Mails & Co. revisionssicher speichern, archivieren und rechtskonform löschen

GoBD, DSGVO & Co.: Bei der Vielzahl an gesetzlichen Vorgaben, die es hinsichtlich der Löschung und Aufbewahrung einzuhalten gilt, kann man schon mal den Kopf verlieren. Damit das nicht passiert, nehmen wir Euch so viel Arbeit wie möglich ab. Mit unserer Lösung GREYHOUND Archive könnt ihr Altdaten völlig stressfrei und einfach lokal und durchsuchbar archivieren und auf dem Server endgültig löschen.

Achtung
Diese Tipps & Hinweise sind ein kostenloses und unverbindliches Angebot unsererseits. Die folgenden Informationen haben keinerlei Anspruch auf Vollständigkeit, Richtigkeit, Aktualität und sie ersetzen auch keine Rechtsberatung, zum Beispiel durch einen Datenschutzbeauftragten! Sie dienen lediglich als Orientierung, um sich in das komplexe und umfassende Thema “Aufbewahrungspflichten & Löschfristen” einzuarbeiten sowie bei deren Umsetzung in GREYHOUND zu unterstützen.

Keine Lust auf Lektüre?

Wer lieber Videos schaut anstatt Texte zu lesen, für den haben wir folgendes Video über das Thema “Mails & Co. revisionssicher archivieren” erstellt:

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

Einleitung: Rechtliche Rahmenbedingungen (DSGVO, GoBD & Co.)

Der Ansatz, pauschal alle Nachrichten und Dokumente (in GREYHOUND oder anderen Software-Lösungen) aufzubewahren und einzelne womöglich wahllos endgültig zu löschen, ist spätestens seit Einführung der DSGVO zum Schutz personenbezogener Daten (pbD) nicht mehr praktikabel, da man damit ziemlich sicher gegen geltendes Recht verstößt. Andere rechtliche Aufbewahrungspflichten wie beispielsweise die GoBD oder fachliche Anforderungen wie beispielsweise Garantiezusagen oder potentielle Rückrufaktionen spielen beim Thema Aufbewahrungspflicht ebenfalls eine Rolle. Grundsätzlich kann man sagen, dass E-Mails und Dokumente in Abhängigkeit von ihrem Inhalt und dem Zweck unterschiedlich lange aufbewahrt werden dürfen bzw. aufbewahrt werden müssen. Oder anders gesagt: Manche Dinge muss man löschen, andere muss man aufheben – gar nicht so leicht, da den Überblick zu behalten…

Es gibt zwei Gesetze, die für Aufbewahrungsfristen geschäftlicher E-Mails von besonderer Bedeutung sind: Das ist einmal § 147 der Abgabenordnung (AO) und dazu § 257 Handelsgesetzbuch (HGB), der für Kaufleute festlegt, welche Unterlagen aufzubewahren sind. Demnach gilt:

  • Geschäfts- oder steuerrelevante Unterlagen müssen 6 Jahre lang aufbewahrt werden (betrifft alles, was als Handelsbrief einzustufen ist).
  • Rechnungen, Jahresabschlüsse, Reklamationen und Verträge müssen sogar 10 Jahre lang aufbewahrt werden.

Sonderregelungen für unterschiedliche Zwecke

Soweit, so einfach. Nun gibt es aber diverse Sonderregelungen, die diese beiden Grundsätze aushebeln. In der DSGVO z. B. ist in Art. 17 ein “Recht auf Löschung (Vergessenwerden)” festgeschrieben. Das heißt, dass man personenbezogene Daten unter anderem dann unverzüglich zu löschen hat, wenn sie für die Zwecke, für die sie erhoben oder verarbeitet wurden, nicht mehr notwendig sind. Es spielt also eine entscheidende Rolle, für welchen Zweck der Betreffende denjeniegen, der personbezogene Daten verarbeitet / speichert, berechtigt hat, seine personenbezogenen Daten zu verarbeiten. Da sind für die Anwender von GREYHOUND in der Regel vor allem drei Varianten relevant, die im Folgenden aufgelistet sind (inkl. ihrer Auswirkungen auf die Aufbewahrungsfrist):

1. Ende der (vor-) vertraglichen Beziehung

Für alle aktiven (und teils auch potentiellen) Kunden gilt als Zweck der Verarbeitung personenbezogener Daten die “Erfüllung eines Vertrages oder (vor-) vertraglicher Maßnahmen” gemäß Art. 6 Abs. 1 b DSGVO. Heißt im Umkehrschluss: Besteht die vertragliche Bindung zum Kunden nicht mehr, erlischt auch das Recht, personenbezogene Daten über denjenigen vorhalten zu dürfen.

Dies gilt übrigens auch für ehemalige Mitarbeiter, die das Unternehmen verlassen und zu denen kein arbeitsvertragliches Verhältnis mehr besteht.

Hinsichtlich der Aufbewahrungspflicht gilt in diesem Fall:

  • Verarbeitung personenbezogener Daten erlaubt bis Vertragsende, danach sind alle personenbezogenen Daten zu anonymisieren.
  • Aufbewahrungsfristen von 6 bzw. 10 Jahren bleiben bestehen. 

2. Freiwillige Einwilligung

Trägt sich jemand für einen Newsletter ein, dann erteilt derjeniege dem Versender die Berechtigung, seine Daten zu verarbeiten, auf Basis einer freiwilligen Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO oder Art. 9 Abs. 2 lit. a DSGVO.

In den Bereich der freiwilligen Einwilligung fallen auch alle potentiellen Kunden, die Euch proaktiv per Mail oder Telefon kontaktieren, weil sie sich für die von Euch angebotenen Waren / Dienstleistungen interessieren. Die freiwillige Einwilligung zur Verarbeitung personenbezogener Daten gilt bis zum Widerruf – danach erlischt das Recht, die personenbezogenen Daten vorzuhalten. Sie sind dann mindestens zu anonymisieren (aus technischer Sicht ist ggfs. eine Löschung einfacher).

Ob eine Aufbewahrungspflicht besteht, ist davon abhängig, ob es sich im rechtlichen Sinne um einen Geschäftsbrief (Handelsbrief) handelt:

  • Es gilt keine Aufbewahrungsfrist, wenn es sich um unverbindliche Werbeschreiben und/oder simple Kontakt-E-Mails des Vertriebes handelt, d.h. die Mails dürften gelöscht werden. Heißt: Schickt man Interessenten ‘nur’ Angebote oder sonstige Informtionen rund um seine Produkte / Dienstleistungen, müssen diese Elemente nicht aufbewahrt werden – dürfen es aber natürlich. Man muss sie nicht löschen, im Falle eines Widerrufs dann aber anonymiseren.
  • Sobald die betreffenden Elemente aber z. B. Reklamationen, Rechnungen, Zahlungsbelege oder Verträge enthalten (es sich also um einen ‘Handelsbrief’ handelt), gilt eine Aufbewahrungsfrist von 6 bzw. 10 Jahren.

3. Bewerbungen

Für Bewerbungen gelten ganz besondere rechtliche Bedingungen. Die Kurzform ist:

  • Nach einer Absage: 6 Monate nach Eingang müssen sämtliche Daten gelöscht werden – sowohl in elektronischer als auch in Papier-Form (falls vorhanden).
  • Nach einer Zusage: Gemäß DSGVO sind alle in den Bewerbungsunterlagen enthaltenen Daten, die für das Anstellungsverhältnis zwingend erforderlich sind, in eine Personalakte (oder an andere Stellen) zu überführen. Anschließend sind die Bewerbungsunterlagen endgültig zu löschen.
  • Aufnahme im Bewerber-Pool: Man kann den Bewerber fragen, ob man seine Daten trotz Absage weiterhin speichern darf – ob man ihn in den sogenannten Bewerber-Pool aufnehmen darf. Es gelten dann hinsichtlich der Aufbewahrungsfrist die individuell getroffenen Regelungen zwischen dem Bewerber und uns. Diese müssen schriftlich (per E-Mail reicht) vereinbart werden. Bei Erreichen der vereinbarten Frist sind sämtliche Bewerber-Daten endgültig zu löschen.

Achtung: Damit man die fristgerechte und vollständige Löschung der Bewerbungsunterlagen einhalten kann, empfehlen wir, Bewerbungen weder zu duplizieren noch weiterzuleiten, um keine unkontrollierbaren Kopien zu erstellen.

Zusammenfassend bedeutet das in der Praxis

  1. Für viele Elemente gelten 6 Jahre bzw. sogar 10 Jahre Aufbewahrungspflicht – man darf also nicht einfach alte Elemente wahllos löschen. Es kann sinnvoll sein, die Aufbewahrungspflicht in GREYHOUND an jedem Element zu speichern, z. B. in eine, benutzerdefinierten Feld (Idealfall: Automatisiert gesetzt, aber dennoch flexibel änderbar).
  2. Personenbezogene Daten zu beendeten (Arbeits-) Verträgen sowie bei Widerruf darf man nicht weiter vorhalten. Ob eine komplette Löschung von Daten erlaubt ist, das ist davon abhängig, ob eine Aufbewahrungspflicht für das Element besteht:
    • Besteht eine Aufbewahrungspflicht, darf man das Element nicht einfach löschen, sondern muss die Daten anonymisieren. Das betrifft zum Beispiel in GREYHOUND angelegte Kontakte – diese müssen anonymisiert (oder gelöscht) werden, ebenso wie die gesamte Korrespondenz mit und von der betreffenden Person.
    • Besteht keine Aufbewahrungspflicht, darf man Elemente zwar rechtlich löschen. Aus Gründen der Transparenz kann es sinnvoll sein, aber auch diese Elemente zu anonymisieren und weiter vorzuhalten.

So kann GREYHOUND bei der Einhaltung der gesetzlichen Anforderungen unterstützen.

Wir wollen es Euch mit GREYHOUND so einfach wie möglich machen, alle Handlungsanweisungen, Richtlinien und Gesetze einzuhalten. Deshalb haben wir die folgenden Features in GREYHOUND verbaut – für alle. Dauerhaft kostenlos.

  • E-Mails & Dokumente ganz einfach und stressfrei revisionssicher archivieren.
    GREYHOUND kann so konfiguriert werden, dass keine Elemente physikalisch gelöscht werden können. Dies ist insbesondere dann wichtig, wenn man GoBD-konform mit Belegen arbeiten will. Aber auch für die Aufbewahrungsfristen der Kommunikation kann diese Funktion von Vorteil sein. Mehr dazu hier.
  • Aufbewahrungspflichtige Daten können nicht gelöscht oder manipuliert werden.
    Daten, die für die Aufbewahrung von großer Bedeutung sind, können in GREYHOUND nicht verändert oder gelöscht werden. Hierzu zählen u.a. die benutzerdefinierten Felder, die nicht mehr gelöscht werden können, sobald diese an einem Element im System mit Daten befüllt wurden.
  • Völlige Transparenz.
    Über das Systemprotokoll kann man jederzeit transparent nachvollziehen, wer wann welche Änderung an einem Element vorgenommen hat.
  • Automatisch kontinuierlich Speicherplatz schaffen.
    Über das kostenlose Tool GREYHOUND Archive kann man ganz einfach, einmal eingerichtet auf Wunsch sogar vollautomatisch im Hintergrund, kontinuierlich Elemente in ein durchsuchbares Archiv schieben. Mehr dazu hier.
  • Blitzschnelle Suche in den archivierten Daten in gewohnter GREYHOUND-Manier.
    Um eine bestimmte Information im Archiv wieder zu finden, beinhaltet GREYHOUND Archive nicht nur die Export-Funktion, sondern bringt zusätzlich noch ein Programm mit, das sich zum Suchen eignet.
  • Individualisierbar. Weil jedes Unternehmen anders ist.
    Jedes Unternehmen ins anders. Über Themen, Textbausteine, Kennzeichnungen, Gruppen & benutzerdefinierte Felder könnt ihr die für Euch im Einzelfall geltenden Aufbewahrungs- und Löschpflichten in GREYHOUND ganz individuell & flexibel umsetzen.

Unsere Archivierungslösung: GREYHOUND Archive

Für die gesetzeskonforme Archivierung müssen E-Mails & Dokumente unveränderbar an einem zentralen Ort gesichert sein. Diese Anforderungen erfüllt unsere Archivierungslösung natürlich. Und sie geht sogar noch einen Schritt weiter: GREYHOUND archiviert nämlich nicht nur Mails und Belege manipulationssicher, sondern auf Wunsch auch Briefe, Notizen, Aufgaben und Kontakte – und das inkl. Anhängen, interner Anmerkungen sowie den Einträgen des Systemprotokolls. Und diese Details machen am Ende oft den Unterschied, wenn man was im Archiv sucht.

Aus GREYHOUND heraus archivierte Daten werden in einer lizenz-unabhängigen Datenbank gespeichert und auf dem Server gelöscht – das schafft neuen Speicherplatz. Einmal eingerichtet, archiviert unsere Lösung kontinuierlich im Hintergrund – ganz wie von Zauberhand und man braucht sich weder um den Speicher noch um die gesetzeskonforme Archivierung Gedanken machen, sondern kann sich um die wesentlichen Aufgaben kümmern.

Ihr müsst nochmal einen ganz bestimmten Beleg aus 2017 einsehen? Oder ihr braucht den Mail-Verkehr mit Max Mustermann zu seiner Reklamation aus 2016? Mit GREYHOUND kein Problem! Innerhalb weniger Sekunden findet man im Archiv alles wieder, was man sucht. Denn die in GREYHOUND integrierte Volltextsuche erfasst nicht auf den Inhalt des Dokuments oder der E-Mail selbst, sondern auch Anmerkungen, das Systemprotokoll und Anhänge. So wird die Suche nach der Nadel im Heuhaufen zum Kinderspiel.

FAQ: Aufbewahrungspflichten, Löschpflichten & Archivierung

Welche rechtlichen Anforderungen müssen wir überhaupt erfüllen?

Viele Unternehmer sind sich gar nicht bewusst, dass auch für ihre Mails und geschäftlichen Dokumente rechtliche Anforderungen gelten. Auf der einen Seite ist jeder nach DSGVO dazu aufgerufen, so wenige Daten wie möglich zu erfassen und zu speichern sowie regelmäßig zu löschen (vereinfacht ausgedrückt), auf der anderen Seite ist man nach GoBD dazu verpflichtet, steuerrelevante Unterlagen revisionssicher für einen vorgegebenen Zeitraum aufzubewahren. All diese Vorschriften gelten für große Unternehmen genauso wie für kleine Unternehmen und Freiberufler.

Bei Verstößen gegen diese gesetzlichen Vorgaben drohen empfindliche Strafen. Damit es keinesfalls soweit kommt, geben wir Euch mit GREYHOUND ein Tool an die Hand, das in Sachen Datenschutz und rechtssicherer E-Mail-Archivierung optimal unterstützt – und zwar kostenlos. Denn wir sind der Meinung: Diese elementaren Grundfunktionen zur Einhaltung der teils wirren gesetzlichen Anforderungen sollten alle nutzen (können).

Wie archiviert man E-Mails rechtssicher?

Die Gesetze legen für die Archivierung steuerrelevanter Daten folgende Anforderungen fest:

  • vollständig
  • originalgetreu, unverändert
  • im Originalformat
  • manipulationssicher
  • maschinell auslesbar
  • jederzeit verfügbar

Das bedeutet zum einen, dass Unbefugte keinen Zugriff auf das E-Mail-Archiv haben dürfen. Unsere Erfahrung aus der Praxis zeigt, dass die zuständigen Betriebsprüfer und Auditoren stichpunktartig prüfen, ob ihr bestimmte Korrespondenz jederzeit vollständig im Originalzustand vorlegen könnt – mit GREYHOUND ist das in Sekundenschnelle erledigt, völlig egal, ob die Korrespondenz schon archiviert ist oder nicht. Dabei wird dann auch geprüft, ob etwaige Veränderungen am Datenbestand vom Archivierungssystem dokumentiert werden (Stichwort: Manipulationssicher) – in GREYHOUND erfüllt durch das Systemprotokoll, das euch eine lückenlose Transparenz gewährt.

Mit „maschinell auslesbar“ ist gemeint, dass sowohl Dokumente als auch Mails und ihre Anhänge im Volltext recherchierbar sind – können wir in GREYHOUND ebenfalls einen Haken dran machen.

Kurzum: Alle oben genannten Anforderungen sind mit GREYHOUND erfüllt.

Müssen wir alle unsere E-Mails archivieren?

Es müssen nicht alle, sondern nur geschäftliche E-Mails aufbewahrt werden. Das bedeutet: Ihr müsst alle elektronischen Dokumente archivieren, die zur Anbahnung und Abwicklung von Geschäften dienen bzw. gedient haben. Dazu gehören beispielweise Angebote, Rechnungen, Verträge und Reklamationen. Oder in Fachchinesisch ausgedrückt: Eine Mail, welche die Funktion eines Handels- bzw. Geschäftsbriefes oder eines Buchungsbelegs hat, muss archiviert werden.

Das ist im Alltag natürlich nicht immer leicht zu entscheiden. Jetzt könnte man also sagen: Gut, dann archivieren wir halt einfach alles. Problem: Zahlreiche andere Dokumente und Mails, dazu gehören zum Beispiel Bewerbungen, dürft ihr aus Datenschutzgründen auf keinen Fall archivieren. Hier kommen sich die gesetzlichen Vorgaben also in die Quere. Und wer das missachtet, dem drohen schlimmstenfalls empfindliche Strafen.

GREYHOUND kann Euch mit seinen Themen, Kennzeichnungen, Textbausteinen und Regeln dabei unterstützen, dass Vorgänge, die nach DSGVO nicht archiviert werden dürfen, auch gar nicht erst ins Archiv gelangen, indem sie vorher endgültig gelöscht werden. Alles andere wandert – einmal eingerichtet – vollautomatisch laufend ins Archiv.

Welche Aufbewahrungsfristen gelten für unsere E-Mails?

E-Mails zu archivieren ist Pflicht – soweit, so klar. Aber je nach Dokument gelten unterschiedliche Aufbewahrungsfristen. Es ist ratsam, sich die wichtigsten Regelungen einmal im Original durchzulesen. Die zentrale Anlaufstelle in Bezug auf die Aufbewahrungsfristen ist das Handelsgesetzbuch. Hier sind sie §§ 238, 257 HGB relevant. Dort steht – kurz zusammengefasst -, dass Kaufleute verpflichtet sind, empfangene und abgesandte Handelsbriefe (auf Deutsch: Alles, was für die Steuer relevant ist) für 6 Jahre aufzubewahren.

Zweite Anlaufstelle ist die Abgabenordnung, hier konkret § 147 AO. Hier steht unter anderem, dass Jahresabschlüsse sogar zehn Jahre aufbewahrt werden müssen.

Demgegenüber stehen die Aufforderungen der DSGVO, die besagen, dass man personenbezogene Daten (dazu zählt auch die E-Mail-Adresse) nur solange speichern darf, wie man ein berechtigtes Interesse hat, diese zu speichern. Das kann zum Beispiel ein Vertrag sein, den man geschlossen hat oder eine Gewährung von Garantie.

Wer ist für die rechtssichere Archivierung von E-Mails verantwortlich?

Zuerst die wichtigste Botschaft: Jedes Unternehmen, vom Ein-Mann-Betrieb bis zum Großkonzern, muss seine steuerrelevanten Mails archivieren. Mail-Archivierung betrifft also jeden, der ein Unternehmen hat. Innerhalb des Unternehmens ist es in der Regel so, dass die Geschäftsführung die Verantwortung dafür trägt, dass diese Richtlinien auch eingehalten werden.

Es ist ein weit verbreiteter Irrtum, dass nur Großkonzerne zum rechtsicheren und revisionssicheren Archivierung verpflichtet sind. Das betrifft (leider 😉 ) alle Unternehmer – und Fehler oder Verstöße können unter Umständen sehr teuer werden. Ihr solltet das Thema also unbedingt ernst nehmen.

HILFE, es steht eine Steuerprüfung an. Was sollen wir tun?

Erstmal: Tief durch atmen 😉 Aus jahrelanger Erfahrung mit eigenen stressfreien Steuerprüfungen und ebenso problemlosen Prüfungen bei unseren Kunden können wir Euch folgende Empfehlung aussprechen:

  1. Legt dem Prüfer vorab einen dedizierten Benutzer mit eingeschränkten Rechten in GREYHOUND an und bietet ihm so einen vollumfänglichen Zugang auf all eure Korrespondenz und eure gesamten Dokumente.
  2. Gleiches gilt auch für das Mail-Archiv. Hier bietet es sich an, dem Prüfer das Archiv in Kopie auf sichere Weise elektronisch oder auf einem Datenträger zu übermitteln, am besten verschlüsselt.
Wir haben ein Backup. Heißt das, wir brauchen kein spezielles E-Mail-Archiv?

Ein Backup ist eine (im besten Fall automatisierte, regelmäßig erstellte) Sicherungskopie, die vor einem Datenverlust schützt. Ein Backup ermöglicht eine schnelle Wiederherstellung der Daten. Für Backups gelten keine gesetzlichen Vorgaben. Es ist Aufgabe des IT-Verantwortlichen, eine individuell auf das Unternehmen abgestimmte Backup-Strategie zu finden und für deren Einhaltung zu sorgen.

Eine Archivierung ist hingegen eine langfristige Speicherung von Daten auf einem separaten Datenträger. Für diese gelten in Bezug auf steuerrechtlich relevante Dokumente wie E-Mails oder Rechnungen bestimmte gesetzliche Aufbewahrungsfristen sowie technische Vorgaben, z.B. in Sachen Manipulationssicherheit und Datenzugriff.

Im Idealfall laufen Backups und gesetzeskonforme E-Mail-Archivierung Hand in Hand.

Übrigens: Nutzt ihr unser Hosting für GREYHOUND, dann kümmern wir uns um Backups für euren GREYHOUND Server.

Wie kann ich als GREYHOUND-Nutzer meine Mails archivieren?

Für Anwender von GREYHOUND steht das kostenlose Zusatztool „GREYHOUND Archive“ für die gesetzeskonforme E-Mail-Archivierung zur Verfügung. Damit könnt ihr Eure geschäftlichen E-Mails DSGVO- und GoBD-konform archivieren und haltet mühelos und stressfrei die rechtlichen Vorgaben ein.

Mehr zu GREYHOUND Archive ist hier nach zu lesen: https://docs.greyhound-software.com/tools/greyhound-archive