E-Mail Archivierungspflicht für Freiberufler nach GoBD

    2
    Unser Autor: am Recht

    Freiberufler müssen in Ihrem Geschäftsalltag viele organisatorische Maßnahmen beachten und sich für verschiedenste Themen, vom Vertragsrecht, dem Steuerrecht oder dem Datenschutz entsprechende Prozesse bereitstellen. Durch die zum Teil berechtigte Panik rund um die DSGVO wurden bei vielen Freiberuflern und Selbständigen bestehende IT-Prozesse analysiert und entsprechend den Anforderungen angepasst. Regelmäßig stoßen dabei die Anforderungen der DSGVO auf die der GoBD, wo sich beispielsweise Recht auf Löschung und Aufbewahrungspflichten in Teilen widersprechen.

    GoBD betrifft Freiberufler und Selbständige

    Die Abkürzung GoBD steht für die Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff. Das Bundesministerium der Finanzen, kurz BMF, hat mit dieser Regelung 2015 die beiden alten Verordnungen GDPdU (Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen) und GoBS (Grundsätze ordnungsgemäßer DV-gestützter Buchführungssysteme) abgelöst. Während die GDPdU und die GoBS nur buchführungspflichtige Unternehmen verpflichteten, gelten die Regelungen der GoBD für alle Unternehmer und damit auch für Freiberufler und Selbständige. Die GoBD nimmt Bezug auf alle besteuerungsrelevanten Daten, darunter fallen unter anderem ein- und ausgehende Rechnungen, sämtlich Buchungsbelege, Inventar, Kontodaten, Geschäftsbriefe uvm.

    E-Mail Archivierungspflicht

    Neben der Buchhaltungssoftware betrifft die GoBD insbesondere die E-Mailkommunikation in Unternehmen. Über E-Mail wird der größte Teil der geschäftlichen Kommunikation und des Austauschs von steuerrelevanten Unterlagen vorgenommen. Entscheidend ist hier die Pflicht zur Archivierung, und zwar unveränderlich und unmanipulierbar. Da in E-Mails personenbezogene Daten gespeichert werden, kann aus der DSGVO bereits die Notwendigkeit einer Archivierung der E-Mailpostfächer abgeleitet werden. Reine Backuplösungen sind dazu ungeeignet, da sie durch Löschung einzelner Elemente veränderbar sind. Daher sind spezialisierte E-Mail Archivierungslösungen notwendig.

    GoBD konforme E-Mail Archivierung

    Die Begrifflichkeit E-Mail Archivierung wird hier oftmals missverstanden, da herkömmliche Archivfunktionen, beispielsweise die von MS Outlook, in erster Linie Maßnahmen zur Verbesserung der Performance sind, um das Durchsuchen des aktuellen E-Mail-Verkehrs zu beschleunigen und die Clientressourcen zu schonen. Ein revisionssicheres E-Mail Archiv im rechtlichen Sinn ist vom E-Mail-Postfach entkoppelt und lässt eine nachträgliche Löschung oder ein Bearbeiten von archivierten E-Mails durch den Benutzer nicht zu. Entscheidend für die steuerrechtliche Betrachtung ist also, dass das Mailarchiv die eingehenden E-Mails bereits vor dem Empfang im E-Mail Client in ein separiertes und geschütztes Archiv überträgt. In der Praxis wird dies über die Journaling Funktion des Mailservers wie beispielsweise Microsoft Exchange, Office365, Google G-Suite und Amazon Workmail organisiert. Daher ist es zwingend notwendig, als Grundlage für eine revisionssichere Archivierung das E-Mail Hosting hinsichtlich der Journaling Funktion zu prüfen.

    IT-Infrastruktur für die E-Mail Archivierungslösung

    Freiberufler mit Bezug zur IT und entsprechender Infrastruktur können das E-Mail Archiv grundsätzlich selbst betreiben, jedoch werden im Regelfall die benötigten Ressourcen nicht bereitstehen. Im Kern wird eine Software zur E-Mail Archivierung genutzt, die die Einhaltung der gesetzlichen Vorgaben ermöglicht. Das Archiv selbst kann auf einer eigenständig betriebenen Hardware oder virtuellen Instanz liegen. Allerdings sollte berücksichtigt werden, dass das Mailarchiv eine Backup-Infrastruktur, idealerweise in einem getrennten Brandabschnitt und nach Generationenprinzip, also unterschiedlichen Versionsständen, benötigt, denn auch darin sind personenbezogene Daten enthalten, für die der Gesetzgeber eine Datensicherung fordert

    E-Mail Archivierung: Anbieter mit Managed Cloud Lösungen

    Um auch ohne größer angelegte IT-Infrastruktur E-Mail-Archivierung nach GoBD zu realisieren, bieten Cloud Angebote smarte Lösungen an. Voraussetzungen für das Outsourcing des E-Mail Archivs oder des Archiv-Backups in ein Rechenzentrum sind, dass die Server der Cloud-Lösung idealerweise in Deutschland gehostet werden und dass entsprechende Datenschutz- und Sicherheitsregelungen getroffen werden. Beispielsweise muss gewährleistet sein, dass zwischen Freiberufler und Anbieter ein Auftragsdatenverarbeitungsvertrag geschlossen wird und das Mailarchiv und das Archiv-Backup verschlüsselt gespeichert werden. Managed Service Anbieter bieten für den cloudbasierten E-Mail Archivierungsdienst in der Regel in ein Produkt an, das sämtliche oben genannten Anforderungen inklusive Monitoring, Entstörung und Backup enthalten.

    Grenzen und Widersprüche der E-Mail Archivierung – GoBD vs. DSGVO

    Ein unerwünschtes Problem der E-Mail Archivierung über die Journaling Funktion ist, dass der gesamte Spam-Mailverkehr ebenfalls mitarchiviert und damit über Jahre mitgespeichert wird. Hier kann Abhilfe geschaffen werden, in dem Spammails nicht clientseitig markiert oder gelöscht werden, sondern bereits serverseitig abgelehnt werden. Ab welchem Grad spamverdächtige E-Mails abgelehnt werden, kann über die E-Mail Server Konfiguration eingestellt werden. Zusätzlich können Spamfilter vorgeschalten werden, die eingehende E-Mails prüfen.

    Für Freiberufler eher die Ausnahme, für Unternehmen die Regel stellen die Bewerber E-Mails dar. Nach DSGVO müssen Bewerber E-Mails verschlüsselt übertragen werden und nach einer zeitlichen Frist vollständig gelöscht werden. Daher muss verhindert werden, dass sich Bewerber per E-Mail über die archivierten Postfächer bewerben. Separate Bewerber-Postfächer, die nicht archiviert werden, sind aufgrund der fehlenden Verschlüsselung nicht die Lösung im Sinne der DSGVO. Eine Lösung bieten Bewerberportale auf der Website, auf denen Bewerber ihre Daten direkt in ein Formular eintragen und die Speicherung der Daten und die Kommunikation über das SSL-verschlüsselte Portal erfolgen. Das Portal darf in diesem Fall selbstverständlich keine unverschlüsselte E-Mail mit den eingetragenen Daten versenden, sondern ausschließlich informieren, dass eine neue Bewerbung vorliegt.

    Zusätzlich ist in der DSGVO das Recht auf Löschung von personenbezogenen Daten geregelt. Insbesondere dort, wo sich Geschäfte angebahnt oder Geschäfte abgewickelt wurden, entsteht ein Konflikt der DSGVO und der GoBD. Nach derzeitigem Stand dürften Geschäftsdaten entpersonalisiert werden, solang der kaufmännische Vorgang anonym erhalten bleibt. Dies ist jedoch technisch in der Praxis kaum realisierbar.

    Share.

    Roland Berger ist Gründer und Geschäftsführer der MXP GmbH und leitet dort die Abteilung Managed IT. Im Jahr 2015 hat er begonnen, die Abteilung vom IT-Systemhaus zum Managed Service Provider umzustellen. Im Fokus liegen IT-Outsourcing Lösungen rund um Server, Netzwerkinfrastruktur, Cloud-Backup, E-Mail Archivierung und Filesharing.

    Das könnte Sie interessieren

    2 Kommentare

    1. J. Iffländer on

      Moin Herr Berger,

      in einigen Punkten gehe ich nicht ganz konform mit Ihnen bzw. es bleiben bei mir Fragen offen.

      „Durch die zum Teil berechtigte Panik rund um die DSGVO […]“. Panik ist nie berechtigt. Und ganz ehrlich, bei der Umsetzung der Anforderungen der DSGVO insbesondere nicht. Wo sehen Sie eine berechtigte Panik im Kontext der DSGVO?

      „Nach DSGVO müssen Bewerber E-Mails verschlüsselt übertragen werden […]“
      Tatsächlich fordert die DSGVO nirgends explizit, dass E-Mails verschlüsselt werden müssen. Wie begründet sich also diese im Artikel angesprochenen Pflicht? Und rein pragmatisch gedacht: wie soll ein Empfänger von E-Mails steuern können, ob ihm zugesandte E-Mails vom Absender verschlüsselt werden? Wenn wir über die Speicherung von Bewerberdaten nach dem Stand der Technik reden ist das ein anderer Schnack.
      „[…] und nach einer zeitlichen Frist vollständig gelöscht werden.“
      Hier ist weniger die Zeit ausschlaggebend, sondern vielmehr die Zweckbindung (z. B. das berechtigte Interesse, auf Klagen wegen Verletzung des AGG reagieren zu können => die Meinungen schwanken von 4 bis 6 Monate Aufbewahrungszeit) oder oft übersehen: einem eventuell gegebenen Erstattungsanspruch eines eingeladenen Bewerbers auf Reisekosten nachkommen zu können (=> 2 Jahre Aufbewahrungszeit).

      „Zusätzlich ist in der DSGVO das Recht auf Löschung von personenbezogenen Daten geregelt. Insbesondere dort, wo sich Geschäfte angebahnt oder Geschäfte abgewickelt wurden, entsteht ein Konflikt der DSGVO und der GoBD.“ Warum entsteht dort ein Konflikt? Wenn eine gesetzliche geforderte Aufbewahrung von Daten gegeben ist, braucht einem Löschungsgesuch nicht nachgekommen zu werden. Im Gegenteil: es darf sogar nicht gelöscht werden. Die Verarbeitung (hier das Speichern) stützt sich dabei auf Art. 6 (1) lit. c DSGVO. Einen Konflikt vermag ich nicht zu sehen.

      Herzliche Grüße
      Jörg Iffländer

      Reply
    2. Roland Berger on

      Sehr geehrter Herr Iffländer,

      vielen Dank für Ihre Ergänzungen zum Beitrag.

      Viele Grüße,
      Roland Berger

      Reply

    Beitrag kommentieren