Rechtliche Rahmenbedingungen der Archivierung von E-Mails
Tipp: Weiterführende Informationen finden Sie hier: "Serie der IT-Recht Kanzlei zu den Themen E-Mailarchivierung und IT-Richtlinie"
Der Beitrag beschäftigt sich intensiv mit den rechtlichen Rahmenbedingungen der Archivierungspflicht von E-Mails (als Teil eines effektiven Risikomanagements) und zeigt insbesondere auf, welche Konflikte im Zusammenhang mit dem Datenschutz bestehen und wie diese wiederum gemeistert werden können.
Inhaltsverzeichnis
- A. Einleitung: E-Mail Archivierung als Teil eines professionellen Risikomanagements
- B. Schaffung eines rechtlichen Problembewusstseins
- C. Rechtsrahmen zur elektronischen Archivierung von E-Mails
- D. Die häufigsten gestellten Fragen zum Thema „Rechtssichere E-Mail Archivierung”.
- E. Handlungsanleitung
- F. Fazit
A. Einleitung: E-Mail Archivierung als Teil eines professionellen Risikomanagements
Heutzutage sind in der Geschäftswelt nahezu alle denkbaren Prozesse von der Kommunikationsform E-Mail abhängig. So machen manchen Schätzungen zufolge E-Mails bei mittelständischen Unternehmen und Konzernen 60 -70 % (!) der Kommunikation aus. Man denke dabei nur schon an
- den Logistikbereich,
- dem Marketing,
- der Produktion,
- der Kommunikation mit Lieferanten und Abnehmern,
- der Auftragserteilung,
- der Rechnungsstellung und etwa
- dem firmeninternen Kommunikationsaustausch (etwa via Intranet) etc.etc..
Vor dem Hintergrund erstaunt auch der Siegeszug der Kommunikationsform E-Mail nicht, ist sie doch
- kinderleicht beherrschbar,
- absolut flexibel,
- fast konkurrenzlos blitzschnell und weltweit einsetzbar,
- und (im Vergleich zu Fax oder Telefon) ein überaus preiswertes, ja fast kostenloses Kommunikationsmittel.
Nur, die die enge Verzahnung von unternehmerischem Handeln und dem Einsatz von Informationstechnik hat auch ihre Kehrseite:
1. Zeitaufwand
So verursacht das Phänomen „Spam” im System der weltweiten E-Mail-Kommunikation einen erheblichen Schaden, da der Zeitaufwand enorm ist, den jeder Bearbeiter aufbringen muss, um Spam-Mail von geschäftsrelevanten Mails zu unterscheiden.
2. Sicherheitsrisiko
Die E-Mail hat sich gerade in den letzten Jahren als großes Viren-Einschleusetor erwiesen. Spätestens seit dem E-Mail Virus „Worm” ist dies auch einer breiteren Öffentlichkeit bekannt.
3. Ordnungs bzw. Speicherprobleme
Durch die gewaltige Zunahme des E-Mail-Aufkommens kommt es für die IT-Verantwortlichen einer Firma zu ganz praktischen Problemen:
- Wie behält man den Überblick?
- Wie begegnet man überquellenden Mailordnern?
- Welche E-Mails dürfen gelöscht werden und welche nicht?
- Auf welche Art und Weise sollte man E-Mails speichern?
- Wie lange hat man E-Mails zu speichern?
Eine einfache Modellrechnung, abgebildet auf den tecchchannel-Seiten , zeigt, mit welchen gigantischen Datenmengen es schon ein mittelgroßes 500-Mann-Unternehmen zu tun bekommen kann. So sei es nicht einmal abwegig, dass hierbei in einem Jahr rund 107 TByte an Daten zusammen kommen können.
4. Ausfall der E-Mail Kommunikation
So gut wie in allen Fällen haben ernst zu nehmende Ausfälle oder Störungen der unternehmenseigenen IT-Infrastruktur direkte Auswirkungen auf den jeweiligen unternehmerischen Erfolg. Ließ sich beispielsweise in den 80er-Jahren ein Komplettausfall der IT-Umgebung noch halbwegs verkraften, so kann derselbe Ausfall heutzutage schnell existenzbedrohende Züge annehmen. So sei an dieser Stelle etwa eine Studie des Marktforschungsinstitut „Meta Group” zitiert welche zu dem Ergebnis kam, dass ein zehntägiger Ausfall von IT-Schlüsselsystemen mit einer Wahrscheinlichkeit von 50 Prozent zum Einstellen des Betriebs in den kommenden fünf Jahren führt.
5. Immer komplexer werdende rechtliche Anforderungen
Gerade angesichts der Relevanz der E-Mail in der Geschäftskorrespondenz ist es kein Wunder, dass gesetzliche wie auch behördlichen Regelungsrahmen hinsichtlich des Umgangs mit E-Mails (und damit einhergehend die organisatorischen und technischen Herausforderungen) immer weitere Ausmaße annehmen:
1. So ist etwa am 01.01.2007 das "Gesetz über elektronische Handelsregister und Genossenschaftsregister sowie das Unternehmensregister" (EHUG) in Kraft getreten. Dieses bringt unter anderem für die im Handelsregister eingetragenen Unternehmen die Neuerung mit sich, dass diese nun auch bei ihrer via E-Mail oder via Fax geführten Korrespondenz bestimmte formale Anforderungen einhalten müssen, die bisher nur für gedruckte Geschäftsbriefe galten. Die IT-Recht Kanzlei bietet unter www.it-recht-kanzlei.de einen kostenlosen Pflichtangaben-Assistenten an, der die geforderten Angaben je nach Rechtsform online generiert - versehen mit nützlichen Hinweisen.
2. Nicht zuletzt hat es der Gesetzgeber sich auch zum Ziel gesetzt, mittels einer ganzen Reihe von gesetzlichen Bestimmungen einen rechtlich verbindlichen Verhaltenskodex (s. dazu unten unter Abschnitt III) zu schaffen, um den Unternehmer zu einem gewissenhaften Risikomanagement, also dem planvollen Umgang mit unternehmerischen Risiken zu „erziehen”.
Das Thema „E-mail Archivierung” stellt nun im Zusammenhang mit dem IT-Risikomanagement ein Teilaspekt dar, der aber gerade in den letzten Jahren hohe Wellengeschlagen hat. So verlangt das Gesetz bereits seit ein paar Jahren von Kaufleuten, dass E-Mails, die in Bezug zu Rechtsgeschäften stehen oder sonst wie steuerrechtlich relevant sind, nach handelsrechtlichen sowie steuerrechtlichen Anforderungen mehrere Jahre ordnungsgemäß zu archivieren sind.
Das Ziel dieses Beitrags und insbesondere der folgenden Abschnitte ist es nun, die E-Mail Archivierungspflicht (die eben als Teil eines wirkungsvollen Risikomanagements verstanden werden muss) rechtlich näher zu beleuchten.
B. Schaffung eines rechtlichen Problembewusstseins
Die E-Mail wird vielfach in ihrer rechtlichen Bedeutung vollkommen unterschätzt bzw. oft als relativ unverbindlich eingeschätzt. Dies völlig zu Unrecht, da die in einer E-Mail enthaltene Erklärung bzw. Information absolut rechtsrelevant ist und im Geschäftsverkehr im Prinzip dieselbe rechtliche Bedeutung zukommt wie ihr Pendant in Papierform. Vor diesem Hintergrund ist es auch keineswegs nachvollziehbar, dass bislang nur relativ wenige Unternehmen das Kommunikationsmedium E-Mail wirklich beherrschen – gerade in rechtlicher Hinsicht. Oftmals sind es die Firmenmitarbeiter, die für den Inhalt und die Verwertung der ausgetauschten Nachrichte zuständig sind, während die Unternehmen sich damit begnügen, eine stabile und kosteneffiziente Telekommunikationsinfrastruktur bereit zustellen. Fragen der unternehmensgesteuerten Archivierung des eigenen E-Mailverkehrs kommen dabei oftmals zu kurz.
Nur, diese Nachlässigkeit kann schnell nach hinten losgehen wie etwa ein aktuelles Fallbeispiel aus den USA zeigt. So wurde einem deutschen Unternehmen, nämlich die Deutsche Bank, Ende 2002 durch die US-Börsenaufsicht SEC eine Strafzahlung in Höhe von 1,65 Mil-lionen US-Dollar auferlegt. Hintergrund: Anlageberater des Unternehmens hatten (entgegen den unternehmenseigenen Vorgaben) E-Mails nur so unzureichend gespeichert, dass dadurch Ermittlungsverfahren zu bestimmten umstrittenen Anlageempfehlungen erschwert bzw. vereitelt worden sind. Zwar ist dem Autor dieses Beitrags noch kein vergleichbarer Fall in Deutschland bekannt geworden. Nur, auch in Deutschland ist die Palette möglicher Sanktionen bei einer nur mangelhaften E-Mail Archivierung durchaus beeindruckend:
- Verletzung der Buchführung: So kann etwa eine mangelhafte E-Mail Archivierung als Verletzung handelsrechtlicher Buchführung gewertet werden und wegen der Maß-geblichkeit zugleich eine Verletzung der steuerrechtlichen Buchführungspflicht gleichkommen. Da wiederum Mängel der Buchführung die steuerrechtliche Beweis-kraft der Bücher beeinträchtigt, wäre die Finanzverwaltung in diesem Fall berechtigt, den steuerlichen Gewinn nach § 162 II AO zu schätzen. Zudem könnte die Finanz-verwaltung die Buchführungspflicht durch ein Zwangsgeld erwirken (§ 238 I AO).
- Straftat: Abgesehen von steuerrechtlichen Sanktionen kann die Verletzung der E-Mail Archivierungspflicht auch strafbar sein, etwa wenn durch eine unzureichende o-der gar manipulative Archivierung von E-Mails das Unternehmen vorsätzlich die Ü-bersicht über dessen Vermögensstand erschwert mit dem Ziel, Vermögensbestandteile, die im Falle der Eröffnung eines möglichen Insolvenzverfahrens zur Insolvenzmasse gehören, beiseite zu schaffen oder gar zu verheimlichen (vgl. § 283 ff. StGB) .
Darüber hinaus regelt § 283b StGB, dass eine Verletzung der Buchführungspflicht mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft werden kann.
- Ordnungswidrigkeit: Des weiteren kann eine vorsätzliche oder leichtfertige Verlet-zung der Buchführungspflicht eine Ordnungswidrigkeit sein. Hier käme etwa eine Steuergefährung gemäß § 379 AO in Betracht (soweit nicht leichtfertige Steuerverkür-zung gemäß § 378 AO).
- Schadensersatz: Auch sind zivilrechtliche Sanktionen denkbar, etwa dass die Verlet-zung der Buchführungspflicht den Vorstand oder Geschäftsführer der jeweiligen Gesellschaft schadensersatzpflichtig nach § 93 II AktG bzw. § 43 II GmbHG macht.
Zudem kann die mangelhafte Archivierung von E-Mails eines Unternehmens auch Schadensersatzansprüche desjenigen Vertragpartners nach sich ziehen, etwa für den Fall, dass vertrauliche fremde Informationen abhanden gekommen sind. Als Haf-tungsgrundlage kommen hierbei schuldrechtliche Schadensersatzansprüche in Be-tracht, gemäß § 280ff. BGB. Gerade in diesem Zusammenhang ist auch § 241 Abs. 2 BGB zu beachten, wonach die Pflicht besteht, auf die Rechte, Rechtsgüter und Interes-sen des Vertragspartners Rücksicht zu nehmen. Hierzu gehören insbesondere die Be-achtung von Schutzpflichten, Aufklärungs- und Beratungspflichten.
- E-Mail als Beweis: Darüber hinaus wird immer wieder gerne übersehen, dass natür-lich auch E-Mails bei gerichtlichen Streitigkeiten durchaus Bedeutung zukommen kann – und zwar im Rahmen der freien richterlichen Beweiswürdigung. (So lies etwa der Bundesgerichtshof Internet-Ausdrucke als Beweismittel im Strafverfahren wegen der Mitgliedschaft in einer terroristischen Vereinigung zu, vgl. 12.10.2001/Az. 1 BJs 79/00).
Selbstverständlich sind E-Mails dabei bei weitem nicht mit dem Beweiswert einer (zur Zeit noch kaum eingesetzten) qualifizierten elektronischen Signatur gleichzusetzen. Jedoch, bereits aus dem Grund, dass sich bei Unternehmen die E-Mail überwiegend als Standard-Kommunikationsmittel durchgesetzt hat, sind E-Mails häufig die einzige Möglichkeit, um etwa Absprachen zwischen den Streitparteien, vereinbarte Milestones von Projekten (sowie Verantwortlichkeitsverteilungen), Change Request, Dokumenta-tionen von Geschäftsvorfällen, Protokolle zu Meetings, Terminsverschiebungen etc. etc. nachweisen zu können. Schon aus diesem Grund tut jedes Unternehmen gut daran, elektronisch gespeicherte Mitteilungen revisionssicher und in einer Art und Weise zu speichern und zu indexieren, die den permanenten und schnellen Zugriff erlaubt („All-zeit-Verfügbarkeit”) und die Integrität der Daten gewährleistet.
- Persönliche Haftung: Im Aktiengesetz ist festgelegt, dass eine persönliche Haftung des Vorstand dann in Betracht kommt, wenn er Entwicklungen, die zukünftig ein Risiko für das Unternehmen darstellen könnten (dazu gehört eben auch die unterlassene Speicherung geschäfts- oder steuerrechtlich relevanter Mails), nicht durch ein Risikomanagement überwacht und durch geeignete Maßnahmen vorbeugt (§ 91 Abs. 2 und § 93 Abs. 2 AktG).
Nahezu dieselben Anforderungen gelten für den Geschäftsführer einer GmbH, der „die Sorgfalt eines ordentlichen Geschäftsmannes” auf zu bringen hat (§ 43 Abs. 1 GmbHG). Diese, zugegebenermaßen eher allgemein gehaltene Formulierung, beinhaltet in der rechtlichen Praxis ganz ähnliche Folgerungen für das Risikomanagement wie für Vorstände nach dem Aktiengesetz. Kommt die Geschäftsführung oder der Vorstand – als Verantwortliche – der oben beschriebenen Pflicht zur Archivierung von E-Mails (als allgemeine Risikovorsorgepflicht) nicht nach und entsteht dadurch dem Unternehmen ein finanzieller Schaden, kann dies zu einer persönlichen Haftung der Mit-glieder des Vorstands und der Geschäftsführung unter Umständen auch der Aufsichtsratmitglieder (§116 AktG) führen.
- Basel II: Das Bundeskabinett verabschiedete Mitte Februar dieses Jahres den Geset-zesentwurf zur Umsetzung der Banken- und Kapitaladäquanzrichtlinie, besser bekannt unter dem Namen "Basel II". Dies hat zur Folge, dass auch die Banken und Finanzin-stitute in Deutschland ab 2007 gesetzlich verpflichtet sind, die Vorgaben des Basel II Abkommens umzusetzen und insbesondere eine individuelle Bonitätseinschätzung des jeweiligen kreditsuchenden Unternehmen durchführen. Mittels dieser Bonitätsein-schätzung kann sodann ermittelt werden, wie hoch die Wahrscheinlichkeit ist, dass der Kredit an die Bank auch wieder zurückgezahlt wird („Ausfallrisiko”). Sollte dabei das Risiko eines Ausfalls als hoch eingestuft werden, wird sich die Bank dies bezahlen lassen indem sie die Bonität des kreditsuchenden Unternehmens herabsetzt und nur ungünstige Kreditkonditionen weitergibt. Im schlechtesten Falle kommt es gar zu ei-ner Weigerung einer Kreditgewährung. Es ist selbstverständlich, dass in diesem Zu-sammenhang ein besonderes Augenmerk auf das operationale Risiko "Risikomanage-ment" (und damit der E-Mail Archivierungspflicht) liegen muss. Bereits in der Einlei-tung dieses Beitrags wurde auf die fundamentale Bedeutung der IT-Infrastruktur für ein jedes Unternehmen eingegangen, da sie in den meisten Fällen unternehmerisches Handeln überhaupt erst ermöglicht. Fallen die IT- und damit auch Mailsysteme aus, sind in aller Regel die Unternehmen heutzutage nicht mehr handlungsfähig. Aus die-sem Grund werden die Banken sehr genau prüfen, ob der Kreditnehmer zumindest die Grundanforderungen zur IT-Risikomanagement durch die Einhaltung bestimmter Si-cherheitsvorkehrungen getroffen hat, die ihn vor einem IT-Ausfall schützen.
C. Rechtsrahmen zur elektronischen Archivierung von E-Mails
Ein Gesetz, welches sämtliche gesetzlichen Regelungen mit Bezug zur Archivierung von E-Mails zusammenfassen würde gibt es nicht. Vielmehr hat man sich die entsprechenden Regelungen mühsam aus verschiedenen gesetzlichen Bestimmungen zusammenzusuchen. Dies wird wohl auch ein Grund mit dafür sein, dass sich viele Unternehmer noch immer nicht darüber im Klaren sind, dass der Gesetzgeber sie in bestimmten Fällen konkret zur Errichtung einer effizienten und vor allem sicheren Archivierung von E-Mails verpflichtet hat. Nur wer einen Überblick über die relevanten Gesetze und Verordnungen hat und ein geeignetes Sicherheitskonzept verfolgt, kann sich hier vor rechtlichen Konsequenzen schützen.
Folgende rechtliche Vorgaben wären im Zusammenhang mit der E-Mail Archivierungspflicht beispielsweise zu nennen:
- das Handelsgesetzbuch (HGB)
- das Bundesdatenschutzgesetz (BDSG)
- das Telekommunikationsgesetz (TKB).
- das Aktiengesetz (AG.)
- das Gesetz betreffend die Gesellschaften mit beschränkter Haftung (GmbHG).
- Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KontraG).
- die Abgabenordnung (AO).
- die GDPdU (Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen.
- vielfältige allgemeine kaufmännische Sorgfaltspflicht etc.
- Basel II.
- der Sarbanes-Oxley Act (es gibt weltweit tausende von Compliance-Regeln).
Insbesondere aus dem HGB und der AO lassen sich in Deutschland zu Fragen der E-Mail Archivierung unmittelbare Handlungsverpflichtungen ableiten, wobei im Folgenden unterschieden werden soll zwischen der Aufbewahrung der ausgehenden elektronischen Mitteilungen (die „Ausgangspost”) sowie der eingehenden elektronischen Mitteilungen (die „Eingangspost”).
I. Ausgangspost: Welche ausgehende elektronische Post (also etwa E-Mails) ist zu archivieren?
1. § 238 Abs. 2 Handelsgesetzbuch (HGB)
a. E-Mails, die als Handelsbriefe einzustufen sind, müssen archiviert werden
In 238 Abs. 2 (HGB) schreibt der Gesetzgeber für einen Kaufmann die Verpflichtung vor, eine Kopie der abgesendeten „Handelsbriefe” zurückzubehalten bzw. sicher aufzubewahren (sei es in Papierform, als Grafik- oder auch Textdatei). Da man unter einem Handelsbrief je-des Schreiben versteht, welches „der Vorbereitung, den Abschluss, der Durchführung oder auch der Rückgängimachung eines Geschäfts” (vgl. Bonner Handbuch der Rechnungslegung, § 257, Rn 34) dient, ist damit auch die gesamte in E-Mails gehaltene Geschäftskorrespondenz eines Unternehmens betroffen.
Dazu gehören etwa
- Aufträge (auch Änderungen und Ergänzungen)
- Auftragsbestätigungen,
- Versandanzeigen,
- Frachtbriefe,
- Lieferpapiere,
- Reklamationsschreiben
- Rechnungen und
- Zahlungsbelege sowie
- schriftlich gefasste Verträge.
Nicht dazu gehören z.B.
- unverbindliche Werbeschreiben,
- simple Kontakt-E-Mails des Vertriebes etc.
b. Adressat der Archivierungspflicht
Die E-Mail Archivierungspflicht gilt dabei für jeden Kaufmann (vgl. §§ 1,2,3 HGB), Handelsgesellschaften, der eingetragenen Genossenschaft sowie den juristischen Personen i.S.d. §33 HGB. Dagegen gilt die E-Mail Archivierungspflicht nicht für Nichtkaufleute, wie z.B. Kleingewerbetreibende und Freiberufler.
c. Dauer der Archivierungspflicht
Gemäß § 147 Abgabenordnung sind die als Handels- oder Geschäftsbriefe einzustufenden E-Mails sechs Jahre aufzubewahren, sofern nicht in anderen Steuergesetzen kürzere Aufbewahrungsfristen zugelassen sind. Nach Ablauf der Frist brauchen die Unterlagen nur noch aufbewahrt zu werden, wenn und soweit sie für eine begonnene Außenprüfung, für eine vorläufige Steuerfestsetzung nach § 165 AO, für anhängige steuerstraf- oder bußgeldrechtliche Ermittlungen, für ein schwebendes oder aufgrund einer Außenprüfung zu erwartendes Rechtsbehelfsverfahren oder zur Begründung von Anträgen des Steuerpflichtigen von Bedeutung sind.
2. § 147 Abgabenordnung (AO)
a. Sonstige E-Mails mit steuerrechtlichem Bezug sind aufzubewahren
Neben den Handels- oder auch Geschäftsbriefen sind auch all diejenigen abgesandten E-Mails aufzubewahren, die in steuerrechtlicher Hinsicht von Bedeutung sind (vgl. § 147 AO). Das können insbesondere E-Mails sein, die folgende Inhalte enthalten:
- Bücher und Aufzeichnungen,
- Inventare,
- Jahresabschlüsse,
- Lageberichte,
- die Eröffnungsbilanz sowie die zu ihrem Verständnis erforderlichen Arbeitsanweisungen und Organisationsunterlagen,
- die empfangenen aber auch abgesandten Handels- oder Geschäftsbriefe,
- Buchungsbelege
- sonstige Inhalte, für die Besteuerung von Bedeutung sind.
b. Art der Speicherung
Mit Ausnahme der Jahresabschlüsse sowie der Eröffnungsbilanz ist es in rechtlicher Hinsicht laut § 147 AO unproblematisch, die E-Mails auch als Wiedergabe auf einem Bildträger (z.B. Fotokopien, Mikrofilme) oder auf anderen Datenträgern (z.B. Magnetbänder, Magnetplatten, Disketten) aufzubewahren, wenn dies den Grundsätzen ordnungsmäßiger Buchführung entspricht und sichergestellt ist, dass die Wiedergabe oder die Daten
- mit den empfangenen Handels- oder Geschäftsbriefen und den Buchungsbelegen bildlich und mit den anderen Unterlagen inhaltlich übereinstimmen, wenn sie lesbar gemacht werden,
- während der Dauer der Aufbewahrungsfrist jederzeit verfügbar sind, unverzüglich lesbar gemacht und maschinell ausgewertet werden können.
Übrigens, wer aufzubewahrende steurrechtlich relevante E-Mails auf einem Bildträger oder auf anderen Datenträgern vorlegt, ist gem. § 147 V AO verpflichtet, auf seine Kosten diejenigen Hilfsmittel zur Verfügung zu stellen, die erforderlich sind, um die Unterlagen lesbar zu machen; auf Verlangen der Finanzbehörde hat er auf seine Kosten die Unterlagen unverzüglich ganz oder teilweise auszudrucken oder ohne Hilfsmittel lesbare Reproduktionen beizubringen.
Hinweis: Sämtliche E-Mails, die steuerlich relevante Sachverhalte enthalten, sind in elektronischer sowie rechtssicherer Form aufzubewahren bzw. zu archivieren. Nach den vom Bundesfinanzministerium veröffentlichten Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) reicht es keineswegs mehr aus,
- die relevanten E-Mails einfach nur auszudrucken und abzuheften.
- die relevanten E-Mails in maschinell nicht auswertbaren Formaten (z.B. pdf-Datei) zu archivieren.
c. Dauer der Archivierungspflicht
Gemäß § 147 Abgabenordnung sind die als Handels- oder Geschäftsbriefe einzustufende E-Mails sechs Jahre aufzubewahren. Sollten die E-Mails dagegen Buchungsbelege, Rechnungen, Bilanzen, Jahresabschlüsse oder auch Lageberichte enthalten, betragen die Aufbewahrungsfristen 10 Jahre, sofern nicht in anderen Steuergesetzen kürzere Aufbewahrungsfristen zugelassen sind. Nach Ablauf der Frist brauchen die Unterlagen nur noch aufbewahrt zu werden, wenn und soweit sie für eine begonnene Außenprüfung, für eine vorläufige Steuerfestsetzung nach § 165 AO, für anhängige steuerstraf- oder bußgeldrechtliche Ermittlungen, für ein schwebendes oder aufgrund einer Außenprüfung zu erwartendes Rechtsbehelfsverfahren oder zur Begründung von Anträgen des Steuerpflichtigen von Bedeutung sind.
II. Eingangspost: Welche eingehende elektronische Post (also etwa E-Mails) ist zu archivieren?
Hier spielt § 257 HGB und auch wiederum § 147 der AO eine Rolle, wonach jeder Kaufmann verpflichtet ist, empfangene Handelsbriefe in Form von E-Mails geordnet aufzubewahren (vgl. § 257 I S. 2 HGB). Das Gesetz schreibt hierbei gem. § 257 Abs. 4 HGB eine 6-jährige Aufbewahrungspflicht vor wobei die Aufbewahrungsfrist gem. § 257 Abs. 5 HGB mit dem Schluss des Kalenderjahres beginnt, in welchem die Handelsbriefe empfangen oder abgesandt worden sind. Nach Ablauf der 6 Jahre können die Handelsbriefe sodann in der Regel vernichtet werden.
§ 147 AO sieht darüber hinaus vor, dass sonstige E-Mails mit steuerrechtlichen Bezügen zu speichern sind. Hierzu kann vollumfänglich auf die obigen Ausführungen (unter Kapitel C, Absatz I, Nr. 2) verwiesen werden.
Hinweis: Sämtliche E-Mails, die steuerlich relevante Sachverhalte enthalten, sind in elektronischer sowie rechtssicherer Form aufzubewahren bzw. zu archivieren. Nach den vom Bun-desfinanzministerium veröffentlichten Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) reicht es keineswegs mehr aus,
- die relevanten E-Mails einfach nur auszudrucken und abzuheften.
- die relevanten E-Mails in maschinell nicht auswertbaren Formaten (z.B. pdf-Datei) zu archivieren.
D. Die häufigsten gestellten Fragen zum Thema „Rechtssichere E-Mail Archivierung”.
Angesichts der doch recht schwierigen Materie, soll der Übersicht und der Verständlichkeit halber die nachfolgenden Rechtsprobleme im Rahmen einer „FAQ” dargestellt werden:
Frage Nr. 1: Sind auch die Anlagen der Handels- oder Geschäftsmails aufbewahrungspflichtig?
Unklar ist oft, ob auch die Anlagen zu den Handels- oder auch Geschäftsmails zu den aufbewahrungspflichtigen Unterlagen i.S.d. § 238 II HGB gehören. Dies ist immer dann der Fall, wenn die jeweiligen Mails ohne die zugehörigen Anlagen nicht verständlich sind.
Frage Nr. 2: Sind auch Geschäftsmails zu archivieren, die sich auf ein nicht zustandegekommenes Geschäft beziehen?
Für den Fall, dass das Handelsgeschäft nicht zu einem Abschluss gekommen ist, wäre die diesbezüglich geführte Korrespondenz nicht aufbewahrungspflichtig.
Frage Nr. 3: Schreibt das Gesetz bezüglich der E-Mail Archivierung eine bestimmte Art und Weise vor?
Nein, das Gesetz hält sich hier bewusst zurück bzw. privilegiert keine bestimmte Speichertechnologie. Es kommt nur darauf an, dass eine fälschungssichere sowie dauerhafte Speicherung der Daten in elektronischer Form gewährleistet wird. In diesem Zusammenhang sind auch die Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS) interessant.
Danach dürfen zu archivierende E-Mails dürfen nur auf solchen DV-Systemen aufbewahrt werden, die es technisch ermöglichen, dass bei ihrer Wiedergabe eine bildliche Übereinstimmung mit dem Original gegeben ist. Originär digitale Unterlagen sind während der gesamten gesetzlichen Aufbewahrungsfrist in maschinell auswertbarer Form vorzuhalten. Eine alleinige Aufzeichnung auf Mikrofilm oder Papier reicht nicht mehr aus.
Frage Nr.4: Ist es zulässig, die E-Mails in verschlüsselter Form zu speichern?
Ja, dies ist prinzipiell zulässig, soweit die E-Mails bei der anschließenden Lesbarmachung wieder ohne Probleme entschlüsselt werden können. Dagegen ist es unzulässig, verschlüsselte E-Mails an die Finanzbehörden zu übergeben – selbst wenn das jeweilige Entschlüsselungsprogramm gleich mitgeliefert werden sollte.
Frage Nr.5: Was bedeutet eigentlich die revissionssichere Archivierung von E-Mails?
Hierzu hat etwa der Verband Organisations- und Informationssysteme (www.voi.de) die folgenden zehn Grundsätze zur Revisionssicherheit von elektronischen Mitteilungen (und Archiven) definiert:
- Jede E-Mail wird unveränderbar archiviert.
- Es darf keine E-Mail auf dem Weg ins Archiv oder im Archiv selbst verloren gehen.
- Jede E-Mail muss mit geeigneten Retrievaltechniken (zum Beispiel durch das indexieren mit Metadaten) wieder auffindbar sein.
- Es muss genau die E-Mail wiedergefunden werden, das gesucht worden ist.
- Keine E-Mail darf während seiner vorgesehenen Lebenszeit zerstört werden können.
- Jede E-Mail muss in genau der gleichen Form, wie es erfasst wurde, wieder angezeigt und gedruckt werden können.
- Alle E-Mails müssen zeitnah wiedergefunden werden können.
- Alle Aktionen im Archiv, die Veränderungen in der Organisation und Struktur bewirken, sind derart zu protokollieren, dass die Wiederherstellung des ursprünglichen Zustandes möglich ist.
- Elektronische Archive sind so auszulegen, dass eine Migration auf neue Plattformen, Medien, Softwareversionen und Komponenten ohne Informationsverlust möglich ist.
- Das System muss dem Anwender die Möglichkeit bieten, die gesetzlichen Bestimmungen (BDSG, HGB, AO etc.) sowie die betrieblichen Bestimmungen des Anwenders hinsichtlich Datensicherheit und Datenschutz über die Lebensdauer des Archivs sicherzustellen.
Frage Nr.6: Welche Bedenken gibt es gegen eine zentrale Archivierungslösung?
1. Problemdarstellung
Eine zentrale Archivierungslösung aller „unternehmenseigenen” E-Mails stößt dann auf Vor-behalte, wenn das jeweilige Unternehmen den Mitarbeitern auch ´die Nutzung des Email-Postfachs zu privaten Zwecken gestattet. Stellt man nämlich den betriebseigenen Internetzugang für betriebsfremde (also private) Zwecke zur Verfügung, wird das Unternehmen in diesem Fall geschäftsmäßiger Anbieter von Telekommunikationsdiensten.
Unternehmen, die die private Nutzung des Internet/E-Mailzugangs erlauben unterliegen als Telekommunikations- und Telediensteanbieter den folgenden, sich aus dem BDSG sowie dem TKG ergebenden rechtlichen Pflichten:
- Die Erhebung von personenbezogenen Daten ist auf ein Mindestmaß zu reduzieren.
- Jegliche Überwachung und Speicherung der Inhalte und Verbindungsdaten ist unzulässig und stellt ein Verstoß gegen das Fernmeldegeheimnis dar, welches als Grundrecht nach §10 des Grundgesetzes nicht nur in der Sprachkommunikation sondern auch bei der Datenübertragung und der Internet-Nutzung Gültigkeit besitzt.
- Die E-Mails, die nach dem Ende der Nachrichtenübermittlung auf dem unternehmenseigenen Server gespeichert sind, werden zwar nicht mehr vom Fernmeldegeheimnis geschützt (so ein aktuelles Urteil des Bundesverfassungsgericht), dagegen jedoch von Artikel 2 Abs. 1 GG i.V.m. Art 1. Abs. 1 GG - dem Recht auf informationelle Selbstbestimmung.
- Alle Inhalts- und Verbindungsdaten, die Auskunft über die an der Internetnutzung oder am Emailverkehr Beteiligten geben könnten, sind durch angemessene technische Vorkehrungen und sonstige Maßnahmen vor Kenntnisnahme zu schützen.
2. Ergo
Diejenigen Unternehmen, die die private Internetnutzung erlauben, können eben nicht so ohne weiteres auf private E-Mails der Mitarbeiter zugreifen. Dasselbe gilt für die Archivierung privater E-Mails. So sind die betreffenden E-Mails während des Übertragungsvorganges durch das Fernmeldegeheimnis und anschließend durch das Recht auf informationelle Selbst-bestimmung geschützt (Art. 10 Abs. 1 Grundgesetz; Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 Grundgesetz). Für den Fall, dass das Recht auf informationelle Selbstbestimmung verletzt wird, drohen ernst zu nehmende Sanktionen für das Unternehmen, im schlimmsten Fall kommen Freiheitsstrafen in Betracht.
Frage Nr.7: Sind Rückstellung für die Archivierung zu bilden?
Ja, so entschied bereits am 19.08.2002 der Bundesfinanzhof (BStBl 2003 II S. 131), dass für die zukünftigen Kosten der Aufbewahrung von Geschäftsunterlagen, zu der das Unternehmen gemäß § 257 HGB und § 147 AO verpflichtet ist, im Jahresabschluss eine Rückstellung zu bilden ist.
E. Handlungsanleitung
Wie bereits an obiger Stelle ausgeführt, bringt die Gestattung der privaten Nutzung der betriebseigenen IT-Infrastruktur durch die Mitarbeiter nicht zu unterschätzende rechtliche Komplikationen mit sich – gerade was auch die Archivierung von E-Mails anbelangt (vgl. oben). Aus dem Grund sollte man sich gut überlegen ob überhaupt und - wenn ja, - in welcher Art und Weise man die private E-Mail Kommunikation am Arbeitsplatz gestatten sollte. Im
Folgenden sollen praxisnahe Lösungen aufgezeigt und im Hinblick auf die E-Mail-Archivierungsanforderungen rechtlich beleuchtet werden:
1. Möglichkeit = Totalverbot des Einsatzes von E-Mails zu privaten Zwecken im Unternehmen
Zumindest aus rechtlicher Sicht scheint diese Lösung die ideale: Das Unternehmen wird nicht zum Provider, Datenschutz spielt dann keine Rolle. So können Rechtsunsicherheiten für den Arbeitgeber und den Arbeitnehmer vermieden und SPAM-Filter, Vertretungszugriffe,, Archi-vierung und Kontrollen einer missbräuchlichen Nutzung ermöglicht werden. Das Unterneh-men hat dann natürlich auch das Recht, beliebig und unbegrenzt auf die E-Mails der jeweili-gen Mitarbeiter zuzugreifen bzw. auch zu archivieren.
Zu beachten wäre, dass das E-Mail Verbot in jedem Fall schriftlich fixiert werden sollte, etwa durch
- entsprechende Richtlinien betreffend der Nutzung der firmeneigenen IT-Infrastruktur,
- Betriebsvereinbarungen,
- Einverständniserklärungen der Belegschaft oder gar
- den individuellen Anstellungsvertrag.
Das Verbot ist auch in der Praxis durchzusetzen. Untersagt nämlich ein Arbeitgeber die private Nutzung von E-Mails, ohne dies dann regelmäßig zu kontrollieren, kann sich das Verbot in eine Duldung "umwandeln". Der Arbeitnehmer hat nach einer Weile der Duldung einen Anspruch auf die Leistung, hier die Privatnutzung. Aus diesem Grund sind regelmäßig Kontrollen vorzunehmen und auch für den Fall von Verstößen Sanktionen vorzusehen, die in besonderen Fällen bis zu einer (verhaltensbedingten) Kündigung reichen können.
(Wegen des allgemeinen Betriebsklimas sei in diesem Zusammenhang empfohlen, bei den Mitarbeitern um ein Verständnis für ein Totalverbot der E-Mail Kommunikation zu privaten Zwecken zu werben - etwa mithilfe von Schulungen, welche die datenschutzrechtliche Prob-lematik bei der privaten Nutzung von E-Mails näher bringen).
2. Möglichkeit = Vorbehaltslose Erlaubnis des Einsatzes von E-Mails zu privaten Zwecken
Diese Alternative ist aus rechtlicher Sicht alles andere als ideal. Dem Arbeitgeber ist es verwehrt, den privaten E-Mailverkehr seiner Mitarbeiter zu lesen, ja geschweige denn zu archivieren. Konsequenz: Dem Arbeitergeber bleibt nichts anderes übrig, als sich, in der Regel sehr aufwendigen und damit kostenintensiven technischen Lösungen zu bedienen, die in der Lage sind, private Mails von dienstlichen zu trennen. Von manchen Juristen wird vertreten, dass es in diesem Fall dem Arbeitgeber nicht verwehrt werden dürfe, immerhin den Betreff der jeweiligen E-Mail zu öffnen bzw. sichtbar zu machen. Es darf jedoch bezweifelt werden, ob eine solche Vorgehensweise mit den bereits skizzierten datenschutzrechtlichen Bestimmungen in Einklang zu bringen ist. Rechtsprechung zu diesem Fall ist jedenfalls bislang nicht bekannt.
3. Möglichkeit = Die Zwischenlösung
Natürlich ist auch eine Zwischenlösung denkbar, etwa dergestalt, dass den Mitarbeitern im Einzelnen vorgeschrieben wird, auf welche Art und Weise mittels E-Mails privat über die firmeninterne IT-Infrastruktur kommuniziert werden kann. Folgende Lösungen bieten sich hierzu an:
- Zeitliche Ausnahmeregelung ("Nutzung in Pausen und außerhalb der Arbeitszeit" oder "nur zwischen xx Uhr und yy Uhr") definieren, in der auf einen Freemail-Account (wie web.de) zugegriffen werden darf.
- Den Mitarbeitern kann neben einer geschäftlichen E-Mailadresse auch eine privat (und als solche gekennzeichnete) E-Mailadresse zur Verfügung gestellt werden - verbunden mit der Auflage, dass nur letztere zu privaten Zwecken genutzt werden darf. Damit würde eine zentrale, sowie effiziente Archivierung ermöglicht werden, da auf diese Weise eine Vermischung privater wie auch dienstlicher E-Mail ausgeschlossen würde. Nicht zuletzt würde man damit auch etwaigen Konflikten mit Betriebsräten aus dem Weg gehen können, die ansonsten bei betrieblichen Vereinbarungen zur E-Mailnutzung hinzugezogen werden müssten. So wird etwa das Mitbestimmungsrecht von Betriebsräten seitens der Rechtsprechung recht weit gefasst. Es sei demnach aus-reichend, wenn technische Maßnahmen dazu geeignet sein könnten, den Arbeitnehmer zu überwachen - was naturgemäß gerade für Telekommunikationssysteme gilt.
- Auch könnte man an Regelungen denken, die dem Mitarbeiter vorschreiben würden, private E-Mails auch im Header deutlich als "privat" zu kennzeichnen. (So wird es zum Teil auch von Behörden praktiziert.)
F. Fazit
Der Gesetzgeber hat sich zum Ziel gesetzt, mittels einer ganzen Reihe von gesetzlichen Bestimmungen einen rechtlich verbindlichen Verhaltenskodex (s. dazu oben unter Abschnitt III) zu schaffen, um den Unternehmer zu einem gewissenhaften Risikomanagement, also dem planvollen Umgang mit unternehmerischen Risiken zu „erziehen”.
Das Thema „E-mail Archivierung” stellt im Zusammenhang mit dem IT-Risikomanagement zwar nur ein Teilaspekt dar, gerade dieser aber in den letzten Jahren hohe Wellen geschlagen. So verlangt das Gesetz bereits seit ein paar Jahren vom Unternehmer, dass E-Mails, die in Bezug zu Rechtsgeschäften stehen oder sonst wie steuerrechtlich relevant sind, nach handelsrechtlichen sowie steuerrechtlichen Anforderungen mehrere Jahre ordnungsgemäß zu archivieren sind. Aus diesem Grund tut jedes Unternehmen gut daran, elektronisch gespeicherte Mitteilungen revisionssicher und in einer Art und Weise zu speichern und zu indexieren, die den permanenten und schnellen Zugriff erlaubt („Allzeit-Verfügbarkeit”) und die Integrität der Daten gewährleistet.
Angesichts der Probleme, die eine private Nutzung der betriebseigenen IT-Infrastruktur mit sich bringen kann ist es erstaunlich, dass nur die wenigsten Unternehmen (manchen Umfragen zufolge nur ca. 30 %) die private Nutzung von E-Mail und Internet durch ihre Angestellten regeln. So wird in den meisten Unternehmen die private Nutzung der unternehmenseigenen Kommunikationseinrichtungen auch für private Zwecke gestattet bzw. zumindest stillschweigend geduldet. Viele Unternehmen scheinen sich dabei jedoch über die daraus resultierenden rechtlichen Konsequenz nicht im mindesten im Klaren zu sein – insbesondere auch in Hinsicht der E-Mail Archivierungspflicht.
Aus dem Grund hat in jedem Unternehmen unmissverständlich (!) klar definiert zu sein, in welchem Umfang die Nutzung der betriebsinternen Kommunikationseinrichtungen zu privaten Zwecken zulässig ist oder auch nicht. Denkbar wäre in diesem Zusammenhang etwa, ausschließlich das private Telefonieren zuzulassen, jedoch nicht das private Surfen. Es empfiehlt sich insoweit, entsprechende Unternehmensrichtlinien auszuarbeiten, die sodann jeder (!) Mitarbeiter zu unterschreiben hat. Insbesondere haben diese Richtlinien auch für den Fall von Verstößen Sanktionen vorzusehen.
Tipp: Fragen zum Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook .
Link kopieren
Als PDF exportieren
Per E-Mail verschicken
Zum Facebook-Account der Kanzlei
Zum Instagram-Account der Kanzlei
1 Kommentar
Belässt man die Mails im Originalzustand - wie gesetzlich gefordert - dann kann man Sie vielleicht in 10 Jahren nicht mehr lesen, wenn der Mitarbeiter zwischenzeitlich die Firma verlassen hat und sein privater Schlüssel folglich nicht mehr zur Verfügung steht.
Entschlüsselt man die E-Mail und speichert sie unverschlüsselt, damit man sie später in jedem Fall noch lesen kann, dann genügt man nicht der gesetzlichen Anforderung die Mails in ihrem ursprünglichen Zustand zu belassen.
Andererseits ist Ende zu Ende-Verschlüsselung anerkanntermaßen die einzig wirklich sichere Art den Zugriff unberechtigter Dritter zu verhindern.
Ich vermute, dass es nicht möglich ist einerseits den gesetzlichen Auflagen zu genügen und andererseits E-Mails sicher zu verschlüsseln.
Wie ist Ihre Einschätzung zu dem Thema?
Mit freundlichen Grüßen
Ralph Lindner