Unternehmen ersetzen den Handelsbrief durch E-Mail. Das ist einfach. Die Vorschriften über Speicherung und Bevorratung der digitalen Korrespondenz sind es nicht.
Der Wald atmet auf: Flott und papierlos funktioniert das moderne Kontor. Digitales Dokumenten-Management und EDV-Buchführung erleichtern die Arbeit und sorgen für weniger Papierflut. Der zunehmenden Digitalisierung begegnet der Gesetzgeber mit Vorschriften zur Aufbewahrung und Auskunft über digitale Dokumente, zu denen auch E-Mails gehören. Compliance, Basel II und der Sarbanes Oxley Act sind die Stichwörter.
Fremdwortlexikon
Im wirtschaftsrechtlichen Umfeld bedeutet Compliance die Einhaltung rechtlicher Vorschriften und Handelsbräuche einschließlich der hierzu eingesetzten Instrumentarien [1]. Der Basel-II-Standard ist eine Empfehlung der G10-Staaten zur Eigenkapitalsicherung für Kreditinstitute, deren Inhalt erst durch die Umsetzung von EU-Richtlinien in nationales Recht verbindlich wird. Die verpflichteten Kreditinstitute sichern durch die neuen Vorschriften auch das operationelle Risiko ab [2].
Der Sarbanes Oxley Act ist eine Rechtsvorschrift, die den an US-Börsen notierten Unternehmen erweiterte Dokumentationspflichten – auch in elektronischer Form – auferlegt. Dies betrifft nach der Rechtsprechung der US-Justiz mittelbar auch Unternehmen, die mit diesen US-Unternehmen verbunden sind [3].
Aber Vorsicht: Die US-Gerichte folgen dem Grundsatz des “Minimum Contact” und erklären ihre Zuständigkeit bereits dann, wenn ein ausländisches Unternehmen sogar nur minimale Berührunsgspunkte zu einem US-Unternehmen hat. Die Anwendbarkeit von US-Recht entsteht auch durch bloße Geschäftsverbindungen einschließlich Forderungen gegen US-Unternehmen.
Vor diesem Rechtsimperialismus kapitulieren nicht nur europäische Unternehmen mit Niederlassungen in den Staaten, auch die EU-Mitgliedsstaaten geben Stück für Stück die gewachsenen europäischen Rechtsgrundsätze zugunsten der US-Judikatur preis, damit die Handelsbeziehungen nicht leiden.
Regeln für Groß und Klein
Dabei wird gerne übersehen, dass der Sarbanes Oxley Act grundsätzlich nur für jene Unternehmen gilt, die bei der SEC [4] gelistet sind, also ausschließlich größere Unternehmen. Die SEC-Listung ist Voraussetzung, damit die Aktien des Unternehmens an der New York Stock Exchange, also der New Yorker Wertpapierbörse, gehandelt werden dürfen. Kleinere Unternehmen, denen die Kosten für die aufgeblähten internen Kontrollmechanismen über den Kopf wachsen könnten, sollen von vornherein ausgenommen sein.
In den USA ist es den einzelnen Staaten durch Bundesrecht verboten, gleich strenge Vorschriften für die nicht gelisteten Unternehmen einzuführen. Selbst für die kleineren der im SEC gelisteten Unternehmen, etwa solche mit einem Jahresumsatz von maximal sechs Millionen US-Dollar, gibt es Ausnahmeregelungen. Das American Institute of Certified Public Accountants (AICPA), der Bundesverband amerikanischer Buchhalter, erläutert auf seiner Homepage die wesentlichen Fragen zum Sarbanes Oxley Act [3].
Was bleibt, sind die hohen Anforderungen, die das deutsche Steuer- und Handelsrecht an die Dokumentation betrieblicher Geschäftsvorfälle stellen. Aus den Grundsätzen ordnungsgemäßer Buchführung (GoB), ursprünglich aus dem Kaufmannsrecht stammend und schnell auch vom Steuerrecht übernommen, haben sich – bedingt durch den technischen Fortschritt – die Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS, [5]) und die Grundlagen zur Prüfbarkeit digitaler Unterlagen (GdPDU, [6], [7]) entwickelt.
Aufbewahren, wegsperren
Die Aufbewahrungspflicht für E-Mails und andere elektronische Dokumente richtet sich daher nach der Buchführungspflicht. Unterlagen, die jede Firma sowohl nach steuerrechtlichen als auch nach handelsrechtlichen Bestimmungen aufzubewahren hat, sind zumindest Geschäftsbücher und (buchhalterische) Belege, also Bankbelege, Kontoauszüge, Rechnungen, Quittungen, Lieferscheine oder Lohn- und Gehaltsabrechnungen. Daneben besteht die gleiche Aufbewahrungspflicht für wesentliche Geschäftskorrespondenz, also Verträge oder Schreiben, die Rechtsbeziehungen in irgendeiner Art konkretisieren oder ausgestalten (könnten). Das betrifft also nicht nur den schriftlichen Vertrag oder das Pflichtenheft, sondern bereits die wechselseitige Korrespondenz, um die Details auszuhandeln.
Die Rechtsgrundlagen für die Aufbewahrungspflicht ergibt sich für Deutschland in erster Linie aus dem Handelsgesetzbuch (HGB). Die Grundsätze der Buchführungspflicht bestimmt Paragraf 238 HGB, die allgemeine Aufbewahrungsfrist von zehn Jahren ergibt sich aus Paragraf 257 HGB [8].
Die Buchführungspflicht in Österreich bestimmen die Paragrafen 189 und 190 des Unternehmensgesetzbuchs (UGB). Die Aufbewahrungsfrist beträgt dort nur sieben Jahre nach Paragraf 212 UGB [9]. Für die Schweiz bestimmen die Artikel ab 957 des Schweizerischen Obligationenrechts (OR) die Buchführungspflicht. Die Aufbewahrungsfrist nach Artikel 962 OR beträgt ebenfalls zehn Jahre [10].
Fristenlösung
Die genannten Aufbewahrungsfristen gelten für Dokumente, die für die Buchführung von besonderer Bedeutung sind, und für die Korrespondenz mit den Finanzbehörden. Für weniger bedeutsame Dokumente gelten gegebenenfalls kürzere Aufbewahrungsfristen. Ist ein Rechtsstreit anhängig, können sich die Fristen sogar verlängern. Im Zweifel ist man mit der jeweiligen Höchstdauer auf der sicheren Seite. Daneben bestimmen noch Vorschriften des jeweiligen Steuerrechts die Buchführungs- und Aufbewahrungspflicht, die aber im Wesentlichen den handelsrechtlichen Bestimmungen gleichen oder auf diese verweisen.
Echte und unechte Pflichten
Keine echte Aufbewahrungspflicht folgt aus Basel II und SOX, außer für Kreditinstitute oder an US-Börsen notierte Unternehmen, denn nur jene sind durch diese Normen verpflichtet. Eine Art faktische Aufbewahrungspflicht folgt nur mittelbar aus Basel II: Weil Kreditinstitute das operative Risiko bei Kreditvergaben an Unternehmer nur anhand standardisierter Dokumentation bewerten können und dürfen, bedeuten Dokumentationslücken eine herabgesetzte Kreditwürdigkeit und einen höheren Zinssatz.
Wer günstiges Geld ausleihen will, sollte deshalb vollständig – und zwar auch elektronisch – dokumentieren können. Eine weitere unechte Aufbewahrungspflicht resultiert aus der Beweiskraft von Dokumenten vor Gericht. Wer seine Ansprüche in einem Rechtsstreit durchsetzen will, tut gut daran, die Fakten beweisen, also belegen zu können. Schließlich gilt unter Juristen der Beweis durch Dokumente als der stichhaltigste. E-Mails wie auch alle anderen elektronischen Dokumente fallen ebenso wie die papiernen Pendants unter diese Aufbewahrungspflichten – wenn und so weit sie diese ersetzen.
Die Pflichten regeln aber nicht nur, welche Arten von Dokumenten wie lange aufzubewahren sind, sondern auch wie: neben der Vollständigkeit kommt es ebenso auf die Dokumenten- und Datenintegrität an. Das heißt, sie dürfen nicht änderbar sein, ohne dass dies feststellbar ist. Dies geschieht auf zweierlei Weise: Die Daten werden auf unveränderlichen Datenträgern gespeichert oder eine Sicherungsmaßnahme sorgt für Integrität bei der Speicherung auf veränderbaren Datenträgern.
Weil die Aufbewahrungspflicht bereits unverzüglich nach dem Zeitpunkt einsetzt, zu dem das Dokument oder die E-Mail geschrieben oder verfügbar ist, darf der Unternehmer nicht bis zum Ende des Wirtschaftsjahres warten, um dann die angefallenen Daten auf einen Satz DVD-Rohlinge zu brennen. Der tägliche Ausdruck auf Papier wiederum würde das Prinzip der elektronischen Dokumente ad absurdum führen. Tägliche Sicherungen auf DVDs (Abbildung 1) sind aber nicht nur aufwändig, auch die Prüfung einer E-Mail auf Veränderungen bedeutet, dass jemand alle bis dahin gebrannten DVD-Sicherungen durchsehen müsste. Damit bleibt letztlich nur die digitale Signatur der Dateien auf der Festplatte oder im Storage-Bereich.
Abbildung 1: Die Sicherung der Korrespondenz, etwa auf DVD-Rohlingen, hat unverzüglich zu geschehen. (Bild: © Andreas Bruckmeier, Fotolia)
Wenn der Prüfer kommt
Ohne Kontrollen wären die Aufbewahrungspflichten Makulatur. In der Realität findet eine Kontrolle ausschließlich durch die Finanzbehörden im Rahmen der Betriebs- oder Außenprüfungen statt. Eine Prüfung durch Banken- oder Finanzmarktaufsicht berührt lediglich Kreditinstitute; die Einhaltung des SOX prüft die US-Börsenaufsicht oder – im Streitfall – ein Gericht.
Die Finanzbehörden haben einen Regelkatalog aufgestellt, der den Zugriff des Amtes auf die elektronisch gespeicherten Unterlagen sicherstellt. Grundsätzlich kann die Behörde auf drei Arten Einsicht nehmen: über den unmittelbaren Datenzugriff, also durch einen Nur-Lese-Zugriff auf die Daten durch den Prüfer des Finanzamts vor Ort im Unternehmen. Der mittelbare Datenzugriff bedeutet, dass dies durch einen vom Finanzamt beauftragten Dritten erfolgt, etwa einen EDV-Spezialisten. Schließlich kann das Finanzamt auch die Datenträgerüberlassung wählen, also die Herausgabe der Buchhaltungs- und Stammdaten einschließlich der gespeicherten E-Mails auf DVDs oder Festplatte.
Die Maschine liest
Die GdPDU verlangen zusätzlich, dass die Firma steuerlich relevante Daten in maschinell auswertbarer Form dem Finanzamt zur Verfügung stellt. Weil die Finanzbehörden alles als steuerrechtlich relevant ansehen, was für die Besteuerung von Bedeutung sein könnte, gilt dies grundsätzlich auch für jede E-Mail-Geschäftskorrespondenz. Wichtig ist dabei die Frage nach dem Format von E-Mail-Attachments. PDF ist beispielsweise ein Format, das die Finanzbehörden als nicht maschinell auswertbar einordnen. Als maschinell auswertbar gilt jedoch eine per E-Mail übermittelte Reisekostenabrechnung in einem Tabellenkalkulationsformat.
E-Mails sind nach den GdPDU signiert, in Textform und mit Anhängen der Formate Ascii, Excel, Access, dBASE, Lotus-1-2-3 oder – das ist nicht bestätigt, aber anzunehmen – auch in XML oder den genannten offenen Tabellenformaten zu speichern. Dabei sind sie mit einem unveränderbaren Index zu versehen, unter dem sich das digitale Dokument bearbeiten oder verwalten lässt.
Die GoBS schreiben dem Buchführungspflichtigen mit DV-gestützter Buchhaltung ein internes Kontrollsystem vor, das Datenintegrität und Überprüfbarkeit sicherstellt. Insbesondere fordert die Richtlinie eine Verfahrensdokumentation, also eine exakte Beschreibung, wie, wo und nach welchen Kriterien die buchhaltungsrelevanten Daten gespeichert sind. Dies bedeutet dann auch, dass die Ordnung für die E-Mail-Speicherung und das verwendete Signierungs- und Verschlüsselungsverfahren ebenfalls dokumentiert sein müssen.
Setzt der Unternehmer ein Dokumenten-Managementsystem für die Ablage der E-Mails ein, ist dies zu dokumentieren. Sind E-Mails etwa mit GPG signiert, ist dieses Verfahren ebenso zu beschreiben. Darüber hinaus hat der Unternehmer sicherzustellen, dass er dem Finanzamt auf Anforderung auf seine Kosten Hilfsmittel anbieten kann, um die Daten lesbar zu machen. Auf Verlangen muss er ebenso in der Lage sein, jederzeit Ausdrucke aller oder einzelner E-Mails anzufertigen und herauszugeben.
Originale sortieren
Wichtig ist, dass die maschinelle Auswertbarkeit nur originär digitale Unterlagen betrifft, nicht solche, die erst intern digitalisiert werden oder die nicht zur Weiterverarbeitung in einer DV-gestützten Buchhaltung geeignet sind. Eingescannte Originale sind nicht auf maschinelle Auswertbarkeit zu trimmen.
Verantwortlich für die Einhaltung der gesetzlichen Aufbewahrungspflichten ist der Unternehmer. Er kann diese Pflichten zwar delegieren, muss aber die Aufsicht darüber wahren. Wenn er seinen gesetzlichen Anforderungen entsprechen will, darf er die Entscheidung, ob eine Mail aufzubewahren ist oder nicht, keinesfalls einzelnen Mitarbeitern überlassen. Das bedeutet, dass E-Mails nach Threads zu sortieren und zu speichern sind, denn die Buchführungspflicht fordert eine geordnete Ablage.
Problem: Private Mails
Hier taucht wieder das Problem der geduldeten oder erlaubten privaten E-Mail-Nutzung der Mitarbeiter auf: Weil der Arbeitgeber diese privaten Mals weder automatisiert filtern oder speichern darf, ist er darauf angewiesen, dass der Mitarbeiter selbst seine rein privaten Mails von denen mit steuerrechtlich relevantem Inhalt trennt. Kontrollieren kann der Chef dies allerdings nicht; gleichwohl bleibt er dafür verantwortlich, dass alle aufbewahrungspflichtigen Mails gespeichert sind.
Vor der Privatsphäre macht aber selbst das Auskunftsrecht des Finanzamtes die Beuge: Auch die GdPDU schreiben vor, dass nicht einmal der Finanzamtsprüfer die – eventuell gespeicherten – privaten E-Mails der Mitarbeiter lesen darf. Weil die automatisierte Filterung und Indizierung der privaten Mails ausgeschlossen ist, der Unternehmer aber mit Bußgeldern oder einer behördlichen Schätzung der Besteuerungsgrundlagen zu rechnen hat, wenn die Dokumentation unvollständig ist, muss er verbindliche interne Dienstanweisungen zum Mail-Management erteilen. Die aber darf er nicht kontrollieren.
So führt die Aufbewahrungspflicht unternehmensrelevanter E-Mails in Verbindung mit datenschutzrechtlichen Hemmnissen, die aus privater E-Mail-Nutzung am Arbeitsplatz entstehen, zu einer unauflöslichen Zwickmühle. (uba)
|
Infos |
|---|
|
[1] Wikipedia-Definition: [http://de.wikipedia.org/wiki/Compliance_(BWL)] [2] Wikipedia-Definition: [http://de.wikipedia.org/wiki/Basel_II] [3] AICPA-SOX-FAQ: [http://thecaq.aicpa.org/Resources/Sarbanes+Oxley/] [4] SEC: [http://de.wikipedia.org/wiki/Securities_and_Exchange_Commission] [5] GoBS: [http://www.elektronische-steuerpruefung.de/rechtsgrund/gobs.pdf] [7] GdPDU-FAQ: [http://www.gdpdu-toolbox.de/Download/Dokumente/bmf_datenzugriffsrecht.pdf] [8] Handelsgesetzbuch: [http://www.gesetze-im-internet.de/hgb/BJNR002190897.html] [9] Öster. Unternehmensgesetzbuch: [http://www.ris.bka.gv.at/bundesrecht/] [10] Schweizer Obligationenrecht: [http://www.admin.ch/ch/d/sr/2/220.de.pdf] |
|
Der Autor |
|---|
|
|
