Rechtssichere Archivierung ?

  • Hallo,


    ich bin ein 'kleiner' Einzelunternehmer und nutze die Angebote von Netcup für meine Homepage und die Mail-Kommunikation.


    vor einiger Zeit habe ich an den Support die Frage gestellt, ob es bei Netcup die Möglichkeit einer rechtssicheren Archivierung von eMails gibt oder geben wird. Dies wurde mir leider mit 'nein' beantwortet und es gab wohl hierzu auch keinerlei Planung. Auch eine Weiterleitung aller empfangenen und gesendeten Mails oder eine CatchAll-Funktion ist nicht möglich (ich nutze SOGo).


    D.h. im Moment kann ich nur in kurzen Zeitabständen den IMAP-Server über bekannte Software wie Mailstore oder Benno sichern und in meinen Mail-Clients dafür sorgen, dass alle gesendeten Mails auch entsprechend abgelegt werden, damit diese mitgesichert werden können. Über die Verfahrensdokumentation habe ich diesen Weg beschrieben und dokumentiert.


    Aber: Bei einer Prüfung könnte dies trotzdem als nicht ausreichend ausgelegt werden, weil es theoretisch die Möglichkeit gibt Mails zu löschen, bevor sie archiviert werden. Gefordert ist ja eigentlich eine lückenlose Archivierung aller gesendetend und empfangenen Mails.


    Daher wollte ich hier zum einen nach Erfahrungen von anderen Usern fragen und zum anderen die Frage auch noch einmal an Netcup weiterreichen, ob da in Zukunft eine Lösung auf der administrativen Seite angedacht ist? Hier geht es mir auch nicht um einen möglichst günstigen Preis, sondern um eine rechtskonforme Umsetzung, für die ich gerne bereit bin zu zahlen.


    Der letzte Weg wäre sonst ein Wechsel zu einem anderen Anbieter, was ich nach Möglichkeit vermeiden möchte, da ich mit Performance und Service von Netcup ansonsten sehr zufrieden bin.



    Vielen Dank,

    SHC

  • Da hast Du etwas falsch verstanden, es ist keine Archivierung aller Mails gefordert, sondern nur derer die z.B. Elektronische Rechnungen enthalten d.h. die die relevant für die Buchhaltung (Bücher) sind. Bitte hier einmal in die GOBD und die Kommentierung hierzu schauen. Interessant sind auch Mails mit Terminvereinbarung oder zahlungsrelevanten Details. Dem Finanzamt interessiert es grundsätzlich nicht, wenn du jemanden einen schönen Tag wünschst. Es sollte natürlich nachvollziehbar sein das grundsätzlich nichts verloren geht, daher ist eine Archivierung alle 2 Minuten zu empfehlen.

  • Hallo,


    grundsätzlich gibt es hier ja noch sehr viel Interpretationsspielraum.


    Von der GoBD wird eine Vollständigkeit der Archivierung aller handels und steuerrechtlich relevanten Mails gefordert. Es muss also sicher gestellt werden, dass keine Mail fehlt, gelöscht wurde oder verloren geht. Dies kann man aus meiner Sicht nur sicher stellen, wenn wirklich alles gesichert wird. Würde der Anwender seine Mails zwischen den Abrufintervallen von z.B. 2min. löschen, kann die entsprechende Mail logischerweise nicht ins Archiv gelangen.


    Und wenn man zwischen relevanten und nicht relevanten Mails unterscheidet, muss man dann wieder in der Verfahrensdokumentation erläutern, wie diese Unterscheidung gefällt wurde, wer dafür verantwortlich ist etc. Ob diese Dokumentation dann akzeptiert wird, ist offen und mir zu riskant. Ich möchte nicht das Risiko eingehen, dass meine Buchhaltung wegen einer nicht akzeptierten Dokumentation verworfen wird und meine Steuerlast geschätzt wird. Daher bin ich auf der Suche nach einer Lösung mit möglichst wenig Aufwand, möglichst wenig Risiko und im Zweifel mit höheren Kosten.


    SHC

  • wird eine Vollständigkeit der Archivierung aller handels und steuerrechtlich relevanten Mails gefordert.

    Dies ist korrekt und nur das ist zu archivieren. Es gibt, um es sicherzustellen, mehrere Möglichkeiten, z.B. das Löschen von Mails im Client nicht zuzulassen oder aber die Nutzer zu sensibilisieren (was sowieso gemacht und nachgewiesen werden muss).

    Die andere Möglichkeit, insbesondere bei MailStore, ist die Nutzung eines Gateway über welches die Mails laufen und erst dann zugestellt wird, dann ist es wirklich sichergestellt.

    Es gibt aber auch die Möglichkeit jede Mail in Kopie an ein anderes Postfach zuzustellen und diese auch zu archivieren.


    Nach einer letztjährigen Betriebsprüfung kann ich sagen, dass es so akzeptiert wird und man in der Regel es klar erklären muss und Fehler können immer passieren. Wenn man dies nachvollziehbar und insbesondere Anhand der Verfahrensdokumentation erklären kann ist es meist in Ordnung.

  • Die andere Möglichkeit, insbesondere bei MailStore, ist die Nutzung eines Gateway über welches die Mails laufen und erst dann zugestellt wird, dann ist es wirklich sichergestellt.

    Das wäre mir auch die liebste Lösung, allerdings bietet Mailstore dies nur über das Protokoll POP an. Ich nutze aber IMAP, da ich als Einzelperson aufgrund meiner Tätigkeit trotzdem vier Clients verwende (Windows, Mac, Linux und SmartPhone). Da wäre POP hinderlich.


    Es ist aber schon mal gut zu hören, dass Du in Deiner Betriebsprüfung keine größeren Probleme hattest. Ich hatte hier schon einige negative Berichte von Kollegen meiner Branche.

  • Hay,


    grundsätzlich gibt es hier ja noch sehr viel Interpretationsspielraum.

    den gibt es auch am anderen Ende - da ich einen eigenen Root-Server und damit auch Mailserver habe, archiviere ich per catch-all. Doch selbst das (und viele weitere übliche Verfahren) kann man streng genommen nicht als rechtssicher = revisionssicher auslegen, da die Archivierung zuerst auf veränderbare Datenträger erfolgt - ein veränderer Datenträger ist vom Grundsatz her schon nicht revisionssicher, man kann sich annähern, indem die schreibende Datei mit einem geheimen Schlüssel codiert wird (also echt geheim -> man kann nur mit einer bestimmten Software wieder entschlüsseln und ein Dokument kann man nicht neu hinein schreiben, nur als neue Version ablegen). Es gibt Unternehmen, die zur rechtssicheren Archivierung WORM-Devices mit Terabyte an Festplatten einsetzen. Das sind Systeme, die man nur einmal beschreiben kann und ab dem Zeitpunkt Read-Only sind. Die sind wirklich revisionssicher.


    Insofern - ist fast alles angreifbar bis auf letzteres. Auf der anderen Seite ist jede Prüfung eine Ermessensfrage durch den Prüfer. Sind die normalen Unterlagen an sich in Ordnung, wird idR ohne besonderen Anlaß nicht weiter gesucht. Durch eines meiner Produkt (ein elektronisches Fahrtenbuch zum Festeinbau zur Umgehung der 1%-Regelung - welches selbstverständlich ebenfalls revisionssicher sein muss) habe ich zu diesem Thema sehr viel mit Steuerberatern, Finanzämtern und Nutzern zu tun. Gerade hier wird auch sehr genau nachgeschaut.


    Ich bin selbst schon oft geprüft worden und noch nie hat das Finanzamt tatsächlich andere Vorgänge verlangt, als was nicht schon in der Buchhaltung abgelegt war - erst recht keine E-Mails. Bei einer Buchprüfung gab es mal zwei Fragen, die mit einer einfachen Antwort erledigt waren. Ich vermute, weil bei mir schon in der Buchhaltung jederzeit auch in der Vergangenheit alles in Ordnung und zweifelsfrei aufklärbar war.


    Aber bei Geschäftspartnern, deren Geschäft ungefähr so alt ist wie meines, war das sehr wohl anders. Da ging es runter bis auf E-Mails und bei denen war die Buchhaltung definitiv zweifelhaft, auch schon historisch. Ich musste MEINEN E-Mail-Ausgang bemühen um denen Mails von mir an sie erneut zur Verfügung zu stellen, weil bei diesen die E-Mails noch nicht einmal mehr im Outlook-Archiv abgelegt waren. Der Buchprüfer hatte 57 SEITEN mit Fragen zur Buchhaltung mit dem Ergebnis, dass manches schließlich nicht aufklärbar oder höchst dubios war und geschätzt werden musste.


    (Jetzt kommt die sensationelle Spitze: Damit sie aus dieser Erfahrung heraus ihre E-Mails rechtssicher archivieren können, sind sie zu einem Dienstleister gewandert, der das über die Microsoft-Cloud bzw. Exchange aus der Cloud erledigt. Die Mailserver stehen jetzt bei Microsoft, welche - siehe andere Threads - einfach manche E-Mails korrekt annehmen, aber nie ans Postfach zustellen.)


    Also wie auch immer: Ich bin da mittlerweile ziemlich abgeklärt... wollen sie einem am Zeug flicken, finden sie was und da ist die E-Mail-Archivierung idR letzter Zugriff. Wenn ich per E-Mail was Wichtiges bekomme, drucke ich es tatsächlich aus und notiere manuell noch einmal Datum und Unterschrift. Nicht umweltfreundlich, aber geht auch :D und kommt bei mir auch nur drei/viermal im Jahr vor.


    CU, Peter


    Peter Kleemann // https://www.pkleemann.de // +49 621 1806222-0 // Kann Programme, Internet, Netzwerke und Telefon.

  • Ja, die Prüfung ist aber immer stark abhängig vom Prüfer. Meine Erfahrung ist aber, dass wenn man u.a. eine Verfahrensdokumentation hat (die muss aber auch alles nachvollziehbar enthalten) zeigt man, dass man sich über das Verfahren Gedanken gemacht hat.


    IMAP kann ja beibehalten werden, wenn man die Mails als Kopie an ein weiteres Postfach zustellt. Wenn Du aber als Einzelperson tätig bist, dann stellt sich das Problem mit dem löschen doch gar nicht, also alles im grünen Bereich. Ich sehe da jetzt nicht die Probleme, da ich sechs Clients habe an denen zwei Personen arbeiten und es muss kurz besprochen werden und dann weiß jeder löschen ist nicht.

  • Auf meine Frage letztes Jahr an das Finanzamt, ob ich meine Unterlagen per EIDAS signierter PDF schicken könnte, war die kurze Antwort, das dürfen wir nicht annehmen da es nicht nachvollziehbar wäre :rolleyes:. Das Prüfungsprotokoll kam dann viel sicher über die total abgesicherte Faxleitung :D


    Und wenn Du bei den Mails schon so kritisch bist, wie sieht es den mit einem GOBD konformen Dokumentenmanagementsystem aus? Da könnte man sich echt verzetteln, aber die Zukunft wird uns zeigen, wo es hingeht. Mit Mailstore hast Du schonmal eine GOBD zertifizierte Software (auch wenn das Finanzamt das nicht anerkennen muss) und denke einen richtigen Schritt unternommen. Bei dem Rest kann im Zweifel auch immer git der Steuerberater helfen.


    Um alles zu erfüllen braucht man aktuell viele Einzellösungen (E-Mail Archivierung, DMS und Buchhaltung) oder sehr sehr viel Geld.

  • CmdrXay WORM Devices sind nicht ausreichend, es müsste theoretisch nach Signaturgesetzt signiert werden (durch akkeditierte Hardware und Software).

    Im SG selber steht dann aber, dass Signaturen die nicht dem Gesetz ensprechen vor Gericht trotzdem gleichwertig sind. Warum auch immer.

    Ich kenne auch genügend Setups, da wird nur archiviert was länger als 30 Tage im Posteingang liegt. Private Kommunikation erlaubt. Und das bei Behörden...

  • Hay,

    Warum auch immer.

    dies ist der entscheidend verfassungsgebende Satz von Neuland.


    Ist so wie mit den Rechnungen per PDF. Zuerst nur mit qualifizierter Signatur und weil den unnötigen Vorgang niemand machen wollte (also gleichwertig wie wenn man jede Papierrechnung von einem Notar beglaubigt würde) hat man sich schließlich dazu durchgerungen, ein einfaches PDF als Rechnung zuzulassen.


    Hier die Neuland-Glosse aus 2007 (und ich wette, das hat damals in DIESER Form kaum jemand gewusst): https://www.handwerksblatt.de/…wird-nicht-anerkannt.html


    Was viele aber immer noch nicht wissen, stimmt aber trotzdem noch: Rechnung, die man auf elektronischem Weg erhält müssen elektronisch archiviert werden und ein Ausdruck ist streng genommen nicht zulässig - obwohl mein Steuerberater ausgedruckte Rechnungen seit 15 Jahren bekommt, keine Betriebsprüfung deswegen gescheitert ist und mein Steuerberater mich bis heute noch nicht über diese Anforderung informiert hat :D


    CU, Peter

    Peter Kleemann // https://www.pkleemann.de // +49 621 1806222-0 // Kann Programme, Internet, Netzwerke und Telefon.