Wenn es um das Thema E-Mail Archivierung und Compliance geht, stellen sich Unternehmen häufig die gleichen Fragen. Diese haben wir gesammelt und beantworten nun in unserer Compliance Reihe jeden Monat eine Frage nach der anderen. Thomas Feil, Fachanwalt für IT-Recht (www.recht-freundlich.de), hilft uns dabei. Nachdem wir im letzten Monat herausgefunden haben, ob E-Mails wirklich archiviert werden müssen, geht es heute um die Dauer der Aufbewahrung.
Auf die einfache Frage, wie lange E-Mails zu archivieren sind, gibt es leider keine einfache Antwort. Die Regelungen des Handelsgesetzbuches, die insbesondere Handelsbriefe betreffen, müssen sechs Jahre lang aufbewahrt werden. Die steuerlichen Vorschriften verlangen gemäß Abgabenordnung, dass E-Mails zehn Jahre lang aufbewahrt werden.
In der Praxis ist die Abgrenzung zwischen den steuerlich relevanten E-Mails und den „nur“ handelsrechtlich relevanten E-Mails schwierig und der Übergang fließend. Aus diesem Grund wird vielfach bei Unternehmen generell auf alle E-Mails die längere, sprich zehnjährige Aufbewahrungspflicht angewandt. Die Aufbewahrungsfrist beginnt am Ende des Kalenderjahres und dauert dann zehn Jahre. Insoweit müssen einige E-Mails bis zu elf Jahren aufbewahrt werden.
Daneben gibt es noch diverse rechtliche Vorschriften für Behörden und Unternehmen, die sehr unterschiedliche Aufbewahrungspflichten festlegen. Beispielsweise müssen medizinische Behandlungsakten zehn Jahre aufbewahrt werden, Unterlagen aus einer Röntgenbehandlung 30 Jahre und Lebensversicherungspolicen über 100 Jahre. Dies bedeutet, dass jedes Unternehmen und jede Behörde sich auf die Suche begeben muss, welche konkreten rechtlichen Anforderungen an die Archivierungsfrist anzuwenden sind. Gegebenenfalls ist pro Fachbereich oder Fachanwendung jeweils eine unterschiedliche technische Lösung und eine unterschiedliche Archivierungsfrist festzulegen.
Neben der Frage, wie lange E-Mails archiviert werden müssen, ist auch der Aspekt der Löschung zu betrachten. Beispielsweise verlangt das Datenschutzrecht, dass E-Mails gelöscht werden, wenn die gesetzliche Archivierungsfrist abgelaufen ist. Dies bedeutet für Unternehmen und Behörden, dass nicht nur die Archivierung, sondern auch die Löschung von E-Mails entsprechend den gesetzlichen Anforderungen organisiert werden muss.
Werden beispielsweise im Personalbereich bei Bewerbungsverfahren E-Mails als Bewerbungsunterlagen aufbewahrt, so ist die E-Mail zu löschen, wenn der Bewerber nicht als Mitarbeiter eingestellt wird. Dann darf eine solche E-Mail mit Bewerbungsunterlagen nur so lange gespeichert werden, wie möglicherweise aus gesetzlichen Vorschriften, beispielsweise dem Allgemeinen Gleichbehandlungsgesetz (AGG) Schadensersatzansprüche gegen einen Arbeitgeber geltend gemacht werden können. Die gesetzliche Frist zur Geltendmachung von Ansprüchen beträgt drei Monate. Damit ist eine langjährige Speicherung von E-Mail-Bewerbungen bereits aus datenschutzrechtlichen Aspekten unzulässig.
