Haftungsfalle Email?

Die Email- und Dokumenten-Falle: Haftungsfragen des Informationsmanagements

 

Unternehmen und öffentliche Verwaltung tragen heute eine schwere Bürde: Nicht allein, dass über bestimmte Zeiträume die steuerrelevanten und sonstigen geschäftskritischen Informationen, darunter insbesondere E-Mails

 

– seit neuestem mit Firmenimpressum zu versehen und somit dem herkömmlichen Geschäftsbrief gleichgestellt –

 

in revisionssicherer Form – also grundsätzlich vertraulich, unveränderbar und jederzeit verfügbar –

 

aufbewahrt werden müssen. Hinzu kommt, dass die Verantwortlichen, d.h.

 

– das Management,

– aber auch die Leitungsfunktion ausübenden Mitarbeiter der IT-Abteilungen

 

für die Sicherheit und Verfügbarkeit der betriebskritischen Daten und Systeme persönlich haften können.

 

Ein effizientes IT-Risiko- und Informationsmanagement (einschließlich der geordneten, jederzeit verfügbaren Aufbewahrung der elektronischen Geschäftspost) ist aber auch aus

 

– Gründen der strategischen Rechtssicherheit

 

unabdingbar, insbesondere um sich ggf. für eine künftige Auseinandersetzung beweisrechtlich positionieren zu können.

 

Indessen greift die uneingeschränkte Kontrolle über betriebliche Datenflüsse ohne geeignete betriebliche Regelungen schnell in die Rechte der Mitarbeiter ein. In diesem Spannungsfeld diametral gegenläufiger Interessen und Rechtspflichten geht der Überblick allzu leicht verloren. Das hat nicht selten die fatale Folge, dass Führungsebene und Mitarbeiterschaft ohne erkennbare Organisation der elektronischen Geschäftsabläufe „vor sich hinwursteln“.

 

Die Sanktionen für Verstöße gegen archivierungsrelevante Aufbewahrungs-, Geheimhaltungs- und Datenschutzpflichten sind freilich erheblich. Dabei kann sich insbesondere ein nachlässiger Umgang mit E-Mails vor dem Hintergrund der Datenschutzgesetze, der kaufmännischen Sorgfaltspflichten des Managements und der GoBS als schadensträchtig erweisen; auf diesen Aspekt soll zunächst eingegangen werden.

 

Weitere Probleme und Besonderheiten ergeben sich bei einem Einsatz von E-Mail im Zusammenhang mit der elektronischen Fakturierung; diese werden im zweiten Teil meines Vortrags behandelt:

 

A.

Studien belegen, dass bereits ein zehntägiger Ausfall von Schlüsselsystemen der IT ein Unternehmen regelmäßig so nachhaltig schädigt, dass es mit einer Wahrscheinlichkeit von 50 % innerhalb von 5 Jahren vom Markt verschwindet. Aus dieser und weiterer empirischer Erkenntnisse Erkenntnis heraus besteht nach der Maßgabe einer ganzen Reihe gesetzlicher Vorgaben (KonTraG, Basel II, Sarbanes-Oxley, allgemeine kaufmännische Sorgfaltspflicht etc.) die Verpflichtung zu einem effizienten Risikomanagement (einschließlich des dazugehörigen Informationsmanagements als zentraler Bestandteil jedes Risikomanagementsystems).

 

Dieses Risikomanagement ist originäre Kardinalspflicht der Geschäftsführung.

 

Die E-Mail ist hierbei ein ganz wesentlicher Bestandteil des betriebsinternen Informationsmanagements.

 

Als so genannte „Handelsbriefe“ unterliegen E-Mails schon von Gesetzes wegen der sechsjährigen Aufbewahrungspflicht des Handelsgesetzbuchs (bzw. in bestimmten Sonderbereichen entsprechenden spezialgesetzlichen Aufbewahrungsnormen).

 

E-Mails und deren Attachments können darüber hinaus steuerrelevant sein. Insbesondere ist hierbei an die

 

          Fälle der elektronischen Fakturierung (§ 14 UStG),

          an die elektronische Belegeverwaltung, Spesen- und Reisekostenabrechnung oder – nach Auffassung des Bundesfinanzministeriums –

          sogar an steuerrelevante Vertragsgestaltungen zu denken.

 

Folge: Neben der zehnjährigen Aufbewahrungsfrist nach der Abgabenordnung und den GOBS (Grundsätzen ordnungsmäßiger DV-gestützter Buchführungssysteme) sind überdies die seit 2002 in Kraft stehenden GDPdU (Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen mit dem dortigen Erfordernis der

 

          wahlfreien maschinellen Auswertbarkeit / Lesevollzugriff)

 

einschlägig und vom Steuerpflichtigen zu beachten.

 

B.

 

Jenseits der in den GDPdU geforderten maschinellen Auswertbarkeit sind in Bezug auf die Aufbewahrungsart jedoch die GoBS die maßgebliche Vorschrift, insoweit es sich bei E-Mails um originär digitale Unterlagen handelt.

 

Demnach ist die elektronische Post

 

          durch Übertragung der Inhalts- und Formatierungsdaten auf einem Datenträger zu archivieren

          und mit einem unveränderbaren Index zu versehen.

 

Für die elektronische Aufbewahrung unter GDPdU-Gesichtspunkten ist dabei entscheidend,

 

          ob die E-Mail selbst steuerrelevante Informationen beinhaltet

          oder ob sie nur als Trägermedium für eine steuerrelevante Information in Attachments fungiert.

 

Im Kontext der digitalen Außenprüfung geht es also bei der Aufbewahrungspflicht von E-Mails mit steuerlicher Relevanz darum, mittels Recherche auf solche E-Mails lesend zuzugreifen, die einen steuerrelevanten Inhalt besitzen, und die gegebenenfalls diesen E-Mails beigefügten Attachments lesen bzw. auswerten zu können.

 

 

Hieraus erwachsen zwangsläufig Fragestellungen hinsichtlich der praktischen Umsetzung. Beim e-Billing /e-Invoicing mittels elektronischer Post beispielweise stellt sich zunächst einmal die Frage:

 

          Was ist eigentlich die Rechnung?

          Muss beispielsweise eine Mail signiert sein, nur weil eine Rechnung angehängt ist?

 

Wie bereits oben geschildert, hängt dies vom Inhalt der Mail ab. E-Mails, die nur als Trägermedium für eine im Anhang befindliche Rechnung dienen und selbst keinerlei vorgangsrelevante Informationen enthalten, müssen weder signiert noch aufbewahrt werden.

 

Sobald jedoch

 

          Ergänzungen, Erläuterungen etc. im Mailtext enthalten sind,

 

gelten zumindest die o.g. Anforderungen der GoBS. Ist die E-Mail gar selbst die Rechnung muss sie nicht nur die GoBS erfüllen, sondern eben auch qualifiziert signiert sein.

 

Weiterhin sind die GDPdU dann auch für die E-Mail, also nicht nur den Anhang, zu beachten. Im Extremfall besteht der Rechnungsvorgang dann aus der E-Mail, einem oder mehreren Rechnungsanhängen, der Signatur und dem Prüfprotokoll, die alle zusammen „revisionssicher“ aufzubewahren sind. Dabei wurde bereits unterstellt, dass – wie üblich – das Zertifikat und der öffentliche Schlüssel des Versenders in der Signatur enthalten sind, denn auch deren Aufbewahrung verlangt die GDPdU.

 

Wir sehen:

 

Aus einem „einfachen Rechnungspapier“ kann in der elektronischen Welt ein recht komplexes Gebilde werden, welches nur durch wohl definierte Abläufe und eine entsprechend angepasste technische Unterstützung sicher gehandhabt werden kann.

 

Dabei können Nachlässigkeiten gravierende Folgen haben. Verstöße gegen die HGB, AO und GoBS/GDPdU können mit Zwangsgeld, Schätzung und dem Verlust von Steuervorteilstatbeständen sanktioniert werden. Zudem wird sich die Prüfung bis zur Herstellung von „Compliance“ für den nächsten Prüfzeitraum wiederholen.

 

Was Emails mit Rechnungscharakter anbelangt, drohen besonders gravierende Folgen. Stellt sich beispielsweise im Nachhinein eine Signatur als ungültig heraus, so war evtl. der Vorsteuerabzug nicht gerechtfertigt und kann – mit Verzinsung – vom Finanzamt verlangt werden.

 

 

Dr. Jens Bücking ist Gründungspartner der Rechtsanwaltskanzlei Emmert Schurer Buecking (https://www.kanzlei.de) sowie zugleich Fachbuchautor im IT-Recht und Lehrbeauftragter an der Hochschule für Technik in Stuttgart. Herr Dr. Bücking berät Industrie, Handel und öffentliche Verwaltung bei IT-Projekten. Er leistet hier zugleich Unterstützung bei der Schulung der Mitarbeiter und sämtlichen arbeitsrechtlichen Vertragsgestaltungen im IT- und User-Umfeld.