A. E-Mail Archivierung als Teil eines professionellen Risikomanagements
Heutzutage sind in der Geschäftswelt nahezu alle denkbaren Prozesse von der Kommunikationsform E-Mail abhängig. So machen manchen Schätzungen zufolge E-Mails bei mittelständischen Unternehmen und Konzernen 60 -70 % (!) der Kommunikation aus. Der Siegeszug der Email erstaunt nicht, ist sie doch kinderleicht beherrschbar, flexibel, fast konkurrenzlos blitzschnell und weltweit einsetzbar, und (im Vergleich zu Fax oder Telefon) ein überaus preiswertes, ja fast kostenloses Kommunikationsmittel.
Man denke dabei nur an die Bereiche Marketing, Vetrieb, Produktion und Logistik, mit der Kommunikation mit Lieferanten und Abnehmern, der Auftragserteilung, Rechnungsstellung und auch an den firmeninternen Kommunikationsaustausch (etwa via Intranet) etc.
Jedoch hat die enge Verzahnung von unternehmerischem Handeln und dem Einsatz von Informationstechnologie hat auch ihre Kehrseite:
1. Zeitaufwand
So verursacht das Phänomen „Spam“ im System der weltweiten E-Mail-Kommunikation einen erheblichen Schaden, da der Zeitaufwand enorm ist, den jeder Bearbeiter aufbringen muss, um Spam-Mail von geschäftsrelevanten Mails zu unterscheiden.
2. Sicherheitsrisiko
Die E-Mail hat sich gerade in den letzten Jahren als großes Viren-Einschleusetor erwiesen. Spätestens seit dem E-Mail Virus „Worm“ ist dies auch einer breiteren Öffentlichkeit bekannt.
3. Ordnungs- bzw. Speicherprobleme
Durch die gewaltige Zunahme des E-Mail-Aufkommens kommt es für die IT-Verantwortlichen einer Firma zu ganz praktischen Problemen:
- Wie behält man den Überblick?
- Wie begegnet man überquellenden Mailordnern?
- Welche E-Mails dürfen gelöscht werden und welche nicht?
- Auf welche Art und Weise sollte man E-Mails speichern?
- Wie lange hat man E-Mails zu speichern?
Eine einfache Modellrechnung hat aufgezeigt, mit welchen gigantischen Datenmengen es schon ein mittelgroßes 500-Mann-Unternehmen zu tun bekommen kann. So konnte man feststellen, dass innerhalb eines Jahres ein Datenvolumen von rund 107 Terabyte zusammen kommen kann.
4. Ausfall der E-Mail Kommunikation
Fast alle ernst zu nehmenden Ausfälle oder Störungen der unternehmenseigenen IT-Infrastruktur haben direkte Auswirkungen auf den jeweiligen unternehmerischen Erfolg. Ließ sich beispielsweise in den 80er-Jahren ein Komplettausfall der IT-Umgebung noch halbwegs verkraften, so kann derselbe Ausfall heutzutage schnell Existenz bedrohende Züge annehmen. So sei an dieser Stelle etwa eine Studie des Marktforschungsinstitut „Meta Group“ zitiert, welche zu dem Ergebnis kam, dass ein zehntägiger Ausfall von IT-Schlüsselsystemen mit einer Wahrscheinlichkeit von 50 % zum Einstellen des Betriebs in den kommenden fünf Jahren führt.
5. Immer komplexer werdende rechtliche Anforderungen
Gerade angesichts der Relevanz der E-Mail in der Geschäftskorrespondenz ist es kein Wunder, dass gesetzliche wie auch behördlichen Regelungsrahmen hinsichtlich des Umgangs mit E-Mails (und damit einhergehend die organisatorischen und technischen Herausforderungen) immer weitere Ausmaße annehmen:
1. So ist etwa am 01.01.2007 das „Gesetz über elektronische Handelsregister und Genossenschaftsregister sowie das Unternehmensregister“ (EHUG) in Kraft getreten. Dieses bringt unter anderem für die im Handelsregister eingetragenen Unternehmen die Neuerung mit sich, dass diese nun auch bei ihrer via E-Mail oder via Fax geführten Korrespondenz bestimmte formale Anforderungen einhalten müssen, die bisher nur für gedruckte Geschäftsbriefe galten. Die IT-Recht Kanzlei bietet unter www.it-recht-kanzlei.de einen kostenlosen Pflichtangaben-Assistenten an, der die geforderten Angaben je nach Rechtsform online generiert – versehen mit nützlichen Hinweisen.
2. Nicht zuletzt hat es der Gesetzgeber sich auch zum Ziel gesetzt, mittels einer ganzen Reihe von gesetzlichen Bestimmungen einen rechtlich verbindlichen Verhaltenskodex (s. dazu nachfolgend unter Abschnitt III) zu schaffen, um den Unternehmer zu einem gewissenhaften Risikomanagement, also dem planvollen Umgang mit unternehmerischen Risiken zu „erziehen“.
Das Thema „E-mail Archivierung“ stellt nun im Zusammenhang mit dem IT-Risikomanagement ein Teilaspekt dar, der aber gerade in den letzten Jahren hohe Wellen geschlagen hat. So verlangt das Gesetz bereits seit ein paar Jahren von Kaufleuten, dass E-Mails, die in Bezug zu Rechtsgeschäften stehen oder sonstwie steuerrechtlich relevant sind, nach handelsrechtlichen sowie steuerrechtlichen Anforderungen mehrere Jahre ordnungsgemäß zu archivieren sind.
Das Ziel dieses Beitrags und insbesondere der folgenden Abschnitte ist es nun, die E-Mail Archivierungspflicht (die eben als Teil eines wirkungsvollen Risikomanagements verstanden werden muss) rechtlich näher zu beleuchten.
B. Schaffung eines rechtlichen Problembewusstseins
Die E-Mail wird vielfach in ihrer rechtlichen Bedeutung vollkommen unterschätzt bzw. oft als relativ unverbindlich eingeschätzt. Dies völlig zu Unrecht, da die in einer E-Mail enthaltene Erklärung bzw. Information absolut rechtsrelevant ist und im Geschäftsverkehr im Prinzip dieselbe rechtliche Bedeutung zukommt, wie ihr Pendant in Papierform. Vor diesem Hintergrund ist es auch keineswegs nachvollziehbar, dass bislang nur relativ wenige Unternehmen das Kommunikationsmedium E-Mail wirklich beherrschen – gerade in rechtlicher Hinsicht. Oftmals sind es die Firmenmitarbeiter, die für den Inhalt und die Verwertung der ausgetauschten Nachrichte zuständig sind, während die Unternehmen sich damit begnügen, eine stabile und kosteneffiziente Telekommunikationsinfrastruktur bereit zu stellen. Fragen der unternehmensgesteuerten Archivierung des eigenen E-Mailverkehrs kommen dabei oftmals zu kurz.
Nur, diese Nachlässigkeit kann schnell nach hinten losgehen, wie etwa ein aktuelles Fallbeispiel aus den USA zeigt. So wurde einem deutschen Unternehmen, nämlich die Deutsche Bank, Ende 2002 durch die US-Börsenaufsicht SEC eine Strafzahlung in Höhe von 1,65 Millionen US-Dollar auferlegt. Hintergrund: Anlageberater des Unternehmens hatten (entgegen den unternehmenseigenen Vorgaben) E-Mails nur so unzureichend gespeichert, dass dadurch Ermittlungsverfahren zu bestimmten umstrittenen Anlageempfehlungen erschwert bzw. vereitelt worden sind. Zwar ist dem Autor dieses Beitrags noch kein vergleichbarer Fall in Deutschland bekannt geworden. Nur, auch in Deutschland ist die Palette möglicher Sanktionen bei einer nur mangelhaften E-Mail Archivierung durchaus beeindruckend:
1. Verletzung der Buchführung
So kann etwa eine mangelhafte E-Mail-Archivierung als Verletzung handelsrechtlicher Buchführung gewertet werden und wegen der Maßgeblichkeit zugleich eine Verletzung der steuerrechtlichen Buchführungspflicht gleichkommen. Da wiederum Mängel der Buchführung die steuerrechtliche Beweiskraft der Bücher beeinträchtigt, wäre die Finanzverwaltung in diesem Fall berechtigt, den steuerlichen Gewinn nach § 162 II AO zu schätzen. Zudem könnte die Finanzverwaltung die Buchführungspflicht durch ein Zwangsgeld erwirken (§ 238 I AO).
2. Straftat
Abgesehen von steuerrechtlichen Sanktionen kann die Verletzung der E-Mail- Archivierungspflicht auch strafbar sein, etwa wenn durch eine unzureichende oder gar manipulative Archivierung von E-Mails das Unternehmen vorsätzlich die Übersicht über dessen Vermögensstand erschwert mit dem Ziel, Vermögensbestandteile, die im Falle der Eröffnung eines möglichen Insolvenzverfahrens zur Insolvenzmasse gehören, beiseite zu schaffen oder gar zu verheimlichen (vgl. § 283 ff. StGB).
Darüber hinaus regelt § 283b StGB, dass eine Verletzung der Buchführungspflicht mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft werden kann.
3. Ordnungswidrigkeit
Des Weiteren kann eine vorsätzliche oder leichtfertige Verletzung der Buchführungspflicht eine Ordnungswidrigkeit sein. Hier käme etwa eine Steuergefährung gemäß § 379 AO in Betracht (soweit nicht leichtfertige Steuerverkürzung gemäß § 378 AO).
4. Schadensersatz
Auch sind zivilrechtliche Sanktionen denkbar, etwa dass die Verletzung der Buchführungspflicht den Vorstand oder Geschäftsführer der jeweiligen Gesellschaft schadensersatzpflichtig nach § 93 II AktG bzw. § 43 II GmbHG macht.
Zudem kann die mangelhafte Archivierung von E-Mails eines Unternehmens auch Schadensersatzansprüche desjenigen Vertragpartners nach sich ziehen, etwa für den Fall, dass vertrauliche fremde Informationen abhanden gekommen sind. Als Haftungsgrundlage kommen hierbei schuldrechtliche Schadensersatzansprüche in Betracht, gemäß § 280ff. BGB. Gerade in diesem Zusammenhang ist auch § 241 Abs. 2 BGB zu beachten, wonach die Pflicht besteht, auf die Rechte, Rechtsgüter und Interessen des Vertragspartners Rücksicht zu nehmen. Hierzu gehören insbesondere die Beachtung von Schutzpflichten, Aufklärungs- und Beratungspflichten.
5. E-Mail als Beweis
Darüber hinaus wird immer wieder gerne übersehen, dass natürlich auch E-Mails bei gerichtlichen Streitigkeiten durchaus Bedeutung zukommen kann – und zwar im Rahmen der freien richterlichen Beweiswürdigung. (So lies etwa der Bundesgerichtshof Internet-Ausdrucke als Beweismittel im Strafverfahren wegen der Mitgliedschaft in einer terroristischen Vereinigung zu, vgl. 12.10.2001/Az. 1 BJs 79/00).
Selbstverständlich sind E-Mails dabei bei weitem nicht mit dem Beweiswert einer (zur Zeit noch kaum eingesetzten) qualifizierten elektronischen Signatur gleichzusetzen. Jedoch, bereits aus dem Grund, dass sich bei Unternehmen die E-Mail überwiegend als Standard-Kommunikationsmittel durchgesetzt hat, sind E-Mails häufig die einzige Möglichkeit, um etwa Absprachen zwischen den Streitparteien, vereinbarte Milestones von Projekten (sowie Verantwortlichkeitsverteilungen), Change Request, Dokumentationen von Geschäftsvorfällen, Protokolle zu Meetings, Terminsverschiebungen etc. nachweisen zu können. Schon aus diesem Grund tut jedes Unternehmen gut daran, elektronisch gespeicherte Mitteilungen revisionssicher und in einer Art und Weise zu speichern und zu indexieren, die den permanenten und schnellen Zugriff erlaubt („Allzeit-Verfügbarkeit“) und die Integrität der Daten gewährleistet.
6. Persönliche Haftung
Im Aktiengesetz ist festgelegt, dass eine persönliche Haftung des Vorstands dann in Betracht kommt, wenn er Entwicklungen, die zukünftig ein Risiko für das Unternehmen darstellen könnten (dazu gehört eben auch die unterlassene Speicherung geschäfts- oder steuerrechtlich relevanter Mails), nicht durch ein Risikomanagement überwacht und durch geeignete Maßnahmen vorbeugt (§ 91 Abs. 2 und § 93 Abs. 2 AktG).
Nahezu dieselben Anforderungen gelten für den Geschäftsführer einer GmbH, der „die Sorgfalt eines ordentlichen Geschäftsmannes“ auf zu bringen hat (§ 43 Abs. 1 GmbHG). Diese, zugegebenermaßen eher allgemein gehaltene Formulierung, beinhaltet in der rechtlichen Praxis ganz ähnliche Folgerungen für das Risikomanagement wie für Vorstände nach dem Aktiengesetz. Kommt die Geschäftsführung oder der Vorstand – als Verantwortliche – der oben beschriebenen Pflicht zur Archivierung von E-Mails (als allgemeine Risikovorsorgepflicht) nicht nach und entsteht dadurch dem Unternehmen ein finanzieller Schaden, kann dies zu einer persönlichen Haftung der Mitglieder des Vorstands und der Geschäftsführung unter Umständen auch der Aufsichtsratmitglieder (§116 AktG) führen.
Im zweiten Teil unserer Serie „Rechtliche Rahmenbedingungen der Archivierung von E-Mails“ erläutert Rechtsanwalt Max-Lion Keller, in welcher Form und für welchen Zeitraum E-Mails archiviert werden müssen.