Revisionssichere E-Mail-Archivierung nach GoBD durch BeforeSunrise©
Abgesehen von Nichtkaufleuten (wie Kleingewerbetreibende und Freiberufler) ist jedes Unternehmen dazu verpflichtet, geschäftliche E-Mails zu archivieren. Dies ergibt sich unter anderem aus steuerrechtlichen und buchhalterischen Anforderungen und der Compliance-Pflicht (Einhaltung gesetzlicher Bestimmungen und unternehmensinterner Richtlinien). Für die Archivierung ist die jeweilige Geschäftsführung verantwortlich. Wenn Unternehmen ihre geschäftlichen E-Mails nicht archivieren, dann drohen steuerliche Strafmaßnahmen und rechtliche Konsequenzen. Die Verletzung der Buchführungspflicht kann beispielsweise mit einer Geldstrafe oder gar mit einer Freiheitsstrafe geahndet werden.
Welche E-Mails müssen Unternehmen aufbewahren?
Laut § 238 Abs. 2 HGB muss jede Mail, die einem Handelsbrief entspricht, archiviert werden. Als Handelsbrief werden alle E-Mails verstanden, die der Geschäftskorrespondenz eines Unternehmens dienen. Weiterhin unterliegen nach § 147 AO auch alle E-Mails mit steuerrechtlichem Bezug der Archivierungspflicht. Dies betrifft folgende E-Mail-Inhalte:
- Handelsbücher, Inventare, Jahresabschlüsse, Lageberichte, die Eröffnungsbilanz sowie die zu ihrem Verständnis erforderlichen Arbeitsanweisungen und sonstigen Organisationsunterlagen,
- die empfangenen Handels- oder Geschäftsbriefe,
- Wiedergaben der versandten Handels- oder Geschäftsbriefe,
- Buchungsbelege,
- sonstige Unterlagen, soweit sie für die Besteuerung von Bedeutung sind.
Zusammenfassend bedeutet dies, dass der komplette E-Mail-Verkehr, der eine geschäftliche Relevanz hat, geordnet abgespeichert werden muss – inklusive Dateianhängen. Geschäftlich relevant sind:
E-Mails, über die Geschäfte durchgeführt und abgeschlossen wurden (wie Auftragsbestätigungen, Verträge, Lieferpapiere, Rechnungen, Zahlungsbelege),
sowie E-Mails, die Geschäfte aufgehoben oder vorbereitet haben (etwa Reklamationsschreiben, die Kontaktierung von potenziellen Kunden über den Vertrieb und Aufträge sowie Auftragsänderungen).
E-Mails mit solchen Inhalten – sowohl verschickte als auch empfangene – müssen verwahrt werden. Dementsprechend sind sowohl interne Mails als auch solche, über die kein Geschäft zustande gekommen ist, ausgenommen und brauchen nicht archiviert werden. Gleiches gilt für Spammails und Werbemittel wie Newsletter.
Hinweis:
Die DSGVO regelt wiederum, welche E-Mails nicht aufgehoben werden dürfen. So ist beispielsweise die Archivierung von privaten Mails von Mitarbeitern nur bei ausdrücklicher Genehmigung der Betroffenen erlaubt.
Wie lange müssen Unternehmen E-Mails archivieren?
- 257 HGB Abs. 4 gibt vor, dass als E-Mail geltende Handelsbriefe 6 Jahre verwahrt werden müssen. Hierbei regelt § 257 HGB Abs. 5 die Aufbewahrungsfrist im Detail: Sie beginnt mit dem Ende des Kalenderjahres, in dem die Mail gesendet oder empfangen wurde.
Weiterhin muss man auch laut § 147 AO alle als Handels- oder Geschäftsbriefe geltende E-Mails 6 Jahre archivieren. Sollten die Mails jedoch Rechnungen, Buchungsbelege, Jahresabschlüsse oder generelle Bilanzen, Lageberichte oder andere Organisationsunterlagen beinhalten, gilt hier grundsätzlich eine Aufbewahrungspflicht von insgesamt 10 Jahren. Der Einfachheit halber archivieren einige Unternehmen direkt alle betroffenen Mails für insgesamt 10 Jahre, um sich den Aufwand der Trennung zu sparen.
Wie sollen Unternehmen E-Mails archivieren?
Die Gesetzgebung bietet keine ausführlichen Vorgaben für die Speicherung und Katalogisierung geschäftlicher E-Mails. Aus § 146 AO und § 239 HGB ergeben sich aber folgende (sehr allgemein gehaltene) Bedingungen für die revisionssichere E-Mail-Archivierung:
Handelsbücher und sonstige erforderliche Aufzeichnungen müssen
- vollständig,
- richtig,
- zeitgerecht,
- unveränderlich,
- ordentlich und
- nachvollziehbar
- geführt werden.
Einige dieser Punkte sieht auch das GoBD vor. Es besagt, dass eine revisionssichere Archivierung erfüllt ist, wenn alle relevanten E-Mails und E-Mail-Anhänge vollständig, manipulationssicher, jederzeit verfügbar und maschinell auswertbar sind. Da ein handelsübliches E-Mail-Programm diesen Ansprüchen nicht gerecht wird (gerade in Bezug auf die Unveränderbarkeit der Nachrichten), braucht es eine andere Lösung zur dauerhaften Verwahrung von E-Mails.
Beachten Sie bitte außerdem folgende Fakten zu verbreiteten Meinungen:
Für die Steuer sind lediglich die Rechnungen wichtig. Alles andere muss nicht archiviert werden.
Nach den GoBD ist ein Unternehmen verpflichtet, die gesamten Geschäftsprozesse zu archivieren. Dazu gehören nicht nur Rechnungen, denn von der Angebotsanfrage über die Auftragserteilung bis hin zur Rückabwicklung sind alle E-Mails wichtig – Stichwort „Geschäftsrelevanz“. Hinzu kommt, dass die E-Mail noch immer ein stark wachsendes Medium im Unternehmen ist. Rechnungen werden vermehrt automatisch per E-Mail anstatt über den Postweg versendet, weshalb eine E-Mail-Archivierung durchaus sinnvoll ist.
Es reicht vollkommen aus, die wichtigsten E-Mails einfach auszudrucken.
Ausdrucken bedeutet, eine Kopie zu erstellen. Jedoch dürfen nach den GoBD nur Originalformate verwendet werden, die nicht konvertiert wurden. Sprich, wenn das Original über den digitalen Weg versandt wurde, gilt dieser Weg auch als Beleg und somit ist die E-Mail im Original aufzubewahren.
Kleine Unternehmen benötigen keine E-Mail-Archivierung, die Pflicht gilt nur für große Konzerne.
Die Aufbewahrungspflicht ist nicht an eine bestimmte Unternehmensgröße gebunden. Auch kleinste Unternehmen und auch Einzelunternehmer unterliegen dieser Verwaltungsvorschrift. Oder auch anders gesagt: Alle Unternehmen mit einer Gewinnerzielungsabsicht unterliegen den GoBD und können bei Nichteinhaltung eine Verletzung der Buchhaltungspflicht riskieren. Zumindest könnte die Steuerprüfung neugierig werden, weshalb sich das betreffende Unternehmen nicht an die GoBD hält.
Backups decken die Archivierung doch mit ab – da wird keine zusätzliche Archivierung benötigt.
Üblicherweise wird ein Backup nur ein Mal am Tag durchgeführt. Das bedeutet, dass alle Inhalte, die in der Zwischenzeit verändert, hinzugefügt oder gelöscht wurden, nicht im Backup enthalten sind. Ein Backup alleine reicht also nicht aus, um rechtssicher agieren zu können. Ein Backup ergänzt eine Archivierungslösung, weshalb beide perfekt zusammenpassen und notwendige Bereiche im Unternehmen sind.
Datenschutz und E-Mail-Archivierung passen nicht zusammen.
E-Mail-Archivierung und Datenschutz können durchaus in Einklang gebracht werden. Wichtig hierbei ist, dass E-Mails, die personenbezogene Daten enthalten und deren Zweck der Verarbeitung nicht mehr gegeben ist – wie z.B. Bewerbungen nach Absage – gesondert behandelt werden. Eine Lösung kann hier das regelbasierte Löschen sein. So können E-Mails gezielt ausgewählt und nach einem bestimmten Zeitraum automatisch gelöscht werden.