E-Mail-Archivierung nach GoBD

Was Unternehmen bei der Archivierung von E-Mails in Zukunft beachten müssen.

Steuerliche relevante Unterlagen sind unter Berücksichtigung der gesetzlich vorgeschriebenen Aufbewahrungsfristen zu archivieren. Dabei sind die „Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD)“ zu beachten.
Zu den archivierungspflichtigen Dokumenten gehören auch E-Mails, die eine steuerliche Relevanz aufweisen. Dabei reicht eine Ablage im Dateisystem oder das Nicht-Löschen der E-Mails zur Archivierung nicht aus. Auch das Ausdrucken von E-Mails ist keine Lösung.

Das Ende der Schonfrist

Die GoBD sind zwar bereits seit 2015 gültig, aber bis Ende 2016 galt eine Übergangs- und Schonfrist. Ab 2017 allerdings kommt ein Unternehmen, das kein Risiko bei einer
Außenprüfung durch das Finanzamt eingehen und darum die Anforderungen an eine rechtssichere Archivierung erfüllen will, nicht mehr an einer professionellen Lösung vorbei. Wirtschaftsprüfer gehen davon aus, dass es in Zukunft empfindliche Strafen für Verstöße gegen die Bestimmungen der GoBD geben wird.

Dies sollte jedoch nicht als lästige Pflicht nach dem Motto „noch mehr nutzloser Aufwand“ verstanden werden. Im Gegenteil: Ist die E-Mail-Archivierung einmal eingerichtet, ergeben sich wertvolle Vorteile und Zusatznutzen:

  • Der manuelle Aufwand für Archivierungsarbeiten sinkt
  • Suchvorgänge werden drastisch vereinfacht und beschleunigt
  • Die Kommunikation mit Geschäftspartnern wird verbessert
  • Höhere Sicherheit bei Betriebsprüfungen

Vorteile der automatischen E-Mail-Archivierung mit ITSM!e-mail

Die Vorteile der automatischen E-Mail-Archivierung ITSM!e-mail als Bestandteil unseres umfassenden Dokumentenmanagementsystems ITSM!DMS kommen besonders gut zur Geltung, wenn sie in unsere ERP/CRM-Lösung ITSM!ERP eingebunden ist. Denn dann ist auch eine teilautomatische Zuordnung aller EMails zu Stammdaten oder Geschäftsvorfällen wie Angeboten oder Rechnungen möglich.

Aber das Dokumentenmanagementsystem kann selbstverständlich auch als eigenständige Lösung eingesetzt werden. Die Zuordnung von Dokumenten ist dann auf die mitgelieferte Stammdatenverwaltung beschränkt. Wenn es schon notwendig ist, neue Vorschriften des Gesetzgebers in Bezug auf elektronische Dokumente zu berücksichtigen, dann sollte dies auch zum Anlass genommen werden, das Beste für das Unternehmen herauszuholen.

GoBD – eine Einordnung mit Blick zurück

Was sind eigentlich die GoBD („Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“)? Dazu müssen wir etwas ausholen. Sie kennen wahrscheinlich die Begriffe GoBS („Grundsätze ordnungsgemäßer DV-gestützter Buchungssysteme“) und GDPdU („Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen“).

Die GoBS basieren auf einem Schreiben des Bundesfinanzministeriums für Finanzen (BMF) aus dem Jahre 1995. Sie ergänzen die „Grundsätze ordnungsmäßiger DV-gestützter Buchführung“ (GoB) und regeln im Wesentlichen die zusätzlichen Fragen, die sich durch den vermehrten Einsatz von IT-Systemen in der Buchführung ergeben wie z.B. den elektronischen Austausch von Daten oder die elektronische Übermittlung von Belegen. Dazu gehören auch die Aufbewahrungspflichten für digitale Unterlagen.

Die GDPdU beinhalten die Vorschriften zur Aufbewahrung und Archivierung digitaler Unterlagen und definiert die Mitwirkungspflichten eines Steuerpflichtigen bei einer Betriebsprüfung durch die Finanzbehörden. Unter anderem war in der GDPdU auch festgeschrieben, dass digitale Rechnungen eine qualifizierte digitale Signatur tragen müssen. Wir haben die Vergangenheitsform hier bewusst gewählt, denn sowohl GoBS als auch GDPdU sind seit Anfang 2015 durch die GoBD abgelöst. Mit Schreiben vom 14. November 2014 an die Obersten Finanzbehörden der Länder definiert das BMF unter anderem die Anforderungen an die Buchführung und insbesondere den Umgang mit elektronischen Dokumenten einschließlich deren Archivierung.

GoBD und E-Mail-Archivierung

Wir beschränken uns in diesem Dokument auf die Teile der GoBD, die mit dem Thema E-MailArchivierung direkt zu tun haben. E-Mails können Handels- oder Geschäftsbriefe
sein. Sie unterliegen damit den gleichen Archivierungsregeln, die allgemein für Handelsund Geschäftsbriefe gelten. Geschäftsunterlagen in Form von E-Mails sind je nach Typ zwischen sechs und zehn Jahre digital zu archivieren. Das Ablegen ausgedruckter E-Mails genügt dieser Anforderung nicht.

Der Ist-Zustand in vielen KMUs

Aktuell dürfte ein großer Teil der kleinen und mittleren Unternehmen die Anforderungen der GoBD in Bezug auf die E-Mail-Archivierung nicht erfüllen. Vielfach gibt es – wenn überhaupt – nur ein sehr rudimentäres E-Mail-Management, und die Mitarbeiter bleiben mit dem Thema „Umgang mit E-Mails“ auf sich selber gestellt. Warum ist das so?

Das Thema ist für viele Geschäftsführer schlicht lästig, und es wird auch nicht als besonders wichtig empfunden. Vielleicht ist man sich auch nicht bewusst, dass es bei der Bearbeitung von E-Mails oftmals noch ein hohes Optimierungspotenzial gibt.

Vielleicht wähnt sich das Management auch auf der sicheren Seite, weil die Mitarbeiter angewiesen sind, steuerrelevante E-Mails in ein gemeinsames, zentrales Postfach zu verschieben. Die Ordnungsmäßigkeit kann und wird an mehreren Punkten scheitern:

  • Mitarbeiter können vielleicht nicht beurteilen, wann eine E-Mail ein archivierungspflichtiger Geschäftsbrief ist und wann nicht
  • Mitarbeiter können als nicht relevant eingestufte E-Mails löschen
  • Mitarbeiter können relevante E-Mails versehentlich oder absichtlich löschen
  • Das zentrale Postfach wird nicht ordnungsgemäß gesichert
  • Es gibt keine Verfahrensdokumentation
  • Die Aufbewahrungsfristen sind nicht sichergestellt

Bei Lieferantenrechnungen, die als Anhang zu einer E-Mail eingehen, ist es in vielen Unternehmen gängige Praxis, die Rechnung zu drucken und wie eine Papierrechnung weiter zu bearbeiten. Das ist zwar möglich, entbindet aber nicht von der Verpflichtung, das PDF elektronisch zu indizieren und zu archivieren – von der wahrscheinlich fehlenden Verfahrensdokumentation einmal ganz abgesehen. Hier gilt es also, Lücken zu schließen, um möglichen Risiken bei einer Außenprüfung vorzubeugen. Dies kann im Grunde nur durch ein automatisiertes System erfolgen.

Was im Zusammenhang mit Archivierung auch wichtig ist

  • Ist die private Nutzung des Internets für die Mitarbeiter erlaubt?
  • Gibt es in Ihrem Unternehmen klare Richtlinien, wie mit privaten E-Mails umgegangen wird?
  • Wie verträgt sich eine erlaubte oder geduldete private Nutzung des Internets mit der Archivierung aller E-Mails, unter denen sich ja dann auch private E-Mails befinden können?
  • Kennen Sie den § 88 des Fernmeldegeheimnisses?

Nach unserer Auffassung besteht hier ein Konfliktpotenzial zwischen den GoBD und dem DSGVO (EU Datenschutzgrund-Verordnung). Wir haben bei ITSM daher mit jedem Mitarbeiter eine schriftliche Vereinbarung getroffen, nach der er seine Kenntnis über die ausnahmslose, automatische Archivierung aller E-Mails bestätigt. In der Vereinbarung ist auch die gelegentliche, private Nutzung des Internets untersagt.

Hinweis: Dies ist die Meinung der ITSM-Geschäftsleitung und stellt keine Rechtsberatung dar.

Das Ziel: GoBD-konforme E-Mail-Archivierung…

Wie kann eine technische Lösung aussehen, die mit möglichst geringem manuellen Aufwand sicherstellt, dass die Anforderungen der GoBD erfüllt sind und zudem weitere Vorteile bietet?

  • Alle E-Mails, die einen gegebenenfalls vorgeschalteten SPAM-Filter passiert haben, werden ohne manuellen Eingriff vollautomatisch durch einen Service in einem geschützten Archivbereich abgelegt. Das gleiche gilt für alle E-Mails, die das Unternehmen verlassen. Die E-Mails werden im EML-Format gespeichert. Das ist ein von Microsoft entwickeltes Format für eine archivierte EMail, die das ursprüngliche HTML-Format und die Header beibehält. EML-Dateien können von Outlook und den meisten E-Mail Clients gelesen werden; darüber hinaus gibt es Viewer für die Anzeige.
  • Die Metadaten jeder ein- und jeder ausgehenden E-Mail werden zusätzlich in einer geschützten Datenbank gespeichert. Jede E-Mail erzeugt automatisch einen Datensatz in dieser Datenbank. Somit ist der Eingang jeder E-Mail dokumentiert.
  • Auf Wunsch kann ein Regelsystem aufgebaut werden, das E-Mails analysiert und automatisch mit Objekten im ERP-System wie Debitoren, Verträgen, Rechnungen etc. verknüpft. Diese E-Mails landen dann zusätzlich automatisch im Dokumentenmanagementsystem von ITSM!ERP und können dort mit Hilfe der Volltextsuche nach verschiedensten Kriterien durchsucht werden.
  • Ebenfalls auf Wunsch kann eine Blacklist gepflegt werden, die E-Mails in der Datenbank entsprechend als „nicht weiter zu bearbeiten“ klassifiziert.

Mit dieser Kombination kann sichergestellt werden, -dass keine einzige E-Mail, die ein Unternehmen erreicht oder verlässt, verlorengeht. Bei konsequenter Nutzung der Möglichkeiten lässt sich so ein System implementieren, das die Anforderungen der GoBD erfüllt und zusätzlich den einzelnen Mitarbeiter entlastet.

… und weniger Aufwand für die Bearbeitung der E-Mails

In ITSM!ERP, unserem individuell anpassbaren ERP/CRM-System, stehen umfassende Funktionen zur teilautomatisierten Verarbeitung von E-Mails zur Verfügung. Ein im Hintergrund agierender Prozess synchronisiert in einstellbar kurzen Zeitabständen das persönliche Postfach mit der ERP/CRM-Datenbank. Der Benutzer kann seine Emails direkt in ITSM!ERP einsehen, mit Kunden, Angeboten oder anderen Objekten verknüpfen und zum Löschen aus seinem eigenen Postfach freigeben.

Zum Löschen erhält er in der Liste Empfehlungen aus dem vorgelagerten vollautomatischen Archivierungsprozess. So kann es E-Mails geben, die aufgrund eines globalen Blacklist-Eintrags bereits zum Löschen aus dem persönlichen Postfach vorbereitet sind. Das gleiche gilt für E-Mails, die einem Vorgang im ERP-System bereits automatisiert zugeordnet wurden.

Weitere Emails in der Liste können durch Setzen eines Häkchens zum Löschen vorgemerkt werden. Der eigentliche Löschvorgang im Postfach wird nach Bestätigung durch den Benutzer im Hintergrund durch einen gesonderten Prozess durchgeführt. Bei konsequenter Nutzung ist das persönliche Postfach am Ende eines Arbeitstages leer – so wie es auch sein sollte.

Hinweis: Durch das Anstoßen eines Löschvorgangs im persönlichen Postfach ist das Archiv nicht betroffen. Die Mails im Archiv können durch den einzelnen Mitarbeiter weder eingesehen noch gelöscht oder verändert werden.