Thought Leadership
Unternehmen, die ein falsches Bild von der grundsätzlichen Aufbewahrung von E-Mails mit geschäftskritischen Inhalten haben, laufen Gefahr, gesetzliche Vorgaben der GoBD oder DSGVO zu missachten.
Folglich müssen sie dann mit juristischen und finanziellen Konsequenzen rechnen. Umso erstaunlicher ist es, dass zahlreiche Unternehmen ihrem Schutz noch immer nur wenig Bedeutung beimessen.
Das sind die fünf größten Archivierungsmythen, die sich noch immer standhaft in der Geschäftswelt halten.
Mythos 1: Unternehmen müssen nur Rechnungen aufbewahren!
Grundsätzlich müssen alle Dokumente archiviert werden, die für die Besteuerung relevant sind. In Deutschland regeln das unter anderem die Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form – kurz GoBD. Diese besagen, dass alle steuerrelevanten Dokumente – einschließlich in E-Mail-Form – vollständig, revisionssicher, über einen gesetzlich vorgegebenen Zeitraum hinweg aufbewahrt und jederzeit abrufbar sein müssen. Zudem führen sie im Detail auf, welche Inhalte betroffen sind. Neben Rechnungen fallen darunter unter anderem Bücher und Aufzeichnungen, Inventare, Jahresabschlüsse, Buchungsbelege, Handels- und Geschäftsbriefe sowie jegliche Korrespondenz, durch die ein Geschäft vorbereitet, abgewickelt, abgeschlossen oder rückgängig gemacht wird.
Mythos 2: Kleine Unternehmen sind von der Aufbewahrungspflicht ausgeschlossen!
Aufgrund der Unternehmensgröße könnte der Eindruck entstehen, dass nur große Unternehmen dazu verpflichtet sind, E-Mails den Anforderungen entsprechend aufzubewahren. Allerdings ist die Aufbewahrung geschäftsrelevanter Dokumente – einschließlich E-Mails und ihrer Anhänge – nicht von der Anzahl der Mitarbeitenden abhängig. Vielmehr ist entscheidend, ob Unternehmen beabsichtigen, Gewinne zu erzielen. Folglich gilt die Aufbewahrungspflicht für alle steuerpflichtigen Unternehmen sowie Selbständige und Freiberufler. Das bedeutet aber auch: Wenn kleine Unternehmen die Vorgaben gemäß GoBD nicht einhalten, vernachlässigen sie potenziell andere gesetzliche Anforderungen wie die Buchhaltungspflicht. Das wiederum könnte Steuerprüfungen nach sich ziehen.
Mythos 3: Es reicht vollkommen aus, wichtige E-Mails auszudrucken!
Wie bereits erwähnt stellen die GoBD klare Anforderungen an die Sicherung und Aufbewahrung von steuerrelevanten Dokumenten und Inhalten, die auf dem elektronischen Postweg versendet wurden. So müssen die Inhalte nicht nur vollständig und revisionssicher gesichert werden, sondern für den Fall einer Prüfung auch leicht auffindbar und zugänglich sein. All das ist gefährdet, wenn Unternehmen sie lediglich ausdrucken und abheften. Sprich: Die Originalunterlagen müssen in jedem Fall gemäß den Vorgaben gesichert – und unter Umständen auch gelöscht – werden. Andernfalls liegen sanktionierbare Verstöße vor.
Mythos 4: Ein Backup-System deckt alle Archivierungsanforderungen ab
Im Grunde kopiert ein Backup Tool (E-Mail-)Daten und Systeme in regelmäßigen Abständen (zum Beispiel alle 24 Stunden). Die Krux dabei: In der Regel sichert es diese lediglich kurz- bis mittelfristig. Deshalb eignet sich diese Lösung vornehmlich für die Disaster Recovery – also für die schnelle Wiederherstellung kritischer Systeme und Daten im Schadensfall.
Inhalte, die zwischen zwei Backup-Zyklen verloren gehen, lassen sich dann allerdings nicht mehr wiederherstellen. Eine vorgabengerechte Aufbewahrung geschäftsrelevanter Dokumente kann somit nicht gewährleistet werden. Auch wenn zusätzliche Software keine gesetzliche Pflicht ist, bietet sich der Einsatz einer dedizierten professionellen E-Mail-Archivierungslösung an, deren Funktionalitäten die GoBD- und DSGVO-Konformität unterstützen. Diese kopiert sämtliche E-Mails und ihre Dateianhänge in ein externes, zusätzlich geschütztes Archiv, wo sie über einen beliebig langen Zeitraum manipulationssicher und jederzeit verfügbar aufbewahrt werden.
Mythos 5: E-Mail-Archivierung und Datenschutz passen nicht zusammen!
Was passiert mit E-Mails, die personenbezogene Daten enthalten? Diese dürfen laut DSGVO gar nicht dauerhaft gespeichert und müssen unter bestimmten Umständen sogar gelöscht werden. Trotz dieser Hürden sind E-Mail-Archivierung und der Schutz personenbezogener Informationen miteinander vereinbar. Dafür muss die Archivierungslösung über Funktionen verfügen, mit denen sich die Vorgaben der DSGVO umsetzen lassen. So dürfen personenbezogene Daten, selbst wenn sie sich in E-Mails befinden, nur für einen konkret genannten Zweck erhoben, verarbeitet und gespeichert werden.
Nach Ablauf der Zweck- bzw. der maximalen Aufbewahrungsdauer sind diese Inhalte zu löschen. In einer professionellen E-Mail-Archivierungslösung können sowohl Aufbewahrungsrichtlinien als auch Löschregeln festgelegt werden. Das System kümmert sich dann automatisch darum, betroffene Inhalte aus den Postfächern, dem E-Mail-Server und den Archiven zu entfernen.
