Vorgaben für die E-Mail-Archivierung

Fachbeitrag

Das Thema E-Mail-Archivierung ist oft ein Sorgenkind im Unternehmen, da unklar ist, ob alle E-Mails archiviert werden müssen und wenn ja, wie lange. Auch die Unterscheidung zwischen einer Archivierung und einem Backup von E-Mails bereitet manchmal Probleme. In diesem Blogartikel finden Sie daher Antworten auf die wichtigsten Fragen zur E-Mail-Archivierung.

Die rechtlichen Grundlagen einer E-Mail-Archivierung

Die Grundsätze für die E-Mail-Archivierung ergeben sich aus der GoBD (Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff). Diese Verwaltungsvorschrift regelt die formalen Anforderungen an die Buchführung und die Aufbewahrung von steuerrechtlich relevanten elektronischen Daten unter Bezug auf die Grundsätze ordnungsgemäßer Buchführung (GoB).

Der Unterschied zwischen Archivierung und Backup

Das Daten-Backup ist eine kurz- bis mittelfristige zusätzliche Speicherung von Daten. Das Backup dient zur temporären Verfügbarkeit von Daten sowie zur Wiederherstellung verlorener Daten nach physikalischen Festplatten-Schäden oder nach Datenverlust durch Fehlverhalten von Anwendern. Für Backup-Bänder gibt es keine festen Aufbewahrungspflichten. Wichtig ist, dass das Unternehmen jederzeit aus dem Backup seine Daten wieder herstellen kann.

Eine Archivierung ist die langfristige Speicherung von Daten auf einem separaten Datenträger. Ihr Zweck ist nicht primär die Wiederherstellung der Daten im Bedarfsfall, sondern die Dokumentation. Wie lange die aufbewahrungspflichtigen Daten auf dem separaten Datenträger vorzuhalten sind, hängt von ihrer Art ab. Die wichtigsten Regelungen für Unternehmen sind in den §§ 238, 257 HGB und § 147 AO zu finden. Diese Normen regeln die unterschiedlichen Fristen für kaufmännische Dokumente.

Wann muss eine E-Mail nach der GoBD archiviert werden?

Hat eine E-Mail die Funktion eines Handels- bzw. Geschäftsbriefes oder eines Buchungsbelegs, ist sie entsprechend der GoBD aufbewahrungspflichtig. Soweit eine E-Mail als reines Transportmittel für einen Anhang – beispielsweise Rechnung – dient und keine weiteren steuerrelevanten Informationen beinhaltet, genügt es, wenn nur die Rechnung im Originalformat aufbewahrt wird und nicht die E-Mail selbst. Achtung: In solch einem Fall reicht ein Ausdrucken der Rechnung nicht aus.

Ergeben sich aus der E-Mail ergänzende Informationen zu der Rechnung, ist auch diese zu archivieren. Dabei müssen die E-Mails mit steuerlicher Relevanz getrennt von den nicht steuerrelevanten oder privaten E-Mails aufbewahrt werden.

Worauf ist bei der Archivierung zu achten?

Weitere Vorgabe der GoBD ist, dass die E-Mails unverändert zu archivieren sind. Eine reine Ablage von elektronischen Dokumenten in einem Dateisystem erfüllt die Anforderungen an die Unveränderbarkeit regelmäßig nicht. Es reicht auch nicht aus, wenn die geschäftliche E-Mail-Korrespondenz innerhalb eines Mailsystems oder Dateisystems ohne zusätzliche Sicherungsmaßnahmen aufbewahrt wird. Vielmehr sollten Dokumentenmanagement- oder Archivierungssysteme zum Einsatz kommen, mit denen der Nachweis der Unveränderbarkeit der Daten gesichert werden kann. Auch sollte das System protokollieren können, wann und inwieweit ein Dokument geändert wurde.

Ein Dokumentenmanagement- oder Archivierungssystem muss in der Lage sein, die E-Mails einem bestimmten Geschäftsvorfall oder Buchungsbeleg zuzuordnen. Das neue Format der E-Mail oder des E-Mail-Anhanges muss des Weiteren im Volltext recherchierbar sein. Spielen E-Mail-Eigenschaften steuerlich eine Rolle, so müssen diese beibehalten werden.

Der Empfang und Versand von steuerlich relevanten E-Mails sollte in einer Verfahrensdokumentation beschrieben werden. Aus der Verfahrensdokumentation sollte darüber hinaus ersichtlich sein, wie die elektronischen Belege erfasst, empfangen, verarbeitet, ausgegeben und aufbewahrt werden. Die konkrete Ausgestaltung der Verfahrensdokumentation ist abhängig von der Komplexität und Diversifikation der Geschäftstätigkeit und der Organisationsstruktur des Unternehmens sowie des eingesetzten Dokumentenmanagement- oder Archivierungssystems.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

25 Kommentare zu diesem Beitrag

  1. Gibt es auch nur ein einziges kleines Unternehmen, das die gesetzlichen Anforderungen erfüllt? Würde mich wundern, wenn das bei Rechtsanwälten anders ist.

  2. Die Anwendung ist weder nutzerfreundlich noch von den Mitarbeitern zu erwarten zudem ist das ganze unwirtschaftlich und erfordert zusätzliche Systeme, Wartungen und Kosten.
    Dabei stellt die Datei (PDF) den Beleg welches im Original aufbewaht werden soll dar, an welchem Ort diese liegen sollte völlig belanglos sein. Eine eingehende Rechnung per Post behält man auch nicht beim Postamt im Original und bewahrt noch den Umschlag auf insb. weil die Frankierung noch steuerrechtlich relevant sein könnte. Auf fast jeder Rechnung werden Vermerke gemacht (z.B. Kontierung, Kennzeichnung Bezahlt oder eingegangen) damit werden diese Dokumente auch verändert, bei digitalen ist das jedoch anders? Durchsuchbar sind Briefe per Post über eine Volltextsuche auch nicht.

    Das kommt dabei raus wenn Dinosaurier versuchen Standards zu entwickeln und selbst nie in der Praxis zu tun hatten. Kleine Unternehmen und dessen Möglichkeiten ignoriert man dabei auch gerne mal.

    • Die GoBD gelten für alle Buchführungs- und Aufzeichnungspflichtige. Inwieweit eine Behörde oder eine kommunale Verwaltung solche Pflichten einzuhalten hat, können wir leider auf die Schnelle nicht beurteilen.

  3. Was bedeutet „steuerrelevante Informationen“ in einer E-Mail. Wenn ich eine Mail mit einer Rechnung in PDF als Anhang bekomme, dann ist doch in der PDF-Datei alles enthalten. Dann brauch ich die Mail selber doch nicht archivieren? Oder?

    • Handelt es sich bei dem aufbewahrungspflichtigen Dokument um eine PDF-Rechnung als Anhang zu einer E-Mail, hat die E-Mail lediglich die Funktion eines Briefumschlages und muss daher grundsätzlich auch nicht archiviert werden.

      Allerdings müssen nach den GoBD auch die Beweisbarkeit, die Herkunft und die Echtheit der aufbewahrungspflichtigen Dokumente nachweisbar sein. Da eine E-Mail zusätzlich zum Inhalt noch weitere Informationen enthält, wie z.B. den Betreff, den Absender und das Eingangsdatum, können auch solche Daten im Zweifel relevant sein.

  4. Inwieweit können Archivierungssysteme Mails von bzw. an den Betriebsrat, den Betriebsarzt, die Personalabteilung und weitere personenbezogene bzw. persönliche Datensender bzw. -empfänger aus diesem Archivierungswahn heraushalten? Unabhängig von der fehlenden Anforderung „Geschäftsbrief“ enthalten solche Mails zudem persönliche Daten, die dem Datenschutz und anderen Gesetzen unterliegen und niemanden außer dem Betroffenen etwas angehen …

  5. Eine Frage zum „Recht auf Vergessen“: Muss ein E-Mailarchivierungssystem so konfiguriert sein, das E-Mails mit personenbezogenen Daten gelöscht werden, sobald die gesetzlichen Aufbewahrungsfrist abgelaufen ist ? Und eine Frage zu den personenbezogenen Daten in E-Mails: unterliegt eine geschäftliche E-Mailadresse als personenbezogen der DSGVO, wenn diese den persönlichen Namen eines Mitarbeiters enthält (Bsp.: m.muster@xyz.com) ?

    • Grundsätzlich sind personenbezogene Daten zu löschen, sobald die Zwecke, für welche die Daten erhoben wurden, wieder weggefallen sind und keine Aufbewahrungspflichten mehr bestehen. Bei E-Mail-Adressen, die den Namen des Absenders enthalten, handelt es sich um personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO.

      • Das würde für mein Unternehmen in der Konsequenz bedeuten, das ca. 90 % der E-Mails (außer E-Mails wie z.B. invoice@xyz.com) der DSGVO unterliegen und demnach jeder dieser E-Mail eine Löschfrist zugeordnet werden muss ? Ich bin in einem Unternehmen mit sehr unterschiedlichen regulatorischen Anforderungen tätig. Die Archivierungsfrist variiert von 5 – 25 Jahren.

        • Auch eine E-Mail die nicht den Namen einer Person enthält kann ein personenbezogenes Datum sein, wenn diese zu einer natürlichen Person gehört und dieser zugeordnet werden kann. Aus dem gleichen Grund ist ja eine IP Adresse ein personenbezogenes Datum. Dementsprechend kann auch die E-Mail info[at]muster.de ein personenbezogenes Datum sein.

  6. Anmerkung:
    die GoBD ist keine rechtliche Vorgabe/Gesetz, sondern ein BMF-Schreiben, welches eine Behördenmeinung darstellt, die erst noch richterlich einzuordnen ist!
    Gesetzliche Pflichten zur E-Mail-Archivierung lassen sich aber sehr wohl aus einer Vielzahl an Gesetzen ableiten:
    ◾das Handelsgesetzbuch (HGB)
    ◾das Bundesdatenschutzgesetz (BDSG)
    ◾das Telekommunikationsgesetz (TKB)
    ◾das Aktiengesetz (AG)
    ◾das Gesetz betreffend die Gesellschaften mit beschränkter Haftung (GmbHG)
    ◾Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KontraG)
    ◾die Abgabenordnung (AO)
    ◾vielfältige allgemeine kaufmännische Sorgfaltspflicht etc.
    ◾Basel II

    @Dr. Datenschutz: Ihr macht einen super Job weiter so!

    MfG

    Tobi

  7. Eine Frage, die mich (als zukünftiger Freiberufler) umtreibt:

    Ich enthalte eine Anfrage zu einer E-Mail-Beratung über eine E-Mail-Adresse, die an eine Archivierungssoftware gekoppelt ist. Auch die Kommunikation des Angebots und der Rechnung usw. erfolgt über diese Adresse und wird archiviert.

    Kann ich nun für die reine Beratung selbst eine gesonderte E-Mail-Adresse nutzen, die nicht in eine Archivierungssoftware eingebunden ist? Das heißt: Diese E-Mails enthalten sehr sensible personenbezogene Daten, laufen nur über den E-Mail-Server und werden nach Beratungsende wieder gelöscht.
    Oder müssen diese Mails ebenso archiviert werden?

    • Auch die E-Mail-Kommunikation in der laufenden Beratung kann aufbewahrungspflichtig sein.
      Dies sollte geprüft werden. Aufbewahrungspflichten ergeben sich – wie auch in dem vorstehenden Kommentar erwähnt – aus zahlreichen Spezialgesetzen. Die Aufbewahrung der E-Mail-Wechsel zur Beratung kann auch zur Abwehr von etwaigen Rechtsansprüchen erforderlich sein

  8. Eine Komunikation zwischen Unternehmen und Kunde beginnt anhand von Mails. Ein Geschäfts kommt zustande. Diese Kommunikation per Mail muss nun abgespeichert und 6 Jahre aufbewart werden? Hab ich das so richtig verstanden?

    Wie ist es nun, wenn selbiger Kunde nun per Mail anschließend einige Fragen noch zum Produkt hat? Müssen diese Frage-Antwort Mails auch 6 Jahre aufbewart werden?

    • Eine pauschale Antwort ist hier nicht möglich. Auch handelt es sich um eine vom Datenschutz unabhängige Fragestellung. Mithin kommt es bspw. darauf an, ob es sich bei den Schriftstücken um Handelsbriefe handelt. Dies ist grds. unabhängig von der Versandart zu beurteilen, so dass auch E-Mails als Handelsbriefe zu qualifizieren wären. Diese betreffen dann ein Handelsgeschäft und wären somit gem. § 257 HGB aufbewahrungspflichtig, wenn sie dessen Vorbereitung, Abschluss, Durchführung oder Rückgängigmachung dienen. Fragen zum Produkt könnten hier also darunterfallen. Daneben können Aufbewahrungspflichten aber auch aus anderen Gründen erwachsen (z.B. § 147 AO). Weitere Beispiele finden Sie weiter oben in den Kommentaren.

  9. Unser Arbeitgeber möchte gemäß HGB – JEGLICHE – eingehenden Emails (bis auf Betriebsrat und Geschäftsführung) über 10 Jahre speichern, unabhängig davon ob steuerrelevante Daten gesandt wurden. Kann der Arbeitgeber aus dem HGB dieses Recht ableiten?

    • Wie im Artikel ausgeführt, hat eine E-Mail die Funktion eines Handels- bzw. Geschäftsbriefes oder eines Buchungsbelegs, ist sie entsprechend der GoBD aufbewahrungspflichtig.

      Dass eine geschäftliche Mail die Funktion eines Geschäftsbriefes hat, davon wird man im Regelfall ausgehen müssen. Allerdings wird man aus § 257 Abs. (1) Nr.2 HGB und § 147 Abs. (1) Nr. 2, (3) AO wohl nur eine Frist von sechs Jahren herleiten können, wenn die Mail nicht auch den Charakter eines Buchungsbeleges hat.

      Für eine Prüfung Ihres Einzelfalls empfehlen wir, dass Sie sich an einen Rechtsanwalt wenden.

  10. S. oben, am 6. Feb. 2018: Bei E-Mail-Adressen, die den Namen des Absenders enthalten, handelt es sich um personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO.
    Richtig, aber nach Art. 2 DS-GVO gilt diese für pb Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Ein Dateisystem ist nach Art. 4, Ziffer 6 eine strukturierte Sammlung pb Daten, die nach bestimmten Kriterien zugänglich sind. Das ist zwar dehnbar interpretationsfähig, wird aber in (zumindest einigen) anderen EU-Ländern so ausgelegt, dass die typischen E-Mail-Dateien (.pst-Dateien bei Office) nicht dazu zählen, weil es außer dem Datum kein Ordnungskriterium gibt und damit die Dateien nicht als strukturiert gelten können. Viele kleine Firmen verwenden zur Archivierung nichts weiter, als die .psd-Dateien, die sie in gewissen Abständen (wie z.B. Jährlich) neu anlegen. In die e-Archive kommen dann diese Dateien für 10 Jahre. Darin jetzt Einzel-E-Mails nach 6 Jahren zu löschen oder einzelne auch gleich zu Beginn der Archivierung wäre ein Aufwand, den ein 10-50-Personen-Unternehmen nicht leisten kann, weil ein Mitarbeiter jährlich mehrere Wochen damit beschäftigt wäre.

    Ein kleiner von mir betreuter Kunde löscht nun bei Bewerbungsmails, wenn es nicht zur Einstellung kam, nach Ablauf der Einspruchsfrist gem. AGG die Dateianlagen und belässt die reinen E-Mailtexte in den zu archivierenden .psd-Dateien. Er sieht das gleichwertig dem Vorgehen an, dass er per Post erhaltene Unterlagen zurücksendet, ggf. vorhandene Kopien vernichtet, aber das Anschreiben und die Kopie des Begleitschreibens mit „… senden wir Ihnen hiermit zurück“ archiviert. Sachlich ist das selbstverständlich gleichwertig. Datenschutzrechtlich in anderen EU-ändern auch, aber bei uns nach Stand der bisherigen Literatur zur Interpretation der DS-GVO nicht, weil man hier eine einfache E-Mailsammlung gleichwertig einem komplexen Datenbankverfahren zur Verknüpfung und Auswertung von pb Daten ansieht. Wenn wirklich EU-weit einheitlicher Datenschutz gewünscht wird, ist es dringend erforderlich, auch bei uns mal auf dem Boden des praktischen Betriebsgeschehens zu bleiben und vor Allem auch zu beobachten, wie die Regeln im Ausland ausgelegt werden.

    • Die Interpretationsmöglichkeit des Begriffs „strukturierte Sammlung“, wie Sie ihn darstellen, sehen wir nicht (mehr) gegeben. In dem Urteil vom 10. Juli 2018 hat sich der EuGH zu selbigem Begriff in der vorher gültigen Richtlinie 95/46/EG geäußert (vgl. Rn. 54 ff.). Demnach sind von den Zeugen Jehovas geführte Papiernotizen zur Gedächtnisstütze, welche nur rudimentär nach Hausadressen geordnet wurden, bereits eine strukturierte Sammlung. Vor diesem Hintergrund dürfte auch eine Ordnung nach dem ebenso simplen Kriterium Datum eine strukturierte Sammlung darstellen, da auch dadurch personenbezogenen Daten leichter auffindbar werden.

      Mit der Kritik Ihres Kommentars, dass unter dem “one size fits all”-Ansatz der DSGVO in der Praxis vor allem KMUs leiden, die genauso behandelt werden wie große datengetriebene Unternehmen, stehen Sie aber auch unter Datenschutz-Juristen nicht alleine dar.

  11. Wie sieht es in dem Zusammenhang mit Messenger- oder Chat-Nachrichten aus? Als freiberuflicher Dozent bekomme ich auch gelegentlich per SMS oder Kurznachrichtendienst die Anfrage, ob ich z.B. vertretungsweise eine Veranstaltung übernehmen kann oder die Info, dass einer meiner Kurse ausfällt.
    Zwar kann ich mir damit behelfen, dass ich die entsprechenden Nachrichten aus der App als Text kopiere (möglichst mit Metadaten, was z.B. bei Signal möglich ist) und anschließend die Textdatei in mein Archiv einpflege. Aber fallen solche Nachrichten, die ich ja genausogut telefonisch bekommen könnte (muss ich dann zwingend einen Gesprächsvermerk schreiben?) unter die Kategorie der „Handelsbriefe“?

    • Die Frage, wann ein Handelsbrief vorliegt, betrifft nicht das Thema Datenschutzrecht. Aus der juristischen Perspektive (insbesondere Gewährleistungsrecht nach dem BGB) sollten jedoch alle Dokumente, die den Abschluss und Inhalt eines Rechtsgeschäfts nachweisen, aufbewahrt werden.

  12. Ich betreue 4 Mailserver die auch entsprechend genutzt werden. Die Vorgaben zur Mailarchivirung sind einfach nur ein Märchenschloss. Zum einen darf man nicht löschen, zum anderen muss man private Daten auf verlangen löschen. Die Lösung über eigene Mailadresse die NICHT archiviert werden ist untauglich. Niemand kann einem Kunden vorschreiben wohin er zu schreiben hat. Warum Mail unveränderlich und was sonst noch alles, gespeichert werden muss ist mir unverständlich. Einen Papierbrief, oder Papierrechnung könnte ich problemlos vernichten. Damit verstoße ich zwar dann auch gegen Aufbewahrungsplichten aber verantwortlich bin ich selbst. Am Ende landen unzählige überflüssige Mails im Archiv weil die Maschine einfach nicht unterscheiden kann was ein Geschäftsbrief, eine Rechnung oder einfach nur eine Anleitung im Anhang ist. Leider bekommt man die Entscheider, welche ein solches Monster als Gesetz verabschiedet haben nie zu Gesicht. Ich würde gerne nach Lösungen fragen. Die müssten ja vorhanden sein, denn man hat doch sicher keine Vorschriften generiert die nicht umsetzbar sind. Man hat doch sicher sachverständige befragt. Oder doch nicht? Angeboten wird vieles, aber zwei drei gezielte Nachfragen zeigen die Schwächen auf.
    Ich behaupte, aktuell sind diese Vorgaben nicht umsetzbar. Als Kaufmann und langjähriger Postmaster kann ich nur den Kopf schütteln. Mit mir übrigens unzählige Postmaster und verantwortliche in Firmen bisher ist der Kaufmann für die ordnungsmäße Ablage verantwortlich, jetzt will man das ganze auf Maschinen übertragen.

  13. Gelten die Regelungen der GoBD für Unternehmen jeder Größe oder gibt es Ausnahmen insbesondere für Klein- und Kleinstbetriebe?

    Welche steuerrechtlichen Folgen hat es, wenn die Vorschriften der GoBD nicht bzw. nicht vollständig beachtet werden?

    • Welche Folgen eine nicht ordnungsgemäß geführte Buchführung hat, richtet sich nach dem Steuerrecht und nicht nach dem Datenschutzrecht
      Die GoBD dürfte für alle Unternehmen gelten, wobei die Besonderheiten je nach Rechtsform zu beachten sind.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.