Leitfaden zur rechtsichereren E-Mail-Archivierung

E-Mail-Archivierung bietet nicht nur zahlreiche technische und wirtschaftliche Vorteile, sie stellt für Unternehmen zudem eine zwingende Notwendigkeit dar. Geltende rechtliche Anforderungen können nicht ohne eine solche Lösung erfüllt werden. Leider ist gerade der rechtliche Aspekt der Archivierung sehr vorzeitig und von zahlreichen Grauzonen geprägt. Dieser Leitfaden soll durch die wichtigsten Fragestellungen führen.

 

Was muss archiviert werden?

Diese Frage beantwortet §147 der Abgabenordnung:

·         Bücher und Aufzeichnungen, Inventare, Jahresabschlüsse, Lagerberichte, die Eröffnungsbilanz sowie die zu ihrem Verständnis erforderlichen Arbeitsanweisungen und sonstige Organisations-Unterlagen.

·         Die empfangenen Handels- und Geschäftsbriefe

·         Wiedergaben der abgesandten Handels- oder Geschäftsbriefe

·         Buchungsbelege und

·         Sonstige Unterlagen, soweit sie für die Besteuerung von Bedeutung sind.

Dazu gehört jedoch jegliche Korrespondenz, durch die ein Geschäft vorbereitet, abgewickelt, abgeschlossen oder rückgängig gemacht wird. Beispiele sind Rechnungen, Aufträge, Reklamationsschreiben, Zahlungsbelege und Verträge. Dies gilt auch dann, wenn diese per E-Mail versendet werden.

In der Praxis

In Anbetracht der Masse der täglichen empfangenen und versendeten E-Mail ist eine Kategorisierung in archivierungspflichtige und nicht-archivierungspflichtige E-Mails fast nicht möglich. Es wird daher oft bevorzugt, einfach alle E-Mails zu archivieren. Die kann ein Unternehmen jedoch in Konflikt mit anderen Gesetzen bringen.

Wie lange müssen E-Mail aufbewahrt werden?

Die Aufbewahrungsfristen ergeben sich aus dem Handelsgesetzbuch §257 HGB und der Abgabenordnung §147 AO:

·         Bücher, Aufzeichnungen, Inventare, Jahresabschlüsse, Lagerberichte, Eröffnungsbilanzen, die zu Ihrem Verständnis erforderlichen Arbeitsanweisungen und sonstigen Organisationsunterlagen sowie Buchungsbelege müssen zehn Jahre lang aufbewahrt werden.

·         Empfangene Handels- oder Geschäftsbriefe, Wiedergaben der abgesandten Handels- oder Geschäftsbriefe sowie sonstige Unterlagen, soweit sie für die Besteuerung von Bedeutung sind, müssen sechs Jahre lang aufbewahrt werden.

In der Praxis

 Auch hier ist in Anbetracht der Masse der E-Mails eine zuverlässige Kategorisierung mit vertretbarem Aufwand kaum möglich. Oft werden aus diesem Grund alle E-Mails mindestens zehn Jahre lang aufbewahrt.

Welche Anforderungen werden an eine revisionssichere E-Mail-Archivierung gestellt?

Grundsätzlich müssen alle relevanten E-Mails und deren Dateianhänge vollständig, manipulationssicher und jederzeit verfügbar aufbewahrt werden. Weiterhin müssen Daten maschinell auswertbar sein. Eine alleinige Aufzeichnung auf Mikrofilm oder Papier ist nicht ausreichend.

Ein allgemeiner Leitfaden stellen die Merksätze[1] des Verbandes Organisations- und Informationssysteme e.V. zur revisionssicheren elektronischen Archivierung dar:

·         Jedes Dokument muss nach Maßgabe der rechtlichen und organisationsinternen Anforderungen ordnungsgemäß aufbewahrt werden.

·         Die Archivierung hat vollständig zu erfolgen – kein Dokument darf auf dem Weg ins Archiv oder im Archiv selbst verloren gehen.

·         Jedes Dokument ist zum organisatorisch frühestmöglichen Zeitpunkt zu archivieren

·         Jedes Dokument muss mit seinem Original übereinstimmen und unveränderbar archiviert werden.

·         Jedes Dokument darf nur von entsprechend berechtigten Benutzern eingesehen werden.

·         Jedes Dokument muss in angemessener Zeit wiedergefunden und reproziert werden können.

·         Jedes Dokument darf frühestens nach Ablauf seiner Aufbewahrungsfrist vernichtet, d.h. aus dem Archiv gelöscht werden.

·         Jede ändernde Aktion im elektronischen Archivsystem muss für Berechtigte nachvollziehbar protokolliert werden.

·         Das gesamte organisatorische und technische Verfahren der Archivierung kann von einem sachverständigen Dritten jederzeit geprüft werden.

·         Bei allen Migrationen und Änderungen am Archivsystem muss die Einhaltung aller zuvor aufgeführten Grundsätze sichergestellt sein.

Wer trägt die Verantwortung?

Die Verantwortung für die ordnungsgemäße Umsetzung der rechtlichen Anforderungen zur Aufbewahrung von E-Mails liegt bei der Geschäftsführung eines Unternehmens. Kommt diese ihrer Pflicht nicht nach, drohen in schweren Fällen sogar Freiheitsstrafen.

Rechtliche Konflikte

 Eine naheliegende Methode zur Archivierung von E-Mails ist die automatische Archivierung aller E-Mails sofort bei Ein- und Ausgang. Auf diese Weise kann sichergestellt werden, dass eine vollständige Archivierung erfolgt. Weiterhin birgt diese Methode den Vorteil, dass die E-Mails vor der Archivierung nicht durch den Empfänger manipuliert werden können.

 

Das Problem

 Ist den Mitarbeitern die private Nutzung von E-Mail gestattet, so handelt das Unternehmen als ein geschäftsmäßiger Anbieter von Telekommunikationsdiensten und unterliegt damit den Anforderung des Bundesdatenschutzgesetzes und dem Telekommunikationsgesetz, die mit der zentralen und automatischen Archivierung aller E-Mails in Konflikt stehen. Die zu ignorieren kann mit empfindlichen Strafen geahndet werden.

Zur Lösung dieses Konfliktes können die Unternehmen die private E-Mail-Nutzung untersagen.

Sich gegen die automatische Archivierung aller E-Mails sofort bei Ein- und Ausgang zu entscheiden, ist dagegen mit erheblichen Risiken verbunden. Solange Menschen oder Softwarefilter eine Bestimmung der zu archivierenden E-Mails durchführen, muss mit einer gewissen Fehlerquote gerechnet werden. Zudem sind Aufwand und Kosten eines solchen Verfahrens oft nicht tragbar.

Spam-Filterung vor der E-Mail-Archivierung

 Die Spam-Filterung vor der Archivierung birgt grundsätzlich das Risiko, dass archivierungspflichtige E-Mails nicht durch den Spam-Filter und somit auch nicht in das Archiv gelangen. Die Archivierung wäre somit nicht vollständig und streng genommen auch nicht rechtssicher.

---

[1] Quelle Verband der Organisations- und Informationssysteme e.V.