Seit Mai 2018 ist die Datenschutzgrundverordnung (DSGVO) bereits in Kraft – und noch immer bereitet ihre Umsetzung vielen Unternehmern Kopfzerbrechen. Erschwerend kommt hinzu, dass aufgrund der andauernden Corona-Situation immer mehr Geschäftsprozesse digital abgewickelt werden. Besonders die Kommunikation per E-Mail ist aus der Geschäftswelt kaum noch wegzudenken. Die rechtlichen Anforderungen hinsichtlich der gesetzlich vorgeschriebenen Aufbewahrungspflichten für die digitale Korrespondenz werden dabei jedoch häufig unterschätzt. Hier erfährst du, wie du deine E-Mails revisionssicher und zugleich datenschutzkonform archivierst.

1. Muss ich meine E-Mails archivieren?
2. Der rechtliche Rahmen
3. Was genau bedeutet „revisionssichere Archivierung“?
4. E-Mail-Archivierung und DSGVO: Revisionssicher und datenschutzkonform – geht das?

1. Muss ich meine E-Mails archivieren?
Jedes Unternehmen in Deutschland unterliegt der Pflicht, seine (digitalen) Geschäftsbelege für die Dauer eines gesetzlich festgelegten Zeitraums revisionssicher aufzubewahren. Dazu gehören auch geschäftliche E-Mails. Dabei genügt es nicht, die E-Mails einfach auszudrucken und irgendwo abzuheften. Denn digitale Originalbelege, also eben zum Beispiel E-Mails, müssen zwingend auch in elektronischer Form archiviert werden! Von dieser Verpflichtung ausgenommen sind einzig sogenannte Nicht-Kaufleute, also Freiberufler und Kleingewerbetreibende.

2. Der rechtliche Rahmen
Ein zentrales Gesetz, dass die Archivierung von E-Mails festschreibt, gibt es nicht. Die Anforderungen ergeben sich vielmehr aus diversen Vorschriften und Gesetzen, zum Beispiel dem Handelsgesetzbuch (HGB), der Abgabenordnung (AO) und den „Grundsätzen zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“ (GoBD).

Welche E-Mails genau der gesetzlichen Aufbewahrungspflicht unterliegen, ist dabei in § 147 AO festgelegt. Dort steht geschrieben, dass alle E-Mails archiviert werden müssen,…
… die als Handels- und/oder Geschäftsbrief fungieren. Ob es sich dabei um Eingangs- oder Ausgangsmails handelt, ist irrelevant.
…die einen gesendeten oder empfangenen Buchungsbeleg beinhalten.
…die steuerlich relevante Unterlagen beinhalten.
…die Inventare, Bücher, Jahresabschlüsse, Eröffnungsbilanzen, Arbeitsanweisungen usw. enthalten.

Auch § 257 HGB besagt, dass alle Handelsbriefe, also der komplette Schriftverkehr, der den Handel betrifft, aufbewahrt werden muss. Dabei hängt es natürlich vom jeweiligen Inhalt einer E-Mail ab, ob diese tatsächlich als Handelsbrief zu definieren ist und daher vorgehalten werden muss. Das wäre beispielsweise bei E-Mails der Fall, die Angebote, Rechnungen, Zahlungserinnerungen o.ä. enthalten. Denn per Definition handelt es sich bei einem Handelsbrief um ein Dokument, das dazu dient, ein Handelsgeschäft vorzubereiten, abzuschließen oder rückgängig zu machen.
Darüber hinaus kann sich die Pflicht zur Archivierung von E-Mails auch aufgrund vertraglicher Vereinbarungen ergeben. Dabei regeln mindestens wie Vertragspartner untereinander, welche Mails wie lange vorzuhalten sind.

[Mehr zu den gesetzlich vorgeschriebenen Archivierungsfristen findest du hier.]

3. Was genau bedeutet „revisionssichere Archivierung“?
Revisionssichere Archivierung ist die Aufbewahrung von elektronischen, geschäftsrelevanten Dokumenten, die in Deutschland den Anforderungen des Handelsgesetzbuches (§§239, 257 HGB), der Abgabenordnung (§§146, 147 AO), sowie den „Grundsätzen zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“ (GoBD) und weiteren steuerrechtlichen und handelsrechtlichen Vorgaben an die sichere und ordnungsgemäße Aufbewahrung von kaufmännischen Dokumenten entsprechen und die gesetzlichen Aufbewahrungsfristen von sechs bis zehn Jahren erfüllen muss.

Damit eine revisionssichere E-Mail-Archivierung gewährleistet ist, muss das verwendete Archivsystem entspechend der GoBD folgende grundlegende Kriterien erfüllen:

1. E-Mails müssen unverändert archiviert werden.
2. Keine E-Mail darf auf dem Weg oder im Archiv verloren gehen.
3. E-Mails müssen kurzfristig wiederauffindbar sein.
4. E-Mails dürfen nicht während der vorgesehenen Lebenszeit gelöscht werden.
5. E-Mails müssen genauso wie sie erfasst wurden, wieder angezeigt und gedruckt werden können.
6. Durch eine Dokumentation bei Veränderungen in der Organisation und Struktur des Archivs muss die Herstellung des ursprünglichen Zustands möglich sein.
7. Eine Migration auf neue Plattformen muss ohne Informationsverluste möglich sein.

Bezüglich der Archivierungsfrist für E-Mails orientieren sich viele Unternehmen an den steuerlichen Aufbewahrungsfristen, z.B. zehn Jahre für Buchungsbelege und Rechnungen, und übertragen diese auf E-Mails des entsprechenden Typs. Die Aufbewahrungsfrist für Geschäfts- und Handelsbriefe liegt bei sechs Jahren. Übrigens beginnen die jeweiligen Aufbewahrungsfristen erst dann, wenn der Inhalt der E-Mails keine steuerliche Relevanz mehr hat und die Festsetzung der Steuer abgeschlossen ist.

Bei der rechtssicheren Archivierung digitaler Dokumente muss ein besonderes Augenmerk auf die verwendete Hard- und Software gelegt werden. Schließlich müssen die archivierten Belege und E-Mails jederzeit wieder hergestellt, bzw. wieder lesbar gemacht werden können. Darüber hinaus muss sichergestellt werden, dass zur Gewährleistung des betrieblichen Datenschutzes nur berechtigte Personen Zugang zu den archivierten Mails haben. Damit soll sichergestellt werden, dass bereits archivierte Dokumente von Manipulation geschützt sind.

4. E-Mail-Archivierung und DSGVO: Revisionssicher und datenschutzkonform – geht das?
Zurück zur eingangs erwähnten Datenschutzgrundverordnung (DSGVO): Diese beinhaltet eine Löschpflicht für alle personenbezogenen Daten, die nicht mehr verwendet werden. Das betrifft auch die E-Mail-Kommunikation.

Demnach erfolgt eine Speicherung und Verarbeitung solcher Daten im Sinne der DSGVO immer nur auf einen bestimmten Zweck hin. Dieser kann sich beispielsweise auf die Erbringung einer bestimmten Leistung beziehen, ohne die die Verarbeitung der Kundendaten nicht möglich wäre. Sobald dieser Zweck entfällt, müssen die Daten gelöscht werden.

Daneben gibt es noch zwei weitere Fälle, in denen die Archivierung eingeschränkt oder nicht gestattet ist: Dies ist zum einen die E-Mail-Kommunikation zwischen Mitarbeiter und Betriebsrat oder -arzt, die vertraulich zu behandeln und daher von der Archivierung auszunehmen ist. Zum anderen dürfen auch persönliche E-Mails von Mitarbeitern nicht vom Unternehmen archiviert werden. Die private E-Mail-Kommunikation muss daher klar von der dienstlichen abgegrenzt werden.

Um sowohl der Aufbewahrungs- als auch der Löschpflicht nachkommen zu können, müssen Unternehmer bei der E-Mail-Archivierung drei wichtige Aspekte berücksichtigen: Zunächst müssen persönliche Informationen wie etwa die private E-Mail-Kommunikation der Mitarbeiter erkannt und markiert werden können. Die Daten müssen klassifiziert werden, um die Frage beantworten zu können, worum es sich hierbei handelt, damit entsprechende Aufbewahrungsfristen gewährleistet werden können. Zu guter Letzt müssen die Zeiten für die Aufbewahrungsfristen definiert werden. Dabei ist es wichtig, dass die Speicherung strukturiert und indexiert erfolgt und auch Anhänge inkludiert, damit ein schnelles Auffinden gewährleistet werden kann.