Lästig, aber wichtig: E-Mail-Archivierung

Die E-Mail ist aus dem unternehmerischen Arbeitsalltag nicht wegzudenken. Dem Digitalverband Bitkom zu­folge nutzen 100 Prozent der Unternehmen, also alle, für die interne und externe Kommunikation die E-Mail häufig oder sehr häufig. Und: Die elektronische Post legt trotz Alterna­tiven wie Messengern sogar weiter zu. Im vergangenen Jahr wurden hierzulande laut den Marktforschern der Radicati Group annähernd 850 Milliarden E-Mails versendet.

Für viele Unternehmen stellt sich jedoch die Frage, wie mit den vielen geschäftlichen E-Mails umzugehen ist: Darf man geschäftliche elektronische Post bei Bedarf einfach löschen oder muss sie grundsätzlich aufbewahrt werden?

Eine generelle Pflicht für Unternehmen, alle ihre ein- und ausgehenden E-Mails zu archivieren, gibt es entgegen weitverbreiteter Annahmen nicht. Allerdings: Aus verschiedenen gesetzlichen Vorschriften ergibt sich vielfach dennoch eine Verpflichtung zur langfristigen Aufbewahrung von bestimmten Mails und deren Anhängen.

Die Pflicht zur Aufbewahrung gilt beispielsweise für elek­tronische Korrespondenz im Zusammenhang mit Aufträgen oder Vertragsabschlüssen, aber auch für Nachrichten mit Buchungsbelegen, Arbeitsanweisungen oder Jahresabschlüssen. Das Aufbewahren dieser E-Mails regelt § 47 der Abgabenordnung (AO), die „Ordnungsvorschriften für die Aufbewahrung von Unterlagen“. Diese Aufbewahrungspflichten bestehen für bis zu zehn Jahre.

Auch das Handelsgesetzbuch (HGB) legt in § 238 fest, dass „der Kaufmann verpflichtet ist, eine mit der Urschrift übereinstimmende Wiedergabe der abgesandten Handelsbriefe (…) zurückzubehalten“. „Urschrift“ klingt zwar etwas antiquiert, bezieht sich aber durchaus auch auf die elektronische Korrespondenz.

Hinzu kommen E-Mails, die steuerlich relevante Informationen enthalten. Für diese Art von Nachrichten sind in erster Linie die „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“, kurz GoBD, maßgeblich.

Dieses knapp 40 Seiten umfassende Informationsschreiben des Bundesfinanzministeriums an die Oberfinanzbehörden der Länder gibt Unternehmen Anweisungen und Tipps für eine IT-gestützte Buchführung. Darüber hinaus sollen die GoBD bei Unternehmen für die notwendige Rechtsklarheit sorgen. Die Vorgaben der Finanzbehörden zur Aufbewahrung von E-Mails gelten für alle Unternehmen in Deutschland - unabhängig von ihrer Größe und Branche.

Unklar bleibt dennoch, welche Nachrichten und Inhalte eigentlich als steuerlich relevant einzustufen sind. Das hängt - wie so oft - vom jeweiligen Einzelfall ab, eine allgemeingültige Regel gibt es nicht. Daher der Tipp an alle Unternehmen: Im Zweifelsfall sollte man besser mehr E-Mails archivieren als zu wenig.

Viele Unternehmen erstellen Backups ihrer E-Mails und meinen, sie seien damit auf der sicheren Seite. Aber: Ein Backup ist nicht dasselbe wie eine Archivierung. So können Backups viele Funktionen einer sogenannten revisionssicheren Archivierung nicht erfüllen. Dennoch benötigen Unternehmen trotz Archivierung natürlich auch ein Backup ihrer elektronischen Post. Und auch über ein Backup für das E-Mail-Archiv sollte man sich Gedanken machen.

Doch worin genau liegen die Unterschiede zwischen einem Backup und einem Archiv? Mit einem Backup hat man über einen festgelegten Zeitraum hinweg Zugriff auf die gesicherten Daten, in diesem Fall die E-Mails. Das Backup bietet dabei aber keine ständige Verfüg- und Wiederauffindbarkeit. Zudem lassen sich Nachrichten in einem Backup verändern oder löschen. Laut den erwähnten GoBD muss ein revisionssicheres E-Mail-Archiv unter anderem die folgenden Voraussetzungen erfüllen:

Ein Mail-Archiv ist also als Ergänzung zum vorhandenen Mail-System zu betrachten, das unverändert weitergenutzt wird. Der Administrator legt dabei beispielsweise fest, welche E-Mails zu welchem Zeitpunkt in das Archiv übertragen werden. Es gibt dafür umfangreiche Plattformen, die auch große Mengen an E-Mails und Anhängen effizient verwalten (siehe Tabelle auf Seite 60). Sie  ermöglichen Anwendern im Unternehmen einen schnellen und bequemen Zugriff auf die archivierten Mails, etwa über ein Outlook-Plug-in, eine Webseite oder eine eigene Desktop-Software.

Übrigens: Den Aufwand einer Archivierung vermeiden zu wollen, indem relevante E-Mails und Anhänge ausgedruckt und abgeheftet werden, ist keine gute Idee. Ein Ausdruck ist genau genommen nämlich eine Kopie. Daher gilt ein solches Vorgehen nicht als ordnungsgemäße Archivierung. Auch die maschinelle Lesbarkeit ist nicht gegeben. Wurde das Original digital versandt, dann gilt dieser Weg auch als Beleg. Somit ist die Mail im Original aufzubewahren, also digital.

Eine Plattform zur E-Mail-Archivierung hilft Unternehmen darüber hinaus auch bei der Einhaltung der Datenschutz-Grundverordnung. Die Archivierung bildet dabei einen weiteren Mosaikstein im Datenmanagement.

Die Umsetzung der DSGVO stellt viele Unternehmen vor Herausforderungen. Werden sämtliche Informationspflichten erfüllt? Werden nur die wichtigsten personenbezogenen Daten gespeichert? Das sind nur einige der Fragen, die sich Unternehmen auch ein gutes Jahr nach Inkrafttreten der neuen europäischen Datenschutzregeln vielfach noch stellen. Für die Antworten ist vor allem eines unerlässlich: ein exakter Überblick, welche Daten verarbeitet und gespeichert werden. Vor allem E-Mails enthalten mitunter persönliche Daten von Kunden.

Eine Archivierungs-Software ermöglicht das Suchen und Extrahieren von E-Mails und E-Mail-Anhängen. Auf diese Weise lässt sich zum Beispiel das in der DSGVO verankerte „Recht auf Vergessenwerden“ (Art. 17 - Recht auf Löschung) auch bei den unzähligen abgelegten E-Mails mit vertretbarem Aufwand umsetzen. Ebenso vereinfacht ein ordentlich geführtes Mail-Archiv das Bearbeiten von Anfragen bezüglich der weiteren in der Datenschutz-Grundverordnung festgelegten Rechte wie Recht auf Auskunft (Art. 15), Recht auf Datenübertragbarkeit (Art. 20) und Recht auf Widerspruch (Art. 21).

Viele Unternehmen erlauben oder dulden die private Nutzung von Unternehmens-Mail-Konten. Wenn man die ein- und ausgehenden Mails archiviert, dann gibt es diesbezüglich in Sachen Datenschutz einiges zu beachten. Denn wenn ein Arbeitgeber seinen Mitarbeitern die private Nutzung der Firmen-Mail-Konten erlaubt, dann fungiert er unter Umständen als Telekommunikationsanbieter und unterliegt somit dem Telekommunikationsgesetz (TKG). Damit wäre der Arbeitgeber an das Fermeldegeheimnis (§ 88 TKG) gebunden. Über die Frage, ob ein solches Unternehmen als sogenannter Diensteanbieter dieses Fernmeldegeheimnis wahren muss, wird schon seit Jahren juristisch gestritten. Für Unternehmen ergibt sich daraus eine gewisse Rechtsunsicherheit.

Eine E-Mail-Archivierung muss aber eine private Nutzung betrieblicher Kommunikationsmittel nicht unbedingt ausschließen, zum Beispiel wenn die ausdrückliche Einwilligung des Mitarbeiters vorliegt. Auf der sicheren Seite ist, wer als Unternehmen die private Nutzung der betrieblichen E-Mail gänzlich untersagt und einzig und allein die Nutzung externer Dienste erlaubt.

Die Lösungen zur Mail-Archivierung kümmern sich um zwei zentrale Aufgaben: ein- und ausgehende Nachrichten samt Anhängen zentral und revisionssicher aufzubewahren und diese bei Bedarf per Suche schnell auffindbar zu machen.

Hierfür sollte sich das Mail-Archivsystem so nahtlos wie möglich in die vorhandene IT-Infrastruktur einbinden lassen. Daher verstehen sich die meisten Archivierungslösungen für eine größtmögliche Kompatibilität mit einer Vielzahl von Mail-Systemen - von Standards wie SMTP und IMAP über proprietäre Server wie Exchange und GroupWise bis hin zu Cloud-Varianten wie Office 365.

Bei der Archiv-Software selbst haben Unternehmen mittlerweile häufig die Wahl, ob diese On-Premise oder in der Cloud mit ihren unterschiedlichen Deployment-Modellen wie Public Cloud oder Private Cloud läuft. Diese Wahl hat man meist auch bezüglich des Speicherorts für das Mail-Archiv. Der Zugriff auf die Suche und die Daten erfolgt dann etwa per Browser, Outlook-Plug-in, mobiler App oder Windows-Anwendung.

Es gibt keine gesetzlichen Vorschriften, wo ein Mail-Archiv abzulegen ist, im eigenen Rechenzentrum oder in der Cloud. So lange der Datenschutz sowie Anforderungen wie Unveränderbarkeit gegeben sind, haben Unternehmen hier die freie Entscheidung.

On-Premise versus Cloud - beide Varianten haben ihre Vor- und Nachteile. Bei einer Archivierung in der Cloud profitiert man davon, dass man in der Regel an der eigenen IT wenig verändern muss: Die ein- oder ausgehenden Mails laufen über einen Proxy beziehungsweise ein Gateway, das von den Nachrichten eine Kopie für das Archiv erstellt und sie dann an den eigentlichen Empfänger weiterleitet. Zudem sind Cloud-Services bereits für wenige Euro pro Postfach und Monat verfügbar. Und wenn im eigenen Rechenzentrum einmal etwas schiefläuft und es etwa zu größeren Datenverlusten kommt, dann liegen die archivierten Nachrichten (hoffentlich) sicher im mehrfach geschützten Data-Center des Cloud-Anbieters.

Nachteile der Cloud-Variante: Man ist vom Cloud-Anbieter abhängig und darauf angewiesen, dass die revisionssicheren Daten auch nach Jahren noch zuverlässig auf den Servern vorgehalten werden. Im Fall einer technischen Störung, etwa dem Ausfall einer Internetleitung, hat man keinen Zugriff auf das Archiv - unpraktisch, wenn genau zu diesem Zeitpunkt beispielsweise eine Steuerprüfung ansteht und der Zugriff auf archivierte steuerrelevante Mails notwendig ist.

Auch wenn es kein Gesetz gibt, das eine generelle Archivierung aller Unternehmens-Mails vorschreibt - in der Praxis kommt aufgrund zahlreicher Einzelvorschriften dennoch wohl kein Unternehmen darum herum. Auf dem Markt gibt es hierfür zahlreiche Lösungen, von der (virtuellen) Appliance über On-Premise-Tools bis hin zu reinen Cloud-Services, die alle die unterschiedlichsten Mail-Systeme unterstützen. Hier sollte jedes Unternehmen fündig werden.

Vor allem Cloud-Dienste bieten häufig Testzeiträume an, in denen sich die Tauglichkeit eines Dienstes ausgiebig prüfen lässt.

Welche Unternehmen sind verpflichtet, ihre E-Mails zu archivieren und was bedeutet das für die private E-Mail-Nutzung? com! professional spricht darüber mit Oliver Süme, Fachanwalt für IT-Recht und Partner der internationalen Anwaltskanzlei Fieldfisher. Oliver Süme berät seit über 20 Jahren Unternehmen zu allen Rechtsfragen des Technologie-, IT- und Datenschutzrechts. Darüber hinaus ist er Vorstandsvorsitzender bei eco - Verband der Internetwirtschaft.

com! professional: Herr Süme, man liest häufig von einer Pflicht zur E-Mail-Archivierung. Gibt es tatsächlich eine solche Pflicht, alle geschäftlichen Mails zu sichern, und wenn ja, welche Unternehmen sind betroffen?

Oliver Süme: Es gibt zwar keine generelle Pflicht, alle E-Mails eines Unternehmens zu archivieren, oder ein allgemeingültiges Gesetz dazu. Allerdings ergeben sich für bestimmte Inhalte tatsächlich Aufbewahrungspflichten aus einer Reihe von verschiedenen Einzelgesetzen. So müssen zum Beispiel E-Mails aufbewahrt werden, wenn sie im Zusammenhang mit Aufträgen oder Vertragsabschlüssen versendet oder empfangen wurden, Buchungsbelege beinhalten oder bestimmte Arbeitsanweisungen enthalten. Hinzu kommen E-Mails mit steuerlich relevanten Inhalten. Diese Vorschriften gelten für alle Unternehmen, unabhängig von Größe oder Branche.

Was genau zu tun ist, ergibt sich für steuerlich relevante E-Mails aus einem ausführlichen Rundschreiben des Bundesfinanzministeriums zu den Grundsätzen ordnungsgemäßer Buchführung, den sogenannten GoBD. Für bestimmte Sektoren können gegebenenfalls zusätzliche Aufbewahrungspflichten hinzukommen, die sich aus regulatorischen Anforderungen ergeben. Die Aufbewahrungspflichten bestehen für bis zu zehn Jahre.

com! professional: Das gilt für jede ein- und ausgehende E-Mail?

Süme: Nein, nur für solche E-Mails, die von den gesetzlichen Pflichten tatsächlich erfasst werden. Ein- oder ausgehende Newsletter, allgemeine Kommunikation per E-Mail oder gar Spam-Mails müssen nicht archiviert werden.

com! professional: Da bleibt einiges an zu archivierenden Mails übrig. Was droht bei fehlenden Archivierung?

Süme: Wer trotz Kenntnis vorsätzlich eine Archivierung unterlässt und die maßgeblichen Informationen auch nicht auf andere Weise vorhält, dem könnten sogar strafrechtliche Konsequenzen drohen. Das sind aber Ausnahmenfälle. In der Praxis viel wichtiger sind steuerrecht­liche Nachteile, wenn das Finanzamt wegen fehlender Unterlagen beispielsweise Schätzungen als Besteuerungsgrundlage he­ranzieht. Zudem können Zwangsgelder zur Durch­setzung der gesetzlichen Verpflichtungen festgesetzt werden.

Zu beachten ist auch, dass Geschäftsführer und Vorstände von Unternehmen persönlich haften können, wenn insoweit Sorgfaltspflichten verletzt werden. Außerdem können Unternehmen natürlich rechtliche Nachteile entstehen, wenn im Fall von Gewährleistungsansprüchen oder Schadensersatzforderungen wichtige E-Mails nicht mehr vorliegen und die Beweislage dadurch dünn wird.

com! professional: Und wie kann eine solche Archivierung in der Praxis aussehen?

Süme: Theoretisch könnten alle ein- und ausgehenden E-Mails auf dem Mail-Server gespeichert werden. Das hätte den Vorteil, dass auf jeden Fall alle rechtlich relevanten E-Mails vorhanden sind. Es würden aber auch umfangreich E-Mails gespeichert werden, die nur Speicherplatz belegen und gar nicht aufbewahrt werden müssen. Zudem ist zu berücksichtigen, dass eine pauschale Speicherung ein hohes Potenzial für Datenschutzverletzungen hat: Soweit E-Mails personenbezogene Daten beinhalten und es keine Rechtsgrundlage mehr für eine Speicherung gibt, sind entsprechende E-Mails zu löschen. Das gilt insbesondere, wenn die E-Mail Nutzung im Unternehmen auch für private Zwecke gestattet wurde. In der Regel werden daher spezielle Archivierungsprogramme eingesetzt, die es von unterschiedlichen Anbietern für unterschiedliche Bedürfnisse gibt.

com! professional: Ist es mit der Archivierung allein getan oder bestehen darüber hinaus Dokumentationspflichten?

Süme: Für steuerrechtlich relevante E-Mails ergeben sich bestimmte Dokumentationspflichten aus den GoBD. In einer Verfahrensdokumentation sind zum Beispiel die einzuhaltenden Prozesse und die Ordnungs- und Indexierungskriterien zu definieren.

Darüber hinaus ist es aber auch generell empfehlenswert zu dokumentieren, wie die E-Mail-Archivierung aufgesetzt ist und wie allgemeine Anforderungen zum Beispiel an die Unveränderbarkeit und Wiederauffindbarkeit der E-Mails umgesetzt wurden, auch wenn keine ausdrückliche gesetzliche Verpflichtung dazu besteht.

com! professional: Sie haben die Problematik privater Mails angesprochen. Viele Unternehmen erlauben ihren Mitarbeitern die private Nutzung der Mail-Konten. Steht der Archivierung hier der Datenschutz nicht grundsätzlich im Weg?

Süme: Wenn die private Nutzung des geschäftlichen E-Mail-Accounts erlaubt ist, ergeben sich daraus zwar besondere datenschutzrechtliche Anforderungen an die Archivierung, die jedoch der privaten Nutzung nicht grundsätzlich im Weg stehen. So bedarf die Archivierung der privaten E-Mails einer datenschutzrechtlichen Rechtsgrundlage, die in der Regel in einer ausdrücklichen Einwilligung des Mitarbeiters besteht.

com! professional: E-Mail-Archivierung wird mittlerweile auch „as a Service“ in der Cloud angeboten. Sind hier rechtliche Besonderheiten zu beachten?

Süme: Die Aufzeichnung von steuerrechtlich relevanten E-Mails muss nach der gesetzlichen Regelung im Geltungsbereich des Gesetzes durchgeführt werden. Unter bestimmten Voraussetzungen ist es jedoch möglich, dass die zuständige Finanzbehörde auf einen entsprechenden Antrag hin hierzu eine Ausnahmebewilligung erteilt. So muss auch bei Nutzung eines Cloud-Services im Ausland weiter in vollem Umfang der Datenzugriff möglich sein und die Besteuerung darf dadurch nicht beeinträchtigt werden. Bei der Entscheidung der Behörde wird daher auch eine Rolle spielen, welches Datenschutzrecht anwendbar ist und wie es in dem maßgeblichen Land ausgestaltet ist.

com! professional: Gibt es für Unternehmen eigentlich weitere rechtliche Vorschriften, die den Umgang mit Mails betreffen?

Süme: Im Hinblick auf alle personenbezogenen Daten gelten natürlich die Vorschriften der Datenschutz-Grundverordnung. Dabei spielen insbesondere Auskunfts- und Löschungsrechte eine Rolle, die von Kunden zunehmend geltend gemacht werden und die im Rahmen einer Kundenbeziehung ausgetauschten E-Mails betreffen. Hier müssen Unternehmen eine saubere Trennung vornehmen zwischen E-Mails, die im Fall der Ausübung von Löschungsrechten zu löschen sind, und solchen, die trotz Löschungsanspruch wegen gesetzlicher Speicherpflichten eben nicht gelöscht werden dürfen. Darüber hinaus ergeben sich aus der DSGVO bestimmte Anforderungen an technische Sicherheitsmaßnahmen beim Mail-Versand. Daraus resultiert zwar keine generelle Verpflichtung zur Verschlüsselung von Inhalten. Aber die Transportverschlüsselung halten zumindest die Aufsichtsbehörden für erforderlich, auch wenn sich das nicht eindeutig aus der DSGVO ergibt.