschäftsbücher, Geschäftsbriefe und Geschäftstelegramme aufzubewahren, nicht nachkommt, wird gemäss Art. 325 StGB mit Haft oder mit Busse bestraft.
Für das Unternehmen bedeutet dies:
Wer also E-Mails als Kommunikationsmittel für geschäftsrelevante Vorgänge zulässt, soll dies genau regeln, ansonsten wird er sich mit einiger Wahrscheinlichkeit Probleme einhandeln.
Ein falscher Mausklick, und ein E-Mail landet irgendwo, nur nicht beim gewünschten Empfänger. Während der Sender eines Briefes wenigstens noch davon ausgehen kann, dass der Brief verschlossen und damit der Inhalt geheim bleibt, weil vom Postgeheimnis geschützt, besteht das Problem, dass ein E-Mail von jedem, der es in der Mailbox empfängt, lesbar ist.
Oft sieht man nun rechtliche Hinweise oder so genannte Disclaimer, wie das folgende Beispiel:
Diese Nachricht ist ausschliesslich für den bezeichneten Adressaten oder dessen Vertreter bestimmt. Beachten Sie bitte, dass jede Form der unautorisierten Nutzung, Veröffentlichung, Vervielfältigung oder Weitergabe des Inhaltes nicht gestattet ist. Sollten Sie nicht der vorgesehene Adressat oder dessen Vertreter sein, so bitten wir Sie, sich mit dem Absender in Verbindung zu setzen und anschliessend diese Nachricht und sämtliche Anhänge zu vernichten.
Haben solche Disclaimer überhaupt eine Wirkung und wie ist die rechtliche Würdigung?
Rechtliche Hinweise sollen den Empfänger verpflichten, die Mitteilung für sich zu behalten. Nur: Den eigentlichen Fehler beging der Sender, nicht der Empfänger, und für diesen muss auch der Sender gerade stehen (etwa, wenn der eigentlich vorgesehene Empfänger zu Schaden kommt).
E-Mail-Disclaimer dürfen grundsätzlich von jedem verwendet werden. Zivilrechtliche Verpflichtungen des Empfängers lassen sich bei fehlgeleiteten E-Mails aber nicht ableiten. Die an den Empfänger des E-Mails gerichtete Bitte, den Absender über den Irrtum zu informieren, verpflichtet den Empfänger nicht. Andere Äusserungen stellen Willenserklärungen des Absenders dar. Vertragsrechtlich können sie als Offerte bzw. Angebot angesehen werden.
Zusammenfassend lässt sich festhalten, dass E-Mail-Disclaimer aus rechtlicher Sicht weitestgehend entbehrlich sind.
Auf alle Fälle genügen sie nicht, um die Vertraulichkeitsanforderungen an Berufsgeheimnisträger zu erfüllen. Werden vertrauliche Informationen publik, weil sie in "falsche" Hände geraten, wird ein Disclaimer nicht viel nützen. Besser ist es, sich vorher zu überlegen, ob die Daten verschlüsselt oder auf sicherem Weg (Brief / Kurier) verschickt werden sollen.
Viele Leute meinen, Chefs hätten das Recht, private E-Mails mitzulesen. Das ist jedoch in keinem Fall gestattet – auch dann nicht, wenn private E-Mails im Betrieb nicht zugelassen werden. Im letzteren Fall darf (z.B. anhand der Zieladresse) festgestellt (und gerügt) werden, wenn private Mails verschickt werden; der Inhalt geht aber auch dann die Chefs nichts an.
Voraussetzung ist natürlich, dass ein E-Mail als privates E-Mail erkennbar oder gekennzeichnet ist, denn geschäftliche E-Mails dürfen vom Chef, aber auch von Kollegen geöffnet und gelesen werden. Im geschäftlichen Umfeld ist es deshalb am Mitarbeiter, sicherzustellen, dass private E-Mails als solche erkennbar sind.
Das Datengeheimnis nach Art. 35 DSG kann durch den Versand von nicht verschlüsselten E-Mail-Nachrichten verletzt werden und dem Sender drohen Haft oder Busse.
Mails sind vor dem Zugriff von Dritten so gut wie gar nicht geschützt. Es ist so, wie wenn Sie eine Postkarte versenden, oder sogar noch schlimmer. Und neugierige Menschen öffnen und lesen gerne mal die elektronische Post, die nicht für sie bestimmt ist. Wie einfach dies geht, zeigt ein Fall, der Ende 2003 vor dem Bundesgericht verhandelt wurde: Ein Mitarbeiter hatte während der krankheitsbedingten Abwesenheit seines Chefs dessen E-Mails angezapft. So konnte er fortan munter die Korrespondenz seines Vorgesetzten mitverfolgen (BGE 130 III 28 ff.). Hätte der Chef für seine E-Mails eine Verschlüsselungs-Software verwendet, wäre der Nachrichtentext für den Mitarbeiter nur als "Zeichensalat" sichtbar gewesen.
Was versteht man unter Verschlüsselung oder Kryptografie?
Unter Kryptografie wird die Verschlüsselung von Daten unter Verwendung komplexer Algorithmen verstanden, um sie vor unberechtigter Einsicht durch Dritte zu schützen. Oft wird zudem ein Passwort als zusätzlicher Schutz eingesetzt. Die Sicherheit der Daten hängt vor allem von der Länge des verwendeten Schlüssels ab. Gängig ist heute ein 128-Bit-Schlüssel. Verschlüsselungsverfahren können hard- oder softwaremässig realisiert sein.
Also: kritische oder vertrauliche Nachrichten, zum Beispiel:
E-Mails haben mehrfachen Bezug zu Personendaten. Einerseits liefern oft bereits Absender- und Empfängeradresse personenbezogene Daten, andererseits können die Inhalte persönliche Informationen wiedergeben, z.B. Betriebsgeheimnisse.
Das Bundesgesetz über den Datenschutz (Datenschutzgesetz; DSG) stellt in Art. 7 Anforderungen an die Informationssicherheit. Es verlangt, dass Personendaten durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten geschützt werden. Es sind Massnahmen zur Gewährleistung der Vertraulichkeit, der Verfügbarkeit und der Richtigkeit der Daten zu ergreifen.
Welche Massnahmen angemessen sind, überlässt der Gesetzgeber bewusst dem Anwender. Dieser hat aufgrund des Zwecks und des Umfangs der Datenbearbeitung sowie nach Prüfung möglicher Risiken für die betroffenen Personen und aufgrund des gegenwärtigen Standes der Technik über die einzusetzenden Mittel zu entscheiden.
Welche Massnahme zur Sicherung von Daten getroffen werden muss, ist also nach den konkreten Umständen im Einzelfall zu entscheiden. Je sensibler die personenbezogenen Informationen sind, desto stärkere Sicherungsmassnahmen sind verlangt.
Um den Anforderungen an die Datensicherheit gerecht zu werden, müssen Mitteilungen mit sensiblen personenbezogenen Daten vor ihrer Übermittlung verschlüsselt werden. Wer solche E-Mailnachrichten unverschlüsselt versendet, verletzt die Persönlichkeit der betroffenen Personen. Es drohen Rufschädigung, Schadenersatz- und Genugtuungsansprüche.
Ich möchte mein Zeitmanagement und meine Arbeitsorganisation verbessern.