Ist E-Mail-Archivierung Pflicht? Ja, aber die meisten Unternehmen machen es falsch

Sie löschen geschäftliche E-Mails nach dem Lesen? Dann verstoßen Sie möglicherweise gegen geltendes Recht. Erfahren Sie, welche Nachrichten Sie wie lange aufbewahren müssen und wie Sie teure Fehler bei der Betriebsprüfung vermeiden.

Das Wichtigste in Kürze

• Gesetzliche Pflicht: Alle Unternehmen und Gewerbetreibende in Deutschland müssen steuerlich relevante E-Mails zwischen sechs und zehn Jahren revisionssicher archivieren.
• Kein Backup ausreichend: Die bloße Speicherung in Outlook-Ordnern oder auf Festplatten erfüllt die GoBD-Anforderungen nicht. E-Mails müssen manipulationssicher und jederzeit abrufbar sein.
• Neue Fristen seit 2025: Das Bürokratieentlastungsgesetz IV verkürzte die Aufbewahrungsfrist für Buchungsbelege von zehn auf acht Jahre. Für geschäftsrelevante E-Mails gelten weiterhin sechs bis zehn Jahre.
• Konsequenzen bei Verstößen: Bei fehlender oder mangelhafter Archivierung drohen Steuerschätzungen, Bußgelder bis 5.000 Euro und im schlimmsten Fall strafrechtliche Konsequenzen.

Wie wurde die E-Mail zum unverzichtbaren Geschäftsinstrument?

Die Geschichte der elektronischen Post beginnt mit einem Experiment, das nie für die Öffentlichkeit bestimmt war. Im Jahr 1971 saß der Informatiker Ray Tomlinson in einem Kellerraum der Firma Bolt Beranek and Newman in Massachusetts. Er arbeitete eigentlich am ARPANET, dem Vorläufer des Internets. Nebenbei tüftelte er an einer Möglichkeit, Nachrichten zwischen zwei Computern zu versenden. Als er seinem Kollegen das Ergebnis zeigte, bat dieser ihn: „Sag das niemandem! Das ist nicht das, woran wir arbeiten sollen.“

Tomlinson ahnte nicht, dass er gerade eine Revolution in Gang gesetzt hatte. Er wählte das @-Zeichen als Trennzeichen zwischen Benutzername und Computername. Es war schlicht das einzige Symbol auf seiner Tastatur, das sonst niemand verwendete. An den Inhalt seiner ersten E-Mail konnte er sich später nicht mehr erinnern. Es waren vermutlich belanglose Testzeichen.

Die erste E-Mail in Deutschland erreichte am 3. August 1984 um 10:14 Uhr Michael Rotert an der Universität Karlsruhe. Der Inhalt war freundlich: „Willkommen in CSNET! Michael, This is your official welcome to CSNET.“ Zu diesem Zeitpunkt nutzte kaum jemand außerhalb von Universitäten diese Technologie. Das sollte sich rasch ändern.

Wann begann der E-Mail-Boom in Deutschland?

Die Geburtsstunde der kostenlosen E-Mail für Privatnutzer schlug 1995. In diesem Jahr ging Web.de als „Deutsches Internet Verzeichnis“ online. Zwei Jahre später folgte GMX, damals noch von einem Münchner Kellerraum aus betrieben. Die Gründer Karsten Schramm, Eric Dolatre und Peter Köhnkow erkannten das Potenzial kostenloser Webmail-Dienste. Bereits 1999 hatte GMX eine Million Nutzer.

Diese deutschen Pioniere veränderten das Kommunikationsverhalten grundlegend. Während E-Mail-Adressen zuvor Studenten und Technikbegeisterten vorbehalten waren, konnte sich plötzlich jeder eine digitale Postadresse einrichten. Der Run auf @gmx.de und @web.de begann.

Die Zahlen von heute verdeutlichen die Dimension: Laut einer Pressemitteilung des Digitalverbands Bitkom erhalten Berufstätige in Deutschland durchschnittlich 26 E-Mails pro Tag. Bei den 50- bis 64-Jährigen sind es sogar 30 tägliche Nachrichten. Weltweit sieht das Bild noch eindrucksvoller aus. Daten der Radicati Group bei Statista zeigen, dass 2024 täglich über 361 Milliarden E-Mails versendet und empfangen wurden. Bis 2028 soll diese Zahl auf über 424 Milliarden ansteigen.

Welche rechtlichen Grundlagen gelten für die Archivierung?

Ein einzelnes „E-Mail-Archivierungsgesetz“ existiert in Deutschland nicht. Die Pflicht zur Aufbewahrung ergibt sich aus einem Zusammenspiel verschiedener Vorschriften. Die wichtigsten Rechtsgrundlagen sind das Handelsgesetzbuch (HGB), die Abgabenordnung (AO) und die Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD).

Die GoBD konkretisieren seit 2015 das „Wie“ der digitalen Aufbewahrung. Sie verlangen, dass steuerlich relevante E-Mails unveränderbar, nachvollziehbar, vollständig, richtig und jederzeit verfügbar gespeichert werden. Diese Anforderungen betreffen nicht nur den E-Mail-Text selbst. Auch Metadaten wie Absender, Empfänger, Datum und Uhrzeit sowie sämtliche Anhänge müssen archiviert werden.

Die Aufbewahrungsfristen richten sich nach dem Inhalt der E-Mail:

Zehn Jahre Aufbewahrungspflicht: Jahresabschlüsse, Bilanzen, Buchungsbelege, Inventare und alle E-Mails, die als Buchungsbeleg dienen

Acht Jahre Aufbewahrungspflicht (seit 2025): Buchungsbelege wie Quittungen im Rahmen des neuen Bürokratieentlastungsgesetzes IV

Sechs Jahre Aufbewahrungspflicht: Empfangene und versendete Handels- oder Geschäftsbriefe sowie sonstige steuerlich relevante Unterlagen

Die Frist beginnt übrigens nicht mit dem Versand der E-Mail. Sie startet erst am 31. Dezember des Jahres, in dem die E-Mail erstellt, empfangen oder zuletzt bearbeitet wurde. Eine Rechnung vom 15. Juli 2025 muss also bis zum 31. Dezember 2035 aufbewahrt werden.

Welche E-Mails müssen Sie konkret archivieren?

Die Unterscheidung zwischen archivierungspflichtigen und nicht archivierungspflichtigen E-Mails bereitet vielen Unternehmen Kopfzerbrechen. Grundsätzlich gilt: Jede E-Mail, die einen Geschäftsvorfall vorbereitet, durchführt, abschließt oder rückgängig macht, unterliegt der Aufbewahrungspflicht.

Konkret müssen Sie diese E-Mails archivieren: Angebote und Auftragsbestätigungen, Rechnungen und Mahnungen, Vertragskorrespondenz, Reklamationen und deren Bearbeitung, Bestellungen und Lieferavis sowie alle E-Mails mit steuerlich relevanten Informationen.

Ein häufiger Irrtum betrifft E-Mails mit PDF-Anhängen. Viele Unternehmer glauben, dass sie nur den Anhang speichern müssen, nicht die E-Mail selbst. Das ist falsch. Die E-Mail hat zwar die Funktion eines „Briefumschlags“, enthält aber wichtige Metadaten zur Beweisbarkeit, Herkunft und Echtheit des Dokuments. Im Zweifel sollten Sie beide archivieren.

Nicht archivierungspflichtig sind: rein private E-Mails von Mitarbeitern (falls die Privatnutzung erlaubt ist), Spam und Werbung sowie E-Mails ohne geschäftlichen Bezug wie allgemeine Terminbestätigungen.

Der Sonderfall: Private E-Mails am Arbeitsplatz

Erlauben Sie Ihren Mitarbeitern die private Nutzung der dienstlichen E-Mail-Adresse, stehen Sie vor einem Dilemma. Nach dem Telekommunikationsgesetz werden Sie gegenüber Ihren Beschäftigten zum Telekommunikationsdiensteanbieter. Damit unterliegen Sie dem Fernmeldegeheimnis und dürfen private E-Mails nicht ohne ausdrückliche Einwilligung archivieren.

Die pragmatische Lösung: Untersagen Sie die private Nutzung geschäftlicher E-Mail-Accounts. So vermeiden Sie rechtliche Konflikte zwischen Archivierungspflicht und Datenschutz.

Warum reicht ein einfaches Backup nicht aus?

Ein weit verbreiteter Irrtum lautet: „Wir sichern alle E-Mails monatlich als PST-Archiv. Das reicht doch.“ Diese Aussage ist aus rechtlicher Sicht gefährlich falsch. Ein Backup dient der kurzfristigen Datensicherung, um bei einem Systemausfall Informationen wiederherstellen zu können. Eine revisionssichere Archivierung verfolgt ein völlig anderes Ziel.

Die GoBD verlangen explizit, dass archivierte E-Mails während der gesamten Aufbewahrungsfrist vor Manipulation geschützt sind. PST-Dateien, die Outlook beim lokalen Speichern erstellt, erfüllen diese Anforderung nicht. Sie können nachträglich verändert, beschädigt oder gelöscht werden. Das Gleiche gilt für die einfache Speicherung auf Festplatten, USB-Sticks oder Netzlaufwerken.

Revisionssichere Archivierung bedeutet: Sobald eine E-Mail archiviert ist, kann niemand sie unbemerkt verändern oder löschen. Jede Änderung muss protokolliert werden. Die ursprüngliche Version muss jederzeit rekonstruierbar sein. Bei einer Betriebsprüfung muss das Finanzamt maschinell auf die archivierten Daten zugreifen können.

Auch das Ausdrucken von E-Mails und Abheften in Ordnern erfüllt die Anforderungen nicht. Die GoBD verlangen ausdrücklich, dass digitale Originale auch digital archiviert werden. Der Ausdruck gilt lediglich als Kopie.

Was passiert bei einer Betriebsprüfung ohne ordentliche Archivierung?

Die Konsequenzen mangelhafter E-Mail-Archivierung können Unternehmer härter treffen als gedacht. Im Steuerrecht gilt zwar grundsätzlich die Vermutung, dass eine Buchführung korrekt ist. Stellt der Prüfer jedoch Unregelmäßigkeiten fest, kippt diese Vermutung schnell.

Bei fehlenden oder nicht ordnungsgemäß archivierten E-Mails kann das Finanzamt den steuerlichen Gewinn schätzen. Diese Schätzung fällt erfahrungsgemäß nicht zugunsten des Unternehmens aus. Zusätzlich drohen Bußgelder wegen Ordnungswidrigkeiten bis zu 5.000 Euro nach § 379 AO.

Persönliche Haftung der Geschäftsführung

Besonders heikel: Die Verantwortung für die Einhaltung der GoBD liegt beim Unternehmen, konkret bei der Geschäftsführung. Bei Kapitalgesellschaften haftet der Geschäftsführer persönlich. Eine unterlassene oder mangelhafte E-Mail-Archivierung kann als grob fahrlässiger Verstoß gegen den Anstellungsvertrag gewertet werden.

Im schlimmsten Fall drohen strafrechtliche Konsequenzen. Die Verletzung von Buchführungspflichten nach § 283b Strafgesetzbuch kann mit einer Freiheitsstrafe von bis zu zwei Jahren oder Geldstrafe geahndet werden. Bei vorsätzlicher Steuerverkürzung gelten noch härtere Strafen.

Ein prominentes Beispiel aus den USA zeigt die möglichen Dimensionen: Ein deutsches Unternehmen wurde dort mit einer Geldstrafe von 1,65 Millionen US-Dollar belegt, weil es E-Mails nicht ordnungsgemäß archiviert hatte.

Wie funktioniert eine revisionssichere E-Mail-Archivierung in der Praxis?

Eine professionelle Archivierungslösung arbeitet nach dem sogenannten Journal-Prinzip. Jede ein- und ausgehende E-Mail wird automatisch und in Echtzeit in ein separates Archiv kopiert. Dieses Archiv ist vom produktiven E-Mail-Server getrennt und technisch gegen nachträgliche Veränderungen geschützt.

Die technischen Anforderungen an ein GoBD-konformes Archiv umfassen:

Unveränderbarkeit: E-Mails werden auf WORM-Medien (Write Once Read Many) oder in vergleichbaren Systemen gespeichert, die nachträgliche Änderungen ausschließen.

Vollständigkeit: Das System archiviert automatisch alle E-Mails inklusive Anhängen. Manuelles Eingreifen ist nicht erforderlich.

Ordnungsmäßigkeit: E-Mails werden strukturiert abgelegt und können nach verschiedenen Kriterien durchsucht werden.

Protokollierung: Alle Archiv-Aktionen werden lückenlos dokumentiert. Der Prüfer kann nachvollziehen, wann welche E-Mail archiviert wurde.

Verfügbarkeit: Archivierte E-Mails können jederzeit innerhalb angemessener Zeit abgerufen werden.

Moderne Archivierungslösungen bieten zusätzlich De-Duplizierung und Komprimierung. Dadurch belegen die archivierten Daten bis zu 70 Prozent weniger Speicherplatz als auf dem E-Mail-Server selbst.

Welche Softwarelösungen eignen sich für KMU?

Der Markt für E-Mail-Archivierung bietet Lösungen für jede Unternehmensgröße. Für kleine und mittelständische Unternehmen haben sich einige Anbieter besonders etabliert.

MailStore Server

Mit über 100.000 Kunden weltweit zählt MailStore zu den bekanntesten Archivierungslösungen im deutschsprachigen Raum. Die Software ist IDW PS 880 und DSGVO zertifiziert. Sie unterstützt nahezu alle gängigen E-Mail-Systeme von Microsoft 365 über Google Workspace bis zu On-Premise-Lösungen wie Exchange. Die Installation erfolgt auf einem Windows Server, was für reine Linux-Umgebungen zusätzliche Kosten verursacht.

REDDOXX MailDepot

Diese Lösung arbeitet unabhängig vom eingesetzten Mailserver. Ob Microsoft Exchange, Microsoft 365, Zimbra oder HCL Notes (früher Lotus Notes): Die Integration erfolgt unkompliziert. MailDepot wird als virtuelle Appliance installiert und ist innerhalb weniger Schritte einsatzbereit. Besonders praktisch: Bei einem Wechsel des E-Mail-Systems funktioniert die Archivierung weiter.

Cloud-basierte Alternativen

Für Unternehmen ohne eigene IT-Infrastruktur bieten sich Cloud-Lösungen an. Diese erfordern keine lokale Installation und skalieren flexibel mit dem Unternehmenswachstum. Wichtig: Achten Sie darauf, dass die Rechenzentren des Anbieters in Deutschland oder der EU stehen. Nur so unterliegen Ihre Daten dem deutschen Datenschutzrecht.

Bei der Auswahl einer Lösung sollten Sie auf folgende Kriterien achten: GoBD-Zertifizierung oder Testat, Kompatibilität mit Ihrem E-Mail-System, einfache Bedienbarkeit für Endanwender, schnelle Suchfunktion und regelbasierte Löschung nach Ablauf der Aufbewahrungsfristen.

Apropos professionelle Archivierungslösungen: Wer nach einem zuverlässigen Partner für revisionssichere E-Mail Archivierung sucht, findet bei spezialisierten Schweizer Anbietern durchdachte Komplettlösungen für den deutschen Markt.

Wie bringen Sie DSGVO und Archivierungspflicht unter einen Hut?

Die Datenschutz-Grundverordnung und die steuerlichen Aufbewahrungspflichten scheinen auf den ersten Blick unvereinbar. Die DSGVO verlangt die Löschung personenbezogener Daten, sobald der Verarbeitungszweck erfüllt ist (Recht auf Vergessenwerden). Die GoBD verlangen dagegen eine jahrelange Speicherung.

Ist Microsoft Exchange DSGVO-konform? Risiken bei E-Mail-Archivierung

Die gute Nachricht: Beide Regelwerke lassen sich vereinbaren. Die DSGVO sieht ausdrücklich vor, dass eine Verarbeitung personenbezogener Daten rechtmäßig ist, wenn sie zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist. Die steuerlichen Aufbewahrungspflichten aus AO und HGB stellen eine solche rechtliche Verpflichtung dar.

Daraus folgt: Während der gesetzlichen Aufbewahrungsfristen dürfen und müssen Sie E-Mails archivieren. Nach Ablauf der Fristen müssen Sie personenbezogene Daten jedoch löschen. Eine professionelle Archivierungslösung unterstützt Sie dabei mit regelbasierten Löschmechanismen, die automatisch greifen.

Besondere Vorsicht ist bei E-Mails geboten, die niemals archiviert werden dürfen: Bewerbungsunterlagen abgelehnter Kandidaten, vertrauliche Korrespondenz zwischen Mitarbeitern und Betriebsrat sowie Kommunikation mit dem Betriebsarzt. Hier drohen bei dauerhafter Speicherung empfindliche DSGVO-Bußgelder.

Lesetipps:

• Zeiterfassungsgesetz: Das müssen Sie auch in 2026 wissen
• Bildungsurlaub in der Agentur 🤿: Pflicht oder echter Wettbewerbsvorteil?
• Microsoft 365 Tricks 🪄, die Sie jeden Tag effizienter arbeiten lassen
• Vertragsmanagement 📑: So reduzieren Sie Risiken und gewinnen echte Kontrolle zurück
• Digitaler Posteingang 📨: Warum die Digitalisierung kein Nice-to-have mehr ist

Was sollten Sie jetzt konkret tun?

Der wichtigste Schritt ist die Bestandsaufnahme. Prüfen Sie, wie Ihr Unternehmen derzeit E-Mails archiviert. Falls Sie lediglich auf Outlook-Ordner oder manuelle Backups setzen, besteht dringender Handlungsbedarf.

Erstellen Sie als Nächstes eine Verfahrensdokumentation. Die GoBD verlangen, dass Sie dokumentieren, wie E-Mails in Ihrem Unternehmen empfangen, verarbeitet, archiviert und gelöscht werden. Diese Dokumentation muss für einen sachverständigen Dritten nachvollziehbar sein.

Implementieren Sie dann eine geeignete Archivierungslösung. Viele Anbieter bieten kostenlose Testversionen an. So können Sie ohne Risiko prüfen, ob die Software zu Ihren Anforderungen passt.

Schulen Sie abschließend Ihre Mitarbeiter. Die beste Archivierungslösung nützt nichts, wenn Ihre Mitarbeiter sie nicht verstehen oder umgehen. Erklären Sie, warum E-Mail-Archivierung wichtig ist und wie sie funktioniert.

Die Investition in eine professionelle E-Mail-Archivierung ist überschaubar. Selbst für kleine Unternehmen gibt es Lösungen ab wenigen Euro pro Postfach und Monat. Im Vergleich zu den möglichen Konsequenzen einer Betriebsprüfung ohne ordnungsgemäße Archivierung ist das ein geringer Preis für Ihre Rechtssicherheit.

Glossar: 15 wichtige Fachbegriffe zur E-Mail-Archivierung

Abgabenordnung (AO)

Abgabenordnung (AO) bezeichnet das grundlegende Steuerverfahrensrecht in Deutschland. Sie regelt unter anderem die Aufbewahrungspflichten für steuerlich relevante Unterlagen in § 147 und bildet gemeinsam mit dem HGB die gesetzliche Basis für die E-Mail-Archivierung.

Aufbewahrungsfrist

Aufbewahrungsfrist ist der gesetzlich vorgeschriebene Zeitraum, in dem Geschäftsunterlagen aufbewahrt werden müssen. Für E-Mails gelten je nach Inhalt sechs, acht oder zehn Jahre. Die Frist beginnt mit dem Schluss des Kalenderjahres, in dem die E-Mail erstellt oder empfangen wurde.

Betriebsprüfung

Betriebsprüfung bezeichnet die Überprüfung der steuerlichen Verhältnisse eines Unternehmens durch das Finanzamt. Bei dieser Prüfung muss das Unternehmen alle archivierungspflichtigen E-Mails maschinell auswertbar zur Verfügung stellen können.

De-Duplizierung

De-Duplizierung ist ein technisches Verfahren, bei dem identische E-Mails und Anhänge nur einmal im Archiv gespeichert werden. Diese Methode reduziert den Speicherbedarf erheblich, da beispielsweise ein Anhang, der an mehrere Empfänger gesendet wurde, nur einmal archiviert wird.

DSGVO

DSGVO steht für Datenschutz-Grundverordnung und regelt den Umgang mit personenbezogenen Daten in der EU. Sie verlangt unter anderem die Löschung von Daten nach Zweckerfüllung, was bei der E-Mail-Archivierung mit den steuerlichen Aufbewahrungspflichten abgewogen werden muss.

GoBD

5 Mythen über die GoBD – Was du unbedingt wissen musst

GoBD ist die Abkürzung für „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“. Diese Verwaltungsvorschrift des Bundesfinanzministeriums definiert, wie digitale Unterlagen archiviert werden müssen.

Journal-Archivierung

Journal-Archivierung beschreibt ein Verfahren, bei dem alle ein- und ausgehenden E-Mails automatisch und in Echtzeit in ein separates Archiv kopiert werden. Diese Methode stellt sicher, dass keine archivierungspflichtige E-Mail verloren geht oder manipuliert werden kann.

Metadaten

Metadaten sind Informationen über eine E-Mail, die nicht zum eigentlichen Inhalt gehören. Dazu zählen Absender, Empfänger, Datum, Uhrzeit und Betreff. Diese Daten müssen bei der revisionssicheren Archivierung vollständig mit der E-Mail gespeichert werden.

PST-Datei

PST-Datei (Personal Storage Table) ist ein Dateiformat von Microsoft Outlook zur lokalen Speicherung von E-Mails. PST-Dateien erfüllen nicht die GoBD-Anforderungen an revisionssichere Archivierung, da sie nachträglich verändert oder beschädigt werden können.

Retention Policy

Retention Policy bezeichnet eine Richtlinie, die festlegt, wie lange bestimmte E-Mail-Kategorien aufbewahrt werden müssen. Professionelle Archivierungslösungen ermöglichen die Definition verschiedener Aufbewahrungsregeln, die automatisch angewendet werden.

Revisionssicherheit

Revisionssicherheit bedeutet, dass archivierte Dokumente während der gesamten Aufbewahrungsfrist unveränderbar, vollständig und jederzeit verfügbar sind. Änderungen müssen protokolliert werden, und die Originalversion muss rekonstruierbar bleiben.

Verfahrensdokumentation

Verfahrensdokumentation ist eine schriftliche Beschreibung aller Prozesse rund um die Erfassung, Verarbeitung, Speicherung und Löschung von Geschäftsunterlagen. Die GoBD verlangen diese Dokumentation, damit ein sachverständiger Dritter die Abläufe nachvollziehen kann.

Volltextindizierung

Volltextindizierung ist ein Verfahren, bei dem der gesamte Inhalt einer E-Mail einschließlich Anhängen durchsuchbar gemacht wird. Diese Funktion ermöglicht das schnelle Auffinden archivierter E-Mails anhand von Stichworten bei Betriebsprüfungen oder internen Recherchen.

WORM

WORM steht für „Write Once Read Many“ und bezeichnet Speichermedien oder -systeme, auf denen Daten nur einmal geschrieben, aber beliebig oft gelesen werden können. Diese Technologie verhindert nachträgliche Manipulation und ist eine Grundlage revisionssicherer Archivierung.

Zwei-Faktor-Authentifizierung

Zwei-Faktor-Authentifizierung ist eine Sicherheitsmethode, bei der neben dem Passwort ein zweiter Faktor (beispielsweise ein Code auf dem Smartphone) zur Anmeldung erforderlich ist. Bei E-Mail-Archiven schützt sie vor unbefugtem Zugriff auf sensible Geschäftskorrespondenz.

FAQ