Elektronische Archivierung und Betriebsprüfung
Archivierungspflichten für Daten und E-Mails nach GoBS, Revisionssicherheit

Nach konservativen Schätzungen renommierter Marktanalysten wird es bis zum Jahr 2011 1.600.000.000 E-Mail Nutzer geben. Bereits im Jahre 2007 sollen mehr als die Hälfte der weltweit versandten E-Mails geschäftlicher Natur gewesen sein. Im Jahre 2006 sollen Statistiken bereits eine tägliche „Flut“ von 183.000.000.000 E-Mails ausgewiesen haben; der geschäftliche Nutzer von E-Mails verzeichnet bspw. nach Erhebungen der Radicati Group im Jahr 2008 weltweit im Durchschnitt täglich 158 E-Mails.

Ob diese Zahlen Bestand haben oder nicht – sie veranschaulichen jedenfalls in eindrucksvoller Weise, dass die Bedeutung elektronischer Informations- und Kommunikationssysteme weiterhin im Zunehmen begriffen ist.
Unternehmen, Gewerbetreibende, Freiberufler und auch die öffentliche Verwaltung wickeln bereits heute die meisten Geschäftsprozesse (auch) auf elektronischen Kommunikationswegen ab. Kommunikation ist also heute effizienter und schneller denn je – die unübersehbare Masse aller originär digital generierten oder vorgehaltenen Informations- und Kommunikationsinhalte aber zugleich Gegenstand nicht nur kaufmännisch gebotener, sondern regelmäßig auch rechtlich zwingend notwendiger Dokumentation: Formfreie rechtsgeschäftliche oder rechtsgestaltende Erklärungen, Aufträge, Bestätigungen, Lieferpapiere, Rechnungen, Reklamationen, betriebs- und vertragsrelevante Stellungnahmen, Leistungsziele, Kundeninformationen und aktuelle Preislisten, Produktangaben, Gutschriften, Bescheide und Verfügungen – all dies findet sich heute in E-Mails oder Dateien auf den Servern und den lokalen Rechnern der am Geschäftsverkehr teilnehmenden Nutzer. Es sind dies – mal mehr, mal weniger geordnete – Informationen und Belege, die nicht nur für eine betriebliche Überprüfung und Bewertung sondern auch jederzeit für das eigene Wissensmanagement und die Beweisführung vor ordentlichen Gerichten eine existentielle Bedeutung haben können.
In einem formal-rechtlichen Sinne verlangen Handels- und Steuerrecht Transparenz sowie Revisions- und Datensicherheit. Auch nach den einschlägigen Bestimmungen des Handels- (§§ 257, 239 HGB) und Steuerrechtes (§§ 146, 147 AO) können empfangene oder abgesandte Geschäfts- und Handelsbriefe und die Buchungsbelege als Wiedergabe auf einem Bildträger oder anderen Datenträgern aufbewahrt werden, wenn dies den Grundsätzen ordnungsgemäßer Buchführung (GoBS) entspricht. Bei Wiedergabe der Daten müssen diese dann mit den empfangenen Handelsbriefen und den Buchungsbelegen bildlich sowie mit den anderen Unterlagen inhaltlich übereinstimmen. Die Daten müssen während der Dauer der Aufbewahrungsfrist verfügbar sein, jederzeit innerhalb angemessener Frist lesbar gemacht und insbesondere für die Besteuerung maschinell ausgewertet werden können.

Damit konkretisiert die GoBS für den erforderlichen Umgang mit „digitalisierten“ Unterlagen den Regelungsrahmen, welchen die strengen handels- und steuerrechtlichen Regelungen vorgeben. Die „Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU)“ ergänzen dies abgabenrechtlich in Bezug auf alle originär (z. B. als E-Mail) im System generierten digitalen „Unterlagen“ von steuerrechtlicher Relevanz. Damit muss die Prüfbarkeit und Belegbarkeit sämtlicher „elektronischer“ Geschäftsvorgänge gewährleistet sein, wobei in diesem Zusammenhang neben der Datensicherheit und der internen Kontrolle die gesetzeskonforme Archivierung der Daten eine gewichtige Rolle spielt:
Notwendig ist zunächst eine umfassende Verfahrensdokumentation, die nachvollziehbar beschreibt, wie die relevanten Daten angelegt, geordnet, gespeichert, indiziert und für eine spätere verlustfreie Wiedergabe geschützt werden können. Während der Dauer der gesetzlichen Aufbewahrungsfristen muss die Verknüpfung zwischen Index, digitalem Dokument und Datenträger gewährleistet sein.
Dabei sind Rechnungen und andere Buchungsbelege, bestimmte Zollunterlagen und Handelsbücher nebst allen Aufzeichnungen zehn Jahre, die sonstigen handels- und steuerrechtlich relevanten Unterlagen (Handels- oder Geschäftsbriefe sowie sonstige Unterlagen, soweit sie für die Besteuerung von Bedeutung sind) sechs Jahre aufzubewahren (§ 147 III AO, § 257 IV HGB). Eine jeweilige Abgrenzung zwischen den Handels- oder Geschäftsbriefen und sonstigen steuerrelevanten Unterlagen ist im automatisierten Verfahren überhaupt nicht bzw. auch bei individueller qualifizierter Prüfung kaum wirtschaftlich möglich – womit im Ergebnis vorsorglich immer die strengere zehnjährige Aufbewahrungsfrist anzusetzen ist.

Denn rechtliche Risiken bestehen namentlich bei Nichtbeachtung der gesetzlichen Aufbewahrungsfristen. Das Archivierungsverfahren soll eine Lesbarmachung der Unterlagen über den gesamten Aufbewahrungszeitraum unter Erhalt ihrer Beweiskraft bei Aufbewahrung in elektronischer Form gewährleisten können. Gewährleistet sein muss damit die Vertraulichkeit, die Integrität, die Verfügbarkeit, die Autorisierung des Zugriffes und die Authentizität der archivierten Daten. Der Fachausschuss für Informationstechnologie (FAIT) des Instituts der Wirtschaftsprüfer (IDW) hat mit dem sog. IDW RS FAIT 3 die Grundsätze ordnungsmäßiger Buchführung beim Einsatz elektronischer Archivierungsverfahren Mitte 2006 weiter definiert.

Dabei sind ergänzend den Erfordernissen

· der Vollständigkeit (als lückenlose Erfassung aller rechnungslegungsrelevanten Daten),
· der Richtigkeit (je nach gefordertem Grad der gesetzlich geforderten Übereinstimmung mit dem Original),
· der Zeitgerechtheit (d.h. der zeitnahen Überführung der Dokumente und Daten in das Archivsystem),
· der Nachvollziehbarkeit (indem die Speicherung des einzelnen Geschäftsvorfalls sowie das angewandte Archivierungsverfahren einschließlich der erforderlichen Verfahrensdokumentation über die Dauer der Aufbewahrungsfrist nachvollziehbar bleiben) und wiederum
· der Unveränderlichkeit der elektronisch archivierten Dokumente und Daten Rechnung zu tragen.

Die tägliche Praxis in Unternehmen und Behörden (im Bereich der öffentlichen Verwaltung gelten aufgrund der Rechtsetzungsautonomie von Bund, Ländern und Gemeinden Sonderregeln, die freilich in weiten Teilen auf die Grundsätze des privatwirtschaftlichen Bereichs, so etwa das HGB und eben die GoBS, zurückverweisen) sieht freilich weiterhin anders aus: Ordner und Mailboxen werden – wenn überhaupt – „auf eigene Faust“ analysiert, Altbestände in lokale Archivordner verschoben oder gar gelöscht. Je nach Dateninhalt wird dies einen Gesetzesverstoß darstellen, der abgabenrechtliche Zwangsmaßnahmen nach sich ziehen kann: Steuerschätzungen, straf- und bußgeldrechtliche Ahndung und die Versagung gesetzlicher Steuervergünstigungen.

Verstöße gegen Aufbewahrungspflichten können aber Folgen haben, die über die Besteuerung weit hinaus gehen: Erschwert beispielsweise die Nichtverfügbarkeit einer bestimmten E-Mail den Finanzbehörden eine lückenlose Übersicht über Geschäftsvorfälle (und damit die Vermögensverhältnisse) eines Unternehmens, ist eine Haftung der Unternehmen wie ihrer Geschäftsführungsorgane nicht ausgeschlossen:
So wird etwa wegen Verletzung der Buchführungspflicht mit Freiheitsstrafe bis zu zwei Jahren oder Geldstrafe (§ 283b StGB) bestraft, wer Handelsbücher oder sonstige Unterlagen, zu deren Aufbewahrung er nach Handelsrecht verpflichtet ist, vor Ablauf der Aufbewahrungsfrist beiseite schafft, verheimlicht, zerstört oder beschädigt und dadurch die Übersicht über seinen Vermögensstand erschwert. Vergleichbare Sachverhalte können mit Freiheitsstrafe von jeweils bis zu fünf Jahren oder mit Geldstrafen verfolgt werden, wenn Buchführungsunterlagen vernichtet, beschädigt oder vorenthalten werden (§ 274 StGB: Urkundenunterdrückung) oder die Finanzbehörden pflichtwidrig über steuerlich erhebliche Tatsachen in Unkenntnis gelassen und dadurch Steuern verkürzt oder nicht gerechtfertigte Steuervorteile erlangt werden (§ 370 AO: Steuerhinterziehung); die leichtfertige Steuerverkürzung ist immerhin noch mit Ordnungsgeldbußen bis zu 50.000 Euro sanktioniert.

Die gesetzlichen Vorgaben umzusetzen und praktikabel in den Arbeitsalltag einzubinden gehört also zu dem Pflichtenbild des Vorstandes bzw. des Dienstherrn. Aufsichtsgremien haben im Schadensfall zivilrechtliche Regressforderungen und disziplinarische Maßnahmen gegen die Organisationsverantwortlichen zu prüfen, welche insofern die IT-Compliance nachzuweisen haben. Überdies ist die vollständige Dokumentation von Geschäftsvorgängen unter den Gesichtspunkten der Beweisrelevanz und des betriebsinternen Informationsmanagements eine wirtschaftliche Notwendigkeit.

Alle rechtlichen Inhalte auf dieser Seite wurden mitgeteilt von
Rechtsanwalt Henrik Angster
esb Rechtsanwälte Stuttgart