Stand dieser Information: November 2017
Die rechtssichere bzw. gesetzeskonforme Archivierung von E-Mails nach deutschem Recht bedeutet gemäß den zugrunde liegenden geltenden Vorschriften und Anordnungen (insbes. GoBD, AO und HGB), dass der Betreiber der E-Mail-Archivierung (respektive der Steuerpflichtige) alle handels- und steuerrechtlich relevanten E-Mails archivieren muss.
Zum 01.01.2017 endeten die Übergangsfristen für die Gültigkeit der GoBD. E-Mail-Archivierung ist seit dem für jedes Unternehmen verpflichtend. Steuerrelevante elektronische Dokumente müssen seit dem Stichtag rechtssicher archiviert werden.
Im Folgenden beschreiben wir die näheren und zu beachtenden Einzelheiten.
Die seitens des Gesetzgebers formulierten rechtlichen Anforderungen zur Aufbewahrung von E-Mails sind technikneutral abgefasst.
Gesetzeskonforme E-Mail-Archivierung bedeutet, dass die eingesetzte Kombination aus Hardware, Software und Organisation die Vollständigkeit, Integrität sowie die Wiederauffindbarkeit von steuerrelevanten E-Mails sicherstellen muss. Der Gesetzgeber hat verschiedene Anforderungen bzgl. der Ordnungsmäßigkeit des Verfahrens einer gesetzeskonformen und damit rechtssicheren Archivierung von E-Mails definiert.
Folgende Anforderungen sind maßgeblich:
Eine gesetzeskonforme Archivierung der handels- und steuerrechtlich relevanten E-Mails nach deutschem Recht setzt damit die Einhaltung der einschlägigen Gesetze und Vorschriften (insbes. GoBD, GDPdU, GoBS, AO und HGB) unter der Berücksichtigung der vorgenannten Ordnungsmäßigkeitskriterien voraus.
Die Vollständigkeit der E-Mail-Archivierung bedeutet, dass alle handels- und steuerrechtlich relevanten E-Mails archiviert werden müssen.
Praktisch ist es dabei nicht möglich, Entscheidungen über die ggf. gesetzlich verpflichtende Archivierungspflicht jeder einzelnen E-Mail auf Basis von automatischen Entscheidungsregeln zu fällen. Eine automatische bzw. systemgetriebene Archivierung aller E-Mails ist daher faktisch unumgänglich. Manuelle bzw. anwendergetriebene Entscheidungen über die Archivierung von E-Mails sind fehleranfällig und verbieten sich zudem aus Aufwandsgründen ebenso, wie aus Gründen der Einhaltung der Ordnungsmäßigkeitskriterien.
Desweiteren ist die Ordnungsmäßigkeit der Archivierung im Hinblick auf die Merkmale der Zeitgerechtheit sowie der Vollständigkeit bei manuellen Entscheidungsprozessen dem Grunde nach nicht zu gewährleisten. Um also eine ordnungsmäßige E-Mail-Archivierung gemäß den vorgenannten Anforderungen herzustellen, ist die zeitnahe Archivierung der E-Mails sicherzustellen. Eine automatische bzw. systemgetriebene Archivierung aller E-Mails ist somit obligatorisch. Wir raten daher dazu, alle E-Mails des Unternehmens automatisch und vollumfassend zu archivieren. Dies betrifft alle ein- und ausgehenden sowie interne E-Mails.
Die vollumfassende Archivierung der E-Mails im Unternehmen kann rechtliche Probleme aufweisen. Insbes. ist dies der Fall, wenn die private E-Mail-Nutzung zwischen dem Unternehmen als Arbeitgeber und den Mitarbeitern erlaubt oder nicht geregelt ist, also bspw. eine stillschweigende Duldung der privaten Internetnutzung (insbes. E-Mail) vorliegt. Um möglichen rechtlichen Fallstricken vorzubeugen, sollten Regelungen zur privaten E-Mail- und Internet-Nutzung getroffen werden. Darüber hinaus empfehlen wir, Regelungen bzgl. unaufgefordert zugesandter E-Mails mit personenbezogenen oder anderweitig datenschutzrechtlich relevanten Daten (bspw. Initiativbewerbungen), zu schaffen, um einschlägigen Anforderungen des Bundes- bzw. der Landesdatenschutzgesetze und zukünftig der EU-DSGVO zu genügen.
Etwaige diesbzgl. Details sollten mit einem geeignetem Rechtsbeistand abgestimmt werden.
Gemäß GoBD muss die Ablage der E-Mails im Ursprungsformat erfolgen.
Stand der Ausarbeitung dieser Dokumentation gibt es in Deutschland keine rechtsgültigen oder rechtswirksamen Produktzertifizierungen für E-Mail-Archivierungssysteme. Um eine gesetzeskonforme bzw. rechtssichere E-Mail-Archivierung aller handels- und steuerrechtlich relevanten E-Mails im Sinne von HGB, AO, GoBD zu implementieren, ist es im Sinne des Ordnungsmäßigkeitskriteriums der Nachvollzierbarkeit erforderlich, neben der fachgerechten technischen Einrichtung eine geeignete Verfahrensdokumentation bzgl. Dokumentation der Ordnungsmäßigkeit des Gesamtverfahrens „E-Mail-Archivierung“ zu erstellen. Die Dokumentation beschreibt insbes. die Schnittstellen zwischen Benno MailArchiv und den umgebenden Systemen, den Fluss der E-Mails in das Archiv usw. und beschreibt abgestimmte Kontroll- und Wartungsverfahren.
Der Gesetzgeber erwartet, dass die Verfahrensbestandteile, Daten und Dokumentbestände der implementierten E-Mail-Archivierung von einem sachverständigen Dritten, so auch der Finanzverwaltung, hinsichtlich ihrer formellen und sachlichen Richtigkeit in angemessener Zeit prüfbar sind. (Dies bezieht sich sowohl auf die Prüfbarkeit einzelner Geschäftsvorfälle als auch auf die Prüfbarkeit des Systems und der darin ablaufenden Prozesse).
Die Prüfbarkeit der in den GoBD definierten Ordnungsmäßigkeitsgrundsätzen setzt das Vorhandensein einer Verfahrensdokumentation zwingend voraus. Die Finanzverwaltung versteht unter der Verfahrensbeschreibung eine Beschreibung des organisatorischen und technischen Verfahrens bzgl. der Verarbeitung steuerlich relevanter Informationen.
Die Erstellung der Betriebs- und Verfahrensdokumentation sollte sich neben den gesetzlichen Vorschriften an den einschlägigen Standards und Maßstäben der Wirtschaftsprüfung orientieren (z.B.: RS FAIT 1, ERS FAIT2, IDW PS 330 und IDW PH 9.330.1). Wir raten ferner dazu, die VOI-Prüfkriterien für Dokumentenmanagement- und Enterprise-Content-Management-Lösungen bei der Erstellung der Dokumentation zu berücksichtigen.
Eine Verfahrensdokumentation zur gesetzeskonformen E-Mail-Archivierung hat die Zielsetzung, den organisatorischen und technischen Prozess von der Entstehung der Informationen über die Indexierung und Speicherung, dem eindeutigen Wiederfinden, der Absicherung gegen Verlust und Verfälschung und der Reproduktion am Bildschirm und auf dem Drucker zu dokumentieren.
Die rechtliche Grundlage für die Erstellung einer Verfahrensbeschreibung ergibt sich vor allem aus den GoBD, aber auch aus dem HGB, in dem Grundzüge wie Ordnungsmäßigkeit, Nachvollziehbarkeit, Unverfälschbarkeit und andere Vorgaben definiert sind.
Zielsetzung einer jeden Verfahrensdokumentation ist also der Nachweis der Erfüllung der in der GoBD definierten Ordnungsmäßigkeitsgrundsätze.
Der Branchenverband BITKOM fasst den Sachverhalt in seinem Paper „E-mails und GoBD: 10 Merksätze für die Unternehmenspraxis“ präzise und wie folgt zusammen:
„Von besonderer Bedeutung im E-Mail-Kontext ist das Kriterium der Ordnung. Danach müssen E-Mails mittels einer Indexstruktur identifizierbar und klassifizierbar sein. Insbesondere muss eine eindeutige Zuordnung zum jeweiligen Geschäftsvorfall oder Buchungsbeleg hergestellt werden. Ohne zusätzliche manuelle oder automatische Maßnahmen stellen die Ordnungsstrukturen einer typischen E-Mail-Umgebung nur eine begrenzte Ordnung dar.“
(Quelle [1])
Voraussetzung für die Nachvollziehbarkeit des Verfahrens ist eine ordnungsgemäße Verfahrensdokumentation, die die Beschreibung aller zum Verständnis der E-Mail-Archivierung erforderlichen Verfahrensbestandteile enthalten muss. Darüber hinaus muss sich aus der Dokumentation ergeben, dass das Verfahren entsprechend seiner Beschreibung durchgeführt worden ist (Stichwort Programmidentität).
Die Pflicht zur Erstellung einer Verfahrensdokumentation existiert unabhängig von der Größe oder Komplexität des Unternehmens oder der verwendeten Hard- und Software für die E-Mail-Archivierung!
D.h., sowohl bei Großrechner- als auch bei PC-Systemen oder der Datenverarbeitung außer Haus (ASP-Betrieb, Outsourcing, E-Mail-Archivierung in der Cloud) ist für eine entsprechende Verfahrensdokumentation Sorge zu tragen.
Verantwortlich für die Erstellung, Versionierung, Korrektheit und Pflege der Verfahrensdokumentation ist immer der Betreiber (er ist der Buchführungspflichtige). Ihm obliegt die ordnungsgemäße Archivierung. Ebenso ist er für das Vorliegen und die Aktualität der Verfahrensdokumentation verantwortlich. Die Dokumentation muss dem eingesetzten Verfahren entsprechen (Programmidentität). Die Verfahrensdokumentation ist bei Änderungen zu versionieren. Die Änderungen müssen in einer Historie nachvollziehbar sein.
Zur Frage der Bedeutung und des Umfangs einer revissionssicheren Archivierung von E-Mails hat der Verband Organisations- und Informationssysteme (VOI e.V.) die folgenden Grundsätze zur Revisionssicherheit von E-Mail-Archivierungslösungen beschrieben, die von Benno MailArchiv (korrekte Einrichtung und Betrieb vorausgesetzt) abgedeckt werden:
(Quelle [2])
Dieses Dokument stellt keine Rechtsberatung dar. Es dient lediglich zur allgemeinen Information. Wir übernehmen keine Gewähr für die Richtigkeit oder Vollständigkeit der Angaben. Jegliche Haftung ist ausgeschlossen.
Dieser Text entstammt dem White Paper "Rechtliche Aspekte zur gesetzeskonformen Mailarchivierung", welches hier kostenlos als PDF-Datei heruntergeladen werden kann.
Was bedeutet „GoBD-konform“ genau? Diese Frage erläutern wir unserem White Paper "Was bedeutet GoBD-konform?". Es kann hier kostenlos als PDF-Datei heruntergeladen werden.
[2]: Verband Organisations- und Informationssysteme e.V. (VOI)