Dieser Beitrag unterliegt dem Urheberrecht!

Archivierung und Security - aktueller denn je

Der jüngste Artikel in der Computerwoche vom 03.02.2009 „Keine Angst vor Compliance“ und die sich daran anschließende Diskussion um die rechtlichen Erfordernisse der E-Mail-Archivierung zeigt, dass zum einen noch erhebliche Unsicherheit im Umgang mit den rechtlichen Anforderungen besteht. Zum andern dokumentiert die Diskussion, dass eine Auseinandersetzung mit den Erfordernissen aktueller denn je ist.

Dieser Kurzbeitrag in der Jubiläumsausgabe soll daher noch einmal die rechtlichen Anforderungen skizzieren und zusammenfassen.

1. Beim Umgang mit E-Mail hat ein Unternehmen eine Vielzahl rechtlicher Aspekte zu beachten.

Zunächst ist festzustellen, dass unternehmerisch eingesetzte E-Mails regelmäßig geschäftlich relevante Informationen enthalten, die einerseits die Qualität von Handelsbriefen und damit Steuerrelevanz aufweisen, andererseits  Beweisqualität haben können. Demgemäß sind solche E-Mails mit steuerrelevanten Informationen in der E-Mail selbst oder in Attachments nach den Grundsätzen zum Datenzugriff und zur Prüfung digitaler Unterlagen (GDPdU) sowie nach handelsrechtlichen Grundsätzen nach GoBS so aufzubewahren, dass die Veränderung des Dokuments ausgeschlossen ist. Außerdem muss ein wahlfreier Zugriff auf solche Dokumente, die steuerrelevant sind und originär elektronisch entstanden sind, im Rahmen der elektronischen Steueraußenprüfung erfolgen können.

Ob und inwiefern solche E-Mails geschäftsvorfallbezogen gegen einen Index zu archivieren sind, ist umstritten und wurde durch ein Gericht noch nicht entschieden.

Nach diesseitiger Rechtsauffassung besteht keine Rechtsgrundlage, eine solche unmittelbare Verknüpfung zu fordern, die übrigen Anforderungen der revisionssicheren Archivierung nebst Prüfbarkeit sind indes auch hier zu erfüllen.

In diesem Zusammenhang häufig verkannt wird - dies sind Beispiele aus der Praxis -, dass ein Unternehmen und damit die verantwortlichen Organe nicht zuletzt, wenn sie ein internes Kontrollsystem nach GoBS etablieren müssen, dafür verantwortlich sind, dass die entsprechend steuerrelevanten E-Mails auch wieder auffindbar sind.

So liegen dem Autor Beispiele von Unternehmen aus der Praxis vor, bei denen auf Grund von Speicherengpässen und mangelnder Archivierungsstrategie es die Anweisung gibt, dass sämtliche PST-Dateien nicht zentral und nicht indiziert, sondern lediglich auf dem lokalen Rechner des Mitarbeiters gespeichert werden, um Platz zu sparen.

Die Konsequenz eines solchen Handelns mag man sich für den Fall einer elektronischen Steueraußenprüfung einmal verdeutlichen. Möchte der Steuerprüfer hier steuerrelevante E-Mails prüfen, so dürften bereits Bedenken bestehen, wenn man von einem wahlfreien Zugriff ausgeht. Bei lokaler Datenspeicherung müsste der Steuerprüfer dann jeden einzelnen Arbeitsplatz überprüfen.

Was aber passiert, wenn es sich beispielsweise um Mitarbeiternotebooks handelt, die verloren gehen, gestohlen werden oder der Mitarbeiter ausscheidet. Dann sind diese Daten gegebenenfalls unwiederbringlich verloren.

2. Jedes verantwortliche Organ eines Unternehmens, sei es Vorstand oder Geschäftsführer, sollte sich daher mit den Anforderungen an das Risikomanagement und Risikocontrolling auseinandersetzen und frühzeitig Schwachstellen analysieren. Neben etwaigen steuerrechtlichen Haftungstatbeständen kommen für das Unternehmen - gegebenenfalls auch für die Unternehmensverantwortlichen persönlich - Schadensersatzansprüche in Betracht, etwa dann, wenn falsche Angaben zur Dokumentation eines Risikomanagementsystems gemacht werden (Landgericht München I, CR 2007, 423). Hiernach ist in der unterbliebenen Dokumentation eines Risikofrüherkennungssystems ein die Anfechtbarkeit eines Beschlusses begründender wesentlicher Gesetzesverstoß i. S. d. § 243 Abs. 1 AktG zu sehen.

Die Erfahrung des Autors aus Vorträgen ist, dass sich zwar viele Unternehmen mit den vorstehenden Fragestellungen auseinandersetzen, es häufig aber an einer konsequenten Umsetzung fehlt. Hier wächst indes die Sensibilität durch die ergangenen Urteile zum elektronischen Datenzugriff als neues Standardverfahren. Während Bußgelder und Zwangsmittel als etwaige Opportunitätskosten einem etwaigen E-Mail-Archivierungssystem gegengerechnet werden, führt aktuell die Gefahr der Schätzung nach § 162 AO, vor allem aber das seit 01.01.2009 geltende Verzögerungsgeld von € 2.500,- bis € 250.000,-, zur erneuten Auseinandersetzung mit der technischen Situation im Unternehmen. Auch lässt sich in der Praxis feststellen, dass sich Prüfer mit IDEA als Prüfungstool unterdessen „angefreundet“ haben und deren Funktionalitäten zu schätzen wissen. Während einem noch vor Jahren der Prüfer fast Leid tat, der mit dem ihm vorgesetzten Notebook zurecht kommen musste, haben es nun Unternehmen mit der nächsten Generation qualifizierter und technisch erfahrener, aber auch entsprechend anspruchsvoller Prüfer zu tun.

3. In diesem Zusammenhang sei anempfohlen, E-Mail-Archivierung nicht als isoliertes, nur steuerrechtliches Thema zu behandeln. Vielmehr bedarf es hier einer gesamtheitlichen Betrachtung, die sowohl Sicherheitsgesichtspunkte berücksichtigt, als auch solche des Datenschutzes, angefangen bei Fragen der Filterung von Spam-Mails bis hin zum Umgang mit privatem E-Mailverkehr.  

Zum Thema Sicherheit sei in der gebotenen Kürze angeführt, dass sich eine Auseinandersetzung mit den Anforderungen der BSI-Grundschutzkataloge insbesondere zum IT-Sicherheitsmanagement genauso wie zum Notfall- Vorsorgekonzept in jedem Falle lohnt.

Im Rahmen der unternehmensinternen Risikobetrachtung sollten hier insbesondere Überlegungen dahingehend angestellt werden, was passiert, wenn ein Unternehmen über eine Woche keine E-Mails empfangen und versenden kann oder es gar zu einem Totalverlust sämtlicher E-Mails kommt.

Die Erfahrung zeigt, dass hier KMUs immer wieder nicht einmal über getrennte Brandabschnitte für die Datenhaltung und das Backup verfügen, so dass im Falle eines Brandes sämtliche Daten verloren wären; hier ist das Management in der Haftung.

Im Rahmen der gesamtheitlichen Betrachtung von Archivierung und Datensicherung sollte auch die Frage betrachtet werden, welche Daten aus operativen Erfordernissen in einem teureren, hoch redundanten und performanten Rechenzentrum verfügbar gehalten, gegebenenfalls in einem zusätzlichen K-Fall-Rechenzentrum gespiegelt werden müssen. Hierbei hilft insbesondere die Betrachtung, wie oft in welchen Zyklen auf bestimmte Daten zugegriffen wird. Der Zugriff-Zyklus nimmt regelmäßig nach einem und danach nach spätestens sechs Monaten noch einmal erheblich ab, so dass hier bereits häufig schon aus Kosten- und/oder Performancegründen eine Auslagerung solcher Daten in Archivsystemen sinnvoll erscheint.

Während das Argument, dass Plattenspeicherplatz heute nicht mehr teuer ist teilweise greift, muss doch vor allem für Batch- und Backupprozesse berücksichtigt werden, dass bei wachsendem Umfang der Daten früher oder später auch die Wartungsfenster zu klein werden, so dass neue Hardware angeschafft werden muss; dies wirkt indes nur solange die Datenmenge nicht erneut über einen kritischen Punkt hinaus anwächst. So werden - um dem entgegen zu wirken - unabhängig von den steuerrelevanten Themen beispielsweise Archivierungsprojekte allein deshalb iniziiert, um Kapazitäten freizusetzen, die es ermöglichen, zwischen Freitagabend und Montagmorgen die Sicherungsläufe noch unterzubringen. Arbeitet ein Unternehmen international in unterschiedlichen Zeitzonen, verringert sich dieses Wartungsfenster weiter.

4. Bei Bearbeitung des Sicherheitsthemas sollte auch eine Sensibilisierung dafür erfolgen, dass hochgradig vertrauliche Geschäftsgeheimnisse nicht per unverschlüsselter E-Mail versendet werden sollten. Wie leicht das Abfangen einer solchen E-Mail möglich ist, zeigen die lebhaft dargebotenen Demonstrationen auf den einschlägigen Messeveranstaltungen. Geht es hier um unternehmenskritische Entwicklungen z. B. aus dem Chemie- oder auch Automotive-Bereich, empfiehlt es sich entweder mit verschlüsselter E-Mail oder über hochverschlüsselte virtuelle Projekträume mit Web-Interfaces zu arbeiten, um ein Mitlesen des Wettbewerbers, gegebenenfalls durch den Geheimdienst eines Landes aus „nationalem Interesse“, zu vermeiden.

5. Soweit sich ein Unternehmen entschließt, konzeptionell das Thema der E-Mail-Archivierung anzugehen, bedarf es schließlich einer intensiven Auseinandersetzung mit Nutzen und Risiken privater E-Mail-Nutzung. Während streitig ist, ob, ab wann und in welchem Umfang das Mitlesen von privaten Arbeitnehmeremails eine Verletzung des Fernmeldegeheimnisses nach § 85 TKG darstellt, sind hier die Risiken auch dann erheblich, wenn man nach dem Speichervorgang auf dem Rechner des Mitarbeiters ein Fernmeldegeheimnis nicht mehr annimmt (VG Frankfurt, Urt. v. 14.11.2008, Az. 1 K 628/08). Unabhängig von der diesbezüglichen Rechtsprechung zu SPAM-Filtern (OLG Karlsruhe, Urt. v. 25.10.2006, Az. 6 U 35/06), dürften sensibilisiert durch die aktuellen datenschutzrechtlichen Diskussionen nicht zuletzt regelmäßig nach Ausscheiden eines Mitarbeiters Löschungsansprüche solcher personenbezogenen Daten bestehen.

Was passiert aber, wenn sämtliche Daten entsprechend den steuerrechtlichen Vorgaben revisionssicher, d.h. insbesondere unveränderbar archiviert wurden. Der diesbezügliche Aufwand nebst Protokollierung des Verfahrens würde dann erheblich, wenn nicht entsprechende Prozesse von Anfang an dafür vorgesehen wurden.

6. Eine erfolgreiche E-Mail-Archivierung - begrifflich besser E-Mail-Management - ist letztlich vor allem ein Prozessthema, bei dem es durch die Berücksichtigung einer Vielzahl von Aspekten von Steuerrecht, Datenschutz, aber auch der praktischen Umsetzung durch die IT und der dafür erforderlichen Kosten der Zusammenstellung eines Teams bedarf. Ein solches Team hat die entsprechenden Information Lifecycle Management Prozesse zu erarbeiten und die dafür erforderlichen technischen, organisatorischen und finanziellen Maßnahmen zu ermitteln, um zu einer erfolgreichen Umsetzung zu gelangen. Hierbei lassen sich Strategien vorsehen, die E-Mails als Wissensspeicher einem Dokumenten Management System gleichsetzen können. Werden Attachments mit dem Wissen verschlagwortet, hilft dies dem Unternehmen, um das Rad nicht ständig neu zu erfinden, sondern auf erarbeitete Ergebnisse zurückgreifen zu können. Wie hilfreich dies beispielsweise im Bereich des IT-Vertragsrechts ist, zeigt sich, wenn eine Kanzlei viele individuelle Projekte berät. Während häufig eine Vielzahl von Standard-Templates verwendet werden können, bedürfen besondere Konstellationen besonderer Lösungen. Wenngleich hier auch individuelle Entwürfe regelmäßige nicht eins zu eins passen, bieten diese jedoch als „Brainpool“ Ansatz für die „Kreativabteilung“.

Zusammenfassend ist noch einmal herauszuheben, dass, wie man dies häufig aus der Vergangenheit bei „heterogen gewachsenen IT-Systemen kennt“, die Abarbeitung einzelner Themen nur die Gesamtlösung verschiebt. Mittel- bis langfristig günstiger sind daher regelmäßig Lösungen, die sämtliche vorgenannten Aspekte speziell bei der Umsetzung oder auch Restrukturierung von Prozessen berücksichtigt, so dass es im Nachhinein keiner Anpassung mehr bedarf.

Dr. Rauschhofer 
Dr. jur. Hajo Rauschhofer, Fachanwalt für Informationstechnologierecht, berät seit 1996 als Rechtsanwalt im Bereich IT-Recht und Internet-Recht. Als empfohlener Anwalt für IT- und Medienrecht ist er als einer der ersten Rechtsanwälte mit einer eigenen Website im Internet präsent (www.rechtsanwalt.de). Im Jahre 2000 promovierte er zum Thema „Mediendienste im World Wide Web“. Seit 2002 betreut er in der Kanzlei Rauschhofer Rechtsanwälte mit inzwischen vier spezialisierten Juristen bundesweit Unternehmen in allen Bereichen des Rechts der Informationstechnologie sowie im gewerblichen Rechtsschutz (Marken-/Wettbewerbsrecht), Urheber- und Medienrecht. Vornehmlich erfolgt hier die Beratung, Vertragsgestaltung  und  Verhandlung von Softwareimplementierungsverträgen bis hin zu komplexen IT-Outsourcingvorhaben, wobei überwiegend die Auftraggeberseite vertreten wird. Daneben werden regelmäßig Beiträge sowie Interviews in Fachzeitschriften, Radio, TV und im Internet veröffentlicht, die durch bundesweite Vortrags- und Seminarveranstaltungen im Bereich IT-Recht ergänzt werden.