Im Gespräch mit Oliver Süme von Fieldfisher

Welche Unternehmen sind verpflichtet, ihre E-Mails zu archivieren und was bedeutet das für die private E-Mail-Nutzung? com! professional spricht darüber mit Oliver Süme, Fachanwalt für IT-Recht und Partner der internationalen Anwaltskanzlei Fieldfisher. Oliver Süme berät seit über 20 Jahren Unternehmen zu allen Rechtsfragen des Technologie-, IT- und Datenschutzrechts. Darüber hinaus ist er Vorstandsvorsitzender bei eco - Verband der Internetwirtschaft.

com! professional: Herr Süme, man liest häufig von einer Pflicht zur E-Mail-Archivierung. Gibt es tatsächlich eine solche Pflicht, alle geschäftlichen Mails zu sichern, und wenn ja, welche Unternehmen sind betroffen?

Oliver Süme: Es gibt zwar keine generelle Pflicht, alle E-Mails eines Unternehmens zu archivieren, oder ein allgemeingültiges Gesetz dazu. Allerdings ergeben sich für bestimmte Inhalte tatsächlich Aufbewahrungspflichten aus einer Reihe von verschiedenen Einzelgesetzen. So müssen zum Beispiel E-Mails aufbewahrt werden, wenn sie im Zusammenhang mit Aufträgen oder Vertragsabschlüssen versendet oder empfangen wurden, Buchungsbelege beinhalten oder bestimmte Arbeitsanweisungen enthalten. Hinzu kommen E-Mails mit steuerlich relevanten Inhalten. Diese Vorschriften gelten für alle Unternehmen, unabhängig von Größe oder Branche.

Was genau zu tun ist, ergibt sich für steuerlich relevante E-Mails aus einem ausführlichen Rundschreiben des Bundesfinanzministeriums zu den Grundsätzen ordnungsgemäßer Buchführung, den sogenannten GoBD. Für bestimmte Sektoren können gegebenenfalls zusätzliche Aufbewahrungspflichten hinzukommen, die sich aus regulatorischen Anforderungen ergeben. Die Aufbewahrungspflichten bestehen für bis zu zehn Jahre.

com! professional: Das gilt für jede ein- und ausgehende E-Mail?

Süme: Nein, nur für solche E-Mails, die von den gesetzlichen Pflichten tatsächlich erfasst werden. Ein- oder ausgehende Newsletter, allgemeine Kommunikation per E-Mail oder gar Spam-Mails müssen nicht archiviert werden.

com! professional: Da bleibt einiges an zu archivierenden Mails übrig. Was droht bei fehlenden Archivierung?

Süme: Wer trotz Kenntnis vorsätzlich eine Archivierung unterlässt und die maßgeblichen Informationen auch nicht auf andere Weise vorhält, dem könnten sogar strafrechtliche Konsequenzen drohen. Das sind aber Ausnahmenfälle. In der Praxis viel wichtiger sind steuerrecht­liche Nachteile, wenn das Finanzamt wegen fehlender Unterlagen beispielsweise Schätzungen als Besteuerungsgrundlage he­ranzieht. Zudem können Zwangsgelder zur Durch­setzung der gesetzlichen Verpflichtungen festgesetzt werden.

Zu beachten ist auch, dass Geschäftsführer und Vorstände von Unternehmen persönlich haften können, wenn insoweit Sorgfaltspflichten verletzt werden. Außerdem können Unternehmen natürlich rechtliche Nachteile entstehen, wenn im Fall von Gewährleistungsansprüchen oder Schadensersatzforderungen wichtige E-Mails nicht mehr vorliegen und die Beweislage dadurch dünn wird.

com! professional: Und wie kann eine solche Archivierung in der Praxis aussehen?

Süme: Theoretisch könnten alle ein- und ausgehenden E-Mails auf dem Mail-Server gespeichert werden. Das hätte den Vorteil, dass auf jeden Fall alle rechtlich relevanten E-Mails vorhanden sind. Es würden aber auch umfangreich E-Mails gespeichert werden, die nur Speicherplatz belegen und gar nicht aufbewahrt werden müssen. Zudem ist zu berücksichtigen, dass eine pauschale Speicherung ein hohes Potenzial für Datenschutzverletzungen hat: Soweit E-Mails personenbezogene Daten beinhalten und es keine Rechtsgrundlage mehr für eine Speicherung gibt, sind entsprechende E-Mails zu löschen. Das gilt insbesondere, wenn die E-Mail Nutzung im Unternehmen auch für private Zwecke gestattet wurde. In der Regel werden daher spezielle Archivierungsprogramme eingesetzt, die es von unterschiedlichen Anbietern für unterschiedliche Bedürfnisse gibt.

com! professional: Ist es mit der Archivierung allein getan oder bestehen darüber hinaus Dokumentationspflichten?

Süme: Für steuerrechtlich relevante E-Mails ergeben sich bestimmte Dokumentationspflichten aus den GoBD. In einer Verfahrensdokumentation sind zum Beispiel die einzuhaltenden Prozesse und die Ordnungs- und Indexierungskriterien zu definieren.

Darüber hinaus ist es aber auch generell empfehlenswert zu dokumentieren, wie die E-Mail-Archivierung aufgesetzt ist und wie allgemeine Anforderungen zum Beispiel an die Unveränderbarkeit und Wiederauffindbarkeit der E-Mails umgesetzt wurden, auch wenn keine ausdrückliche gesetzliche Verpflichtung dazu besteht.

com! professional: Sie haben die Problematik privater Mails angesprochen. Viele Unternehmen erlauben ihren Mitarbeitern die private Nutzung der Mail-Konten. Steht der Archivierung hier der Datenschutz nicht grundsätzlich im Weg?

Süme: Wenn die private Nutzung des geschäftlichen E-Mail-Accounts erlaubt ist, ergeben sich daraus zwar besondere datenschutzrechtliche Anforderungen an die Archivierung, die jedoch der privaten Nutzung nicht grundsätzlich im Weg stehen. So bedarf die Archivierung der privaten E-Mails einer datenschutzrechtlichen Rechtsgrundlage, die in der Regel in einer ausdrücklichen Einwilligung des Mitarbeiters besteht.

com! professional: E-Mail-Archivierung wird mittlerweile auch „as a Service“ in der Cloud angeboten. Sind hier rechtliche Besonderheiten zu beachten?

Süme: Die Aufzeichnung von steuerrechtlich relevanten E-Mails muss nach der gesetzlichen Regelung im Geltungsbereich des Gesetzes durchgeführt werden. Unter bestimmten Voraussetzungen ist es jedoch möglich, dass die zuständige Finanzbehörde auf einen entsprechenden Antrag hin hierzu eine Ausnahmebewilligung erteilt. So muss auch bei Nutzung eines Cloud-Services im Ausland weiter in vollem Umfang der Datenzugriff möglich sein und die Besteuerung darf dadurch nicht beeinträchtigt werden. Bei der Entscheidung der Behörde wird daher auch eine Rolle spielen, welches Datenschutzrecht anwendbar ist und wie es in dem maßgeblichen Land ausgestaltet ist.

com! professional: Gibt es für Unternehmen eigentlich weitere rechtliche Vorschriften, die den Umgang mit Mails betreffen?

Süme: Im Hinblick auf alle personenbezogenen Daten gelten natürlich die Vorschriften der Datenschutz-Grundverordnung. Dabei spielen insbesondere Auskunfts- und Löschungsrechte eine Rolle, die von Kunden zunehmend geltend gemacht werden und die im Rahmen einer Kundenbeziehung ausgetauschten E-Mails betreffen. Hier müssen Unternehmen eine saubere Trennung vornehmen zwischen E-Mails, die im Fall der Ausübung von Löschungsrechten zu löschen sind, und solchen, die trotz Löschungsanspruch wegen gesetzlicher Speicherpflichten eben nicht gelöscht werden dürfen. Darüber hinaus ergeben sich aus der DSGVO bestimmte Anforderungen an technische Sicherheitsmaßnahmen beim Mail-Versand. Daraus resultiert zwar keine generelle Verpflichtung zur Verschlüsselung von Inhalten. Aber die Transportverschlüsselung halten zumindest die Aufsichtsbehörden für erforderlich, auch wenn sich das nicht eindeutig aus der DSGVO ergibt.