Das Bundesfinanzministerium hat bereits vor einigen Jahren, am 14. November 2014, mit den GoBD die Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff geregelt und beschrieben, welche Regelungen vor diesem Hintergrund gelten. Hierzu gehört auch die Aufbewahrung von geschäftsrelevanten E-Mails und somit die Pflicht zur E-Mail-Archivierung.
Mit Wirksamkeit dieser Grundsätze ab dem 1. Januar 2017 haben sich einige Unternehmen für die Umsetzung entsprechender Projekte und der Einführung einer Lösung für die E-Mail-Archivierung entschieden. Insbesondere in den letzten beiden Jahren hat Netmail zahlreiche solcher Archivie-rungsprojekte umfassend begleitet. Dieses Whitepaper soll auf Basis unserer Erfahrungen die unterschiedlichen Aspekte einer gesetzeskonformen E-Mail-Archivierung aufzeigen.
GoBD-Konformität
Die Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD) regeln u. a. die Aufbewah-rung von geschäftsrelevanten E-Mails. Dabei werden innerhalb des Schreibens unterschiedliche Gesetze aufgegriffen. Insbesondere nachfolgende Gesetze und Verordnungen sind für die E-Mail-Archivierung von Relevanz:
In vielen Projekten erleben wir, dass die Archivierung von E-Mails ein umstrittenes Thema ist, vor allem, wenn es darum geht, geschäftsrelevante E-Mails von den „anderen“ E-Mails zu unterscheiden. Um geschäftsrelevante E-Mails vollständig und lückenlos zu archivieren und um zu vermeiden, dass Daten, ob beabsichtigt oder aus Versehen, verloren gehen, entscheiden sich die meisten Unterneh-men dazu, alle Daten des E-Mail-Systems zu archivieren.
Ein enormes Datenvolumen, das täglich wächst, und in den meisten Projekten eine Aufbewahrungs-dauer von 10 Jahren umfasst. Es ist verständlich, dass immer wieder die Frage aufkommt: „Muss al-les archiviert werden?“ Die Entscheidung, was archiviert wird, liegt letztendlich beim Kunden. Wir weisen lediglich darauf hin, dass die Möglichkeit zur Selektion von zu archivierenden Daten im-mer auch eine Möglichkeit zum Datenverlust mit sich zieht. Dies steht mitunter im Konflikt zu einer vollständigen Archivierung nach GoBD, weshalb Unternehmen mit einer allumfassenden Datenarchi-vierung auf der sicheren Seite stehen. Auf diese Weise wird Informationsverlust verhindert und die geforderte Revisionssicherheit umgesetzt. Sind diese sowie einige weitere Forderungen (siehe auch https://www.netmail.cloud/gobd) umgesetzt, ist die E-Mail-Archivierung GoBD-konform.
Gesetzeskonformität
Mit einer GoBD-konformen Archivierung ist jedoch keine vollständige Gesetzeskonformität hergestellt, denn einige Gesetze werden in den GoBD nicht behandelt. Daher gilt es bei der E-Mail-Archivierung und insbesondere bei der Entscheidung für eine Archivlösung weitere Aspekte zu berücksichtigen.
Um eine vollumfängliche Gesetzeskonformität herzustellen, müssen alle relevanten Gesetze beach-tet werden. Hierunter insbesondere die EU-DSGVO, das Telekommunikationsgesetz (TKG) und das Allgemeine Gleichbehandlungsgesetz (AGG), die von einer Archivlösung Flexibilität fordern.
BDSG und DSGVO
Das BDSG sowie die DSGVO ermöglichen es Personen Auskünfte über deren personen-bezogene Daten zu verlangen. Die Auskünfte sind binnen eines Monats zur Verfügung zu stellen. Auch die entsprechenden Archivdaten müssen auffindbar sein und be-reitgestellt bzw. exportiert werden. Auch eine Löschung muss möglich sein, sofern die Daten keine geschäftsrelevanten Inhalte aufzeigen. Gerade diese Möglichkeit wird von einigen Archivlö-sungen nicht vollumfänglich unterstützt.
Ablaufhemmung gemäß AO
Geschäftsrelevante Daten werden mitunter über eine Dauer von 10 Jahren gespeichert. Doch auch eine frühzeitige Löschung ist umzusetzen, sofern die Daten nicht ge-schäftsrelevant sind und gelöscht werden können. NetGovern Archive unterstützt sowohl die frühzeitige Löschung, wie auch die sogenannte Ablaufhemmung auf bestimmte Daten. Mit der Ablaufhemmung werden bestimmte Daten aus der automatischen Löschung genommen und somit „vom Ablauf ge-hemmt“. Diese Flexibilität ist insbesondere bei laufenden Prüfungen oder Rechtstreitigkeiten von Be-deutung für viele Unternehmen.
Private Kommunikation nach TKG
Die gesonderte Handhabung von sensiblen und insbesondere privaten Daten ist eine weitere Komponente, die bei der Auswahl einer Archivlösung beachtet werden sollte. In vielen Terminen, in denen wir nach der Privatnutzung des geschäftlichen E-Mail-Accounts fragen, lautet die Antwortet recht schnell, diese sei verboten. Der Meinung vieler Rechtsanwälte zur Folge ist für die Umsetzung des Verbots eine regelmäßige stichprobenartige Überprüfung erforder-lich. Anderenfalls kann der Arbeitnehmer für die Privatnutzung des E-Mail-Kontos einen Anspruch nach den Grundsätzen betrieblicher Übung erwerben (Gewohnheitsrecht).
Daher ist es umso praktikabler, wenn die Archivlösung eine Möglichkeit bietet, beides unter einen Hut zu bekommen. Bei NetGovern Archive können Kunden sensible Speicherlokationen für klassifizierte Daten einrichten. Diese sind lediglich im Mehraugenprinzip einsehbar. Somit können Unternehmen vollständig archivieren und setzen eine besonders geschützte Handhabung für private und andere sensible Daten, z. B. die des Betriebsrates, um.
BDSG und AGG
Personenbezogene Daten sind gemäß § 35 Abs.2 Nr. 3 BDSG zu löschen, wenn der Zweck, für den sie erhoben wurden, dies nicht mehr erfordert. Bewerber schicken Ihre Bewerbungsdaten heutzutage fast ausschließlich per Mail. Die personenbezogenen Daten liegen im entsprechenden E-Mail-Postfach des jeweiligen Unternehmens. Aufgrund des Klagerecht bei Ablehnung eines Bewerbers sowie dem Zeitraum einer möglichen anschließenden Klage gemäß § 61 Abs. 1 ArbGG i. V. m. § 15 AGG¹ wird ein Richtwert von insgesamt sechs Monaten für die Speiche-rung von Bewerberdaten als angebracht angesehen. Danach sollten die Daten gelöscht werden. Für den Bereich E-Mail setzt ein Job diese Löschfrist automatisch für NetGovern Archive sowie Exchange / Office 365 um.