Risiko: Privatmails im E-Mail-Archiv sind rechtswidrig
Privatnutzung führt zur Kollision von DS-GVO und GoBD
Die Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD) wirken sich auch auf den Umgang mit den E-Mails im Unternehmen aus. Bei der GoBD handelt es sich um eine Verwaltungsvorschrift, welche seit dem 1. Januar 2017 ihre volle Wirkung entfaltet. Die Vorschrift regelt die formalen Anforderungen an die Buchführung und die Aufbewahrung von steuerrechtlich relevanten elektronischen Daten unter Bezug auf die Grundsätze ordnungsgemäßer Buchführung (GoB).
Welche E-Mails müssen nach der GoBD archiviert werden?
Jede gesendete oder empfangene E-Mail, welche die Funktion eines Handels- oder Geschäftsbriefes oder eines Buchungsbelegs hat (wie zum Beispiel eine Rechnung oder eine Gutschrift), ist gemäß GoBD aufbewahrungspflichtig. Dient die E-Mail dabei nur als reines Transportmittel (übernimmt im Sinne eines Papierbriefes also nur die Funktion eines Briefumschlages), so muss die E-Mail selber nicht archiviert werden, sondern nur die darin enthaltenen Anhänge. Enthält die E-Mail dagegen ergänzende Informationen zum Anhang, so ist sie ebenfalls zu archivieren. Die GoBD verlangen ausdrücklich, dass relevante E-Mails nebst deren Anhängen stets unverändert (im Originalformat) zu archivieren sind.
Eine reine Ablage von E-Mails in einem Dateisystem kann die Anforderungen der GoBD an die Unveränderbarkeit in aller Regel nicht erfüllen. Es reicht nach den Vorschriften der GoBD auch nicht aus, wenn die E-Mails des Unternehmens innerhalb eines Mailserver-Systems oder in einem Dateisystem des Servers ohne zusätzliche Sicherungsmaßnahmen aufbewahrt werden.
Um die sehr anspruchsvollen Anforderungen der GoBD zu erfüllen, können E-Mails nur in einem dafür geeigneten Dokumentenmanagement- oder Archivierungssystem archiviert werden. Wichtig ist dabei die Revisionssicherheit, denn nur dann kann der von der GoBD geforderte Nachweis der Unveränderbarkeit der Daten mit vertretbarem Aufwand erbracht werden.
Datenschutzrechtliche Probleme bei der E-Mail-Archivierung
Wenn E-Mails personenbezogene Daten enthalten, so erlaubt die DS-GVO eine Speicherung im Dokumentenmanagement- oder Archivierungssystem nur dann, wenn eine der folgenden Rechtsgrundlagen erfüllt ist: Die betroffene Person hat ihre Einwilligung zur Verarbeitung in informierter Weise gegeben oder die Verarbeitung erfolgt zur Erfüllung eines Vertrages dessen Vertragspartei die betroffene Person ist (ist die betroffene Person keine Vertragspartei, so muss sie zumindest „Erfüllungsgehilfe“1 sein).
In informierter Weise bedeutet, dass die betroffenen Personen gemäß dem von der DS-GVO geforderten Grundsatz der Transparenz Informationen zu ihren Rechten präzise, leicht zugänglich und verständlich sowie in klarer und einfacher Sprache erhält. Handelt es sich um eine private E-Mail, so müssen alle betroffenen Personen – mangels Vertragsverhältnis – zuvor ihre Einwilligung zur Archivierung geben haben.
1Erfüllungsgehilfe ist in diesem Sinn eine Person, die beim Vertragspartner beschäftigt ist. Die Datenschutz-Behörde Baden-Württemberg sieht es in diesem Fall als zulässig an, die geschäftlichen Kontaktdaten der Person zu speichern.
Es gibt nur eine sichere Lösung: Keine private Nutzung von E-Mail-Konten
Wenn die Belegschaft im Unternehmen private E-Mails über das betriebliche E-Mail-Konto sendet und empfängt, so besteht die sehr große Wahrscheinlichkeit, dass sich in diesen E-Mails auch personenbezogene Daten Dritter befinden. Da mit diesen unternehmensfremden Personen kein Vertragsverhältnis besteht (welches eine Speicherung der Daten im Einzelfall rechtfertigen könnte), muss von den betreffenden Personen vor der Übernahme der E-Mail in das Archivierungssystem gemäß Art. 7 DS-GVO eine wirksame Einwilligung eingeholt werden. Im Rahmen der damit zu erfüllenden Informationspflichten muss die betroffene Person unter anderem darauf hingewiesen werden, dass sie das Recht hat, ihre Einwilligung jederzeit ohne Angabe von Gründen zu widerrufen und die Löschung der Daten zu verlangen.
Dabei spielt es keine Rolle, ob der Belegschaft die private E-Mail-Nutzung im Unternehmen gestattet ist, die private E-Mail-Nutzung inoffiziell nur geduldet wird oder ob die Beschäftigten wegen eines bestehenden Nutzungs-Verbots private E-Mails heimlich senden und empfangen.
Unternehmen wird unfreiwillig zum Telekommunikationsdienstleister
Erlaubt ein Unternehmen seinen Beschäftigten die private Nutzung von E-Mail oder Internetdiensten, erbringt es nach § 3 Nr. 6 TKG1 ihnen gegenüber geschäftsmäßig Telekommunikationsdienste. Das verpflichtet das Unternehmen zur Einhaltung des Fernmeldegeheimnisses, denn sämtliche Inhalte der Telekommunikation – auch die Information über Beteiligte – unterliegen gemäß § 88 Abs. 1 TKG dem Fernmeldegeheimnis. Dies führt dann dazu, dass auch geschäftliche E-Mails der Beschäftigten vom Unternehmen nur noch in sehr besonderen Fällen eingesehen und ausgewertet werden dürfen.
1Das Telekommunikationsgesetz definiert im § 3 Nr. 6: „Diensteanbieter“ jeder, der ganz oder teilweise geschäftsmäßig a) Telekommunikationsdienste erbringt oder b) an der Erbringung solcher Dienste mitwirkt.
Die Einhaltung des Verbots muss kontrolliert werden
Entschließt sich das Unternehmen für ein Verbot jeglicher Privatnutzung von geschäftlichen E-Mail-Konten, so ist es dann auf der sicheren Seite, wenn es dieses Verbot wirksam kontrolliert und bei Nichteinhaltung ausreichend sanktioniert. Um juristisch auf der sicheren Seite zu sein, muss das Verbot einschließlich der Sanktionen zudem schriftlich fixiert werden.
Das Verbot der privaten Nutzung betrieblicher E-Mail-Konten ist nach Abwägung aller Möglichkeiten der einzige Weg, um Konflikte zwischen Datenschutz und E-Mail-Archivierung wirksam zu vermeiden.
GoBD fordert im Widerspruch zum DS-GVO Unveränderbarkeit
Die GoBD verlangt an mehreren Stellen die Unveränderbarkeit der einmal erhobenen und archivierten Daten. Nach DS-GVO müssen personenbezogene Daten in bestimmten Fällen aber verändert oder gelöscht werden (z. B. wenn sie unrichtig sind, die Speicherung unzulässig war, die Kenntnis für die Erfüllung des Speicherzwecks nicht mehr erforderlich ist, der Vertrag beendet wurde und der Betroffene die Löschung seiner Daten verlangt).
Mitwirkungspflicht nach GoBD Absatz 172
Die GoBD verlangt im Absatz 172 „Enthalten elektronisch gespeicherte Datenbestände z. B. nicht aufzeichnungs- und aufbewahrungspflichtige, personenbezogene oder dem Berufsgeheimnis (§ 102 AO) unterliegende Daten, so obliegt es dem Steuerpflichtigen oder dem von ihm beauftragten Dritten, die Datenbestände so zu organisieren, dass der Prüfer nur auf die aufzeichnungs- und aufbewahrungspflichtigen Daten des Steuerpflichtigen zugreifen kann.“ Dieses Verlangen stellt in der Praxis hohe Anforderungen an das verwendete Archivsystem und das betreuende Personal.
DS-GVO hat Anwendungsvorrang vor der GoBD-Vorschrift
Bei der GoBD handelt es sich um eine nationale Verwaltungsvorschrift, bei der DS-GVO hingegen um ein EU-Gesetz mit Anwendungsvorrang vor jedem nationalen Gesetz. Widerspricht eine Forderung der GoBD den Bestimmungen der DS-GVO, so ist die Bestimmung der DS-GVO vorrangig. Das DS-GVO konforme Löschen einer E-Mail aus dem Archivsystem stellt zwangsläufig einen Verstoß gegen die GoBD dar. Das Archiv wäre in diesem Fall im Sinne der GoBD kompromittiert und in seiner Gesamtkonsistenz beschädigt. Die hier bestehende Rechtsunsicherheit wird im Zweifelsfall erst durch die Gerichte behoben werden.