Juristische Vorgaben zur E-Mailarchivierung
Die in einer E-Mail enthaltene Erklärung oder Information ist rechtsrelevant. Deshalb ist die Archivierung des E-Mailverkehrs eines Unternehmens unerlässlich. Allerdings müssen einige rechtliche Vorgaben beachtet werden. Probleme kann es beispielsweise geben, wenn Behörden den E-Mailverkehr zu Beweiszwecken brauchen, die Mails aber nicht ordentlich und pflichtgemäß archiviert wurden. Im ersten Teil dieses Artikels stellen wir Ihnen die gesetzlichen Regularien vor und beschäftigen uns mit der Frage, welche Mails überhaupt in ein gesetzeskonformes Archiv gehören.
Ein Gesetz, das sämtliche Regelungen zur Archivierung von E-Mails enthält, gibt es nicht. Vielmehr ergeben sich die rechtlichen Vorgaben aus sehr verschiedenen Gesetzen. Dies ist wohl auch ein Grund dafür, dass sich viele Unternehmer noch immer nicht darüber im Klaren sind, dass der Gesetzgeber sie in bestimmten Fällen konkret zur Errichtung einer effizienten und vor allem sicheren Archivierung von E-Mails verpflichtet hat. Nur wer einen Überblick über die relevanten Gesetze und Verordnungen hat und ein geeignetes Sicherheitskonzept verfolgt, kann sich hier vor rechtlichen Konsequenzen schützen. Beispielsweise werden in folgenden Gesetzen und Vorschriften rechtliche Vorgaben für die E-Mailarchivierung gemacht:
- das Handelsgesetzbuch (HGB)
- das Bundesdatenschutzgesetz (BDSG)
- das Telekommunikationsgesetz (TKG)
- das Aktiengesetz (AG)
- das Gesetz betreffend die Gesellschaften mit beschränkter Haftung (GmbHG)
- das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KontraG)
- die Abgabenordnung (AO)
- die GDPdU (Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen)
- vielfältige allgemeine kaufmännische Sorgfaltspflichten
- Basel II
- der Sarbanes-Oxley Act (es gibt weltweit tausende von Compliance-Regeln).
Insbesondere aus dem HGB und der AO lassen sich in Deutschland zu Fragen der E-Mailarchivierung unmittelbare Handlungsverpflichtungen ableiten, wobei wir im Folgenden unterscheiden zwischen der Aufbewahrung der ausgehenden elektronischen Mitteilungen (Ausgangspost) sowie der eingehenden elektronischen Mitteilungen (Eingangspost).
Ausgangspost
Welche ausgehende elektronische Post (also insbesondere E-Mails) ist von Unternehmen zu archivieren?
Handelsbriefe
In § 238 Absatz 2 HGB schreibt der Gesetzgeber für einen Kaufmann die Verpflichtung vor, eine Kopie der abgesendeten "Handelsbriefe" zurückzubehalten beziehungsweise sicher aufzubewahren – sei es in Papierform, als Grafik- oder auch Textdatei. Da man unter einem Handelsbrief jedes Schreiben versteht, welches "der Vorbereitung, dem Abschluss, der Durchführung oder auch der Rückgängigmachung eines Geschäfts" (vergleiche Bonner Handbuch der Rechnungslegung, § 257, Rn 34) dient, ist damit auch die gesamte in E-Mails gehaltene Geschäftskorrespondenz eines Unternehmens betroffen. Dazu gehören etwa
- Aufträge (auch Änderungen und Ergänzungen)
- Auftragsbestätigungen,
- Versandanzeigen,
- Frachtbriefe,
- Lieferpapiere,
- Reklamationsschreiben
- Rechnungen und
- Zahlungsbelege sowie
- schriftlich gefasste Verträge.
Nicht dazu gehören etwa
- unverbindliche Werbeschreiben oder
- simple Kontakt-E-Mails des Vertriebs.
Adressat der Archivierungspflicht
Die E-Mailarchivierungspflicht gilt dabei für jeden Kaufmann (§§ 1, 2, 3 HGB), Handelsgesellschaften, die eingetragene Genossenschaft sowie juristische Personen im Sinne des § 33 HGB. Dagegen gilt die E-Mailarchivierungspflicht nicht für Nichtkaufleute, wie etwa Kleingewerbetreibende und Freiberufler.
Dauer der Archivierungspflicht
Gemäß § 147 AO sind die als Handelsoder Geschäftsbriefe einzustufenden E-Mails sechs Jahre aufzubewahren, sofern nicht in anderen Steuergesetzen kürzere Aufbewahrungsfristen zugelassen sind. Nach Ablauf der Frist brauchen die Unterlagen nur noch aufbewahrt zu werden, wenn und soweit sie für eine begonnene Außenprüfung, für eine vorläufige Steuerfestsetzung nach § 165 AO, für anhängige steuerstraf- oder bußgeldrechtliche Ermittlungen, für ein schwebendes oder aufgrund einer Außenprüfung zu erwartendes Rechtsbehelfsverfahren oder zur Begründung von Anträgen des Steuerpflichtigen von Bedeutung sind.
Steuerrechtlicher Bezug
Sonstige E-Mails mit steuerrechtlichem Bezug sind aufzubewahren. Neben den Handels- oder auch Geschäftsbriefen sind auch all diejenigen versendeten E-Mails aufzubewahren, die in steuerrechtlicher Hinsicht von Bedeutung sind (§ 147 AO), insbesondere
- Bücher und Aufzeichnungen,
- Inventare,
- Jahresabschlüsse,
- Lageberichte,
- die Eröffnungsbilanz sowie die zu ihrem Verständnis erforderlichen Arbeitsanweisungen und Organisationsunterlagen,
- die empfangenen, aber auch versendeten Handels- oder Geschäftsbriefe,
- Buchungsbelege oder
- sonstige Inhalte, die für die Besteuerung von Bedeutung sind.
Art der Speicherung
Mit Ausnahme der Jahresabschlüsse sowie der Eröffnungsbilanz ist es in rechtlicher Hinsicht gemäß § 147 AO unproblematisch, die E-Mails auch als Wiedergabe auf einem Bildträger (wie Fotokopien, Mikrofilme) oder auf anderen Datenträgern (etwa Magnetbändern, Magnetplatten, Disketten, CD-ROMs, DVDs) aufzubewahren, wenn dies den Grundsätzen ordnungsmäßiger Buchführung entspricht und sichergestellt ist, dass die Wiedergabe oder die Daten
- mit den empfangenen Handels- oder Geschäftsbriefen und den Buchungsbelegen bildlich und mit den anderen Unterlagen inhaltlich übereinstimmen, wenn sie lesbar gemacht werden,
- während der Dauer der Aufbewahrungsfrist jederzeit verfügbar sind, unverzüglich lesbar gemacht und maschinell ausgewertet werden können.
Wer übrigens aufzubewahrende steuerrechtlich relevante E-Mails auf einem Bildträger oder einem anderen Datenträgern vorlegt, ist gemäß § 147 Abs. 5 AO verpflichtet, auf seine Kosten diejenigen Hilfsmittel zur Verfügung zu stellen, die erforderlich sind, um die Unterlagen lesbar zu machen. Auf Verlangen der Finanzbehörde hat er auf seine Kosten die Unterlagen unverzüglich ganz oder teilweise auszudrucken oder ohne Hilfsmittel lesbare Reproduktionen beizubringen. Sämtliche E-Mails, die steuerlich relevante Sachverhalte enthalten, sind in elektronischer sowie rechtssicherer Form aufzubewahren. Nach den vom Bundesfinanzministerium veröffentlichten Grundsätzen zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) reicht es nicht aus,
- die relevanten E-Mails einfach nur auszudrucken und abzuheften oder
- die relevanten E-Mails in maschinell nicht auswertbaren Formaten (wie etwa PDF-Dateien) zu archivieren.
Dauer der Archivierungspflicht
Gemäß § 147 AO sind die als Handelsoder Geschäftsbriefe einzustufende E-Mails sechs Jahre aufzubewahren. Sollten die E-Mails dagegen Buchungsbelege, Rechnungen, Bilanzen, Jahresabschlüsse oder auch Lageberichte enthalten, betragen die Aufbewahrungsfristen zehn Jahre, sofern nicht in anderen Steuergesetzen kürzere Aufbewahrungsfristen zugelassen sind. Nach Ablauf der Frist brauchen die Unterlagen nur noch aufbewahrt zu werden, wenn und soweit sie für eine begonnene Außenprüfung, für eine vorläufige Steuerfestsetzung nach § 165 AO, für anhängige steuerstraf- oder bußgeldrechtliche Ermittlungen, für ein schwebendes oder aufgrund einer Außenprüfung zu erwartendes Rechtsbehelfsverfahren oder zur Begründung von Anträgen des Steuerpflichtigen von Bedeutung sind.
Eingangspost
Bei eingehender elektronische Post (also etwa E-Mails) spielen die §§ 257 HGB und wiederum 147 AO eine Rolle, wonach jeder Kaufmann verpflichtet ist, empfangene Handelsbriefe in Form von E-Mails geordnet aufzubewahren (§ 257 Abs. 1 S. 2 HGB). Das Gesetz schreibt hierbei gemäß § 257 Abs. 4 HGB eine sechsjährige Aufbewahrungspflicht vor, wobei die Aufbewahrungsfrist nach § 257 Abs. 5 HGB mit Ablauf des Kalenderjahres beginnt, in dem die Handelsbriefe empfangen oder versendet wurden. Nach Ablauf der sechs Jahre können die Handelsbriefe in der Regel vernichtet werden. § 147 AO sieht darüber hinaus vor, dass sonstige E-Mails mit steuerrechtlichen Bezügen zu speichern sind. Hierzu kann vollumfänglich auf die obigen Ausführungen verwiesen werden.
Die Gestattung der privaten Nutzung der betriebseigenen IT-Infrastruktur durch die Mitarbeiter bringt nicht zu unterschätzende rechtliche Komplikationen mit sich – insbesondere was die Archivierung von E-Mails anbelangt. Aus diesem Grund sollte gut überlegt sein, ob überhaupt und, wenn ja, in welcher Art und Weise ein Unternehmen die private E-Mailkommunikation am Arbeitsplatz gestatten sollte. Im Folgenden sollen praxisnahe Lösungen aufgezeigt und hinsichtlich der Archivierungsanforderungen der E-Mails rechtlich beleuchtet werden.
Totalverbot von privaten E-Mails
Zumindest aus rechtlicher Sicht scheint diese Lösung die ideale: Das Unternehmen wird nicht zum Provider, Datenschutz spielt dann keine gesonderte Rolle. So können Rechtsunsicherheiten für den Arbeitgeber und den Arbeitnehmer vermieden und Spamfilter, Vertretungszugriffe, Archivierung und Kontrollen einer missbräuchlichen Nutzung ermöglicht werden. Das Unternehmen hat dann natürlich auch das Recht, beliebig und unbegrenzt auf die E-Mails der jeweiligen Mitarbeiter zuzugreifen beziehungsweise auch zu archivieren. Zu beachten wäre, dass das E-Mailverbot in jedem Fall schriftlich fixiert werden sollte, etwa durch
- entsprechende Richtlinien betreffend die Nutzung der firmeneigenen IT-Infrastruktur,
- Betriebsvereinbarungen,
- Einverständniserklärungen der Belegschaft oder gar
- den individuellen Anstellungsvertrag.
Das Verbot ist auch in der Praxis durchzusetzen. Untersagt nämlich ein Arbeitgeber die private Nutzung von E-Mails, ohne dies dann regelmäßig zu kontrollieren und zu sanktionieren, kann sich das Verbot in eine Duldung "umwandeln". Der Arbeitnehmer hat nach einer Weile der Duldung einen Anspruch auf die Leistung, hier die Privatnutzung. Aus diesem Grund sind regelmäßige Kontrollen vorzunehmen und für den Fall von Verstößen Sanktionen zu verhängen, die in besonderen Fällen bis zu einer (verhaltensbedingten) Kündigung reichen.
Vorbehaltslose Erlaubnis von privaten E-Mails
Diese Alternative ist aus rechtlicher Sicht alles andere als ideal. Dem Arbeitgeber ist es verwehrt, den privaten E-Mailverkehr seiner Mitarbeiter zu lesen, geschweige denn zu archivieren. Die Konsequenz ist, dass dem Arbeitergeber nichts anderes übrig bleibt, als sich in der Regel sehr aufwendiger und damit kostenintensiver technischer Lösungen zu bedienen, die in der Lage sind, private E-Mails von dienstlichen zu trennen. Manche Juristen vertreten die Auffassung, dass es in diesem Fall dem Arbeitgeber nicht verwehrt werden dürfe, immerhin den Betreff der jeweiligen E-Mail zu öffnen oder sichtbar zu machen. Es darf jedoch bezweifelt werden, ob eine solche Vorgehensweise mit den bereits skizzierten datenschutzrechtlichen Bestimmungen in Einklang zu bringen ist. Eine Rechtsprechung zu diesem Fall ist bislang nicht bekannt.
Zwischenlösung
Natürlich ist auch eine Zwischenlösung denkbar, etwa dergestalt, dass den Mitarbeitern im Einzelnen vorgeschrieben wird, auf welche Art und Weise mittels E-Mails privat über die firmeninterne IT-Infrastruktur kommuniziert werden kann. Folgende Lösungen bieten sich hierzu an:
- Zeitliche Ausnahmeregelung ("Nutzung in Pausen und außerhalb der Arbeitszeit" oder etwa "nur zwischen 12 Uhr und 13 Uhr") definieren, in der auf einen Freemail-Account wie web.de oder GMX zugegriffen werden darf.
- Den Mitarbeitern kann neben einer geschäftlichen E-Mailadresse auch eine private (und als solche gekennzeichnete) E-Mailadresse zur Verfügung gestellt werden – verbunden mit der Auflage, dass nur letztere zu privaten Zwecken genutzt werden darf. Damit würde eine zentrale und effiziente Archivierung ermöglicht werden, da auf diese Weise eine Vermischung privater und dienstlicher E-Mails ausgeschlossen würde. Nicht zuletzt würde man damit auch etwaigen Konflikten mit Betriebsräten aus dem Weg gehen können, die ansonsten bei betrieblichen Vereinbarungen zur E-Mailnutzung hinzugezogen werden müssten. So wird etwa das Mitbestimmungsrecht von Betriebsräten seitens der Rechtsprechung recht weit gefasst. Es sei demnach ausreichend, wenn technische Maßnahmen dazu geeignet sind, den Arbeitnehmer zu überwachen – was naturgemäß gerade für Telekommunikationssysteme gilt.
- Auch denkbar wären Regelungen, die dem Mitarbeiter vorschreiben, private E-Mails auch im Betreff deutlich als "privat" zu kennzeichnen. So wird es zum Teil bei Behörden praktiziert.
Folgen einer ungenügenden E-Mail-Archivierung
Eine mangelhafte E-Mailarchivierung kann als Verletzung handelsrechtlicher Buchführung gewertet werden und wegen der Maßgeblichkeit zugleich eine Verletzung der steuerrechtlichen Buchführungspflicht gleichkommen. Da Mängel der Buchführung wiederum die steuerrechtliche Beweiskraft der Bücher beeinträchtigt, wäre die Finanzverwaltung in diesem Fall berechtigt, den steuerlichen Gewinn nach § 162 Abs. 2 AO zu schätzen. Zudem könnte die Finanzverwaltung die Buchführungspflicht durch ein Zwangsgeld erwirken (§ 238 Abs. 1 AO).
Straftat
Abgesehen von steuerrechtlichen Sanktionen kann die Verletzung der E-Mailarchivierungspflicht auch strafbar sein. Ein Beispiel hierfür ist die unzureichende oder gar manipulative Archivierung von E-Mails, um vorsätzlich die Übersicht über den Vermögensstand eines Unternehmens zu erschweren mit dem Ziel, Vermögensbestandteile, die im Falle der Eröffnung eines möglichen Insolvenzverfahrens zur Insolvenzmasse gehören, beiseite zu schaffen oder gar zu verheimlichen (vgl. §§ 283 ff. StGB). Darüber hinaus regelt § 283b StGB, dass eine Verletzung der Buchführungspflicht mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft werden kann.
Ordnungswidrigkeit
Des Weiteren kann eine vorsätzliche oder leichtfertige Verletzung der Buchführungspflicht eine Ordnungswidrigkeit sein. Hier käme etwa eine Steuergefährdung gemäß § 379 AO in Betracht, soweit nicht leichtfertige Steuerverkürzung gemäß § 378 AO vorliegt.
Schadensersatz
Es drohen auch zivilrechtliche Sanktionen. So kann die Verletzung der Buchführungspflicht den Vorstand oder Geschäftsführer der jeweiligen Gesellschaft nach § 93 Abs. 2 AktG beziehungsweise § 43 Abs. 2 GmbHG schadensersatzpflichtig machen. Zudem kann die mangelhafte Archivierung von E-Mails eines Unternehmens Schadensersatzansprüche von Vertragspartnern begründen, etwa für den Fall, dass vertrauliche fremde Informationen abhanden gekommen sind. Als Haftungsgrundlage kommen hierbei die schuldrechtlichen Schadensersatzansprüche aus §§ 280 ff. BGB in Betracht. Gerade in diesem Zusammenhang ist auch § 241 Abs. 2 BGB zu beachten, wonach die Pflicht besteht, auf die Rechte, Rechtsgüter und Interessen des Vertragspartners Rücksicht zu nehmen. Hierzu gehören insbesondere die Beachtung von Schutz-, Aufklärungs- und Beratungspflichten.
Darüber hinaus ist zu beachten, dass auch E-Mails bei gerichtlichen Streitigkeiten durchaus Bedeutung zukommen kann – etwa im Rahmen der freien richterlichen Beweiswürdigung. So ließ der Bundesgerichtshof Internet-Ausdrucke als Beweismittel im Strafverfahren wegen der Mitgliedschaft in einer terroristischen Vereinigung zu (12.10.2001/Az. 1 BJs 79/00). Zwar sind E-Mails dabei bei Weitem nicht mit dem Beweiswert einer, wenn auch bis heute nur selten eingesetzten, qualifizierten elektronischen Signatur gleichzusetzen.
Allerdings hat sich bei Unternehmen überwiegend die E-Mail als Standardkommunikationsmittel durchgesetzt, sodass E-Mails häufig die einzige Möglichkeit darstellen, Absprachen zwischen Streitparteien, vereinbarte Erfolge bei Projekten sowie Verantwortlichkeitsverteilungen, Change Requests, Dokumentationen von Geschäftsvorfällen, Protokolle von Besprechungen, Terminverschiebungen und so weiter nachzuweisen. Schon aus diesem Grund ist es sinnvoll, elektronisch gespeicherte Mitteilungen revisionssicher und in einer Art und Weise zu speichern und zu indexieren, die den permanenten und schnellen Zugriff erlaubt ("Allzeit-Verfügbarkeit") und die Integrität der Daten gewährleistet.
Persönliche Haftung
Im Aktiengesetz ist festgelegt, dass eine persönliche Haftung des Vorstands dann in Betracht kommt, wenn er Entwicklungen, die zukünftig ein Risiko für das Unternehmen darstellen könnten, nicht durch ein Risikomanagement überwacht und mit geeigneten Maßnahmen begegnet (§ 91 Abs. 2 und § 93 Abs. 2 AktG). Dazu gehört eben auch die unterlassene Speicherung geschäfts- oder steuerrechtlich relevanter E-Mails.
Nahezu dieselben Anforderungen gelten für den Geschäftsführer einer GmbH, der "die Sorgfalt eines ordentlichen Geschäftsmannes" aufzubringen hat (§ 43 Abs. 1 GmbHG). Diese zugegebenermaßen eher allgemein gehaltene Formulierung beinhaltet in der rechtlichen Praxis ähnliche Folgerungen für das Risikomanagement wie für Vorstände nach dem Aktiengesetz. Kommt die Geschäftsführung oder der Vorstand – als Verantwortliche – der oben beschriebenen Pflicht zur Archivierung von E-Mails (als allgemeine Risikovorsorgepflicht) nicht nach und entsteht dem Unternehmen dadurch ein finanzieller Schaden, kann dies zu einer persönlichen Haftung der Mitglieder des Vorstands beziehungsweise der Geschäftsführung und unter Umständen auch der Aufsichtsratmitglieder (§ 116 AktG) führen.
Basel II
Das Bundeskabinett hat im Februar 2007 den Gesetzesentwurf zur Umsetzung der Banken- und Kapitaladäquanz-Richtlinie, besser bekannt unter dem Namen "Basel II", verabschiedet. Dies hat zur Folge, dass die Banken und Finanzinstitute in Deutschland gesetzlich dazu verpflichtet sind, die Vorgaben des Basel II-Abkommens zu beachten und insbesondere eine individuelle Bonitätseinschätzung des jeweiligen kreditsuchenden Unternehmens durchzuführen. Mittels dieser Bonitätseinschätzung kann sodann ermittelt werden, wie hoch die Wahrscheinlichkeit ist, dass der Kredit an die Bank auch wieder zurückgezahlt wird (Einschätzung des Ausfallrisikos). Sollte das Ausfallrisiko dabei als hoch eingestuft werden, wird sich die Bank dies bezahlen lassen, indem sie die Bonität des kreditsuchenden Unternehmens herabsetzt und nur ungünstige Kreditkonditionen weitergibt. Im schlechtesten Fall kommt es gar zu einer Weigerung einer Kreditgewährung.
Es ist selbstverständlich, dass in diesem Zusammenhang ein besonderes Augenmerk auf dem operationalen "Risikomanagement" (und damit der E-Mail-Archivierungspflicht) liegen muss. Eine funktionierende IT-Infrastruktur hat grundlegende Bedeutung für jedes Unternehmen, da sie in den meisten Fällen unternehmerisches Handeln heutzutage überhaupt erst ermöglicht. Fallen die IT- und damit auch Mailing-Systeme aus, sind die Unternehmen in der Regel nicht mehr handlungsfähig. Aus diesem Grund werden die Banken sehr genau prüfen, ob der Kreditsuchende zumindest die Grundlagen des IT-Risikomanagements beachtet und sich durch die Einhaltung bestimmter Sicherheitsvorkehrungen vor einem folgenschweren Ausfall der IT schützt.
Max-Lion Keller/dr/ln | Stand: März 2008