E-Mail-Archivierung im Online-Shop: Pflichtumfang und rechtskonforme Umsetzung

Als zentrales Medium der elektronischen Kommunikation ist die E-Mail in Online-Shops essentieller Bestandteil von Geschäftsanbahnungen, von Vertragsabwicklungen und von jedem sonstigen Austausch mit potenziellen und bereits gewonnenen Kunden. Wenig bekannt ist allerdings, dass geschäftlicher E-Mail-Verkehr besonderen Aufbewahrungspflichten unterliegen kann und Shopbetreiber demgemäß für bestimmte Mails eine rechtskonforme Archivierung sicherzustellen haben. In welchen Fällen und für wie lange eine Archivierung vorzunehmen ist und welche Voraussetzungen des Abgaben- und Datenschutzrechts hierbei zu beachten sind, stellt der nachfolgende Beitrag der IT-Recht Kanzlei dar.

I. Rechtspflichten für die Archivierung von E-Mails

Entgegen einer verbreiteten Auffassung sind Shop-Betreiber nicht grundsätzlich gehalten, sämtlichen Mailverkehr – egal ob intern oder extern – über bestimmte zeitliche Abstände hinweg zu speichern und einer ordnungsgemäßen Archivierung zuzuführen.

Vielmehr fließen Pflichten zur Mailarchivierung aus bestimmten Rechtsvorschriften nur für bestimmte Arten der geschäftlichen Kommunikation für den Fall, dass diese über das Medium „E-Mail“ betrieben wird. Hintergrund hierfür ist die buchhalterisch lückenlose Dokumentation zu primär steuerlichen Erfassungszwecken.

Die Pflicht zur Mail-Archivierung geht insofern mit steuergesetzlichen Aufbewahrungspflichten für bestimmte Handelsdokumente einher und muss immer dann beachtet werden, wenn die Mail selbst aufgrund ihres Inhalts das Handelsdokument verkörpert.

Ist die Mail dahingegen bloßes „Transportmittel“, etwa für ein Handelsdokument im Mail-Anhang, ist diese von der Archivierungspflicht nicht betroffen. In jenen Fällen sind nur die angehängten Dokumente zu archivieren.

Als Archivierung gilt hierbei stets die langfristige Speicherung der Mail auf einem separaten Datenträger. Ihr Zweck ist nicht primär die Wiederherstellung der Daten im Bedarfsfall, sondern die Dokumentation.

1.) Handels- oder Geschäftsbriefe, § 147 Abs. 1 Nr. 2 und 3 AO

Besondere Aufbewahrungspflichten bestehen zunächst nach § 147 der Abgabenordnung (AO) für sogenannte „Handels- und Geschäftsbriefe“.

Nach § 147 Abs. 1 Nr. 2 und 3 und Abs. 3 AO sind Shopbetreiber verpflichtet, sowohl empfangene als auch abgesandte Handels- oder Geschäftsbriefe grundsätzlich für 6 Jahre aufzubewahren.

Die Aufbewahrungsfrist beginnt mit dem Schluss des Kalenderjahres, in dem der Handels- und Geschäftsbrief empfangen oder abgesandt worden ist (§ 147 Abs. 4 AO).

Mit Handelsbriefen meint das Gesetz die Korrespondenz des Kaufmanns und sonstiger Handelsunternehmen im Sinne des Handelsgesetzbuches (HGB), mit Geschäftsbriefen die Korrespondenz der übrigen Buchführungs- und Aufzeichnungspflichtigen.

Eine gleichlautende Pflicht fließt in Bezug auf „Handelsbriefe“ daher für Kaufmänner sowie für Handelsgesellschaften (GbR, OHG, KG), für die eingetragene Genossenschaft sowie für die juristischen Personen (GmbH, AG) auch aus §§ 238 Abs.2, 257 HGB.

Handels- oder Geschäftsbriefe sind Schriftstücke, die der Geschäftsanbahnung (etwa Antwort auf ein Angebot, Erstellung eines Angebots), der Durchführung (Lieferung, Zahlungserinnerung etc.) oder einer Aufhebung (Storno) dienen.

Dabei ist "Schriftstück" nicht wörtlich zu verstehen und keineswegs nur auf physische Unterlagen zu beziehen. Vielmehr fallen hierunter sämtliche Dokumentformen, die über Kommunikationswege geschäftsbezogen ausgetauscht werden können. Insofern können auch E-Mails betroffen sein.

E-Mails sind von den Aufbewahrungspflichten für Handels- und Geschäftsbriefe betroffen, wenn sie selbst die maßgeblichen Inhalte der Geschäftskommunikation enthalten. Werden sie nur eingesetzt, um Dokumente per Anhang zu übermitteln, gelten sie selbst nicht als „Handels- oder Geschäftsbriefe“.

Ebenfalls nicht als maßgebliche Handelsdokumente gelten Mails sonstiger Inhalte, etwa Werbemails, oder Mails mit rein unternehmensinterner Kommunikation (ohne Außenwirkung).

2.) Buchungsbelege, § 147 Abs. 1 Nr. 4 AO

Ferner bestehen besondere Aufbewahrungsfristen gemäß § 147 Abs. 1 Nr. 4 AO für sogenannte Buchungsbelege, die sich als Pflicht zur Mail-Archivierung auswirken können, sofern Mails selbst aufgrund ihres Inhalts die maßgebliche Dokumentenqualität aufweisen.

Die Aufbewahrungsfrist beträgt nach § 147 Abs. 3 AO 10 Jahre und beginnt mit dem Schluss des Kalenderjahres, in dem der Buchungsbeleg entstanden ist (§ 147 Abs. 4 AO).

Eine gleichlautende Pflicht fließt für Kaufmänner sowie für Handelsgesellschaften (GbR, OHG, KG), für die eingetragene Genossenschaft sowie für die juristischen Personen (GmbH, AG) auch aus § 257 Abs. 1 Nr. 4 HGB.

Buchungsbelege in diesem Sinne sind alle Unterlagen über die einzelnen Geschäftsvorfälle. Sie gelten als Grundlagen der einzelnen Eintragungen in die Geschäftsbücher und für die sonstigen Aufzeichnungen.

Je nach Geschäftsvorfall kommen insbesondere folgende Arten von Buchungsbelegen in Betracht:

• Aktennotizen und interne Buchungsanweisungen,
• Aufzeichnungen über Sonderverkäufe und Werbeaktionen,
• Belastungs- und Gutschriftnoten,
• Bescheide über Abgaben, Beiträge und Gebühren,
• Eigenbelege für Stornobuchungen,
• Inventuraufzeichnungen jeder Art (mengen- und wertmäßig)
• Kommissionslisten, Kontoauszüge, Konnossemente, Kostenberichte, Kostenträgerrechnungen,
• Lieferscheine, Lohn- und Gehaltsabrechnungen, Lohn- und Gehaltslisten,
• Portokassenbücher,
• Protokolle, Prüfungsberichte jeder Art,
• Quittungen,
• Reisekostenabrechnungen,
• Saldenbestätigungen, Saldenlisten,
• Schecks (oder die dazu gehörenden Unterlagen) und Scheckbücher,
• Ursprungsbelege (Preislisten, Kontrollzettel),
• Vertragsurkunden,
• Wechsel (oder die dazu gehörenden Unterlagen) und Wechselbücher,
• Zahlungsanweisungen

3.) Rechnungen, § 14b Abs. 1 UStG

Zuletzt besteht eine besondere Aufbewahrungspflicht nach § 14b Abs. 1 UStG für Rechnungen. Nach dieser Vorschrift muss ein Unternehmer ein Doppel jeder Rechnung, die er selbst oder ein Dritter in seinem Namen und für seine Rechnung ausgestellt hat, sowie alle Rechnungen, die er erhalten hat, für 10 Jahre aufbewahren.

Nach § 14b Abs. 1 Satz 3 UStG beginnt die Aufbewahrungsfrist mit dem Schluss des Kalenderjahres, in dem die Rechnung ausgestellt worden ist.

Als Rechnung gilt gemäß § 14 Abs. 1 UStG jedes Dokument, mit dem über eine Lieferung oder sonstige Leistung abgerechnet wird, gleichgültig, wie dieses Dokument im Geschäftsverkehr bezeichnet wird. Auch Zinsrechnungen stellen tatbestandliche Rechnungen dar.

Mails sind von der Aufbewahrungspflicht für Rechnungen nur betroffen, wenn die maßgebliche Rechnungsaufstellung unmittelbarer Inhalt der Mail ist. Hängt eine Rechnung nur im Anhang bei, stellt die Mail nur das Transportmittel dar und ist nicht archivierungspflichtig.

Auch wenn die Rechnungsstellung im Inhalt einer Mail im Online-Handel die absolute Ausnahme darstellen sollte, ist die Archivierungspflicht nicht gänzlich irrelevant.

Archiviert werden müssen Mails nach § 14b Abs. 1 UStG nämlich auch dann, wenn sich aus deren Inhalt etwa ergänzende Informationen zu einer Rechnung ergeben.

II. Technische Vorgaben und datenschutzrechtliche Voraussetzungen für die Mail-Archivierung

Unterliegen geschäftliche E-Mails aufgrund deren Qualifikation als aufbewahrungspflichtige Geschäftsdokumente dem Archivierungserfordernis, gilt es hierbei bestimmte Anforderungen zu beachten.

Diese fließen zum einen aus der Verwaltungsvorschrift „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD)“, welche die Auffassung der obersten Finanzbehörden zum Umgang mit steuerrechtlich relevanten elektronischen Daten wiedergeben.

Andererseits sind aber auch Vorschriften des geltenden Datenschutzrechts zu beachten.

1.) Vorgaben zur Mail-Archivierung nach der GoBD

Gemäß der GoBD müssen sich aufbewahrungspflichtige Mails zunächst maschinell auswerten lassen. Ungenügend ist daher die Archivierung von physischen Ausdrucken oder PDF-Versionen der Mails. Insofern ist ein geeignetes elektronisches Archivierungsverfahren zu wählen.

Als weitere Voraussetzung sind E-Mails, die aufbewahrungspflichtige Geschäftsdokumente verkörpern, zwingend unverändert zu archivieren.

Hieraus folgt die Pflicht zur Gewährleistung, dass derartige Mails nicht mehr unterdrückt oder ohne Kenntlichmachung überschrieben, gelöscht, geändert oder verfälscht werden können.

Nach der GoBD nicht ausreichend ist es daher, die Mails lediglich in einem Mail- oder Dateisystem ohne zusätzliche Sicherungsmaßnahmen abzulegen. Vielmehr sind zusätzliche Schritte oder Vorkehrungen erforderlich, welche einen Manipulationsschutz gewährleisten.

Gemäß der GoBD kann die Unveränderbarkeit einerseits durch Auslagerung des Archivs auf einen externen, fälschungssicheren und zugriffsgeschützten Datenträger erfolgen. Alternativ ist es möglich, die Unveränderbarkeit softwaremäßig (z. B. durch Sicherungen, Sperren, Festschreibung, Löschmerker, automatische Protokollierung, Historisierungen, Versionierungen) als auch organisatorisch (z. B. mittels Zugriffsberechtigungskonzepten) zu gewährleisten. In jedem Fall sind die Datenbestände gegen Vernichtung, Untergang und Diebstahl zu schützen.

Ratsam ist es daher, für die Archivierung ein Datenverarbeitungs- oder Dokumentenmanagementsystem heranzuziehen, das durch entsprechende Zugriffskontrollen gesichert ist und in der Lage ist, zu protokollieren, ob, zu welchem Zeitpunkt und zu welchem Umfang eine archivierte Mail nachträglich geändert wurde.

Ferner muss das System inhaltlich gewährleisten können, dass die aufbewahrungspflichtigen Mails einem bestimmten Geschäftsvorgang zugeordnet werden. Auch ist sicherzustellen, dass für die Mails im Archivformat eine geeignete Textsuche zur Verfügung steht.

2.) Datenschutzrechtliche Voraussetzungen

In Anbetracht der Fülle an E-Mails, die den Machtbereich von Shopbetreibern täglich erreichen und verlassen, wird im Regelfall eine Differenzierung von geschäftlichen und sonstigen Mails und mithin auch eine nur partielle Archivierung der tatsächlich aufbewahrungspflichtigen Inhalte kaum möglich sein. Zu groß ist das Risiko, dass einzelne archivierungspflichtige Mails übersehen werden.

Mehrheitlich fassen Shopbetreiber insofern den Entschluss, tatsächlich sämtlichen eingehenden und ausgehenden Mailverkehr zu archvieren.

Hierbei können allerdings Probleme mit dem Datenschutzrecht entstehen, wenn von der Archivierung auch Mailverkehr betroffen ist, der auf eine private Nutzung der Mailkonten durch Mitarbeiter zurückzuführen ist.

Werden nämlich E-Mails archiviert, die von Mitarbeitern zu privaten Zwecken außerhalb der vereinbarten beruflichen Leistung versendet oder empfangen werden, stellt dies regelmäßig eine Verarbeitung von personenbezogenen Mitarbeiterdaten in Form der Speicherung (Art. 4 Nr. 2 DSGVO) dar.

Eine solche ist für private Kommunikation im Betrieb aber gemäß Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 26 BDSG grundsätzlich nur zulässig, wenn der betroffene Mitarbeiter/die betroffenen Mitarbeiter hierzu im Voraus seine/ihre ausdrückliche(n) Einwilligung(en) erteilt hat/haben.

Um Datenschutzverstößen bei undifferenzierten Mail-Archivierungen vorzubeugen, ist so entweder eine ausdrückliche Einwilligung aller Mitarbeiter zur Archivierung auch der privaten Mail-Kommunikation einzuholen und ein entsprechendes Detektions- und Löschkonzept für die Vernichtung tatsächlich nicht aufbewahrungspflichtigen Mailverkehrs in regelmäßigen Abständen einzurichten. Besteht ein Betriebsrat, kann gemäß § 87 des Betriebsverfassungsgesetzes (BetrVG) auch eine generelle Vereinbarung mit diesem getroffen werden.

Alternativ ist es aber auch erlaubt, Mitarbeitern die private Mail-Kommunikation von betrieblichen Mail-Konten aus generell zu untersagen. Unter Verstoß gegen dieses Verbot betriebene Privatkommunikation von Mitarbeitern würde danach grundsätzlich als geschäftlich qualifiziert und bedürfte selbst bei Personenbezug einer Einwilligung nicht.

Freilich wäre aber in datenschutzrechtlicher Hinsicht auch in diesem Fall eine fristlose Archivierung tatsächlich nicht aufbewahrungspflichtiger Mailkommunikation (einen Personenbezug unterstellt) nicht zulässig.

Auch in diesem Fall wäre also ein geeignetes Detektions- und Löschkonzept verpflichtend einzurichten, welches die turnusmäßige Erkennung und Eliminierung von archiviertem, aber rechtlich nicht archivierungspflichtigem Mailbestand sicherstellt.

III. Fazit

Mails, die im elektronischen Geschäftsverkehr gesendet und empfangen werden, können archivierungspflichtig sein, wenn sie selbst aufgrund ihrer Inhalte aufbewahrungspflichtige Geschäftsdokumente darstellen. Die Archivierungsfrist entspricht hierbei immer der jeweiligen gesetzlich angeordneten Aufbewahrungsdauer.

Stellen geschäftliche Mails dahingegen nur das Transportmedium für Geschäftsdokumente (etwa Mail-Anhang) dar, sind sie selbst nicht archivierungspflichtig.

Für eine technisch ordnungsgemäße Archvierung von E-Mails sind zum einen die Grundsätze der GoBD zu beachten, welche unter dem Stichwort der Unveränderbarkeit technische und organisatorische Maßnahmen der Zugriffssicherung, Manipulationsabwehr und Änderungsprotokollierung vorschreiben.

Zum anderen spielen aber auch datenschutzrechtliche Voraussetzungen vor allem dann eine Rolle, wenn eine undifferenzierte Archivierung sämtlichen ein- und ausgehenden Mailverkehrs erfolgt. Hier sind geeignete Löschkonzepte einzurichten, welche den nicht rechtlich aufbewahrungspflichtigen Mailbestand turnusmäßig herausfiltern und unwiederbringlich eliminieren. Ist im Betrieb auch die private Kommunikation über geschäftliche Mailkonten gestattet, ist bei einer lückenlosen Gesamtarchivierung des Mailverkehrs zudem immer auch die Einwilligung eines jeden Mitarbeiters einzuholen.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.