Compliance

E-Mail-Archivierung: Rechtliche Pflicht und technische Umsetzung

Welche E-Mails archiviert werden müssen und wie Sie die Anforderungen erfüllen

Geschäftsrelevante E-Mails sind aufbewahrungspflichtig. Die GoBD, § 147 AO und § 257 HGB schreiben vor, dass E-Mails mit steuerrelevanten Inhalten und geschäftlicher Korrespondenz revisionssicher archiviert werden müssen — unveränderbar, vollständig, durchsuchbar und maschinell auswertbar. Ein Outlook-Ordner oder eine PST-Datei erfüllt diese Anforderungen nicht.

Dieser Artikel erklärt, welche E-Mails archiviert werden müssen, welche Anforderungen die GoBD an die E-Mail-Archivierung stellen, welche technischen Ansätze es gibt und welche häufigen Fehler Unternehmen vermeiden sollten.

Welche E-Mails müssen archiviert werden?

Die Abgrenzung zwischen archivierungspflichtigen und privaten E-Mails

Archivierungspflichtig

  • Angebote und Auftragsbestätigungen — gelten als Handels- und Geschäftsbriefe (6 Jahre)
  • Rechnungen (als E-Mail oder Anhang) — gelten als Buchungsbelege (10 Jahre)
  • Reklamationen und Mängelanzeigen — geschäftsrelevante Korrespondenz (6 Jahre)
  • Vertragsverhandlungen und -abschlüsse — je nach Vertragstyp 6-10 Jahre
  • Steuerrelevante Korrespondenz — Kommunikation mit Finanzamt, Steuerberater (10 Jahre)
  • Zahlungsavise und Mahnungen — Buchungsbelege (10 Jahre)

Nicht archivierungspflichtig

  • Private E-Mails von Mitarbeitern — dürfen aus Datenschutzgründen nicht archiviert werden
  • Spam und Newsletter — keine geschäftliche Relevanz
  • Interne Abstimmungs-E-Mails — sofern sie keine steuerrelevanten Inhalte haben
  • Terminvereinbarungen — in der Regel keine Geschäftsbriefe

Praxisproblem: Wenn ein Unternehmen die private E-Mail-Nutzung am Arbeitsplatz erlaubt, darf es nicht alle E-Mails pauschal archivieren — das würde gegen das Fernmeldegeheimnis und die DSGVO verstoßen. Die Lösung: Private E-Mail-Nutzung untersagen (Dienstvereinbarung) oder separate E-Mail-Konten für Privates bereitstellen.

GoBD-Anforderungen an die E-Mail-Archivierung

Was die GoBD konkret für E-Mails verlangen

Unveränderbarkeit

Archivierte E-Mails dürfen nachträglich nicht verändert oder gelöscht werden. Das schließt sowohl den E-Mail-Text als auch die Anhänge, Header-Informationen und Metadaten ein. Technisch wird das durch Hash-Werte und Schreibschutz sichergestellt.

Vollständigkeit

Die E-Mail muss vollständig archiviert werden: Text, Anhänge, Header (Absender, Empfänger, Datum, Betreff) und eingebettete Bilder. Es reicht nicht, nur den Anhang zu speichern und die E-Mail selbst zu löschen.

Durchsuchbarkeit

Archivierte E-Mails müssen durchsuchbar sein — nach Absender, Empfänger, Datum, Betreff und Inhalt. Auch Anhänge müssen durchsuchbar sein, was OCR-Texterkennung für gescannte Dokumente in Anhängen erfordert.

Maschinelle Auswertbarkeit

Die Finanzverwaltung muss bei einer Betriebsprüfung die Möglichkeit haben, archivierte E-Mails maschinell auszuwerten — also zu filtern, zu sortieren und zu exportieren. Ein einfaches E-Mail-Postfach bietet diese Funktion nicht.

Audit-Trail

Jeder Zugriff auf archivierte E-Mails muss protokolliert werden: Wer hat wann welche E-Mail aufgerufen, exportiert oder heruntergeladen?

Technische Ansätze zur E-Mail-Archivierung

Drei Wege zur GoBD-konformen E-Mail-Archivierung

1. Journaling (automatisch)

Beim Journaling wird jede ein- und ausgehende E-Mail automatisch an ein Archivsystem weitergeleitet — in Echtzeit, ohne Benutzerinteraktion. Das ist der sicherste Ansatz, weil keine E-Mail "vergessen" werden kann. Allerdings werden auch alle E-Mails archiviert, was bei erlaubter privater Nutzung problematisch sein kann.

2. Serverseitige Archivierung (Exchange/M365)

Microsoft Exchange und Microsoft 365 bieten integrierte Archivierungsfunktionen (In-Place Archive, Retention Policies). Diese können konfiguriert werden, um E-Mails automatisch nach definierten Regeln zu archivieren. Allerdings liegt die Archivierung dann in der Microsoft-Cloud — was für On-Premises-Anforderungen problematisch ist.

3. Manuelle Ablage

Mitarbeiter speichern geschäftsrelevante E-Mails manuell im Archivsystem — etwa durch Drag-and-Drop in einen überwachten Ordner oder durch Weiterleitung an eine Archiv-E-Mail-Adresse. Dieser Ansatz ist fehleranfällig, weil er von der Disziplin der Mitarbeiter abhängt. Einzelne E-Mails können vergessen werden.

Empfehlung: Für maximale Compliance und minimalen Aufwand ist eine Kombination aus automatischem Import (Journaling oder E-Mail-Postfach-Überwachung) und revisionssicherer Archivierung im PDF/A-Format die beste Lösung. Docuflair Archive unterstützt den automatischen Import aus E-Mail-Postfächern.

Häufige Fehler bei der E-Mail-Archivierung

Diese Fehler können bei einer Betriebsprüfung teuer werden

Fehler 1: PST-Dateien als Archiv

PST-Dateien (Outlook-Datendateien) sind keine revisionssichere Archivierung. Sie können beschädigt werden, bieten keinen Schreibschutz und keine Zugriffsprotokollierung. Zudem sind sie oft auf der lokalen Festplatte des Mitarbeiters gespeichert und werden nicht gesichert.

Fehler 2: E-Mails löschen ohne Prüfung

Viele Mitarbeiter löschen E-Mails routinemäßig, um ihr Postfach aufzuräumen — ohne zu prüfen, ob die E-Mail geschäftsrelevant und damit archivierungspflichtig ist. Eine versehentlich gelöschte Rechnung oder Auftragsbestätigung kann bei einer Betriebsprüfung zum Problem werden.

Fehler 3: Fehlende Verfahrensdokumentation

Selbst wenn die technische E-Mail-Archivierung korrekt funktioniert, fehlt oft die Verfahrensdokumentation. Die GoBD verlangen eine schriftliche Beschreibung, wie E-Mails erfasst, klassifiziert, archiviert und geschützt werden. Ohne diese Dokumentation ist die Archivierung formal nicht GoBD-konform.

Fehler 4: Outlook-Ordner gleich Archiv

Ein Outlook-Ordner namens "Archiv" ist kein Archiv im Sinne der GoBD. E-Mails in Outlook-Ordnern können verschoben, gelöscht und verändert werden. Es gibt keinen Audit-Trail, keinen Schreibschutz und keine maschinelle Auswertbarkeit im Sinne der GoBD.

Fehler 5: Nur Anhänge archivieren

Manche Unternehmen archivieren nur die E-Mail-Anhänge (z. B. die PDF-Rechnung), nicht aber die E-Mail selbst. Das verstößt gegen die Vollständigkeitsanforderung der GoBD: Die E-Mail ist Teil des Geschäftsvorfalls und muss zusammen mit dem Anhang archiviert werden.

E-Mail-Archivierung mit Docuflair

Docuflair Archive importiert E-Mails automatisch aus Ihren Postfächern und archiviert sie revisionssicher im PDF/A-Format — mit OCR-Volltextsuche über E-Mail-Text und Anhänge, lückenlosem Audit-Trail und rollenbasiertem Zugriff. Vollständig On-Premises.

Kostenlose Demo anfordern Docuflair Archive entdecken

Häufig gestellte Fragen

Antworten auf die wichtigsten Fragen zur E-Mail-Archivierung

Welche E-Mails müssen archiviert werden?

Alle geschäftsrelevanten E-Mails müssen archiviert werden: Angebote, Auftragsbestätigungen, Rechnungen, Reklamationen, Vertragsverhandlungen und steuerrelevante Korrespondenz. Private E-Mails von Mitarbeitern dürfen hingegen aus Datenschutzgründen nicht archiviert werden.

Ist ein Outlook-Ordner eine revisionssichere Archivierung?

Nein. Ein Outlook-Ordner oder eine PST-Datei ist keine revisionssichere Archivierung. E-Mails können dort gelöscht, verschoben oder verändert werden, ohne dass ein Protokoll erstellt wird. Die GoBD verlangen unveränderbare, vollständige und maschinell auswertbare Archivierung.

Wie lange müssen geschäftliche E-Mails aufbewahrt werden?

Geschäftliche E-Mails, die als Handels- oder Geschäftsbriefe gelten, müssen 6 Jahre aufbewahrt werden. E-Mails, die als Buchungsbelege dienen (z. B. Rechnungen per E-Mail), müssen 10 Jahre aufbewahrt werden (§ 147 AO, § 257 HGB).

Was ist der Unterschied zwischen E-Mail-Archivierung und E-Mail-Backup?

Ein E-Mail-Backup ist eine Sicherungskopie zur Wiederherstellung bei Datenverlust. Eine E-Mail-Archivierung ist eine GoBD-konforme, unveränderbare Langzeitspeicherung mit Audit-Trail und Volltextsuche. Backups ersetzen keine Archivierung, da sie nicht unveränderbar und nicht revisionssicher sind.

In 15 Min. live erleben

Unverbindlich & kostenlos
Demo starten