Unternehmen und öffentliche Verwaltung tragen heute eine schwere Bürde: Nicht allein, dass über bestimmte Zeiträume die steuerrelevanten und sonstigen geschäftskritischen Informationen, darunter insbesondere E-Mails, in revisionssicherer Form – also grundsätzlich vertraulich, unveränderbar und jederzeit verfügbar - aufbewahrt werden müssen. Hinzu kommt, dass die Verantwortlichen für die Sicherheit und Verfügbarkeit der betriebskritischen Daten und Systeme persönlich haften können. Ein effizientes IT-Risiko- und Informationsmanagement (einschließlich der geordneten, jederzeit verfügbaren Aufbewahrung der elektronischen Geschäftspost) ist aber auch aus Gründen der strategischen Rechtssicherheit unabdingbar, insbesondere um sich ggf. für eine künftige Auseinandersetzung beweisrechtlich positionieren zu können.

Indessen greift die uneingeschränkte Kontrolle über betriebliche Datenflüsse ohne geeignete betriebliche Regelungen schnell in die Rechte der Mitarbeiter ein. In diesem Spannungsfeld diametral gegenläufiger Interessen und Rechtspflichten geht der Überblick allzu leicht verloren. Das hat nicht selten die fatale Folge, dass Führungsebene und Mitarbeiterschaft ohne erkennbare Organisation der elektronischen Geschäftsabläufe „vor sich hinwursteln“. Die Sanktionen für Verstöße gegen archivierungsrelevante Aufbewahrungs-, Geheimhaltungs- und Datenschutzpflichten sind freilich erheblich. Dabei kann sich insbesondere ein nachlässiger Umgang mit E-Mails vor dem Hintergrund der Datenschutzgesetze, der kaufmännischen Sorgfaltspflichten des Managements und der Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS) als schadensträchtig erweisen. Weitere Probleme und Besonderheiten ergeben sich bei einem Einsatz von E-Mail im Zusammenhang mit der elektronischen Fakturierung:

Sorgfaltspflichten beim Informationsmanagement

Studien belegen, dass bereits ein zehntägiger Ausfall von Schlüsselsystemen der IT ein Unternehmen regelmäßig so nachhaltig schädigt, dass es mit einer Wahrscheinlichkeit von 50 % innerhalb von 5 Jahren vom Markt verschwindet. Aus dieser und weiterer empirischer Erkenntnisse Erkenntnis heraus besteht nach der Maßgabe einer ganzen Reihe gesetzlicher Vorgaben (KonTraG, Basel II, Sarbanes-Oxley, allgemeine kaufmännische Sorgfaltspflicht etc.) die Verpflichtung zu einem effizienten Risikomanagement (einschließlich des dazugehörigen Informationsmanagements als zentraler Bestandteil jedes Risikomanagementsystems). Dieses Risikomanagement ist originäre Kardinalspflicht der Geschäftsführung. Die E-Mail ist hierbei ein ganz wesentlicher Bestandteil des betriebsinternen Informationsmanagements.

Als so genannte „Handelsbriefe“ unterliegen E-Mails schon von Gesetzes wegen der sechsjährigen Aufbewahrungspflicht des Handelsgesetzbuchs (bzw. in bestimmten Sonderbereichen entsprechenden spezialgesetzlichen Aufbewahrungsnormen). In selteneren Fällen können E-Mails und deren Attachments darüber hinaus steuerrelevant sein. Insbesondere ist hierbei an die Fälle der elektronischen Fakturierung (§ 14 UStG), auf die im nächsten Abschnitt einzugehen sein wird, an die elektronische Belegeverwaltung, Spesen- und Reisekostenabrechnung oder – nach Auffassung des Bundesfinanzministeriums – sogar an steuerrelevante Vertragsgestaltungen zu denken. Folge: Neben der zehnjährigen Aufbewahrungsfrist nach der Abgabenordnung und den GOBS (Grundsätzen ordnungsmäßiger DV-gestützter Buchführungssysteme) sind überdies die seit 2002 in Kraft stehenden GDPdU (Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen mit dem dortigen Erfordernis der wahlfreien maschinellen Auswertbarkeit) einschlägig und vom Steuerpflichtigen zu beachten.

Jenseits der in den GDPdU geforderten maschinellen Auswertbarkeit sind in Bezug auf die Aufbewahrungsart jedoch die GoBS die maßgebliche Vorschrift, insoweit es sich bei E-Mails um originär digitale Unterlagen handelt. Demnach ist die elektronische Post durch Übertragung der Inhalts- und Formatierungsdaten auf einem Datenträger zu archivieren und mit einem unveränderbaren Index zu versehen. Für die elektronische Aufbewahrung unter GDPdU-Gesichtspunkten ist dabei entscheidend, ob die E-Mail selbst steuerrelevante Informationen beinhaltet oder ob sie nur als Trägermedium für eine steuerrelevante Information fungiert. Im Kontext der digitalen Außenprüfung geht es also bei der Aufbewahrungspflicht von E-Mails mit steuerlicher Relevanz darum, mittels Recherche auf solche E-Mails lesend zuzugreifen, die einen steuerrelevanten Inhalt besitzen, und die gegebenenfalls diesen E-Mails beigefügten Attachments lesen bzw. auswerten zu können.

Elektronische Fakturierung per E-Mail

Steuerrelevanz ist offensichtlich gegeben wenn eine Rechnung per E-Mail gesendet wird. Neben den diversen Vorgaben aus Abgabenordnung, GoBS und GDPdU, die generell für Rechnungen gelten, wird für elektronische Rechnungen zusätzlich eine „Qualifizierte Elektronische Signatur“ verlangt (§14 Abs. 3 UStG), wenn Vorsteuerabzug erfolgen soll. Grundlage dafür war die so genannte EU-Rechnungsrichtlinie (2001/115/EG), die Signaturen zur Sicherstellung der „Echtheit der Herkunft“ und der „Unversehrtheit des Inhalts“ empfiehlt. Damit sollte eigentlich eine europaweit einheitliche Verfahrensweise gegeben sein. Dies ist jedoch nur ansatzweise der Fall, weil die nationalen Umsetzungen stark schwanken, z.B. wird nicht überall eine „qualifizierte“ Signatur, also die maximale Sicherheit, verlangt.

Gravierender als die nationalen Eigenheiten sind jedoch die Fragestellungen der praktischen Umsetzung. Beispielweise stellt sich zunächst mal die Frage: Was ist eigentlich die Rechnung? Muss beispielsweise eine Mail signiert sein, nur weil eine Rechnung angehängt ist? Wie bereits oben geschildert, hängt dies vom Inhalt der Mail ab. E-Mails, die nur als Trägermedium für eine im Anhang befindliche Rechnung dienen und selbst keinerlei vorgangsrelevante Informationen enthalten, müssen weder signiert noch aufbewahrt werden. Sobald jedoch Ergänzungen, Erläuterungen etc. enthalten sind, gelten zumindest die o.g. Anforderungen der GoBS. Ist die E-Mail gar selbst die Rechnung muss sie nicht nur die GoBS erfüllen, sondern eben auch qualifiziert signiert sein.

Weiterhin ist die GDPdU dann auch für die E-Mail, also nicht nur den Anhang, zu beachten. Die GDPdU macht dabei Vorgaben nicht nur für den Versender, sondern auch für den Empfänger einer elektronischen Abrechnung. Der Empfänger muss die Signatur, also die „Unversehrtheit des Inhalts“ (Integrität) und die „Echtheit der Herkunft“ (Authentizität) prüfen, das Prüfungsergebnis protokollieren und alle Elemente über die gesamte Aufbewahrungsfrist, also derzeit 10 Jahre gemäß GoBS archivieren. Im Extremfall besteht der Rechnungsvorgang dann aus der E-Mail, einem oder mehreren Rechnungsanhängen, der Signatur und dem Prüfprotokoll, die alle zusammen „revisionssicher“ aufzubewahren sind. Dabei wurde bereits unterstellt, dass – wie üblich – das Zertifikat und der öffentliche Schlüssel des Versenders in der Signatur enthalten sind, denn auch deren Aufbewahrung verlangt die GDPdU.

Erfolgt die Übertragung der E-Mail verschlüsselt oder erfolgen andere Konvertierungen auf Sender- oder Empfängerseite (wie z.B. bei EDI üblich) ist die Archivierung sowohl der eingehenden als auch der umgewandelten bzw. entschlüsselten Formate sowie ggf. der Schlüssel erforderlich. Zwar gibt es auch verschiedene Möglichkeiten der Zusammenfassung. So können mehrere Rechnungen zusammengefasst versendet und auch als Ganzes signiert werden. Dennoch: Aus einem „einfachen Rechnungspapier“ kann in der elektronischen Welt ein recht komplexes Gebilde werden, welches nur durch wohl definierte Abläufe und eine entsprechend angepasste technische Unterstützung sicher gehandhabt werden kann. Dabei können Nachlässigkeiten gravierende Folgen haben. Stellt sich beispielsweise im Nachhinein eine Signatur als ungültig heraus, so war evtl. der Vorsteuerabzug nicht gerechtfertigt und kann – evtl. mit Verzinsung – vom Finanzamt verlangt werden.