Die 5 Email-Gebote
Leitfaden E-Mail Archivierung
Nach einer Studie der Meta-Group schädigt bereits ein zehntägiger Ausfall von Schlüsselsystemen der IT ein Unternehmen regelmäßig so nachhaltig, dass es mit einer Wahrscheinlichkeit von 50 % innerhalb von 5 Jahren vom Markt verschwindet. Aus dieser und weiterer empirischer Erkenntnisse Erkenntnis heraus besteht nach der Maßgabe einer ganzen Reihe gesetzlicher Vorgaben (KonTraG, Basel II, Sarbanes-Oxley, allgemeine kaufmännische Sorgfaltspflicht etc.) die Verpflichtung zu einem effizienten Risikomanagement (einschließlich des dazugehörigen Informations-managements als zentraler Bestandteil jedes Risikomanagementsystems). Dieses Risikomanagement ist originäre Kardinalspflicht der Geschäftsführung.
Im diametralen Gegensatz hierzu steht das Ergebnis einer Inlandsumfrage aus dem April 2005, wonach 1/3 der deutschen Unternehmen nichts von der elektronischen Archivierungspflicht weiß und auch solche Unternehmen, bei denen die dahinter stehenden Mindestvorgaben – neudeutsch: Compliance – bekannt sind, mit deren in technisch-organisatorischer Umsetzung im Rückstand sind oder diese schlicht ignorieren.
Wie passt dies zusammen? Häufig dürfte es so sein, dass Unternehmen den Bereich der Compliance auf Steuerfragen, also auf Revision und Betriebsprüfung vereinfachen. Dabei wird aber übersehen, dass die Information und deren jederzeitige Verfügbarkeit heute die wichtigste betriebliche Ressource im Unternehmen darstellt und ihr dabei – über alle steuerlichen Sanktionsinstrumente hinaus – das Risiko einer wesentlich gefahrenträchtigeren Haftungsquelle innewohnt.
E-Mail ist also ein ganz wesentlicher Bestandteil des betriebsinternen Informationsmanagements. Als so genannte „Handelsbriefe“ unterliegen E-Mails schon von Gesetzes wegen der sechsjährigen Aufbewahrungspflicht des Handelsgesetzbuchs (bzw. in bestimmten Sonderbereichen entsprechenden spezialgesetzlichen Aufbewahrungsnormen). In selteneren Fällen können E-Mails und deren Attachements darüber hinaus steuerrelevant sein. Insbesondere ist hierbei an die Fälle der elektronischen Fakturierung (§ 14 UStG), an die elektronische Belegeverwaltung, Spesen- und Reisekostenabrechnung oder – nach Auffassung des Bundesfinanz-ministeriums – sogar an steuerrelevante Vertragsgestaltungen zu denken. Folge: Neben der zehnjährigen Aufbewahrungsfrist nach der Abgabenordnung und den GOBS (Grundsätzen ordnungsmäßiger DV-gestützter Buchführungssysteme) sind überdies die seit 2002 in Kraft stehenden GDPdU (Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen mit dem dortigen Erfordernis der wahlfreien maschinellen Auswertbarkeit) einschlägig und vom Steuerpflichtigen zu beachten. Jenseits der in den GDPdU geforderten maschinellen Auswertbarkeit sind in Bezug auf die Aufbewahrungsart jedoch die GoBS die maßgebliche Vorschrift, insoweit es sich bei E-Mails um originär digitale Unterlagen handelt. Demnach ist die elektronische Post durch Übertragung der Inhalts- und Formatierungsdaten auf einem Datenträger zu archivieren und mit einem unveränderbarem Index zu versehen. Für die elektronische Aufbewahrung unter GDPdU-Gesichtspunkten ist dabei entscheidend, ob die E-Mail selbst steuerrelevante Informationen beinhaltet oder ob sie nur das Trägermedium für eine steuerrelevante Information repräsentiert. Im Kontext der digitalen Außenprüfung geht es also bei der Aufbewahrungspflicht von E-Mails mit steuerlicher Relevanz darum, mittels Recherche auf solche E-Mails lesend zuzugreifen, die einen steuerrelevanten Inhalt besitzen, und die gegebenenfalls diesen E-Mails beigefügten Attachments lesen bzw. auswerten zu können.
E-Mails mit nicht steuerlich relevanten Inhalten müssen hingegen weder archiviert noch für den Datenzugriff vorgehalten werden. Entscheidet sich das Unternehmen jedoch für die umfassende elektronische Archivierung seiner Geschäftspost, bspw. aus Gründen der Praktikabilität, des internen Wissensmanagements und des schnelleren Zugriffs, verzichtet es also auf die klassische Papierarchivierung, so sind wiederum die strengen Anforderungen des § 257 HGB und der GoBS zu beachten. Daher gilt: Wer elektronisch archiviert, der muss dies auch richtig tun. Ein Konglomerat aus Papierarchiv und elektronischem Archiv genügt diesen Anforderungen nicht.
Im Zwischenbefund ist mithin festzuhalten, dass auch außerhalb aller steuerrechtlichen Aspekte geschäftsrelevante E-Mails regelmäßig für die Aufbewahrungsdauer von sechs Jahren, beginnend mit dem Ende des Jahres, in das der via E-Mail dokumentierte Geschäftsvorfall fällt, in vollständiger Form, sachlich richtig, nachvollziehbar, unveränderbar sowie sicher und vertraulich aufzubewahren sein werden, wobei dazuihre jederzeitige Verfügbarkeit gewährleistet sein muss.
Damit jedoch nicht genug. Neben den genannten Vorschriften sind für die ordnungsgemäße Aufbewahrung und den Zugriff auf verwahrte E-Mails überdies die Vorschriften des Bundesdatenschutzgesetzes zu berücksichtigen und, sofern einschlägig, in E-Mails enthaltene Geschäftsgeheimnisse gegen unbefugte Kenntnisnahme und Weitergabe zu sichern.
Unternehmen, die im Interesse der Rechtssicherheit sämtlichen ein- und ausgehenden Mailverkehr protokollieren, filtern und automatisch archivieren, greifen jedoch ohne entsprechende individualvertragliche oder kollektive Regelung oft unzulässig in die Rechte ihrer Mitarbeiter, insbesondere in das Datenschutzrecht und das Fernmeldegeheimnis ein. Auch jede Form der automatisierten Kontrolle des Mitarbeiterverhaltens wird hier regelmäßig unzulässig sein. Wichtig ist ferner, dass private Mail dem Mitarbeiter gehört und von ihm herausverlangt werden kann, dies prinzipiell auch nach seinem Ausscheiden. Auch ist es problematisch, Privatmail durch Spamfilter zu unterdrücken oder gar zu löschen. Zur Überwindung dieser Interessenkonflikte sind rechtlich-organisatorische Maßnahmen letztlich unabdingbar. Gemeint sind individualvertragliche Vereinbarungen mit dem Arbeitnehmer, Betriebsvereinbarungen, Security- und User-Policies sowie fortwährende Schulungs- und Qualifizierungsmaßnahmen der Belegschaft.
Für den täglichen Umgang mit E-Mails, die inzwischen zum Kommunikationsmedium Nummer 1 in der Geschäftswelt avanciert sind, gilt es seitens des Managements, geeignete organisatorische Regeln aufzustellen. Denn E-Mails werden oft rechtsrelevante elektronische Erklärungen enthalten. Ähnlich dem Klick auf den Bestellbutton beim Webshop sind sie im Geschäftsleben zumeist dazu bestimmt, einem anderen zuzugehen und diesen neutral zu informieren oder zu einem bestimmten Verhalten zu veranlassen. Das bedeutet natürlich, dass auch Verträge durch eine in einer E-Mail enthaltene Erklärung abgeschlossen, verändert, aufgehoben oder entsprechende Gegen- und Folgeansprüche (z.B. Inverzugsetzung, Gewährleistung) grundsätzlich via E-Mail geltend gemacht werden können. Denn Verträge sind im Regelfall auch per E-Mail-Austausch oder per Mausklick (mittels automatisch generierter elektronischer Erklärung) wirksam. Eine Ausnahme gilt allerdings bei streng formbedürftigen Verträgen; eine E-Mail wahrt hier regelmäßig nicht die Form. Da es sich bei Mails also oft um elektronische Erklärungen handelt, ist es (außerhalb des rein privaten Bereichs) erforderlich, täglich seine Accounts zu überprüfen. Denn bereits die bloße Abrufbarkeit vom Mailserver gilt als „Zugang“ im Rechtssinne und kann daher auf Seiten des Empfängers Rechtsfolgen auslösen, ohne dass es der tatsächlichen Kenntnisnahme von der Mail bedarf. Vorsicht ist daher geboten bei der Verwendung von Mailadressen auf Visitenkarten, im Internet oder auf Geschäftsbriefen. Wer bei seinem Außenauftritt eine Erreichbarkeit über seine dienstliche Mailadresse suggeriert, muss auch für die tägliche Kontrolle dieser Mailbox sorgen.
Kritisch ist jedoch die Beweisführung: Die Tatsache des Zugangs (Abrufbarkeit) ist nicht durch eine Receipt-Meldung des Mailprotokolls beweisbar. Anders (wohl) bei Empfangs- und insbesondere Lesebestätigungsmails; hier wird es oft einen so genannten Anscheinsbeweis für die zumutbare Kenntnisnahmemöglichkeit geben. Über Zustandekommen und Inhalt von Verträgen wird häufig gestritten. Solche Fragen können dann zumeist nur noch über die Beweislast gelöst werden. Und hier ist derjenige auf der sicheren Seite, der seine Geschäftsvorgänge (einschließlich eingehender und ausgehender Mail) dokumentiert, also in einer dem Bedürfnis nach Rechtssicherheit entsprechenden Weise archiviert.
Prinzipiell zu empfehlen wäre daher eine automatisierte elektronische Archivierung, die alles, was zur Durchsetzung oder Abwehr von Ansprüchen notwendig ist, protokolliert, indexiert und kurzfristigen Zugriff erlaubt. Allerdings muss andererseits die Kompatibilität mit dem Persönlichkeits- und Datenschutz der Mitarbeiter, deren (in der Regel teils geschäftlicher, teils privater) Mail-Input und -Output gescannt und archiviert wird, sichergestellt werden. Dies geschieht wie gesehen entweder bereits im individuellen Anstellungsvertrag (Ausnahme) oder aber über eine geeignete betriebliche Policy zum Umgang mit Internet und E-Mail (Regelfall) bzw. eine Betriebsvereinbarung, die dann aber, soll sie ihre Wirksamkeit nicht stillschweigend einbüßen, auch „gelebt“, d.h. und entsprechend kontrolliert und sanktioniert werden muss.
Als Beweismittel genießt die E-Mail zwar keine Sonderstellung wie etwa die Urkunde oder das elektronisch signierte Dokument. Sie ist jedoch durchaus geeignetes Mittel der freien richterlichen Beweiswürdigung. Im Prozess muss jede Partei die ihr günstigen Tatsachen darlegen und beweisen. Und wenngleich die E-Mail im Grundsatz keinen höheren Beweiswert hat als bspw. ein Ausdruck aus dem Internet, die Kopie eines Papierdokuments oder die Vorlage einer Fotografie, bietet sie jedoch in der Regel einen beweisrechtlichen „Wettbewerbsvorteil“. Denn der Ausdruck einer E-Mail ist häufig das einzige Beweismittel, das dem Gericht zu seiner Entscheidungsfindung vorliegt. Sie schafft mithin Indizien für den Aussteller, den Empfänger, das Absende- und Zugangsdatum und die Richtigkeit des in ihr niedergelegten Inhalts. Darüber hinaus kann sie eine wertvolle Gedächtnishilfe für die Zeugenvernehmung bilden. Die jeweils andere Partei, die sich gegen den mit der E-Mail begründeten Sachverhalt wehren will, ist wegen ihrer prozessualen Wahrheitspflicht daran gehindert, die in der E-Mail dokumentierten Angaben pauschal zu bestreiten. Einwände, die Mail stamme nicht vom Aussteller, sei beim Empfänger nicht zugegangen, enthalte falsche Datumsangaben oder sei inhaltlich verfälscht worden, wären daher von der dies einwendenden Partei anhand einer konkreten Sachverhaltsdarlegung genauestens zu „substantiieren“.
Neben den eingangs genannten haftungsrelevanten Konstellationen, in denen das Unternehmen für den durch die Nichtverfügbarkeit oder den Verlust von elektronischer Information schadensersatzpflichtig ist, stellt das Steuerrecht ein Sanktionsinstrumentarium in Gestalt von Zwangsmaßnahmen, bußgeldrechtlicher Ahndung, Schätzungen und ggf. Versagung gesetzlicher Steuervergünstigungen zur Verfügung. Verstöße können überdies strafrechtlich sanktioniert sein als Verletzung der Buchführungspflicht, z.B. wenn der Verlust oder die Unauffindbarkeit von Mails den Finanzbehörden eine vollständige und lückenlose Übersicht über die Vermögensverhältnisse des Unternehmens und die damit zusammenhängenden Geschäftsvorfälle erschwert.
Nach den vorstehenden Ausführungen kann für den rechtlich-organisatorischen Umgang mit elektronischer Geschäftspost folgender Gebotskatalog vorgeschlagen werden:
- Du sollst täglich Deine Mailbox checken
- Du sollst Geschäftsmails geordnet und unveränderbar archivieren
- Du sollst einen jederzeit raschen Zugriff auf alte E-Mails gewährleisten
- Du sollst Privatmails deutlich von Geschäftsmails trennen
- Du sollst keine Privatmails lesen
Das Erste Gebot:
Du sollst täglich Deine Mailbox checken.
GRechtlich relevante Erklärungen können auch via E-Mail abgegeben werden. Dazu gehören Erklärungen, die Verträge zustande bringen, bestätigen, ändern, widerrufen oder kündigen ebenso wie solche, die Sachverhalte protokollieren, bestätigen oder richtig stellen. Im Geschäftsverkehr gilt, dass sich der Unternehmer mit der erstmaligen Bekanntgabe seiner geschäftlichen Mailadresse auf eingehende Erklärungen seiner Kunden oder Lieferanten einstellen muss. Er muss wie beim Fax regelmäßig seinen Posteingang checken (bzw. seine Mitarbeiter hierzu anhalten, vorzugsweise mittels geeigneter Mail Policy). Versäumt er das, können ihn die rechtlichen Wirkungen von Email-Erklärungen seiner Kunden oder Lieferanten auch dann treffen, wenn er diese Emails nie zu Gesicht bekommen hat.
Das Zweite Gebot:
Du sollst Geschäftsmails geordnet und unveränderbar archivieren.
GOft nehmen Mitarbeiter die Archivierung selbst in die Hand. In Unkenntnis gesetzlicher Aufbewahrungspflichten (oder betrieblicher Aufbewahrungsbedürfnisse zur Vorlage im Streitfall, etwa vor Gericht) wird „aufgeräumt“ und Speicherplatz freigemacht. Was nicht mehr für dienstlich relevant erachtet wird, wird bisweilen eigenmächtig gelöscht, oft auch „nur“ verändert oder kopiert und nach eigenen Ordnungskriterien archiviert. Dies kann für den Arbeitgeber dramatische Folgen haben. Das Gesetz verlangt in Bezug auf Geschäftskorrespondenz eine transparente und revisionssichere Aufbewahrung über näher definierte Zeiträume. Einschlägig sind hier insbesondere steuer- und handelsrechtliche Vorschriften. Verstöße gegen die handelsrechtliche Aufbewahrungspflicht beispielsweise können dann, wenn dadurch die Übersicht über den Vermögensstand des Unternehmens erschwert wird, mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe geahndet werden.
Wichtig sind ferner die Steuervorschriften über die Aufbewahrung elektronischer Geschäftsdokumente und Rechnungen. Besonderer Stellenwert kommt hier der Integrität, Sicherheit, Vertraulichkeit und jederzeitigen Verfügbarkeit der Daten zu. Das Finanzamt darf inzwischen auch digitale Unterlagen prüfen. Es kann verlangen, dass die Daten maschinell ausgewertet oder die gespeicherten Unterlagen und Aufzeichnungen auf einem maschinell verwertbaren Datenträger zur Verfügung gestellt werden. Hierbei kann es Fristen setzen, was abermals einen raschen Zugriff auf elektronische Archive notwendig macht.
Das Dritte Gebot:
Du sollst einen jederzeit raschen Zugriff auf alte E-Mails gewährleisten.
Die Frage des „Aufbewahren-Müssens“ betrifft die gesetzlichen Vorgaben, die im zweiten Gebot behandelt wurde. Oft noch betriebswichtiger ist jedoch für den Arbeitgeber die Frage des „Aufbewahren-Dürfens“. Gemeint ist das Bedürfnis, soviel wie möglich (und gesetzlich zulässig) aufzubewahren, um es im Streitfall kurzfristig vorlegen zu können. Dabei kann es beispielsweise darum gehen, im Rahmen eines Prozesses innerhalb einer vom Gericht gesetzten Frist vertragliche Absprachen zu beweisen, etwa über Protokolle von Projektmeetings, Verantwortlichkeitsverteilungen, Entwürfe, Terminverschiebungen, Änderungen des Lieferumfangs etc. Gelingt dies nicht, kann ein solcher Prozess allein aufgrund der Verspätung verloren gehen. Es ist daher wichtig, bestimmte Geschäftsvorfälle kurzfristig rekapitulieren zu können. Dazu gehört der schnelle Zugriff auf E-Mails, die nach geeigneten Kriterien bestimmten Geschäftsvorfällen zugeordnet sind. Der Beweiswert solcher E-Mails kann nicht zuletzt von ihrer Unveränderbarkeit im Archiv und vom Nachweis, wer zu welchem Zeitpunkt Zugriff auf die Email genommen hat, abhängen. Regelmäßig berührt dieses Arbeitgeberinteresse an umfassender Archivierung aber wiederum den Schutz des Mitarbeiters, dessen gesamter Mailverkehr, gleich ob privat oder dienstlich, über Jahre hinweg und über sein Ausscheiden hinaus archiviert werden müsste.
Das Vierte Gebot:
Du sollst Privatmails deutlich von Geschäftsmails trennen.
Eine leider weit verbreitete Unsitte von Mitarbeitern ist es, private Mails, Postings oder Angebote unter der dienstlichen Mailadresse oder – noch unbedachter – unter dem Standardbriefkopf des Arbeitgebers für E-Mails zu versenden. Denkbar ist, dass der Arbeitgeber, der dies durch nachlässiges Mail-Management ermöglicht, Dritten gegenüber für Erklärungen seiner Mitarbeiter, für deren private Meinungsäußerungen oder sonstige Verhaltensweisen haftet. Die Haftung kann dabei von der Unterlassung künftiger Störungen über die Pflicht, eingegangene Vertragsverbindlichkeiten zu erfüllen bis hin zu einer strafrechtlichen Mitverantwortung reichen. Es sollten daher keinesfalls Privatmails unter dem Mailbriefkopf des Arbeitgebers versendet werden können. Dieser Mailbriefkopf ist in Einklang mit den handelsrechtlichen Vorschriften über Geschäftsbriefe zu halten und kann ggf. zusätzlich mit einem Disclaimer versehen werden.
Das Fünfte Gebot:
Du sollst keine Privatmails lesen.
Privatmails sind das Gegenteil dienstlich versendeter oder empfangener Mails. Im Zweifel gelten sie kraft betrieblicher Übung als erlaubt. Zwar ist diese Erlaubnis in der Regel nicht ausdrücklich im Arbeitsvertrag oder einer betrieblichen Vereinbarung verankert. Doch wird sie sich oft „stillschweigend“ durch Duldung ergeben. Zum Teil wird vertreten, dass sich aus der Erlaubnis, privat zu telefonieren, derselbe Rückschluss für Privatmails ergeben müsse. Teilweise wird sogar behauptet, dass der Arbeitgeber Privatmails gar nicht pauschal verbieten dürfe. Oft möchte der Arbeitgeber seinen Mitarbeitern eine Kompromisslösung anbieten. Zu denken ist etwa an spezielle Rechner zum Surfen, eigene Mailboxen für Privates, bestimmte Zeit- und Inhaltsbeschränkungen etc. Dabei gilt es freilich wiederum oft, die Rechte des Betriebsrats bzw. der Personalvertretung zu beachten. All das macht aber für den Arbeitgeber den Umgang mit der Mailbox des abwesenden oder ausgeschiedenen Mitarbeiters schwer. Denn sie kann in der Regel Privates wie Dienstliches enthalten. Daten- und Fernmeldegeheimnis sind grundsätzlich zu schützen. Auch wenn der Arbeitgeber also in zulässiger Weise eine ausschließlich dienstliche Nutzung vorgeschrieben hat, darf er nicht ohne weiteres das Verhalten seiner Mitarbeiter im Umgang mit Internet und E-Mail überwachen oder Spionprogramme einsetzen. Auch wenn der Arbeitgeber eine ausschließlich dienstliche Nutzung vorgeschrieben hat, darf er weisungswidrig verschickte (erst recht erhaltene) Privatmails nicht lesen. Das gilt z.B. für die als „persönlich“ oder „vertraulich“ gekennzeichneten Mails oder solche, deren private Natur anderweitig zu erkennen ist.
* Der Autor ist Gründungspartner der Rechtsanwaltskanzlei Emmert Schurer Buecking (https://www.kanzlei.de) sowie zugleich Fachbuchautor im IT-Recht und Lehrbeauftragter an der Hochschule für Technik in Stuttgart.