Elektronische Dokumente wie z.B. E-Mails können Geschäftsbriefe oder Handelsbriefe darstellen und damit auch steuerrechtlich von Bedeutung sein. Jeder Kaufmann ist gemäß §§ 238 Abs. 2 und 257 Abs. 1 Nr. 3 HGB verpflichtet, eine mit dem Original übereinstimmende Wiedergabe der abgesandten Handels- und Geschäftsbriefe (Kopie, Abdruck, Abschrift oder sonstige Wiedergabe des Wortlauts auf einem Schrift-, Bild- oder anderen Datenträger) zurückzubehalten und - geordnet - aufzubewahren. § 257 Abs. 1 Nr. 2 HGB regelt dies auch für empfangene Handelsbriefe.
Definition des "Handelsbriefes". Was fällt alles unter diese Bezeichnung?
Laut § 257 Abs. 2 HGB sind alle Schriftstücke gleichbedeutend mit Handelsbriefen, die ein Handelsgeschäft betreffen. Gemäß § 257 Abs. 3 HGB können mit Ausnahme der Eröffnungsbilanzen und Abschlüsse diese Unterlagen auch als Wiedergabe auf einem Bildträger oder auf anderen Datenträgern aufbewahrt werden. Diese müssen allerdings den „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“ (GoBD) entsprechen....
GoBD & EU-DSGVO - So bekommen Sie die E-Mail-Flut in den Griff |
Gleichzeitig muss sichergestellt sein, dass die Wiedergabe oder die Daten mit den empfangenen Handelsbriefen und den Buchungsbelegen bildlich und mit den anderen Unterlagen inhaltlich übereinstimmen. Auch wichtig: Während der Dauer der Aufbewahrungsfrist müssen die elektronisch archivierten Dokumente verfügbar sein und jederzeit innerhalb angemessener Frist lesbar gemacht werden können.
Werden Sie jetzt Herr über die E-Mail-Flut - mit einem Dokumentenmanagement- und Archivsystem
Soweit E-Mails steuerrechtlich von Bedeutung sind, gelten für deren Archivierung die Vorschriften der Abgabenordnung (AO). In diesem Zusammenhang ist insbesondere auf die Einhaltung der Aufzeichnungs- und Ordnungsvorschriften des zweiten Abschnittes (§§145 ff. AO) Wert zu legen. Ergänzende Hinweise finden sich in den GoBD vom 14.11.2014 – IV A 4 – S 0316/13/10003, welche ebenfalls für steuerrechtlich relevante E-Mails gelten.
Nun hat in den vergangenen Jahren die auf jeden Benutzer einstürzende E-Mail-Flut dafür gesorgt, dass die vorgeschriebenen Aufzeichnungs- und Ordnungsvorschriften sich nicht mehr mit einer Ablage in einer einfachen Ordnerstruktur / Filestruktur erfüllen lassen. Vielmehr verlangen diese Vorschriften auch für E-Mails ein Dokumentenmanagentsystem (DMS) oder zumindest eine Archivierungslösung, die eine sichere und unveränderbare Speicherung sowie eine jederzeitige Verfügbarkeit gewährleistet.
Auch wenn sich Ihr Unternehmen entschieden hat, die ein- und ausgehenden E-Mails in einem von der Archivierung anderer Dokumentenarten (wie Faxe, eingescannte Belege und Schreiben, PDF-Dokumente, Word, Excel, etc.) isolierten Archivsystemen archiviert werden (vgl. zum Thema E-Mail-Silos unseren beliebten Blogbeitrag "GoBD 2017 - Ja zur E-Mail-Archivierung, aber nie im isolierten E-Mail-Archiv"): Für die E-Mail-Archivierung gelten die selben rechtlichen Anforderungen wie für ein komplettes Dokumentenmanagementsystem (DMS).
Für die Prüfung der rechtlichen sowie der technischen und organisatorischen Maßnahmen (TOM) kann daher grundsätzlich auch für isolierte E-Mail-Archivsysteme unsere neue EU-DSGVO-Checkliste für Dokumentenmanagementsysteme verwendet werden. Bei der Archivierung von E-Mails kommen lediglich einige besondere Fragen hinzu.
Soweit in Ihrem Unternehmen steuerrechtlich relevante E-Mails archiviert werden sollen, ist es nicht ausreichend, diese lediglich in einer festgelegten Ordnerstruktur abzulegen. Die gesetzlichen Vorgaben setzen vielmehr ein elektronisches Archivsystem voraus, das die Anforderungen an eine sichere und ordnungsgemäße Archivierung im Sinne der Ordnungsvorschriften der Abgabenordnung (AO) sowie der GoBD erfüllt. Wird ein elektronisches Archiv in diesem Sinne eingesetzt, werden durch die Maßnahmen zur ordnungsgemäßen Archivierung schon viele datenschutzrechtliche Anforderungen mit erfüllt.
Werden in Ihrem Unternehmen auch E-Mails mit personenbezogenen Daten archiviert und sind diese gegebenenfalls mit Personengruppen wie Kunden, Geschäftspartnern, Beschäftigten, Bewerbern verknüpft?
Es ist prinzipiell möglich, dass E-Mails nur zu bestimmten Geschäftsprozessen archiviert werden und keine personenbezogenen Daten enthalten. Wäre dies der Fall, wäre das E-Mail-Archivierungssystem nicht Gegenstand datenschutzrechtlicher Prüfungen.
Aber ganz ehrlich: Dieser Fall ist eigentlich schon wieder undenkbar, da heute fast jede E-Mail nicht an ein Unternehmen sondern an einen konkreten Ansprechpartner gerichtet ist. Auch wenn es sich bei diesen E-Mail-Adressen um geschäftliche Kontaktdaten handelt, sind diese doch personenbezogen. Damit unterliegt die E-Mail-Archiv dem Datenschutz. Es muss zwingend eine Datenschutz-Folgenabschätzung (bisher nach BDSG: Vorabkontrolle) erfolgen und eine entsprechende Verarbeitungstätigkeit (bisher nach BDSG: Verfahren) dem Verzeichnis für Verarbeitungstätigkeiten (bisher nach BDSG: Verfahrensverzeichnis) hinzugefügt werden.
Für die Prüfung der rechtlichen sowie der technischen und organisatorischen Maßnahmen (TOM) kann daher grundsätzlich auch für isolierte E-Mail-Archivsysteme unsere neue EU-DSGVO-Checkliste für Dokumentenmanagementsysteme verwendet werden. Bei der Archivierung von E-Mails kommen lediglich einige besondere Fragen hinzu.
Welches E-Mail-Archivsystem wird eingesetzt?
Soweit in Ihrem Unternehmen steuerrechtlich relevante E-Mails archiviert werden sollen, ist es nicht ausreichend, diese lediglich in einer festgelegten Ordnerstruktur abzulegen. Die gesetzlichen Vorgaben setzen vielmehr ein elektronisches Archivsystem voraus, das die Anforderungen an eine sichere und ordnungsgemäße Archivierung im Sinne der Ordnungsvorschriften der Abgabenordnung (AO) sowie der GoBD erfüllt. Wird ein elektronisches Archiv in diesem Sinne eingesetzt, werden durch die Maßnahmen zur ordnungsgemäßen Archivierung schon viele datenschutzrechtliche Anforderungen mit erfüllt.
Enthalten geschäftliche E-Mails eigentlich personenbezogene Daten?
Werden in Ihrem Unternehmen auch E-Mails mit personenbezogenen Daten archiviert und sind diese gegebenenfalls mit Personengruppen wie Kunden, Geschäftspartnern, Beschäftigten, Bewerbern verknüpft?
Es ist prinzipiell möglich, dass E-Mails nur zu bestimmten Geschäftsprozessen archiviert werden und keine personenbezogenen Daten enthalten. Wäre dies der Fall, wäre das E-Mail-Archivierungssystem nicht Gegenstand datenschutzrechtlicher Prüfungen.
Aber ganz ehrlich: Dieser Fall ist eigentlich schon wieder undenkbar, da heute fast jede E-Mail nicht an ein Unternehmen sondern an einen konkreten Ansprechpartner gerichtet ist. Auch wenn es sich bei diesen E-Mail-Adressen um geschäftliche Kontaktdaten handelt, sind diese doch personenbezogen. Damit unterliegt die E-Mail-Archiv dem Datenschutz. Es muss zwingend eine Datenschutz-Folgenabschätzung (bisher nach BDSG: Vorabkontrolle) erfolgen und eine entsprechende Verarbeitungstätigkeit (bisher nach BDSG: Verfahren) dem Verzeichnis für Verarbeitungstätigkeiten (bisher nach BDSG: Verfahrensverzeichnis) hinzugefügt werden.
Ich freue mich auf Ihre Anfragen.
Ihr Thomas Ströbele