E-Mail Archivierung ein Leitfaden

Rechtssichere E-Mail- Archivierung nach GoBD

Das folgende Dokument stellt eine Zusammenfassung aus unterschiedlichen Quellen dar.

Es soll Ihnen als Entscheidungsgrundlage und zur Unterstützung bei einer möglichen Umsetzung dienen. Dieses Dokument dient lediglich der Information und stellt keine Rechtsberatung dar. Es handelt sich lediglich um eine allgemeine Einführung ohne Anspruch auf Vollständigkeit. Im konkreten Einzelfall wenden Sie sich bitte an einen spezialisierten Rechtsanwalt. Eine Gewähr und Haftung für die Richtigkeit aller Angaben wird nicht übernommen.

Die E-Mail-Archivierung bietet nicht nur zahlreiche technische und wirtschaftliche Vorteile. Sie kann für viele Unternehmen zudem eine zwingende Notwendigkeit darstellen. Geltende rechtliche Anforderungen können grundsätzlich nicht ohne eine technische Lösung erfüllt werden. Besonders der rechtliche Aspekt der Archivierung ist sehr vielschichtig. Darüber hinaus fehlt es an zwingend vorgeschriebenen Methoden, die rechtlichen Anforderungen einzuhalten.
 


Grundlegende Fragen

Was muss archiviert werden?

Gemäß § 147 der Abgabenordnung - AO sind folgende Unterlagen geordnet aufzubewahren:

  • Bücher und Aufzeichnungen, Inventare, Jahresabschlüsse, Lageberichte, die Eröffnungsbilanz sowie die zu ihrem Verständnis erforderlichen Arbeitsanweisungen und sonstigen Organisationsunterlagen
  • Die empfangenen Handels- oder Geschäftsbriefe
  • Wiedergaben der abgesandten Handels- oder Geschäftsbriefe
  • Buchungsbelege
  • Unterlagen nach Art. 15 Abs. 1 und Art. 163 des Zollkodex der Union
  • Sonstige Unterlagen, soweit sie für die Besteuerung von Bedeutung sind.

Dazu gehört insbesondere jegliche nach außen gerichtete Korrespondenz, durch die ein Geschäft vorbereitet, abgeschlossen, abgewickelt oder rückgängig gemacht wird.

Beispiele sind Rechnungen, Angebote und Auftragsbestätigungen, Mängelrügen und Reklamationsschreiben, Zahlungsbelege und Verträge. Ebenfalls erfasst sind Mitteilungen zwischen Unternehmen desselben Konzerns oder solche, die nur eine einmalige Kontaktaufnahme bezwecken. All dies gilt auch dann, wenn diese Korrespondenz per E-Mail versendet wird. Daneben existieren jedoch noch weitere Vorschriften, die eine Aufbewahrung von Unterlagen verlangen. Sie sind z. B. in § 257 des Handelsgesetzbuchs (HGB)3, § 8 des Geldwäschegesetzes und § 50 der Bundesrechtsanwaltsordnung geregelt.

Archivierung von Dateianhängen

E-Mail-Anhänge müssen ebenfalls archiviert werden, sollte die E-Mail ohne diese Anlagen unverständlich oder unvollständig sein. Im umgekehrten Fall, wenn also die E-Mail nur zur Übertragung eines Anhangs dient, ist die E-Mail selbst zwar nicht aufbewahrungspflichtig – wohl aber der jeweilige Anhang.

In der Praxis

Angesichts der Masse täglich empfangener und versendeter E-Mails ist eine Einteilung in archivierungspflichtige und nicht archivierungspflichtige E-Mails in der Regel nur mit erheblichem Aufwand möglich. Es werden daher oft einfach alle E-Mails archiviert. Dies kann ein Unternehmen jedoch in Konflikt mit anderen Gesetzen bringen. Es entsteht möglicher Weise ein Konflikt zwischen Datenschutz und E-Mail-Archivierung.

Wie lange müssen E-Mails aufbewahrt werden?

Die Aufbewahrungsfristen ergeben sich u. a. aus § 257 Abs. 4, 5 HGB6 und § 147 Abs. 3, 4 AO. Auszugsweise gilt das Folgende:

Bücher, Aufzeichnungen, Inventare, Jahresabschlüsse, Lageberichte, Eröffnungsbilanzen, die zu ihrem Verständnis erforderlichen Arbeitsanweisungen und organisatorischen Unterlagen sowie Buchungsbelege und Unterlagen nach Art. 15 Abs. 1 und Art. 163 des Zollkodex der Union müssen grundsätzlich zehn Jahre lang aufbewahrt werden.

Empfangene Handels- oder Geschäftsbriefe, Wiedergaben der abgesandten Handels- oder Geschäftsbriefe sowie sonstige Unterlagen, soweit sie für die Besteuerung von Bedeutung sind, müssen grundsätzlich sechs Jahre lang aufbewahrt werden.

Die Fristen beginnen mit Schluss des Kalenderjahres, in dem die Handels- oder Geschäftsbriefe versendet oder empfangen wurden oder die sonstigen Unterlagen entstanden sind, aufgestellt wurden bzw. die letzte Eintragung gemacht oder eine Aufzeichnung vorgenommen wurde.

Die Aufbewahrungsfrist läuft jedoch nicht ab, soweit und solange die Unterlagen für Steuern von Bedeutung sind, für die die Festsetzungsfrist noch nicht abgelaufen ist. In der Praxis wird daher häufig eine regelmäßige Aufbewahrungsfrist von elf Jahren angenommen. 

Wer trägt die Verantwortung und welche Konsequenzen drohen?

Die Verantwortung für die ordnungsgemäße Umsetzung der rechtlichen Anforderungen zur Aufbewahrung von E-Mails liegt zunächst bei der Geschäftsleitung eines Unternehmens. Kommt diese ihrer Pflicht nicht nach, drohen gegebenenfalls zivilrechtliche, verwaltungsrechtliche und/oder sogar strafrechtliche Konsequenzen.

  • § 162 AO: steuerliche Konsequenzen, wie Schätzung durch das Finanzamt oder Festsetzung von Zuschlägen
  • § 283 StGB: Eine Freiheitsstrafe von bis zu fünf Jahren oder eine Geldstrafe erhält, wer – neben weiteren Voraussetzungen – bei Überschuldung oder Zahlungsunfähigkeit aufbewahrungspflichtige Unterlagen beiseiteschafft, verheimlicht, zerstört oder beschädigt
  • § 280 ff. BGB und § 241 Abs. 2 BGB: Schadensersatzansprüche aufgrund von schuldhaften Pflichtverletzungen
  • § 35 GewO, z. B. in Verbindung mit § 6 GmbHG: verwaltungsrechtliche Konsequenzen wie der Verlust der Zuverlässigkeit bzw. die Gewerbeuntersagung, sodass eine Person etwa nicht mehr als Geschäftsführer einer GmbH tätig sein darf

Kann eine E-Mail als Beweis genutzt werden?

In Deutschland gilt die Formfreiheit von Verträgen, sofern Gesetze oder Parteivereinbarungen dem nicht entgegenstehen. Verträge können somit mittels E-Mail abgeschlossen werden. Auch wenn im Zivilrecht keine Pflicht zur systematischen Ablage und Aufbewahrung besteht, ist die Archivierung für Unternehmen aus Gründen der Beweisführung empfehlenswert.

Abgesehen von den bereits genannten gesetzlichen Pflichten, ist es ratsam, E-Mails zu archivieren, um bei gerichtlichen Auseinandersetzungen auf diese Dokumente zurückzugreifen.

Die Beweiskraft elektronischer Dokumente ist im gesamten europäischen Rechtsraum durch die so genannte eIDASVerordnung gestärkt worden. In Deutschland sind auf E-Mails mit qualifizierter elektronischer Signatur zudem nach § 371 a Abs. 1 S. 1 ZPO die Vorschriften über die Beweiskraft privater Urkunden entsprechend anzuwenden. Eine solche Signatur ersetzt also die Unterschrift des Ausstellers. Im Rahmen der freien richterlichen Beweiswürdigung genießen E-Mails ohne qualifizierte elektronische Signatur zwar nicht den gleichen Status wie eine Urkunde, jedoch kann nach § 371 Abs. 1 S. 2 ZPO der Beweis mit einer E-Mail als elektronischem Dokument grundsätzlich aber in Form des Augenscheinbeweises angetreten werden.

Oft sind E-Mails der einzige Nachweis für Absprachen zwischen den Streitparteien. So liefern sie in diesem Zusammenhang wichtige Indizien zu Aussteller, Empfänger, Absende- und Zugangsdatum sowie zu vereinbarten Vertragsinhalten, sofern sie in nicht manipulierter Form und mit dem ursprünglichen Inhalt vorliegen.


Anforderungen an eine revisionssichere E-Mail-Archivierung

Allgemeine Anforderungen an eine revisionssichere E-Mail-Archivierung ergeben sich insbesondere aus den Ordnungsvorschriften für die Buchführung und für Aufzeichnungen (§ 145 ff. AO) sowie den Vorgaben zur Führung der Handelsbücher (§ 238 ff. HGB), welche die 

  • Vollständigkeit
  • Richtigkeit
  • Zeitgerechtheit
  • Unveränderbarkeit
  • Ordnung
  • Nachvollziehbarkeit

bei der Führung der Handelsbücher und sonstiger erforderlicher Aufzeichnungen in den Vordergrund stellen.

Das Bundesfinanzministerium hat am 28. November 2019 das Schreiben zu den „Grundsätzen zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD)“ aktualisiert. Diese so genannte Verwaltungsvorschrift konkretisiert die Normen aus der Abgabenordnung und dem Umsatzsteuergesetz (UStG) und bestimmt, wie digitale Unterlagen aufbewahrt werden sollen, u. a. damit das jeweils zuständige Finanzamt bei einer Betriebsprüfung auf diese Informationen zugreifen kann. Die GoBD haben die „Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU)“, das „FAQ zum Datenzugriffsrecht der Finanzverwaltung“ sowie die „Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS)“ abgelöst. Folgende Aspekte der GoBD sind für die revisionssichere Archivierung von E-Mails besonders zu beachten: 

Grundsätzlich müssen alle relevanten E-Mails und deren Dateianhänge vollständig, manipulationssicher und jederzeit verfügbar aufbewahrt werden. Weiterhin müssen die Daten maschinell auswertbar sein. Eine alleinige Aufzeichnung auf Mikrofilm oder Papier ist nicht ausreichend, da dies den Anforderungen an die (jederzeitige) maschinelle Auswertbarkeit nicht genügt. Weiterhin stellt eine Langzeitarchivierung im verwendeten E-Mail-System keine geeignete Lösung dar, da die Anforderungen an die Ordnungsmäßigkeit (insbesondere Unveränderbarkeit und Nachvollziehbarkeit) schwerlich erfüllt werden können. Wenn Rechnungen oder Buchungsbelege auf elektronischem Wege eingegangen sind, genügt die Aufbewahrung der tatsächlich weiterverarbeiteten Formate, soweit diese über die höchste maschinelle Auswertbarkeit verfügen. Diese Formate alleine erfüllen die Belegfunktion, wenn sie mit dem vollständigen, originalen Inhalt gespeichert werden.

Eine Umwandlung in ein anderes Format (z. B. Inhouse-Format) zum Zwecke der Archivierung ist nur zulässig, wenn die maschinelle Auswertbarkeit nicht eingeschränkt und keine inhaltliche Veränderung vorgenommen wird (Grundsatz der Unveränderbarkeit). Wird eine E-Mail beispielsweise als PDF-Datei gespeichert, so gehen dabei gegebenenfalls die Informationen des Headers (z. B. Informationen zum Absender, Zustelldatum etc.) verloren und sind somit nicht mehr ohne weiteres nachvollziehbar.

Sofern beispielsweise eine Gelangensbestätigung als Nachweis der Steuerbefreiung bei innergemeinschaftlichen Lieferungen per E-Mail übermittelt wird, verlangen die Finanzbehörden für den Nachweis der Herkunft eine sichere Aufbewahrung der kompletten E-Mail samt Anhang im elektronischen Original. Es gelten also dieselben steuerrechtlichen Anforderungen wie für die Aufbewahrung elektronischer Rechnungen, die sich bekanntlich aus der AO, dem UStG und der Umsatzsteuer-Durchführungsverordnung (UStDV) ergeben.

Aufzeichnungs- und aufbewahrungspflichtige Daten, Datensätze, elektronische Dokumente und elektronische Unterlagen, die im Unternehmen entstanden oder dort eingegangen sind, sind ebenfalls in dieser Form aufzubewahren und dürfen vor Ablauf der Aufbewahrungsfrist nicht gelöscht werden. Eine Aufbewahrung ausschließlich in ausgedruckter Form ist nicht zulässig. Die Dokumente müssen für die Dauer der Aufbewahrungsfrist unveränderbar erhalten bleiben. Dies gilt unabhängig davon, ob die Aufbewahrung im Produktivsystem oder durch Auslagerung in ein anderes DV-System erfolgt. Es ist dabei auch nicht relevant, ob es sich bei dem betreffenden DV-System um eigene Hard- oder Software oder eine Cloud-Lösung handelt. Unter Zumutbarkeitsgesichtspunkten ist es jedoch nicht zu beanstanden, wenn der Steuerpflichtige elektronisch erstellte und in Papierform abgesandte Handels- und Geschäftsbriefe nur in Papierform aufbewahrt.

Das Archivierungsverfahren für E-Mails unterliegt nach den GoBD der Verpflichtung zu einer Verfahrensdokumentation, die auch als Teil der generellen Verfahrensdokumentation des Archiv- bzw. Dokumentenmanagementsystems umgesetzt werden kann. Hierbei sollten jedoch die für die E-Mail-Archivierung spezifischen Aspekte, wie beispielsweise Regelungen zu Spam, Konvertierungseinstellungen, Beschreibung der Maßnahmen zur Sicherung der Vollständigkeit, Unveränderbarkeit, Nachvollziehbarkeit, und maschinellen Auswertbarkeit, berücksichtigt werden. Die „Merksätze des Verbandes Organisations- und Informationssysteme e. V. zur revisionssicheren elektronischen Archivierung“ erläutern, was dies konkret für die Archivierung elektronischer Dokumente bedeutet:

  • Jedes Dokument muss nach Maßgabe der rechtlichen und organisations-internen Anforderungen ordnungsgemäß aufbewahrt werden.
  • Die Archivierung hat vollständig zu erfolgen – kein Dokument darf auf dem Weg ins Archiv oder im Archiv selbst verloren gehen.
  • Jedes Dokument ist zum organisatorisch frühestmöglichen Zeitpunkt zu archivieren.       
  • Jedes Dokument muss mit seinem Original übereinstimmen und unveränderbar archiviert werden.
  • Jedes Dokument darf nur von entsprechend berechtigten Benutzern eingesehen werden.
  • Jedes Dokument muss in angemessener Zeit wiedergefunden und reproduziert werden können.
  • Jedes Dokument darf frühestens nach Ablauf seiner Aufbewahrungsfrist vernichtet, d. h. aus dem Archiv gelöscht werden.
  • Jede ändernde Aktion im elektronischen Archivsystem muss für Berechtigte nachvollziehbar protokolliert werden.
  • Das gesamte organisatorische und technische Verfahren der Archivierung kann von einem sachverständigen Dritten jederzeit geprüft werden.
  • Bei allen Migrationen und Änderungen am Archivsystem muss die Einhaltung aller zuvor aufgeführten Grundsätze sichergestellt sein.

Was ist zu beachten, wenn aufbewahrungspflichtige E-Mails verschlüsselt archiviert werden?

Es muss sichergestellt sein, dass der Prüfer bei einer Datenträgerüberlassung auf die Daten zugreifen kann und die maschinelle Auswertbarkeit gewährleistet ist. Die Entschlüsselung der übergebenen steuerlich relevanten Daten muss "spätestens bei der Datenübernahme auf Systeme der Finanzverwaltung" erfolgen.

Dürfen E-Mails aus dem Archiv gelöscht werden?

Ja, grundsätzlich ist es möglich und nicht zwingend unzulässig E-Mails aus dem Archiv zu löschen, solange dies nicht mit der gesetzlich geforderten Vollständigkeit und Dauer der Aufbewahrung in Konflikt steht. So dürfen beispielsweise Spam-E-Mails aus dem Archiv entfernt werden. In der Praxis ist es jedoch schwierig, zwischen archivierungspflichtigen und nicht archivierungspflichtigen E-Mails zu unterscheiden, weswegen die meisten Systeme wohl standardmäßig so konfiguriert sein dürften, dass sie alle E-Mails archivieren.

Datensicherheit bei der E-Mail-Archivierung

Die GoBD betonen ferner die Wichtigkeit der Datensicherheit, um eine formell ordnungsmäßige Buchführung sicherzustellen. Daten, Datensätze, elektronische Dokumente und elektronische Unterlagen sind demzufolge ausreichend zu schützen und gegen Verlust (z. B. Unauffindbarkeit, Vernichtung, Untergang und Diebstahl) sowie unberechtigte Eingaben und Veränderungen (z. B. durch Zugangs- und Zugriffskontrollen) zu sichern. Dies dürfte die Einbettung der E-Mail-Archivierungslösung in das IT-Sicherheitskonzept des Unternehmens sowie die Überwachung der Wirksamkeit und Einhaltung der technischen und organisatorischen Vorgaben durch ein effizientes Internes Kontrollsystem (IKS) erfordern. Insbesondere sind bei der Einbettung der E-Mail-Archivierung die allgemeinen IT-Schutzziele Vertraulichkeit (autorisierter Zugriff), Integrität (Schutz vor Veränderungen) und Verfügbarkeit zu beachten.


Konflikte zwischen Datenschutz  und E-Mail-Archivierung vermeiden

Durch die Umsetzung einer Compliance-Strategie, mit deren Hilfe u. a. die gesetzlichen Anforderungen zur Aufbewahrung von E-Mails umgesetzt werden sollen, kann ein Unternehmen unter gewissen Umständen in Konflikt mit anderen rechtlichen Vorschriften geraten. So müssten insbesondere die EU-Datenschutz-Grundverordnung (DSGVO), das Bundesdatenschutzgesetz (BDSG), das Telemediengesetz (TMG), das Telekommunikationsgesetz (TKG), und das jeweilige Landesdatenschutzgesetz beachtet werden.

Automatische Archivierung aller E-Mails sofort bei Ein- und Ausgang

In Anbetracht der Masse der täglich empfangenen und versendeten E-Mails ist eine Kategorisierung in archivierungspflichtige und nicht archivierungspflichtige E-Mails in der Praxis wohl nur mit unverhältnismäßigem Aufwand möglich. Um die Vollständigkeit der Archivierung zu gewährleisten, werden häufig alle E-Mails sofort bei Ein- und Ausgang archiviert. So wird gleichzeitig möglichen Manipulationen vorgebeugt, da Mitarbeiter die digitale Post vor der Archivierung weder verändern noch löschen können. Diese Archivierungsstrategie kann jedoch in Konflikt mit Vorschriften zum Datenschutz stehen. Ist den Arbeitnehmern beispielsweise die private E-Mail Nutzung gestattet, wird der Arbeitgeber sogar als Telekommunikationsanbieter angesehen, sodass ihn besondere Pflichten treffen.

Untersagung der privaten E-Mail-Nutzung

Zur Lösung dieses Problems kann die private E-Mail-Nutzung ausdrücklich untersagt oder die ausschließliche Nutzung externer E-Mail-Dienste vorgeschrieben werden. Um juristisch auf der sicheren Seite zu sein, sollte dies schon zu Beginn des Arbeitsverhältnisses geschehen und schriftlich fixiert, kontrolliert und konsequent durchgesetzt werden. Die schriftliche Fixierung kann z. B. in Richtlinien zur Nutzung der firmeneigenen IT-Infrastruktur, in einer Betriebsvereinbarung, einer Einverständniserklärung der Belegschaft oder im individuellen Anstellungsvertrag erfolgen. Eine sachgerechte E-Mail-Richtlinie sollte den Verarbeitungsprozess einer E-Mail im E-Mail-System über den gesamten Lebenszyklus und Kommunikationsprozess beschreiben und definieren. Dies schließt das oben aufgeführte Verbot der privaten Nutzung der betrieblichen E-Mail-Kommunikationsstrukturen mit ein, das regelmäßig kontrolliert werden sollte, da aus einer Duldung wiederum eventuell eine stillschweigende Erlaubnis abgeleitet werden könnte, die die ursprüngliche Weisung möglicherweise aufhebt (Stichwort „betriebliche Übung“). Dies hätte direkte Auswirkungen auf die Zulässigkeit der automatischen Archivierung von E-Mails.

Ist die Zustimmung zur Archivierung durch eine Betriebsvereinbarung eine Alternative?

Bisweilen wird die Auffassung vertreten, dass die private Nutzung des geschäftlichen E-Mail-Accounts und die E-Mail-Archivierung dann nicht in Konflikt miteinander stehen, wenn die Mitarbeiter – gegebenenfalls mittels einer Betriebsvereinbarung durch den Betriebsrat – der Archivierung explizit zugestimmt bzw. in sie eingewilligt haben. Allgemein betrachtet ist dies auch zutreffend, wie u. a. Erwägungsgrund 155 zur DSGVO klarstellt. Im Detail ist dies jedoch kompliziert. Gibt der Arbeitgeber in einer eigens dafür formulierten Weisung bekannt, dass grundsätzlich alle über den dienstlichen E-Mail-Account empfangenen und versendeten E-Mails archiviert werden, schließt das folglich auch alle privaten, über diesen E-Mail-Account versendeten E-Mails mit ein. Will der Arbeitnehmer nun verhindern, dass private E-Mails archiviert werden, steht es ihm frei, auf den Versand von privaten E-Mails über den dienstlichen E-Mail-Account zu verzichten. Tut er dies nicht, wird sein Unterlassen als konkludente Zustimmung gewertet. Problematisch hierbei ist, dass der Mitarbeiter eine Einwilligung nur in Bezug auf seine eigenen durch das Fernmeldegeheimnis geschützten Rechte erklären kann. Dies gilt jedoch selbstverständlich nicht für einen eventuellen „externen Kommunikationspartner, dessen Nachrichten ja unwissentlich und unwillentlich mitgesichert würden. Da also die E-Mails von Außenstehenden archiviert würden und deren Recht auf Datenschutz verletzt würde, erscheint dieses Vorgehen nicht als zielführende Alternative. Darüber hinaus würde eine solche konkludente Zustimmung keine Rechtsgrundlage für die Archivierung von sensiblen Daten darstellen, welche regelmäßig in privaten E-Mails enthalten sind (vgl. Art. 9 Abs. 2 lit. a DSGVO, welcher eine ausdrückliche Einwilligung voraussetzt). Ferner müsste die Einwilligung freiwillig erfolgen. Freiwilligkeit kann insbesondere vorliegen, wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und beschäftigte Person gleichgelagerte Interessen verfolgen. Schließlich muss die Einwilligung grundsätzlich auch noch in Schriftform, also mit eigenhändiger Originalunterschrift des Beschäftigten, erfolgen.

Konflikte bei dienstlichen E-Mails mit personenbezogenen Inhalten

Es existieren darüber hinaus noch gewisse Unsicherheiten, selbst wenn die private Nutzung der geschäftlichen E-Mail-Accounts explizit untersagt ist: Beispielsweise beinhalten dienstliche E-Mails durchaus häufig datenschutzrechtlich relevante, personenbezogene Inhalte. In diesem Zusammenhang wird gegen eine generelle Archivierung aller Mails beispielhaft die mögliche elektronische Post des Betriebsarztes an einen Mitarbeiter angeführt. Selbstverständlich handelt es sich dabei um vertrauliche und somit schützenswerte Inhalte.

Sonderfall „Bewerbungsunterlagen“

Ein weiteres Beispiel sind Bewerbungsunterlagen. Gemäß dem Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO, § 47 Nr. 5 BDSG) dürfen personenbezogene Daten nur so lange gespeichert werden, wie es erforderlich ist, um den jeweiligen Zweck zu erreichen. Die Speicherung muss in einer Form erfolgen, die die Identifizierung der betroffenen Personen ermöglicht. Dementsprechend ist eine langfristige Aufbewahrung von Bewerbungsunterlagen nach Abschluss des Bewerbungsverfahrens nicht gestattet. Der Bundesbeauftragte für Datenschutz vertritt sogar die Auffassung, dass Bewerberdaten schon nach zwei Monaten zu löschen sind. Andere Stimmen halten eine Aufbewahrung für maximal sechs Monate für zulässig. Man könnte sogar andenken, ob das Bewerbungsschreiben selbst nicht vielleicht ein aufbewahrungspflichtiger Geschäfts- oder Handelsbrief ist und somit gemäß § 147 Abs. 3 AO grundsätzlich sogar sechs Jahre lang aufbewahrt werden müsste.

Sonderfall „E-Mails an den Betriebsrat“

E-Mails an den Betriebsrat stellen ebenfalls besonders schutzwürdige Informationen dar und unterliegen einem besonderen Schutz. 

In der Praxis

Um Konflikte mit dem Datenschutz zu vermeiden, könnten E-Mails mit besonders schutzwürdigen personenbezogenen Inhalten wie Bewerbungsunterlagen oder E-Mails an den Betriebs- oder Personalrat an eine entsprechend eingerichtete E-Mail-Adresse wie zum Beispiel betriebsrat(at)firma.de gesendet werden. Dieses Postfach kann dann z. B. von der Archivierung ausgeschlossen werden. Gleiches kann für den elektronischen Briefverkehr mit dem Datenschutzbeauftragten oder dem Betriebsarzt gelten.

Grauzone: Spam-Filterung vor  der Archivierung

Die Spam-Filterung vor der Archivierung birgt grundsätzlich das Risiko, dass archivierungs-pflichtige E-Mails nicht durch den Spam-Filter und somit auch nicht in das Archiv gelangen. Die Archivierung wäre somit nicht vollständig und streng genommen auch nicht rechtssicher. In der Praxis bestehen dazu drei Handlungsmöglichkeiten:
 

VerfahrenKonsequenzen
Es wird auf die Spam-Filterung vor der Archivierung verzichtetAuf diese Weise ist zwar die Vollständigkeit der Archivierung sichergestellt, jedoch geht dies mit technischen Nachteilen einher. So wird durch das extrem hohe (da ungefilterte) E-Mail-Volumen der Speicherbedarf des Archivs stark erhöht. Die Folge sind höherer Aufwand und höhere Kosten beim Speichermanagement und bei der Datensicherung. Zudem nimmt die Qualität der Suchergebnisse bei der Archivsuche durch den hohen Spam-Anteil deutlich ab.
Empfangene E-Mails werden von einer Anti- Spam-Lösung gefiltert und danach archiviert
 
Auf diese Weise wird zwar der Speicherbedarf des Archivs deutlich verringert und die Qualität von Suchabfragen erhöht, jedoch kann eine vollständige Archivierung aller relevanten E-Mails nicht sichergestellt werden. Diese E-Mails können fälschlicherweise vom Spam-Filter abgewiesen werden. Das Verfahren geht demnach mit einem gewissen rechtlichen Risiko einher. Daher sollten die als Spam identifizierten E-Mails – soweit möglich – in regelmäßigen Abständen kontrolliert werden. Geschäftsrelevante E-Mails, die fälschlicherweise als Spam aussortiert wurden, können in diesem Fall nachträglich archiviert werden.
Als Spam identifizierte E-Mails werden noch vor Annahme durch den eigenen E-Mail-Server abgewiesenSolange als Spam identifizierte E-Mails nicht angenommen werden, besteht auch keine Pflicht zur Verarbeitung oder zur Archivierung dieser E-Mails. Technisch gesehen darf die Annahme der E-Mail nicht mittels Statuscode 250 vom SMTP-Server „quittiert“ werden. In diesem Fall ist nicht der eigene, sondern der zustellende E-Mail-Server für die Versendung des NDR (Non-Delivery Reports) an den Absender verantwortlich.