Melden Sie sich zu unserem Newsletter an!
Lust auf interessante Themen und spannende Beiträge rund um IT und IT-Sicherheit? Abonnieren Sie unseren monatlichen Newsletter!
Jetzt anmelden!© Maksym Kaharlytskyi, Unsplash
E-Mails sind schnell verschickt, weg sortiert oder gelöscht. Doch: Auch E-Mails können Handelsbriefe oder steuerrechtlich relevant sein. Genau wie der physische Handelsbrief in einen Ordner sortiert und bis zum Ende der Aufbewahrungsfrist abgeheftet wird, müssen auch gewisse E-Mails aufbewahrt werden.
In den meisten Unternehmen liegen die empfangenen und versendeten E-Mails in den Postfächern der Mitarbeitenden und in einem Backup. Scheiden Mitarbeitende aus dem Unternehmen aus, stehen steuerrechtliche Überprüfungen an oder kommt eine Löschanfrage rein, liegen nicht unbedingt alle benötigten E-Mails vor. Hier kann eine E-Mail-Archivierung Abhilfe schaffen.
Doch welche Vorschriften müssen beachtet werden und welche Vorgaben ergeben sich daraus? Reicht ein Backup aus? Und wie ist eine E-Mail-Archivierung umzusetzen? Die Antworten erhalten Sie in diese, FAQ.
Welche rechtlichen Vorschriften müssen beachtet werden?
Es gibt keine allgemeine Pflicht zur Aufbewahrung von E-Mails. Allerdings ergibt sich aus verschiedenen rechtlichen Vorschriften eine Aufbewahrungspflicht von bestimmten E-Mails und Anhängen. Wie lange Dateien aufbewahrt werden müssen, hängt dabei jeweils von ihrer Art und der anzuwendenden rechtlichen Vorschrift ab.
Gemäß Abgabenordnung (AO) müssen zum Beispiel E-Mails für bis zu zehn Jahre aufbewahrt werden, wenn sie in Zusammenhang stehen mit Aufträgen, Vertragsabschlüssen, Buchungsbelegen, Arbeitsanweisungen oder Jahresabschlüssen. Hinzu kommt das Handelsgesetzbuch (HGB), nach dem Handelsbriefe aufbewahrt werden müssen. Das gilt genauso für E-Mails.
Auch E-Mails mit steuerlich relevanten Informationen müssen alle Unternehmen in Deutschland unabhängig von ihrer Größe oder Branche aufbewahren. Hier greifen die GoBD: die Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff. Diese regeln die formalen Anforderungen an die Aufbewahrung von steuerrechtlich relevanten elektronischen Daten und die Buchführung.
Zusätzlich müssen Unternehmen die Datenschutz-Grundverordnung (DSGVO) beachten. Insbesondere die Rechte von Betroffenen auf Auskunft, Datenübertragbarkeit, Widerspruch oder Löschung sind hier relevant. Derartige Anfragen können mit einer entsprechenden E-Mail-Archivierung leichter beantwortet werden. Außerdem können erforderliche Löschkonzepte einfacher umgesetzt werden. Besteht keine Aufbewahrungspflicht, müssen personenbezogene Daten nach Zweckerfüllung nämlich gelöscht werden.
Werden die rechtlichen Vorgaben nicht beachtet, kann es zu steuerrechtlichen Nachteilen (wenn Unterlagen fehlen, schätzt das Finanzamt), der persönlichen Haftung von Verantwortlichen, Datenschutzvorfällen oder Nachteilen bei Gewährungsansprüchen und Schadensersatzforderungen kommen.
Welche Vorgaben muss eine E-Mail-Archivierung erfüllen?
Gemäß den GoBD muss eine E-Mail-Archivierung folgende Vorgaben erfüllen:
- Vollständigkeit
- Manipulationssicherheit
- Jederzeitige Verfügbarkeit
- Maschinelle Lesbarkeit und Möglichkeiten der Auswertung (Volltextsuche)
Unternehmen müssen die E-Mails nicht nur archivieren, sondern auch den Umgang mit der elektronischen Post dokumentieren. In einer Verfahrensdokumentation müssen Empfang und Versand von aufbewahrungspflichtigen bzw. steuerrechtlich relevanten E-Mails beschrieben werden. Auch einzuhaltende Prozesse und Indexierungskriterien sind an dieser Stelle zu dokumentieren.
Die E-Mails sind dabei unverändert und im Original – also digital – aufzubewahren. Ausdrucke stellen eine Kopie dar und erfüllen nicht die Vorgabe der maschinellen Lesbarkeit. Falls steuerrechtlich relevant, müssen auch Dateianhänge oder Mail-Attribute archiviert werden. E-Mails dürfen unter bestimmten Bedingungen auch konvertiert werden, solange keine aufbewahrungspflichtigen Informationen verlorengehen oder verändert werden und das neue Format weiterhin maschinell lesbar und auswertbar ist. Die Konvertierung muss zudem in der Verfahrensdokumentation beschrieben werden.
Außerdem müssen E-Mails indexiert und klassifiziert werden, damit sie den jeweiligen Geschäftsvorfällen oder Buchungsbelegen fehlerfrei zugeordnet werden können. Steuerrechtlich relevante E-Mails sollten dabei separat von steuerrechtlich nicht relevanten E-Mails aufbewahrt werden.
Wie ist die E-Mail-Archivierung umzusetzen?
Eine E-Mail-Archivierung ist also eine Ergänzung zum eigenen Mail-System. Die Administration kann hierbei genau festlegen, welche E-Mails zu welchem Zeitpunkt in das Archiv übertragen und wann sie aus dem System gelöscht werden.
Bei der Entscheidung, welche E-Mails wie lange aufbewahrt werden, sollte vor allem auf die DSGVO geachtet werden. Ist der Zweck, zu dem personenbezogene Daten erhoben wurden, erfüllt und gibt es keine Aufbewahrungspflicht, müssen personenbezogene Daten gelöscht werden. Eine pauschale Speicherung von E-Mails birgt ein hohes Potenzial für Datenschutzverletzungen.
Ein wichtiger Punkt bei der Implementierung ist Komptabilität. Lösungen für E-Mail-Archivierungen sollten sich problemlos in Ihre bestehende Infrastruktur integrieren lassen. Das Mailarchivierungssystem muss zudem rechtskonform im Netzwerk platziert werden.
Außerdem muss die Ablage in der E-Mail-Archivierung revisionssicher sein. Das heißt, es darf technisch nicht möglich sein, Änderungen an den E-Mails vorzunehmen. Für die Löschung von E-Mails sollten sie Regeln und Automatisierungen einpflegen.
Archivierte E-Mails müssen zudem im Volltext recherchierbar und zu bestimmten Geschäftsvorfällen und Buchungsbelegen zuordenbar sein. Die Durchsuchbarkeit ist u. a. für die Bearbeitung von Betroffenenanfragen gemäß DSGVO relevant. Außerdem bietet sich eine Lösung mit integriertem Spamfinder an, damit Spam-Mails gar nicht erst archiviert werden und Speicherplatz fressen.
Für Steuerprüfungen müssen Sie „privilegierte User“ mit Leserechten einreichten, wenn die Wahl auf einen unmittelbaren Zugriff gefallen ist. Zudem müssen Sie ggf. eine Betriebs- bzw. Dienstvereinbarung schließen.
Reicht ein Back-up als E-Mail-Archivierung aus?
Grundsätzlich gilt: Ein Backup ist nicht das gleiche wie eine Archivierung. Mit einem Backup können Daten – so auch E-Mails – über einen bestimmten Zeitraum gesichert werden. Backups dienen dabei primär der Wiederherstellbarkeit von Daten. Sie sind nicht revisionssicher und in der Regel nicht auf bestimmte Inhalte hin durchsuchbar. Außerdem lassen sich Informationen verändern oder löschen. Backups reichen also für eine umfassende Rechtssicherheit nicht aus. Unternehmen sollten daher sowohl Backups als auch eine E-Mail-Archivierung vornehmen. Auch ein Backup der Archivierung ist sinnvoll: Das Mailarchivierungssystem muss nämlich vor Ausfällen und Datenverlusten geschützt werden.
Fazit
Mit einer geeigneten Lösung können Sie E-Mails nicht nur rechtssicher archivieren – Sie sparen zeitgleich wertvolle Zeit bei der Ablage und Verwaltung und können E-Mails in sekundenschnelle wiederfinden. Auch wenn Mitarbeitende das Unternehmen verlassen, haben Sie Zugriff auf die gesendeten und empfangenen Mails. Eine E-Mail-Archivierung ist zwar für alle Unternehmen in Deutschland Pflicht, richtig eingesetzt bietet sie aber auch Mehrwerte für Unternehmen.
Wir unterstützen Sie!
Sie möchten eine E-Mail-Archivierung einführen? Wir unterstützen Sie von der Migration der E-Mails und Postfächer bis zur Implementierung und Wartung – datenschutzkonform und lokal in der münsterland.cloud!
Quellen
Pfliegl, Konstantin (2019): „Lästig, aber wichtig: E-Mail-Archivierung“, 22. August 2019, com! Professional!, https://www.com-magazin.de/praxis/e-mail/laestig-wichtig-e-mail-archivierung-1748302.html, letzter Zugriff am 10. Februar 2022.
Haufe (o. J.): „GoBD (Grundsätze ordnungsgemäßer Buchführung und Dokumentation), https://www.haufe.de/thema/gobd/, letzter Zugriff am 10. Februar 2022.
Bundesministerium der Finanzen (2019): „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD)“, 28. November 2019, https://www.bundesfinanzministerium.de/Content/DE/Downloads/BMF_Schreiben/Weitere_Steuerthemen/Abgabenordnung/2019-11-28-GoBD.pdf?__blob=publicationFile&v=13, letzter Zugriff am 10. Februar 2022.