Gratis-Download

Bei vielen unternehmensinternen Regelungen mit Datenschutz-Bezug ist der Betriebsrat zu beteiligen. Hierbei kommt Ihnen als Datenschutzbeauftragten...

Jetzt downloaden

Aufgeräumt ins neue Jahr: So löschen und archivieren Sie E-Mails richtig

0 Beurteilungen
E-Mail
Urheber: adiruch na chiangmai | Fotolia

Von Andreas Würtz,

2018 steht vor der Tür – und mit dem neuen Jahr die europäische Datenschutz-Grundverordnung (DS-GVO). Um mit einer guten Vorbereitung für einen optimalen Start in die neue Ära des Datenschutzes zu sorgen, ist nur noch wenig Zeit. Warum dann nicht zwei Fliegen mit einer Klappe schlagen: Ordnung schaffen und gleichzeitig den Datenschutz fördern?

Alles elektronisch

E-Mails werden schon lange nicht mehr nur zum Austausch von Informationen auf elektronischem Wege genutzt. Mittlerweile ist es selbstverständlich geworden, dass alle nur erdenklichen geschäftlichen Handlungen per E-Mail ablaufen. Die Bandbreite reicht von A wie Auftragsbestätigung bis hin zu Z wie Zollanmeldung. Besonders gängig sind auch elektronische Rechnungen. Das geht schnell, ist bequem und kostengünstig. Aber eines wird dabei immer wieder übersehen: Für den Umgang mit E-Mails gelten – je nach Inhalt – unterschiedliche Regelungen für deren Aufbewahrung bzw. Löschung. Dabei sind unter anderem steuer- und datenschutzrechtliche Gesichtspunkte zu berücksichtigen.

Gute Gründe

Falls in Ihrem Unternehmen in Sachen „E-Mails aufbewahren und löschen“ noch nichts unternommen wurde, ist Ende 2017 allerhöchste Zeit dafür. Wichtige Gründe, dieses Thema anzupacken, gibt es zur Genüge. Als Datenschutzbeauftragter sollten Sie umfassend aufklären und auf die wichtigsten Aspekte hinweisen. Nutzen Sie folgende Übersicht, um alle „guten Gründe“ und notwendiges Hintergrundwissen parat zu haben:

Auch für E-Mails gelten Aufbewahrungspflichten

Grundsätzlich gilt: E-Mail-Kommunikationsvorgänge können Aufbewahrungspflichten unterliegen. Erfüllen E-Mails beispielsweise die Funktion eines Geschäftsbriefs oder eines Buchungsbelegs, gelten gesetzliche Aufbewahrungsfristen. Wird nicht oder nicht in der vorgeschriebenen Weise aufbewahrt, drohen unangenehme Konsequenzen.

Die Aufbewahrungsfristen für E-Mails können sich etwa aus § 257 Handelsgesetzbuch und § 147 Abgabenordnung (AO) ergeben. Den Regelungen zufolge gilt:
 

  • 10 Jahre aufbewahrt werden müssen Handelsbücher, Aufzeichnungen, Inventare, Jahresabschlüsse, Lageberichte, Eröffnungsbilanzen, die zum Verständnis erforderlichen Arbeitsanweisungen und sonstigen Organisationsunterlagen sowie Buchungsbelege.
  • 6 Jahre aufbewahrt werden müssen: empfangene Handels- oder Geschäftsbriefe und Wiedergaben der abgesandten Handels- oder Geschäftsbriefe

Die Fristen beginnen mit Ende des Kalenderjahres, im Laufe dessen der Versand oder der Erhalt der Handels- oder Geschäftsbriefe oder die Erstellung von Dokumenten stattgefunden hat.

„Einfach irgendwo abspeichern“ ist keine Lösung

Die Pflicht zur Aufbewahrung kann folgende Idee hervorbringen: Einfach alle E-Mails irgendwo abspeichern – dann ist man in Sachen Aufbewahrung doch auf der sicheren Seite, oder? Was für manch einen Pragmatiker logisch klingt und als schnelle Lösung erscheint, hat jedoch (mindestens) zwei Haken:


  • Daten mit Personenbezug: Einfach mal alle E-Mails auf Verdacht speichern? Grundsätzlich möglich – aber nicht ohne Weiteres, wenn in den E-Mails personenbezogene Daten enthalten sind. Denn dann sind datenschutzrechtliche Regelungen von Bedeutung. Das heißt, bei der Aufbewahrung sind auch Aspekte wie Löschpflichten (insbesondere in § 35 Abs. 2 Bundesdatenschutzgesetz und zukünftig Art. 17 DS-GVO) sowie die Anforderungen an das Sperren von Daten zu berücksichtigen.
  • Geeigneter Aufbewahrungsort: Einfach irgendwo abspeichern oder ein Back-up erstellen, reicht nicht aus. Daten, die archiviert werden müssen, sind zum einen in geeigneter Weise vor Beschädigung und Verlust zu schützen. Zum anderen dient die Archivierung aber in erster Linie dem Zweck der Dokumentation. Ein einfaches Abspeichern ist dafür nicht ausreichend. Die Anforderung an die Buchführung und Aufbewahrung von steuerrechtlich relevanten elektronischen Daten – zu denen auch E-Mails zählen – sind in den „Grundsätzen zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff “ (GoBD) geregelt.

Sanktionen drohen

Die Finanzverwaltung hat das Recht, die steuerrelevanten Daten von Unternehmen im Rahmen einer Betriebsprüfung in digitaler Form anzufordern. Die Rechtsgrundlagen zur digitalen Betriebsprüfung sind in den §§ 146 und 147 AO zu finden. Diese Regelungen werden durch die GoBD konkretisiert. Seit Januar 2017 drohen Steuerpflichtigen bei Verstößen gegen die GoBD finanzielle Nachteile. Werden die Anforderungen der GoBD nicht erfüllt, kann die betroffene Buchführung des Steuerpflichtigen verworfen werden. Dann werden die steuerrelevanten Summen anhand einer Schätzung ermittelt, die höchst wahrscheinlich nicht zugunsten des Steuerpflichtigen ausfallen wird. Verstöße gegen die Buchführungspflicht können auch strafrechtliche Folgen haben. Diese sind ausdrücklich in § 283b Strafgesetzbuch geregelt. Unter bestimmten Voraussetzungen können bei Verletzungen der Zurückbehaltungs- und Aufbewahrungspflicht sogar Freiheitsstrafen von bis zu zwei Jahren verhängt werden.

Sprechen Sie Empfehlungen aus

Die aufgeführten Gründe dürften zweifelsohne die Verantwortlichen überzeugen, das Thema Archivierung und Löschung von E-Mails anzugehen und erforderliche Maßnahmen umzusetzen. Als Datenschutzbeauftragter wirken Sie auf die Umsetzung der Datenschutzregelungen hin. Machen Sie deutlich, wie Sie das Spannungsfeld zwischen den Regelungen zur Aufbewahrung und den Bestimmungen des Datenschutzes einschätzen, und empfehlen Sie, wie am besten vorzugehen ist.

Anzeige

1. Empfehlung: Konzept erstellen


Bevor Sie in Ihrem Unternehmen das Thema E-Mail-Archivierung angehen, sollte zunächst ein schlüssiges Konzept vorliegen. Das bringt Arbeit mit sich, denn passende Archivierungslösungen müssen gefunden, erprobt und die Kosten verglichen werden. Federführend sollten daran Experten aus der IT-Abteilung oder externe IT-Berater beteiligt sein. Prinzipiell ist es nicht Ihr Job, ein solches Konzept zu erstellen. Als Datenschutzbeauftragter beraten Sie datenschutzrechtlich. Das heißt: Sie prüfen, ob das erarbeitete Konzept und die vorgesehenen Archivierungsprozesse und -systeme mit datenschutzrechtlichen Bestimmungen vereinbar sind. Dies kann beispielsweise im Rahmen einer datenschutzrechtlichen Vorabkontrolle geschehen (§ 4d Abs. 5, 6 BDSG). Vergessen Sie bei Ihrer Beratung nicht, darauf hinzuweisen, dass ab 25.5.2018 neue Datenschutzregeln gelten.

2. Empfehlung: GoBD beachten


Es gelten für E-Mails mit der Funktion eines Handels- bzw. Geschäftsbriefs oder eines Buchungsbelegs, die aus steuerlichen Gründen aufbewahrt werden müssen, die GoBD. Die dort verankerten Anforderungen müssen in das Konzept einfließen. Wesentliche Aspekte sind beispielsweise:

  • Unveränderbarkeit: Die elektronischen Daten sind so zu archivieren, dass sie nicht mehr im Nachhinein veränderbar sind. Dafür reicht die Ablage von elektronischen Daten in einem Mail- oder Dateisystem in der Regel nicht aus. Vielmehr müssen geeignete Dokumentenmanagement- oder Archivierungssysteme zum Einsatz kommen, die diese Anforderung erfüllen.
  • Verfahrensdokumentation: Durch die Dokumentation des gewählten Verfahrens wird nachvollziehbar, wie in Ihrem Unternehmen die Erfüllung der Anforderungen der GoBD sichergestellt wird. Das heißt, wie elektronische Daten empfangen, verarbeitet, ausgegeben und ordnungsgemäß, also vor unzulässiger Manipulation geschützt, aufbewahrt werden. Dem Finanzamt muss bei einer Prüfung beispielsweise lückenlos aufgezeigt werden können, woher eine Rechnung per E-Mail stammt und wie durch Archivierung sichergestellt wurde, dass sie nicht manipuliert werden kann.

3. Empfehlung: Datenschutzrechtliche Aspekte einbeziehen


Grundsätzlich gilt in Sachen Datenschutz: Je weniger personenbezogene Daten zum Einsatz kommen, desto besser. Im Zusammenhang mit den Aufbewahrungspflichten entsteht deshalb ein Spannungsfeld: Die Pflicht zur Aufbewahrung kollidiert unter Umständen mit den Datenschutzprinzipien der Datenvermeidung und Datensparsamkeit bzw. mit Löschpflichten. Von der Aufbewahrung der E-Mails sind grundsätzlich auch personenbezogene Daten betroffen: Eine E-Mail besteht i. d. R. aus einem Text, E-Mail-Eigenschaften wie Absender, Empfänger oder Betreff und möglichen Anhängen. In die GoBD wurde folgende Bestimmung aufgenommen: Dient eine E-Mail als reines Transportmittel für einen Anhang – beispielsweise für eine Rechnung – und enthält die E-Mail selbst keine steuerrelevanten Informationen, ist es ausreichend, nur die Rechnung (digital) aufzubewahren. Das klingt in den Ohren eines Datenschützers erst einmal vielversprechend. Denn im Umkehrschluss bedeutet das, dass solche „Transport-E-Mails“ und die darin enthaltenen personenbezogenen Daten gelöscht werden könnten. Dabei darf allerdings nicht übersehen werden: Es ist aufwendig zu prüfen, welche Informationen in einer E-Mail letztendlich steuerrelevant und damit aufbewahrungspflichtig sind. Das kann automatisiert erfolgen. Es wird aber problematisch, wenn nicht sichergestellt werden kann, dass wirklich ausschließlich dienstliche E-Mails als aufbewahrungspflichtig erkannt werden – diese Gefahr besteht immer dann, wenn die Privatnutzung des geschäftlichen E-Mail-Accounts erlaubt ist.

4. Empfehlung: Private E-Mail-Nutzung überdenken


Vor dem Hintergrund der oben genannten Aspekte ist die private Nutzung des dienstlichen E-Mail-Postfachs auf den Prüfstand zu stellen. Denn bei einer erlaubten oder geduldeten Privatnutzung greift das Fernmeldegeheimnis. Der Arbeitgeber ist somit gegenüber den Beschäftigten und ihren Kommunikationspartnern zur Einhaltung des Fernmeldegeheimnisses verpflichtet. Nicht nur der Zugriff, sondern auch das Archivieren der privaten E-Mails der Beschäftigten ist damit tabu.

Ist die Privatnutzung erlaubt, ist sowohl eine automatische inhaltliche Prüfung auf steuerrelevante Informationen als auch die Archivierung aller eingehender E-Mails problematisch. Denn unter den E-Mails werden sich immer auch private E-Mails befinden. Soll dennoch eine Archivierung aller E-Mails direkt am Posteingangsserver oder eine automatisierte Prüfung der Inhalte auf steuerrelevante Informationen vorgenommen werden, ist die Einwilligung des Betroffenen meist unumgänglich. Aber Vorsicht: Eine datenschutzrechtliche Einwilligung (§ 4a BDSG) ist widerruflich. Widerruft ein Mitarbeiter seine Einwilligung zur Archivierung privater E-Mails, entfällt damit auch die Rechtsgrundlage für die Speicherung. Die Folge: Ihr Unternehmen muss der Verpflichtung zur Löschung dieser Daten nachkommen. Dies kann erheblichen Aufwand und hohe Kosten verursachen.

5. Empfehlung: Betriebsrat nicht vergessen


Führt die Geschäftsleitung ein Konzept zur Archivierung von E-Mails in Ihrem Unternehmen ein, hat auch der zuständige Betriebsrat ein Recht, bei den Gesprächen mit am Tisch zu sitzen. Der Grund: Die technische Einrichtung lässt sich auch grundsätzlich zur Leistungs- oder Verhaltenskontrolle einsetzen. Daher besteht ein erzwingbares Mitbestimmungsrecht aus § 87 Abs. 1 Nr. 6 Betriebsverfassungsgesetz.

Tipp: Generell empfiehlt es sich, auch den Betriebsrat in Sachen Aufbewahrungspflichten zu beraten. Schließlich werden dort viele personenbezogenen Daten verarbeitet. Dafür gelten die identischen gesetzlichen Rahmenbedingungen.

Datenschutz-Ticker

Mit jeder Ausgabe neue Tipps, Anregungen, Hinweise auf aktuelle Urteile und Gesetzesänderungen, aber auch auf so manche vorteilhafte Gestaltungsmöglichkeit, die sich Ihnen als Datenschutzbeauftragten bietet.

Herausgeber: VNR Verlag für die Deutsche Wirtschaft AG
Sie können den kostenlosen E-Mail-Newsletter jederzeit wieder abbestellen.

Datenschutz

Anzeige

Produktempfehlungen

Alles, was Sie zur DS-GVO wissen und umsetzen müssen

Neues Datenschutzrecht leicht gemacht – ihr Mitbestimmung zählt!

Praxisnahes Wissen zur Verbesserung und Erleichterung Ihrer Arbeit als betrieblicher Datenschutzbeauftragter!

IT-Know-how und Praxistipps für Datenschutzbeauftragte

Spezifische Schulungspräsentationen für verschiedene Unternehmensbereiche

Schnelle und einfache Mitarbeiterschulung

Jobs