Gastbeitrag von Dr. Jens Buecking,
Rechtsanwalt und Fachanwalt für Informationstechnologierecht, e/s/b Rechtsanwälte,
Lehrbeauftragter an der Hochschule für Technik in Stuttgart
E-Mail: jens.buecking@kanzlei.de
Webseite: http://www.kanzlei.de,
Webseite: http://www.esb-rechtsanwaelte.de Leitfaden zur Archivierung von E-Mails
Nach einer Studie der Meta-Group schädigt bereits ein zehntägiger Ausfall von Schlüsselsystemen der IT ein Unternehmen regelmäßig so nachhaltig, dass es mit einer Wahrscheinlichkeit von 50 % innerhalb von 5 Jahren vom Markt verschwindet. Aus dieser und weiterer empirischer Erkenntnisse heraus besteht nach der Maßgabe einer ganzen Reihe gesetzlicher Vorgaben (KonTraG, Basel II, Sarbanes-Oxley, allgemeine kaufmännische Sorgfaltspflicht etc.) die Verpflichtung zu einem effizienten Risikomanagement (einschließlich des dazugehörigen Informationsmanagements als zentraler Bestandteil jedes Risikomanagementsystems). Dieses Risikomanagement ist originäre Kardinalspflicht der Geschäftsführung.
Aufbewahrungsfristen für E-Mails
Im diametralen Gegensatz hierzu steht das Ergebnis einer Inlandsumfrage aus dem April 2005, wonach 1/3 der deutschen Unternehmen nichts von der elektronischen Archivierungspflicht weiß und auch solche Unternehmen, bei denen die dahinter stehenden Mindestvorgaben – neudeutsch: Compliance – bekannt sind, mit deren technisch-organisatorischer Umsetzung im Rückstand sind oder diese schlicht ignorieren.
Wie passt dies zusammen?
Häufig dürfte es so sein, dass Unternehmen den Bereich der Compliance auf Steuerfragen, also auf Revision und Betriebsprüfung vereinfachen. Dabei wird aber übersehen, dass die Information und deren jederzeitige Verfügbarkeit heute die wichtigste betriebliche Ressource im Unternehmen darstellt und ihr dabei - über alle steuerlichen Sanktionsinstrumente hinaus - das Risiko einer wesentlich gefahrenträchtigeren Haftungsquelle innewohnt.
E-Mail ist also ein ganz wesentlicher Bestandteil des betriebsinternen Informationsmanagements. Als so genannte Handelsbriefe unterliegen E-Mails schon von Gesetzes wegen der sechsjährigen Aufbewahrungspflicht des Handelsgesetzbuchs (bzw. in bestimmten Sonderbereichen entsprechenden spezialgesetzlichen Aufbewahrungsnormen). In selteneren Fällen können E-Mails und deren Attachements darüber hinaus steuerrelevant sein. Insbesondere ist hierbei an die Fälle der elektronischen Fakturierung (§ 14 UStG), an die elektronische Belegverwaltung, Spesen- und Reisekostenabrechnung oder – nach Auffassung des Bundesfinanzministeriums – sogar an steuerrelevante Vertragsgestaltungen zu denken.
Folge:
Neben der zehnjährigen Aufbewahrungsfrist nach der Abgabenordnung und den GOBS (Grundsätzen ordnungsmäßiger DV-gestützter Buchführungssysteme) sind überdies die seit 2002 in Kraft stehenden GDPdU (Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen mit dem dortigen Erfordernis der wahlfreien maschinellen Auswertbarkeit) einschlägig und vom Steuerpflichtigen zu beachten. Nach den GOBS sind auch E-Mails als originär digitale Dokumente mit einem unveränderbaren Index zu versehen, unter dem sie bearbeitet und verwaltet werden können. Hinsichtlich der maschinellen Auswertbarkeit ist nicht entscheidend, ob die per E-Mail übermittelten Daten automatisiert Eingang in das DV-System gefunden haben oder im betrieblichen DV-System Importfunktionen zur Übernahme von steuerlich relevanten Daten aus dem Textkörper von E-Mails oder deren Attachments vorhanden sind. Über den Index ist der wahlfreie Zugriff auf die im Originalformat zu archivierende E-Mail in allen Fällen und über den gesamten Aufbewahrungszeitraum sicherzustellen.
Elektronisches oder papiernes Archiv?
E-Mails mit nicht steuerlich relevanten Inhalten müssen zwar weder elektronisch archiviert noch für den Datenzugriff vorgehalten werden. Entscheidet sich das Unternehmen jedoch für die umfassende elektronische Archivierung seiner Geschäftspost, beispielsweise aus Gründen der Praktikabilität, des internen Wissensmanagements und des schnelleren Zugriffs, verzichtet es also auf die klassische Papierarchivierung, so sind wiederum die strengen Anforderungen des § 257 HGB und der GoBS zu beachten. Daher gilt: Wer elektronisch archiviert, der muss dies auch richtig tun. Ein Konglomerat aus Papierarchiv und elektronischem Archiv genügt diesen Anforderungen nicht.
Im Zwischenbefund ist mithin festzuhalten, dass auch außerhalb aller steuerrechtlichen Aspekte geschäftsrelevante E-Mails regelmäßig für die Aufbewahrungsdauer von sechs Jahren, beginnend mit dem Ende des Jahres, in das der via E-Mail dokumentierte Geschäftsvorfall fällt, in vollständiger Form, sachlich richtig, nachvollziehbar, unveränderbar sowie sicher und vertraulich aufzubewahren sein werden, wobei dazuhin ihre jederzeitige Verfügbarkeit gewährleistet sein muss.
Damit jedoch nicht genug. Neben den genannten Vorschriften sind für die ordnungsgemäße Aufbewahrung und den Zugriff auf verwahrte E-Mails überdies die Vorschriften des Bundesdatenschutzgesetzes zu berücksichtigen und, sofern einschlägig, in E-Mails enthaltene Geschäftsgeheimnisse gegen unbefugte Kenntnisnahme und Weitergabe zu sichern.
Sicheres Archivieren versus Datenschutz
Unternehmen, die im Interesse der Rechtssicherheit sämtlichen ein- und ausgehenden Mailverkehr protokollieren, filtern und automatisch archivieren, greifen jedoch ohne entsprechende individualvertragliche oder kollektive Regelung oft unzulässig in die Rechte ihrer Mitarbeiter, insbesondere in das Datenschutzrecht und das Fernmeldegeheimnis ein. Auch jede Form der automatisierten Kontrolle des Mitarbeiterverhaltens wird hier regelmäßig unzulässig sein. Wichtig ist ferner, dass private Mail dem Mitarbeiter gehört und von ihm herausverlangt werden kann, dies prinzipiell auch nach seinem Ausscheiden. Auch ist es problematisch, Privatmail durch Spamfilter zu unterdrücken oder gar zu löschen. Zur Überwindung dieser Interessenkonflikte sind rechtlich-organisatorische Maßnahmen letztlich unabdingbar. Gemeint sind individualvertragliche Vereinbarungen mit dem Arbeitnehmer, Betriebsvereinbarungen, Security- und User-Policies sowie fortwährende Schulungs- und Qualifizierungsmaßnahmen der Belegschaft.
Der Vertragscharakter von E-Mails und die Folgen
Für den täglichen Umgang mit E-Mails, die inzwischen zum Kommunikationsmedium Nummer 1 in der Geschäftswelt avanciert sind, gilt es seitens des Managements, geeignete organisatorische Regeln aufzustellen. Denn E-Mails werden oft rechtsrelevante elektronische Erklärungen enthalten. Ähnlich dem Klick auf den Bestellbutton beim Webshop sind sie im Geschäftsleben zumeist dazu bestimmt, einem anderen zuzugehen und diesen neutral zu informieren oder zu einem bestimmten Verhalten zu veranlassen. Das bedeutet natürlich, dass auch Verträge durch eine in einer E-Mail enthaltene Erklärung abgeschlossen, verändert, aufgehoben oder entsprechende Gegen- und Folgeansprüche (z.B. Inverzugsetzung, Gewährleistung) grundsätzlich via E-Mail geltend gemacht werden können. Denn Verträge sind im Regelfall auch per E-Mail-Austausch oder per Mausklick (mittels automatisch generierter elektronischer Erklärung) wirksam. Eine Ausnahme gilt allerdings bei streng formbedürftigen Verträgen; eine E-Mail wahrt hier regelmäßig nicht die Form. Da es sich bei Mails also oft um elektronische Erklärungen handelt, ist es (außerhalb des rein privaten Bereichs) erforderlich, täglich seine Accounts zu überprüfen. Denn bereits die bloße Abrufbarkeit vom Mailserver gilt als „Zugang“ im Rechtssinne und kann daher auf Seiten des Empfängers Rechtsfolgen auslösen, ohne dass es der tatsächlichen Kenntnisnahme von der Mail bedarf. Vorsicht ist daher geboten bei der Verwendung von Mailadressen auf Visitenkarten, im Internet oder auf Geschäftsbriefen. Wer bei seinem Außenauftritt eine Erreichbarkeit über seine dienstliche Mailadresse suggeriert, muss auch für die tägliche Kontrolle dieser Mailbox sorgen.
Kritisch ist jedoch die Beweisführung: Die Tatsache des Zugangs (Abrufbarkeit) ist nicht durch eine Receipt-Meldung des Mailprotokolls beweisbar. Anders (wohl) bei Empfangs- u. insbesondere Lesebestätigungsmails; hier wird es oft einen sog. Anscheinsbeweis für die zumutbare Kenntnisnahmemöglichkeit geben.
Über Zustandekommen und Inhalt von Verträgen wird häufig gestritten. Solche Fragen können dann zumeist nur noch über die Beweislast gelöst werden. Und hier ist derjenige auf der sicheren Seite, der seine Geschäftsvorgänge (einschließlich eingehender und ausgehender Mail) dokumentiert, also in einer dem Bedürfnis nach Rechtssicherheit entsprechenden Weise archiviert.
Prinzipiell zu empfehlen wäre daher eine automatisierte elektronische Archivierung, die alles, was zur Durchsetzung oder Abwehr von Ansprüchen notwendig ist, protokolliert, indexiert und kurzfristigen Zugriff erlaubt. Allerdings muss andererseits die Kompatibilität mit dem Persönlichkeits- und Datenschutz der Mitarbeiter, deren (in der Regel teils geschäftlicher, teils privater) Mail-Input und -Output gescannt und archiviert wird, sichergestellt werden. Dies geschieht wie gesehen entweder bereits im individuellen Anstellungsvertrag (Ausnahme) oder aber über eine geeignete betriebliche Policy zum Umgang mit Internet und E-Mail (Regelfall) bzw. eine Betriebsvereinbarung, die dann aber, soll sie ihre Wirksamkeit nicht stillschweigend einbüßen, auch „gelebt“, d.h. und entsprechend kontrolliert und sanktioniert werden muss.
Als Beweismittel genießt die unverschlüsselte E-Mail zwar keine Sonderstellung wie etwa die Urkunde oder das elektronisch signierte Dokument. Sie ist jedoch durchaus geeignetes Mittel der freien richterlichen Beweiswürdigung. Im Prozess muss jede Partei die ihr günstigen Tatsachen darlegen und beweisen. Und wenngleich die E-Mail im Grundsatz keinen höheren Beweiswert hat als bspw. ein Ausdruck aus dem Internet, die Kopie eines Papierdokuments oder die Vorlage einer Fotografie, bietet sie jedoch in der Regel einen beweisrechtlichen „Wettbewerbsvorteil“. Denn der Ausdruck einer E-Mail ist häufig das einzige Beweismittel, das dem Gericht zu seiner Entscheidungsfindung vorliegt. Sie schafft mithin Indizien für den Aussteller, den Empfänger, das Absende- und Zugangsdatum und die Richtigkeit des in ihr niedergelegten Inhalts. Darüber hinaus kann sie eine wertvolle Gedächtnishilfe für die Zeugenvernehmung bilden. Die jeweils andere Partei, die sich gegen den mit der E-Mail begründeten Sachverhalt wehren will, ist wegen ihrer prozessualen Wahrheitspflicht daran gehindert, die in der E-Mail dokumentierten Angaben pauschal zu bestreiten. Einwände, die Mail stamme nicht vom Aussteller, sei beim Empfänger nicht zugegangen, enthalte falsche Datumsangaben oder sei inhaltlich verfälscht worden, wären daher von der dies einwendenden Partei anhand einer konkreten Sachverhaltsdarlegung genauestens zu „substantiieren“.
Neben den eingangs genannten haftungsrelevanten Konstellationen, in denen das Unternehmen für den durch die Nichtverfügbarkeit oder den Verlust von elektronischer Information schadensersatzpflichtig ist, stellt das Steuerrecht ein Sanktionsinstrumentarium in Gestalt von Zwangsmaßnahmen, bußgeldrechtlicher Ahndung (künftig bis 250.000,00 Euro bei Verstößen gegen die GDPdU), Schätzungen und ggf. Versagung gesetzlicher Steuervergünstigungen (z.B. Vorsteuerabzug) zur Verfügung. Verstöße können überdies strafrechtlich sanktioniert sein als Verletzung der Buchführungspflicht, z.B. wenn der Verlust oder die Unauffindbarkeit von Mails den Finanzbehörden eine vollständige und lückenlose Übersicht über die Vermögensverhältnisse des Unternehmens und die damit zusammenhängenden Geschäftsvorfälle erschwert.
Die fünf Gebote für den Umgang mit geschäftlichen E-Mails
Nach den vorstehenden Ausführungen kann für den rechtlich-organisatorischen Umgang mit elektronischer Geschäftspost folgender Gebotskatalog vorgeschlagen werden:
1. Du sollst täglich Deine Mailbox checken
E-Mails können Erklärungen enthalten, die Verträge auslösen, verändern oder beenden. Fristen, dem zu widersprechen beginnen bereits mit dem Erhalt der E-Mail, unabhängig davon wann diese tatsächlich gelesen wird.
2. Du sollst Geschäftsmails geordnet und unveränderbar archivieren
Oft nehmen Mitarbeiter die Archivierung selbst in die Hand. Was nicht mehr für dienstlich relevant erachtet wird, wird eigenmächtig gelöscht, verändert oder kopiert und nach eigenen Ordnungskriterien archiviert. Das Ergebnis muss dann nicht unbedingt der Erwartungshaltung des Finanzamtes entsprechen, das unterdessen auch digitale Dokumente prüfen kann. Im schlimmsten Fall kann ein eklatanter Verstoß gegen die Aufbewahrungspflicht den Tatbestand der Verletzung der Buchführungspflicht erfüllen und mit bis zu zwei Jahren Gefängnis bestraft werden.
3. Du sollst einen jederzeit raschen Zugriff auf alte Emails gewährleisten
Der Nutzen lässt sich am Beispiel verdeutlichen: Mit einem Ihrer Kooperationspartner kommt es zu einer gerichtlichen Auseinandersetzung um Gewährleistungsansprüche. Das Gericht setzt Ihnen eine Frist, innerhalb derer Sie vertragliche Absprachen nachweisen sollen. Die Korrespondenz erfolgte fast ausschließlich elektronisch. Gelingt dies nicht, kann ein solcher Prozess allein aufgrund der Verspätung verloren gehen.
4. Du sollst Privatmails deutlich von Geschäftsmails trennen
Eine leider weit verbreitete Unsitte von Mitarbeitern ist es, private Mails, Postings oder Angebote unter der dienstlichen Mailadresse oder – noch unbedachter – unter dem Standardbriefkopf des Arbeitgebers für E-Mails zu versenden. Das kann dazu führen, dass der Arbeitgeber für die private Meinungsäußerung, juristisch relevante Erklärungen oder sonstige Verhaltensweisen seiner Mitarbeiter mit haftet. Es sollten daher keinesfalls Privatmails unter dem Mailbriefkopf des Arbeitgebers versendet werden können.
5. Du sollst keine Privatmails lesen
Oft gelten Empfang und Versand von Privatmails kraft betrieblicher Übung als erlaubt, auch wenn es im Arbeitsvertrag oder der entsprechenden Betriebsvereinbarung keine ausdrückliche Regelung gibt. Teilweise wird sogar behauptet, dass der Arbeitgeber Privatmails gar nicht pauschal verbieten dürfe. Auch wenn der Arbeitgeber eine ausschließlich dienstliche Nutzung vorgeschrieben hat, darf er weisungswidrig verschickte (erst recht erhaltene) Privatmails laut des Daten- und Fernmeldegeheimnis nicht lesen. Das gilt z.B. für die als „persönlich“ oder „vertraulich“ gekennzeichneten Mails oder solche, deren private Natur anderweitig zu erkennen ist.
Metadata