Scroll Top

Rechtssichere E-Mail-Archivierung: Was Sie jetzt wissen sollten

rechtssichere-e-mail-archivierung-was-sie-jetzt-wissen-sollten

Bitte beachten Sie: Dies ist ein redaktioneller Betrag, der das komplexe Thema „Rechtssichere E-Mail-Archivierung“ allgemein verständlich aufbereitet und den gesetzgeberischen Standpunkt bis einschließlich Dezember 2016 zu Ihrer Information aufbereitet. Wir haben hierbei bisweilen unterschiedliche Informationen und Deutungen frei verfügbarer Quellen zusammengetragen und nach bestem Wissen und Gewissen sorgfältig ediert. Die Lektüre soll und kann keine Rechtsberatung ersetzen. Jede Entscheidung, die ein Unternehmen fällt, um den gesetzlichen Maßgaben zu entsprechen, muss in technischer und organisatorischer Hinsicht auf das jeweilige Unternehmen angepasst sein und sollte in jedem Fall von einem rechtlichen Beistand geprüft werden.

Seit Anfang Januar erreichen uns verstärkt Anfragen zum Thema „Rechtssichere E-Mail-Archivierung“. Seit dem 1. Januar 2017 gibt es verbindliche gesetzliche Anforderungen an die langfristige, unveränderliche und sichere Aufbewahrung elektronischer Nachrichten im Hinblick auf Vollständigkeit, Richtigkeit, Zeitgerechtheit, Unveränderbarkeit, Ordnung und Nachvollziehbarkeit. Anforderungen, die den einen oder anderen Kunden überrascht haben mögen. Zu Recht: Denn wer in der IT zuhause ist, weiß, dass schon der Terminus „Rechtssicherheit“ in Verbindung mit Datenhaltung prekär ist, einfach, weil es kein Speichermedium gibt, dass zu 100 Prozent sicher ist. Wir sprechen eigentlich von „Rechtskonformität“ – und öffnen damit nicht nur begrifflich das Feld zu einer Debatte, die mehr als nur einen potenziellen Stolperstein aufweist.

Aufgrund des gesteigerten Interesses an diesem Thema beleuchten wir daher in diesem Beitrag ausführlich die Hintergründe und erklären, was Sie jetzt noch tun können. Sollte Sie dieses Thema unmittelbar betreffen, nehmen Sie bitte umgehend Kontakt mit Ihrem Implementierungspartner oder AMTANGEE auf. Es gibt beim Thema „Rechtssicherheit“ nicht die eine Lösung, vielmehr ist die konkrete Umsetzung der Richtlinien von den besonderen Gegebenheiten in einem Unternehmen abhängig. Welcher Lösungsvorschlag zu Ihrem Unternehmen passt, erörtern wir gerne im direkten Gespräch. Auch, weil uns wichtig ist, dass Sie sich frei zwischen verschiedenen Optionen entscheiden können, statt überstürzt eine Lösung zu wählen, die „nur“ die gesetzlichen Verpflichtungen erfüllt.

E-Mail-Archivierung: Fakten und Mythen

Dass viele Unternehmen das Thema E-Mail-Archivierung bisher nur unzureichend bewältigt haben, liegt neben – vorsichtig ausgedrückt – intransparenten Vorschriften auch an einer Vielzahl verbreiteter Irrtümer, in denen sich die derzeitige Verwirrung widerspiegelt. Lassen Sie uns daher eingangs Licht ins Dunkel bringen, indem wir einige geläufige Mythen entzaubern:

Jede Mail muss archiviert werden. Alle Unternehmen – Nichtkaufleute ausgenommen – müssen ihre komplette Geschäftskorrespondenz für sechs bis zehn Jahre ab Ende des Kalenderjahres aufbewahren. Allerdings: Spam, Newsletter und Werbung können gelöscht werden – es sei denn, eine bestimmte Werbung markiert den Beginn einer geschäftlichen Beziehung. Zur Aufbewahrungszeit später mehr.

Ein E-Mail-Archivsystem allein garantiert Rechtskonformität. Leider nicht! Denn die rechtlichen Anforderungen sind nicht erfüllt, nur, weil die Rechnung für die Software beglichen wurde. Ein E-Mail-Archivsystem garantiert keine Rechtskonformität, solange die Implementierung nicht von einem tiefgreifenden Verständnis getragen wird, das Archivierung als Prozess versteht, bei dem es auch um Zuständigkeiten und die Vergabe von Rechten geht. Rechtskonformität wird damit zu einem Anspruch ans Unternehmen – und erst in der Folge an die Software.

E-Mail-Archivierung geschieht einzig aus juristischen Gründen. Selbst wenn es keine gesetzliche Verpflichtung geben würde, ist eine Sicherung von E-Mails unbedingt sinnvoll. Wer seine Daten nicht sichert, spielt mit seiner Unternehmensexistenz. Rechtssichere E-Mail-Archivierung unterscheidet sich aber in einem wesentlichen Punkt von einer klassischen Backup-Lösung: Eine laufende Signierung mit qualifizierten Zeitstempeln ist aus Gründen der Beweiswerterhaltung unerlässlich. (E-Mails genießen zwar nicht den gleichen Status wie eine Urkunde, gelten aber nach § 371 Abs. 1 Satz 2 ZPO grundsätzlich als Augenscheinbeweis und liefern oft die einzigen Nachweise für Absprachen der Streitparteien. Mit einer qualifizierten elektronischen Signatur können E-Mails gemäß § 371a ZPO einer Urkunde gleichgestellt werden.) Mehr noch: Eine archivierte E-Mail ist immer auch eine indizierte E-Mail, die z.B. durch eine Volltextsuche schneller aufgefunden werden kann.

E-Mail-Archivierung: Ein Muss!

Auch wenn das Wie in vielen Unternehmen noch unklar ist, über das Ob sollte es mittlerweile keine Zweifel mehr geben. Für Unternehmen spielen dabei insbesondere die steuerrechtlich relevanten Anforderungen eine große Rolle. So schreibt § 147 Abs. 1 Abgabenordnung (AO) vor, dass die empfangenen und versandten Geschäftsbriefe aufzubewahren sind. Das Gesetz spricht hier von einer geordneten Aufbewahrung. In § 147 AO werden noch weitere Unterlagen genannt, die der Archivierungspflicht unterliegen. Die gesamte E-Mail-Korrespondenz, die sich auf die Vorbereitung, Abschluss oder Rückabwicklung eines Geschäfts bezieht, unterliegt damit der Aufbewahrungspflicht. Eine oft gängige Vorgehensweise, E-Mails einfach nach einem bestimmten Zeitraum automatisch zu löschen, verstößt damit eindeutig gegen die gesetzlichen Anforderungen.

Auch auf die vermeintlich simple Frage, wie lange E-Mails zu archivieren sind, gibt es keine einfache Antwort. „Handelsbriefe“ (wie sie im Rahmen des Handelsgesetzbuches definiert sind) müssen sechs Jahre lang aufbewahrt werden, steuerrelevante Dokumente hingegen gemäß Abgabenordnung zehn Jahre. In der Praxis gestaltet sich die Abgrenzung von steuerlich relevanten E-Mails zu nur handelsrechtlich relevanten E-Mails schwierig, da der Übergang meist fließend ist. Es empfiehlt sich daher eine Aufbewahrung von zehn Jahren, und zwar beginnend mit dem Ende des Kalenderjahres in dem das Dokument archiviert wurde. Die Verantwortung für die rechtssichere E-Mail-Archivierung liegt dabei stets bei der Geschäftsleitung.

Fehlt in einem Unternehmen eine rechtssichere E-Mail-Archivierung, kann dies zivilrechtliche oder strafrechtliche Konsequenzen für die Geschäftsführung nach sich ziehen. Gemäß § 162 Abgabenordnung (AO) drohen steuerliche Konsequenzen, beispielsweise Strafzahlungen an das Finanzamt. Bei einer Verletzung der Buchführungspflichten droht der Geschäftsführung gemäß § 283b Abs. 1 Strafgesetzbuch eine Freiheitsstrafe von bis zu einem Jahr oder eine Geldstrafe. Zivilrechtliche Schadensersatzansprüche können zudem aus den §§ 280 ff BGB oder § 241 Abs. 2 BGB entstehen. Voraussetzung ist unter anderem, dass bei dem Anspruchsberechtigten aufgrund der fehlenden Archivierung ein Schaden eingetreten ist. Verstöße gegen die Archivierungspflicht können darüber hinaus auch den Tatbestand einer Ordnungswidrigkeit wegen Steuergefährdung nach § 379 AO erfüllen. Auch zivilrechtliche Haftungsrisiken bestehen: Geschäftsführer oder Vorstände können nach den § 43 Abs. 2 GmbHG bzw. § 93 Abs. 2 AktG schadensersatzpflichtig gegenüber der jeweiligen Gesellschaft sein. Sie ahnen es schon: Es gibt darüber hinaus weitere Implikationen, die den Rahmen dieses Beitrags sprengen würden…

Die Ist-Situation

Bereits seit einigen Jahren hat die E-Mail-Kommunikation die „klassischen“ Kommunikationsarten Telefon, Brief und Fax an Bedeutung übertroffen. Damit hat sich der E-Mail-Datenaustausch zu einer geschäftskritischen Kommunikationsplattform entwickelt, deren reibungsloses Funktionieren für viele Unternehmen unabdingbar geworden ist. Welche elementare Rolle E-Mails im Rahmen der Unternehmenskommunikation spielen, hat unlängst die Deutsche Bank offenbart, indem sie ihren Mitarbeitern kurzerhand verboten hat, mit firmeneigenen Smartphones Messenger-Dienste wie WhatsApp oder auch nur die gute alte SMS zu nutzen. Ein ungewöhnlicher Schritt, der nichts mit der Produktivität der Mitarbeiter zu tun hat – vielmehr geht es darum, dass Informationen nicht mehr undokumentiert kursieren sollen. Die Mitarbeiter sollen stattdessen auf E-Mails umsteigen – eben, weil E-Mails rechtssicher archiviert werden können. Die Kehrseite: Da der Aufwand, eine archivierungspflichtige E-Mail zu ermitteln, in aller Regel hoch ist, wird häufig schlicht alles archiviert – was wiederum zu Konflikten mit anderen Gesetzen führen kann. Dazu später mehr.

E-Mail-Archivierung ist die – allgemein gesprochen – eigenständige Bezeichnung für eine langfristige, unveränderliche und sichere Aufbewahrung elektronischer Nachrichten. Grundlage dieser Archivierung sind zum einen gesetzliche Anforderungen an die lückenlose Dokumentation von steuerlich relevanten Dokumenten, zum anderen Anforderungen an die Verwaltung immer komplexer werdender E-Mail-Kommunikationsdaten und -prozesse. Neben dem Schutz vor Datenverlust und dem Schutz vor der Überlastung von E-Mail-Servern, sind es auch Fragen der Manipulationssicherheit, die zur Erfüllung rechtlicher Anforderungen relevant sind. Hier geht es also darum, dass steuerrelevante Daten in maschinell auswertbarer Form vorzeigbar aufbewahrt werden müssen.

Die bereits vorhandenen rechtlichen Grundlagen wurden in der Vergangenheit behutsam überarbeitet und auf eine einheitliche und verbindliche Grundlage gestellt. Das Bundesfinanzministerium hat am 14. November 2014 das Schreiben zu den „Grundsätzen zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“ (GoBD) veröffentlicht. Dieses Verwaltungsschreiben konkretisiert die Normen aus der Abgabenordnung (AO) und dem Umsatzsteuergesetz (UStG) und verfügt, wie künftig digitale Unterlagen aufbewahrt werden sollen, damit das Finanzamt bei einer Betriebsprüfung auf diese Informationen zugreifen kann. Die GoBD gelten seit dem 1. Januar 2015 und lösen damit die „Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen“ (GDPdU), das „FAQ zum Datenzugriffsrecht der Finanzverwaltung“ sowie die „Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme“ (GoBS) in vereinheitlichender Weise ab. Die vom Gesetzgeber eingeräumte „Schonfrist“ hierfür endete am 1. Januar 2017.

GoBD: Die wichtigsten Anforderungen

Trotz (oder vielleicht auch wegen) der Konkretisierung der verschiedenen Regelungen durch die GoBD ist es für Unternehmen oft nicht einfach, den Überblick zu behalten. Deshalb fassen wir die wichtigsten Anforderungen bezüglich einer rechtskonformen E-Mail-Archivierung hier für Sie zusammen:

  • Archivierungspflicht: E-Mails, die die Funktion eines Geschäfts- oder Handelsbriefes oder eines Buchungsbelegs erfüllen, sind aufbewahrungspflichtig; dies betrifft E-Mail-Text sowie -Attribute und Anhänge.
  • Formattreue: Die Aufbewahrung von elektronischen Dokumenten muss grundsätzlich im Original – also im elektronischen Ursprungsformat – erfolgen; ein papierener Ausdruck genügt nicht.
  • Unveränderbarkeit: E-Mails sind unverändert zu archivieren; Daten dürfen nicht ohne entsprechende Kenntlichmachung (Protokollierung, Änderungsdokumentation) verändert, überschrieben oder ersetzt werden. Eine Aufbewahrung innerhalb des E-Mail- oder Dateisystems ohne zusätzliche Sicherungsmaßnahmen reicht grundsätzlich nicht aus; empfehlenswert ist daher ein entsprechendes Dokumentenmanagementsystem (DMS).
  • Ordnung: E-Mails müssen mittels einer Indexstruktur identifizierbar und klassifizierbar sein; zudem müssen sie eindeutig dem entsprechenden Geschäftsvorfall bzw. Buchungsbeleg zugeordnet sein. Auch hier ist ein E-Mail-System oft nur begrenzt geeignet, um die nötigen Ordnungsstrukturen herzustellen.
  • Maschinelle Auswertbarkeit: Für elektronische Unterlagen muss eine mathematisch-technische Auswertung sowie eine Volltextsuche möglich sein.
  • Datensicherheit: Steuerrelevante E-Mails müssen vor Verlust und Manipulation geschützt sein.
  • Vollständigkeit: Die Archivierung hat vollständig zu erfolgen, d.h. kein Dokument darf auf dem Weg ins Archiv oder im Archiv selbst verloren gehen.
  • Datenzugriff:  Es muss gegeben sein, dass die elektronischen Dokumente von einer sachverständigen dritten Person jederzeit per Volltextsuche überprüfbar sowie maschinell auswertbar sind.

In der Konsequenz bedeutet dies: Bei einer etwaigen Betriebsprüfung muss ein unmittelbarer Lesezugriff, ein Zugriff über Auswertungen und die Datenträgerüberlassung in verschiedenen Formaten ermöglicht werden. Die Frage, welches Dokument steuerrelevant ist oder nicht, entscheidet im Zweifel das Finanzamt. Daraus erwächst für alle Unternehmen die Verpflichtung, seit Jahresbeginn alle eingehenden und ausgehenden E-Mails automatisch zu speichern. Auch private, von Mitarbeitern versendete oder empfangene E-Mails würden dann in einem Archivierungssystem abgelegt und einem Betriebsprüfer zugänglich sein. Eingriffe seitens der Mitarbeiter, z.B. Löschungen oder Veränderungen in dieses System, müssten konsequenterweise unterbunden werden. Das Problem: Eine automatische Abspeicherung und der Zugang zu privaten E-Mails von Mitarbeitern könnte das Postgeheimnis – als Grundrecht im Artikel 10 des Grundgesetzes verankert – verletzen. E-Mails gehören per Definition zur Kategorie „Brief“ und unterliegen diesem Grundrecht. Daher kann eine automatisierte E-Mail-Sicherungsmaßnahme in einem Unternehmen nur durch eine vertragliche Vereinbarung mit den Mitarbeitern oder mit der Zustimmung eines vertretungsberechtigten Betriebsrates erlaubt werden. Eine andere Möglichkeit ist die Durchsetzung eines allgemeinen Verbots privater E-Mail-Kommunikation von Seiten der Geschäftsleitung. Um juristisch auf der sicheren Seite zu sein, muss dies jedoch schriftlich fixiert und konsequent durchgesetzt werden. Mögliche Konfliktfälle können dennoch auch hier auftreten, zum Beispiel, wenn dienstliche E-Mails datenschutzrechtlich relevante, personenbezogene Inhalte haben (wie z.B. die E-Mail eines Betriebsarztes an einen Mitarbeiter).

Statt eines Fazits

Fragen zum Thema E-Mail-Archivierung sind in hohem Maße mit der technischen und organisatorischen Struktur eines Unternehmens verknüpft, eine pauschale Empfehlung kann es daher nicht geben. Welche Möglichkeiten der E-Mail-Archivierung am besten zu Ihrem Unternehmen passen, erläutern wir mit Ihnen gerne im persönlichen Gespräch. Wir unterstützen Sie gerne, weisen aber noch einmal darauf hin, dass eine Beratung nur dann sinnvoll und zielführend sein kann, wenn sie anwaltlich begleitet wird.

Weitere Beiträge
Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.