Nachbesserungsbedarf bei der Archivierung
Firmen ignorieren Dokumentation
Rechtliche Vorschriften zwingen die Unternehmen zur revisionssicheren Archivierung ihrer aufbewahrungspflichtigen Unterlagen - auch der E-Mails. Doch schon der Weg ins digitale Lager muss einer Überprüfung standhalten können, so der Tenor auf dem Konradin-Techforum zu den Themen Archivierung und Compliance.
Seit fast sieben Jahren gelten die GDPdU (Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen) nun schon, doch noch immer herrscht bezüglich dieses Themas viel Unklarheit in den Unternehmen. Denn nicht jeder Betriebsprüfer stöbert tatsächlich schon in den digitalen Unterlagen, wie Martin Lamm, Steuerberater bei der Kanzlei Peters Schönberger und Partner, auf dem Konradin-Techforum zu Archivierung und Compliance berichtete. Da aber vor allem die älteren Finanzbeamten noch auf die traditionelle Art prüfen, sei es nur eine Frage der Zeit, bis die Kontrolle der elektronischen Steuerdaten verstärkt praktiziert werde.
Unternehmen sollten sich daher dringend bewusst machen, welche Daten gemäß den GDPdU vorzuhalten sind. Und das sind laut Lamm ausschließlich aufbewahrungspflichtige Unterlagen, die steuerlich relevant, originär elektronisch und maschinell auswertbar sind. Nur auf diese darf der Betriebsprüfer Zugriff verlangen, wenn er elektronische Daten in seine Kontrolle mit einbezieht. Dies schließe auch digitalisierte - also eingescannte - Papierdokumente mit ein, so Lamm.
E-Mails dagegen sind für die elektronische Steuerprüfung nur in bestimmten Fällen aufzubewahren. Denn generell handelt es sich bei den digitalen Nachrichten nach Meinung von Lamm nicht um maschinell auswertbare Dateien - es sei denn, eine Mail besitzt eine elektronische Signatur oder einen maschinell auswertbaren Anhang. Nur solche E-Mails müssten vorgehalten werden - zumindest, wenn es nach den GDPdU geht.
Wichtige Verfahrensdokumentation
Weiter reichende Folgen haben jedoch die Grundsätze ordnungsgemäßer DV-gestützter Buchführungssysteme (GoBS), so Lamm. Nach diesen Grundsätzen seien alle geschäftlichen Mails zu archivieren - und zwar unveränderbar. Rechtsanwalt Robert Niedermeier von der Kanzlei Heussen stimmt zu: "Bei E-Mails handelt es sich prinzipiell um Geschäftsbriefe, die entsprechend behandelt werden müssen". Ein Unternehmen sollte deshalb seine gesamte digitale Geschäftspost revisionssicher und für mindestens zehn Jahre in einem Archiv lagern.
Dabei muss die Firma darlegen können, dass Inhalte auf dem Weg ins digitale Lager nicht verändert wurden. Dies bezieht sich auf alle aufbewahrungspflichtigen Unterlagen. "Ein Archivsystem ist nicht an sich GoBS-konform", stellte Lamm klar. Notwendig sei eine entsprechende Verfahrensdokumentation, die aber in vielen Unternehmen vernachlässigt werde.
Niedermeier rät daher, rechtlich relevante Dokumente gleich am Posteingang zu archivieren, bevor diese auf ihrem Weg durch die Firma verändert werden können. Was das für den Umgang mit E-Mails bedeutet, erklärt Rainer Schulz, Geschäftsführer des Mail-Managementspezialisten Globolog. Er empfiehlt, einen Mail-Proxy-Server einzusetzen, der bereits in der demilitarisierten Zone des Firmennetzes die elektronischen Nachrichten archiviert. So sei die digitale Post vor versehentlichem Löschen oder Manipulation geschützt.
Dann jedoch werden alle eingehenden E-Mails archiviert. Und Experten wie Rolf Schlagintweit, Datenschutzexperte beim Consulting-Haus Verimax, warnen davor, dass in einem solchen Fall auch private Nachrichten aufbewahrt werden. Hier, so die Referenten, könne man mit einem Verbot privater Mails gegensteuern, aber auch auf andere Weise: zum Beispiel durch die Einführung spezieller Ordner oder die Kennzeichnung aller privaten Mails in der Betreffzeile. Wichtig sei in erster Linie, dass es klare Regeln gibt und deren Befolgung kontrolliert wird.
Kontrolle ist auch wichtig, wenn es um das Firmennetz generell geht. Laut Oliver Roeschke, IT-Security-Consultant bei ERNW, können Lösungen für die Netzzugangskontrolle (NAC) wertvolle Dienste leisten, um den Compliance-Grad im Netzwerk zu messen. Dabei stünden die Reporting-Funktionen der Systeme im Vordergrund. Sie dienten dazu, Compliance-relevante Informationen über die eingebundenen Endgeräte zu sammeln.
Lesen Sie mehr zum Thema
