E-Mail-Archivierung ist Pflicht, keine Option
Gesetzliche Anforderungen, GoBD, NIS 2 und DORA im Überblick
E-Mail-Archivierung steht bei vielen Unternehmen nicht oben auf der Prioritätenliste, bis eine Betriebsprüfung, ein Rechtsstreit oder ein Cyberangriff die Frage nach der revisionssicheren Archivierung aufwirft. Dabei ist die E-Mail-Archivierung in Deutschland keine Option, sondern gesetzliche Pflicht.
Wer geschäftliche E-Mails nicht GoBD-konform archiviert, riskiert steuerliche Nachteile, Bußgelder und Reputationsschäden. Gleichzeitig steigen durch NIS 2, DORA und weitere EU-Regelwerke die Anforderungen an IT-Sicherheit, Nachvollziehbarkeit und Datenintegrität kontinuierlich.
Gesetzliche Pflicht zur E-Mail-Archivierung nach AO und HGB
Die gesetzlichen Aufbewahrungsfristen sind eindeutig geregelt, insbesondere in §147 Abgabenordnung (AO) und §257 Handelsgesetzbuch (HGB):
-10 Jahre: Handelsbücher, Inventare, Jahresabschlüsse, Lageberichte, Eröffnungsbilanzen u. a.
-8 Jahre: Buchungsbelege, Rechnungen
-6 Jahre: Handels- und Geschäftsbriefe
Sind E-Mails aufbewahrungspflichtig?
Ja. Nach den GoBD (Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form) gelten diese Fristen ausdrücklich auch für elektronische Kommunikation. Geschäftliche E-Mails gelten als Handels- oder Geschäftsbriefe im Sinne von AO und HGB und unterliegen damit der gesetzlichen Archivierungspflicht.
Die Anforderungen an die GoBD-konforme E-Mail-Archivierung
Relevante E-Mails müssen gemäß GoBD
- vollständig archiviert werden,
- im Originalzustand gespeichert bleiben,
- unveränderbar abgelegt sein,
- nachvollziehbar dokumentiert werden,
- und jederzeit verfügbar sein, auch nach vielen Jahren.
Eine einfache Ablage im Postfach oder eine Backup-Lösung erfüllt diese Anforderungen in der Regel nicht. Ohne ein revisionssicheres E-Mail-Archiv drohen bei Betriebsprüfungen erhebliche steuerliche Risiken.
Regulatorische Anforderungen gehen weit über die GoBD hinaus
Die E-Mail-Archivierung ist nicht nur steuerlich relevant. Je nach Branche und Unternehmensgröße greifen zahlreiche zusätzliche regulatorische Vorgaben. Für Geschäftsführer und IT-Verantwortliche bedeutet das: Archivierung ist Teil der unternehmensweiten Compliance-Strategie, nicht nur ein IT-Thema.
NIS 2 und E-Mail-Archivierung als Teil der Cybersicherheitsstrategie
Die NIS-2-Richtlinie verschärft die Cybersicherheitsanforderungen für Unternehmen in 18 Sektoren. Betroffen sind sogenannte „wesentliche" und „wichtige" Einrichtungen, darunter Energie, Gesundheit, Transport, Finanzwesen und IT-Dienstleister.
Gefordert werden unter anderem Risikomanagementmaßnahmen, Zugriffskontrollen, Verschlüsselung, Protokollierung und Business-Continuity-Konzepte. Ein revisionssicheres E-Mail-Archiv unterstützt diese Anforderungen durch:
- verschlüsselte Speicherung,
- manipulationssichere Protokollierung,
- kontrollierte Zugriffsrechte,
- und redundante Datenhaltung.
Damit wird die Archivierung zu einem wichtigen Teil der unternehmerischen Cyberresilienz.
DORA für digitale Resilienz im Finanzsektor
Der Digital Operational Resilience Act (DORA) verpflichtet Finanzunternehmen sowie kritische IKT-Dienstleister zu einem strukturierten Management digitaler Risiken. Zu den Kernanforderungen gehören IKT-Risikomanagement, Integrität und Nachvollziehbarkeit von Daten, Business-Continuity-Strategien, Incident-Management und Drittanbieter-Risikobewertung. Eine revisionssichere E-Mail-Archivierung unterstützt insbesondere die Bereiche Datenintegrität, Nachvollziehbarkeit und Verfügbarkeit.
Erfüllt Microsoft 365 die gesetzlichen Archivierungspflichten?
Viele Unternehmen gehen davon aus, dass M365 automatisch GoBD-konform archiviert. Das ist ein häufiger Irrtum.
Wichtige Punkte:
- Exchange Online Archivierung ist nur in bestimmten Tarifen enthalten.
- Microsoft sichert die Dienstverfügbarkeit, nicht die revisionssichere Aufbewahrung im steuerrechtlichen Sinne.
- E-Mails können durch Benutzeraktionen oder Angriffe gelöscht werden.
- Archivierung erfolgt innerhalb des Microsoft-Ökosystems.
Zusätzlich relevant für viele Unternehmen ist, dass US-Anbieter unter bestimmten Voraussetzungen auf Basis des CLOUD Acts zur Datenherausgabe verpflichtet werden können, ganz unabhängig vom Speicherort. Für Unternehmen mit hohen Compliance-Anforderungen stellt sich daher die Frage nach digitaler Souveränität.
EMA: rechtskonforme E-Mail-Archivierung Made in Germany
Das Archiv EMA von ARTEC IT Solutions bietet:
- automatische, revisionssichere Archivierung,
- digitale Signaturen und Zeitstempel,
- hochsichere verschlüsselte Speicherung,
- plattformunabhängige Integration (z. B. Microsoft 365, Exchange On-Premise),
- performante Volltextsuche,
- 100 % Entwicklung und Hosting in Deutschland.
Kein Lizenzmodell pro Benutzer: Statt steigender Kosten mit jedem neuen Mitarbeiter zahlen Unternehmen eine monatliche Flatrate, ohne Postfach-, Benutzer- oder Größenlimits. Firmware-Updates und neue Funktionen sind inklusive, ohne Zusatzkosten oder aufwändige Migrationsprojekte.
Neben E-Mails können auch Dokumente, Scans und weitere Datenquellen archiviert werden. So wird aus der gesetzlichen Pflicht ein produktives Arbeitsinstrument.
Wann sollten Unternehmen handeln?
Typische Auslöser für die Einführung einer professionellen E-Mail-Archivierung sind Betriebsprüfungen, die Migration auf Microsoft 365, ein Ransomware-Vorfall, die Betroffenheit von NIS-2 oder DORA oder ein stark steigendes E-Mail-Volumen.
Strategisch sinnvoll ist die Einführung jedoch vor Eintritt eines Risikofalls!
ARTEC: 30 Jahre Erfahrung in Archivierung und Datenmanagement Made in Germany
ARTEC IT Solutions entwickelt und betreibt EMA seit 30 Jahren als inhabergeführtes Unternehmen in Deutschland. Zu unserem Jubiläum profitieren Sie ganz besonders:
30 Tage EMA Cloud kostenlos testen – inklusive Cloud Connector und Migration!
Dieser Inhalt dient ausschließlich der allgemeinen Information. Er stellt keine Rechtsberatung dar und ersetzt diese nicht. Alle Angaben erfolgen ohne Gewähr.
