Revisionssichere E-Mailarchivierung

E-Mailarchivierung – Geben Sie dem Finanzamt keine Angriffsflächen!

Seit längerer Zeit gibt es zwingende rechtliche Gründe für eine E-Mailarchivierung. Spätestens seit der DSGVO sollten Sie dem Finanzamt und den Aufsichtsbehörden keine unnötigen Angriffsflächen geben, die die Existenz Ihres Unternehmens gefährden können!
Aus welchen rechtlichen Gründen müssen E-Mails archiviert werden?

Seit dem 25.5.2018 befassen sich Unternehmer verstärkt mit dem Datenschutz in ihrem Unternehmen. Die angedrohten Strafen von bis zu 20 Millionen Euro haben selbst bisherige Verweigerer wachgerüttelt. Während der Umsetzung der DSGVO ist in vielen Unternehmen dann bei der Erstellung der “Technischen und Organisatorischen Maßnahmen” (kurz: TOMs) aufgefallen, dass hier nun eine sehr hohe Transparenz der eigenen Datenverwaltung entsteht. Jeder Betriebsprüfer vom Finanzamt wird sich diese mit Sicherheit als erstes anschauen. Schließlich verlangen die “Grundsätze der ordnungsgemäßen Buchführung” (kurz: GoB) im §243 HGB und in der Abgabenordnung (kurz: AO) klare Abläufe für die ordnungsgemäße Buchführung.

Unter anderem findet sich in den Gesetzestexten, dass keine Buchung ohne Beleg ausgeführt werden darf und die Buchführungsunterlagen müssen ordentlich aufbewahrt werden. Auch müssen Geschäftsvorfälle fortlaufend, vollständig, richtig, zeitgerecht und sachlich geordnet werden. Genau hier kommt die E-Mailarchiverung ins Spiel.

Warum braucht mein Unternehmen eine revisionssichere E-Mailarchivierung? - Foto: (C) Antonynjoro / Pixabay
Warum braucht mein Unternehmen eine revisionssichere E-Mailarchivierung? – Foto: (C) Antonynjoro / Pixabay

Revisionssichere E-Mailarchivierung – ist nicht ein einfaches Mail-Backup

In meiner langjährigen Tätigkeit als Internetexperte und Datenschutzbeauftragter stolpere ich immer wieder über solides Halbwissen. Unter anderem werden immer wieder die Begriffe Mailbackup und revisionssichere E-Mailarchivierung vermischt, oder total verwechselt. Dabei ist es eigentlich sehr einfach. Ein Backup ist eine Datensicherung – eine E-Mailarchivierung ist eine gesetzes getreue Maßnahme, um die Mailkommunikation und die Geschäftsvorfälle – auch die Geschäftsanbahnungen und das Angebotswesen – lückenlos beweissicher für die Dauer der vorgeschriebenen Aufbewahrungspflichten (i.d.R. Handelsbriefe sechs oder Rechnungen/Gutschriften/Lieferscheine usw. 10 Jahre lt. Gesetz) zu erfüllen.

“Ich drucke doch alle Belege aus, die ich per Mail erhalten habe”

Diesen Satz höre ich meistens als Erstes. Als zweites kommt dann der Satz “Wir archivieren alle Mailkonten monatlich in einem PST-Archiv!” (Anmerkung: PST-Archive sind Datensicherungen aus dem Microsoft Mailprogramm “Outlook”). Beide Aussagen sind zwar löblich – aber helfen definitiv nicht, um das eigene Unternehmen aus der Schusslinie von Finanzbeamten und willkürlichen Festsetzungen zu bekommen. Genau das passiert, wenn Ihr Unternehmen keine gesetzliche revisionssichere E-Mailarchivierung mit einer vom Finanzamt zertifizierten Software nutzt!

Ausgedruckte Mails sind laut Gesetz nur Kopien. Ein PST-Archiv ist leider “nur” ein Backup.
Entsprechend sind Sie in Ihrem Unternehmen dazu verpflichtet, die Originalbelege (hier: die Rechnung als e-Mail) aufzubewahren. Drucken Sie nur die Belege aus und löschen anschließend die Original e-Mail, dann machen Sie sich sogar strafbar, weil Sie wichtige Originalbelege vernichten und damit gegen die gesetzlichen Aufbewahrungsfristen verstoßen. Und beim nächsten PST-Archiv Backup fehlt ebenfalls dann diese achtlos gelöschte Mail mit dem Originalbeleg. Genau deswegen ist ein einfaches Mail-Backup auch keine revisionssichere E-Mailarchivierung!

Muss ich nur Mails der Buchhaltung Archivieren?

Nein, definitiv Nein! – Im Handelsrecht ist stets die Rede von Handelsbriefe. Selbst eine belanglose e-Mail mit persönlicher Note, oder auch nur freundliche Hinweise für Kunden sieht der Gesetzgeber als Handelsbriefe an, wenn damit eine Geschäftsbeziehung gepflegt wird. Entsprechend sollte man am besten ALLE (!) Mailkonten sichern und diesen Vorgang in den Technisch-Organisatorischen-Maßnahmen (kurz: TOMs) berücksichtigen. In den TOMs sollte eine Softwarelösung für die revisionssichere E-Mailarchivierung aufgeführt sein.

Was leistet eine revisionssichere E-Mailarchivierung?

Im Kern erstellt die Software einer revisionssichere E-Mailarchivierung ein vollständiges Mailarchiv. Alle Mails werden “mitgeschnitten”. In der Praxis werden zwei Mailkonten geführt. Eines für den Benutzer (auch Mailclient genannt) und eines für die reine E-Mailarchivierung. Während der Benutzer jederzeit seine Mails löschen kann, ist dies bei der revisionssicheren E-Mailarchivierung nicht möglich. Die Software dort, protokolliert den Maileingang und vergleicht sein eigenes Archiv ständig in Echtzeit mit dem Mailkonto vom Benutzer. Löscht der Benutzer eine Mail, dann wird dieses in der Softwarelösung ebenfalls protokolliert. Umgekehrt kann der Administrator der revisionssicheren E-Mailarchivierung jederzeit eine vom Mailclient gelöschten Mail mit nur einem Mausklick in das Benutzerpostfach “zurückspielen”. Auch dieser Vorgang wird dann protokolliert.

Ebenso protokolliert die Software, ob und wann das Mailarchiv extern gegen Datenausfall gesichert wird, damit eine zukünftige und ständige Datenverfügbarkeit laut Gesetz gewährleistet ist.

Die meisten Softwarelösungen haben neben Benutzerzugänge mit reinen “Leserechte” und Adminrechte mit “Lese und Schreibrechte” auch einen Revisionszugang für einen Betriebsprüfer vom Finanzamt. Dieser Zugang und alle Tätigkeiten im Revisionszugang werden dann ebenfalls für die Dauer der gesetzlichen Aufbewahrungspflichten protokolliert. Der Betriebsprüfer vom Finanzamt kann dabei auf alle Mails zugreifen und kann sogar in Echtzeit nachverfolgen, welche Mails im Unternehmen eintreffen, und welche Handlungen von wem und wann am Mailarchiv vorgenommen wurden. Spätestens jetzt merken Sie, lieber Leser, warum ein einfaches Mail-Backup hier nicht ausreichend ist und genau diese gesetzlichen geforderten Aufgaben einfach nicht leisten kann!

Welche Nachteile hat eine ausgelassene E-Mailarchivierung?

Eine ausgelassene E-Mailarchivierung ist eine Ordnungswidrigkeit, oder im schlimmsten Fall kann es sogar als Straftat von einem Richter eingestuft werden. Wenn zum Beispiel wegen einer unterlassenen gesetzeskonformen E-Mailarchivierung zur Vernichtung von wichtigen Beweismitteln in einem laufenden Rechtsverfahren kommt. Entsprechend drohen stets Bußgelder und höhere Geldstrafen, für die der Geschäftsführer einer Kapitalgesellschaft, oder der Inhaber eines inhabergeführten Unternehmens persönlich haften wird. Für angestellte Geschäftsführer kann eine unterlassene E-Mailarchivierung auch als grobfahrlässen Verstoß gegen seinen Anstellungsvertrag gewertet werden. Entsprechend droht ständig ein Rauswurf mit etwaigen Vertragsstrafen von den Firmeninhabern! Und das wegen den sehr geringen monatlichen Beträgen für eine gesetzesgemäße Installation einer revisionssicheren E-Mailarchivierung. Natürlich können bei steuerrechtlichen Strafprozessen sogar Freiheitsstrafen folgen (!!!).

Wie können Unternehmen gesetzesgemäß Archivieren?

Der Gesetzgeber schreibt keine konkrete Softwarelösung für eine revisionssichere E-Mailarchivierung vor. Jedes Unternehmen ist entsprechend vollkommen frei, wie es Archiviert. Natürlich kann jedes Unternehmen seine eigene Software schreiben und daraufhin seine eigenen Arbeitsprozesse berücksichtigen. Die Gefahr ist jedoch, dass man etwaige Fallstricke übersieht und dann trotz des ganzen Aufwands keine rechtssichere E-Mailarchivierung hat.

Es gibt auch die Möglichkeit einfach alle eingehenden Mails auf einmal beschreibbare Speichermedien zu speichern. Hier ergeben sich dann – aufgrund der fehlenden Löschmöglichkeiten – wieder eventuelle Probleme aus dem Datenrecht. Gerade die DSGVO sieht hier Löschrechte vor, die außerhalb von Handelsbriefen dann eingehalten werden müssten, dann aber nicht gewährleistet werden könnten. Und schon könnten hier wieder Ordnungswidrigkeiten entstehen.

Entsprechend ist die bessere Lösung, sich eine vom Gesetzgeber zertifizierte Softwarelösung für die revisionssichere E-Mailarchivierung zu suchen und vom Softwareanbieter die Einhaltung aller Gesetze bestätigen zu lassen. Dann gibt es auch in Zukunft keine Probleme mit der hauseigenen Compliance.

Muss die Einführung einer E-Mailarchivierungslösung dokumentiert werden?

Entsprechend der Vorgaben aus der/dem DSGVO/BDSG ist jeder Unternehmer verpflichtet die Installation einer revisionssicheren E-Mailarchivierung zu dokumentieren. In den Datenschutzgesetzen gibt es Rechenschaftsverpflichtungen, die aufzeigen müssen, dass ich als Unternehmer alles dafür mache, dass die Daten ständig verfügbar sind. In der GoB (Grundsätze der ordnungsgemäßen Buchhaltung) sind Unternehmer verpflichtet, die Einführung einer solchen Software zu dokumentieren, die Tauglichkeit der Software, die Schulung der Mitarbeiter und auch die ordnungsgemäße Bedienung der Software zu gewährleisten.

Welchen Vorteil hat die Nutzung eines externen Dienstleisters?

Ein externer Dienstleister, wie zum Beispiel die Angebote vom Datenschutzexperten Sven Oliver Rüsche, hat den Vorteil, dass dieser die komplette Verantwortung für die revisionssichere E-Mailarchivierung übernimmt und hierfür auch für Vertragsverletzungen und nachgewiesenen Fehlern bei der Archivierung eine entsprechende Betriebshaftpflicht hat und vertragsrechtlich belangt werden kann. Der beauftragende Unternehmer ist dann weitgehend aus der Haftung raus, solange er sich regelmäßig über den Revisionszugang darüber informiert, dass der externe Dienstleister seinen Verpflichtungen nachkommt.

Der externe Dienstleister schließt dann mit dem Kunden einen entsprechenden Vertrag zur Auftragsdatenverarbeitung und kümmert sich dann um sämtliche technischen und organisatorischen Maßnahmen. Der Kunde erhält im Gegenzug eine eidesstattliche Versicherung, dass der externe Dienstleister sämtliche Aufgaben zur revisionssicheren E-Mailarchivierung erfüllt und sich aktiv um den Datenschutz kümmert.

Haben Sie Interesse an einer bewährten Softwarelösung?

Dann nehmen Sie bitte mit mir Kontakt auf!

Gerne unterbreite ich Ihnen ein bezahlbares und bei über 50.000 Unternehmen genutztes System. Auch für kleine Unternehmen ist diese Lösung bezahlbar. In diesem Zusammenhang können Sie gerne auch auf meine Expertise als Unternehmensberater für andere Fragen zurückgreifen.

Rufen Sie einfach an: +49-2261-9989-888
oder schreiben Sie eine Mail an: sven-oliver@ruesche.de

Schaltfläche "Zurück zum Anfang"