Tatsache ist: Die Mehrheit der Unternehmen setzt die rechtlichen Bestimmungen zur Aufbewahrung elektronischer Daten nur halbherzig um. Rund zwei Drittel der Firmen hat noch nicht einmal innerbetrieblich festgelegt, wie elektronische Daten aufzubewahren sind. Gründe dafür sind hauptsächlich in den Kosten und dem komplexen Zusammenspiel von juristischen, technischen und betriebswirtschaftlichen Vorgaben zu suchen. Eine Schonfrist gibt es jedoch nicht: Wer nicht oder nur unsachgemäß archiviert, riskiert gravierende Haftungsrisiken für Geschäftsleitung und IT-Administration. Grund genug also, Archivierung nicht nur unter technischen, sondern auch strategischen Gesichtspunkten zu betrachten.
Was sagt das Handelsgesetzbuch?
§ 238 HGB verpflichtet Kaufleute zur Buchführung und Aufbewahrung von Handelsbriefen, die mit dem jeweils gesandten Original übereinstimmen. Um als Handelsbrief zu gelten, reicht bereits ein entfernter, lockerer Zusammenhang mit betrieblichen Interessen aus. Sämtliche Schriftstücke sind als Handelsbriefe anzusehen, die der Vorbereitung, Durchführung und dem Abschluss eines Geschäfts dienen (z.B. Angebote, Auftragsbestätigungen, Lieferscheine, jedoch nicht Werbeschreiben und Prospekte) oder auch der Rückgängigmachung (z.B. Reklamationsschreiben) - auch E-Mails (Kasten 1).
Aufbewahrungsanforderungen
Bestimmte Unterlagen, wie u.a. Handelsbücher, Abschlüsse, Buchungsbelege oder Handelsbriefe, sind nach § 257 HGB geordnet aufzubewahren. Das Gesetz schreibt weder ein Ordnungs- oder Buchführungssystem vor noch legt es Speichertechnologien oder Aufzeichnungsverfahren fest. Für das elektronische Archivierungsverfahren gibt § 239 HGB lediglich einen Kriterienkatalog vor: Die gespeicherten Dokumente müssen unveränderbar, reproduzierbar und jederzeit verfügbar sein. Dabei ist entscheidend, dass eine ordnungsgemäße, qualifizierte und geordnete Ablage sowie sichere Aufbewahrung der elektronischen Dokumente während des gesamten Aufbewahrungszeitraums erfolgt. Ausnahmen gelten nur für Eröffnungsbilanzen sowie Jahres- und Konzernabschlüsse, die auch als Originale in Papierform aufzubewahren sind.
Aufbewahrungsfristen
Für Buchungsbelege, Handelsbücher, Inventare, Jahres- und Konzernabschlüsse ist eine Aufbewahrungsfrist von zehn Jahren vorgesehen. Für alle übrigen Dokumente wie Handelsbriefe gelten sechs Jahre. Die Frist beginnt mit dem Schluss des Kalenderjahres, in dem die Unterlagen erstellt bzw. die Handelsbriefe verschickt oder empfangen wurden. Nach Ablauf können die Unterlagen vernichtet werden.
Was ist steuerrechtlich zu beachten?
Steuerrechtlich müssen alle Kaufleute die Anforderungen an die Aufbewahrung und die Prüfung von Geschäftsunterlagen in §§ 145- 147 Abgabenordnung (AO) einhalten, wobei die gleichen Fristen und Regeln gelten wie gemäß HGB. Einzelheiten dazu sind in den "Grundsätzen zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen" - kurz GDPdU - erläutert, die das Bundesfinanzministerium 2001 als Regelwerk für die Finanzbeamten zur elektronischen Steuerprüfung herausgegeben hat: Wurden Daten mit einem Datenverarbeitungssystem erzeugt, hat die Finanzbehörde das Recht, Einsicht zu nehmen und das System zur Prüfung zu nutzen. Für die Online-Kommunikation - also den E-Mail-Verkehr - bedeutet dies in der Praxis: Unternehmer sind nicht nur dazu verpflichtet, E-Mails gesetzeskonform zu archivieren. Sie müssen auch gewährleisten, dass den Betriebsprüfern alle betriebswirtschaftlich und steuerrechtlich relevanten E-Mails samt Anhängen jederzeit verfügbar gemacht und von diesen maschinell ausgewertet werden können.
Die Grundsätze ordnungsgemäßer DV-gestützter Buchführungssysteme (GoBS) des Bundesfinanzministeriums vom 7.11.1995 beziehen sich auf alle aufbewahrungspflichtigen elektronischen Daten und konkretisieren die Anforderungen an ihre Revisionssicherheit: Wie wird mit gescannten Dokumenten umgegangen? Wie müssen originär elektronische Daten verarbeitet werden? Wie muss ein internes Kontrollsystem implementiert sein? Auch wenn diese Vorschriften bereits seit über zehn Jahren existieren, sind sie in punkto elektronische Archivierung für Wirtschaftsprüfer, Finanzverwaltung und IT-Anwender relevanter den je. Insbesondere Steuerprüfer geben sich nicht wie bisher mit Papier zufrieden, sondern prüfen elektronisch und legen beim Steuerpflichtigen so manche Lücke in der GoBS-Erfüllung offen.
Der Knackpunkt bei elektronischen Rechnungen?
Nach § 14 Abs. 3 Umsatzsteuergesetz (UStG) darf bei elektronischen Rechnungen die Vorsteuer nur dann abgezogen werden, wenn die Echtheit und inhaltliche Unversehrtheit der Rechnung gewährleistet ist. Technisch brauchen diese Rechnungen eine qualifizierte Signatur mit Anbieterakkreditierung nach § 15 Abs. 1 Signaturgesetz (SigG), sonst erkennt das Finanzamt den Vorsteuerabzug nicht an. Diese Vorgaben gelten übrigens auch für elektronische Tickets - sei es für Bahnfahrten, Flüge oder Konzerte.
Elektronische Rechnungen sind gemäß der GDPdU beim Absender und Empfänger "revisionssicher" zu archivieren. Daher müssen gleichzeitig auch die Dokumentation der Signaturprüfung, Signaturprüfschlüssel, Zertifikat und eventuell weitere Kryptographie-Schlüssel aufbewahrt werden.
Existieren Insiderverzeichnisse?
Gemäß § 15b des Wertpapierhandelsgesetzes (WpHG) sind börsennotierte Unternehmen und ihre Dienstleistungsunternehmen (z.B. ein Übersetzungsbüro) verpflichtet, Verzeichnisse über Mitarbeiter zu führen, die bestimmungsgemäß Zugang zu Insiderinformationen haben. Egal, ob das Verzeichnis in Papierform oder elektronisch geführt wird, die Daten müssen lückenlos, jederzeit verfügbar und innerhalb angemessener Frist einsehbar sein. Die Finanzdienstleistungsaufsicht (BaFin) befürwortet jedoch die elektronische Speicherung und Übermittlung. Die Daten sind sechs Jahre bereitzuhalten - mit jeder Aktualisierung beginnt diese Frist erneut.
Was steckt in Spezialregelungen?
Spezialrechtliche Vorgaben zur elektronischen Archivierung betreffen zumeist börsennotierte Unternehmen und finden sich insbesondere im Geldwäschegesetz (§ 9), der Allgemeinen Verwaltungsvorschrift für das Rechnungswesen in der Sozialversicherung (§ 22 SRVwV) sowie in Regelungen für Banken und Krankenhäuser und Ärzte. Letztere Regelungen schreiben sogar eine 30-jährige Aufbewahrungspflicht vor (z.B. § 6 Abs. 1 Krankengeschichtenverordnung, § 28 Abs. 4 Röntgenverordnung sowie § 43 Abs. 3 Strahlenverordnung).
In der Pharmabranche gelten spezielle Regelungen für Dokumente aus den Bereichen Forschung, Produktion und Antragsdokumentation, die sich weitgehend an den Vorgaben der Federal Drug Administration (FDA, USA) orientieren. Für Unternehmen, die an US-Börsen notiert sind, greifen mit Sarbanes Oxley (SOX) und der Securities and Exchange Commission (SEC) auch hierzulande weit reichende Archivierungspflichten für E-Mails und elektronische Kommunikation.
Was schreibt KonTraG zur Archivierung vor?
Gemäß dem Gesetz zur Kontrolle und Transparenz in Unternehmen (KonTraG) gehört zum Risikomanagement einer Aktiengesellschaft auch die Verpflichtung zur rechtskonformen Archivierung von elektronischen Daten. Insbesondere muss dafür gesorgt sein, dass ausreichende Speicherkapazität sowie entsprechende Schutzvorkehrungen gegen Datenverlust bestehen. Vorstand und Aufsichtsrat sind insofern verpflichtet, geeignete Schutzmaßnahmen für die IT-Sicherheit ihrer geschäftskritischen Systeme und Daten zu konzipieren, umzusetzen sowie regelmäßig zu kontrollieren und aktualisieren. Letztendlich gilt das Risikomanagement für Geschäftsleiter und Kontrollgremien sämtlicher Gesellschaftsformen.
Welche Gefahren lauern?
Verlust der Vorsteuerabzugsberechtigung
Elektronische Nachrichten aller Art sind geschäftskritische Unterlagen und daher sorgsam zu behandeln und zu verwalten. Vor Vernichtung von Originalunterlagen sollte man sich immer fragen, ob eine Aufbewahrung aus Beweisgründen notwendig ist. Bei Rechnungen sind die Originale zur Geltendmachung des Vorsteuerabzugs gemäß § 15 UStG notwendig.
Fehlende Beweiskraft im Gerichtsprozess
Originale sind auch als Beweise in einem Gerichtsprozess von Bedeutung: So zum Beispiel, wenn ein Anspruch nur durch Vorlage des Originals zu beweisen ist (z.B. Vollmacht, Wertpapier etc.). Ist eine Partei nicht in der Lage, die für sie beweispflichtigen Tatsachen vorzulegen, obwohl diese elektronisch dokumentiert sein müssten, kann sie in einem Zivilprozess schon allein aus diesem Grund unterliegen.
Negative wirtschaftliche Auswirkungen
Datenverlust - selbst wenn er nur von temporärer Dauer ist - kann gravierende wirtschaftliche Auswirkungen für das Unternehmen haben. Eine mangelnde Hochverfügbarkeit von Daten - etwa im Supportbereich - kann zu Schadensersatzansprüchen durch Vertragspartner oder sogar zu erheblichen Vertragsstrafen führen. Der Imageschaden bei den betroffenen Kunden kann deutlich größer sein.
Drohende Strafen und Bußgelder
Die Verletzung der ordnungsgemäßen Buchführung kann dazu führen, dass die Finanzbehörden eine Steuerschätzung auf Basis der bekannten Besteuerungsgrundlagen (§ 162 Abs. 2 AO) durchführen, die mit Sicherheit eher zu hoch als zu niedrig ausfällt. Zudem kann die Finanzverwaltung die Aufbewahrungspflicht durch Zwangsgeld erwirken (§ 328 Abs. 1 AO) oder den Vorwurf der Steuerhinterziehung (§ 370 AO) oder leichtfertigen Steuerverkürzung (§ 378 AO) erheben. Im Falle einer Verurteilung drohen Geld- und Freiheitsstrafen bis zu fünf Jahren.
Verstöße gegen die GDPdU können mit 5.000 Euro Bußgeld wegen Steuergefährdung (§ 379 AO) oder 50.000 Euro im Falle der Steuerordnungswidrigkeit (§ 377 AO) oder schlichtweg mit bis zu 25.000 Euro Zwangsgeld (§ 328 AO) geahndet werden.
Persönliche Haftung der Geschäftsleitung
Kommt der Vorstand einer Aktiengesellschaft seinen Pflichten des Risikomanagements nicht nach droht eine persönliche Haftung auf Schadensersatz als Folge der durch das KonTraG eingeführten neuen Vorschrift des § 93 Abs. 2 AktG. Diese Regelung wird noch dadurch verschärft, dass die Vorstandsmitglieder im Zweifelsfall beweisen müssen, dass sie alle Maßnahmen ergriffen haben, um entsprechende Schäden zu vermeiden. Dazu gehören organisatorische Vorgaben, wie innerbetriebliche Archivierungsrichtlinien, Verfahrensdokumentationen, Administratorrechte, Systemeinstellungen sowie die Vergabe von Zugriffsrechten, als auch technische Aufwendungen, wie der Einsatz von Archivierungssoftware, Verschlüsselungstechniken, Datensicherung, Sabotage- und Ausfallschutz.
Haftung der leitenden (IT-)Mitarbeiter
Aber auch bei leitenden Mitarbeitern - wie z.B. IT-Security-Managern und IT-Administratoren - drohen Regressansprüche seitens des Unternehmens. Mangelnde Sorgfalt bei der Archivierung stellt eine Pflichtverletzung des Arbeitsvertrages dar und führt zu entsprechenden Schadensersatzansprüchen, die nur nach den Grundsätzen der "schadensgeneigten Arbeit" ausnahmsweise zu einer Haftungsfreistellung oder zu einer Minderung der Schadensersatzpflicht führen können. Bei Vorsatz bzw. grober Fahrlässigkeit wird von einer uneingeschränkten Haftung ausgegangen; im Falle einer leichten Fahrlässigkeit gibt es eine Schadensteilung. Daneben können Pflichtverletzungen arbeitsrechtlich eine Abmahnung und im wiederholten Fall eine Kündigung zur Folge haben.
Der erste Schritt zur Compliance?
Entwicklung einer Archivierungsstrategie
Geschäftsleitung und IT sind gefragt, zusammen mit Sachkundigen (z.B. Recht, Steuern) eine fundierte Archivierungsstrategie zu entwickeln. Je nach Unternehmen gilt es dabei, die organisatorischen und technischen Anforderungen für die Archivierung zu ermitteln und die Rahmenbedingungen für das Archivierungskonzept festzulegen (Kasten3). Dabei sind auch die betriebswirtschaftlichen Auswirkungen und Kosten der Archivlösungen zu berücksichtigen. Da Archivlösungen in der Anschaffung nicht gerade billig sind, sollten sie möglichst den funktionalen Bedürfnissen entsprechen, umfassend global im Unternehmen eingesetzt werden und schon allein wegen der langen Aufbewahrungsfristen höchst migrationsfreundlich sein. (Dr. Manfred Anduleit/mf)