Datenarchivierung - ganz nach Vorschrift

15.02.2007
Von Manfred Anduleit
Wer die juristische Sachlage kennt, vermeidet Probleme bei der Bewältigung der E-Mail-Flut.

Die Mehrheit der Unternehmen setzt die rechtlichen Bestimmungen zur Aufbewahrung elektronischer Daten nur halbherzig um. Rund zwei Drittel der Firmen hat noch nicht einmal innerbetrieblich festgelegt, wie elektronische Daten aufzubewahren sind. Die Gründe dafür sind hauptsächlich in den Kosten und dem komplexen Zusammenspiel von juristischen, technischen und betriebswirtschaftlichen Vorgaben zu suchen. Doch es gibt keine Schonfrist: Wer nicht oder unsachgemäß archiviert, geht gravierende Haftungsrisiken für Geschäftsleitung und IT-Administration ein. Grund genug also, die Archivierung nicht nur unter technischen, sondern auch strategischen Gesichtspunkten zu betrachten.

Was es zu klären gilt

Bei der Erstellung eines Archivierungskonzepts spielen folgende Fragen eine Rolle:

  • Welche Geschäftsunterlagen müssen aus betriebswirtschaftlichen und gesetzlichen Gesichtspunkten sowie aufgrund vertraglicher Vereinbarungen aufbewahrt werden (Form, Gründe, Dauer)?

  • Welche Anforderungen bestehen an die Sicherheit und das Archivierungssystem (technische Lösungsmöglichkeiten, Infrastruktur)?

  • Wie sollen die Prozesse in Sachen Archivierung und Zugriff aussehen? Wie lassen sie sich in die operativen Geschäftsprozesse integrieren?

  • Wer sind die Stakeholder mit Interessen an Archivdaten? An wen wird die Verantwortung jeweils delegiert?

  • Wie werden die Archive bereinigt beziehungsweise die Dokumente nach Ablauf der Aufbewahrungsfrist vernichtet?

  • Welche internen Arbeitsanweisungen sind erforderlich?

  • Welche Kontrollen sind notwendig, um einen sicheren und vertraulichen Archivierungsprozess zu gewährleisten?

Was das Handelsgesetzbuch sagt ...

Welcher Weg ist der richtige, wenn es um die E-Mail-Archivierung geht?
Welcher Weg ist der richtige, wenn es um die E-Mail-Archivierung geht?

Der Paragraf 238 des HGB verpflichtet Kaufleute zur Buchführung und Aufbewahrung von Handelsbriefen, die mit dem jeweils gesendeten Original übereinstimmen. Als Handelsbrief gilt, was einen - wenn auch nur entfernten oder lockeren - Zusammenhang mit betrieblichen Interessen hat. So sind sämtliche Schriftstücke als Handelsbriefe anzusehen, die ein Geschäft vorbereiten, abwickeln oder abschließen helfen. Das sind beispielsweise Angebote, Auftragsbestätigungen und Lieferscheine, ausgenommen sind Werbeschreiben und Prospekte. Geschäftsrelevant sind aber auch Reklamationsschreiben beziehungsweise -Mails.

Bestimmte Unterlagen wie Handelsbücher, Abschlüsse, Buchungsbelege oder Handelsbriefe sind nach Paragraf 257 HGB "geordnet" aufzubewahren. Das Gesetz schreibt dabei weder ein Ordnungs- oder Buchführungssystem vor, noch legt es Speichertechniken oder Aufzeichnungsverfahren fest.

Für das elektronische Archivierungsverfahren gibt Paragraf 239 HGB immerhin einen Kriterienkatalog vor: Die gespeicherten Dokumente müssen unveränderbar, reproduzierbar und jederzeit verfügbar sein. Entscheidend ist, dass die elektronischen Dokumente während des gesamten Aufbewahrungszeitraums ordnungsgemäß und qualifiziert abgelegt bleiben. Ausnahmen gelten nur für Eröffnungsbilanzen sowie Jahres- und Konzernabschlüsse, die auch als Originale in Papierform aufzubewahren sind.

Für Buchungsbelege, Handelsbücher, Inventare, Jahres- und Konzernabschlüsse ist eine Aufbewahrungsfrist von zehn Jahren vorgesehen. Für alle übrigen Dokumente gelten sechs Jahre. Die Frist beginnt mit dem Schluss des Kalenderjahres, in dem die Unterlagen erstellt beziehungsweise der Handelsbrief verschickt oder empfangen wurde. Nach dem Ablauf können die Unterlagen vernichtet werden.

... und was steuerrechtlich zu beachten ist

Steuerrechtlich müssen alle Kaufleute die Anforderungen an die Aufbewahrung und die Prüfung von Geschäftsunterlagen in den Paragrafen 145 bis 147 der Abgabenordnung (AO) einhalten. Dabei gelten dieselben Fristen und Regeln wie gemäß HGB.

Drei typische Compliance-Fehler

1. Hausputz im E-Mail-Postfach:

Wird eine E-Mail-Nachricht vom Benutzer gelesen und gleich gelöscht, sind die meisten Archivsysteme schon ausgetrickst: Aus Unkenntnis der Rechtslage löschen Mitarbeiter oft ihre E-Mail-Konten nach eigenem Ermessen. Wahlweise provozieren sie - ungewollt - rechtliche Probleme für ihr Unternehmen, indem sie die Informationen in veränderter Form oder nach eigenen Ordnungsprinzipien archivieren.

Auf der technischen Ebene sollte eine Kopie aller Nachrichten in einer eigens dafür angelegten Mailbox abgelegt werden. Organisatorisch betrachtet, verhindern verbindliche Firmenrichtlinien, dass die Anwender persönliche Archivierungsregeln aufstellen. Die Geschäftskorrespondenz zentral auf ihre Archivierungsrelevanz hin zu filtern ist aufwändig. Die Mitarbeiter selbst sind mit der Einstufung der E-Mails eventuell überfordert. Stattdessen lassen sich die Prozesse vereinfachen und sichern, indem die gesamte Geschäftskorrespondenz archiviert wird. Kommt es später zu einer Überprüfung oder einem Gerichtsprozess, können berechtigte Personen nach den relevanten elektronischen Dokumenten für den Einzelfall suchen und sie reproduzieren.

2. Wenn sich Berufliches mit Privatem mischt:

Das vollständige Protokollieren und Indexieren privater E-Mails kollidiert nicht nur mit dem persönlichen Datenschutz. Gestattet oder duldet ein Unternehmen, dass seine Mitarbeiter ihre betrieblichen E-Mail-Konten auch zu privaten Zwecken nutzen, so wird es ihnen gegenüber zu einem Telekommunikationsdienstleister im Sinne des Telekommunikationsgesetzes (TKG). Dies hat zur Folge, dass das Unternehmen den strengen Pflichten des Fernmeldegeheimnisses unterliegt. Nur mit der ausdrücklichen Einwilligung des Mitarbeiters und unter Berücksichtigung seiner Datenschutzinteressen kann es die Inhalte und näheren Umstände seiner E-Mail-Kommunikation archivieren und darauf zugreifen.

Um nicht in jedem Einzelfall die Einwilligung einholen zu müssen, lässt sich das generelle Einverständnis in einer betrieblichen Policy, einer Betriebsvereinbarung zum Umgang mit E-Mails oder auch im individuellen Arbeitsvertrag festlegen. Am einfachsten ist es aus rechtlicher Sicht, die private Nutzung des betrieblichen E-Mail-Kontos zu verbieten. Das erscheint auf den ersten Blick unzeitgemäß, aber der tatsächliche Nachteil für den Mitarbeiter ist gering, denn es existieren unzählige kostenlose E-Mail-Anbieter, die über Internet-Schnittstellen auch vom Arbeitsplatz abrufbar sind, ohne dass damit die betrieblich erforderlichen Archivierungsmaßnahmen beeinträchtigt würden.

3. Für den Datenschutz erforderliche Sicherheitsmaßnahmen fehlen:

Elektronische Archivierungssysteme gewähren zumeist nicht die erforderlichen Sicherungsmaßnahmen, um rechtliche oder vertragliche Vertraulichkeitsregeln einzuhalten. Zum Beispiel dürfen auf Insider-Verzeichnisse nur die Personen Zugriff haben, die im Unternehmen für die Führung des Verzeichnisses verantwortlich oder damit beauftragt sind, also beispielsweise nur Vorstände und Compliance-Spezialisten. Also müssen die Dateien mit Insider-Informationen vertraulich aufbewahrt werden. Dasselbe gilt auch für andere sensible Dokumente wie Personal- oder Buchhaltungsdaten.

Um die Datenschutz- und Vertraulichkeitsverpflichtungen erfüllen zu können, sind spezielle IT-Techniken und Datenverschlüsselungslösungen hilfreich. Sie sollten vom Datenschutzbeauftragten eingerichtet, überwacht und durch begleitende organisatorische Maßnahmen etabliert werden.

Einzelheiten sind in den "Grundsätzen zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen" - kurz GDPdU - erläutert, die das Bundesfinanzministerium 2001 als Regelwerk für die Finanzbeamten zur elektronischen Steuerprüfung herausgegeben hat: Wurden Daten mit einem Datenverarbeitungssystem erzeugt, hat die Finanzbehörde das Recht, Einsicht zu nehmen und das System zur Prüfung zu nutzen. Für die Online-Kommunikation - also den E-Mail-Verkehr - bedeutet dies in der Praxis: Unternehmer sind nicht nur dazu verpflichtet, E-Mails gesetzeskonform zu archivieren. Sie müssen vielmehr auch gewährleisten, dass den Betriebsprüfern alle betriebswirtschaftlich und steuerrechtlich relevanten E-Mails samt Anhängen jederzeit verfügbar gemacht werden und dass diese die Informationen maschinell auswerten können.

GoBS: aktueller denn je

Vom 7. November 1995 datieren die Grundsätze ordnungsgemäßer DV-gestützter Buchführungssysteme (GoBS) des Bundesfinanzministeriums. Sie beziehen sich auf alle aufbewahrungspflichtigen elektronischen Daten und konkretisieren die Anforderungen an deren Revisionssicherheit: Wie wird mit gescannten Dokumenten umgegangen? Wie müssen originär elektronische Daten verarbeitet werden? Wie ist ein internes Kontrollsystem zu implementieren?

Auch wenn diese Vorschriften bereits seit mehr als zehn Jahren existieren, sind sie für Wirtschaftsprüfer, Finanzverwaltung und IT-Anwender relevanter denn je. Insbesondere Steuerprüfer geben sich nicht wie bisher mit Papier zufrieden, sondern prüfen elektronisch und legen bei so manchem Steuerpflichtigen Lücken in der GoBS-Erfüllung offen.

Nach Paragraf 14 Absatz 3 Umsatzsteuergesetz (UStG) darf bei elektronischen Rechnungen die Vorsteuer nur dann abgezogen werden, wenn Echtheit und inhaltliche Unversehrtheit der Rechnung gewährleistet sind. Technisch gesehen, brauchen diese Rechnungen eine qualifizierte Signatur mit Anbieterakkreditierung nach Paragraf 15 Absatz 1 Signaturgesetz (SigG). Diese Vorgaben gelten übrigens auch für elektronische Tickets - sei es für Bahnfahrten, Flüge oder Konzerte.

Elektronische Rechnungen sind gemäß GDPdU beim Absender und Empfänger "revisionssicher" zu archivieren. Deshalb müssen gleichzeitig die Dokumentation der Signaturprüfung, der Signaturprüfschlüssel, das Zertifikat und eventuell weitere Kryptografie-Schlüssel aufbewahrt werden.

Das Kreuz mit den Insider-Verzeichnissen

Gemäß Paragraf 15b des Wertpapierhandelsgesetzes (WpHG) sind börsennotierte Unternehmen und ihre Dienstleistungsunternehmen, also beispielsweise auch ein Übersetzungsbüro, verpflichtet, Verzeichnisse über diejenigen Mitarbeiter zu führen, die bestimmungsgemäß Zugang zu Insider-Informationen haben. Ob dieses Verzeichnis in Papierform oder elektronisch geführt wird, ist im Prinzip egal. Die Finanzdienstleistungsaufsicht (Bafin) befürwortet jedoch die elektronische Speicherung und Übermittlung. Auf jeden Fall müssen die Daten lückenlos und jederzeit verfügbar sein. Sie sind sechs Jahre bereitzuhalten; mit jeder Aktualisierung beginnt diese Frist aufs Neue.

Tipps zur technischen Umsetzung

  1. Die elektronische Archivierung erfolgt zweckmäßigerweise in einem auf Industriestandards basierenden Archiv und einem ISO-genormten Datenformat (TIF, PDF).

  2. Die zu archivierenden Dokumente sind unveränderbar und im Kontext der übrigen Dokumente zu bestimmten Geschäftsfällen aufzubewahren.

  3. Unbefugte dürfen keinen Zugang haben - vor allem nicht zu vertraulichen Daten. Deshalb muss das Archivierungssystem muss effektive Schutz- und Sicherheitsmechanismen aufweisen.

  4. Unzulässige Änderungen der elektronischen Dokumente, auch durch Berechtigte, sind unbedingt zu verhindern. Das ist durch Systemeigenschaften und die Art der Speicherung zu erreichen.

  5. Die Daten müssen problemlos, zeitnah, in korrekter Reihenfolge und über den gesamten geforderten Aufbewahrungszeitraum hinweg abrufbar sein.

  6. Die Archivierung sollte sich einfach benutzen und betreiben lassen.

  7. Die elektronischen Daten und E-Mails sind zentral zu speichern - auch die von mobilen Geräten wie Notebooks mit UMTS-Karten, PDAs und Blackberrys.

Daneben gibt es spezialrechtliche Vorgaben zur elektronischen Archivierung. Sie betreffen zumeist börsennotierte Unternehmen und finden sich insbesondere im Geldwäschegesetz (Paragraf 9), in der Allgemeinen Verwaltungsvorschrift für das Rechnungswesen in der Sozialversicherung (Paragraf 22 SRVwV) sowie in Sonderregelungen für Banken, Krankenhäuser und Ärzte. In diesem letzten Fall ist sogar eine 30-jährige Aufbewahrung vorgeschrieben. In der Pharmabranche gelten spezielle Regelungen für Dokumente aus den Bereichen Forschung, Produktion und Antragsdokumentation, die sich weitgehend an den Vorgaben der Federal Drug Administration (FDA) orientieren. Für Unternehmen, die an US-Börsen notiert sind, greifen auch hierzulande mit dem Sarbanes-Oxley Act (SOX) und den Regelungen der Securities and Exchange Commission (SEC) weitreichende Archivierungspflichten für E-Mails und elektronische Kommunikation.

Auch das KonTraG stellt Forderungen

Nach dem Gesetz zur Kontrolle und Transparenz in Unternehmen (KonTraG) gehört zum Risiko-Management einer Aktiengesellschaft auch die rechtskonforme Archivierung elektronischer Daten. Insbesondere muss das Unternehmen dafür sorgen, dass ausreichende Speicherkapazität vorhanden ist und Schutzvorkehrungen gegen Datenverlust bestehen. Vorstand und Aufsichtsrat sind demnach verpflichtet, geeignete IT-Sicherheitsmaßnahmen für ihre geschäftskritischen Systeme und Daten zu konzipieren, umzusetzen sowie regelmäßig zu kontrollieren und zu aktualisieren.

Mögliche Konsequenzen der Schlamperei

Vor der Vernichtung von Originalunterlagen sollte man sich immer fragen, ob nicht vielleicht eine Aufbewahrung aus Beweisgründen notwendig ist. Aber auch der Verlust elektronischer Daten kann gravierende wirtschaftliche Auswirkungen für das Unternehmen haben, selbst wenn er nur zeitweilig ist. Sie reichen von Schadensersatzansprüchen durch Vertragspartner über Vertragsstrafen bis hin zum Imageschaden, der unter Umständen sogar noch höher zu bewerten ist.

Die Verletzung der ordnungsgemäßen Buchführung kann dazu führen, dass die Finanzbehörden eine Steuerschätzung auf Basis der bekannten Besteuerungsgrundlagen (Paragraf 162 Absatz 2 AO) vornehmen, die mit Sicherheit eher zu hoch als zu niedrig ausfällt. Zudem kann die Finanzverwaltung die Aufbewahrungspflicht durch Zwangsgeld erwirken (Paragraf 328 Absatz 1 AO), ja sogar den Vorwurf der Steuerhinterziehung (Paragraf 370 AO) oder der leichtfertigen Steuerverkürzung (Paragraf 378 AO) erheben. Im Falle einer Verurteilung drohen Geld- und Freiheitsstrafen bis zu fünf Jahren.

Verstöße gegen die GDPdU werden möglicherweise mit einem Bußgeld von 5000 Euro wegen Steuergefährdung (Paragraf 379 AO) oder 50 000 Euro im Falle der Steuerordnungswidrigkeit (Paragraf 377 AO) geahndet. Nach Paragraf 328 AO kann auch ein Zwangsgeld von bis zu 25000 Euro anfallen.

Kommt der Vorstand einer Aktiengesellschaft seinen Risiko-Management-Pflichten nicht nach, droht die persönliche Haftung auf Schadensersatz als Folge der durch das KonTraG eingeführten Vorschrift des Paragraf 93 Absatz 2 AktG. Diese Regelung wird noch dadurch verschärft, dass die Vorstandsmitglieder im Zweifelsfall beweisen müssen, dass sie alle Maßnahmen ergriffen haben, um entsprechende Schäden zu vermeiden. Dazu gehören organisatorische Vorgaben wie innerbetriebliche Archivierungsrichtlinien, Verfahrensdokumentationen, Vergabe von Administrator- und Zugriffsrechten sowie Systemeinstellungen, aber auch technische Anwendungen wie der Einsatz von Archivierungssoftware und Verschlüsselungstechniken.

Auch an leitende Mitarbeiter, beispielsweise den IT-Security-Manager oder die IT-Administratoren, können die Unternehmen Regressansprüche stellen, denn mangelnde Sorgfalt bei der Archivierung stellt eine Verletzung des Arbeitsvertrags dar. Der Mitarbeiter wird nur ausnahmsweise - nach den Grundsätzen der "schadensgeneigten Arbeit" - von der Haftung freigestellt oder erfährt eine Minderung seiner Schadensersatzpflicht. Das gilt selbstverständlich nicht bei Vorsatz oder grober Fahrlässigkeit.

Der erste Schritt zur Compliance

Geschäftsleitung und IT sind also gehalten, zusammen mit Sachkundigen aus dem Bereich Recht und Steuern eine fundierte Archivierungsstrategie zu entwickeln. Dabei gilt es, die auf das Unternehmen abgestimmten organisatorischen und technischen Anforderungen für die Archivierung zu ermitteln und die Rahmenbedingungen für das Konzept festzulegen. (qua)

Glossar: Wo was geregelt ist

  • HGB = Handelsgesetzbuch

  • Paragraf 238 HGB behandelt die Pflicht zur Buchführung und betrifft jeden Kaufmann.

  • Paragraf 239 HGB regelt Einzelheiten zur ordnungsgemäßen Führung der Handelsbücher.

  • Paragraf 257 HGB formuliert Aufbewahrungsanforderungen und Aufbewahrungsfristen bis zu zehn Jahren.

  • Abgabenordnung = AO (Steuerrecht)

  • Paragraf 140 AO behandelt das Buchführungsrecht.

  • Paragrafen145 und 146 AO enthalten Regelungen für Buchführung und Aufzeichnungen.

  • Paragraf 147 AO betrifft die Aufbewahrung von Unterlagen und fordert Aufbewahrungsfristen von bis zu zehn Jahren.

  • UStG = Umsatzsteuergesetz

  • Paragraf 14 IV UStG regelt die Prüfbarkeit digitaler Unterlagen, zum Beispiel von Rechnungen.

  • GDPdU = Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen. Sie wurden vom Bundesfinanzministerium als Regelwerk zur elektronischen Steuerprüfung herausgegeben.

  • GoBS = Grundsätze ordnungsgemäßer DV-gestützter Buchführungssysteme. Sie konkretisieren die Anforderungen an die Revisionssicherheit aller aufbewahrungspflichtigen elektronischen Daten.

  • UStG = Umsatzsteuergesetz

  • Paragraf 14 Absatz 3 UStG stellt Bedingungen für den Vorsteuerabzug auf.

  • SigG = Signaturgesetz

  • Paragraf 15 Absatz 1 SigS spezifiziert die dafür nötige Signatur.

  • WpHG = Wertpapierhandelsgesetz

  • Paragraf 15b WpHG fordert von börsennotierten Unternehmen Insider-Verzeichnisse.

  • SOX = Sarbanes-Oxley Act. Er erlegt Unternehmen, die an US-Börsen gelistet sind, weitreichende Archivierungspflichten auf.

  • KonTraG = Gesetz zur Kontrolle und Transparenz in Unternehmen. Ihm zufolge ist die Datenarchivierung Teil des Risiko-Managements.