Revisionssichere E-Mail-Archivierung: Ein Leitfaden

X
Facebook
LinkedIn
Pinterest
WhatsApp
Telegram
Bild: Künstlich generiert

Stand: März 2026

Geschäftliche E-Mails landen täglich zu Hunderten in Unternehmenspostfächern – und werden genauso schnell wieder gelöscht. Was viele Unternehmer nicht wissen: Das kann teuer werden. Revisionssichere E-Mail-Archivierung ist in Deutschland keine Kür, sondern gesetzliche Pflicht. Wer sie vernachlässigt, riskiert bei einer Betriebsprüfung empfindliche Konsequenzen. Dieser Leitfaden erklärt, was dahintersteckt, wen es betrifft und worauf es in der Praxis ankommt.

Bild: Künstlich generiert

Was bedeutet revisionssichere E-Mail-Archivierung?

Der Begriff klingt sperrig, meint aber etwas Konkretes: Revisionssichere Archivierung bedeutet, dass aufbewahrungspflichtige E-Mails über die gesamte gesetzlich vorgeschriebene Aufbewahrungsfrist in einem elektronischen Archivsystem verwahrt werden – manipulationssicher, vollständig und jederzeit abrufbar. Kurz gesagt: Das Finanzamt soll bei einer Prüfung genau das vorfinden, was tatsächlich versendet und empfangen wurde.

Ein wichtiger Punkt vorab: In Deutschland gibt es kein spezielles Gesetz, das die E-Mail-Archivierung detailliert regelt. Dennoch sind Unternehmen verpflichtet, geschäftsrelevante E-Mails revisionssicher aufzubewahren. Diese Pflicht ergibt sich aus verschiedenen gesetzlichen Regelungen, insbesondere den Grundsätzen zur ordnungsmäßigen Buchführung (GoBD), dem Handelsgesetzbuch (HGB) und der Abgabenordnung (AO).

Die GoBD – kurz für „Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff” – sind dabei das zentrale Regelwerk. Sie sind eine Verwaltungsvorschrift des Bundesfinanzministeriums und regeln, wie steuerlich relevante Unterlagen in digitaler Form erfasst, verarbeitet, archiviert und bereitgestellt werden müssen, damit sie im Fall einer Betriebsprüfung vom Finanzamt anerkannt werden.

Kernaussage: Revisionssichere E-Mail-Archivierung ist keine IT-Frage, sondern eine steuerrechtliche Pflicht. Die Rechtsgrundlagen verteilen sich auf GoBD, HGB und AO – es gibt kein einzelnes, zentrales Archivierungsgesetz.

Wen trifft die Pflicht?

Jedes Unternehmen unterliegt der Pflicht, geschäftliche E-Mails revisionssicher zu archivieren. Die einzige Ausnahme sind sogenannte Nicht-Kaufleute – also Freiberufler oder Kleingewerbetreibende. Für alle anderen gilt: Die Pflicht besteht unabhängig von der Unternehmensgröße. Ein GmbH-Geschäftsführer mit drei Mitarbeitern unterliegt denselben Anforderungen wie ein mittelständischer Betrieb.

Auch vertraglich kann sich eine Archivierungspflicht ergeben. Die Pflicht zur E-Mail-Archivierung kann sich nicht nur durch gesetzliche Auflagen, sondern auch aufgrund vertraglicher Vereinbarungen ergeben – dabei regeln mindestens zwei Vertragspartner, welche Mails wie lange aufbewahrt werden müssen.

Welche E-Mails müssen archiviert werden?

Nicht jede interne Terminabsprache muss ins Archiv. Entscheidend ist der geschäftliche Bezug. Maßgeblich ist, ob es sich bei der Mail um einen Handels- bzw. Geschäftsbrief handelt: Nur wenn die E-Mail-Kommunikation den Zweck verfolgt, ein Handelsgeschäft vorzubereiten, abzuschließen oder rückgängig zu machen, gilt sie als Handelsbrief und muss über den Geschäftsabschluss hinaus archiviert werden.

Praktisch bedeutet das: Angebote, Auftragsbestätigungen, Rechnungen, Lieferscheine, Mahnungen und ähnliche Dokumente, die per E-Mail ausgetauscht werden, sind archivierungspflichtig. Diese Anforderungen betreffen nicht nur den Inhalt der E-Mails, sondern auch deren Metadaten, Anhänge und Verknüpfungen zu anderen geschäftsrelevanten Dokumenten.

Auf der anderen Seite gibt es E-Mails, die ausdrücklich nicht archiviert werden dürfen. Besondere Vorsicht ist bei E-Mails geboten, die niemals archiviert werden dürfen: Bewerbungsunterlagen abgelehnter Kandidaten, vertrauliche Korrespondenz zwischen Mitarbeitern und Betriebsrat sowie Kommunikation mit dem Betriebsarzt. Hier drohen bei dauerhafter Speicherung empfindliche DSGVO-Bußgelder.

  • Archivierungspflichtig. E-Mails zu Angeboten, Auftragsbestätigungen, Rechnungen, Lieferscheinen, Mahnungen und allen Vorgängen, die ein Handelsgeschäft vorbereiten, abschließen oder rückabwickeln.
  • Ebenfalls archivierungspflichtig. E-Mails, die steuerrelevante Informationen enthalten – etwa Jahresabschlussauszüge, Buchungsbelege oder Inventarinformationen.
  • Nicht archivierungspflichtig. Reine Transportmails, die lediglich einen Anhang übermitteln, ohne selbst inhaltlich relevant zu sein – sofern der E-Mail-Text keinen wesentlichen Hinweis zum Anhang enthält.
  • Nicht archivierungsfähig (DSGVO). Bewerbungsunterlagen abgelehnter Kandidaten, Betriebsratskommunikation und betriebsärztliche Korrespondenz.

Tipp: In der Praxis entscheiden viele Unternehmen aus Vereinfachungsgründen, den gesamten geschäftlichen E-Mail-Verkehr zu archivieren. Das ist grundsätzlich zulässig, solange ein regelbasiertes Löschkonzept für datenschutzrechtlich sensible Inhalte besteht. Eine Prüfung im Einzelfall, welche Lösung für das eigene Unternehmen passt, empfiehlt sich in Abstimmung mit dem Steuerberater.

Bild: Künstlich generiert

Aufbewahrungsfristen im Überblick

Wie lange müssen E-Mails aufbewahrt werden? Die Antwort hängt vom Inhalt ab. Je nachdem, welche Verwendung das jeweilige Dokument hat, gilt eine Aufbewahrungsfrist von 6, 8 oder 10 Jahren. Die Aufbewahrungsfristen beginnen am Ende des Kalenderjahres, in dem die jeweiligen E-Mails empfangen oder versendet wurden.

Eine wichtige Neuerung betrifft Buchungsbelege: Bis zum 31. Dezember 2024 galt nach Steuer- und Handelsrecht eine Aufbewahrungsfrist von zehn Jahren für Buchungsbelege wie Rechnungen. Diese Frist wurde mit dem Vierten Bürokratieentlastungsgesetz (BEG IV) mit Wirkung zum 1. Januar 2025 auf acht Jahre verkürzt.

  • 6 Jahre. Empfangene und versendete Handels- und Geschäftsbriefe sowie sonstige steuerlich relevante Unterlagen (§ 257 HGB, § 147 AO).
  • 8 Jahre. Buchungsbelege wie Eingangs- und Ausgangsrechnungen, Kontoauszüge und Kassenbelege – seit 2025 aufgrund des Bürokratieentlastungsgesetzes IV verkürzt (vormals 10 Jahre).
  • 10 Jahre. Jahresabschlüsse, Bilanzen, Inventare und alle E-Mails, die als Buchungsbeleg dienen oder Jahresabschlussinformationen enthalten.

Praxisbeispiel: Eine E-Mail vom 15. März 2025 muss bei zehnjähriger Frist also bis zum 31. Dezember 2035 aufbewahrt werden. Die Frist läuft also nicht ab dem Versandtag, sondern erst ab dem Ende des betreffenden Kalenderjahres.

Fachleute weisen darauf hin, dass trotz der gesetzlich zulässigen Verkürzung auf acht Jahre bei Buchungsbelegen eine einheitliche Praxis mit zehn Jahren Aufbewahrung in vielen Fällen sicherer bleibt – insbesondere wegen der weiterhin zehnjährigen Festsetzungsverjährungsfrist bei Steuerhinterziehung. Eine individuelle Abwägung mit dem Steuerberater ist empfehlenswert.

Das BFH-Urteil von 2025 und seine Bedeutung

Der Bundesfinanzhof (BFH) hat mit Beschluss vom 30.04.2025 (Az. XI R 15/23) die Spielregeln für Außenprüfungen im digitalen Alltag geschärft: E-Mails können Handels- und Geschäftsbriefe sein und sind bei steuerlichem Bezug aufzubewahren und auf Anforderung vorzulegen. Gleichzeitig stellte der BFH klar: Jede steuerlich relevante E-Mail muss korrekt archiviert werden. Ein pauschales Verlangen der Finanzverwaltung nach einem vollständigen E-Mail-Gesamtjournal ist hingegen rechtswidrig.

Das Urteil schafft Rechtssicherheit in beide Richtungen. Unternehmen müssen nicht jeden privaten Schriftwechsel archivieren – aber steuerlich relevante Kommunikation konsequent und nachvollziehbar aufbewahren.

Wichtiger Hinweis: Das BFH-Urteil vom 30.04.2025 (Az. XI R 15/23) hat klargestellt: E-Mails mit steuerlichem Bezug sind aufbewahrungspflichtige Geschäftsbriefe. Finanzämter können deren Vorlage bei Betriebsprüfungen rechtmäßig verlangen. Ein allumfassendes E-Mail-Journal darf das Finanzamt hingegen nicht fordern.

Die GoBD-Kriterien: Was revisionssicher wirklich bedeutet

Revisionssicher ist nicht gleich revisionssicher. Revisionssicherheit ist gewahrt, wenn das Archiv E-Mails ordnungsgemäß, vollständig dokumentiert, manipulationssicher, nachvollziehbar, wiederauffindbar sowie reproduzierbar aufbewahrt. Diese fünf Kriterien kommen direkt aus den GoBD und sind bei jeder Betriebsprüfung prüfungsrelevant.

  • Vollständigkeit. E-Mails müssen vollständig, fehlerfrei und unverändert im Original abgespeichert werden. Kein selektives Löschen einzelner Nachrichten.
  • Unveränderlichkeit. Die Maildaten müssen immer im Original gespeichert werden – bei jeglichen Änderungen ist ein Protokoll erforderlich.
  • Maschinelle Auswertbarkeit. Das Archiv muss so aufgebaut sein, dass Prüfer des Finanzamts maschinell darauf zugreifen können – eine reine PDF-Sammlung auf einer lokalen Festplatte genügt nicht.
  • Nachvollziehbarkeit. Technische Metadaten, Anhänge und alle Informationen zur Nachverfolgbarkeit der E-Mail müssen erhalten bleiben.
  • Verfügbarkeit. Informationen müssen sich jederzeit von einer Software oder Plattform auf eine andere übertragen lassen, ohne dass die Gefahr besteht, dass Angaben dabei verloren gehen.

Ein häufiges Missverständnis: Elektronische Dokumente müssen im elektronischen Originalformat archiviert werden. Der Ausdruck gilt rechtlich nur als Kopie. Wer E-Mails ausdruckt und das digitale Original löscht, vernichtet steuerlich relevante Unterlagen und riskiert bei einer Betriebsprüfung erhebliche Konsequenzen.

Weiterlesen:GoBD-konforme Buchführung: Was Unternehmer wissen müssen

Revisionssichere E-Mail-Archivierung: Ein Leitfaden
Bild: Künstlich generiert

DSGVO und E-Mail-Archivierung: Ein scheinbarer Widerspruch

Auf den ersten Blick scheinen GoBD und DSGVO in entgegengesetzte Richtungen zu ziehen: Die GoBD verlangen eine langfristige Archivierung, während die DSGVO das Recht auf Vergessenwerden vorschreibt. Dieser Widerspruch löst sich jedoch auf, wenn man beide Regelwerke gemeinsam betrachtet.

Die DSGVO sieht vor, dass eine Verarbeitung personenbezogener Daten rechtmäßig ist, wenn diese zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist (Art. 6 Abs. 1 lit. c DSGVO). Eine solche rechtliche Verpflichtung bilden die steuer- und handelsrechtlichen Aufbewahrungspflichten nach AO und HGB.

Praktisch bedeutet das: Während der gesetzlichen Aufbewahrungsfristen ist die Archivierung datenschutzrechtlich zulässig. Nach Ablauf dieser Fristen müssen Unternehmen sicherstellen, dass archivierte E-Mails regelkonform gelöscht werden, um den Anforderungen der DSGVO zu entsprechen. Eine regelbasierte Löschung sorgt dafür, dass E-Mails nach einer festgelegten Zeit automatisch entfernt werden. Dies verhindert unnötige Datenspeicherung und reduziert das Risiko von Datenschutzverstößen.

Die technische Umsetzung: Warum Outlook nicht reicht

Standard-E-Mail-Systeme erfüllen selten die Anforderungen an ein revisionssicheres Archiv. Das gilt auch für die interne Archivierungsfunktion von Microsoft Outlook. Outlook-Archivdateien können im Prinzip bearbeitet oder gelöscht werden, ohne dass ein vollständiger und transparenter Audit-Trail vorhanden ist, der solche Änderungen nachverfolgen könnte.

Für eine GoBD-konforme Lösung kommen spezielle Archivierungssysteme zum Einsatz. Es geht darum, neben der Software auch die Hardware und die Geschäftsprozesse an der GoBD auszurichten. Eine entsprechende Software sollte unter anderem eine einfache und schnelle Suchfunktion für den Zugriff auf E-Mail-Daten bieten, die nahtlose Verwaltung großer Mengen wichtiger E-Mails ermöglichen und sowohl effizient als auch konform mit gesetzlichen Bestimmungen sein.

Zusätzlich schreiben die GoBD eine sogenannte Verfahrensdokumentation vor. Die GoBD verlangen, dass dokumentiert wird, wie E-Mails im Unternehmen empfangen, verarbeitet, archiviert und gelöscht werden. Diese Dokumentation muss für einen sachverständigen Dritten nachvollziehbar sein.

Konsequenzen bei fehlender oder mangelhafter Archivierung

Wer die Pflichten ignoriert, spielt mit dem Feuer. Bei fehlender oder mangelhafter Archivierung drohen Steuerschätzungen, Bußgelder bis 5.000 Euro und im schlimmsten Fall strafrechtliche Konsequenzen.

Das Finanzamt ist dabei nicht zimperlich: Verstöße gegen die GoBD können bei einer Betriebsprüfung Konsequenzen wie Steuerschätzungen, Steuernachzahlungen, die Nichtanerkennung von Aufwänden, die Versagung des Vorsteuerabzugs und Bußgelder zur Folge haben. Besonders schmerzhaft ist die Steuerschätzung: Das Finanzamt setzt die Besteuerungsgrundlagen dann nach eigenem Ermessen an – in der Regel zum Nachteil des Unternehmens.

Im schlimmsten Fall drohen auch strafrechtliche Konsequenzen: Bei einer Verletzung der Buchführungspflichten droht der Geschäftsführung gemäß § 283b Abs. 1 Strafgesetzbuch eine Freiheitsstrafe von bis zu einem Jahr oder eine Geldstrafe. Das ist selten, aber nicht ausgeschlossen – insbesondere wenn der Verdacht der Steuerhinterziehung im Raum steht.

Verstöße gegen die Aufbewahrungspflichten oder die Anforderungen der GoBD können erhebliche finanzielle Folgen haben, die in keinem Verhältnis zu den Kosten einer Archivierungslösung stehen. Am Markt sind auch für kleine Unternehmen und Selbstständige GoBD-konforme Lösungen verfügbar, die ohne umfangreiches IT-Wissen eingerichtet werden können.

Wichtiger Hinweis: Auch kleine Unternehmen und Selbstständige sind von den GoBD-Anforderungen betroffen. Eine mangelhafte E-Mail-Archivierung kann bei einer Betriebsprüfung zu Steuerschätzungen führen – unabhängig von der Unternehmensgröße. Eine frühzeitige Prüfung der eigenen Archivierungssituation, idealerweise mit Unterstützung eines Steuerberaters, kann größere Risiken vermeiden helfen.

Praktische Schritte zur GoBD-konformen E-Mail-Archivierung

Wer seine E-Mail-Archivierung auf ein rechtssicheres Fundament stellen möchte, kann sich an einem strukturierten Vorgehen orientieren. Die folgenden Punkte geben eine Orientierung – die konkrete Umsetzung hängt von der Unternehmensgröße, der eingesetzten IT-Infrastruktur und den individuellen Geschäftsprozessen ab.

  • Bestandsaufnahme. Wie archiviert das Unternehmen derzeit E-Mails? Wer nutzt noch Outlook-Ordner oder manuelle Backups? Hier liegt oft der größte Handlungsbedarf.
  • Softwareauswahl. Eine GoBD-konforme Archivierungssoftware muss manipulationssichere Speicherung, vollständige Protokollierung aller Zugriffe und Änderungen sowie maschinell auswertbare Datenformate bieten. E-Mail-Archivierungssoftware ist revisionssicher, wenn sie E-Mails über die Aufbewahrungszeiten vollständig, manipulationssicher und nachvollziehbar so aufbewahrt, dass Informationen im Falle von Prüfungen leicht aufzufinden sind.
  • Verfahrensdokumentation erstellen. Die GoBD verlangen eine schriftliche Dokumentation des gesamten Archivierungsprozesses – von der Eingangsverarbeitung bis zur Löschung nach Fristablauf.
  • Löschkonzept nach DSGVO. Unternehmen müssen regelbasierte Löschkonzepte implementieren, um personenbezogene Daten nach Ablauf der Fristen zu entfernen. Das lässt sich in modernen Archivierungssystemen automatisiert umsetzen.
  • Mitarbeitende sensibilisieren. Oft wissen Beschäftigte nicht, welche E-Mails als Geschäftsbriefe gelten. Schulungen und einfache Leitfäden helfen, Fehlinterpretationen zu vermeiden.

Eine Prüfung im Einzelfall, welche Lösung zum eigenen Unternehmen passt, ist empfehlenswert. Sprechen Sie hierzu mit Ihrer Steuerberaterin oder Ihrem Steuerberater.

Häufig gestellte Fragen

Müssen wirklich alle Unternehmen E-Mails archivieren?

Jedes Unternehmen unterliegt der Pflicht, geschäftliche E-Mails revisionssicher zu archivieren. Die einzige Ausnahme sind sogenannte Nicht-Kaufleute – also Freiberufler oder Kleingewerbetreibende. Für alle anderen, vom Einzelunternehmer bis zur GmbH, gilt die Archivierungspflicht unabhängig von der Unternehmensgröße.

Reicht es aus, E-Mails einfach im Postfach zu lassen?

Der Posteingang eines E-Mail-Programms eignet sich nicht zur dauerhaften Speicherung geschäftlicher Korrespondenz. Standard-E-Mail-Clients erfüllen die GoBD-Anforderungen nicht: Es fehlt an Manipulationsschutz, vollständiger Protokollierung und maschineller Auswertbarkeit. Eine spezialisierte Archivierungssoftware ist erforderlich.

Was ändert sich durch das Vierte Bürokratieentlastungsgesetz (BEG IV)?

Eine der wichtigsten Neuregelungen für Unternehmer im Vierten Bürokratieentlastungsgesetz dürfte die Verkürzung der Aufbewahrungsfrist für Buchungsbelege sein. Diese Aufbewahrungsfrist betrug bisher 10 Jahre. Nun verkürzt sie sich auf nur noch acht Jahre. Die Verkürzung gilt ab dem 1. Januar 2025. Für Handelsbriefe bleibt es bei sechs Jahren, für steuerlich relevante Jahresabschlussunterlagen weiterhin bei zehn Jahren.

Was passiert, wenn ich E-Mails nicht korrekt archiviere?

Verstöße gegen die GoBD können bei einer Betriebsprüfung durch das Finanzamt Konsequenzen wie Steuerschätzungen, Steuernachzahlungen, die Nichtanerkennung von Aufwänden, die Versagung des Vorsteuerabzugs und Bußgelder zur Folge haben. Im schlimmsten Fall drohen strafrechtliche Konsequenzen für die Geschäftsführung. Eine frühzeitige Prüfung der eigenen Archivierungspraxis ist daher sinnvoll.

Darf ich E-Mails nach Ablauf der Aufbewahrungsfrist löschen?

Sind die Aufbewahrungsfristen eingehalten worden, dürfen die betroffenen Dokumente vernichtet werden. Dabei ist aber zu beachten, dass die Vernichtung der Daten richtlinienkonform erfolgt. Die DSGVO schreibt sogar vor, personenbezogene Daten nach Ablauf der Aufbewahrungsfristen aktiv zu löschen. Ein automatisiertes Löschkonzept in der Archivierungssoftware kann das erleichtern.

Was hat das BFH-Urteil vom April 2025 geändert?

Der Bundesfinanzhof verschafft mit seinem Beschluss vom 30.04.2025 (Az. XI R 15/23) der Praxis mehr Klarheit. Der Beschluss stellt klar, welche E-Mails aufzubewahren sind und inwieweit die Finanzverwaltung im Rahmen einer Außenprüfung auf sie zugreifen darf. Steuerlich relevante E-Mails müssen vorgelegt werden können – ein pauschales Verlangen nach dem gesamten E-Mail-Journal ist jedoch rechtswidrig.

Hinweis: Dieser Artikel dient ausschließlich der allgemeinen Information und stellt keine steuerliche Beratung dar. Steuerliche Sachverhalte sind individuell verschieden. Für verbindliche Auskünfte wenden Sie sich bitte an einen zugelassenen Steuerberater. Trotz sorgfältiger Recherche übernehmen wir keine Gewähr für die Vollständigkeit und Aktualität der Angaben.

TABAK Steuerberatung
Augustaanlage 33, 68165 Mannheim
Inhaberin & Steuerberaterin: Fatma Tabak-Özkul

Share

X
Facebook
LinkedIn
Pinterest
WhatsApp
Telegram

03

Nachrichten

Tags

ArchivierungAufbewahrungsfristen im ÜberblickHäufig gestellte FragenJahresabschlussMailrevisionssichererevisionssichere E-Mail-ArchivierungWas bedeutet revisionssichere E-Mail-Archivierung?

03

Bleiben Sie in Kontakt

Instagram X-twitter Linkedin Youtube Facebook