E-Mail Archivierung und ihre rechtlichen Grundlagen - zur Schaffung eines rechtlichen Problembewusstseins (2. Teil der neuen Serie der IT-Recht Kanzlei zur E-Mailarchivierung und IT-Richtlinie)
Das Thema E-Mailarchivierung gewinnt zunehmend an Bedeutung, da sich immer mehr Unternehmen darüber bewusst werden, dass sie ihren zahlreichen gesetzlichen Pflichten (Risikomanagement, Compliance) nachkommen müssen. Gleichzeitig wollen sie im Sinne des Mitarbeiterklimas eine private Nutzung des E-Mailverkehrs zulassen. Dabei ergeben sich bei der E-Mailarchivierung, bei Überwachung des E-Mailverkehrs und bei Sicherheits-Backups Konflikte mit dem Datenschutz des Arbeitnehmers sowie dem Fernmeldegeheimnis. Diese Serie legt Lösungsmöglichkeit hierfür sowie weitere regelungsbedürftige Punkte einer IT-Richtlinie dar.
Der 2. Teil der neuen Serie der IT-Recht Kanzlei zum Thema E-Mail Archivierung beschäftigt sich mit den Gesetzen, aus denen sich rechtliche Pflichten zur E-Mailarchivierung ergeben. Aufgrund dieser Gesetze sollte sich in jedem Unternehmen ein rechtliches Problembewusstsein entwickeln.
Die E-Mail wird vielfach in ihrer rechtlichen Bedeutung vollkommen unterschätzt bzw. oft als relativ unverbindlich eingeschätzt. Dies völlig zu Unrecht, da die in einer E-Mail enthaltene Erklärung bzw. Information absolut rechtsrelevant ist und im Geschäftsverkehr im Prinzip dieselbe rechtliche Bedeutung zukommt wie ihr Pendant in Papierform. Vor diesem Hintergrund ist es auch keineswegs nachvollziehbar, dass bislang nur relativ wenige Unternehmen das Kommunikationsmedium E-Mail wirklich beherrschen – gerade in rechtlicher Hinsicht. Oftmals sind es die Firmenmitarbeiter, die für den Inhalt und die Verwertung der ausgetauschten Nachrichte zuständig sind, während die Unternehmen sich damit begnügen, eine stabile und kosteneffiziente Telekommunikationsinfrastruktur bereitzustellen. Fragen der unternehmensgesteuerten Archivierung des eigenen E-Mailverkehrs kommen dabei oftmals zu kurz.
Nur, diese Nachlässigkeit kann schnell nach hinten losgehen, wie etwa ein Fallbeispiel aus den USA zeigt. So wurde einem deutschen Unternehmen, nämlich der Deutsche Bank, Ende 2002 durch die US-Börsenaufsicht SEC eine Strafzahlung in Höhe von 1,65 Millionen US-Dollar auferlegt. Hintergrund: Anlageberater des Unternehmens hatten (entgegen den unternehmenseigenen Vorgaben) E-Mails nur so unzureichend gespeichert, dass dadurch Ermittlungsverfahren zu bestimmten umstrittenen Anlageempfehlungen erschwert bzw. vereitelt worden sind.
Zwar ist dem Autor dieses Beitrags noch kein vergleichbarer Fall in Deutschland bekannt geworden. Nur, auch in Deutschland ist die Palette möglicher Sanktionen bei einer nur mangelhaften E-Mail Archivierung durchaus beeindruckend:
I. Verletzung der Buchführung
So kann etwa eine mangelhafte E-Mail Archivierung als Verletzung handelsrechtlicher Buchführung gewertet werden und wegen der Maßgeblichkeit zugleich eine Verletzung der steuerrechtlichen Buchführungspflicht gleichkommen. Da wiederum Mängel der Buchführung die steuerrechtliche Beweiskraft der Bücher beeinträchtigt, wäre die Finanzverwaltung in diesem Fall berechtigt, den steuerlichen Gewinn nach § 162 II AO zu schätzen. Zudem könnte die Finanzverwaltung die Buchführungspflicht durch ein Zwangsgeld erwirken (§ 328 I AO).
II. Verletzung der Compliance-Pflicht
Compliance bedeutet die Legalitätspflicht eines Unternehmens und umfasst die Sicherstellung der Rechtmäßigkeit des Handelns aller am Unternehmen beteiligten Personen. Ausdrücklich wird diese Pflicht bislang nur in § 33 I Nr.1 WpHG normiert. Anerkannt ist aber, dass die Pflicht auch für andere Unternehmen besteht, für die das WpHG nicht gilt.
III. Straftat
Abgesehen von steuerrechtlichen Sanktionen kann die Verletzung der E-Mail Archivierungspflicht auch strafbar sein, etwa wenn durch eine unzureichende oder gar manipulative Archivierung von E-Mails das Unternehmen vorsätzlich die Übersicht über dessen Vermögensstand erschwert mit dem Ziel, Vermögensbestandteile, die im Falle der Eröffnung eines möglichen Insolvenzverfahrens zur Insolvenzmasse gehören, beiseite zu schaffen oder gar zu verheimlichen (vgl. § 283 ff. StGB) .
Darüber hinaus regelt § 283b StGB, dass eine Verletzung der Buchführungspflicht mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft werden kann.
Schließlich hat die Geschäftsleitung aufgrund der strafrechtlichen Garantenpflicht nach § 13 I StGB die Pflicht sicherzustellen, dass aus dem Unternehmen heraus keine Straftaten begangen werden. Diese Pflicht kann die Geschäftsleitung auf einen Compliance Officer des Unternehmens übertragen.
IV. Ordnungswidrigkeit
Des Weiteren kann eine vorsätzliche oder leichtfertige Verletzung der Buchführungspflicht eine Ordnungswidrigkeit sein. Hier käme etwa eine Steuergefährdung gemäß § 379 AO in Betracht (soweit nicht leichtfertige Steuerverkürzung gemäß § 378 AO).
V. Persönliche Haftung
Auch sind zivilrechtliche Sanktionen denkbar, etwa dass die Verletzung der Buchführungspflicht den Vorstand oder Geschäftsführer der jeweiligen Gesellschaft schadensersatzpflichtig nach § 93 II AktG bzw. § 43 II GmbHG macht.
Im Aktiengesetz ist festgelegt, dass eine persönliche Haftung des Vorstand dann in Betracht kommt, wenn er Entwicklungen, die zukünftig ein Risiko für das Unternehmen darstellen könnten (dazu gehört eben auch die unterlassene Speicherung geschäfts- oder steuerrechtlich relevanter Mails), nicht durch ein Risikomanagement überwacht und durch geeignete Maßnahmen vorbeugt (§ 91 Abs. 2 und § 93 Abs. 2 AktG).
Nahezu dieselben Anforderungen gelten für den Geschäftsführer einer GmbH, der „die Sorgfalt eines ordentlichen Geschäftsmannes” aufzubringen hat (§ 43 Abs. 1 GmbHG). Diese zugegebenermaßen eher allgemein gehaltene Formulierung beinhaltet in der rechtlichen Praxis ganz ähnliche Folgerungen für das Risikomanagement wie für Vorstände nach dem Aktiengesetz.
Kommt die Geschäftsführung oder der Vorstand – als Verantwortliche – der oben beschriebenen Pflicht zur Archivierung von E-Mails (als allgemeine Risikovorsorgepflicht) nicht nach und entsteht dadurch dem Unternehmen ein finanzieller Schaden, kann dies zu einer persönlichen Haftung der Mitglieder des Vorstands und der Geschäftsführung unter Umständen auch der Aufsichtsratsmitglieder (§116 AktG) führen.
VI. Schadensersatz
Zudem kann die mangelhafte Archivierung von E-Mails eines Unternehmens auch Schadensersatzansprüche desjenigen Vertragspartners nach sich ziehen, etwa für den Fall, dass vertrauliche fremde Informationen abhanden gekommen sind. Als Haftungsgrundlage kommen hierbei schuldrechtliche Schadensersatzansprüche in Betracht, gemäß § 280ff. BGB. Gerade in diesem Zusammenhang ist auch § 241 Abs. 2 BGB zu beachten, wonach die Pflicht besteht, auf die Rechte, Rechtsgüter und Interessen des Vertragspartners Rücksicht zu nehmen. Hierzu gehören insbesondere die Beachtung von Schutzpflichten, Aufklärungs- und Beratungspflichten.
VII. E-Mail als Beweis
Darüber hinaus wird immer wieder gerne übersehen, dass natürlich auch E-Mails bei gerichtlichen Streitigkeiten durchaus Bedeutung zukommen kann – und zwar im Rahmen der freien richterlichen Beweiswürdigung. (So lies etwa der Bundesgerichtshof Internet-Ausdrucke als Beweismittel im Strafverfahren wegen der Mitgliedschaft in einer terroristischen Vereinigung zu, vgl. 12.10.2001/Az. 1 BJs 79/00).
Selbstverständlich sind E-Mails dabei bei weitem nicht mit dem Beweiswert einer (zur Zeit noch kaum eingesetzten) qualifizierten elektronischen Signatur gleichzusetzen. Jedoch, bereits aus dem Grund, dass sich bei Unternehmen die E-Mail überwiegend als Standard-Kommunikationsmittel durchgesetzt hat, sind E-Mails häufig die einzige Möglichkeit, um etwa Absprachen zwischen den Streitparteien, vereinbarte Milestones von Projekten (sowie Verantwortlichkeitsverteilungen), Change Request, Dokumentationen von Geschäftsvorfällen, Protokolle zu Meetings, Terminverschiebungen etc. etc. nachweisen zu können.
Weiterhin ist es zwar theoretisch möglich, dass die E-Mail nicht wirklich von dem Inhaber des Absende-Accounts geschickt wurde. Allerdings wird dies wohl nur in den seltensten Fällen bestritten, sodass der E-Mail durchaus ein höherer Beweiswert zukommen kann.
Schon aus diesen Gründen tut jedes Unternehmen gut daran, elektronisch gespeicherte Mitteilungen revisionssicher und in einer Art und Weise zu speichern und zu indexieren, die den permanenten und schnellen Zugriff erlaubt („All-zeit-Verfügbarkeit”) und die Integrität der Daten gewährleistet.
VIII. Basel II
Wegen der Umsetzung der Banken- und Kapitaladäquanzrichtlinie, besser bekannt unter dem Namen "Basel II", sind Banken und Finanzinstitute in Deutschland seit 2007 gesetzlich verpflichtet die Vorgaben des Basel II Abkommens umzusetzen und insbesondere eine individuelle Bonitätseinschätzung des jeweiligen kreditsuchenden Unternehmen durchzuführen. Mittels dieser Bonitätseinschätzung kann sodann ermittelt werden, wie hoch die Wahrscheinlichkeit ist, dass der Kredit an die Bank auch wieder zurückgezahlt wird („Ausfallrisiko”). Sollte dabei das Risiko eines Ausfalls als hoch eingestuft werden, wird sich die Bank dies bezahlen lassen indem sie die Bonität des kreditsuchenden Unternehmens herabsetzt und nur ungünstige Kreditkonditionen weitergibt. Im schlechtesten Falle kommt es gar zu einer Weigerung einer Kreditgewährung.
Es ist selbstverständlich, dass in diesem Zusammenhang ein besonderes Augenmerk auf das operationale Risiko "Risikomanagement" (und damit der E-Mail Archivierungspflicht) liegen muss. Bereits in Teil 1 dieser Serie wurde auf die fundamentale Bedeutung der IT-Infrastruktur für ein jedes Unternehmen eingegangen, da sie in den meisten Fällen unternehmerisches Handeln überhaupt erst ermöglicht. Fallen die IT- und damit auch Mailsysteme aus, sind in aller Regel die Unternehmen heutzutage nicht mehr handlungsfähig. Aus diesem Grund werden die Banken sehr genau prüfen, ob der Kreditnehmer zumindest die Grundanforderungen zur IT-Risikomanagement durch die Einhaltung bestimmter Sicherheitsvorkehrungen getroffen hat, die ihn vor einem IT-Ausfall schützen.
Lesen Sie im 3. Teil der Serie welche rechtlichen Anforderungen an die Art und Weise der E-Mailarchivierung gestellt werden.
Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook .
© pdesign - Fotolia.com
Link kopieren
Als PDF exportieren
Per E-Mail verschicken
Zum Facebook-Account der Kanzlei
Zum Instagram-Account der Kanzlei
0 Kommentare