Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

15.05.2006

Das ungeliebte Kind E-Mail-Archivierung

Trotz eindeutiger gesetzlicher Bestimmungen wird das Thema E-Mail-Archivierung in deutschen Umternehmen nur widerwillig angenommen - obwohl es arbeitsrechtliche Konsequenzen haben kann.

Die Frage nach der unternehmensinternen E-Mail-Archivierung, so viel stellt man bei der Recherche fest, ist geeignet, ungewöhnliche Gefühlsregungen beim Telefonpartner zu provozieren. "Oh Gott ja, E-Mail-Archivierung", stöhnt einer. Er ist IT-Verantwortlicher eines sehr großen deutschen Automotive-Konzerns aus Nordrhein-Westfalen und will nicht genannt werden. Das Thema löst bei ihm kleinere nervöse Reaktionen aus. Ein Kollege von ihm aus dem Baden-Württembergischen, Mitarbeiter eines Konzerns, der in seinem Produktsegment Weltmarktführer ist, bescheidet die Frage nach neuen IT-Projekten mit der bezeichnenden Antwort, es gebe einige, "E-Mail-Archivierung gehört Gott sei Dank nicht dazu." Bei einem großen Berliner Unternehmen hat man gerade ein Projekt zur E-Mail-Archivierung ins Leben gerufen - drei Jahre, nachdem das Bundesministerium der Finanzen (BMF) eine entsprechende Gesetzeslage geschaffen hat.

Hier lesen Sie …

• warum viele Firmen sich lieber nicht öffentlich zu E-Mail-Archivierungen äußern;

• von welcher herausragenden Bedeutung das Thema aus rechtlichen Gründen ist;

• weshalb es mit E-Mail-Archivierung allein nicht getan ist;

• inwiefern Mitarbeiter gerade bei dieser Problematik eine entscheidende Rolle spielen.

Welche Paragrafen wichtig sind

Handelsgesetzbuch (HGB)

• § 238 HGB: behandelt die Verpflichtung zur Buchführung.

• § 257 Abs.1 HGB: behandelt die Unterlagen, die aufzubewahren sind, wie Buchführungsunterlagen, Jahresabschlüsse, Buchungsbelege sowie insbesondere Handelsbriefe (wichtig, weil zu ihnen E-Mails zählen können).

Abgabenordnung (AO)

• § 140 AO: behandelt die Buchführungspflicht nach anderen Gesetzen, die für die Besteuerung maßgeblich sind.

• § 141 AO: behandelt ergänzende Buchführungspflichten für Gewerbebetriebe und Land- und Forstwirtschaft.

• §147 AO: behandelt alle nach HGB aufzubewahrenden Unterlagen sowie alle sonstigen Unterlagen, die für die Besteuerung von Bedeutung sind (hier insbesondere E-Mails).

• §147 I Nr. 5 AO: ist für die E-Mail-Archivierung von besonderer Bedeutung, weil es hier um Unterlagen geht, die für eine Sachverhaltsklärung hinsichtlich der Besteuerung wichtig sind.

Archivierungsdauer

Nach den Paragrafen 257 IV HGB sowie 147 III AO müssen

• Buchführungsunterlagen, Jahresabschlüsse, Buchungsbelege etc. zehn Jahre lang aufbewahrt werden;

• Handelsbriefe und sonstige Unterlagen gemäß der AO, die für die Besteuerung von Bedeutung sind, sechs Jahre gespeichert werden.

Mehr zum Thema

www.computerwoche.de/

568793: E-Mails löschen ist riskant;

570090: Wichtiger IT-Trend: Archivierung;

566834: Gesetzeskonformer Umgang mit E-Mails ist unverzichtbar;

566568: Archivierung ist Top-Thema.

Fristlose Kündigung

Saumselige IT-Chefs wandeln dabei auf dünnem Eis: Kann ihnen mangelhafte Pflichterfüllung nachgewiesen werden, so bekommen sie arbeitsrechtliche Probleme - mit der möglichen Konsequenz einer fristlosen Kündigung. Zudem könnte das Management de jure Schadensersatz von ihnen fordern, falls das Finanzamt die Unternehmenswerte aufgrund der lückenhaften Geschäftskommunikation einer Zwangsschätzung unterzieht, denn die fällt mit Sicherheit eher zu hoch als zu niedrig aus.

Ein regulatorischer Dschungel

Einen Grund für die Aversionen, sich mit dem vielschichtigen Thema zu beschäftigen, nennt Rainer Janßen: "Wenn’s einfach nur um die GDPdU (Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen, Anm.d.Red.) ginge, wär’s ja noch einfach. Aber in diesen Zusammenhang gehören ja auch die Themen Solvency II, Sarbanes-Oxley und noch viele weitere Gesetze aus den USA", erläutert der CIO der Müchener Rück.

Mit dem Sachkomplex E-Mail-Archivierung direkt verbunden sei zudem das Thema Document-Lifecycle-Management, also die Frage, wie Unternehmen es schaffen, "alle Arten von Dokumenten wie etwa Mails, Fax, Text- und andere Dateien aus einer Office-Anwendung, Hardcopies und so weiter zu einem Geschäftsvorgang zusammenzufassen und so zu speichern, dass man diese auch wiederfindet", so der CIO.

Um die nicht nur fiskaltechnische Problematik der revisionssicheren Lagerung von E-Mails samt ihren Anhängen zu verdeutlichen, verweist Janßen auf das Beispiel des Luft- und Raumfahrtkonzerns EADS. Dieses Unternehmen sei verpflichtet, im Falle von Flugzeugabstürzen und Haftungsklagen alle Unterlagen zum Qualitäts-Management sehr lange aufzubewahren.

Die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen gelten schon seit dem 1. Januar 2002. In diesen schreibt das BMF Unternehmen verpflichtend vor, dass sie sämtliche steuerrelevanten Daten maschinell auswertbar zur Verfügung stellen können müssen. Das betrifft nicht nur die Einsicht in Aufzeichnungen, Geschäftsbücher und sonstige Geschäftspapiere. Sämtliche steuerlich relevanten und digital erzeugten Unternehmensdaten sind hierin inbegriffen - und eben auch steuerrelevante E-Mails. Schätzungen gehen davon aus, dass heutzutage E-Mails bei mittelständischen Unternehmen und Konzernen 60 bis 70 Prozent der gesamten Kommunikation ausmachen.

Juristischer Blindflug

In dieser gesetzlich grundierten Verpflichtung der Unternehmen zur lückenlosen Datenvorhaltung und Speicherung von E-Mails samt deren Anhängen, die zudem schnell recherchierbar sein müssen, dürfte auch ein wesentlicher Grund dafür liegen, warum sich die meisten deutschen Firmen zu diesem Thema nicht öffentlich, sondern nur anonym äußern wollen. Viele haben nämlich noch nicht einmal klare Regeln für ihre Mitarbeiter etwa in Betriebsvereinbarungen oder sonstigen arbeitsvertraglichen Festschreibungen formuliert, geschweige denn, dass sie die gesetzlichen Vorgaben mit IT-Mitteln umgesetzt hätten. Deutsche Unternehmen befinden sich in Sachen E-Mail-Archivierung also in einem juristischen Blindflug.

Jobst Eckardt, Senior Berater bei der Unternehmensberatung Zöller & Partner GmbH aus Sulzbach im Taunus, kann das bestätigen: "Es gibt derzeit viele Unternehmen, die über entsprechende Regeln nachdenken." Der Spezialist unter anderem für das Thema E-Mail-Archivierung fährt fort, seiner Firma seien keine Unternehmen bekannt, die den Mitarbeitern vorgeben, "welche Mails entweder GDPdU- oder nur GOB-konform (= Grundsätze der ordnungsgemäßen Buchführung, Anm.d.Red.), welche nach anderen Vorschriften und welche gar nicht aufbewahrungspflichtig sind."

Zwei Drittel haben keine Regeln

Dies zeigt auch eine Online-Umfrage der computerwoche zum Thema. Auf die Frage "Gibt es in Ihrer Firma Regeln für die Archivierung von E-Mails?" antworteten 64 Prozent mit "Nein". Fünf Prozent sagten Ja, solche Regeln gebe es, man kenne diese aber nicht. Weitere sieben Prozent wissen nicht genau, ob derartige Vorgaben gibt. Geantwortet hatten 197 Surfer.

Wie wenig repräsentativ diese Befragung auch sein mag, sie gibt eine Tendenz wieder, die in den Gesprächen mit IT-Verantwortlichen spürbar wird. Beispielhaft für die Situation in deutschen Unternehmen ist die Antwort eines Gesprächspartners aus einem großen norddeutschen Konzern. Befragt, welche E-Mail-Archivierungen in seinem Unternehmen betrieben werden, sagt er, natürlich habe man sich in der Vergangenheit sowohl auf technischer, betrieblicher wie auch auf juristischer Ebene mit dem Thema beschäftigt und tue dies derzeit mehr denn je. Unternehmensinterne Analysen hätten aber gezeigt, dass sein Unternehmen weit davon entfernt ist, die rechtlichen Vorgaben für eine juristisch einwandfreie Datenlagerung schon erfüllt zu haben. Hierzu, so der Gesprächspartner, gehörten beispielsweise auch innerbetriebliche Regulierungen in Form von bestehenden oder neuen Betriebsvereinbarungen.

Diese Aussage steht beispielhaft für viele deutsche Firmen. Allen IT-Verantwortlichen ist bewusst, dass in puncto E-Mail-Archivierung zwingender Handlungsbedarf besteht. Tatsache ist aber auch, dass ein Großteil der Firmen den rechtlichen Bestimmungen bezüglich der Aufbewahrung von elektronischen Daten in keiner Weise gerecht wird.

Was ist geschäftsrelevant?

Michael Hohl, Oberbürgermeister von Bayreuth, bis Ende April 2006 aber in der Anwaltssozietät König, Heinold und Kollegen in Bayreuth beschäftigt und spezialisiert auf E-Mail-Archivierungs-Fragen, betont, wie zentral die Aufbewahrungsthematik insbesondere mit Bezug auf die Abgabenverordnung und dort Paragraf 147 ist (siehe Kasten "Welche Paragrafen wichtig sind"). Die akribische Datenspeicherung und -bereitstellung, also die Möglichkeit, gezielt und schnell aus allen Dateiformaten relevante Daten zu finden, sei auch deshalb bedeutungsvoll, weil das Bundesfinanzministerium keine allgemeingültigen Definitionen darüber angibt, welche E-Mails geschäftsrelevant sind und welche nicht.

Diese definitorische Lücke wiederum hat direkte Auswirkungen auf Anwender in Unternehmen. Aus Unwissenheit über die geltende Rechtslage löschen die Computernutzer in Unternehmen vielfach nach Gusto ihre E-Mail-Accounts in gewissen Zeitabständen - und provozieren damit ungewollt rechtliche Probleme für ihre Unternehmen. Hohl betont zudem, dass unternehmensrelevante E-Mails keinesfalls inhaltlich verändert, also auch keine Daten hinzugefügt werden dürfen. Das wissen die Wenigsten.

Senior Berater Eckardt sieht in diesen definitorischen Unklarheiten ebenfalls "das grösste Problem." Es gibt Interpretationen der Abgabenordnung, die besagen, dass alle steuerrechtlich relevanten Mails im Originalformat aufbewahrt werden müssen. "Wie soll das funktionieren?" Die Mailsysteme selbst entsprächen nicht einmal den GOBS, sie stellten keine revisionstauglichen Speicherumgebungen dar , weil die Manipulationsmöglichkeiten so gross sind, so Eckardt. Also wären Anwender gezwungen, Mails in ein "richtiges", also GOBS-konformes System zu überführen. Problem: Hiermit verstossen sie gegen die Zugriffsmethoden, die die neue Abgabenordnung in Paragraf 147, Absatz 6 ausdrücklich vorsieht.

Firmen, die auf Nummer sicher gehen wollen, wählen laut Eckardt also den Hundert-Prozent-Ansatz: "Es wird einfach alles archiviert, eingehende und ausgehende Mails." Schwierigkeit hierbei: Wie kann ein Unternehmen nachweisen, dass bestimmte Mails angekommen sind, wenn ein Spam- oder Virenfilter sie vorher ausgesiebt hat?

Zur Nachahmung empfohlen

Bei der Norisbank in Nürnberg allerdings ist man sich der Archivierungs-Problematik sehr bewusst. Um sicherzugehen, dass Mitarbeiter auf ihren PCs nicht irrtümlich elektronische Post löschen, hat der mittelfränkische Finanzdienstleister eine konsequente Lösung etabliert: Es werden überhaupt keine E-Mails auf den lokalen Rechnern gespeichert, sagt Willy Düster, Leiter Informationstechnologie beim Nürnberger Bankhaus: "Sämtliche Daten befinden sich im Storage Area Network oder in persönlichen Ordnern im Networked Attached Storage." Zudem nimmt die Norisbank mehrmals täglich Speicher-Snapshots vor und sichert die Daten mit einem Tool zur zentralen Medienverwaltung, dem "Tivoli Storage Manager" (TSM). Auf diese Weise werden die digitalen Postsendungen auch langzeitarchiviert.

Wichtig: Nachvollziehbarkeit!

Damit steuerrelevante Daten entsprechend den GDPdU-Regeln mindestens sechs und bis zu zehn Jahre (siehe Kasten "Archivierungsdauer") aufbewahrt werden, bildet die Norisbank sie in den jeweiligen juristischen Buchungssystemen ab. Diese speichern die Daten länger als zehn Jahre. "In den Rechenzentren werden die Datenbestände auf die jeweils aktuellen Medien kopiert, damit sie jederzeit lesbar sind", so Düster. Genau diese Nachvollziehbarkeit ist, so Rechtsanwalt Hohl, eine der wesentlichen Bedingungen der E-Mail-Archivierung.