Der deutsche Gesetzgeber verlangt, dass Unternehmen geschäftsrelevante elektronische Dokumente und E-Mails revisionssicher speichern. An der Archivierung geschäftsrelevanter E-Mails führt heute kein Weg mehr vorbei. Sie bietet nicht nur technische und organisatorische Vorteile, da Dokumente schnell und einfach aufzufinden sind, sie ist auch aus rechtlicher Sicht notwendig.

Wer hier nachlässig handelt, riskiert bei der nächsten Betriebsprüfung beträchtlichen Ärger. QSC hat die wichtigsten Aspekte bei der Planung und Einführung einer Lösung zur revisionssicheren Ablage von E-Mails in fünf Best Practices gesammelt.

1. Als elektronische Handelsbriefe müssen E-Mails archiviert werden.

Ein Handelsbrief ist ein Dokument, das ein Geschäft vorbereitet, durchführt, abschließt oder rückgängig macht; das trifft zu auf ein Angebot, einen Lieferschein, eine Rechnung, einen Zahlungsbeleg oder ein Reklamationsschreiben. In der Abgabenordnung ist festgelegt, dass alle per E-Mail ein- und ausgehenden Handels- und Geschäftsbriefe dauerhaft zu speichern sind. Davon ausgenommen sind Werbesendungen oder Angebote, bei denen kein Geschäftsabschluss zustande kam.

2. Die Anwendungsgebiete und aufzubewahrenden Dokumente ermitteln.

Nahezu der gesamte klassische Postversand in den Unternehmen ist heute durch den E-Mail-Versand ersetzt. Das bedeute aber auch: Die gesamte Kommunikation mit Lieferanten, Kunden, Bank- und Personalunterlagen, medizinische Dokumente, die Korrespondenz mit Behörden oder Gerichtsakten unterliegt der Archivierungspflicht. Näheres dazu ist außer in der Abgabenordnung, im Handelsgesetzbuch, im Telekommunikationsgesetz sowie im Bundesdatenschutzgesetz geregelt. International tätige Unternehmen müssen beispielsweise auch den Sarbanes-Oxley Act (Sox) berücksichtigen.

3. Die unterschiedlichen Aufbewahrungsfristen der Dokumente feststellen.

In der Abgabenordnung und im Handelsgesetzbuch sind die Anforderungen bezüglich der Aufbewahrungspflichten und -zeiten genau beschrieben. Die geschäftsrelevante Kommunikation mit Kunden und Lieferanten verlangt eine sechsjährige Archivierung. Für Unterlagen der Buchhaltung, Personalakten oder Daten mit Grundbuch- und Kontenfunktion gilt eine Frist von zehn Jahren. Um sich den Aufwand einer Differenzierung bei den E-Mails zu ersparen, sind einige Unternehmen dazu übergegangen, alle diese Dokumente zehn Jahre aufzubewahren.

4. Eine fälschungssichere Speicherung sicherstellen.

Es gibt keine gesetzliche Regelung dazu, wie die Speicherung geschäftsrelevanter E-Mails zu erfolgen hat. Unternehmen müssen jedoch sicherstellen, dass diese revisionssicher aufbewahrt werden. Das bedeutet, dass sie innerhalb der Aufbewahrungsfrist auffindbar, nachvollziehbar und vor allem unveränderbar und fälschungssicher archiviert sind. Auch wenn der Gesetzgeber keine Verschlüsselung vorschreibt, sollten Unternehmen die Daten verschlüsselt speichern, damit sie revisionssicher verwahrt sind.

5. Rechtliche Konflikte mit der privaten E-Mail-Nutzung vermeiden.

Unternehmen oder andere Organisationen, die die gesetzlichen Vorgaben zur E-Mail-Archivierung umsetzen, kommen hin und wieder in Konflikt mit anderen Richtlinien und Vorgaben. So ist zum Beispiel zu hören, dass es keine Probleme mit der E-Mail-Archivierung gibt, wenn Mitarbeiter ihr E-Mail-Konto für private Zwecke nutzen und der Ablage im Rahmen einer Betriebsvereinbarung zugestimmt haben. Auch wenn sie damit auf ihre eigenen Rechte verzichten, gilt das nicht für die Rechte ihrer Kommunikationspartner. Um Konflikten aus dem Wege zu gehen, empfiehlt es sich, die private Nutzung des E-Mail-Kontos zu untersagen.

»Die revisionssichere Archivierung geschäftsrelevanter Dokumente und E-Mails ist von erheblicher Bedeutung für die IT-Compliance in Unternehmen. Die Einführung einer IT-Compliance wiederum ist Chefsache«, sagt Olaf Etzrodt, Leiter Produktentwicklung QSC-tengo, bei QSC. »Entscheiden sich Unternehmen dafür, die Archivierungslösung nicht im eigenen Rechenzentrum zu betreiben sondern dazu einen Cloud-Service nutzen, müssen sie darauf achten, dass der Anbieter eine transparente und überprüfbare Compliance-Politik betreibt. Dazu gehört beispielsweise auch der Nachweis einer Prüfung durch externe Auditoren, dass die Cloud-Lösung alle Anforderungen des Handels- und Steuerrechts erfüllt.«