Freiberufler müssen in Ihrem Geschäftsalltag viele organisatorische Maßnahmen beachten und sich für verschiedenste Themen, vom Vertragsrecht, dem Steuerrecht oder dem Datenschutz entsprechende Prozesse bereitstellen. Durch die zum Teil berechtigte Panik rund um die DSGVO wurden bei vielen Freiberuflern und Selbständigen bestehende IT-Prozesse analysiert und entsprechend den Anforderungen angepasst. Regelmäßig stoßen dabei die Anforderungen der DSGVO auf die der GoBD, wo sich beispielsweise Recht auf Löschung und Aufbewahrungspflichten in Teilen widersprechen.
GoBD betrifft Freiberufler und Selbständige
Die Abkürzung GoBD steht für die Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff. Das Bundesministerium der Finanzen, kurz BMF, hat mit dieser Regelung 2015 die beiden alten Verordnungen GDPdU (Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen) und GoBS (Grundsätze ordnungsgemäßer DV-gestützter Buchführungssysteme) abgelöst. Während die GDPdU und die GoBS nur buchführungspflichtige Unternehmen verpflichteten, gelten die Regelungen der GoBD für alle Unternehmer und damit auch für Freiberufler und Selbständige. Die GoBD nimmt Bezug auf alle besteuerungsrelevanten Daten, darunter fallen unter anderem ein- und ausgehende Rechnungen, sämtlich Buchungsbelege, Inventar, Kontodaten, Geschäftsbriefe uvm.
E-Mail Archivierungspflicht
Neben der Buchhaltungssoftware betrifft die GoBD insbesondere die E-Mailkommunikation in Unternehmen. Über E-Mail wird der größte Teil der geschäftlichen Kommunikation und des Austauschs von steuerrelevanten Unterlagen vorgenommen. Entscheidend ist hier die Pflicht zur Archivierung, und zwar unveränderlich und unmanipulierbar. Da in E-Mails personenbezogene Daten gespeichert werden, kann aus der DSGVO bereits die Notwendigkeit einer Archivierung der E-Mailpostfächer abgeleitet werden. Reine Backuplösungen sind dazu ungeeignet, da sie durch Löschung einzelner Elemente veränderbar sind. Daher sind spezialisierte E-Mail Archivierungslösungen notwendig.
GoBD konforme E-Mail Archivierung
Die Begrifflichkeit E-Mail Archivierung wird hier oftmals missverstanden, da herkömmliche Archivfunktionen, beispielsweise die von MS Outlook, in erster Linie Maßnahmen zur Verbesserung der Performance sind, um das Durchsuchen des aktuellen E-Mail-Verkehrs zu beschleunigen und die Clientressourcen zu schonen. Ein revisionssicheres E-Mail Archiv im rechtlichen Sinn ist vom E-Mail-Postfach entkoppelt und lässt eine nachträgliche Löschung oder ein Bearbeiten von archivierten E-Mails durch den Benutzer nicht zu. Entscheidend für die steuerrechtliche Betrachtung ist also, dass das Mailarchiv die eingehenden E-Mails bereits vor dem Empfang im E-Mail Client in ein separiertes und geschütztes Archiv überträgt. In der Praxis wird dies über die Journaling Funktion des Mailservers wie beispielsweise Microsoft Exchange, Office365, Google G-Suite und Amazon Workmail organisiert. Daher ist es zwingend notwendig, als Grundlage für eine revisionssichere Archivierung das E-Mail Hosting hinsichtlich der Journaling Funktion zu prüfen.
IT-Infrastruktur für die E-Mail Archivierungslösung
Freiberufler mit Bezug zur IT und entsprechender Infrastruktur können das E-Mail Archiv grundsätzlich selbst betreiben, jedoch werden im Regelfall die benötigten Ressourcen nicht bereitstehen. Im Kern wird eine Software zur E-Mail Archivierung genutzt, die die Einhaltung der gesetzlichen Vorgaben ermöglicht. Das Archiv selbst kann auf einer eigenständig betriebenen Hardware oder virtuellen Instanz liegen. Allerdings sollte berücksichtigt werden, dass das Mailarchiv eine Backup-Infrastruktur, idealerweise in einem getrennten Brandabschnitt und nach Generationenprinzip, also unterschiedlichen Versionsständen, benötigt, denn auch darin sind personenbezogene Daten enthalten, für die der Gesetzgeber eine Datensicherung fordert
E-Mail Archivierung: Anbieter mit Managed Cloud Lösungen
Um auch ohne größer angelegte IT-Infrastruktur E-Mail-Archivierung nach GoBD zu realisieren, bieten Cloud Angebote smarte Lösungen an. Voraussetzungen für das Outsourcing des E-Mail Archivs oder des Archiv-Backups in ein Rechenzentrum sind, dass die Server der Cloud-Lösung idealerweise in Deutschland gehostet werden und dass entsprechende Datenschutz- und Sicherheitsregelungen getroffen werden. Beispielsweise muss gewährleistet sein, dass zwischen Freiberufler und Anbieter ein Auftragsdatenverarbeitungsvertrag geschlossen wird und das Mailarchiv und das Archiv-Backup verschlüsselt gespeichert werden. Managed Service Anbieter bieten für den cloudbasierten E-Mail Archivierungsdienst in der Regel in ein Produkt an, das sämtliche oben genannten Anforderungen inklusive Monitoring, Entstörung und Backup enthalten.
Grenzen und Widersprüche der E-Mail Archivierung – GoBD vs. DSGVO
Ein unerwünschtes Problem der E-Mail Archivierung über die Journaling Funktion ist, dass der gesamte Spam-Mailverkehr ebenfalls mitarchiviert und damit über Jahre mitgespeichert wird. Hier kann Abhilfe geschaffen werden, in dem Spammails nicht clientseitig markiert oder gelöscht werden, sondern bereits serverseitig abgelehnt werden. Ab welchem Grad spamverdächtige E-Mails abgelehnt werden, kann über die E-Mail Server Konfiguration eingestellt werden. Zusätzlich können Spamfilter vorgeschalten werden, die eingehende E-Mails prüfen.
Für Freiberufler eher die Ausnahme, für Unternehmen die Regel stellen die Bewerber E-Mails dar. Nach DSGVO müssen Bewerber E-Mails verschlüsselt übertragen werden und nach einer zeitlichen Frist vollständig gelöscht werden. Daher muss verhindert werden, dass sich Bewerber per E-Mail über die archivierten Postfächer bewerben. Separate Bewerber-Postfächer, die nicht archiviert werden, sind aufgrund der fehlenden Verschlüsselung nicht die Lösung im Sinne der DSGVO. Eine Lösung bieten Bewerberportale auf der Website, auf denen Bewerber ihre Daten direkt in ein Formular eintragen und die Speicherung der Daten und die Kommunikation über das SSL-verschlüsselte Portal erfolgen. Das Portal darf in diesem Fall selbstverständlich keine unverschlüsselte E-Mail mit den eingetragenen Daten versenden, sondern ausschließlich informieren, dass eine neue Bewerbung vorliegt.Zusätzlich ist in der DSGVO das Recht auf Löschung von personenbezogenen Daten geregelt. Insbesondere dort, wo sich Geschäfte angebahnt oder Geschäfte abgewickelt wurden, entsteht ein Konflikt der DSGVO und der GoBD. Nach derzeitigem Stand dürften Geschäftsdaten entpersonalisiert werden, solang der kaufmännische Vorgang anonym erhalten bleibt. Dies ist jedoch technisch in der Praxis kaum realisierbar.