Trotz Messenger, Videokonferenz und Kollaborationstools à la Microsoft Teams – der E-Mailverkehr ist und bleibt das Kommunikationsmittel Nummer 1. In den Postfächern deutscher Unternehmen sammeln sich Tag für Tag eine Vielzahl geschäftsrelevanter Dokumente und Daten an. Klar, dass diese abgelegt und archiviert werden müssen. Oder etwa nicht?
Der Mittelstand hat sich in Sachen Digitalisierung in den letzten drei Jahren stark ins Zeug gelegt. Laut Digital Office Index 2022 des IT-Branchenverbands Bitkom erreichen deutsche Unternehmen ab 20 Beschäftigten auf einer Skala von 0 bis 100 Punkten einen Durchschnittswert von 59 – das sind vier Punkte mehr als noch 2020. Zwar liegen die Großunternehmen (68 Punkte) vorne, die kleinen (58 Punkte) und mittleren Unternehmen (63 Punkte) holen jedoch auf.
GoBD: Die unbekannte Compliance-Richtlinie
Bei einem Digitalisierungs-Thema scheint jedoch noch viel Unsicherheit zu herrschen: E-Mail-Archivierung. Nach einer YouGov-Befragung von STRATO und IONOS wissen drei Viertel (73 Prozent) der deutschen Kleinunternehmen nichts über die gesetzlichen Vorgaben gemäß GoBD. Die „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“ schreiben vor, dass jede Form der geschäftlichen Korrespondenz, inklusive E-Mails, rechtskonform und revisionssicher archiviert werden muss. In Unternehmen mit weniger als 50 Mitarbeitenden sieht das jedoch ganz anders aus: Hier bleiben E-Mails, die älter als ein Jahr sind, entweder ganz pragmatisch im Postfach liegen (39 Prozent) oder werden ohne viel Aufhebens gelöscht (37 Prozent).
Um es klarzustellen: Die Aufbewahrungspflicht der GoBD gilt für jedes Unternehmen – ganz egal welcher Größe. Kommt es zu einer Steuerprüfung, müssen den Auditoren alle Belege, E-Mails und Dateien vollständig, originaltreu und manipulationssicher vorgelegt werden. Ein Verstoß kann hier kostspielige Konsequenzen sowie zivilrechtliche Sanktionen nach sich ziehen.
Um böse Überraschungen zu verhindern und die elektronische Geschäftskorrespondenz effektiv zu managen, lohnt sich ein kritischer Blick auf die gängigsten Mythen und Missverständnisse bei der E-Mail-Archivierung:
Die Aufbewahrungspflicht der GoBD bezieht sich lediglich auf Rechnungen und Belege
Die GoBD bezieht sich auf Unterlagen, die in steuer- und handelsrechtlicher Hinsicht von Bedeutung sind. Neben dem E-Mail-Text schließt das auch Anhänge sowie Detail-Informationen (z. B. Datum, Uhrzeit) ein. Rechnungen und Belege sind das offensichtlichste Beispiel. Im Grunde fällt aber jegliche Korrespondenz, die ein Geschäft vorbereitet, abschließt oder rückgängig macht, unter die GoBD.
Dazu gehören Anfragen, Angebote, Auftragserteilungen, Garantiefälle und Stornierungen. Um hier den Überblick zu bewahren und nicht stundenlang mit dem Deklarieren und Aussortieren von E-Mails zu verbringen, sollten Unternehmen auf regelbasierte Archivierungslösungen setzen, die E-Mails automatisch und zentral nach bestimmten Kriterien archivieren.
Alle E-Mails müssen ausnahmslos archiviert werden
Heißt das im Umkehrschluss, dass wirklich jede E-Mail archivierungspflichtig ist? Nein. Vielmehr geht es darum, zu entscheiden, ob die E-Mail die Funktion eines Handels- bzw. Geschäftsbriefes übernimmt. Newsletter und Spam-Mails fallen damit raus.
Dient die E-Mail nur zur Übermittlung eines Anhanges (z. B. digitale Rechnung) und enthält selbst keine steuerrechtlichen Informationen, lässt sie sich mit einem Briefumschlag vergleichen: Der Anhang wandert ins Archiv, die E-Mail in den Papierkorb.
Unternehmen dürfen zudem nicht wahllos alle E-Mails automatisch speichern. Private E-Mails von Mitarbeitenden sind absolut tabu, selbst wenn diese über den Business-Account geschrieben wurden. Eine Speicherung ist nur dann zulässig, wenn eine Einwilligung vorliegt. Um Verstöße gegen den Datenschutz zu verhindern, sollten Unternehmen die private Nutzung von geschäftlichen E-Mail-Konten daher grundsätzlich untersagen – mindestens jedoch davon abraten.
Das Archivieren von E-Mails verstößt gegen DSGVO & Datenschutz
Apropos Privatsphäre: Auf den ersten Blick scheint der Datenschutz mit der Archivierungspflicht im Widerspruch zu stehen. Laut Vorgaben der DSGVO dürfen personenbezogene Daten nur so lange verarbeitet und vorgehalten werden, bis der ursprüngliche Zweck ihrer Erfassung abgeschlossen ist. Wer jedoch personenbezogene Daten im Zusammenhang mit Geschäftsabschlüssen löscht, verstößt möglicherweise gegen die steuer- und handelsrechtlichen Aufbewahrungspflichten der GoBD.
Dieses Spannungsverhältnis lässt sich lösen: Denn die Archivierungspflicht ist Grund genug, um geschäftsbezogene E-Mails mit personenbezogenen Daten zu speichern. Ist diese „Geschäftsrelevanz“ nicht gegeben (z. B. Absage an einen Bewerber), hat der Datenschutz Priorität und die E-Mail muss umgehend gelöscht werden. Softwarelösungen für die E-Mail-Archivierung helfen, eine DSGVO-konforme Verarbeitung personenbezogener Daten sicherzustellen.
Die sichere Archivierung gewinnt auch im Zusammenhang mit der Cybersicherheit an Dringlichkeit. 80 Prozent der deutschen Unternehmen waren bereits mindestens einmal Opfer eines erfolgreichen E-Mail-basierten Phishing-Angriffs. Dabei haben es die Hacker unter anderem auf sensible E-Mail-Inhalte und Kommunikationsdaten abgesehen. Eine kontinuierliche und zuverlässige Archivierung bietet hier grundsätzlich mehr Schutz als das willkürliche Speichern in verteilten Postfächern auf den Rechnern von Mitarbeitenden.
Mein Outlook archiviert die E-Mails bereits ausreichend
E-Mail-Anwendungen wie Outlook verfügen in der Tat über konventionelle Archivierungsfunktionen. Die Systeme sind jedoch nicht für die Aufbewahrung großer Datenmengen ausgelegt. Die Flut an E-Mails zwingt bereits heute viele E-Mail-Server in die Knie. Je größer die abgelegte Datenmenge, desto langsamer arbeiten die Systeme und desto länger können sich Backup-Zeiten hinziehen.
Zudem ist die Revisionssicherheit nach GoBD mit herkömmlichen Systemen keinesfalls garantiert. Dazu fehlt die Möglichkeit, Änderungen zu protokollieren, die Ablagestruktur nachzubilden und Dokumente sicher und schnell wieder zu finden. Sind Server und Systeme dann auch noch so konfiguriert, dass Mitarbeitende E-Mails eigenständig löschen oder lokal auf ihren Rechnern speichern können, sind Daten- und Wissenssilos sowie Informationsverlust vorprogrammiert. Eine zentral gesteuerte und revisionssichere Archivierung als komplementäre Lösung zum E-Mail-Server ist daher auch bei kleinen und mittleren Unternehmen ein Muss.
Archivierung und Backup – das ist doch das Gleiche
Ja, auch beim Backup werden E-Mail-Daten gespeichert. Es verfolgt jedoch ein ganz anderes Ziel als die Archivierung. Backup-Systeme sind Bestandteil der Disaster Recovery, um bei einem Systemausfall oder einem Ransomware-Angriff geschäftskritische Daten wiederherzustellen.
Dazu werden jedoch lediglich kurz- oder mittelfristig Kopien der E-Mails erstellt, die beim nächsten Backup teilweise sogar gelöscht bzw. überschrieben werden. Bei der Archivierung hingegen geht es darum, E-Mails über einen längeren Zeitrahmen hinweg vollständig, unverändert und sicher zu speichern. Die GoBD schreibt dafür einen Zeitraum von sechs bis zehn Jahren vor.
Ausdrucken und Abheften von E-Mails ist einfacher als die digitale Archivierung
Nach einer Bitkom Studie 2022 erstellen nur noch 25 Prozent der deutschen Unternehmen ihre Rechnungen überwiegend auf Papier. Auch beim geschäftlichen Schriftverkehr wollen mittlerweile 86 Prozent die Briefpost in den nächsten Jahren vollständig durch digitale Kommunikation ersetzen. Die Idee, alle archivierungspflichtigen E-Mails auszudrucken und abzuheften, mutet da geradezu archaisch an.
Die Suche nach relevanten Informationen, Vereinbarungen und Rechnungsdaten in meterhohen Papierbergen ist weder zielführend noch praktikabel und kostet lediglich Zeit und Nerven. Darüber hinaus entwickelt sich die Papierablage auch immer mehr zur Nachhaltigkeitsfrage. Denn angesichts der zur Herstellung eines einzigen DIN-A4-Blattes benötigten Ressourcen lässt sich der Ausdruck von E-Mails kaum noch rechtfertigen.
Die GoBD schreibt außerdem klar vor, dass geschäftsrelevante Belege, Rechnungen und Aufträge in Originalform archiviert werden müssen. Treffen diese also per E-Mail ein, müssen sie auch in elektronischer Form abgelegt werden. Die ausgedruckte E-Mail ist somit lediglich eine Kopie, die unter Umständen sogar gegen gesetzliche Auflagen verstößt.
Wie so oft ist die Umsetzung von Compliance-Anforderungen auch bei der E-Mail-Archivierung nicht so sehr eine Frage des Wollens wie eine des Könnens. Vielen KMUs fehlen schlichtweg die Ressourcen, um sich dem Thema mit der nötigen Aufmerksamkeit zu widmen. Hier gilt die Devise: Automatisieren, automatisieren, automatisieren.
Smarte Tools zur E-Mail-Archivierung lassen sich mit Standard-Technologien wie Microsoft Office 365 integrieren und arbeiten unbemerkt im Hintergrund des E-Mail-Servers. Anwender greifen so direkt über die gewohnte Outlook-Oberfläche auf ihre E-Mails zu und können die Informationen effektiv nutzen. Unternehmen wiederum können rechtlich auf Nummer sicher gehen und Missverständnisse rund um die Archivierung ad acta legen.
Christoph Nordmann leitet die Unternehmenskommunikation der Easy Software AG.