Wie Sie E-Mails richtig aufbewahren

Eine elektronische Nachricht kann steuerrelevant sein, einen Handelsbrief darstellen oder Rechte und Pflichten für das Unternehmen begründen. Beispiele dafür sind Buchungsanweisungen, Rechnungen, vertragsbegleitende Unterlagen, Produktspezifikationen, Protokolle und vieles mehr. E-Mails sind daher nach Handelsgesetzbuch und Abgabenordnung geordnet aufzubewahren. Viele Unternehmen tendieren deshalb dazu, ihre gesamte E-Mail-Kommunikation mit Ausnahme ausgefilterter Spam-E-Mails zu archivieren. Umgesetzt wird das indes unterschiedlich:

• Anwendergetriebene E-Mail-Archivierung bedeutet: Der Benutzer entscheidet situativ, welche E-Mail in welche Archivbereiche (Aktenstrukturen, Bereichsarchive, etc.) mit welchen Indexwerten abgelegt werden soll. Das E-Mail-Archivsystem kann ihn hierbei durch Automatismen bei der Indexierung unterstützen.

• Systemgetriebene E-Mail-Archivierung bedeutet, dass die Archivierung ohne Anwendereingriff regelbasiert und automatisch abläuft.

Anwender- und systemgetriebene Mail-Archivierung decken unterschiedliche Anforderungen ab und ergänzen sich daher häufig in der Praxis, da nur die systemgetriebene Archivierung die rechtliche Anforderung an die Vollständigkeit sicher abdeckt. Geordnet ist das dann in der Regel aber nicht, daher wird zusätzlich die anwendergetriebene Archivierung eingesetzt.

Relevante E-Mails

Ein häufiges Problem ist die Trennung zwischen relevanten und nicht relevanten E-Mails. Relativ einfach ist diese Festlegung bei Rechnungen oder Buchungsbelegen, da hier Aufbewahrungspflicht besteht. Schwieriger wird es bei Korrespondenzen: Anwender können oft nicht bewerten, ob eine E-Mail mit erhaltenen oder getroffenen Aussagen für das Unternehmen relevant ist. Manchmal ergibt sich das erst im Rahmen des beliebten E-Mail-Pingpongs. Anderes Beispiel: Wenn ein Anwender eine gesendete E-Mail in der elektronischen Akte abgelegt hat, und es kommt doch noch eine Antwort, dann muss diese vielleicht auch noch abgelegt werden.

Das führt bei den Anwendern dazu, E-Mails nur in E-Mail-Ordnern mit grober Struktur abzulegen, aber nur unregelmäßig oder gar nicht in den elektronischen Akten. Hier helfen Arbeitsanweisungen und Funktionen, die den Aufwand der Ablage verringern, wie Vorschlagswerte oder Übernahme von E-Mail-Feldern in Indexfelder. Empfehlenswert ist die Kombination aus dieser anwendergetriebenen Ablage mit der systemgetriebenen Ablage, um die Vollständigkeit sicherzustellen.

Archivieren oder lieber nicht
Darf ein Unternehmen jede E-Mail archivieren? Was passiert mit privater Korrespondenzen? Sollte jede E-Mail verschlüsselt werden? Hier finden Sie die gröbsten Fehleinschätzungen bei der E-Mail-Archivierung.

1. Jede Mail muss archiviert werden
Alle Unternehmen – Kleingewerbetreibende ausgenommen – müssen ihre komplette Geschäftskorrespondenz für sechs bis zehn Jahre ab Ende des Kalenderjahres aufbewahren.

2. Jede Mail darf archiviert werden
Einige E-Mails können, andere müssen gespeichert werden. Es gibt aber auch Mails, die auf keinen Fall mitgespeichert werden dürfen: private E-Mails von Mitarbeitern, soweit keine explizite Einwilligung der Mitarbeiter vorliegt.

3. Das Verbot privater Mails in Unternehmen ist juristisch ohne Alternativen
Auch wenn es die bequemste und einfachste Methode ist: Ein striktes Verbot für private E-Mail ist nicht mehr zeitgemäß. Der gesamte Social-Media-Bereich weicht die Grenze von privater und geschäftlicher Nutzung IT auf und gerade die Einbindung des Unternehmens in Facebook, Twitter oder ähnliche Netzwerke erfordert eine private oder halbprivate E-Mail-Korrespondenz während der Arbeitszeit.

4. Das E-Mail-Archiv muss verschlüsselt sein
Der Gesetzgeber verlangt keine Verschlüsselung. Einige Fälle von unbeabsichtigten Datenverlusten zeigen aber, dass es im Eigeninteresse der Unternehmen liegen sollte, Daten verschlüsselt zu speichern und zu übertragen.

5. Bordmittel des E-Mail-Servers bieten alle nötigen Optionen
E-Mails werden häufig in proprietären Archivdateien gesichert, wie beispielsweise PST-Dateien in Exchange-Umgebungen. Diese enthalten nicht nur die gesicherten E-Mails, sondern auch Kalendereinträge, Kontakte sowie Aufgaben und werden häufig auf dem Endgerät des Anwenders abgespeichert. Dies reduziert zwar die Datenmenge auf den Mail-Servern, bietet aber keinerlei Compliance.

6. Ein E-Mail-Archivsystem garantiert Rechtskonformität
Neue, automatisierte Appliances oder Cloud-Lösungen mit hohem Zusatznutzen steigern die Motivation in Unternehmen, ihre E-Mail-Archivierung rechtskonform aufzusetzen. Doch die Tools automatisieren nur den Archivierungsvorgang.

7. E-Mail-Archivierung geschieht nur aus juristischen Gründen
Selbst wenn es keine gesetzliche Verpflichtung geben würde, ist eine Sicherung der E-Mails nach heutigen Standart sinnvoll: Eine umgehende Wiederherstellung verloren gegangener E-Mail-Infrastrukturen ist jederzeit möglich - entweder von einer lokalen Appliance oder von einem externen Rechenzentrum, wo die Daten gespiegelt sind.

E-Mail-Rechnungen

Mit dem Steuervereinfachungsgesetz 2011 sind die umsatzsteuerlichen Regeln für elektronische Rechnungen deutlich vereinfacht worden. Elektronische Rechnungen dürfen damit im E-Mail-Body enthalten sein, auch die Rechnung als PDF-Attachment ist zulässig. Es werden keine besonderen Anforderungen an die Übermittlung gestellt, so dass das vorhandene E-Mail-System leicht genutzt werden kann.

Für die Aufbewahrung wird ohne technische Vorgaben auf die Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS) und die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) verwiesen. Nur einen Papierausdruck aufzubewahren reicht allerdings nicht, auch wenn dies Kleinunternehmen oft so machen. Dies führt zwar nicht zur Aberkennung der Vorsteuer, doch kann Verzögerungsgeld verhängt werden, da die Rechnungen nicht im elektronischen Format vorgelegt werden können. Sortieren in Ordnerstrukturen und regelmäßiges Brennen auf CD/DVD ist die Minimallösung.

Oft diskutiert wird die Frage, ob ein E-Mail-Body aufbewahrt werden muss, wenn die Rechnung selbst im E-Mail-Attachment enthalten ist. Die Rechtsgrundlagen geben hierüber keine Auskunft. Als Buchungsbeleg reicht zwar das Attachment aus, allerdings will man oft betriebsintern nachvollziehen, wann und über welchen Weg eine Rechnung im Unternehmen eingetroffen ist. Die-se Informationen sind nur im E-Mail-Header enthalten.

Private E-Mails

Bei der Aufbewahrung von E-Mails ist zu beachten, inwieweit die Firmenadresse für die private Kommunikation genutzt wird. Schon die Spam-Filterung kann private Mails filtern und so das imTelemediengesetz (TMG) geregelte Fernmeldegeheimnis durch Vorenthaltung der Informationen für den Arbeitnehmer verletzen. Eine systemgetriebene vollständige Archivierung ist ohne Erlaubnis durch den Mitarbeiter nicht möglich, da sich nicht ausschließen lässt, dass private E-Mails archiviert werden, auf die später aus Datenschutzgründen nicht zugegriffen werden kann. Ein E-Mail-Archiv kann nicht automatisch in "dienstlich" und "privat" differenzieren, und der Anwender hat ja keine Chance, private Mails vorher zu löschen. Für den Umgang mit privaten E-Mails gibt es diese Varianten:

• Private E-Mails werden verboten. Die Einhaltung des Verbots muss regelmäßig geprüft, werden, sonst gilt die private Nutzung als geduldet.

• Nutzung separater E-Mail-Adressen für private E-Mails.

• Private-E-Mails werden zugelassen, sind aber nicht mit dem hauseigenen E-Mail-System zulässig, sondern nur bei Google Mail, web.de oder ähnlichen Anbietern.

• Private E-Mails werden der vollständigen E-Mail-Archivierung nicht mit archiviert, da es Regeln gibt, durch die sie erkannt werden können, zum Beispiel Ordner "Privates" in jedem Postfach.

• Private E-Mails werden mitarchiviert. Für den Zugriff auf das Postfach werden Regeln mit dem Betriebsrat abgestimmt.

Die Empfehlung lautet hier: Weg von der privaten Nutzung mit Firmen-Mail-Adresse, hin zu privater Nutzung mit privatem Account über andere Kommunikationswege (zum Beispiel Web-Dienste) oder Abschluss einer Betriebsvereinbarung, die dem Unternehmen alles erlaubt, was im Falle einer E-Mail-Recherche notwendig ist.

Unterschiedliche Ansätze im Umgang mit E-Mails

Art der Aufbewahrung	Ausdruck der E-Mail	Aufbewahrung im E-Mail-System/ Dateisystem	Vollständige E-Mail-Archivierung	Anwender-bezogene E-Mail-Archivierung
Erfüllung rechtlicher Anforderungen	Ja, für Belegfunktion. Nein, für maschinelle Auswertbarkeit (GDPdU). Vollständigkeit "nur" durch Anwender.	Nein, keine Sicherstellung der Unveränderbarkeit. Vollständigkeit "nur" durch Anwender.	Nein, Vollständigkeit durch System. Keine Ordnung, kein Kontextbezug.	Ja, Vollständigkeit "nur" durch Anwender.
Trennung relevante und nicht relevante E-Mails	Ja	Abhängig von der Art der Umsetzung	Nein	Ja
Geordnete Ablage im fachlichen Kontext (gemeinsam mit anderen Dokumenten)	Ja, wenn alles auf Papier	Ja, aber nur für E-Mails	Nein	Ja
Abgrenzung zu privaten E-Mails	Ja	Ja	Nein	Ja
Gute Suchfunktionen	Nein	Ja	Eingeschränkt, da nur E-Mail-Attribute und Volltext	Ja
Quelle: Zöller & Partner GmbH

Original- oder Langzeitformat

Für E-Mails gibt es keinen generellen Format-Speicherstandard oder einen rechtlich begründeten Zwang zur Konvertierung, bevor sie archiviert werden. Jeder Mail-Client stellt den Inhalt einer E-Mail schließlich unterschiedlich formatiert dar.

E-Mail-Archivlösungen bieten oft eine Konvertierung in Zielformate wie PDF oder TIFF aus unterschiedlichen Quellformaten an. Diese Formate sind aber als "flache Druckformate" nur für druckbare Dokumente geeignet, die einen deterministischen Druckbereich kennen. Bereits Microsoft Excel führt hier häufig erst nach mehreren Anläufen zum Ziel, eine automatische Excel-Rendition (-Wiedergabe) gelingt fast nie. Das gilt erst recht für solche Formate, die beim Ausdruck nur eine Untermenge der enthaltenen Informationen visualisieren.

Kennwortgeschützte Dateianhänge können vom Konvertierprogramm nicht geöffnet und umgewandelt werden; enthaltene Makroprogramme unterbrechen den Konvertierprozess und verlangen von einem Administrator Eingaben oder andere Aktionen. Falls das System hierauf nicht "intelligent" reagieren kann, besteht die Gefahr, dass ein Administrator ständig die Konvertierroutine überwachen und eingreifen muss. In solchen Fällen ist es zwingend erforderlich, dass Anwender Ausschlusslisten für die automatische, im Hintergrund ablaufende Konvertierung einrichten können. Außerdem darf der Rendition-Service nicht das gesamte System zum Absturz oder Stillstand bringen, wenn ein Fehler auftritt. Solche E-Mails gehören in einen Überlauf/Fehler-Bereich, wo sie individuell nachbehandelt werden können.

So gehen unterschiedliche Systeme mit E-Mails um

	E-Mail-Archiv-Produkt, Blackbox-Systeme	DMS mit E-Mail-Archiv-Modul	Exchange 2010
Archivierungsumfang	Einzelne/Alle Mails	Einzelne/Alle Mails, weitere Dokumente	Einzelne/Alle Mails
Konvertierung (PDF)	Selten	Typisch: Wahlweise	Nein
Speicher (typisch)	NAS, WORM(-Platte)	WORM(-Platte)	NAS, Platte
WORM-Speicher	Möglich	Möglich	Nicht möglich
Zusätzliche einheitliche Metadaten	Manchmal	Typisch	Nein (nur Tags)
Ablage in Aktenstrukturen	Nein	Bei Einzelablage möglich	Nein
Regelwerk für systemgetriebene Archivierung	Zeiträume, Postfachgröße, Mail-Größe und Mail-Inhalte etc.	Zeiträume, Postfachgröße, Mail-Größe und Mail-Inhalte etc.	Nur nach Ablauf definierter Zeitraum Mail-Eingang im Postfach
Einbindung Mail in Geschäftsprozess	Nein, persönliches Archiv	Bei Einzelablage typisch	Nein, persönliches Archiv
Einhaltung Compliance-Richtlinien	Möglich, beschränkt auf Mails	Möglich, für alle ContentObjekte (Dokumente)	Möglich, beschränkt auf Mails
Selektives Ausgrenzen einzelner Mails bei Zugriff	Untypisch	Möglich	Möglich
Quelle: Zöller & Partner GmbH

GDPdU@firma.de

Oft denken Unternehmen über die Einrichtung einer E-Mail-Adresse speziell für steuerrelevante E-Mails nach. Zwar wären die an diese Adresse gesendeten E-Mails dadurch zumindest im Original gespeichert, aber es stellen sich hier andere Probleme:

• Die Frage, welche E-Mails archiviert werden sollen, bleibt bestehen.

• Die nachhaltige und dauerhafte Speicherung muss für das E-Mail-Postfach sichergestellt werden.

• Erforderliche Ablagekriterien wie Kundennummer oder Dokumentenart fehlen.

• Ein Löschen der E-Mails lässt sich gegebenenfalls nur über Rechte im Mail-Sys-tem verhindern.

• Es müsste sich nachvollziehen lassen, wer wann wie zugegriffen hat, was nicht immer möglich sein wird.

• Eine spätere Suche einzelner E-Mails ist sehr schwierig.

Aus diesen Gründen ist diese Art der Umsetzung für steuerrelevante E-Mails in der Regel nicht erfolgreich.

Volltextsuche in Anhängen

Volltextindizierung bildet mittlerweile eine Standardfunktion in den meisten DMS-Lösungen. Was für Mailbodies (Text) einfach erscheint, gilt aber nicht immer für Anhänge. So können beispielsweise in Lotus-Notes-Mails enthaltene Anhänge bei einer Speicherung im DXL-Format aufgrund ihrer proprietären Codierung von vielen Volltext-Lösungen in Mail-Archiven nicht gelesen werden. Hier gilt es bei einer Produktauswahl zu prüfen, ob die relevanten Formate für E-Mail-Attachments unterstützt werden.

Fazit

Die Aufbewahrung von E-Mails ist und bleibt ein komplexes Thema mit vielen organisatorischen und technischen Aspekten:

• Die weltweit am weitesten verbreitete Textverarbeitung zur Erstellung aufbewahrungspflichtiger Dokumente sind Mail-Clients.

• Die Anwender erstellen oder empfangen in ihren Mail-Systemen um ein Vielfaches mehr rechtlich relevante Dokumente als in allen anderen Systemen. Die Aufbewahrung dagegen hinkt anderen Systemen weit hinterher.

• Was die Anwender in der Tagesarbeit vor allem drückt, ist die Lückenhaftigkeit der Akten: ohne ein- und ausgehende E-Mails in den elektronischen Akten kann man keine belastbare Auskunft mehr geben. Man weiß, dass es noch viel mehr zum Vorgang gibt, aber diese Informationen sind oft in den schwarzen Löchern der E-Mail-Ablagen verschwunden. (Computerwoche)