Langzeitarchivierung von E-Mails: Was Unternehmer beachten müssen

Muss ich E-Mails in meinem Unternehmen archivieren? Und wenn ja, welche? Seit 2017 gilt die Pflicht zur Langzeitarchivierung von digitalen Geschäftsbriefen in vollem Umfang – juristische Übergangsfristen greifen nicht mehr. Hinzu kommen die datenschutzrechlichen Regeln der DSGVO, die auch die digitale E-Mail Archivierung betreffen. Wir klären die wichtigsten Fragen zur digitalen Langzeitarchivierung von E-Mails und wie diese ganz einfach realisiert werden kann.

Seit 2017 gelten die Pflichten zur Archivierung von E-Mails für alle Unternehmen, unabhängig von Branche, Größe oder Rechtsform – in vollem Umfang und ohne Ausnahmen. Es galt eine Übergangsfrist bis Ende 2016, doch jetzt muss jedes Unternehmen die Vorgaben der GoBD (Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff) erfüllen. Wird das missachtet, drohen im Zweifel hohe Kosten: So wird man nicht nur zu einer Strafzahlung gezwungen, durch die gerichtlichen Prozesse wird viel Zeit und somit auch Geld verloren.

Übersicht

• Speichern oder archivieren?
• Archiv vs. Backup
• Müssen alle E-Mails archiviert werden?
• Was muss bei der Archivierung beachtet werden?
• Muss jetzt alles digitalisiert werden?
• Ist auch eine Verschlüsselung der E-Mails notwendig?
• Ergeben sich für mein Unternehmen Vorteile durch eine digitale Archivierung?
• Welche Lösungen stehen zur Verfügung?
• DSGVO und E-Mail Archivierung – auf was müssen Unternehmer achten?
• Zusammenfassung

Speichern oder archivieren?

In der heutigen digitalen Zeit ist es üblich, auch relevante Dokumente wie Rechnungen per E-Mail zu versenden. Unterlagen in Papierform, die sonst mit der Post geschickt wurden, bekamen einen Eingangsstempel und wurden archiviert. Das ist bei E-Mails in dieser Form nicht möglich. Sie aber einfach im Postfach zu speichern, reicht nicht aus. Sobald eine E-Mail aus Versehen gelöscht oder verschoben wurde und somit schwer wieder auffindbar ist, wird das bei einem Streitfall oder einer Steuerprüfung zum Problem. Daher ist es notwendig, eine langfristige Archivierung der Dokumente sicherstellen zu können.

Archiv vs. Backup

Das Daten-Backup ist eine temporäre Speicherung von Daten. Digitale Daten werden über einen bestimmten Zeitraum verfügbar gehalten und zur Vorbeugung eines Datenverlustes beispielsweise bei einem Festplattenschaden zusätzlich auf einem externen Medium gespeichert. Für Backups gibt es keine gesetzliche Vorschrift. Für die (elektronische) Archivierung allerdings schon – hier handelt es sich um eine langfristige Speicherung von Daten, sprich: um die Langzeitarchivierung von Daten. Anders als beim Backup ist ihr Zweck nicht die Wiederherstellung im Bedarfsfall, sondern die Dokumentation von Daten. Die Dauer der Archivierungspflicht ist dabei abhängig von der Art der Daten. Die unterschiedlichen Fristen kaufmännischer Dokumente für Unternehmen sind im Handelsgesetzbuch (HGB) und der Abgabeordnung (AO) – dem grundlegenden Gesetz des deutschen Steuerrechts zu finden.

Hier kannst Du den exakten Wortlaut der Regelungen nachlesen: HGB Paragraph 238 und 257 sowie § 147 AO.

Müssen alle E-Mails archiviert werden?

Unternehmer sind verpflichtet, die gesamte Unternehmenskorrespondenz zu archivieren (gesetzliche Archivierungspflicht). Die GoBD verlangen, dass Unternehmen all ihre buchungsrelevanten Daten speichern, dazu zählen auch per E-Mail gesendete sowie empfangene Daten – gültig für einen Zeitraum von 6 bis 10 Jahren ab Ende eines Kalenderjahres. Gemeint sind damit insbesondere Daten wie Angebote und Rechnungen – E-Mails wie Newsletter oder Spam müssen nicht gesondert gespeichert und können demnach auch sofort gelöscht werden.

Sofern im Unternehmen private E-Mails erlaubt sind, gilt hier ein striktes Verbot der Archivierung, soweit keine Einwilligung der Mitarbeiter eingeholt wird. Hier muss darauf geachtet werden, dass diese nicht automatisch archiviert werden. Das kann umgangen werden, indem Mitarbeiter entweder ein zweites E-Mail Konto bekommen oder ihre eigenen Accounts während der Arbeitszeit nutzen dürfen.

Dienen E-Mails nur als „Transportmittel“ für elektronische Dateien und beinhalten keine weiteren steuerrelevanten Informationen – zu vergleichen mit dem Briefumschlag einer Rechnung in Papierform – muss diese nicht gesondert gespeichert werden. Hier reicht es aus, nur das Dokument zu archivieren und es somit schnell auffindbar zu machen.

Was muss bei der Archivierung beachtet werden?

Eine besondere Bedeutung kommt der Indexierung und Klassifizierung der E-Mails zu. Es muss sichergestellt werden, dass bei der Archivierung eine eindeutige Zuordnung der einzelnen Geschäftsfälle und Buchungsbelege gegeben ist.

Wichtig ist, dass die E-Mails unverändert archiviert werden. Das bedeutet, dass es nicht mehr möglich sein darf, dass andere den Inhalt der E-Mail verändern können. Befinden sich die E-Mails nur in einem Postfach, ist die Unveränderbarkeit nicht sichergestellt.

Allgemein schreibt die GoBD bei größeren Unternehmen vor, die Maßnahmen für die Archivierung der E-Mails zu dokumentieren. Dort musst aufgeführt werden, wie die Ordnungskriterien umgesetzt wurden – dabei muss die Dokumentation für einen Dritten verständlich formuliert und über die gesetzliche Aufbewahrungsfrist hinaus aufbewahrt werden.

Insbesondere bei steuerlich relevanten E-Mails sollte eine Verfahrensdokumentation angelegt werden. Aus dieser muss hervorgehen, wie die digitalen Belege erfasst, empfangen, verarbeitet, ausgegeben und aufbewahrt werden.

Muss jetzt alles digitalisiert werden?

Zwar gilt eine Pflicht zur digitalen Archivierung, jedoch wird dadurch niemand gezwungen, alle Unterlagen in digitaler Form zur Hand zu haben. Erhält man wichtige Dokumente noch per Post in Papierform, können diese auch weiterhin als Buchungsbeleg genutzt werden. Häufig ist das jedoch nicht mehr so, da Belege in Papierform schneller verloren gehen können. Es wird empfohlen, dass alles einheitlich geregelt wird und damit digital vorliegt. Zusätzlich kann es passieren, dass das Finanzamt gerade bei Papierbelegen genauer hinschaut.

Ist auch eine Verschlüsselung der E-Mails notwendig?

Die DSGVO schreibt die Verschlüsselung von E-Mails vor. Bisher war diese  nicht gesetzlich verankert. Es gab lediglich die Empfehlung für Unternehmen im Sinne des Datenschutzes E-Mails zu verschlüsseln. Auch vor Inkrafttreten der DSGVO konnte die fehlende Verschlüsselung des E-Mail Verkehrs zu Klagen führen, wenn zum Beispiel bei einen Datenverlust wichtige Informationen an unbefugte Dritte gelangen.

Ergeben sich für mein Unternehmen Vorteile durch eine Archivierung?

Neben den gesetzlichen Anforderungen ergibt sich ein Mehrwert der Archivierung für Unternehmen. Wurden E-Mails archiviert, können sie aus dem Postfach gelöscht werden. So wird wertvoller Speicherplatz im Postfach und auf den Mail-Servern frei und Ordnung geschafft. Müssen E-Mails wiederhergestellt werden, wird dadurch ebenfalls Zeit gespart. Während sie wiederhergestellt werden, stehen die archivierten E-Mails dann auch unabhängig von E-Mail Servern zur Verfügung.

Eine Archivierung kann somit auch als E-Mail-Backup betrachtet werden. Sollten versehentlich E-Mails gelöscht oder an einen Ort verschoben werden, den man zu einem späteren Zeitpunkt nicht mehr wiederfindet, ist sie bei einer passenden Software-Lösung immer wieder auffindbar. Das wirft die nächste Frage auf:

Welche Lösungen stehen zur Verfügung?

Da eine einfache Dateiablage nicht ausreicht, um den gesetzlichen Anforderungen gerecht zu werden, muss eine Lösung der Archivierung her.

Zum Einen gibt es die Möglichkeit der digitalen Archivierung durch ein Dokumenten-Management-System (DMS) in einer Cloud – und erfüllt die Anforderungen der GoBD. Mit Cloud-Systemen archivieren sich Daten ohne Investitionsaufwand oder regelmäßiger Aktualisierungen einer Software. Unternehmer können diese Maßnahme nutzen, um ein- und ausgehende E-Mails als Kopie in einem Archivsystem zu speichern, bevor diese zugestellt werden. Die Daten werden geräteunabhängig gesichert. Wirtschafts- oder Steuerprüfer haben dabei die Möglichkeit, maschinell auf die E-Mails zuzugreifen. Je nach Anbieter ermöglicht das Archiv zusätzlich eine einfache Suche nach E-Mails und Dateianhängen und schützt vor Datenverlusten.

MERKE: Du brauchst für Dein Archiv ein Dokumentenmanagement bzw. ein Archivierungssystem. Dieses muss es ermöglichen, die E-Mails im Bedarfsfall einem bestimmten Geschäftsvorfall oder Buchungsbeleg zuzuordnen. Das gespeicherte Format der E-Mails sowie ihrer Anhänge sollte zudem im Volltext recherchierbar sein.

Ein bekannter Anbieter einer solchen Cloud-Lösung ist Hornetsecurity. Ihr Produkt Aeternum fertigt von jeder E-Mail – ob ein- oder ausgehend – eine Kopie an. Diese wird auf den Servern von Hornetsecurity unverändert und unveränderbar gespeichert.

Hornetsecurity bietet nicht nur die korrekte Archivierung von E-Mails, sondern ist auch in Sachen Spam- und Virenfilter und E-Mail Verschlüsselung ein kompetenter Ansprechpartner.

Da es sich hier um ein deutsches Unternehmen handelt kann man sich sicher sein, dass auch nach den deutschen gesetzlichen Anforderungen archiviert wird und somit keine steuerlichen Probleme entstehen werden.

Unabhängig von einer Cloud-Lösung kannst kann auch auf eine Software-Lösung gesetzt werden. Ein bekannter Anbieter und Experte für rechtssichere E-Mail-Archivierung ist MailStore: Das Prinzip basiert auf einer Bedienungsoberfläche und ist gleichzeitig eine leistungsfähige Datenbank. Diese muss allerdings in den E-Mail-Server Systemen integriert werden und benötigt Administratoren. Jede E-Mail kann dann durch eine Journaling-Funktion archiviert werden. Darunter versteht man eine Art Überwachungsfunktion, die die legalen Aufzeichnungspflichten bewahrt. Ist Journaling aktiviert, wird von jeder Nachricht innerhalb des Unternehmens eine Kopie an ein Systempostfach gesendet. Neben dieser Aufzeichnungsfunktion eignet sich das aber auch als Lösung zur Archivierung.

MERKE: Auch das MailStore System bietet Rechtssicherheit und Datenschutz bei der digitalen Archivierung und schützt Unternehmen vor Manipulationsversuchen und Datenverlust.

DSGVO und E-Mail Archivierung – auf was müssen Unternehmer achten?

Die europäische Datenschutz Grundverordnung ist ab dem 25. Mai 2018 gesetzlich bindend. Sie soll ein einheitliches Datenschutzniveau in der gesamten EU sicherstellen und diesen an den Stand der heutigen digitalen Technik anpassen. Dazu regelt sie den Schutz von personenbezogenen Daten. Insbesondere Unternehmen verwalten und arbeiten mit sensiblen Daten von Mitarbeitern und Kunden. Diese müssen sich über das neue Gesetzeswerk informieren bzw. die technischen, organisatorischen und prozessuale Regelungen umsetzen. Mehr zu den Vorgaben der DSGVO und wie Du damit umgehst, erfährst Du in unserem Blogartikel.

Bezogen auf die Langzeitarchivierung von E-Mails bzw. das unternehmensinterne Mailarchiv müssen die neuen gesetzlichen Regelungen ebenfalls beachtet werden. Gerade elektronische Briefe im Business-Alltag enthalten personenbezogene Daten. Die Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD) weisen glücklicherweise einen hohen Deckungsgrad in Bezug auf die DSGVO und ihre datenschutzrechtlichen Regelungen, insbesondere bezogen auf den Schutz der IT-Sicherheit, auf. Dadurch sind natürlich Unternehmen im Vorteil, die bereits auf eine Software zurückgreifen, die GoBD konform ist. Du solltest also unbedingt Wert darauf legen, dass das digitale Langzeitarchiv Deines Unternehmens mit einer Software durchgeführt wird, die GoBD konform und nach IDW PS 880 zertifiziert ist. Durch in die Software integrierte Funktionen zum Suchen und Finden von wichtigen Daten ist ein Unternehmen in der Lage, beispielsweise einem Kunden oder Mitarbeiter Auskunft über die von ihm gespeicherten Daten (digitaler Schriftverkehr und Anhänge) zu geben. Denn das Auskunftsrecht, wie auch das Recht auf Vergessenwerden, sind laut der DSGVO zu schützende Rechte von Personen, deren Daten verarbeitet werden. Eine GoBD konforme Software ist also ein erster sinnvoller Schritt um hinsichtlich der E-Mail Archivierung die Auflagen der DSGVO in Angriff zu nehmen und zu erfüllen.

Was ist die IDW PS 880 Zertifizierung?
Hier handelt es sich um den Prüfungsstandard 880 des Instituts der Wirtschaftsprüfer.. Er dient der Prüfung von rechnungslegungsrelevanter Software in Hinblick auf die Einhaltung der Grundsätze der Ordnungsmäßigkeits-, Sicherheits- und Kontrollanforderungen. Software-Hersteller können sich durch die Prüfung also die Validität ihres Systems bescheinigen lassen.

Zusammenfassung

Seit 2017 gilt die Archivierungspflicht von E-Mails in Unternehmen – vorgeschrieben von den Grundsätzen zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD). Wichtige Dokumente wie Rechnungen, die Unternehmen per E-Mail bekommen, müssen langfristig archiviert werden. Bis auf Spam oder Newsletter und private E-Mails ist es verpflichtend, die gesamte Unternehmenskorrespondenz zu archivieren. Wichtig ist, dass die E-Mails unverändert und unveränderbar gespeichert und zu den jeweiligen Geschäftsfällen zugeordnet sind, damit Wirtschaftsprüfer oder Finanzämter schnellen Zugriff auf die Dokumente haben. Rechnungen in Papierform gelten weiterhin als Buchungsbeleg und müssen nicht zwingend digitalisiert werden. Neben gesetzlichen Anforderungen ergeben sich zusätzlich weitere Vorteile für Unternehmen: Speicherplatz wird freigegeben, weil E-Mails nach einer digitale Archivierung aus dem Postfach gelöscht werden können und man hat hier die Möglichkeit, verlorene E-Mails wiederzufinden. Um die digitale Archivierung zu realisieren, stehen verschiedene Tools zur Verfügung. Man kann eine Cloud nutzen, um alle E-Mails zu speichern – ein bekannter Anbieter ist Hornetsecurity. Daneben kann auch auf Software gesetzt werden: mit MailStore kann ebenfalls eine Archivierung vorgenommen werden, jedoch muss dieses System in deinen E-Mail Systemen integriert werden. Aufgrund der Datenschutzgrundverordnung (DSGVO) ist es zudem wichtig eine GoBD konform und nach IDW PS 880 zertifiziert Software zu benutzen, die die Vorlagen der DSGVO hinsichtlich des europaweiten Datenschutzes erfüllt.

Unternehmer sollten auf Nummer sicher gehen und E-Mails zuverlässig archivieren. Dabei können sie auf das Team der Media Company setzen – Hornetsecurity ist Teil unseres Partnernetzwerkes. Es kann vollstens auf unser Know-how im Bereich der E-Mail Archivierung vertraut werden. Jetzt Kontakt aufnehmen und beraten lassen!

Kontakt aufnehmen