E-Mail-Archivierung und Datenschutz: Was Unternehmen rechtlich beachten müssen

Was ist E-Mail-Archivierung?

E-Mail-Archivierung bezeichnet die revisionssichere, langfristige Aufbewahrung von E-Mails in einem dafür vorgesehenen System. Das Ziel ist, E-Mails vollständig, unveränderlich und auswertbar zu speichern - so dass sie im Bedarfsfall, etwa bei einer Betriebsprüfung oder einem Rechtsstreit, als Nachweis dienen können.

Unternehmen müssen zwischen Archivierung und einfacher Datenhaltung unterscheiden. Nicht jedes System, das E-Mails speichert, ist eine GoBD-konforme Archivierungslösung. Die technischen Anforderungen an Archivsysteme sind klar definiert - und gehen weit über das hinaus, was ein normales E-Mail-Postfach leisten kann.

Der Unterschied zwischen Archivierung und Backup

Ein Backup ist eine Datensicherungskopie, die im Notfall die Wiederherstellung des Systemzustands ermöglicht. Ein Backup kann überschrieben, gelöscht oder verändert werden - es dient der IT-Notfallvorsorge, nicht der rechtssicheren Aufbewahrung. Die Archivierung hingegen schreibt E-Mails unveränderlich in ein separates System und protokolliert jeden Zugriff.

Wer glaubt, das regelmäßige Backup des E-Mail-Servers ersetze ein revisionssicheres Archiv, irrt grundlegend. Backups sind nicht GoBD-konform als Archivierungsnachweis. Unternehmen, die ausschließlich auf Backups setzen, riskieren bei Betriebsprüfungen empfindliche Nachteile - weil die Anforderungen an Unveränderlichkeit und Auswertbarkeit nicht erfüllt sind.

Warum Unternehmen eine E-Mail-Archivierungspflicht und Aufbewahrungspflicht trifft

Für Unternehmen ist die Archivierung keine freiwillige Maßnahme. Sobald E-Mails steuerlich relevante Inhalte, Handelsbriefe oder Buchungsbelege enthalten, greifen gesetzliche Aufbewahrungspflichten. Diese verpflichten Unternehmen zur revisionssicheren E-Mail-Archivierung über viele Jahre - in einer nachweislich unveränderlichen Form.

E-Mail-Archivierung: Pflicht oder Kür?

Die Antwort ist eindeutig: Für die meisten Unternehmen ist die Archivierung Pflicht. Die gesetzliche Grundlage ergibt sich aus mehreren Rechtsquellen, die zusammen ein klares Bild ergeben.

§ 257 HGB: Aufbewahrungspflicht für geschäftliche E-Mails

§ 257 HGB verpflichtet Kaufleute, Handelsbriefe sechs Jahre aufzubewahren. Als Handelsbriefe gelten alle Schreiben, die der Anbahnung, Durchführung oder Abwicklung eines Handelsgeschäfts dienen - also Angebote, Bestellungen, Auftragsbestätigungen, Lieferscheine und die allgemeine Geschäftskorrespondenz. E-Mails, die diesen Inhalt transportieren, sind Handelsbriefe im rechtlichen Sinne und unterliegen der Aufbewahrungspflicht nach HGB.

Unternehmen müssen nicht nur empfangene E-Mails archivieren, sondern auch Kopien der gesendeten. Die Archivierung muss daher bidirektional erfolgen - eingehend und ausgehend.

§ 147 AO: Buchungsbelege und steuerrelevante E-Mails 10 Jahre aufbewahren

§ 147 der Abgabenordnung (AO) schreibt für Buchungsbelege, Rechnungen, Verträge und andere steuerlich relevante Unterlagen eine Aufbewahrungspflicht von 10 Jahren vor. Diese 10-Jahres-Frist gilt ausnahmslos - auch dann, wenn das Unternehmen die entsprechenden Vorgänge längst abgeschlossen hat.

In der Praxis bedeutet das: E-Mails, die Rechnungen, Buchungsbelege, Lohnabrechnungen oder steuerrelevante Absprachen enthalten, müssen 10 Jahre im Archiv verbleiben. Die AO lässt hier keinen Spielraum - weder für vorzeitige Löschung noch für unsichere Speicherformen.

GoBD: Die technischen Vorgaben für die E-Mail-Archivierung

Die Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form (GoBD) definieren, wie eine revisionssichere E-Mail-Archivierung technisch umgesetzt sein muss. Die GoBD sind keine optionalen Empfehlungen, sondern verbindliche Vorgaben der Finanzverwaltung. Unternehmen, deren Archivierungslösung die GoBD-Anforderungen nicht erfüllt, haben im Streitfall ein ernsthaftes Problem.

Die GoBD verlangen im Kern: Unveränderlichkeit, Vollständigkeit, Auswertbarkeit, Nachvollziehbarkeit und Zugriffsschutz. Eine einfache Ordnerstruktur auf dem Fileserver oder ein freigegebenes Postfach erfüllen diese GoBD-Vorgaben grundsätzlich nicht.

Welche E-Mails müssen archiviert werden?

Nicht jede E-Mail unterliegt der Archivierungspflicht - aber deutlich mehr als viele Unternehmen annehmen. Grundsätzlich gilt: E-Mails mit steuerlicher oder handelsrechtlicher Relevanz müssen archiviert werden. Dazu zählen nicht nur Rechnungen als Anhänge, sondern auch der Schriftverkehr rund um Aufträge, Bestellungen, Angebote und Vertragsverhandlungen.

E-Mails müssen selbst dann archiviert werden, wenn die relevante Information lediglich im Text der E-Mail steht - ohne separaten Anhang. Anhänge werden automatisch Bestandteil der archivierten E-Mail. Wer Anhänge separat aus dem Archiv heraushalten will, schafft rechtliche Lücken, die bei Betriebsprüfungen zum Problem werden können.

Aufbewahrungsfristen für E-Mails im Überblick

Die Aufbewahrungsfristen für E-Mails richten sich nach dem Inhalt, nicht nach dem Format. Eine pauschale Antwort auf die Frage „Wie lange müssen wir E-Mails aufbewahren?“ gibt es nicht - die Einschätzung hängt stets vom konkreten Inhalt der jeweiligen E-Mail ab.

E-Mails mit 10-jähriger Aufbewahrungsfrist

Für folgende Inhalte gilt nach AO eine Aufbewahrungsfrist von 10 Jahren: Rechnungen und Buchungsbelege jeder Art, Jahresabschlüsse und zugehörige Unterlagen, steuerlich relevante Verträge und Abreden, Lohn- und Gehaltsunterlagen sowie alle Dokumente, die für die Steuerfestsetzung relevant sind. Diese 10-Jahres-Frist beginnt mit dem Ablauf des Kalenderjahres, in dem die Unterlage entstanden ist.

Wenn eine E-Mail eine Rechnung als Anhang enthält oder selbst als Buchungsbeleg fungiert, gilt die 10-Jahres-Frist für diese E-Mail insgesamt. Das Archivsystem muss sicherstellen, dass solche E-Mails inklusive aller Anhänge vollständig erhalten bleiben.

E-Mails mit 6-jähriger Aufbewahrungsfrist

Handelsbriefe im Sinne des HGB unterliegen einer Aufbewahrungsfrist von 6 Jahren. Dazu gehören Angebote, Bestellungen, Auftragsbestätigungen, Lieferscheine sowie die allgemeine Geschäftskorrespondenz, soweit sie ein Handelsgeschäft betrifft. Auch E-Mails, die Vertragsverhandlungen dokumentieren, fallen in der Regel unter diese 6-Jahres-Frist.

E-Mails ohne feste Aufbewahrungsfrist

E-Mails, die keine steuerliche oder handelsrechtliche Relevanz haben, unterliegen keiner gesetzlichen Aufbewahrungspflicht. Für diese E-Mails gilt umgekehrt das Prinzip der Datensparsamkeit nach DSGVO: Sie sollten nicht länger aufbewahrt werden als für den jeweiligen Zweck erforderlich. Das Löschkonzept des Unternehmens muss regeln, wann solche E-Mails zu löschen sind.

Anhänge und E-Mail-Archivierung: Was gilt?

Anhänge sind rechtlich untrennbarer Bestandteil der E-Mail. Wenn eine E-Mail archivierungspflichtig ist, müssen alle Anhänge mit archiviert werden - unabhängig davon, ob die Anhänge selbst steuerliche Relevanz haben. Umgekehrt: Wird eine E-Mail nicht archiviert, weil sie keine Relevanz hat, müssen auch ihre Anhänge nicht im E-Mail-Archiv aufbewahrt werden.

In der Praxis stellt die Verwaltung von Anhängen viele Unternehmen vor Herausforderungen. Große Anhänge blähen die E-Mail-Archivierung auf, Anhänge in proprietären Formaten können nach Jahren nicht mehr geöffnet werden. Eine durchdachte Archivierungslösung muss Anhänge in einem langfristig lesbaren Format abspeichern und sicherstellen, dass sie auch nach einem Formatwechsel noch auswertbar sind.

E-Mail-Archivierung Datenschutz: Was die DSGVO Unternehmen vorschreibt

Beim Thema E-Mail-Archivierung Datenschutz steht die DSGVO nicht im Widerspruch zur Archivierung - sie schränkt sie ein und strukturiert sie. Unternehmen, die beides richtig machen, können E-Mails sowohl rechtskonform archivieren als auch datenschutzkonform behandeln. Der Schlüssel liegt in der sauberen Kategorisierung der E-Mails.

Datensparsamkeit vs. Aufbewahrungspflicht: Der Konflikt

Art. 5 Abs. 1 lit. e DSGVO schreibt das Prinzip der Speicherbegrenzung vor: Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für den Zweck ihrer Verarbeitung erforderlich ist. Im ersten Moment scheint das der Archivierungspflicht zu widersprechen - denn archivierte E-Mails enthalten häufig personenbezogene Daten von Mitarbeitenden, Kunden und Geschäftspartnern.

Der Widerspruch lässt sich auflösen: Für E-Mails, die einer gesetzlichen Aufbewahrungspflicht unterliegen, legitimiert Art. 6 Abs. 1 lit. c DSGVO die Verarbeitung - die Archivierung erfolgt zur Erfüllung einer rechtlichen Verpflichtung. Für E-Mails ohne Aufbewahrungspflicht gilt das Datensparsamkeitsprinzip uneingeschränkt.

Rechtsgrundlage für die E-Mail-Archivierung nach DSGVO

Unternehmen brauchen für die E-Mail-Archivierung eine DSGVO-konforme Rechtsgrundlage. Diese ist für aufbewahrungspflichtige E-Mails klar: Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) oder Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Für die Archivierung im Rahmen der steuerrechtlichen und handelsrechtlichen Aufbewahrungsfristen gilt ersteres - sie ist gesetzlich geboten.

Private E-Mail-Nutzung von Mitarbeitenden: Ein besonderes Datenschutzrisiko

Der größte Datenschutz-Risikofaktor bei der Archivierung ist die ungeregelten Privatnutzung des Dienst-E-Mail-Kontos. Wenn Mitarbeitende das dienstliche E-Mail-Konto auch privat nutzen dürfen - sei es ausdrücklich erlaubt oder stillschweigend geduldet - greift datenschutzrechtlich ein erhöhter Schutzstandard. Private E-Mails von Mitarbeitenden gelten als besonders schützenswert, eine pauschale Vollarchivierung wäre in diesem Fall problematisch.

Die Empfehlung für Unternehmen ist eindeutig: Die private Nutzung dienstlicher E-Mail-Konten schriftlich in einer Nutzungsrichtlinie untersagen und konsequent kommunizieren. Wenn Mitarbeitende das Verbot kennen und akzeptiert haben, ist eine automatische Archivierung aller Konten datenschutzrechtlich deutlich unproblematischer. Unternehmen, die Privatnutzung dulden, müssen technisch oder organisatorisch sicherstellen, dass private E-Mails von Mitarbeitenden nicht in die Archivierung fließen.

Betroffenenrechte und archivierte E-Mails

Die DSGVO-Betroffenenrechte - Auskunft, Berichtigung, Löschung - gelten grundsätzlich auch für archivierte E-Mails. Das Recht auf Löschung kann jedoch nicht geltend gemacht werden, wenn die Archivierung auf einer gesetzlichen Verpflichtung beruht. Wenn Geschäftspartner die Löschung ihrer Daten verlangt, können E-Mails, die einer Aufbewahrungsfrist unterliegen, nicht gelöscht werden.

Personenbezogene Daten in der E-Mail-Korrespondenz

Nahezu jede geschäftliche E-Mail enthält personenbezogene Daten: Namen, E-Mail-Adressen, Telefonnummern, Vertragsinhalte, manchmal auch sensiblere Informationen. Unternehmen müssen in ihrem Verarbeitungsverzeichnis nach Art. 30 DSGVO dokumentieren, dass die Archivierung eine Datenverarbeitung darstellt - inklusive Zweck, Rechtsgrundlage, Aufbewahrungsfristen und technischen Schutzmaßnahmen.

DSGVO-konform archivieren: Das Löschkonzept als Pflichtbestandteil

Archivierung und Löschung gehören zusammen. Ein DSGVO-konformes Archivierungskonzept legt nicht nur fest, welche E-Mails archiviert werden, sondern auch, wann sie wieder gelöscht werden. Das Löschkonzept muss für verschiedene E-Mail-Kategorien unterschiedliche Fristen definieren: 10 Jahre für steuerrelevante Inhalte, 6 Jahre für Handelsbriefe, individuelle Fristen für andere Kategorien.

Technisch sollte die Löschung automatisiert ablaufen. Eine Archivierungslösung, die E-Mails nach Ablauf der Aufbewahrungsfristen nicht automatisch zur Löschung markiert, schafft dauerhaften Verwaltungsaufwand und das Risiko, dass E-Mails länger aufbewahrt werden als erlaubt - was selbst einen DSGVO-Verstoß darstellen kann.

GoBD-konforme E-Mail-Archivierung: Die technischen Anforderungen

Die GoBD definieren fünf technische Kernanforderungen für die E-Mail-Archivierung. Unternehmen, die eine Archivierungslösung einsetzen, müssen sicherstellen, dass diese Lösung alle fünf Kriterien erfüllt.

Unveränderlichkeit: Das wichtigste GoBD-Kriterium

Archivierte E-Mails dürfen nachträglich nicht verändert werden können - weder inhaltlich noch formal. Das schließt Löschen, Ergänzen und Umformatieren aus. Ein System, das E-Mails lediglich auf einem freigegebenen Ordner ablegt, erfüllt dieses Kriterium nicht, weil die Dateien dort veränderbar sind.

Vollständigkeit der Archivierung

Alle aufbewahrungspflichtigen E-Mails müssen vollständig archiviert werden - kein selektives Archivieren, kein Aussortieren. E-Mails müssen inklusive Header-Informationen (Absender*in, Empfänger*in, Datum, Betreff) und aller Anhänge gespeichert werden.

Auswertbarkeit und maschinelle Lesbarkeit

Archivierte E-Mails müssen maschinell lesbar und durchsuchbar sein. Gescannte E-Mails als Bild-PDF ohne Texterkennung (OCR) sind nicht GoBD-konform. Die Archivierungslösung muss eine Volltextsuche über alle archivierten E-Mails ermöglichen - für Betriebsprüfungen und interne Compliance-Anforderungen.

Nachvollziehbarkeit und Protokollierung

Das Archivsystem muss protokollieren, wann eine E-Mail archiviert wurde, von wem auf sie zugegriffen wurde und ob Änderungsversuche stattgefunden haben. Diese Protokollierung ist ein zentrales GoBD-Merkmal - sie schafft die Nachvollziehbarkeit, die Betriebsprüfer*innen verlangen.

Zugriffsschutz und Berechtigungskonzept

Nur berechtigte Personen dürfen auf das E-Mail-Archiv zugreifen. Das erfordert ein dokumentiertes Berechtigungskonzept, das regelt, wer lesenden und wer schreibenden Zugriff hat. In der Regel haben nur die IT-Administration und ausgewählte Führungskräfte Zugriff auf das vollständige Archiv.

DMS als Basis für die E-Mail-Archivierung

Ein Dokumentenmanagementsystem (DMS) ist für viele Unternehmen die sinnvollste Basis für eine rechtskonforme Archivierung. Ein DMS bringt die technischen Voraussetzungen für GoBD-konforme Archivierung bereits mit und kann E-Mails nahtlos in die unternehmensweite Dokumentenverwaltung integrieren.

Was ist ein DMS?

Ein DMS ist eine Software-Lösung zur digitalisierten Verwaltung, Archivierung und Organisation von Dokumenten und Informationen im Unternehmen. Ein modernes DMS verwaltet nicht nur Dokumente im klassischen Sinne, sondern kann auch E-Mails, Verträge, Rechnungen und sonstige Geschäftsunterlagen in einem zentralen, zugriffsgeschützten System zusammenführen.

Führende DMS-Lösungen wie ELO, d.velop, DocuWare oder M-Files sind explizit auf GoBD-Konformität ausgelegt. Ein zertifiziertes DMS bietet von Haus aus unveränderliche Speicherung, Volltextsuche, Protokollierung und Berechtigungsverwaltung - also genau die Eigenschaften, die eine revisionssichere E-Mail-Archivierung verlangt.

E-Mail-Archivierung und E-Mail-Management im DMS: So funktioniert die Integration

Die Integration in ein DMS erfolgt in der Regel über einen E-Mail-Konnektor oder direkte Schnittstellen zum E-Mail-Server (Exchange, Microsoft 365). E-Mails werden beim Eingang oder Versand automatisch an das DMS übergeben, dort klassifiziert und revisionssicher abgelegt. Mitarbeitende können über den gewohnten E-Mail-Client auf die archivierten E-Mails zugreifen, ohne das DMS direkt bedienen zu müssen.

Das DMS übernimmt dabei die vollständige Verwaltung der Aufbewahrungsfristen. Auf Basis der DSGVO- und GoBD-Vorgaben definiert das Unternehmen im DMS, wie lange welche E-Mail-Kategorien aufzubewahren sind - die automatische Löschung nach Ablauf der Fristen wird ebenfalls im DMS gesteuert. So wird das DMS zur zentralen Schaltstelle für Compliance und Datenschutz gleichzeitig.

Vorteile eines DMS gegenüber reinen E-Mail-Archivierungslösungen

Ein DMS bietet gegenüber reinen E-Mail-Archivierungslösungen einen entscheidenden Mehrwert: Es verknüpft E-Mails mit den zugehörigen Geschäftsprozessen. Eine Eingangsrechnung per E-Mail wird im DMS automatisch dem entsprechenden Lieferanten und dem Buchungsvorgang zugeordnet - nicht nur als isoliertes E-Mail-Dokument archiviert.

Für Unternehmen mit wachsenden Compliance-Anforderungen ist das DMS deshalb oft die strategisch sinnvollere Investition als eine separate E-Mail-Archivierungslösung. Das DMS skaliert mit dem Unternehmen, integriert sich in bestehende ERP- und CRM-Systeme und bildet die langfristige Grundlage für digitales Dokumentenmanagement über die E-Mail-Archivierung hinaus.

DMS und Compliance: GoBD-Konformität im Unternehmen sicherstellen

Ein zertifiziertes DMS mit eingebundener E-Mail-Archivierung ist der verlässlichste Weg, GoBD-Konformität und DSGVO-Compliance gleichzeitig sicherzustellen. Das DMS protokolliert automatisch alle notwendigen Informationen, verhindert unberechtigte Änderungen und stellt die geforderte Auswertbarkeit bereit - ohne dass Mitarbeitende manuell tätig werden müssen. In vielen Fällen ist es sinnvoll, diese Themen im Rahmen eines professionellen IT-Full-Service für Unternehmen zu bündeln, damit Betrieb, Sicherheit und Compliance der Archivierung dauerhaft gewährleistet sind.

Technische E-Mail-Archivierungslösungen im Überblick

Für die Archivierung in Unternehmen gibt es verschiedene technische Ansätze. Welche Archivierungslösung passt, hängt von Unternehmensgröße, bestehendem IT-Stack, Compliance-Anforderungen und dem Bedarf an einer ganzheitlichen E-Mail-Archivierungsstrategie ab.

Microsoft 365 Purview: E-Mail-Archivierung für M365-User

Microsoft 365 Purview (ehemals Microsoft Compliance Center) bietet integrierte Werkzeuge zur Archivierung von E-Mails: Aufbewahrungsrichtlinien (Retention Policies) sichern Nachrichten automatisch über definierte Zeiträume, das Online-Archivpostfach erweitert den verfügbaren Speicher, und die Compliance-Features unterstützen bei der GoBD- und DSGVO-Umsetzung.

Microsoft 365 Purview ist für Unternehmen, die bereits auf Microsoft 365 setzen, der naheliegende erste Schritt. Es bietet solide Grundfunktionen zur Archivierung, erreicht aber nicht den Funktionsumfang eines spezialisierten DMS oder einer dedizierten Archivierungslösung. Für vollständige GoBD-Konformität müssen die Retention Policies präzise konfiguriert werden - das erfordert IT-Know-how und Kenntnis der gesetzlichen Aufbewahrungsfristen.

Mailstore Server: E-Mail-Archivierungslösung und E-Mail-Archivierungssoftware für KMU

Mailstore Server ist eine spezialisierte Archivierungslösung, die sich besonders für kleine und mittelständische Unternehmen bewährt hat. Mailstore archiviert alle eingehenden und ausgehenden E-Mails automatisch, stellt sie unveränderlich und durchsuchbar zur Verfügung und bietet eine einfache Benutzeroberfläche für die Administration.

Mailstore Server läuft on-premise auf dem eigenen Server - ein Vorteil für Unternehmen, die ihre E-Mail-Daten nicht in einer Cloud-Archivierungslösung speichern wollen. Mailstore bietet außerdem eine zertifizierte GoBD-konforme Archivierung und integriert sich direkt in Microsoft Exchange und Microsoft 365.

Weitere Archivierungslösungen: Hornetsecurity, Barracuda & Co.

Cloud-basierte Archivierungslösungen wie Hornetsecurity Email Archiving, Barracuda Email Archiver oder Zix Archive bieten den Vorteil, dass die technische Infrastruktur vollständig vom Anbieter betrieben wird. Unternehmen erhalten GoBD-konforme und häufig DSGVO-zertifizierte Archivierung als Managed Service - ohne eigene Serverhardware für die E-Mail-Archivierung betreiben zu müssen.

Archivierung von E-Mails: Cloud vs. On-Premise

Die Entscheidung zwischen Cloud-basierter und On-Premise-Archivierung ist nicht nur technisch, sondern auch datenschutzrechtlich relevant. Cloud-Archivierungslösungen bedeuten, dass E-Mails mit personenbezogenen Daten auf Servern eines Drittanbieters gespeichert werden. Das ist DSGVO-konform möglich, erfordert aber einen Auftragsverarbeitungsvertrag (AVV) mit dem Anbieter und die Sicherstellung, dass der Serverstandort in einem datenschutzrechtlich sicheren Land liegt.

On-Premise-Lösungen wie Mailstore Server oder ein DMS im eigenen Rechenzentrum bieten maximale Datenkontrolle. Der Nachteil: Unternehmen tragen selbst die Verantwortung für Betrieb, Wartung und Datensicherung der Archivierungslösung. Ein regelmäßiges Backup des Archivs ist zwingend notwendig - wobei das Backup hier die IT-Notfallvorsorge abdeckt, nicht die revisionssichere Archivierung selbst.

Häufige Irrtümer bei der E-Mail-Archivierung

In der Praxis begegnen uns als IT-Berater immer wieder die gleichen Irrtümer rund um E-Mail-Archivierung und Datenschutz. Diese Irrtümer können teuer werden.

Irrtum 1: „Das E-Mail-Backup ersetzt die Archivierung“

Ein Backup ist kein Archiv. Backups werden überschrieben, sichern den Systemzustand zu einem bestimmten Zeitpunkt und sind nicht unveränderlich. Die GoBD und die steuerrechtlichen Aufbewahrungspflichten verlangen eine revisionssichere E-Mail-Archivierung - kein Backup kann das leisten. Unternehmen, die sich auf ihr Backup verlassen, haben im Fall einer Betriebsprüfung keine verwertbaren Nachweise.

Irrtum 2: „Spam-Mails und irrelevante E-Mails müssen wir nicht archivieren“

Spam-Mails müssen tatsächlich nicht archiviert werden - sie enthalten keine steuerlich oder handelsrechtlich relevanten Inhalte. Das Problem in der Praxis: Unternehmen können häufig nicht sicher unterscheiden, welche E-Mails archivierungspflichtig sind und welche nicht. Eine selektive, manuelle Archivierung ist fehleranfällig. Die sichere Lösung ist die vollautomatische Archivierung aller geschäftlichen E-Mails mit einem durchdachten Löschkonzept für nicht-aufbewahrungspflichtige Inhalte.

Irrtum 3: „Wir sind zu klein für eine Archivierungspflicht“

Die gesetzlichen Aufbewahrungsfristen nach HGB und AO gelten für alle Kaufleute und Unternehmen - unabhängig von Größe oder Branche. Bereits ein Einzelunternehmen mit einem einzigen Mitarbeitenden ist verpflichtet, Buchungsbelege und Handelsbriefe zu archivieren. Die Unternehmensgröße hat keinen Einfluss auf die Archivierungspflicht, wohl aber auf die Wahl der passenden Archivierungslösung.

Checkliste: E-Mail-Archivierung datenschutzkonform einrichten

Mit dieser Checkliste stellen Unternehmen sicher, dass ihre Archivierung sowohl GoBD- als auch DSGVO-konform aufgestellt ist:

• Privatnutzung dienstlicher E-Mail-Konten durch Mitarbeitende schriftlich geregelt
• Aufbewahrungsfristen nach HGB (6 Jahre), AO (10 Jahre) und GoBD dokumentiert
• Revisionssichere Archivierungslösung im Einsatz (kein einfaches Backup)
• DMS oder spezialisiertes Archivsystem mit GoBD-Zertifizierung evaluiert
• Anhänge werden vollständig und in auswertbaren Formaten archiviert
• Löschkonzept für nicht-aufbewahrungspflichtige E-Mails definiert
• E-Mail-Archivierung im DSGVO-Verarbeitungsverzeichnis eingetragen
• Zugriffsrechte auf das Archiv für alle Mitarbeitenden klar geregelt
• Protokollierung aller Zugriffe auf das E-Mail-Archiv aktiviert
• Regelmäßiges Backup der Archivierungslösung sichergestellt
• Auftragsverarbeitungsvertrag (AVV) mit Cloud-Archivierungsanbieter geschlossen

Fazit: E-Mail-Archivierung ist Compliance-Arbeit

E-Mail-Archivierung ist kein rein technisches Thema - sie ist ein Compliance-Thema, das steuerrechtliche, handelsrechtliche und datenschutzrechtliche Anforderungen gleichzeitig berücksichtigen muss. Unternehmen, die ihre E-Mail-Archivierung richtig aufsetzen, sind bei Betriebsprüfungen auf der sicheren Seite und erfüllen gleichzeitig die DSGVO-Anforderungen. Wer es ignoriert, riskiert Nachteile auf beiden Seiten.

Die Wahl der richtigen Archivierungslösung - ob DMS, Mailstore Server, Microsoft 365 Purview oder eine Cloud-basierte Lösung - hängt von den individuellen Anforderungen des Unternehmens ab. Entscheidend ist nicht das Tool, sondern dass die Archivierung GoBD-konform, DSGVO-konform und mit einem durchdachten Löschkonzept betrieben wird. Du willst deine E-Mail-Archivierung rechtssicher aufsetzen oder prüfen lassen, ob dein aktuelles Setup die gesetzlichen Anforderungen erfüllt? Jetzt IT-Sicherheitsberatung anfragen - wir analysieren deine bestehende Infrastruktur und empfehlen die passende Archivierungslösung für dein Unternehmen.