Verloren im Paragrafendschungel – Gesetzeskonforme E-Mail Archivierung

 

Die Zeiten, in denen noch jedes Dokument als Brief, Fax oder Ausdruck schriftlich abgeheftet wurde, sind seit dem Siegeszug von E-Mail, PDF, CRM und ERP vorbei. War es bis 2001 jedem Unternehmen selber überlassen, ob es seine elektronische Korrespondenz archiviert, wurde es mit dem Inkrafttreten der Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) des Bundesfinanzministeriums zu einer gesetzlichen Vorgabe [1]. Damit sollte geregelt werden, wie digitale Unterlagen für den Fall einer steuerlichen Betriebsprüfung aufzubewahren sind.

Revisionssichere Aufbewahrung

Eine revisionssichere Aufbewahrung dieser Unterlagen muss alle Vorgaben einhalten, die das Finanzrecht zum Schutz dieser Informationen vorsieht. Dabei spielen jedoch nicht nur die Anforderungen der GDPdU eine Rolle. Auch die Abgabenordnung (AO) [2] und verschiedene Paragrafen aus dem Handelsgesetzbuch (HGB) [3] enthalten Regeln zur gesetzeskonformen Archivierung.

Bei der Archivierungsdauer wird inhaltlich zwischen zwei Dokumententypen unterschieden: Buchführungsunterlagen, Jahresabschlüsse, Buchungsbelege und Ähnliches muss zehn Jahre lang archiviert werden, Handelsbriefe und sonstige Unterlagen, die für die Besteuerung von Bedeutung sind, müssen nur sechs Jahre gespeichert werden.

Zusammenfassend muss eine revisionssichere Archivierungs-Lösung folgende Kriterien erfüllen:

  • Vollständigkeit

  • Sicherheit des Gesamtverfahrens

  • Schutz vor Veränderungen

  • Sicherung vor Verlust im Rahmen der gesetzlichen Fristen

  • Dokumentationen des Archivierungsverfahrens

  • Nachvollziehbarkeit und Prüfbarkeit

Für Administratoren eine schier unlösbare Aufgabe, denn zu technischen Details schweigen sich die Gesetzestexte aus. Zu den Fragen, wie die erlassenen Vorgaben umzusetzen sind oder welche Anforderungen an die Hard- und Software gestellt werden, finden sich keine offiziellen Antworten. Das ist vor allem deshalb heikel, weil der Gesetzgeber auf der anderen Seite mit empfindlichen Strafen droht, sollte ein Unternehmen seiner gesetzlichen Archivierungspflicht nicht nachkommen.

E-Mail Archivierung

Beim Thema E-Mail-Archivierung kommen noch weitere Vorschriften hinzu, wenn die zu speichernden E-Mails verschlüsselt sind:

  • Die Signaturen der E-Mails müssen geprüft werden und das Ergebnis dieser Prüfung muss dokumentiert und ebenfalls archiviert werden.

  • Werden die E-Mails in andere Formate konvertiert, müssen alle Formate separat aufbewahrt werden.

  • Der Signaturprüfschlüssel muss ebenfalls archiviert werden.

  • Alle Verarbeitungsschritte müssen protokolliert werden. [4]

Unklar ist auch, wie Unternehmen mit der Archivierung privater E-Mails verfahren sollen. Eine exakte Trennung zwischen privaten und geschäftlichen E-Mails ist in der Praxis in den meisten Fällen so gut wie unmöglich. Zusätzlich greifen in diesem Bereich eine Vielzahl zusätzlicher Vorschriften und Gesetze: Datenschutz, Telemediengesetz, Postgeheimnis oder Telekommunikationsgesetz. Im Idealfall wird die private E-Mail-Nutzung in den Arbeitsverträgen der Mitarbeiter klar geregelt. So kann das Risiko gegen datenschutzrechtliche Bestimmungen zu verstoßen immerhin minimiert werden.

Prüfbarkeit der Daten

Neben den Vorgaben zur Archivierung wird in der Abgabenordnung (AO) auch geregelt, wie ein Unternehmen den Steuerbehörden den Zugriff auf die Daten gewähren muss:

  • Unmittelbarer Zugriff: Der Prüfer sichtet die Unterlagen über einen Zugang der unternehmenseigenen Hard- und Software und wertet diese selber aus.

  • Mittelbarer Zugriff: Das Unternehmen nimmt nach den Vorgaben des Finanzamtes die Auswertungen selber vor und stellt diese dem Prüfer zur Verfügung.

  • Datenträgerüberlassung: Der Prüfer erhält die Originaldaten ausgehändigt und analysiert diese selber mit den Systemen der Finanzverwaltung. [5]

Gerade der letzte Fall kann in Bezug auf die Geheimhaltung für bestimmte Unternehmen zu einem Problem werden. Dann nämlich, wenn Datenschutzvorgaben, Geheimhaltungsverträge oder firmeninterne Bestimmungen es eigentlich verbieten, Datenträger zu kopieren, geschweige denn diese außer Haus zu geben. Dass dieses Vorgehen der Finanzbehörden auch gegen den Willen von Unternehmen durchsetzbar ist, zeigen zahlreiche Entscheidungen der Finanzgerichte, die beispielsweise die Abgabe einer gesonderten Geheimhaltungsvereinbarung für Betriebsprüfer abgelehnt haben. Den schützenswerten Interessen der Unternehmen sei durch das Steuergeheimnis ausreichend Rechnung getragen. [6]

Unklare Umsetzung

Wie schon erwähnt, schweigt sich der Gesetzgeber darüber aus, wie die Einhaltung der erlassenen Vorschriften konkret umzusetzen ist. So bleibt beispielsweise vollkommen unklar, wie die geforderte Unveränderbarkeit der archivierten Dokumente sicherzustellen ist. Die Spanne reicht hier von einem einfachen Kopieren der Daten auf einen nicht überschreibbaren Datenträger, wie beispielsweise eine DVD, bis hin zu kryptografisch abgesicherten Zeitstempeldiensten. Mit gesundem Menschenverstand betrachtet erfüllen beide Lösungen die Vorschrift, ob der Prüfer der Finanzbehörde diese Meinung teilt ist jedoch unklar.

Und um das Chaos perfekt zu machen, reicht die isolierte Archivierung von E-Mails für eine Betriebsprüfung bei weitem nicht aus. Denn diese müssen bei einer solchen Prüfung in Zusammenhang mit anderen relevanten elektronischen Dokumenten gebracht werden. Die Frage, welches Dokument steuerlich relevant ist und welches nicht, entscheidet im Zweifel das Finanzamt. Die Konsequenz, die sich daraus ergibt, kann also nur lauten: Am Besten alles archivieren!

 

[1] Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU)

[2] Gesetzestext der Abgabenordnung (AO)

[3] Handelsgesetzbuch

[4] Verworrene Rechtspraxis ums gesetzeskonforme Archivieren, Linux-Magazin 2009/08, S. 28-31

[5] § 147 Abs.6 Abgabenordnung (AO)

[6] Urteil des Thüringer Finanzgerichtes vom 20.04.2005 – Az. III 46/05 V