E-Mail- und Dokumentenarchivierung nach GoBD und DSGVO

GoBD E-Mail Archiv

E-Mail- und Dokumentenarchivierung nach GoBD und DSGVO

Wer im Unternehmen Dokumente oder E-Mails rechtssicher archivieren möchte, muss sich dabei an die GoBD und die DSGVO halten. Die GoBD sind die „Grundsätze zur ordnungsgemäßen Buchführung und zum Datenzugriff“, die DSGVO ist die europäische Datenschutzgrundverordnung.

Zu den GoBD

Die GoBD schreibt den Unternehmen vor, Dokumente und auch die digitale Kommunikation vorschriftsgemäß zu archivieren. Das verlangt die Einhaltung folgender Kriterien:

  • datenschutzkonforme Aufbewahrung von Dokumenten auf Papier und physischen Datenträgern
  • revisionssichere Archivierung von in der Cloud abgelegten digitalen Dokumenten
  • Nachvollziehbarkeit der Archivierung
  • Vollständigkeit des Archivs
  • zeitnahe Archivierung
  • Dokumentation des Archivierungsverfahrens

Für wen gelten die GoBD?

Alle steuerpflichtigen Unternehmen mit Gewinnerzielungsabsicht unterliegen dem Geltungsbereich der GoBD. Die Unternehmensgröße spielt hierbei keine Rolle, auch Freelancer sind betroffen. Auch die Art der Steuerabrechnung – Einnahmen-Überschuss-Rechnung oder Bilanz – ist für die GoBD-Pflichten unerheblich.

Anforderungen der GoBD

Die GoBD setzen auch den gesetzlichen Rahmen bezüglich der Verwaltung elektronischer Dokumente. Unternehmen sind damit zur vollständigen Verfahrensdokumentation und zur GoBD-konformen Arbeitsweise verpflichtet. Auch die verwendete Software muss den GoBD-Grundsätzen entsprechen.

Rechtssichere E-Mail-Archivierung laut GoBD

E-Mail- und Dokumentenarchivierung nach GoBD und DSGVO

E-Mail- und Dokumentenarchivierung nach GoBD und DSGVO

E-Mails für den Geschäftsverkehr sind zu archivieren, wenn sie für ein Geschäft Relevanz haben. Betroffen sind:

  • Angebote
  • Aufträge
  • per Mail geschlossene Verträge
  • Kündigungen per Mail
  • Rechnungen
  • Reklamationen

Besonders auf Rechnungen legt das Finanzamt großen Wert. Aus ihnen lässt sich der tatsächliche Kapitalfluss ableiten. Auftragsbestätigungen, Lieferpapiere und Zahlungsbelege sind ebenfalls wichtig, allerdings prüft das Finanzamt in der Regel nur Kontoauszüge, Kassenbücher für Bargeldflüsse und die dazugehörenden Rechnungen. Die Archivierung der betreffenden Unterlagen muss laut GoBD im Originalformat erfolgen. Der Ausdruck einer E-Mail ist eine Kopie und wird nicht anerkannt. Die Aufbewahrungsfristen für E-Mails hängen vom Inhalt ab. Regelungen hierzu finden sich auch im HGB, aber auch in der AO. So schreibt unter anderem der § 257 HGB vor, dass Handelsbriefe sechs Jahre lang aufzubewahren sind. Steuerrelevante Mails müssen zehn Jahre lang aufbewahrt werden. Eine Archivierung gilt als revisionssicher, wenn die betreffende Mail mit allen Anhängen vollständig, manipulationssicher, jederzeit verfügbar und maschinell auswertbar ist.

Grenzen der Archivierung

Es gibt Grenzen der Archivierung, welche die DSGVO setzt (siehe nächster Abschnitt). Personenbezogene Daten sind nur so lange aufzubewahren, wie sie eine unmittelbare geschäftliche oder juristische Relevanz haben (etwa bei der Kündigung eines Kunden). Es gilt der Grundsatz der Datenminimierung.

Archivierung von verschlüsselten Mails

Viele Mails werden im Geschäftsverkehr verschlüsselt zugestellt. Sowohl die Archivierung erfolgt im Original, insofern ebenfalls auch verschlüsselt. Daher ist der Schlüssel ebenfalls zu archivieren. Hierzu ist es in der Regel erforderlich, ein Private-Key-Management zu integrieren. Der Hintergrund: Für das Entschlüsseln verfügt der Mitarbeiter, dem das E-Mail-Postfach zugeordnet ist, über einen privaten Schlüssel. Dieser Mitarbeiter kann aber das Unternehmen verlassen. Daher muss dieses auch die privaten Schlüssel separat archivieren. Das Bundesfinanzministerium hat sich umfangreich zur Anwendung der GoBD geäußert. Das betreffende Schreiben ist hier nachzulesen.

E-Mail-Archivierung laut DSGVO

Die DSGVO regelt in der Europäischen Union die Verarbeitung von personenbezogenen Daten. Sie trat 2018 in Kraft und vereinheitlicht das EU-Recht in diesem Bereich. Ihre Anforderungen können der Archivierungspflicht nach den GoBD zuwiderlaufen, denn sie schützt personenbezogene Daten und erzwingt ihre Löschung, wenn diese nicht unmittelbar benötigt werden. Das kann bedeuten: Eine revisionssichere E-Mail-Archivierung könnte nicht datenschutzkonform sein, wenn sie personenbezogene Daten enthält, die nach Abschluss des Geschäftsvorfalls nicht mehr relevant sind. Betroffen sind beispielsweise Daten der Personalabteilung.

Daten auch löschen

Hier sind die Daten von Bewerbern, welche nicht eingestellt wurden, nach Abschluss des Vorgangs zu löschen. In geschäftlicher Korrespondenz, die sich auf steuerrelevante Vorgänge bezieht, sind regelmäßig ebenfalls personenbezogene Daten enthalten, nämlich mindestens der Name, die dienstliche Anschrift und die Kommunikationsdaten des Geschäftspartners, häufig auch noch dessen Bankverbindung. Diese Daten fallen nicht unter den Schutz der DSGVO, weil das Finanzamt bis zehn Jahre nach dem Geschäftsvorfall auch beim Geschäftspartner den Vorfall prüfen könnte.

Wie sind die GoBD und die DSGVO grundsätzlich in Übereinstimmung zu bringen?

Grundsätzlich sollten Unternehmen in geschäftlicher, nach den GoBD archivierungspflichtiger Korrespondenz keine personenbezogenen Daten erwähnen, die mit dem geschäftlichen Vorgang an sich nichts zu tun haben. Das wären etwa Daten von Referenzkunden, die sich positiv zu den Leistungen des Unternehmens geäußert haben. Wenn beispielsweise die Vertriebsabteilung solche Daten für erforderlich hält, um einen Interessenten zu einem Vertragsabschluss zu motivieren, muss das in einem gesonderten Schreiben (einer E-Mail) erfolgen, in welchem zwar auf die Referenzkunden verwiesen wird, in dem aber ansonsten keine steuerrelevanten Daten wie eine eindeutige finanzielle Offerte auftauchen. Diese Mail ist nach Abschluss des Vorgangs laut DSGVO zu löschen.

2 Kommentare

Trackbacks & Pingbacks

  1. […] Kryptobörsen zählt, zum automatischen Informationsaustausch. Die Finanzämter können auf diese Transaktionsdaten zugreifen. Das machen sie nur im Zweifelsfall, doch dann müssen die Daten der eigenen […]

Hinterlasse ein Kommentar

An der Diskussion beteiligen?
Hinterlasse uns deinen Kommentar!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.