Fünf Irrtümer über die E-Mail-Archivierung
Im Geschäftsumfeld gelten E-Mails als elektronische Unterlagen und unterliegen damit Vorschriften zur Archivierung, die sich hauptsächlich aus GoBD, DSGVO und weiteren Verordnungen wie branchen- oder länderspezifischen Vorschriften ergeben. Unternehmen sind rechtlich verpflichtet, E-Mails vor Datenverlust zu schützen und über bestimmte Zeiträume aufzubewahren. Daher sind Tools für E-Mail-Archivierung empfehlenswert, die zudem dazu beitragen können, dass E-Mail-bezogene Informationen schnell auffindbar und verfügbar sind.
Trotzdem stellen sich laut Roland Latzel, Senior Director of Marketing von MailStore, viele IT-Entscheider die Frage: Lohnt sich die Investition in E-Mail-Archivierung überhaupt? Oder ist sie nicht eher nice-to-have?« Die Relevanz von E-Mail-Archivierung für die IT-Strategie von Unternehmen wird häufig irrtümlich unterschätzt, weshalb Latzel die typischen Irrtümer über E-Mail-Archivierung zusammengefasst hat:
Irrtum 1: »Ich führe ein kleines Unternehmen und bin von der Aufbewahrungspflicht befreit«
Inhalt dieses Artikels
Das ist nicht unbedingt richtig. Besteht für ein Unternehmen die Buchführungspflicht, so greift auch eine Aufbewahrungspflicht. Die meisten Unternehmen in Deutschland unterliegen Aufbewahrungspflichten steuer- und handelsrechtlich relevanter Dokumente nach HGB (Handelsgesetzbuch) und AO (Abgabenordnung). Die Anforderungen der Steuerbehörden an eine digitale Buchhaltung werden in Deutschland in den »Grundsätzen zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff« (GoBD) festgelegt. Vom Einzelunternehmer zum Großkonzern – die Unternehmensgröße spielt bei den Aufbewahrungspflichten nicht direkt eine Rolle, sondern ein „in kaufmännischer Weise eingerichteter Geschäftsbetrieb“ nach HGB (Handelsgesetzbuch). Ähnliches gilt für Unternehmen in Österreich und der Schweiz. Unternehmen, die sich nicht an die Aufbewahrungspflichten halten und zum Beispiel die Vollständigkeit und Integrität des relevanten E-Mail-Verkehrs nicht vorweisen können, riskieren eine Verletzung Ihrer Buchführungspflicht, was juristische Folgen nach sich ziehen kann. Zumindest wird ein nicht vorhandenes oder nicht professionell geführtes E-Mail-Archiv wahrscheinlich einen aufmerksamen Steuerprüfer auf den Plan rufen.
Irrtum 2: »Ich archiviere lediglich Rechnungen, alles andere ist unwichtig«
Die zentralen Vorschriften der §§ 147 Abs. 1 AO und 257 Abs. 1 HGB enthalten jeweils ganze Listen von Unterlagen, die aufzubewahren sind. Diese gehen weit über Rechnungen hinaus: Sie betreffen Aufzeichnungen, Belege und Korrespondenzen, aus denen die (Rück-) Abwicklung und der Abschluss eines Geschäfts hervorgehen. Dazu zählen alle abgesandten und empfangenen Handels- oder Geschäftsbriefe. Außerdem umfassen sie nicht nur Dokumente, die manuell über den Postweg, sondern auch auf elektronischem Weg via E-Mail versendet werden. Zum Beispiel werden Rechnungen vermehrt automatisch per E-Mail an den Empfänger übermittelt.
Irrtum 3: »Es reicht, wenn ich die wichtigsten E-Mails ausdrucke und gesondert aufbewahre«
An dieser Stelle greifen die GoBD: Im Rahmen der Aufbewahrungspflicht reicht es nicht aus, E-Mails auszudrucken und abzuheften – besonders nicht nur »die wichtigsten«. Zum einen müssen Unternehmen dafür sorgen, dass wirklich der gesamte relevante E-Mail-Bestand aufbewahrt wird. Zum anderen ist ein Ausdruck gleichzustellen mit einer Kopie der Originalfassung. Laut den GoBD dürfen jedoch nur Originalformate verwendet werden, die nicht in irgendeiner Form konvertiert wurden.
Irrtum 4: »Ich führe regelmäßige Backups durch, was E-Mail-Archivierung überflüssig macht«“
Nicht wenige IT-Entscheider gehen davon aus, dass regelmäßige Backups des E-Mail-Servers oder der E-Mails auf dem Rechner der Anwender vollkommen ausreichen, um alle wichtigen Dokumente einschließlich E-Mails und ihrer Anhänge aufzubewahren. Der alleinige Einsatz von Backup-Systemen ist jedoch zumeist nicht rechtssicher, denn diese Methode birgt zwei große Nachteile gegenüber der E-Mail-Archivierung. Einerseits erstellt das klassische Backup nur einmal täglich Kopien aller Daten – im schlimmsten Fall sind die Intervalle sogar größer. Sprich: Inhalte, die in der Zwischenzeit hinzugefügt, verändert oder gelöscht wurden, sind im Backup nicht enthalten. Andererseits besteht die Gefahr, dass ältere Backups durch neue überschrieben werden, um Speicherplatz zu sparen. Da Unternehmen verpflichtet sind, Dokumente über mehrere Jahre hinweg und vollständig aufzubewahren, riskieren sie auch hier juristische Konsequenzen. Unternehmen sollten Backups von E-Mail-Servern daher nur als Ergänzung zur E-Mail-Archivierung einsetzen, zum Beispiel um im Notfall den E-Mail-Server schnell wiederherstellen zu können.
Irrtum 5: »Datenschutz und E-Mail-Archivierung widersprechen sich grundlegend«
Revisionssichere E-Mail-Archivierung kann dabei helfen, datenschutzrechtlichen Anforderungen zu entsprechen. Unternehmen müssen dafür vorab einige Rahmenbedingungen festlegen, um etwa die Grundsätze der Datenminimierung und Zweckbindung zu beachten. So kann es ratsam sein, nicht pauschal alle E-Mails gleich zu behandeln und zeitlich unbeschränkt zu archivieren. Gesonderte Aufbewahrungs- oder Löschregeln könnte man zum Beispiel bei der E-Mail-Kommunikation zwischen der Personalabteilung und Bewerbern oder zwischen Beschäftigten und dem Betriebsarzt nutzen. Hierbei ist es hilfreich, wenn die Lösung das Konfigurieren individueller Regeln zulässt. Auf diese Weise lassen sich beispielsweise E-Mails gezielt auswählen, die nach einem bestimmten Zeitraum automatisch gelöscht werden sollen. Darüber hinaus sollten Unternehmen unbedingt festlegen, dass die Beschäftigten keinerlei privaten E-Mail-Verkehr über ihre geschäftlichen Accounts pflegen dürfen, damit E-Mails weiterhin DSGVO-konform aufbewahrt werden können. E-Mail-Archivierung und Datenschutz können also durchaus in Einklang gebracht werden.