Die rechtssichere E-Mail- Archivierung für Ihr Unternehmen

Rechtssichere E-Mail- Archivierung

E-Mail-Archivierung bietet nicht nur zahlreiche technische und wirtschaftliche Vorteile, sie stellt für Unternehmen zudem eine zwingende Notwendigkeit dar. Geltende rechtliche Anforderungen können nicht ohne eine solche Lösung erfüllt werden. Besonders der rechtliche Aspekt der Archivierung ist sehr vielschichtig und von zahlreichen Grauzonen geprägt. Dieser Leitfaden führt durch die wichtigsten Fragestellungen. 

Stand: 08. September 2017

Übersicht der wichtigsten Fragestellungen

Was muss archiviert werden?

  • Bücher und Aufzeichnungen,  Inventare, Jahresabschlüsse, Lageberichte, die Eröffnungsbilanz sowie die zu ihrem Verständnis erforderlichen Arbeitsanweisungen und sonstigen Organisations-Unterlagen, 

  • die empfangenen Handels- oder Geschäftsbriefe,

  • Wiedergaben der abgesandten Handels- oder Geschäftsbriefe,

  • Buchungsbelege und

  • sonstige Unterlagen, soweit sie für die Besteuerung von Bedeutung sind.

Dazu gehört jegliche Korrespondenz, durch die ein Geschäft vorbereitet, abgewickelt, abgeschlossen oder rückgängig gemacht wird. Beispiele sind Rechnungen, Aufträge, Reklamationsschreiben, Zahlungsbelege und Verträge. Dies gilt auch dann, wenn diese per E-Mail versendet werden.


Archivierung von Dateianhängen

E-Mail-Anhänge müssen ebenfalls archiviert werden, sollte die E-Mail ohne diese Anlagen unverständlich oder unvollständig sein.


In der Praxis

In Anbetracht der Masse der täglich empfangenen und versendeten E-Mails ist eine Kategorisierung inarchivierungspflichtige und nicht-archivierungspflichtige E-Mails fast nicht möglich. Es wird daher oftbevorzugt, einfach alle E-Mails zu archivieren. Dies kann ein Unternehmen jedoch in Konflikt mitanderen Gesetzen bringen (vgl. Seite 7 „Konflikte zwischen Datenschutz und E-Mail-Archivierungvermeiden“).


Wie lange müssen E-Mails aufbewahrt werden?

Die Aufbewahrungsfristen ergeben sich aus dem Handelsgesetzbuch (§ 257 HGB) 1 und der Abgabenordnung (§ 147 AO) 2: 

  • Bücher, Aufzeichnungen, Inventare, Jahresabschlüsse, Lageberichte, Eröffnungsbilanzen, die zu ihrem Verständnis erforderlichen Arbeitsanweisungen und sonstigen Organisationsunterlagen sowie Buchungsbelege müssen zehn Jahre lang aufbewahrt werden.

  • Empfangene Handels- oder Geschäftsbriefe, Wiedergaben der abgesandten Handels- oder Geschäftsbriefe sowie sonstige Unterlagen, soweit sie für die Besteuerung von Bedeutung sind, müssen sechs Jahre lang aufbewahrt werden. 

Die Fristen beginnen mit Schluss des Kalenderjahres, indem die Handels- oder Geschäftsbriefe versendet oder empfangen wurden oder die sonstigen Unterlagen entstanden sind.

Wie lange müssen E-Mails aufbewahrt werden?

Die Aufbewahrungsfristen ergeben sich aus dem Handelsgesetzbuch (§ 257 HGB) 1 und der Abgabenordnung (§ 147 AO) 2:

  • Bücher, Aufzeichnungen, Inventare, Jahresabschlüsse, Lageberichte, Eröffnungsbilanzen, die zu ihrem Verständnis erforderlichen Arbeitsanweisungen und sonstigen Organisationsunterlagen sowie Buchungsbelege müssen zehn Jahre lang aufbewahrt werden.

  • Empfangene Handels- oder Geschäftsbriefe, Wiedergaben der abgesandten Handels- oder Geschäftsbriefe sowie sonstige Unterlagen, soweit sie für die Besteuerung von Bedeutung sind, müssen sechs Jahre lang aufbewahrt werden.

  • Die Fristen beginnen mit Schluss des Kalenderjahres, indem die Handels- oder Geschäftsbriefe versendet oder empfangen wurden oder die sonstigen Unterlagen entstanden sind.

Die Aufbewahrungsfrist läuft jedoch nicht ab, soweit und solange die Unterlagen für Steuern von Bedeutung sind, für welche die Festsetzungsfrist noch nicht abgelaufen ist. In der Praxis geht man daher von einer regelmäßigen Aufbewahrungsfrist von elf Jahren aus.

Wer trägt die Verantwortung und welche Konsequenzendrohen?

Die Verantwortung für die ordnungsgemäße Umsetzung der rechtlichen Anforderungen zur Aufbewahrung von E-Mails liegt bei der Geschäftsführung eines Unternehmens. Kommt diese ihrer Pflicht nicht nach, drohen zivilrechtliche und strafrechtliche Konsequenzen:

  • § 162 AO3: Steuerliche Konsequenzen, wie Strafzahlungen an das Finanzamt

  • § 283 StGB4: z.B. eine Freiheitsstrafe von bis zu 2 Jahren bei Verletzung der Buchführungspflicht

  • § 280ff. BGB5 und § 241 Abs. 2 BGB6: Schadensersatzansprüche

Kann eine E-Mail als Beweis genutzt werden?

Abgesehen von der gesetzlichen Pflicht ist es auch ratsam E-Mails zu archivieren, um bei gerichtlichenAuseinandersetzungen auf diese Dokumente zurückzugreifen. Im Rahmen der freien richterlichenBeweiswürdigung genießen E-Mails zwar nicht den gleichen Status wie eine Urkunde, gelten nach § 371Abs. 1 Satz 2 ZPO7 als elektronisches Dokument grundsätzlich aber als Augenscheinbeweis. Zudem sindsie oft der einzige Nachweis für Absprachen zwischen den Streitparteien. So liefern E-Mails in diesemZusammenhang wichtige Indizien zu Aussteller, Empfänger, Absende- und Zugangsdatum sowie zuvereinbarten Vertragsinhalten. Zusammen mit einer qualifizierten elektronischen Signatur können EMailszudem vom Aussteller oder mittels notariell beglaubigter Handzeichen unterzeichnetenPrivaturkunden gleichgestellt werden (§ 371a ZPO). Dies begründet die formelle Beweiskraft von EMailsund wird als Beweis gewertet, dass in qualifiziert elektronisch signierten E-Mails enthalteneErklärungen tatsächlich von den Ausstellern abgegeben wurden.

Anforderungen an eine revisionssichereE-Mail-Archivierung

Allgemeine Anforderungen an eine revisionssichere E-Mail-Archivierung ergeben sich insbesondere aus den Ordnungsvorschriften für die Buchführung und für Aufzeichnungen (§ 146 AO) sowie den Vorgaben zur Führung der Handelsbücher (§ 239 HGB), welche die

  • Vollständigkeit

  • Richtigkeit,

  • Zeitgerechtheit,

  • Unveränderbarkeit,

  • Ordnung und

  • Nachvollziehbarkeit bei der Führung der Handelsbücher und sonstiger erforderlicher Aufzeichnungen in den Vordergrund stellen.

Das Bundesfinanzministerium hat zudem am 14.11.2014 das Schreiben zu den „Grundsätzen zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD)“8 veröffentlicht. Das Verwaltungsschreiben konkretisiert die Normen aus der Abgabenordnung (AO) und dem Umsatzsteuergesetz (UStG) und bestimmt, wie digitale Unterlagen aufbewahrt werden sollen, damit das Finanzamt bei einer Betriebsprüfung auf diese Informationen zugreifen kann.

 

Die GoBD gelten seit dem 1.1.2015 und lösen die „Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU)“, das „FAQ zum Datenzugriffsrecht der Finanzverwaltung“ sowie die „Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS)“ ab. Folgende Aspekte der GoBD sind für die revisionssichere Archivierung von E-Mails besonders zu beachten:

 

Grundsätzlich müssen alle relevanten E-Mails und deren Dateianhänge vollständig, manipulationssicher und jederzeit verfügbar aufbewahrt werden. Weiterhin müssen die Daten maschinell auswertbar sein. Eine alleinige Aufzeichnung auf Mikrofilm oder Papier ist nicht ausreichend, da dies den Anforderungen an die (jederzeitige) maschinelle Auswertbarkeit nicht genügt. Weiterhein stellt eine Langzeitarchivierung im verwendeten E-Mail-System keine geeignete Lösung dar, da die Anforderungen an die Ordnungsmäßigkeit (insbesondere Unveränderbarkeit und Nachvollziehbarkeit) schwerlich erfüllt werden können.

 

Eine Umwandlung in ein anderes Format (z.B. Inhouse-Format) zum Zwecke der Archivierung ist nur zulässig, wenn die maschinelle Auswertbarkeit nicht eingeschränkt und keine inhaltliche Veränderung vorgenommen wird (Grundsatz der Unveränderbarkeit). Wird eine E-Mail beispielsweise als PDF-Datei gespeichert, so gehen dabei gegebenenfalls die Informationen des Headers (z.B. Informationen zum Absender, Zustelldatum etc.) verloren und sind somit nicht mehr ohne weiteres nachvollziehbar.


Sofern beispielsweise eine Gelangensbestätigung, als Nachweis der Steuerbefreiung bei innergemeinschaftlichen Lieferungen, per E-Mail übermittelt wird, verlangen die Finanzbehörden für den Nachweis der Herkunft eine sichere Aufbewahrung der kompletten E-Mail samt Anhang im elektronischen Original. Aufzeichnungs- und aufbewahrungspflichtige Daten, Datensätze, elektronische Dokumente und elektronische Unterlagen, die im Unternehmen entstanden oder dort eingegangen sind, sind ebenfalls in dieser Form aufzubewahren und dürfen vor Ablauf der Aufbewahrungsfrist nicht gelöscht werden. Eine Aufbewahrung ausschließlich in ausgedruckter Form ist daher nicht mehr zulässig.

 

Die Dokumente müssen für die Dauer der Aufbewahrungsfrist unveränderbar erhalten bleiben. Dies gilt unabhängig davon, ob die Aufbewahrung im Produktivsystem oder durch Auslagerung in ein anderes DV-System erfolgt. Unter Zumutbarkeitsgesichtspunkten ist es jedoch nicht zu beanstanden, wenn der Steuerpflichtige elektronisch erstellte und in Papierform abgesandte Handels- und Geschäftsbriefe nur in Papierform aufbewahrt. Das Archivierungsverfahren für E-Mails unterliegt nach den GoBD der Verpflichtung zu einer Verfahrensdokumentation, welche auch als Teil der generellen Verfahrensdokumentation des Archivierungs- bzw. Dokumentenmanagementsystems umgesetzt werden kann. Hierbei sollten jedoch die für die E-Mail-Archivierung spezifischen Aspekte, wie beispielsweise Regelungen zu SPAM, Konvertierungseinstellungen, Beschreibung der Maßnahmen zur Sicherung der Vollständigkeit, Nachvollziehbarkeit, Unveränderbarkeit und maschinellen Auswertbarkeit etc. berücksichtigt werden. Die „Merksätze des Verbandes Organisations- und Informationssysteme e.V. zur revisionssicheren elektronischen Archivierung“9 erläutern, was dies konkret für die Archivierung elektronischer Dokumente bedeutet:

  • Jedes Dokument muss nach Maßgabe der rechtlichen und organisationsinternen Anforderungen ordnungsgemäß aufbewahrt werden.

  • Die Archivierung hat vollständig zu erfolgen – kein Dokument darf auf dem Weg ins Archiv oder im Archiv selbst verloren gehen.

  • Jedes Dokument ist zum organisatorisch frühestmöglichen Zeitpunkt zu archivieren.

  • Jedes Dokument muss mit seinem Original übereinstimmen und unveränderbar archiviert werden.

  • Jedes Dokument darf nur von entsprechend berechtigten Benutzern eingesehen werden.

  • Jedes Dokument muss in angemessener Zeit wiedergefunden und reproduziert werden können.

  • Jedes Dokument darf frühestens nach Ablauf seiner Aufbewahrungsfrist vernichtet, d.h. aus dem Archiv gelöscht werden.

  • Jede ändernde Aktion im elektronischen Archivsystem muss für Berechtigte nachvollziehbar protokolliert werden.

  • Das gesamte organisatorische und technische Verfahren der Archivierung kann von einem sachverständigen Dritten jederzeit geprüft werden.  Bei allen Migrationen und Änderungen am Archivsystem muss die Einhaltung aller zuvor aufgeführten Grundsätze sichergestellt sein.

Was ist zu beachten, wenn aufbewahrungspflichtige E-Mailsverschlüsselt archiviert werden?

Es muss sichergestellt sein, dass der Prüfer bei einer Datenträgerüberlassung auf die Daten zugreifenkann und die maschinelle Auswertbarkeit gewährleistet ist. Die Entschlüsselung der übergebenensteuerlich relevanten Daten muss “spätestens bei der Datenübernahme auf Systeme derFinanzverwaltung erfolgen.“


Dürfen E-Mails aus dem Archiv gelöscht werden?

Ja, grundsätzlich ist es möglich, E-Mails aus dem Archiv zu löschen, solange dies nicht mit dergesetzlich geforderten Vollständigkeit und Dauer der Aufbewahrung in Konflikt steht. So dürfenbeispielsweise Spam-E-Mails aus dem Archiv entfernt werden. In der Praxis ist es jedoch schwierig inarchivierungspflichtige und nicht-archivierungspflichtige E-Mails zu unterscheiden, weswegen diemeisten Systeme standardmäßig so konfiguriert sind, dass sie alle E-Mails archivieren.


Datensicherheit bei der E-Mail-Archivierung

Die GoBD betonen ferner die Wichtigkeit der Datensicherheit bei der formellen Ordnungsmäßigkeit derBuchführung. Daten, Datensätze, elektronischen Dokumente und elektronischen Unterlagen sinddemzufolge ausreichend zu schützen und gegen Verlust, (z. B. Unauffindbarkeit, Vernichtung,Untergang und Diebstahl) und unberechtigte Eingaben und Veränderungen (z.B. durch Zugangs- undZugriffskontrollen) zu sichern. Dies erfordert die Einbettung der E-Mail-Archivierungslösung in das ITSicherheitskonzeptder Unternehmung sowie die Überwachung der Wirksamkeit und Einhaltung dertechnischen und organisatorischen Vorgaben durch ein effizientes Internes Kontrollsystem (IKS).Insbesondere sind bei der Einbettung der E-Mail-Archivierung die allgemeinen IT-SchutzzieleVertraulichkeit (autorisierter Zugriff), Integrität (Schutz vor Veränderungen) und Verfügbarkeit zubeachten.

Konflikte zwischen Datenschutz und E-MailArchivierung vermeiden

Durch die Umsetzung einer Compliance-Strategie, mit deren Hilfe die gesetzlichen Anforderungen zurAufbewahrung von E-Mails umgesetzt werden sollen, kann ein Unternehmen unter gewissenUmständen in Konflikt mit anderen rechtlichen Vorschriften geraten.


Automatische Archivierung aller E-Mails sofort bei Ein- und Ausgang

In Anbetracht der Masse der täglich empfangenen und versendeten E-Mails ist eine Kategorisierung in archivierungspflichtige und nicht-archivierungspflichtige E-Mails in der Praxis beinahe unmöglich. Um die Vollständigkeit der Archivierung zu gewährleisten, werden häufig alle E-Mails sofort bei Ein- und Ausgang archiviert. So wird gleichzeitig möglichen Manipulationen vorgebeugt, da Mitarbeiter die digitale Post vor der Archivierung weder verändern noch löschen können. 

Diese Archivierungsstrategie kann jedoch in Konflikt mit den Datenschutzrichtlinien stehen. Ist den Arbeitnehmern beispielsweise die private E-Mail-Nutzung gestattet, unterliegt der Arbeitgeber als Telekommunikationsanbieter dem Bundesdatenschutzgesetz (BDSG)11 und dem Telekommunikationsgesetz (TKG)12

Untersagung der privaten E-Mail-Nutzung

Zur Lösung dieses Problems kann die private E-Mail-Nutzung untersagt oder die ausschließlicheNutzung externer E-Mail-Dienste vorgeschrieben werden. Um juristisch auf der sicheren Seite zu sein,muss dies schriftlich fixiert, kontrolliert und konsequent durchgesetzt werden.Die schriftliche Fixierung kann z.B. in Richtlinien betreffend der Nutzung der firmeneigenen ITInfrastruktur,in einer Betriebsvereinbarung, einer Einverständniserklärung der Belegschaft oder imindividuellen Anstellungsvertrag erfolgen.Eine sachgerechte E-Mail-Richtlinie sollte den Verarbeitungsprozess einer E-Mail im E-Mail-System überden gesamten Lebenszyklus und Kommunikationsprozess beschreiben und definieren. Dies schließtdas oben aufgeführte Verbot der privaten Nutzung der betrieblichen E-Mail-Kommunikationsstrukturenmit ein, welches regelmäßig kontrolliert werden sollte, da aus einer Duldung wiederum einestillschweigende Erlaubnis abgeleitet werden könnte, die die ursprüngliche Weisung aufhebt. Dieshätte direkte Auswirkungen auf die Zulässigkeit der automatischen Archivierung von E-Mails.

Ist die Zustimmung zur Archivierung durch eineBetriebsvereinbarung eine Alternative?

Bisweilen wird die Auffassung vertreten, dass die private Nutzung des geschäftlichen E-Mail-Accountsund E-Mail-Archivierung dann nicht in einem Konflikt stehen, wenn die Mitarbeiter – gegebenenfallsmittels einer Betriebsvereinbarung durch den Betriebsrat – der Archivierung explizit zugestimmt haben.Allgemein betrachtet ist dies auch zutreffend, im Detail jedoch kompliziert. Denn problematisch hierbeiist, dass der Mitarbeiter auf diese Weise nur seine eigenen durch das Fernmeldegeheimnis geschütztenRechte abtreten kann. Dies gilt jedoch selbstverständlich nicht für einen eventuellen „externenKommunikationspartner“, dessen Nachrichten ja unwissentlich und unwillentlich mitgesichert würden.Da also die E-Mails von Außenstehenden archiviert würden und deren

Konflikte bei dienstlichen E-Mails mit personenbezogenenInhalten

Es existieren darüber hinaus noch gewisse Unsicherheiten, selbst wenn die private Nutzung dergeschäftlichen E-Mail-Accounts explizit untersagt ist: Beispielsweise können auch dienstliche E-Mailsdurchaus datenschutzrechtlich relevante, personenbezogene Inhalte haben. In diesem Zusammenhangwird gegen eine generelle Archivierung aller Mails beispielhaft die mögliche elektronische Post desBetriebsarztes an einen Mitarbeiter angeführt. Selbstverständlich handelt es sich dabei um vertraulicheund somit schützenswerte Inhalte.

Sonderfall „Bewerbungsunterlagen“

Ein weiteres Beispiel sind Bewerbungsunterlagen. Gemäß § 35 Abs. 2 BDSG13 sind personenbezogeneDaten zu löschen, wenn sie für eigene Zwecke verarbeitet werden, „sobald ihre Kenntnis für dieErfüllung des Zwecks der Speicherung nicht mehr erforderlich ist.“ Dementsprechend ist einelangfristige Aufbewahrung von Bewerbungsunterlagen nach Abschluss des Bewerbungsverfahrensnicht gestattet. Um sich vor einem etwaigen Verstoß gegen das Benachteiligungsverbot nach demAntidiskriminierungsgesetz (AGG) zu verteidigen, ist lediglich eine Aufbewahrungsfrist von zweiMonaten nach Abschluss des Bewerbungsverfahrens gestattet (§ 15 Abs. 4 AGG) 14.

Sonderfall „E-Mails an den Betriebsrat“

E-Mails an den Betriebsrat stellen ebenfalls sensible Informationen dar und unterliegen einemgesteigerten Persönlichkeitsrecht.

In der Praxis

Um Konflikte mit dem Datenschutz zu vermeiden, sollten E-Mails mit personenbezogenen Inhalten wieBewerbungsunterlagen oder E-Mails an den Betriebs- oder Personalrat an eine entsprechendeingerichtete E-Mail-Adresse wie z.B. Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein! gesendet werden. Dieses Postfach kann dann von der Archivierung ausgeschlossen werden. Gleiches kann für den elektronischen Briefverkehrmit dem Datenschutzbeauftragten oder dem Betriebsarzt gelten.Führende deutsche IT-Rechtler vertreten zudem die Auffassung, dass bei einer Interessenabwägungzwischen dem Datenschutz des Arbeitnehmers (Art. 2 Abs. 1 GG15 i.V.m. Art. 1 Abs. 1 GG16) und demSchutz des eingerichteten und ausgeübten Gewerbebetriebes des Arbeitgebers (Art. 14 Abs. 1GG)17letzterer obsiegt. Der Begriff der „Erforderlichkeit“ (§ 32 BDSG)18 spielt hierbei eine wichtige Rolle. Dennaufgrund der zahlreichen Gesetze und Vorschriften besteht eben nicht nur ein Interesse, sonderngeradezu die Pflicht zur Archivierung. Allerdings muss der Arbeitgeber unbedingt seinerInformationspflicht über die E-Mail-Archivierung gemäß § 4 Abs. 3 BDSG19 nachkommen und alleMitarbeiter vor der Implementation einer entsprechenden Lösung informieren.