Anhang C Rechtssichere E-Mail-Archivierung GoBD ersetzen GDPdU und GoBS
Das Bundesfinanzministerium hat am 14.11.2014 das Schreiben zu den „Grundsätzen zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD)” veröffentlicht.
Das Schreiben konkretisiert die Normen aus der Abgabenordnung (AO) und dem Umsatzsteuergesetz (UStG) und bestimmt, wie digitale Unterlagen aufbewahrt werden sollen, damit das Finanzamt bei einer Betriebsprüfung auf diese Informationen zugreifen kann. Die GoBD gelten ab dem 1.1.2015 und lösen die „Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU)", das „FAQ zum Datenzugriffsrecht der Finanzverwaltung” sowie die „Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS)” ab.
Die bisherigen Regelungen konnten aufgrund des technischen Fortschritts viele Fragen nicht mehr beantworten. Mit der Veröffentlichung der GoBD wurde eine Aktualisierung vorgenommen und die bisherigen Schreiben in einem Dokument zusammengefasst.
Welche Änderungen betreffen die E-Mail-Archivierung?
Hier sind vor allem zwei Aspekte der GoBD besonders relevant:
die Unveränderbarkeit der Daten
das Vorhandensein einer Verfahrensdokumentation
Die Unveränderbarkeit der Daten kann bei durch verschiedene Mechanismen sichergestellt werden:
Die Archivierung aller E-Mails sofort bei Ein- und Ausgang (z.B. über Journalarchivierung), dass E-Mails vor der Archivierung nicht manipuliert werden können. Bei dieser Archivierungsmethode werden alle E-Mails archiviert, bevor sie Anwendern zugestellt werden.
Die archivierten Daten werden durch unverändert und unveränderbar in einen komprimierten und verschlüsselten „Store” abgelegt und sind so vor Manipulation geschützt.
Die Verfahrensdokumentation beschreibt den gesamten technischen und organisatorischen Prozess der Entstehung (Erfassung), der Indizierung, der Speicherung, dem eindeutigen Wiederfinden, der Absicherung gegen Verlust und Verfälschung und der Reproduktion der archivierten Informationen, die nach Handelsrecht und steuerrechtlichen Vorgaben aufbewahrt werden müssen.
Die Aufzeichnungen sollten laut GoBD in der Regel aus einer allgemeinen Beschreibung, einer Anwenderdokumentation, einer technischen Systemdokumentation und einer Betriebsdokumentation bestehen und helfen unabhängigen Dritten den ordnungsgemäßen Einsatz z. B. einer Archivierungslösung zu überprüfen.
CI-Archive berücksichtigt die GoBD
Rechtlicher Hinweis
Dieses Dokument dient lediglich der Information und stellt keine Rechtsberatung dar. Im konkreten Einzelfall wenden Sie sich bitte an einen spezialisierten Rechtsanwalt. Eine Gewähr und Haftung für die Richtigkeit aller Angaben wird nicht übernommen.
GDPdU - Zugrunde liegende Vorschrift
Die aktuellen gesetzlichen Anforderungen hat das Bundesfinanzministerium (BMF) in den Fragen und Antworten zum Datenzugriffsrecht der Finanzverwaltung vom 22. Januar 2009 konkretisiert. Hier heißt es:
"E-Mails, die für die Besteuerung von Bedeutung sind, sind nach den allgemeinen Vorschriften des § 147 AO aufzubewahren. Eine (elektronisch übersandte) E-Mail stellt ein originär digitales Dokument dar, das für den Datenzugriff im Originalformat maschinell auswertbar vorgehalten werden muss. Dies gilt beispielsweise für eine per E-Mail übermittelte Reisekostenabrechnung in einem Tabellenkalkulationsformat."
Auszug der Fragen und Antworten – Relevanz zum CI-Archive
Betrifft teilweise nur GDPdU-Relevanz und befreit nicht von gesetzlichen Vorgaben.
Auszug 9. Unter welchen Voraussetzungen und in welchen Formaten müssen E-Mails archiviert oder für den
Datenzugriff bereitgehalten werden?
E-Mails, die für die Besteuerung von Bedeutung sind, sind nach den allgemeinen Vorschriften des § 147 AO aufzubewahren. Eine (elektronisch übersandte) E-Mail stellt ein originär digitales Dokument dar, das für den Datenzugriff im Originalformat maschinell auswertbar vorgehalten werden muss. Dies gilt beispielsweise für eine per E-Mail übermittelte Reisekostenabrechnung in einem Tabellenkalkulationsformat.
Nach den GoBS (Abschnitt VIII. „Wiedergabe der auf Datenträgern geführten Unterlagen”) sind auch E-Mails als originär digitale Dokumente mit einem unveränderbaren Index zu versehen, unter dem das archivierte digitale Dokument bearbeitet und verwaltet werden kann.
Hinsichtlich der maschinellen Auswertbarkeit ist jedoch nicht entscheidend, ob die per E-Mail übermittelten Daten automatisiert Eingang in das verwendete Buchhaltungssystem gefunden haben oder im betrieblichen DV-System Importfunktionen zur Übernahme von steuerlich relevanten Daten aus dem Textkörper von E-Mails oder angehängter Dateien vorhanden sind. Als Beispiel sei eine E-Mail aufgeführt, die steuerlich relevante Vertragsgestaltungen enthält. Über den nach GoBS geforderten Index ist der elektronische Zugriff auf die im Originalformat zu archivierende E-Mail auch in solchen Fällen sicherzustellen.
E-Mails mit nicht steuerlich relevanten Inhalten müssen hingegen weder archiviert noch für den Datenzugriff vorgehalten werden.
Auszug 10. Dürfen Daten im Archiv auch nach In-Kraft-Treten des Rechts auf Datenzugriff verschlüsselt werden?
Ja. Hierdurch dürfen jedoch die maschinelle Auswertbarkeit sowie die Lesbarmachung der Daten nicht beeinträchtigt werden. Eine Installation der im Unternehmen verwendeten Entschlüsselungsprogramme auf DV-Systemen der Finanzverwaltung oder Laptops der Prüfer ist nicht möglich. Beim Datenzugriff in Form der Datenträgerüberlassung muss deshalb die Entschlüsselung der übergebenen steuerlich relevanten Daten spätestens bei der Datenübernahme auf Systeme der Finanzverwaltung erfolgen.
Auszug 11. Auf welchen Speichermedien darf archiviert werden?
Für den Datenzugriff sind die neuen Archivierungsvorschriften in Abschnitt III der „GDPdU” zu beachten.
Daneben gelten die allgemeinen Aufbewahrungsvorschriften der Abgabenordnung. § 147 Abs. 2 AO enthält Bestimmungen zur Form der Aufbewahrung. Die Regelung ist bewusst so gefasst worden, dass sie keine bestimmte Technologie oder Speichermedien vorschreibt. Empfangene Handels- oder Geschäftsbriefe und Buchungsbelege dürfen nur auf solchen DV-Systemen aufbewahrt werden, die es technisch ermöglichen, dass bei ihrer Wiedergabe eine bildliche Übereinstimmung mit dem Original gegeben ist. Bei den anderen Unterlagen genügt eine inhaltliche Übereinstimmung. Nähere Regelungen zur Datensicherheit (z. B. Schutz vor unberechtigter Veränderung, Verlust, Vernichtung der Datenträger) enthält Tz. 5 der Grundsätze ordnungsgemäßer DV-gestützter Buchführungssysteme
– GoBS – (Bundessteuerblatt 1995 Teil I S. 738 ff.).
Originär digitale Unterlagen sind während der gesamten gesetzlichen Aufbewahrungsfrist in maschinell auswertbarer Form vorzuhalten. Eine alleinige Aufzeichnung auf Mikrofilm oder Papier reicht nicht mehr aus. Sofern der digitale Datenbestand nicht während der gesamten Aufbewahrungsfrist zwecks maschineller Auswertung vorgehalten wird, entspricht ein derartiges Archivierungskonzept nicht den Anforderungen der „GDPdU”.
Auszug 12. Unter welchen Voraussetzungen ist ein Archivsystem „GDPdU-konform”?
a) Sofern das Archivsystem lediglich zur Archivierung und [Wiedereinspielung von Daten]{.underline} in das Produktivsystem genutzt wird, stellt sich die Frage nach einer „GDPdU-Konformität” des Archivsystems nicht, da in diesem Fall der Datenzugriff (alle drei Varianten) vom Produktivsystem zu realisieren ist.
b) Soll hingegen aus dem Archivsystem heraus der Datenzugriff erfolgen, gilt Folgendes: Die nach § 147 Abs. 2 Nr. 2 AO geforderte „maschinelle Auswertbarkeit” von Daten ist durch ein Archivsystem nur sichergestellt bzw. gegeben, wenn das Archivsystem in quantitativer und qualitativer Hinsicht die gleichen Auswertungen ermöglicht als wären die Daten (einschl. Auswertungstools) noch im Produktivsystem. Für die Datenträgerüberlassung setzt dies auch voraus, dass die Daten mit den benötigten Strukturinformationen (s. Abschn. I Nr. 2 c der GDPdU) des spezifischen Buchhaltungssystems auf maschinell verwertbaren Datenträgern bereitgestellt werden können.
- Hinweis zum CI-Archive und Stellungnahme zum Auszug 12:
CI-Archive entspricht neben den gesetzlichen Anforderungen auch in den geforderten Punkten der GDPdU. Stand zur Aussage bezugnehmend auf Fragen und Antworten zum Datenzugriffsrecht der Finanzverwaltung 22. Januar 2009. – entspricht Aktueller Stand März 2011