RECHTSGUTACHTEN

RECHTSGUTAC HTEN – Heinlein M ail -Archiv für E -Mails
Die Heinlein Professional Linux Support GmbH, Schwedter Straße 8/9B, 10119 Berlin, hat
unsere Kanzlei gebeten, ihr neu entwickeltes Heinlein Mail-Archiv rechtlich zu begutach-
ten. Geprüft werden soll, ob u.a. die handelsrechtlichen als auch die steuerrechtlichen
Vorgaben umgesetzt sind und mit der Nutzung des Heinlein Mail-Archivs der Anwender
Rechtssicherheit mit Blick auf seine E-Mail-Archivierung hat.
1. Rechtliche Anforderungen an die Archivierung von E-Mails
Die Regelung und rechtlichen Vorgaben für die Archivierung von E-Mails finden sich
in verschiedenen Gesetzesvorschriften. Diese sind vom Gesetzgeber teilweise nicht
gut aufeinander abgestimmt, so dass es im Detail zu rechtlichen Unsicherheiten
kommen kann. Zu beachten sind bei der Archivierung von E-Mails insbesondere das
Handelsgesetzbuch (HGB), die Abgabenordnung (AO), aber auch das Bundesda-
tenschutzgesetz (BDSG) sowie weitere Rechtsnormen.
a) E-Mail-Archivierung nach dem HGB
Das Handelsgesetzbuch kennt den Begriff „E-Mail“ direkt nicht. Im Handels-
gesetzbuch wird nach wie vor von „Handelsbriefen“ gesprochen. Die gesetzli-
chen Erwartungshaltungen sind zum einen in § 238 HGB mit dem Begriff
„Buchführungspflicht“ überschrieben, zum anderen in § 257 HGB mit der
Überschrift „Aufbewahrung von Unterlagen, Aufbewahrungsfristen“ benannt.
In § 238 Abs. 2 HGB heißt es:
Der Kaufmann ist verpflichtet, eine mit der Urschrift übereinstimmende
Wiedergabe der abgesandten Handelsbriefe (Kopie, Abdruck,
Abschrift oder sonstige Wiedergabe des Wortlauts auf einem
Schrift-, Bild- oder anderen Datenträger) zurückzubehalten.
Eine Definition für den Begriff „Handelsbrief“ hält das Gesetz in § 257 Abs. 2
HGB bereit. Handelsbriefe sind nur Schriftstücke, die Geschäftsabschlüsse
zwischen Kaufleuten, deren Durchführung und ggf. Rückabwicklung (im HGB
„Handelsgeschäft“ genannt) betreffen.

Seite 2
Mittlerweile steht außer Diskussion, dass Schriftstücke nicht nur Dokumente in
Papierform sind. Da der Gesetzgeber bezüglich des Mediums im Handelsge-
setzbuch nicht differenziert hat, gelten daher auch E-Mails als Schriftstücke.
Soweit E-Mails ein Handelsgeschäft betreffen, sind diese dann Handelsbriefe.
Hier schließt sich der Kreis mit Blick auf die abgesandten Handelsbriefe. Die
Erwartungshaltung des Gesetzgebers, die sich in § 238 Abs. 2 HGB wider-
spiegelt, verlangt nicht die Archivierung aller Schriftstücke, Mails oder sonsti-
ger versandter Unterlagen, sondern fordert nur, dass rund um ein Handelsge-
schäft alle Unterlagen archiviert werden.
Ihre Unternehmensentscheidung
Jedes Unternehmen muss entscheiden, ob eine Differenzierung bei den
abgesandten Handelsbriefen erfolgt, oder ob alle ausgehende Post archi-
viert wird. Für E-Mails bedeutet das, dass entweder alle ausgehenden E-
Mails archiviert werden oder nur die E-Mails im Archiv gespeichert wer-
den, die ein Handelsgeschäft betreffen. Soweit sich Unternehmen für eine
differenzierte Lösung entscheiden, ist organisatorisch zu klären, wer über
die jeweilige Archivierung entscheidet. Ist der jeweilige Sachbearbeiter
und Versender allein berechtigt, über eine Klassifizierung als Handelsbrief
zu entscheiden? Soll unternehmensintern eine Kontrolle installiert werden,
ob die jeweilige Archivierung der ausgehenden Handelsbriefe entspre-
chend den gesetzlichen Vorgaben erfolgt.
Bezüglich der Eingangspost regelt § 257 Abs. 1 HGB die Anforderungen. Da-
nach ist jeder Kaufmann verpflichtet, die empfangenen Handelsbriefe aufzu-
bewahren. Hier kann wieder auf die obige Definition verwiesen werden, so
dass nicht alle eingehende Post archiviert werden muss. Archivierungspflich-
ten bestehen nur bei Dokumenten mit Bezug zu einem Handelsgeschäft.
Für die E-Mail-Archivierung ergibt sich damit keine Anforderung, alle einge-
henden E-Mails vollständig zu archivieren. Aus der Perspektive des Handels-
gesetzbuches ist daher eine Spam-Filterung und ein Aussortieren der Werbe-
Mails zulässig.
/..

Seite 3
Ihre Unternehmensentscheidung
Bei den eingehenden Mails ist zu entscheiden, ob alle E-Mails, die das
Unternehmen empfängt, archiviert werden. Soweit eine Kategorisierung
der E-Mails erfolgt mit dem Ziel, möglichst nur die direkten Pflichten aus
dem HGB umzusetzen, ist zum einen die Organisation dieser Kategorisie-
rung schriftlich zu dokumentieren, zum anderen sollten die Entschei-
dungswege klar strukturiert sein. Auch hier ist zu überlegen, inwieweit ei-
ne regelmäßige Überprüfung stattfindet, dass die eingehenden E-Mails
entsprechend den Anforderungen des § 257 Abs. 1 HGB behandelt wer-
den.
In § 257 Abs. 4 HGB sind auch die Aufbewahrungsfristen festgelegt. Für Han-
delsbriefe fordert das Gesetz eine Aufbewahrung über einen Zeitraum von
6 Jahren. Die Aufbewahrungsfrist beginnt mit dem Schluss des Kalenderjah-
res, in dem der Handelsbrief und damit die E-Mail empfangen oder abgesandt
worden sind (§ 257 Abs. 5 HGB).
Zusammenfassung Anforderungen HGB
Sowohl die eingehenden als auch die ausgehenden E-Mails sind aufzubewah-
ren, soweit sie ein Handelsgeschäft betreffen. Die Aufbewahrungsfrist beträgt
sechs Jahre.
b) Steuerrechtliche Anforderungen
Die Abgabenordnung enthält in § 147 AO eine Ordnungsvorschrift für die Auf-
bewahrung von Unterlagen bereit. Zunächst wird auf die Regelungen im Han-
delsgesetzbuch Bezug genommen. Empfangene Handels- und Geschäftsbrie-
fe sowie die Wiedergabe der abgesandten Handels- und Geschäftsbriefe sind
gem. § 147 Abs. 3 AO 6 Jahre aufzubewahren. Die Aufbewahrungsfrist be-
ginnt auch hier mit dem Schluss des Kalenderjahres, in dem der Handels- und
Geschäftsbrief empfangen oder abgesandt worden ist (§ 147 Abs. 4 AO).
Auch gilt die Definition für Handelsbriefe, unter denen jedes Schreiben zu ver-
stehen ist, welches „der Vorbereitung, den Abschluss, der Durchführung oder
der Rückgängigmachung eines Geschäfts“ dient (vgl. Bonner Handbuch der
Rechnungslegung, § 257 Rn. 34).
/..

Seite 4
Die reine Differenzierung von ein- und ausgehenden E-Mails als „Geschäfts-
briefe“ ist in der Praxis allerdings nicht ausreichend. § 147 Abs. 3 AO verlangt
für bestimmte Unterlagen eine 10-jährige Aufbewahrungsfrist. Diese betreffen
u.a. Bücher und Aufzeichnungen, Inventare, Jahresabschlüsse, Lageberichte,
die Eröffnungsbilanz sowie den zu ihrem Verständnis erforderlichen Arbeits-
anweisungen und sonstige Organisationsunterlagen sowie Buchungsbelege.
Daneben wird quasi als „Auffangregelung“ in § 147 Abs. 1 Nr. 5 AO festgelegt,
dass auch alle sonstigen Unterlagen, soweit sie für die Besteuerung von Be-
deutung sind, einer 6-jährigen Aufbewahrungsfrist unterliegen.
Ihre Unternehmensentscheidung
Es ist zu überlegen, ob tatsächlich zwischen einer 6-jährigen Aufbewah-
rungspflicht nach HGB/AO und der 10-jährigen Aufbewahrungspflicht dif-
ferenziert wird. Hier können sich schnell organisatorische Schwierigkeiten
ergeben. Sollte mit unterschiedlichen Aufbewahrungspflichten gearbeitet
werden, so ist das jeweilige steuerpflichtige Unternehmen gefordert, ent-
sprechend den Vorgaben der Abgabenordnung die richtige Klassifizierung
vorzunehmen.
§ 147 Abs. 1 AO fordert eine „geordnete Aufbewahrung“. Bezüglich der Ord-
nungsprinzipien hat sich der Gesetzgeber nicht weiter festgelegt. Insoweit ha-
ben die Unternehmen, soweit nicht nachfolgende Regelungen detailliertere
Anforderungen stellen, eine Organisationsfreiheit.
c) Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen
(GDBdU)
§ 147 Abs. 6 AO öffnet den Finanzbehörden die Möglichkeit, beim steuer-
pflichtigen Unternehmen eine elektronische Steuerprüfung vorzunehmen.
Wörtlich heißt es in § 147 Abs. 6 AO:
„Sind die Unterlagen nach Absatz 1 mit Hilfe eines Datenverarbeitungssystems
erstellt worden, hat die Finanzbehörde im Rahmen
einer Außenprüfung das Recht, Einsicht in die gespeicherten Daten
zu nehmen und das Datenverarbeitungssystem zur Prüfung
dieser Unterlagen zu nutzen. Sie kann im Rahmen einer Außenprüfung
auch verlangen, dass die Daten nach ihren Vorgaben maschinell
ausgewertet oder ihr die gespeicherten Unterlagen und
/..

Seite 5
Aufzeichnungen auf einem maschinell verwertbaren Datenträger
zur Verfügung gestellt werden. Die Kosten trägt der Steuerpflichtige.“
Auf Basis dieser Regelungen sowie weiterer Vorschriften der Abgabenord-
nung wurden mit BMF-Schreiben vom 16. Juli 2001 (IVD2-S0316-136/01) die
Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen
(GDPdU) veröffentlicht. Diese neue Prüfungsmethode soll neben die Möglich-
keit der herkömmlichen Prüfung treten. Ein Recht auf Datenzugriff steht den
Finanzbehörden nur im Rahmen der steuerlichen Außenprüfung zu. Damit soll
der sachliche Umfang der Außenprüfung (§ 194 AO) nicht erweitert werden.
Gegenstand der Prüfung sind alle nach § 147 Abs. 1 AO aufbewahrungs-
pflichtigen Unterlagen. Damit werden auch die ein- und ausgehenden E-Mails,
die als Geschäftsbriefe deklariert sind, mit umfasst. Des Weiteren sind alle
Unterlagen betroffen, die zu den „Büchern und Aufzeichnungen“ sowie den
weiteren einer 10-jährigen Verjährungsfrist unterliegenden Dokumenten gehö-
ren.
Nach den Ausführungen der GDPdU soll sich das Recht auf Datenzugriff aus-
schließlich auf die Daten beschränken, die für die Besteuerung von Bedeu-
tung sind. Dazu gehören klassischerweise die Daten der Finanzbuchhaltung,
der Anlagenbuchhaltung und der Lohnbuchhaltung.
Mit Stand 22. Januar 2009 hat das Bundesfinanzministerium Fragen und Ant-
worten zum Datenzugriffsrecht der Finanzverwaltung veröffentlicht. Frage 9
befasst sich mit den Archivierungen von E-Mails. Die konkrete Frage lautet,
unter welchen Voraussetzungen und in welchen Formaten müssen E-Mails
archiviert oder für den Datenzugriff bereitgehalten werden.
Bei den rechtlichen Betrachtungen ist es in diesem Zusammenhang gut, das
Bundesfinanzministerium im Originalton zu Wort kommen zu lassen:
E-Mails, die für die Besteuerung von Bedeutung sind, sind nach
den allgemeinen Vorschriften des § 147 AO aufzubewahren. Eine
(elektronisch übersandte) E-Mail stellt ein originär digitales Dokument
dar, das für den Datenzugriff im Originalformat maschinell
auswertbar vorgehalten werden muss. Dies gilt beispielsweise für
eine per E-Mail übermittelte Reisekostenabrechnung in einem Tabellenkalkulationsformat.
Nach den GoBS (Abschnitt VIII. ‚Wieder-
/..

Seite 6
gabe der auf Datenträgern geführten Unterlagen’) sind auch E-
Mails als originär digitale Dokumente mit einem unveränderbaren
Index zu versehen, unter dem das archivierte digitale Dokument
bearbeitet und verwaltet werden kann.
Hinsichtlich der maschinellen Auswertbarkeit ist jedoch nicht entscheidend,
ob die per E-Mail übermittelten Daten automatisiert
Eingang in das verwendete Buchhaltungssystem gefunden haben
oder im betrieblichen DV-System Importfunktionen zur Übernahme
von steuerlich relevanten Daten aus dem Textkörper von E-Mails
oder angehängter Dateien vorhanden sind. Als Beispiel sei eine E-
Mail aufgeführt, die steuerlich relevante Vertragsgestaltungen enthält.
Über den nach GoBS geforderten Index ist der elektronische
Zugriff auf die im Originalformat zu archivierende E-Mail auch in
solchen Fällen sicherzustellen.
E-Mails mit nicht steuerlich relevanten Inhalten müssen hingegen
weder archiviert noch für den Datenzugriff vorgehalten werden.“
Diese sehr umfassende Antwort zeigt auch die Komplexität rund um das
Thema E-Mail-Archivierung aus steuerlicher Sicht auf. Zunächst ist festzuhal-
ten, dass E-Mails mit nicht steuerlich relevanten Inhalten nach den Anforde-
rungen der Steuergesetze keiner Archivierungspflicht unterliegen.
Ihre Unternehmensentscheidung
Wie bereits oben ausgeführt, ist im Rahmen der Unternehmensorganisa-
tion zu entscheiden, ob eine Differenzierung zwischen E-Mails mit steuer-
lich relevantem Inhalt und E-Mails mit nicht steuerlich relevantem Inhalt
erfolgt. Dies zieht weitere organisatorische Entscheidungen nach sich.
Soweit die Unternehmensentscheidung getroffen wird, alle ein- und aus-
gehenden E-Mails zu archivieren, sind die rechtlichen Fragestellungen
rund um das Thema „private E-Mails“ zu beachten, die unter Ziff. 1. lit. d)
noch weiter dargestellt werden.
Aus den oben zitierten Ausführungen des BMF lassen sich folgende Kern-
punkte zur E-Mail-Archivierung herauslesen:
- Ein originär digitales Dokument ist im Originalformat aufzubewahren.
/..

Seite 7
- Die digitalen Dokumente sind mit einem unveränderbaren Index zu
versehen.
- Die Art des Eingangs in das System, in dem die steuerlich relevanten
Dokumente aufbewahrt werden, ist nicht von Bedeutung.
Zu diesen Hauptaspekten nachfolgend noch einige weiterführende Informatio-
nen:
Aufbewahrung im Originalformat
Aus der Aufbewahrungspflicht für digitale Dokumente im Originalformat lässt
sich im Umkehrschluss nicht herleiten, dass alle eingehenden Unterlagen digi-
talisiert werden müssen. Werden Unterlagen jedoch digitalisiert, besteht ein
Zugriffsrecht der Finanzverwaltung auf die digitalisierten Unterlagen.
Ihre Unternehmensentscheidung
Da bei einer Digitalisierung die Finanzverwaltung Zugriff auf die digitali-
sierten Unterlagen hat, ist zu entscheiden, ob den Finanzbehörden ein
solch weitgehendes Zugriffsrecht gewährt werden soll.
Originär digitale Unterlagen sind nach § 146 Abs. 5 AO auf maschinellen Da-
tenträgern zu archivieren. Im Umkehrschluss heißt dies, dass originär digitale
Unterlagen, wie E-Mails, nicht ausschließlich in ausgedruckter Form oder auf
Mikrofilm aufbewahrt werden dürfen. Nicht ausreichend ist auch die aus-
schließliche Archivierung in maschinell nicht auswertbaren Formaten, wie z.B.
PDF-Dateien.
Hier ist noch einmal der vielfach anzutreffenden Auffassung zu widerspre-
chen, dass ein Ausdruck von E-Mails in Papierform und eine Archivierung in
den Buchhaltungsunterlagen in Papierform nach den steuerlichen Vorgaben
ausreichend ist. § 146 Abs. 5 AO spricht eindeutig dagegen.
Dokumente mit unveränderbarem Index
E-Mails als originär digitale Dokumente sollen mit einem unveränderbaren In-
dex versehen werden. Damit soll die Bearbeitung und Verwaltung der archi-
vierten digitalen Dokumente ermöglicht werden. Dabei wird auf die „Grundsät-
/..

Seite 8
ze ordnungsgemäß DV-gestützter Buchführungssysteme (GoBS)“ verwiesen.
Basis ist ein Schreiben des Bundesministeriums der Finanzen an die obersten
Finanzbehörden der Länder vom 07. November 1995 (IVA8-S0316-52/95-
BStBl. 1995 I, S. 738). Mit Bezug auf § 146 Abs. 5 AO werden hier weiterge-
hende Anforderungen präzisiert. Der Abschnitt VIII befasst sich mit der „Wie-
dergabe der auf Datenträgern geführten Unterlagen“. Nach der GoBS soll bei
original digitalen Dokumenten, wie E-Mails, hard- und softwaremäßig sicher-
gestellt sein, dass während des Übertragungsvorgangs auf das Speicherme-
dium eine Bearbeitung nicht möglich ist. Die Indexierung hat, wie bei gescann-
ten Dokumenten, zu erfolgen. Bei den gescannten Dokumenten wird verlangt,
dass das mittels Scannen entstandene digitale Dokument mit einem unverän-
derbaren Index zu versehen ist. Anschließend soll das archivierte digitale Do-
kument nur unter dem zugeteilten Index bearbeitet und verwaltet werden dür-
fen. Die Bearbeitungsvorgänge sind zu protokollieren und mit dem Dokument
zu speichern. Das bearbeitete Dokument ist als „Kopie“ zu kennzeichnen.
Grundsätzlich verlangt die GoBS, dass originär digitale Dokumente durch
Übertragung der Inhalts- und Formatierungsdaten auf einen digitalen Daten-
träger archiviert werden. Darüber hinaus sollen die gespeicherten Daten wäh-
rend der gesamten Aufbewahrungsfrist, im Zweifel 10 Jahre, jederzeit repro-
duzierbar, d.h. lesbar, sein.
Besonderheit: Rechnungen per E-Mail
Eine Besonderheit hält § 14 Abs. 3 UStG für die auf elektronischem Weg
übermittelten Rechnungen bereit. Die Echtheit der Herkunft und die Unver-
sehrtheit des Inhalts sind zum einen durch eine besondere Signatur oder
durch einen besonderen elektronischen Datenaustausch (EDI) sicherzustel-
len. Bezüglich der Signatur wird entweder eine qualifizierte elektronische Sig-
natur oder eine qualifizierten elektronische Signatur mit Anbieter-
Akkreditierung nach dem Signaturgesetz vom 16. Mai 2001 in der jeweils gel-
tenden Fassung erwartet. Anderenfalls ist ein Vorsteuerabzug nicht möglich.
Bezüglich der E-Mail-Archivierung bedeutet dies, dass bei der Versendung
von Rechnungen auf dem elektronischen Wege auch insoweit der Originalzu-
stand des übermittelten, ggf. noch verschlüsselten Dokuments jederzeit über-
prüfbar sein muss. Folgende Anforderungen bezüglich der elektronischen
Rechnungen legt das Bundesfinanzministerium im Rahmen der GDPdU fest:
/..

Seite 9
- Vor der weiteren Verarbeitung ist die qualifizierte elektronische Signatur
mit Blick auf die Integrität der Daten und der Signaturberechtigung
zu prüfen. Das Ergebnis ist zu dokumentieren.
- Die Speicherung der elektronischen Rechnung hat auf einem Datenträger
zu erfolgen, der Änderungen nicht zulässt.
- Der Signaturprüfschlüssel ist aufzubewahren.
- Der Eingang der elektronischen Rechnung, ihre Archivierung und ggf.
Konvertierung sowie die weiteren Verarbeitungen sind zu protokollieren.
- Die Übertragungs-, Archivierungs- und Konvertierungssysteme müssen
den Anforderungen der GoBS, insbesondere an die Dokumentation,
an das interne Kontrollsystem, an das Sicherungskonzept sowie
an die Aufbewahrung entsprechen.
- Das qualifizierte Zertifikat des Empfängers ist aufzubewahren.
Hier in der Beratungspraxis ist zu beobachten, dass die sehr umfänglichen
Anforderungen mit Blick auf das Umsatzsteuergesetz in den Unternehmen
nicht immer eingehalten werden. Hier droht allerdings der Verlust des Vor-
steuerabzugs bezüglich dieser Rechnungen, wenn die Archivierung nicht den
Vorgaben aus dem Umsatzsteuergesetz und der GoBS genügen.
Ihre Unternehmensentscheidung
Im Unternehmen ist zu entscheiden, ob grundsätzlich elektronische
Rechnungen akzeptiert werden. Wenn dies der Fall sein soll, dann sind
die oben beschriebenen organisatorischen Anforderungen einzuhalten.
d) Weitere rechtliche Aspekte
Neben den Anforderungen nach dem HGB und dem steuerrechtlichen Pflich-
tenkatalog ergeben sich weitere Aspekte, soweit Unternehmen eine Komplett-
Archivierung aller ein- und ausgehenden E-Mails anstreben. Hier sind insbe-
sondere Unternehmen betroffen, die ihren Mitarbeitern eine private Nutzung
des E-Mail-Systems ermöglichen. Eine umfassende Archivierung führt in der
Praxis auch dazu, dass private ein- und ausgehende E-Mails der Mitarbeiter
/..

Seite 10
auch über einen Zeitraum von 6 oder 10 Jahren aufbewahrt werden. Häufig
wird auf eine Trennung zwischen privaten Mails und Geschäftsbriefen verzich-
tet, da solche Systeme zeitaufwendig und kostenintensiv sind. In solchen
Konstellationen ist von den jeweiligen Mitarbeitern eine Einwilligung einzuho-
len, dass auch die Archivierung der ein- und ausgehenden Privat-Mails erlaubt
ist. Ohne eine solche Einwilligung werden datenschutzrechtliche Vorschriften
sowohl nach dem Bundesdatenschutzgesetz als auch nach den telekommuni-
kationsrechtlichen Datenschutzregelungen verletzt.
Wenn in Unternehmen allerdings die private Nutzung des E-Mail-Systems un-
tersagt ist, stellt sich diese Frage nicht. Dann wird unterstellt, dass alle ein-
und ausgehenden Mails einen dienstlichen Bezug haben. Allerdings ist in der
Praxis immer wieder zu beobachten, dass im Laufe der Zeit Verbote der Pri-
vatnutzung missachtet werden und so eine „geduldete“ Privatnutzung ent-
steht. Hier sollte rechtlich geprüft werden, ob eine solche „Duldung“ das Ver-
bot der Privatnutzung außer Kraft setzt.
Allerdings wird sich seitens eines Unternehmens nicht verhindern lassen, dass
Mitarbeitern private E-Mails zugeschickt werden. Bisher wird aber in der juris-
tischen Diskussion nicht davon ausgegangen, dass eingehende private Mails
bei einem generellen Verbot der Privatnutzung die Archivierung ohne Einwilli-
gung unzulässig machen.
Ihre Unternehmensentscheidung
Im Unternehmen ist festzulegen, ob eine private E-Mail-Nutzung erlaubt
oder untersagt ist. Soweit die private E-Mail-Nutzung nur für Benutzer von
externen Mail-Dienstleistern per Mailclient oder Webmailer erlaubt ist,
sollten die Mails der externen Mail-Dienstleister auf technischer Ebene
vollständig am Archivsystem vorbeigeleitet werden, da diese weder archi-
viert werden müssen, noch dürfen. Bei einer Archivierung ist ansonsten
eine Einwilligung der Mitarbeiter zu Speicherung notwendig.
e) Unter welchen Voraussetzungen ist ein Archivsystem „GDPdU-
konform“?
In den vom Bundesfinanzministerium veröffentlichten Fragen und Antworten
zum Datenzugriffsrecht der Finanzverwaltung (Stand 22. Januar 2009) wird
/..

Seite 11
auch die Frage aufgeworfen, unter welchen Voraussetzungen ein Archivsys-
tem „GDPdU-konform“ ist.
Wenn aus dem Archivsystem heraus der Datenzugriff für die Finanzverwal-
tung erfolgen soll, gilt nach den Ausführungen des Bundesfinanzministeriums
Folgendes:
„Die nach § 147 Abs. 2 Nr. 2 AO geforderte ‚maschinelle Auswertbarkeit’
von Daten ist durch ein Archivsystem nur sichergestellt
bzw. gegeben, wenn das Archivsystem in quantitativer und qualitativer
Hinsicht die gleichen Auswertungen ermöglicht als wären die
Daten (einschl. Auswertungstools) noch im Produktivsystem. Für
die Datenträgerüberlassung setzt dies auch voraus, dass die Daten
mit den benötigten Strukturinformationen (s. Abschn. I Nr. 2 c
der GDPdU) des spezifischen Buchhaltungssystems auf maschinell
verwertbaren Datenträgern bereitgestellt werden können.“
Der entscheidende Satz in den nicht gerade leicht verständlichen Ausführun-
gen ist der Hinweis, dass der Zugriff auf die Mails wie im „Produktivsystem“
möglich sein soll. Dies ist der Rahmen, an dem sich auch das Mail-Archiv
messen lassen muss.
/..

Seite 12
2. Umsetzung im Heinlein Mail-Archiv
Das Heinlein Mail-Archiv wurde von uns im Dezember 2009 geprüft. Dabei wird von
folgenden Voraussetzungen ausgegangen:
a) Technische Basis
Basis der Revisionssicherheit des Heinlein Mail-Archivs ist die Fraunhofer-
Entwicklung „Archisoft“, die seit Jahren im Dokumentenmanagement einge-
setzt wird. Für Heinlein Mail-Archiv wurde Archisoft an E-Mails angepasst. Als
Signatur-Modul garantiert sie die Revisionssicherheit der SQL-Datenbank und
auch bei sich ändernden kryptographischen Verfahren. Daneben wird ein
standardisiertes Datenformat in einer standardisierten Datenbank verwendet,
das eine dauerhafte Nutzbarkeit garantieren soll. E-Mails werden von einem
Mail-Archiv im Originalformat in SQL abgelegt. So sind diese auch noch nach
10 Jahren sicher auswertbar.
Das Archiv-System wird in den Unternehmen an zentraler Stelle platziert. Da-
mit wird sichergestellt, dass alle relevanten E-Mails erfasst und archiviert wer-
den. Als skalierbarer SMTP-Proxy ist ein Einsatz von Heinlein Mail-Archiv vor
oder an beliebigen Mail-Servern möglich.
Über flexible Filterregelungen lässt sich der zu archivierende Inhalt steuern.
Damit sollen Spam- und irrelevante E-Mails gezielt von der Archivierung aus-
geschlossen werden können.
Da das Heinlein Mail-Archiv stets nach der Spam- und Virenfilterung im Mail-
system des Kunden platziert werden soll, ist das Vorkommen von Spammails
bereits sehr stark reduziert.
Alternativ kann Heinlein Mail-Archiv um die Funktion von Heinlein Anti-Spam
ergänzt werden, so dass die Lösung sowohl die Funktion des Antispam- sowie
Antivirus-Gateways, als auch die der E-Mail-Archivierung übernehmen kann.
Dadurch ist eine optimale Anordnung der Systemkomponenten gewährleistet.
Für die nachgelagerte Bestimmung, welche E-Mails archiviert werden sollen,
können Standardverhalten für Domains definiert werden. Zu diesen Standard-
/..

Seite 13
verhalten können Ausnahmen auf Basis der E-Mail-Adressen definiert werden.
Detail dazu folgen im nächsten Abschnitt.
b) Prüfungsverlauf
Uns wurde unter einem gesonderten Zugang Zutritt zu dem Heinlein Mail-
Archiv gewährt. Auf der Startseite werden unter der Überschrift „Übersicht“
vier Rubriken eröffnet:
– System
– Monitoring
– Domains
– Mail-Archiv
Die von uns getestete Beta-Version enthielt in dem Bereich „Mail-Archiv“ drei
Test-Benutzer.
Unter „Mail-Archiv“ hat der Administrator die Möglichkeit, Archivierungseinstel-
lungen vorzunehmen. Dabei wird zwischen drei Rubriken unterschieden:
– Kein Backup
– Backup
– Revisionssicher
In der vorliegenden Test-Version wurde eine komplette Domain mit
„example.com“ als revisionssicher eingestuft. Damit werden alle E-Mails, die
bei der Domain example.com eingehen und von dieser Domain versandt wer-
den, revisionssicher gespeichert.
Davon ausgenommen wurde die E-Mail a.test@example.com. Für diese E-
Mail-Adresse wurde vorgesehen, dass die ein- und ausgehenden Mails nicht
revisionssicher abgespeichert werden, sondern nur ein Backup erstellt wird.
Für die Domain support@example.com wurde des Weiteren definiert, dass
hier kein Backup zu erstellen ist.
Damit werden ein- und ausgehende Mails weder revisionssicher archiviert
noch werden diese in einem Backup gespeichert.
/..

Seite 14
Das Programm bietet dann für die eingegangenen Mails unter der Rubrik
„Ordner“ – „Posteingang“ eine Übersicht der eingegangenen E-Mails an. Die-
se werden mit folgenden Informationen aufgelistet:
– Absender
– Betreff
– Datum und Uhrzeit
– Anlagen
Daneben besteht die Möglichkeit, die Verifikationsergebnisse anzuzeigen. Im
oberen Teil werden verschiedene Suchmöglichkeiten angeboten. Beispiels-
weise kann der Betreff, der Absender, der Volltext oder der Anhang durch-
sucht werden. Bei der erweiterten Suche gibt es darüber hinaus noch folgende
Optionen:
– Trifft auf alle Folgenden zu
– Trifft auf eines der Folgenden zu
Die Verifikationsergebnisse belegen, inwieweit, bezogen auf die jeweiligen E-
Mail, eine Revisionssicherheit und Unveränderbarkeit gegeben ist. Dabei wird
mit den Ampelfarben „Grün“, „Rot, „Gelb“ und „Grau“ gearbeitet. Die Ampel-
farbe „Grau“ bedeutet, dass für die betreffende E-Mail kein Zeitstempel und
keine Verifikation erfolgt sind. Es handelt sich hier um ein Objekt, dass nur im
Backup vorhanden ist. Die Ampelfarbe „Grün“ bedeutet, dass die E-Mail un-
verändert und revisionssicher abgespeichert wurde. Ein manipuliertes und
verändertes elektronisches Dokument wird mit „Rot“ angezeigt. Mit „Gelb“ sind
die elektronischen Dokumente gekennzeichnet, die noch keinen Zeitstempel
erhalten haben. Die Kombination aus Zeitstempel und E-Mail-Inhalt ist die Ba-
sis für die Werte, anhand derer dann die Revisionssicherheit geprüft wird.
Für zwei E-Mails wurden beispielhaft die Verifikationsberichte ausgeworfen.
Bei einer manipulierten E-Mail wies die dem Heinlein Mail-Archiv zugrunde
liegende Software Archisoft unter der Überschrift „Dokumentengruppe“, dort
„Dokument“, darauf hin, dass die im Dokument genannte Größe nicht in der
archivierten E-Mail enthalten ist. Dies wird mit einem Rot unterlegten Andre-
askreuz gekennzeichnet. Dagegen wird bei einem Verifikationsbericht einer
nicht manipulierten E-Mail an gleicher Stelle ein blauer Haken gezeigt. Wie
/..

Seite 15
bereits oben ausgeführt, ist Basis der Revisionssicherheit die Kombination aus
E-Mail-Inhalt und Zeitstempel in Form eines Hash-Algorithmus.
An dieser Stelle ist darauf hinzuweisen, dass alle an einem Tag gespeicherten
E-Mails nicht getrennt und einzeln mit einem Zeitstempel versehen werden,
sondern einmal oder mehrmals pro Tag einen jeweils einheitlichen Zeitstem-
pel erhalten. Daher ergibt sich auch der Hinweis mit der Ampelfarbe „Gelb“,
der auf den noch fehlenden Zeitstempel hindeutet.
Dies entspricht den unter Ziff. 1. beschriebenen rechtlichen Vorgaben. Der
Gesetzgeber und auch das Bundesfinanzministerium haben nicht einen Zeit-
rahmen festgelegt, innerhalb dessen eine ein- oder ausgehende E-Mail revisi-
onssicher in das Archiv-System einzubringen ist.
Dies wird auch durch die vom VOI-Verband Organisations- und Informations-
systeme e.V. aufgestellten Merksätze zur revisionssicheren elektronischen
Archivierung bestätigt. Diese Merksätze definieren die Anforderungen an die
Ordnungsmäßigkeit beim Betrieb einer elektronischen Archiv-Lösung und be-
rücksichtigen die in der GoBS und der GDPdU aufgestellten Grundsätze. Im
Merksatz 3 heißt es:
„Jedes Dokument ist zum organisatorisch frühestmöglichen Zeitpunkt
zu archivieren.“
Ausführend wird dann auf Folgendes hingewiesen:
„Dieser Merksatz entspricht zum einen dem Prinzip der zeitnahen
Verarbeitung und Ablage von Dokumenten. Zum anderen gewährleistet
ein elektronisches Archivsystem die Vollständigkeit, Integrität
und Verfügbarkeit der Dokumente in der Regel auf einem deutlich
höheren Sicherheitsniveau im Vergleich zu anderen Prozessschritten
der Dokumentenerfassung und -bearbeitung. Daher empfiehlt
sich eine möglichst frühe Archivierung.“
Sowohl bei den gesendeten als auch eingegangenen Mails lassen sich diese
vollständig mit Absender oder Empfänger, dem Betreff, dem Inhalt und ggf.
den Anhängen aufrufen.
/..

Seite 16
Mit dem vorliegend geprüften Programm Heinlein Mail-Archiv werden folgende
weitere Merksätze des VOI zur revisionssicheren und elektronischen Archivie-
rung eingehalten:
- Jedes Dokument muss in angemessener Zeit wiedergefunden und
reproduziert werden können.
- Jede ändernde Aktion im elektronischen Archivsystem muss für Berechtigte
nachvollziehbar protokolliert werden.
Die Protokollierung konnte anhand zweier Beispiel-Mails nachvollzogen wer-
den. Nachträgliche Änderungen waren erkennbar, so dass entsprechend den
gesetzlichen Anforderungen Manipulationen sichtbar sind.
Nach den uns von der Heinlein Professional Linux Support GmbH vorgelegten
Informationen kann das technische Verfahren im Heinlein Mail-Archiv durch
einen sachverständigen Dritten jederzeit geprüft werden. Sie ist vom jeweils
das Heinlein Mail-Archiv einsetzende Unternehmen korrekt in dessen Organi-
sations- und Netzwerkstruktur einzubinden.
Weiterführende Informationen zu der Software Archisoft finden Sie unter:
http://www.sit.fraunhofer.de/forschungsbereich/tad/archisoft.jsp
http://esiqia.com/index.php?id=302&no_cache=1&sword_list[]=archisoft
/..

Seite 17
3. Ergebnis des Rechtsgutachtens
Zusammenfassend ist festzustellen, dass mit dem Heinlein Mail-Archiv der Nutzer
die technischen Voraussetzungen hat, um eine Mail-Archivierung entsprechend den
handelsrechtlichen und steuerrechtlichen Vorgaben einzurichten. An dieser Stelle
sei dem Unterzeichner eine nicht-juristische Anmerkung gestattet. Das Heinlein
Mail-Archiv erscheint vom Handling und vom Aufbau sehr benutzerfreundlich und
überzeugte den Unterzeichner durch leichte Bedienbarkeit.
Allerdings darf an dieser Stelle noch einmal darauf hingewiesen werden, dass allein
die technische Organisation der E-Mail-Archivierung nicht ausreichend ist, um allen
rechtlichen Anforderungen Genüge zu tun. Daher soll abschließend auf die Merk-
sätze des VOI zur revisionssicheren elektronischen Archivierung verwiesen werden,
die unabhängig von der technischen Lösung mit dem Heinlein Mail-Archiv Anforde-
rungen an die jeweiligen Unternehmen stellen, die E-Mail-Archivierung rechtssicher
installieren möchten:
- Die Archivierung hat vollständig zu erfolgen
- kein Dokument darf auf dem Wege ins Archiv oder im Archiv selbst
verloren gehen.
Das Heinlein Mail-Archiv stellt sicher, dass im Archiv selbst kein Dokument verloren
geht. Auf dem Weg ins Archiv ist vom jeweiligen Unternehmen sicherzustellen, dass
kein Verlust eintritt.
Das Heinlein Mail-Archiv arbeitet auf Basis von SMTP oder entsprechenden
Journaling-Schnittstellen und wird idealerweise in den Mail-Strom zwischen
Empfangsrelay und Mail- oder Groupwareserver platziert. Eine gescheiterte Speicherung
führt dazu, dass keine E-Mails weitergeleitet werden, sondern sich diese
vor dem Archiv stauen, bis eine Speicherung wieder erfolgen kann. Dadurch ist sichergestellt,
dass keine E-Mail am Archiv vorbei verloren geht.
- Jedes Dokument muss mit seinem Original übereinstimmen und unverändert
archiviert werden.
Auch hier bietet das Heinlein Mail-Archiv als technische Lösung die notwendige Basis, um
darauf die organisatorischen Strukturen aufzubauen. Wichtig ist, dass im Unternehmen
vor der Archivierung keine E-Mails verändert werden. Hier sollte auch im Einzelnen dokumentiert
werden, wie die E-Mail-Archivierung organisiert ist. In der Dokumentation ist
darzulegen, wie die ein- und ausgehenden E-Mails ohne Veränderung den Weg in das
Heinlein Mail-Archiv finden.
/..

Seite 18
- Jedes Dokument darf nur von entsprechend berechtigten Benutzern
eingesehen werden.
Das Unternehmen, das das Heinlein Mail-Archiv einsetzt, muss ein entsprechendes Berechtigungskonzept
erstellen, um diesen Merksatz einzuhalten.
- Jedes Dokument darf frühestens nach Ablauf seiner Aufbewahrungsfrist
vernichtet, d.h. aus dem Archiv gelöscht werden.
Auch dieser Merksatz ist mit einem entsprechenden Organisationskonzept im Unternehmen
zu hinterlegen und umzusetzen.
- Bei allen Migrationen und Änderungen am Archiv-System muss die
Einhaltung aller zuvor aufgeführten Grundsätze sichergestellt werden.
-
Sicherlich werden nicht über einen Zeitraum von 10 Jahren die jeweils eingesetzte Software
und Hardware unverändert bleiben. Hier hat das Heinlein Mail-Archiv aufgrund der
technischen Umsetzung eine gute Basis geschaffen, um auch die Langzeit-Archivierung
rechtssicher zu ermöglichen. Insbesondere ist festzuhalten, dass die genutzte Software
ArchiSoft in der Lage ist, die bei einer Langzeitarchivierung zwangsweise veraltenden
Kryptographie-Mechanismen zu verwalten und revisionssicher durch jeweils aktuelle neue
Mechanismen zu ersetzen.
Auf Basis des Heinlein Mail-Archivs lässt sich daher mit den weiteren notwendigen orga-
nisatorischen Maßnahmen eine rechtssichere E-Mail-Archivierung problemlos organisie-
ren.