ebigo.de - E-Business.IT.Antworten für den Mittelstand

- von Rechtsanwalt Dr. Oliver Meyer, Bongen, Renaud & Partner, Stuttgart, oliver.meyer@bongen.de -

Die nach wie vor in vielen Unternehmen bestehenden Unsicherheiten im Umgang mit der ein- und ausgehenden elektronischen Post verwundern nicht; existiert doch kein Gesetz, das explizit die Archivierung von E-Mails zum Gegenstand hat und aus dem jedermann ablesen könnte, wie er welche E-Mails und wie lange zu archivieren hat. Es handelt sich um eine rechtliche Querschnittsmaterie; die Anforderungen an eine rechtskonforme Archivierung folgen aus völlig unterschiedlichen Gesetzen.

Branchenspezifische Aufbewahrungspflichten

Branchenspezifische Aufbewahrungspflichten, die grundsätzlich auch für ein- und ausgehende E-Mails Anwendung finden können, existieren z.B. im Bankenbereich, für medizinische Dokumentationen und im Arbeitsrecht.

Unmittelbare Anforderungen

Branchenübergreifende unmittelbare Anforderungen an die E-Mail Archivierung ergeben sich vor allem aus dem Handels- und Steuerrecht; insbesondere vor dem Hintergrund, dass Betriebsprüfungen heute verstärkt elektronisch erfolgen, gewinnen diese Anforderungen in der Praxis zunehmend an Bedeutung.

Gemäß § 257 des Handelsgesetzbuchs sind empfangene und abgesandte Handelsbriefe regelmäßig 6 Jahre aufzubewahren. Handelsbriefe sind solche, die der Vorbereitung, dem Abschluss, der Durchführung oder der Rückabwicklung eines (tatsächlich geschlossenen) Geschäfts dienen. Insoweit sind auch E-Mails als Handelsbriefe aufzubewahren, wenn sie z.B. einen Auftrag, eine Auftragsbestätigung oder ein Vertragsangebot enthalten. Sind in einer E-Mail neben geschäftlichen auch private Informationen enthalten, ändert dies an der Archivierungspflicht nichts.

Infobox

Dieser Artikel kann auch im PDF-Format heruntergeladen werden.

(35 KB)

Bei der Aufbewahrung sind die Grundsätze ordnungsgemäßer Buchführung (GoB) zu beachten sowie die sie konkretisierenden Grundsätze ordnungsgemäßer DV-gestützter Buchführungssysteme (GoBS). Danach sind E-Mails insbesondere geordnet, vollständig, richtig und unveränderlich aufzubewahren; in jedem Unternehmen müssen Vorgaben bestehen, welche E-Mails von wem, zu welchem Zeitpunkt, mit welchem Verfahren und wo zu archivieren sind. Die GoBS präzisieren dabei insbesondere die Vorgaben an die Datensicherheit und die Dokumentation.

Ähnliche Erfordernisse folgen für steuerrelevante Unterlagen aus § 147 der Abgabenordnung: Über die für Handelsbriefe bestehenden Anforderungen hinaus verlangt die Abgabenordnung, dass für originale digitale Daten die Möglichkeit einer maschinellen Auswertung besteht. Ob auch reine Text-Mails (ohne Anhang) in diesem Sinne maschinell auswertbar vorgehalten werden müssen, wird unterschiedlich beurteilt.

Im Zusammenhang mit diesen Anforderungen sind auch die Erfordernisse zu sehen, die nach den Grundsätzen zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) zu beachten sind. Danach haben die Finanzbehörden nach ihrer Wahl drei Möglichkeiten des Datenzugriffs: zum einen den unmittelbaren Lesezugriff direkt am System des Steuerpflichtigen; zum anderen den mittelbaren Zugriff nach vorheriger Auswertung der Daten durch den Steuerpflichtigen selbst; schließlich – und dies ist die zur Zeit noch häufigste Zugriffsform – die Überlassung eines auswertbaren Datenträgers.

Aus den Regelungen der GDPdU folgt, dass steuerrelevante originär digitale Unterlagen nicht ausschließlich in ausgedruckter Form aufbewahrt werden dürfen. Es ist ein immer noch weit verbreiteter Irrtum, E-Mails ausdrucken, abheften und danach löschen zu können; sie sind vielmehr in digitaler Form aufzubewahren. Nicht ausreichend ist auch die ausschließliche Archivierung in einem Dateiformat, das nicht maschinell auswertbar ist, z.B. die Speicherung einer excel-Tabelle im pdf-Format. E-Mails mit steuerrelevantem Inhalt sind vielmehr mit einem Index zu versehen und mitsamt Anhängen geschäftsvorfallbezogen und maschinell auswertbar zu archivieren.

Mittelbare Anforderungen

Die rechtskonforme E-Mail Archivierung stellt darüber hinaus einen zentralen Bestandteil eines effektiven Risikomanagements dar. Die Unternehmensleitung ist generell verpflichtet, ein internes Kontrollsystem zur Risikofrüherkennung einzuführen und zu betreiben. Daraus ergibt sich mittelbar auch die Verpflichtung zur Erstellung von unternehmensinternen Verhaltensregeln hinsichtlich der Aufbewahrung von E-Mails.

Aus Compliance-Gesichtspunkten ist es z.B. erforderlich, E-Mails auffindbar zu archivieren, um mit ihnen bei Bedarf später den Beweis bestimmter Tatsachen (z.B. eines Vertragsschlusses) führen zu können. Auch wenn ausgedruckten E-Mails (ohne elektronische Signatur) nicht die gleiche Beweiskraft wie unterschriebenen Schriftstücken zukommt, sind sie zumindest dem Augenscheinsbeweis zugänglich und unterliegen damit der freien richterlichen Beweiswürdigung.

Daneben spielen insbesondere datenschutz- und arbeitsrechtliche Vorgaben eine wichtige Rolle: Ist z.B. eine Archivierung von E-Mails ohne Verstoß gegen die Datenschutzgesetze überhaupt möglich, wenn ein Unternehmen seinen Mitarbeitern die private Nutzung des Fir-men-Accounts gestattet oder jedenfalls nicht verbietet bzw. reglementiert (z.B. in einer Betriebsvereinbarung) oder aber sie zwar verbietet, die Einhaltung dieses Verbot dann aber nicht konsequent kontrolliert?

Wird dem Arbeitnehmer die private Nutzung von Internet und E-Mail gestattet, ist darauf zu achten, dem Arbeitgeber nicht von vornherein die Möglichkeit einer Missbrauchskontrolle und der rechtskonformen Archivierung abzuschneiden. Weiter hat der Arbeitgeber in diesem Fall als Telekommunikationsanbieter die Vorgaben des Telekommunikationsgesetzes und insbesondere das Fernmeldegeheimnis zu beachten. In jedem Fall empfiehlt sich eine explizite Regelung im Arbeitsvertrag oder in einer Betriebsvereinbarung.

Nach § 9 des Bundesdatenschutzgesetzes haben ferner auch nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften der Datenschutzgesetze zu gewährleisten. Die in einer Anlage zu § 9 näher spezifizierten Maßnahmen reichen von der Zutrittskontrolle zu den IT-Systemen über eine Zugriffskontrolle bis hin zur Pflicht, zu verschiedenen Zwecken erhobene Daten getrennt voneinander zu speichern.

Folge von Verstößen

Die möglichen Folgen von Verstößen gegen die Archivierungspflichten sind so mannigfaltig wie die Verpflichtungen selbst und reichen von einer Schätzung der Besteuerungsgrundlagen bei einem Verstoß gegen die Abgabenordnung, über zivilrechtliche Schadensersatzansprüche, die sich auch unmittelbar gegen das Management richten können, soweit dieses nicht die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters angewendet hat, bis hin zur Verhängung von Bußgeldern (z.B. bei einem Verstoß gegen das Datenschutzrecht) und strafrechtlichen Sanktionen.

Ausblick

Aufgrund der unterschiedlichen und zum Teil ineinander greifenden Anforderungen an eine korrekte E-Mail Archivierung wird es weiterhin erhebliche Unsicherheiten in diesem Bereich geben, die wohl nur durch entsprechende gerichtliche Entscheidungen – zumindest für Teilaspekte – beseitigt werden können.

In der Praxis stellt die Migration auf ein neues IT-System eines der schwierigsten Probleme im Zusammenhang mit der Archivierung dar; sie sollte nicht nur technisch, sondern auch in dem Vertrag mit dem Dienstleister vorbereitet werden, um später keine bösen Überraschungen zu erleben. Entscheidet sich ein Unternehmen für einen Anbieter oder eine bestimmte Archivierungsplattform ist bei der Vertragsgestaltung also unbedingt darauf zu achten, dass die Einhaltung der gesetzlichen Vorgaben auch nach einem Wechsel des Systems und/oder des Anbieters gesichert ist.