Melden Sie sich zu unserem Newsletter an!

In unserem monatlich erscheinenden Newsletter informieren wir Sie über alle wichtigen Ereignisse, Neuerungen sowie Urteile. Melden Sie sich an und sichern Sie sich unsere Flowchart "Kaltakquise: Benötige ich eine Einwilligung?".

Jetzt anmelden!

© Maarten van de Heuvel, Unsplash

Warum, wie und wo? – FAQ zur E-Mail-Archivierung

Zuletzt aktualisiert am 28. Juni 2024

E-Mails sind schnell verschickt, weg sortiert oder gelöscht. Doch: Auch E-Mails können Handelsbriefe, steuerrechtlich relevant oder bei der Durchsetzung von Rechtsansprüchen ein wichtiges Beweismittel sein. Genau wie der physische Handelsbrief in einen Ordner sortiert und bis zum Ende der Aufbewahrungsfrist abgeheftet wird, müssen auch gewisse E-Mails aufbewahrt werden.

In den meisten Unternehmen liegen die empfangenen und versendeten E-Mails in den Postfächern der Mitarbeitenden und in einem Backup. Scheiden Mitarbeitende aus dem Unternehmen aus, stehen steuerrechtliche Überprüfungen an oder kommt eine Löschanfrage rein, liegen nicht unbedingt alle benötigten E-Mails vor. Hier kann eine E-Mail-Archivierung Abhilfe schaffen.

Doch welche Vorschriften müssen beachtet werden und welche Vorgaben ergeben sich daraus? Wie kann man sicherstellen, dass die E-Mail-Archivierung den rechtlichen Anforderungen entspricht und gleichzeitig effizient und sicher umgesetzt wird? 

Welche rechtlichen Vorschriften müssen beachtet werden?

Es gibt keine allgemeine Pflicht zur Aufbewahrung von E-Mails. Allerdings ergibt sich aus verschiedenen rechtlichen Vorschriften eine Aufbewahrungspflicht von bestimmten E-Mails und Anhängen. Wie lange Dateien aufbewahrt werden müssen, hängt dabei jeweils von ihrer Art und der anzuwendenden rechtlichen Vorschrift ab. Gemäß Abgabenordnung (AO) müssen zum Beispiel E-Mails für bis zu zehn Jahre aufbewahrt werden, wenn sie in Zusammenhang stehen mit Aufträgen, Vertragsabschlüssen, Buchungsbelegen, Arbeitsanweisungen oder Jahresabschlüssen. Hinzu kommt das Handelsgesetzbuch (HGB), nach dem Handelsbriefe aufbewahrt werden müssen. Das gilt genauso für E-Mails.
Auch E-Mails mit steuerlich relevanten Informationen müssen alle Unternehmen in Deutschland unabhängig von ihrer Größe oder Branche aufbewahren. Hier greifen die GoBD: die Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff. Diese regeln die formalen Anforderungen an die Aufbewahrung von steuerrechtlich relevanten elektronischen Daten und die Buchführung.
Zusätzlich müssen Unternehmen die Datenschutz-Grundverordnung (DSGVO) beachten. Insbesondere die Rechte von Betroffenen auf Auskunft, Datenübertragbarkeit, Widerspruch oder Löschung sind hier relevant. Derartige Anfragen können mit einer entsprechenden E-Mail-Archivierung leichter beantwortet werden. Außerdem können erforderliche Löschkonzepte einfacher umgesetzt werden. Besteht keine Aufbewahrungspflicht, müssen personenbezogene Daten nach Zweckerfüllung nämlich gelöscht werden.
Werden die rechtlichen Vorgaben nicht beachtet, kann es zu steuerrechtlichen Nachteilen (wenn Unterlagen fehlen, schätzt das Finanzamt), der persönlichen Haftung von Verantwortlichen, Datenschutzvorfällen oder Nachteilen bei Gewährleistungsansprüchen und Schadensersatzforderungen kommen. 

Welche Vorgaben muss eine E-Mail-Archivierung erfüllen?

Gemäß den GoBD muss eine E-Mail-Archivierung folgende Vorgaben erfüllen:
  • Vollständigkeit
  • Manipulationssicherheit
  • Jederzeitige Verfügbarkeit
  • Maschinelle Lesbarkeit und Möglichkeiten der Auswertung (Volltextsuche)
Unternehmen müssen die E-Mails nicht nur archivieren, sondern auch den Umgang mit der elektronischen Post dokumentieren. In einer Verfahrensdokumentation müssen Empfang und Versand von aufbewahrungspflichtigen bzw. steuerrechtlich relevanten E-Mails beschrieben werden. Sie sollte auch die eingesetzten IT-Systeme und die Vorgehensweise bei der Indexierung und Klassifizierung der E-Mails umfassen.
Die E-Mails sind dabei unverändert und im Original – also digital – aufzubewahren. Ausdrucke stellen eine Kopie dar und erfüllen nicht die Vorgabe der maschinellen Lesbarkeit. Falls steuerrechtlich relevant, müssen auch Dateianhänge oder Mail-Attribute archiviert werden. E-Mails dürfen unter bestimmten Bedingungen auch konvertiert werden, solange keine aufbewahrungspflichtigen Informationen verlorengehen oder verändert werden und das neue Format weiterhin maschinell lesbar und auswertbar ist. Die Konvertierung muss zudem in der Verfahrensdokumentation beschrieben werden.
Zusätzlich müssen E-Mails indexiert und klassifiziert werden, damit sie den jeweiligen Geschäftsvorfällen oder Buchungsbelegen fehlerfrei zugeordnet werden können. Steuerrechtlich relevante E-Mails sollten dabei separat von steuerrechtlich nicht relevanten E-Mails aufbewahrt werden. Diese Trennung erleichtert die Verwaltung und reduziert das Risiko, dass wichtige Informationen übersehen werden.
Die GoBD verlangen außerdem, dass alle E-Mails manipulationssicher aufbewahrt werden. Dies bedeutet, dass die E-Mails nicht nachträglich verändert oder gelöscht werden dürfen. Jede Änderung oder Löschung muss nachvollziehbar dokumentiert werden. Dies stellt sicher, dass die Integrität der archivierten Daten jederzeit gewährleistet ist.
Es reicht also nicht aus, E-Mails im E-Mail-Tool (wie z. B. MS-Outlook) zu archivieren. Denn so wird das Kriterium der Revisionssicherheit nicht eingehalten. Stattdessen müssen Sie aufbewahrungspflichtige E-Mails digital in einem speziellen Archivsystem GoBD-konform ablegen. 

Welche zusätzlichen Vorteile bringt eine E-Mail-Archivierung?

Eine E-Mail-Archivierung ist mehr als nur das Speichern von E-Mails. Sie umfasst die systematische Erfassung, Speicherung und Verwaltung von E-Mails und deren Anhängen, sodass sie jederzeit zugänglich und auswertbar sind. Eine ordnungsgemäße E-Mail-Archivierung sorgt dafür, dass E-Mails unverändert und vollständig aufbewahrt werden und schützt vor Datenverlust.
Die Vorteile einer E-Mail-Archivierung für Unternehmen sind vielfältig. Neben der Erfüllung gesetzlicher Anforderungen hilft sie, die Effizienz und Produktivität zu steigern, indem sie den Zugriff auf wichtige Informationen erleichtert. Darüber hinaus bietet sie Schutz vor Datenverlust, da alle relevanten E-Mails sicher und langfristig gespeichert werden. Dies ist besonders wichtig im Falle von rechtlichen Auseinandersetzungen oder steuerlichen Prüfungen

Wie ist eine E-Mail-Archivierung umzusetzen?

Eine E-Mail-Archivierung ist also eine Ergänzung zum eigenen Mail-System. Die Administration kann hierbei genau festlegen, welche E-Mails zu welchem Zeitpunkt in das Archiv übertragen und wann sie aus dem System gelöscht werden.
Bei der Entscheidung, welche E-Mails wie lange aufbewahrt werden, sollte vor allem auf die DSGVO geachtet werden. Ist der Zweck, zu dem personenbezogene Daten erhoben wurden, erfüllt und gibt es keine Aufbewahrungspflicht, müssen personenbezogene Daten gelöscht werden. Eine pauschale Speicherung von E-Mails birgt ein hohes Potenzial für Datenschutzverletzungen.
Ein wichtiger Punkt bei der Implementierung ist die Kompatibilität. Lösungen für die E-Mail-Archivierung sollten sich problemlos in Ihre bestehende Infrastruktur integrieren lassen. Das Mailarchivierungssystem muss zudem rechtskonform im Netzwerk platziert werden. Eine zentrale Verwaltung erleichtert die Administration und stellt sicher, dass alle E-Mails gemäß den gesetzlichen Vorgaben archiviert werden.
Außerdem muss die Ablage in der E-Mail-Archivierung revisionssicher sein. Das heißt, es darf technisch nicht möglich sein, Änderungen an den E-Mails vorzunehmen. Für die Löschung von E-Mails sollten Sie Regeln und Automatisierungen einpflegen. Beispielsweise kann festgelegt werden, dass E-Mails nach Ablauf einer bestimmten Frist automatisch gelöscht werden, sofern keine gesetzlichen Aufbewahrungspflichten mehr bestehen.
Archivierte E-Mails müssen zudem im Volltext recherchierbar und zu bestimmten Geschäftsvorfällen und Buchungsbelegen zuordenbar sein. Die Durchsuchbarkeit ist u. a. für die Bearbeitung von Betroffenenanfragen gemäß DSGVO relevant. Außerdem bietet sich eine Lösung mit integriertem Spamfinder an, damit Spam-Mails gar nicht erst archiviert werden und Speicherplatz fressen.
Für Steuerprüfungen müssen Sie „privilegierte User“ mit Leserechten einrichten, wenn die Wahl auf einen unmittelbaren Zugriff gefallen ist. Zudem müssen Sie ggf. eine Betriebs- bzw. Dienstvereinbarung schließen, um den Zugriff auf archivierte E-Mails klar zu regeln. 

Reicht ein Backup als E-Mail-Archivierung aus?

Grundsätzlich gilt: Ein Backup ist nicht das gleiche wie eine Archivierung. Mit einem Backup können Daten – so auch E-Mails – über einen bestimmten Zeitraum gesichert werden. Backups dienen dabei primär der Wiederherstellbarkeit von Daten. Sie sind nicht revisionssicher und in der Regel nicht auf bestimmte Inhalte hin durchsuchbar. Außerdem lassen sich Informationen verändern oder löschen. Backups reichen also für eine umfassende Rechtssicherheit nicht aus.
Organisationen sollten daher ein spezielles E-Mail-Archivierungssystem nutzen, das die gesetzlichen Anforderungen erfüllt und zusätzlich Backups durchführen, um Datenverlust vorzubeugen. Ein Backup der Archivierung ist ebenfalls sinnvoll, um das Archivierungssystem vor Ausfällen und Datenverlusten zu schützen. 

Wie sehen Best Practices für die E-Mail-Archivierung aus?

Damit E-Mail-Archivierungen nicht nur rechtssicher, sondern auch effizient sind und die Arbeit erleichtern, können Sie einige Best Practices umsetzen:
1. Regelmäßige Überprüfung und Anpassung der Archivierungsprozesse
Stellen Sie sicher, dass Ihre E-Mail-Archivierung den aktuellen gesetzlichen Anforderungen entspricht. Passen Sie Ihre Prozesse regelmäßig an, um Veränderungen in den GoBD oder der DSGVO zu berücksichtigen.
2. Schulung der Mitarbeitenden
Mitarbeitende sollten regelmäßig geschult werden, um sicherzustellen, dass sie die Bedeutung der E-Mail-Archivierung und die damit verbundenen Prozesse verstehen. Dies umfasst die richtige Handhabung und Klassifizierung von E-Mails, um sicherzustellen, dass alle relevanten Informationen archiviert werden.
3. Implementierung von Löschkonzepten und Automatisierungen
Erstellen Sie klare Regeln und Automatisierungen für die Löschung von E-Mails, die nicht mehr aufbewahrungspflichtig sind. Dies hilft, Speicherplatz zu sparen und sicherzustellen, dass personenbezogene Daten gemäß DSGVO rechtzeitig gelöscht werden.
4. Trennung von steuerrechtlich relevanten und nicht relevanten E-Mails
Sorgen Sie dafür, dass steuerrechtlich relevante E-Mails separat von nicht relevanten E-Mails aufbewahrt werden. Dies erleichtert die Verwaltung und reduziert das Risiko, dass wichtige Informationen übersehen werden.
5. Nutzung von Such- und Indexierungsfunktionen
Eine gute E-Mail-Archivierungslösung sollte leistungsfähige Such- und Indexierungsfunktionen bieten, damit archivierte E-Mails schnell und einfach wiedergefunden werden können. Dies ist besonders wichtig für die Bearbeitung von Betroffenenanfragen gemäß DSGVO und für interne Audits. Zudem ist die Klassifizierung von Daten nach Vertraulichkeit oder Geheimhaltungsstufen wesentlich, um den Zugriff auf sensible Informationen zu steuern und Sicherheitsanforderungen zu erfüllen.
6. Integration in bestehende IT-Infrastrukturen
Stellen Sie sicher, dass Ihre E-Mail-Archivierungslösung nahtlos in Ihre bestehende IT-Infrastruktur integriert ist. Dies minimiert den Verwaltungsaufwand und reduziert potenzielle Sicherheitsrisiken.
7. Sicherstellung der Revisionssicherheit
Achten Sie darauf, dass Ihre E-Mail-Archivierung revisionssicher ist, das heißt, dass archivierte E-Mails nicht nachträglich verändert oder gelöscht werden können. Jede Änderung oder Löschung muss nachvollziehbar dokumentiert werden. 

Fazit

Mit einer geeigneten Lösung können Sie E-Mails nicht nur rechtssicher archivieren – Sie sparen auch wertvolle Zeit bei der Ablage und Verwaltung und können E-Mails in Sekundenschnelle wiederfinden. Auch wenn Mitarbeitende das Unternehmen verlassen, haben Sie Zugriff auf die gesendeten und empfangenen Mails. Eine E-Mail-Archivierung ist zwar für alle Unternehmen in Deutschland Pflicht, richtig eingesetzt bietet sie aber auch Mehrwerte für Unternehmen: von der Reduzierung des Speicherbedarfs über die Verbesserung der Compliance bis hin zur Erleichterung der Datenwiederherstellung.

Wir unterstützen Sie!

Sie möchten eine E-Mail-Archivierung einführen? Wir beraten Sie gerne, was Sie in Bezug auf den Datenschutz bei der Archivierung beachten müssen, welche Anforderungen ein Programm erfüllen muss und was Sie bei der Implementierung und Konfiguration – Stichwort Privacy by Design und Default – bedenken sollten.

Sprechen Sie uns an und erfahren Sie, wie wir Ihnen helfen können, Ihre E-Mail-Archivierung gesetzeskonform und effizient zu gestalten.  

Sprechen Sie uns an!
Person sitzt mit einer Zeitung auf einer Bank

Sie wollen up to date bleiben?

In unserem monatlich erscheinenden Newsletter informieren wir Sie über alle wichtigen Ereignisse, Neuerungen sowie Urteile. Melden Sie sich an und sichern Sie sich die Ergebnisse unserer aktuellen Datenschutz-Umfrage!

Newsletter Anmeldung

Quellen

Pfliegl, Konstantin (2019): „Lästig, aber wichtig: E-Mail-Archivierung“, 22. August 2019, com! Professional!, https://www.com-magazin.de/praxis/e-mail/laestig-wichtig-e-mail-archivierung-1748302.html, letzter Zugriff am 10. Februar 2022.

Haufe (o. J.): „GoBD (Grundsätze ordnungsgemäßer Buchführung und Dokumentation), https://www.haufe.de/thema/gobd/, letzter Zugriff am 10. Februar 2022.

Bundesministerium der Finanzen (2019): „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD)“, 28. November 2019, https://www.bundesfinanzministerium.de/Content/DE/Downloads/BMF_Schreiben/Weitere_Steuerthemen/Abgabenordnung/2019-11-28-GoBD.pdf?__blob=publicationFile&v=13, letzter Zugriff am 10. Februar 2022. 

Wir verwenden Cookies
Cookie-Einstellungen
Unten finden Sie Informationen über die Zwecke, für welche wir und unsere Partner Cookies verwenden und Daten verarbeiten. Sie können Ihre Einstellungen der Datenverarbeitung ändern und/oder detaillierte Informationen dazu auf der Website unserer Partner finden.
Analytische Cookies Alle deaktivieren
Funktionelle Cookies
Andere Cookies
Wir verwenden technische Cookies, um die Inhalte und Funktionen unserer Webseite darzustellen und Ihren Besuch bei uns zu erleichtern. Analytische Cookies werden nur mit Ihrer Zustimmung verwendet. Mehr über unsere Cookie-Verwendung
Einstellungen ändern Alle akzeptieren
Cookies