E-Mail Archivierungspflicht

[Andreas Kößler]

Laut GoBD sind folgende E-Mails Archivierungspflichtig: „So sind beispielsweise E-Mails mit der Funktion eines Handels- oder Geschäftsbriefs oder eines Buchungsbelegs in elektronischer Form aufbewahrungspflichtig.“
Hr. Ra Dr. Sasse schreibt dazu: „Dies gilt insbesondere für Handels- oder Geschäftsbriefe. Hierunter versteht man alle Schreiben, durch die ein Geschäft vorbereitet, abgewickelt, abgeschlossen oder rückgängig gemacht wird. (z.B. Rechnungen, Zahlungsbelege, Verträge.)“

Jetzt frage ich mich, welche E-Mails davon betroffen sind, die Lemniscus generiert?

Kontaktformular (in der ja oft schon Gesundheitsdaten vom Pat. eingetragen werden)
Terminbestätigung
Terminerinnerung
Terminlöschung
Ihre Rechnung (passwortgeneriert)
Ihre Dokumente (passwortgeneriert)
Zahlungserinnerung (passwortgeneriert)

Wie macht Ihr das?

Unabhängig von der Archivierungspflicht stelle ich mir die Frage, ob ich diese Weiterleitung der oben genannten Lemniscus-Fälle an meine E-Mail-Adresse irgendwo deaktivieren könnte.

LG Andreas

 

[Petra Ochs]

Das ist eine sehr interessante Frage Andreas Kößler . Ich bin gespannt, was die anderen antworten werden.

Denn prinzipiell müssen wir alle E-Mails archivieren, die etwas mit finanziellen Leistungen zu tun haben. Die Terminerinnerungen von Lemniscus archiviere ich nicht, die werden immer umgehend gelöscht.

LG Petra

 

[Ulf - PraeSenZ-Praxis]

Andreas Kößler , das ist für mich auch immer noch ein ungelöstes Thema. Vor allem, weil nicht nur archiviert werden muss - das wäre noch ok-, sondern auch änderungsresistent. Einfach nur E-Mails Abspeichern reicht meines Wissens nicht. Und aus anderen Gründen beträfe es ja auch schon inhaltliche Mails mit Gesundheitsdaten (z.B. erste Mails an uns mit Symptomen). Ob das jemand überhaupt praktiziert?
Ich habe da auch noch nichts Befriedigendes gefunden. Ich hatte diese Möglichkeit zu implementieren auch bei Lemniscus angefragt, aber verständlicherweise ist das eine sehr große und andere Baustelle, die nicht in das Konzept passt.
Bin auch gespannt auf eine (bezahlbare) Lösung...
Einen schönen Tag!
Ulf

 

[Rupprecht]

Guten Morgen

Auch für mich ein bisher nicht wirklich befriedigend gelöstes Thema. Die Firma Strato bietet eine “revisionssichere E-Mail-Archivierung” für relativ kleines Geld an:

Mail-Archivierung: Auf der sicheren Seite mit STRATO

Automatisch E-Mails archivieren ✓ GoBD und EU-DSGVO konform ✓ Ideal für kleine und mittelgroße Unternehmen ✓ Jetzt Angebot entdecken!

www.strato.de

Aber, wenn sich dann (wie relativ häufig in der Praxis der Fall) Geschäftliches (steuerrelevantes oder terminliches) mit Inhaltlichem (Diagnosen, Symptombeschreibungen etc.) in Mail von Klienten vermischen, dann wird es richtig schwierig. Denn da dürfen wir aus Datenschutzgründen (soweit ich weiß) manches überhaupt nicht archivieren, müssen es zumindest auf Antrag von Klienten auch einfach wieder löschen können ...
Das ist in jedem Fall ein Thema voller Grauzonen und möglicher Fallstricke ...
Zumindest soweit ich das bis heute verstanden habe.

Es gibt eine Möglichkeit, in der ich selbst entscheiden kann, welche Mails ich revisionssicher archivieren möchte und welche nicht. Die funktioniert z.B. über das Dokumentenmanagementsystem "CompuDMS". In der Basisversion sogar kostenlos (glaube ich).

CompuKöln Dokument Management GmbH

Software und Dienstleistungen wie für Sie gemacht.

www.compukoeln.de

Da kann man dann einzelne Mails, aber auch genauso Worddateien oder sonst was einfügen. Habe ich eine Zeitlang gemacht, ist aber recht mühselig.
Und auch dann bleibt wieder die Frage, welche Mails archiviere ich auf diese Art und Weise und welche eben nicht.

Außerdem kann man natürlich auch sehr einfach einzelne E-Mails im E-Mail-Programm (mit dem E-Mail-Kopf-Daten wie Absender, Datum etc.) als PDF abspeichern und in Lemniscus einem Klienten als Notiz zuordnen. Das mache ich mit allen mir wichtig erscheinenden Mails. Wenn man diese Notiz dann in Lemniscus vor Veränderung sperrt, ist sie auch revisionssicher archiviert ...

Fände sehr interessant, hier noch weiter Ideen, Lösungen und Einschätzungen zu hören.

Beste Grüße

Rupprecht

 

[Petra Ochs]

Außerdem kann man natürlich auch sehr einfach einzelne E-Mails im E-Mail-Programm (mit dem E-Mail-Kopf-Daten wie Absender, Datum etc.) als PDF abspeichern und in Lemniscus einem Klienten als Notiz zuordnen. Das mache ich mit allen mir wichtig erscheinenden Mails. Wenn man diese Notiz dann in Lemniscus vor Veränderung sperrt, ist sie auch revisionssicher archiviert ...

Dies wäre für mich auch eine stimmige Vorgehensweise, würde aber nicht in vollem Umfang den Richtlinien der GoBD standhalten, da man die Mails in dem Format speichern muss, wie sie auch eingegangen sind. Wenn man sie als PDF umwandelt, dann bestände die Möglichkeit der Änderung.

Alles nicht so einfach. Für mich ist die kostenpflichtige Archivierung von 1und1 oder Strato auch mit die bisher beste Lösung. Hab aber von einer Kollegin mitbekommen, dass bei einem Providerwechsel die Daten wohl auch nicht mehr zur Verfügung stehen. So hatte sie es mir geschildert. Ich weiß aber nicht mit Sicherheit, ob das immer so ist.

 

[Petra Ochs]

Noch eine Überlegung von mir: Reicht es eigentlich nicht aus bei den Terminvergaben und -absagen, wenn wir das Protokoll von Lemniscus dazu verwenden? Dort ist ja alles aufgeführt.

 

[Rupprecht]

Ja, Petra, das denke ich auch (Protokoll von Lemniscus) ... und zumindest bei mir und auch vielen anderen Lemnisus-Anwendys werden ja auch die Ausgangs-Rechnungen in Lemniscus revisionssicher erstellt und archiviert. Habe gerade noch mal ein wenig recherchiert und dabei u.a. folgendes gefunden:

Es müssen alle Daten und Dokumente aufbewahrt werden, die steuerlich und anderweitig gesetzlich relevant sind. Welche Art von Daten und Dokumenten das sind, ist von der Finanzverwaltung nicht fix definiert. Der Grund dafür ist, dass sich Betriebe einfach zu sehr voneinander unterscheiden. Daher bestimmt der Steuerpflichtige selbst Form, Umfang und Inhalt der für seinen Betrieb relevanten, aufzubewahrenden Daten. ( https://www.shoperate.com/de/gobd )

Vermutlich liegt es daran, dass dieser Bereich im Bezug auf die E-Mail-Frage für uns Heilpraktiker auch irgendwie so unscharf/unklar definiert ist.

Insgesamt bleiben die Anforderungen an Datenschutz versus GoBD widersprüchlich. Erfülle ich eine der beiden Seiten perfekt, wird schnell die andere Seite schlecht erfüllt. Es bleibt uns also hier nur, einen "gesunden" Mittelweg zu gehen. Ich würde bei der Frage nach der E-Mailarchivierung dem Daten-Schutz unserer Patienten den Vorrang geben;
ansonsten, was Eingangs-Rechnungen und Ausgangs-Rechnungen betrifft, gerne der BoBD den Vorrang geben. Und letzteres erledigt ja Lemniscus ziemlich perfekt für uns.

Insgesamt habe ich kaum E-Mails, die sich auf finanzielle Honorar- oder Abrechnungsfragen beziehen, und diejenigen, die es gibt, sind meines Erachtens für die Nachvollziehbarkeit der tatsächlich steuerlich relevanten Vorgänge letztlich irrelevant. Relevant ist mein Honorar (eindeutig kommuniziert in meinen AGBs und auf meinen Homepages), mein Terminkalender, meine Ausgangsrechnungen und die entsprechenden Geld-Eingänge auf meinem Bankkonto (alles in Lemniscus, bzw. bei meiner Bank revisionssicher erfasst und gespeichert). Ich hatte auch vor ca. 2 Jahren eine Teil-Betriebsprüfung, bei der es keinerlei Beanstandungen gab. (Das heißt aber natürlich erstmal nichts, da jeder Betriebsprüfer sicherlich auch einen Spielraum hat im Bezug auf das ihm Wichtige und weniger Wichtige.)

Wie handhabt Ihr anderen das?

 

[Rupprecht]

Petra, Du schreibst:

"Dies wäre für mich auch eine stimmige Vorgehensweise, würde aber nicht in vollem Umfang den Richtlinien der GoBD standhalten, da man die Mails in dem Format speichern muss, wie sie auch eingegangen sind. Wenn man sie als PDF umwandelt, dann bestände die Möglichkeit der Änderung."
Stimmt, soweit hatte ich nicht gedacht bisher!

Ich könnte jede einzelne Mail, die ich für relevant erachte, in meinem E-Mailprogramm zusätzlich in ihrem Original-Format speichern und in Lemniscus hochladen und unveränderbar machen. Das wären dann Dateien im Format *.eml oder *.msg. Das sind aber letztlich Text-Dateien, die sich auch einfach manipulieren ließen, wenn man das wollen würde. Also noch bevor man sie in Lemniscus archivieren würde. Deswegen wäre dieser Weg in keiner Weise revisionsischerer als die PDF-Variante.

Letztlich bliebe für 100% revisionssichere Speicherung vermutlich nur der Weg, beim eigenem E-Mailanbieter die revisionssichere Archivierung dazu zu buchen. Wer bei einem Provider ist, der das nicht anbietet, hätte dann gar keine echte Möglichkeit.

Die Datenschutzfrage bleibt bestehen und auch eben die Frage danach, was passiert, wenn man mal den Provider wechseln möchte oder muss!

 

[Andreas Kößler]

Noch eine Überlegung von mir: Reicht es eigentlich nicht aus bei den Terminvergaben und -absagen, wenn wir das Protokoll von Lemniscus dazu verwenden? Dort ist ja alles aufgeführt.

Ich denke, dass das nicht mit der GoBD vereinbar ist, denn die ursprüngliche Datei, in diesem Fall die Bestätigungs-E-Mail, darf nicht verändert werden. Aber das ist meine subjektive Interpretation. Das Thema hat es echt in sich.

 

[Andreas Kößler]

Vielen Dank für die bisherigen Antworten. Es scheint echt nicht so einfach zu sein, dass Thema. Für mich stellt sich gerade die Frage, ob auch eine revisionssichere Speicherung gewährleistet ist, wenn ich nicht automatisch alle E-Mails auf einem Server mit Cloud-Lösung archivieren lasse, sondern einzelne E-Mails auswählen kann und dann ins Archiv schicke. Ich bin gerade mit dieser Firma im Gespräch: https://www.docbox.eu/

 

[Petra Ochs]

Ich denke, dass das nicht mit der GoBD vereinbar ist, denn die ursprüngliche Datei, in diesem Fall die Bestätigungs-E-Mail, darf nicht verändert werden. Aber das ist meine subjektive Interpretation. Das Thema hat es echt in sich.

Wieso soll eine Bestätigungsemail überhaupt gespeichert werden? Damit geht man ja keinen Vertrag ein o.ä.

Dem Finanzamt ist es letztendlich ja nur wichtig, wann Termine gemacht wurden und das deckt Lemniscus mit der Protokolldatei ja gut ab. Eine Bestätigung ist meiner Meinung nach nicht revisionssicher aufzubewahren, sondern dient nur dem Patienten zur Bestätigung, dass die Buchung auch erfolgt ist.

 

[Rupprecht]

Ich sehe das wie Petra! Das blöde ist nur, dass am Ende im Falles eines Falles ganz egal ist, wie einer von uns das sieht. Auch verschiedene Steuerberater werden hier vermutlich unterschiedliche Einschätzungen und Empfehlungen haben, ebenso auch verschiedene Betriebsprüfer und/oder Richter werden sicher nicht einer Meinung sein. Ein halbwegs gescheiter Richter wird bei einem Urteil immer auch die Verhältnismäßigkeit im Blick haben und den Gesamtfall betrachten. (Also gibt es Hinweise auf Steuerbetrug oder nicht?) Und da diese Dinge eben nicht eineindeutig geregelt sind, bleibt ein Ermessensspielraum. Es wird solange hier nicht klarer formuliert wird, ein unklarer Bereich bleiben ohne Handlungssicherheit.
Ich glaube (!), dass wir gut beraten sind, uns in diesem Punkt nicht verrückt machen zu lassen. (Und auch nicht gegenseitig verrückt machen sollten.)
Und um es noch mal zu sagen: sämtliche E-Mails (dann für X Jahre unlöschbar) zu archivieren, halte ich aus Datenschutzgründen im Gesundheitsbereich für nicht verantwortbar und schon gar nicht vom Finanzamt einforderbar.
Treffe ich aber eine subjektive Auswahl der zu archivierenden E-Mails, würde eine echte mögliche Überprüfung durch das Finanzamt ad absurdum geführt.

 

[Andreas Kößler]

Rupprecht, du hast natürlich recht. Verrückt machen ist keine gute Idee. Aber die Auseinandersetzung mit Euch hilft mir sehr, da eine gute Entscheidung zu treffen.
Nochmal die Frage vom Anfang. Kann ich die Weiterleitung auf mein E-Mail-Konto der automatisch generierten Lemniscus Benachrichtigungen für die Patienten deaktivieren?

 

[Rupprecht]

Guten Morgen Andreas,
ja - ich finde den Gedankenaustausch über das Thema auch gut - hilft der eigenen Klarheit
"Kann ich die Weiterleitung auf mein E-Mail-Konto der automatisch generierten Lemniscus Benachrichtigungen für die Patienten deaktivieren?"
Das weiß ich leider auch nicht. Persönlich möchte ich auf diese Weiterleitungen nicht verzichten. Kann sie sehr gut gebrauchen.
Streng genommen sind die Weiterleitungen der Mails, die Lemniscus in meinem Namen und meiner E-Mail-Adresse (!) an Klienten verschickt, ja auch gar nicht primär für mich, sondern eben für meine Klienten, ich bin nur gewissermaßen im CC. Lemniscus ist da letztlich wie ein weiterer E-Mail-Client von mir, da die Mails an die Klienten ja in meinem Namen verschickt werden. (Bin mir aber nicht sicher, ob man das wirklich so sagen kann - technisch gesehen.)
Hab einen schönen Tag
Rupprecht

 

[Evelyn Merk]

Hallo Andreas,

es gibt keine Möglichkeit, die Kopien zu deaktivieren. Die Mails werden nicht protokolliert, daher dienen die Kopien dir zur Kontrolle, ob die eMails auch wirklich an deine Patientys verschickt wurden, falls es z.B. zu Unstimmigkeiten bei nicht eingehaltenen Terminen kommt.

 

[pgtaboada]

Das Thema ist schwierig: es fehlen genaue technische Vorgaben.

Exkurs: Meiner Meinung nach erfüllen alle Lösungen, die die E-Mails auf der Client-Seite und nicht direkt auf der Server-Seite archivieren, nicht die Anforderungen der GoBD - aber wer entscheidet denn, ob es technisch ausreichend ist? Im Prinzip wird es dann entschieden, wenn es irgendwo tatsächlich zu Problemen gekommen ist. Ich habe viele Versprechungen gesehen, die ich eher als Marketing-Rülpser einstufen würde. Wenn Datenschutz ins Spiel kommt, wird es noch komplizierter. Wenn Patientendaten oder Bewerbungsunterlagen im Archiv landen, muss ich sie trotzdem löschen können, was den Zweck des Archivs wiederum aufhebt. Auf "Management/ Entscheider" Ebene tun wir sowas gerne mit "ist doch kein Problem" ab. Sprichst du mit Menschen mit IT Hintergrund, dann merkt man schnell, dass das Problem alles andere als "kein Problem" darstellt. Eine "richtige" Lösung kennt Berechtigungskonzepte, Rollen, Protokolle, Abläufe (wie und warum Informationen anonymisiert/ gelöscht werden dürfen). Sowas funktioniert bei größeren Unternehmen, aber nicht bei "ein-Mensch-Betrieben" (Stichwort Interessenskonflikte).

Als wir durch die GoBD Zertifizierung sind, hatten wir genau diese zwei Fronten durchgehend: was ist gemeint, was ist gewollt, wie kann man es Umsetzen.

Letztendlich muss die Information und nicht die E-Mail festgehalten werden. Wenn die E-Mail nur als Transportmittel und nicht als Informationsursprung dient, muss diese nicht archiviert werden, der Fokus wandert dann in Richtung Informationsquelle. Oder einfacher formuliert: wenn die Informationen beim Schreiben der E-Mail und ausschließlich in der E-Mail zu finden sind: dann ist die E-Mail die Informationsquelle.

Da wir hier in der "lemniscus" Ecke sind: lemniscus ist der Ort, an dem die Informationen entstehen und festgeschrieben werden. Oder einfacher formuliert: wenn die E-Mail verloren geht ist es kein Beinbruch, alle relevanten Informationen stehen im Protokoll:

​

Wir haben schon immer den Terminplan als "Auftragsbuch" verstanden und schreiben Termine fest, die abgerechnet wurden. Auch das Löschen von Terminen mit angehängter Termindokumentation ist nicht möglich. Ein Blick ins Protokoll zeigt, dass wir Terminbestätigungen, Absagen und Verschiebungen erfassen.

Achtung!
Disclaimer!

Das betrifft natürlich nur die Informationen, die bei uns entstehen. Wenn das Therapeuty Terminabsprachen (Reservierungen/ Bestätigungen) zum Beispiel nicht über unseren online Terminzettel sondern per E-Mail abwickelt, dann sind diese E-Mails eventuell archivierungspflichtig.

Auch wenn wir DS-GVO und GoBD zertifiziert sind: diese Zertifizierungen decken natürlich nur die Abläufe ab, die über lemniscus laufen. Wenn man die Terminplanung nicht über uns macht, und den Terminplan eher rückwirkend als "Abrechnungsplan" nutzt, ein Kassenbuch statt der TSE, Dokumentation oder andere Dinge aus lemniscus nicht nutzt - dann sind wir nicht die Stelle, an der Informationen entstehen und festgeschrieben werden. Es ist dann eure kaufmännische Pflicht, so zu handeln, wie Datenschutz und GoBD es verlangen. Wir sind nur ein Werkzeug, das richtig eingesetzt werden will.