Benutzer-Werkzeuge

Webseiten-Werkzeuge


rechtliche_aspekte

Rechtliche Aspekte der E-Mail-Archivierung

Stand dieser Information: November 2017

Die rechtssichere bzw. gesetzeskonforme Archivierung von E-Mails nach deutschem Recht bedeutet gemäß den zugrunde liegenden geltenden Vorschriften und Anordnungen (insbes. GoBD, AO und HGB), dass der Betreiber der E-Mail-Archivierung (respektive der Steuerpflichtige) alle handels- und steuerrechtlich relevanten E-Mails archivieren muss.

Zum 01.01.2017 endeten die Übergangsfristen für die Gültigkeit der GoBD. E-Mail-Archivierung ist seit dem für jedes Unternehmen verpflichtend. Steuerrelevante elektronische Dokumente müssen seit dem Stichtag rechtssicher archiviert werden.

Im Folgenden beschreiben wir die näheren und zu beachtenden Einzelheiten.

Ordnungsmäßigkeit

Die seitens des Gesetzgebers formulierten rechtlichen Anforderungen zur Aufbewahrung von E-Mails sind technikneutral abgefasst.

Gesetzeskonforme E-Mail-Archivierung bedeutet, dass die eingesetzte Kombination aus Hardware, Software und Organisation die Vollständigkeit, Integrität sowie die Wiederauffindbarkeit von steuerrelevanten E-Mails sicherstellen muss. Der Gesetzgeber hat verschiedene Anforderungen bzgl. der Ordnungsmäßigkeit des Verfahrens einer gesetzeskonformen und damit rechtssicheren Archivierung von E-Mails definiert.

Folgende Anforderungen sind maßgeblich:

  • Grundsatz der Nachvollziehbarkeit und Nachprüfbarkeit (§ 238 I 2 HGB)
  • Grundsätze der Wahrheit, Klarheit und fortlaufenden Aufzeichnung
  • Konkret:
  • Vollständigkeit (vollständige Übergabe an das Archivsystem) (§ 239 II HGB)
  • Richtigkeit (Übereinstimmung mit dem Original, keine Manipulationen am Dokumenteninhalt) (§ 239 II HGB)
  • Zeitgerechtheit (zeitnahe Erfassung) (§239 II HGB)
  • Ordnung (ausreichende Indexstrukturen) (§239 II HGB)
  • Unveränderbarkeit (Revisionssicherheit) (§ 239 III HGB)
  • Nachvollziehbarkeit (Protokollierungsfunktionen, Verfahrensdokumentation) (§ 238 I 2 HGB)
  • keine Einschränkung der maschinellen Auswertbarkeit

Eine gesetzeskonforme Archivierung der handels- und steuerrechtlich relevanten E-Mails nach deutschem Recht setzt damit die Einhaltung der einschlägigen Gesetze und Vorschriften (insbes. GoBD, GDPdU, GoBS, AO und HGB) unter der Berücksichtigung der vorgenannten Ordnungsmäßigkeitskriterien voraus.

Auswirkungen auf die Archivierung

Die Vollständigkeit der E-Mail-Archivierung bedeutet, dass alle handels- und steuerrechtlich relevanten E-Mails archiviert werden müssen.

Praktisch ist es dabei nicht möglich, Entscheidungen über die ggf. gesetzlich verpflichtende Archivierungspflicht jeder einzelnen E-Mail auf Basis von automatischen Entscheidungsregeln zu fällen. Eine automatische bzw. systemgetriebene Archivierung aller E-Mails ist daher faktisch unumgänglich. Manuelle bzw. anwendergetriebene Entscheidungen über die Archivierung von E-Mails sind fehleranfällig und verbieten sich zudem aus Aufwandsgründen ebenso, wie aus Gründen der Einhaltung der Ordnungsmäßigkeitskriterien.

Desweiteren ist die Ordnungsmäßigkeit der Archivierung im Hinblick auf die Merkmale der Zeitgerechtheit sowie der Vollständigkeit bei manuellen Entscheidungsprozessen dem Grunde nach nicht zu gewährleisten. Um also eine ordnungsmäßige E-Mail-Archivierung gemäß den vorgenannten Anforderungen herzustellen, ist die zeitnahe Archivierung der E-Mails sicherzustellen. Eine automatische bzw. systemgetriebene Archivierung aller E-Mails ist somit obligatorisch. Wir raten daher dazu, alle E-Mails des Unternehmens automatisch und vollumfassend zu archivieren. Dies betrifft alle ein- und ausgehenden sowie interne E-Mails.

Rechtliche Auswirkungen

Die vollumfassende Archivierung der E-Mails im Unternehmen kann rechtliche Probleme aufweisen. Insbes. ist dies der Fall, wenn die private E-Mail-Nutzung zwischen dem Unternehmen als Arbeitgeber und den Mitarbeitern erlaubt oder nicht geregelt ist, also bspw. eine stillschweigende Duldung der privaten Internetnutzung (insbes. E-Mail) vorliegt. Um möglichen rechtlichen Fallstricken vorzubeugen, sollten Regelungen zur privaten E-Mail- und Internet-Nutzung getroffen werden. Darüber hinaus empfehlen wir, Regelungen bzgl. unaufgefordert zugesandter E-Mails mit personenbezogenen oder anderweitig datenschutzrechtlich relevanten Daten (bspw. Initiativbewerbungen), zu schaffen, um einschlägigen Anforderungen des Bundes- bzw. der Landesdatenschutzgesetze und zukünftig der EU-DSGVO zu genügen.

Etwaige diesbzgl. Details sollten mit einem geeignetem Rechtsbeistand abgestimmt werden.

Auswirkungen auf Produkte

Gemäß GoBD muss die Ablage der E-Mails im Ursprungsformat erfolgen.

Stand der Ausarbeitung dieser Dokumentation gibt es in Deutschland keine rechtsgültigen oder rechtswirksamen Produktzertifizierungen für E-Mail-Archivierungssysteme. Um eine gesetzeskonforme bzw. rechtssichere E-Mail-Archivierung aller handels- und steuerrechtlich relevanten E-Mails im Sinne von HGB, AO, GoBD zu implementieren, ist es im Sinne des Ordnungsmäßigkeitskriteriums der Nachvollzierbarkeit erforderlich, neben der fachgerechten technischen Einrichtung eine geeignete Verfahrensdokumentation bzgl. Dokumentation der Ordnungsmäßigkeit des Gesamtverfahrens „E-Mail-Archivierung“ zu erstellen. Die Dokumentation beschreibt insbes. die Schnittstellen zwischen Benno MailArchiv und den umgebenden Systemen, den Fluss der E-Mails in das Archiv usw. und beschreibt abgestimmte Kontroll- und Wartungsverfahren.

Verfahrensdokumentation

Der Gesetzgeber erwartet, dass die Verfahrensbestandteile, Daten und Dokumentbestände der implementierten E-Mail-Archivierung von einem sachverständigen Dritten, so auch der Finanzverwaltung, hinsichtlich ihrer formellen und sachlichen Richtigkeit in angemessener Zeit prüfbar sind. (Dies bezieht sich sowohl auf die Prüfbarkeit einzelner Geschäftsvorfälle als auch auf die Prüfbarkeit des Systems und der darin ablaufenden Prozesse).

Die Prüfbarkeit der in den GoBD definierten Ordnungsmäßigkeitsgrundsätzen setzt das Vorhandensein einer Verfahrensdokumentation zwingend voraus. Die Finanzverwaltung versteht unter der Verfahrensbeschreibung eine Beschreibung des organisatorischen und technischen Verfahrens bzgl. der Verarbeitung steuerlich relevanter Informationen.

Die Erstellung der Betriebs- und Verfahrensdokumentation sollte sich neben den gesetzlichen Vorschriften an den einschlägigen Standards und Maßstäben der Wirtschaftsprüfung orientieren (z.B.: RS FAIT 1, ERS FAIT2, IDW PS 330 und IDW PH 9.330.1). Wir raten ferner dazu, die VOI-Prüfkriterien für Dokumentenmanagement- und Enterprise-Content-Management-Lösungen bei der Erstellung der Dokumentation zu berücksichtigen.

Eine Verfahrensdokumentation zur gesetzeskonformen E-Mail-Archivierung hat die Zielsetzung, den organisatorischen und technischen Prozess von der Entstehung der Informationen über die In­dexierung und Speicherung, dem eindeutigen Wiederfinden, der Absicherung gegen Verlust und Verfälschung und der Reproduktion am Bildschirm und auf dem Drucker zu dokumentieren.

Rechtliche Grundlagen der Verfahrensdokumentation

Die rechtliche Grundlage für die Erstellung einer Verfahrensbeschreibung ergibt sich vor allem aus den GoBD, aber auch aus dem HGB, in dem Grundzüge wie Ordnungsmäßigkeit, Nachvollziehbarkeit, Unverfälschbarkeit und an­dere Vorgaben definiert sind.

Zielsetzung einer jeden Verfahrensdokumentation ist also der Nachweis der Erfüllung der in der GoBD definierten Ordnungsmäßigkeitsgrundsätze.

Der Branchenverband BITKOM fasst den Sachverhalt in seinem Paper „E-mails und GoBD: 10 Merksätze für die Unternehmenspraxis“ präzise und wie folgt zusammen:

„Von besonderer Bedeutung im E-Mail-Kontext ist das Kriterium der Ordnung. Danach müssen E-Mails mittels einer Indexstruktur identifizierbar und klassifizierbar sein. Insbesondere muss eine eindeutige Zuordnung zum jeweiligen Geschäftsvorfall oder Buchungsbeleg hergestellt werden. Ohne zusätzliche manuelle oder automatische Maßnahmen stellen die Ordnungsstrukturen einer typischen E-Mail-Umgebung nur eine begrenzte Ordnung dar.“

(Quelle [1])

Voraussetzung für die Nachvollziehbarkeit des Verfahrens ist eine ordnungsgemäße Verfahrensdokumentation, die die Beschreibung aller zum Verständnis der E-Mail-Archivierung erforderlichen Verfahrensbestandteile enthalten muss. Darüber hinaus muss sich aus der Dokumentation ergeben, dass das Verfahren entsprechend seiner Beschreibung durchgeführt worden ist (Stichwort Programmidentität).

Pflichten des Betreibers

Die Pflicht zur Erstellung einer Verfahrensdokumentation existiert unabhängig von der Größe oder Kom­plexität des Unternehmens oder der verwendeten Hard- und Software für die E-Mail-Archivierung!

D.h., sowohl bei Großrechner- als auch bei PC-Systemen oder der Datenverarbeitung au­ßer Haus (ASP-Betrieb, Outsourcing, E-Mail-Archivierung in der Cloud) ist für eine entsprechende Verfah­rensdokumentation Sorge zu tragen.

Verantwortlichkeiten

Verantwortlich für die Erstellung, Versionierung, Korrektheit und Pflege der Verfahrensdokumentation ist immer der Betreiber (er ist der Buchführungspflichtige). Ihm ob­liegt die ordnungsgemäße Archivierung. Ebenso ist er für das Vorliegen und die Aktualität der Verfahrensdokumentation verantwortlich. Die Dokumentation muss dem eingesetzten Verfahren entsprechen (Programmi­dentität). Die Verfahrensdokumentation ist bei Änderungen zu versionieren. Die Änderungen müs­sen in einer Historie nachvollziehbar sein.

Anforderungen an E-Mail-Archivierungssysteme

Zur Frage der Bedeutung und des Umfangs einer revissionssicheren Archivierung von E-Mails hat der Verband Organisations- und Informationssysteme (VOI e.V.) die folgenden Grundsätze zur Revisionssicherheit von E-Mail-Archivierungslösungen beschrieben, die von Benno MailArchiv (korrekte Einrichtung und Betrieb vorausgesetzt) abgedeckt werden:

  • Jede E-Mail wird unveränderbar archiviert.
  • Es darf keine E-Mail auf dem Weg ins Archiv oder im Archiv selbst verloren gehen.
  • Jede E-Mail muss mit geeigneten Retrievaltechniken (zum Beispiel durch das indexieren mit Metadaten) wieder auffindbar sein.
  • Es muss genau die E-Mail wiedergefunden werden, das gesucht worden ist.
  • Keine E-Mail darf während seiner vorgesehenen Lebenszeit zerstört werden können.
  • Jede E-Mail muss in genau der gleichen Form, wie es erfasst wurde, wieder angezeigt und gedruckt werden können.
  • Alle E-Mails müssen zeitnah wiedergefunden werden können.
  • Alle Aktionen im Archiv, die Veränderungen in der Organisation und Struktur bewirken, sind derart zu protokollieren, dass die Wiederherstellung des ursprünglichen Zustandes möglich ist.
  • Elektronische Archive sind so auszulegen, dass eine Migration auf neue Plattformen, Medien, Softwareversionen und Komponenten ohne Informationsverlust möglich ist.
  • Das System muss dem Anwender die Möglichkeit bieten, die gesetzlichen Bestimmungen (HGB, AO etc.) sowie die betrieblichen Bestimmungen des Anwenders hinsichtlich Datensicherheit und Datenschutz über die Lebensdauer des Archivs sicherzustellen.

(Quelle [2])

Rechtlicher Hinweis / Haftungsauschluss / Disclaimer

Dieses Dokument stellt keine Rechtsberatung dar. Es dient lediglich zur allgemeinen Information. Wir übernehmen keine Gewähr für die Richtigkeit oder Vollständigkeit der Angaben. Jegliche Haftung ist ausgeschlossen.

Service-Hinweise

Dieser Text entstammt dem White Paper "Rechtliche Aspekte zur gesetzeskonformen Mailarchivierung", welches hier kostenlos als PDF-Datei heruntergeladen werden kann.

Weiterführende Informationen

Was bedeutet „GoBD-konform“ genau? Diese Frage erläutern wir unserem White Paper "Was bedeutet GoBD-konform?". Es kann hier kostenlos als PDF-Datei heruntergeladen werden.

Verwendete Quellen

rechtliche_aspekte.txt · Zuletzt geändert: 2017/11/29 16:50 von lwsystems