E-Mail Archivierung GoBD: Ein umfassender Leitfaden

Bild: Künstlich generiert

Stand: März 2026

Bei der E-Mail Archivierung handelt es sich um die langfristige, systematische und elektronische Aufbewahrung von E-Mails. Klingt nach Bürokratie? Stimmt – aber es ist Pflicht. Die Archivierungspflicht für E-Mails betrifft alle Unternehmen. Wer glaubt, geschäftliche Nachrichten einfach nach Bearbeitung löschen zu dürfen, riskiert bei der nächsten Betriebsprüfung erhebliche Probleme. Dieser Leitfaden erklärt, was hinter dem Begriff „E-Mail Archivierung GoBD” steckt, welche Fristen gelten und worauf Sie als Unternehmer oder Geschäftsführer besonders achten sollten.

E-Mail Archivierung GoBD: Ein umfassender Leitfaden — Bild: Künstlich generiert

Was sind die GoBD – und warum gelten sie für E-Mails?

Die Abkürzung GoBD steht für die „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff”. Hinter diesem sperrigen Begriff verbirgt sich eine Verwaltungsvorschrift des Bundesministeriums der Finanzen, die verbindlich vorgibt, wie Unternehmen ihre digitalen Geschäftsunterlagen führen und aufbewahren müssen.

Die GoBD gelten für alle Gewinnermittler – vom Einzelunternehmer bis zur GmbH – und definieren, wie elektronische Geschäftsprozesse dokumentiert werden müssen. Die rechtliche Einordnung macht deutlich: Die GoBD sind keine freiwillige Empfehlung, sondern verbindliche Vorgaben. Sie bilden die Brücke zwischen den traditionellen Grundsätzen der ordnungsgemäßen Buchführung und den Anforderungen des digitalen Zeitalters.

Für E-Mails bedeutet das konkret: Entscheidend ist, ob es sich bei der Mail um einen Handels- bzw. Geschäftsbrief handelt: Nur wenn die E-Mail-Kommunikation den Zweck verfolgt, ein Handelsgeschäft vorzubereiten, abzuschließen oder rückgängig zu machen, gilt sie als Handelsbrief und muss über den Geschäftsabschluss hinaus archiviert werden.

Wichtiger Hinweis: Der Begriff des Geschäftsbriefs ist dabei weit auszulegen und umfasst neben traditionellen Schreiben auf Papier auch den digitalen Austausch per E-Mail, sofern diese einen Geschäftsvorfall vorbereiten, durchführen oder abschließen. Dazu gehören beispielsweise Angebote, Bestellungen, Auftragsbestätigungen, Rechnungen, Zahlungsbelege oder auch Mahnungen.

Reine interne Abstimmungsmails oder private Nachrichten ohne Geschäftsbezug fallen dagegen nicht unter die Archivierungspflicht. Die Grenze ist im Einzelfall jedoch nicht immer eindeutig – eine Prüfung mit dem Steuerberater lohnt sich hier.

Welche Aufbewahrungsfristen gelten für geschäftliche E-Mails?

Ein Gesetz, das die Aufbewahrungspflichten für Geschäftsmails einheitlich regelt, gibt es nicht. Stattdessen legen verschiedene Vorschriften unterschiedliche Aufbewahrungsfristen und Anforderungen fest. Maßgeblich sind vor allem das Handelsgesetzbuch (HGB) und die Abgabenordnung (AO). Seit dem 1. Januar 2025 hat das Vierte Bürokratieentlastungsgesetz (BEG IV) die Fristen für bestimmte Unterlagen neu geregelt.

Für das Jahr 2026 gelten folgende Fristen:

10 Jahre: Bücher, Aufzeichnungen, Jahresabschlüsse, Inventare, Lageberichte, Eröffnungsbilanzen, Arbeitsanweisungen und Organisationsunterlagen, wie zum Beispiel die Verfahrensdokumentation für elektronische Kassensysteme.
8 Jahre: Mit dem Vierten Bürokratieentlastungsgesetz (BEG IV) wurde die bisher zehnjährige Aufbewahrungsfrist für Buchungsbelege – dazu gehören auch Eingangs- und Ausgangsrechnungen – auf acht Jahre verkürzt. Diese Frist gilt seit dem 1. Januar 2025.
6 Jahre: Empfangene Handels- oder Geschäftsbriefe, Wiedergaben der abgesandten Handels- oder Geschäftsbriefe sowie sonstige Unterlagen, soweit sie für die Besteuerung von Bedeutung sind, müssen grundsätzlich sechs Jahre lang aufbewahrt werden. Hierunter fallen typischerweise E-Mails, die als Handelsbriefe einzustufen sind.

Ein konkretes Beispiel verdeutlicht den Unterschied: Ein Kunde schickt eine E-Mail mit einer Bestellung (Handelsbrief → 6 Jahre). Daraufhin wird eine Rechnung ausgestellt (Buchungsbeleg → 8 Jahre). Die E-Mail darf also zwei Jahre früher gelöscht werden als die Rechnungskopie.

Wichtiger Hinweis für Finanzunternehmen: Wegen milliardenschwerer Skandale aus den Cum/Cum- und Cum/Ex-Geschäften verlängerte der Gesetzgeber im August 2025 die Aufbewahrungsfrist bei Banken, Versicherungen und Wertpapierinstituten für Buchungsbelege wieder auf zehn Jahre. Für alle anderen Unternehmen bleibt es bei acht Jahren für Buchungsbelege.

Die Aufbewahrungsfristen beginnen mit dem Schluss des Kalenderjahres, in dem die aufbewahrungspflichtigen Dokumente erstellt, empfangen, versendet oder letztmalig bearbeitet wurden.

Die GoBD-Anforderungen an die E-Mail Archivierung im Detail

Nicht jede Speicherung ist eine GoBD-konforme Archivierung. Eine einfache Speicherung im Dateisystem (z. B. Windows Explorer) reicht hierfür nicht aus. Warum? Weil Dateien dort jederzeit geändert, gelöscht oder überschrieben werden können, ohne dass dies nachvollziehbar ist. Eine GoBD-konforme Archivierung erfordert Systeme, die Manipulationen ausschließen oder zumindest protokollieren.

Revisionssicherheit: Das Kernprinzip

Die wichtigste Grundlage bilden die GoBD, die vorschreiben, dass archivierte E-Mails unveränderbar, nachvollziehbar, vollständig, richtig und jederzeit verfügbar sein müssen. Diese Anforderungen betreffen nicht nur den Inhalt der E-Mails, sondern auch deren Metadaten, Anhänge und Verknüpfungen zu anderen geschäftsrelevanten Dokumenten.

Besonders häufig unterschätzt wird folgende Regel: Viele Unternehmen drucken E-Mails aus und heften sie ab. Das ist ein Verstoß gegen die GoBD! Elektronisch empfangene Dokumente müssen elektronisch aufbewahrt werden. Das Ausdrucken verändert das Medium und vernichtet die Metadaten (Header, Zeitstempel), die für die Nachvollziehbarkeit essenziell sind.

Die wichtigsten technischen und organisatorischen Anforderungen

Vollständigkeit und Originalgetreue. Alle aufbewahrungspflichtigen E-Mails müssen vollständig und originalgetreu archiviert werden (inklusive Metadaten wie Absender, Empfänger, Datum und Uhrzeit).
Zeitnahe Archivierung. Die Archivierung der E-Mails muss zeitnah nach Versand oder Empfang erfolgen.
Unveränderbarkeit. Die Löschung oder Manipulation von E-Mails im Archiv muss während der Aufbewahrungsfristen technisch ausgeschlossen oder lückenlos nachvollziehbar gemacht werden.
Auffindbarkeit. E-Mails müssen geordnet und leicht auffindbar im Archiv abgelegt werden, so dass ein gezielter Zugriff möglich ist.
Zugriffsschutz. Nur berechtigte Personen dürfen Zugriff auf die relevanten E-Mails haben.
Maschinelle Auswertbarkeit. Sie sind über ihre gesetzlichen Aufbewahrungsfristen hinweg zu archivieren und müssen bei einer Prüfung maschinell auswertbar bereitgestellt werden können.

Kernaussage: E-Mails müssen im Originalformat oder in einem lesbaren und unveränderbaren Format (z. B. PDF/A) archiviert werden. Screenshots oder Ausdrucke allein genügen den Anforderungen in der Regel nicht, da die originären Metadaten (Absender, Empfänger, Datum etc.) und die Möglichkeit der Volltextsuche verloren gehen.

Besonderheit: E-Rechnungen per E-Mail

Die Definition einer E-Rechnung ist seit 2025 eng gefasst. Eine Rechnung gilt nur dann als E-Rechnung, wenn sie in einem strukturierten elektronischen Format ausgestellt, übermittelt und empfangen wird, das eine automatisierte elektronische Verarbeitung ermöglicht. Da diese Formate strukturierte Datensätze (XML) enthalten, genügt ein PDF-Ausdruck nicht. Das Original-XML muss revisionssicher archiviert werden.

Die Verfahrensdokumentation – oft vergessen, aber Pflicht

Viele Unternehmen investieren in gute Archivsoftware – und übersehen dabei einen entscheidenden Punkt. Eine E-Mail-Archivierung ist die technische Komponente. Aber erst die Verfahrensdokumentation macht sie wirklich GoBD-konform.

Gemäß GoBD ist zur Herstellung einer GoBD-konformen E-Mail-Archivierung eine Verfahrensdokumentation erforderlich. Diese Pflicht gilt unabhängig von der Unternehmensgröße, der Komplexität der IT-Infrastruktur und der eingesetzten Archivierungssoftware. Das gilt also auch für den kleinen Handwerksbetrieb oder die freiberufliche Unternehmensberaterin.

Die Verfahrensdokumentation beschreibt detailliert alle buchführungsrelevanten Abläufe – von der Belegerfassung über die Verarbeitung bis hin zur Archivierung und Datensicherung. Auch Zugriffsrechte, verwendete Software, Schnittstellen und Mitarbeiterzuständigkeiten müssen dokumentiert sein. Die Verfahrensdokumentation muss fortlaufend aktualisiert und selbst GoBD-konform aufbewahrt werden.

Spätestens bei der nächsten Betriebsprüfung müssen Unternehmer damit rechnen, dass das Finanzamt nach der Verfahrensdokumentation fragt. Darin sollte unter anderem klar beschrieben sein, wie das Unternehmen die GoBD-konforme Archivierung steuerlich relevanter Belege sicherstellt. Eine frühzeitige Abstimmung mit dem Steuerberater zur Erstellung dieser Dokumentation kann sich in der Praxis als sehr wertvoll erweisen.

Tipp: Die Verfahrensdokumentation muss bei jeder Änderung der eingesetzten Software oder IT-Infrastruktur aktualisiert werden. Jede Änderung an der Softwarekonfiguration, an der IT-Infrastruktur oder an den organisatorischen Prozessen macht eine Aktualisierung und Versionierung der Verfahrensdokumentation erforderlich. Änderungen müssen in einer nachvollziehbaren Änderungshistorie dokumentiert sein.

GoBD und DSGVO: Zwei Regelwerke, ein Spannungsfeld

Wer E-Mails archiviert, bewegt sich gleichzeitig im Geltungsbereich der Datenschutz-Grundverordnung (DSGVO). Beide Regelwerke verfolgen auf den ersten Blick entgegengesetzte Ziele. Die DSGVO stellt hohe Anforderungen an den Umgang mit personenbezogenen Daten – auch in der E-Mail-Archivierung. Während die GoBD eine langfristige Aufbewahrung vorschreiben, verpflichtet die DSGVO Unternehmen dazu, personenbezogene Daten zu löschen, sobald sie nicht mehr benötigt werden (Recht auf Vergessenwerden, Art. 17 DSGVO).

Wie lässt sich dieser Widerspruch auflösen? Sind die personenbezogenen Daten in der E-Mail für die Erfüllung einer gesetzlichen Pflicht erforderlich (z. B. als Teil einer Rechnung oder eines Vertrags), dürfen sie für die Dauer der Aufbewahrungsfrist gespeichert bleiben, auch wenn die betroffene Person die Löschung verlangt hat. Nach Ablauf der Frist müssen die Daten, sofern keine anderen Aufbewahrungspflichten oder berechtigten Interessen entgegenstehen, gelöscht werden.

Eine rechtskonforme Archivierungslösung sollte daher regelbasierte Löschmechanismen bieten, die Datenschutzvorgaben und Aufbewahrungspflichten in Einklang bringen. Moderne Archivsysteme bieten solche Funktionen bereits standardmäßig an.

Was droht bei Verstößen gegen die GoBD?

Wer geschäftliche E-Mails nicht ordnungsgemäß aufbewahrt, riskiert nicht nur Bußgelder bei Betriebsprüfungen, sondern kann im Ernstfall auch keine vollständigen Nachweise vorlegen. Die Konsequenzen können erheblich sein:

Steuerschätzung durch das Finanzamt. Schon kleine formelle Mängel können dazu führen, dass das Finanzamt die Besteuerungsgrundlagen schätzt – oft mit hohen Nachzahlungen.
Verlust des Vorsteuerabzugs. Wer zu früh schreddert, riskiert bei der nächsten Betriebsprüfung massive Probleme – von der Schätzung bis zur Aberkennung des Vorsteuerabzugs.
Bußgelder. Fehlende Archivierung oder unvollständige Dokumentation können Bußgelder nach sich ziehen, besonders bei digitalen Belegen.
Strafrechtliche Risiken. Werden die Aufbewahrungspflichten nicht eingehalten, ist die Finanzbehörde berechtigt, die Besteuerungsgrundlage zu schätzen. Je nach Einzelfall kann die Verletzung der Aufbewahrungspflicht als Steuerhinterziehung (gem. § 370 AO) oder fahrlässige Steuerverkürzung (gem. § 378 AO) strafbar sein.

Einzelne Formfehler führen nicht automatisch zu Sanktionen. Kritisch wird es bei wesentlichen oder systematischen Mängeln, die beispielsweise die Nachvollziehbarkeit, Vollständigkeit, Unveränderbarkeit oder den Datenzugriff beeinträchtigen.

Backup ist keine Archivierung – ein wichtiger Unterschied

Ein weit verbreiteter Irrtum: Wer regelmäßige Datensicherungen durchführt, glaubt manchmal, damit auch die GoBD-Anforderungen zu erfüllen. Das stimmt nicht. Grundsätzlich haben Backup und Archivierung jeweils unterschiedliche Zielsetzungen. Ein Backup soll sicherstellen, dass Daten oder Systeme bei einem Schaden möglichst schnell wiederhergestellt werden können. Archivierung dient hingegen der langfristigen Aufbewahrung von Daten. Bei der GoBD-konformen Archivierung müssen zudem Anforderungen eingehalten werden, die mit Backups in aller Regel nicht abgebildet werden können.

Konkret bedeutet das: Ein Backup kann jederzeit überschrieben oder gelöscht werden. Es protokolliert keine Zugriffshistorie und erfüllt nicht das Gebot der Unveränderbarkeit. Backup und Archivierung stehen nicht in Konkurrenz und sollten parallel betrieben werden.

Weiterlesen:Revisionssichere Archivierung: Anforderungen und Softwarelösungen im Überblick

Cloud-Archivierung und Datenzugriff durch das Finanzamt

Seit der Überarbeitung der GoBD zum 1. Januar 2020 ist die Cloud-Archivierung ausdrücklich erlaubt. Technisch erlaubt die Finanzverwaltung in der Neufassung der GoBD die Verarbeitung und Speicherung von Dokumenten in der Cloud. Damit können Unternehmer frei wählen, ob sie ihre Buchführung auf eigenen Rechnern durchführen, ob sie Cloud-Angebote nutzen oder eine Mischung aus beiden Konzepten verwenden.

Wichtig ist dabei: Die Cloud-Lösung muss die GoBD-Anforderungen vollständig erfüllen. Der Einsatz von Verbraucher-Clouds wie Dropbox oder Google Drive ohne GoBD-konforme Zusatzstrukturen birgt erhebliche Risiken.

Im Rahmen einer Betriebsprüfung haben Prüfer das Recht auf Datenzugriff. Besondere Beachtung verdient der Datenzugriff durch die Finanzverwaltung. Im Rahmen einer Betriebsprüfung haben Prüfer das Recht, auf die digitalen Buchführungsunterlagen, einschließlich der elektronisch archivierten E-Mails, zuzugreifen. Die GoBD 2025 haben diesen Bereich zusätzlich konkretisiert: Beim sogenannten mittelbaren Datenzugriff müssen Unternehmen Prüfern auf Anfrage eigene Auswertungen aus dem Buchführungssystem bereitstellen – mithilfe vorhandener Softwarefunktionen. Alternativ kann ein Nur-Lese-Zugriff eingerichtet werden. Wichtig: Es darf keine zusätzliche Softwareentwicklung nötig sein.

Häufig gestellte Fragen

Welche E-Mails müssen nach GoBD archiviert werden?

Gemäß § 257 HGB und § 147 AO müssen unter anderem Handels- und Geschäftsbriefe archiviert werden. Der Begriff des Geschäftsbriefs umfasst neben traditionellen Schreiben auf Papier auch den digitalen Austausch per E-Mail, sofern diese einen Geschäftsvorfall vorbereiten, durchführen oder abschließen. Dazu gehören beispielsweise Angebote, Bestellungen, Auftragsbestätigungen, Rechnungen, Zahlungsbelege oder auch Mahnungen. Die Archivierungspflicht betrifft somit alle E-Mails, die handels- oder steuerrechtlich relevant sind. Reine interne Kommunikation ohne Geschäftsbezug ist in der Regel ausgenommen.

Wie lange müssen geschäftliche E-Mails aufbewahrt werden?

Handels- und Geschäftsbriefe (also die meisten geschäftlichen E-Mails) unterliegen einer 6-jährigen Aufbewahrungsfrist. Buchungsbelege wie Rechnungen im E-Mail-Anhang müssen seit dem 1. Januar 2025 acht Jahre aufbewahrt werden. Für Bilanzen und Jahresabschlüsse gilt weiterhin die 10-Jahres-Frist. Die Fristen beginnen mit dem Schluss des Kalenderjahres, in dem die aufbewahrungspflichtigen Dokumente erstellt, empfangen, versendet oder letztmalig bearbeitet wurden.

Darf ich geschäftliche E-Mails ausdrucken und als Papier aufbewahren?

Viele Unternehmen drucken E-Mails aus und heften sie ab. Das ist ein Verstoß gegen die GoBD. Elektronisch empfangene Dokumente müssen elektronisch aufbewahrt werden. Das Ausdrucken verändert das Medium und vernichtet die Metadaten (Header, Zeitstempel), die für die Nachvollziehbarkeit essenziell sind. Eine reine Papierablage genügt den gesetzlichen Anforderungen nicht.

Was ist eine Verfahrensdokumentation und brauche ich sie wirklich?

Gemäß GoBD ist zur Herstellung einer GoBD-konformen E-Mail-Archivierung eine Verfahrensdokumentation erforderlich. Diese Pflicht gilt unabhängig von der Unternehmensgröße, der Komplexität der IT-Infrastruktur und der eingesetzten Archivierungssoftware. Ein Archivsystem kann technisch perfekt sein – doch ohne Dokumentation fehlt der Nachweis, dass es korrekt genutzt wird. Die Verfahrensdokumentation ist damit kein optionales Zusatzdokument, sondern eine echte Pflicht.

Reicht ein normales Backup als E-Mail-Archivierung aus?

Ein Backup dient der kurzfristigen Datensicherung, um im Notfall Daten wiederherstellen zu können. Eine E-Mail-Archivierung hingegen speichert E-Mails langfristig, manipulationssicher und rechtssicher gemäß gesetzlichen Vorgaben. Ein Backup erfüllt die GoBD-Anforderungen an Unveränderbarkeit, Protokollierung und Zugriffsschutz in der Regel nicht. Beide Maßnahmen sollten parallel betrieben werden.

Was droht bei fehlender oder mangelhafter E-Mail Archivierung?

Für Geschäftsführer und Steuerberater bedeutet die Einhaltung der GoBD nicht nur rechtliche Sicherheit, sondern schützt vor erheblichen finanziellen Risiken: Bußgelder, Vorsteuerverluste oder Hinzuschätzungen drohen bei Nichteinhaltung. Im schlimmsten Fall kann das Finanzamt die gesamte Buchführung als nicht ordnungsgemäß einstufen und die Besteuerungsgrundlagen schätzen – was regelmäßig zu deutlich höheren Steuernachzahlungen führt. Eine Prüfung der eigenen Archivierungsprozesse mit dem Steuerberater kann sich daher als sinnvolle Vorsichtsmaßnahme erweisen.