Ist E-Mail-Archivierung eine Pflicht?
Vor allem kleinere Unternehmen und Selbstständige stellen sich oft die Frage, ob E-Mail-Archivierung eine Pflicht ist. In diesem Artikel erklären wir, wer E-Mails archivieren muss und was dabei zu beachten ist.
Inhalt
Wer muss E-Mails archivieren?
In Deutschland müssen alle Unternehmen und Selbstständigen E-Mails mit steuerlich relevanten Inhalten über Fristen von sechs bis zehn Jahren archivieren. Diese Pflicht gilt für:
- Gewerbetreibende und Freiberufler
- Einzelunternehmer
- Unternehmen jeder Größe und Rechtsform
- Auch Unternehmer, die ihren Gewinn nach Einnahmen-Überschuss-Rechnung (EÜR) ermitteln
- Auch Kleinunternehmer nach § 19 UStG
Aus welchen gesetzlichen Grundlagen ergibt sich die Pflicht zur E-Mail-Archivierung?
Die Pflicht zur Archivierung von E-Mails ergibt sich für alle Steuerpflichtigen, die Bücher oder Aufzeichnungen führen oder dies freiwillig tun, aus dem Steuergesetz. Genauer gesagt aus der Abgabenordnung (AO).
In der AO sind Aufbewahrungspflichten und Aufbewahrungsfristen für steuerrelevante Geschäftsunterlagen vorgeschrieben, die sowohl für Unterlagen in Papierform, als auch für digitale Unterlagen wie E-Mails gelten.
Für Kaufleute ergibt sich die Pflicht zur E-Mail-Archivierung sowohl aus der AO, als auch aus dem Handelsgesetzbuch (HGB). Die Pflichten und Fristen aus dem HGB sind jedoch weitgehend deckungsgleich mit denen aus der AO.
Verpflichtung zur E-Mail-Archivierung durch die GoBD
Die GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff) sind selbst kein Gesetz, aber sie haben eine verpflichtende Wirkung für alle Unternehmen und Selbstständigen.
Die GoBD regeln, wie steuerlich relevante Unterlagen in digitaler Form erfasst, verarbeitet, archiviert und bereitgestellt werden müssen, damit sie im Fall einer Betriebsprüfung vom Finanzamt anerkannt werden.
Die Anforderungen der GoBD (z.B. Unveränderbarkeit der aufzubewahrenden Unterlagen) sind ohne eine GoBD-konforme E-Mail-Archivierung in der Praxis nicht umsetzbar, so dass sich auch an dieser Stelle eine indirekte Verpflichtung zur Archivierung von E-Mails ergibt.
Wer ist von der Pflicht zur Archivierung nicht betroffen?
Wer E-Mails nur für private Zwecke nutzt und steuerlich relevante Geschäftsunterlagen wie Angebote, Bestellungen und Rechnungen ausschließlich in Papierform versendet oder empfängt, ist nicht zur Archivierung von E-Mails verpflichtet und muss folglich auch nicht die Anforderungen der GoBD beachten.
Zusammengefasst
E-Mail-Archivierung wird als technische Lösung nicht explizit durch Gesetze vorgeschrieben. Sie stellt vielmehr eine Notwendigkeit dar, um die gesetzlichen Pflichten und die Anforderungen der GoBD erfüllen zu können. Das gilt für größere Unternehmen in gleicher Weise wie für Gewerbetreibende und Freiberufler.
Welche E-Mails müssen archiviert werden?
Wie zuvor erwähnt, ergeben sich die Aufbewahrungspflichten für steuerlich relevante Geschäftsunterlagen in Deutschland maßgeblich aus der Abgabenordnung. Diese gelten auch dann, wenn die Unterlagen in Form von versendeten oder empfangenen E-Mails vorliegen. Dazu zählen nach § 147 AO:
- Handels- oder Geschäftsbriefe (empfangene und Wiedergeben der Abgesandten)
- Zum Beispiel: Angebotsanforderungen, Angebote, Bestellungen, Reklamationen, Mahnungen oder Korrespondenz zur Verträgen
- Dazu zählt jegliche Korrespondenz, die ein Geschäft vorbereitet, durchführt oder rückgängig macht
- Buchungsbelege
- Zum Beispiel: Eingangsrechnungen und Ausgangsrechnungen
- Alle sonstigen Unterlagen, soweit sie für die Besteuerung von Bedeutung sind
- Bücher und Aufzeichnungen, Inventare, Jahresabschlüsse, Lageberichte und die Eröffnungsbilanz
- Sowie die zu ihrem Verständnis erforderlichen Arbeitsanweisungen und sonstigen Organisationsunterlagen, die die Abläufe, Systeme und Kontrollen der Buchführung nachvollziehbar machen
Welche E-Mails müssen nicht archiviert werden?
E-Mails, die nicht geschäftlich oder steuerlich relevant sind, müssen auch nicht archiviert werden. Typische Beispiele sind:
- Werbung
- Newsletter
- SPAM
- Geburtstagsgrüße
Welche E-Mails dürfen nicht archiviert werden?
Die einfachste Form zur Umsetzung der Archivierungspflicht wäre es, alle ein- und ausgehenden E-Mails über die längste gesetzlich vorgeschriebene Frist von zehn Jahren zu archivieren. Dem steht allerdings der Datenschutz entgegen.
- Private E-Mails
- Arbeitgeber gelten datenschutzrechtlich als (quasi-)Telekommunikationsdiensteanbieter und unterliegen dem Fernmeldegeheimnis.
- Private E-Mails dürfen daher nur archiviert werden, wenn Mitarbeiter ihre Zustimmung dazu gegeben haben (z.B. über eine Betriebsvereinbarung oder im Arbeitsvertrag).
- Alternativ kann die Nutzung geschäftlicher E-Mail-Konten für private Zwecke pauschal untersagt werden (die Einhaltung des Verbots muss dabei kontrolliert und konsequent durchgesetzt werden).
- Kommunikation mit dem Betriebsarzt und dem Betriebsrat
- E-Mails von und an den Betriebsarzt und Betriebsrat können besonders schutzbedürftige Inhalte aufweisen und sollten von der standardmäßigen Archivierung ausgeschlossen werden.
- Kommunikation mit Bewerbern
- Diese E-Mails enthalten oft sensible personenbezogene Daten und fallen inhaltlich in der Regel nicht unter die steuer- oder handelsrechtlichen Aufbewahrungspflichten. Die entsprechenden “Karriere-Postfächer” sollten daher ebenfalls von der standardmäßigen Archivierung ausgeschlossen werden.
Muss die E-Mail oder der Anhang archiviert werden?
Grundsätzlich muss immer der aufbewahrungspflichtige Inhalt archiviert werden. Das kann die E-Mail selbst sein, der Anhang oder beides:
- Wenn beispielsweise eine Rechnung im Anhang einer E-Mail eingeht und die E-Mails selbst keine weiteren relevanten Informationen enthält, würde die Archivierung des Anhangs ausreichen. Die E-Mail ist in diesem Fall nur das Transportmedium für den angehängten Beleg.
- Wenn im Inhalt einer E-Mail (nicht im Anhang) beispielsweise eine Auftragsbestätigung, Preisabsprache oder Reklamation stattfindet, muss die E-Mail archiviert werden.
- Wenn der Anhang eine steuerliche Relevanz hat und gleichzeitig auch der Inhalt der E-Mails selbst (z.B. “Der Rabatt gilt noch.”), dann müssen E-Mail und Anhang archiviert werden.
In der Praxis dürfte an einer konsequenten gleichzeitigen Archivierung von E-Mails und Anhängen kein Weg vorbeiführen.
Wie lange müssen E-Mails archiviert werden?
Die Aufbewahrungsfristen für E-Mails ergeben sich maßgeblich aus § 147 der Abgabenordnung (AO):
- E-Mails, die nach ihrem Inhalt oder Anhang einem empfangenen oder abgesandten Handels- oder Geschäftsbrief entsprechen (z.B. einem Angebot, einer Bestellungen, einer Reklamationen oder einer Mahnungen) müssen sechs Jahre lang archiviert werden
- E-Mails, die nach ihrem Inhalt oder Anhang einem Buchungsbeleg entsprechen, müssen 8 Jahre lang archiviert werden
- E-Mails, die sonstige Unterlagen, soweit sie für die Besteuerung von Bedeutung sind, transportieren, müssen sechs Jahre lang archiviert werden
- E-Mails, die Bücher und Aufzeichnungen, Inventare, Jahresabschlüsse, Lageberichte und die Eröffnungsbilanz sowie die zu ihrem Verständnis erforderlichen Arbeitsanweisungen und sonstigen Organisationsunterlagen transportieren, müssen 10 Jahre lang archiviert werden
Aufbewahrungsfristen beginnen nicht mit Eingang oder Versand einer E-Mail
Ein weit verbreitetes Missverständnis ist, dass die Aufbewahrungsfrist einer E-Mail mit ihrem Eingang oder ihrem Versand beginnt. Richtig ist, dass die Frist erst zum Ende des Jahres am 31. Dezember beginnt, in dem die E-Mail empfangen oder versendet wurde.
"Aufbewahrung für immer" ist nicht mit der DSGVO vereinbar
Steuerlich relevante E-Mails mit personenbezogenen Daten dürfen nach DSGVO nur so lange archiviert werden, wie es für einen legitimen Zweck erforderlich ist. Die Erfüllung der in Deutschland geltenden gesetzlichen Aufbewahrungsfristen ist ein solcher legitimer Zweck. Daraus ergibt sich aber auch, dass E-Mails nach Ablauf der gesetzlichen Aufbewahrungsfrist aus dem Archiv gelöscht werden müssen.
Eine Ausnahme besteht nur dann, wenn ein anderer zulässiger Zweck die weitere Aufbewahrung für eine festgelegte Zusatzfrist rechtfertigt.
Anforderungen an die E-Mail-Archivierung
Während Gesetze wie die Abgabenordnung (AO) und das Handelsgesetzbuch (HGB) für Unternehmen und Selbstständige vorschreiben, welche Unterlagen wie lange aufbewahrt werden müssen, konkretisiert die GoBD das “Wie” für digitale Unterlagen.
Die GoBD sollen sicherstellen, dass alle steuerlich relevanten Daten und Unterlagen, die elektronisch entstehen oder verarbeitet werden, ordnungsgemäß, unverfälscht, vollständig und für das Finanzamt prüfbar aufbewahrt werden.
Daneben ergeben sich weitere Anforderungen an eine E-Mail-Archivierung aus dem Datenschutz, also der DSGVO.
Zu den Anforderungen an eine GoBD- und DSGVO-konforme E-Mail-Archivierung gehören:
- Vollständigkeit
- Alle E-Mails mit steuerlich relevanten Inhalten müssen vollständig archiviert werden (inklusive Metadaten wie Absender, Empfänger, Datum und Uhrzeit)
- Zeitnahe Erfassung der E-Mails
- Die Archivierung muss zum frühestmöglichen Zeitpunkt erfolgen (also möglichst unmittelbar nach Versand oder Empfang)
- Unveränderbarkeit
- Die Löschung oder Manipulation von E-Mails im Archiv muss während der Aufbewahrungsfristen technisch ausgeschlossen oder lückenlos nachvollziehbar gemacht werden
- Ordnung und Auffindbarkeit
- E-Mails müssen geordnet und leicht auffindbar im Archiv abgelegt werden, so dass ein gezielter Zugriff möglich ist
- Umsetzung von Aufbewahrungsfristen
- Im E-Mail-Archiv müssen unterschiedliche Aufbewahrungsfristen analog zu den gesetzlichen Vorgaben definiert und regelbasiert angewendet werden können
- Löschung nach Fristablauf
- Nach Ablauf der Aufbewahrungsfristen müssen E-Mails aus dem Archiv gelöscht werden, um nicht gegen die DSGVO zu verstoßen (nachdem kein legitimer Zweck mehr für die Verarbeitung besteht)
- Datenzugriff durch das Finanzamt
- Die archivierten E-Mails müssen dem Finanzamt bei einer Prüfung in maschinell auswertbarer Form bereitgestellt werden können (entweder durch einen direkten oder mittelbaren Zugriff auf das Archiv oder durch einen Export als Datenüberlassung)
- Nachvollziehbarkeit
- Bei einer Prüfung muss nachvollziehbar sein, wie die E-Mail-Archivierung technisch umgesetzt ist (Verfahrensdokumentation); zudem müssen alle relevanten Archiv-Aktionen lückenlos und manipulationssicher protokolliert werden (z.B. Archivierungsprotokolle, Änderungen von Benutzerrechten und Konfigurationsänderungen)
- Sicherheit
- Die Sicherheit der archivierten Daten wird sowohl von GoBD, als auch von DSGVO (Vertraulichkeit, Integrität und Verfügbarkeit) gefordert und muss durch entsprechende technische und organisatorische Maßnahmen gewährleistet werden (z.B. Verschlüsselung und Backup des E-Mail-Archivs)
Dürfen E-Mails ausgedruckt statt archiviert werden?
Nach GoBD sind Unterlagen, die im Original elektronisch vorliegen (z.B. E-Mails) auch in elektronischer Form aufzubewahren. Das ersetzende Ausdrucken von E-Mails und Anhängen ist nicht GoBD-konform.
Reichen Backups aus, um die Anforderungen der GoBD zu erfüllen?
Anders als ein Archiv, das für die langfristige Aufbewahrung von Daten ausgelegt ist, dienen Backups der schnellen Wiederherstellung von Daten oder Systemen im Schadensfall. Die oben genannten Anforderungen der GoBD an die E-Mail-Archivierung sind praktisch nicht mit Backups abzubilden.
Welche Konsequenzen können Verstöße gegen die Archivierungspflicht haben?
Sofern Löschungen oder Manipulationen nicht vorsätzlich erfolgen (z.B. mit dem Ziel der Steuerhinterziehung oder Insolvenzverschleppung), gehören strafrechtliche Verfahren nicht zu den typischen Sanktionen.
Abseits davon können Verstöße gegen die Aufbewahrungspflichten und gegen die Anforderungen der GoBD in einer Betriebsprüfung schwerwiegende Konsequenzen haben. Zu diesen können die Verwerfung der Buchführung, Steuerschätzungen, die Versagung des Vorsteuerabzugs, Steuernachzahlungen, Nachzahlungszinsen und Bußgelder gehören.
Zudem muss man damit rechnen, dass Mängel zu intensiven und längeren Prüfungen führen können, die eine erhebliche Zusatzbelastung im Arbeitsalltag darstellen.
Vorteile: E-Mail-Archivierung schafft mehr als nur rechtliche Sicherheit
Neben der Erfüllung von gesetzlichen Pflichten bietet eine E-Mail-Archivierung auch zahlreiche praktische Vorteile und zahlt auf die Datensicherheit im Unternehmen ein:
- Schutz vor Datenverlusten (z.B. durch versehentliches oder absichtliches Löschen von E-Mails durch Mitarbeiter oder technische Vorfälle)
- Einfache Wiederherstellung von verlorenen E-Mails (ohne dass diese aus Backups, sofern vorhanden, wiederhergestellt werden müssen)
- Schnelle Suche über alle E-Mails und Dateianhänge
- Reduzierung des Speicherbedarfs von Postfächern durch Auslagerung von E-Mails in das Archiv (wo die E-Mails nach wie vor verfügbar bleiben)
- Archivierung und Ablösung von PST-Dateien
- Vorteile in Streitfällen durch schnelle und klare Nachweisbarkeit historischer Abläufe
Auswahl der richtigen Lösung
Am Markt findet sich eine Vielzahl unterschiedlicher Angebote an E-Mail-Archivierungslösungen. Auch von deutschen Anbietern. Darunter Cloud-Services, Software (on-premises) und Lösungen, die als Add-on zum genutzten E-Mail-System bzw. zur Groupware verfügbar sind (z.B. die Exchange Online-Archivierung in Microsoft 365 oder Google Vault).
Manche dieser Lösungen sind auf die Archivierung von E-Mails spezialisiert, in anderen Lösungen ist die E-Mail-Archivierung ein häufig optional nutzbares Zusatzmodul (z.B. in DMS). Andere Lösungen können wiederum neben E-Mails auch Daten aus anderen Quellen wie Social Media oder Microsoft Teams archivieren.
Optionen für Selbstständige
Insbesondere kleine Unternehmen und Selbstständige wie Freiberufler und Gewerbetreibende empfinden das Thema “Pflicht zur E-Mail-Archivierung” oft als komplex und unzugänglich. Die gute Nachricht: Am Markt sind neben Lösungen für größere Unternehmen auch Self-Service-Angebote verfügbar, die in kurzer Zeit und für wenige Euro pro Monat eingerichtet und genutzt werden können. Auch von und für einzelne Anwender ohne IT-Expertenwissen.
Gibt es eine "GoBD-Zertifizierung" für E-Mail-Archive?
Die GoBD ist eine Verwaltungsvorschrift des deutschen Bundesministeriums der Finanzen. Das BMF zertifiziert keine Software und Bezeichnungen wie “GoBD-zertifiziert” sind daher dem Marketing zuzuordnen.
Es gibt allerdings mit IDW PS 880 einen Prüfungsstandard des Instituts der Wirtschaftsprüfer in Deutschland (IDW), bei dem durch eine unabhängige Prüfung bescheinigt wird, dass eine Software bei ordnungsgemäßer Anwendung die Umsetzung der GoBD-Anforderungen unterstützen kann. Viele Anbieter von E-Mail-Archivierungslösungen weisen ein solches Testat vor.
Wichtig: Das Testat bescheinigt keine GoBD-Konformität. Diese ergibt sich nicht aus der Software, sondern aus der Implementierung und den tatsächlich praktizierten Verfahren. Dennoch kann das Testat bei der Auswahl geeigneter E-Mail-Archivierungslösungen als Orientierung dienen.
Fazit: Ist E-Mail-Archivierung eine Pflicht?
Die Nutzung einer E-Mail-Archivierungslösung ist per Gesetz keine Pflicht. Aber ohne eine GoBD- und DSGVO-konforme E-Mail-Archivierung können die gesetzlichen Pflichten und Anforderungen praktisch nicht eingehalten werden. Das gilt für große Unternehmen wie für Selbstständige.
Die möglichen Konsequenzen bei einer Verletzung der Aufbewahrungspflichten, der GoBD-Anforderungen und des Datenschutzes stehen in keinem Verhältnis zum Aufwand und den Kosten, die mit der Einführung einer E-Mail-Archivierung einhergehen. Dazu kommen weitere Vorteile, die eine E-Mail-Archivierung über die reine Pflichterfüllung hinaus bieten kann.
Rechtlicher Hinweis
Die Inhalte dienen der allgemeinen Information und stellen keine steuerliche oder rechtliche Beratung dar. Gesetzeslagen und Verwaltungsauffassungen können sich ändern. Trotz sorgfältiger Erstellung übernehmen wir keine Gewähr für Richtigkeit, Vollständigkeit und Aktualität und keine Haftung für Schäden, die aus der Nutzung entstehen. Bitte wenden Sie sich für Ihren konkreten Fall an Ihren Steuerberater oder Rechtsanwalt.