Die geschäftlichen Risiken durch die Nutzung persönlicher E-Mail-Konten

Ein Kunde hat uns kürzlich eine Frage gestellt, die einige interessante Punkte aufwirft, wenn Personen private Konten wie Hotmail oder Yahoo für geschäftliche E-Mails verwenden: „Wann ist es in Ordnung, eine private E-Mail für geschäftliche Zwecke zu verwenden?“

Die kurze Antwort ist „Nie“, aber Freiberufler oder Berater können oft auf „private“ E-Mail-Konten zurückgreifen.  Die Schlauen unter ihnen richten ein zweites Konto ein, das ihren Geschäfts- oder Firmennamen widerspiegelt (praktisch alle Anbieter, d. h. Unternehmen wie Verizon, Comcast usw. bieten die Möglichkeit, mehrere E-Mail-Konten ohne zusätzliche Kosten einzurichten).

Für größere Unternehmen sollten die inhärenten Risiken und die allgemeine Verfügbarkeit mobiler E-Mails ausreichen, um die Nutzung eines persönlichen E-Mail-Kontos für geschäftliche Zwecke auszuschließen.   Wenn dieser Benutzer beispielsweise nicht im Büro ist, sollte er von einem Smartphone oder Computer aus auf seine E-Mails im Büro zugreifen können, was angemessener ist, als einfach auf sein privates E-Mail-Konto zurückzugreifen.

Private E-Mail-Konten liegen außerhalb der Kontrolle der IT-Abteilung.   Sie werden nicht durch Backups, Archivierung, Sicherheitsvorkehrungen oder Governance-Richtlinien geschützt, sodass ihre Verwendung für geschäftliche Zwecke einen klaren Verstoß gegen die Compliance-Vorschriften darstellt.

Und da private E-Mails nicht auf Unternehmensservern gespeichert werden, sind Offenlegungs- und FOIA-Anfragen ernsthaft gefährdet, was rechtliche Risiken für Ihr Unternehmen darstellt.

Welche rechtlichen Risiken bestehen bei der Nutzung eines privaten Kontos für Unternehmen?

Wenn Sie Ihren Mitarbeitern gestatten, private E-Mail-Konten für geschäftliche Zwecke zu nutzen, bedeutet dies, dass die geschäftlichen Informationen Ihres Unternehmens auf Mailservern gespeichert werden, die sich Ihrer Kontrolle entziehen, und zwar überall auf der Welt.  Es gibt keine Möglichkeit, alle Orte zu kennen, an denen Ihre Unternehmensdaten gespeichert sind oder an die sie übermittelt wurden.

Und die Sicherheitsrichtlinien Ihres Unternehmens treffen nicht auf ein privates E-Mail-Konto zu. Ihr Mitarbeiter mag vielleicht den allgemeinen Geschäftsbedingungen von Google Mail zugestimmt haben (die die Suche nach E-Mail-Inhalten erlauben), Ihr Unternehmen jedoch nicht. Sie mögen eine gute Datenschutzrichtlinie haben – aber private E-Mail-Konten können sie mit einem Klick auf „Senden“ umgehen.

Die Risiken und Auswirkungen der Nutzung privater Konten für geschäftliche Zwecke liegen nicht unbedingt klar auf der Hand, bis es zu Anfragen zur Informationsfreiheit, internen Untersuchungen oder eDiscovery kommt.  In all diesen Fällen können diese privaten E-Mail-Konten relevante Informationen enthalten und müssen als solche zur Suche und zum Abruf angeboten werden.

Selbst die Offenlegung gestaltet sich schwierig; private E-Mails können im Rahmen der üblichen juristischen Offenlegungsverfahren nicht offengelegt werden. Google verbietet beispielsweise das externe Scannen der E-Mails von Nutzern (es laufen derzeit mehrere Gerichtsverfahren dazu). Aus diesem Grund muss das Unternehmen den Nutzer anweisen, seine E-Mails selbst zu scannen, womit ein großes Risiko von Beweisvereitelung einhergeht.   Wenn es sich um ein regulatorisches Problem handelt, ist die Compliance des Unternehmens wahrscheinlich nicht gegeben.

Wenn ein Mitarbeiter private E-Mail-Konten nutzt, um mit einem Firmengerät geschäftsbezogene E-Mails zu versenden, bedeutet das nicht unbedingt, dass das Unternehmen das Recht hat, diese E-Mails zu durchsuchen.  Im Verfahren „Stengart vs. Loving Care“ entschied der Oberste Gerichtshof von New Jersey, dass ein Mitarbeiter „vernünftigerweise erwarten konnte, dass die über sein persönliches, passwortgeschütztes, webbasiertes E-Mail-Konto erfolgte E-Mail-Kommunikation mit (seinem) Anwalt privat bleiben würde und dass das Senden und Empfangen mit einem Firmenlaptop das Anwaltsgeheimnis, das sie schützte, nicht aufhob.“

Es könnte sehr schwierig sein, einen Antragsteller oder ein Gericht davon zu überzeugen, dass alle relevanten Informationen offen- und vorgelegt wurden – selbst wenn umfassende (und teure) Maßnahmen ergriffen wurden, wie z. B. das Kopieren der gesamten Mailbox der betreffenden Person auf einen Unternehmensserver zur Suche und zum Abruf.  Und nur wenige Benutzer würden zustimmen, dass eine vollständige Kopie ihrer privaten E-Mails auf den Servern ihres Unternehmens gespeichert wird.

Auch das Unternehmensrisiko muss berücksichtigt werden

Die Nutzung privater Konten für geschäftliche Zwecke birgt noch eine Reihe weiterer Risiken für Unternehmen.  Wird Mitarbeitern die Verwendung privater E-Mail-Accounts für die Arbeit gestattet, besteht ein ernstes Risiko für IP-Diebstahl, den Verlust der Privatsphäre des Unternehmens oder die Verletzung der Privatsphäre von Kunden sowie die Unterbrechung des Netzwerkbetriebs aufgrund der möglichen Implementierung von Exploits auf Computern, die nicht durch Ihre internen Richtlinien geschützt sind.

Die Nutzung privater E-Mail-Accounts gefährdet Firmengeheimnisse und setzt die Unternehmenskorrespondenz möglicherweise unkontrolliertem Data-Mining und unkontrollierten Suchanfragen aus.  Praktisch alle privaten Konten können Gegenstand einer legalen (und in einigen Fällen fragwürdigen) Sammlung und Durchsuchung durch verschiedene Sicherheitsbehörden sein.

Nach geltendem FISA-Recht hat die NSA das Recht, Daten von BEIDEN Endpunkten in einer E-Mail-Konversation aufzuzeichnen, wenn EINER dieser Endpunkte nach NSA-Verfahren arbeitet.  Da die großen privaten E-Mail-Anbieter wie Google, Microsoft, AOL und Yahoo! alle mit der NSA kooperieren und ihnen das Scannen beliebiger E-Mails und Speichern auf den Servern der NSA erlauben, bedeutet dies, dass jeder, der eine E-Mail von ihren Konten erhält, dem Risiko der Überwachung ausgesetzt ist – auch wenn er den allgemeinen Geschäftsbedingungen des Anbieters überhaupt nicht zugestimmt hat. Wenn Ihr Mitarbeiter also private E-Mail-Accounts verwendet, um Projektentwürfe an die geschäftliche E-Mail-Adresse eines Kunden zu senden, hat dieser Kunde unwissentlich seine Privatsphäre an die NSA verloren!

Der Mangel an Sicherheit hinter diesen Sammlungen (denken Sie an WikiLeaks) hat ganze Regierungen kompromittiert, und Unternehmen sollten keinen wirklichen Schutz für sich selbst oder ihre Kunden erwarten.

Auch Kontinuität kann ein großes Thema sein – was ist, wenn besagter Mitarbeiter das Unternehmen verlässt?  Diese E-Mails gehen mit der betreffenden Person verloren – zusammen mit allen relevanten Informationen, was die künftige Suche erschwert.

Nicht nur die E-Mail stellt ein Problem dar. Mitarbeiter können eine private E-Mail-Adresse verwenden, um eine beliebige Anzahl von Funktionen einzurichten, die für den täglichen Betrieb Ihres Unternehmens entscheidend sind, z. B. Webhosting-Konten oder den Kauf von Domains.   Die private E-Mail-Adresse des Mitarbeiters wird dann zum Eigentümer des Kontos. Wenn also der Mitarbeiter das Unternehmen verlässt, kann es für Sie schwierig werden, das Eigentum an den Assets zu übernehmen, die er im Namen des Unternehmens eingerichtet hat.   Wie würde sich dies auf Ihre Geschäftsfähigkeit auswirken?

Was ist mit Ihrer Glaubwürdigkeit?   Vermittelt das Versenden von E-Mails mit der Privatadresse des Mitarbeiters ein professionelles Bild Ihres Unternehmens?

Die Lösung mag auf der Hand liegen, aber die Unternehmen müssen sie durchsetzen

In erster Linie ist die Festlegung strikter Richtlinien gegen die Nutzung privater E-Mail-Accounts für geschäftliche Zwecke die einzige Möglichkeit. Doch trotz aller Gründe, die dafür sprechen, zum Abwickeln von geschäftlichen Angelegenheiten nur Firmen-E-Mails zu verwenden, gehen die Nutzer nach wie vor den Weg des geringsten Widerstands und verwenden die für sie einfachste E-Mail.  Die Verantwortung liegt also beim Unternehmen, dafür zu sorgen, dass der „Weg des geringsten Widerstands“ der richtige Weg ist.

Unternehmen können proaktiv sicherstellen, dass Außendienst- oder externe Mitarbeiter mit ihren eigenen Geräten problemlos auf die E-Mail-Systeme des Unternehmens zugreifen können.  Webmail-Schnittstellen sind einfach einzurichten, und jede Compliance-Erfassung sieht und speichert diese Mails, auch wenn sie von einem Heim-PC, Laptop, Smartphone oder Tablet gesendet werden.  Beim Verfassen einer neuen E-Mail, insbesondere auf Mobiltelefonen, müssen Mitarbeiter daran erinnert werden, immer die Unternehmens-E-Mail-Adresse zu wählen, nicht ihre private.   Für Nicht-Angestellte wie Auftragnehmer und Berater gilt dasselbe.  Wenn der Auftragnehmer oder Berater im Namen des Unternehmens Geschäfte tätigt, empfiehlt es sich dringend, dieser Person eine Firmen-E-Mail-Adresse zur Verfügung zu stellen und strenge Richtlinien für die Nutzung dieser Adresse durchzusetzen, die Teil der Vereinbarung sind.

IT-Abteilungen sollten immer in der Lage sein, die zentrale Kontrolle und den Überblick über alle im Namen des Unternehmens gesendeten oder empfangenen E-Mails zu behalten. Nur so werden Probleme vermieden, die sich aus der Abwicklung von Geschäften über private E-Mail-Konten ergeben.  Das Problem wird zwar nicht komplett beseitigt, aber deutlich verringert.

Barracuda bietet eine Reihe von E-Mail- und Informationsmanagementlösungen, mit denen Unternehmen ihre Geschäftsdaten zentralisieren und kontrollieren sowie unternehmerische und rechtliche Risiken minimieren können.   Erfahren Sie hier auf der Website unseres Unternehmens mehr über die Security- und Data Protection-Lösungen von Barracuda.