Foto:
"Die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU)", heißt es bei Wikipedia, "schreiben Unternehmen vor, dass alle steuerrelevanten Daten in maschinell auswertbarer Form vorzeigbar aufbewahrt werden müssen". Das trifft auf Dokumente, auf E-Mails mit Dateianhängen und auch auf per De-Mail versandte Dateien zu.
Neben der Aufbewahrungspflicht geht es bei der rechtssicheren Archivierung vor allem um die Integrität elektronischer Dokumente: Sie müssen so manipulationssicher gespeichert werden, dass sie nachträglich nicht mehr verändert werden können. Das geht einerseits über die Ablage auf löschgeschützte Speicher, so genannter WORMs (write once, read many, soviel wie "einmal beschreiben, oft lesen").
Das kann aber auch über Signaturverfahren geschehen, wie sie zum Beispiel das Fraunhofer-Institut für Sichere Informationstechnologie (SIT) entwickelt hat. Die Fraunhofer-Anwendung ArchiSoft sorgt mit digitalen Signaturen und Algorithmen dafür, dass Inhalt und Aussehen des ursprünglichen Dokuments nachträglich nicht unbemerkt verändert werden können.
Zur Aufbewahrungspflicht steuerlich relevanter E-Mails - da im Zweifelsfall das Finanzamt entscheidet, was dazu gehört, können das prinzipiell alle E-Mails sein - gehört schließlich auch die Dokumentation. "Der Empfänger/Versender muss den Eingang der steuerlich relevanten Daten und ihre weitere Verarbeitung und Archivierung protokollieren", heißt es in den GDPdU-Vorschriften.
Rechtssicherheit kollidiert mit dem Briefgeheimnis
Bei der rechtssicheren Archivierung von E-Mails bewegen sich Unternehmen auf Messers Schneide: Sie kollidiert im Zweifelsfall mit dem im Grundgesetz-Artikel 10 garantierten Briefgeheimnis. Speichert ein Unternehmen, wie in den GDPdU gefordert, automatisch alle Mails, dann verstößt es möglicherweise gegen das Briefgeheimnis.
Die Branchenorganisation VOI (Verband Organisations- und Informationssysteme) aus Bonn spricht denn auch von einem "nur schwer zu lösenden rechtlichen Dilemma". Der Verband hat deshalb einen Leitfaden mit "FAQ zu typischen rechtlichen und kaufmännischen Fragen und Stolpersteinen bei der Mail-Archivierung" verfasst.
Einen Ausweg aus dem rechtlichen Dilemma kennt auch der VOI nicht. Er rät daher bei Zweifelsfällen zu einer Einzelfallprüfung, ob eine E-Mail nun gespeichert werden muss oder nicht gespeichert werden darf. "Sinnvolle, allgemeingültige Lösungen gibt es hier nicht", so die Autoren. Die beste Lösung scheint eine radikale zu sein: Wer seinen Mitarbeitern per Betriebsvereinbarung die Nutzung beruflicher E-Mail-Accounts für private Zwecke untersagt, der steht auf einer relativ sicheren Seite.
Ein beachtenswerter Sonderfall sind ausgeschiedene Mitarbeiter, zu denen auch vorübergehend nicht anwesende zählen, zum Beispiel Kollegen in Elternzeit oder Krankenstand. Auch bei solchen Mitarbeitern muss das Unternehmen auf archivierte Mails zugreifen können. Der VOI rät Entscheidern für solche Fälle zu entsprechenden Regelungen, damit die in den E-Mails enthaltenen Informationen nicht verloren gehen. So sei es denkbar, dass in einem solchen Fall die Vertretung, die Geschäftsführung oder der Systemadministrator Zugriffsrechte auf die archivierten Mails erhalten.
Neben der unmanipulierbaren Ablage von E-Mails ist natürlich auf das Wiederfinden gespeicherter Mails eine Aufgabe, nämlich dann, wenn wirklich mal gegenüber dem Finanzamt ein Mail-Vorgang dokumentiert werden muss. Die Verschlagwortung archivierter Mails ist dabei ebenso wenig vorgeschrieben, wie die Ablage in einem hierarchischen System. Im Zweifelsfall geht es ausschließlich darum, eine E-Mail wiederzufinden. Wie, bleibt dem Anwender überlassen. Damit der aber im Falle eines Falles nicht allzu lange mit der Suche beschäftigt ist, sollte er über Suchprogramme oder -algorithmen verfügen, die das Wiederauffinden in einem erträglichen Zeitrahmen ermöglicht.
Spam muss nicht archiviert werden
Auch wenn im Zweifelsfall das Finanzamt jede E-Mail für steuerlich relevant und damit als aufbewahrungspflichtig erklären kann: Spam gehört nach Überzeugung des VOI dann doch nicht dazu. Der Verband schlägt daher vor, die Archivierung von E-Mails erst hinter dem Spam-Filter zu erledigen. Damit aber geschäftsrelevante Botschaften nicht dadurch verpasst werden, rät der VOI zusätzlich, die Spam-Filter regelmäßig zu kontrollieren.
Am Ende eines Lebenszyklus steht auch bei rechtlich relevanten E-Mails das Löschen. Über die Aufbewahrungsfristen solcher Dokumente gibt es verschiedene Gesetze. So müssen etwa empfangene Handelsbriefe, Wiedergaben (Kopien, Durchschriften) abgesandter Handelsbriefe, Geschäftspapiere und sonstige Unterlagen mit kaufmännischer und steuerlicher Bedeutung sechs Jahre aufgehoben werden. Jahresabschlüsse, Inventare, Handelsbücher, Rechnungen, Urkunden, Hypotheken sowie "Alles, was gebucht wird", muss laut Wikipedia für zehn Jahre gelagert werden. Im Gesundheitswesen gibt es für spezielle Dokumente gar eine Frist von bis zu 30 Jahren.
Aber irgendwann kann auch das letzte Dokument den Weg allen Irdischen gehen. Aber auch hier rät der Branchenverband den Unternehmen zu klaren Regeln: Endanwender sollten auf keinen Fall löschen dürfen, so der VOI. Das sollte vielmehr entsprechend autorisierten Administratoren vorbehalten sein, zumal Anwender in der Regel keinen direkten Zugriff auf Backups haben.