E-Mail-Archivierung nach GoBD
Dass Unternehmer Rechnungen aufbewahren müssen, ist bekannt. Weniger bekannt ist die Aufbewahrungspflicht von E-Mails. Die GoBD stellt präzise Anforderungen an die Archivierung der elektronischen Korrespondenz. Für Onlinehändler oder andere Gewerbetreibende ist es gut, die wichtigsten Regeln zu kennen. Wer elektronische Nachrichten prüfungssicher speichert, geht kein Risiko ein.
Was ist die GoBD?
GoBD ist die Abkürzung für Grundsätze der ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff
. Hierbei handelt es sich letztlich nur um eine interne Verwaltungsvorschrift ohne unmittelbare Rechtswirkung für den Unternehmer. Doch die Grundsätze stellen im Einzelnen die praktische Ausgestaltung gesetzlicher Regelungen klar – zum Beispiel des Handelsgesetzbuchs (HGB) oder der Abgabenordnung (AO).
Tipp: Um auf Nummer sicher zu gehen, sollte man sich als Gewerbetreibender, Onlinehändler oder anderer Unternehmer mit den wichtigsten Punkten vertraut machen, die sich auf die E-Mail-Archivierung beziehen.
Wozu dient die E-Mail-Archivierung?
Die GoBD-Aufbewahrungspflichten haben vor allem den Sinn, Prüfungen durch das Finanzamt zu erleichtern. Deshalb besteht zum Beispiel die Pflicht, alle Mails zu indexieren – also nach einem klaren System zu ordnen. Der Steuerprüfer muss die Möglichkeit haben, jede Nachricht eindeutig einem bestimmten Geschäftsvorfall oder Buchungsbeleg zuordnen zu können.
Das Wichtigste zur E-Mail-Archivierung
Bei der E-Mail-Aufbewahrung sind vor allem diese drei Punkte besonders wichtig:
- Nicht nur Rechnungen, auch Mails müssen archiviert werden.
- Alle Mails müssen im Originalformat aufbewahrt werden – also in elektronischer Form. Das Ausdrucken einer elektronischen Nachricht ersetzt nicht diese Aufbewahrungspflicht.
- Die Pflicht zur E-Mail-Archivierung besteht unabhängig von der Größe des Unternehmens. Sie betrifft auch Gewerbetreibende als Einzelunternehmer.
Welche Nachrichten sind aufzubewahren?
Die Faustregel für die E-Mail-Archivierung ist einfach:
Jeder Beleg, der in der Buchhaltung berücksichtigt wird, muss GoBD-konform archiviert werden.
Aufzubewahren sind also letztlich alle Nachrichten, die eine geschäftliche (und keine private) Relevanz haben. Das sind zum Beispiel:
- Auftragsbestätigungen,
- Verträge,
- Zahlungsbelege,
- Lieferpapiere,
- Rechnungen.
Nicht archiviert werden müssen elektronische Nachrichten, über die letztlich kein Geschäft zustande gekommen ist und die auch steuerlich nicht relevant sind. Wer allerdings in seiner Steuererklärung Ausgaben für vergebliche Anfragen geltend macht, muss auch die Korrespondenz archivieren, die sich darauf bezieht.
Welche Bestandteile der Mail sind archivierungspflichtig?
Dient eine Mail lediglich als Transportmittel für eine Datei (Beispiel: Rechnung in PDF-Form), kann diese Datei isoliert aufbewahrt werden, zum Beispiel auf einem Server oder in der Cloud. Wichtig ist auch hier, die Datei in der Originalform zu archivieren – also digital. Ein Ausdruck allein reicht nicht.
Aufbewahrungspflichtig sind Text, Anhänge und E-Mail-Attribute. Sobald eine E-Mail entschlüsselt wird, ist diese auch entschlüsselt aufzubewahren.
Was bedeutet Manipulationssicherheit?
Eine große Rolle spielt nach den offiziellen Grundsätzen die Unveränderbarkeit der Nachricht. Die reine Aufbewahrung im Mailsystem ist dafür in der Regel nicht ausreichend, wenn keine zusätzlichen Sicherungen vorgenommen werden. Insbesondere für größere Unternehmen bieten sich Dokumenten-Management-Systeme für die E-Mail-Aufbewahrung an, die das Nachvollziehen jeder Änderung ganz einfach machen.
Wie lange müssen Mails aufbewahrt werden?
Alle ein- und ausgehenden Mails müssen also vollständig, originalgetreu, jederzeit ohne Hindernisse verfügbar und manipulationssicher aufbewahrt werden. Doch für wie lange? Dies richtet sich nach der Abgabenordnung. Für Rechnungen und Buchungsbelege gelten 10 Jahre, für Handels- und Geschäftsbriefe 6 Jahre.
Tipp: Sicherheitshalber sollte man auf diese Unterscheidung verzichten und die 10-Jahres-Regelung für alle Dokumente anwenden. Dies vereinfacht den Arbeitsaufwand für die Archivierung erheblich.
Wo werden die Daten gespeichert?
Die Cloud ist ein zulässiger Speicherplatz für Geschäfts-E-Mails. Ein bestimmter Server ist nicht erforderlich, weil das Gesetz keinen Ort für die Speicherung vorschreibt. Entscheidend ist, dass die bereits genannten vier Anforderungen an die Aufbewahrung gewährleistet sind:
- Originaltreue,
- Vollständigkeit,
- Manipulationssicherheit,
- jederzeitige Verfügbarkeit.
Die Manipulationssicherheit wird dabei vor allem durch die Verschlüsselung von Daten gewährleistet.
Wichtig: Das Backup allein ist kein GoBD-konformer Speicher, sondern dient nur der Möglichkeit, verloren gegangene Daten wiederherzustellen.
Dateien umwandeln – was gilt es zu beachten?
Grundsätzlich ist jede Datei in dem Format aufzubewahren, in dem sie eingegangen ist. Umwandlungen sind nur dann zulässig, wenn die maschinelle Lesbarkeit dadurch nicht beeinträchtigt wird. Wichtig ist dies insbesondere für die Möglichkeit einer Volltextsuche.
Beispiel: Wenn eine Rechnung im PDF/A-Format als E-Mail-Anhang in ein JPG-Format umgewandelt wird, werden die der PDF-Datei zugrunde liegenden XML-Daten gelöscht. Das durch die Umwandlung entstandene JPG-Bild ist für eine Volltextsuche nicht mehr geeignet.
Die Möglichkeit der Volltextsuche in Mails durch einen Prüfer des Finanzamts macht auch klar, warum private und geschäftliche E-Mails streng getrennt aufzubewahren sind.
Welche Mails dürfen nicht archiviert werden?
Nicht jede Mail muss archiviert und nicht jede Mail darf archiviert werden. Letzteres betrifft insbesondere private Nachrichten von Mitarbeitern, soweit diese der Aufbewahrung nicht zugestimmt haben. Die Trennung von Geschäfts-E-Mails und privaten Nachrichten ist strikt einzuhalten, um nicht gegen datenschutzrechtliche Bestimmungen zu verstoßen.
Tipp: Je größer das Unternehmen, umso größer ist auch die Zahl der ein- und ausgehenden Mails. Es ist mit einem erheblichen Arbeitsaufwand verbunden, jede Nachricht daraufhin zu prüfen, ob sie geschäftlich (also zu archivieren) oder privat ist. Eine sichere Trennung von privaten und geschäftlichen Mails kann deshalb nur durch das strikte Verbot privater Mails erreicht werden.