Rechtliche Rahmenbedingungen bei der Archivierung von E-Mails (Teil 2)

A. Rechtsrahmen zur elektronischen Archivierung von E-Mails

Ein Gesetz, welches sämtliche gesetzlichen Regelungen mit Bezug zur Archivierung von E-Mails zusammenfassen würde, gibt es nicht. Vielmehr hat man sich die entsprechenden Regelungen mühsam aus verschiedenen gesetzlichen Bestimmungen zusammen zu suchen. Dies wird wohl auch ein Grund mit dafür sein, dass sich viele Unternehmer noch immer nicht darüber im Klaren sind, dass der Gesetzgeber sie in bestimmten Fällen konkret zur Errichtung einer effizienten und vor allem sicheren Archivierung von E-Mails verpflichtet hat. Nur wer einen Überblick über die relevanten Gesetze und Verordnungen hat und ein geeignetes Sicherheitskonzept verfolgt, kann sich hier vor rechtlichen Konsequenzen schützen.

Folgende rechtliche Vorgaben wären im Zusammenhang mit der E-Mail Archivierungspflicht beispielsweise zu nennen:

• das Handelsgesetzbuch (HGB)
• das Bundesdatenschutzgesetz (BDSG)
• das Telekommunikationsgesetz (TKB)
• das Aktiengesetz (AG)
• das Gesetz betreffend die Gesellschaften mit beschränkter Haftung (GmbHG)
• Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KontraG)
• die Abgabenordnung (AO)
• die GDPdU (Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen
• vielfältige allgemeine kaufmännische Sorgfaltspflicht etc.
• Basel II
• der Sarbanes-Oxley Act (es gibt weltweit tausende von Compliance-Regeln)

Insbesondere aus dem HGB und der AO lassen sich in Deutschland zu Fragen der E-Mail Archivierung unmittelbare Handlungsverpflichtungen ableiten, wobei im Folgenden unterschieden werden soll zwischen der Aufbewahrung der ausgehenden elektronischen Mitteilungen (die „Ausgangspost“) sowie der eingehenden elektronischen Mitteilungen (die „Eingangspost“).

B. Ausgangspost: Welche ausgehende elektronische Post (also etwa E-Mails) ist zu archivieren?

1. § 238 Abs. 2 Handelsgesetzbuch (HGB)

a) Handelsbrief-E-Mails

E-Mails, die als Handelsbriefe einzustufen sind, müssen archiviert werden. In 238 Abs. 2 (HGB) schreibt der Gesetzgeber für einen Kaufmann die Verpflichtung vor, eine Kopie der abgesendeten „Handelsbriefe“ zurückzubehalten bzw. sicher aufzubewahren (sei es in Papierform, als Grafik- oder auch Textdatei). Da man unter einem Handelsbrief jedes Schreiben versteht, welches „der Vorbereitung, dem Abschluss, der Durchführung oder auch der Rückgängigmachung eines Geschäfts“ (vgl. Bonner Handbuch der Rechnungslegung, § 257, Rn 34) dient, ist damit auch die gesamte in E-Mails gehaltene Geschäftskorrespondenz eines Unternehmens betroffen.

Dazu gehören etwa:

• Aufträge (auch Änderungen und Ergänzungen)
• Auftragsbestätigungen
• Versandanzeigen
• Frachtbriefe
• Lieferpapiere
• Reklamationsschreiben
• Rechnungen
• Zahlungsbelege
• schriftlich gefasste Verträge

Nicht dazu gehören z.B.:

• unverbindliche Werbeschreiben
• simple Kontakt-E-Mails des Vertriebes etc.

b) Adressat der Archivierungspflicht

Die E-Mail Archivierungspflicht gilt dabei für jeden Kaufmann (vgl. §§ 1,2,3 HGB), Handelsgesellschaften, der eingetragenen Genossenschaft sowie den juristischen Personen i.S.d. §33 HGB. Dagegen gilt die E-Mail Archivierungspflicht nicht für Nichtkaufleute, wie z.B. Kleingewerbetreibende und Freiberufler.

c) Dauer der Archivierungspflicht

Gemäß § 147 Abgabenordnung sind die als Handels- oder Geschäftsbriefe einzustufenden E-Mails sechs Jahre aufzubewahren, sofern nicht in anderen Steuergesetzen kürzere Aufbewahrungsfristen zugelassen sind. Nach Ablauf der Frist brauchen die Unterlagen nur noch aufbewahrt zu werden, wenn und soweit sie für eine begonnene Außenprüfung, für eine vorläufige Steuerfestsetzung nach § 165 AO, für anhängige steuerstraf- oder bußgeldrechtliche Ermittlungen, für ein schwebendes oder aufgrund einer Außenprüfung zu erwartendes Rechtsbehelfsverfahren oder zur Begründung von Anträgen des Steuerpflichtigen von Bedeutung sind.

2. § 147 Abgabenordnung (AO)

a) Sonstige E-Mails mit steuerrechtlichem Bezug sind aufzubewahren

Neben den Handels- oder auch Geschäftsbriefen sind auch all diejenigen abgesandten E-Mails aufzubewahren, die in steuerrechtlicher Hinsicht von Bedeutung sind (vgl. § 147 AO). Das können insbesondere E-Mails sein, die folgende Inhalte enthalten: Bücher und Aufzeichnungen Inventare Jahresabschlüsse Lageberichte die Eröffnungsbilanz sowie die zu ihrem Verständnis erforderlichen Arbeitsanweisungen und Organisationsunterlagen die empfangenen aber auch abgesandten Handels- oder Geschäftsbriefe Buchungsbelege sonstige Inhalte, die für die Besteuerung von Bedeutung sind.

b) Art der Speicherung

Mit Ausnahme der Jahresabschlüsse sowie der Eröffnungsbilanz ist es in rechtlicher Hinsicht laut § 147 AO unproblematisch, die E-Mails auch als Wiedergabe auf einem Bildträger (z.B. Fotokopien, Mikrofilme) oder auf anderen Datenträgern (z.B. Magnetbänder, Magnetplatten, Disketten) aufzubewahren, wenn dies den Grundsätzen ordnungsmäßiger Buchführung entspricht und sichergestellt ist, dass die Wiedergabe oder die Daten

• mit den empfangenen Handels- oder Geschäftsbriefen und den Buchungsbelegen bildlich und mit den anderen Unterlagen inhaltlich übereinstimmen, wenn sie lesbar gemacht werden oder
• während der Dauer der Aufbewahrungsfrist jederzeit verfügbar sind, unverzüglich lesbar gemacht und maschinell ausgewertet werden können.

Übrigens, wer aufzubewahrende steuerrechtlich relevante E-Mails auf einem Bildträger oder auf anderen Datenträgern vorlegt, ist gem. § 147 V AO verpflichtet, auf seine Kosten diejenigen Hilfsmittel zur Verfügung zu stellen, die erforderlich sind, um die Unterlagen lesbar zu machen. Auf Verlangen der Finanzbehörde hat er auf seine Kosten die Unterlagen unverzüglich ganz oder teilweise auszudrucken oder ohne Hilfsmittel lesbare Reproduktionen beizubringen.

Hinweis:
Sämtliche E-Mails, die steuerlich relevante Sachverhalte enthalten, sind in elektronischer sowie rechtssicherer Form aufzubewahren bzw. zu archivieren. Nach den vom Bundesfinanzministerium veröffentlichten Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) reicht es keineswegs mehr aus,

• die relevanten E-Mails einfach nur auszudrucken und abzuheften
• die relevanten E-Mails in maschinell nicht auswertbaren Formaten (z.B. pdf-Datei) zu archivieren.

c) Dauer der Archivierungspflicht

Gemäß § 147 Abgabenordnung sind die als Handels- oder Geschäftsbriefe einzustufenden E-Mails sechs Jahre aufzubewahren. Sollten die E-Mails dagegen Buchungsbelege, Rechnungen, Bilanzen, Jahresabschlüsse oder auch Lageberichte enthalten, betragen die Aufbewahrungsfristen 10 Jahre, sofern nicht in anderen Steuergesetzen kürzere Aufbewahrungsfristen zugelassen sind. Nach Ablauf der Frist brauchen die Unterlagen nur noch aufbewahrt zu werden, wenn und soweit sie für eine begonnene Außenprüfung, für eine vorläufige Steuerfestsetzung nach § 165 AO, für anhängige steuerstraf- oder bußgeldrechtliche Ermittlungen, für ein schwebendes oder aufgrund einer Außenprüfung zu erwartendes Rechtsbehelfsverfahren oder zur Begründung von Anträgen des Steuerpflichtigen von Bedeutung sind.

C. Eingangspost: Welche eingehende elektronische Post (also etwa E-Mails) ist zu archivieren?

Hier spielt § 257 HGB und auch wiederum § 147 der AO eine Rolle, wonach jeder Kaufmann verpflichtet ist, empfangene Handelsbriefe in Form von E-Mails geordnet aufzubewahren (vgl. § 257 I S. 2 HGB). Das Gesetz schreibt hierbei gem. § 257 Abs. 4 HGB eine 6-jährige Aufbewahrungspflicht vor, wobei die Aufbewahrungsfrist gem. § 257 Abs. 5 HGB mit dem Schluss des Kalenderjahres beginnt, in welchem die Handelsbriefe empfangen oder abgesandt worden sind. Nach Ablauf der 6 Jahre können die Handelsbriefe sodann in der Regel vernichtet werden.

§ 147 AO sieht darüber hinaus vor, dass sonstige E-Mails mit steuerrechtlichen Bezügen zu speichern sind. Hierzu kann vollumfänglich auf die obigen Ausführungen (unter Kapitel C, Absatz I, Nr. 2) verwiesen werden.

Hinweis:
Sämtliche E-Mails, die steuerlich relevante Sachverhalte enthalten, sind in elektronischer sowie rechtssicherer Form aufzubewahren bzw. zu archivieren. Nach den vom Bundesfinanzministerium veröffentlichten Grundsätzen zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) reicht es keineswegs mehr aus,

• die relevanten E-Mails einfach nur auszudrucken und abzuheften
• die relevanten E-Mails in maschinell nicht auswertbaren Formaten (z.B. pdf-Datei) zu archivieren

D. Die häufigsten gestellten Fragen zum Thema „Rechtssichere E-Mail Archivierung“

Angesichts der doch recht schwierigen Materie soll der Übersicht und der Verständlichkeit halber die nachfolgenden Rechtsprobleme im Rahmen einer „FAQ“ dargestellt werden:

Frage Nr. 1: Sind auch die Anlagen der Handels- oder Geschäftsmails aufbewahrungspflichtig?

Unklar ist oft, ob auch die Anlagen zu den Handels- oder auch Geschäftsmails zu den aufbewahrungspflichtigen Unterlagen i.S.d. § 238 II HGB gehören. Dies ist immer dann der Fall, wenn die jeweiligen Mails ohne die zugehörigen Anlagen nicht verständlich sind.

Frage Nr. 2: Sind auch Geschäftsmails zu archivieren, die sich auf ein nicht zustande gekommenes Geschäft beziehen?

Für den Fall, dass das Handelsgeschäft nicht zu einem Abschluss gekommen ist, wäre die diesbezüglich geführte Korrespondenz nicht aufbewahrungspflichtig.

Frage Nr. 3: Schreibt das Gesetz bezüglich der E-Mail Archivierung eine bestimmte Art und Weise vor?

Nein, das Gesetz hält sich hier bewusst zurück bzw. privilegiert keine bestimmte Speichertechnologie. Es kommt nur darauf an, dass eine fälschungssichere sowie dauerhafte Speicherung der Daten in elektronischer Form gewährleistet wird. In diesem Zusammenhang sind auch die Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS) interessant.

Danach dürfen zu archivierende E-Mails nur auf solchen DV-Systemen aufbewahrt werden, die es technisch ermöglichen, dass bei ihrer Wiedergabe eine bildliche Übereinstimmung mit dem Original gegeben ist. Originär digitale Unterlagen sind während der gesamten gesetzlichen Aufbewahrungsfrist in maschinell auswertbarer Form vorzuhalten. Eine alleinige Aufzeichnung auf Mikrofilm oder Papier reicht nicht mehr aus.

Frage Nr.4: Ist es zulässig, die E-Mails in verschlüsselter Form zu speichern?

Ja, dies ist prinzipiell zulässig, soweit die E-Mails bei der anschließenden Lesbarmachung wieder ohne Probleme entschlüsselt werden können. Dagegen ist es unzulässig, verschlüsselte E-Mails an die Finanzbehörden zu übergeben – selbst wenn das jeweilige Entschlüsselungsprogramm gleich mitgeliefert werden sollte.

Frage Nr.5: Was bedeutet eigentlich die revisionssichere Archivierung von E-Mails?

Hierzu hat etwa der Verband Organisations- und Informationssysteme (www.voi.de) die folgenden zehn Grundsätze zur Revisionssicherheit von elektronischen Mitteilungen (und Archiven) definiert:

• Jede E-Mail wird unveränderbar archiviert.
• Es darf keine E-Mail auf dem Weg ins Archiv oder im Archiv selbst verloren gehen.
• Jede E-Mail muss mit geeigneten Retrievaltechniken (zum Beispiel durch das indexieren mit Metadaten) wieder auffindbar sein.
• Es muss genau die E-Mail wiedergefunden werden, die gesucht worden ist.
• Keine E-Mail darf während seiner vorgesehenen Lebenszeit zerstört werden können.
• Jede E-Mail muss in genau der gleichen Form, wie es erfasst wurde, wieder angezeigt und gedruckt werden können.
• Alle E-Mails müssen zeitnah wiedergefunden werden können.
• Alle Aktionen im Archiv, die Veränderungen in der Organisation und Struktur bewirken, sind derart zu protokollieren, dass die Wiederherstellung des ursprünglichen Zustandes möglich ist.
• Elektronische Archive sind so auszulegen, dass eine Migration auf neue Plattformen, Medien, Softwareversionen und Komponenten ohne Informationsverlust möglich ist.
• Das System muss dem Anwender die Möglichkeit bieten, die gesetzlichen Bestimmungen (BDSG, HGB, AO etc.) sowie die betrieblichen Bestimmungen des Anwenders hinsichtlich Datensicherheit und Datenschutz über die Lebensdauer des Archivs sicherzustellen.

Frage Nr.6: Welche Bedenken gibt es gegen eine zentrale Archivierungslösung?

Problemdarstellung: Eine zentrale Archivierungslösung aller „unternehmenseigenen“ E-Mails stößt dann auf Vorbehalte, wenn das jeweilige Unternehmen den Mitarbeitern auch die Nutzung des Email-Postfachs zu privaten Zwecken gestattet. Stellt man nämlich den betriebseigenen Internetzugang für betriebsfremde (also private) Zwecke zur Verfügung, wird das Unternehmen in diesem Fall geschäftsmäßiger Anbieter von Telekommunikationsdiensten.
Unternehmen, die die private Nutzung des Internet/E-Mailzugangs erlauben, unterliegen als Telekommunikations- und Teledienste-Anbieter den folgenden, sich aus dem BDSG sowie dem TKG ergebenden rechtlichen Pflichten:

• Die Erhebung von personenbezogenen Daten ist auf ein Mindestmaß zu reduzieren.
• Jegliche Überwachung und Speicherung der Inhalte und Verbindungsdaten ist unzulässig und stellt ein Verstoß gegen das Fernmeldegeheimnis dar, welches als Grundrecht nach §10 des Grundgesetzes nicht nur in der Sprachkommunikation, sondern auch bei der Datenübertragung und der Internet-Nutzung Gültigkeit besitzt.
• Die E-Mails, die nach dem Ende der Nachrichtenübermittlung auf dem unternehmenseigenen Server gespeichert sind, werden zwar nicht mehr vom Fernmeldegeheimnis geschützt (so ein aktuelles Urteil des Bundesverfassungsgericht), dagegen jedoch von Artikel 2 Abs. 1 GG i.V.m. Art 1. Abs. 1 GG – dem Recht auf informationelle Selbstbestimmung.
• Alle Inhalts- und Verbindungsdaten, die Auskunft über die an der Internetnutzung oder am Emailverkehr Beteiligten geben könnten, sind durch angemessene technische Vorkehrungen und sonstige Maßnahmen vor Kenntnisnahme zu schützen.

Ergo: Diejenigen Unternehmen, die die private Internetnutzung erlauben, können eben nicht so ohne weiteres auf private E-Mails der Mitarbeiter zugreifen. Dasselbe gilt für die Archivierung privater E-Mails. So sind die betreffenden E-Mails während des Übertragungsvorganges durch das Fernmeldegeheimnis und anschließend durch das Recht auf informationelle Selbstbestimmung geschützt (Art. 10 Abs. 1 Grundgesetz; Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 Grundgesetz). Für den Fall, dass das Recht auf informationelle Selbstbestimmung verletzt wird, drohen ernst zu nehmende Sanktionen für das Unternehmen; im schlimmsten Fall kommen Freiheitsstrafen in Betracht.

Frage Nr.7: Sind Rückstellung für die Archivierung zu bilden?

Ja, so entschied bereits am 19.08.2002 der Bundesfinanzhof (BStBl 2003 II S. 131), dass für die zukünftigen Kosten der Aufbewahrung von Geschäftsunterlagen, zu der das Unternehmen gemäß § 257 HGB und § 147 AO verpflichtet ist, im Jahresabschluss eine Rückstellung zu bilden ist.

Fazit

Der Gesetzgeber hat sich zum Ziel gesetzt, mittels einer ganzen Reihe von gesetzlichen Bestimmungen einen rechtlich verbindlichen Verhaltenskodex zu schaffen, um den Unternehmer zu einem gewissenhaften Risikomanagement, also dem planvollen Umgang mit unternehmerischen Risiken zu „erziehen“.

Das Thema „E-mail Archivierung“ stellt im Zusammenhang mit dem IT-Risikomanagement zwar nur ein Teilaspekt dar, gerade dieser aber hat in den letzten Jahren hohe Wellen geschlagen. So verlangt das Gesetz bereits seit ein paar Jahren vom Unternehmer, dass E-Mails, die in Bezug zu Rechtsgeschäften stehen oder sonst wie steuerrechtlich relevant sind, nach handelsrechtlichen sowie steuerrechtlichen Anforderungen mehrere Jahre ordnungsgemäß zu archivieren sind. Aus diesem Grund tut jedes Unternehmen gut daran, elektronisch gespeicherte Mitteilungen revisionssicher und in einer Art und Weise zu speichern und zu indexieren, die den permanenten und schnellen Zugriff erlaubt („Allzeit-Verfügbarkeit“) und die Integrität der Daten gewährleistet.