E-Mail Archivierung DSGVO und GoBD konform (Thunderbird / Linux)

[heiko-rech]

Hallo,
bisher laufen unsere geschäftlichen E-Mails DSGVO-konform über Google Workspace. Nun wollen wir aber alle Dienste zusammenlegen und alles was geht über unseren gemieteten Server bei Hetzner laufen lassen. Bis auf diese eine E-Mail-Adresse und die dazugehörige Domain, die noch bei Strato liegt, ist das alles schon fertig.
Die DSGVO-konforme Archivierung läuft derzeit über Google Vault. Das steh natürlich nach dem Umzug nicht mehr zur Verfügung. Die E-Mails sind auf einem IMAP-Server, also alle noch da und lesbar. Derzeit sind es ca. 14.000 - 20.000 E-Mails, teilweise mit Anhang. Zusammen ca. 20 GB.
Wir nutzen Thunderbird unter Linux.
Der eigentliche Umzug macht mir keine Sorgen, das sollte auch mit 20 GB kein Problem sein. Auch der ständige Verbleib der bisherigen und zukünftigen Daten auf dem Mietserver ist unproblematisch. Kommendes Jahr kann ich auch die ersten Daten, die älter als zehn Jahre sind löschen. Worum ich mich noch kümmern muss, ist die Archivierung der E-Mails.
Ich bin mir nicht sicher, ob ein regelmäßiges Backup der Thunderbird-Daten auf einer externen Festplatte ausreichend ist. Nach einer kurzen Suche im Internet habe ich auch unterschiedliche Programmen zum Sichern eines IMAP-Postfaches gefunden. Auch damit könnte man die Daten extern sichern.

Soweit ich herausfinden konnte, müssen die E-Mails, die Kundendaten, Anfragen, Rechnungen etc. betreffen revisionssicher 10 Jahre aufgehoben werden, und zwar so, dass man sie jederzeit lesbar machen kann.

Bevor ich aber herumexperimentiere, wollte ich euch mal fragen, wie ihr das handhabt.

Gruß
Heiko

 

[uli2003]

Bevor ich aber herumexperimentiere, wollte ich euch mal fragen, wie ihr das handhabt.

Ich archiviere lokal über Outlook. Wüsste nicht, warum ich so einen Aufwand dafür betreiben sollte.

Soweit ich herausfinden konnte, müssen die E-Mails, die Kundendaten, Anfragen, Rechnungen etc. betreffen revisionssicher 10 Jahre aufgehoben werden, und zwar so, dass man sie jederzeit lesbar machen kann.

In der Tat. Rechnungen drucke ich immer noch aus und hefte sie ab. So viel ist das bei mir auch nicht.
Und wer bitte soll wissen, was ich an Rechnungen auf elektronischem Wege bekommen habe? Anfragen etc.?
Kenne bisher auch keinen Prüfer, den das wirklich interessiert.

 

[fragnix]

Die meisten Rechnungen kommen doch ohne Zertifikat und damit ohne Veränderungsschutz/-nachweis rein, korrekt? Dann würde ich mir mit der revisionssicheren Archivierung auch nicht allzuviel Mühe geben. Entweder der eMail Server stellt das sicher, oder aber eine normalen Datensicherung erhöht die Anfälligkeit für Änderungen auch nicht mehr.
Was für einen eMail Server nutzt Ihr denn, und bietet der einen Änderungsschutz an?

 

[heiko-rech]

Hallo,

Ich archiviere lokal über Outlook. Wüsste nicht, warum ich so einen Aufwand dafür betreiben sollte.

Den Aufwand betreibt man halt um DSGVO-konform zu arbeiten. Da wir vieles/alles online machen und eventuell auch mehr Kundendatensätze haben als eine durchschnittliche Schreinerei, spielt das für uns schon eine wichtige Rolle.
Bei meinen Recherchen bin ich auch mehrfach auf Aussagen wie hier (Nr. 6 +7) gestoßen:
https://easy-software.com/de/newsroom/7-irrtuemer-zur-e-mail-archivierung/

In der Tat. Rechnungen drucke ich immer noch aus und hefte sie ab. So viel ist das bei mir auch nicht.
Und wer bitte soll wissen, was ich an Rechnungen auf elektronischem Wege bekommen habe? Anfragen etc.?
Kenne bisher auch keinen Prüfer, den das wirklich interessiert.

Ausgangsrechnungen kommen bei uns ja als zweitausführung über den Onlineshop ins Mailprogramm, es wäre also ein leichtes zu schauen, wann welche Rechnung per E-Mail gesendet wurden. Die Rechnung selbst geht zudem papierlos vom Shop in DATEV Unternehmen online. Aber die Bestellbestätigung, die der Shop versendet wäre auch eine zu archivierende Mail.
Was den Prüfer angeht: Auch wenn du jetzt keinen kennst, den das interessiert, könnte es doch möglich sein, dass du irgendwann so einen kennenlernst.

Die meisten Rechnungen kommen doch ohne Zertifikat und damit ohne Veränderungsschutz/-nachweis rein, korrekt? Dann würde ich mir mit der revisionssicheren Archivierung auch nicht allzuviel Mühe geben. Entweder der eMail Server stellt das sicher, oder aber eine normalen Datensicherung erhöht die Anfälligkeit für Änderungen auch nicht mehr.
Was für einen eMail Server nutzt Ihr denn, und bietet der einen Änderungsschutz an?

Derzeit müssen wir uns darüber ja keine Gedanken machen, da Google das alles nach DSGVO abhandelt. Der Mailserver ist ein Standard-IMAP-Server auf einem gemieteten Server bei Hetzner. Über Zertifikate etc. müsste ich mich da noch informieren.

Ich werde auf jeden Fall vor der Umstellung noch Rücksprache über das angedachte Verfahren mit unserem Anwalt halten.

Gruß
Heiko

 

[holztill]

Moin,
die Archivierung von Emails muss ja nur erfolgen, wenn relevante Daten enthalten sind. Wenn wir z.B. eine Rechnung im pdf-Format als Anhang einer Mail bekommen, ist die Mail quasi "nur" der Briefumschlag und muss nicht archiviert werden. Die Rechnung muss dagegen revisionssicher und unveränderbar (pdf/A) gespeichert werden.
Die meisten geschäftlichen Mails (Auftrag, Lieferschein, Rechnung, etc) sind ja Anhänge und dann wird die Anzahl der zu archivierenden Mails eher klein...
Wie das mit Online-Shops und automatiusch generierten Mails läuft -> keine Ahnung!

 

[FredT]

Wenn du nach der Bestellbestätigung ohnehin noch eine Rechnung verschickst, ist der Aufwand eher nicht einzusehen. Ich hatte alles archiviert, was geschäftlich abrechnungstechnisch notwendig war. Alles andere ist damals, nach Rücksprache mit dem StB, rausgeflogen. Wichtig ist ohnehin nur, was finanztechnisch relevant ist. Ob du dich mit einem Kunden über die Farbe Pink oder Rotblau geeinigt hast... so what.
Im Prinzip würde es reichen, die relevanten daten auf eine externe FP zu speichern und die im Safe abzulegen. Vlt. kann das gängige System die Daten dann in 10 Jahren gar nicht mehr lesen? Wer weiß das heute schon...

 

[werists]

Bevor ich aber herumexperimentiere, wollte ich euch mal fragen, wie ihr das handhabt.
Gruß
Heiko

Hallo Heiko,
wir machen das(noch) so:
1. Mit dem Add-On: ImportExportToolsNG wird täglich auf ein NAS gesichert.
2. Diese Sicherungsdatei wird per cron-Job nachts auf unseren Cloud-Server gesichert.

Will das aber ändern, da die Sicherung zu groß wird bzw. zu viele Daten enthält. Mal sehen ob die Disziplin anhält die mails gleich richtig zu sortieren.

- Mails die aufzubewahren werden in lokalen Ordnern (Nach Kundennr. o.ähnl.) abgelegt
- das Verzeichnis mit den lokalen Ordnern per Cron-Job auf unseren Cloud Server schieben

dir ~/.thunderbird/xxxxx/Mail/Local Folders/

xxxx = Profilname

Allerdings nicht wegen der DSGVO sondern dem Steuerrecht (Abgabenordnung., Denn emails von Kunden sind Geschäftsbriefe. Besonders sind Stornos, Rabatte, etc. bei einer Betriebsprüfung nachzuweisen.

Wegen der DSGVO wären die mails eigentlich schnell zu löschen, deshalb hätte die Variante 2 auch den Vorteil, dass nur geschäftlich relevante mails gesichert werden.

 

[KalterBach]

Bevor ich aber herumexperimentiere, wollte ich euch mal fragen, wie ihr das handhabt.

Ich muss zwar nicht rechtssicher archivieren, nutze aber aus persönlichen Gründen lokale Ordner in Thunderbird und Apple Mail für die Archivierung.

Mir reicht bei meinem Mailaufkommen ein Ordner pro Jahr. Diesen klemme ich nach drei Jahren ab und dann liegt er mit samt seinem Inhalt in der Datensicherung. Bei Bedarf klemme ich ihn einfach wieder an. Je nach Mailaufkommen kannst Du auch Halbjahres-Ordner erstellen.

 

[uli2003]

Den Aufwand betreibt man halt um DSGVO-konform zu arbeiten.

?
Ich kann doch lokal Daten DSGVO konform ablegen? Wo ist das Problem?

Auch wenn du jetzt keinen kennst, den das interessiert, könnte es doch möglich sein, dass du irgendwann so einen kennenlernst.

Dann bin ich mal gespannt wie er mir nachweisen will, welche Mails es überhaupt gegeben hat.

Wenn standardmäßig Rechnungen per Mail verschickt werden - klar.
Ansonsten kann auch alles per Post und Telefon passiert sein.

 

[heiko-rech]

Hallo,

Ich kann doch lokal Daten DSGVO konform ablegen? Wo ist das Problem?

ich habe doch was verlinkt.

Dann bin ich mal gespannt wie er mir nachweisen will, welche Mails es überhaupt gegeben hat.

Wenn standardmäßig Rechnungen per Mail verschickt werden - klar.
Ansonsten kann auch alles per Post und Telefon passiert sein.

Das mag ja bei dir so zutreffen, meine Situation ist aber nun einmal etwas anders.
Gruß
Heiko

 

[holztill]

Wenn standardmäßig Rechnungen per Mail verschickt werden - klar.

Auch dann müssen die Mails nicht archviert werden, da diese als "Transportmittel" dienen. Es müssen dann lediglich die Rechnungen im (z.B.) pdf-Format revisionssicher aufbewahrt werden. Ausnahme: In der Mail stehen relevante Daten (Aber das ist zu 99,9% nicht der Fall!)

 

[heiko-rech]

Hallo,
nachdem ich mir dieses Video:
https://youtu.be/igtE42VKwvA
angeschaut habe, bin ich mir nicht sicher, ob das Leute zu verantworten haben, die keinen Bezug zur Realität mehr haben oder Leute, die sehr viele Zuwendungen von Lobbyisten der Softwareindustrie erhalten haben.
Gruß
Heiko

 

[werists]

Auch dann müssen die Mails nicht archviert werden, da diese als "Transportmittel" dienen. Es müssen dann lediglich die Rechnungen im (z.B.) pdf-Format revisionssicher aufbewahrt werden. Ausnahme: In der Mail stehen relevante Daten (Aber das ist zu 99,9% nicht der Fall!)

Es gibt aber jede Menge andere mails, nicht nur Rechnungsversand.
Kundenanfragen, Angebote, Reklamationen, Verhandlunge, Aufträge per mail, und noch vieles mehr, das alles fällt unter §147der AO bzw. §257HGB.

https://www.leipzig.ihk.de/mediathek/MB_02_02.pdf

 

[werists]

Hallo,
nachdem ich mir dieses Video:

Das Video kannste vergessen, das ist einer der seine Software verkaufen will. Das mag bei AG und großen GmbH's mit vielen mail-Accounts notwendig sein, aber nicht für uns kleine Hansels.
Wenn wir die mails im Thunderbird oder einem anderen mail-client zugänglich haben ist das vollkommen ausreichend. So die Auskunft unseres Steuerberaters (der auch RA ist)

 

[heiko-rech]

Hallo,

Das Video kannste vergessen, das ist einer der seine Software verkaufen will. Das mag bei AG und großen GmbH's mit vielen mail-Accounts notwendig sein, aber nicht für uns kleine Hansels.
Wenn wir die mails im Thunderbird oder einem anderen mail-client zugänglich haben ist das vollkommen ausreichend. So die Auskunft unseres Steuerberaters (der auch RA ist)

Die Problematik der "unveränderbarkeit" ist aber in allen Videos dieser Art ein Thema und genau da liegt ja der Hase im Pfeffer. So kann ich als einfacher Nutzer eine eingegangene E-Mail ja nicht einfach so ändern. Ein E-Mail-Programm hat ja in der Regel keine Funktion, eine eingegangene Mail zu bearbeiten. Das geht ja nur beim Verfassen, Weiterleiten oder Beantworten einer Mail. Selbst gesendete Mails, die ich selbst geschrieben habe, kann ich mit der Standardsoftware nicht ändern. Ich müsste also (Um)Wege suchen, diese Daten zu verändern. Man (der Gesetzgeber) müsste daher ein gewisses Maß krimineller Energie voraussetzen. Und scheinbar wird das ja unterstellt, sonst würde man nicht auf die Unveränderbarkeit in dieser Form pochen. Und wenn nun die entsprechende kriminelle Energie vorhanden ist, warum soll dann diese nicht auch eingesetzt werden, um ein zertifiziertes System zu umgehen? Die Vergangenheit hat doch gezeigt, dass ein IT-System wirklich sicher ist. Das meinte ich mit realitätsfern.

Jetzt könnte ich aber hingehen und meine E-Mails einfach auf einer externen Platte sichern. Dann dokumentiere ich, dass ich nicht in der Lage bin, die Daten zu verändern, weil die eingesetzte Software, z.B. Thunderbird ja keine entsprechende Funktionalität hat. Wäre das dann im Sinne der GoBD zulässig? Denn die schreibt ja nicht explizit die Verwendung einer zertifizierten Spezialsoftware vor. Eine weitere Anforderung ist die Zugänglichkeit der vorhandenen Daten. Das könnte im Extremfall durch einen Rechner geschehen, der die entsprechende (alte) Software noch drauf hat. Allerdings sehe ich da kein echtes Problem, 10 Jahre Abwärtskompatibilität sollte auch so machbar sein.

Gruß
Heiko

 

[hlzbt]

Eine weitere Anforderung ist die Zugänglichkeit der vorhandenen Daten. Das könnte im Extremfall durch einen Rechner geschehen, der die entsprechende (alte) Software noch drauf hat. Allerdings sehe ich da kein echtes Problem, 10 Jahre Abwärtskompatibilität sollte auch so machbar sein.

Ja, sind. eml-Files können auch mit einem Texteditor oder einem anderen Mailprogramm gelesen werden.
Ich würde allerdings nicht nur auf Festplatten (= Magnetspeicher), sondern auch (primär) auf CD/DVD setzen.
Eine Sortierung der Mails nach Themen würde ich mir heute in KMUs schenken; Volltextsuche ist schnell genug. Wir haben schon gegen 2010 hier das Konzept geändert.

 

[werists]

Hallo,

Die Problematik der "unveränderbarkeit"

1.) Die Unveränderbarkeit ist aber auch bei einer solchen "zertifizierten" Archivlösung nicht gegeben. Denn ich kann die mails vorm Archivieren manipulieren. Das verschweigen solche Anbieter-Videos oft.
Deshalb ist die Originalmail mit Absender, mail Header, etc. ausreichend, d.h. für den Betriebsprüfer vom Finanzamt muss jeder Geschäftsvorgang nachvollzierbar, plausibel und glaubwürdig sein.

Beispiel. Ein Kunde storniert eine Buchung. Du buchst die Rechnung aus und sendest dem Kunden eine Gutschrift. Der Prüfer will die email des Kunden sehen, dann reicht es dem Prüfer die mail am PC zu zeigen oder diese an ihn weiterzuleiten. Eine solche mail wird der Prüfer auch nur sehen wollen, wenn die Stornierungsrate deutlich über dem branchenüblichen liegt oder es sich um hohe Beträge handelt..

Das reicht, weitergehende Regelungen aus dem GmbH-Gesetz und Aktienrecht tangieren uns nicht. Das ist die Auskunft des Stb und der hiesigen IHK. Eine Datensicherung ist natürlich notwendig aber die braucht man ja schon aus Eigeninteresse. (Unveränderliche Sicherung wäre auf DVD)

Mit Linux Boardmitteln liese sich sogar eine Write-Once-Read-often Lösung realisieren, das wäre aber mit Kanonen auf Spatzen geschossen.

2.) Aufbewahrungsdauer von 10 Jahren ist mit Thunderbird kein Problem. Da es sich um ein offenes Format (Open-Source) handelt wird sich immer ein Weg finden diese zu durchsuchen und zu lesen. Auch wenn es den TB nicht mehr geben sollte. Ansonsten gehen Betriebsprüfungen auch nur 2-3 Jahre zurück, nur wenn in den Jahren viel gefunden wird dann kanns tiefer und weiter zurück geprüft werden.

3.) Zugänglichkeit: Man sollte nicht drei Tage suchen müssen um eine entsprechende mail zu finden. Das lässt sich aber mit Organisation und Disziplin auch hinbekommen. Wir ordnen die mails in lokale Ordner, nach Kunden und Zeitraum. Bzw. bei den Anzeigenkunden unsere Zeitung nach Ausgaben. So finden wir mit dem TB-Schnellfilter alle mails in wenigen Minuten.

4.) Bei vielen Mitarbeitern mit unterschiedlichen Mailverkehr, evtl unterschiedlichen Clients, etc. mag so eine Archivierungslösung hilfreich sein. Bei Umsätzen im Millionenbereich ist die Motivation zur Manipulation auch etwas höher, ich denke Du liegst da doch noch knapp drunter. Wirtschaftsprüfungsgesellschaften fordern oft solche Tools, da diese oft Hinweise auf Manipulationen enthalten. (Nach Wirecard erst recht.) Aber das Alles betrifft uns Kleinen nicht.

Mein Fazit:

• Mit TB als offenes System ist die Aufbewahrungspflicht von 10 Jahren kein Problem.
• Mit TB lassen sich keine mails manipulieren, dies würde zusätzliche Software und hohen Aufwand erfordern. Die notwendige Prüfung auf Plausibilität ist bei den anfallenden Beträgen ausreichend machbar.
• Mit etwas Organisation und dem Schnellfilter, bzw. der Volltextsuche ist die Zugänglichkeit gegeben.
• NIcht durch YouTube und Co. verrückt machen lassen, da gibt es Inhalte von selbsternannten Profis die ohne Spaltkeil arbeiten und/oder nur ihre Affiliate Links verbreiten wollen und auch solche die zu anderen Themen Unsinn verbreiten.
• Eigentlich sollten die Handwerkskammern Auskunft geben können, oder?

PS.) Eine solche nach GoBD zertifizierte Buchhaltungssoftware habe ich mal mit einem Kollegen zusammen innerhalb von zwei Wochen dazu gebracht, einzelne Buchungen nachträglich zu verändern. (aber natürlich nur an einer Testinstallation)
Der IT-Fuzzy vom Schubeck hat das zertifizierte Kassensystem der Restaurants auch überwinden können.


PPS. Das ist meine Meinung und ersetzt keine professionelle Beratung. Fragen Sie Ihren Arzt oder Apotheker, ich meine natürlich Steuerberater oder Anwalt.

 

[Time_to_wonder]

Moin,

wir nutzen ein lokales Tool namens Mailstore, das speichert einfach dumm den gesamten Ein- und Ausgang aller User weg. Zugriff über Recherche-oberfläche via Timeline oder Such-Engine mit der Berechtigung gemäß Rollenkonzept/Mailverteiler.

 

[heiko-rech]

Hallo Jörg,
die Software gibt es aber nur für Windows.

Ich denke, ich werde im Vorfeld, vor der Umstellung auf jeden Fall alle Mails in lokalen Ordnern ablegen (erst einmal nur kopieren). Mit Filterregeln sollte das ein überschaubarer Aufwand werden, da die Betreffzeilen gut als Filterkriterium herhalten können. Dabei sollte sich der Datenbestand schon einmal drastisch verkleinern.
Die Unveränderbarkeit ist damit aber immer noch nicht gegeben, da die Daten ja in Textform vorliegen und man mit genügend krimineller Energie den Text einer Mail manipulieren könnte. Aber das ist ja extrem praxisfern und ich erkenne in unserem Fall auch keinerlei Vorteil, der sich daraus ergeben könnte. Selbst wenn wir die Daten manipulieren würden, mir fällt kein Szenario ein, durch das wir hierbei steuerliche oder finanzielle Vorteile erlangen könnten. Vielleicht fehlt mir hierzu auch einfach nur die Fantasie.

Gruß
Heiko

 

[hlzbt]

man mit genügend krimineller Energie den Text einer Mail manipulieren könnte

... selbst Blockchains lassen sich mit entsprechenden Ressourcen manipulieren... Es geht in der DSGVO um ein "angemessenes Schutzniveau" (§32); dies kann man auch auf die GoBD / GoBS / GDPdU übertragen. Wichtig ist bei der Archivierung, dass es einen definierten Prozess gibt (Stichwort IKS / Verfahrensdokumentation).

 

[uli2003]

Aufbewahrungsdauer von 10 Jahren ist mit Thunderbird kein Problem.

Das wären ja nur die Rechnungen im Anhang einer Mail. Ausgehende Mails spielen da doch gar keine Rolle, die eigene Rechnung ist doch in der FiBu erfasst.
Wenn die eingehenden Rechnungen archiviert sind, kann doch alles nach 6 Jahren weg.

 

[heiko-rech]

Hallo,

Wenn die eingehenden Rechnungen archiviert sind, kann doch alles nach 6 Jahren weg.

ob nun 6 oder 10 Jahre ist mir eigentlich egal. Mit 10 Jahren wäre ich immer auf der sicheren Seite und es macht ja bei einem funktionierenden, automatisierten System keinen Mehraufwand.
Gruß
Heiko

 

[hlzbt]

Das wären ja nur die Rechnungen im Anhang einer Mail. Ausgehende Mails spielen da doch gar keine Rolle, die eigene Rechnung ist doch in der FiBu erfasst.

Vorsicht, auch Anfragen (eingehend) und Angebote (ausgehend) bitte nicht ignorieren, sind auch relevant.

 

[netsupervisor]

Ich kann dir ecoMailz ans Herz legen, das funktioniert auch unter Linux.
Was ist ecoMAILZ? (ecodms.de)

 

[heiko-rech]

Ich kann dir ecoMailz ans Herz legen, das funktioniert auch unter Linux.
Was ist ecoMAILZ? (ecodms.de)

Sieht schon mal sehr interessant aus.