Unternehmen sind gesetzlich zur revisionssicheren E-Mail-Archivierung verpflichtet. Doch viele Mittelständler versäumen dies.

chaofann/iStock/Thinkstock/Getty Images

09.07.15
CFO

FINANCE-Ratgeber: Revisionssichere E-Mail-Archivierung

Revisionssicherheit ist das Stichwort: Unternehmen sind gesetzlich gezwungen, E-Mails abzuspeichern. Doch ein großer Teil der Mittelständler versäumt dieses Compliance-Thema. Der FINANCE-Ratgeber zum Thema E-Mail-Archivierung.

Ein Mitarbeiter korrespondiert via E-Mail mit einem Interessenten über ein mögliches Geschäft. Der Deal kommt zum Abschluss, der Mitarbeiter verschickt die Rechnung und pflegt die Zahlung später ins System ein. Für viele Unternehmen ist der Vorgang damit beendet.

Dieses Vorgehen kann teuer werden, wenn es zu Streit kommt und der Fall vor Gericht landet. Denn dann muss der Mitarbeiter nachweisen können, dass er die E-Mail revisionssicher, das heißt nicht veränderbar oder manipulierbar, abgespeichert hat. Experten schätzen, dass gerade einmal jedes Fünfte Unternehmen seine Mails so abspeichert, dass sie den rechtlichen Vorgaben entsprechen.

Dabei gehen CFOs und ihre Unternehmen nicht nur rechtliche Risiken ein. FINANCE gibt Antworten auf die wichtigsten Fragen zum revisionssicheren Abspeichern von E-Mails.

Der FINANCE-Ratgeber zum revisionssicheren Abspeichern von E-Mails

Zum einen gibt es gesetzliche Vorschriften. Laut der Abgabenordnung fallen E-Mails unter die Definition für Handels- oder Geschäftsbriefe, wenn diese ein Geschäft vorbereiten, durchführen, abschließen oder rückgängig machen. Ausgenommen davon sind Werbesendungen. Zusätzliche Paragraphen zu den Vorschriften finden sich im Handelsgesetzbuch sowie im Telekommunikationsgesetz und im Bundesdatenschutzgesetz. Für international tätige Unternehmen kommt auch noch der Sarbanes-Oxley-Act nach US-amerikanischem Recht hinzu.

Die Dauer der Archivierungspflicht variiert. Geschäftsrelevante Kommunikation bedarf einer Aufbewahrungspflicht von sechs Jahren, während beispielsweise Dokumente aus der Buchhaltung oder aus den Personalakten bis zu zehn Jahre aufbewahrt werden müssen.

Das Problem: Der Gesetzgeber schreibt nicht vor, wie die E-Mails zu speichern sind, nur dass es geschehen muss. „Allerdings ist in einem normalen E-Mail-Programm die Revisionssicherheit nicht zwingend gegeben“, sagt Frank Früh vom Branchenverband Bitkom.

Für CFOs wird mangelnde Archivierung zum Risiko

Für CFOs kann eine mangelnde Archivierung der E-Mails durchaus auch persönliche Konsequenzen haben. Die revisionssichere Speicherung buchführungsrelevanter Unterlagen ist eine Kardinalpflicht der Geschäftsführung“, sagt Olaf Etzrodt, Produktentwickler bei dem Softwaredienstleister QSC. Im schlimmsten Fall müssen geschäftsführende IT-Verantwortliche persönlich haften, was Freiheitsstrafen von bis zu zwei Jahren oder Geldstrafen mit sich bringen kann. „In diesen Fällen muss dann allerdings der Vorsatz nachgewiesen werden“, sagt Etzrodt.

Aber auch außerhalb der persönlichen Haftung ist es wichtig, dass CFOs die revisionssichere Abspeicherung nachweisen können. „Bei einem Rechtsstreit ist die Beweiskraft um einiges besser, wenn Unternehmen ein revisionssicheres Archiv haben“, sagt Frank Früh vom Branchenverband Bitkom. Der Richter habe aber immer noch die Freiheit, auch nicht-archivierte Mails als Beweis zuzulassen.

Doch auch Steuereinnahmen können CFOs entgehen. „Bei fehlender Archivierung erkennt das Finanzamt Geschäfte unter Umständen nicht als Betriebsausgabe an“, sagt Früh.

Die Kosten des Archivierens

„Bei 750 Nutzern und einem eigenen Archivsystem mit einer Speichereinheit und einem Server belaufen sich die jährlich Kosten für Lizenzen, Betrieb und Hardware auf etwa 20.000 bis 30.000 Euro“, sagt Olaf Etzrodt, Produktentwickler bei dem Softwaredienstleister QSC. Darüber hinaus kommt es für Unternehmen auch zu Folgeaufwendungen: Mitarbeiter und Administratoren müssen geschult werden. Zudem müssen die Programme regelmäßig auf den neuesten Stand gebracht werden. Die Kosten sind natürlich von Unternehmen zu Unternehmen unterschiedlich, aber auch bei der E-Mail-Archivierung können sich CFOs Skaleneffekte zu nutzen machen. Das heißt: Je mehr Mitarbeiter ein Archivsystem nutzen, desto günstiger ist auch die Archivierung pro Benutzer.

Revisionssicheres Archivieren – aufpassen beim Datenschutz

Um sich der mitunter komplexen Aufgabe der revisionssicheren Speicherung von E-Mails zu entziehen und trotzdem rechtlich auf der sicheren Seite zu sein, gehen Unternehmen häufig dazu über, schlicht den gesamten E-Mail-Verkehr der Mitarbeiter zu speichern. „Das bringt aber Datenschutzprobleme mit sich“, sagt Frank Früh vom Branchenverband Bitkom.

CFOs, die sich für die breite Speicherung der Mails entscheiden, empfiehlt er in jedem Fall einen Datenschutzbeauftragten mit an Bord zu nehmen. Denn bei privater Nutzung des E-Mail-Accounts tauchen wiederum neue Probleme auf, da Unternehmen Rechte der Kommunikationspartner verletzen, wenn sie die Nachrichten ohne Genehmigung abspeichern. Zwar könnten IT-Verantwortliche zumindest das Senden privater E-Mails verbieten. Das müsste dann jedoch wieder kontrolliert werden, wofür Unternehmen die Nachrichten inhaltlich untersuchen müssten. „Da sind IT-Verantwortliche dann schnell wieder im rechtlich kritischen Bereich“, sagt Bitkom-Experte Früh.

Konzerne sollten Datencenter für E-Mail-Archivierung aufbauen

Für viele CFOs stellt sich die Frage, ob es sich lohnt, ein eigenes Datencenter aufzubauen oder ob sie die Kosten niedrig halten indem sie auf sogenannte Cloud-Lösungen zurückgreifen. „Unternehmen ab 250 oder mehr E-Mail-Nutzern sollten zumindest anfangen über eine eigene Archivlösung nachzudenken“, empfiehlt Olaf Etzrodt vom Softwaredienstleister QSC. Dabei komme es darauf an, ob bereits geschultes, eigenes IT-Personal im Unternehmen vorhanden ist. „Ab 500 E-Mail-Nutzern können die meisten Unternehmen die Archivierung der E-Mails auch selber stemmen“.

Archivierungslösungen von externen Cloud-Dienstleistern sollten CFOs so sorgfältig wie möglich auswählen – sonst gibt es rechtliche Probleme. „IT-Verantwortliche müssen nachweisen, dass sie sich versichert haben, dass der Anbieter eine transparente und überprüfbare Compliance-Politik betreibt“, sagt Etzrodt. Dazu gehöre unter anderem auch der Nachweis durch externe Auditoren, dass die Cloud-Lösung alle Anforderungen des Handels- und Steuerrechts erfüllt.

jakob.eich[at]finance-magazin.de