E-Mail-Archivierung für Online-Shops – Interview mit RA Phil Salewski

E-Mail-Archivierung ist bekanntlich in Deutschland, Österreich und der Schweiz über alle Branchen hinweg eine Notwendigkeit für Unternehmen. Wir haben heute mit Phil Salewski von der IT-Recht Kanzlei aus München einen Rechtsanwalt im Interview, der uns Praxiseinblicke in die spezifischen Anforderungen und häufig auch Herausforderungen für Online-Händler gewährt.

Herr Salewski, zunächst vielen Dank dafür, dass Sie in unserem Blog etwas zum Thema E-Mail-Archivierung für Online-Shops erzählen. Würden Sie sich unseren Lesern kurz vorstellen?

Guten Tag, mein Name ist Phil Salewski und ich bin als Rechtsanwalt bei der IT-Recht Kanzlei München auf das Datenschutz- und Wettbewerbsrecht spezialisiert. Zu meinen Mandanten gehören vor allem Unternehmer mit Tätigkeitsschwerpunkt im Online-Handel.

Was sind aus Ihrer Erfahrung spezifische bzw. typische Herausforderungen für Betreiber von Online-Shops hinsichtlich der Archivierung von E-Mails?

Aus meiner Sicht ergeben sich für Shop-Betreiber hinsichtlich der Mailarchivierung vor allem zwei wesentliche Herausforderungen: Die erste ist, richtig zu erfassen, welche Mails überhaupt besonderen Mailarchivierungspflichten unterliegen und welche nicht. In diesem Zusammenhang muss nämlich grundsätzlich differenziert werden. Handels- und Geschäftsdokumente in der Mail sind grundsätzlich nur dann zu archivieren, wenn sie den Inhalt der Mail selbst bilden. Sind Sie lediglich als Anhang beigefügt, gelten die Archivierungspflichten nicht.

Die zweite ist, für archivierungspflichtige Mails die ordnungsgemäße Archivierung auch tatsächlich sicherzustellen. Hierfür reichen herkömmliche Speichermethoden nicht aus; vielmehr müssen software- und/oder hardwarebedingte Maßnahmen ergriffen werden, um technisch eine unveränderliche und zugriffsgesicherte Aufbewahrung zu gewährleisten.

Haben E-Commerce-Unternehmen einen Vorteil gegenüber klassischen Handelsunternehmen, da sie von Haus aus auf digitalisierte Prozesse setzen und die E-Mail eine Grundzutat des Tagesgeschäfts ist?

Einen wahren Vorteil in Bezug auf die rechtskonforme Mailarchivierung sehe ich bei E-Commerce-Unternehmen nicht, da sie (ebenso wie Filialisten) in Bezug auf die technischen Aufbewahrungsanforderungen grundsätzlich „technologisches Neuland“ betreten dürften. Dass im E-Commerce geschäftsfeldbedingt mehr per Mail kommuniziert wird als im stationären Handel, erleichtert die Handhabung bei der Archivierung kaum, weil die hierfür notwendige Technik keine Berührungspunkte zur sonstigen digitalen Infrastruktur des E-Commerce bietet. Im Zweifel sehen sich E-Commerce-Unternehmen im Angesicht der Fülle der elektronischen Kommunikationen sogar größeren Hürden gegenüber.

Müssen Sie häufig Aufklärungsarbeit leisten, was den Sinn und Nutzen von E-Mail-Archivierung und die Abgrenzung zum Backup betrifft?

In der Tat. Die technischen Voraussetzungen für die Mailarchivierung folgen den spezifischen Leitlinien der „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“ (GoBD), die bestimmte Kriterien für die Aufbewahrung aufstellen. Vielen Unternehmern ist nicht bewusst, dass eine ordnungsgemäße Mailarchivierung nicht mit einer simplen Extraktion und Abspeicherung von Mails bewirkt ist und dass dahinter vielmehr ein ausgeklügeltes technisches Sicherungskonzept stehen muss.

Unter Aufzeigen der Voraussetzungen wird der Sinn und Nutzen aber deutlich: es muss ein Konzept geschaffen werden, was sicherstellt, dass die Mails aus Gründen der steuerrechtlichen Erfassung nach ihrer Archivierung nicht mehr verändert, manipuliert, gelöscht oder umgeschrieben werden können. Ein Vergleich zur sonstigen Buchhaltung öffnet Augen: auch dort müssen Belege und sonstige Dokumente fälschungssicher abgelegt werden, um nachträglich eine korrekte steuerrechtliche Bewertung zu gewährleisten.

Haben sich die Anforderungen an das E-Mail-Management für E-Commerce-Unternehmen seit dem Inkrafttreten der EU-DSGVO verändert?

Hier muss unterschieden werden. Die technischen Anforderungen an die Mailarchivierung ergeben sich aus den GoBD und nicht aus dem Datenschutzrecht. Durch die DSGVO können aber zusätzliche Anforderungen begründet werden. Dies vor allem dann, wenn sich Unternehmer dazu entscheiden, den gesamten E-Mail-Verkehr generell zu archivieren, um die Archivierungspflichten nicht für jede Mail gesondert beurteilen zu müssen. Das Datenschutzrecht wird hier relevant, wenn von der Archivierung auch Kommunikation mit personenbezogenen Daten betroffen ist (etwa Mail-Bewerbungen mit Bewerberdaten oder private Kommunikation von Mitarbeitern). Ohne entsprechende Einwilligung der Betroffenen wäre die Archivierung derartiger (eigentlich nicht archivierungspflichtiger) Kommunikation datenschutzwidrig, sodass personell oder technisch durch Filter oder Erkennungsmaßnahmen meist sichergestellt werden muss, dass betroffene Mails aus dem Archivierungsumfang anfänglich ausgenommen werden.

Es gibt Stimmen, die halten das Konzept der steuerrechtlichen Revisionssicherheit als schwer bis nicht vereinbar mit dem Datenschutz – wie sehen Sie das als Jurist?

Die Revisionssicherheit wird zum datenschutzrechtlichen Problem, wenn von der Mailarchivierung anfänglich auch Mails mit personenbezogenen Daten betroffen sind, die tatsächlich nicht archivierungspflichtig sind. Viele Unternehmen entscheiden sich aus Gründen der praktisch besseren Handhabe zu einer Universalarchivierung des Mailverkehrs, was die Gefahr begründet, dass auch datenschutzrelevante Kommunikation (etwa Mailbewerbungen oder private Kommunikation der Mitarbeiter) archiviert wird. Einmal archiviert, sorgt die Revisionssicherheit dafür, dass eine Löschung nur noch mit großem Aufwand möglich ist. Die Archivierung und revisionssichere Speicherung von nicht archivierungspflichtigen personenbezogenen Daten ist ohne entsprechende Einwilligung der Betroffenen aber datenschutzwidrig. Technisch müsste daher bei Universalkonzepten sichergestellt werden, dass betroffene Mails von Anfang an aus dem Archivierungsumfang ausgeklammert werden.

Ist die E-Mail-Archivierung für einen E-Commerce-Händler komplexer als für andere Branchen, da das Mailvolumen vermutlich besonders hoch ist?

In der Regel ja. Erfahrungsgemäß sehen sich Online-Händler eher zu Universalarchivierung ihres Mailverkehrs verleitet, was datenschutzrechtliche Probleme birgt (s.o.). Hier sind also gegebenenfalls zusätzliche (technische) Filter- und Erkennungsvorkehrungen zu treffen, um die Archivierungspflichten auch datenschutzkonform zu erfüllen.

Was sind typische Fragen, mit denen ein Online-Händler sie zum Thema E-Mail-Archivierung konfrontiert?

Typisch sind vor allem Fragen nach dem „Was“ und nach dem „Wie“.

Bezüglich des „Was?“ ist es für Online-Händler im Bereich von Mails oft schwierig zu differenzieren, welche Mails archiviert werden müssen und welche nicht. Relevant wird hierbei vor allem die Unterscheidung dahingehend, dass Mails nur dann archiviert werden müssen, wenn ihre Inhalte unmittelbar selbst Handelsdokumente darstellen. Andersherum ist die elektronische Post nicht archivierungspflichtig, wenn sie nur das Transportmedium für Handelsdokumente im Anhang sind.

Bezüglich des „Wie?“ müssen meist individuelle und praktikable Software- und oder Hardware-Lösungen gefunden werden, um den Vorgaben der GoBD und denjenigen des Datenschutzrechts zu entsprechen.

Was würden Sie Online-Händlern empfehlen, die auch auf Marktplätzen (z.B. eBay, Amazon usw.) aktiv sind? Die Betreiber der Marktplätze versenden ebenfalls transaktionale E-Mails für den Händler.

Um auf Marktplätzen die von den Betreibern zu Transaktionen versendeten Mailverkehr zu erfassen und ggf. archivieren zu können, empfiehlt sich meist die Einbindung einer entsprechenden Buchhaltungssoftware mit einer Schnittstellenanbindung zum jeweiligen Marktplatz. Diese kann den Mailverkehr auch marktplatzseitig erfassen und dem Online-Händler verfügbar machen.

Was raten Sie dem E-Commerce-Unternehmen, das Bestellungen auch per WhatsApp oder anderen, ähnlich geschlossenen Systemen, entgegennimmt?

Bei der Verwendung von Messenger-Diensten zur Vertragsanbahnung, zum Vertragsschluss und zur Vertragsabwicklung bestehen besondere Schwierigkeiten in Bezug auf die Erfüllung von Archivierungspflichten. Klar ist: die Nutzung der Archivfunktion, die viele Messenger-Dienste originär bereitstellen, reicht nicht aus.

Idealerweise verlegt der Unternehmer zur Umsetzung seiner Archivierungspflichten den über einen Messenger-Dienst anberaumten Kontakt frühzeitig und vor etwaigen Vertragsverhandlungen auf ein anderes Kommunikationsmedium, idealerweise die E-Mail, um dann für eine rechtssichere Archivierung zu sorgen.

Tut er dies nicht, müssten archivierungspflichtige Nachrichten aus dem Dienst aufwändig exzerpiert und in ein geeignetes Archivformat überführt und sodann dem allgemeinen Archivierungsbestand hinzugefügt werden. Ob dies sodann die technischen Voraussetzungen nach der GoBD erfüllen kann, hängt vom Einzelfall ab.

Vielen Dank Herr Salewski für die Einblicke in dieses komplexe Themenfeld.

Weitere interessante Beiträge zu den Themen E-Mail-Archivierung und Rechtssicherheit:

• Millionen-Geldbuße wegen DSGVO-Verstoß. Revisionssicherheit vs. DSGVO?
• E-Mail-Management: Compliance und E-Mails – Was ist zu beachten?
• IT-Admin vs. Betriebsrat: E-Mail-Archivierung und Datenschutz
• Weiterhin kostenlos: Aktualisierte Leitfäden zur rechtssicheren E-Mail-Archivierung jetzt erhältlich

Tipp: Wie E-Mail-Archivierung in der Praxis bei einem E-Commerce-Unternehmen aussehen kann, können Sie in unser MailStore Server Case Study mit Mister Spex nachlesen.