IT-Security

Rechtssichere E-Mail-Archivierung: Transparenzpflichten erfüllen

10. Dezember 2019 von Bianca Wellbrock

rechtssichere-e-mail-archivierung
© Robert Kneschke - Adobe Stock

5
(3)

Noch konnte der Messenger ihr nicht den Rang ablaufen: Die E-Mail ist im Geschäftsalltag das gängigste Kommunikationsmittel. Selbst in Kleinunternehmen werden Tag für Tag hunderte von E-Mails versendet und empfangen. Durch Online-Formulare oder Shops ist die E-Mail noch deutlicher zum wesentlichen Kommunikationsmittel geworden. Doch die Flut an „virtuellen Gesprächen“ – Angebote, Rechnungen, Nachfragen, Verträge oder Telefonnotizen – muss übersichtlich bleiben, um Transparenzpflichten zu erfüllen. Wie die rechtssichere E-Mail-Archivierung aussehen kann, erklären wir Ihnen heute.

Müssen E-Mails überhaupt archiviert werden?

Die Antwort auf diese uns häufig gestellte Frage ergibt sich bereits aus dem ersten Absatz: E-Mails haben sehr unterschiedlichen Charakter. Von einer Anfrage übers Web-Formular über Gesprächsprotokolle oder Telefonnotizen bis hin zum Vertrag, zur Rechnung oder zum Angebot wird heutzutage alles per E-Mail geklärt. Deshalb: Ja, Sie müssen E-Mails im geschäftlichen Umfeld definitiv archivieren. Jedoch längst nicht jede.

Was sagt die E-Mail-Aufbewahrungspflicht?

Vor allem aus steuerrechtlichen Gründen sind Unternehmen dazu verpflichtet, geschäftliche Korrespondenzen aufzubewahren. Das Finanzamt erhebt den Anspruch, auch noch nach Jahren nachvollziehen zu können, wie welche Geschäfte zustande kamen. Der Geschäftsführer selbst trägt die Verantwortung für rechtssichere E-Mail-Archivierung. Die folgenden Gesetze betreffen die Archivierung von E-Mails:

  • GoBD: „Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“; vom Bundesfinanzministerium am 14.11.2014 veröffentlicht
  • HGB: Handelsgesetzbuch
  • AO: Abgabenordnung
  • UStG: Umsatzsteuergesetz

Seit geraumer Zeit, nämlich seit Anfang 2017, schreiben diese Gesetzesgrundlagen auch die Archivierung elektronischer Post vor. Dabei gilt grundsätzlich, dass jene E-Mails archiviert werden müssen, die zum Abwickeln eines Geschäfts relevant sind. Das schließt neben dem vorbereitenden Schriftverkehr auch Angebote, Aufträge sowie Rechnungen, jedoch auch Reklamationen mit ein. Nicht nur empfangene E-Mails, sondern auch gesendete gehören archiviert.

Doch auch die Datenschutz-Grundverordnung (DSGVO) trägt ihren Teil zur Pflicht der E-Mail-Archivierung bei. Denn sie fordert einen transparenten Umgang mit Daten. Eine strukturierte E-Mail-Archivierung trägt zweifelsfrei zur Gesamtstrategie Datenschutz im Unternehmen bei.

Damit ist der gesamte E-Mail-Verkehr betroffen, der geschäftliche Relevanz hat. Eben dieser E-Mail-Verkehr muss, einschließlich aller Dateianhänge, geordnet abgespeichert werden. Als geschäftlich relevant werden E-Mails betrachtet, die …

  • … zu einem Geschäft geführt haben – etwa Auftragsbestätigungen, Lieferpapiere, Verträge, Zahlungsbelege oder Rechnungen.
  • … Geschäfte aufgehoben oder auch vorbereitet haben. Dies können Schreiben zur Reklamation sein, aber auch das Kontakt-aufnehmen mit potenziellen Kunden seitens des Vertriebs, Aufträge und Auftragsänderungen.

Wichtig: Die GoBD geben vor, dass die Archivierung im Originalformat stattfinden muss. Ein Ausdruck einer E-Mail wird als Kopie gewertet und ist damit nicht zulässig.

Wie lange müssen Unternehmen E-Mails archivieren?

Zu den Aufbewahrungsfristen finden Sie Antworten im HGB sowie in der AO. Konkret gibt § 257 HGB Abs. 4 vor, dass per E-Mail gesendete Handelsbriefe sechs Jahre aufbewahrt werden müssen. Detaillierter wird es in Abs. 5: Die Aufbewahrungsfrist beginnt mit dem Ende des Kalenderjahres, in dem Sie diese E-Mail versendet oder empfangen haben. Angenommen also, Sie haben in 2019 einen Handelsbrief per E-Mail versendet, so endet die Archivierungspflicht für die E-Mail, alle damit zusammenhängenden E-Mails und Anhänge sechs Jahre ab Ende 2019 – unabhängig davon, ob Sie die betreffende E-Mail im Februar oder im November 2019 versendet haben.

§ 147 AO schreibt ebenfalls vor, sämtliche E-Mails, die als Handels- oder Geschäftsbrief gelten, sechs Jahre lang zu archivieren. Aber: Enthalten die E-Mails Organisationsunterlagen wie beispielsweise Rechnungen, Jahresabschlüsse, Buchungsbelege, Lageberichte oder Bilanzen gilt eine Aufbewahrungsfrist von zehn Jahren.

Es gibt Unternehmen, die diese Trennung vornehmen, andere sparen sich diese und archivieren alle relevanten E-Mails gleich für zehn Jahre.

Rechtssichere E-Mail-Archivierung – revisionssicher ist rechtssicher

Zwar existieren innerhalb der Gesetzgebung keine konkretisierten Vorgaben zur Speicherung und Katalogisierung von geschäftlichen E-Mails. Jedoch finden sich Anhaltspunkte in der GoBD, die Archivierungen dann als revisionssicher beschreibt, wenn relevante E-Mails einschließlich ihrer Anhänge vollständig, jederzeit verfügbar, manipulationssicher sowie maschinell auswertbar sind. Sie kennen das bereits aus der DSGVO und Ihrer generellen Datenverarbeitung: Daten müssen jederzeit verfügbar, integer und vertraulich sein. Nichts anderes gilt also auch für die Archivierung Ihrer E-Mail-Korrespondenz.

Handelsübliche E-Mail-Clients werden diesen Ansprüchen in keinster Weise gerecht – insbesondere nicht dem Punkt der Unveränderbarkeit von Nachrichten. Deshalb ist eine dauerhafte Lösung anzustreben, mit der E-Mails sicher verwahrt werden können. Jederzeit müssen Unveränderbarkeit und Vollständigkeit aller E-Mails und ihrer Anhänge gegeben sein. Weiter gilt es, eine zuverlässige Protokollierung sicherzustellen, denn: Nachvollziehbarkeit ist das Ziel der rechtssicheren E-Mail-Archivierung und deshalb unverzichtbar.

E-Mail-Backup ist nicht gleich E-Mail-Archiv

Um Missverständnissen vorzubeugen: Ein E-Mail-Archiv ist absolut nicht dasselbe wie ein E-Mail-Backup! Beides ist jedoch mehr als ratsam. Mithilfe eines Backups werden Daten über einen bestimmten Zeitraum hinweg gesichert, um sie im Bedarfsfall wiederherstellen zu können. Ein solches Backup gewährleistet jedoch nicht die jederzeitige Verfüg- und Wiederauffindbarkeit, die der Gesetzgeber fürs E-Mail-Archiv fordert.

Deshalb ist die Archivierung von E-Mails unumgänglich – und zwar über lange Zeiträume hinweg. Sie stellt die ständige Verfügbarkeit und Wiederauffindbarkeit sicher. Hinzu kommt die Tatsache, dass E-Mails bei einem Backup direkt gelöscht, ja sogar manipuliert werden können, um so der Sicherung zu entgehen. Bei der E-Mail-Archivierung werden Fälle dieser Art verhindert.

Datenschutz und E-Mail-Archivierung

Es gibt drei wesentliche Ausnahmefälle, in denen E-Mails aus rechtlichen Gründen gar nicht oder lediglich eingeschränkt archiviert werden dürfen:

  • Mitarbeitern ist die persönliche E-Mail-Kommunikation gestattet: Die persönlichen E-Mails der Nutzer werden nicht archiviert; in aller Regel enthalten diese auch keine geschäftsrelevanten Informationen.
  • Art. 5 Abs. 1 lit. c. DSGVO sowie § 47 Nr. 5 BDSG liefern Auskunft über den Grundsatz der Datenminimierung. Demzufolge dürfen personenbezogene Daten nur solange gespeichert werden, wie es für die Erfüllung des Zwecks erforderlich ist.
  • Als persönlich zu betrachten sind auch Gespräche, die zwischen Mitarbeitern und dem Betriebsrat oder Mitarbeitern und den Betriebsärzten geführt werden. Gespräche dieser Art dürfen nicht im E-Mail-Archiv der Organisation auftauchen, sie unterstehen besonderem Datenschutz.

Wie oben bereits angesprochen, kann die E-Mail-Archivierung als Teil der Gesamtstrategie Datenschutz im Unternehmen begriffen werden. Sie hilft dabei, die Anforderungen aus der DSGVO zu erfüllen. Mit der DSGVO sind Betroffenenrechte auf Unternehmen zugekommen, die sie etwa dazu verpflichten, auf Nachfrage Auskunft über sämtliche gespeicherten persönlichen Daten zu geben. Eine gute Software zur E-Mail-Archivierung führt dazu, dass E-Mails und Anhänge komfortabel durchsucht und Daten exportiert werden können, um solchen Anfragen zuverlässig nachzukommen.

Irrtümer: Typische Aussagen über rechtssichere E-Mail-Archivierung

Das Thema rechtssichere E-Mail-Archivierung wird vielfach stiefmütterlich angegangen – so stiefmütterlich, dass Unternehmen häufig glauben, sie kommen den gesetzlichen Anforderungen nach, ohne dass dem im Mindesten so wäre. Wir haben einige typische Irrtümer zusammengestellt, um Ihnen dies an Beispielen aufzuzeigen:

  • „Unser E-Mail-Programm hat eine Archivfunktion.“ – Tatsächlich dient Ihr E-Mail-Client lediglich dazu, Kopien der E-Mails in meist lokale Postfächer zu bringen. Für E-Mails ist weder die Vertraulichkeit oder Integrität noch die stete Verfügbarkeit gewährleistet.
  • „Wir leiten unsere Nachrichten per CC an ein Archiv-Postfach weiter.“ – Auch keine gute Idee, denn auch so kann die Archivierung nicht manipulationssicher sein. Für das Finanzamt ist nicht überprüfbar, ob wirklich jede E-Mail an das zweite Postfach ging. Die E-Mails im zweiten Postfach können manuell gelöscht werden, womit es nicht manipulationssicher ist.
  • „Unser Server sichert die Postfächer mittels Backup.“ – Wieder fehlt es an Manipulationssicherheit und es besteht die Gefahr, dass die Daten nicht verfügbar sind. Denn ein Serverumzug kann zum Verlust eines Backups führen. Oder die technischen Anforderungen ändern sich, sodass Daten nicht mehr lesbar sind. Sie können zudem gelöscht werden.

Diese drei Beispiele machen deutlich, dass E-Mail-Archivierung oft missverstanden wird. Allen Fällen ist gemein, dass dem Finanzamt nicht bewiesen werden kann, dass die E-Mails unverfälscht vorliegen. Sie benötigen ein Archiv, das Sie nachweislich nicht manipulieren können – etwa durch das Löschen von E-Mails.

Wie Sie verschlüsselte E-Mails archivieren

Wie bereits erläutert, werden E-Mails immer in der Form archiviert, wie sie empfangen wurden – alles andere würde als Kopie gelten und wäre unzulässig. Das bedeutet für verschlüsselte E-Mails, dass sie auch beim Archivieren verschlüsselt bleiben. Das hat zur Folge, dass die verschlüsselten E-Mails nicht für jedermann lesbar ist, etwa wenn im Archiv nach einer E-Mail gesucht wird: Man benötigt die Schlüssel zum Entschlüsseln.

Das Archivieren von verschlüsselten E-Mails ist also möglich, jedoch müssen die Schlüssel stets mit aufbewahrt werden. Eine verschlüsselt empfangene E-Mail braucht den passenden privaten Schlüssel des Empfängers, um entschlüsselt zu werden.

Dieser Fakt kann zur echten Herausforderung werden: Womöglich ist der betreffende Empfänger nicht mehr im Unternehmen oder hat sich zwischenzeitlich einen neuen Private-Key generieren lassen. Bedenken wir, dass die gesetzlichen Aufbewahrungsfristen zehn Jahre andauern, sind diese Szenarien alles andere als unwahrscheinlich. Eine Lösung wäre es, ein Private-Key-Management ins Archiv zu integrieren. Diese Idee erfordert jedoch eine recht aufwändige und vor allem kontinuierliche Pflege.

Eine Alternative dazu besteht darin, E-Mails vor dem Verschlüsseln bzw. nach dem Entschlüsseln ins Archiv aufzunehmen. Bei serverseitiger Verschlüsselung ist das ein einfacher Weg: E-Mails werden auf dem E-Mail-Server, alternativ mittels E-Mail-Gateway ver- sowie entschlüsselt.

Wie Sie sehen, ist die Rechtslage für rechtssichere E-Mail-Archivierung alles andere als einfach. Bitte verstehen Sie diesen Beitrag nicht als Rechtsberatung – wenden Sie sich bei Fragen oder Problemen an einen entsprechenden Rechtsexperten. Unser Artikel hat lediglich den Anspruch, grundlegend zu informieren. Ihre Ergänzungen und Fragen in den Kommentaren sind sehr willkommen.

Wie hat Ihnen dieser Artikel gefallen?

Average rating 5 / 5. Vote count: 3



0 Kommentar(e)

Schreibe einen Kommentar

* Die DSGVO-Checkbox ist ein Pflichtfeld

*

Ich stimme zu