Unternehmen, die E-Mails rechtssicher und datenschutzkonform archivieren wollen, stehen vor einer mindestens mittleren Herausforderung. Denn die Aufbewahrungspflichten für E-Mails sind nicht in einem eigenen Gesetz geregelt, sondern ergeben sich aus unterschiedlichsten Rechtsquellen, die teils gegenläufige Ziele verfolgen. Während der Gesetzgeber beispielsweise aus steuerrechtlichen Gesichtspunkten ein Interesse an einer längerfristigen Aufbewahrung hat, stellt die EU-Datenschutz-Grundverordnung (DSGVO) das Gebot der Speicherbegrenzung auf. Je nach Sachverhalt ergeben sich daher verschiedene Fristen, die (auch technisch) in Einklang zu bringen sind.
- Bereitstellung E-Mail Archivierungssoftware in der Cloud oder Lokal
- Bereitstellen der Zugangsdaten (nur bei Cloud-Lösungen notwendig)
- inkl. 50 GB Archivspeicher (bei der Cloud-Lösung)
- Backupmanagement für die Archivdaten
- Helpdesk Support (bis zu 24/7 Support)
Aufbewahrungsfristen für E-Mails
Für die geschäftliche Kommunikation bestehen vielfältige handelsrechtliche und steuerrechtliche Aufbewahrungspflichten. Erfolgt der Schriftverkehr in elektronischer Form, wirken sich diese auch auf den Einsatz der Informationstechnik aus.
Handels- und Geschäftsbriefe, zu denen auch E-Mails mit geschäftlichem Inhalt zählen, sind z. B. mindestens sechs Jahre bzw. bis zum Abschluss einer laufenden Steuerprüfung aufzubewahren (§ 257 Absatz 4 HGB; § 147 Absatz 3 AO). Unabhängig hiervon empfiehlt es sich, Unterlagen mindestens so lange aufzubewahren, wie sich noch Folgen aus dem zugrundeliegenden Rechtsverhältnis ergeben können, etwa solange noch Haftungsansprüche möglich sind. Dies sind grundsätzlich drei Jahre gemäß § 195 BGB.
Für (elektronische) Unterlagen, die für die Bilanzierung relevant sind, gilt eine Aufbewahrungsfrist von zehn Jahren (§ 14b Absatz 1 UStG). Dazu zählen insbesondere Rechnungen, Buchungsbelege und Inventare.
Technische Anforderungen an das E-Mail-Archiv
Gemäß den Grundsätzen zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD) muss der Originalzustand der archivierten Daten jederzeit überprüfbar sein. Das stellt komplexe Anforderungen an das Archivierungssystem:
- Alle Dokumente müssen zeitnah auffindbar sein.
- Systeme sind zudem gegen Vernichtung, Untergang und Diebstahl zu schützen.
- Ein Verändern, Überschreiben oder Ersetzen von Daten darf nicht ohne eine entsprechende Kennzeichnung möglich sein. Zudem müssen die Dokumente jederzeit im ursprünglichen Dateiformat wiederherstellbar sein.
- Wenn neue IT-Systeme eingeführt werden, muss gewährleistet sein, dass die archivierten Datenformate damit kompatibel sind.
- Die Dokumente müssen sich maschinell auswerten lassen. Die Archivierung von Ausdrucken oder PDF-Versionen der E-Mails genügt daher nicht.
Die archivierten E-Mails sollten nur für einen ausgewählten Kreis von Mitarbeitern und nur bei dringendem Bedarf zugänglich sein. Das sollte aus Gründen der Nachweisbarkeit in einem Berechtigungskonzept festgehalten werden. Zudem sollten sich Unternehmen mit der Frage beschäftigen, wie die Unwiederherstellbarkeit archivierter E-Mails nach Ablauf der Aufbewahrungsfrist erreicht wird.
