Die Aufbewahrung und Archivierung von E-Mails ist Mittelständlern und kleineren Organisationen oft ein Ärgernis. Häufig mangelt es bereits am nötigen Wissen über eine gesetzeskonforme Umsetzung. Die Folge: Viele Unternehmen schieben das Thema auf die lange Bank - und handeln dabei grob fahrlässig. Längst regeln nämlich gesetzliche Bestimmungen, wie, wann und wo E-Mails revisionssicher abgelegt sein müssen.
Eines vorweg: Die Archivierung und Aufbewahrung von elektronischer Post ist kein IT-Beiwerk, sondern basiert auf klaren gesetzlichen Vorgaben, die für alle Unternehmensformen zwingend vorgeschrieben ist - also auch für kleine und mittlere Unternehmen, die sogenannten KMUs.
Gerade hier hapert es oft an der Umsetzung: Entweder es existiert keine oder lediglich eine rudimentäre Archivierungsstrategie - oder aber das Konzept entspricht nicht den rechtlichen Anforderungen. Häufig fehlt es KMUs zudem an Einblicken über die Folgen bei Nichtbeachtung der gesetzlichen Vorschriften. Diese reichen von der Verschlechterung der Kreditwürdigkeit, über finanzielle Restriktionen bis hin zu Freiheitsstrafen.
Gesetzliche Vorgaben und Fristen
Paragraph 257, Abs. 1, HGB (Handelsgesetzbuch)
Nach Paragraph 257, Absatz 1 des HGB, ist jeder Kaufmann verpflichtet, Unterlagen wie Handelsbücher, Inventare, Eröffnungsbilanzen oder Jahresabschlüsse geordnet aufzubewahren. Dazu gehören unter anderem die empfangenen Handelsbriefe sowie Belege für Buchungen in den von ihm nach Paragraf 238, Absatz 1, zu führenden Büchern. Diese dienen der Dokumentation und Beweissicherung sowie dem Gläubigerschutz. Die Vorgaben gelten auch dann, wenn die Buchführungspflicht durch das Bilanzrechtsmodernisierungsgesetz (BilMoG) eingeschränkt ist. Das BilMoG befreit Einzelkaufleute von der handelsrechtlichen Buchführungspflicht, wenn sie nur einen kleinen Geschäftsbetrieb unterhalten und 500.000 Euro Umsatz sowie 50.000 Euro Gewinn in zwei aufeinanderfolgenden Geschäftsjahren nicht überschreiten.
Paragraph 147, Abs. 1, AO (Abgabenordnung)
Die Abgabenordnung regelt die Aufbewahrungspflicht für Bücher und Aufzeichnungen, Inventare oder Jahresabschlüsse. Darunter fallen auch die zu ihrem Verständnis erforderlichen Arbeitsanweisungen und sonstigen Organisationsunterlagen, die empfangenen Handels- oder Geschäftsbriefe, Buchungsbelege, Zollanmeldungen und weitere Unterlagen, soweit sie für die Besteuerung von Bedeutung sind. Unter Handels- und Geschäftsbriefen werden alle empfangenen und abgesendeten Briefe und Dokumente zusammengefasst, die die Vorbereitung, den Abschluss, die Durchführung und die Rückgängigmachung von Handelsgeschäften regeln. Ebenso zählt die geschäftliche Korrespondenz von Nicht-Kaufleuten in diese Kategorie. Darüber hinaus ist nach der AO auch die interne Kommunikation aufzubewahren, sofern sie sie für die Besteuerung relevant ist.
Paragraph 14b, Abs. 1, UStG (Umsatzsteuergesetz)
Im Umsatzsteuergesetz wird klar definiert, wie Rechnungen zu verwalten sind. Dies gilt auch für Dokumente, die per E-Mail verschickt oder empfangen werden. Demnach hat ein Unternehmer eine Kopie der Rechnung, die er selbst oder ein Dritter in seinem Namen und für seine Rechnung ausgestellt hat, zehn Jahre aufzubewahren. Gleiches gilt für alle erhaltenen Rechnungen.
Form der Aufbewahrung
Auch die Form der Aufbewahrung wird im HGB und der AO mehr oder weniger klar geregelt. Nach Paragraph 257, Absatz 3, HGB, können die oben erwähnten Unterlagen auch als Wiedergabe auf einem Bildträger oder auf anderen Datenträgern aufbewahrt werden, wenn dies den Grundsätzen ordnungsmäßiger Buchführung entspricht. Dies gilt nicht für Eröffnungsbilanzen und Abschlüsse. Doch muss sichergestellt sein, dass die Wiedergabe oder die Daten mit den empfangenen Handels- oder Geschäftsbriefen und den Buchungsbelegen bildlich und mit den anderen Unterlagen inhaltlich übereinstimmen. Dabei ist zu berücksichtigen, dass die Archivierung originär zu erfolgen hat. Das bedeutet, dass digitale Unterlagen elektronisch, also auch in dieser Form, archiviert werden müssen. Eine Aufbewahrung des Ausdrucks ist demnach nicht ausreichend.
Zusammenfassend gilt: Eine elektronische Archivierung erfordert,
- dass eine geordnete Aufbewahrung zur schnellen Überblicksgewinnung existiert,
- dass die archivierten Daten bildlich beziehungsweise inhaltlich identisch mit dem Original sind,
- dass archivierte Unterlagen innerhalb der Aufbewahrungsfrist verfügbar sind,
- dass Daten jederzeit innerhalb angemessener Frist lesbar gemacht werden müssen und
- dass eine Möglichkeit zur maschinellen Auswertbarkeit (Paragraph 147, Abs. 2, AO) gegeben ist.
Neben den gesetzlichen Vorgaben gelten darüber hinaus die Grundsätze ordnungsgemäßer Buchführung (GoB) und die Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS). Diese - nur teilweise niedergeschriebenen - Vorschriften werden aus HGB und AO hergeleitet, ergeben sich jedoch auch vor allem aus Wissenschaft und Praxis, der Rechtsprechung sowie Empfehlungen der Wirtschaftsverbände. Es gelten in diesem Zusammenhang vor allem der:
- Grundsatz der Richtigkeit nach Paragraph 239, Abs. 2, HGB (keine Buchung ohne Beleg)
- Grundsatz der Zeitgerechtigkeit nach Paragraph 239, Abs. 2, HGB (Erfassung zeitnah und periodengerecht zum Geschäftsvorfall)
- Grundsatz der Ordnung und Sicherheit nach Paragraph 239, Abs. 2, HGB (formalisiertes und standardisiertes System zur Erfassung der Geschäftsvorfälle)
- Grundsatz der Unveränderlichkeit nach Paragraph 239, Abs. 3, HGB (Verhinderung von Manipulationen)
GoBS
Die GoBS konkretisieren diese Regeln im Zusammenhang mit der DV-gestützten Buchführung hinsichtlich der
- Verwaltungsanweisungen für die Finanzverwaltung,
- Sicherung der Daten sowie der Soft- und Hardware, die für die Lesbarmachung der Daten erforderlich sind,
- Einführung von Datensicherungsprozessen,
- Maßnahmen zur Reduzierung der Unauffindbarkeit, Vernichtung und des Verlustes der gesicherten Daten,
- Maßnahmen zur Sicherstellung der Lesbarkeit/Lesbarmachung der gesicherten Daten innerhalb der Aufbewahrungsfrist und
- Verfahrensdokumentation. Dazu zählt die regelmäßige Aktualisierung der Dokumentation zum DV-gestützten Buchführungssystem.
Abschließend und eng mit den oben genannten Regeln und Vorgaben verbunden, haben die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) Wirksamkeit. Sie enthalten Verwaltungsanweisungen für die Finanzverwaltung für den Datenzugriff nach Paragraph 147, Abs. 6, AO, in denen der unmittelbare Lesezugriff des Finanzbeamten auf Daten sowie die mögliche Überlassung von Datenträgern mit gespeicherten Unterlagen geregelt sind. Darin enthalten sind auch Vorgaben, die die maschinelle Auswertbarkeit der Daten sicherstellt. So muss auch bei verschlüsselter Speicherung der Unterlagen der Originalzustand der Daten erkennbar sein.
Verstoß gegen Aufbewahrungspflichten und Rechtsfolgen
Eine mangelhafte oder fehlende Archivierung - und dies gilt auch für E-Mails - ist grundsätzlich mit einer Nichterfüllung der Buchführungspflicht gleichzusetzen. Diese kann als Ordnungswidrigkeit bis hin zur Steuerhinterziehung geahndet werden. Deliktisches Handeln kann nach Paragraph 283 StGB mit einer Geld- oder Freiheitsstrafe betraft werden. Beim Verdacht der Steuerhinterziehung nach Paragraph 370, AO, kann das zu einer Freiheitsstrafe von bis zu zehn Jahren führen.
Doch dazu kommt es im Regelfall und bei Erstverstößen kaum. Allerdings zieht eine leichtfertige Steuerverkürzung nach Paragraph 378 AO bereits Geldbußen von bis zu 50.000 Euro nach sich. Das Finanzamt kann in leichteren Fällen aber auch die Besteuerungsgrundlagen schätzen und eine ordnungsgemäße Aufbewahrung für die Zukunft per Zwangsgeld erzwingen. Eine mögliche Maßnahme des Fiskus in diesem Zusammenhang ist, die Vorsteuerabzugsfähigkeit einzuschränken oder gar zu sperren. Besonders für kleine und mittelständische Unternehmen hängt von dieser Marge die Existenz ab. Immer haften die Geschäftsführung und die Beteiligten auch privat und uneingeschränkt als Folge ungenügenden Risikomanagements gemäß Paragraph 93, Abs. 2, des Gesetzes zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG).
Lösungsansätze und finanzielle Auswirkungen
Grundsätzlich schreiben die oben vorgestellten Regulierungen, Gesetze und Vorschriften kein spezifisches Archivverfahren vor. Jedoch müssen die Manipulationssicherheit und der Grundsatz der Unmittelbarkeit sichergestellt sein. Da Ausdrucke und auch Grafikwandlungen nicht zulässig sind - Vorgabe der Maschinenlesbarkeit -, muss eine Speicherung auf WORM-Medien (WriteOnceReadMany) erfolgen.
Vor diesem Hintergrund wird deutlich, dass ein Archivierungsprozess vollständig automatisiert ablaufen sollte. Dies setzt in der Regel eine Investition in entsprechende Hard- und Software voraus. Doch ein derartig automatisiertes Verfahren bringt auch Vorteile in den alltäglichen Unternehmensprozessen: Elektronische Archive erlauben naturgemäß die Suche nach relevanten Informationen, die heute in der Regel lokal auf den Arbeitsplatzrechnern der Mitarbeiter gespeichert werden - etwa in PST-Dateien mit Microsoft Outlook - und dort unnötig Speicherplatz benötigen. Bei einer solchen Archivierung können E-Mails von Mitarbeitern ohne Sorge gelöscht werden, da sie sich jederzeit zu Geschäfts- und/oder Beweiszwecken wieder auffinden lassen. Dies verringert gleichzeitig den Nachrichtenspeicher des E-Mail-Servers, sorgt für bessere Performance des Servers und verringert den Verkehr in den Datenleitungen. Neben den operationalen Vorteilen vermindern sich die Risiken durch fiskalische Restriktionen und bei Rechtsstreit mit Lieferanten und Kunden. Bei konsequenter Einhaltung der Vorschriften werden gleichzeitig das Ranking bei Banken und dadurch die Kreditwürdigkeit des Unternehmens erhöht.
ROI - viele Faktoren sind ausschlaggebend
Zur Berechnung des Return on Investment (ROI) beim Einsatz eines E-Mail-Archivierungssystems müssen eine Reihe von Faktoren einberechnet werden. Grundsätzlich spielen vier Aspekte eine Rolle:
Rechtsstreitigkeiten und E-Discovery
Erfahrungsgemäß droht jedem Unternehmen früher oder später eine Rechtsstreitigkeit. Mit hoher Wahrscheinlichkeit werden dabei elektronische Daten, also auch E-Mails, zur Beweisfindung verwendet. Hier kommt dem Begriff des "E-Discovery" eine große Bedeutung zu: E-Discovery ist der Prozess, bei dem elektronische Daten nachgefragt, geortet, gesichert, gesucht und in einem zivilen oder strafrechtlichen Prozess verwendet werden. Diese Informationen müssen innerhalb einer festgelegten Frist lückenlos aufgefunden werden. Die Kosten dafür können ohne die Nutzung eines entsprechenden Archivs sehr schnell anwachsen und einen großen Teil der Ausgaben für einen Rechtsstreit umfassen.
Abwägung von Compliance-Risiken
Zur Abwägung des Risikos von eventuell drohenden Restriktionen durch den Fiskus oder durch die schwache Bonitäts-Bewertung durch Finanzinstitute, ist eine Analyse von Daten oft zwingend erforderlich. Hier müssen folgende Fragen geklärt werden:
- Welche Daten sind in E-Mails enthalten?
- Sind relevante Informationen in spezifischen oder allen E-Mails enthalten?
- Wie einfach sind diese E-Mails erkennbar und wieder auffindbar?
- Was kostet die Recherche nach den Daten?
Mail-Server-Verwaltung und Kostentransparenz
E-Mail-Server die nicht gemanagt werden, häufen im Laufe der Zeit Unmengen an Daten an. Diese wachsende Datenmenge hat einen negativen Einfluss auf die Performance des E-Mail-Servers, benötigt regelmäßig zusätzlichen Speicherplatz und eventuell weitere Aufrüstungen. Der Einsatz von sogenannten "Quotas", also die Begrenzung des Speicherplatzes pro Benutzer, führt häufig zu einem starken Anwachsen lokaler Archive, etwa in PST-Dateien. Abgesehen vom immensen Speicherplatzverbrauch auf Festplatten führen diese lokalen Archive zu einer zunehmenden Backup-Zeit für die Arbeitsplatzrechner. Hinzu kommt, dass auch der Speicherplatzbedarf auf Sicherungsmedien wie Bandlaufwerke rapide anwächst. Ebenso geht Zeit beim Kopieren der E-Mails in die PST-Dateien verloren.
Mitarbeiterproduktivität
Eine voll funktionsfähige E-Mail-Archivierung mit umfangreicher Suchfunktion in den eigenen, benutzerbezogenen E-Mails, nimmt Mitarbeitern zudem die Befürchtung, E-Mails zu "verlieren". Lokale Archive sind somit also nicht mehr notwendig. Anders ausgedrückt: Mitarbeiter können E-Mails löschen und sich auf die Arbeit konzentrieren - ohne die Sorge, E-Mails zu verlieren.
Professionelle Lösungen erleichtern Archivierung enorm
Professionelle Lösungen übernehmen die sichere Archivierung und sorgen so gleichzeitig für eine revisionssichere Aufbewahrung. Mit Collax E-Mail Archive, einem Modul für den Collax Business Server (CBS), dem Collax Platform Server, sowie der neuen Collax Groupware Suite, stellt Collax eine kostengünstige und einfach zu implementierende Umgebung zur Verfügung. Das Modul zeichnet sich durch eine revisionssichere Aufbewahrung von E-Mails aus und bietet neben umfangreichen Suchfunktionen mit indizierten Recherchemöglichkeiten eine hohe Datenintegrität sowie sichere Zugangsberechtigungen. Dabei lässt sich die Archivierung prozess- und mitarbeiterunabhängig durchführen.
Das Funktionsprinzip der E-Mail-Archivierung: Beim Versenden oder Empfangen einer E-Mail wird automatisch eine Kopie im Archiv erstellt. Eine elektronische Signatur für jede Nachricht gewährleistet, dass die Authentizität jederzeit nachgewiesen werden kann. Über einen Web-Zugriff erhalten ausgewählte Benutzer Zugang zum Archiv und können so auf die eigenen empfangenen und versendeten E-Mails zugreifen. Autorisierte Prüfer indes erhalten per Auditoren-Zugang Zugriff auf alle archivierten E-Mails. Darüber hinaus werden alle E-Mails im Archiv für die Suche per Web-Anwendung indiziert.
Zu den Suchkriterien gehören kombinierbare Felder wie Betreff, Absender, Empfänger, Inhalt sowie definierbare Zeiträume. Die Suchergebnisse lassen sich dabei einzeln oder in einer Gruppe weiterleiten oder herunterladen, um beispielsweise Anhänge direkt in der Web-Anwendung öffnen zu können.
Wichtig dabei: Ganz im Sinne rechtlicher Bestimmungen werden E-Mails durch keine dieser Aktionen verändert. Selbst wenn E-Mails aus der Sammlung geladen und erneut versendet werden, wird ein neues Objekt im Archiv abgelegt. E-Mails lassen sich zudem als Dateien im ISO-Format auf CD oder DVD brennen. Zudem ist es möglich, Daten, die bereits auf externe Medien geschrieben wurden, zurückzuspielen.
Der Autor Falk Birkner ist VP Sales und Marketing EMEA bei der Collax GmbH.
Kontakt: Tel.: 089 990157-0, E-Mail: info@collax.com, Internet: www.collax.com/de oder über Pia Carola Erven, Lewis Global Public Relations, Tel.: 089 173019 21, E-Mail: PiaE@lewispr.com, Internet: www.lewispr.de