E-Mail-Archivierungspflicht für Heilpraktiker – Wie archiviere ich E-Mails rechtssicher?

Das Thema „E-Mail-Archivierungspflicht“ stellt sowohl in technischer als auch in rechtlicher Hinsicht eine große Herausforderung für Heilpraktiker dar. Die rechtlichen Vorgaben befinden sich ebenso wie die technischen Umstände in einer ständigen Weiterentwicklung. Zudem steht die Archivierung von E-Mails in einem Spanungsverhältnis zu den Vorgaben des Datenschutzes, welcher eine möglichst sparsame Datensammlung fordert.

Ziel dieser Ausführungen ist es deshalb nicht, eine 100%ig rechtssichere Lösung zu schildern. Vielmehr möchte ich auf die „Basics“ aufmerksam machen und grundlegende Hilfestellungen geben. Auch hier gilt: Lassen Sie sich nicht durch aggressive Werbung einzelner IT-Anbietern zu Vertragsschlüssen drängen. Eine „einfache“ Lösung kann aktuell niemand bieten. Es gilt jeweils die Vor- und Nachteile sorgfältig abzuwägen.

Andererseits ist es wichtig, sich grundsätzlich mit der Thematik zu befassen. Betriebsprüfer werden in Zukunft kaum Verständnis dafür haben, dass sich ein Heilpraktiker mit der Thematik nicht ansatzweise beschäftigt hat. Jede Praxis sollte ein System der E-Mail-Archivierung einführen, auch wenn dieses möglicherweise rechtlich (noch) nicht perfekt ist.

Die folgenden Ausführungen gelten sinngemäß für Heilpraktikerschulen, Verbände, Fachgesellschaften etc.

1.) Was sind die GoBD?

Die Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD) enthalten formelle und materielle Anforderungen an die Buchführung. Materiell ordnungsmäßig sind Bücher und Aufzeichnungen grundsätzlich dann, wenn die Geschäftsvorfälle nachvollziehbar, vollständig, richtig, zeitgerecht und geordnet in ihrer Auswirkung erfasst und anschließend gebucht bzw. verarbeitet sind.

Die GoBD sind ein unbestimmter Rechtsbegriff, der insbesondere durch Rechtsnormen und Rechtsprechung geprägt ist und von der Rechtsprechung und Verwaltung jeweils im Einzelnen auszulegen und anzuwenden ist. Die GoBD können sich durch gutachterliche Stellungnahmen, Handelsbrauch, ständige Übung, Gewohnheitsrecht, organisatorische und technische Änderungen weiterentwickeln und sind einem Wandel unterworfen.

Die aktuelle Fassung wurde im Zusammenwirken zwischen Finanzverwaltungen von Bund und Ländern, Wirtschaftsverbänden und den steuerberatenden Berufen abgestimmt. Sie ist im Internet abrufbar: http://www.bundesfinanzministerium.de/Content/DE/Downloads/BMF_Schreiben/Weitere_Steuerthemen/Abgabenordnung/Datenzugriff_GDPdU/2014-11-14-GoBD.html

2.) Wer ist für die Einhaltung der GoBD verantwortlich?

Für die Ordnungsmäßigkeit elektronischer Bücher und sonst erforderlicher elektronischer Aufzeichnungen einschließlich der eingesetzten Verfahren ist allein der steuerpflichtige Heilpraktiker verantwortlich. Dies gilt auch dann, wenn ein Steuerberater mit der Buchführung betraut wurde.

3.) Warum müssen E-Mails archiviert werden?

 Die GoBD gelten auch für Heilpraktiker. Denn auch Steuerpflichtige, die nach § 4 Absatz 3 EStG als Gewinn den Überschuss der Betriebseinnahmen über die Betriebsausgaben ansetzen, sind verpflichtet, Aufzeichnungen und Unterlagen nach § 147 Absatz 1 AO aufzubewahren (BFH-Urteil vom 24. Juni 2009, BStBl II 2010 S. 452; BFH-Urteil vom 26. Februar 2004, BStBl II S. 599).

Die GOBD sehen folgende Regelung vor:

Sind aufzeichnungs- und aufbewahrungspflichtige Daten, Datensätze, elektronische Dokumente und elektronische Unterlagen im Unternehmen entstanden oder dort eingegangen, sind sie auch in dieser Form aufzubewahren und dürfen vor Ablauf der Aufbewahrungsfrist nicht gelöscht werden. Sie dürfen daher nicht mehr ausschließlich in ausgedruckter Form aufbewahrt werden und müssen für die Dauer der Aufbewahrungsfrist unveränderbar erhalten bleiben (z. B. per E-Mail eingegangene Rechnung im PDF-Format oder eingescannte Papierbelege). (…)

4.) Welche E-Mails müssen archiviert werden?

Es sind alle Unterlagen aufzubewahren, die zum Verständnis und zur Überprüfung der für die Besteuerung gesetzlich vorgeschriebenen Aufzeichnungen im Einzelfall von Bedeutung sind (vgl. BFH-Urteil vom 24. Juni 2009, BStBl II 2010 S. 452). Dies gilt insbesondere für Handels- oder Geschäftsbriefe. Hierunter versteht man alle Schreiben, durch die ein Geschäft vorbereitet, abgewickelt, abgeschlossen oder rückgängig gemacht wird. (z.B. Rechnungen, Zahlungsbelege, Verträge.)

Die GoBD sehen folgende Regelung vor:

Bei den Daten und Dokumenten ist – wie bei den Informationen in Papierbelegen – auf deren Inhalt und auf deren Funktion abzustellen, nicht auf deren Bezeichnung. So sind beispielsweise E-Mails mit der Funktion eines Handels- oder Geschäftsbriefs oder eines Buchungsbelegs in elektronischer Form aufbewahrungspflichtig. Dient eine E-Mail nur als „Transportmittel“, z. B. für eine angehängte elektronische Rechnung, und enthält darüber hinaus keine weitergehenden aufbewahrungspflichtigen Informationen, so ist diese nicht aufbewahrungspflichtig (wie der bisherige Papierbriefumschlag).

Im zuletzt genannten Fall reicht es aus, dass die Rechnung (der E-Mail-Anhang) im Originalformat aufbewahrt wird. In keinem Fall reicht es jedoch aus, lediglich die E-Mail auszudrucken und den Ausdruck zu archivieren. Beinhaltet die E-Mail weitere Informationen zur Rechnung, so ist diese selbst – als Geschäftsbrief – archivierungspflichtig. E-Mail-Anhänge sind immer dann zu archivieren, wenn sie zum Verständnis der E-Mail erforderlich sind.

In der Praxis ist die Abgrenzung zwischen archivierungsfreien und archivierungspflichtigen E-Mails schwierig. Im Zweifel sollte eine E-Mail archiviert werden. Allerdings sollten auch nicht sämtliche E-Mails automatisch archiviert werden. Denn aus Gründen des Datenschutzes sind manche E-Mails zwingend „löschpflichtig“. Dies gilt z.B. für PDF-Bewerbungsunterlagen. Sofern Mitarbeiter private E-Mails schreiben, sind diese ebenfalls von der Archivierung auszunehmen. Auch aus diesem Grund ist ein Arbeitgeber gut beraten, eine private E-Mailnutzung der geschäftlichen Adresse zu untersagen. Auch die Filterung von Spam-E-Mails bereitet bei der automatischen Archivierung Probleme.

5.) Wie müssen E-Mails archiviert werden? Ist spezielle Software erforderlich?

Wichtig ist: Das E-Mail-System und das E-Mail-Programm (z.B. Outlook, Thunderbird) als solches sind keine geeignete Lösung zur rechtssicheren E-Mailarchivierung. Denn hier können die nachfolgend genannten Anforderungen nicht eingehalten werden. Es reicht deshalb nicht aus, schlichtweg sämtliche E-Mails im Empfangsordner zu belassen oder dort zu speichern.

Die GoBD verlangen Folgendes:

Eingehende elektronische Handels- oder Geschäftsbriefe und Buchungsbelege müssen in dem Format aufbewahrt werden, in dem sie empfangen wurden (z. B. Rechnungen oder Kontoauszüge im PDF- oder Bildformat).

Demnach sind bei der Führung von Büchern in elektronischer oder in Papierform und sonst erforderlicher Aufzeichnungen in elektronischer oder in Papierform im Sinne der Rzn. 3 bis 5 die folgenden Anforderungen zu beachten:

  • Grundsatz der Nachvollziehbarkeit und Nachprüfbarkeit
  • Grundsätze der Wahrheit, Klarheit und fortlaufenden Aufzeichnung:
    – Vollständigkeit,
    –  Richtigkeit,
    – zeitgerechte Buchungen und Aufzeichnungen,
    – Ordnung,
    Unveränderbarkeit

Für die E-Mail-Archivierung ist insbesondere der Punkt „Unveränderbarkeit“ wichtig.

Laut GoBD gilt:

Eine Buchung oder eine Aufzeichnung darf nicht in einer Weise verändert werden, dass der ursprüngliche Inhalt nicht mehr feststellbar ist. Auch solche Veränderungen dürfen nicht vorgenommen werden, deren Beschaffenheit es ungewiss lässt, ob sie ursprünglich oder erst später gemacht worden sind (§ 146 Absatz 4 AO, § 239 Absatz 3 HGB).

Die Unveränderbarkeit der Daten, Datensätze, elektronischen Dokumente und elektronischen Unterlagen (vgl. Rzn. 3 bis 5) kann sowohl hardwaremäßig (z. B. unveränderbare und fälschungssichere Datenträger) als auch softwaremäßig (z. B. Sicherungen, Sperren, Festschreibung, Löschmerker, automatische Protokollierung, Historisierungen, Versionierungen) als auch organisatorisch (z. B. mittels Zugriffsberechtigungskonzepten) gewährleistet werden. Die Ablage von Daten und elektronischen Dokumenten in einem Dateisystem erfüllt die Anforderungen der Unveränderbarkeit regelmäßig nicht, soweit nicht zusätzliche Maßnahmen ergriffen werden, die eine Unveränderbarkeit gewährleisten.

Diese Anforderungen bedingen den Einsatz spezieller Software. Der Einsatz von Dokumentenmanagement- oder Archivierungssystemen ist deshalb ratsam. Diese Programme sind in der Lage, den Nachweis der Unveränderbarkeit der Daten zu führen. Dabei ist darauf zu achten, die E-Mails einem konkreten Geschäftsvorfall oder Buchungsbeleg zuzuordnen.

Welche konkrete Softwarelösung sinnvoll ist, kann nur im jeweiligen Einzelfall beantwortet werden. Gemeinschaftspraxen haben andere Anforderungen als ein einzelner Heilpraktiker ohne Personal. Folgende Kriterien können bei einer Entscheidung jedoch herangezogen werden:

a) Gewährleistet der Anbieter den erforderlichen Datenschutz?

b) Wie lange existiert der Anbieter bereits? Da die Archivierung über einen langen Zeitraum erfolgt, sollte der Anbieter noch in 10 Jahren existieren. Andernfalls können technische Schwierigkeiten auftreten, weil die Software nicht weiterentwickelt wird. Eine Exportfunktion kann hier nützlich sein.

c) Soll die Archivierung automatisch erfolgen oder durch individuelle Auswahl der archivierungspflichtigen E-Mails?

Bei einer automatischen Archivierung aller E-Mails muss ein Datenschutzkonzept sicherstellen, dass E-Mails, die nicht archiviert werden dürfen, von der Archivierung ausgenommen bleiben. Sofern bei einem Heilpraktiker die archivierungsfreien E-Mails überwiegen, dürfte eine selbständige Auswahl der archivierungspflichtigen E-Mails möglich sein. Bei einer größeren Anzahl von E-Mails stellt sich hingegen die Frage der Praxistauglichkeit einer eigenständigen Auswahl. Hier dürften die Vorteile der umfassenden automatisierten Archivierung überwiegen.

d) Soll die Archivierung in der Cloud oder auf einem lokalen Computer erfolgen?

Der Vorteil der Cloud-Archivierung liegt in der damit verbundenen Datensicherheit, die Daten werden dort meist automatisch gegen Datenverlust gesichert. Der Nachteil liegt darin, dass eine datenschutzrechtlich relevante Auftragsdatenverarbeitung erfolgt. Zudem erhält der Anbieter potentiellen Zugriff auf Ihre E-Mail-Korrespondenz. Manche Anbieter untersagen den Nutzern zudem jede spätere Änderung des Archivs, um die Revisionssicherheit zu gewährleisten. Hier droht der Verlust der Kontrolle über die geschäftliche Korrespondenz. Die Cloud-Lösung muss zudem gegenüber dem Patienten datenschutzrechtlich abgesichert sein. Ferner ist die Schweigepflicht zu wahren.

Es bleibt festzuhalten: Eine erhöhte Revisionssicherheit der Archivierung führt zu einem Konflikt mit datenschutzrechtlichen Vorgaben sowie einem Kontrollverlust. Diese Kriterien gilt es bei der jeweiligen Lösung auszugleichen. Aus rechtlicher Sicht erscheint eine lokale Archivierung, die auf einer individuellen Auswahl der E-Mails basiert vorzugswürdig. Es stellt sich jedoch die Frage, ob dies in der Praxis umsetzbar ist. Eine umfassende automatisierte lokale Archivierung nebst Datenschutzkonzept dürfte ebenfalls in Betracht zu ziehen sein. Eine Cloud-Lösung sollte rechtlich abgesichert sein.

6.) Wie lange müssen E-Mails archiviert werden?

Die Aufbewahrungsfristen können § 147 AO entnommen werden. Hiernach gilt:

(1) Die folgenden Unterlagen sind geordnet aufzubewahren:

  1. Bücher und Aufzeichnungen, Inventare, Jahresabschlüsse, Lageberichte, die Eröffnungsbilanz sowie die zu ihrem Verständnis erforderlichen Arbeitsanweisungen und sonstigen Organisationsunterlagen,
  2. die empfangenen Handels- oder Geschäftsbriefe,
  3. Wiedergaben der abgesandten Handels- oder Geschäftsbriefe,
  4. Buchungsbelege,
    4a. Unterlagen nach Artikel 15 Absatz 1 und Artikel 163 des Zollkodex der Union,
  1. sonstige Unterlagen, soweit sie für die Besteuerung von Bedeutung sind.(…)

(3) Die in Absatz 1 Nr. 1, 4 und 4a aufgeführten Unterlagen sind zehn Jahre, die sonstigen in Absatz 1 aufgeführten Unterlagen sechs Jahre aufzubewahren, sofern nicht in anderen Steuergesetzen kürzere Aufbewahrungsfristen zugelassen sind.

7.) Was ist eine Verfahrensdokumentation?

Eine Verfahrensdokumentation beschreibt den organisatorischen und technischen Prozess der Entstehung, Indizierung, Speicherung, dem eindeutigen Wiederfinden, der Absicherung gegen Verlust und Verfälschung und der Reproduktion der archivierungspflichtigen Daten.

Nach der GoBD gilt:

Da sich die Ordnungsmäßigkeit neben den elektronischen Büchern und sonst erforderlichen Aufzeichnungen auch auf die damit in Zusammenhang stehenden Verfahren und Bereiche des DV-Systems bezieht (siehe unter 3.), muss für jedes DV-System eine übersichtlich gegliederte Verfahrensdokumentation vorhanden sein, aus der Inhalt, Aufbau, Ablauf und Ergebnisse des DV-Verfahrens vollständig und schlüssig ersichtlich sind. Der Umfang der im Einzelfall erforderlichen Dokumentation wird dadurch bestimmt, was zum Verständnis des DV-Verfahrens, der Bücher und Aufzeichnungen sowie der aufbewahrten Unterlagen notwendig ist. Die Verfahrensdokumentation muss verständlich und damit für einen sachverständigen Dritten in angemessener Zeit nachprüfbar sein. Die konkrete Ausgestaltung der Verfahrensdokumentation ist abhängig von der Komplexität und Diversifikation der Geschäftstätigkeit und der Organisationsstruktur sowie des eingesetzten DV-Systems.

Die Verfahrensdokumentation beschreibt den organisatorisch und technisch gewollten Prozess, z. B. bei elektronischen Dokumenten von der Entstehung der Informationen über die Indizierung, Verarbeitung und Speicherung, dem eindeutigen Wiederfinden und der maschinellen Auswertbarkeit, der Absicherung gegen Verlust und Verfälschung und der Reproduktion.

Die Verfahrensdokumentation besteht in der Regel aus einer allgemeinen Beschreibung, einer Anwenderdokumentation, einer technischen Systemdokumentation und einer Betriebsdokumentation.

Für den Zeitraum der Aufbewahrungsfrist muss gewährleistet und nachgewiesen sein, dass das in der Dokumentation beschriebene Verfahren dem in der Praxis eingesetzten Verfahren voll entspricht. Dies gilt insbesondere für die eingesetzten Versionen der Programme (Programmidentität). Die Verfahrensdokumentation ist bei Änderungen zu versionieren und eine nachvollziehbare Änderungshistorie vorzuhalten. Aus der Verfahrensdokumentation muss sich ergeben, wie die Ordnungsvorschriften (z. B. §§ 145 ff. AO, §§ 238 ff. HGB) und damit die in diesem Schreiben enthaltenen Anforderungen beachtet werden. Die Aufbewahrungsfrist für die Verfahrensdokumentation läuft nicht ab, soweit und solange die Aufbewahrungsfrist für die Unterlagen noch nicht abgelaufen ist, zu deren Verständnis sie erforderlich ist.

Soweit eine fehlende oder ungenügende Verfahrensdokumentation die Nachvollziehbarkeit und Nachprüfbarkeit nicht beeinträchtigt, liegt kein formeller Mangel mit sachlichem Gewicht vor, der zum Verwerfen der Buchführung führen kann.

Es ist deshalb erforderlich, den Empfang und Versand von steuerlich relevanten E-Mails in einer Verfahrensdokumentation zu beschreiben. In Ihrer Verfahrensdokumentation sollte zudem geschildert werden, wie archivierungspflichtige E-Mails erfasst, empfangen, verarbeitet, ausgegeben und aufbewahrt werden.

8.) Welche Rolle spielt die IT-Sicherheit?

Die Frage der E-Mail-Archivierung ist von der Frage der IT-Sicherheit, insbesondere der Datensicherung zu trennen. Eine Datensicherung dient dem Schutz vor einem Verlust der Daten, z.B. durch eine versehentliche Löschung oder einem Defekt der Soft- oder Hardware.

Auch hier stellen die GoBD konkrete Anforderungen. So gilt:

Der Steuerpflichtige hat sein DV-System gegen Verlust (z. B. Unauffindbarkeit, Vernichtung, Untergang und Diebstahl) zu sichern und gegen unberechtigte Eingaben und Veränderungen (z. B. durch Zugangs- und Zugriffskontrollen) zu schützen. Werden die Daten, Datensätze, elektronischen Dokumente und elektronischen Unterlagen nicht ausreichend geschützt und können deswegen nicht mehr vorgelegt werden, so ist die Buchführung formell nicht mehr ordnungsmäßig.

Aus diesen Gründen ist eine gute IT-Sicherheitsstruktur und ein geregeltes Konzept zur Datensicherung erforderlich.

9.) Fazit

Heilpraktiker haben E-Mails, die die Funktion eines Geschäftsbriefs übernehmen, rechtssicher zu archivieren. Hierbei sind die Vorgaben der GoBD einzuhalten. Je nach Ausgestaltung der Heilpraktiker-Praxis ist ein individuelles Konzept zur E-Mail-Archivierung zu erstellen.

Lassen Sie sich nicht durch die Drohung mit Bußgeldern zu einem überteuerten Vertragsschluss drängen. Informieren Sie sich sorgfältig und wägen Sie dann ab. Nur auf dieser informierten Basis können Sie unterscheiden, welche Angebote sinnvoll sind. Gerade das Thema SSL-Verschlüsselung hat gezeigt, wie unseriöse Anbieter ein wichtiges Thema zum Geschäftsmodell machen.

Sollten Sie zum Thema E-Mail-Archivierung weitergehende Fragen haben, stehe ich Ihnen gern zur Verfügung. Um eine möglichst neutrale Sichtweise zu bewahren, möchte ich an dieser Stelle kein konkretes Software-Produkt empfehlen. Es finden sich auf dem Markt jedoch eine Reihe geeigneter Softwareangebote.