E-Mail-Aufbewahrungspflicht laut DSGVO

Vorsicht Aufbewahrungspflichten: Warum Sie geschäftliche E-Mails nicht einfach löschen sollten

Fachlich geprüft von: Rechtsanwalt Sören Siebert Rechtsanwalt Sören Siebert
(27 Bewertungen, 3.37 von 5)

Das Wichtigste in Kürze

  • Geschäftliche E-Mails dürfen nicht einfach gelöscht werden, sondern müssen 6 bis 10 Jahre lang aufbewahrt werden.
  • Die Archivierungspflicht für E-Mails betrifft alle Unternehmen.
  • DSGVO und GoBD stellen hohe Anforderungen an die E-Mail-Archivierung.

Worum geht's?

Gelesen und weg damit? Das können Sie mit Ihrer Tageszeitung machen, aber besser nicht mit geschäftlichen E-Mails – denn für diese gilt eine gesetzliche Aufbewahrungspflicht. Heißt: Ebenso wie Rechnungen, Buchungsbelege und andere Schriftstücke müssen auch Mails im Firmenkontext archiviert werden. Wie lange und welche E-Mails aufbewahrt werden müssen, welche Rolle HGB, GoBD und DSGVO bei der revisionssicheren Speicherung spielen und welche Mails von der Aufbewahrungspflicht ausgenommen sind, verraten wir Ihnen in diesem Artikel.

1. Müssen geschäftliche E-Mails aufbewahrt werden?

Ja, geschäftliche E-Mails müssen eine bestimmte Zeit lang aufbewahrt werden. Die gesetzliche E-Mail-Aufbewahrungspflicht gilt für alle Unternehmen, unabhängig von der Größe und Anzahl der Mitarbeitenden.

Wo ist die Aufbewahrungspflicht für E-Mails festgelegt?

Ein Gesetz, das die Aufbewahrungspflichten für Geschäftsmails einheitlich regelt, gibt es nicht. Stattdessen legen verschiedene Vorschriften unterschiedliche Aufbewahrungsfristen und Anforderungen fest. Wichtig sind in diesem Zusammenhang die Vorgaben aus:

  • Handelsgesetzbuch (HGB)
  • Abgabenordnung (AO)
  • Grundsätzen zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD)

Welche E-Mails müssen archiviert werden – und welche nicht?

Nicht alle E-Mails, die im Geschäftsalltag versendet und empfangen werden, müssen  aufbewahrt werden. Entscheidend ist, ob es sich bei der Mail um einen Handels- bzw. Geschäftsbrief handelt: Nur wenn die E-Mail-Kommunikation den Zweck verfolgt, ein Handelsgeschäft vorzubereiten, abzuschließen oder rückgängig zu machen, gilt sie als Handelsbrief und muss über den Geschäftsabschluss hinaus archiviert werden.

Als Handelsbriefe gelten folgende E-Mails:

  • Rechnungen
  • Angebote
  • Zahlungserinnerungen
  • Lieferscheine
  • Buchungsbelege
  • Anhänge mit relevanten Informationen
  • Jahresabschlüsse, Eröffnungsbilanzen, Inventarlisten
  • E-Mails mit steuerlich relevanten Informationen

E-Mails, Telefaxe und "normale" Briefe sind zu archivieren, wenn sie die Außengeschäfte Ihres Unternehmens betreffen, das heißt, an Empfänger außerhalb der Firma adressiert sind. Schriftstücke, die der Vorbereitung eines Geschäfts dienen, müssen Sie nur dann aufbewahren, wenn sie tatsächlich zu einem Geschäftsabschluss geführt haben. Für den internen Schriftverkehr gilt die Aufbewahrungspflicht nicht.

Sören Siebert
Sören SiebertRechtsanwalt

E-Mails, die weder als Buchungsbeleg noch als Handelsbrief gelten, müssen Sie nicht archivieren. Das gilt etwa für Newsletter oder Spam-Mails, die in Ihrem betrieblichen E-Mail-Postfach eintrudeln.

2. Welche Aufbewahrungsfristen gelten für E-Mails?

Für geschäftliche E-Mails gelten folgende Aufbewahrungsfristen:

  • 6 Jahre: E-Mails, die Rechnungen, Angebote, Widerrufsschreiben, Auftragsbestätigungen oder Lieferscheine enthalten.
  • 10 Jahre: E-Mails mit Informationen über Einnahmen und Ausgaben wie Jahresabschlüsse, Bilanzen, Kontoauszüge, Handelsbücher und andere Buchungsbelege.

Die Aufbewahrungsfristen gelten unabhängig davon, ob Sie die E-Mail erhalten oder selbst geschickt haben. Sie setzen nicht sofort mit Versand bzw. Empfang der elektronischen Post ein, sondern erst mit Ende des Kalenderjahres, in dem Sie die E-Mail versendet oder empfangen haben.

AUFGEPASST

Solange Angaben und Informationen steuerlich relevant sind – also etwa der Steuerfestsetzung dienen – läuft die Aufbewahrungsfrist nicht ab. Das bedeutet, dass die Aufbewahrungspflicht für E-Mails auch über die 6 bzw. 10 Jahre hinaus andauern kann. 

3. Wie muss ich Geschäftsmails archivieren?

Geschäftliche Schriftstücke sind grundsätzlich im Original aufzubewahren. Bei geschäftlichen E-Mails heißt das, sie müssen genau so gespeichert werden, wie sie bei Ihnen eingetroffen sind: In elektronischer Form.

Achten Sie darauf, dass der Datenträger bzw. das Format, in dem Sie die E-Mails speichern, auch noch nach 6 bis 10 Jahren abrufbar und lesbar sein muss. Ordnen Sie die Mails nach Geschäftsvorfällen und überprüfen Sie die Archivierung regelmäßig, sodass Sie auch nach längeren Zeitabständen problemlos auf die Daten zugreifen können – etwa, wenn es zu einer Betriebsprüfung kommt.

Spezielle Tools und Software helfen Ihnen dabei, die Aufbewahrungspflicht Ihrer Mails umzusetzen. Oftmals bietet sich ein professionelles Archivierungssystem an, um eine DSGVO-konforme und revisionssichere Datenspeicherung sicherzustellen.

Was ist mit revisionssicherer E-Mail-Archivierung gemeint?

Eine revisionssichere E-Mail-Archivierung meint, dass die betreffenden E-Mails langfristig und systematisch aufbewahrt werden, indem sie gesetzeskonform archiviert, die erforderlichen Fristen eingehalten und die Anforderungen der GoBD (Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff) umgesetzt werden. 

Um dies sicherzustellen, legen die GoBD bestimmte Kriterien für die E-Mail-Archivierung fest:

  • E-Mails müssen vollständig, fehlerfrei und unverändert im Original abgespeichert werden.
  • Sollten Sie Änderungen an den Mails vornehmen, geht das nicht ohne Protokoll.
  • Informationen müssen sich jederzeit von einer Software oder Plattform auf eine andere übertragen lassen, ohne dass die Gefahr besteht, dass Angaben dabei verloren gehen.
  • Ordnen Sie die E-Mails im Archivsystem nach sinnvollen Kategorien (am besten nach Geschäft), um schnell auf die relevanten Daten zugreifen zu können.
  • Kommt es zu einer Prüfung, müssen Dritte Ihre Sortierung nachvollziehen können.
  • Löschen Sie die E-Mails nicht vor Ablauf der gesetzlichen Aufbewahrungsfristen.
  • E-Mails müssen sich jederzeit aus dem Archiv wieder in den ursprünglichen Zustand herstellen lassen.
  • Nur berechtigte Personen dürfen Zugriff auf die relevanten E-Mails haben.

GUT ZU WISSEN

Die GoBD gelten bereits seit 2017. Dennoch wissen viele Unternehmer bis heute nicht, wie die Grundsätze umgesetzt werden müssen. Wer sich absichern und Zeit sparen will, kann auf spezielle Archivierungssoftware für seine Geschäftsmails zurückgreifen.

Welche Tools helfen bei der GoBD-konformen E-Mail-Archivierung?

Eine revisionssichere Archivierung von E-Mails ist bei gängigen E-Mail-Clients nicht immer möglich. Hier helfen Tools und Software weiter, mit denen Sie den wichtigen geschäftlichen E-Mail-Verkehr GoBD-konform speichern können. 

Zu den Anbietern gehören beispielsweise:

  • IONOS E-Mail-Archivierung
  • MailStore Server
  • easy for Exchange 
  • Alfresco
  • Benno MailArchiv
  • Thunderbird

4. Wann dürfen E-Mails nicht länger gespeichert werden?

Angesichts der Masse an E-Mails, die täglich in Ihrem Firmen-Postfach landet, ist es nicht einfach, bei der Archivierung und Erfüllung der E-Mail-Aufbewahrungspflicht den Überblick zu behalten. So wird schnell dazu übergegangen, einfach den kompletten elektronischen Schriftverkehr zu speichern – schließlich bedeutet es eine immense Zeitersparnis, nicht erst mühsam in archivierungspflichtige und nicht-speicherungspflichtige Mails zu kategorisieren.

Unproblematisch ist ein solches Vorgehen jedoch leider nicht, denn hier hat die Datenschutzgrundverordnung ihren Auftritt: Laut DSGVO und Datenschutz dürfen E-Mails mit personenbezogenen Daten nicht uneingeschränkt aufbewahrt werden.

WICHTIG

Die Datenschutzgrundverordnung sieht vor, dass E-Mails nur so lange gespeichert werden dürfen, wie dies unbedingt erforderlich ist. Entfällt der Zweck der Datenspeicherung, haben die betroffenen Personen – beispielsweise Geschäftspartner, Kunden, Mitarbeiter oder Bewerber – ein Recht auf Löschung ihrer Daten.

Die gesetzlichen Aufbewahrungsfristen können dem Recht auf Löschung gemäß DSGVO entgegenstehen. Im Geschäftsalltag heißt das: In bestimmten Fällen ist die Archivierung von E-Mails nur eingeschränkt zulässig.

Begrenzte Speicherung von Bewerber-Mails

Bewirbt sich jemand per E-Mail auf eine offene Stelle in Ihrem Unternehmen, erhalten Sie mit den Bewerbungsunterlagen eine Menge personenbezogener Daten. Diese müssen Sie speichern und verarbeiten, um zu prüfen, ob der Kandidat sich für die Besetzung der Position eignet oder nicht.

Kommt es am Ende des Bewerbungsverfahrens nicht zur Einstellung, entfällt der Zweck für die Datenspeicherung. Liegt Ihnen keine Zustimmung des Bewerbers für eine weitere Aufbewahrung seiner Daten vor – etwa, um ihn in den Talentpool aufzunehmen und ihn später erneut zu kontaktieren – müssen Sie die Daten löschen. 

Das heißt: Alle E-Mails, die personenbezogene Daten enthalten, wie Lebenslauf, Anschreiben, Arbeitszeugnisse oder Aufzeichnungen aus Bewerbungsgesprächen, sind spätestens 6 Monate nach der Absage zu vernichten.

Keine Archivierung privater E-Mails

Ungeachtet gesetzlicher E-Mail-Aufbewahrungspflichten dürfen gemäß DSGVO nur  relevante geschäftliche E-Mails archiviert werden.

Erlauben Sie Angestellten, ihre geschäftliche E-Mail-Adresse auch für private Zwecke zu verwenden, sind diese privaten Korrespondenzen von der Speicherung ausgenommen – es sei denn, es liegt die Zustimmung Ihrer Mitarbeitenden in die Archivierung persönlicher E-Mails vor.

Um Konflikte mit dem Datenschutz und den Persönlichkeitsrechten Ihrer Mitarbeiter zu vermeiden, ist es ratsam, die private E-Mail-Nutzung über den Geschäftsaccount auszuschließen. Möchten Sie private Mails gestatten, sollte dies nur über externe Freemail-Programme erfolgen. Vereinbaren Sie dies am besten schriftlich, etwa in einer Betriebsvereinbarung.

Sören Siebert
Sören SiebertRechtsanwalt

Mehr zur Problematik des privaten Surfens am Arbeitsplatz lesen Sie in unserem Artikel “Wer haftet, wenn Arbeitnehmer am Arbeitsplatz privat surfen und Social Media nutzen?”.

Keine Aufbewahrung von Mails mit besonders schützenswerten Daten

Die DSGVO unterscheidet verschiedene Datenkategorien. Einige davon unterstehen nochmal einem strengeren Schutz als andere: Die besonders schützenswerten Daten. Im Geschäftsalltag geht es dabei oftmals um Gesundheitsdaten.

Hinsichtlich E-Mail-Archivierung und DSGVO heißt das: Der Schriftverkehr zwischen Angestellten und dem Betriebsarzt unterliegt einem besonderen Schutz und darf nicht archiviert werden.

Das gilt ebenso für die E-Mail-Kommunikation zwischen einem Mitarbeiter und dem Betriebsrat – auch diese ist vertraulich und schützenswert und von der Aufbewahrungspflicht ausgenommen. 

Selbstverständlich sollten alle E-Mails verschlüsselt versendet werden – ob aufbewahrungspflichtig oder nicht. Mehr dazu lesen Sie im Beitrag “Wann müssen Sie im Unternehmen laut DSGVO Ihre E-Mails verschlüsseln?”.

5. Was passiert, wenn Unternehmen die Aufbewahrungspflichten missachten?

Missachten Sie die Anforderungen zur Aufbewahrungspflicht geschäftlicher E-Mails, kann das teuer werden – denn Sie verletzen damit als Unternehmer nicht nur Ihre Buchführungspflicht, sondern können sich auch wegen eines DSGVO-Verstoßes haftbar machen. 

Folgende Konsequenzen sind möglich:

  • Steuerschätzung durch das Finanzamt bzw. Festsetzung von Zuschlägen
  • Schadensersatzansprüche
  • Verwaltungsrechtliche Folgen wie Gewerbeuntersagung
  • Empfindliche DSGVO-Bußgelder

In schweren Fällen – etwa wenn E-Mails absichtlich vernichtet werden, um Steuerhinterziehung oder Insolvenzverschleppung zu ermöglichen oder zu verdecken, kann sogar eine mehrjährige Freiheitsstrafe drohen.

6. E-Mail-Aufbewahrungspflicht DSGVO-konform umsetzen – 10 Tipps

Gleichzeitig die Aufbewahrungspflicht für Geschäftsmails zu erfüllen und die Anforderungen der DSGVO an den Datenschutz umzusetzen, kann bei den unterschiedlichen Fristen und der Masse an E-Mails schnell zur Herausforderung werden. Die folgenden 10 Tipps helfen Ihnen, Ihre E-Mail-Aufbewahrungspflicht GoBD- und DSGVO-konform zu meistern:

Checkliste
10 Tipps für die E-Mail-Archivierung
  • Untersagen Sie Ihren Mitarbeitern die private E-Mail-Nutzung über den Geschäftsaccount.
  • Erstellen Sie ein Löschkonzept gemäß DSGVO, in dem Sie die unterschiedlichen Aufbewahrungsfristen festhalten.
  • Speichern Sie geschäftliche E-Mails manipulationssicher, vollständig und im Original.
  • Drucken Sie E-Mails nicht aus, sondern speichern Sie sie in elektronischer Form. Die Archivierung muss gemäß GoBD maschinell auswertbar sein.
  • E-Mails, die einen vertraulichen Schriftverkehr zwischen Angestellten und dem Betriebsrat/Betriebsarzt enthalten, dürfen nicht gespeichert werden.
  • Löschen Sie E-Mails von Bewerbern spätestens 6 Monate nach Absage, wenn Ihnen keine Zustimmung zur längeren Speicherung vorliegt.
  • Speichern Sie nicht nur relevante E-Mails, sondern auch die betreffenden Anhänge.
  • Entscheiden Sie sich für einen externen Dienstleister, sollte dieser in jedem Fall die Anforderungen der GoBD und DSGVO erfüllen – E-Mails müssen sich auch löschen lassen können.
  • Löschen Sie geschäftliche E-Mails erst, wenn die gesetzliche Aufbewahrungsfrist abgelaufen ist.
  • Backups sind aufgrund der kurz- bis mittelfristigen Speicherung keine Archivierung.

7. FAQ: Häufige Fragen zur E-Mail-Aufbewahrungspflicht gemäß DSGVO


Ist E-Mail-Archivierung Pflicht?

Ja, für bestimmte E-Mails im Geschäftsalltag ist eine Archivierung verpflichtend. Das betrifft Mails, die als Handelsbriefe gelten bzw. Buchungsbelege oder andere steuerlich relevante Unterlagen enthalten. Die Aufbewahrungspflicht betrifft nicht nur die E-Mail, sondern auch deren Anhang und gilt für alle Unternehmen mit Gewinnerzielungsabsicht.

Wie lange muss eine E-Mail aufbewahrt werden?

E-Mails, die als Handels- oder Geschäftsbrief gelten, sind für 6 Jahre aufzubewahren. Für Mails, die die Einnahmen und Ausgaben Ihres Unternehmens betreffen, gilt eine Aufbewahrungspflicht von 10 Jahren. 

Welche E-Mails dürfen nicht archiviert werden?

Private E-Mails sowie Schriftverkehr mit vertraulichen Informationen (etwa zwischen Mitarbeitenden und Betriebsarzt oder Betriebsrat) dürfen nicht archiviert werden.

Ihre E-Mails sind GoBD- und DSGVO-konform archiviert – aber was ist mit dem Rest? Machen Sie Ihr Unternehmen jetzt fit in Sachen Datenschutz und vermeiden Sie teure Abmahnungen und Bußgelder der Datenschutzbehörden. Bei eRecht24 Premium finden Sie alles, was Sie dafür brauchen.

Website absichern

eRecht24 Premium für Webseitenbetreiber, Dienstleister und kleine Unternehmen

  • Generatoren, AGB, Muster & Verträge
  • Cookie Consent Tool & Premium Scanner
  • Live-Webinare und Know-How
Website absichern

.

Sophie Suske
Sophie Suske, M.A.
Legal Writerin, freiberuflich

Sophie Suske hat einen Masterabschluss in Sprach- und Kommunikationswissenschaften. Angefangen in der juristischen Redaktion eines Legal Tech Start Ups bereichert sie seit 2022 mit ihrer Expertise das Redaktionsteam von eRecht24 als freie Legal Writerin. Ihre inhaltlichen Schwerpunkte liegen dabei im Datenschutz, E-Commerce- und Markenrecht.

Rechtsanwalt Sören Siebert
Sören Siebert
Rechtsanwalt und Gründer von eRecht24

Rechtsanwalt Sören Siebert ist Gründer von eRecht24 und Inhaber der Kanzlei Siebert Lexow. Mit 20 Jahren Erfahrung im Internetrecht, Datenschutz und ECommerce sowie mit mehr als 10.000 veröffentlichten Beiträgen und Artikeln weist Rechtsanwalt Sören Siebert nicht nur hervorragende Fach-Expertise vor, sondern hat auch das richtige Gespür für seine Leser, Mandanten, Kunden und Partner, wenn es um rechtssichere Lösungen im Online-Marketing und B2B / B2C Dienstleistungen sowie Online-Shops geht. Neben den zahlreichen Beiträgen auf eRecht24.de hat Sören Siebert u.a. auch diverse Ebooks und Ratgeber zum Thema Internetrecht publiziert und weiß ganz genau, worauf es Unternehmern, Agenturen und Webdesignern im täglichen Business mit Kunden ankommt: Komplexe rechtliche Vorgaben leicht verständlich und mit praktischer Handlungsanleitung für rechtssichere Webseiten umsetzen.

Ich möchte mit eRecht24 chatten!
Datenschutzhinweis: Ihre Daten und Ihre Chateingaben werden in unserem Chat-Tool Brevo verarbeitet, sobald Sie zustimmen, den Chat mit uns zu beginnen. Sie können Ihre Zustimmung jederzeit zurücknehmen. Details hierzu entnehmen Sie unserer Datenschutzerklärung.
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

Jetzt eRecht24 Premium Affiliate werden

Als eRecht24 Premium Affiliate Partner empfehlen Sie eine Lösung, mit der bereits mehr als 370.000 Webseiten erfolgreich rechtlich abgesichert wurden und erhalten dafür eine 25% Lifetime Provision!

Jetzt Affiliate werden

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details